Malware TCESB identificado en
ataques activos que aprovechan vulnerabilidades en el escáner de seguridad de
ESET.
El 9 de abril de 2025, se
descubrió un nuevo malware denominado TCESB, utilizado en ataques
activos por el grupo de amenazas ToddyCat, vinculado a actores chinos. Este
malware explota una vulnerabilidad en el escáner de línea de comandos de ESET
para ejecutar cargas maliciosas de manera sigilosa, eludiendo herramientas de
protección y monitoreo
Detalles clave:
·
Vulnerabilidad explotada: TCESB aprovecha
una falla en la carga de la biblioteca "version.dll" por parte del
escáner de ESET, permitiendo la ejecución de una versión maliciosa de esta
biblioteca.
·
Técnica de ataque: Utiliza el secuestro
del orden de búsqueda de DLL (DLL Search Order Hijacking) para tomar control
del flujo de ejecución.
·
Privilegios requeridos: El atacante
necesita privilegios de administrador para explotar esta vulnerabilidad.
·
Tácticas adicionales: Emplea la técnica
"Bring Your Own Vulnerable Driver" (BYOVD) para instalar un
controlador vulnerable de Dell (DBUtilDrv2.sys), facilitando la desactivación
de rutinas de notificación del sistema operativo.
ESET ha corregido esta
vulnerabilidad (CVE-2024-11859) en enero de 2025 mediante actualizaciones en
sus productos de seguridad para Windows.
Recomendaciones
clave:
🔒
1. Mantener todo el software actualizado
👨💻
2. Restringir privilegios de administrador
🧩
3. Monitorear cargas y DLLs inusuales
📁
4. Control de integridad de archivos
🚫
5. Bloquear drivers vulnerables
📊
6. Formación y concienciación
⚠️
CVE-2025-30406: Alerta crítica en CentreStack por clave codificada
Recientemente la Agencia de
Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una
alerta sobre una vulnerabilidad crítica en Gladinet CentreStack, una plataforma
de compartición de archivos empresariales. La falla, identificada como
CVE-2025-30406 y con una puntuación CVSS de 9.0, permite la ejecución remota de
código debido al uso de una clave criptográfica codificada en el archivo de
configuración web.config
Esta vulnerabilidad reside en la
clave machineKey, utilizada para verificar la integridad de ViewState en
aplicaciones ASP.NET. Un atacante que conozca esta clave puede forjar cargas ViewState
maliciosas que, al ser deserializadas por el servidor, permiten la ejecución de
código arbitrario. Se ha confirmado que esta falla ha sido explotada
activamente desde marzo de 2025, lo que indica su uso como una vulnerabilidad
de día cero.
Gladinet abordó esta
vulnerabilidad en la versión 16.4.10315.56368, lanzada el 3 de abril de 2025,
que genera una machineKey única para cada instalación. Para mitigar los
riesgos, se recomienda a los usuarios actualizar a esta versión lo antes
posible. Si la actualización inmediata no es factible, se aconseja rotar
manualmente la machineKey como medida temporal.
🛡️
Recomendaciones para protegerse del CVE-2025-30406
1.
Actualizar inmediatamente el software afectado
2. Rotar manualmente la machineKey si no puedes
actualizar aún
3.
Implementar políticas de gestión segura de claves
4. Limitar
la deserialización en ViewState
5.
Monitorizar actividad sospechosa en aplicaciones ASP.NET
6. Aplicar pruebas de seguridad periódicas
Fuente: https://thehackernews.com/2025/04/new-tcesb-malware-found-in-active.html?m=1
https://thehackernews.com/2025/04/new-tcesb-malware-found-in-active.html?m=1
