Vulnerabilidad en Microsoft Exchange

Las recientes vulnerabilidades de ProxyLogon y ProxyShell en servidores de Microsoft Exchange obsoletos permiten a ciberdelincuentes implementar malware Squirrelwaffle en sistemas vulnerables para secuestrar cadenas de correo electrónico.

Después de una investigación sobre una serie de infecciones se identificó un nuevo cargador de malware llamado SquirrelWaffle. Estos ataques fueron documentados por Trend Micro y se cree que comenzaron en septiembre de 2021 a través de documentos de Microsoft Office infectados. https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html

Por ahora, se conoce que los ciberatacantes envían correos electrónicos maliciosos como respuestas a cadenas de correo electrónico preexistentes, en las que se involucró el uso de una cadena de vulnerabilidades CVE-2021-26855 (ProxyLogon), CVE-2021-34473 y CVE-2021-34523 (ProxyShell). Estas vulnerabilidades están asociadass con algunas fallas en los servidores de Microsoft Exchange y pueden permitir que un hacker eleve privilegios y ejecute código arbitrario de forma remota, tomando el control de máquinas vulnerables.

El uso de estos exploits públicos CVE-2021-26855 (ProxyLogon), CVE-2021-34473 y CVE-2021-34523 (ProxyShell) se documentó en tres de los servidores de Microsoft Exchange que se vieron comprometidos en diferentes ataques utilizando el acceso a secuestrar hilos de correo electrónico legítimos y enviar mensajes de spam como respuestas, aumentando así la probabilidad de que los destinatarios desprevenidos abran los correos electrónicos.

Los investigadores agregan que los ciberdelincuentes detrás de la operación no hicieron movimientos laterales ni instalaron malware adicional para permanecer fuera del radar y evitar activar alertas. La distribución de spam mediante esta técnica para llegar a todos los usuarios del dominio interno reducirá la posibilidad de detectar o detener el ataque, ya que los correos electrónicos no podrán filtrar ni poner en cuarentena ninguno de estos correos electrónicos internos. La cadena de ataque involucra mensajes de correo electrónico que contienen un enlace que, cuando se hace clic, descarga un archivo de Microsoft Excel o Word. Al abrir el documento, se le solicita al destinatario que habilite las macros, lo que lleva a la descarga y ejecución del cargador de malware SquirrelWaffle, que se convierte en un punto de entrada para amenazas en etapa tardía como Cobalt Strike y Qbot.

Documento malicioso de Microsoft Excel usado por SquirrelWaffle

C2USER Recomienda mantener sus servidores Exchange actualizados. Microsoft ha solucionado estas vulnerabilidades de ProxyLogon y ProxyShell, sin embargo no parchear los servidores Exchange invita a los cibercriminales a ingresar a sus sistemas.

Emotet: el “malware más peligroso del mundo”

El regreso del botnet Emotet: el “malware más peligroso del mundo”

El malware Emotet, alguna vez considerado el más extendido del mundo, está de regreso casi 10 meses después de que una operación policial coordinada por Europol y Eurojust desmantelara su infraestructura de comando y control a fines de enero de 2021. Este tipo de malware no ha dejado de evolucionar desde sus inicios, fue catalogado como un troyano bancario, hasta la actualidad, donde su principal función es permitir la descarga y ejecución de otros malware como Trickbot, cifradores de archivos, etc.

Emotet: Características y funcionamiento
Fuente: Incibe-CERT

Europol calificó a Emotet como el “malware más peligroso del mundo” por su capacidad de actuar como un “abrepuertas” para que los cibercriminales obtengan acceso no autorizado, lo que lo convierte en un precursor de ataques de ransomware. Emotet ha permitido que otras familias de malware como Trickbot, QakBot y Ryuk se propaguen a gran escala. El malware TrickBot se está utilizando como vector de ataque para una nueva versión de Emotet para atacar sistemas que ya han sido infectados por la versión anterior. La última variante toma la forma de un archivo DLL, y la primera aparición se detectó el 14 de noviembre.

El aumento de la actividad del malware ha ido acompañado de un crecimiento en las campañas de malspam, con cadenas de infección que utilizan documentos de Word y Excel habilitados para macros adjuntos a los correos electrónicos.

¿Cómo funciona Emotet?

Emotet es un malware de tipo troyano identificado por primera vez en 2014. Es capaz de robar credenciales de acceso, infectar a los dispositivos con otro tipo de malware, enviar spam por correo a la lista de contactos para autorreplicarse, etc. Como modus operandi, los atacantes utilizan correos electrónicos fraudulentos con adjuntos o enlaces a archivos maliciosos que tienen como objetivo la descarga y ejecución de Emotet, intentando así eludir a los antivirus. Por ello se debe tener especial precaución a la hora de ejecutar cualquier tipo de adjunto o enlace proveniente del correo, incluso los provenientes de contactos conocidos, ya que Emotet puede suplantar su identidad.

Tanto las URLs, como los adjuntos, se pueden analizar por medio de herramientas, como Virus Total o URLhaus. También es aconsejable deshabilitar las macros de terceros por defecto, y nunca habilitarla a no ser que se esté seguro de su legitimidad.

Emotet también utiliza vulnerabilidades conocidas, como EternalBlue/DoublePulsar y ataques de fuerza bruta, por lo que siempre se debe contar con los sistemas actualizados a la última versión disponible y utilizar contraseñas robustas.

¿Cómo prevenir el malware Emotet?

Utilizando las herramientas EmoCheck y haveibeenemotet destinadaa a comprobar si este malware está presente en el dispositivo.

También es aconsejable analizar el sistema con otras herramientas antimalware.

C2USER recomienda tener en cuenta:

Emotet puede realizar múltiples acciones maliciosas, por lo que si algún dispositivo de la empresa se ha visto comprometido por este tipo amenaza es aconsejable llevar a cabo las siguientes medidas:

  • Tener precaución al abrir correos que parezcan proceder de una fuente comfiable, ya que pueden contener malware.
  • Utilizar una firma electrónica en el correo para una inequívoca identificación.
  • Analizar todos los dispositivos de la organización, ya que puede que Emotet haya conseguido infectar a más dispositivos.
  • Cambiar las contraseñas tanto de los equipos como de los servicios a los que se podía acceder desde el dispositivo.
  • Actualizar todo el software y sistema operativo a la última versión disponible.

Este tipo de ataque está basado en la ingeniería social, es por esto que es muy importante que el usuario conozca la existencia de la amenaza y su funcionamiento, para poder así reconocerlo a tiempo y evitar caer en el engaño, o para eliminarlo en caso de haberse visto afectado.

COMPRAS EN INTERNET

RECOMENDACIONES DE SEGURIDAD PARA LAS COMPRAS EN INTERNET

La temporada navideña y de cierre de año generan un incremento en el número de transacciones en portales de comercio electrónico. Durante el 2021 y particularmente en los meses de noviembre y diciembre se desarrollaron tres jornadas de día sin IVA, que se valieron de las tiendas en línea como impulsores económicos dado el importante número de usuarios que accedieron a estos portales.

Sin embargo, los defraudadores virtuales y estafadores en internet reconocen las debilidades en algunos procesos de validación y autentificación de usuarios en las plataformas virtuales, los errores y fallos en la configuración segura de los portales, que además abren la oportunidad para instalar programas maliciosos mediante inyección de código en las páginas mal desarrolladas y finalmente los ataques de ingeniería social para sustraer información personal de los usuarios, dando inicio a la cadena múltiples modalidades de ciberataques y defraudaciones virtuales en estas plataformas de comercio electrónico.

Se destacan las siguientes modalidades:

  • Exigencia de pago previo y no entrega del producto adquirido.
  • Pagos de la compra mediante cheques (chequeras robadas o sin fondos).
  • Entrega de productos de baja calidad o de características distintas a las condiciones pactadas en la transacción.
  • Entrega de productos tipo ‘dummie’ o piezas de imitación elaboradas en materiales como jabón o madera para simular forma y peso de un teléfono celular o una tableta, que son enviados en cajas de cajas de apariencia “original”.
  • Robo de datos bancarios en sitios infectados o mal configurados.

Para no caer en este tipo de estafas es muy importante inicialmente considerar el decálogo de seguridad para las transacciones seguras en plataformas de comercio electrónico durante la temporada navideña y de fin de año:

Esta modalidad consiste nuevamente en acceder a sitios de compra y venta a través de enlaces maliciosos en los cuales los anuncios de una promoción son acompañados de hipervínculos o enlaces que direccionan la navegación hacia la página donde se va a realizar la supuesta compra. En ocasiones estos sitios utilizan certificados de seguridad y de transferencia segura de datos bajo protocolos HTTPS y SSL con los que buscan dar una apariencia segura del sitio comprometido. Sin embargo, como ya se ha dicho en este informe es muy importante mantener el estado de alerta y poder revisar los enlaces antes de dar clic sobre ellos.
En caso de tener dudas sobre la oferta anunciada en el sitio web promocionado es necesario buscar otros canales y medios alternativos de comunicación con la empresa suplantada para poder salir de dudas y validar la legalidad de la oferta expuesta en la red.
Recuerde que, aunque la tienda online se encuentre en una red social debe siempre tener una sección específica con información: “Aviso legal”, “Política de Privacidad”, “Quiénes somos”, “Contacto”, etc.
Es muy importante que antes de realizar una compra se verifique los comentarios o se indague respecto al nivel de reputación de la tienda y del vendedor, puesto que en caso de que haya ocurrido alguna novedad en el proceso de compra o entrega del producto a adquirir suele ser común encontrar comentarios negativos o advertencias respecto a las prácticas fraudulentas presentadas, información que ayuda a advertir o prevenir a futuros compradores.

En el mismo sentido un atacante podría vulnerar la seguridad de estas conexiones gratuitas a internet (man in the middle) y apoderarse de datos sensibles como información personal y financiera del usuario que realiza una transacción de compra o de venta de productos en línea. Es necesario entonces que al realizar una transacción electrónica hagamos uso de una conexión segura (por ej: plan de datos)  a través de un dispositivo de confianza (computador, Tablet o teléfono móvil) que haya sido previamente analizado mediante la utilización de un programa de antivirus y la utilización de otros mecanismos seguros de transmisión de información como las conexiones privadas virtuales (VPN) que garantizan que la información que estamos intercambiando con el portal transaccional viaje segura y no pueda ser interceptada por los cibercriminales.
Se recomienda verificar que en el momento de realizar el pago el sitio web o tienda en línea ofrezca alguna plataforma de las ya ampliamente conocidas en Colombia tales como: PayU, Mercado Pago, En línea Pagos, Pagos Inteligentes, ePayco, Interpagos, Pago Digital, Recaudo Express, Dicmax, Shopify, Kushki, Mercado Libre. Estas pasarelas de pago son vigiladas por SUPERSOCIEDADES lo que garantiza que en el caso de alguna contingencia o fraude se pueda acudir hacia las instancias de Gobierno que regulan a estas plataformas. De igual manera, es muy importante implementar mecanismos de seguridad como soluciones de antivirus y escaneo permanente de su dispositivo móvil en aras de garantizar la protección de su información y contraseñas almacenadas.
Es recomendable definir con anterioridad la necesidad del producto a adquirir estableciendo buenas pautas como una búsqueda de las tiendas oficiales donde se puede encontrar este producto, canales autorizados y conocer precios de referencia, información muy útil para el proceso de decisión antes de realizar la compra de manera segura en el portal o tienda de interés Además valide antes el domicilio fiscal de la tienda, qué datos recopilan de los usuarios y con qué fin, las formas de pago que permiten y las  políticas de envío.
Sospeche tiendas con precios muy por debajo del precio de mercado, o si todos los productos se venden al mismo precio, independientemente del modelo. Al final si se tiene alguna duda es mejor buscar otra alternativa.  
En caso de conocer un fraude de este tipo, denuncie y reporte

Ante la ocurrencia de un hecho fraudulento en Internet es importante que el usuario disponga y conozca de los mecanismos de denuncia virtual, es así que la utilización del portal web de la Fiscalía General de la Nación y de la Policía Nacional en particular del aplicativo A DENUNCIAR, permite los usuarios víctimas de fraude en internet reportar a las autoridades estos hechos delictivos y de esta manera dar inicio a las investigaciones para establecer los presuntos responsables, unificar los casos de estafas virtuales en la red e identificar nuevas modalidades o incluso alertar sobre la utilización de sofisticados programas maliciosos para el robo de información personal y financiera.

Las redes sociales de la Policía Nacional, también se han constituido en una importante herramienta de contacto con los ciudadanos.  A través de la página web caivirtual.policia.gov.co y de las redes sociales Twitter y Facebook la cuenta oficial @Caivirtual facilita la interacción de los ciudadanos con las autoridades e implementa estrategias encaminadas hacia la prevención de los delitos y el uso seguro de internet.

Noviembre
ZOOM ELEVEO
VULNERABILIDAD
CVE-2019-19810
Vulnerabilidad en ZOOM Calls de Eleveo
Gravedad 10.0

.

Ver Más

.

ADOBE
VULNERABILIDAD
CVE-2017-3071
Vulnerabilidad crítica en Adobe Flash Player
Gravedad 9.8

.

Ver Más
APACHE ZEPPELIN
VULNERABILIDAD
CVE-2019-10095
Vulnerabilidad crítica en Apache Zeppelin
Gravedad 9.8

.

Ver Más
APACHE WORDPRESS
VULNERABILIDAD
CVE-2021-44223
Vulnerabilidad en Apache Wordpress
Gravedad 9.5

.

Ver Más
CHROME WEB TRANSFER
VULNERABILIDAD
CVE-2021-38002
Vulnerabilidad Chrome Web Transfer
Gravedad 9.6

.

Ver Más
previous arrow
next arrow

Vulnerabilidad Crítica en Adobe Flash Player

CVE-2017-3071

Las versiones 25.0.0.148 y anteriores de Adobe Flash Player tienen un uso explotable después de una vulnerabilidad gratuita al enmascarar objetos de visualización. La explotación exitosa podría conducir a la ejecución de código arbitrario.

Adobe Flash Player es un renderizador del formato de archivo SWF, que se usa comúnmente para proporcionar sitios web interactivos. Un atacante remoto posiblemente podría ejecutar código arbitrario con los privilegios del proceso o eludir las restricciones de seguridad.

Recomendación: Revise los identificadores CVE a los que se hace referencia en CVE-2017-3071 para obtener más detalles.

Vulnerabilidad Crítica en Apache Zeppelin

CVE-2019-10095

La vulnerabilidad de inyección de comando bash en Apache Zeppelin permite a un atacante inyectar comandos del sistema en la configuración del intérprete de Spark. Este problema afecta a Apache Zeppelin Apache Zeppelin versión 0.9.0 y versiones anteriores.

Recomendación: Revise los identificadores CVE a los que se hace referencia en CVE-2019-10095 para obtener más detalles.

Vulnerabilidad en WordPress

CVE-2021-44223

La vulnerabilidad de inyección de comando bash en Apache WordPress anterior a 5.8 carece de soporte para el encabezado del complemento Update URI. Esto hace que sea más fácil para los atacantes remotos ejecutar código arbitrario a través de un ataque de cadena de suministro contra instalaciones de WordPress que usan cualquier complemento para el cual el slug satisface las restricciones de nomenclatura del directorio de complementos de WordPress.org pero aún no está presente en ese directorio.

Recomendación: Revise los identificadores CVE a los que se hace referencia en CVE-2021-44223 para obtener más detalles.

Vulnerabilidad en Google Chrome Web Transfer

CCVE-2021-38002

La vulnerabilidad de inyección de comando bash en Apache WordPress anterior a 5.8 carece de soporte para el encabezado del complemento Update URI. Esto hace que sea más fácil para los El uso después de gratis en Web Transport en Google Chrome antes de 95.0.4638.69 permitía a un atacante remoto realizar potencialmente un escape de la zona de pruebas a través de una página HTML diseñada.

Recomendación: Revise los identificadores CVE a los que se hace referencia en CVE-2021-38002 para obtener más detalles.

Vulnerabilidad en ZOOM Calls de Eleveo

CVE-2019-19810

La vulnerabilidad de inyección de comando bash en Apache WordPress anterior a 5.8 carece de soporte para el encabezado dZoom Call Recording 6.3.1 de Eleveo es vulnerable a los ataques de deserialización de Java dirigidos al servicio RMI incorporado. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad enviando solicitudes RMI diseñadas para ejecutar código arbitrario en el host de destino.

Recomendación: Revise los identificadores CVE a los que se hace referencia en CVE-2019-19810 para obtener más detalles.

Octubre
CHROME
VULNERABILIDAD
CVE-2021-37973
Actualización de seguridad para Google Chrome
Gravedad 9.5

.

Ver Más
APACHE
VULNERABILIDAD
CVE-2021-41773 / CVE-2021-42013
Vulnerabilidad crítica en el servidor HHTP Apache
Gravedad 7.5

.

Ver Más
CONTI
ALERTA
ALERTA (AA21-265A)
CONTI Ransomware
Gravedad 7.0

.

Ver Más
previous arrow
next arrow

Actualización de seguridad para Google Chrome

CCVE-2021-37973 – OCT 08-2021

Google Chrome ha hecho público un aviso de seguridad en el que se aborda una vulnerabilidad explotada activamente. Este error que permite ejecutar código de forma remota en dispositivos que ejecutan versiones de Chrome sin parches, se ha registrado con el CVE-2021-37973 y afecta a varias versiones de Microsoft Edge.
Este fallo existe debido a un error use-after-free al procesar el contenido HTML dentro del componente portals en Google Chrome. Un atacante remoto puede crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite, desencadenar un error de este tipo y ejecutar código arbitrario en el sistema. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable.


Recursos afectados:
Microsoft Edge (Chromium-based) versiones 0.961.52 y anteriores.
Versiones de Google Chrome anteriores a la 94.0.4606.61

Recomendaciones:

  • Proveedores de software proporcionan actualizaciones para muchas vulnerabilidades conocidas, por lo que asegúrese de que estas actualizaciones se aplican a todos los dispositivos.
  • Actualizar a la última versión (94.0.4606.61) para Windows, Mac y Linux para mitigar el riesgo asociado con la
    falla.
  • Aplicar los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Vulnerabilidad crítica en el servidor HTTP Apache

CVE-2021-41773 / CVE-2021-42013 – OCT 10-2021

Apache ha publicado actualizaciones de seguridad para abordar una vulnerabilidad crítica (CVE-2021-41773) que se encuentra en su servidor HTTP. Esta vulnerabilidad permite a los atacantes mapear URLs a archivos fácilmente a través de un ataque de ruta transversal. La explotación exitosa de esta vulnerabilidad puede permitir a los atacantes obtener acceso a archivos arbitrarios en el servidor afectado.


(Última actualización 08-10-21) Apache ha lanzado una nueva actualización de seguridad para abordar las vulnerabilidades de Path Traversal y Remote Code Execution (CVE-2021-41773, CVE-2021-42013) en Apache HTTP Server 2.4.49 y 2.4.50.

Recomendación: Los administradores deben actualizar a la última versión (2.4.51) de inmediato.

Conti Ransomware

Alert (AA21-265A)

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) han observado un aumento del ransomware Conti en más de 400 ataques contra organizaciones estadounidenses e internacionales. En los ataques de ransomware de Conti típicos, los ciberataques malintencionados roban archivos, cifran servidores y estaciones de trabajo, y exigen el pago de un rescate.

Recomendación: Requerir autenticación multifactor (MFA), implementar la segmentación de la red y mantener los sistemas operativos y el software. A hoy

El troyano de GooglePlay con más de 10.000 descargas

PDF+: La aplicación de Google Play con millones de descargas bajo la apariencia de un editor de PDF en realidad descargaba un troyano bancario en los celulares de las víctimas.

Recientemente se localizó una amenaza ‘disfrazada’ de aplicación de edición de PDF (PDF+), que por medio de un procedimiento sencillo descargaba un tipo de malware que otorgaba a los cibercriminales el control del dispositivo de los usuarios.

En el top 200 de aplicaciones en Google Play se encontraba PDF+, que si bien Google ya lo ha retirado, se encontraba
dentro de las primeras posiciones en la categoría de productividad de esta app, siendo descargado en más de 10.000
ocasiones.

Con la aplicación instalada, aparecía una ventana emergente que invitaba al usuario a instalar una actualización de
Flash Player mediante una APK externa. Al realizar esta descarga y conceder los permisos necesarios, el terminal
quedaba completamente infectado. Este troyano bancario pedía distintos accesos para la administración del
dispositivo, como acceso a los archivos, ver las contraseñas almacenadas o accesibilidad para controlar la pantalla del
teléfono.


Con reseñas y una buena puntuación, no parecía haber motivos para desconfiar de la aplicación, que cuenta con
imágenes ilustrativas de aspecto profesional que ofrecería la aplicación (que parecen ser de otra app, llamada PDF
Reader Pro). Subir en el ranking de Google Play es fácil: solo hacen falta falsas reseñas y descargas falsas o
incentivadas


Esta técnica se trata de una nueva forma que usan los ciberdelincuentes para, a través de la tienda oficial de Google,
lanzar algún tipo de aplicación maliciosa que pueda tomar control de los dispositivos, con el objetivo de acceder a las
credenciales para distintas aplicaciones bancarias.

C2USER recomienda no instalar aplicaciones fuera de Google Play. Desconfíe de todos aquellas que pidan instalar
aplicaciones con la extensión APK, que se hace manualmente, pues muy probablemente contenga malware.

PDF+ fue identificada por el sitio Virus Total como un troyano. Por esta razón, si la tiene instalada en su celular, elimínela, verifique sus contraseñas y fortalezca la seguridad de su dispositivo.

Ransomware Sodinokibi/REvil

Europol detiene 5 sospechosos del grupo Ransomware ruso Sodinokibi/REvil

En el marco de una operación internacional Europol informo sobre la captura de cinco sospechosos de pertenecer al
grupo cibercriminal responsable del envio de ataques masivos que comprometieron al menos 7.000 sistemas informaticos durante los dos últimos años. Algunas de las victimas fueron ubicadas en Colombia. Los cibercriminales
exigian mas de 231 millones de dólares en concepto de rescates.


Investigaciones forenses digitales permitieron establecer que mediante el envio de correos maliciosos y campañas de
spam, publicidad maliciosa (navegación web en sitios infectados) y ataques de fuerza bruta (Remote Desktop Protocol) RDP, los atacantes podian aprovechar entre otras vulnerabilidades, la conocida bajo el codigo CVE-2019-2725 que afecta a sistemas Oracle WebLogic Server de Oracle Fusion Middleware (parche disponible desde el 26 de abril de 2019)

Fuente: Europol

Sodinokibi estaba diseñado para poder mantener persistencia en el sistema atacado, ya que incluía código para ello. Cuando esta opción estaba activada en su configuración, se incluía en el registro de Windows alguna clave a tal fin, como pueden ser las que se muestran a continuación:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[codigo]
  • HKCU\SOFTWARE\Microsoftv\Windows\CurrentVersion\Run[codigo]

En donde código se corresponde con un identificador que dependerá de la compilación del ransomware. Fuente INCIBE

C2USER recomienda:

  • Realizar una copia completa de los discos y servidores con la información cifrada y proceder a la descarga de la herramienta de descifrado disponible para REvilSodinokibi Ransom en el sitio especializado en la lucha contra el ransomware No More Ransom https://www.nomoreransom.org/es/decryption-tools.html
  • Evaluar las copias de seguridad disponibles y comenzar el proceso de recuperación. El método más rápido y fácil de hacerlo, es restituir los equipos e información, una vez erradicado el código malicioso, reinstalando tanto sistemas operativos como otro software y restaurando los datos desde la copia de seguridad no afectada más reciente.
  • Realizar una Evaluación del Nivel de Madurez de Ciberseguridad le puede ayudar a identificar los ciber-riesgos de manera temprana y definir un plan de ciberseguridad para remediarlos o mitigarlos según su escala de criticidad.