#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de marzo

ElevenPaths    13 marzo, 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 9-13 de marzo

Vulnerabilidad crítica en el protocolo SMBv3

Cisco Talos y Fortinet han publicado detalles sobre una vulnerabilidad crítica (CVE-2020-0796, CVSSv3 10) de ejecución remota de código en el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) que podría ser aprovechada por un atacante para conseguir la ejecución de código en el contexto de una aplicación mediante el envío, sin autenticación previa, de un paquete malicioso comprimido. Esta vulnerabilidad, que empieza a ser conocida como SMBGhost, se produce debido a un problema en el procesamiento de ciertas peticiones en la versión 3 del protocolo SMB que, en principio, solo afectaría a las versiones más recientes de Windows (Windows 10 y Windows Server v.1903 y v.1909). Su divulgación parece haberse producido de forma inintencionada al eliminarla Microsoft de forma tardía de su boletín de seguridad de marzo, lo que ha provocado que la empresa tenga que emitir un parche adicional solo para este caso. Esta vulnerabilidad es susceptible de ser utilizada para la distribución de malware con capacidades de gusano al igual que ya ocurrió con WannaCry o NotPetya.

Por ello, distintos investigadores ya han desarrollado pruebas de concepto funcionales para conseguir la denegación de servicios o el escalado local de privilegios. Por el momento, no se ha publicado el código de los mismos pero es de esperar que, tras la actualización, se desvelen estos y nuevos detalles que puedan generar un exploit que consiga la ejecución remota de código. Para facilitar la identificación de aquellos sistemas vulnerables (en principio, Windows 10 y Server en versión 1903 y 1909) también se ha publicado software pare realizar escaneos de forma independiente. Se estima que cerca de 48000 sistemas expuestos a internet son vulnerables a SMBGhost, según datos de Kryptos Logic.

Más información en: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

Boletín de actualizaciones de Microsoft

Microsoft publicó el pasado martes su boletín mensual de actualizaciones de seguridad conocido como Patch Tuesday. Este mes la compañía ha parcheado 115 vulnerabilidades de las cuales 26 han sido catalogadas como críticas, 88 como importantes y 1 como moderada. Entre las vulnerabilidades corregidas destacan las siguientes:

  • CVE-2020-0684: “Vulnerabilidad de ejecución de código remoto LNK”, se trata de un error en los archivos de acceso directo LNK de Windows que permite que el malware ejecute código en un sistema cuando el sistema operativo Windows procesa un archivo LNK malicioso.
  • CVE-2020-0852: “Vulnerabilidad de ejecución remota de código de Microsoft Word”, esta vulnerabilidad permitiría a un atacante crear documentos de Word maliciosos que ejecuten código simplemente abriéndolos. Este error, además, funciona en el panel de vista previa de Outlook.

Información completa: https://portal.msrc.microsoft.com/en-us/security-guidance

Coronavirus como pretexto de nuevas campañas infecciosas

Como se viene observando desde que comenzó la epidemia del coronavirus o COVID-19, son numerosos los agentes maliciosos que están valiéndose de ésta para realizar campañas fraudulentas. Es el caso de la página web www[.]Corona-Virus-Map[.]com, que aparentemente contiene un mapa mundial que muestra estadísticas de infecciones, recuperaciones y fallecimientos por país producidos como efecto de esta causa, estaría infectando a sus víctimas con el malware AZORult, reponsable de exfiltrar información como credenciales, datos de tarjetas bancarias y cookies entre otros.

También esta semana, el equipo de MalwareHunterTeam ha descubierto lo que han denominado como “ransomware Coronavirus” debido a que crea una nota de rescate bajo el nombre “coronavirus”, renombrando además la unidad C: del ordenador a Coronavirus; destaca que junto a este también se distribuye el troyano Kpot. Por otro lado, los gestores del malware Hancitor han vuelto a lanzar una campaña esta semana de spam utilizando la temática de la contratación de un seguro para el COVID-19. Finalmente, Check Point Research descubrió también esta semana una campaña para distribuir un nuevo malware contra el sector público de Mongolia, el cual utiliza supuestos documentos del Ministerio de Relaciones Exteriores de Mongolia informando de nuevas infecciones por Coronavirus.

Toda la información: https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-threat-analysis-report/

Microsoft Office Word distribuye el malware Trickbot

Investigadores de FortiGuard Labs han encontrado y analizado una muestra de MS Office Word que estaría distribuyendo una nueva variante de TrickBot. Como viene siendo habitual en estos casos, el Word malicioso solicita habilitar las macros para que la infección pueda comenzar. Tras esto, se ejecuta la macro en VBA, la cual extrae dos archivos en el equipo de la víctima con formato .bat y .jse. Tras ejecutarse el código JavaScript, este obtiene todos los procesos en ejecución y realiza una serie de comprobaciones para verificar que es un entorno real. Después, se descarga el payload de TrickBot desde el servidor controlado por el atacante y se inicia a través del JavaScript. Además, copia el archivo JavaScript en la carpeta de inicio de Windows para que pueda iniciarse cada vez que se inicie el equipo de la víctima.

Información completa: https://www.fortinet.com/blog/threat-research/new-variant-of-trickbot-being-spread-by-word-document.html

Nueva versión del propagador de Emotet

Investigadores de Binary Defense han analizado la propagación de Emotet a través de redes WiFi. Entre sus conclusiones, se ha descubierto que el propagador del malware ha evolucionado, puesto que se ha observado una nueva versión que habría cambiado de un programa autónomo a un módulo completo de Emotet con algunas mejoras de funcionalidad. Además, en lugar de incluir el loader de Emotet en el propio propagador, en esta edición se descarga de un servidor. Cabe destacar que los cambios presentados no afectan a la funcionalidad clave del malware, pero sí que aumentan la capacidad de obtención de información del mismo debido a que se obtienen más detalles de depuración y de los logs de aquellas máquinas infectadas gracias a un nuevo protocolo de comunicación. Este nueva versión dificulta las tareas de los sistemas de seguridad al evitar la detección basada en buscar y marcar el loader de Emotet.

Más información: http://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *