Compass — Edición #6
Bypass Office365 MFA
Los investigadores de la empresa estadounidense Cofense Phishing Defense Center descubrieron una nueva campaña de e-mail phishing (e-mail falso) que aprovecha la estructura OAuth2 y el protocolo OpenID Connect (OIDC) y utiliza un link malicioso de SharePoint para inducir a los usuarios a conceder permisos a una aplicación no autorizada. Con esto, es posible realizar un bypass de MFA (Multi-Factor Authentication), es decir, ignorar la autenticación multifactor (MFA) en Office 365. El cebo es un correo electrónico que parece ser un recurso compartido de archivos de SharePoint.
Si el usuario hacía clic en el link, este sería direccionado a la página de inicio de sesión legítima de Microsoft Office 365 (https://login.microsoftonline.com). Pero la URL de acceso era alterada por los atacantes para manipular el proceso de autenticación.
La URL utilizada en el ataque incluye parámetros que muestran cómo el invasor puede engañar a una víctima para que otorgue permisos a una aplicación no autorizada para acceder a su cuenta.
Cada campo resaltado tiene una función. Después de iniciar sesión, se le pide al usuario que confirme por última vez que desea otorgar a la aplicación los permisos solicitados. El parámetro “redirect_url” indica la ubicación adonde las respuestas de autorización son enviadas, incluidos los tokens y los códigos de autorización. En el ataque descrito en la publicación, las respuestas se envían a hxxps: // officehnoc [.] Com / office, un dominio que se hace pasar por una entidad legítima de Office 365. La dirección IP del dominio es 88 [.] 80 [.] 148 [.] 31 geolocalizadas en Sofía, Bulgaria, alojadas por BelCloud.
Esta no es la primera vez que se observa esa táctica. Esta campaña de phishing muestra que los atacantes están buscando nuevas formas de evitar la autenticación multifactor (MFA). Además, otras campañas de phishing también están dirigidas a los procesos de autenticación de aplicaciones de Microsoft. Esto refuerza la importancia de la constante concientización y capacitación de los usuarios, para no caer en cebos de esta naturaleza.
Data Privacy en la gestión de terceros
No es de hoy en día, pero continua siendo una tendencia, la necesidad de evaluar los riesgos de ataques cibernéticos a partir de la infraestructura de los proveedores o de terceros de una empresa, lo cual uno de ellos está relacionado con la privacidad de los datos.
Las organizaciones deben asegurar la existencia de este tema en su proceso de gestión de riesgos de terceros como parte del proceso global de riesgo corporativo.
Google Chrome
Google lanzó la versión 83 del navegador web Chrome, una de las actualizaciones que contiene la mayor cantidad de nuevos recursos hasta la fecha.
Una serie de nuevos recursos con mejoras de seguridad y privacidad son algunas de las novedades, además de otros aspectos tan esperados.
Se han solucionado un total de 38 vulnerabilidades de seguridad, 5 de las cuales son de alta gravedad que, si se explotan, un atacante podría tomar el control del sistema afectado.
El navegador web Google Chrome puede actualizarse yendo a Configuración> Ayuda> Acerca de Google Chrome.
Microsoft Edge
Microsoft lanzó una actualización de seguridad (versión 83.0.478.37) para resolver una vulnerabilidad de elevación de privilegios en el navegador web Edge, cuyo código de seguimiento es CVE-2020–1195. Es decir, un atacante puede explotar esta vulnerabilidad para obtener un mayor acceso a los recursos que normalmente están protegidos.
Un ejemplo de esto sería obtener permiso para deshabilitar el antivirus de la máquina. En esta nueva versión, se ha mejorado el servicio SmartScreen de Microsoft Defender SmartScreenen Edge, que protege contra sitios web maliciosos y descargas de malware y aplicaciones de bajo perfil.
Zero-days no Windows
Investigadores de Zero Day Initiative (ZDI) de Trend Micro, empresa multinacional de ciberseguridad con sede en Tokio, Japón, publicaron informaciones sobre 4 vulnerabilidades sin patch de corrección (zero-day) en Microsoft Windows.
Zero Day Initiative (ZDI) es un programa de recompensas de bugs, fundado en 2005, que incentiva el informe de vulnerabilidades de día cero por parte de investigadores de seguridad, los cuales son recompensados financieramente.
Tres fallas afectan un componente principal del sistema de Windows llamado splwow64.exe, que es un archivo ejecutable (un programa) para Windows, responsable de los servicios de impresión. Como aún no se ha puesto a disposición un patch de corrección por parte de Microsoft, según ZDI, dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación relevante en este momento es restringir la interacción con el servicio.
Es decir, solo los clientes y servidores que tienen una relación procedimental legítima con el servicio deben tener permiso para comunicarse con él.
REFERENCIAS:
NXNSAttack
DNS, del inglés Domain Name System (Sistema de Nombres de Dominios), funciona como un sistema de traducción de direcciones IP a nombres de dominio. Gracias a este servicio, podemos acceder a direcciones en Internet digitando el nombre de un sitio web (por ejemplo: www.morphus.com.br). Una nueva falla en el servicio DNS, descubierta por académicos de la Universidad de Tel Aviv y el Centro Interdisciplinario Herzliya, ambos en Israel, podría permitir ataques de DDoS a gran escala. El ataque de tipo DoS (Denial Of Service, en inglés), también conocido como ataque de negación de servicio, es un intento de causar una sobrecarga en un servidor o computadora común, de modo que los recursos del sistema no estén disponibles para sus propietarios. Tal falla fue denominada NXNSAttack.
Esta es una vulnerabilidad de alto potencial, que no necesita autenticación para explotarla, además de encontrarse en la configuración estándar de los servicios DNS, estos, a su vez, son muy comunes en las empresas. Los proveedores de este tipo de servicio, como Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 y ICANN ya han solucionado este problema.
Sin embargo, se recomienda encarecidamente que los administradores de red que tienen sus propios servidores DNS, que actualicen su software a la última versión o sigan las recomendaciones del fabricante.
Microsoft lanzó una alerta de seguridad para los servidores DNS de Windows.
