Noticias de Ciberseguridad: Boletín semanal 9-22 de mayo

NXNSAttack: Nuevo ataque contra protocolo DNS

Se ha dado a conocer la existencia de un nuevo ataque de denegación de servicio que aprovecha una vulnerabilidad del protocolo DNS que afecta a todos los DNS recursivos. Se trata de un ataque de tipo subdominio aleatorio que aprovecha las características de delegación de DNS para conseguir un factor de amplificación muy elevado: el atacante podría conseguir generar centenares de paquetes a partir de únicamente dos consultas. Al tratarse de un problema relacionado con la forma en que funciona DNS, no existe un parche como tal para la corrección de la funcionalidad, sino que sólo hay disponibles mitigaciones. Aplicar estas mitigaciones implica establecer una limitación en los resolver para restringir el máximo número de consultas que pueden realizarse tras una consulta de un cliente. Estas mitigaciones dependerán de cada fabricante, dado que la especificación del protocolo DNS no define nada a este respecto. Algunos como Microsoft, BIND o PowerDNS ya han emitido las suyas.

Más detalles: http://cyber-security-group.cs.tau.ac.il/

Campañas del malware bancario Mekotio en España

Durante las últimas semanas se han producido campañas maliciosas en las que se empleaban troyanos bancarios de origen brasileño como Casbaneiro y Grandoreiro. Una muestra de ello, es la ocurrida a finales del mes de abril en la que se suplantaba a la Agencia Tributaria. Sin embargo, desde el equipo de seguridad ESET, señalan que han detectado una nueva campaña maliciosa en la que se ha vuelvo a suplantar a dicha entidad y a la Dirección General de Tráfico (DGT) mediante la utilización del malware denominado Mekotio. En esta ocasión agentes-amenaza emplean una metodología similar a las anteriores veces utilizadas, a través del envío de un correo que suplanta a la entidad afectada, cuyo objetivo es convencer a la víctima de su legitimidad. Asimismo, se facilita una serie de enlaces fraudulentos en los que se informaa las víctimas de un presunto reembolso, en el caso de la campaña de la Agencia Tributaria, o al pago de una multa en la suplantación a la DGT. Una vez la víctima accede a los dominios fraudulentos se insta a la descarga de un archivo, que en realidad contiene el malware Mekotio. Se recomienda revisar incongruencias lingüísticas, tanto en el cuerpo del correo como en el asunto, al igual que evitar abrir enlaces o archivos que el usuario no haya solicitado.

Toda la información: https://blogs.protegerse.com/2020/05/11/nueva-semana-nueva-campana-del-troyano-bancario-mekotio

Campaña masiva de distribución de NetSupport Manager

Investigadores de Microsoft han alertado de la identificación de una campaña maliciosa masiva que dio comienzo el día 12 de mayo y que tiene por objeto la distribución de la herramienta legítima de administración remota NetSupport Manager a través de malspam relacionado con la crisis del Coronavirus. El vector de entrada lo constituyen correos electrónicos que suplantan a la entidad John Hopkins Center y en cuyo contenido se detallan el número de muertes relacionadas con la pandemia en Estados Unidos. Como archivo adjunto aparece un documento Excel con macros maliciosas que permitirán la descarga del malware. Se han identificado cientos de muestras distintas de estos documentos maliciosos. Una vez lograda la infección, NetSupport instala otra serie de archivos .dll, .ini y .exe, así como VBScripts y PowerShell scripts. Además, NetSupport provee al atacante las capacidades de un troyano de acceso remoto, con control total sobre el dispositivo.

Noticia completa: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-massive-phishing-attack-pushing-legit-rat/

Vulnerabilidades en productos de Palo Alto

Palo Alto Networks ha publicado recientemente un total de 26 avisos de seguridad para PAN-OS, el software que se ejecuta en sus firewalls: 1 vulnerabilidad crítica, 17 de criticidad alta, 7 de criticidad media y 1 baja. La vulnerabilidad crítica (CVE-2020-2018 CVSS v3 9) es una vulnerabilidad de elusión de autenticación en la función de cambio de contexto de Panorama y permite que un atacante con acceso a la red a la interfaz de administración de Panorama obtenga acceso privilegiado a los firewalls administrados. Se recomienda actualizar a las siguientes versiones: PAN-OS 9.1, versión 9.1.1 o posterior; PAN-OS 9.0, versión 9.0.7 o posterior; o PAN-OS 8.1, versión 8.1.14 o posterior. Por otra parte, PAN-OS 7.1 está en soporte extendido hasta el 30 de junio de 2020, y sólo se tiene en cuenta para las vulnerabilidades críticas de seguridad. Por su parte, PAN-OS 8.0 ha llegado al final de su vida útil y no está cubierto por las pólizas de garantía de seguridad de productos del fabricante. Desde el SOC de Telefónica se viene trabajando en la revisión y parcheado de los equipos afectados.

Más en: https://security.paloaltonetworks.com/

Parche de Microsoft para fallo en cliente RDP

Investigadores de CheckPoint han informado sobre una vulnerabilidad RDP en Microsoft que no ha sido corregida correctamente. Este fallo, denominado Reverse RDP, permitía que, si el equipo al que se accedía mediante RDP estaba infectado con malware, este pudiera tomar el control de las actividades de los usuarios que accedían a él. Microsoft utilizó la función PathCchCanonicalize para corregir este error, pero esta también contenía fallos que permitían reproducir esta vulnerabilidad y realizar ataques de Path Traversal, por lo que Microsoft lanzó un nuevo parche en febrero. No obstante, la vulnerabilidad en la API oficial de Microsoft todavía no ha sido solucionada, de forma que todas las aplicaciones desarrolladas de acuerdo con la guía de mejores prácticas de Microsoft seguirán siendo vulnerables a ataques de Path Traversal.

Más información: https://research.checkpoint.com/2020/reverse-rdp-the-path-not-taken/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.