Actualidad desde nuestro Centro Experto de Ciberseguridad

 

 

Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.

Conecta con nosotros a través de siainfo@sia.es

  •  

      Compartir en:

Noticias destacadas de ciberseguridad

Vulnerabilidades

Vulnerabilidad de inyección SQL que podría otorgar a los atacantes acceso a información privilegiada de la base de datos del sitio afectado

 

  jetpack.com

 

La vulnerabilidad de redireccionamiento del localizador GPS Uffizio, identificada como CVE-2020-17484, afectaría a la confidencialidad e integridad

 

sesin.at

Malware

El malware BlackByte reutiliza las claves criptográficas para cifrar todos los sistemas comprometidos y los gusanos en las redes

 

  bankinfosecurity.com

 

Múltiples actores de amenazas explotan las vulnerabilidades de Exchange ProxyShell para perpetrar sus ataques

 

  leviarsel.medium.com

Ciberseguridad

Operadores de ransomware empiezan a utilizar como método de financiación y captación de socios modelos comerciales de franquicias

 

trendmicro.com

 

Un actor compromete el portal de pago Tor y el blog de filtración de datos de los operadores del ransomware REvil

 

bleepingcomputer.com

Últimas amenazas detectadas

Vulnerabilidad Zero-day para Microsoft Windows (CVE-2021-40449)

13/10/2021

Resumen ejecutivo

 

Detectada vulnerabilidad Zero-day de “use-after free” para Microsoft Windows (CVE-2021-40449) explotada activamente.

Datos

 

Tipo:

 

TLP:

 

Objetivos:

 

Activos afectados:

 

Vector de ataque:

 

Tags:

 

Hacking

 

White

 

Múltiples

 

Microsoft Windows

 

Vulnerabilidad

 

Microsoft, Windows, Zero-day, use-after-free

Descripción

 

La vulnerabilidad Zero-day para Windows (CVE-2021-40449) es explotada mediante la implementación de un use-after-free en el controlador del kernel de Win32K que permitiría un escalado de privilegios en el sistema objetivo.

 

Esta vulnerabilidad se detectó siendo explotada de forma activa en la naturaleza junto a diferentes cargas útiles de malware denominadas MysterySnail relacionadas a campañas de ciberespionaje centradas en empresas del sector defensa, gobierno y TI.

 

 

 

Detalle técnico

 

La vulnerabilidad (CVE-2021-40449) permite la implementación de un ataque mediante un “use-after-free” en la función NTGdiResetDC de Win32K, la causa principal de esta vulnerabilidad está en la capacidad de establecer “callbacks” en modo usuario y ejecutar funciones API no previstas durante la ejecución de estas.

 

El proceso de explotación se podría resumir en:

 

  1. Ejecución de una llamada en modo usuario a ResetDC que ejecuta syscall NtGdiResetDC y su función interna GreResetDCInternal. Esta función obtiene un puntero a un objeto PDC y luego realiza una llamada a la función hdcOpenDCW.
  2. La función hdcOpenDCW realiza una “callback” en modo de usuario y se puede usar para ejecutar ResetDC para el mismo identificador por segunda vez.
  3. Si un exploit ejecuta ResetDC durante una devolución de llamada, NtGdiResetDC y GreResetDCInternal se ejecutan nuevamente para el mismo DC.
  4. Si un exploit ignora todas las devoluciones de llamada durante la segunda llamada a GreResetDCInternal, esta función se ejecutará según lo previsto. Creará un nuevo DC y eliminará el anterior (el objeto PDC se destruirá).
  5. En la devolución de llamada, una vez completada la segunda llamada ResetDC, el exploit puede recuperar la memoria liberada del objeto PDC y finalizar la ejecución de la devolución de llamada.
  6. Después de la ejecución de la devolución de llamada, la función hdcOpenDCW vuelve a GreResetDCInternal, pero el puntero recuperado en el paso (1) ahora es un puntero colgante: apunta a la memoria del objeto PDC previamente destruido.
  7. En la última etapa de la ejecución de GreResetDCInternal, se puede utilizar un objeto PDC con formato incorrecto para realizar una llamada a una función del kernel arbitraria con parámetros controlados.

 

La lista de productos afectados por el (CVE-2021-40449) va desde las versiones de servidor y cliente de Windows de Windows 7 y Windows Server 2008 hasta las últimas, incluyendo Windows 11 y Windows Server 2022 sin parchear:

 

  • Microsoft Windows Vista
  • Microsoft Windows 7
  • Microsoft Windows 8
  • Microsoft Windows 8.1
  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows 10 (compilación 14393)
  • Microsoft Windows Server 2016 (compilación 14393)
  • Microsoft Windows 10 (compilación 17763)
  • Microsoft Windows Server 2019 (compilación 17763)

 

En relación al malware implementado en las campañas de ciberespionaje apuntadas previamente, se trata de un RAT denominado MysterySnail previamente desconocido, fuentes apuntan a una baja sofisticación del mismo con funciones de “infostealer” y a su relación al grupo APT de habla china conocido como IronHusky.

 

Este está diseñado para recopilar y extraer información del sistema comprometido previo a establecer conexión con el C2.

 

La información recopilada de la máquina víctima incluye:

 

  • Nombre del computador
  • Página de códigos OEM actual / identificador predeterminado
  • Nombre del producto de Windows
  • Dirección IP local
  • Nombre de usuario que inició sesión
  • Nombre de campaña

 

Entre sus características, se encuentran además la capacidad de generar procesos o eliminarlos, lanzar shells interactivas, e incluso la posibilidad de actuar como un proxy.

 

 

Recomendaciones

Protección

 

  • Aplicar el parche de seguridad correspondiente lanzado por Microsoft
  • Actualizar los sistemas de seguridad de los equipos, como antivirus

 

Detección

 

  • Si detecta anomalías en las acciones y funcionalidades del equipo póngase en contacto con su servicio técnico
  • Actualización e implementación de sistemas de detección EDR
  • Comprobar el inventariado de sistemas y comprobar la presencia de productos vulnerables

 

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com