18 de marzo de 2023

El martes de parches de marzo Microsoft ha publicado correcciones para 76 vulnerabilidades, incluidas 9 correcciones críticas y dos explotadas activamente en la naturaleza (CVE-2023-23397, CVE-2023-24880) por diferentes actores de amenazas. Acerca de CVE-2023-23397CVE-2023-23397 (9.8) es una vulnerabilidad de Escalamiento de Privilegios (EoP) crítica en Microsoft Outlook que se activa cuando un atacante envía un mensaje con una propiedad MAPI extendida con una ruta UNC (tipo \10.1.1.1) a un recurso compartido SMB (TCP 445) en un servidor controlado por un actor de amenazas. «La conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, que el atacante puede transmitir para la autenticación contra otros sistemas que admitan la autenticación NTLM», explica Microsoft. En esta elevación de privilegios en Outlook, el atacante podría hacerse con el hash NTLMv2, lo que le permitiría autenticarse en red contra otros sistemas. No se requiere interacción del usuario. Al momento de recibir un correo en Outlook, este busca la ruta UNC y pasa el hash de autenticación NTLMv2. Según Sergio de los Santos (aka @ssantosv), se abusa de una función llamada PidLidReminderFileParameter que permite que se establezca el sonido de una alerta.Con esta función, se puede usar otra llamada PidLidReminderOverride, que como el propio nombre indica, permite que el atacante establezca el sonido y lo sobreponga al establecido. Y ahí, se puede escribir la ruta UNC. Aunque Microsoft no ha dado detalles técnicos, sí que ha liberado un script en PowerShell para administradores de Exchange que permite buscar ese parámetro y saber si apunta a un UNC. Satnam Narang, ingeniero senior de investigación del personal de Tenable, señala que las vulnerabilidades de Outlook a menudo son desencadenables por la funcionalidad del Panel de vista previa, pero esta no. «Esto se debe a que la vulnerabilidad se activa en el lado del servidor de correo electrónico, lo que significa que la explotación ocurriría antes de que la víctima vea el correo electrónico malicioso». La falla afecta a todas las versiones compatibles de Microsoft Outlook para Windows, pero no a Outlook para Mac, iOS o Android, ni a Outlook en la web. «Los servicios en línea como Microsoft 365 no admiten la autenticación NTLM y no son vulnerables a ser atacados por estos mensajes», señaló Microsoft. La vulnerabilidad fue señalada por el CERT ucraniano y los equipos de Incident and Treat Intelligence de Microsoft. La empresa evalúa que un actor de amenazas con sede en Rusia usó el exploit parcheado en CVE-2023-23397 en ataques dirigidos contra un número limitado de organizaciones en los sectores gubernamental, de transporte, energético y militar en Europa, y compartió un script que las organizaciones pueden usar para verificar si han estado entre los objetivos. El investigador de MDSec, Dominic Chell, tiene un excelente artículo sobre cómo se puede explotar fácilmente CVE-2023-23397. Acerca de CVE-2023-24880 CVE-2023-24880 (5.1) es una vulnerabilidad que permite a los atacantes eludir la función Windows SmartScreen. «Cuando descarga un archivo de Internet, Windows agrega el identificador de zona o Mark of the Web (MoTW) como una stream NTFS al archivo. Entonces, cuando ejecuta el archivo, Windows SmartScreen verifica si hay un identificador de zona Alternate Data Stream (ADS) adjunto al archivo. Si el ADS indica ZoneId=3, lo que significa que el archivo se descargó de Internet, SmartScreen realiza una verificación de reputación». En resumen se logra saltear para que el archivo malicioso no pase por el análisis de seguridad. Esta vulnerabilidad se puede explotar creando un archivo malicioso que evade las defensas MoTW, lo que significa que no se activarán medidas de protección como Windows SmartScreen y Microsoft Office Protected View. Los investigadores Benoît Sevens y Vlad Stolyarov del Threat Analysis Group (TAG) de Google informaron a Microsoft sobre la explotación in-the-wild de la vulnerabilidad, que detectaron que estaba siendo explotada para entregar el ransomware Magniber. «Los atacantes están entregando archivos MSI firmados con una firma Authenticode no válida pero especialmente diseñada. La firma hace que SmartScreen devuelva un error para que se omita el cuadro de diálogo de advertencia de seguridad que debería mostrarse cuando un archivo que no es de confianza contiene una Marca de la Web (MotW)», explicó el equipo. TAG ha observado más de 100.000 descargas de archivos MSI maliciosos desde enero de 2023, con más del 80% a usuarios en Europa, una diferencia notable con respecto a la orientación típica de Magniber, que generalmente se enfoca en Corea del Sur y Taiwán. También señalaron que, en septiembre y noviembre de 2022, los actores de amenazas utilizaron una vulnerabilidad de omisión de SmartScreen similar (CVE-2022-44698) para entregar el ransomware Magniber y el ladrón de información Qakbot, antes de que se reparara la falla en diciembre de 2022. El problema, dicen, es que el parche era demasiado «estrecho», por lo que los atacantes iteraron y descubrieron nuevas variantes. Al reparar un problema de seguridad, existe una tensión entre una solución localizada y confiable y una solución potencialmente más difícil del problema de causa raíz subyacente. Debido a que no se abordó la causa raíz detrás de la omisión de seguridad de SmartScreen, los atacantes pudieron identificar rápidamente una variante diferente del error original. Project Zero ha escrito y presentado extensamente sobre esta tendencia, y recomienda varias prácticas para garantizar que los errores se solucionen de manera correcta y completa. Otras vulnerabilidades Dustin Childs, de la iniciativa Zero Day de Trend Micro, también destacó una falla de RCE de pila de protocolo HTTP/3 que se puede usar como gusano (CVE-2023-23392) que se puede explotar en una configuración común de Windows 11 y Windows Server 2022, y RCE potencialmente que se puede usar como gusano en el Protocolo de mensajes de control de Internet (CVE-2023-23415). Agregue a esa lista CVE-2023-23416, un RCE en Windows Cryptographic Services. «Para una explotación exitosa, se debe importar un certificado malicioso en un sistema afectado. Un atacante podría cargar un certificado en un servicio que procesa o importa certificados, o un atacante podría convencer a un usuario autenticado para que importe un certificado en su sistema», señaló la empresa.

Un aviso conjunto de la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) tiene como objetivo distribuir información sobre indicadores conocidos de compromiso del ransomware LockBit 3.0. (IOC) y técnicas (TTP) que se descubrieron durante las investigaciones del FBI en marzo de 2023. El ransomware LockBit 3.0 es una continuación de los programas de ransomware LockBit 2.0 y LockBit. Utiliza un modelo de Ransomware-as-a-Service (RaaS) para llevar a cabo sus actividades y funciones como un modelo RaaS. LockBit ha estado funcionando como una variante de ransomware basada en afiliados desde enero de 2020; los afiliados que implementan LockBit RaaS utilizan una amplia variedad de TTP para dirigirse a una amplia variedad de empresas y organizaciones de infraestructura crítica, lo que puede dificultar la defensa efectiva de las redes informáticas o mitigar sus efectos. LockBit 3.0, también conocido como “LockBit Black”, es una versión actualizada del ransomware que es más modular y escurridizo que sus versiones anteriores. También tiene características con el malware conocido como Blackmatter y Blackcat. Durante el proceso de compilación, LockBit 3.0 se personaliza con una amplia variedad de variables, cada una de las cuales influye en la forma en que opera el ransomware. Durante el proceso de puesta en acción del ransomware dentro de un entorno que pertenece a una víctima, se pueden dar numerosos argumentos para ajustar aún más el comportamiento del malware. Por ejemplo, LockBit 3.0 permite la aceptación de argumentos adicionales para algunas acciones, como el movimiento lateral y el reinicio en modo seguro (consulte los parámetros de la línea de comandos de LockBit en Indicadores de compromiso). Si un afiliado de LockBit no tiene acceso al ransomware LockBit 3.0 sin contraseña, entonces la ejecución del ransomware necesitará el ingreso de un argumento de contraseña. Aquellos que están afiliados a LockBit 3.0 pero no ingresan la contraseña correcta no podrán llevar a cabo el ransomware. Una clave criptográfica, la contraseña se utiliza para decodificar el ejecutable LockBit 3.0. LockBit 3.0 puede evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware.  Es capaz de evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. Es capaz de evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 cambiará dependiendo de la clave criptográfica que se usó para el cifrado mientras se crea simultáneamente un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 cambiará dependiendo de la clave criptográfica que se usó para el cifrado mientras se crea simultáneamente un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. LockBit 3.0 solo infectará equipos que no tengan una configuración de idioma que sea compatible con una lista de exclusión que se haya especificado. Un indicador de configuración que se estableció por primera vez en el momento de la compilación decidirá en última instancia si un idioma del sistema se verifica o no cuando realmente se usa en tiempo de ejecución. En la lista de idiomas que no se pueden usar no se limitan, pero incluyen, rumano (hablado en Moldavia), árabe (hablado en Siria) y tártaro (Rusia). LockBit 3.0 detendrá la ejecución si se encuentra un idioma de la lista de exclusión [T1614.001], y no infectará el sistema. Para disminuir el riesgo de ataques de ransomware y disminuir su gravedad cuando ocurren, el FBI, CISA y MS-ISAC aconsejan a las empresas que pongan en práctica las mitigaciones. @noticiasdeseguridad.com