Alertas de seguridad – abril 2020

Alertas de seguridad – abril 2020

Actualización de seguridad de Magento

El gestor de contenidos para tiendas online Magento ha publicado una actualización que corrige 13 vulnerabilidades, de las que 6 tienen una severidad crítica.

Si un ciberdelincuente consigue explotar alguna de ellas, podría ejecutar software malicioso, robar información confidencial, tener acceso al panel de administración o aplicar descuentos no autorizados a los productos.

Los recursos afectados son: Magento Commerce, en las versiones 2.3.4 y anteriores; Magento Open Source, en las versiones 2.3.4 y anteriores; Magento Enterprise Edition, en las versiones 1.14.4.4 y anteriores y Magento Community Edition, en las versiones 1.9.4.4 y anteriores.

Para solucionarlo, es necesario actualizar a la última versión disponible en cada caso:

Correos fraudulentos que suplantan al Tribunal de Cuentas

El Tribunal de Cuentas ha informado sobre una campaña de emails fraudulentos, que suplantan al Tribunal de Cuentas.

De nuevo, los ciberdelincuentes han utilizado la técnica del spoofing para falsear la dirección del remitente, haciendo que parezca un correo legítimo cuando no lo es. En el mensaje se solicita al usuario que facilite información confidencial de la empresa que sería necesaria para llevar a cabo una supuesta auditoría por parte del Tribunal.

Aquí tienes nuestras recomendaciones para evitar ser víctima de las campañas de phishing.

Campaña de phishing que suplanta a la Agencia Tributaria

Se ha detectado una campaña de correos electrónicos fraudulentos que trata de suplantar a la Agencia Tributaria. Los ciberdelincuentes han utilizado una técnica llamada spoofing para falsear la dirección del remitente y que parezca un mail legítimo, pero no lo es.

En el mail, que podría llevar por título algo como “Medidas tributarias COVID-19 – Evitar suspensión de negocio”, se solicita al usuario que descargue el archivo adjunto que contiene. Además, se insta al usuario a devolverlo firmado en un plazo no superior a 7 días ya que, si no, podría ser sancionado.

Si el usuario hace pincha en descargar, se le redirige a una web donde se solicitan sus credenciales.  El objetivo no es otro que obtener sus datos de acceso.

Si has recibido un correo de estas características, has accedido y has introducido tus credenciales, debes cambiarlas lo antes posible. También debes hacerlo en todos aquellos servicios en los que estés utilizando las mismas.

Inicios de sesión no autorizados en Nintendo Network ID

Nintendo ha hecho público que unas 160.000 cuentas de usuario pueden haber sido comprometidas, desde principios de abril, a través del inicio de sesión mediante el ID de Nintendo Network (NNID). Esto ha provocado que algunos usuarios tengan cargos no autorizados en “My Nintendo Store” o en “Nintendo eShop”.

Las posibles víctimas son los usuarios de las consolas Wii U o Nintendo 3DS, que tengan una ID de Nintendo Network, vinculada a una cuenta de Nintendo.

Para solucionarlo, la empresa ha eliminado la función “iniciar sesión” a través de NNID (no será posible iniciar sesión de esta forma). Además, Nintendo recomienda: restablecer la contraseña de usuario de Nintendo Network y Restablecer la contraseña de usuario de NNID.

Vulnerabilidades en Microsoft Office

Microsoft ha lanzado un aviso de seguridad que corrige vulnerabilidades de ejecución remota de código (RCE) en una librería de Autodesk FBX integrada en las aplicaciones de Microsoft Office y Paint 3D.

Por su parte, Autodesk también ha publicado actualizaciones de seguridad para su kit de desarrollo de software Autodesk FBX, que resuelve la ejecución remota de código y vulnerabilidades de denegación de servicio que causan los archivos FBX especialmente diseñados.

Un atacante podría crear un archivo FBX dañino, con contenido 3D, enviarlo a un usuario y engañarlo para que lo abra. Una vez ejecutado, el atacante podría explotar vulnerabilidades de tipo buffer overflow (desbordamiento de búfer), type confusion (confusión de tipos), use after free (uso de memoria previamente liberada), integer overflow (desbordamiento de enteros), NULL pointer dereference (desreferencia de puntero NULL) y otras vulnerabilidades de desbordamiento de memoria para realizar un ataque DoS o ejecutar código de forma remota.

Recursos afectados:

  • Microsoft Office 2016
  • Microsoft Office 2016
  • Microsoft Office 2019
  • Microsoft Office 2019
  • Office 365 ProPlus for 32-bit Systems
  • Office 365 ProPlus for 64-bit Systems
  • Paint 3D

Es necesario instalar las actualizaciones de seguridad proporcionadas por Microsoft (en la sección “Actualizaciones de Office”, dentro del apartado cuenta de cualquier aplicación). Una vez que las actualizaciones se descargan e instalan, se deberán reiniciar todas las aplicaciones de Office. En el caso de Paint 3D, la actualización se encuentra disponible desde el propio aviso de Microsoft.

Se recomienda aplicar los parches inmediatamente, para evitar la exposición a ataques o la toma de control de los sistemas.

Vulnerabilidades Zero-Day en iOS

El CCN-CERT ha alertado de la publicación de dos vulnerabilidades Zero-Day en iOS. Las vulnerabilidades afectan a la aplicación de correo de iOS, MobileMail o, en su caso, a Maild y podrían permitir a un atacante ejecutar código de forma remota a través del envío de un email especialmente diseñado a la víctima.

Las vulnerabilidades están ocasionadas por un fallo en la implementación de la función MFMutableData en la librería MIME. El primero se debe a que la librería afectada carece de verificación de errores en la llamada al sistema ftruncate(). La segunda consiste en un desbordamiento de la memoria, explotable de forma remota, ocasionado por una incorrecta reasignación dentro de la misma función MFMutableData.

Para explotar los fallos, el atacante solo tendría que enviar un email especialmente diseñado a la víctima (no se requiere interacción). Además, a excepción de una ralentización temporal del servicio, el usuario no percibe ningún comportamiento anómalo y sería incapaz de notar del ataque.

Están afectadas todas las versiones de iOS a partir de la versión 6, a excepción de iOS 13.4.5 beta 2 lanzada el pasado 15 de abril. Pero, se desconoce a ciencia cierta si las versiones anteriores a iOS 6 también están afectadas.

La explotación es diferente, según las versiones: en iOS 13 no se requiere la intervención del usuario, pero en iOS 12 los usuarios deben acceder desde el correo dañino.

Apple está trabajando en solucionarlo, pero todavía no existe parche disponible. En iOS 13.4.5 beta 2, cuya versión estable aún no está disponible, se han corregido las vulnerabilidades.

No obstante, se recomienda a los usuarios aplicar los parches en cuanto estén disponibles. Mientras, es recomendable deshabilitar la aplicación de correo de iOS y utilizar aplicaciones de mensajería alternativas.

En caso de no poder deshabilitarla, utiliza los indicadores de compromiso ofrecidos por los investigadores para bloquear mensajes dañinos futuros:

  • AAAAATEy AND EA\r\nAABI
  • T8hlGOo9 AND OKl2N\r\nC AND AAAAAAAA
  • 3r0TRZfh AND AAAAAAAA
  • \n/s1Caa6 AND J1Ls9RWH
  • ://44449
  • ://84371
  • ://87756
  • ://94654

Correos maliciosos que suplantan a BBVA

Se ha detectado una campaña de correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA. A través de estos mails, los ciberdelincuentes tratan de infectar los dispositivos de las víctimas con malware.

Los mails podrían tener un asunto similar a “BBVA-Factoring Liquidación de cobro” y la dirección de correo se ha falseado de manera que parecen ser legítimos. En el mensaje se avisa al usuario de que en el fichero adjunto encontrará información referente a una supuesta liquidación de cobro. Y, para hacerlo más real, se han incluido enlaces que dirigen a la web legítima de BBVA.

Hay que tener en cuenta que no es habitual recibir un archivo adjunto por parte de una entidad bancaria (eso debería hacernos sospechar). Pero, además, el archivo es un “.exe” y nunca debemos abrir un ejecutable de un correo, a no ser que estemos totalmente seguros de su procedencia.

Aquí tienes nuestras recomendaciones para evitar ser víctima de las campañas de phishing y para saber cómo infectan nuestros dispositivos con malware y no caer en la trampa.

Correos fraudulentos que aseguran que tu sitio web ha sido atacado

Se ha detectado una campaña de correos fraudulentos, en los que los ciberdelincuentes aseguran que han accedido a la web de la víctima gracias a una vulnerabilidad. En el mensaje se informa de que han robado toda la información de la página y la han enviado a un servidor seguro. Además, solicitan que se les pague un rescate en bitcoins para evitar que se filtre esa supuesta información que manejan.

Es un intento de estafa. Los delincuentes no han accedido al sitio web de la compañía, ni tienen la base de datos.

Si has recibido un mail de estas características, bórralo. En caso de haber realizado el pago, recopila todas las pruebas y contacta con las fuerzas y cuerpos de seguridad del estado para realizar la correspondiente denuncia.

Campaña de facturas falsas que suplantan a OVH

Se han detectado una campaña de correos electrónicos fraudulentos que suplantan al proveedor de alojamiento web OVH. En los mensajes se informa a las compañías de que tienen una factura pendiente de pago que, además, tiene recargo por no haber sido abonada en un supuesto aviso previo.

En el mensaje, que puede tener como asunto algo similar a “OVH – Aviso de factura sin pagar”, se insta a la víctima a pagar inmediatamente porque, de no hacerlo, se incrementará la cuantía de la factura o se reclamará el pago por vía judicial.

Al acceder al link que incluye el email, el usuario es dirigido a una página en la que se solicitan los datos bancarios (número de tarjeta, titular, caducidad y código de seguridad) para robarlos.

En caso de haber accedido al enlace, e introducido los datos bancarios, es necesario contactar de inmediato con la entidad bancaria e informar de lo sucedido.

Actualización de Oracle Java SE

En su actualización de abril, Oracle ha incluido la solución a 15 fallos de seguridad en Java SE. Alguno de estos fallos podría ser explotado de forma remota sin autenticación.

Están afectados: Oracle Java SE, en las versiones 7u251, 8u241, 11.0.6, 14, y Oracle Java SE Embedded en la versión 8u241.

Las actualizaciones están formadas por parches que solucionan los distintos fallos de seguridad detectados. Por este motivo, se recomienda aplicar la actualización de seguridad lo antes posible.

Vulnerabilidad en VMWare VCenter Server

El CCN-CERT ha alertado de una vulnerabilidad en VMware vCenter Server (CVE-2020-3952), servicio que permite centralizar la gestión de máquinas virtuales.

La vulnerabilidad está ocasionada por la forma en la que VMware Directory Service (vmdir) implementa los controles de acceso cuando se encuentra incluido como parte insertada o externa de un controlador de servicios de plataforma (PSC). Esto podría permitir a un posible atacante, con acceso de red a una implementación de vmdir, acceder a información confidencial y comprometer los servicios que dependan de vmdir para la autenticación, lo que podría suponer la toma de control del sistema afectado.

El problema afecta a las versiones de VMware vCenter Server 6.7 hasta 7.7u3f, sin incluir.

VMWare ya ha publicado la versión VMware vCenter Server 6.7U3f, que corrige la vulnerabilidad.

Campaña de phishing que suplanta a Correos

Se han detectado varias campañas de correos electrónicos fraudulentos que suplantan a Correos y Telégrafos. El email utiliza como gancho un supuesto paquete retenido. El asunto podría ser algo similar a “Su paquete está esperando la entrega” o “Importante: su paquete está esperando la entrega”.

En el mensaje, se informa al usuario de que para que sea entregado deberá pagar 2,99 euros en un plazo inferior a 14 días. Además, en algunos casos se alude a la situación excepcional por el COVID-19 como motivo de demora.

En definitiva, el objetivo del correo es redirigir a la víctima a una web falsa que simula ser la de Correos. Una vez en esa página, se solicita el pago de los 2,99 euros y, por tanto, la introducción de datos bancarios y personales.

Correos maliciosos que suplantan al Ministerio de Trabajo

Se ha detectado una campaña de correos fraudulentos que suplantan al Organismo Estatal de Inspección de Trabajo y Seguridad Social (ITSS). En el email, se comunica a la empresa que se está llevando a cabo una investigación por la incapacidad de la compañía para respetar la legislación vigente.

El objetivo del mensaje es que los usuarios accedan a un enlace donde pueden ver la falsa queja presentada. El acceso al link puede llevar asociada la descarga de malware en el equipo.

Como hemos visto en estos días, de nuevo, los ciberdelincuentes aprovechan el estado de alarma para tratar de engañar a los usuarios.

Vulnerabilidades en Firefox

El CCN-CERT ha alertado de dos vulnerabilidades zero-day en el navegador web Firefox. Estas vulnerabilidades (CVE-2020-6819 y CVE-2020-6820), de tipo use after free, permitirían a un atacante ejecutar código de forma remota. Para ello, la víctima tendría que visitar un sitio web creado por el atacante para, posteriormente, ejecutar el código arbitrario.

Están afectadas todas las versiones anteriores a Firefox 74.0.1 (sin incluir) y Firefox ESR 68.6.1 (sin incluir).

Para solucionarlo, Mozilla ha lanzado una serie de actualizaciones de seguridad en sus navegadores Firefox y Firefox ESR para Windows, MacOS y Linux. Es recomendable actualizar a Firefox 74.0.1 y Firefox ESR 68.6.1.

Vulnerabilidad en Zoom

El CCN-CERT ha alertado de una vulnerabilidad en el sistema de videollamadas Zoom.

La aplicación, que se puede utilizar desde ordenadores y dispositivos móviles, tiene una función de chat que permite convertir las rutas UNC de red de Windows en hipervínculos para que otros miembros puedan hacer clic en ellas y, así, compartir archivos de forma remota. Si un usuario intenta acceder a un enlace de ruta UNC, Windows intentará conectarse al sitio remoto utilizando el protocolo SMB. El problema es que, cuando Windows lo lleva a cabo, envía, también, el nombre de inicio de sesión del usuario y su hash de contraseña NTLM. Esto permitiría a un atacante obtener las credenciales del usuario engañando a la víctima si, previamente, haga clic en un hipervínculo dañino.

Está afectado el cliente de Zoom para Windows.

Zoom ha publicado una nueva versión de la aplicación para escritorio de Windows (elimina los problemas de los enlaces UNC) y macOS. Además, ha eliminado la función de seguimiento de atención de los asistentes y la aplicación LinkedIn Sales Navigator.

Se recomienda actualizar al a nueva versión de Zoom. Y, en el caso de Windows, es aconsejable habilitar la Política de Grupo que restringe el envío de credenciales NTML de forma automática a un servidor remoto al hacer clic en un enlace UNC. Pero, hay que tener en cuenta que la aplicación de esta medida podría tener inconvenientes en entornos de empresa mediante ordenadores corporativos o accesos por VPN.

Falsos correos de sextorsión

Se ha lanzado una nueva campaña de correos electrónicos fraudulentos que tratan de extorsionar a los usuarios. Como en otras ocasiones, se amenaza con enviar un vídeo de contenido sexual a todos los contactos de la víctima.

El ciberdelincuente amenaza con hacerlo si no se realiza el pago de una determinada cantidad en bitcoins.

Si has recibido un correo similar a este, elimínalo. Es una estafa. Nadie ha accedido a tu equipo y no tienen tus contactos, ni contraseñas. Por supuesto, tampoco existe el vídeo. Pero, si has accedido al chantaje, denúncialo ante las fuerzas y cuerpos de seguridad del Estado. Para ello, es importante que recopiles todas las evidencias.

Páginas fraudulentas de material sanitario

Desde que comenzó la crisis sanitaria en la que estamos inmersos, se han identificado multitud de webs fraudulentas que intentan engañar a los usuarios. En este caso, lo hacen con la venta de mascarillas, pero también con otros productos sanitarios (gel hidroalcohólico, productos desinfectantes, etc.).

En muchos casos, el usuario no llega a recibir el pedido. En otros, el material no se corresponde con lo que habían comprado (especificaciones de la web o cantidad comprada).

Si has sido víctima de algún fraude de estas características, debes denunciarlo ante las fuerzas y cuerpos de seguridad del Estado para que se tomen las medidas necesarias. Para presentar la denuncia, guarda todas las evidencias que demuestren los hechos.

Sanytol no está ofreciendo muestras por correo electrónico

Se ha detectado una campaña de correos electrónicos fraudulentos, que utilizan la imagen de la marca Sanytol. En el mensaje se ofrecen muestras gratuitas de sus toallitas desinfectantes. El objetivo es que el usuario registre sus datos personales para múltiples fines comerciales, sin que sea consciente de ello.

Si has recibido un correo de estas características, bórralo. Pero, si has facilitado tus datos, revisa qué información tuya circula por Internet para detectar si tus datos se están utilizando de forma fraudulenta.

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather

Comments

Comentarios desactivados