Debido a un “evento de ciberseguridad” que ocurrió el 23 de julio, Tempur Sealy International se vio obligada a cerrar parte de su infraestructura de tecnología de la información. La corporación dijo que sus actividades experimentaron una “interrupción temporal” como resultado del cierre.
Tempur Sealy ha buscado el asesoramiento de un asesor legal, una empresa forense de ciberseguridad y otros especialistas en respuesta a incidentes, y también ha notificado a las autoridades policiales pertinentes.
Varias tiendas de Tempur Sealy se comunicaron con Furniture Today para informar que no habían podido realizar pedidos y que no habían recibido envíos.
Tempur Sealy ha dicho, en un documento 8-K que presentó ante la Comisión de Bolsa y Valores de los Estados Unidos, que está en proceso de volver a poner en línea sus “sistemas de TI críticos y ha reanudado las operaciones”. De acuerdo con las nuevas regulaciones emitidas por la SEC, las corporaciones que cotizan en bolsa tienen solo cuatro días para notificar cualquier incumplimiento que pueda tener un efecto en su desempeño financiero.
Según la presentación, “la investigación forense continúa” y la empresa “sigue trabajando para determinar si este incidente tendrá un impacto material en su negocio, operaciones o resultados financieros”. “Si queda claro que alguna información personal se vio comprometida, la compañía hará todo lo posible para cumplir con las obligaciones de informe que pueda estar obligada a cumplir de acuerdo con dicha información en virtud de la ley aplicable”.
Ha salido a la luz que el complemento Ninja Forms para WordPress tiene muchas fallas de seguridad que podrían ser abusadas por actores malintencionados para obtener acceso elevado y robar datos confidenciales.
Según un informe publicado por Patchstack hace una semana, las vulnerabilidades, que se enumeran como CVE-2023-37979, CVE-2023-38386 y CVE-2023-38393, afectan a las versiones 3.6.25 y anteriores. Ahora hay más de 800.000 sitios web que utilizan Ninja Forms.
La siguiente es una explicación resumida de cada una de las vulnerabilidades:
CVE-2023-37979 es un problema de cross-site scripting (XSS) basado en POST que tiene una puntuación CVSS de 7,1. Es una vulnerabilidad que podría permitir a cualquier usuario no autenticado lograr una escalada de privilegios en un sitio objetivo de WordPress al persuadir a los usuarios privilegiados para que visiten un sitio web que ha sido construido específicamente para ese propósito. Esto puede ser utilizado por un usuario no autenticado en su beneficio para robar información crítica y, en este caso, escalar sus privilegios en el sitio web de WordPress. El atacante puede desencadenar la vulnerabilidad si se engaña a los usuarios privilegiados para que visiten un sitio web especialmente construido.
El control de acceso fallido en la funcionalidad de exportación de envíos de formularios es la fuente de las vulnerabilidades segunda y tercera, que se rastrean como CVE-2023-38393 y CVE-2023-38386 respectivamente. Los usuarios con los roles de Suscriptor y Colaborador en un sitio de WordPress pueden aprovechar las vulnerabilidades para exportar todos los envíos de Ninja Forms en el sitio web.
Se recomienda encarecidamente a los usuarios del complemento que actualicen a la versión 3.6.26 para protegerse contra posibles peligros.
Un entorno de servidor web HTTP “Java puro” lo proporciona Apache Tomcat , que es un servidor de código abierto y de uso gratuito. Admite tecnologías como Jakarta Servlet, Expression Language y WebSocket. Casi la mitad de todos los desarrolladores usan Apache Tomcat, lo que lo convierte en el líder indiscutible. Una nueva operación destinada a entregar malware de la botnet Mirai y los mineros de bitcoin se centra en los servidores Apache Tomcat que se configuraron incorrectamente y no cuentan con suficientes medidas de seguridad.
La investigación fue realizada por Aqua, que descubrió que en el transcurso de dos años, sus servidores trampa Tomcat fueron objeto de más de 800 ataques, el 96 % de los cuales estaban conectados a la red de bots Mirai. Los resultados pueden atribuirse a Aqua. El 20 % de estos intentos de ataque, o 152, incluyeron el uso de un script de shell web denominado “neww” que provino de 24 direcciones IP diferentes, y el 68 % de ellos provino de una sola dirección IP (104.248.157[.]218) . Estos ataques no tuvieron éxito.
El actor de amenazas llevó a cabo un ataque de fuerza bruta contra los servidores Tomcat escaneados para obtener acceso a la administración de la aplicación web utilizando una variedad de combinaciones de credenciales diferentes.
Después de ingresar con éxito, los actores de amenazas instalarán un archivo WAR que contiene un shell web llamado ‘cmd.jsp’ en el servidor Tomcat que ha sido pirateado. Esto permitirá la ejecución remota de comandos.
La “descarga y ejecución” del script de shell “neww” es una parte integral de toda la cadena de ataque. El comando “rm -rf” se usa para eliminar el script una vez que se ha ejecutado. Luego, el software recupera 12 archivos binarios que están personalizados para la arquitectura del sistema que está siendo atacado.
Si bien todos estos componentes trabajan juntos para acelerar la implementación de la aplicación web en servidores Tomcat comprometidos de manera efectiva.
El último paso del malware es una variación de la botnet Mirai que utiliza sistemas infectados con el fin de coordinar ataques de denegación de servicio distribuido (DDoS).
El actor de amenazas se infiltra en el administrador de aplicaciones web mediante el uso de credenciales legítimas, carga un shell web disfrazado en un archivo WAR, ejecuta comandos de forma remota e inicia el ataque. Han reportado 332 millones de ataques de cryptojacking en todo el mundo en el primer semestre de 2023.
Recomendación Con el fin de protegerse contra ataques de este tipo, los especialistas en el campo de la ciberseguridad sugirieron las siguientes medidas:
Asegúrese de que cada uno de sus entornos tenga la configuración adecuada.
Tenga cuidado de hacer escaneos regulares de sus servidores para buscar peligros.
Las herramientas nativas de la nube que buscan vulnerabilidades y configuraciones incorrectas deben estar disponibles para sus equipos de desarrollo, DevOps y seguridad para que puedan hacer mejor su trabajo.
Es imperativo que utilice tecnologías de detección y respuesta en tiempo de ejecución.
Tras el fracaso de una plataforma de solicitud en línea que hizo que la mayoría de los servicios gubernamentales no estuvieran disponibles, Kenia dijo el jueves que comenzará a otorgar visas a todos los viajeros a su llegada. El problema que ocurrió en el sitio de ciudadanos electrónicos, que ofrece más de 5,000 Se creía que los servicios, incluidas las visas electrónicas, eran consecuencia de la hacking; sin embargo, las autoridades dijeron que no se habían perdido datos como resultado del evento. Mientras se arregla la plataforma, el gobierno comenzará a aceptar solicitudes de visa a su llegada, según un aviso verbal que se envió el jueves a las misiones diplomáticas y organizaciones internacionales en todo el mundo.
Una carta que fue enviada el jueves por el Ministerio de Asuntos Exteriores y de la Diáspora, afirmaba que “Actualmente hay un desafío en la plataforma de ciudadanos electrónicos del Gobierno”. Por lo tanto, los viajeros recibirán visas a su llegada a todos los puertos de entrada en Kenia, sin importar por donde ingresen al país. Además, la administración quiere notificar a todas y cada una de las aerolíneas que tienen pasajeros a bordo que van a Kenia”, se lee en el comunicado. La solicitud de visa electrónica a menudo aceptará solicitudes; sin embargo, estas solicitudes deben ir acompañadas de las pruebas correspondientes para autenticar la entrada.
Debido a que cada solicitud ahora se evaluará al mismo tiempo, existe la posibilidad de que aumenten los tiempos de espera en las oficinas de control fronterizo del aeropuerto como resultado de la implementación de visas a la llegada para todos los viajeros”. lo que se está experimentando en el portal eCitizen ha sido causado por hackers que intentan bloquear el portal a través de una sobrecarga de solicitudes de datos”, confesó el secretario del Gabinete de TIC, Eliud Owalo. “El tiempo de inactividad que se está experimentando en el portal eCitizen ha sido causado por hackers que intentan bloquear el portal a través de una sobrecarga de solicitudes de datos”.
Un grupo que se hace llamar Anonymous Sudan se ha responsabilizado del ataque, alegando que lo llevaron a cabo como una forma de protesta contra la supuesta intervención de Kenia en los asuntos internos de Sudán.
Según el comunicado, la organización también se ha centrado en las plataformas de transferencia de dinero móvil, los sistemas bancarios electrónicos y otros servicios electrónicos similares a los de la empresa de servicios públicos Kenya Power. Los clientes de Kenya Power y algunos bancos fueron informados de una interrupción en el sistema, pero no se proporcionó información sobre la hacking.
“Se lanzó un ciberataque contra la plataforma eCitizen, sin embargo, no se obtuvo ni se perdió ningún dato como resultado del asalto. “Estamos abordando eso, y no solo estamos proponiendo medidas correctivas instantáneas para abordar la situación actual, sino que también nos estamos asegurando de construir un marco elaborado de mitigación de riesgos”, declaró el CS en Spice FM. “Estamos abordando eso, y no solo estamos proponiendo medidas correctivas instantáneas para abordar la situación actual”. “En este caso en particular, intentaron bloquear el sistema al realizar una mayor cantidad de solicitudes en el sistema de lo normal, lo que resultó en que el rendimiento del sistema se volviera más lento”.
Los investigadores han encontrado dos vulnerabilidades en el sistema operativo Linux Ubuntu. Ambas vulnerabilidades tienen la capacidad de ofrecer privilegios elevados a los atacantes. Ha habido indicios de que se puede detectar una vulnerabilidad que permite un aumento de privilegios en el módulo OverlayFS de los sistemas operativos Ubuntu.
Un sistema de archivos de Linux conocido como OverlayFS ha visto una adopción significativa en la industria de contenedores. OverlayFS hace posible implementar sistemas de archivos dinámicos mientras mantiene la compatibilidad con imágenes preconstruidas.
CVE-2023-23629
Al invocar la función ovl_do_setxattr en los kernels de Ubuntu, el módulo ovl_copy_up_meta_inode_data tiene el potencial de eludir las verificaciones de permisos. Esta vulnerabilidad se produce como resultado. A esta vulnerabilidad se le ha asignado una puntuación CVSS de 7,8, que se considera alta.
CVE-2023-2640
Hay una falla en Ubuntu conocida como SAUCE: overlayfs pasa por alto las verificaciones de permisos de confianza que conduce a esta vulnerabilidad. overlayfs. * xattrs. * xattrs.
Esta vulnerabilidad puede ser aprovechada por un atacante que no tiene derechos al establecer atributos extendidos privilegiados en los archivos montados y luego configurarlos en los otros archivos sin realizar las comprobaciones necesarias. A esta vulnerabilidad se le ha asignado una puntuación CVSS de 7,8, que se considera alta.
El parche de Ubuntu de 2018 está en conflicto con el proyecto Linux Kernel de 2019 y 2022.
Dado que el módulo OverlayFS puede ser utilizado por usuarios sin privilegios a través de espacios de nombres de usuario, es un candidato perfecto para la escalada de privilegios locales. En 2018, Ubuntu lanzó parches que abordaron estas fallas de seguridad.
A pesar de esto, los investigadores que trabajan para Wix descubrieron que Linux Kernel Project lanzó muchas versiones nuevas en los años 2019 y 2022.
Hubo un problema entre los parches más antiguos y la versión más reciente como consecuencia directa de los cambios que se realizaron en el módulo OverlayFS.
Estos exploits ya son accesibles al público en sus formas explotables. Se recomienda encarecidamente que cualquiera que utilice versiones de Ubuntu anteriores a la 23.04 actualice a la versión más reciente para evitar que se exploten estas vulnerabilidades. Por otro lado, la mayoría de los proveedores de seguridad en la nube (CSP) han estado utilizando versiones no seguras del sistema operativo Ubuntu como sistema predeterminado.
Los investigadores creen que alrededor del cuarenta por ciento de las computadoras que ejecutan Ubuntu podrían haberse visto afectadas por el problema, lo que hace que el alcance anticipado sea grande. Según Canonical, la empresa responsable de Ubuntu y que también opera con fines de lucro, la versión de escritorio del software se instaló más de 20 millones de veces en 2017. Ubuntu emitió una alerta de seguridad que aborda muchas vulnerabilidades y da crédito a los investigadores que los descubrió.
Un ciberataque reciente en el Centro de Monitoreo de Terremotos de Wuhan fue llevado a cabo por una entidad ubicada fuera de China, según un comunicado emitido por la oficina de gestión de emergencias de la ciudad el miércoles. El centro está asociado con la oficina de gestión de emergencias. Luego del ataque cibernético lanzado desde fuera de China a una universidad china en junio de 2022, este es otro caso de este tipo. El equipo de investigación llegó a la conclusión de que el ataque cibernético fue llevado a cabo por una organización de hackers e infractores de la ley con antecedentes gubernamentales que estaban ubicados en una nación distinta a la que se investiga. Según la información obtenida por el Global Times , la evidencia preliminar revela que un hackeo respaldado por el gobierno a la institución se originó en los Estados Unidos.
El Centro Nacional de Respuesta a Emergencias de Virus Informáticos (CVERC) y la compañía china de seguridad de Internet 360 descubrieron un ciberataque en algunos de los equipos de red de los puntos de recolección de la estación frontal del Centro de Monitoreo de Terremotos de Wuhan el miércoles, según un comunicado publicado. por la Oficina Municipal de Manejo de Emergencias de Wuhan.
Según el comunicado, el centro ha tomado rápidamente medidas para evitar más daños al aislar las piezas de maquinaria dañadas y ha informado a las autoridades pertinentes sobre el ataque. Esto permitirá a las autoridades realizar una investigación sobre el asunto y tratar con el grupo de hackers y los delincuentes de conformidad con la ley. Tras los ataques a la Universidad Politécnica del Noroeste (NWPU) en Xi’an, provincia de Shaanxi, noroeste de China, por parte de un grupo de hackers en alta mar en junio de 2022, el Centro de Monitoreo de Terremotos de Wuhan es otra entidad nacional que ha sido víctima de un ciberataque desde fuera del país. Este ataque viene inmediatamente después del ataque a NWPU.
Luego del incidente en NWPU, el CVRC y Business 360 colaboraron para establecer un equipo técnico que llevaría a cabo una investigación en profundidad de los aspectos técnicos del caso. Llegaron a la conclusión de que el hackeo fue llevado a cabo por la división Tailored Access Operations (TAO) de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos.
Los datos de intensidad sísmica se refieren a la intensidad y tamaño de un terremoto, que son dos indicadores esenciales del potencial destructivo de un terremoto, como señalaron expertos en la materia. Los datos sobre la intensidad sísmica tienen una estrecha relación con la seguridad nacional; por ejemplo, algunas instalaciones defensivas militares están obligadas a tomar en consideración parámetros como la intensidad sísmica, según la opinión de muchos especialistas.
Según una declaración de un experto citada por la Televisión Central de China (CCTV), las ondas sísmicas que viajan a través de varios medios y estructuras del subsuelo generarían variaciones en la velocidad de las ondas.
“Los hackers pueden deducir la estructura subterránea y la litología de un área determinada al obtener datos relevantes de los centros de monitoreo sísmico”, agregó el experto. “Esta información puede ser obtenida por hackers”. “Por ejemplo, es posible deducir si hay o no una gran cavidad ubicada bajo tierra y, en consecuencia, si podría ser o no una base militar o un puesto de mando”.
Como resultado de las disparidades estilísticas entre las atribuciones chinas y occidentales, los profesionales de la ciberseguridad occidentales a menudo han expresado su sorpresa en respuesta a los comentarios hechos por China sobre hechos de este tipo.
Cuando Estados Unidos y una coalición de aliados acusaron formalmente a los hackers afiliados al Ministerio de Seguridad del Estado de China de violar los servidores de correo electrónico de Microsoft Exchange, dejando expuestos shells web en estos servidores que podrían ser potencialmente explotados por delincuentes, criticaron la violación “imprudente” de normas cibernéticas.
Las radios globales dependen del estándar TETRA (Terrestrial Trunked Radio), sin embargo, se han encontrado una serie de vulnerabilidades que influyen en su uso en Europa, el Reino Unido y otros países. Estos problemas incluyen lo siguiente: –
Instituciones del estado, Aplicación de la ley, Organizaciones que brindan asistencia de emergencia, Instituciones militares
Se descubrió que el cifrado y su implementación tenían todos estos defectos, lo que permitió descifrar la comunicación. Midnight Blue, una empresa de seguridad con sede en los Países Bajos, ha descubierto cinco fallas en el sistema Terrestrial Trunked Radio (TETRA).
Se cree que todas las redes de radio TETRA son vulnerables a los problemas, a los que se les ha dado el nombre TETRA:BURST. Brindan la posibilidad de que un adversario decodifique las comunicaciones en tiempo real o después del hecho, inserte mensajes, anonimice a los usuarios o cambie la clave de sesión a cero para participar en la interceptación del enlace ascendente.
Dos de los temas se consideran de vital importancia. La primera vulnerabilidad, identificada como CVE-2022-24401, se refiere a un ataque de descifrado de Oracle y es capaz de exponer la transmisión de texto, voz o datos. Debido a que el generador de flujo de claves Air Interface Encryption (AIE) depende del tiempo de la red, que se transmite abiertamente y sin cifrado, esto es posible.
La segunda falla, conocida como CVE-2022-24402, es una falla de ingeniería. Según los investigadores, el método de encriptación TEA1 “tiene una puerta trasera que reduce la clave original de 80 bits a un tamaño de clave que es trivialmente de fuerza bruta en el hardware del consumidor en minutos”.
CVE-2022-24404 es una vulnerabilidad de alta gravedad que surge de la falta de autenticación de texto cifrado en el AIE que permite un ataque de maleabilidad. CVE-2022-24403 es una vulnerabilidad de alta gravedad que permite identificar y rastrear identidades de radio debido a un diseño criptográfico débil. CVE-2022-24400 es una vulnerabilidad de baja gravedad que permite que la confidencialidad se vea parcialmente comprometida a través de un algoritmo de autenticación defectuoso. Estas tres vulnerabilidades son menos graves.
El equipo de Midnight Blue sostiene que la “puerta trasera”, como la llaman, es el resultado de elecciones intencionales realizadas durante la construcción del algoritmo. Es probable que esto se hiciera para facilitar la exportación de la tecnología de encriptación; De acuerdo con una serie de leyes y reglamentos, a veces es necesario reducir el nivel de seguridad.
Después de un procedimiento de divulgación extenso y encubierto financiado por la Fundación NLnet, Midnight Blue presentará sus resultados en la conferencia Black Hat en agosto.
En 1995, ETSI lanzó TETRA, que posteriormente fue utilizado por Motorola y Airbus. Debido a que hace uso de “criptografía secreta y propietaria”, establecer su seguridad puede ser difícil.
Los investigadores compraron una radio con tecnología TETRA de eBay, encontraron fallas en ella y extrajeron los cifrados criptográficos. Esto condujo al desarrollo de TETRA:BURST y el “paso de reducción secreta” en TEA1, que hizo posible decodificar las comunicaciones utilizando hardware económico.
Informes de noticias recientes han llamado la atención sobre dos vulnerabilidades graves de día cero que representan un riesgo para la seguridad digital de los productos Apple vendidos en todas las regiones del mundo. Ambas vulnerabilidades, a las que se les han asignado los identificadores CVE CVE-2023-37450 y CVE-2023-38606, se encontraron presentes en Motor de navegador WebKit y componente kernel para varias plataformas. Ambas vulnerabilidades han sido explotadas activamente, lo que hace imperativo que se preste atención rápida a estas fallas de seguridad. WebKit tiene una vulnerabilidad de seguridad que ha sido identificada como CVE-2023-37450. Si se explota, esta vulnerabilidad podría permitir que los actores maliciosos ejecuten código arbitrario en dispositivos susceptibles, dándoles el control de dichos dispositivos. El ataque comienza cuando una víctima visita un sitio web malicioso sin su conocimiento mientras usa un dispositivo que ya ha sido infectado. El iPhone 8 y los modelos posteriores, así como todas las versiones del iPad Pro, iPad Air (3.ª generación y posteriores), iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores, están incluidos en la lista de dispositivos afectados. MacOS Ventura también está involucrado.
Como reacción directa a esta vulnerabilidad, Apple ha reforzado su mecanismo de seguridad al incluir más comprobaciones con iOS 16.6, iPadOS 16.6 y macOS Ventura 13.5. A pesar de ello, la corporación continúa extremando la cautela, admitiendo en sus advertencias de seguridad que existe evidencia que sugiere que esta vulnerabilidad pudo haber sido explotada activamente. La empresa divulgó esta información en advertencias de seguridad que describían la vulnerabilidad. “Apple está al tanto de un informe de que este problema puede haber sido explotado activamente”, dijo la compañía.
UN ERROR DE KERNEL ZERO-DAY CON EL IDENTIFICADOR CVE-2023-38606
Los expertos de Kaspersky descubrieron la segunda vulnerabilidad, a la que se le dio el identificador CVE-2023-38606. Si se explotara este problema del kernel, permitiría a los atacantes “modificar el estado sensible del kernel” en iPhones y Mac, lo que les daría la posibilidad de tomar el control de estos dispositivos. El gigante tecnológico reveló esta información en avisos de seguridad que explican la vulnerabilidad. “Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7.1”, dijo la firma.
El peligro afecta a una amplia variedad de productos de Apple, como los sistemas operativos macOS Big Sur, Monterey y Ventura, así como a todos los modelos de iPhone a partir del iPhone 6s y en adelante. Todas las versiones del iPad Pro, iPad Air a partir de la 3.ª generación, iPad a partir de la 5.ª generación, iPad mini a partir de la 5.ª generación y iPod touch a partir de la 7.ª generación son susceptibles.
Apple ha reforzado su gestión estatal como respuesta a esta vulnerabilidad, que la empresa descubrió muy rápidamente. Por otro lado, el gigante tecnológico advirtió que las versiones de iOS que se lanzaron antes de iOS 15.7.1 pueden haber sido vulnerables a este error.
Para que los usuarios se defiendan de estos ataques, se recomienda encarecidamente que actualicen sus dispositivos a las versiones más recientes de iOS, iPadOS y macOS lo antes posible.
Se cree que decenas de miles, si no cientos de miles, de empleados se vieron afectados por un ataque cibernético que tuvo lugar en junio de 2023. El ataque utilizó una falla en un programa de transferencia de archivos llamado MOVEit que fue distribuido por Progress Software para obtener acceso a los sistemas de tecnología de la información de las empresas .
Zellis, una empresa que brinda servicios de nómina a corporaciones en el Reino Unido, incluidas British Airways (BA), BBC, Boots y DHL, es una de las organizaciones que se han visto afectadas por este problema. Como consecuencia directa del ciberataque a Zellis, se ha obtenido información de identificación personal de trabajadores actuales y anteriores de BA, BBC, Boots y DHL. Zellis ha publicado un comunicado en el que confirma que ha sido víctima de una filtración de datos, que ha afectado a algunos de sus clientes. Desde entonces, British Airways, BBC, Boots y DHL han notificado a aquellos trabajadores y ex empleados cuya información personal se vio comprometida que han sido pirateados.
Los siguientes son parte de la violación de datos:
En el caso de DHL, esto incluye el número de nómina de DHL de los trabajadores, nombre, apellido, fecha de nacimiento, número de seguro nacional, primera línea de la dirección, fecha de inicio del empleo, fecha de finalización del empleo (para los que se van), fecha de inicio del empleo y primera línea de la dirección.
El hecho de que este ciberataque sea bastante similar a otros que ha llevado a cabo la infame pandilla rusa de ransomware C10p ( Clop) ha llevado a expertos en el campo de la tecnología de la información a concluir que el grupo es responsable del ataque. Además, Clop ha publicado una advertencia en su sitio web darknet indicando que han explotado vulnerabilidades en el software MOVEit para robar datos de “cientos de empresas”. Les han dicho a las organizaciones afectadas que se pongan en contacto con ellos para llegar a un acuerdo sobre el pago de un rescate, o de lo contrario empezarían a divulgar el material que han robado. Tras el vencimiento de la fecha límite, Clop comenzó a identificar públicamente a las corporaciones y a exponer los datos que han robado. Hasta el día de hoy, parece que no han podido identificar a Zellis, BA, BBC, Boots o DHL.
Los investigadores de Emsisoft han estado haciendo un seguimiento de la cantidad de empresas implicadas. Han descubierto que al menos 383 organizaciones se han visto afectadas y, como consecuencia, la información de 20.421.414 personas se ha visto comprometida.
Esta semana, muchas organizaciones en Maine confirmaron los datos a los que se podía acceder a través de MOVEit mediante la presentación de documentación ante las autoridades reguladoras del estado. Algunos bancos y otras instituciones financieras han informado que cientos de miles de sus clientes se han visto comprometidos, mientras que otras empresas más destacadas han verificado violaciones de datos con menos personas afectadas.
Se espera que solo una pequeña cantidad de personas a las que MOVEit les robó sus datos pague una compensación, según las estimaciones proporcionadas por Coveware. A pesar de esto, todavía se anticipa que Clop adquiriría entre $ 75 y $ 100 millones solo con estos pagos, lo que no sorprende considerando las enormes demandas de rescate.
Según Coveware, “es probable que el grupo CloP gane entre $75 y $100 millones de dólares solo con la campaña MOVEit”, y ese total proviene solo de un pequeño número de víctimas que sucumbieron a pagos extremadamente costosos. “Es probable que el grupo CloP gane entre $75 y $100 millones de dólares solo con la campaña MOVEit”.
Una versión de código abierto del protocolo Secure Shell (SSH), OpenSSH, proporciona un poderoso conjunto de servicios diseñado para proporcionar comunicaciones cifradas a través de una red no segura en una arquitectura cliente-servidor. Estos servicios son ofrecidos por OpenSSH. OpenSSH es un arma esencial en el inventario de seguridad cibernética de innumerables empresas y organizaciones porque proporciona la base para interacciones seguras dentro de redes seguras. La implementación más popular del protocolo Secure Shell en el mundo ha lanzado una actualización para corregir la vulnerabilidad más reciente, conocida como CVE-2023-38408. El equipo de asesoramiento de seguridad de Qualys fue quien descubrió esta vulnerabilidad, causada por la posibilidad de ejecución remota de código en el ssh-agent reenviado de OpenSSH .
El ssh-agent es un jugador importante a considerar en este entorno. Este es un software de ayuda que agiliza el proceso de autenticación de usuarios manteniendo un registro de las claves de identidad y frases de contraseña utilizadas por los usuarios. Es posible que los usuarios se conecten a diferentes servidores sin tener que volver a ingresar su contraseña o frase de contraseña después de que las claves se hayan guardado en ssh-agent, lo que da como resultado una experiencia de inicio de sesión único (SSO) fluida. Los acontecimientos recientes, por otro lado, han demostrado que incluso un sistema con buenas intenciones puede contener una falla que podría conducir a consecuencias catastróficas.
CVE-2023-38408 es una vulnerabilidad que permite la ejecución remota de código y se encuentra dentro de la función de reenvío del agente ssh. Esta vulnerabilidad es especialmente pertinente para los proveedores de PKCS#11. En algunas circunstancias, se puede abusar de la compatibilidad de ssh-agent con PKCS#11 para permitir la ejecución remota de código a través de un socket de agente reenviado. Esto solo se puede hacer si se cumplen ciertos requisitos.
La disponibilidad de ciertas bibliotecas en el sistema de destino es una de las condiciones para explotar la vulnerabilidad. Otro criterio es que el agente debe ser enviado a un sistema bajo el control del atacante. Por lo tanto, un ciberdelincuente que sea capaz de satisfacer estos requisitos previos puede explotar la vulnerabilidad y ejecutar código remoto si tiene la oportunidad de hacerlo.
Existen medidas de seguridad para evitar que se aproveche esta vulnerabilidad, a pesar de que puede parecer bastante peligrosa. Para protegerse contra el riesgo que representa esta vulnerabilidad, debe:
Actualice a OpenSSH 9.3p2 o posterior.
Puede restringir OpenSSH para que solo acepte ciertos proveedores de PKCS#11 configurando el servidor.
Cuando envíe su agente SSH a servidores que no son de confianza, tenga cuidado.
Debe escanear su sistema en busca de malware malicioso si tiene alguna razón para creer que la seguridad de su sistema puede haber sido violada.
Se recomienda enfáticamente que los usuarios de OpenSSH reenvíen la actualización de ssh-agent a la versión más reciente para protegerse de actividades fraudulentas.
La Comisión Federal de Comunicaciones (FCC) de los Estados Unidos presentó recientemente una propuesta para un estándar de seguridad de dispositivos inteligentes que se denominó “Marca de confianza cibernética de EE. UU.”. Esta propuesta fue hecha pública por los Estados Unidos. El objetivo del programa es brindar asistencia a los usuarios finales en el proceso de elección de productos inteligentes que cuenten con un mayor nivel de seguridad. Esto incluye una amplia variedad de electrodomésticos inteligentes, como refrigeradores, microondas, televisores y rastreadores de actividad física. El esquema de certificación y etiquetado de ciberseguridad fue presentado hoy por la Administración Biden-Harris. El nuevo programa “US Cyber Trust Mark” propuesto por la presidenta Jessica Rosenworcel de la Comisión Federal de Comunicaciones (FCC).
Muchos de los minoristas, mayoristas y grupos comerciales más grandes del mundo para las industrias de productos electrónicos de consumo, electrodomésticos y bienes de consumo se han comprometido voluntariamente a mejorar el nivel de ciberseguridad incluido en los artículos que venden. Amazon, Best Buy, Google, LG Electronics USA, Logitech y Samsung Electronics se encuentran entre los fabricantes y comerciantes que han anunciado hoy su apoyo y compromiso con la iniciativa. Se adjuntaría una “Marca de confianza cibernética de EE. UU.” de nuevo diseño en forma de un emblema de escudo distintivo a los artículos que cumplan con los estándares de seguridad cibernética definidos en caso de que el nuevo programa se implemente según lo planeado. Esta marca sería visible para los clientes.
La Comisión Federal de Comunicaciones (FCC), actuando bajo sus responsabilidades de regular los dispositivos de comunicación inalámbrica, está programada para buscar la opinión pública sobre el esquema voluntario de etiquetado de seguridad cibernética propuesto, que se prevé que esté en funcionamiento en 2024. Esto se hará de acuerdo con las autoridades de la FCC para regular los dispositivos de comunicación inalámbrica. De acuerdo con el plan actual, el programa haría uso de los esfuerzos liderados por las partes interesadas para certificar y etiquetar productos. La certificación y el etiquetado se basarían en criterios particulares de ciberseguridad publicados por el Instituto Nacional de Estándares y Tecnología (NIST), que, entre otras cosas, exige el uso de contraseñas predeterminadas únicas y sólidas, protección de datos, actualizaciones de software y capacidades de detección de incidentes. .
La administración actual, incluida la Agencia de Seguridad de Infraestructura y Ciberseguridad, brindará asistencia a la Comisión Federal de Comunicaciones (FCC) en sus esfuerzos por educar a los clientes para que busquen la nueva etiqueta cuando tomen decisiones de compra y para alentar a los grandes minoristas de EE. UU. a priorizar los artículos etiquetados cuando colocándolos en los estantes de las tiendas y haciéndolos disponibles en línea. Estas iniciativas pretenden animar a los grandes minoristas a dar más protagonismo a los productos etiquetados.
La Comisión Federal de Comunicaciones (FCC) planea ofrecer a los clientes información de seguridad detallada y similar sobre estos dispositivos inteligentes mediante el uso de un código QR que se vincula a un registro nacional de dispositivos aprobados. La Comisión tiene la intención de implementar protecciones de supervisión y cumplimiento para preservar la confianza en el programa, y esperan hacerlo en colaboración con otras agencias reguladoras, incluido el Departamento de Justicia de los Estados Unidos.
El Instituto Nacional de Estándares y Tecnología (NIST) comenzará de inmediato un esfuerzo para especificar los criterios de seguridad cibernética para los enrutadores de nivel de consumidor, que son un tipo de equipo de mayor riesgo que, si se piratea, puede usarse para espiar, robar contraseñas y apuntar a otros dispositivos y redes de alto valor. El NIST terminará este trabajo a fines de 2023, momento en el cual la Comisión podrá decidir si adopta o no estos estándares para ampliar el alcance del programa de etiquetado para incluir enrutadores de grado de consumo.
El Departamento de Energía de los Estados Unidos (DOE) también anunció hoy un esfuerzo colaborativo para explorar y establecer estándares de etiquetado de seguridad cibernética para medidores inteligentes e inversores de energía, ambos componentes clave de la red inteligente y limpia del futuro. Este trabajo se llevará a cabo en conjunto con National Labs y socios de la industria. El Departamento de Estado de los Estados Unidos se dedica a brindar asistencia a la Comisión Federal de Comunicaciones (FCC) para involucrar a amigos y socios en el proceso de armonización de estándares y lograr la aceptación mutua de iniciativas de etiquetado comparables a escala internacional.
Amazon, Best Buy, Carnegie Mellon University, CyLab, Cisco Systems, Connectivity Standards Alliance, Consumer Technology Association, Consumer Reports, Google, Infineon, Information Technology Industry Council, IoXT, KeySight, LG Electronics USA, Logitech, OpenPolicy, Qualcomm, Samsung Electronics, UL Solutions, Yale y August US se encuentran entre los participantes en el anuncio de hoy.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha elaborado una lista de herramientas gratuitas que las empresas pueden usar para protegerse en entornos basados en la nube . Según el artículo publicado por CISA, estas herramientas ayudarán a los analistas de respuesta a incidentes y a los defensores de la red a mitigar, identificar y detectar amenazas, vulnerabilidades conocidas y anomalías que ocurren en entornos híbridos o basados en la nube. Durante un ataque, los actores de amenazas generalmente han centrado su atención en los servidores ubicados en las instalaciones. Sin embargo, varios actores de amenazas se han visto atraídos por la rápida expansión de la migración a la nube para apuntar a los sistemas en la nube debido a la gran cantidad de vectores de ataque que están disponibles cuando se trata de la nube.
Las organizaciones que no tienen las capacidades esenciales para protegerse contra los ataques basados en la nube pueden beneficiarse de las herramientas que proporciona CISA . Estas tecnologías pueden ayudar a los usuarios a proteger sus recursos en la nube contra el robo de datos, la exposición de la información y el robo de información, respectivamente.
La Cloud Industry Security Alliance (CISA) declaró que las empresas deben utilizar las funciones de seguridad proporcionadas por los proveedores de servicios en la nube y combinarlas con las herramientas gratuitas recomendadas por la CISA para defenderse de estos ataques. La siguiente es una lista de las herramientas que proporciona el CISA:
Herramienta de Evaluación de Ciberseguridad (CSET).
La herramienta SCuBAGear.
La herramienta de Untitled Goose
Herramienta de Decider
Memory Forensic on Cloud (JPCERT/CC) es una oferta de Japan CERT.
LA HERRAMIENTA DE EVALUACIÓN DE CIBERSEGURIDAD, TAMBIÉN CONOCIDA COMO CSET.
Con el propósito de asistir a las empresas en la evaluación de su postura de ciberseguridad, CISA creó esta herramienta, que hace uso de estándares, lineamientos y recomendaciones ampliamente aceptados en la industria. La herramienta hace múltiples preguntas sobre reglas y procedimientos operativos, así como consultas sobre el diseño del sistema. Luego, esta información se utiliza para desarrollar un informe que brinda una visión integral de las fortalezas y deficiencias de los negocios, junto con sugerencias para remediarlo. Los Objetivos de rendimiento cibernético (CPG) intersectoriales están incluidos en la versión 11.5 de CSET. Estos objetivos fueron establecidos por el Instituto Nacional de Estándares y Tecnología (NIST) en colaboración con la Asociación de la Industria de Seguridad Informática (CISA).
La GPC es capaz de dar las mejores prácticas y pautas que deben seguir todas las organizaciones. Esta herramienta puede ayudar en la lucha contra los TTP predominantes y significativos.
HERRAMIENTA DE EVALUACIÓN DE REFERENCIA DE CONFIGURACIÓN SEGURA DE M365, SCUBAGEAR
SCuBAGear es una herramienta que se desarrolló como parte del proyecto SCuBA (Secure Cloud Business Applications). Este proyecto se inició como una reacción directa al hackeo de la cadena de suministro que ocurrió con el software SolarWinds Orion. SCuBA es una pieza de software automatizado que hace comparaciones entre el Poder Ejecutivo Civil Federal (FECB) y las configuraciones M365 Secure de CISA. CISA, en conjunto con SCuBAGear, ha producido una serie de materiales que pueden servir como guía para la seguridad en la nube y son de utilidad para todo tipo de empresas. Esta herramienta resultó en la creación de tres documentos diferentes:
Arquitectura de referencia técnica (TRA) de SCuBA: ofrece bloques de construcción fundamentales para reforzar la seguridad de los entornos de almacenamiento en la nube. Las aplicaciones comerciales basadas en la nube (para modelos SaaS) y los servicios de seguridad que se utilizan para protegerlos y monitorearlos están incluidos en el ámbito de TRA.
La arquitectura de soluciones de identidad híbrida proporciona los mejores métodos posibles para abordar la gestión de identidades en un entorno alojado en la nube.
Línea de base de configuración de seguridad (SCB) de M365: ofrece configuraciones de seguridad fundamentales para Microsoft Defender 365, OneDrive, Azure Active Directory, Exchange Online y otros servicios. Esta aplicación genera un informe HTML que detalla las desviaciones de políticas descritas en las pautas de M365 SCB y las presenta.
HERRAMIENTA DE UNTITLED GOOSE
La herramienta, que se creó en colaboración con Sandia National Laboratories, está diseñada para ayudar a los defensores de la red a localizar comportamientos dañinos en Microsoft Azure, Active Directory y Microsoft 365. Además, permite consultar, exportar e investigar registros de auditoría. Organizaciones Quienes no importen este tipo de registros en su plataforma de Gestión de incidentes y eventos de seguridad (SIEM) encontrarán que esta aplicación es muy útil. Se diseñó como una alternativa a las herramientas de PowerShell que estaban disponibles en ese momento, ya que esas herramientas carecían de la capacidad de recopilar datos para Azure, AAD y M365.
Esta es una herramienta que Network Defenders puede usar para,
Extracción de artefactos en la nube de Active Directory, Microsoft Azure y Microsoft 365
Los registros de auditoría unificados (UAL) deben tener un límite de tiempo realizado en ellos.
Recopile datos utilizando la función de límite de tiempo de la herramienta de decisión de datos MDE (Microsoft Defender Endpoint).
Los analistas de respuesta a incidentes pueden encontrar útil mapear acciones maliciosas utilizando esta herramienta junto con la metodología MITRE ATT&CK. Además de esto, hace que sus métodos sean más accesibles y ofrece orientación para diseñar sus acciones de manera adecuada.
HERRAMIENTA DE DECIDER
Esta herramienta, al igual que el CSET, hace una serie de preguntas para dar a los usuarios consultas relevantes con el fin de seleccionar la técnica de identificación más eficaz. Los usuarios ahora tienen la capacidad de, dada toda esta información:
Exporte mapas de calor desde ATT&CK Navigator.
Publique informes sobre la inteligencia de amenazas que ha recopilado.
Determinar y poner en práctica las medidas preventivas oportunas.
Prevenir la explotación
Además, CISA ha proporcionado un enlace que describe cómo utilizar la herramienta Decider.
ANÁLISIS FORENSE DE MEMORIA EN LA NUBE (JPCERT/CC)
Fue creado para construir y analizar la imagen de memoria de Windows en AWS utilizando Volatility 3, razón por la cual se desarrolló. Además, Memory Forensics es necesario cuando se trata de los ataques LOTL (Living-Off-the-Land) recientemente populares, que también se conocen como malware sin archivos.
El análisis de imágenes de memoria puede ser útil durante los compromisos de respuesta a incidentes, que a menudo requieren el uso de equipos de alta especificación, una cantidad significativa de tiempo y otros recursos para preparar adecuadamente el entorno.
Microsoft aún no sabe cómo los hackers apoyados por China obtuvieron una clave que les dio acceso para ingresar de forma encubierta a docenas de bandejas de entrada de correo electrónico, incluidas las que pertenecen a varias organizaciones del gobierno federal, y la compañía no desea compartir esta información con nadie. Microsoft anunció el evento el martes anterior y atribuyó el comportamiento que tuvo lugar durante el mes anterior a una organización de espionaje recién descubierta a la que llamó Storm-0558. La empresa cree que este grupo tiene una conexión significativa con China. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) dijo que las infracciones comenzaron a mediados de mayo e involucraron a un número limitado de cuentas gubernamentales, que se afirmaba que tenían un solo dígito. Además, la agencia declaró que los hackers robaron algunos datos de correo electrónico no clasificados. El miércoles, la vocera principal del Ministerio de Relaciones Exteriores de China refutó los cargos, a pesar de que el gobierno de Estados Unidos no se ha atribuido formalmente la responsabilidad por el evento.
En cambio, este grupo de hackers fue directamente a la fuente al apuntar a vulnerabilidades nuevas y no reportadas en la nube de Microsoft, en contraste con lo que China ha hecho, que fue irrumpir individualmente en los servidores de correo electrónico con tecnología de Microsoft para tomar datos comerciales. China empleó fallas que no se conocían previamente para hacer esto.
Microsoft dijo en una publicación de blog que los hackers pudieron obtener una de las claves de firma del consumidor de la empresa, también conocida como clave MSA. La empresa utiliza estas claves para proteger las cuentas de correo electrónico de los clientes, como las que se utilizan para acceder a Outlook.com. Microsoft ha dicho que primero creyó que los hackers estaban falsificando tokens de autenticación utilizando una clave de firma comercial obtenida. Estos tokens de autenticación se utilizan para proteger las cuentas de correo electrónico corporativas y empresariales. Sin embargo, Microsoft descubrió que los hackers estaban utilizando la clave MSA del consumidor para fabricar tokens que les permitieron acceder a las bandejas de entrada de las empresas. Estos tokens se falsificaron utilizando la clave MSA del consumidor.
Microsoft ha dicho que ha detenido “toda la actividad de los actores” relacionada con este evento, lo que puede indicar que el ataque ha concluido y que los piratas informáticos han perdido el acceso al sistema. Aunque se desconoce cómo Microsoft perdió el control de sus propias claves, la corporación ha dicho que ha reforzado sus procesos de emisión de claves, muy probablemente para evitar que los piratas informáticos produzcan otra clave maestra digital. Esto a pesar de que no está claro cómo Microsoft perdió el control de sus propias claves.
Los hackers hicieron mal una cosa muy importante. Microsoft dijo que los investigadores pudieron “ver todas las solicitudes de acceso de los actores que siguieron este patrón tanto en nuestros sistemas empresariales como de consumo”, ya que los hackers habían usado la misma clave para acceder a muchas bandejas de entrada a lo largo de su investigación.
A pesar de que la divulgación ampliada de Microsoft proporcionó un vistazo de más datos técnicos y señales de penetración que los respondedores de incidentes pueden revisar para ver si sus redes fueron atacadas, el gigante tecnológico aún tiene preguntas que responder.
La prestación de servicios de fotografía Shutterfly es una de las empresas más recientes en caer presa del ransomware Clop, aunque la empresa insiste en que los datos de los consumidores y del personal no están en riesgo. Los operadores del ransomware Clop han explotado vulnerabilidades clave en la aplicación de transferencia de archivos MOVEit ampliamente utilizada para obtener acceso a las redes informáticas de cientos de empresas, muchas de las cuales son líderes en sus respectivos sectores.
El proveedor masivo de fotografías Shutterfly, que tiene su sede en California, se ha convertido en la víctima más reciente del sitio de fuga de datos dirigido por Clop. La firma opera una serie de otras marcas además de Shutterfly.com. Algunos ejemplos de estas marcas son Spoonflower, Snapfish, Lifetouch y Shutterfly Business Solutions (SBS).
Esta semana, el grupo de ransomware Clop publicó un blog en el que afirmaba que “a la empresa no le importan sus clientes [y] ignoró su seguridad”.
Sin embargo, en un comunicado, una portavoz de Shutterfly está en total desacuerdo con esta evaluación.
“Shutterfly puede confirmar que fue una de las varias empresas vulnerables debido a la falla de MOVEit. Según la persona que habló con el sitio de noticias cibernéticas, la sección de negocios empresariales de Shutterfly conocida como Shutterfly Business Solutions (SBS) ha utilizado la plataforma MOVEit para parte de sus operaciones.
“Tan pronto como la empresa se dio cuenta de la vulnerabilidad a principios de junio, se movió rápidamente para tomar medidas. Inmediatamente desconectaron los sistemas relevantes, implementaron parches proporcionados por MOVEit e iniciaron una revisión forense de ciertos sistemas con la ayuda de firmas forenses líderes”.
“Después de realizar una investigación en profundidad con la ayuda de una firma forense líder de terceros, no tenemos indicios de que ningún dato de consumidor de Shutterfly.com, Snapfish, Lifetouch o Spoonflower o cualquier información de los empleados se haya visto afectado por la vulnerabilidad de MOVEit”. dijo el portavoz. “Los datos de los consumidores de Shutterfly.com, Snapfish, Lifetouch y Spoonflower tampoco se vieron afectados por la vulnerabilidad de MOVEit”.
No está claro qué información pretende utilizar Clop para chantajear al gigante de la imagen. Si Shutterfly ha determinado que los datos del cliente están seguros, entonces lo único que Clop puede usar como palanca es su propiedad intelectual, siempre que hayan logrado obtener algo. Cada semana, aumenta la cantidad de empresas cuyos sistemas han sido comprometidos por Clop debido a instancias de MOVEit sin parches. El desarrollador de MOVEit, Progress Software, emitió una advertencia en junio de que su plataforma de transferencia de archivos incluía un total de tres vulnerabilidades que los actores malintencionados podrían aprovechar. La empresa pone a disposición de los administradores de TI múltiples recursos para frustrar las amenazas.
El bootkit Blacklotus se desarrolló expresamente para Windows y apareció por primera vez en foros de hackers en octubre del año anterior. Se describió que tenía capacidades de nivel APT, incluida la capacidad de eludir el arranque seguro y el control de acceso de usuario (UAC), así como la capacidad de desactivar el software de seguridad y los mecanismos defensivos en las computadoras de las víctimas. Los actores de amenazas de varios niveles de habilidad pudieron comprar BlackLotus cuando se ofreció a la venta por primera vez en foros de piratas informáticos por tan solo $ 5,000, lo que les dio acceso a malware que a menudo se asocia con operaciones de piratería patrocinadas por el estado. Sin embargo, el autor de la amenaza ocultó el código fuente y cobró a los clientes $200 por las reconstrucciones si deseaban modificar el bootkit de alguna manera.c
Microsoft publicó un conjunto de recursos en abril destinados a ayudar a los cazadores de amenazas a reconocer las infecciones de BlackLotus. La Agencia de Seguridad Nacional (NSA) publicó algunas pautas en junio para ayudar a las empresas a fortalecer sus defensas contra la amenaza.
Aunque tiene una serie de alteraciones en comparación con la forma inicial del malware, el código fuente original del bootkit BlackLotus UEFI se ha puesto a disposición del público en GitHub .
El exploit ‘Baton Drop’ que apunta a CVE-2022-21894 se eliminó del código fuente de BlackLotus que se lanzó en GitHub el miércoles. Además, el código fuente de BlackLotus ahora emplea el rootkit de firmware UEFI bootlicker, aunque aún conserva la mayor parte del código original.
El hecho de que el código fuente del bootkit esté disponible para el público plantea un peligro considerable, principalmente porque puede combinarse con vulnerabilidades recién descubiertas para abrir puntos de entrada de ataques no descubiertos previamente. BlackLotus pudo utilizar el ataque a pesar de que CVE-2022-21894 se había corregido el año anterior. Esto fue posible porque los binarios vulnerables no se habían incluido en la lista de revocación de UEFI. Esto demuestra cómo incluso las vulnerabilidades que se han reparado pueden presentar un impacto a largo plazo en la cadena de suministro de toda la industria.
Sin embargo, dado que se filtró el código fuente, ahora es muy fácil para los actores de amenazas combinar el kit de arranque con nuevas vulnerabilidades del cargador de arranque, ya sean conocidas o no descubiertas. Los métodos utilizados por el bootkit ya no son innovadores.
Tenga cuidado de adherirse a la extensa guía de mitigación que la NSA emitió hace un mes para proteger sus computadoras contra el ataque del bootkit BlackLotus UEFI.
Debido a que ahora se puede acceder libremente al código fuente del bootkit, es factible que los creadores de malware expertos diseñen variaciones más potentes que puedan eludir las contramedidas disponibles actualmente y las que se desarrollarán en el futuro.
Microsoft informó una vulnerabilidad previamente desconocida conocida como falla de día cero que estaba presente en muchas versiones de Windows y Office y estaba siendo explotada activamente en la naturaleza. La vulnerabilidad, que fue rastreada y recibió el identificador CVE-2023-36884, fue utilizada por actores de estados nacionales y ciberdelincuentes para adquirir la ejecución remota de código mediante el uso de documentos de Office infectados. La enorme empresa de tecnología de la información está investigando denuncias de muchas vulnerabilidades que permiten la ejecución remota de código y afectan a los productos de Windows y Office. La firma dijo que está al tanto de los ataques de alto objetivo que tienen como objetivo explotar estas debilidades utilizando documentos de Office especialmente creados. Estos ataques fueron expuestos por la corporación. Microsoft está intentando solucionar el problema, y los investigadores de seguridad han sugerido que se puede solucionar con un parche fuera de banda que se puede enviar antes de la actualización del martes de parches de agosto.
Microsoft reveló en un artículo separado que identificó un esfuerzo de phishing llevado a cabo por la organización rusa de ciberdelincuencia conocida como Storm-0978 (también conocida como DEV-0978 y RomCom), con la intención de apuntar a organizaciones militares y gubernamentales en Europa. y América del Norte. Se descubrió que los actores de amenazas intentaban aprovechar la vulnerabilidad CVE-2023-36884 utilizando señuelos asociados con el Congreso Mundial de Ucrania.
Esta vulnerabilidad de día cero permite que atacantes no autenticados lleven a cabo ataques de alta complejidad sin necesidad de que el usuario se involucre.
Storm-0978, a veces conocida como DEV-0978, es una organización ciberdelincuente con sede en Rusia que es conocida por participar en las acciones ilegales que se enumeran a continuación:
Extorsión con ransomware utilizado con fines oportunistas
Campañas dirigidas específicamente a la recogida de credenciales
Posiblemente ayudando en las actividades de las agencias de inteligencia.
El malware Storm-0978 se dirige a las empresas mediante la difusión de copias troyanizadas de software popular, lo que finalmente conduce a la instalación de RomCom, la puerta trasera del malware. RomCom es el nombre de su puerta trasera.
Si los atacantes logran explotarlo, obtendrán las siguientes habilidades:
1. Obtener acceso a información confidencial
2. Desactiva la protección del sistema
3. Deniega el acceso
Los parches estarán disponibles para todos los clientes de Microsoft lo más rápido posible, una garantía que les dio la compañía a pesar de que la vulnerabilidad aún no ha sido resuelta.
MITIGACIONES
Los clientes que usan Microsoft Defender para Office están protegidos contra archivos adjuntos que intentan aprovechar esta vulnerabilidad.
La adopción de la regla de reducción de la superficie de ataque para bloquear todos los programas de Office para que no inicien procesos secundarios evitará que la vulnerabilidad se utilice en las cadenas de ataque actuales. Esta regla reducirá la superficie de ataque.
Para evitar ser explotados, las organizaciones que no pueden hacer uso de estas precauciones pueden evitar ser explotados configurando la entrada de registro FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION. Tenga en cuenta que, a pesar de que los ajustes de registro antes mencionados evitarían que se explotara el problema, podrían interrumpir la funcionalidad operativa normal de casos de uso específicos que están vinculados a estas aplicaciones. En esta entrada de registro, agregue los nombres de las aplicaciones en la siguiente lista como valores de tipo REG_DWORD con datos 1:
