Los peligros de ver partidos en sitios “poco seguros”
Grupo Kapa 7 presenta plataforma de ciberseguridad con mayor
rendimiento en la industria mundial
Vulnerabilidades de Dia Cero en Microsoft Exchange
Microsoft ha lanzado actualizaciones de emergencia para abordar cuatro fallos de día cero que afectan a las versiones de Microsoft Exchange Server 2013, 2016 y 2019. Sin embargo, estas vulnerabilidades no afectan a la version de Exchange Online. Se han observado actores de amenazas explotando las vulnerabilidades para acceder a servidores de Exchange locales, lo que les permitió robar correos electrónicos, descargar datos y comprometer máquinas con malware para el acceso a largo plazo a las redes de víctimas.
Las vulnerabilidades de Microsoft Exchange Server son las siguientes:
- CVE-2021-26855: CVSS 9.1: una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que conduce a solicitudes HTTP creadas enviadas por atacantes no autenticados. Los servidores deben poder aceptar conexiones que no sean de confianza sobre el puerto 443 para que se active el error.
- CVE-2021-26857: CVSS 7.8: una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada de Exchange, lo que permite la implementación arbitraria de código en SYSTEM. Sin embargo, esta vulnerabilidad debe combinarse con otra o se deben usar credenciales robadas.
- CVE-2021-26858: CVSS 7.8: una vulnerabilidad de escritura de archivos arbitrarios posterior a la autenticación para escribir en rutas de acceso.
- CVE-2021-27065: CVSS 7.8: una vulnerabilidad de escritura de archivos arbitrarios posterior a la autenticación para escribir en rutas de acceso.
Todas estas vulnerabilidades pueden conducir a la ejecución remota de código (RCE), secuestro del servidor, puertas traseras, robo de datos, y potencialmente más implementación de malware.
Microsoft proporciono guías provisionales de opciones de mitigación en todo caso que no sea posible parchear inmediatamente. El 8 de marzo, se publicó un conjunto adicional de actualizaciones de seguridad que se pueden aplicar a actualizaciones acumulativas (CPU) más antiguas y no admitidas como medida temporal.
Las revisiones incluyen actualizaciones para las siguientes actualizaciones acumulativas:
Vulnerabilidades de ejecución remota de código dejan expuestos a miles de servidores VMware.
VMware recién publicó un aviso (VMSA-2021-0002) que describe tres vulnerabilidades descubiertas que afectan a VMware ESXi, VMware vCenter Server y VMware Cloud Foundation, estas vulnerabilidades han venido dejando miles de servidores de VMware expuesto a ataques de ejecución remota de codigo.
Las vulnerabilidades descubiertas son las siguientes:
CVE-2021-21972, “vSphere Client (HTML5) contiene una vulnerabilidad de ejecución remota de código en un complemento de vCenter Server. Un actor malintencionado con acceso de red al puerto 443 puede aprovechar este problema para ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente que aloja vCenter Server. Esto afecta a VMware vCenter Server (7.x antes de 7.0 U1c, 6.7 antes de 6.7 U3l y 6.5 antes de 6.5 U3n) y VMware Cloud Foundation (4.x antes de 4.2 y 3.x antes de 3.10.1.2) ”.
CVE-2021-21973, “vSphere Client (HTML5) contiene una vulnerabilidad SSRF (falsificación de solicitud del lado del servidor) debido a una validación incorrecta de las URL en un complemento de vCenter Server. Un actor malintencionado con acceso de red al puerto 443 puede aprovechar este problema enviando una solicitud POST al complemento de vCenter Server que conduce a la divulgación de información. Esto afecta a: VMware vCenter Server (7.x antes de 7.0 U1c, 6.7 antes de 6.7 U3l y 6.5 antes de 6.5 U3n) y VMware Cloud Foundation (4.x antes de 4.2 y 3.x antes de 3.10.1.2) ”.
CVE-2021-21974, “OpenSLP como se usa en ESXi (7.0 antes de ESXi70U1c-17325551, 6.7 antes de ESXi670-202102401-SG, 6.5 antes de ESXi650-202102101-SG) tiene una vulnerabilidad de desbordamiento de pila. Un actor malintencionado que reside dentro del mismo segmento de red que ESXi y que tiene acceso al puerto 427 puede desencadenar el problema de desbordamiento de pila en el servicio OpenSLP, lo que resulta en la ejecución remota de código «.
Recomendaciones.
El 23 de febrero de 2021, VMware lanzó los parches oficiales, dale click al enlace donde podras encontrar las actualizaciones que mitigan estas vulnerabilidades.
Encontrada falla de privacidad en TikTok.
Investigadores de la firma de ciberseguridad Check Point revelaron este martes una falla de seguridad ahora parcheada en TikTok que podría haber permitido a un atacante construir una base de datos de los usuarios de la aplicación y sus números de teléfono asociados para futuras actividades maliciosas.
El error recién descubierto reside en la función «Buscar amigos» de TikTok que permite a los usuarios sincronizar sus contactos con el servicio para identificar a las personas potenciales a seguir.
Los contactos se cargan en TikTok a través de una solicitud HTTP en forma de una lista que consta de nombres de contactos con hash y los números de teléfono correspondientes, se envía una segunda solicitud HTTP que recupera los perfiles de TikTok conectados a los números de teléfono enviados en la solicitud anterior. Esta respuesta incluye nombres de perfil, números de teléfono, fotos y otra información relacionada con el perfil.
Si bien las solicitudes de contacto de carga y sincronización están limitadas a 500 contactos por día, por usuario y por dispositivo, pero modificando las solicitudes HTTP (la cantidad de contactos que el atacante desea sincronizar) y volviendo a firmarlos con una firma de mensaje actualizada, la falla haria posible automatizar el procedimiento de carga y sincronización de contactos a gran escala y crear una base de datos de cuentas vinculadas y sus números de teléfono conectados.
TikTok ha implementado una solución para abordar la deficiencia tras la divulgación responsable de los investigadores de Check Point.
El phishing relacionado con Netflix, HBO, YouTube y Twitch aumenta un 108%
El confinamiento provocado por la irrupción del COVID-19 ha provocado un aumento mundial del consumo de plataformas de streaming. Por poner un ejemplo, solo en el primer fin de semana tras decretarse el estado de alarma en España, el acceso a este tipo de plataformas se incrementó en un 108%, según Statista.
Teniendo en cuenta este “boom” del consumo en streaming, Webroot, líder del mercado en seguridad y ciber-resiliencia y parte integrante de la compañía OpenText, ha publicado nuevas estadísticas que revelan un gran aumento en el phishing por URL que incluyen las palabras Netflix, HBO, YouTube y Twitch.
El sistema de protección anti-phishing en tiempo real de Webroot ha encontrado los siguientes aumentos porcentuales en URLs de phishing dirigidas a servicios de streaming mundiales durante el confinamiento vivido en marzo:
- Netflix – 525% más que en febrero
- YouTube – 3.064% de aumento respecto al mes anterior
- Twitch – 337% de incremento vs febrero
- HBO – 525% más al compararlo con febrero
A medida que el confinamiento ha ido alargándose en el tiempo, Webroot también ha descubierto que los ataques de phishing por URL relacionados con Netflix han pasado de un aumento del 525% de marzo a un 853% en mayo.
Los nombres famosos a menudo se utilizan para realizar estafas de phishing porque es una forma bastante simple y fácil de que los atacantes se dirijan a un gran volumen de personas. Desafortunadamente, estas amenazas se están volviendo más sofisticadas con el tiempo, y el uso de servicios populares de streaming permite a los ciberdelincuentes parecer más creíbles. Además, solo se necesita un clic para poner a los usuarios en riesgo.
Mejores sistemas de seguridad y de formación son clave para la protección, pero lo más importante que pueden hacer las empresas es realizar copias de seguridad de los datos y asegurarse de que se puedan restaurar en caso de que un ataque de phishing a un empleado provoque una infección de ransomware en la red de la empresa. Para defenderse de este tipo de ataques, las personas deben recibir formación que conciencie de la importancia de la seguridad y permanecer atentos a los tipos de correos electrónicos que reciben. Esto también debería estar respaldado por recursos tecnológicos de ciberseguridad, como el filtrado de correo electrónico, la protección antivirus y las políticas de contraseña segura.
COVID-19: se multiplican las campañas relacionadas con la vacuna
En las últimas semanas se están produciendo avances en el desarrollo de vacunas contra la COVID-19. Y es que, tanto la Universidad de Oxford como la de Moderna han hecho pública recientemente su intención de iniciar la 3ª etapa (de las cuatro necesarias) para encontrar la vacuna.
Sin embargo, no son los únicos que están acelerando sus procesos. Los cibercriminales también están aprovechando las últimas novedades relacionadas con la Covid-19 para lanzar campañas de ciberamenazas (principalmente phishing). De hecho, desde Check Point advierten de que entre junio y julio se ha duplicado el número de nuevos dominios relacionados con la vacuna, por lo que alertan sobre la necesidad de estar protegidos frente a estas amenazas.
Campañas relacionadas con la vacuna de la COVID-19
Los ciberdelincuentes se han aprovechado de los últimos avances en la carrera por desarrollar una vacuna, lo que ha dado lugar a una campaña de malspam que se ha llevado a cabo con el asunto del correo electrónico “CARTA DE INFORMACIÓN URGENTE: COVID-19 NUEVAS VACUNAS APROBADAS”. Estos emails adjuntaban documentos Excel infectados adjuntos que, al ser descargados, instalan un software malicioso capaz de recopilar información como datos de acceso, nombres de usuario y contraseñas del ordenador del usuario.
Por otra parte, también se ha detectado una campaña de phishing que enviaba emails con el asunto “El esfuerzo de la vacuna contra el coronavirus en Reino Unido está progresando de forma inadecuada, provocando consecuencias en los pacientes más mayores”. Este correo contenía un enlace malicioso que ahora parece estar inactivo, pero que según los investigadores de Check Point, se utilizaba para redirigir el tráfico a un sitio web falso que trataba de imitar a una farmacia canadiense.
Ciberataques semanales relacionados con el Coronavirus
El número total de ciberataques se mantuvo elevado en el mes de julio, ya que muchos países de todo el mundo están volviendo (o intentándolo) a “la nueva normalidad”. Sin embargo, el número de ataques relacionados con el coronavirus ha disminuido significativamente. En julio, se detectaron una media de casi 61.000 (60, 962) ataques semanales relacionados con el virus, lo que supone un descenso de más del 50% en comparación con las cifras de junio (130.000 ataques semanales).
Así puedes proteger el correo electrónico, el eslabón más débil para las empresas
Más del 90% de los ataques contra empresas se inician a partir de un correo electrónico malicioso. Dado que estas amenazas suelen implicar el factor humano, la bandeja de entrada del email corporativo se configura como el eslabón más débil dentro de la estrategia de ciberseguridad. Para optimizar la protección frente a estas potenciales brechas de seguridad en estas herramientas es necesario contar con herramientas de seguridad que protejan frente a una gran variedad de ciberamenazas como el phishing, el malware, el robo de datos y la apropiación de cuentas.
El correo electrónico es el primer eslabón de una cadena de ataques y, con el aumento del teletrabajo, el uso de buzones de correo en la nube y de aplicaciones de productividad ha aumentado exponencialmente. Por este motivo, los expertos de Check Point advierten de la necesidad de implantar estrategias de ciberseguridad que tengan en cuenta pilares básicos como la formación de empleados en nociones básicas de ciberseguridad, utilizar herramientas de protección en equipos móviles o la actualización periódica de software. Además, desde la compañía desvelan las claves para estar protegidos frente a este tipo de ciberamenazas:
- Proteger el tráfico en el correo electrónico con al menos una capa de una solución avanzada de seguridad de un proveedor conocido. Los operadores especializados y las soluciones de código abierto pueden causar más daño que beneficio.
- Utilizar la autenticación de dos factores para verificar cualquier cambio en la información de una cuenta o en las instrucciones de la transferencia.
- Comprobar la dirección de correo electrónico completa en cualquier mensaje y estar atento a los hipervínculos que puedan contener errores ortográficos del nombre de dominio real.
- No compartir datos sensibles por correo electrónico, sobre todo en caso de que se trate de una petición de un tercero
- Controlar regularmente las cuentas financieras.
- Asegurarse de utilizar una solución de seguridad de correo electrónico que bloquee los sofisticados ataques de phishing como el BEC, para evitar que lleguen a los buzones de los empleados.
Nueva campaña dirigida contra organizaciones financieras y militares
Utilizando el Kaspersky Threat Attribution Engine, hemos podido vincular más de 300 muestras de ña puerta trasera llamada Bisonal a la campaña de amenaza avanzada persistente (APT) de CactusPete, grupo de ciberespionaje activo desde 2012.
CactusPete, también conocido como Karma Panda o Tonto Teaь, ha mejorado su puerta trasera para centrarse en representantes de los sectores militar y financiero en Europa Oriental con el fin de obtener acceso a información confidencial. Además, la velocidad a la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que dichas organizaciones deben estar alerta.
La ola más reciente de actividad fue detectada por investigadores de Kaspersky en febrero de 2020, cuando descubrieron una versión actualizada de la puerta trasera Bisonal del grupo. Al usar Kaspersky Threat Attribution Engine, una herramienta que analiza el código malicioso para buscar similitudes con el que utilizan los agentes de amenazas conocidos para determinar qué grupo es responsable de un ataque, vincularon esta muestra con más de 300 utilizadas libremente en el mundo.
Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020, aproximadamente 20 muestras por mes, lo que subraya el hecho de que CactusPete se está desarrollando rápidamente. En efecto, el grupo ha seguido perfeccionando sus capacidades, pues ha logrado acceso en 2020 a un código más complejo como es ShadowPad.
La funcionalidad de la carga maliciosa sugiere que el grupo anda en busca de información altamente confidencial. Una vez instalada en el dispositivo de la víctima, la puerta trasera Bisonal que emplean permite al grupo iniciar sigilosamente varios programas, terminar procesos, subir, bajar y eliminar archivos, así como recuperar una lista de las unidades de disco disponibles. Además, a medida que los operadores se adentran más en el sistema infectado, instalan detectores de pulsaciones de teclas para recopilar credenciales y descargar malware de escalada de privilegios para obtener gradualmente mayor control sobre el sistema.
No está claro cómo se descargó inicialmente la puerta trasera en esta última campaña. En el pasado, CactusPete se validó principalmente del spear-phishing con correos electrónicos que contienen archivos adjuntos maliciosos. Si ese archivo adjunto es abierto, el dispositivo queda infectado.
“CactusPete es un grupo APT bastante interesante porque en realidad no es tan avanzado, como tampoco lo es la puerta trasera Bisonal. Su éxito no proviene de una tecnología avanzada o de tácticas complejas de distribución y ofuscación, sino de una aplicación exitosa de tácticas de ingeniería social. Pueden tener éxito en infectar objetivos de alto nivel porque sus víctimas hacen clic en los correos electrónicos de phishing y abren los archivos adjuntos maliciosos. Este es un gran ejemplo de por qué el phishing sigue siendo un método tan eficaz para lanzar ataques cibernéticos, y por qué es tan importante que las empresas proporcionen a sus empleados capacitación sobre cómo detectar dichos correos electrónicos y mantenerse actualizados sobre la inteligencia contra amenazas más reciente, para que puedan detectar a un agente avanzado“, comenta Konstantin Zykov, investigador sénior de seguridad en Kaspersky.
Para proteger sus instituciones contra CactusPete y otras APTs, los expertos de Kaspersky recomiendan:
- Proporcione a su equipo del Centro de operaciones de seguridad (SOC, por sus siglas en inglés) acceso a la Inteligencia de Amenazas más reciente y manténgase actualizado con las herramientas, técnicas y tácticas nuevas y emergentes que utilizan los ciberdelincuentes y los agentes de amenaza.
- Para la detección a nivel de endpoints, la investigación y la corrección oportuna de incidentes, implemente soluciones EDR, como Kaspersky Endpoint Detection and Response.
- Brinde a su personal capacitación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. Realice un ataque de phishing simulado para asegurarse de que el personal sepa identificar los correos electrónicos de phishing.
- Para vincular rápidamente nuevas muestras maliciosas con agentes de ataque conocidos, implemente Kaspersky Threat Attribution Engine.
Fortinet es reconocido como el ganador del premio al socio comercial del año 2020 de Microsoft
El premio subraya el compromiso de Fortinet de permitir una implementación fácil y segura de SaaS, VM o soluciones de seguridad de contenedores para proteger las cargas de trabajo y las aplicaciones de Azure.
Fortinet, líder mundial en soluciones de ciberseguridad, integradas y automatizadas, anunció hoy que ganó el premio al Socio del mercado comercial del año 2020 de Microsoft. Fortinet fue distinguido entre un campo global de los principales por demostrar excelencia en innovación e implementación de soluciones para clientes basadas en tecnología de Microsoft.
A medida que las organizaciones se ven afectadas por la experiencia y los recursos limitados en seguridad en la nube, existe una preferencia creciente por consumir ciertas funcionalidades de seguridad como un servicio, también conocido como seguridad como servicio, y a través de modelos de pago por uso. Al reconocer esto, Fortinet ofrece el conjunto más amplio de soluciones de seguridad que están integradas de forma nativa con Azure y disponibles en Azure Marketplace. Los productos disponibles a través de Azure Marketplace incluyen el galardonado FortiGate Next-Generation Firewall (NGFW) y FortiWeb Cloud as a Service.
“Este premio refleja el crecimiento y el éxito comprobados de las ofertas de Fortinet en Azure Marketplace a medida que continuamos viendo una demanda significativa de los clientes”, dijo John Maddison, vicepresidente ejecutivo de productos y CMO de Fortinet. «Esperamos aprovechar nuestro compromiso compartido de garantizar que los clientes puedan utilizar la nube con confianza al permitir una implementación rápida y sencilla de nuevos servicios de seguridad».
El premio al Socio comercial del año 2020 de Microsoft reconoce a Fortinet por sobresalir en el recorrido del mercado. Los premios Microsoft Partner of the Year reconocen a los partners de Microsoft que han desarrollado y entregado soluciones excepcionales basadas en Microsoft durante el año pasado. Los premios se clasificaron en varias categorías, con los homenajeados elegidos de un conjunto de más de 3.300 nominaciones presentadas de más de 100 países en todo el mundo.
“Es un honor reconocer a los ganadores y finalistas de los premios Microsoft Partner of the Year de 2020”, dijo Gavriella Schuster, vicepresidenta corporativa de One Commercial Partner de Microsoft. “Estos socios van más allá y brindan soluciones oportunas que resuelven los complejos desafíos que enfrentan las empresas de todo el mundo, desde comunicarse y colaborar virtualmente hasta ayudar a los clientes a desarrollar todo su potencial con los servicios en la nube de Azure y más. Me enorgullece honrar y felicitar a cada ganador y finalista”.
El ‘Gran Firewall de China’ se pone aún más duro y bloquea todo el tráfico TLS 1.3 con ESNI para evitar acesos a destinos prohibidos
El ‘Gran Firewall de China’ se pone aún más duro y bloquea todo el tráfico TLS 1.3 con ESNI para evitar acesos a destinos prohibidos
China no se anda con chiquitas a la hora de bloquear tráfico que no es bien visto por el Gobierno de ese país. Su «Gran Firewall» -en alusión a la gran muralla china- lleva años actuando como herramienta de censura para evitar que sus ciudadanos puedan acceder a ciertos sitios y servicios web.
Ahora esta plataforma se ha actualizado para bloquear todo el tráfico HTTPS que hace uso del protocolo TLS 1.3 y de la tecnología ESNI (Encrypted Server Name Indication). La razón es evidente: con esa combinación el Gobierno chino tiene más difícil que nunca tratar de controlar qué servicios están siendo accedidos y por parte de quién. Así que la solución es obvia para ellos: prohíben dichas comunicaciones.
Como China no sabe dónde acceden sus ciudadanos, asume que es algo malo
Un estudio de diversos expertos ha descubierto cómo desde finales de julio China está «aparentemente bloqueando las conexiones TLS con la extensión ESNI en China«.
El tráfico HTTPS con versiones más antiguas del protocolo TLS (la 1.1 o la 1.2) y con la extensión SNI que no cifra con quién quiere conectarse aquel que realiza la petición de información.
Como explican en el estudio, aunque TLS esconde el contenido de la comunicación, «no siempre esconde con quién se está comunicando el usuario«. En el llamado handshake que se produce al conectar ambos extremos se produce la transmisión del campo llamado Server Name Indication (SNI) que permite que el cliente del usuario informe al servidor con qué sitio web se quiere comunicar.
China ha utilizado ese campo para bloquear el acceso a ciertos destinos en transmisiones vía HTTPS, pero con TLS 1.3 se permitía el uso de un SNI cifrado que no pudiera usarse para detectar ese destino. ¿Qué ha hecho China? Asumir que el destino era un destino prohibido y bloquear todo ese tráfico directamente.
Aunque el bloqueo ya está activo, estos investigadores han descubierto al menos seis técnicas distintas que se pueden aplicar en el lado del cliente y otras cuatro en el lado del servidor para evitar el bloqueo actual de la plataforma de censura china.
Aún así, avisan, dichas técnicas «no parecen ser una solución a largo plazo«, y aquí probablemente se plantee una típica persecución del gato y el ratón en la que el Gobierno de China tratará de ir atajando esas técnicas mientras aparecen otras nuevas.
