Publicado el

Vulnerabilidad que afecta a los procesadores Intel

Se ha dado a conocer los detalles de un nuevo ataque de canal lateral dirigido a procesadores Intel.

El ataque, denominado Downfall, ha sido descubierto por un investigador de Google y se ha identificado la vulnerabilidad como CVE-2022-40982.

Análisis

El atacante podría explotar la vulnerabilidad teniendo acceso físico al dispositivo o mediante el uso de un malware. Como resultado, se podría obtener información sensible, como contraseñas y claves criptográficas de los usuarios que han usado el mismo dispositivo. Estos ataques de canal lateral también funcionan contra entornos cloud, permitiendo al atacante robar información de los usuarios que han usado el servicio.

Los ataques de este tipo que afectan a los procesadores se pueden resumir de la siguiente manera:

La CPU se ve obligada a leer datos a los que el usuario no debería tener acceso. Por lo que el software no tiene acceso a la clave de cifrado utilizada para proteger los datos confidenciales pero, si se le indica a la CPU que “lea la clave de cifrado en una dirección determinada”, ésta no debería ejecutar dicha instrucción.

La vulnerabilidad llega en forma de ejecución especulativa de instrucciones, una característica importante de las CPU modernas que existe desde hace casi tres décadas. En lugar de esperar a que termine una instrucción, el procesador ejecuta la siguiente en paralelo, de tal forma que si la primera instrucción comprueba los derechos de acceso a información sensible, en teoría, no debería permitir la ejecución de la siguiente instrucción para leer esa información, sin embargo, ya es demasiado tarde: la siguiente instrucción se ejecuta de forma especulativa. Aunque el atacante no tenga acceso directo a estos datos, la CPU sí.

Recursos afectados:

      • Los procesadores Intel afectados incluyen desde la 6ª generación Skylake hasta la 11ª generación Tiger Lake.

Recomendaciones

Intel recomienda que los usuarios de los procesadores Intel afectados actualicen a la última versión del firmware proporcionada por el fabricante del sistema que solucione estos problemas.

Referencias

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40982

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html

https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/secure-coding/loading-microcode-os.html

Publicado el

Actualizaciones de seguridad de Microsoft de agosto de 2023

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 8 de agosto, consta de 74 vulnerabilidades (con CVE asignado), calificadas como: 4 de severidad crítica, 47 importantes y 23 medias. Adicionalmente, se han publicado 2 avisos de seguridad (con códigos ADV230003 y ADV230004).

Análisis

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

      • escalada de privilegios,
      • omisión de característica de seguridad,
      • ejecución remota de código,
      • divulgación de información,
      • denegación de servicio,
      • suplantación de identidad (spoofing).

Se han asignado los identificadores CVE-2023-21709, CVE-2023-35385, CVE-2023-36910 y CVE-2023-36911 para las vulnerabilidades críticas.

Microsoft ha corregido 2 vulnerabilidades 0day que se corresponden con los identificadores ADV230003 y CVE-2023-38180.

Recursos afectados:

      • Microsoft Office;
      • Memory Integrity System Readiness Scan Tool;
      • Microsoft Exchange Server;
      • Microsoft Teams;
      • Windows Kernel;
      • Microsoft Office Excel;
      • Microsoft Office Visio;
      • Windows Message Queuing;
      • Windows Projected File System;
      • Windows Reliability Analysis Metrics Calculation Engine;
      • Windows Fax y Scan Service;
      • Windows HTML Platform;
      • driver Windows Bluetooth A2DP;
      • Microsoft Dynamics;
      • .NET Core;
      • ASP.NET y Visual Studio;
      • Azure HDInsights;
      • Azure DevOps;
      • .NET Framework;
      • Reliability Analysis Metrics Calculation Engine;
      • Microsoft WDAC OLE DB proveedor de SQL;
      • Windows Group Policy;
      • Microsoft Office SharePoint;
      • Microsoft Office Outlook;
      • Tablet Windows User Interface;
      • ASP.NET;
      • Windows Common Log File System Driver;
      • Windows System Assessment Tool;
      • Windows Cloud Files Mini Filter Driver;
      • Windows Wireless Wide Area Network Service;
      • Windows Cryptographic Services;
      • Role: Windows Hyper-V;
      • Windows Smart Card;
      • Microsoft Edge (basado en Chromium);
      • Dynamics Business Central Control;
      • SQL Server;
      • Microsoft Windows Codecs Library;
      • Windows Defender;
      • Azure Arc;
      • ASP .NET;
      • Windows LDAP (Lightweight Directory Access Protocol);
      • Windows Mobile Device Management.

Recomendaciones

Instalar la actualización de seguridad correspondiente.
En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias

https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-agosto-de-2023

https://msrc.microsoft.com/update-guide

Publicado el

Nueva campaña de phishing utilizando códigos QR

Se ha detectado una nueva campaña de correos electrónicos fraudulentos de tipo phishing que destaca por el uso de códigos QR. El método detectado podría vulnerar las herramientas de seguridad, además de ser efectivo incluso utilizando un doble factor de autenticación. 

Análisis

Los correos electrónicos identificados siguen una estructura común, aunque no se descartan variaciones en la misma.

En primer lugar, la víctima recibe un correo electrónico que incluye su nombre y el de la empresa. En el mensaje se incita a la víctima a escanear un código QR a través de su teléfono móvil. Para ello, los ciberdelincuentes pueden alegar que es necesaria una verificación de la identidad o de un doble factor de autenticación.

Esta campaña de correos fraudulentos es especialmente peligrosa, ya que los ciberdelincuentes utilizan cuentas de correo electrónico comprometidas para personalizar el nombre del remitente y los asuntos, en función de la organización y el correo electrónico del destinatario. Por ejemplo: « Scan requirement: [NOMBRE EMPRESA] Security Authentication for your account: [email_destinatario] ».

En los correos detectados el código QR fraudulento suele encontrarse directamente en el cuerpo del mensaje, aunque también se han detectado versiones en las que se incluye en un documento adjunto.

En caso de que la víctima escanee el código QR, será redirigido a una página web fraudulenta, muy parecida a la de inicio de sesión en los servicios de Microsoft de su organización. Además, a través del escaneo del código QR, los ciberdelincuentes consiguen que la dirección de la víctima pueda aparecer ya rellenada en el formulario.

En caso de que la víctima introduzca los datos, estos quedarían en manos de los ciberdelincuentes.

En algunos de los casos detectados, los destinatarios eran personal directivo o con grandes responsabilidades en la organización.

Recomendaciones

Si sospecha que un correo que ha recibido puede ser uno de estos correos, puede enviarlo a CSIRT-CV para su análisis mediante la función Phishing de este mismo portal.

Por otra parte, si cree que puede haber hecho click en el enlace y ejecutado el archivo descargado, analice su equipo con un antivirus actualizado. Además, compruebe sus movimientos bancarios para cancelar cualquier pago no autorizado, y cambie las credenciales de todas las cuentas que haya utilizado mientras el malware ha estado instalado.

Referencias

Informar de un Phishing – CSIRT-CV (gva.es)

https://www.incibe.es/empresas/avisos/nueva-campana-de-phishing-utilizando-codigos-qr

Publicado el

Boletín de seguridad de Android de agosto de 2023

Introducción

El boletín de Android, relativo a agosto de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían permitir a un atacante realizar una escalada de privilegios, divulgar información y provocar una denegación de servicio (DoS) o una ejecución de código remota (RCE).

Análisis

El boletín de seguridad de Android del mes de julio corrige varias vulnerabilidades, que se encuentran disponibles en los parches de seguridad del 01-08-2023 y del 05-08-2023, así como posteriores.

Las vulnerabilidades críticas se detallan a continuación:

      • 2 de ejecución remota de código que afectan a media framework (CVE-2023-21282) y system (CVE-2023-21273).
      • 1 de escalada de privilegios en el kernel, concretamente en el subcomponente KVM (CVE-2023-21264),
      • 1 de corrupción de memoria debido a la falta de comprobación del tamaño del búfer que afecta al componente Qualcomm closed-source (CVE-2022-40510).

Recursos afectados:

        • Android Open Source Project (AOSP): versiones 11, 12, 12L y 13.
        • Componentes:
          • framework
          • media framework
          • system
          • sistema de actualizaciones de Google Play
          • Kernel
          • Arm
          • MediaTek
          • Qualcomm (incluidos closed-source)

Recomendaciones

En caso de utilizar dispositivos Android, comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos, se puede comprobar aquí.

En este enlace se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no puedas comprobar la versión de tus dispositivos o la fecha del parche de seguridad, revisa la página del fabricante.

 

Referencias