Archivo mensual: Marzo 2022

Esta semana en ciberseguridad – Marzo 2022

Vulnerabilidad Crítica de Google Chrome, Edge, etc.

Google Chrome, Edge y Brave acaban de liberar una actualización de seguridad de emergencia para los navegadores basados en Chromium. Se trata de la versión Chromium 99.0.4844.84 que viene a resolver una única vulnerabilidad, pero una extremadamente crítica.

El problema, que afecta a los usuarios de Windows, Linux y macOS, ha sido clasificado como de severidad alta e identificado como CVE-2022-1096. La empresa urge a los usuarios a actualizar cuanto antes pues se ha detectado que ya existe un exploit.

CVE-2022-1096 es la segunda vulnerabilidad de día cero abordada por Google en Chrome desde el comienzo del año, el primero CVE-2022-0609, una vulnerabilidad sin uso posterior en el componente de Animación que se parcheó el 14 de febrero de 2022.

Se trata de una vulnerabilidad “type confusion” en V8, el motor de Javascript gratuito, de código abierto, y WebAssembly de Chrome. Diseñado por Chromium Project para los navegadores web Google Chrome y Chromium.

FUENTE: https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html

Browser-in-the-Browser (BitB) Attack

¿Podemos confiar en los navegadores web para protegernos, incluso si dicen “https”? No, con el nuevo ataque de BitB, que falsifica ventanas emergentes de SSO para eliminar credenciales para Google, Facebook, Microsoft, etc.

Se ha descubierto un kit de phishing que permite a ciberdelincuentes crear ventanas falsas para el navegador Chrome que les permita robar información a modo de phishing.

Al iniciar la sesión en muchos sitios web, es habitual contar con la opción de acceder con Google, Microsoft, Apple, Twitter o incluso Steam. Por ejemplo, el formulario de inicio de sesión de DropBox permite iniciar sesión con una cuenta de Apple o Google.

este ataque crea ventanas falsas del navegador dentro de ventanas reales del navegador (Browser in the Browser) para crear ataques de phishing que parecen muy realistas.

Este ataque crea ventanas falsas del navegador dentro de ventanas del navegador muy reales, al hacer clic en los botones de inicio de sesión único (SSO) en Google o en la aplicación y que pedirá que introduzcas tus credenciales para luego inicies sesión en la cuenta.

FUENTE: https://threatpost.com/browser-in-the-browser-attack-makes-phishing-nearly-invisible/179014/

Zero Trust en nuestros días y como enfrentarlo

A una mamá cualquiera le llega un WhatsApp de una sobrina pidiéndole que le deposite dinero porque tuvo tal accidente y que no quiere contarlo, por eso necesita que sea discreta, en el mismo momento, a un gerente de administración y finanzas que acaba de recibir la aprobación de un gerente general para que pague tal factura, le llega un correo del gerente indicando que en vez de pagar en tal cuenta que debe pagar en otra.

Estas dos situaciones tienen algo en común, ¿porque desconfiar?, la mamá habla regularmente por WhatsApp y sabe que la sobrina no le pediría dinero si realmente no la necesitara, el gerente de administración y finanzas lleva varios correos intercambiados por el tema, si bien ambas situaciones son extrañas no alcanza para desconfiar.

Qué hacer?

Ambas situaciones son casos típicos de estafas informáticas hoy día, si bien las personas críticas se les puede entrenar para “desconfiar” y pedir confirmación personal de las solicitudes, lo cual es siempre recomendable, a nivel masivo y automático se deben tener herramientas para proteger a las personas y a las organizaciones de este tipo de amenazas, se necesita poder desconfiar, de quien se está conectando, desde donde se está conectando y con que se está conectando por que como ya vimos en la confianza está el riesgo.

Decir lo anterior es más fácil decirlo que hacerlo, una ayuda muy útil es usar estándares como NIST CSF o NERC CIP, pero nos basaremos en el estándar CIP el cual nace conceptualmente en temas de ciberseguridad, acá las recomendaciones más básicas:

  1. Inventario y Control de Activos Empresariales: Para poder tener control primero se debe tener visualización de los activos que se conectan a la organización de manera automática y en tiempo real, las soluciones por excelencia para esto son los NAC (control de acceso a la red).
  2. Inventario y Control de Activos de Software: El objetivo del control de software es poder determinar si el aplicativo que se está usando corresponde al usado normalmente, si este software tiene vulnerabilidades conocidas o está al día 
  3. Protección de Datos: Los datos son la parte más importante que se quiere capturar para producir los fraudes, recordar que si quiero embaucar entre más datos tenga, más  creíble será mi discurso, tener visualización de los datos, de quien los accede y si estos están protegidos debe ser una labor principal de los encargados de la seguridad de las organizaciones.
  4. Configuración segura de activos y software empresariales: Existen varios casos de estafas, donde la organización tiene todas las herramientas necesarias, incluso tiene lo que se considera lo mejor del mercado, no obstante así igual sufren de eventos de robos y  estafas, existe una regla que indica que hay un 80/20 (Pareto), donde el 80% del éxito corresponde a una correcta y oportuna configuración de seguridad, el 20% restante a la tecnología.
  5. Administración de cuentas: Al igual que los dispositivos y software, los usuarios y su comportamiento son fundamentales para determinar mediante el comportamiento si son realmente una amenaza, tareas como cambio de claves, doble factor de autenticación, geolocalización, son temas a tener en cuenta por los planificadores de ciberseguridad.

Nota: Normalmente las herramientas de ciberseguridad tienden a abarcar la mayor cantidad de necesidades, hoy día están apareciendo herramientas denominadas CASSM (Cyber Asset Attack Surface Management) que además de los conceptos mencionados, contienen funcionalidades como agregación (reunir varias fuentes de información en un repositorio  común) y en base a esa información enriquecida automatizar respuestas y acciones, recordad que se necesita una respuesta automática y en tiempo real a las amenazas que existe hoy día.

AUTOR: Luis Madariaga – Senior SE Makros

Esta semana en ciberseguridad – Marzo 2022

Nueva multa a Meta (Facebook) por incumplimiento de la GDPR

Meta es el nombre con que Facebook intentó iniciar una nueva etapa dejando atrás una gran cantidad de problemas de reputación que tarde o temprano tendría que rendir cuentas.

La última es la sanción impuesta por parte de la “Data Protection Commission” (DPC), el organismo responsable de protección de datos en Irlanda, y que condena a Meta a pagar una multa de 17 millones de euros, por una serie de doce notificaciones de posibles infracciones, recibidas por dicha entidad en tan solo seis meses, en el período comprendido entre el 7 de junio de 2018 y el 4 de diciembre de 2018.

El problema con Meta en general, y con Facebook en particular, es que durante los últimos años ha demostrado ser una compañía muy, muy poco fiable en lo referido a la custodia y el manejo de los datos.

Por otra parte, Meta dijo en un comunicado: “Esta multa tiene que ver con las prácticas de mantenimiento de registros de 2018 que hemos actualizado desde entonces, no con un fallo en la protección de la información de las personas”, “Nos tomamos en serio nuestras obligaciones bajo el GDPR, y consideraremos cuidadosamente esta decisión mientras nuestros procesos continúan evolucionando”.

Fuente: https://blog.segu-info.com.ar/2022/03/nueva-multa-meta-por-incumplimiento-de.html

Vulnerabilidad en Netfilter (CVE-2022-25636)

Detrás de casi todas las herramientas de firewalls de Linux como iptables; su versiones más nuevas, nftables; firewalld y ufw, está netfilter, el cual controla el acceso hacia y desde la pila de red de Linux. Es una herramienta de seguridad esencial de Linux, por lo que cuando se encuentra un agujero de seguridad en él, es un gran problema.

Nick Gregory, un investigador de Sophos, encontró este agujero mientras revisaba netfilter en busca de posibles problemas de seguridad. Específicamente, es un problema de escritura heap out-of-bounds en el filtro de red del Kernel. Gregory dice que es “explotable para lograr la ejecución del código del kernel (a través de ROP [return-oriented programming]), brindando un escalamiento de privilegios local completo“.

Este problema existe porque netfilter no maneja correctamente su función de descarga de hardware. Un atacante local sin privilegios puede usar esto para provocar una denegación de servicio (DoS) y ejecutar código arbitrario. Lo cual, funciona incluso si el hardware atacado no tiene funcionalidad de descarga.

Esta vulnerabilidad está presente en las versiones del Kernel de Linux 5.4 a 5.6.10. Está identificado como CVE-2022-25636 y con un puntaje de CVSS de 7.8.

Fuente: https://thehackernews.com/2022/03/new-linux-bug-in-netfilter-firewall.html

El desarrollador de npm lanzo un “protestware”

El desarrollador detrás del popular paquete npm “node-ipc” ha lanzado versiones saboteadas de la biblioteca para condenar la invasión rusa de Ucrania: un retoque de la cadena de suministro que preferiría llamar “protestware” en lugar de “malware”.

Independientemente de los mensajes de paz y no guerra, node-ipc ahora se está rastreando como un paquete malicioso: uno con código malicioso que se dirige a usuarios con direcciones IP ubicadas en Rusia o Bielorrusia que sobrescribe sus archivos con un emoji cardíaco.

Comenzó el 8 de marzo, cuando el mantenedor de npm Brandon Nozaki Miller (también conocido como RIAEvangelist) escribió el código fuente y publicó un paquete npm llamado peacenotwar y prueba de un día tanto en npm como en GitHub.

Peacenotwar: tiene una calificación de criticidad no pacífica 9.8

El ataque a la cadena de suministro de peacenotwar, Snyk está rastreando los incidentes de seguridad como CVE-2022-23812 para node-ipc: una vulnerabilidad que, hasta ahora, no ha sido analizada por la Base de datos nacional de vulnerabilidad (NVD) de NIST, pero que Synk califica con un puntaje crítico de 9.8, dado que es fácil de explotar.

Fuente: https://threatpost.com/dev-sabotages-popular-npm-package-protest-russian-invasion/178972/

Esta semana en ciberseguridad – Marzo 2022

Marzo 2022: Parches de Microsoft – 71 CVE

Microsoft aborda 71 CVE en su lanzamiento del martes de parches para marzo de 2022, incluidas tres vulnerabilidades que se divulgaron públicamente como días cero.

  • 3 Vulnerabilidades clasificadas como Críticas
  • 68 Vulnerabilidades clasificada como Importantes
  • 0 Vulnerabilidades clasificadas como Moderadas o Bajas

Las vulnerabilidades de ejecución remota de código (RCE) representaron el 40.8% de las vulnerabilidades parcheadas este mes, seguidas de vulnerabilidades de elevación de privilegios (EoP) al 35.2%.

Las Vulnerabilidades a tener presente:

  • CVE-2022-23277 | Vulnerabilidad de ejecución remota de código del servidor Microsoft Exchange
  • CVE-2022-23285 y CVE-2022-21990 | Vulnerabilidad de ejecución remota de código remoto del cliente de escritorio
  • CVE-2022-24508 | Vulnerabilidad de ejecución remota de código del cliente / servidor SMBv3 de Windows
  • CVE-2022-24459 | Servicio de fax y escaneo de Windows Elevación de la vulnerabilidad de privilegios
  • CVE-2022-24512 | Vulnerabilidad de ejecución remota de código .NET y Visual Studio

FUENTE: https://es-la.tenable.com/blog/microsofts-march-2022-patch-tuesday-addresses-71-cves-cve-2022-23277-cve-2022-24508

Los Ataques de API aumentan un 68%.

La empresa Salt ha publicado un informe que se basa en una combinación de resultados de encuestas y datos empíricos cuyo hallazgo más dramático es el aumento del 681% en el tráfico de ataques de API. La investigación revela que el 95% de los encuestados sufrió un incidente de seguridad de sus API el año pasado, y casi dos tercios de los encuestados retrasaron el lanzamiento de una aplicación como resultado de la seguridad de las API.

El informe muestra una tendencia al alza del uso de este tipo de tecnología por parte de las empresas y a su vez de la falta de preparación desde la perspectiva de seguridad. Las llamadas API maliciosas aumentaron de un promedio mensual por cliente de 2,73 millones en diciembre de 2020 a 21,32 millones en diciembre de 2021. Dado que todos los clientes de Salt tienen WAF y casi todos tienen puertas de enlace, estos ataques están superando esos controles de seguridad. El año 2021 demostró que las API son el vector de ataque dominante a las aplicaciones.

FUENTE: https://blog.segu-info.com.ar/2022/03/los-ataques-de-api-aumentaron-un-68-en.html

Ciberguerra entre Rusia y Ucrania

Una amplia gama de actores de amenazas, incluidos Fancy Bear, Ghostwriter y Mustang Panda, han lanzado campañas de phishing contra Ucrania, Polonia y otras entidades europeas en medio de la invasión rusa de Ucrania.

El Grupo de Análisis de Amenazas de Google (TAG) dijo que eliminó dos dominios de Blogspot que fueron utilizados por el grupo de estado-nación FancyBear (también conocido como APT28), que se atribuye a la inteligencia militar de GRU de Rusia, como página de destino para sus ataques de ingeniería social.

Pero no solo Rusia y Bielorrusia han puesto su mirada en Ucrania y Europa. Incluido en la mezcla hay un actor de amenazas con sede en China conocido como Mustang Panda (también conocido como TA416 o RedDelta) que intenta plantar malware en “entidades europeas específicas con señuelos relacionados con la invasión ucraniana”.

Por separado, CERT-UA a revelado detalles de un ciberataque realizado por el grupo UNC1151 dirigido a organizaciones estatales ucranianas que utilizan un malware llamado MicroBackdoor que se entrega a sistemas comprometidos en forma de archivo de ayuda HTML compilado de Microsoft (“dovidka.chm”).

FUENTE: https://thehackernews.com/2022/03/google-russian-hackers-target.html