Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 4-11 agosto
Patch Tuesday Microsoft agosto corrige dos vulnerabilidades explotadas activamente
Microsoft ha corregido en su Patch Tuesday correspondiente al mes de agosto 74 vulnerabilidades, entre las que se encuentran dos 0-day, las cuales han sido explotados activamente, y 6 fallos críticos. En concreto, los fallos de seguridad que han sido aprovechados previamente a su corrección se han identificado como ADV230003, y se refiere a una falla de seguridad ya conocida como CVE-2023-36884, CVSSv3 de 8.8, cuyo aprovechamiento permite la ejecución remota de código en Office y Windows HTML. Asimismo, destaca el fallo identificado como CVE-2023-38180 que en caso de ser aprovechado puede causar un ataque de DDoS en aplicaciones .NET y Visual Studio. Cabe indicar que Microsoft ha reconocido que estaría disponible una PoC de esta última vulnerabilidad. En último lugar, cabe señalar que en estas actualizaciones no se incluyen las doce vulnerabilidades de Microsoft Edge (Chromium) corregidas a principios de este mes.
Downfall: la nueva vulnerabilidad de los microprocesadores de Intel
Un investigador de Google, Daniel Moghimi, ha descubierto cómo explotar una nueva vulnerabilidad, denominada CVE-2022-40982 o Downfall, que afecta a procesadores de Intel con las arquitecturas Intel Skylake a Ice Lake, y permite el robo de información sensible protegida por software Guard eXtensions (SGX), el cifrado de memoria basado en hardware de Intel. Moghimi desarrolló dos técnicas de ataque Downfall que emplean la instrucción gather: Gather Data Sampling (GDS) y Gather Value Injection (GVI); ambas requieren al atacante estar en el mismo procesador físico que la víctima, aunque un programa local o un malware podrían también explotar la vulnerabilidad. Aunque los detalles del fallo se mantuvieron privados durante un año con el objetivo de encontrar soluciones, no se ha llevado a cabo el rediseño del hardware que eliminaría el riesgo de ataques Downfall, aunque sí se han propuesto soluciones basadas en software por parte del investigador.
Análisis del actor amenaza RedHotel
El equipo de investigadores de Recorded Future ha publicado los resultados de una investigación en la que analizan a un actor amenaza atribuido a China y que recibe el nombre de RedHotel. Según los expertos, a este actor amenaza se le atribuyen ataques contra 17 países entre los años 2021 y 2023, aunque su origen se podría remontar al año 2019. Entre los objetivos de RedHotel abarcan instituciones académicas, aeroespaciales y servicios de comunicación, aunque la mayoría se tratarían de organizaciones gubernamentales. En cuanto a sus objetivos, este actor amenaza destaca por tratar de recopilar inteligencia, así como enfocarse en el espionaje económico. En cuanto a su metodología de acción, destaca por explotar el fallo de seguridad denominado Log4Shell, utilizar herramientas como Cobalt Strike y Brute Ratel C4 (BRc4) y familias de malware como FunnySwitch, ShadowPad, Spyder y Winnti. Asimismo, se centra en el reconocimiento inicial y el acceso a la red a largo plazo a través de servidores de comando y control, los cuales comúnmente se tratan de dominios registrados en NameCheap.
Utilizan PDF infectados para distribuir el actualizado malware STRRAT
Investigadores de seguridad de Cyble Research and Intelligence Labs (CRIL) han identificado que el RAT basado en Java llamado STRRAT, que era capaz de realizar keylogging y robo de credenciales en navegadores y clientes de correo electrónico, ha evolucionado drásticamente y que en la actualidad tiene nuevos métodos de distribución. Ahora, la versión actualizada, incorpora el módulo de ransomware Crimson y despliega multitud de cadenas de infección. El vector de entrada utilizado es mediante un correo electrónico malicioso, que al abrirse el PDF adjunto se incita a la descarga de un archivo ZIP que contiene el JavaScript malicioso. Para mantener la persistencia, el RAT crea una entrada en el programador de tareas con el nombre Skype. Además de esto, la versión 1.6 de STRRAT emplea dos técnicas de ofuscación de cadenas: Zelix KlassMaster (ZKM) y Allatori, que dificultan el análisis y la detección del malware por parte de los investigadores de seguridad.
Statc Stealer: nuevo malware que se hace pasar por anuncios legítimos de Google
El equipo de Zscaler ThreatLabz ha descubierto un nuevo malware sofisticado denominado Statc Stealer, que infecta dispositivos Windows haciéndose pasar inicialmente por un anuncio de Google auténtico. Este nuevo stealer es capaz de exfiltrar información sensible como tarjetas de crédito, credenciales y billeteras de criptomonedas a través de los buscadores más empleados en Windows, incluyendo Chrome, Edge, Firefox y Opera. Además, Statc Stealer está programado en C++, puede hacer uso de técnicas de evasión que evitan ser detectado frustrando los intentos de ingeniería inversa, y hace uso del protocolo HTTPS para enviar los datos robados cifrados a su servidor de comando y control. Zscaler avisa de que la infección con este stealer en organizaciones y empresas puede implicar diversos riesgos, incluyendo pérdidas financieras y daño reputacional.
