Semana de ciberseguridad: nuevas vulnerabilidades explotadas

La lista de vulnerabilidades explotadas conocidas crece

El Cybersecurity and Infrastructure Security Agency (CISA) agregó 15 nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas esta semana para llamar la atención sobre las vulnerabilidades que los actores malintencionados están explotando activamente. Estas vulnerabilidades son un vector de ataque frecuente para los ciberdelincuentes maliciosos y representan un riesgo significativo para gobiernos y empresas privadas.

Greg Fitzgerald, cofundador de Sevco Security, afirmó que es alentador ver que el gobierno actualice la lista, pero estos cambios no protegerán contra los exploits en los activos de TI que han abandonado u olvidado.

"La mayoría de las empresas tienen inventarios de activos de TI que no reflejan toda su superficie de ataque, que en las empresas modernas se extiende más allá de la red e incluye la nube, dispositivos personales, trabajadores remotos y todo lo que está en las instalaciones", dijo. "Hasta que las organizaciones puedan empezar a trabajar desde un inventario exhaustivo y preciso de activos de TI, los atacantes siempre podrán encontrar una forma de entrar".

Las nuevas vulnerabilidades son:

• Vulnerabilidad de desbordamiento de búfer de SonicWall SonicOS
• Vulnerabilidad de escalación de privilegios del servicio UPnP de Microsoft Windows
• Vulnerabilidad de escalación de privilegios de Microsoft Windows
• Vulnerabilidad de escalación de privilegios del administrador de informes de errores de Windows de Microsoft
• Vulnerabilidad de escalación de privilegios del servidor de implementación de AppX de Windows de Microsoft
• Vulnerabilidad de escalación de privilegios de AppXSVC de Windows de Microsoft
• Vulnerabilidad de escalación de privilegios del Programador de tareas de Microsoft
• Vulnerabilidad de escalación de privilegios de AppXSVC de Windows de Microsoft
• Vulnerabilidad de escalación de privilegios de AppXSVC de Windows de Microsoft
• Vulnerabilidad de escalación de privilegios de Microsoft Windows
• Vulnerabilidad de escalación de privilegios de Win32k de Microsoft
• Vulnerabilidad de escalación de privilegios del Administrador de transacciones de Windows de Microsoft
• Vulnerabilidad de escalación de privilegios del kernel de Windows de Microsoft
• Vulnerabilidad de corrupción de memoria de Win32k de Microsoft
• Vulnerabilidad de escalación de privilegios de Win32k de Microsoft

CISA envía un correo electrónico con boletines anunciando las nuevas incorporaciones a la lista.

Los actores malintencionados utilizan la autenticación multifactor (MFA) mal configurada para robar archivos

CISA también advirtió esta semana sobre un exploit que aprovecha los protocolos MFA por defecto y una vulnerabilidad conocida. La agencia informó que hackers patrocinados por Rusia utilizaron una cuenta mal configurada en mayo de 2021 en una organización no gubernamental para inscribir un nuevo dispositivo para MFA y acceder a la red del grupo. El siguiente paso fue utilizar la vulnerabilidad PrintNightmare para ejecutar código arbitrario con privilegios del sistema. Esta vulnerabilidad utiliza una debilidad crítica en el servicio de cola de impresión de Windows. Los actores malintencionados utilizaron el MFA de Cisco Duo para acceder a la nube y las cuentas de correo electrónico de la ONG para robar documentos.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Garret Grajek, CEO de YouAttest, dijo que este ataque muestra que MFA no es la solución para los problemas de exposición de identidad.

"Muestra que la falla no está en el MFA en sí, sino en las prácticas y procedimientos que rodean su implementación", dijo Grajek. "Por eso el mundo cibernético está buscando nuevas ideas y prácticas como una gobernanza de identidad más sólida, saber quién tiene qué dispositivos, monitorear los cambios en la identidad y la confianza cero".

YouAttest es un motor de revisión de acceso construido que proporciona gobernanza y capacidades de auditoría para implementaciones de Okta.

Rajiv Pimplaskar, CEO de Dispersive Holdings, afirmó que las VPN convencionales o las soluciones de acceso de confianza cero se detienen a nivel de red y no pueden resistir un asalto dirigido por actores estatales que pueden penetrar en la pila de protocolos con ataques avanzados.

"Las corporaciones y los gobiernos deberían considerar técnicas de defensa cibernética avanzadas como la atribución gestionada y las VPN distribuidas con dispersión de carga útil de datos para presentar un objetivo mucho más difícil para los actores malintencionados", dijo Pimplaskar.

Dispersive ofrece redes virtuales privadas y seguras para la nube, sucursales, dispositivos móviles y IoT integrado que dividen los datos en múltiples flujos.

Cómo proteger tu computadora de los virus: métodos y consejos

CISA recomienda que las organizaciones tomen las siguientes medidas para evitar este tipo de ataques:

• Aplicar MFA y revisar las políticas de configuración para protegerse contra escenarios de "apertura fallida" y reinscripciones.
• Asegurarse de que las cuentas inactivas estén desactivadas de manera uniforme en todo el Directorio Activo y los sistemas de MFA.
• Actualizar todos los sistemas y dar prioridad a la actualización de las vulnerabilidades conocidas explotadas.

BlackBerry anuncia nueva familia de ransomware

BlackBerry confirmó esta semana que se ha detectado LokiLocker en entornos empresariales y rastreó el inicio del ransomware hasta herramientas de hacking de verificación de fuerza bruta para servicios populares en línea. Esta es una nueva familia de ransomware como servicio que incluye una táctica de falsa bandera. Los investigadores de BlackBerry informaron que el nuevo vector de ataque se dirige a hablantes de inglés y a máquinas con Windows. El malware está escrito en .NET y se protege con NET Guard con un complemento de virtualización adicional llamado KoiVM, según el informe de BlackBerry.

Este ransomware se distribuyó inicialmente dentro de herramientas de hacking de verificación de fuerza bruta como PayPal BruteChecker, Spotify BruteChecker, PiaVPN Brute Checker de ACTEAM y FPSN Checker de Angeal. El software cifra archivos e incluye una función de "borrado" opcional que elimina automáticamente los archivos si la víctima no paga el rescate antes de la fecha límite. Los investigadores de BlackBerry creen que LokiLocker está siendo distribuido por alrededor de 30 afiliados, incluidos algunos asociados con hackers iraníes.

Armorblox describe ataques de phishing en las redes sociales

Los expertos en seguridad llevan mucho tiempo advirtiendo que utilizar las credenciales de trabajo para cuentas personales es una mala idea. Armorblox describió un nuevo ataque esta semana que aprovecha a las personas que cometen este error. Esta amenaza incluye un correo electrónico que supuestamente se envió desde el soporte de Instagram y advierte al destinatario que se ha denunciado una violación de las leyes de copyright. El remitente advierte que el destinatario solo tiene 24 horas para responder.

Los destinatarios que hacen clic en los enlaces del correo electrónico llegan a una página diseñada para obtener credenciales de inicio de sesión. Los investigadores de Armorblox señalan que el actor malintencionado ha utilizado metodológicamente los logotipos y la identidad gráfica de Meta e Instagram para que la página maliciosa parezca real. El ataque se dirigió a una importante compañía de seguros de vida en Estados Unidos, según la publicación del blog sobre el ataque.

Armorblox se especializa en defenderse contra el compromiso de correo electrónico empresarial.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Semana de ciberseguridad: nuevas vulnerabilidades explotadas , tenemos lo ultimo en tecnología 2023.