SERVICIO DE INTELIGENCIA CONTRA AMENAZAS SIA

Transcripción

1 servicio de inteligencia sobre amenazas [sia] año 02 edición 2.

2 Qué es EL Servicio de Inteligencia sobre Amenazas [SIA]? Es una combinación de información de amenazas existentes en la red con el análisis e inteligencia del grupo de especialistas de CORE ONE IT, quienes analizan exhaustivamente todo tipo de amenazas informáticas y desarrollan una serie de recomendaciones adaptadas a cada tipo de cliente. Alcance Se personaliza de acuerdo al tipo de infraestructura y entorno de red del cliente basado en los tipos de dispositivos, modelos y fabricantes, con el fin de recibir solo información relevante y que pudiera afectar de manera directa o indirecta, la continuidad del negocio. Definiciones Riesgo: Probabilidad que una amenaza particular explote una vulnerabilidad particular de un sistema. Amenaza: Es la causa potencial de un incidente no deseado, el cual puede resultar en un daño a un sistema de información u organización. Ataque: Acción de tratar de traspasar controles de seguridad en un sistema. Un ataque puede ser activo, resultando en la modificación de datos, o pasivo, resultando en la divulgación de información. El hecho de que un ataque sea realizado no significa que será exitoso, el grado de éxito depende de la vulnerabilidad del sistema o actividad y de la eficiencia de las medidas existentes. API: Interfaz de Programación de Aplicaciones (Application Programming Interface, por sus siglas en inglés). Conjunto de subrutinas, funciones y procedimientos de una biblioteca para ser utilizado por otro software. Malware: también llamado badware, código maligno, software malicioso, software dañino o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. Ransomware: Es un tipo especial de malware que amenaza con destruir los documentos y otros archivos de las víctimas. Troyano: Software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo. ISP: Proveedor de servicios de Internet (Internet Service Provider, por sus siglas en inglés). Keylogger: Software de vigilancia, el cual cuenta con la capacidad de grabar cada tecla pulsada en el sistema en un archivo, usualmente cifrado. BSOD: Blue Screen Of Death, pantalla azul de la muerte ; se refiere a la pantalla mostrada por el sistema operativo de Windows cuando éste no puede recuperarse de un error del sistema. Vulnerabilidad: Debilidad en los procedimientos de seguridad de un sistema, en el diseño del sistema, en la implementación, en los controles internos, y que puede ser explotada para violar la política de seguridad del sistema.

3 Ejecución remota de código de Microsoft PowerPoint (CVE ) Criticidad: Impacto: Alto violación de protección de contenido. Vulnerabilidad: Ejecución: Remota Plataforma(s) afectada(s): Microsoft PowerPoint 2010 Service Pack 2 (ediciones de 32 bits) Microsoft PowerPoint 2010 Service Pack 2 (ediciones de 64 bits) Microsoft Office Web Apps 2010 Service Pack 2 Microsoft SharePoint Server 2013 Service Pack 1 Microsoft Office Web Apps 2013 Service Pack 1 Microsoft PowerPoint 2013 Service Pack 1 (ediciones de 32 bits) Microsoft PowerPoint 2013 Service Pack 1 (ediciones de 64 bits) Microsoft PowerPoint 2013 RT Service Pack 1 Microsoft Office 2016 para Mac Microsoft PowerPoint 2016 (edición de 32 bits) Microsoft PowerPoint 2016 (edición de 64 bits) ) Office Online Server Microsoft SharePoint Enterprise Server 2016 Microsoft Office 2019 para ediciones de 32 bits Microsoft Office 2019 para ediciones de 64 bits Microsoft Office 2019 para Mac Office 365 ProPlus para sistemas de 32 bits Office 365 ProPlus para sistemas de 64 bits Microsoft SharePoint Server 2019 Microsoft PowerPoint Viewer Paquete de compatibilidad de Microsoft Office Service Pack 3 Referencia: CVE , CPAI Descripción: Existe una vulnerabilidad de ejecución remota de código en Microsoft PowerPoint. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado. Solución: Para activar la protección, actualice su producto Security Gateway a la última actualización de IPS. Security Gateway R80 / R77 / R76 / R En la pestaña IPS, haga clic en Protecciones y busque la protección ejecución remota de código de Microsoft PowerPoint (CVE ) usando la herramienta de búsqueda y Edite la configuración de la protección. 2. Instalar política en todos los módulos Check Point Advisories. (2018). Ejecución remota de código de Microsoft PowerPoint (CVE ). Diciembre 11, de Check Point Sitio web: com/defense/advisories/public/2018/cpai html

4 Corrupción en la memoria de Microsoft Edge Chakra Scripting Engine (CVE ) Criticidad: Critico Impacto: Violación de la aplicación del cliente web. Vulnerabilidad: Ejecución: Remoto Plataforma(s) afectada(s): Microsoft Edge en Windows Server 2016 Microsoft Edge en Windows 10 Versión 1607 para sistemas de 32 bits Microsoft Edge en Windows 10 Versión 1607 para sistemas basados en x64 Microsoft Edge en Windows 10 Versión 1703 para sistemas de 32 bits Microsoft Edge en Windows 10 Versión 1703 para Sistemas basados en x64 Microsoft Edge en Windows 10 Versión 1709 para sistemas de 32 bits Microsoft Edge en Windows 10 Versión 1709 para sistemas basados en x64 Microsoft Edge en Windows 10 Versión 1803 para sistemas de 32 bits Microsoft Edge en Windows 10 Versión 1803 para x64 sistemas basados en Microsoft Edge en Windows 10 versión 1803 para sistemas basados en ARM64 Microsoft Edge en Windows 10 versión 1809 para sistemas de 32 bits Microsoft Edge en Windows 10 Versión 1809 para sistemas basados en x64 Microsoft Edge en Windows 10 Versión 1809 para sistemas basados en ARM64 Microsoft Edge en Windows Server 2019 Microsoft Edge en Windows 10 Versión 1709 para sistemas basados en ARM64 ChakraCore Referencia: CVE , CPAI Descripción: Existe una vulnerabilidad de corrupción de memoria en Microsoft Edge. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado. Solución: Para activar la protección, actualice su producto Security Gateway a la última actualización de IPS. Security Gateway R80 / R77 / R76 / R75 1. En la pestaña IPS, haga clic en Protecciones y busque la protección Corrupción de la memoria del motor de secuencias de comandos de Microsoft Edge Chakra (CVE ) utilizando la herramienta de búsqueda y Editar la configuración de la protección. 2. Instalar la política en todos los módulos. Check Point Advisories. (2018). Corrupción en la memoria de Microsoft Edge Chakra Scripting Engine (CVE ). Diciembre 11, de Check Point Sitio web:

5 Coinhive, un año liderando el ranking de amenazas mundial Como resultado, el impacto de Emotet se incrementó un 25 % respecto a octubre. Otro punto relevante es el papel de los mineros no autorizados de criptomonedas. En este sentido el criptojacker Coinhive alcanza su primer aniversario liderando el Índice Global Amenazas. Así lleva desde diciembre de Check Point desvela que este malware para minar la criptomoneda Monero ha afectado a un 24 % de las empresas durante los últimos 12 meses. El top 3 de malware a nivel mundial durante noviembre lo completaron otro criptominero, Cryptoloot, y el bot modular Andromeda. Este malwar e para minar la criptomoneda Monero ha afectado a un 24 % de las empresas durante los últimos doce meses. Check Point ha vuelto a actualizar su Índice Global de Amenazas. Con los datos del mes de noviembre en la mano, la compañía de seguridad destaca el papel que ha tenido la botnet de distribución de troyanos bancarios Emotet. Esta amenaza se ha metido en el top 10 al intervenir en diferentes campañas de malware. Este mes hemos visto un aumento significativo en la difusión de la red de bots Emotet que ha aprovechado el día de Acción de Gracias para conseguir clics, explica Maya Horowitz, directora de Inteligencia de amenazas e investigación de Check Point. Los usuarios y las empresas esperaban recibir mensajes de felicitación y los ciberdelincuentes lo han aprovechado para difundir la botnet Emotet, comenta. Gracias a la ingeniería social el malware ha llevado a las víctimas a abrir correos electrónicos maliciosos. Mónica Tilves (2018). Coinhive, un año liderando el ranking de amenazas mundial. 13 de diciembre de 2018, de Silicon. Sitio Web:

6 Coinhive, un año liderando el ranking de amenazas mundial En conjunto, estos resultados muestran que el malware, y en particular las puertas traseras y el ransomware, siguen siendo un riesgo importante para los usuarios y empresas. Las puertas traseras y el ransomware fueron las ciberamenazas que más crecieron este año. En general, el informe de Kaspersky Lab detectó 346,000 nuevos archivos maliciosos por día. Kaspersky Lab emitió un nuevo informe donde revela que de todos los nuevos archivos maliciosos detectados por las tecnologías de la compañía en 2018, la cantidad de archivos tipo puerta trasera aumentó un 44%. El informe también encontró que el volumen general de ransomware aumentó un 43%, y casi una de cada tres (30%) computadoras encontró al menos una amenaza maliciosa en línea en En 2018, las detecciones de ransomware (Trojan-Ransom) y backdoor comprendieron 3,5% y 3,7% de todos los nuevos archivos maliciosos recopilados en los primeros diez meses del año. Esto representa un aumento del 43% para el ransomware (de en 2017 a en 2018) y del 44% para backdoors ( en 2017 a en 2018) en comparación con el período anterior.

7 En general, las tecnologías de Kaspersky Lab detectaron nuevos archivos maliciosos cada día durante los primeros diez meses del año. La cantidad y la variedad de nuevos archivos maliciosos detectados diariamente es un buen indicador para conocer el interés de los ciberdelincuentes por crear y distribuir malware. En 2011, se detectaron archivos nuevos por día, y para 2017, el número se quintuplicó a En 2018, las soluciones de Kaspersky Lab repelieron ataques lanzados desde recursos en línea ubicados en todo el mundo. La solución antivirus de Kaspersky Lab detectó objetos maliciosos únicos. El año 2018 vio un ligero desahogo en las detecciones diarias, comentó Vyacheslav Zakorzhevsky, jefe de investigación Anti-Malware en Kaspersky Lab. Por un lado, esto podría indicar el interés de los delincuentes por reutilizar malware antiguo que ha demostrado ser eficiente. Por otro, los picos en el número de detecciones de puerta trasera y Trojan-Ransom nos muestran que los agentes maliciosos están en constante búsqueda de nuevas formas de infectar los dispositivos de las víctimas y así ganar dinero, añadió. Para Zakorzhevsky, el duradero interés en el ransomware y su continuo desarrollo es una advertencia para mantenerse alerta, tanto contra las amenazas cibernéticas existentes y conocidas, como las nuevas aún desconocidas. AETecno (2018). Ataques de malware en aumento: una de cada tres computadoras fue infectada en de diciembre de 2018, de AETecno. Sitio Web:

8 Así es como un malware disfrazado de app en Android es capaz de robar euros de una cuenta de PayPal en 5 segundos Una vez instalado, el malware solicita permiso al usuario para Habilitar estadísticas. Esta función de sonido inocente permite que el malware y sus creadores reciban notificaciones cuando el usuario interactúa con ciertas aplicaciones e inspecciona el contenido de la ventana con la que están interactuando. En otras palabras, permite que los ciberdelincuentes tomen el control del teléfono de forma remota cuando el usuario abre ciertas aplicaciones. En este caso: PayPal, Google Play, WhatsApp, Skype, Viber, Gmail y algunas aplicaciones bancarias. Según ha explicado ESET, la función más peligrosa del malware se activa cuando los usuarios abren la aplicación de PayPal. En ese momento, si han caído en el truco de Habilitar estadísticas, el malware se hace cargo y envía los pagos a los delincuentes. Esto funciona incluso si el usuario tiene habilitada la autenticación de dos factores, porque el malware solo espera que el usuario inicie sesión, como se muestra en el video de arriba realizado por ESET. Tal y como explica la firma en su página. La firma de seguridad ESET descubrió un nuevo malware disfrazado como aplicación de optimización de la batería llamada Android Optimization. La herramienta permite a los delincuentes tomar el control de una cuenta de PayPal y robar dinero en segundos sin que el usuario pueda detenerlo. El malware se descubrió en noviembre y se han publicado los detalles del mismo hace unas horas. La app se distribuye en tiendas de aplicaciones de terceros (no está en la tienda oficial de Google Play). Además, el malware no es solo una ejecución del troyano bancario, sino que es capaz de aprovechar los Servicios de Accesibilidad de Google, diseñados para ayudar a las personas con discapacidades, para engañar a los usuarios para que den a los delincuentes el control del teléfono. Según explican en Motherboard: Miguel Jorge (2018). Así es como un malware disfrazado de app en Android es capaz de robar euros de una cuenta de PayPal en 5 segundos, 12 Diciembre 2018 de Gizmodo. Sitio Web:

9 Vulnerabilidad de inyección SQL en Cisco Prime License Manager Criticidad: Impacto: Crítica inyección SQL Vulnerabilidad: E jecución: Remota La vulnerabilidad se debe a la falta de validación adecuada de la entrada proporcionada por el usuario en las consultas SQL. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP POST creadas que contengan sentencias SQL maliciosas a una aplicación afectada. Una explotación exitosa podría permitir al atacante modificar y eliminar datos arbitrarios en la base de datos de PLM u obtener acceso al shell con los privilegios del usuario de Postgres. Plataforma(s) Afectada(s): Esta vulnerabilidad afecta a Cisco Prime License Manager Releases y posteriores. Referencia: CVE Descripción: Actualización (2018-diciembre-10): la instalación del parche ciscocm.cscvk30822_ v1.0.k3.cop.sgn puede causar problemas funcionales. Las soluciones están disponibles para algunos de estos problemas. Si se revierte este parche como se describe en la sección Versiones solucionadas, se corregirán estos problemas funcionales, pero el dispositivo se verá afectado nuevamente por esta vulnerabilidad cuando el parche no esté en su lugar. Vea la sección de versiones fijas para más detalles. Una vulnerabilidad en el código del marco web de Cisco Prime License Manager (PLM) podría permitir que un atacante remoto no autenticado ejecutara consultas de SQL arbitrarias. Vulnerabilidad de inyección SQL en Cisco Prime License Manager

10 Vulnerabilidad de denegación de servicio y ejecución remota de código de Texas Instruments Bluetooth Low Energy Criticidad: Alta Impacto: Denegación de servicio Vulnerabilidad: Ejecución: Remota Plataforma(s) Afectada(s): La siguiente tabla enumera los productos de Cisco que están afectados por la vulnerabilidad descrita en este aviso: Referencia: CVE Descripción: Actualización (2018-diciembre-10): la instalación del parche ciscocm.cscvk30822_ v1.0.k3.cop.sgn puede causar problemas funcionales. Las soluciones están disponibles para algunos de estos problemas. Si se revierte este parche como se describe en la sección Versiones solucionadas, se corregirán estos problemas funcionales, pero el dispositivo se verá afectado nuevamente por esta vulnerabilidad cuando el parche no esté en su lugar. Vea la sección de versiones fijas para más detalles. Una vulnerabilidad en el código del marco web de Cisco Prime License Manager (PLM) podría permitir que un atacante remoto no autenticado ejecutara consultas de SQL arbitrarias. Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones que aborden esta vulnerabilidad. Vulnerabilidad de denegación de servicio y ejecución remota de código de Texas Instruments Bluetooth Low Energy