Esta semana en ciberseguridad – Julio, Semana 1

Microsoft advierte sobre un defecto crítico de “PrintNightmare” que se está explotando <<in-the-Wild>>

Microsoft confirmó oficialmente el jueves que la vulnerabilidad de ejecución remota de código (RCE) “PrintNightmare” que afecta a Windows Print Spooler es diferente del problema que la compañía abordó como parte de su actualización Patch Tuesday lanzada a principios de este mes, al tiempo que advierte que ha detectado intentos de explotación dirigidos a la falla.

La compañía está rastreando la debilidad de la seguridad con el identificador CVE-2021-34527.

“Existe una vulnerabilidad de ejecución remota de código cuando el servicio Windows Print Spooler realiza incorrectamente operaciones de archivos privilegiados”.

“Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos”

dijo Microsoft en su aviso.

“Un ataque debe involucrar a un usuario autenticado que llame a RpcAddPrinterDriverEx ()”.

agregó la firma con sede en Redmond.

El reconocimiento se produce después de que investigadores de la empresa de ciberseguridad Sangfor, con sede en Hong Kong, publicaran un análisis técnico profundo de una falla de Print Spooler RCE en GitHub, junto con un código PoC en pleno funcionamiento, antes de que fuera eliminado apenas unas horas después de que subió.

Fuentehttps://thehackernews.com/2021/07/microsoft-warns-of-critical.html

CISA ofrece una nueva mitigación para PrintNightmare Bug

CERT insta a los administradores a deshabilitar el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no imprimen, mientras que Microsoft intenta aclarar la falla de RCE con una nueva asignación de CVE.

El gobierno de los EE. UU. Ha intervenido para ofrecer una mitigación para una vulnerabilidad crítica de ejecución remota de código (RCE) en el servicio Windows Print Spooler que puede no haber sido completamente parcheado por el esfuerzo inicial de Microsoft para solucionarlo.

Para mitigar el error, denominado PrintNightmare, el Centro de Coordinación CERT (CERT / CC) ha publicado un VulNote para CVE-2021-1675 instando a las administraciones del sistema a deshabilitar el servicio Windows Print Spooler en los controladores de dominio y sistemas que no imprimen, la infraestructura de ciberseguridad. and Security Administration (CISA) dijo en un comunicado el jueves. CERT / CC es parte del Instituto de Ingeniería de Software, un centro de investigación financiado con fondos federales y operado por la Universidad Carnegie Mellon.

Fuentehttps://threatpost.com/cisa-mitigation-printnightmare-bug/167515

TrickBot mejora su módulo troyano bancario

Después de centrarse casi exclusivamente en la entrega de ransomware durante el año pasado, los cambios de código podrían indicar que TrickBot está volviendo al juego del fraude bancario.

El troyano TrickBot está agregando capacidades de hombre en el navegador (MitB) para robar credenciales bancarias en línea que se asemejan a Zeus, el primer troyano bancario, dijeron los investigadores, lo que podría indicar una avalancha inminente de ataques de fraude.

TrickBot es una amenaza modular sofisticada (y común) conocida por robar credenciales y entregar una variedad de ransomware de seguimiento y otro malware. Pero comenzó como un troyano bancario puro, que recolectaba credenciales bancarias en línea al redirigir a los usuarios desprevenidos a sitios web de imitación maliciosos.

Según los investigadores de Kryptos Logic Threat Intelligence, esta funcionalidad se lleva a cabo mediante el módulo de inyección web de TrickBot. Cuando la víctima intenta visitar una URL de destino (como un sitio bancario), el paquete de inyección web TrickBot realiza una inyección web estática o dinámica para lograr su objetivo, como explicaron los investigadores:

“El tipo de inyección estática hace que la víctima sea redirigida a una réplica controlada por el atacante del sitio de destino previsto, donde luego se pueden recolectar las credenciales”.

“El tipo de inyección dinámica reenvía de forma transparente la respuesta del servidor al servidor de comando y control TrickBot (C2), donde la fuente se modifica para contener componentes maliciosos antes de devolverse a la víctima como si procediera del sitio legítimo”.

dijeron, en una publicación del jueves Kryptos Logic Threat Intelligence.

En la versión actualizada del módulo, TrickBot ha agregado soporte para “configuraciones de inyección web al estilo Zeus”, según Kryptos Logic, una forma adicional de inyectar código malicioso de forma dinámica en los destinos de los sitios bancarios objetivo.

Fuentehttps://threatpost.com/trickbot-banking-trojan-module/167521/