Reacharound: posible resurgimiento de la triple amenaza Trickbot-Emotet-Ransomware
El pasado mes de enero tuvo lugar, gracias a una acción internacional coordinada por Europol y Eurojust, la desarticulación de la infraestructura de Emotet, malware extensamente empleado en las primeras fases de la cadena de infección de ransomware. Estos hechos contribuyeron, según investigadores de seguridad, al cierre de múltiples operaciones de ransomware-as-a-service (RaaS) de alto nivel. Sin embargo, desde la semana pasada se viene informando sobre el resurgimiento de esta amenaza por partes de investigadores como GData o AdvIntel, quienes señalaban que operadores del ransomware Conti habrían convencido al antiguo operador de Emotet para la reconstrucción de su infraestructura. Estas acciones se habrían producido mediante una campaña que se habría denominado “Reacharound”, la cual se caracteriza por la infección de dispositivos con TrickBot, el cual incluía un payload de Emotet. Investigadores de AdvIntel estiman que el retorno de esta amenaza supondrá un impacto significativo en las operaciones de ransomware debido a tres razones: la alta sofisticación de las capacidades de Emotet, el fomento del conocido como crime-as-a-service en este ámbito y el regreso de la clásica triple amenaza compuesta por TrickBot-Emotet-Ransomware.
Más detalles aquí: https://securityaffairs.co/wordpress/124807/cyber-crime/trickbot-emotet-conti-triad.html
Publicada PoC para una vulnerabilidad en Microsoft Exchange
El investigador de seguridad @testanull, ha publicado una prueba de concepto (PoC) funcional para la vulnerabilidad identificada como CVE-2021-4231 y CVSS de 8.8, que estaría afectando a Microsoft Exchange, la cual fue corregida por Microsoft en el pasado Boletín de Seguridad de noviembre. La vulnerabilidad estaría afectando a los servicios Exchange Server 2016 y 2019 on-premise, pudiendo permitir a un atacante autenticado ejecutar código arbitrario de manera remota. Desde Microsoft informan que habrían detectado actividad relacionada con el aprovechamiento de esta vulnerabilidad de forma ocasional en ataques dirigidos, por lo que recomiendan su corrección. Cabe destacar que no sería la primera vez que durante el 2021 se aprovechan vulnerabilidades en el servicio de Microsoft Exchange para acometer ataques, pues son conocidos los intentos de explotación de ProxyLogon y ProxyShell. Se recomienda hacer uso del programa de diagnóstico de Exchange para comprobar la posible afectación de estas vulnerabilidades.
Toda la info: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169
Nuevo 0-day en Windows con exploit público
El investigador de seguridad Abdelhamid Naceri ha hecho público un exploit para un nuevo 0-day en Windows que permitiría a un atacante obtener privilegios de administrador y que afecta a todas las versiones de Windows, incluidas Windows 10, Windows 11 y Windows Server 2022. En concreto Naceri ha conseguido eludir el parche que Microsoft incluía en su boletín mensual de noviembre para una vulnerabilidad de elevación de privilegios en Windows Installer (CVE-2021-41379), vulnerabilidad de la que él mismo informaba a Microsoft. A raíz de este nuevo descubrimiento, ha podido identificar un nuevo 0-day para el que el investigador ha decidido publicar ya el exploit (InstallerFileTakeOver) en su cuenta de GitHub. Con la publicación de este exploit, Naceri pretende unirse al sentimiento de descontento ya mostrado por otros investigadores con Microsoft, por el que denuncian sería una degradación continua de los bounties que se reportan a la firma. Se espera que desde Microsoft parcheen el nuevo fallo en su próximo boletín. El investigador recomienda esperar a la corrección oficial dada la complejidad de la vulnerabilidad. Investigadores de seguridad de Cisco Talos habrían detectado ya muestras de malware que estarían tratando de explotar el nuevo 0-day. Han indicado que los intentos de explotación observados son parte de ataques de bajo volumen, por lo que podría tratarse de pruebas para realizar ajustes en los exploits y que pueden entenderse por tanto como un posible paso previo ante campañas a mayor escala.
Descubre más: https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/
Brecha de seguridad en GoDaddy
El registrador de dominios GoDaddy ha hecho público un incidente de seguridad detectado el pasado 17 de noviembre, en el que un tercero no autorizado habría accedido al entorno de hosting Managed WordPress de la compañía mediante una contraseña vulnerada. La investigación, que todavía sigue en curso, determina que el atacante tuvo acceso a información de clientes desde el 6 de septiembre de este año hasta el momento de su detección, que fue bloqueado y expulsado del sistema. Entre la información expuesta se encuentra: dirección de correo electrónico y número de cliente de 1.2 millones de usuarios activos e inactivos de Managed WordPress, la contraseña de administrador de WordPress establecida en el momento de la provisión, nombres de usuarios y contraseñas del sFTP y de la base de datos de los usuarios activos y la clave privada de certificados SSL para ciertos usuarios activos. La compañía está contactando con los clientes afectados por esta brecha de seguridad. Cabe destacar que GoDaddy sufrió una fuga de información en mayo del pasado año.
Todos los detalles: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
Vulnerabilidades en MediaTek permiten espiar dispositivos Android
La compañía de semiconductores MediaTek ha corregido varios fallos de seguridad que podrían haber permitido a los atacantes espiar llamadas telefónicas de dispositivos Android, ejecutar comandos o escalar privilegios. Los SoC (System on a chip) de MediaTek están integrados en alrededor del 37% de los smartphones y dispositivos IoT del mundo, incluyendo dispositivos de marcas como Xiaomi, Realme y Vivo, entre otras. Tres de estas vulnerabilidades (CVE-2021-0661, CVE-2021-0662 y CVE-2021-0663) se deben a una comprobación incorrecta de límites y fueron corregidas en el boletín de seguridad de MediaTek del pasado mes de octubre, todas ellas con CVSS de 6.7. La cuarta vulnerabilidad tiene asignado el identificador CVE-2021-0673 pero todavía no ha sido corregida. La compañía publicará más detalles sobre el fallo, así como su corrección, en el próximo boletín de seguridad que se publicará en diciembre.
Más información: https://research.checkpoint.com/2021/looking-for-vulnerabilities-in-mediatek-audio-dsp/
The post Boletín semanal de ciberseguridad 20-26 noviembre appeared first on Think Big.