Autor: Seguridad CSIRT-CV

INTRODUCCIÓN

•     Escalada de privilegios
•     Anulación de funciones de seguridad
•     Suplantación de identidad
•     Divulgación de información
•     Secuencias de comandos en sitios cruzados
•     Ejecución remota de código
•     Denegación de servicio

•     CVE-2023-32046: vulnerabilidad que podría permitir una escalada de privilegios en equipos Windows10.
•     CVE-2023-32049: vulnerabilidad que podría permitir una anulación de funciones de seguridad en equipos Windows10.
•     CVE-2023-35311: vulnerabilidad que podría provocar una anulación de funciones de seguridad en Microsoft Office, Microsoft 365 Apps y Microsoft Outlook.
•     CVE-2023-36874: vulnerabilidad que podría provocar una escalada de privilegios en Windows Server 2008 y 2012.
•     CVE-2023-36884 vulnerabilidad que podría provocar una ejecución remota de código en equipos Windows10, Windows Server y Microsoft Office.

•     https://msrc.microsoft.com/update-guide/releaseNote/2023-Jul
•     https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-julio-de-2023
•     https://thehackernews.com/2023/07/microsoft-releases-patches-for-130.html
•     https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update
• •  

Introducción

Se han descubierto múltiples vulnerabilidades en Mozilla Firefox, Firefox ERS y Thunderbird

Análisis

Mozilla ha emitido un aviso de seguridad donde se tratan 13 vulnerabilidades que afectan al navegador Firefox, Firefox ERS y al cliente de correo electrónico multiplataforma Mozilla Thunderbird. Dentro de estas destacan 4 de severidad alta cuyos identificadores son CVE-2023-37201, CVE-2023-37202, CVE-2023-37211, CVE-2023-37212, que de ser explotadas podrían conducir a condiciones use-after-free y de ejecución arbitraria de código.

• • • CVE-2023-3482: Bloquear todas las cookies de bypass para localstorage
    • CVE-2023-37201: Use-after-free en la generación de certificados WebRTC
    • CVE-2023-37202: Posible uso después de la liberación de la falta de coincidencia de compartimento en SpiderMonkey
    • CVE-2023-37203: La API de arrastrar y soltar puede proporcionar acceso a archivos locales del sistema
    • CVE-2023-37204: Notificación de pantalla completa oscurecida a través del elemento de opción
    • CVE-2023-37205: Suplantación de URL en la barra de direcciones utilizando caracteres RTL
    • CVE-2023-37206: Validación insuficiente de enlaces simbólicos en la API FileSystem
    • CVE-2023-37207: Notificación de pantalla completa oscurecida
    • CVE-2023-37208: Falta de advertencia al abrir archivos Diagcab
    • CVE-2023-37209: Use-after-free en `NotifyOnHistoryReload`.
    • CVE-2023-37210: Prevención de salida del modo de pantalla completa
    • CVE-2023-37211: Fallos de seguridad de memoria corregidos en Firefox 115, Firefox ESR 102.13 y Thunderbird 102.13
    • CVE-2023-37212: Memory safety bugs fixed in Firefox 115

VERSIONES AFECTADAS:

• • • Mozilla Firefox versiones anteriores a 115.
    • Firefox ESR versiones anteriores a 102.13.
    • Firefox Thunderbird versiones anteriores a 102.13.

Recomendaciones

Para la mitigación de estas vulnerabilidades, se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen las actualizaciones correspondientes.

Para solucionar los problemas mencionados, Mozilla recomienda instalar la versión más reciente de Firefox y Thunderbird.

• • • Actualizar Mozilla Firefox a 115.
    • ActualizarFirefox ESR a 102.13.
    • Actualizar Firefox Thunderbird a 102.13.

Referencias

• • • https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/
    • https://nvd.nist.gov/vuln/detail/CVE-2023-3482
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37201
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37202
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37203
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37204
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37205
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37206
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37207
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37208
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37209
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37210
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37211

Introducción

Se han detectado campañas de correos maliciosos de tipo phishing que tienen como objetivo infectar los dispositivos con el malware conocido como Grandoreiro. 

Análisis

Los correos electrónicos detectados siguen el siguiente patrón:

En una de las campañas, el usuario recibe un correo electrónico, que parece provenir de una entidad de confianza, como, por ejemplo, una compañía de seguros. En el asunto se habla de un ‘aviso de transferencia’.

En el mensaje, dirigido al usuario que aparece en la dirección del correo electrónico, hace referencia al abono de una factura detallada en un fichero adjunto que se puede descargar en el enlace que se facilita.

Si el usuario descarga el archivo adjunto del enlace malicioso, este le descargará el malware Grandoreiro.

En otra campaña detectada, el phishing suplanta la identidad de una línea de supermercados, indicando al cliente que se le adjunta su factura electrónica.

Al pulsa en el enlace malicioso para descargar la supuesta factura, este le descargará el malware Grandoreiro comprimido en un archivo .zip.

En otro ejemplo, se suplanta la identidad de una conocida compañía telefónica. En este caso, se indica al titular del correo electrónico que se le ha adjuntado su factura electrónica del mes y para descargarla se debe hacer pulsar en el enlace malicioso.

Si el usuario pulsa en el enlace que, supuestamente, descarga la factura, este le descargará el malware.

Han sido detectadas, más campañas que se dirigen directamente al usuario por diferentes motivos como, por ejemplo, en nombre de una tercera empresa que suele ser proveedora. Todas tienen en común que facilitan un enlace para descargar una factura, comprobante o un documento de cualquier tipo.

En la siguiente evidencia observamos cómo se dirigen al usuario por su nombre y apellidos dando así un trato más personal y creíble.

En general, en todas las campañas detectadas, si el usuario pulsa en el enlace que acompaña al mensaje, este le descargará un malware conocido como Grandoreiro, de tipo troyano, que se caracteriza por extraer información bancaria.

No se descartan otras campañas similares donde varíe el asunto o cuerpo del mensaje.

Recomendaciones

Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal [2].

Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.

Referencias

Introducción

HP ha notificado 4 vulnerabilidades de severidad alta que podrían provocar un desbordamiento de búfer, ejecución remota de código, divulgación de información o denegación de servicio.

Análisis

Versiones afectadas:

• • Impresora multifunción HP Color LaserJet serie M478-M479
  • Serie HP Color LaserJet Pro M453-M454
  • Serie de impresoras HP LaserJet Pro M304-M305
  • Serie de impresoras HP LaserJet Pro M404-M405
  • HP LaserJet Pro MFP M428-M429 serie f
  • Impresora multifunción HP LaserJet Pro serie M428-M429

Recomendaciones

Referencias