Lima, 13 de setiembre de 2021
12
Transcript of Lima, 13 de setiembre de 2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, en el marco de la
Seguridad Digital del Estado Peruano.
El objetivo de esta alerta es informar a los responsables de la seguridad digital de las entidades públicas y las
empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que pudieran afectar
la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2021.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas.
Lima, 13 de setiembre de 2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Contenido Vulnerabilidad de día cero de Windows MSHTML ........................................................................................ 3
Actualización en productos Microsoft ........................................................................................................... 5
Vulnerabilidad en Nitro Pro PDF.................................................................................................................... 7
Phishing, suplantado la identidad de la compañía multinacional Google. ................................................... 8
Avisos e información de seguridad digital ...................................................................................................10
Índice alfabético ..........................................................................................................................................11
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 235
Fecha: 13-09-2021
Página: 3 de 11
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad de día cero de Windows MSHTML
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
El 11 de setiembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una vulnerabilidad de día cero de Windows MSHTML. La vulnerabilidad usa controles ActiveX maliciosos para explotar Office 365 y Office 2019 en Windows 10 con la finalidad de descargar e instalar malware en una computadora, que permite al actor de amenaza obtener acceso remoto del dispositivo.
La vulnerabilidad ocurre cuando un usuario abre un documento Office, que está etiquetado con una " Marca de la Web " (MoTW), lo que significa que se originó en internet. Si esta etiqueta existe, Microsoft abrirá el documento en modo de solo lectura, bloqueando el exploit. Si el usuario ignora esta advertencia y hace clic en el botón 'Habilitar edición', el exploit abrirá una URL usando el protocolo 'mhtml' a un archivo 'side.html' alojado en un sitio remoto, que se carga como una plantilla de Word.
A medida que las URL 'mhtml' se registran en internet Explorer, el navegador se iniciará para cargar el HTML y su código JavaScript ofuscado explotará la vulnerabilidad CVE-2021-40444 creando un control ActiveX malicioso. Este control descarga un archivo minister.cab de un sitio remoto, extraerá un archivo championship.inf (en realidad, una DLL) y lo ejecutará como un archivo 'CPL' del Panel de control.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
El identificador asignado a esta vulnerabilidad de ejecución remota de código MSHTML de Internet Explorer es CVE-2021-40444, fue revelada por Microsoft, que aún no ha sido parcheada.
Existen numerosas formas de que un documento no reciba la bandera MotW, lo que niega la defensa.
"Si el documento está en un contenedor que no es compatible con MotW, Por ejemplo, si 7Zip abre un archivo que proviene de internet, el contenido extraído no tendrá ninguna indicación de que provienen de internet. Por lo tanto, no hay MotW, no hay vista protegida”.
"De manera similar, si el documento está en un contenedor como un archivo ISO, un usuario de Windows puede simplemente hacer doble clic en el ISO para abrirlo. Pero Windows no reconoce el contenido como si procediera de internet. Así que, no hay MotW, sin vista protegida”. Asimismo, en archivos RTF, que no se benefician de la función de seguridad Vista protegida de Office.
Recomendaciones:
• Abrir archivos adjuntos que provengan de una fuente confiable.
• Deshabilitar la instalación de todos los controles Active X en Internet Explorer.
Fuentes de información hxxps://www.bleepingcomputer.com/news/microsoft/windows-mshtml-zero-day-defenses-bypassed-as-new-info-emerges/
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 235
Fecha: 13-09-2021
Página: 5 de 11
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Actualización en productos Microsoft
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Correo electrónico, redes sociales, entre otros.
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
El 11 de setiembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que la empresa Microsoft publicó varias actualizaciones para abordar una serie de vulnerabilidades en los siguientes productos:
• Windows 10 para sistemas de 32 bits
• Windows 10 para sistemas basados en x64
• Windows 10, versión 1607 para sistemas de 32 bits
• Windows 10, versión 1607 para sistemas basados en x64
• Windows 10 versión 1809 para sistemas de 32 bits
• Windows 10 versión 1809 para sistemas basados en ARM64
• Windows 10 versión 1809 para sistemas basados en x64
• Windows 10 versión 1909 para sistemas de 32 bits
• Windows 10 versión 1909 para sistemas basados en ARM64
• Windows 10 versión 1909 para sistemas basados en x64
• Windows 10 versión 2004 para sistemas de 32 bits
• Windows 10 versión 2004 para sistemas basados en ARM64
• Windows 10 versión 2004 para sistemas basados en x64
• Windows 10 versión 20H2 para sistemas de 32 bits
• Windows 10 versión 20H2 para sistemas basados en ARM64
• Windows 10 versión 20H2 para sistemas basados en x64
• Windows 10 versión 21H1 para sistemas de 32 bits
• Windows 10 versión 21H1 para sistemas basados en ARM64
• Windows 10 versión 21H1 para sistemas basados en x64
• Windows 7 para sistemas de 32 bits Service Pack 1
• Windows 7 para sistemas basados en x64 Service Pack 1
• Windows 8.1 para sistemas de 32 bits
• Windows 8.1 para sistemas basados en x64
• Windows RT 8.1
• Windows Server 2008 para sistemas de 32 bits Service Pack 2
• Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core)
• Windows Server 2008 para sistemas basados en x64 Service Pack 2
• Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación Server Core)
• Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1
• Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core)
• Windows Server 2012
• Windows Server 2012 (instalación Server Core)
• Windows Server 2012 R2
• Windows Server 2012 R2 (instalación Server Core)
• Windows Server 2016
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
• Windows Server 2016 (instalación Server Core)
• Windows Server 2019 / Windows Server 2019 (instalación Server Core)
• Windows Server 2022
• Windows Server 2022 (instalación Server Core)
• Windows Server, versión 2004 (instalación Server Core)
• Windows Server, versión 20H2 (instalación de Server Core).
La solución propuesta es actualizar los productos afectados, puesto que Microsoft ha publicado una explicación de estas actualizaciones.
Recomendaciones:
• Mantener el conocimiento de las últimas amenazas y zonas vulnerables de la organización.
• Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 235
Fecha: 13-09-2021
Página: 7 de 11
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Vulnerabilidad en Nitro Pro PDF
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intrusión
Descripción
Resumen:
El equipo de Cisco Talos ha descubierto una vulnerabilidad de severidad ALTA de tipo uso después de la liberación basada en pila JSStackFrame en el lector de Nitro Pro PDF. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar código en el contexto de la aplicación.
Detalles:
Nitro Pro PDF es parte de Productivity Suite de Nitro Software. Pro PDF permite a los usuarios crear y modificar archivos PDF y otros documentos digitales. Incluye soporte para varias capacidades a través de bibliotecas de terceros para analizar los PDF.
La vulnerabilidad alta registrada como CVE-2021-21798 existe debido al retorno explotable de la dirección de la variable de la pila en la implementación de JavaScript de Nitro Pro PDF. Un documento especialmente diseñado puede hacer que una variable de pila salga del alcance, lo que hace que la aplicación elimine la referencia a un puntero obsoleto. Esto puede llevar a la ejecución de código en el contexto de la aplicación. Un atacante puede persuadir a un usuario de que abra un documento para activar la vulnerabilidad.
Productos afectados:
• Nitro Pro versión 13.31.0.605;
• Nitro Pro versión 13.33.2.645.
Solución:
Cisco Talos recomienda actualizar e instalar los últimos parches disponibles que corrigen esta vulnerabilidad. Además de aplicar los parches, estas vulnerabilidades también se pueden mitigar si los usuarios deshabilitan el uso de JavaScript en la configuración del software. Como esta vulnerabilidad depende de la ejecución de JavaScript, habilitar esta opción evitará que se active la vulnerabilidad.
Fuentes de información ▪ hxxps://blog.talosintelligence.com/2021/09/nitro-pro-code-execution.html ▪ hxxps://talosintelligence.com/vulnerability_reports/TALOS-2021-1267
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 235
Fecha: 13-09-2021
Página: 8 de 11
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Phishing, suplantado la identidad de la compañía multinacional Google.
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Código malicioso
Descripción
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña phishing, a través de los diferentes navegadores webs, suplantando la identidad de la compañía multinacional de Google, simulando ser el servicio oficial de correo electrónico accounts Google (cuenta de usuario que permite acceder a servicios propiedad de Google), en la cual incita a las víctimas a crear una cuenta o acceder a dicho servicio, con la finalidad de robar los credenciales de inicio de sesión, como dirección de correo electrónico, número de teléfono, contraseña, entre otros.
Proceso de la estafa del Smishing.
1
2
Los ciberdelincuentes
incitan a las víctimas en
crear o acceder al servicio
de correos electrónicos
accounts Google, a fin de
robar información
confidencial.
Al acceder a lo solicitado o
hacer clic en la opción
siguiente pide ingresar la
contraseña de la cuenta
Gmail para ingresar a dicho
servicio.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La URL maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo el siguiente resultado:
• URL Malicioso: hxxps://accountsgoogle.se.ke
• Dominio: accountsgoogle.se.ke
• IP: 66[.]115[.]171[.]67
• Sistema operativo: Windows 7 de 32 bits
• Código De Estado: 200
• El sitio web, fue analizado en la navegación segura de Google, siendo catalogado como no seguro.
• Otros analizadores de código Open Source también catalogaron como sito web Peligroso.
Cómo funciona el Adware.
• Medios de propagación del Adware: WhatsApp, Telegram, redes sociales, entre otros.
• Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio técnico, etc.).
Recomendaciones.
• Verificar la información en los sitios web oficiales.
• Mantener el sistema operativo actualizado.
• No introducir datos confidenciales en sitios web sospechosas o de dudosa procedencia.
Fuentes de información Análisis propio de redes sociales y fuente abierta
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
AVISOS E INFORMACION DE SEGURIDAD DIGITAL
Fecha: 13-09-2021
Página: 10 de 11
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre del reporte Avisos e información de seguridad digital
Descripción
Ciberseguridad: Un tercio de los sistemas de control industrial atacados en el primer semestre de 2021
Kaspersky informó que uno de cada tres sistemas de control industrial (ICS) fue blanco de actividad maliciosa en primer semestre de 2021 siendo el software espía es una amenaza creciente. Del 33,8% de las máquinas ICS afectadas predominan las amenazas basadas en internet (18,2%) seguido de las enviadas a través de medios extraíbles (5,2%).
Fuente: ics-cert-kaspersky - Fecha Publicación: 13/09/2021
Ciberataque: Grupos de ransomware continúan atacando organizaciones médicas conforme aumentan las infecciones por COVID-19
Investigadores de Cisco Talos alertaron de un nuevo grupo de ransomware denominado ‘Vice Society’ que ataca hospitales y filtra información de pacientes, explotan la vulnerabilidad de Windows PrintNightmare. Asimismo, el FBI alertó sobre el ransomware denominado ‘Hive’ que desde hace unas semanas viene atacando hospitales.
Fuente: zdnet - Fecha Publicación: 11/09/2021
Ciberataque: En Sudáfrica el Departamento de Justicia y Desarrollo Constitucional de Sudáfrica es afectado por ransomware
Un ataque de ransomware afectó al Departamento de Justicia y Desarrollo Constitucional de Sudáfrica llegando a afectar varios servicios, incluidos el correo electrónico y los servicios de fianza. El departamento reveló que el ataque fue el 6 de septiembre, y que se notificó a la policía y está trabajando con ellos para restaurar rápidamente las operaciones.
Fuente: notiulti - Fecha Publicación: 12/09/2021
Ciberataque: ransomware ‘BlackMatter’ ataca al gigante de tecnología médica Olympus
La empresa líder en tecnología médica Olympus, fue víctima de un ataque por el grupo de ransomware ‘BlackMatter’ afectando a su red informática de Europa, Oriente Medio y África, actualmente investigan el alcance el incidente. El grupo BlackMatter lanzó sus operaciones en julio, y afirma ser la sucesora de los grupos ‘Darkside’ y ‘REvil’.
Fuente: bleepingcomputer - Fecha Publicación: 13/09/2021
Ciberseguridad: La NCA advierte que la encriptación de Facebook podría impedir la detección de abuso de menores
La Agencia Nacional del Crimen (NCA), alertó que los planes de Facebook de permitir la mensajería encriptada en todas sus plataformas podrían impedir la detección de hasta 20 millones de imágenes de abusos a menores cada año. El despliegue de cifrado de extremo a extremo impediría que se realice “inteligencia incisiva” que permite rescatar a los niños abusados.
Fuente: ciberseguridadlatam - Fecha Publicación: 13/09/2021
Ciberseguridad: El gobierno del Reino Unido lanza una campaña contra la encriptación de Facebook
El gobierno británico se prepara para lanzar un ataque político a gran escala contra Facebook, mientras que la compañía se alista para introducir el cifrado de extremo a extremo en todos sus servicios. Entre los detalles destacan las acusaciones que en Facebook se encuentran pedófilos, terroristas y mafiosos. Y que las fuerzas policiales estarían impedidas de enfrentar la delincuencia.
Fuente: ciberseguridadlatam - Fecha Publicación: 12/09/2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Página: 11 de 11
Índice alfabético
Adware ............................................................................................................................................................................... 9 Código malicioso ................................................................................................................................................................ 8 Correo electrónico ............................................................................................................................................................. 5 Correo electrónico, redes sociales, entre otros ................................................................................................................ 5 Explotación de vulnerabilidades conocidas ............................................................................................................... 3, 5, 7 Intento de intrusión ....................................................................................................................................................... 3, 5 internet .................................................................................................................................................................... 3, 4, 10 malware ............................................................................................................................................................................. 3 phishing ............................................................................................................................................................................. 8 Phishing.............................................................................................................................................................................. 8 ransomware ..................................................................................................................................................................... 10 Red, internet .................................................................................................................................................................. 3, 7 redes sociales ................................................................................................................................................................. 1, 9 Redes sociales .................................................................................................................................................................... 8 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 8 software ................................................................................................................................................................... 6, 7, 10 URL ................................................................................................................................................................................. 3, 9 Vulnerabilidad ................................................................................................................................................................ 3, 7
