Security News for Everyone

2021-09-30 09:01:36 #AzureAD #Microsoft

Un nuevo fallo en Azure AD sigue sin solventarse

El fallo permite a atacantes realizar ataques de fuerza bruta contra usuarios de Azure AD

CTU descubrió que el bug no genera eventos de inicio de sesión a pesar de intentar la entrada con varias contraseñas.

Fuente en inglés:
https://t.co/rpCljmUR2A?amp=1 Open / Comment

2021-09-29 23:19:22 #OpenSource #MarianaTrench #Facebook #Android #Java

Mariana Trench (MT): Una herramienta de código abierto para análisis estático

Facebook ha hecho su herramienta de análisis estáticos de código abierto.

Gracias a ella, sus ingenieros de software y seguridad son capaces de encontrar potenciales riesgos en aplicaciones de Android y Java.

Fuente en inglés:
https://engineering.fb.com/2021/09/29/security/mariana-trench/

Herramienta y documentación:
https://mariana-tren.ch/ Open / Comment

2021-09-29 23:11:39 #Eventos #CFP #RootedMALAGA

Entradas y CFP disponibles para RootedMALAGA 2021

Los días 10 y 11 de Diciembre podremos disfrutar de talleres y ponentes en RootedMALAGA. Ya podemos comprar las entradas o incluso presentar nuestros papers.

Más detalles sobre el registro:
https://t.co/gZMX7EdW1d?amp=1

CFP:
https://t.co/B9uAA4Drqo?amp=1 Open / Comment

2021-09-29 20:53:11 #0day #Chrome

Análisis de la vulnerabilidad de Chrome CVE-2021-30632

Hace dos semanas, se parcheó en Google Chrome una vulnerabilidad de día cero que estaba siendo explotada activamente por cibercriminales.

Una simple visita a una página web maliciosa podía causar una ejecución de código remoto.

Fuente en inglés:
https://t.co/t3H0MAsXJc?amp=1 Open / Comment

2021-09-29 10:40:55 #Gaming #BloodyStealer #Steam #EpicGames #Cibercrimen

El nuevo troyano BloodyStealer roba cuentas de servicios populares de gaming

Un nuevo troyano avanzado vendido en un foro underground de habla rusa viene con capacidades de robar cuentas en los servicios más populares usados por los gamers, como Steam, Epic Games, Bethesda, GOG y EA Origin.

La empresa de ciberseguridad, Kaspersky, la cual ha encontrado este malware, detectó la herramienta maliciosa en marzo de este mismo año, siendo anunciada para su venta por un atractivo precio de unos 700 rublos (unos 8€ al cambio) por un mes de suscripción o unos 2913 rublos (unos 34,31€ al cambio) por una suscripción de por vida. Se ha descubierto el uso de esta herramienta en ataques realizados en Europa,Latino-america y la región de Asia.

Kaspersky, en su blog, daba detalles sobre esta herramienta, diciendo que era capaz de recopilar y exfiltrar varios tipos de datos, como por ejemplo, cookies, passwords, formularios, tarjetas bancarias guardadas en los navegadores, capturas de pantalla de los
equipos infectados, sesiones recordadas o almacenadas de varias aplicaciones. La información recopilada de las aplicaciones gaming, como por ejemplo Steam, se exfiltran a un servidor remoto, donde se presume que es monetizado en plataformas de venta de datos de la Darknet o de canales de Telegram que están especialmente dedicados a la venta de acceso a este tipo de cuentas.

El malware no está solamente asociado a miembros VIP de los foros underground, sino que también incluye una batería de métodos de anti-análisis para evitar la detección por parte de los software antivirus e incluso complicar la ingeniería inversa de esta herramienta. Sin embargo, en las cadenas de infección de dispositivos con este malware también se destaca que los actores de amenazas que han comprado una licencia de este malware, la han usado en conjunción con otras campañas de malware.

Kaspersky no ha proporcionado detalles sobre los vectores usados para las incursiones, pero es típico de los atacantes tener como objetivo a usuarios que buscan descargarse versiones pirata de sitios web falsos o mediante mensajes de correo electrónico que
contengan enlaces a sitios maliciosos externos que engañen a los usuarios para que introduzcan la información de acceso a su cuenta.

Fuente en Inglés: https://thehackernews.com/2021/09/new-bloodystealer-trojan-steals-gamers.html?m=1 Open / Comment

2021-09-29 10:05:46 #Confluence #RCE #Vulnerabilidad #XMRig

Una vulnerabilidad RCE de Confluence está siendo usada en múltiples campañas de ciberataques.

Los actores de amenazas oportunistas han sido pillados explotando una vulnerabilidad critica descubierta recientemente en despliegues de Confluence entre Windows y Linux para desplegar web shells que resultan en la ejecución de criptomineros en los sistemas comprometidos.

Marcada con el identificador CVE-2021-26084, la vulnerabilidad se centra en un fallo de inyección de código en OGNL que puede ser explotada para realizar la ejecución de código arbitrario en un servidor Confluence o en una instancia de Data Center.

La vulnerabilidad, la cual reside en el módulo Webwork de Confluence, se origina por una validación insuficiente del input del usuario, causando que el parser evalue comandos maliciosos inyectados entre las expresiones OGNL.

Los ataques in-the-wild surgen a raíz de que el U.S Cyber Command alertara sobre los intentos masivos de explotación de esta vulnerabilidad, después de que fuera publicada en Agosto de este mismo año.

En un ataque observado por Trend Micro, z0Miner, un troyano y cryptojacker, se actualizó para usar la vulnerabilidad RCE para distribuir payloads que actuaran como un canal para mantener la persistencia en el sistema y desplegar software de minado de criptomonedas en ellos. Imperva ratifico esto en un análisis totalmente independiente, viendo que se trataban de los mismos intentos de intrusión y que habían tratado de ejecutar el minero XMRig y otros scripts de Post-explotacion.

También ha sido detectado por Imperva, Juniper y Lacework, actividad de explotación de la misma vulnerabilidad por Muhstik, una botnet ligada a China conocida por su capacidad de autopropagarse como un gusano, capaz de infectar servidores Linux y dispositivos IoT desde 2018.

Sin embargo, el equipo de threat intelligence Unit 42 de Palo Alto Networks ha logrado tanto identificar como prevenir este tipo de ataques que fueron orquestados para subir las contraseñas de sus clientes así como descargar scripts maliciosos que desplegaron un minero en los sistemas e incluso abrían una shell inversa en la máquina.

Fuente en Inglés: https://thehackernews.com/2021/09/atlassian-confluence-rce-flaw-abused-in.html Open / Comment

2021-09-25 13:47:28 #Ciberseguridad #BugHunter #QuironSalud #SQLi

Un fallo de seguridad en Quirón salud deja al descubierto los datos de 134.004 usuarios

Quirón salud sufrió un fallo de ciberseguridad que dejó desprotegidas las cuentas de usuario de al menos 134.004 personas, de su página web e-quironsalud.es, donde la empresa de salud privada comercializa sus servicios de medicina online, pruebas de coronavirus, análisis genéticos, chequeos médicos y servicios de cirugía estética.

El fallo ya ha sido corregido sin que se haya registrado el robo de los datos de los usuarios.

El fallo de seguridad que se ha corregido permitía a atacantes externos ejecutar ataques de inyección SQL, a través de la cual, era posible inyectar código malicioso para obtener acceso a la información de la base de datos de la web.

La vulnerabilidad en este caso fue descubierta por un investigador de ciberseguridad y bug hunter, Touseef Gul, la cual notificó el mes de mayo y estaba presente en el Prestashop del cual hace uso la web.

Fuente: https://www.vozpopuli.com/economia_y_finanzas/quiron-ciberseguridad.html Open / Comment

2021-09-24 16:55:55 #Apple #iOS #iOS15 #iCloud

Encuentran múltiples vulnerabilidades de día cero en iOS15

Varios investigadores han liberado pruebas de concepto al no recibir respuesta de Apple tras haber informado de fallos en iOS15. Ninguna de las vulnerabilidades mencionadas tiene parche actualmente.

En iOS15, alguno de los ya mencionados previamente en el canal, evadía la pantalla de bloqueo. Otros fallos encontrados son capaces de realizar lo siguiente:
- Permitir que apps descargadas accedan a datos del usuario sin permiso previo.
- Obtener información del WiFi desde cualquier app.
- Acceder a logs de analíticas de datos de cualquier usuario desde cualquier app.
- Filtrar la dirección IP de los usuarios (Beta de Private Relay - iCloud).

De momento, es recomendable usar VPN en vez de una característica que todavía está en Beta. Respecto a las aplicaciones descargadas, tendremos que tener especial cuidado.

Actualización: Las 3 primeras vulnerabilidades funcionan también en iOS 14.8. En caso de tener dificultades en acceder a la fuente original, podemos saber más sobre ellas aquí: https://t.co/npqGoVOayI?amp=1

Más información sobre las tres vulnerabilidades de día cero referentes a aplicaciones (original):
https://t.co/eKzq6BEupG?amp=1

Más información sobre Private Relay:
https://t.co/NZv05Vcd8K?amp=1 Open / Comment

2021-09-24 16:33:16 #Windows #OpenSUpdater

Google advierte de una nueva forma de hacer el malware indetectable en Windows

El grupo TAG ha descubierto un método utilizado por OpenSUpdater para facilitar el uso de firmas digitales fraudulentas en payloads de malware.

Fuente en inglés:
https://blog.google/threat-analysis-group/financially-motivated-actor-breaks-certificate-parsing-avoid-detection/ Open / Comment

2021-09-24 10:47:37 #Apple #MacOS #0day

Explotan una vulnerabilidad de día cero en macOS Catalina

Apple ha lanzado una actualización para solventar CVE-2021-30869, un fallo de escalada de privilegios aprovechado por atacantes.

Es importante que los usuarios actualicen cuanto antes.

Fuente en inglés:
https://t.co/AKTFfbrU1v?amp=1 Open / Comment