Boletín semanal ciberseguridad 19-25 de febrero

25 de febrero de 2022

Nuevo fallo de escalada de privilegios en Linux

Investigadores de seguridad de Qualys han descubierto siete fallos en el sistema de empaquetado y despliegue de software Snap de Canonical empleado en sistemas operativos que utilizan el kernel de Linux. La más grave de estas vulnerabilidades, catalogada como CVE-2021-44731 y que habría recibido un CVSSv3 de 7.8, es un error de escalada de privilegios en la función snap-confine, utilizada internamente por la herramienta snapd para construir el entorno de ejecución de las aplicaciones snap. Una explotación exitosa podría permitir a cualquier usuario sin privilegios obtener privilegios de root en el host vulnerable. El fallo fue comunicado a los proveedores y a las distribuciones de código abierto en el momento en que se descubría el pasado mes de octubre, dando lugar a un proceso de divulgación coordinado de parches el 17 de febrero. Los técnicos de Qualys también han desarrollado un exploit para este problema que permite obtener privilegios completos de root en instalaciones predeterminadas de Ubuntu. Las otras seis vulnerabilidades identificadas son: CVE-2021-3995, CVE-2021-3996, CVE-2021-3997, CVE-2021-3998, CVE-2021-3999, CVE-2021-44730.

Todos los detalles: https://blog.qualys.com/vulnerabilities-threat-research/2022/02/17/oh-snap-more-lemmings-local-privilege-escalation-vulnerability-discovered-in-snap-confine-cve-2021-44731

Operadores de ransomware Conti absorben operaciones de TrickBot

El equipo de investigadores de Advanced Intelligence ha publicado un informe en el que se indica que el software malicioso TrickBot ha transferido su administración a los operadores de ransomware Conti. Los expertos de AdvIntel han analizado los antecedentes de TrickBot, observándose una relación históricamente estrecha con este ransomware y su posterior apogeo. Conti se ha basado, entre otros factores, en mantener un código de conducta entre sus operadores, lo que les habría favorecido para prosperar y mantenerse en activo frente a otros grupos de ransomware, desmantelados por diversas operaciones policiales. Los expertos apuntan que TrickBot pasó progresivamente a ser subsidiario de los operadores de Conti, al ser los únicos que lo empleasen en sus operaciones. Asimismo, a finales de 2021, Conti finalmente absorbió a múltiples desarrolladores y operadores de TrickBot. Sin embargo, cabe destacar que debido a que las redes de TrickBot estarían siendo facilmente detectadas, los operadores de Conti han comenzado a sustituirlo por el malware BazarBackDoor, que está bajo su desarrollo y es utilizado para conseguir acceso inicial a las redes de sus víctimas.

Toda la info: https://www.advintel.io/post/the-trickbot-saga-s-finale-has-aired-but-a-spinoff-is-already-in-the-works

Cobalt Strike distribuido en servidores MS-SQL vulnerables

Analistas de ASEC han descubierto una nueva campaña donde servidores vulnerables de Microsoft SQL (MS-SQL) expuestos a internet, estarían siendo atacados por actores maliciosos con el objetivo de distribuir Cobalt Strike en los hosts comprometidos. Los ataques dirigidos a servidores MS-SQL incluyen ataques al entorno donde su vulnerabilidad no ha sido corregida, ataques de fuerza bruta y ataques de diccionario contra servidores mal administrados. En primer lugar, el actor malicioso escanea el puerto 1433 para verificar si hay servidores MS-SQL abiertos al público, para luego llevar a cabo ataques de fuerza bruta o de diccionario contra la cuenta de administrador para intentar iniciar sesión. Diferentes malware como Lemon Duck permiten escanear dicho puerto y se propagan con el fin de moverse lateralmente en la red interna. Los ataques culminan con el descifrado del ejecutable de Cobalt Strike, seguido de su inyección en el proceso legítimo de Microsoft Build Engine (MSBuild), el cual ha sido aprovechado en otras ocasiones por agentes maliciosos para desplegar troyanos de acceso remoto y malware de robo de credenciales. En último lugar, cabe destacar que la versión de Cobalt Strike que se ejecuta en MSBuild.exe viene con configuraciones adicionales para evadir la detección del software de seguridad.

Más: https://asec.ahnlab.com/en/31811/