Boletín 26 de Agosto

  1. Análisis de un maldoc con código QR

  2. Directiva NIS2 y Reglamento DORA

  3. Diferentes vulnerabilidades críticas en productos PaloAlto, WordPress, Apple, Google o Moddle

Análisis de un maldoc con código QR

La creatividad de los atacantes para desarrollar medidas evasivas de los sistemas de seguridad es casi ilimitada. En este caso traemos el análisis de un documento adjunto en un correo electrónico. El propio correo es analizado estáticamente en VirusTotal y obtiene 0 positivos de 66 antivirus [enlace del análisis en VT].

Observando el fichero adjunto, se trata de un documento de Word (Bid.docx), podemos ver en el análisis estático en VirusTotal, como obtiene 0 positivos en 69 antivirus [enlace del análisis en VT].

Por ahora el atacante ha logrado pasar todos los controles de seguridad, en este caso el delivery del ataque se encuentra en el código QR que vienen insertado en el documento Word. Al escanearlo, nos redirige al domino dol-stepcheck[.]com y de aquí a otro dominio rfp-dolgov[.]com. Es aquí donde ya vemos lo que pretenden, con una suplantación de una web oficial del gobierno estadounidense.

Con este análisis lo que queremos visualizar es cómo aunque todo aparentemente sea seguro, es necesario ser precisos con los detalles y analizar todo en profundidad.

Directiva NIS2 y Reglamento DORA

La Directiva NIS2, también conocida como Directiva (UE) 2022/2555, establece la legislación en materia de ciberseguridad a escala de la Unión Europea y proporciona las medidas legales necesarias para impulsar el nivel general de ciberseguridad en la UE. Se centra en la regulación de redes y sistemas de información.

El objetivo principal de la Directiva NIS2 es brindar protección frente a las ciber amenazas a los principales sectores económicos de la Unión Europea. Está destinada a ofrecer una cobertura completa de aquellos sectores y servicios vitales en la realización de actividades sociales y económicas en el mercado interior de cada Estado miembro de la UE.

El reglamento de ciberseguridad DORA se encarga de abordar de manera exhaustiva la gestión del riesgo de las Tecnologías de la Información y de la Comunicación (TIC) dentro del sector de los servicios financieros.

El CCN-CERT habilita un servicio para atender dudas relacionadas con la entrada en vigor de ambas normativas. Enlace.

Diferentes vulnerabilidades críticas en productos PaloAlto, Apple o Moddle

Durante la semana se han publicado diferentes vulnerabilidades críticas que afectan a:

  • Palo Alto Networks GlobalProtect: Una vulnerabilidad de escalada de privilegios (PE) en la aplicación Palo Alto Networks GlobalProtect en dispositivos Windows permite a un usuario local ejecutar programas con privilegios elevados. CVE-2024-5915. Enlace.

  • Vulnerabilidad crí­tica plugin GiveWP de WordPress: Con identificador CVE-2024-5932 y score CVSS 10, permitiría a un atacante una inyección de código malicioso. Enlace.

  • Múltiples vulnerabilidades en Moodle. CVE-2024-43425: vulnerabilidad de ejecución remota de código a través de tipos de preguntas calculadas; CVE-2024-43428: vulnerabilidad de envenenamiento de caché; CVE-2024-43440: vulnerabilidad que podrí­a provocar un riesgo de inclusión de archivos locales. Enlace.

  • Google Chrome corrige su novena ZeroDay del año: La CVE-2024-7971 es causada por una debilidad de confusión de tipos en el motor JavaScript V8 de Chrome. Enlace.

  • Múltiples vulnerabilidades 0day en productos de Apple: Apple ha informado sobre varias vulnerabilidades, alguna de tipo 0day, que podrían determinar la distribución de la memoria del núcleo, provocar un apagado inesperado del sistema, un bloqueo inesperado del proceso, un ataque de secuencias de comandos entre sitios o acceder a las pestañas de navegación privada sin autenticación, entre otras acciones. Enlace.

SOC 24/7

Nuestro servicio de ciberSOC desarrolla una monitorización de seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente de seguridad.

Auditoría de Seguridad

Nuestro equipo de RedTeam hace una evaluación de la seguridad de su organización, simulando un ciberataque externo, poniendo así a prueba a toda la organización.