Autor: Seguridad CSIRT-CV

Según ha informado la empresa de ciberseguridad Wallarm, un grupo de cibercriminales ha comenzado a explotar la API de DocuSign en una sofisticada campaña de phishing que envía facturas falsas a usuarios corporativos. Este método, publicado por el medio especializado en ciberseguridad Bleeping Computer, permite que las estafas pasen desapercibidas para las herramientas de detección tradicionales, ya que los correos electrónicos fraudulentos provienen directamente de DocuSign y parecen solicitudes de firma legítimas, sin enlaces o archivos adjuntos maliciosos. El peligro reside en la autenticidad de la solicitud en sí.

La campaña observada se basa en la creación de cuentas legítimas y de pago en DocuSign, lo que permite a los atacantes personalizar plantillas de documentos y enviar correos a múltiples destinatarios directamente desde la plataforma, utilizando la API de «Envelopes: create API». Los mensajes imitan solicitudes de firmas electrónicas de marcas conocidas, y las facturas falsas están diseñadas con detalles que incluyen precios y cargos específicos, lo que refuerza su autenticidad.

Si un usuario firma electrónicamente estos documentos, los atacantes pueden enviar la factura a departamentos de finanzas y solicitar pagos fraudulentos, engañando a las organizaciones para que transfieran fondos a cuentas controladas por los delincuentes. Wallarm alerta que este método podría ser replicado en otras plataformas de firma electrónica que también permitan el acceso mediante API, lo que amplía el riesgo de este tipo de ataques.

Para protegerse, los expertos recomiendan que las organizaciones verifiquen cuidadosamente la dirección de correo del remitente y las cuentas asociadas para verificar su legitimidad, además de establecer controles internos que involucren a varios miembros en la aprobación de transacciones financieras y aprobación de compras. También sugieren que los empleados de IT reciban formación para identificar las tácticas de phishing más avanzadas, incluso cuando las solicitudes parecen proceder de fuentes fiables como DocuSign, para proteger a sus organizaciones.

Referencias

• • https://blog.segu-info.com.ar/2024/11/ataques-de-phishing-mediante-abuso-de.html
  • https://lab.wallarm.com/attackers-abuse-docusign-api-to-send-authentic-looking-invoices-at-scale/

Las actualizaciones de seguridad de Microsoft para el Patch Tuesday de noviembre de 2024 abordaron 89 vulnerabilidades, incluidas dos zero-day explotadas activamente.

Análisis

Las actualizaciones de seguridad de Patch Tuesday de Microsoft para noviembre de 2024 solucionaron 89 vulnerabilidades en Windows y Componentes de Windows; Office y Componentes de Office; Azure; .NET y Visual Studio; LightGBM; Exchange Server; SQL Server; TorchGeo; Hyper-V; y Windows VMSwitch.

Cuatro de estas vulnerabilidades están calificadas como Críticas, 84 están calificadas como Importantes, y una está calificada como Moderada en gravedad. Microsoft ha solucionado un total de 949 vulnerabilidades este año.

Dos de las vulnerabilidades, rastreadas como CVE-2024-43451 y CVE-2024-49039, están listadas como explotadas al momento de su lanzamiento.

A continuación se encuentran las descripciones de estas dos vulnerabilidades:

• • CVE-2024-43451: Una vulnerabilidad de suplantación de divulgación de hash NTLM en MSHTML permite que los atacantes extraigan el hash NTLMv2 de un usuario a través de los componentes de Internet Explorer en el control WebBrowser. Aunque se necesita interacción del usuario, los atacantes aún pueden explotarla para suplantar a la víctima. Se recomienda aplicar el parche de inmediato.
  • CVE-2024-49039: Una falla de escalada de privilegios en el Programador de Tareas de Windows permite escapar de AppContainer, lo que permite a los usuarios con pocos privilegios ejecutar código con integridad media. Descubierta por varios investigadores, está siendo explotada activamente, especialmente en diferentes regiones, lo que resalta su posible impacto.

Recomendaciones

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se indican los productos afectados así como se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias

• • https://www.zerodayinitiative.com/blog/2024/11/12/the-november-2024-security-update-review
  • https://www.cisa.gov/news-events/alerts/2024/11/12/microsoft-releases-november-2024-security-updates
  • https://blog.talosintelligence.com/november-patch-tuesday-release/

Google ha advertido que un fallo de seguridad que afecta a su sistema operativo Android ha sido explotado activamente.

Análisis

La vulnerabilidad, identificada como CVE-2024-43093, ha sido descrita como un fallo de escalada de privilegios en el componente Android Framework que podría resultar en acceso no autorizado a los directorios «Android/data», «Android/obb» y «Android/sandbox» y sus subdirectorios.

Google también ha señalado que CVE-2024-43047, un error de seguridad ahora parcheado en los chipsets de Qualcomm, ha sido explotado activamente. Se trata de una vulnerabilidad de uso posterior a la liberación en el servicio del procesador de señal digital (DSP), cuya explotación exitosa podría provocar la corrupción de la memoria.

El aviso no ofrece detalles sobre la actividad de explotación dirigida al fallo ni cuándo pudo haber comenzado, aunque es posible que haya sido aprovechado como parte de ataques de software espía altamente específicos dirigidos a miembros de la sociedad civil.

Actualmente tampoco se sabe si ambas vulnerabilidades de seguridad fueron diseñadas juntas como una cadena de explotación para elevar privilegios y lograr la ejecución de código.

CVE-2024-43093 es el segundo fallo del marco de Android explotado activamente después de CVE-2024-32896 , que fue parcheada por Google en junio y septiembre de 2024. Si bien originalmente se resolvió solo para dispositivos Pixel, la compañía confirmó más tarde que la falla afecta al ecosistema Android más amplio.

Recomendaciones

Se recomienda actualizar el dispositivo cuyo sistema operativo sea Android a la ultima versión.

Referencias

• • https://thehackernews.com/2024/11/google-warns-of-actively-exploited-cve.html
  • https://www.redeszone.net/noticias/seguridad/google-alerta-vulnerabilidad-moviles/

Google y Mozilla anunciaron el martes actualizaciones de seguridad para sus navegadores web Chrome y Firefox.

Análisis

Google ha lanzado una actualización (Chrome 130) para su navegador Chrome que incluye parches para dos vulnerabilidades críticas.
Una de ellas, identificada como CVE-2024-10487, ha sido descrita como un problema crítico de escritura fuera de límites en Dawn, la implementación multiplataforma del estándar WebGPU y puede ser utilizada por cibercriminales como una descarga automática. Eso significa que el dispositivo de una víctima podría verse comprometido con solo visitar un sitio web o un anuncio malicioso.

El equipo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple informó del problema a Google hace apenas una semana. También se utilizan diferentes implementaciones de la API de gráficos WebGPU en Firefox y Safari, pero no está claro si estos navegadores también se ven afectados por CVE-2024-10487.

Si bien no hay información sobre para qué se puede explotar CVE-2024-10487, en general, la explotación de problemas de escritura fuera de los límites puede provocar la ejecución de código arbitrario. Google no ha mencionado nada sobre la explotación en la práctica.

La segunda vulnerabilidad parcheada con el lanzamiento de Chrome 130 es CVE-2024-10488, un error de uso después de la liberación de alta gravedad en WebRTC. La vulnerabilidad es un problema de uso posterior a la liberación que reside en WebRTC y podría provocar la ejecución de código arbitrario o causar un bloqueo. Podría usarse para posibles robos de datos o bloqueos del sistema.

Por su parte Mozilla lanzó Firefox 132 y Thunderbird 132. Las últimas versiones del navegador y del cliente de correo electrónico corrigen las mismas 11 vulnerabilidades, incluidos dos de alta gravedad.

Uno de ellos, identificado como CVE-2024-10458, se ha descrito como una fuga de permisos que puede ocurrir desde un sitio web confiable a un sitio web que no lo es. El segundo problema, CVE-2024-10459, es un uso posterior a la liberación que puede provocar un bloqueo explotable.

A las vulnerabilidades restantes se les han asignado calificaciones de gravedad «media» y «baja» y su explotación puede conducir a suplantación de identidad, ataques XSS, fugas de datos, condiciones de denegación de servicio (DoS) y ejecución de código arbitrario.

Recursos afectados

• • Google Chrome en versiones anteriores a Chrome 130.
  • Mozilla Firefox en versiones anteriores a Firefox 132.
  • Mozilla Thunderbird en versiones anteriores a Thunderbird 132.

Recomendaciones

Ambos fabricantes han publicado versiones actualizadas de los productos, por lo que se recomienda actualizarlos a las versiones mas recientes (Chrome 130, Firefox 132 y Thunderbird 132).

Referencias

• • https://securityaffairs.com/170395/security/google-fixed-critical-chrome-flaw.html
  • https://www.securityweek.com/google-patches-critical-chrome-vulnerability-reported-by-apple/
  • https://www.malwarebytes.com/blog/news/2024/10/patch-now-new-chrome-update-for-two-critical-vulnerabilities