Publicado el

[SCI] Actualizaciones de seguridad de Microsoft

Introducción

Microsoft ha publicado 38 parches de vulnerabilidad. Se pueden clasificar como:

  • 8 Vulnerabilidades de Elevación de Privilegios
  • 4 Vulnerabilidades de elusión de funciones de seguridad
  • 12 Vulnerabilidades de ejecución remota de código
  • 8 Vulnerabilidades de divulgación de información
  • 5 Vulnerabilidades de denegación de servicio
  • 1 vulnerabilidad de suplantación de identidad

Afectan a múltiples productos de Microsoft como Office, múltiples versiones de Windows Server, Windows 10/11. De ellas, 6 son críticas y 3 son explotables. Nos centraremos en:       CVE-2023-29335, CVE-2023-24901, CVE-2023-24903, CVE-2023-24941, CVE-2023-24943, CVE-2023-28283, CVE-2023-29336, CVE-2023-24932, CVE-2023-29325.AnálisisCVE-2023-29325 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H – 8.1:Esta vulnerabilidad está siendo explotada. En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el correo electrónico especialmente diseñado a la víctima. La explotación de la vulnerabilidad puede implicar que la víctima abra un mensaje de correo electrónico especialmente diseñado con una versión afectada del software Microsoft Outlook, o que la aplicación Outlook de la víctima muestre una vista previa de un mensaje de correo electrónico especialmente diseñado. Esto podría dar lugar a que el atacante ejecute código remoto en la máquina de la víctima.CVE-2023-24932 CVSS:3.1/AV:P/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H – 6.2:Esta vulnerabilidad está siendo explotada. Secure Boot Security Feature Bypass requiere que un atacante que tenga acceso físico o derechos administrativos a un dispositivo de destino pueda instalar una política de arranque afectada.CVE-2023-29336 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – 7.8:Esta vulnerabilidad está siendo explotada. Vulnerabilidad de elevación de privilegios de Win32k que permitiría a un atacante que explotara con éxito esta vulnerabilidad obtener privilegios de SYSTEM.CVE-2023-24943 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – 9.8:Windows Pragmatic General Multicast (PGM) Remote Code Execution. Un atacante podría enviar un archivo especialmente diseñado a través de la red para lograr la ejecución remota de código e intentar activar código malicioso cuando el servicio Windows Message Queuing se está ejecutando en un entorno de servidor PGM.CVE-2023-24941 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – 9.8:Ejecución remota de código del sistema de archivos de red de Windows que podría aprovecharse a través de la red realizando una llamada no autenticada y especialmente diseñada a un servicio del sistema de archivos de red (NFS) para desencadenar una ejecución remota de código (RCE).CVE-2023-28283 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H – 8.1:Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution que podría permitir a un atacante no autenticado que explotara con éxito esta vulnerabilidad obtener la ejecución de código a través de un conjunto especialmente diseñado de llamadas LDAP para ejecutar código arbitrario dentro del contexto del servicio LDAP.CVE-2023-24903 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H – 8.1:Windows Secure Socket Tunneling Protocol que podría resultar en la ejecución remota de código en el lado del servidor a través de un paquete SSTP malicioso especialmente diseñado a un servidor SSTP.CVE-2023-29335 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H – 7.5:Vulnerabilidad de elusión de funciones de seguridad de Microsoft Word que requiere que un usuario abra un archivo manipulado y podría permitir a un atacante eludir funciones específicas de la vista protegida de Office:En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el archivo especialmente diseñado al usuario y convenciéndolo de que lo abra.En un escenario de ataque basado en web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para explotar la vulnerabilidad.CVE-2023-24901 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N – 7.5:Windows NFS Portmapper Information Disclosure Vulnerability que podría permitir a un atacante leer porciones de memoria de la pila.Versiones afectadas

RecomendacionesActualice según las instrucciones de los enlaces de las versiones afectadas. Además, Microsoft ha publicado soluciones temporales para algunos CVE:CVE-2023-24941:Solución temporal:Las siguientes medidas paliativas podrían ser útiles en su situación:Esta vulnerabilidad no es explotable en NFSV2.0 o NFSV3.0. Antes de actualizar su versión de Windows que protege contra esta vulnerabilidad, puede mitigar un ataque desactivando NFSV4.1. Esto podría afectar negativamente a su ecosistema y sólo debería utilizarse como mitigación temporal.Advertencia NO debe aplicar esta mitigación a menos que haya instalado las actualizaciones de seguridad de Windows de mayo de 2022.El siguiente comando PowerShell desactivará esas versiones:PS C:\Set-NfsServerConfiguration -EnableNFSV4 $falseCVE-2023-29325:Solución temporal:Utilice Microsoft Outlook para reducir el riesgo de que los usuarios abran archivos RTF de fuentes desconocidas o no fiables.Para ayudar a protegerse contra esta vulnerabilidad, recomendamos a los usuarios que lean los mensajes de correo electrónico en formato de texto sin formato.Para obtener orientación sobre cómo configurar Microsoft Outlook para que lea todo el correo estándar en texto sin formato, consulte Leer mensajes de correo electrónico en texto sin formato.Repercusión de la solución: Los mensajes de correo electrónico que se visualizan en formato de texto sin formato no contendrán imágenes, fuentes especializadas, animaciones u otro contenido enriquecido. Además, es posible que se produzca el siguiente comportamiento:Los cambios se aplican al panel de vista previa y a los mensajes abiertos.Las imágenes se convierten en archivos adjuntos para que no se pierdan.Como el mensaje sigue estando en formato Rich Text o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse de forma inesperada.

REFERENCIAS

Publicado el

AcoSOS ¿Qué hago?

AcoSOS ¿Qué hago? 

AcoSOS ¿Qué hago?

Cada 2 de mayo, se celebra el Día Mundial Contra el Acoso Escolar. Con ello se pretende concienciar a la población mundial sobre un tipo de violencia que afecta a millones de niños y jóvenes en todo el mundo con lo que desde CSIRT-CV nos sumamos a la causa para poner freno a esta situación.

El acoso escolar o bullying es entendido como el maltrato psicológico, verbal o físico hacia un alumno o alumna producido por uno o más compañeros y compañeras de forma reiterada a lo largo de un tiempo determinado.

Cuando el acoso se ejerce a través de las Tecnologías de la Información y la Comunicación o medios telemáticos se conoce como ciberbullying.  

Cada año son muchos los jóvenes que no soportan la presión de la humillación provocada por el acoso escolar o ciberbulling y acaban suicidándose.

El Estudio sobre Conducta Suicida y Salud Mental en la Infancia y la Adolescencia en España (2012-2022) realizado por la Fundación ANAR, señala que los casos atendidos en este organismo por ideas suicidas durante estos diez años se han multiplicado por 23,7 y los intentos de suicidio por 25,9.

Según otras fuentes, España es el primer país en la Unión Europea en casos de bullying. Siete de cada diez estudiantes han sufrido acoso escolar. Los suicidios en menores de quince años se han triplicado, pasando de siete suicidios en el año 2019 a 22 en el 2021.

 

Características del acoso escolar

  • Intencionalidad. La agresión se dirige a una persona en concreto con el objetivo de convertirla en víctima.
  • Repetición. La acción agresiva es repetitiva en el tiempo generando el sufrimiento continuado en la víctima.
  • Grupo o colectivo. Normalmente hay varios agresores.
  • Desequilibrio de poder. Se produce una desigualdad de poder físico, psicológico o social, que genera un desequilibrio de fuerzas en las relaciones interpersonales.
  • Indefensión. El objetivo del maltrato suele ser un solo alumno o alumna, que se posiciona una situación de indefensión.
  • Observadores pasivos. Los casos de acoso son conocidos por terceras personas sin que contribuyan a su cese y se dediquen a observar.

 

Consecuencias del acoso

  • Para la víctima: fracaso escolar, riesgo físico, trauma psicológico, ansiedad, infelicidad, problemas de personalidad y riesgo para su desarrollo equilibrado.
  • Para el agresor o agresora: manifestación de una conducta antisocial, una práctica de obtención de poder basada en la agresión, que puede perpetuarse en la vida adulta e, incluso, una sobrevaloración y normalización del hecho violento como socialmente aceptable y recompensado.
  • Para los observadores: puede conducir a una actitud pasiva y complaciente o tolerante ante la injusticia y una percepción equivocada de valía personal.

Ciberbulling

El Ciberbulling es el acoso psicológico entre jóvenes. Cuando un menor atormenta, amenaza, hostiga, humilla o molesta a otro/a mediante Internet, teléfonos móviles, consolas de juegos online u otras tecnologías telemáticas e incluye actuaciones de chantaje, vejaciones e insultos.

El Ciberbulling no se trata del acoso o abuso de índole sexual ni tampoco de aquel en el que interviene un adulto. Si interviene un adulto se utiliza el término más general de ciberacoso.

 

Cómo se produce

Depende de la tecnología que utilice el acosador y de su imaginación. A continuación, te dejamos unos ejemplos cómo se puede producir:

  • Hacer una foto comprometida de la víctima y publicarla en una red social para que todos los amigos la vean y dejarle en ridículo.
  • Hacerse pasar por la víctima en foros o chats, insultando y descalificando a terceros, con el fin de que toda esa gente se ponga en su contra y le ataquen posteriormente.
  • Crear un perfil falso de la víctima en redes sociales y escribir comentarios a modo de confesión vergonzosos y en contra de su reputación.
  • Provocar a la víctima en foros y redes sociales para que diga o haga algo incorrecto, así como crearle un estado de agobio en la red con mensajes amenazantes.

Cómo actuar ante un caso de ciberbulling

Si te llega un mensaje por una red social o correo electrónico a través del cual tratan de humillarte o amenazarte:

  • No respondas a las provocaciones. Eso es lo que busca el agresor en ti. Si respondes, incrementarás la tensión y con ello la gravedad del problema.
  • Guarda pruebas siempre que puedas, por si llega el momento de denunciar los hechos ante la policía.
  • Confía en tus padres, profesores o alguna organización especializada en el tema y cuéntales lo ocurrido lo antes posible. Busca su apoyo y colaboración.
  • Para cualquier consulta relacionada con el acoso a menores puedes dirigirte a la Fundación ANAR donde encontrarás información básica para detectar y prevenir el acoso escolar ya seas menor de edad, padre o docente.

Si eres joven…

  • Nunca facilites tus contraseñas a nadie y si alguna vez te ves obligado, cámbiala enseguida.
  • Sé prudente con tu información personal como número de teléfono, dirección, fotografías… y todo lo que muestras de ti en chats, foros y redes sociales. Toda la información publicada es pública y queda fuera de tu control. En situaciones de ciberbulling se puede volver en tu contra.

Si sufres tú, tus hijos o cualquier amigo tuyo una situación de este tipo o similar con insultos verbales, rechazo social o intimidación psicológica a en la vida real o a través de Internet, ya sea por medio de correos electrónicos, redes sociales, foros o cualquier otro tipo similar, estás siendo acosado y puedes ponerle freno.

Llama al 900 018 018 del Ministerio de Educación y Formación Profesional y te atenderán profesionales, las 24 horas del día, de forma gratuita y totalmente anónima. En la página web de la Conselleria de Educación, Cultura y Deporte también puedes encontrar información sobre protocolos para igualdad y la convivencia en el aula.

Recuerda que también puedes hacernos llegar alguna información o consulta sobre ciberbulling a CSIRT-CV a través de nuestro formulario de contacto. #StopBullying

concienciaT más sobre Ciberseguridad visitando estos artículos:

Mamá, Papá… otros niños me acosan en Internet

En Internet, no te la juegues

Publicado el

Boletín de abril 2023

Un mes más, volvemos con un nuevo boletín en el que hablaremos de los certificados digitales y otros mecanismos de identificación personal digital y cómo mantenerlos seguros.

En plena era de digitalización, uno de los elementos clave son los certificados digitales que permiten a las personas identificarse para poder realizar trámites en línea. Estos mecanismos cada vez se hacen más necesarios, llegando al punto de ser necesarios para realizar ciertas tareas como consultar datos médicos en línea, presentar la declaración de la renta telemáticamente, solicitar suscripción al paro o la firma de documentos, entre otros.

Desde infoautónomos, describen en su artículo sobre “La importancia de disponer del certificado digital” dos de las características más importantes y valiosas que ofrecen estos certificados:

      • Rapidez y ahorro de tiempo: Estas soluciones permiten a los usuarios realizar tareas más ágilmente evitando desplazamientos a entidades para realizar trámites, ahorro de esfuerzos en impresión y escaneo de documentación para poder firmarla, etc.
      • Transparencia: las gestiones quedan registradas en el día y hora específicos en las que se realizaron. Esto permite disponer de pruebas documentales en el caso de que necesites recurrir cualquier posible fallo de tipo administrativo.

En este boletín se describen los distintos métodos de identificación electrónica, cómo obtenerlos, riesgos derivados de su uso y consejos para proteger la identidad digital.

Actualmente, las cuatro soluciones disponibles para identificarse digitalmente se dividen de la siguiente manera:

      • Cl@ve: Este mecanismo puede usarse en dos formatos, clave permanente y clave PIN. Según describe Xataka en su noticia sobre estos métodos, la clave permanente se basa en el DNI del usuario y una contraseña que debe establecer el usuario en el primer momento que lo obtiene, lo que facilita su uso cotidiano. Por otro lado, la clave PIN se asocia al DNI del usuario y, en cada uso, genera un código alfanumérico temporal que permite el acceso. El hecho de que el código generado caduque aumenta la seguridad de su uso, aunque puede ser tedioso su uso en el día a día.
        Este certificado puede obtenerse desde la página oficial de la Agencia Tributaria, facilitado en este enlace. La Agencia Tributaria facilita diversos métodos para obtenerlos, aunque el más ágil y rápido es a través de un certificado o DNI-e.
      • Certificado FNMT: Este certificado es el más común para la identificación digital y está expedido por la Fábrica Nacional de Moneda y Timbre. A diferencia de los otros certificados, este certificado se instala en el navegador web y no requiere uso de contraseñas tras su instalación, lo que facilita su uso y mantenimiento.
        El certificado de la FNMT puede obtenerse desde su página web oficial, accesible con este enlace. Existen diversas maneras de obtenerlo, aunque la más rápida y la única que permite evitar desplazamientos es la que permite obtenerlo con el DNI-e.
      • Certificado ACCV: Expedido por la Agencia de Tecnología y Certificación Electrónica, este certificado, al igual que el certificado de la FNMT, permite a las personas acreditar su identidad digitalmente y consta de una validez de tres años. Este certificado puede obtenerse tanto digitalmente, a través de video identificación, lo cuál tiene un coste adicional o bien a través de un software que requiere la identificación acudiendo a un punto de Registro (PRU) de manera gratuita. A través de la página oficial de la ACCV, accesible en este enlace, se puede conocer en mayor detalle las posibilidades que se ofrecen para obtenerlo, así como encontrar los puntos PRU más cercanos según ubicación.
      • DNI electrónico (DNI-e): El certificado de DNI-e es el expedido por la Policía Nacional en el momento en el que se obtiene el DNI con un chip electrónico. En el momento de la obtención, se entrega un papel con la clave del certificado. Para su uso, tan solo es necesario un lector de DNI electrónico.
        Este certificado no es necesario solicitarlo, dado que todos los usuarios con DNI-e cuentan con él.

Actualmente, existe una gran cantidad de guías que describen el procedimiento para conseguirlos, entre ellos se encuentra este artículo de Xataka, una guía completa y detallada sobre la obtención e instalación de estos.

Como todos los elementos tecnológicos, el uso de certificados digitales también implica una serie de riesgos. El principal riesgo al que se expone un usuario es a la suplantación de identidad, ya que, como se ha comentado, estos certificados permiten acreditar la identidad de una persona. Los ciberdelincuentes aprovechan los certificados para acceder a sitios web con la identidad del usuario, firmar documentación o obtener acceso a otros recursos.

Enfocada esta problemática en un entorno empresarial, “un ataque dirigido a ellos desemboca directamente en la interrupción en la continuidad del negocio”, según informan desde redtrust. Además, añaden que “El impedimento en el uso de los certificados digitales de Persona Física, de Representante, de firma de código, de servidor o cualquiera dentro de su amplia tipología, pone en un grave compromiso a las empresas”.

Con el fin de mantener los certificados seguros, desde Camerfirma destacan las siguientes recomendaciones:

      • Obtén el certificado desde prestadores de servicio de confianza
      • Si se cede el certificado a un tercero, se pueden minimizar los riesgos con la firma de un contrato de prestación de servicios detallando el uso que se puede hacer de la firma
      • Guardar el certificado en un lugar seguro, idealmente en un gestor de centralizado de certificados o, en su defecto, en un ordenador con acceso limitado.
Publicado el

Comienza la Campaña de la Renta 2022, comienza la oleada de ingeniería social

Campaña de la renta 2022

El pasado martes, 11 de abril, comenzó la Campaña de la Renta 2022, uno de los momentos preferidos por los ciberdelincuentes para suplantar a la Agencia Tributaria, a través de las variadas técnicas que proporciona la ingeniería social, en busca de nuevas víctimas.

Los atacantes se sirven del phishing (envío de mails), el smishing (envío de SMS), el vishing (llamadas fraudulentas), el qrishing (phishing oculto en códigos QR) y otras técnicas más, para incluir enlaces maliciosos con el fin de robar información personal de las víctimas como credenciales de inicio de sesión, datos bancarios o contraseñas.

Con esos datos personales, pueden usurpar la identidad a la víctima y realizar, por ejemplo, compras con el dinero de sus víctimas, solicitar prestaciones por desempleo falsas o presentar solicitudes de préstamo a nombre de otra persona, entre otras.

La ingeniería social es el arte del engaño. Utiliza técnicas de manipulación de la naturaleza humana para que realices alguna acción y el ciberdelincuente consiga su objetivo.

Normalmente, este tipo de ataques apelan a los sentimientos y emociones de las personas, y a 4 principios básicos de nuestro comportamiento:

  • Nuestra tendencia es la confianza hacia el otro.
  • A todos nos gusta que nos alaben.
  • No nos gusta decir NO.
  • Todos queremos ayudar.

Para evitar ciberestafas de ingeniería social relacionadas con la declaración de la renta, se recomienda seguir los siguientes consejos:

  • Verifica siempre el remitentede los correos electrónicos, los atacantes utilizan direcciones falsas y suelen camuflarlas. Ante la duda, no hagas clic en ningún enlace, no abras archivos adjuntos, no descargues ningún software y no respondas al mensaje, repórtalo a través del correo “csirtcv@gva.es” o elimínalo.
  • Desconfía de los correos con archivos adjuntos sospechosos, en especial si contienen supuestas facturas no solicitadas o impagadas. Llama siempre por teléfono al remitente (consulta los datos de contacto oficiales, no los del correo) para comprobar su autenticidad. Ante la duda, no descargues ni abras ningún adjunto.
  • ¿Popularidad inesperada? No agregues en tus redes sociales a contactos que no conocesde nada, pueden estar recopilando tu información para suplantar tu identidad u otros propósitos ilícitos.
  • Protege tus datos, no reveles información personal ni profesional como datos bancarios, contraseñas o números de tarjetas de crédito, a través de correos electrónicos, mensajes de texto, formularios de Internet, sorteos, llamadas telefónicas o conversaciones en público. Nunca sabes quién está al otro lado.
  • Utiliza la verificación en dos pasos, así, aunque consigan tu contraseña no podrán acceder a tu cuenta, ya que se requiere una segunda acción de verificación.
  • Evita hacer clic en enlaces que te llevan al inicio de sesiónde una web, podría ser un clon de la auténtica, diseñada para robar tus contraseñas.
  • Los atacantes pueden crear redes WIFI fraudulentascon el mismo nombre que las originales y acceder a tus datos de navegación. ¡Evita las redes sin contraseña!
  • Sé original con las preguntas de seguridadde recuperación de contraseñas: solo tú debes saber la respuesta. Preguntas y respuestas, cuanto más creativas mejor.
  • Descarga tu softwarey aplicaciones de fuentes oficiales, evita las descargas pirata o a través de enlaces no comprobados. Desactiva las descargas automáticas en tus dispositivos.
  • Usa software de seguridad en tu ordenador o dispositivo móvil, como antivirus, cortafuegos y software de protección contra phishing.
  • Si compras por Internet, hazlo en tiendas oficiales. Utilizar PayPal para pagar ofrece más seguridad al comprador. ¡Cuidado con descuentos y regalos! Si parece demasiado bueno para ser cierto, probablemente es una trampa.
  • Sé cauteloso con los mensajes de texto y de voz sospechosos. No respondas a los mensajes de texto o llamadas sospechosas que solicitan información personal o financiera. Recuerda que la Agencia Tributaria nunca solicita información personal o financiera a través de mensajes de texto o de voz.

ConcienciaT más: