Noves vulnerabilitats crítiques per a Microsoft Windows

El dia 12 d’octubre de 2021, es van publicar una sèrie de pegats per a corregir 74 vulnerabilitats de Microsoft Windows, de les quals tres són classificades com a crítiques, 70 com a importants i una com a baixa.

ANÀLISI
Entre les vulnerabilitats publicades hi ha quatre de dia zero (0-day), que són CVE-2021-40449 (CVSS score: 7.8) (1); CVE-2021-41335 (CVSS score: 7.8) (2); CVE-2021-40469 (CVSS score: 7.2) (3), i CVE-2021-41338 (CVSS score: 5.5) (4).

D’aquestes, tres vulnerabilitats són divulgades públicament, però no explotades activament: CVE-2021-40469, CVE-2021-41335 i CVE-2021-41338, i una vulnerabilitat és explotada activament: CVE-2021-40449. Aquesta última és una vulnerabilitat d’escalada de privilegis que pot ser explotada en conjunció amb errors RCE per a prendre el control de sistemes vulnerables.

Les vulnerabilitats publicades corresponen als tipus següents:

    • Denegació de servei.
    • Escalada de privilegis.
    • Divulgació d’informació.
    • Execució remota de códi (RCE).
    • Omissió de funció de seguretat.
    • Falsejament d’identitat (spoofing).

L’alerta emesa per Incibe es pot consultar en (5), per a un llistat dels serveis afectats.

RECOMANACIONS
Es recomana aplicar l’actualització de seguretat corresponent, que es pot trobar en (6). Per a les actualitzacions de les vulnerabilitats de dia zero, consulteu (7), (8), (9) i (10).

REFERÈNCIES
(1) https://nvd.nist.gov/vuln/detail/CVE-2021-40449
(2) https://nvd.nist.gov/vuln/detail/CVE-2021-41335
(3) https://nvd.nist.gov/vuln/detail/CVE-2021-40469
(4) https://nvd.nist.gov/vuln/detail/CVE-2021-41338
(5)https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizaciones-seguridad-microsoft-octubre-2021
(6) https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct
(7) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40449
(8) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40469
(9) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41335
(10) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41338

Butlletí 25/09/2021 – 08/10/2021

Tornem una quinzena més amb un nou butlletí sobre les principals notícies del món de la ciberseguretat.

Comencem el nostre butlletí amb la notícia del hacking al lloc web “Bitcoin.org“. L’atac va començar amb un missatge en una finestra emergent en la web, on s’informava que els 10.000 primers usuaris que respongueren el missatge podien aprofitar-se d’una oferta i duplicar el total d’actius de les seues carteres electròniques. El missatge incloïa un codi QR per a accedir a una determinada cartera.

Una altra notícia interessant és la relativa a la filtració de dades confidencials sobre l’estat de vacunació de la COVID-19 al Canadà, que s’ha produït a través dels codis QR emesos en els certificats de vacunació. L’empresa “eHealth Saskatchewan”, encarregada de proporcionar aquests serveis electrònics al sector sanitari, s’ha vist obligada a sol·licitar la destrucció d’aquests certificats de vacunació COVID.

Així mateix, diversos experts de Kaspersky han identificat intents d’infecció -a través de malware i altres tipus de software maliciós- a usuaris que intentaven descarregar-se la nova pel·lícula de James Bond (“No Time to Die”).  També s’han identificat intents de phishing en els quals es demanava als usuaris que es registraren per a poder continuar veient la pel·lícula. Durant aquest procés se sol·licitava a les víctimes les seues dades bancàries.

També us informàvem de la notícia sobre una vulnerabilitat en “Apple AirTag”, l’explotació de la qual permetria als ciberdelinqüents trobar el número telefònic d’un usuari, i fins i tot, redirigir-lo a llocs de phishing d’iCloud i altres plataformes legítimes. Tot es deu al fet que el “mode perdut” del dispositiu no està protegit, i permet a l’atacant injectar codi en els camps de la funció que genera les dades personals del propietari del mòbil perdut.

Us recordem que a l’octubre se celebra el Mes Europeu de la Ciberseguretat (ECSM),  mes durant el qual la Unió Europea realitza una campanya dedicada a promoure la ciberseguretat entre els ciutadans i les organitzacions de la UE, i a proporcionar informació de seguretat en línia actualitzada mitjançant la sensibilització i l’intercanvi de bones pràctiques.

Finalment, us anunciem que aquesta setmana hem finalitzat la nostra campanya de conscienciació dirigida a docents, en la qual durant dues setmanes hem publicat un consell diari sobre un tema a treballar amb els alumnes, amb recursos que permeten assimilar millor els continguts de la ciberseguretat. Pots veure el detall d’aquesta campanya en el portal de conscienciació concienciaT.

Respecte a les alertes i actualitzacions més rellevants de la quinzena:

    • S’han identificat múltiples vulnerabilitats “ZeroDay”, que afectaven dispositius Iphone i Mac:
      – CVE-2021-30869. Fallada de confusió de tipus en el component XNU, que permet executar codi arbitrari amb privilegis en Kernel.
      – CVE-2021-30858. Vulnerabilitat “Use-After-Free” (UAF), que permet a “Webkit” executar codi arbitrari en un lloc web amb contingut maliciós.
      – CVE-2021-30860. Vulnerabilitat que permet executar codi arbitrari en processar un PDF amb contingut maliciós.
    • Netgear ha reportat 25 vulnerabilitats, totes aquestes de severitat crítica, que podrien permetre a un atacant comprometre els productes afectats. Es recomana actualitzar a la versió de firmware més recent.
    • Google també s’ha vist sorpresa per una altra vulnerabilitat ZeroDay en la seua última versió de “Chrome 94”. En aquest sentit, han hagut de llançar un pegat d’emergència. La vulnerabilitat detectada (CVE-2021-37973) afectava l’API de Portals, encarregada de la transició entre pàgines.

Finalitza la campanya: “Ciberseguretat, una assignatura pendent”

Acaba la campanya de CSIRT-CV “Ciberseguretat, una assignatura pendent”. Durant aquestes dues setmanes hem volgut dotar els docents amb algunes eines, que estem segurs que us serviran durant el curs que acaba d’iniciar-se, per a formar als vostres alumnes en ciberseguretat i que estiguen a resguard de les ciberamenaces que constantment aguaiten en la Xarxa.

Esperem que els recursos i les iniciatives que us hem proposat en aquesta campanya us ajuden a planificar algunes de les vostres classes i a centrar-les en temes de ciberseguretat.

Si creieu que els vostres alumnes necessiten reforçar encara més els seus coneixements per a navegar assegurances per Internet, us aconsellem que sol·liciteu les nostres jornades de ciberseguretat en centres educatius disponibles en el següent enllaç:

https://concienciat.gva.es/va/jornades-de-ciberseguretat-en-centres-de-secundaria/

Estarem molt contents d’atendre-us i ajudar-vos a reforçar la cultura de ciberseguretat dels vostres alumnes.

Us esperem!

Pots trobar els consells d’aquesta campanya en les nostres xarxes socials Facebook i Twitter buscant el hashtag #EnseñaCiberseguridad i en el nostre portal concienciaT.

Múltiples vulnerabilitats en PHP 7 i PHP 8

S’han detectat fins a tres vulnerabilitats, una d’aquestes crítica, en PHP que podrien afectar el core.

Anàlisi
S’ha de destacar la vulnerabilitat crítica amb identificador CVE-2017-8923, es tracta d’una actualització d’aquesta. Aquesta vulnerabilitat està localitzada en la funció zend_string_extend, en Zend/zend_string.h. Si aquesta és explotada per un atacant, podria causar una condició de denegació de servei.

  • Productes afectats
    • PHP 7, totes les versions anteriors a la 7.4.24.
    • PHP 8, totes les versions anteriors a la 8.0.11.

Recomanacions
Es recomana actualitzar a les versions PHP 7.4.24 i PHP 8.0.11.