Ultimas noticias destacadas de seguridad informática
Segu-Info - Ciberseguridad desde 2000 Noticias de Ciberseguridad desde Segu-Info
- Aprovechan falla de 7-Zip para eludir las protecciones de MotW de Windowspor SeguInfo on febrero 6, 2025 at 4:30 pm
Una vulnerabilidad de seguridad recientemente parcheada en la herramienta 7-Zip está siendo explotada para distribuir el malware SmokeLoader. La falla, CVE-2025-0411 (CVSS: 7.0), permite a los atacantes remotos eludir las protecciones de marca de la web (MotW) y ejecutar código arbitrario en el contexto del usuario actual. 7-Zip la solucionó en noviembre de 2024 con la versión 24.09. "La vulnerabilidad fue explotada activamente por grupos de ciberdelincuentes rusos a través de campañas de phishing, utilizando ataques de homoglifos para falsificar extensiones de documentos y engañar a los usuarios y al sistema operativo Windows para que ejecuten archivos maliciosos", dijo el investigador de seguridad de Trend Micro, Peter Girnus. Se sospecha que CVE-2025-0411 probablemente fue utilizada como arma para atacar a organizaciones gubernamentales y no gubernamentales en Ucrania como parte de una campaña de ciberespionaje en el contexto del actual conflicto ruso-ucraniano. MotW es una característica de seguridad implementada por Microsoft en Windows para evitar la ejecución automática de archivos descargados de Internet sin realizar más comprobaciones a través de Microsoft Defender SmartScreen. CVE-2025-0411 evita MotW mediante el archivado doble de contenidos con 7-Zip, es decir, creando un archivo comprimido y luego otro comprimido del primer archivo para ocultar las cargas útiles maliciosas. La causa principal de CVE-2025-0411 es que antes de la versión 24.09, 7-Zip no propagaba correctamente las protecciones de MotW al contenido de los archivos con doble encapsulamiento. Esto permite a los actores de amenazas crear archivos que contienen scripts o ejecutables maliciosos que no recibirán protecciones de MotW, lo que deja a los usuarios de Windows vulnerables a los ataques. Los ataques que aprovechan la falla como Zero-Day se detectaron por primera vez el 25 de septiembre de 2024, y las secuencias de infección conducen a SmokeLoader, un malware que se ha utilizado repetidamente para atacar a Ucrania. El punto de partida es un correo electrónico de phishing que contiene un archivo comprimido especialmente diseñado que, a su vez, emplea un ataque de homoglifo para hacer pasar el archivo ZIP interno como un archivo de documento de Microsoft Word, lo que activa efectivamente la vulnerabilidad. Los mensajes de phishing, según Trend Micro, se enviaron desde direcciones de correo electrónico asociadas con los órganos de gobierno y cuentas comerciales de Ucrania tanto a organizaciones municipales como a empresas, lo que sugiere un compromiso previo. "El uso de estas cuentas de correo electrónico comprometidas le da un aire de autenticidad a los correos electrónicos enviados a los objetivos, manipulando a las víctimas potenciales para que confíen en el contenido y sus remitentes", señaló Girnus. Este enfoque conduce a la ejecución de un archivo de acceso directo a Internet (.URL) presente en el archivo ZIP, que apunta a un servidor controlado por el atacante que aloja otro archivo ZIP. El ZIP recién descargado contiene el ejecutable SmokeLoader que está disfrazado de un documento PDF. Se ha evaluado que al menos nueve entidades gubernamentales ucranianas y otras organizaciones se vieron afectadas por la campaña, incluido el Ministerio de Justicia, el Servicio de Transporte Público de Kiev, la Compañía de Abastecimiento de Agua de Kiev y el Ayuntamiento. En vista de la explotación activa de CVE-2025-0411, se recomienda a los usuarios que actualicen sus instalaciones a la última versión, implementen funciones de filtrado de correo electrónico para bloquear los intentos de phishing y deshabiliten la ejecución de archivos de fuentes no confiables. Fuente: THN | Cybersecuritynews
- Cisco corrige vulnerabilidades críticas de ISE que permiten escalamiento de privilegiospor SeguInfo on febrero 6, 2025 at 11:20 am
Cisco ha publicado actualizaciones para solucionar dos fallas de seguridad críticas en Identity Services Engine (ISE) que podrían permitir a atacantes remotos ejecutar comandos arbitrarios y elevar privilegios en dispositivos susceptibles. Las vulnerabilidades se enumeran a continuación: CVE-2025-20124 (CVSS: 9,9): una vulnerabilidad de deserialización insegura de Java en una API de Cisco ISE que podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios como usuario root en un dispositivo afectado. CVE-2025-20125 (CVSS: 9,1): una vulnerabilidad de omisión de autorización en una API de Cisco ISE podría permitir a un atacante remoto autenticado con credenciales de solo lectura válidas obtener información confidencial, cambiar configuraciones de nodos y reiniciar el nodo. Un atacante podría utilizar cualquiera de las fallas como arma enviando un objeto Java serializado especialmente diseñado o una solicitud HTTP a un punto final de API no especificado, lo que lleva a un escalamiento de privilegios y ejecución de código. Cisco afirmó que las dos vulnerabilidades no dependen una de la otra y que no existen soluciones alternativas para mitigarlas. Se han abordado en las siguientes versiones: Versión 3.0 del software Cisco ISE (migrar a una versión corregida) Versión 3.1 del software Cisco ISE (corregida en 3.1P10) Versión 3.2 del software Cisco ISE (corregida en 3.2P7) Versión 3.3 del software Cisco ISE (corregida en 3.3P4) Versión 3.4 del software Cisco ISE (no vulnerable) A los investigadores de seguridad de Deloitte Dan Marin y Sebastian Radulea se les atribuye el descubrimiento y la reparación de las vulnerabilidades. Si bien el fabricante afirmó que no tiene conocimiento de ninguna explotación maliciosa de las fallas, se recomienda a los usuarios que mantengan sus sistemas actualizados para una protección óptima. Fuente: THN
- Aprovechan vulnerabilidad de IIS de hace seis años para obtener acceso remotopor SeguInfo on febrero 5, 2025 at 5:30 pm
La Unidad de Respuesta a Amenazas (TRU) de eSentire reveló que los actores de amenazas están explotando activamente una vulnerabilidad de IIS de hace seis años en Progress Telerik UI para ASP.NET AJAX para obtener acceso remoto a los sistemas. Esta vulnerabilidad, identificada como CVE-2019-18935, permite a los atacantes ejecutar código arbitrario en servidores vulnerables, lo que representa un riesgo significativo para las organizaciones que no han actualizado sus sistemas. TRU observó que los actores de amenazas usaban w3wp.exe (proceso de trabajo de IIS) para cargar una shell inversa y ejecutar comandos posteriores para el reconocimiento a través de cmd.exe. Los analistas de ciberseguridad de TRU notaron que los shells inversos se colocaron en el directorio C:\Windows\Temp. El proceso de explotación comienza cuando los actores de amenazas envían una solicitud específica al servidor IIS para determinar si el controlador de carga de archivos está disponible. Una vez confirmado, utilizan una prueba de concepto (PoC) personalizada para cargar y ejecutar un shell remoto. La shell inversa es un aplicativo .NET en modo mixto que se conecta a un servidor de comando y control (C2) en 213.136.75[.]130 a través de Windows Sockets. Después de establecer la shell inversa, los atacantes ejecutan comandos para recopilar información del sistema, incluida la enumeración de usuarios mediante net.exe y net1.exe. TRU también observó la implementación de la herramienta de escalamiento de privilegios de código abierto JuicyPotatoNG, junto con varios archivos por lotes cuyo propósito se desconoce actualmente. Fuente: CyberSecurityNews
- Exploit para vulnerabilidad de escalamiento de privilegios en AD (CVE-2025-21293)por SeguInfo on febrero 5, 2025 at 10:46 am
Se ha publicado un código de explotación de prueba de concepto (PoC) para CVE-2025-21293, una vulnerabilidad crítica de elevación de privilegios en los servicios de dominio de Active Directory.Esta vulnerabilidad, descubierta en septiembre de 2024 y parcheada en enero de 2025, ha suscitado inquietudes debido a su potencial para permitir a los atacantes obtener privilegios a nivel de sistema dentro de un entorno de Active Directory. Al CVE-2025-21293 se le ha asignado una puntuación CVSS de 8,8, lo que refleja su alta gravedad.La vulnerabilidad se identificó durante una investigación sobre el grupo "Operadores de configuración de red", un grupo de seguridad integrado poco conocido en Active Directory. Se descubrió que este grupo, destinado a otorgar privilegios limitados de configuración de red a usuarios sin derechos administrativos completos, tenía permisos excesivos sobre claves de registro confidenciales. En concreto, permitía la creación de subclaves bajo las claves de registro DnsCache y NetBT.El problema radica en la combinación de estos permisos con la capacidad de manipular los contadores de rendimiento de Windows. Windows utiliza estos contadores para supervisar el rendimiento del sistema y de las aplicaciones, pero también proporciona un mecanismo para ejecutar código personalizado a través de archivos DLL, dijo el investigador BirkeP.Al explotar los permisos del grupo "Operadores de configuración de red", un atacante podría registrar archivos DLL de contadores de rendimiento maliciosos en la clave de registro del servicio DnsCache. Una vez registrados, estos archivos DLL podrían ejecutarse con privilegios de nivel SYSTEM cuando se los consulte con herramientas como PerfMon.exe o WMI.El exploit aprovecha la capacidad de Windows de cargar y ejecutar archivos DLL personalizados como parte de su infraestructura de contadores de rendimiento. El atacante registra cuatro subclaves de registro específicas (Library, Open, Collect y Close) que apuntan a su archivo DLL malicioso.Cuando se accede al contador de rendimiento, por ejemplo a través de consultas WMI o herramientas de monitoreo, el código malicioso se ejecuta en el contexto de SYSTEM, lo que eleva los privilegios de manera efectiva.Este enfoque se basa en investigaciones previas sobre la explotación de los contadores de rendimiento, pero lo aplica de forma única en el contexto de los grupos de seguridad predeterminados de Active Directory.El exploit PoC demuestra cómo un atacante puede lograr este escalamiento elaborando cuidadosamente entradas de registro e implementando una DLL maliciosa. El exploit no requiere la interacción del usuario, lo que lo hace particularmente peligroso en entornos donde Active Directory se implementa ampliamente.Microsoft abordó esta vulnerabilidad en sus actualizaciones del martes de parches de enero de 2025. El parche modifica los permisos del grupo "Operadores de configuración de red", eliminando su capacidad de crear subclaves bajo claves de registro críticas. Se recomienda encarecidamente a las organizaciones que apliquen esta actualización de inmediato para mitigar los posibles riesgos.En el caso de los sistemas que no se pueden reparar de inmediato, los administradores deberían considerar restringir la membresía en el grupo "Operadores de configuración de red" y monitorear modificaciones inusuales en el registro o actividad del contador de rendimiento.Fuente: CyberSecurityNews
- Empresa Paragon ataca WhatsApp con software espía Zero-Clickpor SeguInfo on febrero 4, 2025 at 12:30 pm
WhatsApp, propiedad de Meta, dijo el viernes que había desbaratado una campaña que implicaba el uso de software espía para atacar a periodistas y miembros de una sociedad civil. La campaña, que tenía como objetivo a unos 90 miembros, implicaba el uso de software espía de una empresa israelí conocida como Paragon Solutions. Los atacantes fueron neutralizados en diciembre de 2024. En una declaración a The Guardian, WhatsApp dijo que se había puesto en contacto con los usuarios afectados y que tenía "alta confianza en que los usuarios habían sido atacados y posiblemente comprometidos". Actualmente no se sabe quién está detrás de la campaña y durante cuánto tiempo se desarrolló. Se dice que la cadena de ataque es de "Zero-Click", lo que significa que la implementación del software espía se produce sin necesidad de interacción del usuario. Se sospecha que implica la distribución de un archivo PDF especialmente diseñado que se envía a personas que se agregaron a los chats grupales de WhatsApp. La empresa señaló que los objetivos estaban repartidos en más de dos docenas de países, incluidos varios de Europa, y agregó que notificó a las partes afectadas y les proporcionó información sobre cómo protegerse. La empresa también reveló que había enviado a Paragon una carta de "cese y desista" y que estaba considerando otras opciones. Este hecho marca la primera vez que la empresa ha sido vinculada a casos en los que su tecnología ha sido mal utilizada. Al igual que NSO Group, Paragon es el fabricante del software de vigilancia llamado Graphite que se ofrece a los clientes gubernamentales para combatir las amenazas digitales. Fue adquirido por un grupo de inversión con sede en Estados Unidos, AE Industrial Partners, en diciembre en un acuerdo por valor de 500 millones de dólares. En su sitio web básico, la empresa afirma que proporciona a los clientes "herramientas basadas en la ética para interrumpir las amenazas intratables, así como ofrecer capacidades cibernéticas y forenses para localizar y analizar datos digitales". A finales de 2022, se supo que la DEA (Administración de Control de Drogas de Estados Unidos) utilizaba Graphite para operaciones antinarcóticos. El año pasado, el Centro para la Democracia y la Tecnología (CDT) pidió al Departamento de Seguridad Nacional que publicara detalles sobre su contrato de 2 millones de dólares con Paragon. La noticia de la campaña llega semanas después de que un juez de California fallara a favor de WhatsApp en un caso histórico contra NSO Group por utilizar su infraestructura para distribuir el software espía Pegasus a 1.400 dispositivos en mayo de 2019. La revelación de Meta también coincidió con el arresto del exministro de Justicia polaco Zbigniew Ziobro por acusaciones de que autorizó el uso del software espía Pegasus para vigilar a los líderes de la oposición y supervisó los casos en los que se utilizó la tecnología. Fuente: THN
WeLiveSecurity WeLiveSecurity
- Cumplimiento de las normativas en ciberseguridad: Una inversión claveon noviembre 15, 2024 at 11:00 am
En una era de crecientes amenazas digitales, cumplir con las normativas y leyes de ciberseguridad es mucho más que marcar un check: es un escudo vital para proteger los activos, la reputación y, a fin de cuentas, la propia supervivencia de la empresa
- Estafas de Google Voice: ¿Qué son y cómo evitarlas?on noviembre 14, 2024 at 2:08 pm
Los estafadores que engañan a los usuarios para que compartan códigos de verificación y así poder acceder a sus números de teléfono
- La revolución de la inteligencia artificial en la músicaon noviembre 13, 2024 at 3:21 pm
La inteligencia artificial está transformando el panorama musical convirtiendo a los oyentes en creadores y suscitando nuevos debates sobre la creatividad, los derechos de autor y el futuro del sonido.
- Por qué la NSA recomienda reiniciar el teléfono al menos una vez a la semanaon noviembre 12, 2024 at 3:19 pm
La NSA aconseja esta práctica como medida de seguridad ante el malware no persistente. Además, brinda otros tips útiles para mantener a salvo tus dispositivos móviles.
- Cómo utilizan falsas redes Wi-Fi en vuelos para robar informaciónon noviembre 11, 2024 at 5:30 pm
Analizamos un caso puntual en el que un ciberdelincuente robó información sensible de pasajeros instalando redes falsas de wifi, en pleno vuelo. ¿Qué medidas tomar para no ser víctima?