Noticias de Seguridad Agosto 2017

Vulnerabilidades en productos Lenovo

Se han detectado varias vulnerabilidades en diversos productos Lenovo.
Los errores, de gravedad alta, se corresponden con saltos de
restricciones de seguridad, elevación de privilegios dentro del sistema
y/o ejecución de código arbitrario.

Lenovo es un conocido fabricante de ordenadores, tabletas, smartphones,
servidores, etc. También provee servicios de soporte y tecnología de
información de integración, teniendo incluso servicios de acceso a
Internet. La compañía es poseedora desde 2005 de la división de
ordenadores IBM, convirtiéndose en uno de los fabricantes de ordenadores
más grandes del mundo, teniendo los derechos de marcas tan importantes
como Thinkpad, Aptiva o Ideapad.

Más información:

Lenovo
http://www3.lenovo.com

ThinkPad Compact USB Keyboard with TrackPoint Driver Unquoted Service Path
https://support.lenovo.com/es/es/product_security/len-15061

 

Vulnerabilidades en Mozilla Firefox

Mozilla ha publicado su boletín número 18 de este año, el cual está
calificado como crítico. En total se han corregido 29 vulnerabilidades,
de las cuales 5 tienen un impacto crítico, 11 de impacto alto, 7 de
impacto moderado y 6 de bajo.

Vulnerabilidades de impacto crítico

Se corrigen dos vulnerabilidades en la gestión de memoria, una inyección
XUL en la herramienta en desarrollo y dos uso de memoria previamente
liberada en el WebSocket y en el proceso de reescalado. Todas ellas
podría permitir la ejecución de código.

CVE asociados: CVE-2017-7779, CVE-2017-7780, CVE-2017-7798,
CVE-2017-7800 y CVE-2017-7801.

Vulnerabilidades de impacto alto

Se corrigen cuatro vulnerabilidades: una al utilizar memoria previamente
liberada durante la gestión del DOM, en el observador de imagen, en el
elemento imagen y en el gestor SVG. Además, se corrigen tres
desbordamientos de memoria en el atributo ARIA del DOM, en el
renderizado del SVG y en el visor de certificados. Finalmente, se
corrige dos saltos de restricciones, uno en ‘WindowsDllDetourPatcher’ y
otro en las políticas de mismo origen (same-origin), un secuestro de
dominio (Domain hijacking) y una lectura fuera de límites.

CVE asociados: CVE-2017-7753, CVE-2017-7784, CVE-2017-7785,
CVE-2017-7786, CVE-2017-7787, CVE-2017-7792, CVE-2017-7802,
CVE-2017-7804, CVE-2017-7806, CVE-2017-7807 y CVE-2017-7809.

Vulnerabilidades de impacto moderado

Se corrige un spoofing en la navegación con datos, una fuga de
información CSP, un error en la reserva de memoria en las protecciones
DWP y WindowsDllDetourPatcher, un error al añadir un punto en una curva
elíptica, dos errores en la sandbox y una inyección XUL.

CVE asociados: CVE-2017-7781, CVE-2017-7782, CVE-2017-7791,
CVE-2017-7794, CVE-2017-7799, CVE-2017-7803 y CVE-2017-7808.

Vulnerabilidades de impacto bajo

Se corrige un error al procesar el nombre de usuario en la URL, un error
de herencia en las directivas CSP en el iframe sbout:srcdoc, un error al
activar HSTS, un error de lectura en los reportes de Windows, una
gestión de ficheros al gestionar las actualizaciones y una fuga de
información en en nombre de algunas cabeceras.

CVE asociados: CVE-2017-7783, CVE-2017-7788, CVE-2017-7789,
CVE-2017-7790, CVE-2017-7796 y CVE-2017-7797.

La vulnerabilidades han sido corregidas en la versión 55 del navegador,
que puede ser descargada desde la página oficial o a través del propio
sistema de actualización de Firefox.

Más información:
Mozilla Foundation Security Advisory 2017-18
https://www.mozilla.org/en-US/security/advisories/mfsa2017-18/

 

 

Comprometidas dos populares extensiones de Google Chrome

El equipo de seguridad de Google ha enviado advertencias a través de
e-mail a los desarrolladores de extensiones de Chrome después de que
muchos de estos fuesen objetivos de ataques de phishing. Algunos de
estos ataques consiguieron su objetivo y permitieron el robo de algunas
extensiones.

Estos ataques tuvieron lugar la semana pasada, cuando las cuentas de los
desarrolladores de las extensiones CopyFish (80.000 usuarios) y Web
Developer (100.000) se vieron comprometidas. Los atacantes aprovecharon
para insertar código malicioso de adware en la extensión. De esta manera
consiguieron ingresos a través de todos los usuarios que las tuvieran
instaladas.

Estos ataques llevan cerca de dos meses produciéndose sin que hasta la
fecha nadie se haya percatado. El phishing en cuestión se hace pasar por
una cuenta oficial de Google, informando a los desarrolladores de una
supuesta violación de los terminos de servicio de Chrome Web Store. Es
entonces cuando las víctimas accedian a un sitio falso que solicitaba el
login a una cuenta de Google.

Captura de los e-mails de phishing. Fuente: www.bleepingcomputer.com
https://www.bleepstatic.com/images/news/u/986406/Software/Chrome/Extensions/phishing-email.png

Los avances en la investigación indican que los dominios utilizados para
robar la información de estas dos extensiones son los mismos, y el
e-mail prácticamente idéntico, lo que apunta a un actor común en ambos
ataques. La misma estrategia fue probada de nuevo en agosto, pero esta
vez Google Safe Browsing bloqueó estos enlaces fraudulentos.

Tras el secuestro de las extensiones, Google envió un e-mail a todos los
desarrolladores informando de la situación e indicando las instrucciones
para reportar futuros casos similares.

Captura del e-mail de alerta de Google. Fuente: bleepingcomputer.com
https://www.bleepstatic.com/images/news/u/986406/Software/Chrome/Extensions/google-email.png
 

Lobos con piel de cordero: no te fíes de un fichero por su icono

Un fallo detectado a la hora de procesar determinado tipo de iconos en
Windows permitiría simular documentos benignos para albergar malware y
engañar al usuario.

Un reciente estudio de la firma de seguridad Cybereason ha revelado un
fallo a la hora de procesar determinados formatos de icono que, usado
junto a un problema con la caché de iconos de Windows, permitiría a
cualquier PE (Portable Ejectutable) modificar la representación de su
icono de programa para simular un documento benigno o cualquier otro
icono de sistema.

La técnica parece haber sido utilizado por variantes del ransomware
“Cerber” entre otros, y técnicamente se basa en un fallo de los sistemas
Windows a la hora de manejar iconos en formato “True Monochrome”. En vez
de cargar el icono original presente dentro del ejecutable, el sistema
carga un representación totalmente diferente basándose en la caché de
Iconos de Windows, como se puede ver en el vídeo ilustrativo:

Video demostrativo:
https://www.youtube.com/watch?v=cF3sw80oBjY

 

Ejecución remota de comandos en McAfee Security Scan Plus

Una vulnerabilidad en McAfee Security Scan Plus podría permitir la
ejecución de cualquier ejecutable residente con los privilegios del
usuario del sistema.

McAfee Security Scan Plus es una herramienta de diagnóstico gratuita que
permite comprobar el estado de la protección del equipo, determinando si
existen soluciones antivirus, cortafuegos y seguridad Web instaladas,
activas y actualizadas, y también analiza las amenazas en cualquier
programa abierto.

McAfee Security Scan Plus obtiene información promocional procedente de
diferentes dominios ‘mcafee.com’ y la muestra en la interfaz de usuario,
normalmente en la ventana principal de la aplicación.

Imagen: McAfee Security Scan Plus:
https://2.bp.blogspot.com/-g3bt_GrB0LQ/WYhqh7eWsxI/AAAAAAAABn8/4YuyJQFD9X4w4_gMBuqbkRUm_u7u0Rg1ACEwYBhgL/s320/mcafee1.png

 

CopyFish: Extensión para Google Chrome secuestrada e infectada con adware

CopyFish es un software de OCR para Google Chrome que permite extraer
textos de imágenes, PDFs y vídeos. La extensión cuenta a día de hoy con
37.740 usuarios, que recibieron el pasado 29 de julio una nueva
actualización que venía con una desagradable sorpresa.

Y es que la extensión había sido secuestrada. Mediante un ataque de
phishing dirigido a uno de los desarrolladores, los atacantes lograron
acceder a su cuenta de “Google extensions” y robar la aplicación,
transfiriéndola a otra cuenta bajo su control.

El phishing mostraba un login falso a Google extensions y estaba alojado
en https://chromedev.freshdesk.com

Imagen: Phishing de Google Extension
https://1.bp.blogspot.com/-EyHNBy2ySSQ/WYHbfdLxjFI/AAAAAAAAAnA/BHsq-8mtIGABgGc1o4MhWMYah-NROhUYACLcBGAs/s640/phishing-screenshot.png

 

LeakerLocker, el malware para Android que amenaza con nuestra privacidad en la red

Nacido a principios de 2016 y repuntando en los últimos días,
LeakerLocker amenaza con mandar tu información personal (fotos, números,
mensajes…) a todos tus contactos si no pagas un rescate. En su última
campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

Bajo los nombres Wallpapers Blur HD, Booster & Cleaner Pro, y Calls
Recorder, se encontraba en Google Play hasta hace poco este peculiar
malware. Entre otros, amenaza con enviar a todos tus contactos tus
fotos, números de teléfono, mensajes de Facebook, correos
electrónicos… Si no pagas una modesta cantidad. O al menos eso es lo
que dice, porque no se ha encontrado esta supuesta funcionalidad en el
código de la aplicación. Aunque tampoco se puede descartar, ya que este
troyano contempla la ejecución de código arbitrario descargado de los
servidores del atacante.

 

LeakerLocker Mobile Ransomware Threatens to Expose User Information
http://blog.trendmicro.com/trendlabs-security-intelligence/leakerlocker-mobile-ransomware-threatens-expose-user-information/

LeakerLocker: Mobile Ransomware Acts Without Encryptionhttps://securingtomorrow.mcafee.com/mcafee-labs/leakerlocker-mobile-ransomware-acts-without-encryption/?awc=7545_1501598599_24d36516f8b0fefc43b9cff1c3a52551

LeakerLocker Ransomware Found in Two Apps on the Google Play Store
https://www.bleepingcomputer.com/news/security/leakerlocker-ransomware-found-in-two-apps-on-the-google-play-store/