Campaña de ciberataques contra objetivos ucranianos
El equipo de Microsoft Threat Intelligence Center ha estado analizando la sucesión de ciberataques perpetrados contra organizaciones ucranianas que se lleva produciendo desde el pasado 13 de enero y que habría afectado hasta, al menos, 15 instituciones del gobierno como el Ministerio de Asuntos Exteriores o Defensa. Según los investigadores, este número podría verse incrementado próximamente. En cuanto a la campaña en sí, Microsoft advierte que se habría utilizado una nueva familia de malware denominado “WhisperGate”, software malicioso cuyo objetivo es destruir y borrar los datos del dispositivo de la víctima enmascarado en forma de ransomware. “WhisperGate” estaría compuesto por dos ejecutables: “stage1.exe”, encargado de sobrescribir el “Master Boot Record” del disco duro para mostrar una nota de rescate, cuyas características indican que se trata de un falso ransomware que no facilita clave de descifrado, y “stage2.exe” que se ejecuta simultáneamente y descarga un malware que destruye datos mediante la sobreescritura de los archivos con datos estáticos. El periodista Kim Zetter ha indicado que el vector de entrada utilizado por los actores maliciosos habría sido la explotación de la vulnerabilidad CVE-2021-32648 y CVSSv3 9.1 en octobercms. Consecuentemente, según agencias de ciberseguridad ucranianas, los actores explotaron también la vulnerabilidad Log4Shell y se reportaron ataques DDoS en contra de su infraestructura. Asimismo, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha realizado un comunicado en el que advierte a las organizaciones sobre las potenciales amenazas críticas que podrían tener lugar tras los recientes ciberataques dirigidos a entidades públicas y privadas en Ucrania. Desde Microsoft indican que no se ha podido atribuir los ataques a ningún actor amenaza en concreto, por ello han denominado estas acciones como DEV-0586. Cabe destacar que, tal como indican las autoridades ucranianas, debido a la escalada de tensiones entre el gobierno ucraniano y ruso, se considera que esta campaña de ataques tiene como fin sembrar el caos en Ucrania por parte de Rusia.
Más información: https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/
Fallo en Safari podría revelar datos de usuario
Investigadores de seguridad de FingerprintJS han revelado un error grave en la implementación de la API IndexedDB de Safari 15 que podría permitir a cualquier sitio web rastrear la actividad del usuario en Internet, pudiendo incluso revelar su identidad. IndexedDB es una API del navegador diseñada para albergar cantidades significativas de datos del lado de cliente, la cual sigue la política “same-origin”; un mecanismo de seguridad que restringe cómo los documentos o scripts cargados desde un origen pueden interactuar con otros recursos. Los investigadores han descubierto que en Safari 15 en macOS, y en todos los navegadores en iOS y iPadOS 15, la API de IndexedDB estaría violando la política “same-origin”. Esto estaría provocando que, cada vez que un sitio web interactúa con una base de datos, se cree una nueva base de datos (vacía) con el mismo nombre en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador, haciendo que otros sitios web puedan ver esta información. Desde FingerprintJS han creado una prueba de concepto que se puede probar desde un navegador Safari 15 o superior en Mac, iPhone o iPad. Asimismo, FingerprintJS señala que informaron del error a Apple el 28 de noviembre, pero que aún no ha sido resuelto.
Conoce todos los detalles: https://fingerprintjs.com/blog/indexeddb-api-browser-vulnerability-safari-15/
Microsoft publica actualizaciones de emergencia para Windows
Tras haberse detectado una serie de problemas causados por las actualizaciones para Windows emitidas durante el último Boletín de Seguridad de enero, Microsoft lanzó de manera extraordinaria (OOB) nuevas actualizaciones y correcciones de emergencia para algunas versiones de Windows 10 y Windows Server. En concreto, diferentes informes reportados por administradores de sistemas señalan que, tras implementar los últimos parches de Microsoft, se han registrado problemas de conexión en redes VPN L2TP, los controladores de dominio sufren reinicios espontáneos, Hyper-V ya no se inicia en los servidores de Windows y existen problemas de acceso a los volúmenes de Windows Resilient File System (ReFS). La afectación de las correcciones es amplia ya que abarca diferentes versiones de Windows Server 2022, 2012 y 2008 y Windows 7, 10 y 11. Según Microsoft, todas las actualizaciones están disponibles para su descarga en el Catálogo de actualizaciones de Microsoft y algunas de ellas también se pueden instalar directamente a través de Windows Update como actualizaciones opcionales. En caso de no ser posible su implementación, se recomienda eliminar las actualizaciones KB5009624, KB5009557, KB5009555, KB5009566 y KB5009543, si bien se debe tener en cuenta que se estarían eliminando también correcciones válidas para las últimas vulnerabilidades parcheadas por Microsoft.
Toda la info: https://docs.microsoft.com/en-us/windows/release-health/windows-message-center
Fallo de seguridad en Cisco permite a los atacantes conseguir privilegios de root
Cisco ha lanzado la versión 21.25.4 de Cisco Redundancy Configuration (RCM) para el software StarOS, donde corrige varios fallos de seguridad. La vulnerabilidad más destacada es la identificada como CVE-2022-20649 CVSSv3 9.0, un fallo crítico que permite a atacantes no autenticados ejecutar código remoto con privilegios de root en los dispositivos que utilicen software vulnerable. El origen de la vulnerabilidad estaría en que el modo debug ha sido habilitado de manera incorrecta para diferentes servicios específicos. Para su explotación, los atacantes no tienen por qué estar autenticados, pero si deben conseguir acceso a los dispositivos, por lo que en un primer momento deberían realizar un reconocimiento detallado para descubrir cuales son los servicios vulnerables. Por el momento no se tiene constancia de que la vulnerabilidad esté siendo aprovechada. De forma adicional, Cisco ha parcheado también otra vulnerabilidad de criticidad media CVE-2022-20648 CVSSv3 5.3 de divulgación de información.
Más info: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rcm-vuls-7cS3Nuq
Google corrige fallos en Chrome
Google ha publicado un aviso de seguridad donde corrige 26 vulnerabilidades que estarían afectando a su navegador Chrome. De entre los fallos, destaca una vulnerabilidad crítica que ha sido catalogada con el identificador CVE-2022-0289 y fue descubierta el pasado 5 de enero por el investigador Sergei Glazunov. Esta vulnerabilidad reside en el servicio de Google Safe Browsing encargado de alertar a los usuarios de que están accediendo a un sitio web que podría tener algún riesgo asociado. De ser aprovechada, esta vulnerabilidad podría permitir la ejecución remota de código. El resto de vulnerabilidades corregidas han sido clasificadas, en su mayoría, con severidad alta, siendo tan solo 5 de riesgo medio. Desde Google recomiendan actualizar a la versión 97.0.4692.99, donde estos fallos se verían solventados.
Más detalles: https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop_19.html
The post Boletín semanal ciberseguridad 15-21 de enero appeared first on Think Big.