🛡 GuardianDigital - 14 junio
Backdoor WARMCOOKIE; Ransomware PLAY; Vulnerabilidad en: PHP, MacOS y Avast; Ataque al Consejo Escolar de Toronto; Fortinet Adquiere Lacework; Adobe aclara cambios en los términos de servicio sobre IA
🦠Amenazas
Fallas de seguridad en el mercado de Visual Studio Code
Investigadores israelíes descubrieron graves vulnerabilidades en el mercado de Visual Studio Code (VSCode) al infiltrar código malicioso en una popular extensión de tema, afectando a más de 100 organizaciones. La extensión falsa recopilaba información del sistema y se saltaba las herramientas de detección de endpoints (EDR). Los investigadores encontraron más de 1,283 extensiones maliciosas y reportaron las vulnerabilidades a Microsoft, aunque muchas de estas aún están disponibles para descargar. (CySecurity News)
Nueva campaña de phishing despliega WARMCOOKIE
Investigadores de Elastic Security Labs revelaron una campaña de phishing que utiliza señuelos relacionados con empleos para desplegar un backdoor de Windows llamado WARMCOOKIE. Este backdoor permite a los atacantes recopilar información, tomar capturas de pantalla y desplegar cargas útiles adicionales. La campaña, activa desde abril de 2024, utiliza infraestructuras comprometidas para alojar URLs de phishing y redirigir a las víctimas a páginas de destino específicas. (The Hacker News)
Grupo de ransomware PLAY explota vulnerabilidad en Citrix Bleed
El grupo de ransomware PLAY, conocido por su método de doble extorsión, ha explotado la vulnerabilidad Citrix Bleed (CVE-2023-4966) para obtener acceso a una firma de servicios profesionales. Utilizando esta vulnerabilidad, los atacantes realizaron movimientos laterales, desplegaron herramientas y exfiltraron datos antes de ejecutar el ransomware. Kroll aconseja medidas como la autenticación multifactor y la priorización de parches para prevenir estos ataques. (Kroll)
🚨Vulnerabilidades
Ejecución remota de código crítica en PHP
Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en PHP que afecta implementaciones en Windows. Esta vulnerabilidad, identificada como CVE-2024-4577, permite a los atacantes inyectar argumentos de línea de comandos a través de solicitudes HTTP, explotando el comportamiento de procesamiento Unicode en Windows. Los detalles técnicos y ejemplos de payloads observados en ataques reales están disponibles en el informe completo. (GreyNoise)
Vulnerabilidad de control de acceso en macOS
Se ha identificado una vulnerabilidad crítica en macOS hasta la versión 14.3 que permite a las aplicaciones acceder a datos sensibles del usuario sin autorización. Esta vulnerabilidad, CVE-2024-27792, fue solucionada en la versión 14.4 al añadir un aviso adicional para el consentimiento del usuario. La explotación es fácil y requiere acceso local. (VulDB)
Vulnerabilidad en la función de reparación de Avast Antivirus
Avast Antivirus, hasta la versión 24.1, contiene una vulnerabilidad crítica en su función de reparación. Esta vulnerabilidad, CVE-2024-5102, permite a un usuario con bajos privilegios elevar sus privilegios explotando una condición de carrera, creando un shell privilegiado. La explotación es difícil y requiere acceso local. (VulDB)
Boletín de actualizaciones de seguridad de Pixel de junio de 2024
El boletín de actualizaciones de seguridad de junio de 2024 para dispositivos Pixel aborda varias vulnerabilidades críticas, incluyendo CVE-2024-32896 que puede estar bajo explotación limitada y dirigida. Se solicita a los usuarios a aceptar las actualizaciones para proteger sus dispositivos. (Android)
🧨Brechas de Seguridad
Ataque de ransomware en el Consejo Escolar de Toronto
El Consejo Escolar del Distrito de Toronto, el más grande de Canadá, está investigando un ataque de ransomware ocurrido el 12 de junio de 2024. La intrusión comprometió el entorno de pruebas tecnológicas del consejo, aunque no afectó los sistemas operacionales. La policía de Toronto ha sido notificada y se han tomado medidas inmediatas para proteger los datos y salvaguardar las operaciones críticas. (Bloomberg)
💡Tendencias de Seguridad
Fortinet adquiere Lacework
Fortinet anunció el 11 de junio de 2024 la adquisición de Lacework, una firma de seguridad en la nube, para mejorar su oferta de servicios de acceso seguro (SASE). Lacework, que proporciona protección nativa en la nube, integra servicios de plataforma de protección de aplicaciones nativas en la nube para asegurar los flujos de trabajo de los clientes. Esta adquisición fortalecerá las capacidades de firewall y protección de aplicaciones web de Fortinet. El acuerdo se espera completar en la segunda mitad del año. (Dark Reading)
NIST publica guía de ciberseguridad para el sector del agua
El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó el 12 de junio de 2024 una guía de referencia de ciberseguridad para el sector del agua y aguas residuales, buscando comentarios públicos. Esta guía aborda cómo autorizar de manera segura el acceso remoto a sistemas de control de agua y recomienda prácticas como la autenticación multifactor y la eliminación de cuentas y contraseñas predeterminadas. El período de comentarios está abierto hasta el 15 de julio de 2024. (BankInfoSecurity)
🤖Inteligencia Artificial
El Papa Francisco aborda el uso de la IA en la cumbre del G7
Tras la viralización de un deepfake del Papa Francisco en una chaqueta blanca, el pontífice asistirá por primera vez a la cumbre del G7 en Puglia, Italia, para discutir sobre la inteligencia artificial. La discusión se centrará en la regulación de la IA para evitar la desinformación y proteger la sociedad. Expertos destacan la importancia de balancear la libertad de información con la regulación de deepfakes. (Scripps News)
Adobe aclara cambios en los términos de servicio respecto a la IA
Adobe, tras recibir críticas por los cambios en sus términos de servicio, aclaró el 12 de junio de 2024 que no utiliza el contenido de los clientes para entrenar su IA. Los nuevos términos, que se implementarán el 18 de junio, especifican que Adobe Firefly solo se entrena con contenido con licencia y de dominio público. Adobe enfatiza que los usuarios son dueños de su contenido y pueden optar por no participar en programas de mejora de productos. (Malwarebytes)