 (1).jpg)
Boletín de Ciberseguridad, 9 - 15 de septiembre
Microsoft parchea múltiples vulnerabilidades incluidas dos 0-day
Microsoft publicó una actualización de seguridad en la que se detallan un total de cincuenta y nueve vulnerabilidades que van a ser parcheadas, incluyendo cinco de severidad crítica y dos 0-day explotadas activamente.
De las dos 0-day, CVE-2023-36802 (CVSS 7.8) afecta a Microsoft Streaming Service y permitiría a un atacante llevar a cabo una elevación de privilegios, mientras que CVE-2023-36761 (CVSS 6.2) afecta a Microsoft Word y puede ser explotada por un atacante para robar hashes NTLM al abrir un documento.
Por otro lado, las vulnerabilidades críticas incluidas en la actualización afectan a .NET y Visual Studio (CVE-2023-36796, CVE-2023-36792, CVE-2023-36793), a Azure Kubernetes Service (CVE-2023-29332) y a Windows Internet Connection Sharing (CVE-2023-38148). Adicionalmente a las cincuenta y nueve vulnerabilidades ya mencionadas, la actualización incluye otros cinco fallos de Microsoft Edge (Chromium) y dos fallos de Electron y Autodesk.
SAP parchea dos vulnerabilidades críticas en el Security Patch Day de septiembre
SAP anunció en su Security Patch Day de septiembre el lanzamiento de trece nuevas notas de seguridad, de las cuales tres son actualizaciones de notas lanzadas previamente.
La vulnerabilidad más severa parcheada en este lanzamiento es CVE-2023-40622 (CVSS 9.9), que permite a los atacantes acceder a información de BusinessObjects permitiendo a su vez, en futuros ataques, comprometer la aplicación de forma completa.
Por otro lado, SAP también indica haber parcheado otra vulnerabilidad crítica, CVE-2023-40309 (CVSS 9.8), que afecta a CommonCryptoLib y es un fallo de verificación de autorización y puede resultar en una escalada de privilegios. Los parches que solucionan CVE-2023-40309 también solucionan otra de las vulnerabilidades mencionadas en este Security Patch Day, en concreto CVE-2023-40308 (CVSS 7.5), un error de corrupción de memoria en CommonCryptoLib.
Por último, la mayoría de las demás notas de seguridad parchean vulnerabilidades de severidad media o baja.
Exploit público para el fallo RCE ThemeBleed en Windows 11
El investigador Gabe Kirkpatrick publicó una PoC para una vulnerabilidad de Windows, descubierta en un bug bounty. El fallo, identificado como CVE-2023-38146, con CVSS 8.8, es una vulnerabilidad que permite la ejecución remota de código, la cual puede explotarse si el usuario abre un archivo .THEME malicioso, creado por el atacante.
El investigador detectó el fallo buscando formatos de archivo extraños de Windows, cuando descubrió que cuando se usa un número de versión 999, la rutina para controlar el archivo .MSSTYLES presenta una discrepancia entre el momento en que se verifica la firma de una DLL y el momento en que se carga la librería. Un atacante, con un .MSSTYLES especialmente diseñado, puede reemplazar una DLL verificada por una maliciosa, pudiendo ejecutar código arbitrario en el sistema víctima.
Con la PoC, Kirkpatrick consiguió abrir la Calculadora de Windows cuando el usuario inicia un archivo de temas. Microsoft ha corregido el fallo en el Patch Tuesday emitido esta semana, eliminando la funcionalidad de la versión 999, si bien la condición persiste.
3AM: nuevo ransomware empleado como alternativa a LockBit
El Threat Hunter Team de Symantec publicó el análisis de una nueva familia de ransomware, 3AM, que ha sido empleada conjuntamente en un mismo ataque con el ransomware LockBit. En concreto, al ser LockBit bloqueado por la red objetivo, los atacantes emplearon 3AM en el incidente, logrando infectar tres equipos.
Este nuevo ransomware, escrito en Rust, intenta detener varios servicios del dispositivo infectado antes de cifrar los archivos, y una vez completado el cifrado intenta eliminar las copias Volume Shadow (VSS). En su nota de rescate, los atacantes afirman que no filtrarán los datos que han obtenido, pero, en caso de no pagar el rescate, venderán dichos datos en la Dark Web.
Symantec destaca que 3AM es una familia de ransomware completamente nueva y que sus autores no han sido asociados a ninguna organización cibercriminal. Al haber sido empleado como alternativa a LockBit, es probable que este nuevo malware se vuelva más popular en el futuro y, por lo tanto, empiece a ser más empleado por otros actores amenaza.
Colombia activa el Puesto de Mando Unificado Ciber (PMU Ciber) por el ataque a IFX Networks
Mauricio Lizcano, ministro del Ministerio de Tecnologías de la Información y Comunicaciones de Colombia, informó a través de su cuenta oficial en Twitter que el gobierno activó el Puesto de Mando Unificado Ciber (PMU Ciber) para tratar de paliar los efectos del ciberataque sufrido por el proveedor de telecomunicaciones IFX Networks.
Además, Lizcano anunció que el total de organizaciones afectadas asciende a 762 sitas no sólo en Colombia sino también en Argentina y Chile.
Imagen de apertura: kjpargeter / Freepik.
.jpg)
.jpg)
.jpg)