Autor: Seguridad CSIRT-CV

Se ha detectado una nueva campaña de correos electrónicos fraudulentos de tipo phishing que destaca por el uso de códigos QR. El método detectado podría vulnerar las herramientas de seguridad, además de ser efectivo incluso utilizando un doble factor de autenticación. 

Análisis

Los correos electrónicos identificados siguen una estructura común, aunque no se descartan variaciones en la misma.

En primer lugar, la víctima recibe un correo electrónico que incluye su nombre y el de la empresa. En el mensaje se incita a la víctima a escanear un código QR a través de su teléfono móvil. Para ello, los ciberdelincuentes pueden alegar que es necesaria una verificación de la identidad o de un doble factor de autenticación.

Esta campaña de correos fraudulentos es especialmente peligrosa, ya que los ciberdelincuentes utilizan cuentas de correo electrónico comprometidas para personalizar el nombre del remitente y los asuntos, en función de la organización y el correo electrónico del destinatario. Por ejemplo: « Scan requirement: [NOMBRE EMPRESA] Security Authentication for your account: [email_destinatario] ».

En los correos detectados el código QR fraudulento suele encontrarse directamente en el cuerpo del mensaje, aunque también se han detectado versiones en las que se incluye en un documento adjunto.

En caso de que la víctima escanee el código QR, será redirigido a una página web fraudulenta, muy parecida a la de inicio de sesión en los servicios de Microsoft de su organización. Además, a través del escaneo del código QR, los ciberdelincuentes consiguen que la dirección de la víctima pueda aparecer ya rellenada en el formulario.

En caso de que la víctima introduzca los datos, estos quedarían en manos de los ciberdelincuentes.

En algunos de los casos detectados, los destinatarios eran personal directivo o con grandes responsabilidades en la organización.

Recomendaciones

Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal.

Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.

Referencias

Informar de un Phishing – CSIRT-CV (gva.es)

https://www.incibe.es/empresas/avisos/nueva-campana-de-phishing-utilizando-codigos-qr

Introducción

El boletín de Android, relativo a agosto de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían permitir a un atacante realizar una escalada de privilegios, divulgar información y provocar una denegación de servicio (DoS) o una ejecución de código remota (RCE).

Análisis

El boletín de seguridad de Android del mes de julio corrige varias vulnerabilidades, que se encuentran disponibles en los parches de seguridad del 01-08-2023 y del 05-08-2023, así como posteriores.

Las vulnerabilidades críticas se detallan a continuación:

• • • 2 de ejecución remota de código que afectan a media framework (CVE-2023-21282) y system (CVE-2023-21273).
    • 1 de escalada de privilegios en el kernel, concretamente en el subcomponente KVM (CVE-2023-21264),
    • 1 de corrupción de memoria debido a la falta de comprobación del tamaño del búfer que afecta al componente Qualcomm closed-source (CVE-2022-40510).

Recursos afectados:

• • • • Android Open Source Project (AOSP): versiones 11, 12, 12L y 13.
      • Componentes:
        
        • framework
        • media framework
        • system
        • sistema de actualizaciones de Google Play
        • Kernel
        • Arm
        • MediaTek
        • Qualcomm (incluidos closed-source)

Recomendaciones

En caso de utilizar dispositivos Android, comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos, se puede comprobar aquí.

En este enlace se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no puedas comprobar la versión de tus dispositivos o la fecha del parche de seguridad, revisa la página del fabricante.

 

Referencias

PaperCut NG y MF son soluciones de software de servidor de gestión de impresión ampliamente utilizadas.

Se han publicado algunos detalles sobre CVE-2023-39143, dos vulnerabilidades en los servidores de aplicaciones PaperCut que podrían ser explotadas por atacantes no autenticados para ejecutar código de forma remota.

Análisis

La vulnerabilidad afecta a los servidores PaperCut que se ejecutan en Windows. La carga de archivos que conduce a la ejecución remota de código es posible cuando la configuración de integración de dispositivos externos está activada. Esta configuración está activada por defecto en determinadas instalaciones de PaperCut, como la versión comercial de PaperCut NG o PaperCut MF.

La empresa ha añadido que se han introducido otras mejoras de seguridad como resultado de auditorías de código, pruebas de penetración y revisiones de seguridad, y ha instado a los clientes a que planifiquen una actualización.

Recomendaciones

Actualizar a PaperCut NG y PaperCut MF 22.1.3

Dado que para explotar CVE-2023-39143 se requiere acceso directo a la IP del servidor, el riesgo de explotación también puede mitigarse configurando una lista de permisos y rellenándola con direcciones IP de dispositivos que tengan permiso para comunicarse con el servidor.

Referencias

Introducción

Se ha reportado una vulnerabilidad de severidad alta que afecta a múltiples impresoras de HP y Samsung, cuya explotación podría permitir una escalada de privilegios.

 

Análisis

Algunos paquetes de software de impresoras HP y Samsung podrían ser vulnerables a una escalada de privilegios debido a la búsqueda no controlada de elementos en un directorio. Se ha asignado el identificador CVE-2022-4894 para esta vulnerabilidad.

Se ha puesto en disposición un listado completo de productos afectados en la sección ‘Affected products and software‘ del aviso del fabricante.

Recomendaciones

HP ha publicado actualizaciones de software para los controladores afectados en diferentes dispositivos que se pueden consultar aquí.

 

Referencias

• • • • https://support.hp.com/us-en/drivers
      • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/escalada-de-privilegios-en-dispositivos-hp-y-samsung
      • https://support.hp.com/us-en/document/ish_8947379-8947403-16/hpsbpi03857