Las herramientas de acceso remoto son una de las formas más populares en que los ciberdelincuentes pueden comprometer los puntos finales (se abre en una pestaña nueva) y entregar malware, y otro servicio popular ahora se ha visto afectado.
VMware lanzó una actualización importante para su herramienta Workspace ONE Assist, que corrige tres fallas de alta gravedad que, según dice, se están explotando ahora.
Las fallas son vulnerabilidades de elevación de privilegios, que permiten a los actores de amenazas eludir la autenticación e iniciar sesión en la aplicación como administradores. Están siendo rastreados como CVE-2022-31685 (omisión de autenticación), CVE-202231686 (método de autenticación roto) y CVE-2022-31687 (control de autenticación roto). Todos ellos tienen una puntuación de gravedad de 9,8.
Ataques de baja complejidad
Según la compañía, los piratas informáticos pueden abusar de las fallas sin ninguna interacción por parte de la víctima. Describió los posibles ataques como de «baja complejidad».
«Un actor malicioso con acceso a la red de Workspace ONE Assist puede obtener acceso administrativo sin necesidad de autenticarse en la aplicación», dijo VMware.
Dicho esto, para mantenerse a salvo de posibles desastres, asegúrese de llevar su Workspace ONE Assist a la versión 22.10 (89993), si es usuario de Windows.
La actualización acumulativa de VMware también soluciona una serie de otras fallas, incluidas CVE-2022-31688 (falla de secuencias de comandos entre sitios) y CVE-2022-31689 (autenticación después de obtener una falla de token de sesión válida).
Los ciberdelincuentes a menudo usan control remoto (se abre en una pestaña nueva) acceder a herramientas en sus ataques, combinándolos con correos electrónicos de phishing, páginas de inicio maliciosas y anuncios fraudulentos, para obtener el máximo efecto.
El tipo de ataque más común comienza con una redirección a una página de inicio maliciosa que advertirá a la víctima que su computadora está infectada con virus y necesita asistencia urgente de un profesional. Estas páginas de destino proporcionan números de teléfono a los que las víctimas pueden llamar para obtener «ayuda». Los estafadores al otro lado de la línea engañarían a las víctimas para que descargaran un software legítimo de acceso remoto y lo utilizarían para obtener el control directo del dispositivo objetivo.
Vía: BleepingComputer (se abre en una pestaña nueva)