BootHole: vulnerabilidad en GRUB2
Investigadores de Eclypsium han descubierto una vulnerabilidad de desbordamiento de búfer en el gestor de arranque GRUB2 que podría utilizarse para ejecutar código arbitrario durante el proceso de arranque y a la que han denominado BootHole. Este fallo de seguridad, catalogado como CVE-2020-10713 y que ha recibido una criticidad alta con un CVSS de 8.2, afectaría tanto a sistemas Linux como Windows, y podría permitir a los atacantes instalar gestores de arranque maliciosos para darles un control casi total sobre el dispositivo vulnerable. Eclypsium advierte que mitigar esta amenaza requerirá del lanzamiento de nuevos instaladores y cargadores de arranque para todas las versiones de Linux y Windows. Por su parte, algunas compañías como Microsoft han publicado un aviso de seguridad sobre este problema.
Todos los detalles: https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/
Doki: nuevo malware dirigido a servidores Docker
Investigadores de Intezer han descubierto una nueva puerta trasera para servidores Docker que se ejecutan en Linux a la que han denominado Doki y que además implementa una técnica hasta ahora desconocida. Este malware aprovecha un método no documentado para contactar con su operador al abusar de la cadena de bloques de criptomonedas Dogecoin de una manera particular. De esta forma, Doki logra generar direcciones de dominio del Command & Control de forma dinámica. Doki ha conseguido mantenerse oculto durante más de 6 meses a pesar de que las muestras estuviesen disponibles públicamente en VirusTotal.
Más información: https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/
Emotet evoluciona en el envío de correos
Se ha descubierto que el malware Emotet estaría robando los archivos adjuntos para dotar de autenticidad los correos electrónicos que usa en sus campañas. Se trata de la primera vez en que este software malicioso utiliza esta técnica, dado que no existía antes el módulo de robo de archivos adjuntos en el código del malware, el cual se agregó alrededor del 13 de junio, según afirma Marcus ‘MalwareTech’ Hutchins. Desde su descubrimiento por primera vez en 2014 como un troyano bancario, Emotet ha evolucionado para ser hoy una red de bots maliciosos usada por agentes amenaza para la infección con diferentes familias de malware. Tras 5 meses de inactividad, ha vuelto a la carga con campañas de correo masivas camufladas bajo supuestos informes de pago, facturas o información de envíos, comprometiendo víctimas con el troyano TrickBot o, más recientemente, con el malware QakBot.
Para saber más: https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-your-email-attachments-to-attack-contacts/
Alertas sobre ciberataques y vulnerabilidades industriales
La Agencia de Seguridad Nacional (NSA) de EE.UU ha advertido, junto a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), sobre la posibilidad de inminentes ciberataques contra el sector industrial. Se trata de una tendencia que viene marcada por el ataque TRITON del año 2017 y que podría dar lugar a ataques similares afectando a los Sistemas Instrumentados de Seguridad (SIS), la última línea de defensa de los sistemas OT. Por su parte, el ICS-CERT ha emitido un aviso sobre varias vulnerabilidades en Triconex SIS de Schneider, de las que se destaca el error más crítico, catalogado como CVE-2020-7491 con un CVSS v3 de 10. Este corresponde con fallo de control de acceso inadecuado que permitiría un acceso no autorizado y una posible toma de control por parte de un agente amenaza. Schneider Electric ya corrigió estos problemas en las últimas versiones de sus productos TriStation y Tricon Communications Module (TCM). Sin embargo, el ICS-CERT quiere hacer hincapié en las características de los dispositivos OT, que no suelen ser actualizados ni dotados de unos estándares de seguridad al nivel de los ataques actuales.
Toda la info: https://us-cert.cisa.gov/ncas/alerts/aa20-205a
Se subasta el código fuente del troyano Cerberus
El equipo de desarrollo del troyano Cerberus se ha separado y el código fuente del malware se subastará, según ha publicado dicho equipo en un foro clandestino ruso. Se trata de un troyano con afectación principal a Android, que lleva en circulación desde 2019 y que estaría generando unos 10.000 dólares mensuales en ganancias, según informa uno de los gestores de Cerberus. Tras infectar un dispositivo, el troyano actúa creando superposiciones en los servicios creados por aplicaciones bancarias, robando credenciales y exfiltrando estos datos a los servidores de Command & Control (C2). Incluso se han dado casos que demuestran su capacidad de interceptar mecanismos de autenticación multi-factor (MFA). El anuncio realizado por el agente amenaza indica que esperan generar hasta 100.000 dólares con esta venta, ofreciendo la posibilidad del paquete entero, incluyendo el malware .apk y servidores de C2, al mejor postor.
Más detalles: https://www.zdnet.com/article/cerberus-banking-trojan-team-breaks-up-source-code-goes-to-auction/
Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.
Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.
The post Noticias de Ciberseguridad: Boletín semanal 25-31 de julio appeared first on Think Big.