Publicació butlletí mensual

Hui hem emés un nou butlletí mensual amb molts consells sobre ciberseguretat.

Tots els subscriptors del butlletí mensual del CSIRT-CV han rebut l’últim exemplar en els seus correus.

Si voleu ser dels primers a rebre la nostra publicació, podeu subscriure-vos ací o, si preferiu llegir-lo en la nostra página, podeu fer-ho des d’este enllaç.

Vulnerabilitats corregides per Microsoft

Microsoft ha informat els seus clients que s’han solucionat vulnerabilitats que afecten el núvol, la intel·ligència artificial i altres servicis, inclosa una vulnerabilitat explotada.

Anàlisi

Microsoft ha informat que el dimarts 26 va corregir vulnerabilitats en Azure, Copilot Studio i el seu lloc web Partner Network (una bretxa de seguretat en cada un), però els clients no necessiten fer res. Els identificadors i avisos de CVE s’han publicat només per transparència.
D’esta manera, s’han publicat avisos separats per a cada vulnerabilitat. Tots ells s’han descrit com a problemes d’escalada de privilegis que tenen una classificació de gravetat màxima de “crític”, però segons la seua puntuació CVSS, dos d’ells tenen una classificació de “gravetat alta” i només un és realment “crític”.

En el seu lloc web Partner Network, específicament en el domini ‘partner.microsoft.com’, Microsoft ha abordat CVE-2024-49035, una vulnerabilitat de control d’accés inadequat d’alta gravetat que permetia a un atacant no autenticat elevar privilegis en una xarxa. Esta CVE aborda una vulnerabilitat en la versió en línia de Microsoft Power Apps únicament. Per tant, els clients no necessiten realitzar cap acció perquè les versions s’implementen automàticament al llarg de diversos dies.
La vulnerabilitat ha sigut marcada com a “explotada”, però no s’ha compartit informació addicional.

El problema de gravetat crítica abordat esta setmana és CVE-2024-49038, una vulnerabilitat de seqüències de comandaments entre llocs (XSS) en Copilot Studio, un producte que utilitza IA generativa per a permetre als clients personalitzar o crear copilots.
La neutralització incorrecta de l’entrada durant la generació de pàgines web (Cross-site Scripting) en Copilot Studio per part d’un atacant no autoritzat conduïx a l’elevació de privilegis en una xarxa.

La vulnerabilitat d’Azure és CVE-2024-49052. Es tracta d’un problema de falta d’autenticació que afecta una funció crítica d’Azure PolicyWatch, la qual cosa permet a un atacant elevar privilegis en una xarxa.

Microsoft també ha anunciat l’aplicació d’un pedaç a una vulnerabilitat XSS en Dynamics 365 Sales, una solució de gestió per a venedors. La bretxa de seguretat permet a un atacant executar un script maliciós en el navegador de la víctima en fer que faça clic en un enllaç especialment dissenyat.
Les aplicacions de iOS i Android es veuen afectades, però la vulnerabilitat es troba en el servidor web. És possible que els usuaris hagen d’actualitzar les seues aplicacions, ja que Microsoft no ha indicat específicament en el seu avís que no és necessària la interacció de l’usuari.

Recursos afectats

    • Azure
    • Copilot Studio
    • Lloc web Partner Network

Recomanacions

Microsoft ha indicat que no es requerixen accions dels usuaris ja que les vulnerabilitats s’han publicat només per temes de transparència. No obstant això, es recomana tindre els productes actualitzats.

Referències

CSIRT-CV exposa la integració de les EELL en la Xarxa Nacional de SOC en les Jornades STIC

Integració en la Xarxa Nacional de SOC de les Entitats Locals de la Comunitat Valenciana a través del CSIRT-CV amb Gloria distribuït és el títol de la ponència impartida pels nostres companys José Cabrera i Raúl Verdú en les  XVIII Jornadas STIC CCN-CERT y VI Jornadas de Ciberdefensa: ESPDEF-CERT, organitzades pel Centre Criptològic Nacional (CCN), sota el lema Ciberdefensa Activa per a un món digital entre el 26 i el 28 de novembre a Madrid.

Durant la ponència, els nostres companys han descrit el disseny de la infraestructura que permet que els esdeveniments es generen en la consola de gestió de CSIRT-CV, amb la solució de Gloria distribuïda, per a operar-los conjuntament i escalar-los en cas de l’incident a l’equip del SOC.

Esta integració respon a una iniciativa de la Generalitat Valenciana per millorar la ciberseguretat dels ajuntaments i oferix importants avantatges entre les quals destaquen:

  • La distribució d’intel·ligència per a accelerar els mecanismes de protecció davant amenaces identificades.
  • L’anàlisi de la casuística dels esdeveniments generats després del desplegament dels casos d’ús de la capacitat de Gloria en aquells ajuntaments ja integrats en el servici.

Gràcies a esta pràctica, s’ha obtingut una millora significativa en aplicar una metodologia que permet identificar riscos i proposar iniciatives ateses les bones pràctiques i estàndard perquè la volumetria dels esdeveniments a gestionar quede en l’àmbit de l’extraordinari, reduint el soroll i la taxa de falsos positius.

Cal assenyalar que la maduresa i eficiència del SOC de CSIRT-CV és conseqüència de molts anys d’aplicar esta metodologia en una organització complexa com la Generalitat Valenciana amb servicis TIC centralitzats on conviuen múltiples organismes connectats amb la seua pròpia infraestructura i diferents models d’explotació.

.

Vulnerabilitat crítica de 7-Zip

S’ha descobert una greu vulnerabilitat de seguretat en 7-Zip, que permet a atacants remots executar codi maliciós a través de fitxers especialment dissenyats.

Anàlisi

La vulnerabilitat identificada com a CVE-2024-11477 ha rebut una puntuació CVSS alta, de 7,8, la qual cosa indica riscos de seguretat significatius per als usuaris de les versions afectades.

La vulnerabilitat existix específicament dins de la implementació de descompressió Zstandard, on una validació incorrecta de les dades proporcionades per l’usuari pot resultar en un desbordament d’enters abans d’escriure en la memòria. El format Zstandard, particularment freqüent en entorns Linux, s’usa comunament en diversos sistemes de fitxers, inclosos Btrfs, SquashFS i OpenZFS.

Esta vulnerabilitat permet als atacants executar codi arbitrari en el context del procés actual quan els usuaris interactuen amb fitxers maliciosos.

Els atacants poden explotar esta vulnerabilitat convencent als usuaris que òbriguen fitxers acuradament preparats, que podrien distribuir-se a través de fitxers adjunts de correu electrònic o fitxers compartits.
La vulnerabilitat planteja riscos importants, ja que permet als atacants:

    • Executar codi arbitrari en els sistemes afectats
    • Obtindre els mateixos drets d’accés que els usuaris que van iniciar sessió
    • Potencialment aconseguir un compromís complet del sistema

Recursos afectats

    • 7-ZIP en versions anteriors a la versió 24.07

Recomanacions

7-Zip ha solucionat este problema de seguretat en la versió 24.07.
Atés que el programari manca d’un mecanisme d’actualització integrat, els usuaris han de descarregar i instal·lar manualment l’última versió per a protegir els seus sistemes. Els administradors de TI i els desenrotlladors de programari que implementen 7-Zip en els seus productes han d’actualitzar immediatament les seues instal·lacions a la versió apedaçada.
Els experts en seguretat emfatitzen la importància d’aplicar pedaços ràpidament, ja que la vulnerabilitat requerix una experiència tècnica mínima per a explotar-la, encara que actualment no hi ha programari maliciós conegut que estiga apuntant a esta vulnerabilitat.

Referències