Amenaza de ciberseguridad: Explotación activa de la vulnerabilidad de Microsoft | |
Microsoft anunció que se había explotado una falla de seguridad recientemente revelada solo un día después de publicar correcciones para la vulnerabilidad. CVE-2024-21410, una vulnerabilidad de Exchange Server, con una puntuación CVSS de 9,8, permite a los actores de amenazas escalar los privilegios del Exchange Server afectado. | |
CVE-2024-21410 puede permitir que actores de amenazas remotos no autenticados escale privilegios en New Technology LAN Manager (NTLM) y ejecute ataques de retransmisión dirigidos a versiones vulnerables de Microsoft Exchange Server. Los actores de amenazas pueden obligar a un dispositivo de red, como un servidor o un controlador de dominio, a autenticarse contra un relé NTLM bajo su control para hacerse pasar por los dispositivos objetivo y elevar sus privilegios. | |
Si bien los detalles específicos sobre la explotación y la identidad de los actores de amenazas detrás de ella no se han revelado actualmente, vale la pena señalar la asociación histórica con grupos de hackers como APT28. Estos grupos tienen un historial de explotación de vulnerabilidades en Microsoft Outlook, particularmente para organizar ataques de retransmisión NTLM. Recientemente, se han relacionado con ataques de retransmisión NTLM dirigidos a entidades de alto valor desde al menos abril de 2022. Estos ataques se han centrado en organizaciones que abarcan asuntos exteriores, energía, defensa, transporte, trabajo, bienestar social, finanzas, paternidad, etc. | | | |
|
Esta falla presenta una oportunidad para que los atacantes realicen ataques de fuga de credenciales contra clientes NTLM como Outlook. Microsoft advierte que las credenciales filtradas pueden transmitirse a un servidor Exchange. Una explotación exitosa puede llevar al atacante a asumir los privilegios del cliente víctima y ejecutar operaciones en el servidor Exchange.
Barracuda recomienda las siguientes acciones para mitigar el impacto de CVE-2024-21410:
- Implemente la actualización acumulativa 14 (CU14) de Exchange Server 2019, que incluye protección de retransmisión de credenciales NTLM para reducir los riesgos de esta vulnerabilidad.
- Utilice el script de PowerShell ExchangeExtendedProtectionManagement para versiones anteriores a Exchange Server 2019 para activar la protección extendida (EP).
- Revise la documentación EP de Microsoft para identificar y abordar cualquier problema potencial. Realizar evaluaciones exhaustivas del entorno antes de habilitar la EP.
| |
Resumen de ransomware: Abyss Locker | |
El informe Ransomware Roundup tiene como objetivo brindar a los lectores breves conocimientos sobre la evolución del panorama del ransomware y las soluciones de Fortinet que protegen contra esas variantes. | |
|
Aunque la primera muestra de Abyss Locker se envió a un servicio de escaneo de archivos disponible públicamente en julio de 2023, la primera variante del ransomware puede remontarse a más tiempo, ya que el ransomware se basa en el código fuente del ransomware HelloKitty. A principios de enero de 2024 se descubrió una variante de la versión 1 del ransomware Abyss Locker dirigida a sistemas Windows, seguida de la versión 2 para Windows a finales de ese mes. (No pudimos localizar la versión 1 para Linux). Revisamos las variantes de Linux y Windows en el resumen de esta semana.
El actor de amenazas Abyss Locker roba los datos de las víctimas antes de implementar y ejecutar su malware ransomware para cifrar archivos. El ransomware también es capaz de eliminar instantáneas de volumen y copias de seguridad del sistema.
| |
|
La información sobre el vector de infección utilizado por el actor de la amenaza ransomware Abyss Locker no está disponible. Sin embargo, no es probable que difiera significativamente de otros grupos de ransomware.
Las muestras de ransomware Abyss Locker se enviaron a un servicio de escaneo de archivos disponible públicamente desde una variedad de regiones, incluidas Europa, América del Norte, América del Sur y Asia.
| | |
|
Actualmente, el actor de la amenaza de ransomware Abyss Locker no parece tener un sitio TOR que exponga el nombre de la víctima y permita a otros ver los datos robados, aunque BleepingComputer informó anteriormente sobre un sitio de filtración de este tipo a mediados de 2023. Sin embargo, el actor de amenazas ofrece un sitio de negociación de rescate en TOR.
El rescate es bajo para las empresas y alto para los consumidores (282.380 dólares en este caso), lo que dificulta determinar quién está siendo el objetivo.
| |
APT29 renueva sus técnicas para violar entornos de nube | |
Los actores de amenazas rusos APT29 están cambiando sus técnicas y ampliando sus objetivos para acceder a entornos de nube, advirtieron miembros de la alianza de inteligencia Five Eyes. | |
|
APT29 (también conocido como Midnight Blizzard, también conocido como Cozy Bear) es un grupo de ciberespionaje que se cree que forma parte del Servicio de Inteligencia Exterior de Rusia (SVR), conocido por violar varias agencias gubernamentales de EE. UU. después del compromiso de la cadena de suministro del software SolarWinds.
APT29 es conocido por apuntar a gobiernos, grupos de expertos, organizaciones de atención médica y el sector energético, pero ahora ha ampliado sus objetivos para incluir la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares.
| |
|
En lugar de explotar las vulnerabilidades del software para obtener acceso inicial, los actores de amenazas ahora utilizan la fuerza bruta y la pulverización de contraseñas para acceder a cuentas de servicio y cuentas pertenecientes a ex empleados de organizaciones víctimas.
APT29 también ha estado utilizando tokens robados, en lugar de contraseñas, para acceder a las cuentas de las víctimas, y logró eludir la autenticación multifactor (MFA) participando en bombardeos de MFA y aprovechando la consiguiente fatiga de MFA.
| | | |
|
"Una vez que un actor ha pasado por alto estos sistemas para obtener acceso al entorno de la nube, se ha observado que los actores SVR registran su propio dispositivo como un nuevo dispositivo en el inquilino de la nube. Si no se configuran reglas de validación de dispositivos, los actores SVR pueden registrar con éxito su propio dispositivo y obtener acceso a la red", advirtió CISA.
Por último, para ocultar su actividad en la red y el verdadero origen del tráfico de la red, los actores de amenazas utilizaron servidores proxy residenciales.
"Una vez que el SVR obtiene acceso inicial, el actor es capaz de implementar capacidades posteriores al compromiso altamente sofisticadas, como MagicWeb", concluyó la agencia.
| |
Fuente: Centro Nacional de Seguridad Digital | |
Múltiples vulnerabilidades en Adobe Acrobat Reader podrían provocar la ejecución remota de código | |
Cisco Talos reveló más de 30 vulnerabilidades en febrero, incluidas siete en Adobe Acrobat Reader, uno de los software de edición y lectura de PDF más populares disponibles actualmente. | |
|
Los adversarios podrían aprovechar estas vulnerabilidades para desencadenar la reutilización de un objeto previamente liberado, provocando así daños en la memoria y ejecución de código potencialmente arbitrario en la máquina objetivo.
Otras posibles vulnerabilidades de ejecución de código también están presentes en el servidor Weston Embedded µC/HTTP, un componente de servidor web en el sistema operativo interno de Weston Embedded y una biblioteca de código abierto que procesa varios tipos de pruebas médicas potencialmente sensibles.
Para obtener cobertura de Snort que pueda detectar la explotación de estas vulnerabilidades, descargue los conjuntos de reglas más recientes de Snort.org, y nuestros avisos de vulnerabilidad más recientes siempre se publican en el sitio web de Talos Intelligence.
| |
|
Adobe Acrobat Reader contiene múltiples vulnerabilidades que podrían provocar la ejecución remota de código si se explotan correctamente. Acrobat es conocido por ser uno de los lectores de PDF más populares disponibles y permite a los usuarios completar, editar y compartir archivos PDF.
TALOS-2023-1905 (CVE-2024-20735), TALOS-2023-1908 (CVE-2024-20747) y TALOS-2023-1910 (CVE-2024-20749) son vulnerabilidades de lectura fuera de límites que podrían provocar a la corrupción de la memoria y, eventualmente, a la ejecución de código arbitrario. TALOS-2023-1909 (CVE-2024-20748) también puede dar lugar a una lectura fuera de límites, pero en este caso, podría dar lugar a la divulgación de información confidencial sobre los procesos que se ejecutan en el software que podría ayudar a un adversario a la explotación de otras vulnerabilidades o para evitar la detección.
TALOS-2023-1901 (CVE-2024-20731), TALOS-2023-1890 (CVE-2024-20729) y TALOS-2023-1906 (CVE-2024-20730) también pueden dar lugar a la ejecución de código arbitrario, pero en este caso, la vulnerabilidad se debe a un desbordamiento del búfer.
| | | |
|
Existe una vulnerabilidad de uso después de la liberación ( TALOS-2024-1931 /CVE CVE-2024-24793, CVE-2024-24794) en Imaging Data Commons libdicom, que provoca la liberación prematura de la memoria que se utiliza más adelante.
Libdicom es una biblioteca C y un conjunto de herramientas de línea de comandos para leer archivos DICOM WSI, comúnmente utilizados en el campo médico para almacenar y transmitir archivos. Se utiliza comúnmente en consultorios médicos, sistemas de salud y hospitales.
Un adversario podría aprovechar esta vulnerabilidad obligando a la aplicación objetivo a procesar una imagen DICOM maliciosa, lo que podría permitirle posteriormente causar daños en la memoria de la aplicación y posiblemente la ejecución de código arbitrario.
| |
|
Vulnerabilidades de ConnectWise ScreenConnect
(CVE-2024-1708 y CVE-2024-1709)
| |
Se observa que los actores de amenazas, incluidas las bandas de ransomware, explotan fallas críticas recientemente descubiertas en el software de administración y monitoreo remoto llamado ScreenConnect. | |
El 19 de febrero de 2024, ConnectWise publicó un aviso de seguridad para su software de aplicación de escritorio remoto llamado ScreenConnect. Una de las fallas, CVE-2024-1709, es una vulnerabilidad de omisión de autenticación que podría permitir a los atacantes obtener acceso administrativo a una instancia de ScreenConnect. Esa vulnerabilidad tiene una prueba de concepto (PoC) pública disponible y recientemente se agregó al catálogo de explotaciones conocidas de CISA. La segunda falla identificada como CVE-2024-1708 es una vulnerabilidad de recorrido de ruta que puede permitir a un atacante ejecutar código remoto. | |
ConnectWise ha lanzado un parche que cubre ambas vulnerabilidades. | | | |
|
FortiGuard Labs ha publicado firmas de vulnerabilidad de terminales para detectar sistemas vulnerables que se ejecutan en la red.
FortiGuard Labs recomienda a las empresas aplicar la actualización o parche más reciente del proveedor lo antes posible.
| |
Las actualizaciones de VMware Workstation y Fusion solucionan una vulnerabilidad de lectura fuera de límites (CVE-2024-22251) | |
Se informó de forma privada a VMware sobre una vulnerabilidad de lectura fuera de límites en VMware Workstation y Fusion. Hay actualizaciones disponibles para remediar esta vulnerabilidad en los productos VMware afectados. | |
|
VMware Workstation y Fusion contienen una vulnerabilidad de lectura fuera de límites en el CCID USB (dispositivo de interfaz de tarjeta chip). VMware ha evaluado la gravedad de este problema en el rango de gravedad moderada con una puntuación base CVSSv3 máxima de 5,9.
Vectores de ataque conocidos
Un actor malicioso con privilegios administrativos locales en una máquina virtual puede desencadenar una lectura fuera de límites que conduzca a la divulgación de información.
Resolución
Para corregir CVE-2024-22251, actualice a la versión que figura en la columna "Versión fija" de la "Matriz de respuesta" que se encuentra a continuación.
Soluciones alternativas
Ninguno.
| |
|
Acerca de Bafing
Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.
El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
| | | | |
