Esta semana en ciberseguridad – Septiembre semana 2

Vulnerabilidad Zero-Day de Severidad 8.8/10 en MSHTML está afectando a usuarios de Microsoft Office.

Microsoft ha informado de una vulnerabilidad Zero-Day identificada como CVE-2021-40444, cuya explotación permite la ejecución remota de código malicioso en el sistema operativo de las víctimas. Y, lo que es peor, los ciberdelincuentes ya están utilizando la vulnerabilidad para atacar a los usuarios de Microsoft Office. Por lo tanto, Microsoft recomienda que los administradores de red Windows empleen una solución alternativa temporal hasta que la empresa pueda implementar un parche. Diferentes expertos lograron reproducir el ataque en la última versión de Office 2019/Office 365 en equipos con Windows 10 tratándose de un fallo lógico y realmente peligroso.

En esta ocasión, la vulnerabilidad CVE-2021-40444 se ha catalogado como importante con una severidad de 8.8 sobre 10 afectando a Windows Server desde 2008 hasta 2019, y a los sistemas operativos Windows desde la versión 8 a la 10. Los usuarios más vulnerables a este tipo de ataques son los que operan con cuentas con derechos administrativos.

La vulnerabilidad está en MSHTML, el motor de Internet Explorer y, aunque ya son pocos los que utilizan IE (incluso Microsoft recomienda encarecidamente cambiarse a su nuevo navegador, Edge), el viejo navegador sigue siendo parte de los sistemas operativos modernos y algunos otros programas utilizan este motor para gestionar el contenido web. En particular, las aplicaciones de Microsoft como Word y PowerPoint dependen de él.

Cómo explotan los atacantes la CVE-2021-40444
Los ataques aparecen como controles ActiveX maliciosos incrustados en documentos de Microsoft Office. Estos controles permiten la ejecución de código arbitrario; lo más probable es que los documentos lleguen como archivos adjuntos en mensajes de correo electrónico. Como con cualquier documento adjunto, los atacantes tienen que persuadir a las víctimas para que abran el archivo.

En teoría, Microsoft Office gestiona los documentos recibidos por Internet en Vista protegida o mediante Protección de aplicaciones para Office (Application Guard for Office), que pueden evitar un ataque de la CVE-2021-40444. Sin embargo, los usuarios podrían hacer clic en el botón de Habilitar edición sin pensarlo y desarmar los mecanismos de seguridad de Microsoft.

Cómo proteger a tu empresa contra la CVE-2021-40444
Microsoft ha prometido investigar y, si fuera necesario, liberar un parche oficial. Dicho esto, no esperamos que este parche esté listo antes del 14 de septiembre, el próximo martes de Parches. En circunstancias normales, la empresa no anunciaría una vulnerabilidad antes de liberar la solución, pero dado que los ciberdelincuentes ya están explotando la CVE-2021-40444, Microsoft recomienda emplear un método alternativo de inmediato.

Esta alternativa consiste en prohibir la instalación de nuevos controles ActiveX. Esto lo puedes hacer al añadir unas cuantas claves al registro del sistema. Microsoft proporciona información detallada sobre la vulnerabilidad, incluida una sección de alternativas (en la que también puedes aprender cómo deshabilitarla una vez que ya no la necesites). De acuerdo con Microsoft, esta alternativa no debería afectar el desempeño de los controles ActiveX que ya están instalados.

Recomendaciones:

  • Instalar una solución de seguridad a nivel de la puerta de enlace del correo electrónico o mejorar los mecanismos de seguridad estándar de Microsoft Office 365 para proteger el correo corporativo de los ataques.
  • Equipar todos los ordenadores de los empleados con soluciones de seguridad que puedan detectar la explotación de vulnerabilidades.
  • Mantener a los empleados al tanto de las ciberamenazas modernas de manera frecuente y, en particular, recordarles que nunca abran documentos de fuentes no confiables, y que mucho menos activen la edición de documentos a menos que sea absolutamente necesario.

PD: (1) Les dejo un video explicativo en las fuentes y (2) Las recomendaciones de CSIRT

FUENTE: https://www.kaspersky.es/blog/cve-2021-40444-vulnerability-mshtml/25950/
https://www.youtube.com/watch?v=Oz16xte5UeU
https://www.csirt.gob.cl/vulnerabilidades/9vsa21-00488-01/

Lista de IP vulnerables de Fortinet.

Fortinet ha descubierto que un actor malintencionado ha revelado recientemente información y una lista de acceso a 87.000 dispositivos FortiGate SSL-VPN. Estas credenciales se obtuvieron de sistemas que permanecían sin parchear contra FG-IR-18-384 / CVE-2018-13379. Si bien pueden haber sido parcheados desde entonces, si las contraseñas no se restablecieron, siguen siendo vulnerables.

Este listado fue publicados de forma gratuita por ex miembros de la pandilla Babuk quienes quieren comenzar su propio negocio de ransomware, dagnabbit.

Este incidente está relacionado con una antigua vulnerabilidad resuelta en mayo de 2019. En ese momento, Fortinet emitió un aviso de PSIRT y se comunicó directamente con los clientes. Además, Fortinet publicó posteriormente varias publicaciones en blogs corporativos que detallaban este problema, alentando encarecidamente a los clientes a actualizar los dispositivos afectados. Además de avisos, boletines y comunicaciones directas, estos blogs se publicaron en agosto de 2019, julio de 2020, abril de 2021 y nuevamente en junio de 2021.

Fortinet reitera que, si en algún momento su organización estaba ejecutando alguna de las versiones afectadas que se enumeran a continuación, incluso si se han actualizado los dispositivos, también debe realizar el restablecimiento de contraseña de usuario recomendado después de la actualización, según el boletín de atención al cliente y otras advertencias. información. De lo contrario, puede seguir siendo vulnerable después de la actualización si las credenciales de sus usuarios se vieron comprometidas anteriormente.

Recomendaciones
Si estas ejecutando una versión afectada, actualizar a FortiOS 5.4.13, 5.6.14, 6.0.11, o 6.2.8 y superior. Y sigue las siguientes recomendaciones dadas por Fortinet:

  • Desactivar todas las VPN (SSL-VPN o IPSEC) hasta que se hayan realizado los siguientes pasos de corrección.
  • Actualizar inmediatamente los dispositivos afectados a la última versión disponible, como se detalla a continuación.
  • Tratar todas las credenciales como potencialmente comprometidas al realizar un restablecimiento de contraseña en toda la organización.
  • Implementar la autenticación multifactor, que ayudará a mitigar el abuso de cualquier credencial comprometida, tanto ahora como en el futuro.
  • Notificar a los usuarios para exaplicarle el motivo del restablecimiento de la contraseña y supervisar en servicios como HIBP para su dominio. Existe la posibilidad de que, si las contraseñas se han reutilizado para otras cuentas, se puedan utilizar en ataques de relleno de credenciales.

FUENTE: https://blog.segu-info.com.ar/2021/09/lista-de-ip-vulnerables-de-fortinet.html
https://threatpost.com/thousands-of-fortinet-vpn-account-credentials-leaked/169348/
https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials

El riesgo que suponen los keyloggers.

Esta semana CSIRT publicó una interesante guía de que es un Keyloggers y que riesgos supone. En las fuentes les dejo donde bajar esta guía.

Los keyloggers son programas o aparatos que registran todo lo que un usuario teclea en su computador o celular. Programas más avanzados pueden registrar lo que copiamos en el portapapeles, llamadas realizadas, datos del GPS o lo grabado por la cámara y el micrófono. Estos programas luego envían la información a los ciberdelincuentes.

FUENTE: https://www.csirt.gob.cl/media/2021/09/Doc.-Landing-KEYLOGGER-2021-.pdf