22 jun 2024

Tres vulnerabilidades críticas en VMware y ransomware para ESXi

VMware ha emitido un aviso de seguridad que aborda las vulnerabilidades críticas en vCenter Server, incluida la ejecución remota de código y fallas de escalamiento de privilegios locales.

VMware vCenter Server es una plataforma de administración central para VMware vSphere, que permite la administración de máquinas virtuales y hosts ESXi.

El proveedor lanzó correcciones para tres vulnerabilidades, a saber:

  • CVE-2024-37079 (CVSS v3.1: 9,8 "crítico"): una vulnerabilidad de desbordamiento heap en la implementación del protocolo DCERPC de vCenter Server que permite a un actor malicioso con acceso a la red enviar paquetes especialmente diseñados, lo que podría conducir a la ejecución remota de código.
  • CVE-2024-37080 (CVSS v3.1: 9,8 "crítico"): vulnerabilidad de desbordamiento heap en el protocolo DCERPC de vCenter Server. Similar a CVE-2024-37079, permite que un atacante con acceso a la red aproveche el desbordamiento enviando paquetes manipulados, lo que podría resultar en la ejecución remota de código.
  • CVE-2024-37081 (CVSS v3.1: 7,8 "alta"): esta vulnerabilidad surge de una configuración incorrecta de sudo en vCenter Server, lo que permite que un usuario local autenticado aproveche esta falla para elevar sus privilegios a root en vCenter Server Appliance.

Las fallas anteriores afectan las versiones 7.0 y 8.0 de VMware vCenter Server y las versiones 4.x y 5.x de VMware Cloud Foundation.

Las actualizaciones de seguridad estuvieron disponibles en VMware vCenter Server 8.0 U2d, 8.0 U1e y 7.0 U3r. Para Cloud Foundation, los parches se implementaron a través de KB88287.

El proveedor dice que la actualización de vCenter Server no afecta las cargas de trabajo o las máquinas virtuales en ejecución, pero se espera una indisponibilidad temporal en vSphere Client y otras interfaces de administración durante la actualización.

Además, se detectó un problema con los cifrados personalizados en 7.0 U3r (también en U3q). Se recomienda una verificación previa para detectar el problema, mientras que los usuarios también pueden consultar el artículo correspondiente de la base de conocimientos.

El proveedor dijo que no existen soluciones alternativas o mitigaciones viables en el producto para estas vulnerabilidades, por lo que la solución recomendada es aplicar las actualizaciones lo antes posible.

En una página de preguntas frecuentes que VMware publicó para acompañar el boletín de seguridad, la compañía dice que hasta el momento no se ha detectado ninguna explotación activa de las fallas.

Sin embargo, no es raro que las fallas de vCenter sean atacadas por actores de amenazas cuando se revelan, por lo que los administradores deben aplicar las actualizaciones lo antes posible.

La versión Linux del ransomware RansomHub apunta a las máquinas virtuales VMware ESXi

La operación del ransomware RansomHub utiliza un cifrador de Linux diseñado específicamente para cifrar entornos VMware ESXi en ataques corporativos.

RansomHub es una operación de ransomware como servicio (RaaS) lanzada en febrero de 2024, que presenta superposiciones de códigos y asociaciones de miembros con los ransomware ALPHV/BlackCat y Knight ransomware, y que se ha cobrado más de 45 víctimas en 18 países.

La existencia de un cifrador RansomHub para Windows y Linux se ha confirmado desde principios de mayo. Recorded Future ahora informa que el grupo de amenazas también tiene una variante ESXi especializada en su arsenal, que vio por primera vez en abril de 2024.

A diferencia de las versiones de Windows y Linux de RansomHub que están escritas en Go, la versión ESXi es un programa C++ probablemente derivado del ahora desaparecido ransomware Knight.

UNC3886 utilizan rootkits de Linux para ocultarse en las máquinas virtuales VMware ESXi

Un presunto actor de amenazas chino rastreado como UNC3886 utiliza rootkits de código abierto disponibles públicamente llamados 'Reptile' y 'Medusa' para permanecer oculto en las máquinas virtuales VMware ESXi, lo que les permite realizar robo de credenciales, ejecución de comandos y movimiento lateral.

Mandiant ha estado rastreando al actor de amenazas durante mucho tiempo, y anteriormente informó ataques a organizaciones gubernamentales que aprovecharon una vulnerabilidad Zero-Day de Fortinet y dos vulnerabilidades Zero-Day de VMware explotadas durante períodos prolongados.

Un nuevo informe de Mandiant revela el uso por parte de UNC3886 de los rootkits mencionados en máquinas virtuales para persistencia y evasión a largo plazo, así como herramientas de malware personalizadas como 'Mopsled' y 'Riflespine', que aprovecharon GitHub y Google Drive para comando y control.

Los ataques más recientes de UNC3886, según Mandiant, se dirigieron a organizaciones en América del Norte, el Sudeste Asiático y Oceanía, y se identificaron víctimas adicionales en Europa, África y otras partes de Asia. Las industrias objetivo incluían los sectores de gobierno, telecomunicaciones, tecnología, aeroespacial, defensa y energía y servicios públicos.

Fuente: BC

21 jun 2024

Vulnerabilidad crítica de Microsoft Outlook sin hacer clic (CVE-2024-30103)

La vulnerabilidad recientemente identificada, CVE-2024-30103, en Microsoft Outlook plantea una grave amenaza a la ciberseguridad. Aunque todavía no se conocen exploits, es fundamental que las organizaciones actualicen sus instalaciones de Outlook con el parche de Microsoft lo antes posible.

Esta falla de ejecución remota de código (RCE) de "zero-click" se puede explotar simplemente abriendo y obteniendo una vista previa de un correo electrónico que contiene una carga maliciosa en el cuerpo del correo electrónico, sin requerir más interacción por parte del usuario. 

La vulnerabilidad CVE-2024-30103 aprovecha una falla en la forma en que Microsoft Outlook maneja tipos específicos de contenido de correo electrónico. Un atacante puede incrustar código malicioso en el cuerpo de un correo electrónico, que se ejecuta tan pronto como se abre el correo (sin clic). Esto puede provocar acceso no autorizado, filtraciones de datos y un mayor compromiso de la red.

A pesar de que no se han reportado exploits (al momento de escribir este artículo), el impacto potencial de esta vulnerabilidad requiere atención urgente. Supongamos que los ciberdelincuentes ya están trabajando en formas de explotar esta falla, por lo que las medidas preventivas son esenciales.

Fuente: IronScales | Morphisec

20 jun 2024

Microsoft "elimina" el protocolo de autenticación NTLM en favor de Kerberos

Microsoft ha anunciando oficialmente la obsolescencia de la autenticación NTLM en Windows y servidores Windows, afirmando que los desarrolladores deben hacer la transición a Kerberos o autenticación de negociación para evitar problemas en el futuro.

El anuncio se puede ver en esta charla de Steve Syfuhs, Principal Engineer en Microsoft, y también en este post del blog de Microsoft escrito por Matthew Palko, donde ambos hablan de la evolución de la autenticación en Windows y cómo NTLM está quedando relegado por Kerberos. NTLM siempre ha sido uno de los grandes problemas de seguridad que obliga a tomar medidas de fortificación en Windows para evitar riesgos.

New Technology LAN Manager, más conocido como NTLM, es un protocolo de autenticación lanzado por primera vez en 1993 como parte de Windows NT 3.1 y como sucesor del protocolo LAN Manager (LM).

Microsoft dice que los protocolos NTLM, que todavía se utilizan ampliamente en la actualidad, ya no están en desarrollo activo a partir de junio y se eliminarán gradualmente en favor de alternativas más seguras.

Este movimiento no es sorprendente, ya que Microsoft anunció por primera vez su intención de eliminar el antiguo protocolo de autenticación en octubre de 2023, instando a los administradores a pasar a Kerberos y otros sistemas de autenticación contemporáneos, como Negotiate.

Microsoft Negotiate es un proveedor de soporte de seguridad (SSP) que actúa como una capa de aplicación entre la Interfaz del proveedor de soporte de seguridad (SSPI) y los otros SSP. Cuando una aplicación llama a SSPI para iniciar sesión en una red, puede especificar un SSP para procesar la solicitud. Si la aplicación lo especifica, Negotiate analiza la solicitud y elige el mejor SSP para manejar la solicitud según la política de seguridad configurada por el cliente.

Actualmente, el paquete de seguridad Negotiate selecciona entre Kerberos y NTLM. Negotiate selecciona Kerberos a menos que se aplique una de las siguientes condiciones:

  • No puede ser utilizado por ninguno de los sistemas involucrados en la autenticación.
  • La aplicación de llamadas no proporcionó suficiente información para usar Kerberos.

No ha sido hasta ahora, el 11 junio de 2024, que Microsoft, en su lista de funcionalidades "deprecated" para Windows ha anunciado oficialmente la desaparición y "deprecación" del mítico protocolo de autenticación NTLM, que será oficialmente reemplazado por Kerberos siempre que sea posible. Esto significa, que Microsoft dejará de mantener de forma activa este protocolo y priorizará el soporte de otros como Kerberos.

Se ha abusado ampliamente de NTLM en ataques cibernéticos conocidos como ataques de 'NTLM Relay', en los que se toman el control de los controladores de dominio de Windows obligándolos a autenticarse en servidores maliciosos. A pesar de que Microsoft introdujo nuevas medidas para defenderse de esos ataques, como la firma de seguridad de SMB, los ataques a la autenticación NTLM continúan.

Por ejemplo, los hashes de contraseñas aún se pueden obtener y utilizar en ataques de "Pass-the-Hash", obtenerse en ataques de phishing o extraerse directamente de bases de datos de Active Directory robadas o de la memoria de un servidor. Luego, los atacantes pueden descifrar los hashes para obtener la contraseña en texto plano del usuario.

Aparte del cifrado más débil utilizado en NTLM, en comparación con protocolos más modernos como Kerberos, el rendimiento del protocolo es deficiente, requiere más viajes de ida y vuelta en la red y no admite tecnologías de inicio de sesión único (SSO).

Dicho todo esto, NTLM se considera muy obsoleto según los estándares de seguridad y autenticación de 2024, por lo que Microsoft lo está desaprobando.

Proceso de eliminación de NTLM

NTLM seguirá funcionando en la próxima versión de Windows Server y en la próxima versión anual de Windows. Aun así, los usuarios y desarrolladores de aplicaciones deberían hacer la transición a 'Negociar', que intenta autenticarse primero con Kerberos y recurrir a NTLM sólo cuando sea necesario.

Microsoft recomienda que los administradores de sistemas utilicen herramientas de auditoría para comprender cómo se utiliza NTLM dentro de su entorno e identificar todas las instancias que deben considerarse al formular un plan de transición.

Para la mayoría de las aplicaciones, se puede reemplazar NTLM con Negotiate mediante un cambio de una línea en la solicitud 'AcquireCredentialsHandle' a la Interfaz del proveedor de soporte de seguridad (SSPI). Sin embargo, existen excepciones en las que podrían ser necesarios cambios más amplios.

Negotiate tiene un respaldo integrado a NTLM para mitigar los problemas de compatibilidad durante el período de transición. Los administradores que tienen problemas de autenticación pueden consultar la guía de solución de problemas de Kerberos de Microsoft.

Fuente: BC

19 jun 2024

Malware utiliza técnicas de envenenamiento SEO y se hace pasar por un sitio web de empleo

Analistas han identificado un ataque de descarga automática que aprovechaba el malware SolarMarker, donde el ataque estaba dirigido a usuarios que buscaban actividades de formación de equipos en Bing. La Unidad de Respuesta a Amenazas (TRU) de eSentire investigó una infección del malware SolarMarker en abril de 2024, cuando el ataque comenzó con una descarga no autorizada de un usuario que buscaba ideas de formación de equipos en Bing.

Los atacantes engañaron a la víctima para que descargara un documento aparentemente inofensivo redirigiendo al usuario a un sitio web malicioso, haciéndose pasar por la plataforma legítima de búsqueda de empleo Indeed.

Sin embargo, este archivo descargado era en realidad la carga útil de SolarMarker que, tras su ejecución, implementa componentes maliciosos adicionales, StellarInjector y SolarPhantom, para comprometer aún más el sistema.

SolarMarker ha cambiado sus tácticas, ya que anteriormente la puerta trasera estaba incrustada directamente en el código y ahora el malware incrusta la puerta trasera en la sección de recursos de un archivo cifrado con AES.

Una vez ejecutada, la carga inicial muestra un mensaje de error falso y la puerta trasera se conecta a los servidores de comando y control (C2) en un par de  direcciones IP. La configuración de la puerta trasera revela que el sistema de destino es Windows 10 x86 y tiene privilegios limitados. Apunta a los datos de navegación de Firefox y extrae la ruta del perfil del usuario y roba información. Es interesante observar que para esta carga útil inicial, SolarMarker utiliza dos certificados diferentes de DigiCert y GlobalSign. 

Lo que destaca el uso de envenenamiento de SEO, sitios web falsos que se hacen pasar por legítimos y la necesidad de vigilancia del usuario y actualizaciones de seguridad.

Fuente: eSentire

18 jun 2024

Malware muestra errores falsos para que ejecutes scripts maliciosos de PowerShell

Una nueva campaña de distribución de malware utiliza errores falsos de Google Chrome, Word y OneDrive para engañar a los usuarios para que ejecuten "correcciones" maliciosas de PowerShell que instalan malware.

Se observó que la nueva campaña era utilizada por múltiples actores de amenazas, incluidos aquellos detrás de ClearFake, un nuevo grupo de ataques llamado ClickFix, y el actor de amenazas TA571, conocido por operar como distribuidor de spam que envía grandes volúmenes de correo electrónico, lo que genera infecciones de malware y ransomware. .

Los ataques ClearFake anteriores utilizan superposiciones de sitios web que solicitan a los visitantes que instalen una actualización falsa del navegador que instala malware.

Los actores de amenazas también utilizan JavaScript en archivos adjuntos HTML y sitios web comprometidos en los nuevos ataques. Sin embargo, ahora las superposiciones muestran errores falsos de Google Chrome, Microsoft Word y OneDrive.

Estos errores solicitan al visitante que haga clic en un botón para copiar una "corrección" de PowerShell en el portapapeles y luego pegarla y ejecutarla en un cuadro de diálogo Ejecutar.

"Aunque la cadena de ataque requiere una interacción significativa del usuario para tener éxito, la ingeniería social es lo suficientemente inteligente como para presentarle a alguien lo que parece un problema real y una solución simultáneamente, lo que puede incitar al usuario a tomar medidas sin considerar el riesgo", advierte un nuevo informe de ProofPoint.

Las cargas útiles incluyen DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, un secuestrador de portapapeles y Lumma Stealer.

La "reparación" de PowerShell conduce a malware

Los analistas de Proofpoint observaron tres cadenas de ataques que se diferencian principalmente en sus etapas iniciales, y solo la primera no se atribuyó con alta confianza a TA571.

En este primer caso, asociado con los actores de amenazas detrás de ClearFake, los usuarios visitan un sitio web comprometido que carga un script malicioso alojado en la cadena de bloques a través de los contratos Smart Chain de Binance, una técnica conocida como "EtherHiding".

Este script realiza algunas comprobaciones y muestra una advertencia falsa de Google Chrome que indica un problema al mostrar la página web. Luego, el cuadro de diálogo solicita al visitante que instale un "certificado raíz" copiando un script de PowerShell en el Portapapeles de Windows y ejecutándolo en una consola de Windows PowerShell (como Administrador).

Cuando se ejecuta el script de PowerShell, realizará varios pasos para confirmar que el dispositivo es un objetivo válido y luego descargará cargas útiles adicionales, como se describe a continuación.

  • Vacía la caché de DNS.
  • Elimina el contenido del portapapeles.
  • Muestra un mensaje señuelo.
  • Descarga otro script remoto de PowerShell, que realiza comprobaciones anti-VM antes de descargar un ladrón de información.

La segunda cadena de ataque está asociada con la campaña 'ClickFix' y utiliza una inyección en sitios web comprometidos que crea un iframe para superponer otro error falso de Google Chrome. Se indica a los usuarios que abran "Windows PowerShell (Admin)" y peguen el código proporcionado, lo que provoca las mismas infecciones mencionadas anteriormente.

Finalmente, una cadena de infección basada en correo electrónico que utiliza archivos adjuntos HTML que se asemejan a documentos de Microsoft Word solicita a los usuarios que instalen la extensión "Word Online" para ver el documento correctamente.

El mensaje de error ofrece las opciones "Cómo solucionarlo" y "Reparación automática", y "Cómo solucionarlo" copia un comando de PowerShell codificado en Base64 al portapapeles e indica al usuario que lo pegue en PowerShell.

"Auto-fix" utiliza el protocolo search-ms para mostrar un archivo "fix.msi" o "fix.vbs" alojado en WebDAV en un recurso compartido de archivos controlado por un atacante remoto.

En este caso, los comandos de PowerShell descargan y ejecutan un archivo MSI o un script VBS, lo que provoca infecciones por Matanbuchus o DarkGate, respectivamente.

En todos los casos, los actores de amenazas explotan la falta de conciencia de sus objetivos sobre los riesgos de ejecutar comandos de PowerShell en sus sistemas.

También aprovechan la incapacidad de Windows para detectar y bloquear las acciones maliciosas iniciadas por el código pegado.

Las diferentes cadenas de ataque muestran que TA571 está experimentando activamente con múltiples métodos para mejorar la efectividad y encontrar más vías de infección para comprometer una mayor cantidad de sistemas.

Fuente: BC

17 jun 2024

Outlook desactiva la autenticación básica (nombre de usuario y contraseña)

Microsoft ha anunciado nuevas mejoras de ciberseguridad para las cuentas de correo electrónico personales de Outlook como parte de su 'Iniciativa Futuro Seguro', incluida la desactivación de la autenticación básica (nombre de usuario + contraseña) para el 16 de septiembre de 2024.

El gigante también anunció el fin del soporte para las aplicaciones 'Correo' y 'Calendario' en Windows, la desactivación de Outlook Light y la eliminación de la capacidad de los usuarios para acceder a cuentas de Gmail a través de Outlook.com.

Pasar a la autenticación moderna

A partir del 16 de septiembre de 2024, la autenticación básica (nombre de usuario y contraseña) para clientes de Outlook se eliminará de todas las cuentas personales de Outlook, incluidas Outlook.com, Hotmail.com y Live.com.

El método de autenticación básico no es seguro ya que envía credenciales por cable sin cifrado, lo que permite que las herramientas de monitoreo de redes las capturen. Además, los navegadores y otras aplicaciones suelen almacenar en caché las credenciales de autenticación básicas hasta que se reinicia el navegador, lo que permite que otras personas con acceso al dispositivo las utilicen.

"Si bien la autenticación básica fue el estándar durante bastante tiempo, también facilitó a los delincuentes capturar la información de inicio de sesión de una persona", explica Microsoft"Esto aumentó el riesgo de que esas credenciales robadas se reutilicen para obtener acceso al correo electrónico o a los datos personales de una persona. Los ataques cibernéticos basados ​​en correo electrónico solo han aumentado con el tiempo, por lo que exigimos una autenticación moderna para todos los clientes de Outlook para ayudar a proteger mejor sus cuentas personales."

Al cambiar a métodos de autenticación más modernos, las credenciales de autenticación básicas serán reemplazadas por una autenticación basada en tokens respaldada por autenticación multifactor (MFA).

Sin embargo, estos cambios causarán problemas a los usuarios que utilicen aplicaciones más antiguas que solo admiten la autenticación básica, porque ya no podrán acceder a las cuentas de correo electrónico de Outlook.com, Hotmail.com o Live.com después del 16 de septiembre.

En su lugar, los usuarios deberán cambiar a las últimas versiones de Outlook, Outlook para Windows, Apple Mail, Thunderbird u otros clientes de correo electrónico compatibles que admitan métodos de autenticación modernos.

Los usuarios con una suscripción a Microsoft 365 pueden usar la versión de Outlook incluida en su plan, mientras que aquellos que usan Outlook 2021 (compilación 11601.10000 o superior) ya están equipados con la 'Autenticación moderna' y no se verán afectados.

Anuncios de EoL

Microsoft también anunció la desactivación de las aplicaciones Correo y Calendario, alentando a los usuarios existentes a migrar al nuevo Outlook para Windows, que ofrece seguridad mejorada. Mail y Calendar permanecerán en Microsoft Store hasta el 31 de diciembre de 2024 y, después de esa fecha, ya no serán compatibles.

Se agregará una opción de "cambiar a Outlook" a las interfaces de ambas aplicaciones para agilizar el proceso de migración para los usuarios afectados.

Otra obsolescencia es la versión "ligera" de Outlook Web App, cuyo soporte finaliza el 19 de agosto de 2024. Esta versión liviana se proporcionó para usuarios con navegadores web más antiguos y con menos capacidades. Microsoft ahora lo está retirando debido a la experiencia muy degradada y los estándares de seguridad más bajos a los que se adhiere.

Microsoft también anunció que, a partir del 30 de junio de 2024, Outlook.com ya no permitirá a los usuarios acceder a cuentas de Gmail. Sin embargo, los clientes independientes de Outlook para Windows y Mac seguirán ofreciendo esta funcionalidad.

Finalmente, como efecto secundario de la desactivación de Cortana, 'Reproducir mis correos electrónicos' y 'Búsqueda por voz' en Outlook móvil también se eliminarán a finales de este mes.

Fuente: BC

15 jun 2024

Datos de geolocalización de visitantes de la isla de Jeffrey Epstein filtrados por broker de información

Cerca de 200 dispositivos móviles de personas que visitaron la famosa "isla pedófila" de Jeffrey Epstein en los años previos a su muerte dejaron un rastro invisible de datos que apuntaban a sus respectivos hogares y oficinas. Los mapas de estas visitas, elaborados por un polémico broker de información internacional envuelto en conflictos con la industria de defensa, y que fueron descubiertos la semana pasada por WIRED, documentan los numerosos viajes de personas adineradas e influyentes, aparentemente indiferentes a la condición de delincuente sexual convicto de Epstein.

Los datos acumulados por Near Intelligence, un broker de información especializado en localización, envuelto en acusaciones de mala gestión y fraude, revelan con gran precisión las residencias de muchos huéspedes de Little Saint James, una propiedad en las Islas Vírgenes de Estados Unidos en la que Epstein mantuvo cautivas, agredió y traficó con innumerables mujeres y niñas.

Las coordenadas que Near Intelligence recopiló y dejó expuestas en línea señalan ubicaciones con una precisión espacial de centímetros. Se rastreó a visitantes cuando se desplazaban desde el Ritz-Carlton de la isla vecina de St. Thomas, por ejemplo, hasta un muelle concreto del American Yacht Harbor, un puerto deportivo del que Epstein fue copropietario y que alberga una “impresionante variedad” de embarcaciones de recreo y megayates, como describe la página de Igy Marinas en la que se promociona el lugar para su uso en eventos. Los datos revelaron los movimientos de los visitantes mientras eran transportados al muelle de Epstein en Little St. James, exhibiendo las rutas exactas que siguieron hasta la isla.

El rastreo continuó después de su llegada. Desde el interior del enigmático templo frente al mar de Epstein hasta las inmaculadas playas, piscinas y cabañas repartidas por sus 71 acres de propiedades inmobiliarias de primera categoría en el archipiélago, los datos recopilados incluyen los movimientos de decenas de personas que pasaron por Little St. James. Los datos grabados concluyen el 6 de julio de 2019, el día de la detención final de Epstein.

Los mapas de Near Intelligence de la isla de Epstein revelan con todo detalle la vigilancia de precisión que lograrían los brokers de información con la ayuda de las poco estrictas restricciones a la privacidad que impone la legislación de Estados Unidos. La empresa, con sede en Singapur y Bengaluru (India), obtiene sus datos de localización de intercambios publicitarios, empresas que interactúan silenciosamente con miles de millones de dispositivos mientras los usuarios navegan por internet y se desplazan por el mundo.

Contenido completo en WIRED

14 jun 2024

Docenas de vulnerabilidades en terminales biométricas

Kaspersky ha identificado numerosos fallos en el terminal biométrico híbrido producido por el fabricante internacional ZKTeco. Un análisis de un sistema híbrido de acceso biométrico del fabricante chino ha descubierto dos docenas de fallas de seguridad que los atacantes podrían utilizar para anular la autenticación, robar datos biométricos e incluso implementar puertas traseras maliciosas.

"Al agregar datos de usuario aleatorios a la base de datos o usar un código QR falso, un actor dañino puede fácilmente eludir el proceso de verificación y obtener acceso no autorizado", dijo Kaspersky. "Los atacantes también pueden robar y filtrar datos biométricos, manipular dispositivos de forma remota y desplegar puertas traseras".

Las 24 fallas abarcan seis inyecciones de SQL, siete desbordamientos de búfer basados ​​en pilas, cinco inyecciones de comandos, cuatro escrituras de archivos arbitrarios y dos lecturas de archivos arbitrarias.

A continuación se incluye una breve descripción de cada tipo de vulnerabilidad:

  • CVE-2023-3938 (puntuación CVSS: 4,6): una falla de inyección SQL al mostrar un código QR en la cámara del dispositivo al pasar una solicitud especialmente diseñada que contiene una comilla, lo que permite a un atacante autenticarse como cualquier usuario en la base de datos.
  • CVE-2023-3939 (puntuación CVSS: 10.0): un conjunto de fallas de inyección de comandos que permite la ejecución de comandos arbitrarios del sistema operativo con privilegios de root
  • CVE-2023-3940 (puntuación CVSS: 7,5): un conjunto de fallas de lectura de archivos arbitrarias que permite a un atacante eludir los controles de seguridad y acceder a cualquier archivo del sistema, incluidos datos confidenciales del usuario y configuraciones del sistema.
  • CVE-2023-3941 (puntaje CVSS: 10.0): un conjunto de fallas de escritura de archivos arbitrarios que permiten a un atacante escribir cualquier archivo en el sistema con privilegios de root, incluida la alteración de la base de datos de usuarios para agregar usuarios no autorizados.
  • CVE-2023-3942 (puntuación CVSS: 7,5): un conjunto de fallas de inyección SQL que permite a un atacante inyectar código SQL malicioso y realizar operaciones de bases de datos no autorizadas y desviar datos confidenciales.
  • CVE-2023-3943 (puntuación CVSS: 10.0): un conjunto de fallas de desbordamiento de búfer basadas en pila que permite a un atacante ejecutar código arbitrario

"El impacto de las vulnerabilidades descubiertas es alarmantemente diverso", afirmó el investigador de seguridad Georgy Kiguradze. "Para empezar, los atacantes pueden vender datos biométricos robados en la dark web, sometiendo a las personas afectadas a mayores riesgos de ataques de ingeniería social sofisticados y deepfake".

Además, la explotación exitosa de las deficiencias podría permitir a actores maliciosos obtener acceso a zonas que de otro modo estarían restringidas e incluso implantar puertas traseras para infiltrarse en redes críticas para realizar ciberespionaje o ataques disruptivos.

La firma rusa de ciberseguridad, que identificó las fallas luego de realizar ingeniería inversa al firmware (versión ZAM170-NF-1.8.25-7354-Ver1.0.0) y al protocolo propietario utilizado para comunicarse con el dispositivo, dijo que no tiene ninguna visibilidad sobre si estos problemas se han solucionado.

Para mitigar el riesgo de ataques, se recomienda trasladar el uso del lector biométrico a un segmento de red separado, utilizar contraseñas de administrador sólidas, mejorar la configuración de seguridad del dispositivo, minimizar el uso de códigos QR y mantener los sistemas actualizados.

"Los dispositivos biométricos diseñados para mejorar la seguridad física pueden ofrecer funciones convenientes y útiles e introducir nuevos riesgos para su sistema de TI", dijo Kaspersky.

Cuando una tecnología avanzada como la biométrica está encerrada en un dispositivo mal protegido, esto prácticamente anula los beneficios de la autenticación biométrica. Por lo tanto, un terminal insuficientemente configurado se vuelve vulnerable a ataques simples, lo que facilita que un intruso viole la seguridad física del áreas críticas de la organización.

Fuente: THN

13 jun 2024

Actualizaciones de seguridad de junio para todas las empresas

Este martes de parches de junio de 2024, Microsoft incluye actualizaciones de seguridad para 51 fallas, dieciocho fallas de ejecución remota de código y una vulnerabilidad Zero-Day divulgada públicamente.

La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación:

  • 25 Vulnerabilidades de elevación de privilegios
  • 18 vulnerabilidades de ejecución remota de código
  • 3 vulnerabilidades de divulgación de información
  • 5 vulnerabilidades de denegación de servicio
  • El recuento total de 51 fallas no incluye 7 fallas de Microsoft Edge corregidas el 3 de junio.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, puede revisar nuestros artículos dedicados a la nueva Windows 11 KB5039212 update y Windows 10 KB5039211 update.

Un día cero divulgado públicamente

Microsoft clasifica un día cero como una falla divulgada públicamente o explotada activamente sin una solución oficial disponible. La vulnerabilidad de día cero divulgada públicamente es el ataque "Keytrap" previamente divulgado en el protocolo DNS que Microsoft y que se ha solucionado como parte de las actualizaciones de hoy.

CVE-2023-50868 - MITRE: CVE-2023-50868 NSEC3 closest encloser proof can exhaust CPU: se refiere a una vulnerabilidad en la validación de DNSSEC donde un atacante podría explotar los protocolos DNSSEC estándar destinados a la integridad de DNS mediante el uso de recursos excesivos en un solucionador, lo que provoca una denegación de servicio para usuarios legítimos. MITRE creó este CVE en su nombre.

Esta falla se reveló anteriormente en febrero y se corrigió en numerosas implementaciones de DNS, incluidas BIND, PowerDNS, Unbound, Knot Resolver y Dnsmasq.

Otras vulnerabilidades interesantes solucionadas este mes incluyen múltiples fallas de ejecución remota de código de Microsoft Office, incluidos los RCE de Microsoft Outlook que pueden explotarse desde el panel de vista previa.

Microsoft también corrigió siete fallas de elevación de privilegios del kernel de Windows que podrían permitir a un atacante local obtener privilegios de SYSTEM.

También se corrige una vulnerabilidad de ejecución remota de código en Microsoft Message Queuing (MSMQ).

Vulnerabilidades corregidas por otras empresas

Fuente: BC

Vulnerabilidad de divulgación de información en SolarWinds Serv-U

El 5 de junio de 2024, SolarWinds reveló CVE-2024-28995, una vulnerabilidad de Path Traversal de alta gravedad que afecta a su servidor de transferencia de archivos Serv-U, que viene en dos ediciones (Serv-U FTP y Serv-U MFT).

La explotación exitosa de la vulnerabilidad permite a atacantes no autenticados leer archivos confidenciales en el servidor de destino. El equipo de investigación de vulnerabilidades de Rapid7 reprodujo la vulnerabilidad y confirmó que es trivialmente explotable y permite que un atacante externo no autenticado lea cualquier archivo en el disco, incluidos archivos binarios, siempre que conozcan la ruta y el archivo no esté bloqueado (es decir, abierto exclusivamente por algo más).

Según el proveedor, las siguientes versiones de Serv-U se ven afectadas y se ejecutan en Windows o Linux:

  • Servidor FTP Serv-U 15.4
  • Puerta de enlace Serv-U 15.4
  • Servidor Serv-U MFT 15.4

Este problema de divulgación de información se puede utilizar en ataques de destrucción y captura (smash-and-grab) en los que los adversarios obtienen acceso e intentan exfiltrar rápidamente datos de las soluciones de transferencia de archivos con el objetivo de extorsionar a las víctimas. Los productos de transferencia de archivos han sido atacados por una amplia gama de adversarios en los últimos años, incluidos grupos de ransomware.

Las estimaciones de exposición a Internet para SolarWinds Serv-U varían sustancialmente según la consulta utilizada. Por ejemplo, estar expuesto no significa automáticamente vulnerable:

Los clientes de SolarWinds Serv-U deben aplicar la revisión proporcionada por el proveedor de inmediato. No se sabe que CVE-2024-28995 esté explotado en estado salvaje pero se recomienda instalar la revisión proporcionada por el proveedor (Serv-U 15.4.2 HF 2) inmediatamente, sin esperar a que se produzca un ciclo de parche regular.

Fuente: Rapid7