Software

Actualizaciones de seguridad de Microsoft, octubre de 2014

Ayer debe haber sido el día en que más información se ha publicado en la historia de los martes de parches de Microsoft. El mes pasado indicamos que los cibercriminales responsables de Aurora Panda/DeputyDog habían dejado de tener control sobre una vulnerabilidad del día cero en IE que se estaba parchando, y eso nos pareció inusual. Este mes, se están parchando varias vulnerabilidades que los responsables de Amenazas Persistentes Avanzadas (APT) están abusando con exploits de día cero y se está indicando al público cuáles son las amenazas que las explotan. Ayer, Microsoft publicó ocho boletines de seguridad, de MS14-063 a MS14-063, tres de los cuales calificó como críticos.

Las más interesantes son las dos vulnerabilidades que se activan con funcionalidades de Windows pero se utilizan para lanzar ataques dirigidos de phishing, conocidos como “spearphishing”, con archivos adjuntos que se hacen pasar por documentos de Office: tablas de Excel, presentaciones de PowerPoint, documentos de Word, etc. La primera nos recuerda a los ataques de Duqu. MS14-058 parcha otra vulnerabilidad en el manejo de fuentes a nivel kernel, CVE-2014-4148, el mismo tipo de problema que se había visto en los exploits para lanzar los ataques spearhishing de Duqu. Microsoft ha calificado esta vulnerabilidad como crítica. Todavía no se ha vinculado a ningún actor específico con este ataque o exploit.

Para nuestra sorpresa, Microsoft calificó como “Importante” la vulnerabilidad de Windows OLE que se parchó con MS14-060. La APT conocida como “Sandworm team” desplegó CVE-2014-4114 junto con otros exploits en ataques contra blancos específicos. El grupo es conocido por propagar nuevas variantes del bot BlackEnergy en operaciones de ciberespionaje, que suelen estar dirigidas a entidades geopolíticas y militares. En un incidente, el equipo envió diapositivas de PowerPoint que contenían el exploit del día cero OLE en un ataque dirigido al gobierno de Ucrania y a organizaciones académicas estadounidenses. Cuando se abría el archivo, las diapositivas descargaban nuevas variantes de BlackEnergy a los sistemas de sus víctimas. Estas variantes mantienen características dedicadas a las tareas de ciberespionaje. Las características más interesantes de estos troyanos son sus complementos o módulos personalizados, pero profundizaremos en esto en otra entrada del blog.

Otro grupo, conocido como Hurricane Panda, trató de explotar CVE-2014-4113 en ataques dirigidos. Esta vulnerabilidad de elevación de privilegios puede ser un verdadero problema en situaciones en las que un atacante ha ingresado a una red y está intentando abrirse paso en su interior. La falla también existe en el código kernel de Windows y el boletín MS14-058 que mencionamos arriba también la parcha.

La actualización de Internet Explorer soluciona 14 vulnerabilidades, consideradas críticas para IE6 a IE11. Las vulnerabilidades no tienen ningún efecto sobre las instalaciones de Server Core.

Puedes leer más sobre los Boletines de Seguridad de Microsoft de octubre de 2014 aquí.

Actualizaciones de seguridad de Microsoft, octubre de 2014

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada