Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 6 - 12 abril
Parcheados dos 0-day en Microsoft
Microsoft ha lanzado dos parches para solucionar dos vulnerabilidades 0-day en su sistema Windows. La primera vulnerabilidad, denominada CVE-2024-26234 y CVSSv3 de 6.7 según fabricante, permite a los atacantes suplantar controladores de proxy. El archivo malicioso estaba firmado con un certificado válido de Microsoft Hardware Publisher e intentaba hacerse pasar por Thales Group.
La segunda vulnerabilidad, conocida como CVE-2024-29988 con CVSSv3 8.8, permite eludir la función de seguridad SmartScreen debido a un fallo en el mecanismo de protección y se ha utilizado activamente en ataques para desplegar malware en sistemas Windows sin ser detectada por las funciones EDR/NDR y la función Mark of the Web (MotW).
Además de otras correcciones en sus productos, ha revelado una importante falla en Azure Kubernetes que permite a actores no autenticados tomar el control total de los clústeres. La vulnerabilidad, conocida como CVE-2024-29990 y con una puntuación CVSSv3 de 9.0 según Microsoft, permite a los atacantes robar credenciales y afecta a recursos más allá del ámbito de seguridad gestionado por Azure Kubernetes Service Confidential Containers (AKSCC).
https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr
Nueva variante de ataques Spectre afecta a procesadores Intel y ARM
Los investigadores de VUSec han descubierto una nueva variante del ataque Spectre v2, a la que han denominado Spectre Branch History Injection (BHI). Spectre v2, también conocido como Branch Target Injection (BTI), es una vulnerabilidad que afecta a procesadores y que permitiría a los actores maliciosos filtrar información sensible mediante el abuso de errores de predicción de bifurcaciones.
Sin embargo, las mitigaciones provistas para Spectre v2 no protegen de esta nueva variante del fallo, ya que el historial de bifurcaciones global puede ser manipulado desde el espacio del usuario para influir en las predicciones de bifurcaciones. Los investigadores destacan que, aunque mediante ataques BHI un atacante no podría inyectar directamente objetivos de las bifurcaciones, sí tendría la capacidad de manipular el historial global. Spectre BHI parece afectar a múltiples modelos de procesadores Intel y Arm, aunque los procesadores AMD no parecen resultar vulnerables.
https://www.vusec.net/projects/bhi-spectre-bhb/
Fortinet corrige vulnerabilidad crítica
Fortinet ha lanzado nuevos parches de seguridad para corregir un total de 12 vulnerabilidades que afectan a varios de sus productos FortiOS, FortiProxy, FortiClientMac y FortiSandbox. De entre los fallos de seguridad identificados, destaca el registrado como CVE-2023-45590, CVSSv3 de 9.6 según fabricante, el cual se describe como un problema de inyección de código cuyo aprovechamiento podría permitir a un atacante remoto no autenticado ejecutar código o comandos arbitrarios convenciendo a un usuario de visitar un sitio web malicioso. Dicha vulnerabilidad afecta a las versiones 7.2.0, 7.0.6 a 7.0.10 y 7.0.3 a 7.0.4 de FortiClientLinux, y Fortinet recomienda a sus usuarios actualizar a las versiones 7.2.1 y 7.0.11 para corregir dicho fallo de seguridad.
Cabe indicar que por el momento, Fortinet no ha señalado si esta vulnerabilidad se ha explotado activamente, aun así la CISA ha publicado una alerta de seguridad señalando dicho fallo de seguridad, entre otros, que afectan a Fortinet.
Regreso de Raspberry Robin: nueva campaña de malware se extiende mediante archivos WSF
Raspberry Robin, un gusano diseñado para el sistema operativo Windows, presenta la capacidad de descargar y ejecutar cargas adicionales, sirviendo como una plataforma para los actores de amenazas en la distribución de archivos maliciosos. Este malware ha sido empleado para la entrega de varias familias, entre las cuales se incluyen SocGholish, Cobalt, Strike, IcedID, BumbleBee y Truebot, además de ser considerado como un precursor del ransomware. En marzo, el equipo de investigación de amenazas de HP detectó un cambio en la estrategia de propagación empleada por los actores maliciosos que utilizan Raspberry Robin.
Ahora el malware se distribuye mediante Archivos de Script de Windows (WSF); el proceso de descarga a través de WSF está altamente ofuscado y emplea múltiples técnicas de análisis que dificultan su detección y ralentizan su análisis. Aunque su método de propagación más conocido involucra unidades USB, los actores de amenazas que utilizan Raspberry Robin están diversificando sus vectores de infección, incluyendo descargas web, con el fin de alcanzar sus objetivos.
https://threatresearch.ext.hp.com/raspberry-robin-now-spreading-through-windows-script-files/
Apple alerta a usuarios sobre intentos de compromiso
La compañía Apple ha publicado una alerta de seguridad en donde avisa sobre el intento de compromiso de dispositivos móviles de la compañía por parte de actores maliciosos a víctimas que se encuentran en un total de 92 países. En concreto, el aviso de seguridad señala que algunos usuarios estarían siendo objetivo por parte de un spyware como consecuencia de su posición, es decir, actores maliciosos estarían apuntando contra objetivos específicos como periodistas o diplomáticos a nivel global. A raíz de estos hechos, el medio digital BleepingComputer solicitó a Apple más detalles sobre el alcance de la última campaña que han detectado, pero señalan que el portavoz de la compañía se negó a dar aclaraciones.
En base a estos hechos, desde Apple han recomendado a sus usuarios una serie de medidas de seguridad como activar el modo de bloqueo, actualizar iPhone a la última versión de software, así como acudir al servicio de ayuda en línea en caso de ser necesario.
https://www.documentcloud.org/documents/24539926-threat-notifications-email-april-10
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
