Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 26 - 31 octubre
CrossBarking: vulnerabilidad en Opera que expone API privadas a atacantes
Investigadores de Guardio Labs descubrieron un fallo de seguridad que permite obtener acceso completo a las API privadas del navegador Opera, exponiendo riesgos graves. Opera otorga acceso a ciertas API privadas a dominios preferidos, lo cual permite a sus desarrolladores mejorar funcionalidades como la seguridad y el rendimiento.
Sin embargo, los investigadores demostraron cómo los atacantes pueden aprovechar estas API para realizar cambios no autorizados, secuestrar cuentas y desactivar extensiones de seguridad. Nombrado CrossBarking, este fallo puede explotarse insertando código malicioso en sitios web con acceso a estas API privadas, empleando vulnerabilidades de cross-site scripting (XSS) o extensiones maliciosas de Chrome, que también funcionan en Opera. En una prueba, modificaron la configuración de DNS del navegador de una víctima, lo que les permitió espiar y manipular su actividad en línea.
Opera abordó el riesgo bloqueando la ejecución de scripts en sitios con acceso a API privadas, sin eliminar dichas API ni su compatibilidad con extensiones de Chrome.
Nueva actualización de Google Chrome
Google ha publicado un aviso de seguridad en donde informa sobre una nueva versión del navegador web Chrome que corrige dos vulnerabilidades de alta criticidad. En concreto, los fallos de seguridad son los registrados como CVE-2024-10487, considerado como crítico y que se produce por una escritura fuera de límites en Dawn, y el fallo CVE-2024-10488, calificado con riesgo alto, que se produce por un uso después de la liberación en WebRTC.
Cabe destacar como es costumbre en Google Chrome no dar más detalles con el objetivo de que la mayoría de los usuarios actualicen el activo afectado. Desde Google, en base a estos hechos, recomiendan a los usuarios actualizar Chrome a la versión 130.0.6723.91/.92 para Windows y Mac y a 130.0.6723.91 para Linux.
Fallo de seguridad de downgrade en Windows permite acceso a Windows Update
El investigador de seguridad de SafeBreach, Alon Leviev, ha publicado un análisis en relación con los fallos de seguridad que podrían permitir hacer un downgrade en Windows haciendo un bypass en el kernel del sistema. En concreto, este investigador desarrolló Windows Downdate, herramienta que permite crear versiones inferiores y exponer un sistema completamente actualizado a fallos ya corregidos a través de componentes obsoletos.
A raíz de estos hechos, identificó las vulnerabilidades CVE-2024-21302, CVSSv3 de 6.7 y CVE-2024-38202, CVSSv3 de 7.3 en BlackHat y DEFCON. Sin embargo, pese haberse corregido esos fallos, Leviev señala que Microsoft aún tiene que abordar el problema de la toma de control de Windows Update, el cual obtener la ejecución del código del núcleo como administrador no se considera una vulnerabilidad al uso, aunque permite implementar rootkits personalizados que pueden neutralizar los controles de seguridad, ocultar procesos y actividad de la red, o mantener el sigilo, entre otros.
Según Microsoft, la compañía estaría desarrollando activamente mitigaciones para protegerse contra este tipo de ataques.
Autoridades policiales desmantelan infraestructura de Redline y Meta en la operación Magnus
La Policía Nacional Holandesa en colaboración con otras autoridades como el FBI, NCIS, el Departamento de Justicia de Estados Unidos, Eurojust, la NCA y fuerzas policiales de Portugal y Bélgica, han desmantelado la infraestructura de los infostealers Redline y Meta. Según fuentes policiales, las autoridades afirman haber obtenido acceso al código fuente, incluidos servidores de licencias, servicios REST-API, paneles, binarios de robo y bots de Telegram de ambos malware.
Cabe indicar que tanto Meta como Redline comparten la misma infraestructura, por lo que se estima que los creadores y operadores que están detrás de ambos proyectos sean los mismos. En último lugar, cabe reseñar que este anuncio sobre la interrupción de la infraestructura fue informado en un sitio web denominado Operación Magnus, el cual tiene un temporizador con una cuenta atrás que promete más noticias, imitando a las acciones de grupos criminales.
Black Basta ataca a través de Microsoft Teams
ReliaQuest ha advertido de que el ransomware Black Basta ha trasladado sus ataques de ingeniería social a Microsoft Teams. Los actores maliciosos primero inundan la bandeja de entrada de un empleado con emails, tras lo cual contactan con los empleados a través de Microsoft Teams como usuarios externos, haciéndose pasar por el servicio de asistencia de IT corporativo para ayudarle con el problema de spam en curso. Las cuentas se crean bajo inquilinos Entra ID que imitan al servicio de asistencia.
Asimismo, se ha observado el envío de códigos QR en los chats, sin que quede clara su finalidad. El fin último del ataque es que el objetivo instale AnyDesk o inicie Quick Assist para que los actores de amenazas obtengan acceso remoto a sus dispositivos para, posteriormente, instalar cargas útiles y en última instancia Cobalt Strike, proporcionando acceso completo al dispositivo comprometido.
ReliaQuest sugiere a las organizaciones que restrinjan la comunicación de usuarios externos en Microsoft Teams, permitiéndola sólo desde dominios de confianza, además de activar el registro, especialmente para el evento ChatCreated, a fin de encontrar chats sospechosos.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
