Noticias de Ciberseguridad: Boletín semanal 9-15 de enero

Sunburst muestra coincidencias en su código con malware asociado a Rusia

Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds, muestra coincidencias en sus características con Kazuar, un backdoor .NET asociado al grupo de cibercriminales ruso, Turla (también conocido como Venomous Bear y Waterbug), especializado en el robo de información y ciberespionaje. Estos datos apoyan la atribución del compromiso a una APT ligada a Rusia (que empieza a denominarse como UNC2452 y DarkHalo), confirmado por el FBI, CISA y la NSA la pasada semana. Por su parte, los investigadores de Crowdstrike en colaboración con otras firmas y con el propio SolarWinds, afirman haber logrado identificar el vector de entrada para la inyección del código malicioso en el proceso de desarrollo del software Orion. El malware utilizado para ello se ha denominado Sunspot. Este cuenta con la capacidad de monitorizar los procesos en ejecución para detectar aquellos involucrados en el empaquetado de Orion y proceder entonces a la inyección del backdoor Sunburst en el código fuente, antes incluso de que haya sido leído por el compilador.

Más información: https://securelist.com/sunburst-backdoor-kazuar/99981/

Nuevo troyano para Android

Investigadores de Hispasec alertan de la detección de una nueva familia de malware bancario para dispositivos Android. El aviso se produce tras la detección el pasado jueves 7 de enero de una muestra en las plataformas VirusTotal y Koodus, que, según los investigadores, no parecía pertenecer a ninguna familia de malware bancario ya identificada. Poco después, desde la cuenta de MalwareHunterTeam se hacían eco de esta muestra indicando que algunas formas de antivirus ya la detectaban pero que lo hacían con firmas genéricas de malware bancario o haciendo referencia a familias como Cerberus o Anubis Bankbot. Desde Hispasec indican no observar relación con ninguna de estas dos familias. El objetivo de este nuevo troyano sería, como es habitual, el robo de credenciales mediante su activación tan pronto como se detecta la apertura de una aplicación bancaria en el dispositivo. Para ello, el malware aprovecha los permisos de accesibilidad, que solicita tan pronto como el usuario ejecuta el malware tras su instalación. El objetivo de los desarrolladores de este nuevo malware serían en este momento entidades españolas, ya que la mayor parte de entidades afectadas son entidades de nuestro país, aunque también se habría encontrado afectación para algunas entidades alemanas en menor medida.

Accede al detalle desde: https://unaaldia.hispasec.com/2021/01/detectado-un-nuevo-troyano-bancario-para-android.html

Boletín de seguridad de Microsoft

Microsoft ha publicado su boletín mensual de actualizaciones de seguridad correspondiente al mes de enero, en el que corrigen un total de 83 vulnerabilidades, de las cuales 10 son clasificadas como críticas y el resto importantes. Entre las vulnerabilidades críticas destaca un fallo zero-day (CVE-2021-1647) de ejecución remota de código en el software antivirus Microsoft Defender que estaría siendo explotado activamente, y una vulnerabilidad de elevación de privilegios (CVE-2021-1648) en el servicio splwow64, publicada previamente por el equipo Project Zero de Google. Además, cabe mencionar un fallo de omisión de características de seguridad (CVE-2021-1674) en Windows Remote Desktop y cinco fallos RCE en Windows Remote Procedure Call Runtime.

Toda la información: https://msrc.microsoft.com/update-guide/releaseNote/2021-Jan

Fallo crítico en Thunderbird

Mozilla ha publicado una actualización de seguridad que soluciona una vulnerabilidad crítica (CVE-2020-16044) en Thunderbird y que afecta a todas las versiones anteriores a la última publicada. Este fallo es un problema de escritura use-after-free derivado de la forma en la que se manejan las cookies en el navegador, razón por la que no afecta directamente al cliente Thunderbird de escritorio, pero sí puede explotarse a través de distintos navegadores. En última instancia, podría permitir al atacante la ejecución de código malicioso en el dispositivo afectado. Tanto CISA como el INCIBE han alertado sobre la necesidad de actualizar Thunderbird a la última versión disponible, aspecto que por defecto se realiza automáticamente.

Más: https://www.mozilla.org/en-US/security/advisories/mfsa2021-02/#CVE-2020-16044

Avisos de las agencias estadounidenses

Dos de las principales agencias estadounidenses en materia de seguridad han publicado alertas sobre distintos asuntos:

• La Agencia de Ciberseguridad Estadounidense (CISA) emitió un comunicado (AR21-013A) donde advertía tener constancia de diversos compromisos de servicios en la nube corporativos protegidos con autenticación multifactor (MFA). Para lograr el acceso, los actores amenaza están utilizando diferentes técnicas como campañas de phishing, ataques de fuerza bruta y ataques pass-the-cookie, entre otros. La campaña se inserta en la coyuntura generada por el COVID-19 donde múltiples empleados combinan el uso de dispositivos personales y corporativos para el acceso a los servicios empresariales en la nube. CISA también ha señalado que estos ataques no se encuentran vinculados con los agentes amenaza detrás del compromiso a la cadena de suministro SolarWinds.
• La Agencia de Seguridad Nacional avisaba sobre la necesidad de evitar el uso de resolutores de DNS de terceros para bloquear así los intentos de manipulación de tráfico DNS por parte de actores amenaza. La agencia recomienda que el tráfico de una red empresarial, cifrado o no, solo se envíe al sistema de resolución de DNS de la empresa designada a través de sus propios servidores o a través de servicios externos con soporte incorporado para solicitudes DNS encriptadas como DoH.
• Por otro lado, la Agencia de Ciberseguridad e Infraestructura (CISA) instó el pasado jueves a las agencias federales a desplegar software de bloqueo de anuncios y a estandarizar el uso de los navegadores web en sus equipos de trabajo con el fin de evitar los anuncios con malware. Asimismo, recomienda al resto de agencias considerar el aislamiento de navegadores web respecto de los sistemas operativos, como ya lo hace el departamento de Defensa.

Descubre toda la información:

• https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a
• https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2471956/nsa-recommends-how-enterprises-can-securely-adopt-encrypted-dns/
• https://www.cisa.gov/sites/default/files/publications/Capacity_Enhancement_Guide-Securing_Web_Browsers_and_Defending_Against_Malvertising_for_Federal_Agencies.pdf

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.