Avisos de seguridad

  1. Fecha de publicación: 19/11/2020

    Importancia: Crítica

    Recursos afectados:

    Versiones de Drupal anteriores a:

    • Drupal 7.74.
    • Drupal 8.8.11.
    • Drupal 8.9.19
    • Drupal 9.0.8.

    Descripción:

    Se ha detectado una nueva vulnerabilidad crítica que afecta al núcleo de Drupal en cuanto a la gestión de nombres de ficheros cuando estos son subidos al servidor.

    Solución:

    Se recomienda actualizar Drupal a la última versión disponible, para ello puedes acceder a los siguientes enlaces:

    Si utilizas una versión de Drupal 8, anterior a la 8.8, debes actualizar a la última versión disponible, ya que las anteriores ya no cuentan con soporte.

    Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 017.

    Detalle:

    Drupal

    Esta actualización corrige una vulnerabilidad considerada crítica, que podría permitir a un ciberdelincuente ejecutar código remoto en el servidor, aprovechando una interpretación incorrecta de las extensiones de archivo cuando se suben ficheros al gestor de contenidos.

    Drupal recomienda además, comprobar todos los archivos subidos con anterioridad en busca de extensiones de archivos maliciosos, haciendo especial hincapié en aquellos ficheros que incluyen más de una extensión como “nombrearchivo.php.txt” sin un (_) en la extensión y poniendo especial atención en las siguientes terminaciones cuando van seguidas de una o más extensiones de archivo:

    • phar,
    • php,
    • pl,
    • py,
    • cgi,
    • asp,
    • js,
    • html,
    • htm,
    • phtml.

    Esta lista no es excluyente, por lo que se recomienda prestar especial atención a otras extensiones no nombradas que podrían encontrarse igualmente afectadas.

    Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.

    Línea de ayuda en ciberseguridad 017

    Etiquetas: Actualización, CMS, Vulnerabilidad

  2. Fecha de publicación: 17/11/2020

    Importancia: Alta

    Recursos afectados:

    • Prestashop 1.7.6.8 y versiones anteriores.

    Descripción:

    Prestashop ha publicado una actualización de seguridad que corrige una vulnerabilidad de criticidad alta, por lo que se recomienda actualizar a la última versión disponible cuanto antes.

    Solución:

    Se recomienda actualizar Prestashop a la última versión, en este caso, 1.7.6.9 a través de la página de administración de la tienda.

    Instrucciones de actualización

    Se recomienda tener instalado el módulo de actualizaciones 1-Click Upgrade, que nos permitirá actualizar de forma sencilla la tienda a la última versión disponible de Prestashop.

    A través del panel de administración de la tienda, y una vez hemos accedido con nuestras credenciales, nos dirigiremos dentro del menú a la opción «Improve > Modules > Modules Manager > 1-Click Upgrade > Configure».

    En caso de que no lo tuvieras instalado, accede al catálogo de módulos e instálalo. Para ello, dirígete a «Improve > Modules > Module Catalog > 1-Click Upgrade > Install».

    Aviso 17/11/2020 - Instalación módulo actualizaciones Prestashop

    Para comprobar si hay una nueva actualización disponible, nos dirigiremos al apartado «Start your upgrade» y en este apartado, se mostrará la última versión disponible del programa.

    Aviso 17/11/2020 - Comprobación nueva actualización disponible

    Antes de realizar la actualización, el programa nos notificará una serie de requisitos previos que deben tenerse en cuenta a la hora de actualizar.

    Aviso 17/11/2020 - Listado de comprobaciones antes de actualización

    Aviso 17/11/2020 - Requisitos correctos para actualización

    A continuación, haremos clic en el botón «Upgrade Prestashop Now!» y comenzará el proceso de actualización.

    Aviso 17/11/2020 - Log del proceso de actualización

    Una vez que ha finalizado el proceso, se visualizará la siguiente pantalla junto con unas instrucciones a realizar.

    Aviso 17/11/2020 - Actualización finalizada correctamente

    Tras actualizar la página en el navegador, deberemos acceder al panel de administración de nuevo, eliminar la caché de la página y tras comprobar que los cambios se han efectuado correctamente, reactivaremos la tienda para que vuelva a estar operativa. Si se accede de nuevo a la herramienta 1-Click Upgrade, observaremos el siguiente mensaje:

    Aviso 17/11/2020 - Última versión instalada Prestashop

    También se puede realizar la actualización manual de la tienda, siguiendo las instrucciones que encontrarás en la página web de Prestashop.

    Es importanteproteger el gestor de contenidos para evitar que sea vulnerable. Sigue estechecklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

    Detalle:

    Aviso 17/11/2020 - Logotipo Prestashop

    La versión 1.7.6.9 soluciona un fallo de seguridad, de criticidad alta, que permitiría a un ciberdelincuente visualizar todos los pedidos realizados en el sitio web, sin estar registrado dentro de la tienda, debido a un fallo que permite crear de nuevo un carro de la compra a partir de un pedido ya realizado.

    Línea de ayuda en ciberseguridad 017

    Etiquetas: Actualización, CMS, Vulnerabilidad

  3. Fecha de publicación: 13/11/2020

    Importancia: Alta

    Recursos afectados:

    Cualquier empleado o autónomo que haya recibido un correo electrónico con las características descritas en este aviso.

    Descripción:

    Desde INCIBE se advierte de la campaña de envío de correos electrónicos fraudulentos que tratan de suplantar a la Dirección General de Tráfico (DGT) para difundir malware. Dada la duración de esta campaña, que ha sido denunciada en ocasiones anteriores, se pide a los usuarios que estén alerta ante este tipo de fraude.

    En la campaña detectada, el correo tiene como asunto: «Multa no pagada - bloque de vehiculos - [ id (números aleatorios) ]». Los ciberdelincuentes, haciendo uso de técnicas de ingeniería social, usan como señuelo una supuesta multa emitida por la Dirección General de Tráfico (DGT) para forzar a la víctima a la descarga y posterior ejecución del archivo malicioso. No se descarta que circulen otros correos con asuntos diferentes al detectado.

    Para dar credibilidad al correo, suplantan la dirección del remitente haciendo que parezca que proviene de una entidad legítima cuando en realidad no lo es. Esta técnica se conoce como email spoofing.

    El correo contiene un enlace que simula ser de la sede electrónica de la DGT y, una vez que el usuario ha clicado en el mismo, este es redirigido a una página web maliciosa donde se descargará el malware. Los nombres de los archivos maliciosos son:

    • MULTA_000000_XXX.zip

    Cada vez que se descarga el archivo tiene un nombre aleatorio, aunque sigue el mismo patrón, “MULTA_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias”.

    Solución:

    Es importante que ante la mínima duda, analices detenidamente el correo, tal y como explicamos en el artículo:

    Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

    Para evitar ser víctima de este tipo de engaños, te recomendamos seguir estos consejos:

    • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
    • No contestes en ningún caso a estos correos.
    • Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
    • Desconfía de los enlaces acortados.
    • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
    • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
    • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

    Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente y verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de verte afectado por algún incidente de seguridad, podrás recuperar la actividad de tu empresa de forma ágil.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

    Detalle:

    En la campaña detectada, los ciberdelincuentes tratan de distribuir un tipo de malware conocido como Trojan Downloader, en este caso concreto, descarga un troyano bancario cuyo propósito es conseguir información confidencial de la víctima, así como información del equipo infectado. Este troyano bancario también ha sido distribuido en otras campañas anteriormente detectadas.

    Para lograrlo, los ciberdelincuentes usan la técnica de email spoofing, con la que tratan de hacer creer que el remitente del correo electrónico es el Ministerio del Interior de quién depende la Dirección General de Tráfico (DGT), cuando en realidad no es así. El mensaje que suplanta al organismo oficial es el siguiente:

    Aviso 13/11/2020 - Correo electrónico malware DGT

    Realizando una serie de comprobaciones, en el cuerpo del mensaje se pueden detectar múltiples errores gramaticales y ortográficos junto con otras incongruencias, algo que una entidad legítima nunca cometería.

    Al clicar en el enlace adjunto, se abre el navegador para descargar el archivo malicioso, en este caso concreto «MULTA_168284_PYS.zip», como puede observarse en la siguiente imagen:

    Captura descarga archivo comprimido con malware

    El archivo descargado contiene el malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.

    Línea de ayuda en ciberseguridad 017

    Etiquetas: Correo electrónico, Fraude, Malware

  4. Fecha de publicación: 11/11/2020

    Importancia: Crítica

    Recursos afectados:

    • Microsoft Windows:
      • Windows 10 (versiones 20H2, 1607, 2004, 1903, 1909, 1809 y 1803);
      • Windows Server (versiones 2012, 2012 R2, 2012 Server Core, 2016, 2016 Server Core, 2019, 2019 Server Core);
      • Windows 8 (versiones 8.1 y RT 8.1).
    • Internet Explorer 11:
      • En todas las versiones de Windows citadas anteriormente.
    • Microsoft Edge (EdgeHTML-based):
      • Solamente afectadas las versiones de Windows 10 (20H2, 1607, 2004, 1903, 1909, 1809 y 1803).

    Descripción:

    El boletín mensual de noviembre de Microsoft® detalla hasta 104 vulnerabilidades, de las cuales 16 son críticas y afectan a varias familias de productos del fabricante, algunos de los cuales son ampliamente utilizados en el entorno empresarial.

    Solución:

    En la mayor parte de los casos, el software afectado se actualizará automáticamente por defecto, pero en el caso de que no se realizase dicha actualización de forma automática, Microsoft pone a disposición de los usuarios un portal web con toda la información relacionada, así como los parches de los productos afectados para descarga y que se puede consultar aquí: Guía de actualizaciones de seguridad de Microsoft. Noviembre 2020.

    Se recomienda actualizar lo antes posible el software afectado a la última versión y activar las actualizaciones automáticas en caso de que no se estén aplicando por defecto.

    Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

    Detalle:

    Vulnerabilidad en Windows

    Algunas de las principales vulnerabilidades críticas, podrían permitir a un ciberdelincuente realizar una escalada de privilegios y provocar fallos de memoria en Internet Explorer 11 y Edge (HTML-based), así como realizar ejecuciones de código maliciosos de manera remota en el sistema de ficheros en red de Windows 10. Las vulnerabilidades también pueden provocar denegación de servicio, divulgación de información, elusión de las medidas de seguridad, suplantación de identidad (spoofing) y manipulación (tampering).

    También existen otros productos afectados de Microsoft cuya valoración no es crítica, pero que requieren igualmente atención por ser especialmente sensibles a ser utilizados por los ciberdelincuentes. Estos serían:

    • Microsoft Edge (Chromium-based),
    • ChakraCore,
    • Microsoft Exchange Server,
    • Microsoft Dynamics,
    • Microsoft Windows Codecs Library,
    • Azure Sphere,
    • Windows Defender,
    • Microsoft Teams.

    Por el momento, Microsoft no ha revelado ningún detalle de las vulnerabilidades críticas para evitar su utilización por parte de ciberdelincuentes.

    Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos de INCIBE CERT.

    Línea de ayuda en ciberseguridad 017

    Etiquetas: Actualización, Microsoft, Vulnerabilidad

  5. Fecha de publicación: 11/11/2020

    Importancia: Alta

    Recursos afectados:

    Cualquier empleado o autónomo que haya recibido un correo electrónico con las características descritas en este aviso.

     

    Descripción:

    Desde INCIBE se advierte de una campaña de envío de correos electrónicos fraudulentos que tratan de suplantar al Banco Santander para difundir malware.

    En la campaña identificada, el correo tiene como asunto: «Comprobante de Transferencia Bancaria. - (id números aleatorios)». En el cuerpo de los mensajes se solicita al usuario que descargue un archivo comprimido en formato ZIP indicando que es el comprobante de la supuesta transferencia.

    Dicho archivo simula ser un ZIP, pero en realidad es un enlace que redirige al usuario a una página web maliciosa donde se descargará el malware. El nombre del archivo malicioso es «COMPROBANTE_000000_XXX.zip».

    Cada vez que se descarga el archivo, tiene un nombre aleatorio, aunque sigue el mismo patrón: «Archivo_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias».

    Solución:

    Es importante que ante la mínima duda analices detenidamente el correo, tal y como explicamos en el artículo:

    Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

    Para evitar ser víctima de este tipo de engaños te recomendamos seguir estos consejos:

    • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
    • No contestes en ningún caso a estos correos.
    • Revisa los enlaces antes hacer clic, aunque sean de contactos conocidos.
    • Desconfía de los enlaces acortados.
    • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
    • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
    • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

    Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente. Verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

    Detalle:

    En la campaña denunciada, el correo electrónico trata de distribuir un tipo de malware identificado como Trojan Downloader o Dropper, diseñado para tomar el control del equipo de la víctima y realizar multitud de acciones maliciosas, como robar datos personales, infectar nuevamente el equipo con otros tipos de malware o lanzar ataques de denegación de servicio contra otros usuarios.

    Para dotar de más credibilidad a la campaña maliciosa, los ciberdelicuentes hacen uso de la técnica de email spoofing, con la que tratan de hacer creer a la víctima que el remitente del correo electrónico es el Banco Santander, cuando en realidad no es así. El mensaje que suplanta a la entidad estatal es el siguiente:

    Correo malicioso suplantando al Banco Santander cuyo proposito es difundir malware

    Observando detenidamente el cuerpo del mensaje se pueden detectar múltiples errores gramaticales y ortográficos junto con otras incongruencias, algo que una entidad legítima nunca cometería.

    Una vez se ha pulsado sobre el enlace adjunto, se abre el navegador para descargar el archivo malicioso, en este caso concreto «COMPROBANTE_873654_YVB.zip», como puede observarse en la siguiente imagen:

    Malware vinculado a la campaña de suplantación del Banco Santander

    El archivo descargado contiene el malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.

    Línea de ayuda en ciberseguridad 017

    Etiquetas: Correo electrónico, Fraude, Malware