Noticias de Ciberseguridad: Boletín semanal 9-22 de mayoElevenPaths 22 mayo, 2020 NXNSAttack: Nuevo ataque contra protocolo DNS Se ha dado a conocer la existencia de un nuevo ataque de denegación de servicio que aprovecha una vulnerabilidad del protocolo DNS que afecta a todos los DNS recursivos. Se trata de un ataque de tipo subdominio aleatorio que aprovecha las características de delegación de DNS para conseguir un factor de amplificación muy elevado: el atacante podría conseguir generar centenares de paquetes a partir de únicamente dos consultas. Al tratarse de un problema relacionado con la forma en que funciona DNS, no existe un parche como tal para la corrección de la funcionalidad, sino que sólo hay disponibles mitigaciones. Aplicar estas mitigaciones implica establecer una limitación en los resolver para restringir el máximo número de consultas que pueden realizarse tras una consulta de un cliente. Estas mitigaciones dependerán de cada fabricante, dado que la especificación del protocolo DNS no define nada a este respecto. Algunos como Microsoft, BIND o PowerDNS ya han emitido las suyas. Más detalles: http://cyber-security-group.cs.tau.ac.il/ Campañas del malware bancario Mekotio en España Durante las últimas semanas se han producido campañas maliciosas en las que se empleaban troyanos bancarios de origen brasileño como Casbaneiro y Grandoreiro. Una muestra de ello, es la ocurrida a finales del mes de abril en la que se suplantaba a la Agencia Tributaria. Sin embargo, desde el equipo de seguridad ESET, señalan que han detectado una nueva campaña maliciosa en la que se ha vuelvo a suplantar a dicha entidad y a la Dirección General de Tráfico (DGT) mediante la utilización del malware denominado Mekotio. En esta ocasión agentes-amenaza emplean una metodología similar a las anteriores veces utilizadas, a través del envío de un correo que suplanta a la entidad afectada, cuyo objetivo es convencer a la víctima de su legitimidad. Asimismo, se facilita una serie de enlaces fraudulentos en los que se informaa las víctimas de un presunto reembolso, en el caso de la campaña de la Agencia Tributaria, o al pago de una multa en la suplantación a la DGT. Una vez la víctima accede a los dominios fraudulentos se insta a la descarga de un archivo, que en realidad contiene el malware Mekotio. Se recomienda revisar incongruencias lingüísticas, tanto en el cuerpo del correo como en el asunto, al igual que evitar abrir enlaces o archivos que el usuario no haya solicitado. Toda la información: https://blogs.protegerse.com/2020/05/11/nueva-semana-nueva-campana-del-troyano-bancario-mekotio Campaña masiva de distribución de NetSupport Manager Investigadores de Microsoft han alertado de la identificación de una campaña maliciosa masiva que dio comienzo el día 12 de mayo y que tiene por objeto la distribución de la herramienta legítima de administración remota NetSupport Manager a través de malspam relacionado con la crisis del Coronavirus. El vector de entrada lo constituyen correos electrónicos que suplantan a la entidad John Hopkins Center y en cuyo contenido se detallan el número de muertes relacionadas con la pandemia en Estados Unidos. Como archivo adjunto aparece un documento Excel con macros maliciosas que permitirán la descarga del malware. Se han identificado cientos de muestras distintas de estos documentos maliciosos. Una vez lograda la infección, NetSupport instala otra serie de archivos .dll, .ini y .exe, así como VBScripts y PowerShell scripts. Además, NetSupport provee al atacante las capacidades de un troyano de acceso remoto, con control total sobre el dispositivo. Noticia completa: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-massive-phishing-attack-pushing-legit-rat/ Vulnerabilidades en productos de Palo Alto Palo Alto Networks ha publicado recientemente un total de 26 avisos de seguridad para PAN-OS, el software que se ejecuta en sus firewalls: 1 vulnerabilidad crítica, 17 de criticidad alta, 7 de criticidad media y 1 baja. La vulnerabilidad crítica (CVE-2020-2018 CVSS v3 9) es una vulnerabilidad de elusión de autenticación en la función de cambio de contexto de Panorama y permite que un atacante con acceso a la red a la interfaz de administración de Panorama obtenga acceso privilegiado a los firewalls administrados. Se recomienda actualizar a las siguientes versiones: PAN-OS 9.1, versión 9.1.1 o posterior; PAN-OS 9.0, versión 9.0.7 o posterior; o PAN-OS 8.1, versión 8.1.14 o posterior. Por otra parte, PAN-OS 7.1 está en soporte extendido hasta el 30 de junio de 2020, y sólo se tiene en cuenta para las vulnerabilidades críticas de seguridad. Por su parte, PAN-OS 8.0 ha llegado al final de su vida útil y no está cubierto por las pólizas de garantía de seguridad de productos del fabricante. Desde el SOC de Telefónica se viene trabajando en la revisión y parcheado de los equipos afectados. Más en: https://security.paloaltonetworks.com/ Parche de Microsoft para fallo en cliente RDP Investigadores de CheckPoint han informado sobre una vulnerabilidad RDP en Microsoft que no ha sido corregida correctamente. Este fallo, denominado Reverse RDP, permitía que, si el equipo al que se accedía mediante RDP estaba infectado con malware, este pudiera tomar el control de las actividades de los usuarios que accedían a él. Microsoft utilizó la función PathCchCanonicalize para corregir este error, pero esta también contenía fallos que permitían reproducir esta vulnerabilidad y realizar ataques de Path Traversal, por lo que Microsoft lanzó un nuevo parche en febrero. No obstante, la vulnerabilidad en la API oficial de Microsoft todavía no ha sido solucionada, de forma que todas las aplicaciones desarrolladas de acuerdo con la guía de mejores prácticas de Microsoft seguirán siendo vulnerables a ataques de Path Traversal. Más información: https://research.checkpoint.com/2020/reverse-rdp-the-path-not-taken/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. Decepticons vs. Covid-19: la batalla definitivaGanador del concurso #EquinoxRoom111
Telefónica Tech Boletín semanal de ciberseguridad, 13—20 de mayo VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU
David García El nuevo final de las contraseñas Password, contraseña, clave, frase de paso… ¿Cuántos puedes recordar si no usas un gestor de contraseñas? Es más ¿Usas un gestor?
Marta Mª Padilla Foubelo Dark Markets, el concepto de mercado negro en la Internet actual ¿Que son los Dark Markets o Black Markets? Basta con traducirlo para hacernos una idea: es el mercado negro que también existe en internet