ZOOM – Amenazas en la app de videovigilancia

Como consecuencia del confinamiento y las nuevas necesidades de comunicación está proliferando la descarga de nuevas aplicaciones de videoconferencia como Zoom, de forma que son varios los incidentes que se han relacionado con esta aplicación en los últimos días:

• Suplantación a través del registro de dominios: Investigadores de seguridad Check Point han detectado un incremento en el registro de dominios utilizando la  palabra “Zoom”, alcanzando un total de 1.700 dominios registrados, al menos un 4% de estos últimos, han sido clasificados como maliciosos. Esto se estaría utilizando en campañas de phishing suplantando la identidad de la aplicación. Además, se han encontrado archivos ejecutables como «zoom-us-zoom _ ##########.Exe» en el que emplean la utilización del término de la marca, para ofuscar el malware InstallCore.
• Exposición de información: El pasado 26 de marzo, investigadores de Motherboard indicaron aspectos concernientes a la privacidad de los datos y la recolección de estos en la versión de la app iOS. Según el análisis, una vez se descargaba y se abría la aplicación, Zoom se conectaba a la API Graph de Facebook, lo que hacía que la red social recopilase detalles no necesarios del usuario. Este fallo ya ha sido corregido.
• Intrusión en videoconferencias: Numerosas reuniones llevadas a cabo a través de la plataforma de videoconferencia Zoom, se han visto irrumpidas por actores externos con mensajes racistas y amenazantes. Es el llamado “ZoomBombing” o “Zoom Raid”. Los motivos que están generando estos altercados son la compartición de las urls de las reuniones a través de las diferentes redes sociales o plataformas de compartición de contenido, no seguras. En estos días se ha dado a conocer en este sentido “zWarDial”, una herramienta automatizada permite buscar reuniones de Zoom abiertas, es decir, sin contraseña que impida el acceso a una reunión de terceros.
• Vulnerabilidades conocidas: El pasado 31 de marzo, el investigador de seguridad @_g0dmode descubría una nueva vulnerabilidad en la aplicación de Windows que implica una exposición de las credenciales de acceso y que reside en el chat de la aplicación, ya que las URLs que se envían se convierten automáticamente en hipervínculos para que los demás miembros puedan acceder. Por otro lado, el 1 de abril, el investigador Patrick Wardle descubría dos 0-day en la aplicación para macOS que permitirían a un atacante local, ganar acceso de forma persistente en el equipo de la víctima, permitiendo así la instalación de malware o spyware. Ya están corregidos. Todas estas vulnerabilidades ya han sido corregidas también.

PoCs para vulnerabilidad en SMBv3

Se han publicado pruebas de concepto para lograr la elevación local de privilegios privilegios en Windows 10 aprovechando el fallo crítico (CVE-2020-0796 CVSS 10) de ejecución remota de código en el protocolo Microsoft Server Message Block 3.1.1 (SMBv3). Las PoCs publicadas en un primer momento permitían, entre otras cosas, realizar ataques DoS bloqueando el sistema objetivo. En estos últimos días se han publicado nuevas pruebas de concepto que permitían realizar la elevación local de privilegios y que podría llevar a los atacantes al paso previo a la ejecución remota de código en el sistema vulnerable. Para corregir esta vulnerabilidad se recomienda actualizar los servidores y endpoints a la última versión de Windows y, si es posible, bloquear el puerto 445 hasta que se desplieguen las actualizaciones correspondientes.

Más información: https://blog.zecops.com/vulnerabilities/exploiting-smbghost-cve-2020-0796-for-a-local-privilege-escalation-writeup-and-poc/

Incidente de seguridad en Marriott

La cadena hotelera Marriott ha confirmado un incidente de seguridad que afectaría a la aplicación empleada en sus hoteles para facilitar información a los huéspedes. El acceso ilegítimo a la información se habría realizado empleando las credenciales de acceso de dos empleados desde mediados de enero de 2020 hasta finales de febrero, cuando se detectó el incidente y se procedió a deshabilitar las credenciales. La información comprometida incluye detalles de contacto (nombre, dirección, correo y número de teléfono), información de la cuenta de fidelidad (no la contraseña), datos adicionales (empresa, género, día y mes de nacimiento), preferencias, asociaciones y afiliaciones relacionadas. Marriott confirma que no se han visto afectados en esta ocasión datos bancarios, contraseñas de cuentas ni documentos oficiales de identidad. Este no es el primer incidente que confirma la cadena, que ya en noviembre de 2018 se vio obligada a reconocer el compromiso de la información de más de 500 millones de usuarios que habían realizado reservas en hoteles Starwood.

Toda los detalles: https://mysupport.marriott.com/

GoDaddy víctima de un ataque exitoso de spear-phishing

La empresa de registro de dominios más grande del mundo, GoDaddy, fue víctima a principios de semana de una ataque de spear-phishing dirigido contra sus empleados de servicio al cliente que proporcionó al atacante la posibilidad de acceder y modificar los registros DNS de clientes del servicio. Entre sus clientes se encuentran páginas como el broker online «escrow.com» que en la madrugada del lunes y por un periodo de dos horas, perdió el control de su página web al apuntar ésta al servidor web de un tercero. El atacante cambió los registros DNS para que el dominio resolviese a una IP ubicada en Malasia (111[.]90[.]149[.]49), además de obtener certificados gratuitos de Let’s Encrypt para el dominio suplantado. GoDaddy ha indicado que hay otros cinco clientes potencialmente afectados que ya habrían sido informados del incidente. 

Más información: https://krebsonsecurity.com/2020/03/phish-of-godaddy-employee-jeopardized-escrow-com-among-others/

Técnica de Phishing en Office 365 usando CSS

Se ha descubierto una campaña de phishing que utiliza el buzón de voz de Office 365 para enviar correos maliciosos que pretenden exfiltrar datos o infectar con malware. Lo novedoso reside en el formato de los correos enviados, puesto que estos utilizan hojas de estilo de cascada (CSS) para invertir el texto en el código HTML del correo electrónico. Dado que el texto se envía en orden inverso, de derecha a izquierda, esto permite eludir los filtrados de las Secure Email Gateways (SEG), cuya función es diferenciar entre los correos electrónicos legítimos y los mensajes de phishing detectando cadenas de texto. El CSS invierte el texto una vez llega el correo a la bandeja, por lo que el usuario no encuentra ninguna incongruencia en el formato. Esta técnica resulta efectiva de cara a ayudar que los ataques de phishing pasen a través de los SEG tradicionales, que están diseñados para analizar únicamente los elementos HTML en claro sin renderizar el correo electrónico para conocer el contenido final que verá el usuario destinatario.

Más detalles: https://www.bleepingcomputer.com/news/security/office-365-phishing-uses-css-tricks-to-bypass-email-gateways/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Desde nuestro Security Operations Center (SOC), ubicado en 12 sedes alrededor distintas alrededor del mundo, ofrecemos servicios de Prevención, Detección y Repuesta que nos permiten garantizar al seguridad de nuestros clientes, pero esto sólo es posible gracias a la labor que ejercen nuestros más de 400 profesionales.

Esta labor se realiza 24 horas al día y 7 días a la semana, de forma que podamos proporcionar una atención constante y personalizada, para lo cual contamos con diferentes perfiles:

Security Manager

• Interlocución con cliente
• Gestión end-to-end (de principio a fin)
• Gobierno de la seguridad

Oficina Técnica

• Visión cliente
• Administración y soporte
• Monitorización de seguridad

Analista Local

• Clasificación de información
• Contextualización en cliente
• Expertos en tecnología

Coordinador del equipo 24×7

• Cumplimiento de SLA (acuerdo de servicio cliente proveedor)
• Monitorización de KPI
• Generación de Sinergias

Coordinador del Servicio

• Evolución del servicio
• Seguimiento de contratos
• Gestión de activos

Si quieres saber más sobre nuestro SOC y cómo trabajamos en él, no te pierdas este interesante vídeo:

Toda lo que necesitas saber sobre el Security Operations Center aquí: