Vulnerabilidad "PMFault" utiliza la interfaz PMBus para aumentar el voltaje suministrado al procesador a valores que causen daños al chip

Investigadores de la Universidad de Birmingham, hanidentificadouna vulnerabilidad de severidad CRÍTICAde tipo asignación incorrectade permisos para recursos críticosen algunas placas basede servidor que puede desactivar físicamente la CPU sin posibilidad de recuperación posterior. Los investigadores presentaron el concepto de la vulnerabilidaddenominada "PMFault" duranteel evento de seguridad cibernética "Black Hat Asia 2023". La explotación exitosade estavulnerabilidadpodría permitir aun atacanteremoto dañar servidoresy obtener acceso privilegiadoal sistema operativo.
vulnerabilidad-1024x439 image

Los investigadores indicaron que la vulnerabilidad "PMFault", registrada como CVE-2022-43309,puede usarse paradañar servidores a los que un atacante no tiene acceso físico, pero tiene acceso privilegiado al sistema operativo, obtenido, por ejemplo, como resultado de explotar una vulnerabilidad sin parchear o interceptar credencialesde administrador.

La esencia del método propuesto es utilizar la interfaz PMBus, que utiliza el protocolo I2C, para aumentar el voltaje suministrado al procesador a valores que causen daños al chip. La interfaz PMBus generalmente se implementa en el VRM (Módulo regulador de voltaje), al que se puede acceder mediante la manipulación del controlador BMC.

Para atacar placas que soportan PMBus, además de los derechos de administrador en el sistema operativo, es necesario teneracceso programático al BMC (Baseboard Management Controller), por ejemplo, a través de la interfaz IPMI KCS (Keyboard Controller Style), vía Ethernet, o mediante el flasheo del BMC del sistema actual.

El método de cambio de voltaje a través de PMBus también se puede utilizar para realizar un ataque Plundervolt, que permite, al bajar el voltaje a valores mínimos, dañar el contenido de las celdas de datos en la CPU utilizada en los cálculos en enclaves Intel SGX aislados y generar errores en algoritmos inicialmente correctos. Por ejemplo, si cambia el valor utilizado en la multiplicación durante el proceso de cifrado, el resultado será un texto cifrado no válido. Al poder llamar a un controlador en el SGX para encriptar sus datos, un atacante puede, al causar fallas, acumular estadísticas sobre el cambio en el texto cifrado de salida y recuperar el valor de la clave almacenadaen el enclave SGX.

Los investigadores indicaron que se ha confirmado un problema que permite un ataque sin conocimiento de los parámetrosde autenticación BMC en placas base Supermicro X11SSL-CF HW Rev1.01con soporte IPMI y ASRock, pero también se ven afectadas otras placas de servidor en las que se puede acceder a PMBus.

Continúa leyendo aquí

Fuente: Centro Nacional de Seguridad Digital

WINTAPIX: Un nuevo controlador de kernel dirigido a países de Oriente Medio

Se analizó la muestra con el hash SHA-256 de 8578bff36e3b02cc71495b647db88c67c3c5ca710b5a2bd539148550595d0330, también conocido como Wintapix.sys. Como sugiere la extensión de archivo, este es un controlador del kernel de Windows.
01-wintapix-attributes image

Wintapix.sys está parcialmente protegido por VMProtect, una herramienta de protección de software que utiliza la virtualización para proteger las aplicaciones de software de la ingeniería inversa y el uso no autorizado. Transforma el archivo ejecutable original en un código virtualizado ejecutado en un entorno protegido, lo que dificulta su análisis y manipulación.


Sin embargo, no todas las funciones del controlador están protegidas, incluido el código que crea la siguiente etapa del ataque, que es el foco del análisis.

Wintapix.sys es esencialmente un cargador. Por lo tanto, su propósito principal es producir y ejecutar la siguiente etapa del ataque. Esto se hace usando un shellcode. Esto frustra el propósito de proteger la mayor parte del binario con VMProtect ya que la mayoría de los motores antivirus pueden identificar el shellcode incrustado.


Para inyectar el shellcode, el controlador primero debe encontrar un proceso de destino adecuado. Los requisitos para el proceso objetivo son los siguientes:


  • El proceso se ejecuta con una cuenta del sistema local.
  • El proceso es de 32 bits.
  • El nombre del proceso no está en la lista de bloqueo, que es 'wininit.exe, csrss.exe, smss.exe, services.exe, winlogon.exe y lsass.exe.
03-shellcode-hardcoded-wintapix image

Fortinet proporcionó un análisis detallado de un controlador llamado WinTapix, que se identificó a principios de febrero de este año. El controlador utiliza una carga útil de código abierto Donut para inyectar su código de shell. Parece estar apuntando principalmente a Arabia Saudita. El proceso de atribución de este conductor aún está en curso, pero en base a las víctimas, evaluamos con poca confianza que este es un trabajo de un actor de amenaza iraní.

Continúa leyendo aquí

Fuente: Fortinet

Así blanquean los ciberdelincuentes las criptomonedas

Mezcladores de criptomonedas, exchanges anidados, retirada de fondos y otros métodos para el blanqueo de criptomonedas utilizados por los operadores de ransomware.
crypto-laundering-and-ransomware-featured image

Lo más simple que pueden hacer los ciberdelincuentes con las criptomonedas sucias es distribuirlas en monederos falsos. En el caso de operaciones a gran escala, como el hackeo a BitFinex o el robo a Sky Mavis, podríamos estar hablando de miles de monederos falsos.

La investigación descubrió que existe una demanda significativa de deepfakes, que supera con creces la oferta: se necesitan personas que acepten el encargo de vídeos falsos. Esto resulta bastante preocupante, ya que, como todos sabemos, la demanda genera oferta; por lo tanto, podemos asumir que en el futuro cercano veamos un aumento significativo en los incidentes relacionados con deepfakes de alta calidad.

La gran mayoría de las transacciones en los exchanges de criptomonedas se realizan entre cuentas de clientes internos y se registran con detalle exclusivamente en sus propias bases de datos. Por lo que en la cadena de bloques solo terminan los resultados resumidos de un montón de transacciones internas de este tipo.


Por un lado, esto facilita la actividad ilegal y, por otro, añade una serie de riesgos considerables: al transferir fondos a un exchange de criptomonedas importante, los ciberdelincuentes ya no tienen control total sobre ellos. Y, dado que estas plataformas suelen cooperar con los reguladores y las fuerzas del orden, las posibilidades de perder el botín son muy probables. Además, los exchanges de buena reputación siempre tienen un procedimiento de verificación del tipo Conozca a su cliente (KYC por sus siglas en inglés), que solo se suma a los riesgos y dificultades asociados con el lavado de fondos.

Si das por hecho que no todos los extorsionistas saben cubrir adecuadamente sus huellas financieras, tenemos malas noticias: el cibercrimen moderno está altamente especializado. Además, cada vez son más los ciberdelincuentes que utilizan servicios clandestinos dedicados exclusivamente al blanqueo de criptomonedas sucias. Estos servicios proporcionan lo que se puede llamar como blanqueo como servicio: variantes de las estrategias anteriores para ocultar el movimiento de las criptomonedas, liberando así a sus clientes de esta tarea.

los ciberdelincuentes disponen de una amplia gama de medios para blanquear las criptomonedas sucias y no están limitados al uso exclusivo de uno de los métodos mencionados anteriormente. Por el contrario, la mayoría de los ciberdelincuentes emplean operaciones de blanqueo sofisticadas y de múltiples etapas con mezcladores, monederos intermediarios, exchanges y diferentes métodos de retiro de efectivo, todos al mismo tiempo.

Continúa leyendo aquí

Fuente: Kaspersky

App para grabar la pantalla en Google Play se convierte en maliciosa a través de una actualización

Investigadores de ESET descubren AhRat, un nuevo troyano de acceso remoto (RAT) para Android basado en el código del malware AhMyth que permite exfiltrar archivos y grabar audio.
figure1-768x1621 image

Investigadores de ESET descubrieron una aplicación troyanizada para Android que había estado disponible en la tienda Google Play con más de 50,000 instalaciones. La aplicación, llamada iRecorder – Screen Recorder, se cargó inicialmente en la tienda sin funcionalidad maliciosa el 19 de septiembre de 2021. Sin embargo, parece que la funcionalidad maliciosa se implementó más tarde, muy probablemente en la versión 1.3.8, que estuvo disponible en agosto de 2022.

Además de proporcionar una funcionalidad de grabación de pantalla legítima, la app maliciosa iRecorder puede grabar el audio circundante desde el micrófono del dispositivo y cargarlo en el servidor de comando y control (C&C) del atacante. También puede exfiltrar desde el dispositivo archivos con extensiones que representan páginas web guardadas, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos. El comportamiento malicioso específico de la aplicación (exfiltración de grabaciones de micrófonos y robo de archivos con extensiones específicas) tiende a sugerir que es parte de una campaña de espionaje. Sin embargo, no pudimos atribuir la aplicación a ningún grupo malicioso en particular.

La aplicación iRecorder se llegó a la tienda Google Play el 19 de septiembre de 2021 ofreciendo la función de grabación de pantalla, pero no contenía características maliciosas. Sin embargo, alrededor de agosto de 2022 detectamos que el desarrollador de la aplicación incluyó una funcionalidad maliciosa en la versión 1.3.8. Como se observa en la, para marzo de 2023, la aplicación había acumulado más de 50 000 instalaciones.


La investigación de AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad. Si bien es posible que el desarrollador detrás de esta aplicación haya tenido la intención de crear una base de usuarios antes de comprometer sus dispositivos Android mediante una actualización o que haya sido un actor malicioso el que introdujo este cambio en la aplicación; hasta ahora, no tenemos evidencia para confirmar ninguna de estas hipótesis.

Continúa leyendo aquí

Fuente: WeLiveSecurity by ESET

Caos mercenario: un análisis técnico del spyware PREDATOR de Intellexa

El uso comercial de spyware está en aumento, y los actores aprovechan estas sofisticadas herramientas para llevar a cabo operaciones de vigilancia contra un número creciente de objetivos. Cisco Talos tiene nuevos detalles de un producto de spyware comercial vendido por la firma de spyware Intellexa (anteriormente conocida como Cytrox).
cytrox-header-1 image

El uso de spyware comercial por parte de los actores de amenazas ha ido en aumento, y el número de empresas que suministran estos productos y servicios parece seguir creciendo. La mayoría del spyware comercial está destinado al uso gubernamental, con empresas como NSO Group anunciando sus productos como tecnología que ayuda a prevenir el terrorismo, investigar el crimen y mejorar la seguridad nacional. Sin embargo, en los últimos años, las cuestiones éticas y legales han girado en torno al uso de estas herramientas de vigilancia, que se han conocido en la comunidad de seguridad como "spyware mercenario". Como respuesta a la rápida proliferación y la creciente preocupación por el uso indebido de estos productos, el 27 de marzo de 2023, la administración Biden-Harris firmó una Orden Ejecutiva que prohíbe al gobierno de los Estados Unidos usar spyware comercial que plantee riesgos para la seguridad nacional o que haya sido mal utilizado por actores extranjeros para permitir abusos contra los derechos humanos.

Si bien ALIEN y PREDATOR se pueden usar contra dispositivos móviles Android e iOS, las muestras que analizamos fueron diseñadas específicamente para Android. Para la escalada de privilegios, el spyware está configurado para usar un método llamado QUAILEGGS, o, si QUAILEGGS no está presente, usará un método diferente llamado "kmem". Las muestras que analizamos estaban ejecutando QUAILEGGS.


No hay forma de saber con certeza qué vulnerabilidad explota QUAILEGGS sin tener acceso al código en sí. Sin embargo, decidimos compartir nuestra evaluación con la esperanza de que otros investigadores pudieran agregarla.
data-src-image-9689921c-d6e9-4f27-9e8c-b3b9c94cb5f3 image

El implante de spyware ejecuta una variedad de procesos para eludir las restricciones inherentes del modelo de seguridad de Android. El spyware toma el "__progname" del proceso que se está ejecutando actualmente y luego lo usa para decidir qué conjunto de funciones llamar. Los procesos buscados son: zygote64, system_server, installd, audioserver (alien_voip) y una segunda versión de audioserver (alien_recorder).


Las cadenas de llamadas zygote64 y system_server son las que hacen más trabajo, mientras que la cadena de llamadas instalada configura las estructuras de archivos para las otras partes del spyware. Cada una de estas cadenas de llamadas establece una estructura de proceso utilizada para interceptar comandos ioctl específicos, donde el spyware utiliza la funcionalidad de ese proceso para abusar del contexto SELinux para otorgar una funcionalidad diferente a los otros procesos.

Continúa leyendo aquí

Fuente: Talos by Cisco

Vulnerabilidad en MELSEC WS Series de Mitsubishi Electric

Seha reportado unavulnerabilidadde severidad ALTAdetipoomisión de autenticación enMELSEC WS Series de Mitsubishi Electric.

La explotación exitosa de esta vulnerabilidad podría facilitar a un atacante remoto no autenticado iniciar sesión ilegalmente en el módulo afectado conectándose a él a través de la función Telnet y realizar acciones indebidas, manipular la configuración del módulo, o reescribir la firma.

La registrada con  con  el  código CVE-2023-1618 de severidad alta de tipo omisión  de autenticación, indica que los productos afectados por la vulnerabilidad cuentan con la función Telnet oculta, habilitada por defecto. La explotación de esta vulnerabilidad podría permitir a un atacante remoto, no autenticado, iniciar sesiónen el módulo afectado conectándose a él a través de Telnet. Como resultado, el atacante puede reiniciar el módulo y, si se cumplen ciertas condiciones, puede revelar o manipular la configuración del módulo, reescribir la firma o el firmware.

Los productos afectados son todas las versiones de MELSEC WS Series WS0-GETH00200.


Mitsubishi Electric recomienda cambiar la contraseña de Telnet por una más robusta; asimismo, como medida alternativa de mitigación, se recomienda:


  • Utilizar un cortafuego, una red privada virtual (VPN), etc. para evitar el acceso no autorizado cuando se requiera acceso a Internet
  • Usar los equipos dentro de una LAN y bloquee el acceso desde redes y hosts no confiables a través de firewalls.


Restringir el acceso físico para evitar que los dispositivos no confiables se conecten a la LAN.

Continúa leyendo aquí

Fuente: Centro Nacional de Seguridad Digital
Contáctanos

Central: +511 2259900 anexo 110

Equipo de Marketing: igrandez@bafing.com o al +51 969454618

Command Center y SOC: helpdesk@bafing.com o al +51 971500877



www.bafing.com

Facebook

Twitter

LinkedIn
LinkedIn Síguenos

Acerca de Bafing

Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.

El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
Bafing S.A.C. | Av. Del Parque Sur 560, Lima, 15036 Perú
Cancelar suscripción pbisso@bafing.com
Aviso de datos de Constant Contact
Enviado por bdigital@bafing.com alimentado por
Mensaje de correo electrónico confiable de ConstantContact
Try email marketing for free today!