Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

05/07/2019

Boletín 22/06/2019 - 05/07/2019

Repasamos a continuación algunas de las noticias más interesantes sobre ciberseguridad de la última quincena.

Comenzamos con la noticia de la publicación de la herramienta para descifrar el ransomware GrandCrab. Ha sido desarrollada por Bitdefender en conjunto con la Europol y el FBI, y ello ha sido posible gracias a la recuperación de las claves de cifrado que empleaba la versión 5.2 del ransomware.

Por otra parte, investigadores en ciberseguridad han alertado de una campaña de malware que tiene como objetivo espiar a los usuarios en Oriente Medio que tengan algún dispositivo Android. El vector de ataque se basa en la distribución del malware a través de ingeniería social.

También se están produciendo ataques a la red de certificados públicos OpenPGP, que están causando que algunos certificados estén aumentando de tamaño de forma alarmante. Los atacantes firman miles de veces algunos de los certificados de modo que estas "validaciones" se añaden al certificado, haciendo que lleguen a ocupar decenas de megas, causando fallos en algunos clientes de correo o ralentizando el funcionamiento de la aplicación.

Es interesante que conozcáis además que el CCN junto a la empresa S2 Grupo han desarrollado la aplicación GLORIA. Se trata de un software que se instala en los dispositivos a proteger el cual permite recolectar información de potenciales comportamientos anómalos y proporcionar de primera mano datos de los sistemas, que los analistas utilizarán para combatir las ciberamenazas.

Para finalizar el repaso a la quincena, comentaros que Mozilla Firefox está confundiendo el comportamiento de algunos antivirus con ataques haciendo que algunas páginas web, a pesar de ser lícitas, se muestren como posibles lugares suplantados debido a un ataque “Man in the middle”. El fallo se debe a que algunos antivirus instalan sus propios certificados en el equipo del usuario para poder inspeccionar el tráfico HTTPS, pero como Mozilla Firefox utiliza su propio almacén de certificados, no reconoce el certificado del antivirus asumiendo que se trata de un ataque informático.

Actualización de programas

Se han publicado actualizaciones debido al descubrimiento de vulnerabilidades recientes. Por ejemplo, y siguiendo con Firefox, se ha descubierto una vulnerabilidad zero-day de alta peligrosidad que está siendo explotada activamente en Internet, y que está encadenada con la que ya os comentamos la anterior quincena, lo que podría permitir a un atacante ejecutar código malicioso en el equipo cuando la víctima visite una web maliciosa.

Se han detectado también nuevas vulnerabilidades críticas en el software Data Center Network Manager de Cisco que permitirían a un atacante remoto no autenticado ejecutar acciones arbitrarias con privilegios administrativos en un dispositivo vulnerable.

Es también interesante que conozcáis que se ha detectado una vulnerabilidad en Origin que permite robar las cuentas registradas. Los investigadores de CheckPoint y CyberInt han detectado la vulnerabilidad en Origin debido a un fallo de seguridad conocido en el servicio Cloud de Azure sin parchear. Dicho fallo permite capturar tokens secretos de Single Sign-On (SSO), lo que significa que el atacante puede llegar a tomar el control de la cuenta del usuario afectado sin necesidad de una autenticación.

Finalmente comentaros que Android ha liberado sus actualizaciones mensuales relativas al mes de julio. El boletín incluye numerosas vulnerabilidades de variada criticidad en diferentes componentes, desde el kernel, hasta las librerías de audio.

Como siempre, os recomendamos que utilicéis vuestro sentido común y que, para evitar problemas en la medida de lo posible, mantengáis todos vuestros sistemas siempre actualizados.

CSIRT-CV