Apple corrige dos nuevas 0-day activamente explotadas
La compañía Apple ha lanzado nuevos avisos de seguridad en los que aborda dos nuevas vulnerabilidades 0-day activamente explotadas que afectan a sus dispositivos iPhones, Macs e iPads.
- En primer lugar, se encuentra el fallo de seguridad registrado como CVE-2023-28206, el cual es una escritura fuera de los límites de IOSurfaceAccelerator que podría desencadenar en la corrupción de datos, un bloqueo o la ejecución de código.
- En segundo lugar, la vulnerabilidad asignada como CVE-2023-28205 es un uso de WebKit cuyo aprovechamiento podría permitir la corrupción de datos o la ejecución de código arbitrario al reutilizar la memoria liberada mediante la creación de páginas web maliciosas especialmente diseñadas controladas por actores maliciosos.
Desde Apple recomiendan actualizar el software de los dispositivos afectados para corregir las dos vulnerabilidades 0-day en sus versiones iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 y Safari 16.4.1.
Más info →
* * *
Patch Tuesday de Microsoft incluye una 0-day activamente explotada
En su última actualización de seguridad, Microsoft ha corregido un total de 98 vulnerabilidades que afectan a varios de sus productos entre los que se encuentran afectados Microsoft Windows, Office o Edge.
Entre todas ellas destaca una vulnerabilidad 0-day activamente explotada la cual ha sido registrada como CVE-2023-28252, CVSSv3 de 7.8 según fabricante, siendo un fallo de CLFS que podría ser aprovechada de forma local por actores maliciosos con el objetivo de obtener privilegios de SYSTEM.
Por otra parte, cabe mencionar el resto de fallos de seguridad críticos, los cuales han sido registrados como CVE-2023-28311, CVE-2023-21554 y CVE-2023-28231, CVE-2023-28219, CVE-2023-28220, CVE-2023-28250, CVE-2023-28291.
En último lugar, cabe destacar, aunque posean una menor criticidad que el resto, las vulnerabilidades CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 y CVE-2023-28311 que si bien no se están explotando activamente, estas podrían ser explotadas fácilmente al abrir documentos maliciosos remitidos en posibles futuras campañas de phishing.
Más info →
* * *
Quadreams acusada de emplear spyware contra figuras políticas y periodistas
Investigadores de CitizenLab junto al equipo de Threat Intelligence de Microsoft han publicado una investigación acerca de la compañía israelí QuaDreams, a quien acusan de emplear spyware contra periodistas y figuras políticas.
La actividad de la empresa de basaría en la venta y distribución de una plataforma denominada Reign a entidades gubernamentales, a la que Microsoft describe como un conjunto de exploits, malware e infraestructura diseñado para exfiltrar información de dispositivos móviles.
De las técnicas empleadas para su funcionamiento destaca lo que los investigadores sospechan que es un exploit zero-click para dispositivos iOS, al que han denominado ENDOFDAYS, que haría uso de invitaciones invisibles de iCloud.
El análisis habría identificado al menos cinco víctimas, que por ahora continúan siendo anónimas, en Norteamérica, Asia central, el Sudeste Asiático, Europa y Oriente Medio.
Más info →
* * *
Boletín de seguridad de Android de abril
Android ha publicado su boletín de seguridad para el mes de abril donde corrige un total de 68 vulnerabilidades.
De entre las vulnerabilidades destacan dos detectadas en el componente System, las cuales han sido catalogadas como CVE-2023-21085 y CVE-2023-21096, ambas con severidad crítica, y que podrían permitir a un posible atacante la ejecución remota de código (RCE) sin necesidad de privilegios de ejecución adicionales.
Asimismo, también han sido catalogadas como críticas cuatro vulnerabilidades en el componente de código cerrado de Qualcomm: CVE-2022-33231, CVE-2022-33288, CVE-2022-33289 y CVE-2022-33302.
Por último, cabe destacar que también se ha corregido una vulnerabilidad en el controlador del núcleo GPU Arm Mali, CVE-2022-38181 CVSSv3 8.8, suya explotación activa se habría detectado.
Más info →
* * *
Descubierto un error de diseño en Azure que permite tomar el control de cuentas
Una investigación de Orca ha demostrado la existencia de un error de diseño en Microsoft Azure Shared Key que permitiría a un atacante obtener acceso a las cuentas de almacenamiento de Microsoft Storage.
Aunque Orca ha publicado una prueba de concepto en la que demuestra cómo se puede robar tokens de acceso de identidades con privilegios más altos, moverse lateralmente, acceder a activos comerciales críticos y ejecutar código remoto (RCE), el Security Response Center de Microsoft ha considerado el problema como un fallo de diseño y no una vulnerabilidad, por lo que no puede ofrecer una actualización de seguridad y habrá que esperar a un rediseño de Azure.
Mientras tanto, se recomienda eliminar la autorización de clave compartida de Azure y, en su lugar, adoptar la autenticación de Azure Active Directory como estrategia de mitigación.
Más info →
The post Boletín semanal de Ciberseguridad, 8 – 14 de abril appeared first on Think Big.