Alertas

Aviso sobre amenazas a la ciberseguridad: ejecución remota crítica de código de Microsoft Windows

Microsoft lanzó una actualización de emergencia para una vulnerabilidad crítica de ejecución remota de código para todas las versiones de Windows que aún reciben actualizaciones de seguridad (Windows 7+ y Server 2008+). Esta vulnerabilidad permite que un atacante utilice el software para ejecutar código arbitrario desde una aplicación de llamadas como Word. Recomendamos leer las instrucciones en el sitio web de Microsoft aquí o en nuestra sección de referencias para deshabilitar el protocolo URL de MSDT.

¿Cuál es la amenaza?

Existe una vulnerabilidad de ejecución remota de código en las versiones actuales de Windows 7+ y Server 2008+. Un atacante que ejecute con éxito este código remoto puede obtener el control de la aplicación Microsoft Word. Esta vulnerabilidad de ejecución remota de código existe cuando se llama a la Herramienta de diagnóstico de soporte de Microsoft (MSDT) mediante el protocolo URL de Word. Esta vulnerabilidad se ha categorizado como de día cero, lo que indica que se trata de una falla desconocida.

¿Por qué es notable?

Esta vulnerabilidad existe en todas las versiones actuales de Microsoft Windows, que es el sistema operativo que admite una función básica de las computadoras, como ejecutar aplicaciones y controlar periféricos. Microsoft se ha visto afectado por vulnerabilidades de día cero similares que datan de 2009. Con la noticia de esta vulnerabilidad de día cero saliendo a la luz, es probable que los atacantes aceleren los ataques a los objetivos cuando sea posible, mientras esa ventana permanezca abierta.

¿Cuál es la exposición o el riesgo?

Cuando se explota, esta vulnerabilidad permite que un atacante tenga acceso completo y sin restricciones a la aplicación de Windows. Si un atacante tiene privilegios de la aplicación que llama, puede instalar programas, ver, cambiar, eliminar datos o crear nuevas cuentas fácilmente en el contexto permitido por los derechos del usuario. Estos privilegios le brindan al atacante las herramientas para llevar a cabo un evento de ransomware y Compromiso de correo electrónico comercial (BEC) que puede provocar la pérdida temporal o permanente de información confidencial o patentada, la interrupción de las operaciones regulares, pérdidas financieras y daños potenciales a la reputación de una organización.

¿Cuáles son las recomendaciones?

Barracuda MSP recomienda las siguientes acciones para limitar el impacto de un ataque de ejecución de código arbitrario:

  • Siguiendo nuestro enlace de referencia para deshabilitar el protocolo URL de MSDT.
  • Esté atento a cualquier posible actividad no autorizada nueva.
  • Mantener todas las aplicaciones actualizadas aplicando así nuevas medidas de seguridad
  • Continúe manteniéndose al día con nuestros avisos de amenazas para obtener actualizaciones.

Fuente: Smartermsp.com

Un fallo en Sudo permite tener privilegios admin en Linux

Tener acceso como root a un sistema es uno de los objetivos que buscan los piratas informáticos. Es así como podrían obtener el control total. En este artículo nos hacemos eco de una vulnerabilidad que afecta a Sudo y que permitiría a cualquier usuario obtener privilegios de administrador. Un fallo que sin duda puede comprometer un sistema si termina en malas manos. Vamos a explicar en qué consiste.

Un error en Sudo permite tener acceso como administrador a un usuario

Cuando hablamos de Sudo nos referimos a un programa de Unix, de Linux, que permite a un administrador de sistemas con privilegios poder llevar a cabo determinados cambios y acciones que están limitados para los usuarios normales.

Este fallo que afecta a Sudo permite que cualquier usuario normal, sin permisos de administrador, pudiera obtener permisos de root y llevar a cabo cualquier cambio o acción que quisiera. Todo esto sin requerir ningún tipo de autenticación.

Root es el súper usuario del sistema. Una cuenta especial que sirve para administrar cambios importantes, instalar aplicaciones que puedan provocar algún tipo de problema en el equipo, etc. Básicamente es necesario para todos esos cambios relevantes que puedan tener lugar en un equipo Linux.

Un usuario normal, sin privilegios, puede utilizar el comando Sudo para actuar como root. Para ello debe tener permisos o conocer la contraseña del administrador. Esta vulnerabilidad, registrada como CVE-2021-3156, supone una escalada de privilegios. Fue descubierta el pasado 13 de enero por parte de un grupo de investigadores de seguridad de Qualys y han esperado a que hubiera parches disponibles para hacerla pública.

Por tanto podemos decir que este fallo ya ha sido corregido. Es muy importante que los usuarios cuenten con las últimas actualizaciones para corregirlo.

Los investigadores de Qualys indican que el problema se debe a un desbordamiento de búfer explotable por cualquier usuario local (usuarios normales y usuarios del sistema, enumerados en el archivo sudoers o no), y no se requiere que los atacantes conozcan la contraseña del usuario para explotar con éxito esta vulnerabilidad.

El desbordamiento de búfer que permite a cualquier usuario local obtener privilegios de root se activa cuando Sudo elimina incorrectamente las barras diagonales inversas en los argumentos.

Vulnerabilidad que afecta al cPanel

Tres exploits

Qualys creó tres exploits para CVE-2021-3156 para mostrar cómo los atacantes potenciales pueden abusar con éxito de esta vulnerabilidad. Usando estos exploits, los investigadores pudieron obtener privilegios de administrador completos en múltiples distribuciones de Linux, incluyendo Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31) y Fedora 33 (Sudo 1.9.2). Son algunas de las distribuciones más populares.

Desde Qualys aseguran que otras distribuciones y sistemas operativos compatibles con Sudo probablemente también podrían ser explotados utilizando exploits de CVE-2021-3156.

Los colaboradores de Sudo han solucionado la vulnerabilidad en la versión de sudo 1.9.5p2 que ya ha sido lanzada, al mismo tiempo que Qualys reveló públicamente sus hallazgos. Por tanto, todos los usuarios deberían contar con esta versión actualizada y estar protegidos correctamente.

Para probar si el sistema es vulnerable, podemos iniciar sesión como usuario no root y ejecutar el comando «sudoedit -s /». Los sistemas vulnerables enviarán un error comenzando con «sudoedit:» mientras que los parcheados mostrarán un error comenzando con «usage:».

Fuente: Redeszone.net

Elevación de privilegios en el kernel Linux

Un error en el componente «cgroups» del kernel Linux exponía operaciones privilegiadas a usuarios sin los permisos suficientes, lo que permitiría a un atacante elevar privilegios en un sistema vulnerable.

Un error en la función ‘cgroup_release_agent_write‘ localizada en el componente ‘kernel/cgroup/cgroup-v1.c‘, permitiría utilizar la funcionalidad ‘release_agent‘ del componente ‘cgroups v1‘ para elevar privilegios y escapar del entorno aislado. Esta vulnerabilidad ha recibido el código CVE-2022-0492 y una puntuación de 7.0.

Se ha publicado el parche que requiere al usuario los permisos necesarios para ejecutar la función privilegiada ‘release_agents‘:

!capable(CAP_SYS_ADMIN)

Como decíamos, un atacante que pueda escribir el fichero de ‘release_agent‘ podría escalar privilegios en el sistema. Sin embargo, este fichero sólo puede ser escrito por el usuario ‘root’. Parece pues un poco contradictorio una vulnerabilidad de elevación de privilegios que sólo pueda ser explotada por un usuario ‘root’. Sin embargo, que un usuario sea ‘root’ no significa que tenga el control total de la máquina. Es el caso de entornos aislados como contenedores docker.

En ese sentido, sólo los contenedores con un perfil más permisivo podrían ser explotables. Por defecto, los puntos de montaje de ‘cgroup’ son de ‘solo lectura’ y por lo tanto su fichero ‘release_agent’ no podría ser escrito.

Además los módulos de seguridad AppArmor y SELinux están activos por defecto, e impiden el montaje de sistemas de archivos. Para explotar esta vulnerabilidad habría que crear un punto de montaje para ‘cgroupfs’ y conseguir escribir en él. Cosa que algunos investigadores de seguridad han conseguido abusando del espacio de nombres del usuario o del permiso ‘CAP_SYS_ADMIN’.

Si sospechas que tus sistemas pueden ser vulnerables se recomienda actualizar cuanto antes los contenedores inseguros o aplicar alguna de las contramedidas siguientes:

  • Habilitar los módulos de seguridad AppArmor y SELinux.
  • Habilitar Seccomp
  • Desactivar los espacios de nombres de usuario no privilegiados con sudo sysctl -w kernel.unprivileged_userns_clone=0
  • Evitar que los procesos escriban en ‘release_agent’.

Estafa de Whatsapp: Atención que le está sucediendo a todo el mundo

Se trata de un mensaje de WhatsApp que solicita un código de verificación de 6 dígitos que supuestamente hemos recibido en nuestro smartphone.

El mensaje denunciado por miles de personas en distintas partes del mundo como estafa dice lo siguiente: “Hola, lo siento, te envíe un código de 6 dígitos por SMS por error, puedes pasar a mí por favor? es urgente”.

Lo grave es que la técnica para robarnos información utiliza a un remitente conocido por nosotros al cual sí tenemos agendado en nuestros contactos, pero como se trata de una estafa, obviamente los ciberdelincuentes están suplantando su identidad para hacernos caer en la trampa.

El token «Modo dios» de Facebook podría ser usado por ciberdelincuentes

¿Usas Facebook? ¿Tienes alguna extensión instalada en el navegador? Pues, cuidado si tienes instalada la extensión de Chrome que comentamos en este post, ya que podrías sufrir exfiltración de datos debido a que otorga a un servidor de terceros acceso a datos del usuario.

El token designado por el investigador en ciberseguridad Zach Edwards como “Modo Dios”, está expuesto en texto plano en las APIs del servicio, que se suelen usar para la integración de automatismos, módulos, plugins, etc… Ya en 2018 hubo problemas con este token, ya que se eliminaron 50 millones de cuentas de facebook debido a una “exposición simbólica”.

Francois Marier, ingeniero de seguridad de Brave, publicó en Github Issues, que ha descubierto que la extensión L.O.C. de Chrome expone los datos de la red social a un posible robo. Si un usuario tiene instalada esta extensión en el navegador y ha iniciado sesión en Facebook, la aplicación otorga el acceso a algunos datos del usuario a un servidor de terceros.

Fuente: Github

Pese a las declaraciones de Loc Mai, el creador de la aplicación L.O.C., en las que sostenía que, como indica la política de privacidad de su aplicación, no recolecta información del usuario. La aplicación almacena el token de manera local. Esto último hace que un desarrollador malicioso pueda utilizarlo para obtener datos del usuario. Por ejemplo, la API Graph de Facebook necesita de este token de acceso para funcionar. Esta API es una de las herramientas principales para que las aplicaciones puedan realizar tareas de lectura y escritura en la gráfica social de Facebook según indica su documentación.

Algunos navegadores como Brave, hacen alarde de cuidar la privacidad de los usuarios que utilizan este navegador, por lo que están bloqueando la instalación de la extensión L.O.C.

Fuente: Hispasec.com

Dirección

 Calle 67 # 8-16. Oficina 304

Bogotá, D.C. 110231

Colombia

Contacto

 Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

 +57 (601) 794-5739 Ext 2001

  +57 315 860-7000

Search