\n<\/aside>\n<\/p>\n
Un implacable equipo de piratas inform\u00e1ticos prorrusos ha estado explotando una vulnerabilidad de d\u00eda cero en un software de correo web ampliamente utilizado en ataques dirigidos a entidades gubernamentales y un grupo de expertos, todos en Europa, dijeron el mi\u00e9rcoles investigadores de la firma de seguridad ESET.<\/p>\n
La vulnerabilidad previamente desconocida result\u00f3 de un error cr\u00edtico de secuencias de comandos entre sitios en Roundcube, una aplicaci\u00f3n de servidor utilizada por m\u00e1s de 1.000 servicios de correo web y millones de sus usuarios finales. Los miembros de un grupo de pirater\u00eda pro Rusia y Bielorrusia que rastrearon c\u00f3mo Winter Vivern utilizaron el error XSS para inyectar JavaScript en la aplicaci\u00f3n del servidor Roundcube. La inyecci\u00f3n se desencaden\u00f3 simplemente al ver un correo electr\u00f3nico malicioso, lo que provoc\u00f3 que el servidor enviara correos electr\u00f3nicos desde objetivos seleccionados a un servidor controlado por el actor de la amenaza.<\/p>\n
No se requiere interacci\u00f3n manual<\/h2>\n \u00abEn resumen, al enviar un mensaje de correo electr\u00f3nico especialmente dise\u00f1ado, los atacantes pueden cargar c\u00f3digo JavaScript arbitrario en el contexto de la ventana del navegador del usuario de Roundcube\u00bb, escribi\u00f3 el investigador de ESET Matthieu Faou. \u00abNo se requiere ninguna interacci\u00f3n manual aparte de ver el mensaje en un navegador web\u00bb.<\/p>\n
Los ataques comenzaron el 11 de octubre y ESET los detect\u00f3 un d\u00eda despu\u00e9s. ESET inform\u00f3 la vulnerabilidad de d\u00eda cero a los desarrolladores de Roundcube el mismo d\u00eda y emitieron un parche el 14 de octubre. La vulnerabilidad se rastrea como CVE-2023-5631 y afecta a las versiones de Roundcube 1.6.x anteriores a 1.6.4, 1.5.x anteriores. 1.5.5 y 1.4.x antes de 1.4.15.<\/p>\n
Winter Vivern ha estado operando desde al menos 2020 y se dirige a gobiernos y grupos de expertos, principalmente en Europa y Asia Central. En marzo, se detect\u00f3 que el grupo amenazante ten\u00eda como objetivo a funcionarios del gobierno estadounidense que hab\u00edan expresado su apoyo a Ucrania en su intento de hacer retroceder la invasi\u00f3n rusa. Esos ataques tambi\u00e9n exfiltraron los correos electr\u00f3nicos de los objetivos, pero explotaron un XSS separado, ya parcheado, en Zimbra Collaboration, un paquete de software que tambi\u00e9n se utiliza para alojar portales de correo web.<\/p>\n
\u00abEste actor ha sido tenaz en sus ataques contra funcionarios estadounidenses y europeos, as\u00ed como contra personal militar y diplom\u00e1tico en Europa\u00bb, dijo en marzo un investigador de amenazas de la firma de seguridad Proofpoint al revelar los ataques que explotaban la vulnerabilidad Zimbra. \u201cDesde finales de 2022, [Winter Vivern] ha invertido una gran cantidad de tiempo estudiando los portales de correo web de entidades gubernamentales europeas y escaneando la infraestructura p\u00fablica en busca de vulnerabilidades, todo en un esfuerzo por finalmente obtener acceso a los correos electr\u00f3nicos de aquellos estrechamente involucrados en los asuntos gubernamentales y la guerra entre Rusia y Ucrania\u201d.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nEl correo electr\u00f3nico que Winter Vivern utiliz\u00f3 en la campa\u00f1a reciente proced\u00eda de la direcci\u00f3n team.management@outlook.com y ten\u00eda el asunto \u00abComience a utilizar Outlook\u00bb.<\/p>\n\nEl correo electr\u00f3nico enviado en la campa\u00f1a.<\/p>\n<\/figcaption><\/figure>\n
Enterrado en lo profundo del c\u00f3digo fuente HTML hab\u00eda un elemento de c\u00f3digo con formato incorrecto conocido como etiqueta SVG. Conten\u00eda texto codificado en base 64 que, cuando se decodificaba, se traduc\u00eda a JavaScript que conten\u00eda un comando para ejecutar en caso de que ocurriera un error. Dado que la etiqueta conten\u00eda un error intencional, se invoc\u00f3 el comando malicioso y el error XSS asegur\u00f3 que Roundcube ejecutara el JavaScript resultante.<\/p>\n\nAgrandar
\/<\/span> C\u00f3digo fuente HTML para el correo electr\u00f3nico, con una etiqueta SVG al final.<\/div>\nESET<\/p>\n<\/figcaption><\/figure>\n
La carga \u00fatil final de JavaScript orden\u00f3 a los servidores vulnerables que enumeraran carpetas y correos electr\u00f3nicos en la cuenta de correo electr\u00f3nico del objetivo y que exfiltraran los mensajes de correo electr\u00f3nico a un servidor controlado por el atacante mediante solicitudes HTTP a https:\/\/recsecas.[.]es\/controlserver\/saveMessage.<\/p>\n\nAgrandar
\/<\/span> La carga \u00fatil final de JavaScript.<\/div>\nESET<\/p>\n<\/figcaption><\/figure>\n
El \u00e9xito anterior de Winter Vivern al explotar una vulnerabilidad de Zimbra ya parcheada deber\u00eda ser una advertencia. Cualquiera que utilice Roundcube como administrador del servidor o usuario final debe asegurarse de que el software est\u00e9 ejecutando una versi\u00f3n parcheada.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas Un implacable equipo de piratas inform\u00e1ticos prorrusos ha estado explotando una vulnerabilidad de d\u00eda cero en un software de correo web ampliamente utilizado en ataques dirigidos a entidades…<\/p>\n","protected":false},"author":1,"featured_media":821759,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[1623,8305,38398,133,5414,865,3142,9844,246,8,1576,9151,110,3835,5786,1823],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/858137"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=858137"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/858137\/revisions"}],"predecessor-version":[{"id":858138,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/858137\/revisions\/858138"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/821759"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=858137"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=858137"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=858137"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}