Noticias de seguridad

Cuatro vulnerabilidades Zero-Day críticas en todas las versiones del software del agente de transferencia de correo (MTA) de EXIM puede permitir a atacantes no autenticados obtener ejecución remota de código (RCE) en servidores expuestos a Internet. Encontrado por un investigador de seguridad anónimo y divulgado a través de la Iniciativa de Día Cero (ZDI) de Trend Micro, la vulnerabilidad más grave  (CVE-2023-42115) se debe a una debilidad de escritura fuera de límites encontrada en el servicio SMTP. Si bien este tipo de problema puede provocar fallas de software o corrupción de datos luego de una explotación exitosa, los atacantes también pueden abusar de él para ejecutar código o comandos en servidores vulnerables. "El fallo específico existe en el servicio smtp, que escucha en el puerto TCP 25 de forma predeterminada", explica un aviso de seguridad de ZDI publicado el miércoles pasado. "El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final del búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio". Si bien ZDI informó las vulnerabilidades al equipo de Exim en junio de 2022 y envió información sobre las fallas en mayo de 2023, pero los desarrolladores no proporcionaron una actualización sobre el progreso de su parche. Como resultado, ZDI publicó un aviso el 27 de septiembre, con detalles sobre el día cero CVE-2023-42115 y un cronograma completo de todos los intercambios con el equipo de Exim. Millones de servidores expuestos a ataques Los servidores MTA como Exim son objetivos altamente vulnerables, principalmente porque a menudo se puede acceder a ellos a través de Internet, lo que sirve como puntos de entrada fáciles para los atacantes a la red del objetivo. La Agencia de Seguridad Nacional (NSA) dijo hace tres años, en mayo de 2020, que el famoso grupo de hacking militar ruso Sandworm ha estado explotando la falla crítica CVE-2019-10149 ("The Return of the WIZard") en Exim desde al menos agosto de 2019. Exim también es el MTA predeterminado en las distribuciones Debian Linux y el software MTA más popular del mundo, según una encuesta de servidores de correo de septiembre de 2023. Según la encuesta, Exim está instalado en más del 56% de un total de 602.000 servidores de correo accesibles en Internet, lo que representa poco más de 342.000 servidores Exim. Según una búsqueda de Shodan, actualmente hay poco más de 3,5 millones de servidores Exim expuestos online, la mayoría de ellos en Estados Unidos, seguidos de Rusia y Alemania. ZDI no proporcionó ninguna indicación de que Exim haya publicado parches para cualquiera de las vulnerabilidades, y en el momento en que esta publicación, el sitio web de Exim no menciona ninguna de las vulnerabilidades o parches. En la lista de correo de OSS-Sec del viernes, un miembro del equipo del proyecto Exim dijo que las correcciones para dos de las vulnerabilidades más graves y una tercera, menos grave, están disponibles en un "repositorio protegido y están listas para ser aplicadas por los mantenedores de la distribución". CVE-2023-42114 - https://www.zerodayinitiative.com/advisories/ZDI-23-1468/ 3001 fixed CVE-2023-42115 - https://www.zerodayinitiative.com/advisories/ZDI-23-1469/ 2999 fixed CVE-2023-42116 - https://www.zerodayinitiative.com/advisories/ZDI-23-1470/ 3000 fixed CVE-2023-42117 - https://www.zerodayinitiative.com/advisories/ZDI-23-1471/ CVE-2023-42118 - https://www.zerodayinitiative.com/advisories/ZDI-23-1472/ CVE-2023-42119 - https://www.zerodayinitiative.com/advisories/ZDI-23-1473/ "Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación destacada es restringir la interacción con la aplicación", advirtió ZDI. Se recomienda a los administradores restringir el acceso remoto desde Internet para frustrar los intentos de explotación entrantes. Fuente: BC

Al igual que un día cero crítico que Google reveló el 11 de septiembre, la nueva vulnerabilidad explotada no afecta solo a Chrome. Mozilla ya ha dicho que su navegador Firefox es vulnerable al mismo error, que se identifica como CVE-2023-5217. Y al igual que CVE-2023-4863 de hace 17 días, este nuevo error en una biblioteca de códigos ampliamente utilizada para procesar archivos multimedia, específicamente aquellos en formato VP8. Las páginas aquí y aquí enumeran cientos de paquetes solo para Ubuntu y Debian que dependen de la biblioteca conocida como libvpx. La mayoría de los navegadores lo utilizan, y la lista de software o proveedores que lo admiten parece un quién es quién en Internet, incluidos Skype, Adobe, VLC y Android. Mozilla también lanzó el jueves el parche correspondiente. No está claro cuántos paquetes de software que dependen de libvpx serán vulnerables a CVE-2023-5217. La divulgación de Google dice que este día cero se aplica a la codificación de vídeo. Por el contrario, el exploit en libwebp, la biblioteca de códigos vulnerable a los ataques de principios de mes, funcionaba para codificar y decodificar. En otras palabras, CVE-2023-5217 requiere un dispositivo específico para crear medios en formato VP8. Em cambio CVE-2023-4863 podría explotarse cuando un dispositivo simplemente muestra una imagen con un código determinado. "El hecho de que un paquete dependa de libvpx NO significa necesariamente que sea vulnerable", escribió Will Dorman, analista principal senior de Analygence, en una entrevista en línea. "La vulnerabilidad está en codificación VP8, por lo que si algo usa libvpx solo para decodificar, no tienen nada de qué preocuparse". Incluso con esa importante distinción, es probable que haya muchos más paquetes además de Chrome y Firefox que requerirán parches. "Los navegadores Firefox, Chrome (y los basados en Chromium), además de otras cosas que exponen las capacidades de codificación VP8 desde libvpx a JavaScript (es decir, navegadores web), parecen estar en riesgo", dijo. Actualmente hay pocos detalles disponibles sobre los ataques disponibles que aprovecharon este último día cero. La publicación de Google sólo decía que el código que explota la falla "existe en la naturaleza". Una publicación en las redes sociales de Maddie Stone, investigadora de seguridad del Grupo de Análisis de Amenazas de Google, dijo que "el Zero-Day estaba sindo utilizado por un proveedor de vigilancia comercial". Google le dio crédito a Clement Lecigne del TAG de Google por descubrir la vulnerabilidad el lunes, sólo dos días antes del parche que lanzó el miércoles. El día cero está parcheado en Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus para Android 118.1 y Firefox para Android 118.1. Hay otras similitudes entre los dos días cero. Ambos surgen de desbordamientos de búfer que permiten la ejecución remota de código con poca o ninguna interacción por parte del usuario final, excepto visitar una página web maliciosa. Ambos afectan a las bibliotecas multimedia que Google publicó hace más de una década. Y ambas bibliotecas están escritas en C, un lenguaje de programación de 50 años de antigüedad ampliamente considerado inseguro porque es propenso a sufrir vulnerabilidades de corrupción de memoria. Una cosa es diferente esta vez: la redacción en el CVE asignado por Google el miércoles es clara: la vulnerabilidad afecta no solo a Chrome sino también a libvpx. Cuando Google asignó CVE-2023-4863, solo mencionó que la vulnerabilidad afectaba a Chrome, lo que generó confusión que, según los críticos, ralentizó la aplicación de parches por parte de otros paquetes de software afectados. Probablemente pasarán algunos días más hasta que quede claro el alcance completo de CVE-2023-5217. Los desarrolladores del proyecto libvpx no respondieron de inmediato a un correo electrónico preguntando si hay disponible una versión parcheada de la biblioteca o qué se requiere específicamente para explotar el software que utiliza la biblioteca. Por ahora, las personas que utilizan aplicaciones, frameworks de software o sitios web que involucran VP8, especialmente para codificación de video, deben tener cuidado. Este último descubrimiento eleva a cinco el número de vulnerabilidades de día cero en Google Chrome para las que se han lanzado parches este año: CVE-2023-2033 (CVSS score: 8.8) - Type confusion in V8 CVE-2023-2136 (CVSS score: 9.6) - Integer overflow in Skia CVE-2023-3079 (CVSS score: 8.8) - Type confusion in V8 CVE-2023-4863 (CVSS score: 8.8) - Heap buffer overflow in WebP CVE-2023-5217 - heap-based buffer overflowin the VP8 compression format in libvpx. Fuente: Arstechnica

El mercado del Phishing as a Service en la Dark Web y en la Clear Web Te contamos cómo este servicio, que está en auge y ha florecido en la Dark web, también se expande en la Clear Web y en servicios de mensajería como Telegram. En la era digital, el ciberdelito se ha diversificado y profesionalizado. A medida que la tecnología evoluciona, las técnicas de ciberataque se han vuelto más sofisticadas. En los últimos años, hemos presenciado el auge de un servicio clandestino que preocupa a expertos en ciberseguridad: el Phishing as a Service (PaaS). Este fenómeno, que florece en la Dark Web y sorprendentemente también en la Clear Web, se está convirtiendo en una amenaza creciente. Por menos de $100, uno puede comprar acceso a una plataforma PaaS con plantillas actualizadas de sitios web populares, garantizando que el aspecto y la sensación sean lo más realistas posible. Además, algunos servicios incluso ofrecen garantías de "satisfacción", prometiendo un cierto número de "víctimas" exitosas. A través del PaaS, incluso los actores con habilidades técnicas limitadas pueden lanzar ataques de phishing. Por una tarifa, los proveedores ofrecen todo lo necesario: desde sitios web falsificados hasta campañas de correo electrónico masivo y técnicas de evasión de detección. El Submundo de la Dark Web La Dark Web, una parte oculta del internet que no está indexada por motores de búsqueda convencionales y es accesible a través de navegadores específicos como Tor, ha sido durante mucho tiempo un mercado negro para todo tipo de actividades ilegales. Es aquí donde el PaaS ha encontrado un terreno fértil. Diagrama inspirado en el diseño elaborado por el Laboratorio Nacional de Argonne La Sorpresa de la Clear Web Lo que es aún más alarmante es la migración de estos servicios a la Clear Web (o surface web), el internet que usamos diariamente. Disfrazados bajo la apariencia de pruebas de seguridad o entrenamientos anti-phishing, algunos sitios en la web convencional ofrecen herramientas y servicios que, en manos equivocadas, pueden ser utilizados para actividades maliciosas. Estos servicios, al operar en un área gris, hacen que sea aún más difícil para las autoridades rastrear y cerrar dichos sitios, al igual que viene sucediendo hace un tiempo con los sistemas de mensajería como Telegram que son elegidos por los ciberdelincuentes. Fuente: WeLiveSecurity

Los delincuentes informáticos están utilizando un nuevo truco que consiste en utilizar fuentes de tamaño "cero pixels" en los correos electrónicos para que los emails maliciosos parezcan escaneados de forma segura por las herramientas de seguridad de Microsoft Outlook. Aunque la técnica de phishing ZeroFont se ha utilizado en el pasado, esta es la primera vez que se documenta su uso de esta manera. En un nuevo informe del analista de ISC Sans, Jan Kopriva, el investigador advierte que este truco podría marcar una gran diferencia en la efectividad de las operaciones de phishing, y los usuarios deben ser conscientes de su existencia y uso en la naturaleza. Ataques de "fuente cero" El método de ataque ZeroFont, documentado por primera vez por Avanan en 2018, es una técnica de phishing que explota fallas en la forma en que la IA y los sistemas de procesamiento del lenguaje natural (NLP) en las plataformas de seguridad del correo electrónico analizan el texto. Implica insertar palabras o caracteres ocultos en los correos electrónicos estableciendo el tamaño de fuente en cero, haciendo que el texto sea invisible para los objetivos humanos y, al mismo tiempo, manteniéndolo legible mediante algoritmos de PNL. Este ataque tiene como objetivo evadir los filtros de seguridad mediante la inserción de términos invisibles y benignos que se mezclan con contenido visible sospechoso, distorsionando la interpretación que hace la IA del contenido y el resultado de los controles de seguridad. En su informe de 2018, Avanan advirtió que ZeroFont eludió la Protección avanzada contra amenazas (ATP) de Office 365 de Microsoft incluso cuando los correos electrónicos contenían palabras clave maliciosas conocidas. <span style="mso-hide:all;display:none !important;font-size:0;max-height:0;line-height:0;visibility:hidden; overflow:hidden;opacity:0;color:transparent;height:0;width:0;"> Scanned and secured by IscAdvanced Threat protection (APT): 9/22/2023T6:42 AM </span> Análisis falsos de AVs En un nuevo correo electrónico de phishing visto por Kopriva, un actor de amenazas utiliza el ataque ZeroFont para manipular las vistas previas de mensajes en clientes de correo electrónico ampliamente utilizados, como Microsoft Outlook. Específicamente, el correo electrónico en cuestión mostraba un mensaje diferente en la lista de correo electrónico de Outlook que en el panel de vista previa. Como puede verse, el panel de lista de correo electrónico dice "Escaneado y protegido por Isc®Advanced Threat Protection (APT): 22/9/2023T6:42 AM", mientras que el comienzo del correo electrónico en el panel de vista previa/lectura muestra "Trabajo Oferta | Oportunidad de Empleo". Esta discrepancia se logra aprovechando ZeroFont para ocultar el mensaje de análisis de seguridad falso al comienzo del correo electrónico de phishing, de modo que aunque no sea visible para el destinatario, Outlook aún lo captura y lo muestra como una vista previa en el panel de lista de correo electrónico. El objetivo es inculcar una falsa sensación de legitimidad y seguridad en el destinatario. Al presentar un mensaje engañoso de análisis de seguridad, aumenta la probabilidad de que el objetivo abra el mensaje e interactúe con su contenido. Es posible que Outlook no sea el único cliente de correo electrónico que toma la primera parte de un correo electrónico para obtener una vista previa del mensaje sin comprobar si el tamaño de fuente es válido, por lo que también se recomienda estar atentos a los usuarios de otro software. Fuente: BC

Los ciberdelincuentes de la República Popular Democrática de Corea (RPDC) del grupo Lazarus robaron 55 millones de dólares del exchange de criptomonedas CoinEx. El ataque tuvo lugar el martes 12 de septiembre, según publicó CoinEx en un comunicado, en el que explicó que dijo que los atacantes encontraron una filtración de algunas de sus claves privadas y las utilizaron para robar activos Ether, Tron y Matic de algunas de las carteras calientes de la compañía. Quien vinculó al ataque con el grupo cibercriminal fue un investigador de Blockchain, ZachBXT, quien conectó parte de los fondos robados yendo hacia la misma dirección que almacena los activos sustraídos en el reciente hackeo del sitio de juegos cripto Stake.com. Estos mismos actores de la RPDC también son responsables de varios otros robos internacionales de moneda virtual de alto perfil. Sólo en 2023, los ciberactores de Lazarus han robado más de 200 millones de dólares. Esta cantidad incluye, entre otros, aproximadamente $60 millones de moneda virtual de Alphapo y CoinsPaid el 22 de julio de 2023 o alrededor de esa fecha, y aproximadamente $100 millones de moneda virtual de Atomic Wallet el 2 de junio de 2023 o alrededor de esa fecha. Anteriormente, el FBI proporcionó información al público sobre los ataques de la RPDC contra el puente Horizon de Harmony y el puente Ronin de Sky Mavis y publicó un aviso de ciberseguridad sobre Trader Traitor. Además, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos sancionó al Grupo Lazarus en 2019. Según los datos recopilados en Dune Analytics de 21.co, la empresa matriz de 21Shares, los monederos asociados con Lazarus Group poseen actualmente alrededor de U$S47 millones en activos digitales, incluyendo U$S42.5 millones en BTC, U$S1.9 millones en Ether. Sin embargo, la cantidad de criptomonedas parece haber caído desde los USD 86 millones que el grupo tenía el 6 de septiembre, unos días después del hackeo de Stake.com en el que Lazarus estuvo implicado. Sin embargo, Chainalysis informó que los robos de criptomonedas por parte de hackers vinculados a Corea del Norte se redujeron en un 80% desde 2022. A mediados de septiembre, los grupos vinculados a Corea del Norte habían robado un total de USD 340.4 millones en criptomonedas, por debajo del récord de USD 1,650 millones en activos digitales robados en 2022. La firma dijo que Corea del Norte ha estado utilizando varios intercambios con sede en Rusia desde 2021. Uno de los eventos de lavado más grandes involucró USD 21.9 millones en fondos transferidos del hackeo de U$S 100 millones del puente de Harmony el 24 de junio de 2022. Sorprendentemente, el grupo no posee ninguna moneda privada, como Monero XMR, Zcash, ZEC, que son mucho más difíciles de rastrear. Por su parte, los criptomonederos de Lazarus siguen siendo muy activos, y la transacción más reciente se registró el 20 de septiembre. Fuente: CoinTelegraph