 (1).jpg)
Boletín de Ciberseguridad, 12 – 16 de junio
Microsoft ha corregido más de 70 vulnerabilidades en su Patch Tuesday de junio
Microsoft ha lanzado el Patch Tuesday de junio, en el que ha abordado una serie de vulnerabilidades críticas, de gravedad alta, media y baja. Tres de las vulnerabilidades críticas, CVE-2023-29363 , CVE-2023-32014 y CVE-2023-32015, con CVSS 9.8, son en el entorno del servidor Windows Pragmatic General Multicast y pueden conducir a la ejecución remota de código, a través del envío de un archivo especialmente diseñado a través de la red.
Por otro lado, el fallo CVE-2023-29357, también con CVSS 9.8, permitiría la escalada de privilegios en Microsoft SharePoint Server. Para la explotación de esta vulnerabilidad no se requiere interacción del usuario y Microsoft aconseja aplicar las actualizaciones y habilitar la función AMSI.
Otra de las vulnerabilidades que permite la ejecución remota de código es la CVE-2023-28310, con CVSS 8.0, en Microsoft Exchange Server. Por otro lado, la CVE-2023-29358, permite la escalada de privilegios en la interfaz de dispositivo gráfico de Windows a SYSTEM; al igual que la CVE-2023-29361.
En cuanto al fallo en Microsoft Exchange, con CVE-2023-32031 y CVSS 8.8, permite a un atacante apuntar a las cuentas del servidor en una ejecución de código arbitraria. Finalmente, el fallo CVE-2023-29371, en el controlador de kernel de Windows Win32k, podría conducir a una escritura fuera de los límites, otorgando privilegios de SYSTEM y el identificado como CVE-2023-29352, no tan grave, hace referencia a una omisión de la función de seguridad en Windows Remote Desktop.
Descubierto un tercer fallo de seguridad en la aplicación MOVEit Transfer
La empresa Progress Software recientemente informó acerca de una tercera vulnerabilidad critica en su aplicación MOVEit Transfer. La nueva vulnerabilidad, aún sin identificador CVE, se trata de una inyección de SQL que puede permitir una escalada de privilegios y acceso no autorizado. Todavía no está disponible un parche que aborde este nuevo error de seguridad crítico; la compañía declaró que actualmente se está probando uno y que se lanzará próximamente.
Asimismo, Progress recomendó enfáticamente a los usuarios modificar las reglas del firewall para denegar el tráfico HTTP y HTTPs a MOVEit Transfer en los puertos 80 y 443 como como medida de protección temporal. Esta revelación se produce una semana después de que se informara sobre otro conjunto de vulnerabilidades de inyección SQL que podrían utilizarse para acceder a la base de datos de la aplicación. Y se suman a CVE-2023-34362, que fue explotada por la banda de ransomware Clop en ataques de robo de datos cuyos actores continúan extorsionando a las empresas afectadas.
Un análisis realizado por Censys reveló que casi el 31% de los más de 1400 hosts expuestos que ejecutan MOVEit pertenecen a la industria de servicios financieros, el 16% a atención médica, el 9% a tecnología de la información y el 8% a sectores gubernamentales y militares.
Campaña AiTM contra empresas del sector financiero
Investigadores de Microsoft Defender han descubierto la existencia de una campaña de compromiso de correo comercial (BEC, por sus siglas en inglés) que usa la técnica AiTM (adversary in the middle) contra grandes empresas del sector financiero.
En el phishing AiTM, los actores de amenazas configuran un servidor proxy entre un usuario objetivo y el sitio web que el usuario desea visitar, que es el sitio de phishing bajo el control de los atacantes. El servidor proxy permite a los atacantes acceder al tráfico y capturar la contraseña del objetivo y la cookie de sesión.
Según Microsoft, el ataque comenzó con el compromiso de la cuenta de correo de una empresa reputada, usando esa dirección email para distribuir el phishing AiTM y robar así las credenciales de sus contactos, que habrían accedido a la URL dada la relación de confianza con el supuesto emisor (suplantado por el atacante) del correo.
Microsoft atribuye esta campaña a un actor de amenazas que ha denominado como Storm-1167 (en la taxonomía de Microsoft el nombre Storm indica que se desconoce el origen del grupo criminal).
DoubleFinger distribuye tanto Remcos RAT como el stealer GreetingGhoul
SecureList ha publicado un informe sobre un nuevo loader llamado DoubleFinger, que destaca por el uso de técnicas de estenografía como forma de ocultar payloads.
Este malware ejecuta una shellcode en el equipo infectado que descarga un archivo en formato PNG desde la plataforma de intercambio de imágenes Imgur.com, pero en realidad no es una imagen: el archivo contiene varios componentes en forma cifrada: por un lado GreetingGhoul, un stealer que tiene como objetivo los monederos de criptomonedas y por el otro, el troyano de acceso remoto Remcos. SecureList afirma haber visto DoubleFinger, que se distribuye a través de phishing por correo electrónico, atacando entidades en Europa, Estados Unidos y América Latina.
Utilizan el potente motor BatCloak para hacer malware totalmente indetectable
Trendmicro ha publicado un análisis sobre el motor de ofuscación de malware BatCloak, su integración modular en el malware moderno, los mecanismos de proliferación y las implicaciones para la interoperabilidad a medida que los actores de amenazas se aprovechan de sus capacidades totalmente indetectables.
Como resultado, los actores de amenazas pueden cargar varias familias de malware y exploits aprovechando archivos por lotes altamente ofuscados sin problemas. Los resultados de las investigaciones mostraron que un asombroso 80% de las muestras recuperadas no fueron detectadas por las soluciones de seguridad.
Este hallazgo subraya la capacidad de BatCloak para eludir los mecanismos de detección tradicionales empleados por los proveedores de seguridad. Además, si se considera el conjunto total de 784 muestras, la tasa media de detección fue inferior a uno, lo que pone de relieve el reto que supone identificar y mitigar las amenazas asociadas a piezas de malware protegidas con BatCloak.
.jpg)
.jpg)
 (1).jpg)