Publicación boletín quincenal

Hoy hemos emitido un nuevo boletín quincenal con un resumen de las noticias y alertas, sobre ciberseguridad, más destacadas de las últimas dos semanas.

Todos los suscriptores del boletín quincenal del CSIRT-CV han recibido el último ejemplar en sus correos.

Si queréis ser de los primeros en recibir nuestra publicación, podéis suscribiros aquí o, si preferís leerlo en nuestra página podéis hacerlo desde este enlace.

Vulnerabilidades en equipos Dell

Se han descubierto cinco fallos de seguridad agrupados en una única vulnerabilidad, CVE-2021-21551, de alta gravedad cuya explotación permitiría bloquear sistemas, robar información y escalar privilegios para tomar el control en equipos de escritorio, portátiles e incluso tablets de la marca Dell.

Análisis

Los problemas detectados residen en el controlador ‘dbutil’ que la compañía utiliza para actualizar los firmwares (BIOS) de sus equipos. Este controlador acepta ‘llamadas’ a las cuentas de cualquier usuario o programa y no hay controles de seguridad ni una lista de control de acceso para ver si el usuario que accede tiene los suficientes privilegios o si está autorizada. Estas llamadas al sistema, pueden indicar al controlador de nivel de kernel que mueva el contenido de la memoria de una dirección a otra, lo que permite a un atacante leer y escribir RAM arbitraria del kernel e incluso en puertos de entrada y salida en hardware subyacente.

Recomendaciones

Se recomienda revisar la existencia de equipos afectados y seguir las instrucciones que Dell ha publicado en su aviso de seguridad DSA-2021-088 para corregir los fallos en el controlador dbutil. En este mismo enlace se indican exactamente los productos afectados y sin soporte.

Referencias

(1) https://www.bleepingcomputer.com/news/security/vulnerable-dell-driver-puts-hundreds-of-millions-of-systems-at-risk/
(2)https://www.dell.com/support/kbdoc/es-es/000186019/dsa-2021-088-dell-client-platform-security-update-for-dell-driver-insufficient-access-control-vulnerability

Vulnerabilidad crítica en Pulse Secure VPN

Se ha descubierto una vulnerabilidad crítica 0-day en dispositivos VPN Pulse Secure que permitiría a un atacante que la explote con éxito autenticarse remotamente y ejecutar código arbitrario.

ACTUALIZACIÓN 05/05/2021: Ya se encuentra disponible el parche para corregir el problema [2].

Análisis

El grupo de investigadores de ciberamenazas Mandiant (perteneciente a FireEye) ha publicado un boletín informativo en el que detallan cómo han descubierto tras el estudio de incidentes recientes, compromisos de aplicativos de Pulse Secure VPN [1]. Al parecer, una vulnerabilidad en las versiones Pulse Secure Connect (PCS) 9.0R3 y superiores, permitiría eludir la autenticación y ejecutar archivos de forma arbitraria.

CVE Puntuación CVSS Descripción Versiones afectadas

10 Crítica
3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Una vulnerabilidad en Pulse Secure Connect permitiría a un atacante remoto no autenticado ejecutar código arbitrario

PCS 9.0R3 y superiores

Recomendaciones

Se recomienda aplicar los correctivos en cuanto sean publicados en el siguiente enlace [2].
Preventivamente, la vulnerabilidad puede mitigarse deshabilitando dos funcionalidades del aplicativo PCS (Windows File Share Browser y Pulse Secure Collaboration). Para ello se puede descargar el archivo «Workaround-2104.xml» y seguir las instrucciones detalladas en el enlace anterior, apartado «workaround».

Se recomienda además, descargar y ejecutar la herramienta de comprobación de integridad [3] proporcionada por Ivanti (empresa matriz de Pulse Secure) para determinar el posible impacto. Por último, Mandiant ha publicado unas reglas de detección para Snort y Yara que se encuentran disponibles en el siguiente enlace de GitHub [4] que permitirían detectar un posible compromiso.

Referencias

Vulnerabilidades críticas en servicios de Microsoft

A día 14 de abril de 2021, vulnerabilidades críticas para varios servicios de Microsoft, incluyendo Exchange On-Premise, han sido corregidas junto con otro gran conjunto de vulnerabilidades importantes. Suman un total de 114 CVEs (Common Vulnerabilities and Exposures) distintos para aplicaciones y servicios tales como Microsoft Windows, Microsoft Edge, Azure, Azure DevOps, Microsoft Office, Sharepoint Server, Hyper-V, Team Foundation Server, Visual Studio, y Exchange Server.

Análisis

Como es habitual, los miércoles a mediados de cada mes, Microsoft publica su post rutinario de actualización mensual. Siendo un total de 114 vulnerabilidades parcheadas [2], Microsoft recomienda priorizar por aquellas que corrigen las vulnerabilidades críticas [1]. De entre estos 114 CVE, 19 han sido clasificados como críticos, 88 como importantes, y uno como moderado. Adicionalmente, seis vulnerabilidades han afectado al navegador Edge (basado en chromium) debido a una reciente actualización de Chromium.

Los CVE clasificados como críticos se muestran en la siguiente tabla:

CVE asignado Nombre Puntuación CVSSv3

Azure Sphere Unsigned Code Execution Vulnerability

8.1

Microsoft Exchange Server Remote Code Execution Vulnerability

9.8

Microsoft Exchange Server Remote Code Execution Vulnerability

9.8

Microsoft Exchange Server Remote Code Execution Vulnerability

8.8

Microsoft Exchange Server Remote Code Execution Vulnerability

9

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Remote Procedure Call Runtime Remote Code Execution Vulnerability

8.8

Windows Media Video Decoder Remote Code Execution Vulnerability

7.8

Windows Media Video Decoder Remote Code Execution Vulnerability

7.8

Según Microsoft, ninguna de estas vulnerabilidades críticas está siendo activamente explotada. La única actualmente explotada corresponde a una no crítica, CVE-2021-28310, con una puntuación CVSSv3 de 7.8, de tipo elevación de privilegios (EoP, por sus siglas en inglés) en Win32k. No obstante animan a parchear lo antes posible ya que es muy probable que otras vulnerabilidades de igual o mayor criticidad sean pronto explotadas.

Recomendaciones

Se recomienda aplicar de forma inmediata las actualizaciones publicadas por Microsoft [3], prestando especial atención a aquellas vulnerabilidades encontradas en Microsoft Exchange On-Premise [4], las cuales han obtenido las mayores puntuaciones CVSSv3.

Referencias