Noticias Destacadas

Resumen actualización de seguridad Microsoft Diciembre de 2019.

Microsoft corrige 38 vulnerabilidades de seguridad este mes de diciembre que van desde simples ataques de suplantación de identidad hasta la ejecución remota de código en varios productos, entre los que se incluyen End of Life Software, Microsoft Graphics Component, Microsoft Office, Microsoft Scripting Engine, Microsoft Windows, None, Skype Empresarial, SQL Server, Visual Studio, Windows Hyper-V, Kernel de Windows, Windows Media Player y Windows OLE.

Respecto a las vulnerabilidades de este mes de diciembre destacamos las siguientes:

CVE-2019-1468
Ejecución remota de código en la librería font de Windows que deriva de la incapacidad de gestionar ciertas fuentes embebidas. A través de una fuente maliciosa de una página web un atacante podría aprovechar esta vulnerabilidad.

CVE-2019-1471
Se trata de una vulnerabilidad de ejecución de código remoto en el hipervisor Hyper-V. En ocasiones Hyper-V falla al validar la entrada de un usuario autenticado en el sistema operativo virtualizado. Este fallo podría ser aprovechado ejecutando una aplicación diseñada a medida en el sistema operativo virtualizado, lo que permitiría ejecutar código arbitrario en el host.

Visual Studio
Hay varias vulnerabilidades que afectan a Git para Visual Studio (CVE-2019-1349, CVE-2019-1350, CVE-2019-1352, CVE-2019-1354, CVE-2019-1387).

Git para Visual Studio tiene un error de validación en la entrada recibida por el usuario que podría conducir a una vulnerabilidad de ejecución remota de código. Es importante señalar que para que este ataque sea efectivo, el atacante tiene que persuadir a su víctima para que clone un repositorio malicioso, o encadenarlo con otros ataques para conseguirlo.

CVE-2019-1458
Elevación de privilegios en el componente Win32k. A partir de una aplicación diseñada a medida y teniendo acceso previo al sistema con un usuario sin privilegios, se podría tomar el control total y ejecutar código arbitrario en modo kernel. Microsoft informa que este fallo ha sido ampliamente explotado.

CVE-2019-1469
Vulnerabilidad de fuga de información en Windows. Deriva de un comportamiento inesperado en Win32k, debido a que en ocasiones no es posible proporcionar información del núcleo. Un atacante podría aprovechar esta vulnerabilidad para obtener secciones de memoria no inicializada o memoria del núcleo y luego usarla para otros ataques.

CVE-2019-1485
Vulnerabilidad de ejecución remota de código en el motor VBscript. Un atacante podría aprovechar esta vulnerabilidad para corromper la memoria de un sistema afectado, lo que da como resultado la ejecución de código arbitrario en el contexto del usuario actual. Para desencadenar esta vulnerabilidad, la víctima debe visitar un sitio web malicioso especialmente diseñado desde el navegador Internet Explorer. El atacante también podría incrustar un ActiveX marcado como «seguro para la inicialización» en una aplicación o documento de Microsoft Office, ya que éste utiliza el motor de renderizado de Internet Explorer; y luego, convencer al usuario para que abra el archivo.

Es posible encontrar cada una de las vulnerabilidades y fallos parcheados este mes en la release note de diciembre y más información detallada en la Security Update Guide.

Más Información

Microsoft
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2019-Dec
https://portal.msrc.microsoft.com/en-us/security-guidance

Vulnerabilidad Zero-Day afecta a Dropbox.

Dropbox es sin duda una de las opciones más populares cuando hablamos de almacenamiento en la nube. Es una plataforma que cuenta con muchos usuarios en todo el mundo (más de 500 millones) y esto hace que cuando hay vulnerabilidades puedan verse afectados muchos usuarios. Eso es lo que ha ocurrido en esta ocasión con una vulnerabilidad Zero-Day que afecta a Windows, el que es el sistema operativo más utilizado en equipos de escritorio.

Esta vulnerabilidad, en caso de ser explotada, permitiría a un atacante obtener una escalada de privilegios hasta el sistema reservado. Se trata de un fallo que está presente en el servicio DropBoxUpdater, que es responsable de mantener actualizada la aplicación del cliente.

DropBoxUpdater es el componente del paquete de software de cliente de Dropbox. Este actualizador se instala como un servicio y mantiene tareas programadas ejecutándose con permisos del sistema.

Vulnerabilidad parchada

Esta vulnerabilidad fue descubierta en el mes de septiembre por un grupo de investigadores de seguridad. La compañía fue avisada del problema y respondieron que tendrían una solución para finales de octubre (un mes después). Quienes descubrieron el problema informaron de que al pasar 90 días lo harían público. Esto es lo que ha ocurrido.

Desde MicroPath han lanzado un micro parche con el objetivo de corregir esta vulnerabilidad. Se proporciona de forma gratuita y solo hay que instalarlo y registrarse en 0Patch para aplicarlo inmediatamente en la aplicación de Dropbox.

Como siempre decimos, es muy importante contar con las últimas versiones y parches disponibles. A veces podemos sufrir vulnerabilidades de este tipo que se solucionan mediante actualizaciones que pueden sacar los propios fabricantes y desarrolladores. En este caso se trata de un fallo que ha afectado a Dropbox y a los usuarios de Windows, pero puede ocurrir algo similar en cualquier otra aplicación o sistema.

Nuestro consejo es mantener siempre que sea posible las actualizaciones automáticas configuradas. De esta forma podremos tener siempre las últimas versiones instaladas en nuestros sistemas y poder corregir problemas que aparezcan. Pero igualmente es interesante estar alerta de posibles vulnerabilidades que aparezcan y parches que salgan. El objetivo es que nuestros sistemas y aplicaciones que utilicemos estén perfectamente actualizadas y no puedan sufrir ataques. Esto es algo que hay que aplicar sin importar el sistema operativo o tipo de dispositivo que estemos utilizando.

Referencias:
https://www.onlinecloudbackups.net/dropbox-hack-causes-68m-user-emails-passwords-leak/

https://www.redeszone.net/noticias/seguridad/vulnerabilidad-dropbox-usuarios-windows/amp/

Plundervolt la nueva vulnerabilidad que afecta a los procesadores Intel.

Un grupo de investigadores de ciberseguridad ha descubierto una nueva vulnerabilidad de seguridad que afecta a los procesadores Intel. Etiquetada como CVE-2019-11157, su nombre es Plundervolt, un acrónimo de las palabras illaje y «subvoltaje».

Software Guard Extensions (SGX) es una tecnología que Intel ha introducido en sus procesadores modernos con el fin de limitar las posibles vías de éxito de los ciberataques, sin embargo, científicos han descubierto una forma de explotar dicho mecanismo para filtrar claves criptográficas y provocar errores en la memoria que pueden llegar a ser muy peligrosos.

El ataque que permite filtrar las claves criptográficas a través de SGX ha recibido el nombre de Plundervolt (CVE-2019-11157), y parte de la suposición de que el atacante debe ejecutar software con altos privilegios sobre el sistema objetivo. Si bien esto en teoría tendría que limitar el radio de acción de los ataques, es precisamente contra este tipo de escenarios para el que Software Guard Extensions fue creado.

La tecnología mencionada es un conjunto de códigos de instrucciones enfocado en la seguridad que ha sido introducido en los procesadores Intel modernos, pudiendo también ser entendido como una región privada del procesador que usa el cifrado de memoria basado en hardware para aislar cálculos y datos confidenciales, haciendo que queden fuera del alcance de los procesos maliciosos que se ejecutan con altos privilegios.

Sin embargo, los científicos tras Plundervolt argumentan que las fluctuaciones en el voltaje de la corriente que alimenta al procesador pueden terminar corrompiendo el normal funcionamiento de SGX. Al aumentar o reducir el voltaje al que está funcionando el procesador, los descubridores del ataque consiguieron provocar fallos en SGX que abrieron la puerta al filtrado de las claves criptográficas, rompiendo así las garantías de integridad y pudiendo además inducir fallos en la memoria que podrían ser utilizados para llevar a cabo otros tipos de ataques.

Para mayor información:
https://www.muycomputer.com/2019/12/11/procesadores-intel-ataque-filtrar-claves-criptograficas/

Un fallo de Linux posibilita el secuestro de conexiones VPN cifradas

Se ha revelado una nueva vulnerabilidad grave que afecta a la mayoría de los sistemas operativos similares a Linux y Unix, incluidos FreeBSD, OpenBSD, macOS, iOS y Android, que podría permitir espiar y manipular las conexiones VPN encriptadas a los ‘atacantes adyacentes de red’.

La vulnerabilidad, rastreada como CVE-2019-14899, reside en la pila de redes de varios sistemas operativos y puede explotarse tanto en flujos TCP IPv4 como IPv6. Dado que la vulnerabilidad no depende de la tecnología VPN utilizada, el ataque funciona contra protocolos de red privada virtual ampliamente implementados como OpenVPN, WireGuard, IKEv2 / IPSec y más según confirmaron los investigadores.

Para explotar esta vulnerabilidad es suficiente con enviar al dispositivo de la víctima una serie de paquetes de red no solicitados y observar las respuestas (sin importar que estén encriptados siquiera), por lo que puede realizarse tanto controlando un punto de acceso como conectándose a la red de la víctima.

Aunque existan variaciones entre los distintos sistemas operativos afectados, la vulnerabilidad permite en todos ellos inyectar datos en el flujo TCP , secuestrar conexiones y determinar:

  • La dirección IP virtual de una víctima asignada por el servidor VPN,
  • La existencia de conexiones activa a un sitio web determinado,
  • Los números exactos de seq y ack contando los paquetes cifrados o examinando su tamaño.

Ya que al enviar un SYN-ACK a la IP virtual correcta, el dispositivo responde con un RST, mientras que si es enviado a una IP virtual incorrecta, no se recibe nada, es posible determinar la IP virtual de la víctima simplemente mediante el envío a su dispositivo de paquetes SYN-ACK a través de todo el espacio de la IP virtual.

Hasta la fecha, se ha confirmado que esta vulnerabilidad puede ser explotada con una gran cantidad de distribuciones Linux, especialmente en aquellas que usan la versión de systemd posterior al 28 de noviembre de 2018 (momento en el que se desactivó el filtrado de ruta inversa), por ejemplo:

  • Ubuntu 19.10 (systemd)
  • Fedora (systemd)
  • Debian 10.2 (systemd)
  • Arco 2019.05 (systemd)
  • Manjaro 18.1.1 (systemd)
  • Devuan (sysV init)
  • MX Linux 19 (Mepis + antiX)
  • Linux vacío (runit)
  • Slackware 14.2 (rc.d)
  • Deepin (rc.d)
  • FreeBSD (rc.d)
  • OpenBSD (rc.d)

La estrategia de mitigación propuesta por el equipo de investigación que descubrió la vulnerabilidad consiste en:

  • Activar el filtrado de ruta inversa,
  • Implementar el filtrado de direcciones de IP falsas (bogons), y
  • Cifrar el tamaño y el tiempo del paquete.

Para mayor información:

Kaspersky descubre campaña de malware dirigida al sector hotelero para robar datos de tarjetas de crédito

Una campaña de malware denominada RevengeHotels ha infectado con éxito los sistemas de recepción de más de 20 hoteles en varios países, con el objetivo de robarle los datos de la tarjeta de crédito a los clientes y poder hacer compras con ellas posteriormente.

La investigación ha sido llevada a cabo por Kaspersky Labs quienes han confirmado que los ataque se han llevado a cabo mayormente en Brasil, aunque también se han producido infecciones en Chile, Francia, Italia, España, Portugal, Turquía, Costa Rica, México y Bolivia.

Victimas por ciudad.

Además de los datos de la tarjeta de crédito, los troyanos recopilan información financiera transmitida a través de sitios de terceros como Booking.com. Lo más preocupante quizás sea el tiempo que este malware llevaba latente en algunos equipos, según hemos podido saber, había muestras que llevaban latentes desde 2015, aunque el pico de actividad se ha producido en el último año.

Los ciberdelincuentes aprovechaban la vulnerabilidad de Microsoft Office de 2017 identificada bajo el identificador CVE-2017-0199. Esta vulnerabilidad permite entre otros la ejecución de los siguientes RATs: RevengeRAT, NanocoreRAT, ProCC, 888 RAT y NjRAT, entre otros.

Una vez infectado, se utiliza una puerta trasera para tomar capturas de pantalla y recopilar datos del portapapeles, mientras que otro módulo, llamado ScreenBooking, captura la información de la tarjeta de crédito. Los datos se envían al servidor de control (C&C) del atacante a través de un túnel cifrado creado por los atacantes.

Lo dirigido que se encuentran este tipo de ataques hacia sectores específicos confirma la alta especialización por parte de los atacantes. Este dato unido a que el malware ha permanecido cerca de 4 años sin ser detectado, confirma los escasos niveles de seguridad que algunos sectores ofrecen, facilitando el trabajo a los ciberdelincuentes.

Para mayor información:
https://securelist.com/revengehotels/95229/


Los cibercriminales también aprovecharán el Black Friday.

La campaña del Black Friday 2019 está en todo lo alto, mañana se celebrará el «Viernes Negro» y el próximo lunes llegará el fin de fiesta con el Cyber Monday. Como en cualquier evento masivo, los ciberdelincuentes intentan aprovecharlo con todo tipo de ataques y además de intentar encontrar buenas ofertas, el consumidor tiene que cuidar también los aspectos de seguridad.

Gigantes como Amazon crearon una jornada concreta como equivalente on-line al Black Friday, que con la denominación de “Cyber Monday” se celebraba exclusivamente el lunes posterior. Hoy en día, el Black Friday ha perdido totalmente su esencia inicial, no se limita a un sólo día y tampoco a la tienda física, ya que el gran impulso del comercio electrónico ha difuminado la línea entre lo virtual y lo físico. En España y en general Europa, la compra por Internet arrasa en esta campaña de compras.

Los investigadores de Proofpoint observaron un aumento del 144% interanual en ataques utilizando correos fraudulentos en la industria del retail en 2018. Por ahí puede llegar gran parte del malware que se registra en el Black Friday 2019, ya que el correo electrónico sigue siendo el vector más utilizado por los cibercriminales y estas grandes campañas son un objetivo clave.

La firma de seguridad asegura que el 85 por ciento de los 20 principales comercios on-line en España no están bloqueando activamente la posibilidad de que correos fraudulentos lleguen a sus usuarios. Las tiendas on-line pueden estar exponiéndose y exponiendo a sus clientes a cibercriminales que buscan datos personales y financieros, por no implementar las prácticas más sencillas y efectivas de autenticación de email.

Se recomiendan una serie de consejos para compras on-line en el Black Friday 2019 que son extensivas a cualquier periodo de compra por Internet y como medidas de seguridad generales que deben tomar en cuenta para realizar compras en línea:

  1. Utiliza contraseñas robustas. No reutilices la misma contraseña en varios sitios. Se recomienda utilizar un gestor de contraseñas para mejorar tu experiencia online, a la vez que te mantienes seguro.
  2. Evita las Wi-Fis abiertas. Las redes Wi-Fi de acceso libre o gratuito no son seguras: los cibercriminales pueden hacerse con datos transferidos a través de redes WiFi desprotegidas, incluyendo números de tarjeta de crédito, contraseñas, información bancaria y más.
  3. Cuidado con las «Webs parecidas». Los atacantes crean páginas web parecidas que imitan las de marcas conocidas. Estas webs fraudulentas pueden vender productos falsificados, estar infectados con malware o robar dinero o credenciales.
  4. Evite los fraudes de phishing. Los ataques de phishing durante este periodo son muy comunes y de formas muy diferentes. Para evitar este tipo de fraude, examine cuidadosamente la dirección de correo electrónico del remitente. Asegúrese que el nombre del dominio coincide exactamente con el sitio web donde estés realizando la compra. Además, buscar errores ortográficos y gramaticales en un correo electrónico sospechoso también ayudará a detectar emails fraudulentos.
  5. No hagas clics en los enlaces. Se recomienda ir directamente a la página de la oferta anunciada escribiendo su dirección web directamente en tu navegador. Si se trata de códigos promocionales especiales, escríbelos y comprueba si son legítimos.
  6. Verifica antes de comprar. Los anuncios, webs y apps fraudulentas pueden ser difíciles de identificar. Cuando descargues una nueva app o visites una web no habitual, dedica algo de tiempo a leer reseñas sobre la misma, así como cualquier queja de los usuarios.
  7. Mantenga el software actualizado. Los dispositivos casi siempre requieren actualizaciones de software rutinarios. A menudo, estas actualizaciones incluyen parches de seguridad diseñados para protegerse de los delincuentes. Actualice sus dispositivos tan pronto como las actualizaciones estén disponibles.
  8. Utilice plataformas de pago seguras. Usar sistemas de pago fiables como Paypal o tarjetas prepago te ayudará a realizar transacciones online de forma más segura.

Se recuerda tomar estos consejos antes de realizar alguna compra en línea.

Oracle PAYDAY: vulnerabilidades críticas en Oracle E-Business Suite.

Onapsis ha revelado una nueva investigación de amenazas sobre una vulnerabilidad recientemente descubierta en Oracle E-Business Suite: Oracle PAYDAY.

El ataque, que ha sido bautizado como Oracle Payday, consiste en la explotación de dos vulnerabilidades de Oracle identificadas con los CVEs CVE-2019-2638 y CVE-2019 -2633, con una valoración CVSS de 9.9 sobre 10.

Estos fallos de seguridad disponen de parches desde el pasado mes de abril pero sin embargo más de la mitad de los clientes de Oracle EBS no han aplicado las soluciones en sus sistemas por lo que continuan siendo vulnerables, según revela el estudio de Onapsis.

Se detallan dos ejemplos de potenciales escenarios:

  • La manipulación del proceso de pago mediante una transferencia bancaria a través de un acceso no autenticado.
  • La creación e impresión de cheques bancarios aprobados, siendo posible además el borrado de los registros de actividad.
Además del informe, Onapsis ha publicado un vídeo en el cual se muestra el proceso.

Para mayor información:

Dato interesante: «En 2017, Oracle realizó una simulación: seleccionó una estructura financiera realista derivada de una gran empresa típica basada en la experiencia de más de 25 años. Esta simulación descubrió que era posible crear 1.000.000 de pagos por hora, a través de 7.000.000 líneas de factura importadas. Por lo tanto, las explotaciones exitosas de PayDay pueden pasar desapercibidas entre tantas transacciones.»

Fallo en WhatsApp permitía bloquear o ejecutar código en la aplicación

La vulnerabilidad de tipo buffer overflow era provocado al leer los metadatos de un vídeo MP4 enviado a través del programa.

Facebook, la empresa responsable de la popular aplicación de mensajería instantánea, ha lanzado una nueva versión de WhatsApp que resuelve una vulnerabilidad crítica que permitía tanto bloquear el programa (DoS) impidiendo su uso, como la ejecución remota de código (RCE) en el mismo.

Se desconoce si el fallo llegó a explotarse antes de ser parcheado o si fue la propia Facebook la que descubrió el error y lo arregló. Tampoco ha dado más detalles sobre la misma en el breve comunicado en el que informaba de la vulnerabilidad, que ha sido registrada con el identificador CVE-2019-11931.

La vulnerabilidad afecta tanto a las versiones empresariales como a las de consumo, siendo estas:

  • Las versiones de Android anteriores a 2.19.274
  • Las versiones para iOS anteriores a 2.19.100
  • WhatsApp Enterprise en sus versiones anteriores a 2.25.3
  • En Windows Phone todas las versiones, incluso la 2.18.368
  • WhatsApp Business para Android en versiones anteriores a 2.19.104
  • Versiones de WhatsApp Business para iOS anteriores a 2.19.100

Lo más que se sabe del error es que se trata de una vulnerabilidad de tipo buffer overflow durante el análisis de los metadatos de los vídeos MP4, siendo similar al que ya ocurrió en mayo de este año (CVE-2019-3568) y que fue explotado para difundir el spyware Pegasus entre los usuarios de iOS y Android.

A pesar de no haber dado detalles, ya parecen existir Pruebas de Concepto (PoC) para explotar esta vulnerabilidad.

Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, y el de nuestros clientes, recomienda lo siguiente:

  • Se urge a todos los usuarios de WhatsApp a actualizar a la última versión disponible para evitar ser víctimas de esta vulnerabilidad.

Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:

Fallo en el chipset de Qualcomm permite robar información privada en dispositivos android

Miles de millones de dispositivos smartphones y tablets Android que utilizan internamente el chipset Qualcomm son potencialmente vulnerables a un conjunto de vulnerabilidades que deja al descubierto información sensible del terminal.

La firma CheckPoint ha publicado un reporte en el que explican que los fallos encontrados podrían permitir a un atacante robar información sensible almacenada en una zona que se presupone la más protegida del terminal.

La vulnerabilidad reside en Qualcomm’s Secure Execution Enviroment (QSEE), una implementación de Trusted Execution Enviroment (TEE) basada en la tecnología ARM TrustZone.

También conocido como Qualcomm’s Secure World, QSEE es un área aislada dentro del mismo procesador que protege información sensible y provee un ambiente seguro separado de los demás datos (REE). Está preparado para ejecutar Trusted Applications.

Junto con otros datos, en la QSEE se guardan contraseñas, claves de cifrado privadas o información de la tarjeta de crédito o débito almacenada en el terminal. Por lo que no resultaría extraño que explotar este fallo se vuelva un objetivo para algunos desarrolladores de malware.

Al estar basado en el principio del menor privilegio, Módulos normales del sistema como drivers o aplicaciones no tienen acceso a áreas protegidas a menos que sea necesario, incluso teniendo privilegio de root.

Tal y como comenta el equipo de CheckPoint, para descubrir los fallos necesitaron aplicar ingeniería inversa el sistema de Qualcomm’s Secure World y realizar técnicas de fuzzing. Crearon una herramienta de fuzzing a medida y la testearon con dispositivos Samsung, LG y Motorola. Esto les llevó a encontrar cuatro vulnerabilidades en el código implementado por Samsung, una en Motorola y una en LG.

  • dxhdcp2 (LVE-SMP-190005)
  • sec_store (SVE-2019-13952)
  • authnr (SVE-2019-13949)
  • esecomm (SVE-2019-13950)
  • kmota (CVE-2019-10574)
  • tzpr25 (reconocido por Samsung)
  • prov (Motorola está trabajando en el parche)

Estas vulnerabilidades reportadas permitirían a un atacante, entre otras, realizar las siguientes acciones:

  • Ejecutar trusted apps en un entorno normal (Android OS).
  • Cargar una trusted app parcheada en Secure World (QSEE).
  • Eludir las restricciones de Chain Of Trust de Qualcomm.
  • Adaptar la trusted app para que corra en un dispositivo de otro vendedor.

Resumiendo, una vulnerabilidad en el componente TEE deja al dispositivo vulnerable a una amplia gama de amenazas de seguridad, entre las que se incluye la fuga de información protegida, rooteo del dispositivo, el desbloqueo del bootloader y la ejecución de APT indetectables.

Los investigadores de CheckPoint ya reportaron el fallo a las marcas afectadas. Qualcomm, Samsung y LG ya disponen de un parche para las vulnerabilidades que afectan a QSEE.

Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:

Nuevo 0-day en Google Chrome está siendo utilizado para realizar ataques

Se ha detectado una reciente vulnerabilidad que afecta al navegador de Google que está siendo utilizada para atacar a usuarios y tomar el control de sus equipos.

Google ha lanzado la versión 78.0.3904.87 de su navegador, y está pidiendo a sus usuarios que actualicen su navegador lo antes posible. Esta nueva versión corrige dos vulnerabilidades graves.

La primera de las vulnerabilidades se encuentra en el componente de audio del navegador (CVE-2019-13720), mientras que la segunda afecta a la librería ‘PDFdium’ (CVE-2019-13721), utilizada por Chrome para la lectura de ficheros PDF.

Según Anton Ivanov y Alexey Kulaev, investigadores de Kaspersky, se han detectado ataques que utilizan la vulnerabilidad en el componente de audio como vector de entrada para la ejecución de código malicioso en el sistema de la víctima.

Google ha confirmado que tiene constancia de estos ataques en los que se aprovecha la vulnerabilidad en su navegador para atacar a sus usuarios. Además, ha asegurado que no proporcionará detalles sobre los fallos hasta que la mayoría de los usuarios hayan actualizado sus navegadores.

Ambas vulnerabilidades son de las conocidas como ‘use-after-free’. Este tipo de vulnerabilidades son las más habituales en el navegador de Google en los últimos meses. De hecho, hace un mes Google lanzó una actualización en la que corregía cuatro vulnerabilidades de este tipo, una de las cuales podía utilizarse para ejecutar código malicioso en el equipo.

Según los investigadores de Kaspersky, los ataques se han realizado a través de una web de noticias coreana comprometida por los atacantes. Estos colocaron los ‘exploits‘ en la web con el objetivo de comprometer a los visitantes que utilizasen una versión de Chrome vulnerable.

Script malicioso añadido a la web comprometida (Fuente: TheHackerNews)

El ‘exploit‘ es la primera etapa del ataque, que sirve para la instalación de un malware en el equipo comprometido. Según han afirmado los investigadores, dicho malware contiene en su código la información relativa al servidor de control, por lo que no se genera de forma dinámica.

Aún no se conocen los autores del ataque, sin embargo, Kaspersky ha afirmado que hay algunas similitudes con otros ataques del grupo ‘Lazarus’, aunque podría tratarse de simple coincidencia.

Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, y el de nuestros clientes, recomienda lo siguiente:

  • Actualizar a la última versión más reciente del navegador Google Chrome, disponible en la página oficial.

Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:

1 11 12 13