Author: Seguridad CSIRT-CV

La publicació d’actualitzacions de seguretat de Microsoft, corresponent a la publicació de vulnerabilitats del 8 d’agost, consta de 74 vulnerabilitats (amb CVE assignat), qualificades com: 4 de severitat crítica, 47 importants i 23 mitjanes. Addicionalment, s’han publicat 2 avisos de seguretat (amb codis ADV230003 i ADV230004).

Anàlisi

Les vulnerabilitats publicades es corresponen amb els següents tipus:

• • • escalada de privilegis,
    • omissió de característica de seguretat,
    • execució remota de codi,
    • divulgació d’informació,
    • denegació de servici,
    • suplantació d’identitat (spoofing).

S’han assignat els identificadors
CVE-2023-21709, CVE-2023-35385, CVE-2023-36910 y CVE-2023-36911 per a les vulnerabilitats crítiques.

Microsoft ha corregit 2 vulnerabilitats 0day que es corresponen amb els identificadors ADV230003 i CVE-2023-38180.

Recursos afectats:

• • • Microsoft Office;
    • Memory Integrity System Readiness Scan Tool;
    • Microsoft Exchange Server;
    • Microsoft Teams;
    • Windows Kernel;
    • Microsoft Office Excel;
    • Microsoft Office Visio;
    • Windows Message Queuing;
    • Windows Projected File System;
    • Windows Reliability Analysis Metrics Calculation Engine;
    • Windows Fax y Scan Service;
    • Windows HTML Platform;
    • driver Windows Bluetooth A2DP;
    • Microsoft Dynamics;
    • .NET Core;
    • ASP.NET y Visual Studio;
    • Azure HDInsights;
    • Azure DevOps;
    • .NET Framework;
    • Reliability Analysis Metrics Calculation Engine;
    • Microsoft WDAC OLE DB proveedor de SQL;
    • Windows Group Policy;
    • Microsoft Office SharePoint;
    • Microsoft Office Outlook;
    • Tablet Windows User Interface;
    • ASP.NET;
    • Windows Common Log File System Driver;
    • Windows System Assessment Tool;
    • Windows Cloud Files Mini Filter Driver;
    • Windows Wireless Wide Area Network Service;
    • Windows Cryptographic Services;
    • Role: Windows Hyper-V;
    • Windows Smart Card;
    • Microsoft Edge (basado en Chromium);
    • Dynamics Business Central Control;
    • SQL Server;
    • Microsoft Windows Codecs Library;
    • Windows Defender;
    • Azure Arc;
    • ASP .NET;
    • Windows LDAP (Lightweight Directory Access Protocol);
    • Windows Mobile Device Management.

Recomanacions

Instal·lar l’actualització de seguretat corresponent.
En la pàgina de Microsoft s’informa dels diferents mètodes per a dur a terme estes actualitzacions.

Referències

https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-agosto-de-2023

https://msrc.microsoft.com/update-guide

Introducció

S’ha detectat una nova campanya de correus electrònics fraudulents de tipus phishing que destaca per l’ús de codis QR. El mètode detectat podria vulnerar les eines de seguretat, a més de ser efectiu, fins i tot, utilitzant un doble factor d’autenticació. 

Anàlisi

Els correus electrònics identificats segueixen una estructura comuna, encara que no es descarten variacions en aquesta.
En primer lloc, la víctima rep un correu electrònic que inclou el seu nom i el de l’empresa. En el missatge s’incita la víctima a escanejar un codi QR a través del seu telèfon mòbil. Per a això, els ciberdelinqüents poden al·legar que és necessària una verificació de la identitat o d’un doble factor d’autenticació.
Aquesta campanya de correus fraudulents és especialment perillosa, ja que els ciberdelinqüents utilitzen comptes de correu electrònic compromesos per a personalitzar el nom del remitent i els assumptes, en funció de l’organització i el correu electrònic del destinatari. Per exemple: « Scan requirement: [NOM EMPRESA] Security Authentication for your account: [email_destinatari] ».
En els correus detectats el codi QR fraudulent sol trobar-se directament en el cos del missatge, encara que també s’han detectat versions en les quals s’inclou en un document adjunt.

En cas que la víctima escanege el codi QR, serà redirigida a una pàgina web fraudulenta, molt semblant a la d’inici de sessió en els serveis de Microsoft de la seua organització. A més, a través de l’escaneig del codi QR, els ciberdelinqüents aconsegueixen que la direcció de la víctima puga aparéixer ja emplenada en el formulari.

En cas que la víctima introduïsca les dades, aquestes quedarien en mans dels ciberdelinqüents.

En alguns dels casos detectats, els destinataris eren personal directiu o amb grans responsabilitats en l’organització.

Recomanacions

Si sospita que un correu que ha rebut pot ser un d’aquests correus, pot enviar-lo a CSIRT-CV per a analitzar-lo mitjançant la funció Phishing d’aquest mateix portal.

D’altra banda, si creu que pot haver fet clic en l’enllaç i executat l’arxiu descarregat, analitze el seu equip amb un antivirus actualitzat. A més, comprove els seus moviments bancaris per a cancel·lar qualsevol pagament no autoritzat, i canvie les credencials de tots els comptes que haja utilitzat mentre el programari maliciós (malware) ha estat instal·lat.

Referencias

Introducció

El butlletí d’Android, relatiu a agost de 2023, soluciona múltiples vulnerabilitats de severitat crítica i alta que afecten el seu sistema operatiu, així com múltiples components, que podrien permetre a un atacant realitzar una escalada de privilegis, divulgar informació i provocar una denegació de servei (DoS) o una execució de codi remota (RCE).

Análisi

El butlletí de seguretat d’Android del mes de juliol corregeix diverses vulnerabilitats, que es troben disponibles en els pegats de seguretat del 01-08-2023 i del 05-08-2023, així com posteriors.

Les vulnerabilitats crítiques es detallen a continuació:

• • • 2 d’execució remota de codi que afecten media framework (CVE-2023-21282) i system (CVE-2023-21273). 
    • 1 d’escalada de privilegis en el kernel, concretament en el subcomponent KVM (CVE-2023-21264), 
    • 1 de corrupció de memòria a causa de la falta de comprovació de la grandària del búfer que afecta el component Qualcomm closed-source (CVE-2022-40510). 
  •  

Recursos afectats:

• • • • Android Open Source Project (AOSP): versiones 11, 12, 12L y 13.
      • Componentes:
        
        • framework
        • media framework
        • system
        • sistema de actualizaciones de Google Play
        • Kernel
        • Arm
        • MediaTek
        • Qualcomm (incluidos closed-source)

Recomanacions

En cas d’utilitzar dispositius Android, cal comprovar que el fabricant haja publicat un pegat de seguretat i actualitzar-los, es pot comprovar ací.

En aquest enllaç s’indica com es pot verificar la versió d’Android d’un dispositiu i la data del pegat de seguretat d’alguns fabricants. En cas que seguint aquesta guia no pugues comprovar la versió dels teus dispositius o la data del pegat de seguretat, revisa la pàgina del fabricant.

Referències

PaperCut NG i MF són solucions de programari de servidor de gestió d’impressió àmpliament utilitzades.

S’han publicat alguns detalls sobre CVE-2023-39143, dos vulnerabilitats en els servidors d’aplicacions PaperCut que podrien ser explotades per atacants no autenticats per a executar codi de manera remot.

Anàlisi

La vulnerabilitat afecta als servidors PaperCut que s’executen en Windows. La càrrega d’arxius que conduïx a l’execució remota de codi és possible quan la configuració d’integració de dispositius externs està activada. Esta configuració està activada per defecte en determinades instal·lacions de PaperCut, com la versió comercial de PaperCut NG o PaperCut MF.

L’empresa ha afegit que s’han introduït altres millores de seguretat com a resultat d’auditories de codi, proves de penetració i revisions de seguretat, i ha instat els clients que planifiquen una actualització.

Recomanacions

Actualitzar a PaperCut NG i PaperCut MF 22.1.3

Atés que per a explotar CVE-2023-39143 es requerix accés directe a la IP del servidor, el risc d’explotació també pot mitigar-se configurant una llista de permisos i emplenant-la amb adreces IP de dispositius que tinguen permís per a comunicar-se amb el servidor.

Referències