Amenazas cibernéticas emergentes de 2023
El panorama de la ciberseguridad está en constante evolución, con nuevas amenazas que surgen cada mes. El mundo digital en 2023, ha sido testigo de numerosas vulnerabilidades de día cero y campañas de ransomware que han planteado desafíos significativos.
Durante este blog explicamos brevemente las principales amenazas cibernéticas que se han presenciado en el transcurso de este año. Octubre es el mes de la concientización de la ciberseguridad, es por eso por lo que te presentamos esta información para validar y mejorar tus controles de seguridad contra ellos.
Principales amenazas cibernéticas de 2023
CVE-2023-23397: Vulnerabilidad de escalado de privilegios de Microsoft Office Outlook
Esta amenaza es una vulnerabilidad crítica que se encuentra en Microsoft Outlook que permite a los atacantes obtener las credenciales de autenticación de los usuarios (Net-NTLMv2) sin ninguna interacción del usuario. La vulnerabilidad surge de la incapacidad de Outlook para manejar propiedades de recordatorio específicas, que los atacantes pueden explotar para enviar mensajes maliciosos que desencadenan una solicitud de autenticación a través de TCP 445 a un servidor SMB remoto bajo el control del atacante. Al capturar esta solicitud de autenticación, los atacantes pueden obtener el hash NTLMv2 del usuario.
Se sabe que APT28, un actor de amenazas vinculado al GRU de Rusia explotó la vulnerabilidad crítica CVE-2023-23397 en Microsoft Outlook entre abril y diciembre de 2022. El grupo utilizó correos electrónicos de phishing, publicidad maliciosa y descargas de drive-by para enviar notas y tareas maliciosas de Outlook para robar los hashes NTLMv2 de los usuarios, lo que les permitió autenticarse a los recursos compartidos de pymes controlados por los atacantes y obtener información y sistemas confidenciales. De hecho, APT28 más tarde utilizó las credenciales robadas para el movimiento lateral dentro de las redes de la víctima y exfiltró correos electrónicos para cuentas específicas cambiando los permisos de la carpeta de buzón de Outlook.
Para abordar la vulnerabilidad CVE-2023-21716, las organizaciones pueden tomar varias medidas, como la aplicación de las últimas actualizaciones de seguridad, habilitación de la autenticación multifactor y la supervisión de varias fuentes de registro para detectar indicadores de ataque o compromiso. Las detecciones de productos de Microsoft, como Microsoft Defender para Endpoint y Microsoft Defender para Office 365, también pueden ayudar a identificar las amenazas relacionadas con la vulnerabilidad. Además, Microsoft ha lanzado un script de PowerShell que escanea la propiedad “PidLidReminderFileParameter” en correos electrónicos, entradas de calendario y elementos de tareas. El Script se puede descargar del repositorio de GitHub de Microsoft y se puede utilizar para identificar y eliminar cualquier elemento problemático.
CVE-2023-21716: Vulnerabilidad de ejecución remota de código de Microsoft Word
El 14 de febrero de 2023, Microsoft lanzó un parche para abordar una grave vulnerabilidad de ejecución remota de código en el analizador RTF de Microsoft Office Word, CVE-2023-21716, como parte del martes de parches. Esta vulnerabilidad tiene una puntuación CVSS de 9,8 y permite a los atacantes ejecutar código arbitrario con los privilegios de la víctima a través de archivos RTF.
El CVE-2023-21716 es una vulnerabilidad de corrupción que se encuentra en el analizador RTF de MS Office Word. Específicamente, el analizador carga el valor del ID de fuentes cuando se trata de tablas de fuentes (/fonttbl) y llena los bits superiores de EDX con el valor de ID de fuentes. Si la tabla de fuentes contiene un valor de ID de fuentes demasiado grande (/f###), el analizador RTF corrompe y causa un desplazamiento negativo en la memoria mantenida en ESI, que luego se puede explotar para la ejecución arbitraria de comandos correctamente diseñado.
Los atacantes pueden explotar esta vulnerabilidad entregando un archivo RTF creado maliciosamente por correo electrónico u otros medios. Cuando la víctima abre o previsualiza el archivo, el atacante puede ejecutar comandos arbitrarios en el sistema de la víctima con los privilegios del usuario y potencialmente obtener acceso remoto al sistema.
Una amplia variedad de versiones de Microsoft Office, SharePoint y 365 Apps se ven afectadas por esta vulnerabilidad, incluidas las aplicaciones de Microsoft 365, Office 2019, Office LTSC 2021, Office Online Server, Microsoft Word y Microsoft SharePoint. Microsoft ha aconsejado a los usuarios que actualicen su software a las últimas versiones lo antes posible.
Alerta CISA AA23-075A: LockBit 3.0
En 2023, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) emitió un aviso sobre el ransomware LockBit 3.0, un producto de la infame pandilla de Ransomware como servicio (RaaS), LockBit. Este grupo, que está activo desde septiembre de 2022, se dirige a varias industrias y países, y es responsable de casi el 40 % de los ataques de ransomware en todo el mundo. De hecho, se estima que el grupo de ransomware LockBit ha ganado más de 100 millones de dólares con sus campañas de ataque, lo que los convierte en uno de los grupos de ransomware más prolíficos.
LockBit 3.0, una variante altamente modular y evasiva, obtiene acceso inicial a través de métodos como archivos con malware, explotación de cuentas válidas, servicios de escritorio remoto y correos electrónicos de phishing. Por ejemplo, en un ataque, utilizaron un archivo zip que contenía malware SocGholish para desplegar un Cobalt Strike y recopilar información del sistema.
Para mantener la persistencia y evadir las defensas, LockBit 3.0 altera la configuración del registro, utiliza técnicas de inicio automático y ofusca los archivos. El descubrimiento implica herramientas como Bloodhound, Seatbelt y escáneres de red, mientras que el movimiento lateral aprovecha los Cobalt Strike, el software de escritorio remoto y las sesiones RDP con cuentas de alto privilegio comprometidas.
El comando y el control se mantienen a través de marcos como Cobalt Strike, FileZilla y PuTTY Link (Plink). La exfiltración de datos se ejecuta utilizando servicios web como MEGA y administradores de almacenamiento en la nube como rclone. La etapa de impacto, por otro lado, incluye la destrucción de datos, la inhibición de la recuperación del sistema mediante la eliminación de archivos de registro, copias de sombra de volumen y la implementación de ransomware con herramientas como PsExec.
LockBit 3.0 emplea cifrado híbrido utilizando algoritmos AES y RSA para el cifrado de datos. La complejidad y la evasión de LockBit 3.0 lo convierte en una amenaza significativa de ciberseguridad para las organizaciones de todo el mundo, haciendo hincapié en la importancia de medidas de defensa sólidas.
Alerta CISA AA23-074A: Vulnerabilidad de la interfaz de usuario de Telerik
El asesoramiento conjunto AA23-074A de CISA, FBI y MS-ISAC detalla la explotación de una vulnerabilidad crítica de Progress Telerik (CVE-2019-18935) por parte de actores de amenazas cibernéticas, incluido un actor de APT, dirigido a una agencia federal de la rama ejecutiva civil de los Estados Unidos. Esta vulnerabilidad, con una puntuación CVSS de 9,8 (CrÍtmica), se debe a un fallo de deserialización de NET en la función RadAsyncUpload de la interfaz de usuario de Progress Telerik para las versiones de ASP.NET AJAX anteriores a 2019.3.1023.
Los atacantes pueden explotar esta vulnerabilidad si obtienen acceso a las claves de cifrado a través de la explotación de otras vulnerabilidades como CVE-2017-11317 o CVE-2017-11357. En noviembre de 2022, los actores de la amenaza explotaron con éxito la vulnerabilidad CVE-2019-18935 en un servidor de Microsoft IIS en una agencia FCEB, aprovechando potencialmente también otras vulnerabilidades conocidas de Telerik. Múltiples actores de la amenaza, incluido el Grupo XE, participaron en actividades de reconocimiento y exploración relacionadas con esta explotación.
Después de explotar CVE-2019-18935, los atacantes subieron archivos DLL maliciosos disfrazados de archivos PNG al directorio C:\Windows\Temp. Luego ejecutaron estos archivos a través del proceso legítimo w3wp.exe utilizando la inyección de DLL. Una vez ejecutados, los archivos DLL se eliminaron y ejecutaron utilidades de shell inversa para la comunicación no cifrada con las direcciones IP de Comando y Control (C2) de los atacantes. Aunque los actores de la amenaza eliminaron algunos artefactos maliciosos, no hubo evidencia de escalada de privilegios o movimiento lateral.
No dejes que estos ataques cibernéticos invadan tu información, protege toda tu infraestructura a tiempo. Si te interesa conocer cómo puedes mejorar seguridad cibernética, contáctanos.
Fuente: Picus