Publicado el

Actualizaciones de seguridad para productos Apple

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad en Apple en el que se destaca una vulnerabilidad, identificada bajo el CVE-2023-38606, y que afecta a sus productos con sistemas operativos iOS, iPadOS y macOS. Cabe señalar que dicha vulnerabilidad, la cual ha sido reportada por un investigador anónimo, permite ejecutar código arbitrario en el sistema de destino. 

Analisis

La base de datos del NIST no ha registrado la vulnerabilidad descrita, por lo que aún no se le ha asignado puntuación de acuerdo a la escala CVSSv3. El fabricante, sin embargo, ha clasificado la vulnerabilidad identificada como crítica.                     

Apple ha informado de que tiene conocimiento de que la vulnerabilidad ha podido ser explotada de manera activa, pero no se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados ni exploits que aprovechen el fallo reportado. 

Recursos afectados 

La vulnerabilidad reportada afecta a las siguientes versiones:

macOS: versiones anteriores a 13.4.1 (a)

iOS: versiones anteriores a 16.5.1 (a)

iPadOS: versiones anteriores a 16.5.1 (a) 

RECOMENDACIONES 

Se recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. 

Los errores han sido corregidos por Apple en las versiones iOS 16.6, iPadOS 16.6 y macOS 13.5.

 

Las actualizaciones pueden encontrarse en el siguiente enlace:

Actualizaciones de seguridad

Además de lo anterior, el fabricante proporciona las instrucciones siguientes para facilitar la correcta aplicación de las mismas:

Actualizar el software de iPhone o iPad

Actualizar macOS en Mac

 
Referencias
Publicado el

Campaña de phishing con imágenes QR

Se ha detectado una campaña de phishing en la que se están utilizando imágenes QR para que el usuario acceda a enlaces maliciosos.

Detalle

Los correos detectados simulan una notificación de Microsoft en la que se pide al usuario «actualizar su información» desde el enlace del QR.

En realidad, lo que hace el enlace es registrar los usuarios que han entrado para obtener un listado de usuarios susceptibles a estos engaños. El enlace lleva un identificador único para cada usuario al que se envía el correo de phishing. Tras registrar al usuario como víctima potencial de futuras campañas, el enlace redirige al navegador Google o Bing, intentando resultar así menos sospechoso.

En este caso se trata de un ataque de ingeniería social para obtener estos listados de usuarios susceptibles, pero en campañas futuras el mismo método podría llevar a robo de credenciales, pagos a la entidad equivocada por suplantación, descarga de malware…

Muestra

Se ha anonimizado el usuario y el QR de un correo real para mostrarlo como ejemplo del formato que sigue actualmente esta campaña:


Recomendaciones

En caso de recibir un correo con un formato similar al de la imagen, se recomienda desconfiar por defecto y acceder sólo después de comprobar concienzudamente el correo o, si carece de conocimientos técnicos al respecto, contactar por otra vía con el personal de Microsoft para comprobar la legitimidad del correo.

Se recomienda revisar el dominio de cualquier enlace QR, especialmente uno que llegue a su correo. Si el dominio no se corresponde con la entidad esperada, desconfíe del enlace y acceda sólo si puede confirmar su legitimidad por otras vías.

Si la aplicación que utiliza para escanear códigos QR accede automáticamente a los enlaces de estos códigos, se recomienda desactivar esa opción o buscar una aplicación que permita visualizar el enlace antes de acceder al mismo.

Publicado el

Vulnerabilidad que afecta a los procesadores Intel

Se ha dado a conocer los detalles de un nuevo ataque de canal lateral dirigido a procesadores Intel.

El ataque, denominado Downfall, ha sido descubierto por un investigador de Google y se ha identificado la vulnerabilidad como CVE-2022-40982.

Análisis

El atacante podría explotar la vulnerabilidad teniendo acceso físico al dispositivo o mediante el uso de un malware. Como resultado, se podría obtener información sensible, como contraseñas y claves criptográficas de los usuarios que han usado el mismo dispositivo. Estos ataques de canal lateral también funcionan contra entornos cloud, permitiendo al atacante robar información de los usuarios que han usado el servicio.

Los ataques de este tipo que afectan a los procesadores se pueden resumir de la siguiente manera:

La CPU se ve obligada a leer datos a los que el usuario no debería tener acceso. Por lo que el software no tiene acceso a la clave de cifrado utilizada para proteger los datos confidenciales pero, si se le indica a la CPU que “lea la clave de cifrado en una dirección determinada”, ésta no debería ejecutar dicha instrucción.

La vulnerabilidad llega en forma de ejecución especulativa de instrucciones, una característica importante de las CPU modernas que existe desde hace casi tres décadas. En lugar de esperar a que termine una instrucción, el procesador ejecuta la siguiente en paralelo, de tal forma que si la primera instrucción comprueba los derechos de acceso a información sensible, en teoría, no debería permitir la ejecución de la siguiente instrucción para leer esa información, sin embargo, ya es demasiado tarde: la siguiente instrucción se ejecuta de forma especulativa. Aunque el atacante no tenga acceso directo a estos datos, la CPU sí.

Recursos afectados:

      • Los procesadores Intel afectados incluyen desde la 6ª generación Skylake hasta la 11ª generación Tiger Lake.

Recomendaciones

Intel recomienda que los usuarios de los procesadores Intel afectados actualicen a la última versión del firmware proporcionada por el fabricante del sistema que solucione estos problemas.

Referencias

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40982

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html

https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/secure-coding/loading-microcode-os.html

Publicado el

Actualizaciones de seguridad de Microsoft de agosto de 2023

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 8 de agosto, consta de 74 vulnerabilidades (con CVE asignado), calificadas como: 4 de severidad crítica, 47 importantes y 23 medias. Adicionalmente, se han publicado 2 avisos de seguridad (con códigos ADV230003 y ADV230004).

Análisis

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

      • escalada de privilegios,
      • omisión de característica de seguridad,
      • ejecución remota de código,
      • divulgación de información,
      • denegación de servicio,
      • suplantación de identidad (spoofing).

Se han asignado los identificadores CVE-2023-21709, CVE-2023-35385, CVE-2023-36910 y CVE-2023-36911 para las vulnerabilidades críticas.

Microsoft ha corregido 2 vulnerabilidades 0day que se corresponden con los identificadores ADV230003 y CVE-2023-38180.

Recursos afectados:

      • Microsoft Office;
      • Memory Integrity System Readiness Scan Tool;
      • Microsoft Exchange Server;
      • Microsoft Teams;
      • Windows Kernel;
      • Microsoft Office Excel;
      • Microsoft Office Visio;
      • Windows Message Queuing;
      • Windows Projected File System;
      • Windows Reliability Analysis Metrics Calculation Engine;
      • Windows Fax y Scan Service;
      • Windows HTML Platform;
      • driver Windows Bluetooth A2DP;
      • Microsoft Dynamics;
      • .NET Core;
      • ASP.NET y Visual Studio;
      • Azure HDInsights;
      • Azure DevOps;
      • .NET Framework;
      • Reliability Analysis Metrics Calculation Engine;
      • Microsoft WDAC OLE DB proveedor de SQL;
      • Windows Group Policy;
      • Microsoft Office SharePoint;
      • Microsoft Office Outlook;
      • Tablet Windows User Interface;
      • ASP.NET;
      • Windows Common Log File System Driver;
      • Windows System Assessment Tool;
      • Windows Cloud Files Mini Filter Driver;
      • Windows Wireless Wide Area Network Service;
      • Windows Cryptographic Services;
      • Role: Windows Hyper-V;
      • Windows Smart Card;
      • Microsoft Edge (basado en Chromium);
      • Dynamics Business Central Control;
      • SQL Server;
      • Microsoft Windows Codecs Library;
      • Windows Defender;
      • Azure Arc;
      • ASP .NET;
      • Windows LDAP (Lightweight Directory Access Protocol);
      • Windows Mobile Device Management.

Recomendaciones

Instalar la actualización de seguridad correspondiente.
En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias

https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-agosto-de-2023

https://msrc.microsoft.com/update-guide