#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 27-31 de enero

Primera vulnerabilidad RCE en Microsoft Azure

Investigadores de Check Point identificaron el pasado otoño la primera vulnerabilidad en una plataforma cloud de amplio uso que permitiría romper un axioma de la seguridad en la nube, el aislamiento, mediante el acceso y ejecución remota de código en instancias de terceros propietarios. Esta vulnerabilidad se corresponde en realidad con dos vulnerabilidades que fueron solventadas por Microsoft en octubre pero cuyos detalles no fueron revelados, CVE-2019-1372 (CVSS 10.0) & CVE-2019-1234 (CVSS 7.5). Para corregir los fallos, es necesario que tanto Microsoft como el operador de la nube actualicen los sistemas conforme a instrucciones del fabricante (disponibles aquí y aquí). La vulnerabilidad no se ha hecho pública hasta esta semana y no se conocen intentos de explotación de la misma.

Información completa aquí: https://www.forbes.com/sites/zakdoffman/2020/01/30/severe-perfect-100-microsoft-flaw-confirmed-this-is-a-cloud-security-nightmare/#2eb11337b4a4

Análisis de Ragnarok, el ransomware contra servidores Citrix ADC

Se van conociendo nuevos detalles del nuevo ransomware Ragnarok, que estaría aprovechando aquellos servidores Citrix ADC que no tuvieran corregida la vulnerabilidad CVE-2019-19781 ya parcheada. El malware inyecta un fichero DLL (biblioteca de vínculos dinámicos) tras detectar que el dispositivo es aún vulnerable y, posteriormente el fichero descarga e instala el ransomware en el equipo. El responsable de SentinelLabs, Vitali Kremez, ha conseguido extraer el fichero de configuración de Ragnarok, y tras su análisis, se ha desvelado que el malware detecta el lenguaje instalado en la máquina de la víctima, que usa como filtro para no cifrar aquellos equipos cuyos lenguajes sean el ruso o el chino, entre otros. Por otro lado, se ha desvelado también que se intenta deshabilitar Windows Defender de Microsoft, manipulando las políticas de grupo de Windows. Se hallaron otros elementos curiosos en el análisis del fichero de configuración, como son unas referencias a rutas pertenecientes a sistemas Unix/Linux, lo cual hace sospechar que este ransomware está siendo desarrollado con visión de infectar sistemas más allá de Windows. Finalmente, y cumpliendo con la dinámica de cifrado que acostumbran, el ransomware cifra los archivos con su propio nombre como extensión «.ragnarok».

Para más información: https://www.bleepingcomputer.com/news/security/ragnarok-ransomware-targets-citrix-adc-disables-windows-defender

Avast habría recopilado y vendido datos privados de navegación de usuarios

Una investigación conjunta llevada a cabo por Motherboard y PCMag indicaría que el gigante antivirus Avast estaría vendiendo los datos de navegación web. Avast estaría recopilando los datos de los usuarios suscritos y luego proporcionándoselos a Jumpshot, subsidiaria de Avast, que los empaquetaría en varios productos diferentes que luego vendería a muchas de las compañías más grandes del mundo. Los datos obtenidos incluirían entre otros datos búsquedas en Google o las visitas a sitios web porno. Aunque los datos no incluirían información personal, y los expertos dicen que podría ser posible desanonimizar a ciertos usuarios. Hasta hace poco, Avast recopilaba los datos de navegación a través del complemento de navegador de la compañía, diseñado para advertir a los usuarios de sitios web sospechosos. Sin embargo a raíz una publicación de blog en octubre del investigador de seguridad Wladimir Palant, en la que mostraba que Avast cosechaba datos de usuario con ese complemento, los principales fabricantes de navegador eliminaron la extensión de sus respectivas tiendas de extensiones. Sin embargo, la recopilación de datos seguiría en curso ahora a través del software antivirus en sí. No obstante varios usuarios de Avast han señalado que no sabían que Avast estaría vendiendo dichos datos de navegación. A raíz de conocerse la información, Avast ha anunciado su intención de dejar de trabajar con Jumpshot.

Más información: https://www.vice.com/en_us/article/qjdkq7/avast-antivirus-sells-user-browsing-data-investigation

Posible hackeo a la ONU intentado mantener en secreto

Investigadores de seguridad de The New Humanitarian afirman haber tenido acceso a un informe confidencial de las Naciones Unidas y desvelan que dicho organismo habría sido comprometido y que habrían tratado de ocultarlo. Según este informe confidencial, los atacantes habrían irrumpido en docenas de servidores de la ONU a partir de julio de 2019, viéndose comprometidos los registros del personal, el seguro médico y los datos de los contratos comerciales. Desde el organismo, se solicitó al personal que cambiara sus contraseñas pero no se les informó de la posible fuga. Bajo inmunidad diplomática, la ONU no está obligada a divulgar qué información habría sido comprometida ni a notificar a los afectados. Además en el informe se indica que el ataque se podría haber evitado con un simple parche para arreglar un error de software que afectó a los sistemas de Ginebra y Viena. El investigador de seguridad Kevin Beaumont añade que el origen del ataque podría haber estado en la explotación de una vulnerabilidad en SharePoint (CVE-2019-0604) conocida desde hace un año.

Noticia completa: https://www.thenewhumanitarian.org/investigation/2020/01/29/united-nations-cyber-attack

SIM swapping a través del compromiso de las teleoperadoras

Motherboard ha ampliado la información recogida en un artículo publicado el pasado 10 de enero, donde alertaba de la detección de un viraje en el mundo de los ataques de SIM swapping por el que los atacantes habrían pasado ya al intento de compromiso de los números de teléfono de los usuarios directamente a partir del compromiso inicial de los empleados de las empresas de telecomunicaciones. En el nuevo artículo el medio amplía la información conocida, tras haber obtenido más evidencias de intentos de compromiso de empleados de algunas compañías de telecomunicaciones como Verizon, Sprint o T-Mobile, o de empleados de vendedores autorizados de las mismas. Según las investigaciones, los atacantes estarían enviando correos de phishing a los empleados, con el objetivo de comprometerlos y obtener sus credenciales para los paneles de acceso de los programas utilizados para la gestión de los servicios de atención al cliente, a través de los cuales los atacantes podrían en último término crear o modificar cuentas de clientes. El investigador Nicholas Ceraolo confirma que algunos de los phishings estaban enfocados al compromiso de servicios de VPN de Citrix, a través de los cuales los empleados se conectan a la red de las empresas para acceder a los sistemas internos. Uno de los sistemas confirmados los atacantes han tratado de vulnerar ha sido Omni, la herramienta de servicio de atención al cliente de Verizon.

Más información aquí: https://www.vice.com/en_us/article/v74b4d/sim-swappers-phishing-verizon-sprint-tmobile-to-access-internal-tools

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.