#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 20-24 de enero

ElevenPaths    24 enero, 2020

Exposición de registros de soporte al cliente de Microsoft

Microsoft ha admitido haber sufrido un incidente de seguridad que habría expuesto cerca de 250 millones de registros de conversaciones de clientes con el servicio de soporte de Microsoft debido a una mala configuración en sus servidores. El equipo de investigadores de Comparitech ha afirmado que la mayor parte de los datos personales habrían sido eliminados de los registros, sin embargo, todavía queda información sensible almacenada en texto plano como direcciones de correo electrónico, direcciones IP, ubicaciones, números de los casos, resoluciones de los casos y notas marcadas como confidenciales. Estos registros contenían datos de fechas comprendidas entre 2005 y diciembre de 2019. Al tratarse de información sensible de casos reales, los actores maliciosos podrían utilizar esta información para engañar a los usuarios haciéndose pasar por el soporte de Microsoft.

Más información: https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/

Arabia Saudí comprometió el iPhone de Jeff Bezos

Ayer se dio a conocer que el iPhone de Jeff Bezos, dueño de Amazon y del medio estadounidense The Washington Post, se vio comprometido entre mayo de 2018 y febrero de 2019. De acuerdo con la investigación encargada por el afectado a FTI Consulting, todo comenzó tras una cena en abril entre Bezos y el príncipe heredero de Arabia Saudí Mohamed bin Salman, donde se intercambiaron los números de teléfono. En mayo Bezos recibió vía WhatsApp un video MP4 procedente del móvil de bin Salman; los investigadores han considerado este video como el origen de la infección dado que a partir de entonces el iPhone comenzó a enviar ingentes cantidades de datos sin autorización (de manera previa, el móvil alcanzaba un promedio de 430KB de salida al día, y pasó a tener una media de 101MB). Aunque los investigadores no han encontrado evidencia de ningún malware en el teléfono ya que no han podido acceder al sistema de ficheros raíz, el elevado volumen de datos, junto con dos mensajes recibidos por WhatsApp con información que hasta el momento era confidencial, les hace pensar en la existencia de este malware, cuyo comportamiento coincide con los software de espionaje para móvil Pegasus y Galileo, creados, respectivamente por la agencia israelí NSO y la italiana Hacking Team.

Para leer más: https://www.vice.com/en_us/article/v74v34/saudi-arabia-hacked-jeff-bezos-phone-technical-report

Trickbot añade nuevo módulo de exfiltración de Directorio Activo

Se ha descubierto un nuevo módulo del troyano TrickBot que atacaría la base de datos del Directorio Activo almacenada en los controladores de dominio de Windows. Este nuevo módulo, llamado ADll, ejecutaría una serie de comandos en Windows que permitirían al troyano robar bases de datos del Directorio Activo de Windows. Si el actor amenaza consigue obtener acceso administrativo al controlador de dominio, hará uso del comando ‘ntdsutil’, el cual permitiría realizar acciones sobre la base de datos. Además, este se aprovecharía del comando “ifm” (Install from Media) para volcar la base de datos y los registros a la carpeta %Temp%. Posteriormente, se comprimirían estos archivos y se enviarían a los atacantes. Una vez los atacantes tienen acceso a estos archivos, pueden descifrar la base de datos y acceder a los nombres de usuario, los hash de las contraseñas o los nombres de equipo y grupos entre otros datos.

Más información: https://www.bleepingcomputer.com/news/security/trickbot-now-steals-windows-active-directory-credentials/

Vulnerabilidad 0-day en Internet Explorer

Microsoft ha anunciado el descubrimiento de una vulnerabilidad crítica en el navegador web Internet Explorer que podría permitir a un atacante remoto ejecutar código en el equipo de la víctima. La vulnerabilidad aprovecha un fallo en la gestión de memoria del motor de scripting de Windows. Un atacante podría construir una página web maliciosa y conseguir que la víctima navegara hacia dicha página empleando técnicas de ingeniería social u otras para llevar a cabo ejecución de código sobre el equipo de la víctima. Si la víctima está conectada con derechos de administrador, el atacante que explote esta vulnerabilidad podría tomar el control del sistema afectado, llegando a instalar programas, modificar datos o crear nuevas cuentas de usuario. No existe todavía un parche para la resolución de la vulnerabilidad. Sin embargo, el proyecto 0patch ha creado una solución temporal disponible gratis aquí mientras Microsoft termina de desarrollar la solución definitiva, que probablemente se hará pública antes de final de mes.

Noticia completa: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001

Vulnerabilidad crítica en Cisco Firepower Management Center

La interfaz web del Cisco FMC (Firepower Management Center) presenta una nueva vulnerabilidad que podría permitir que un atacante ejecute código arbitrario de manera remota. El fallo crítico se debe al error que existe en la gestión de la respuesta a aquellas peticiones de autenticación que se solicitan a un servidor externo LDAP (Lightweight Directory Access Protocol), lo cual posibilita que un agente amenaza pueda burlar el proceso de autenticación. La explotación de esta vulnerabilidad, identificada como CVE-2019-16028 y a la que se ha asignado un CVSS de 9.8, pasaría por enviar una petición HTTP especialmente diseñada al dispositivo de Cisco en el proceso de autenticación, con lo que se podría adquirir permisos de administrador para acceder a la interfaz web de gestión del dispositivo afectado. Cabe destacar que se verían afectados únicamente aquellos sistemas que cuenten con un servidor LDAP externo para la autenticación. Desde el equipo de respuesta ante incidentes de Cisco Product Security (PSIRT), afirman que no se tiene conocimiento de ningún exploit publicado para aprovecharse de esta vulnerabilidad.

Más información: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200122-fmc-auth


Si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram y estate al día en seguridad digital.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *