#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 24-28 de febrero

Escaneos para una vulnerabilidad RCE en Microsoft Exchange

Investigadores de Zero Day Initiative han publicado los detalles sobre la vulnerabilidad CVE-2020-0688 CVSS 8.8, parcheada hace 14 días en el boletín de febrero. Esta vulnerabilidad permite a un atacante autenticado ejecutar código con privilegios de SYSTEM en una instalación de Microsoft Exchange on premise. Tan solo horas después de publicarse los detalles sobre la vulnerabilidad, investigadores como Kevin Beaumont o el equipo de Bad Packets han reportado la detección de actividad a gran escala de intentos de explotación de la vulnerabilidad. Al exigir acceso autenticado, es de esperar que esta actividad esté relacionada con acciones de robo de credenciales y ataques de fuerza bruta.

Más información: https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

Kr00k: vulnerabilidad que permite a los atacantes descifrar paquetes WiFi

Investigadores de seguridad de ESET han presentado en la conferencia de seguridad RSA 2020 detalles sobre Kr00k (CVE-2019-15126), una vulnerabilidad que afecta a las comunicaciones WiFi y que permitiría a un atacante interceptar y descifrar tráfico de una red WiFi. Según ESET, Kr00k afectaría a todos los dispositivos con capacidad WiFi que ejecutan chips Wi-Fi Broadcom y Cypress en conexiones WiFi que usen los protocolos de seguridad WPA2-Personal o WPA2-Enterprise WiFi, con cifrado AES-CCMP. Sin embargo, esta vulnerabilidad no conduce a un compromiso total de las comunicaciones de un usuario. El error puede ser explotado para romper el cifrado utilizado para proteger el canal WiFi, pero si las comunicaciones originales del usuario también estuvieran cifradas, como en el acceso a sitios web a través de HTTPS, Tor o clientes de MI cifrados, esas comunicaciones seguirían cifradas incluso después de un ataque de Kr00k. Los parches para esta vulnerabilidad ya deberían estar disponibles puesto que ESET ha trabajado durante los últimos meses en una divulgación responsable de la vulnerabilidad.

Todos los detalles: https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf

Sodinokibi amenaza con nuevas técnicas de extorsión

Los gestores del ransomware Sodinokibi, también conocido como REvil, han hecho pública la decisión de crear un blog donde compartir archivos robados a sus víctimas que no hayan realizado el pago del rescate exigido. Desde hace dos meses, los operadores de este ransomware venían publicando datos de sus víctimas en un foro ruso. Sin embargo, en su última publicación han anunciado la creación específica de este blog, animando a sus afiliados a copiar los datos de las víctimas de manera previa al cifrado de los equipos. Además, han anunciado su intención de compartir previamente la información en servicios de venta, así como sugieren otras formas de extorsión como el envío automático de correos electrónicos a las bolsas de valores para informar sobre el ataque de una compañía dañando de esta forma sus acciones. Con este anuncio, se espera por tanto que la tendencia iniciada por los operadores de Maze de publicar datos de sus víctimas siga al alza.

Más info aquí: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-may-tip-nasdaq-on-attacks-to-hurt-stock-prices/

Decathlon España sufre una fuga de información

Investigadores de seguridad de vpnMentor han descubierto una base de datos expuesta en un servidor ElasticSearch perteneciente a Decathlon España con datos de tiendas, empleados y usuarios de la compañía. La filtración contiene más de 123 millones de registros, que ocupan 9 GB, y que pertenecen a Decathlon España, aunque existe una alta posibilidad de que también incluya datos de Decathlon Reino Unido. Entre la información filtrada se encuentran usuarios y contraseñas de empleados sin cifrar, números de la Seguridad Social, teléfonos móviles, direcciones, periodos de contratación y correos de clientes, entre otros. Esta fuga de información podría dar lugar a ataques de phishing o robo de identidad entre otros.

Toda la información: https://www.vpnmentor.com/blog/report-decathlon-leak/

Bretagne Télécom infectada por DoppelPaymer a través de la explotación de servidores Citrix vulnerables

El proveedor de servicios de cloud francés Bretagne Télécom ha confirmado haber sido víctima del ransomware DoppelPaymer, habiéndose conseguido la infección mediante la explotación de la vulnerabilidad CVE-2019-19781 en Citrix ADC. Según ha confirmado el CEO de la empresa, Nicolas Boittin, los servidores eran vulnerables a los ataques ya que en el momento que comenzaron los escaneos de servidores vulnerables el ocho de enero, desde Citrix no se había publicado una solución al problema; dicha solución que se demoró hasta el 24 de enero. Una vez comprometidos los sistemas de Bretagne Télécom, los operadores de DoppelPaymer consiguieron cifrar 148 equipos con datos de cerca de una treintena de pequeños clientes. En cuanto a la afectación real, en este caso la compañía disponía de una copia de seguridad de todos los datos de los clientes por lo que se pudo volver a la normalidad sin necesidad de formalizar los pagos demandados. Como parte de la nueva tendencia observada recientemente, al no realizar el pago, los operadores del ransomware han procedido a publicar algunos documentos como ejemplo de la información que fue secuestrada en su blog durante este fin de semana, junto con información de otras tres empresas también infectadas.

Más info: https://www.bleepingcomputer.com/news/security/doppelpaymer-hacked-bretagne-t-l-com-using-the-citrix-adc-flaw/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.