Category: Actualitat

S’ha detectat una campanya de phishing en la qual s’estan utilitzant imatges QR perquè l’usuari accedisca a enllaços maliciosos.

Detall

Els correus detectats simulen una notificació de Microsoft en la qual es demana a l’usuari «actualitzar la seua informació» des de l’enllaç del QR.

En realitat, el que fa l’enllaç és registrar els usuaris que han entrat per a obtindre un llistat d’usuaris susceptibles a aquests enganys. L’enllaç porta un identificador únic per a cada usuari al qual s’envia el correu de phishing. Després de registrar a l’usuari com a víctima potencial de futures campanyes, l’enllaç redirigeix al navegador Google o *Bing, intentant resultar així menys sospitós.

En aquest cas es tracta d’un atac d’enginyeria social per a obtindre aquests llistats d’usuaris susceptibles, però en campanyes futures el mateix mètode podria portar a robatori de credencials, pagaments a l’entitat equivocada per suplantació, descàrrega de *malware…

Mostra

S’ha anonimitzat l’usuari i el *QR d’un correu real per a mostrar-lo com a exemple del format que segueix actualment aquesta campanya:

Recomanacions

En cas de rebre un correu amb un format similar al de la imatge, es recomana desconfiar per defecte i accedir només després de comprovar a consciència el correu o, si manca de coneixements tècnics sobre aquest tema, contactar per una altra via amb el personal de Microsoft per a comprovar la legitimitat del correu.

Es recomana revisar el domini de qualsevol enllaç QR, especialment un que arribe al seu correu. Si el domini no es correspon amb l’entitat esperada, desconfie de l’enllaç i accedisca només si pot confirmar la seua legitimitat per altres vies.

Si l’aplicació que utilitza per a escanejar codis QR accedeix automàticament als enllaços d’aquests codis, es recomana desactivar aqueixa opció o buscar una aplicació que permeta visualitzar l’enllaç abans d’accedir a aquest.

Siemens, en el seu comunicat mensual de partxes de seguretat, ha emés un total de 12 nous avisos de seguretat, recopilant un total de 37 vulnerabilitats de diferents severitats, 2 d’elles vulnerabilitats de severitat crítica.

Anàlisi

La vulnerabilitat de severitat critica associada als quasi 150 productes RUGGEDCOM^[1] afectats és la següent:

• • • CVE-2023-24845: Provisió incorrecta de la funcionalitat especificada (CWE- 684) :
      Els productes afectats no bloquegen prou la reexpedició de dades a través del port mirror a la xarxa reflectida. Un atacant podria utilitzar aquest comportament per a transmetre paquets maliciosos als sistemes de la xarxa en espill, possiblement influint en la seua configuració i comportament en temps d’execució.

La vulnerabilitat de severitat critica associada als productes RUGGEDCOM CROSSBOW ^[2] és la següent:

• • • CVE-2023-37372: Injecció de comandos SQL (CWE-89) :
      L’aplicació afectada és vulnerable a la injecció SQL. Això podria permetre a un atacant remot no autenticat executar consultes SQL arbitràries en la base de dades del servidor.
      • RUGGEDCOM CROSSBOW: : Totes les versions < V5.4

El llistat complet de productes i versions afectades pot consultar-se en les referències.

Recomanacions

Les actualitzacions que corregeixen les vulnerabilitats indicades poden obtindre’s des del panell de descàrrega de Siemens ^[3]. Per als productes sense actualitzacions disponibles és recomanable aplicar les mesures de mitigació descrites en la secció de ‘Referències’.

Referències

[1]SSA-908185: Mirror Port Isolation Vulnerability in RUGGEDCOM ROS Devices

[2]SSA-472630: Security Vulnerabilities Fixed in RUGGEDCOM CROSSBOW V5.4

[3]Panel de descarga de Siemens

S’ha donat a conéixer els detalls d’un nou atac de canal lateral dirigit a processadors Intel.

L’atac, denominat Downfall, ha sigut descobert per un investigador de Google i s’ha identificat la vulnerabilitat com CVE-2022-40982.

Anàlisi

L’atacant podria explotar la vulnerabilitat tenint accés físic al dispositiu o mitjançant l’ús d’un malware. Com a resultat, es podria obtindre informació sensible, com a contrasenyes i claus criptogràfiques dels usuaris que han usat el mateix dispositiu. Aquests atacs de canal lateral també funcionen contra entorns cloud, permetent a l’atacant robar informació dels usuaris que han usat el servei.

Els atacs d’aquest tipus que afecten els processadors es poden resumir de la següent manera:

La CPU es veu obligada a llegir dades als quals l’usuari no hauria de tindre accés. Pel que el programari no té accés a la clau de xifratge utilitzada per a protegir les dades confidencials però, si se li indica a la CPU que “llija la clau de xifratge en una direcció determinada”, aquesta no hauria d’executar aquesta instrucció.

La vulnerabilitat arriba en forma d’execució especulativa d’instruccions, una característica important de les CPU modernes que existeix des de fa quasi tres dècades. En lloc d’esperar que acabe una instrucció, el processador executa la següent en paral·lel, de tal forma que si la primera instrucció comprova els drets d’accés a informació sensible, en teoria, no hauria de permetre l’execució de la següent instrucció per a llegir aqueixa informació, no obstant això, ja és massa vesprada: la següent instrucció s’executa de manera especulativa. Encara que l’atacant no tinga accés directe a aquestes dades, la CPU si.

Recursos afectats

Els processadors Intel afectats inclouen des de la 6a generació Skylake fins a la 11a generació Tiger Lake.

Recomanacions

Intel recomana que els usuaris dels processadors Intel afectats actualitzen a l’última versió del microprogramari proporcionada pel fabricant del sistema que solucione aquests problemes.

Referències

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40982

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html

https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/secure-coding/loading-microcode-os.html

La publicació d’actualitzacions de seguretat de Microsoft, corresponent a la publicació de vulnerabilitats del 8 d’agost, consta de 74 vulnerabilitats (amb CVE assignat), qualificades com: 4 de severitat crítica, 47 importants i 23 mitjanes. Addicionalment, s’han publicat 2 avisos de seguretat (amb codis ADV230003 i ADV230004).

Anàlisi

Les vulnerabilitats publicades es corresponen amb els següents tipus:

• • • escalada de privilegis,
    • omissió de característica de seguretat,
    • execució remota de codi,
    • divulgació d’informació,
    • denegació de servici,
    • suplantació d’identitat (spoofing).

S’han assignat els identificadors
CVE-2023-21709, CVE-2023-35385, CVE-2023-36910 y CVE-2023-36911 per a les vulnerabilitats crítiques.

Microsoft ha corregit 2 vulnerabilitats 0day que es corresponen amb els identificadors ADV230003 i CVE-2023-38180.

Recursos afectats:

• • • Microsoft Office;
    • Memory Integrity System Readiness Scan Tool;
    • Microsoft Exchange Server;
    • Microsoft Teams;
    • Windows Kernel;
    • Microsoft Office Excel;
    • Microsoft Office Visio;
    • Windows Message Queuing;
    • Windows Projected File System;
    • Windows Reliability Analysis Metrics Calculation Engine;
    • Windows Fax y Scan Service;
    • Windows HTML Platform;
    • driver Windows Bluetooth A2DP;
    • Microsoft Dynamics;
    • .NET Core;
    • ASP.NET y Visual Studio;
    • Azure HDInsights;
    • Azure DevOps;
    • .NET Framework;
    • Reliability Analysis Metrics Calculation Engine;
    • Microsoft WDAC OLE DB proveedor de SQL;
    • Windows Group Policy;
    • Microsoft Office SharePoint;
    • Microsoft Office Outlook;
    • Tablet Windows User Interface;
    • ASP.NET;
    • Windows Common Log File System Driver;
    • Windows System Assessment Tool;
    • Windows Cloud Files Mini Filter Driver;
    • Windows Wireless Wide Area Network Service;
    • Windows Cryptographic Services;
    • Role: Windows Hyper-V;
    • Windows Smart Card;
    • Microsoft Edge (basado en Chromium);
    • Dynamics Business Central Control;
    • SQL Server;
    • Microsoft Windows Codecs Library;
    • Windows Defender;
    • Azure Arc;
    • ASP .NET;
    • Windows LDAP (Lightweight Directory Access Protocol);
    • Windows Mobile Device Management.

Recomanacions

Instal·lar l’actualització de seguretat corresponent.
En la pàgina de Microsoft s’informa dels diferents mètodes per a dur a terme estes actualitzacions.

Referències

https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-agosto-de-2023

https://msrc.microsoft.com/update-guide