Software

Actualizaciones de seguridad de Microsoft, Septiembre 2014

Atacantes pierden un truco, Elevación de privilegios nos recuerda a Stuxnet

Este mes, Microsoft ha lazado cuatro boletines de seguridad para parchar 42 vulnerabilidades en Internet Explorer (MS 14-052), .NET (MS14-053), el administrador de tareas de Windows (MS14-054) y muchos otros problemas en Windows Lync Server (MS14-055). Según mis cálculos, hay un total de 37 CVEs en Internet Explorer, y otros cinco en los tres programas restantes.

Lo más interesante es la vulnerabilidad XMLDOM (cve-2013-7331), una vulnerabilidad que se ha discutido en público desde por lo menos el 25 de abril de 2013. Se modificó el propósito de la prueba de concepto para que Amenazas Persistentes Avanzadas (APT) como Aurora Panda, también conocida como “el actor DeputyDog”, bombardeara la vulnerabilidad con el ataque regadera (watering hole) VFW. El grupo tiene un grado técnico muy avanzado y un modo de operar muy efectivo, y a lo largo del tiempo desplegó varias vulnerabilidades de día cero para que le ayudaran a alcanzar sus maliciosos objetivos. Es posible que su truco xmldom le haya permitido retrasar el descubrimiento de sus 0day de IE y la presencia del servidor VFW comprometido. “El atacante puede diagnosticar sin problemas si la máquina está ejecutando EMET al cargar una cadena de caracteres XML. Si el código de regreso analizado sintácticamente falla, quiere decir que EMET no está presente y que el atacante puede proceder con el exploit”. Microsoft calificó al parche de esta vulnerabilidad como “importante” en las versiones de su sistema operativo, mientras que otras vulnerabilidades que se habían denunciado en privado están catalogadas como “críticas”.

Las otras 36 vulnerabilidades de corrupción de memoria de Internet Explorer permiten todo tipo de formas de explotación en las diferentes plataformas, pero tienen en común que todas permiten la ejecución remota de códigos. Lo más interesante es que los parches para Internet Explorer v10 y v11 en Windows 8.1 están calificados como Críticos por su capacidad de ejecutar códigos de forma remota.

Este mes también se abordó el problema de una vulnerabilidad de elevación de privilegios de Task Scheduler, que recuerda a una de las vulnerabilidades de día cero de Stuxnet que los analistas de Kaspersky Lab descubrieron en 2010 y el grupo Tdss comenzó a abusar después. Se lanzó una actualización de la advertencia para lidiar con el movimiento lateral posterior a la explotación de la amenaza. Esta vez, la vulnerabilidad parchada no está relacionada con problemas pass-the-hash más antiguos, sino con retrasos al otorgar tickets de Kerberos. Puedes descargar el paquete de limpieza de credenciales de ingreso aquí.

Puedes leer más sobre los boletines de seguridad de Microsoft aquí.

Actualizaciones de seguridad de Microsoft, Septiembre 2014

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada