Category: Seguridad

Noticias de Seguridad Agosto 2018

Actualizaciones para múltiples productos de Adobe

Adobe ha publicado cuatro boletines de seguridad en los que se hah corregido un total de once vulnerabilidades en sus productos Flash Player, Reader, Acrobat, Experience Manager, y Creative Cloud Desktop Application

A continuación se exponen los boletines publicados para cada producto.

Adobe Creative Cloud Desktop Application (APSB18-20): boletín que soluciona una vulnerabilidad relacionada con la carga insegura de librerías DLL que podría permitir la elevación de privilegios (CVE-2018-5003).

Adobe Flash Player (APSB18-25): solventa cinco errores de seguridad en el popular reproductor flash que podrían causar la revelación de información (CVE-2018-12824, CVE-2018-12826, CVE-2018-12827), eludir restricciones de seguridad (CVE-2018-12825), y elevar privilegios (CVE-2018-12828).

Adobe Experience Manager (APSB18-26): tres problemas de seguridad son solucionados en este boletín que podrían permitir la revelación de información sensible a través de ataques Cross-site Scripting y Cross-site Scripting reflejado (CVE-2018-5005 y CVE-2018-12806) y modificar información sin autorización a causa de un error relacionado con el incorrecto filtrado de entradas proporcionadas por el usuarios (CVE-2018-12807).

Adobe Reader y Acrobat (APSB18-29): este último boletín corrige dos vulnerabilidades que permitirían la ejecución de código remoto debido a una escritura en memoria fuera de límite y dereferencia a puntero (CVE-2018-12808 y CVE-2018-12809 respectivamente).

Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):

  • Adobe Creative Cloud Desktop Application 4.5.0.324 para Windows
  • Adobe Flash Player 30.0.0.134 para los sistemas operativos Windows, macOS, Linux y ChromeOS, así como los navegadores Google Chrome, Microsoft Edge and Internet Explorer 11.
  • Adobe Experience Manager 6.x para todas las plataformas.
  • Acrobat en sus versiones 2018.011.20055, 2017.011.30096 y 2015.006.30434, y anteriores para Windows y macOS.
  • Acrobat Reader en sus versiones 2018.011.20055, 2017.011.30096 y 2015.006.30434 para Windows y macOS.

 

Más información:
 
APSB18-20 – Security update available for the Adobe Creative Cloud Desktop Application:

https://helpx.adobe.com/security/products/creative-cloud/apsb18-20.html

APSB18-25 – Security updates available for Adobe Flash Player:
APSB18-26 – Security update available for Adobe Experience Manager:

Actualización de seguridad para Apache Struts

Apache ha confirmado una vulnerabilidad en el proyecto Apache Struts que podría permitir a un atacante remoto ejecutar código arbitrario.

Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005.

La vulnerabilidad, considerada de gravedad crítica (con CVE-2018-11776), se debe a una validación insuficiente de los datos introducidos por el usuario. Esta vulnerabilidad reside en el core del framework y existen varios vectores de ataque:

  1. Cuando se utilizan resultados que no especifican un espacio de nombres (ni el el fichero de configuración de Struts ni en el propio código Java)
  2. Cuando se utiliza la etiqueta ‘url’ en una plantilla sin especificar una acción y un valor.

A través de estos vectores un atacante remoto podría inyectar un espacio de nombres arbitrario pasándolo como parámetro en una petición HTTP.

Para que el ataque se haga efectivo, se tienen que cumplir dos condiciones:

  1. El parámetro ‘alwaysSelectFullNamespace’ debe estar a ‘true’ en la configuración de Struts.
  2. El fichero de configuración de Struts contiene una etiqueta ‘<action …>’ que no especifica ningún espacio de nombres.

La forma más sencilla para evitar las vulnerabilidades es actualizar a Apache Struts versiones 2.3.35 o 2.5.17; disponibles desde: http://struts.apache.org/download.html#struts-ga

Más información:
 
S2-057 – Apache Struts

https://cwiki.apache.org/confluence/display/WW/S2-057

Semmle Discovers Critical Remote Code Execution Vulnerability in Apache Struts

https://semmle.com/news/apache-struts-CVE-2018-11776

El ransomware SamSam ataca a entidades financieras peruanas

Desde Hispasec tenemos conocimiento de los ataques sufridos por entidades financieras peruanas, ataques que han tenido como objetivo principal la instalación del ransomware SamSam (también conocido como Samsa o Samas)

SamSam no es más que la herramienta principal de un ataque dirigido a entidades concretas. No es un malware de distribución masiva, sino que es ejecutado de forma manual dentro de la red de la organización víctima. Para ello, el atacante necesita encontrar previamente una forma de acceder a la red. Las primeras versiones del ataque usaban exploits conocidos contra servicios de la organización expuestos a Internet, pero las últimas versiones han optado por atacar usando fuerza bruta (probando contraseñas una tras otra) contra un servicio en concreto: el servicio RDP (Remote Desktop Protocol), usado para permitir el acceso remoto a otro ordenador compartiendo la pantalla.

Características principales del ransomware

Una característica del malware que impide su análisis en profundidad es que su parte principal viene cifrada con una clave que sólo conoce el atacante. Evidentemente, para su ejecución es necesario descifrarla, pero lo hace el atacante proporcionando la contraseña al ejecutarlo manualmente. Por tanto, para poder analizar el malware en profundidad, sería necesario pillar al atacante in fraganti y capturar la contraseña, ya que apenas se ejecuta el malware se borra la contraseña usada para descifrarlo.

El resto de partes son piezas de apoyo que ayudan a descifrar y lanzar el malware de forma automática. Adicionalmente, el ataque hace uso de diversas herramientas de apoyo, entre otras una herramienta de administración remota (RAT) con capacidad para realizar cualquier acción en el sistema y herramientas públicas de terceros para realizar el reconocimiento de la red y moverse lateralmente en ésta (es decir, saltar de un punto de la red a otro). De nuevo, recordamos que estamos ante un ataque dirigido, donde un atacante entra en la red por algún medio externo al ransomware, y una vez dentro, reconoce y ataca manualmente otros puntos de la red, para finalmente ejecutar el ransomware en los puntos de la red que considere dignos de secuestrar.

Flujo del ataque

A continuación se describe las fases del ataque que tienen como objetivo final la ejecución del ransomware SamSam. Se presupone que la entidad ya ha sido seleccionada por el atacante. Para ello, puede haber sido elegida manualmente por su importancia y valor, o bien haber sido elegida tras buscar organizaciones con redes con una seguridad débil. Para esto último, los atacantes se suelen valer de herramientas como el buscador Shodan, que permiten buscar qué puntos de Internet corren ciertos servicios que se conocen vulnerables, para intentar explotarlos luego. También existen listas de servicios vulnerables previamente confeccionadas puestas a la venta por otros criminales.

1. Intrusión en la red

Se conocen tres métodos por los cuales el atacante accede a la red en este paso:

  1. Ataque de fuerza bruta sobre el servicio RDP de Windows, que corre en el puerto 3389, buscando credenciales débiles.
  2. Aprovechando vulnerabilidades de servicios expuestos a Internet. En el pasado aprovecharon vulnerabilidades en el servidor de aplicaciones JBoss.
  3. Ingeniería social, especialmente a través de correos adjuntos infectados. Se desconocen los detalles de esta forma de entrada.

Una vez completado este punto, el atacante puede ejecutar código en la máquina afectada, si bien dependiendo de la configuración del sistema comprometido o del nivel de la cuenta de usuario comprometida, estaríamos hablando de ejecución a nivel de usuario sin privilegios o a nivel de administrador. Si el atacante no ha conseguido privilegios de administrador, procede al siguiente paso:

2. Elevación de privilegios

Tras conseguir entrar en la red con una cuenta de usuario sin privilegios, el atacante tiene que escalar privilegios y obtener acceso como controlador de dominio. Para ello hace uso de distintas herramientas y exploits, herramientas la mayoría de código abierto y gratuitas, y también creadas por el mismo atacante.  No se ha documentado una relación directa entre un exploit en particular y estos ataques en esta fase. Se sabe que en esta fase el atacante ha podido estar días, por ejemplo debido al uso de herramientas que aprovechan la entrada de un controlador de dominio al sistema para robarle el acceso.

3. Movimiento lateral

Con el objetivo de afectar el número máximo de sistemas, el atacante procede a escanear la red y comprometer los sistemas accesibles. Para ello, y con el acceso de administrador, accede de forma normal a un servidor de la compañía, desde el cual procede a escanear la red. Una vez seleccionados los posibles objetivos, accede a todos los que puede y realiza una prueba para ver si efectivamente puede acceder al sistema de archivos de ese sistema. El que esto sea realizado por parte del atacante de forma manual permite hacer el menor ruido posible.

4. Ejecución del malware

Tras establecerse como controlador de dominio desde un servidor de la compañía, el atacante procede a instalar y ejecutar el ransomwareSamSam en los objetivos disponibles. Para ello, usa principalmente una herramienta legal llamada PsExec. La ejecución del malware se realiza de una forma atípica: se proporciona una contraseña como parámetro de línea de comandos al ejecutable del ransomware en el momento de ejecución. Esta contraseña se usa para descifrar el malware, que viene cifrado. De esta forma, el atacante mantiene en secreto el funcionamiento concreto del malware, ya que en un análisis post mortem del sistema víctima no se encuentra el código que ha provocado el desastre.

5. Espera del pago y soporte técnico

Tras infectar todos los sistemas objetivo de una forma coordinada (con segundos de diferencia entre ellos), al atacante sólo le queda limpiar todos los rastros que pueda y esperar a que la víctima pague. Tras completarse la ejecución del ransomware, como en casi todos los casos, el malware deja una nota de rescate. En ésta se especifica la cantidad de Bitcoins a pagar para obtener la contraseña de descifrado (con precios en dólares actualmente de unos 500 dólares por máquina y 4.000 por todas) y la dirección a la que realizar el pago. También se especifica una dirección de una web contenida en la red Tor (una red pública y gratuita que mantiene el anonimato de los usuarios, pero que requiere la instalación de software adicional para navegar por ella). En esa dirección se encuentra una forma de contactar con el atacante e incluso poder descifrar algunos archivos gratuitamente. Como el acceso a la red Tor no es conocido para la mayoría de los usuarios, el atacante incluye instrucciones accesibles para poder acceder a ella.

Precisamente uno de los puntos más llamativos de este ransomware es la calidad del “soporte técnico” que se ofrece por parte del atacante para solucionar problemas relacionados con el pago y el descifrado de los archivos, llegando hasta el punto de enviarse una decena de mensajes por parte del atacante para solucionar un problema particular de un usuario que ya había pagado. O disculparse por la tardanza al responder a un mensaje de un usuario. También es reseñable que el atacante parece haber proporcionado la clave de descifrado a todas las víctimas que han pagado, si bien desde Hispasec recomendamos nunca pagar el rescate, ya que contribuiríamos a alimentar este tipo de fraude.

Soluciones y contramedidas

Este malware tiene un sistema de cifrado para el que no se han documentado fallos. Por tanto, en este momento no hay solución más allá de pagar el rescate. Ahora pasamos a diferenciar entre la infección por ransomware y la intrusión a la red para explicar qué medidas se deben tomar con antelación para protegerse de estas amenazas:

Infección por ransomware

En el primer caso, infección por ransomware, existen una serie de medidas específicas para detectar que un malware de este tipo se encuentra ejecutándose y bloquearlo, pero existen otras medidas más básicas y generales de protegerse. Hablamos de las copias de seguridad y los entornos de usuario fácilmente restaurables. Las copias de seguridad son imprescindibles para casos como éste, pero son igualmente vitales en casos de rotura del almacenamiento principal de un sistema y otras catástrofes. Es especialmente interesante que estas copias no estén conectadas a red alguna, o que se encuentren en otro lugar físico.

Adicionalmente, poder restaurar los equipos de los usuarios con un sistema de replicación de imagen de disco duro o un sistema de virtualización distribuido son las otras medidas que complementan a las copias de seguridad de los datos. Ambas medidas combinadas proporcionan una excelente protección contra la amenaza de un ransomware. Incluso en uno de los peores casos: entra un ransomware de propagación automática e infecta los sistemas de todos los usuarios de la red usando un exploit desconocido. Si tienes copias de seguridad diarias, habrás perdido como mucho un día de información. Y si los entornos de tus usuarios son fácilmente restaurables, en unas horas puedes estar funcionando de nuevo con equipos limpios.

Intrusión en la red

Finalmente, queda comentar contramedidas contra intrusiones en la red. En este tipo de casos, empresas grandes con mucho que perder y redes bastante complejas, no se puede ofrecer una serie de contramedidas generales y pensar que eso es suficiente. Es necesario invertir en seguridad informática, tanto en personal como en equipos, y apoyar firmemente desde dirección la implementación y respeto de la política de seguridad diseñada por personal cualificado. En este caso en particular, dados los tres tipos de entradas que se conoce realiza el atacante, podemos comentar las medidas básicas de protección contra cada uno de ellos:

  1. Credenciales débiles: Forzar que todo método de autenticación basado en contraseña respete unos requisitos mínimos de longitud y variedad de caracteres en la contraseña.
  2. Servicios vulnerables expuestos a Internet: Lo primero es exponer el mínimo número de servicios posibles a Internet. Lo segundo es actualizar el software para protegerse al menos de vulnerabilidades conocidas. Finalmente, aislar en la medida de lo posible estos servicios del resto de la red interna.
  3. Ingeniería social: Cursos de conciención a todos los niveles de la compañía, siempre procurando que sean prácticos y amenos. Las políticas de seguridad deben ser razonables y no requerir un esfuerzo sobrehumano para ser respetadas, o los usuarios no las respetarán.
Más información:
 

Un fallo en Google Chrome permite extraer información sensible de otras páginas

La implementación de la política del mismo origen en las etiquetas HTML multimedia es insuficiente, lo que permite peticionar páginas externas de las que es posible extraer cierta información

Extraer información de tu perfil personal de Facebook si tienes iniciada sesión en él y visitas una web maliciosa. Esta es la prueba de concepto llamativa para esta vulnerabilidad. Es posible extraer tu edad, tus likes, tu histórico de localización…Esta vulnerabilidad ha sido reportada por Imperva, una empresa de seguridad informática dedicada entre otras cosas al análisis de eventos de seguridad. Se dieron cuenta de ella cuando investigaban el comportamiento del mecanismo CORS (Cross-Origin Resource Sharing) en las distintas etiquetas HTML.

Lo que encontraron fue ciertamente interesante… Pero antes es necesario explicar lo básico, para que la vulnerabilidad no nos suene a chino. Primero, es necesario saber que el navegador, por seguridad, restringe bastante las peticiones que puede hacer una página web a otra página web que no esté en su dominio. ¿Qué quiere decir esto? Que la página de facebook.com tal y como se ejecuta en tu navegador, no puede hacer cierto tipo de peticiones a google.com. ¿Por qué este comportamiento? Un ejemplo simple: imagínate que entras a paginamala.com y ésta se pone a hacer peticiones a bancosantander.com, teniendo abierta la banca online… En realidad luego no es tan sencillo, ya que existe otra serie de medidas para evitar que esto ocurra aunque no se respete esa restricción, pero es un control necesario más.

Lo que acabamos de contar arriba no es ni más ni menos que la famosa “same-origin policy” (política del mismo origen), cuyo nombre tras la breve explicación cobra sentido. Lo que pasa es que la web, por definición, no tiene sentido como nodos aislados, y una página funcional necesita recursos de otras webs. No estamos hablando de estar en google.com y desde allí pinchar en un enlace a facebook.com, no. Esto se considera como una acción intencionada del usuario, y no es la misma página la que ejecuta la acción (ni recibe el contenido de facebook.com). Hablamos de facebook.com necesitando una fuente de texto especial alojada en google.com (que tiene una sección para obtener fuentes), para poder mostrarte un texto con esa fuente.

Error en Chrome por realizar una petición que viola la política del mismo origen

Es por esto que para que una web pueda acceder a recursos de otra (siempre que esta otra quiera), se crea el mecanismo CORS antes mencionado, que define una serie de situaciones y acciones que se deben llevar a cabo en éstas que permiten compartir recursos entre orígenes distintos. Y esto es lo que significa CORSbásicamente, “intercambio de recursos de origen cruzado”. En la práctica esto se implementa haciendo el navegador una petición de prueba antes de la real, para preguntar al dominio externo si permite peticiones completas desde otros dominios, y si no lo permite explícitamente, no se hace la petición completa. En algunos casos más relajados se permite hacer directamente la petición completa, pero si el servidor no especifica explícitamente que cierta página externa puede peticionarla (ya sea por no haber sido configurado o por otras razones), el mismo navegador no permite a la página leer la respuesta a la petición.

Ya disponemos de las bases para entender la vulnerabilidad. Como bien sabemos, la parte principal de una web está compuesta por HTML, que a su vez se compone de etiquetas especificando el contenido de la web. Pues bien, en Google Chrome, las etiquetas ‘audio’ y ‘video’, tienen un pequeño fallo. Estas etiquetas son usadas para insertar audio y vídeo en las páginas, y uno de sus atributos es la URL en la que está el recurso, (audio o vídeo). El fallo que tienen es que no comprueban el tipo de recurso (básicamente, que sea audio o vídeo) antes de permitir acceder a cierta información del recurso. Concretamente, sin saber si el recurso es audio o vídeo y mientras lo descarga, esta etiqueta lanza una serie de eventos que el código JavaScript de la página puede capturar y extraer información de éstos.

¿Cuál es el problema de ésto? Que según el número de eventos de cierto tipo que arroje la etiqueta HTML mientras va cargando el recurso sea audio o no, es posible estimar el tamaño del recurso. ¿Realmente esto es un problema? Sí. Y lo entenderemos describiendo el escenario del ataque propuesto por el autor:

  1. Crea una página en Facebook
  2. Publica un post restringido a personas con 18 años
  3. Publica otro post restringido a persona con 19 años
  4. Publica más posts con la misma idea hasta cubrir todo el rango de edad, año a año
  5. Crea una página maliciosa con tantas etiquetas ‘audio’ como posts has creado en Facebook, y que cada una apunte a un post.
  6. Controla la cantidad de veces que se lanza este evento por cada etiqueta, para estimar el tamaño de cada página.
  7. Consigue que la víctima visite tu página maliciosa
La idea de esto es que el post restringido a la edad que tiene el usuario tendrá un tamaño distinto al resto de páginas, que serán más pequeñas porque en vez del ofrecer el contenido del post, devolverán un mensaje del estilo “no estás autorizado a ver este post”. El autor describía esto como jugar a un juego de preguntas de sí o no para adivinar algo, al estilo de Quién es Quién. Este escenario en concreto quizás no se pueda reproducir ahora mismo, ya que Facebook ha cambiado hace poco el sistema de restricción y parece que no se puede restringir por edad a nivel de año, sino por rangos concretos. Igualmente, el autor describe otros campos que se pueden extraer y no sólo es posible con Facebook, sino con cualquier web en realidad que tenga características similares.
Afortunadamente, este fallo (CVE-2018-6177) se reportó por las vías adecuadas (a Google de forma privada) y actualmente se encuentra corregido en la versión estable 68. ¿Cómo lo ha corregido Google? Ahora no permite que se dispare ese evento hasta que el navegador no sepa a ciencia cierta que lo que está cargando es un recursos de audio o vídeo. Esta vulnerabilidad es compleja, aunque comparada con el resto de vulnerabilidades que se suelen encontrar hoy en día tampoco es extraordinaria. Eso permite hacerse una idea de la cantidad de conocimiento que es necesario tener sobre un sistema para encontrar una vulnerabilidad medio graveen éste, sobre todo si es el navegador más usado en todo el mundo.
Más información:
 
A Bug in Chrome Gives Bad Actors License to Play ‘20 Questions’ with Your Private Data
https://www.imperva.com/blog/2018/08/a-bug-in-chrome-gives-bad-actors-license-to-play-20-questions-with-your-private-data/Stable Channel Update for Desktop – Tuesday, July 24, 2018
https://chromereleases.googleblog.com/2018/07/stable-channel-update-for-desktop.html

Control de acceso HTTP (CORS)
https://developer.mozilla.org/es/docs/Web/HTTP/Access_control_CORS

Política Same-origin

Security: Cross Site Resource Size Estimation via OnProgress events
defeat cors attacks on audio/video tags

Vulnerabilidad crítica en Oracle Database

El fallo, con una puntuación CVSSv3 de 9,9, podría propiciar el acceso completo a la base de datos y al sistema operativo subyacente. Oracle apela al parcheo inmediato de los sistemas.

Pocas veces una empresa con una política periódica de publicación de parches rompe sus ciclos pero, cuando lo hace, normalmente es motivo de preocupación. En este caso le ha tocado a Oracle, que publica sus parches cuatrimestralmente.

Y el motivo no es para menos. Identificada como CVE-2018-3110, la vulnerabilidad encontrada en Oracle Database Server permite a un atacante remoto tomar el control de la base de datos y acceder a través de linea de comandos al sistema operativo sobre el que se ejecuta.

Concretamente, el fallo se encuentra en el componente Java VM. La explotación es trivial, pero requiere al atacante remoto estar autenticado y contar con el privilegio “Create Session“, además de acceso a través de Oracle Net.

La vulnerabilidad ha sido publicada debido a su impacto en las versiones 11.2.0.4 y 12.2.0.1 para Windows. Sin embargo ya en su boletín de julio Oracle parcheaba este mismo fallo para la versión 12.1.0.2 en Windows, y para aquellas bajo sistemas Linux y Unix.

Esta no es la primera vez que Oracle saca parches fuera de ciclo. De hecho, el año pasado publicó hasta 4 alertas bajo la tipología Oracle Security Alert Advisory, que es la que se utiliza cuando las vulnerabilidades son críticas (puntuaciones CVSSv3 mayor a 9.8, al menos) y requieren acción inmediata. Una de ellas era 10/10.

Más información:

Oracle Security Alert Advisory – CVE-2018-3110:

Man-in-the-Disk: el nuevo ataque que ha dejado a millones de teléfonos Android vulnerables

El ataque aprovecha la forma en la que las apps utilizan el sistema de almacenamiento externo para dar como resultado una inyección de código.

Los investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.

Conceptos base:

Es bien conocido que las aplicaciones en el sistema operativo Android pueden almacenar sus recursos en el dispositivo en dos ubicaciones: almacenamiento interno y externo.

Google, insta a los desarrolladores a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el ‘sandbox’ integrado de Android, para almacenar sus archivos o datos confidenciales.

Sin embargo, los investigadores encontraron que muchas aplicaciones usaban almacenamiento externo sin protección al que cualquier aplicación instalada en el mismo dispositivo puede acceder.

Explicación del ataque:

Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Dado que la aplicación no puede validar la integridad de los datos, el código de la actualización legítimo de la aplicación se puede reemplazar por uno malicioso.


 
Entre las aplicaciones que han probado se encuentran: Google Translate, Yandex Translate, Google Voice Typing, Lg World, … entre otras.

Los investigadores recalcan que solo han probado una pequeña cantidad de aplicaciones importantes y, por lo tanto, esperan que el problema afecte a un número más signifitcativo.

El cifrado Speck gana presencia en el kernel Linux

Speck es un algoritmo de cifrado ligero, especialmente diseñado para dispositivos IoT, con baja capacidad de cómputo y creado por la NSA, la Agencia de Seguridad Nacional de Estados Unidos.


Esta tecnología, que fue aceptada por una petición de Google para dar soporte de cifrado al nuevo sistema operativo Android Go en la versión 4.17 del kernel Linux, ha aumentado su presencia en el kernel de Linux debido a la inclusión de Speck128 y Speck256 como algoritmos compatibles en FSCRYPT.

Speck al igual que Simon, fueron publicadas en 2013 como dos tipos cifrados diseñados para sistemas ligeros. Speck es un cifrado add-rotate-xor (ARX) diseñado para ser lo más ligero posible, mientras que su algoritmo hermano, Simon, se ha optimizado para implementaciones de hardware.
 
El hecho de que ambas tecnologías de cifrado hayan sido desarrolladas por la NSA y que hayan sido rechazadas por la Organización Internacional de Estándares (ISO), han rodeado a esta decisión de una latente desconfianza por parte de la comunidad.
Si tiramos de antecedentes, esta desconfianza está sustentada por hechos como las filtraciones sobre que el software de cifrado Truecrypt estaba ‘backdoreado’ por la NSA. Caso que finalmente por medio de dos auditorias quedó descartado, excepto por los más escépticos que vieron en el abandono de sus desarrolladores un argumento a favor de sus convicciones.
Más información:
Auditoría Truecrypt:

Kaspersky VPN – Descubierto bug que afecta a millones de usuarios

La versión 1.4.0.216 de Kaspersky VPN presenta una fuga de DNS que podría revelar información sobre las páginas visitadas por los usuarios.

El bug se encontraba en el servicio VPN ofrecido por Kaspersky, también conocido como “Secure Connection” y que según Kaspersky cuenta con más de un millón de usuarios en todo el mundo.

En Android, Kaspersky VPN – Secure Connection tiene más de 1.000.000 de descargas

Cuando un usuario se conecta a una VPN, todo el tráfico pasa a través de un túnel cifrado al servidor VPN, por lo que al servidor de destino le llega la dirección IP de dicho servidor.

Funcionamiento VPN

El problema surge cuando Kaspersky VPN no redirige las consultas al servidor DNS cifradas, por lo que el servidor DNS podría registrar los sitios web que visitan los usuarios e incluso vincularlos a su dirección IP.

Este bug fue descubierto por el analista de seguridad Dhiraj Mishra, en su blog indica los pasos a seguir para reproducir el problema:

  1. Visitar IPleak.net
  2. Conectarse a cualquier servidor virtual utilizando Kaspersky VPN.
  3. Una vez conectado, volver a visitar IPleak.net. Se podrá observar que la dirección DNS no ha cambiado.
 
Kaspersky a solucionado este fallo en la versión 1.4.0.453. Se recomienda actualizar a la última versión disponible.
Más información:
 
A bug that affects million users – Kaspersky VPN | Dhiraj Mishra
https://www.inputzero.io/2018/08/kaspersky-vpn-leaks-dns-address.html

Actualización de seguridad para VMware Horizon Client

El equipo de VMware a publicado actualizaciones de seguridad para corregir una vulnerabilidad de lectura fuera de límites de memoria (Out-of-bounds Read) que afecta al producto VMware Horizon Client para Windows.

VMware Horizon ofrece una infraestructura de escritorios virtuales (VDI). Es este caso el cliente de conexión de Horizon permite a los usuarios conectarse a su escritorio virtual desde múltiples dispositivos.

La aplicación Horizon Client se comunica con View Connection Server, que actúa como intermediario entre el dispositivo cliente y los escritorios. Los usuarios inician sesión en Horizon Client y View Connection Server los autentica para luego conectarlos con sus respectivos escritorios virtuales.

VMware Horizon – Gestión de la infraestructura
VMware Horizon Client – Conexión desde el cliente al escritorio virtual

Las versiones de Horizon 6, 7 y Horizon Client para Windows presentan una vulnerabilidad de lectura fuera de los límites de memoria en la librería “Message Framework”. Un usuario malicioso con pocos privilegios podría explotar esta vulnerabilidad permitiendo acceder a información desde un proceso privilegiado en un sistema donde se encuentre instalado Horizon Connection Server, Horizon Agent u Horizon Client afectados por esta vulnerabilidad.

Este problema solo afecta a las versiones de Horizon 6 y 7 de Microsoft Windows.

VMware ha publicado las siguientes actualizaciones:

Horizon 7 – Windows | Parche 7.5.1:
https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon/7_5

Horizon 6 – Windows | Parche 6.2.7:
https://my.vmware.com/group/vmware/info?slug=desktop_end_user_computing/vmware_horizon/6_2

Horizon Client for Windows – Windows | Parche 4.8.1:
https://my.vmware.com/web/vmware/details?productId=578&downloadGroup=CART19FQ2_WIN_4_8_1

Más información:
 

Bughunting, la economía alrededor de los errores

Encontrar un fallo de seguridad en una aplicación o servicio conocido puede llegar a ser lucrativo…o meterte en graves problemas legales. Vamos a dar un repaso al arte de reportar vulnerabilidades.

Sabes que está ahí, lo puedes sentir, es ese olor ocre y salino de la sustancia que emana de la presa herida. El cazador lo percibe, agudiza sus sentidos y acecha en silencio; esperando pacientemente al momento adecuado. Un segundo más, abres el editor de texto (Vim, naturalmente) y cambias dos lineas de tu script. Zas!: ejecución remota de código arbitrario conseguida. Premio. ¿Ahora qué hacemos con el trofeo?

Hace poco, leía en una viñeta de esas que aparecen, brillan y se extinguen en un par de milésimas de red social, que los Ingenieros Mecánicos y Aeronáuticos confían plenamente en aquello que diseñan y construyen. Es decir, es seguro y transmiten esa seguridad. Soluciones contrastadas, experimentadas. No dejan espacio al error, lo arrinconan, le temen, lo respetan, pero lo desafían y controlan hasta reducirlo a probabilidades muy reducidas. Ahora pregunta lo mismo a un Ingeniero Informático…

En el software las probabilidades son las mismas, pero en sentido contrario. Es decir, es ridículamente improbable que encuentres un programa que esté libre de errores. Irónicamente…no falla. Hay algo en el proceso de construcción de nuestros ingenios que impide que estén libres de errores. Esto no es nuevo, ya lo dijo el grandísimo Fred Brooks: No hay balas de plata. El software es complejo, mucho y está lejos de ser perfecto.

No hay dos errores iguales

Bien, creo que lo hemos dejado claro o al menos lo hemos intentado. El software está lleno de errores. El problema añadido es que los errores no son idénticos, poseen una jerarquía, gravedad y especializaciones propias. De entre ellos podemos destacar los errores de seguridad, que al fin y al cabo son los que nos interesan. Estos son especialmente graves de por sí, puesto que conllevan un impacto asociado a una necesidad humana: la de sentirnos seguros.

No es lo mismo un error funcional, por ejemplo: Cuando pulso esta opción de menú aparece una molesta ventana de error, pero el proceso sigue su curso, que uno de seguridad: Cuando pulso sobre esta opción de menú, aparece una molesta ventana de error, le doy al cuadro de ayuda, mostrar propiedades, abrir consola, pum, eres administrador. Evidentemente, las consecuencias no son las mismas.

Además -para mejorar la cosa- está el primo hermano del error: el contexto. Puedes tener un error, poco grave a primera vista y que, por ejemplo, solo afecta al redondeo de unos pocos decimales. ¿Nada grave, verdad? Escala eso a millones de entradas en un software científico y tendrás un error de magnitudes incalculables. La diferencia suficiente entre hallar la vacuna del ébola a encontrar un nuevo colorante industrial para la gaseosa. Uy, por cuatro péptidos de nada.

Economía de mercado

Vale, ya sabemos que el software es un saco de bichos, que estos pueden ser más o menos graves y que las consecuencias de un fallo de seguridad pueden ser desastrosas según el contexto. ¡Anda!, ¿Y qué pasaría si descubres un error por el cual un tercero le podría sacar una rentabilidad económica o mediática? Pues que acabas de encontrar un billete de lotería premiado. Descubres algo, lo trasladas a un interesado a cambio de unos doblones y este usa esa información para su propio beneficio. Eso, amigos, nos lleva a construir una auténtica economía de mercado (con su equivalente paralelo mercado negro) basada en los errores de seguridad.

Servicios de inteligencia, contrainteligencia, brokers de exploits, productores de software de control remoto, unidades militares que participan en operaciones de ciberguerra, robo de propiedad intelectual, etc. Hay intereses de todo tipo y ejemplos que vemos casi a diario de demanda de nuevos zero-days para mantener el frente abierto. Una vez sale el parche, se acabaron las nuevas operaciones…hasta que el siguiente exploit devuelva la pelota al campo.

Y aun no hemos mencionado las botnets, el cryptojacking y el ransomware. Muchas de ellas se apoyan en la mera ingeniería social e ir probando suerte con campañas de phishing para ir infectando equipos. Sin embargo, esta técnica suele tener un porcentaje sorprendentemente bajo de éxito. No obstante, cuando estas campañas van acompañadas de un exploit fresco, la rentabilidad en los primeros días se dispara exponencialmente.

Que nadie crea que vender un exploit es algo exclusivo del mercado negro. Existencompañías dispuestas a pagar una suma importante de dineros a cambio de esa secuencia única de ceros y unos.

Bug hunting, cuando la necesidad crea el producto

Hastiadas por ver como sus productos se convertían en un continuo mercadeo que afecta a sus usuarios, las empresas comenzaron a dar un paso en un peculiar sentido: No lo vendas a ellos, compártelo con nosotros. Ahora son las propias empresas, afectadas por los errores de seguridad en sus productos, las que compran los fallos de seguridad a sus descubridores.

Uno de los primeros programas de este tipo es el de Google. Allá por el 2013 anunció que pagaría por los errores de seguridad en sus productos; ahora incluso por ciertos proyectos de fuente abierta, cuyas librerías son usadas por ellos. Este paso llevó a otras compañías a anunciar el emprendimiento de programas de este tipo con pequeñas variaciones en cuanto a reglas y premios.

Tras ellos, otros con buen olfato vieron claro que aquí había negocio. ¿Por qué no abrir el negocio del reporte de fallos de seguridad? Estaba claro que había una necesidad y, por otro lado, un batallón de personas interesadas en investigar y descubrir fallos. Así que si hay una demanda y por otro una oferta…unámoslos con el pegamento universal que todo el mundo entiende y usa: el dinero.

Este tipo de esquema asume que la gente va a seguir investigando, sean cuales sean sus motivaciones y que los servicios y productos desarrollados por empresas son demasiado grandes como para ser controlados por un departamento. Win-win. Todos ganan, todos contentos.

En algunos casos, el investigador ni tan siquiera es premiado económicamente. Existen programas de recompensas que solo premian con una mención o con merchandising, dependiendo de la gravedad del hallazgo. Esperad, esperad, no os riáis. Una mención puede parecer ridícula, pero en el curriculum de un investigador puede ser la diferencia con el resto de candidatos. Por otro lado, las vulnerabilidades especialmente graves pueden llegar a reportar beneficios de cientos de miles de dólares. Como vemos el abanico de premios es surtido.

¿Cómo reportar una vulnerabilidad que no posee un programa de recompensas?

Es complicado. Muchas empresas no se toman bien este tipo de acciones. Quizás porque derivan a departamentos legales donde no saben maniobrar de otra forma que no sea abriendo fuego contra el supuesto enemigo o porque se toman como una ofensa el que alguien haya estado husmeando en sus servidores. Sea como fuere, si una empresa no indica explícitamente la manera de reportar fallos de seguridad, no se los reportes directamente.

Desde luego no reportar no implica que no des conocimiento. Existen muchísimas posibilidades de hacerlo sin meterte en un lío legal. Por un lado has descubierto algo, sabes que es ético que dicho fallo se conozca y sea reparado, pero por otro tienes miedo de que tu buena intención acabe trayéndote quebraderos de cabeza y arrastres tu alma y tus ahorros por los juzgados del país durante unos cuantos años.

En España puedes probar con el CERTSI, donde te ofrecen anonimato y si en un plazo de tiempo prudencial no se ha encontrado solución por parte del fabricante, se publicarían los detalles de tu hallazgo con tu nombre si lo deseas.

Francamente, si te gusta encontrar fallos y ganarte un dinero y renombre, las opciones anteriores, del tipo Bugcrowd o Hackerone poseen un buen equilibrio. Busca un programa de recompensas que te interese, léete las condiciones y a cazar!

Denegación de servicio remota en los núcleos Linux y FreeBSD

Un investigador de los Nokia Bell Labs ha descubierto vulnerabilidades en los núcleos Linux y FreeBSD que pueden usarse para saturar el procesador (y consecuentemente la máquina) a través de un flujo TCP especial

No estamos ante vulnerabilidades que podrían ser aprovechadas en teoría, en circunstancias especiales, si se alinean los planetas… Que pasa a veces con vulnerabilidades de este tipo en el núcleo Linux. Y eso lo sabemos porque Akamai ha realizado un comunicado oficial asegurando que ha parcheado sus sistemas más críticos y está trabajando en parchear el resto en estos momentos. Ambas vulnerabilidades, tanto la de Linux como la de FreeBSD han venido de la mano de Juha-Matti Tilli, un investigador de los Nokia Bell Labs. Estos laboratorios pertenecen a la división de investigación industrial de la famosa “teleco” multinacional Nokia.Para comprender estas dos vulnerabilidades, es necesario recordar por encima lo básico de redes. Para que la información llegue de un punto a otro del planeta, esta información suele envolverse en varias capas. Literalmente, a cada trozo de información se le pone un prefijo (y a veces un sufijo) que contiene información relativa a esa capa. Y el proceso se repite por cada capa. Cada una de estas capas es responsable de algún aspecto de la comunicación: una contiene información sobre el siguiente nodo al que viajará el paquete, otra contiene información que permite asegurar que no se pierde ningún paquete… Durante el viaje, las capas se van quitando, poniendo y modificando según sea necesario. De hecho, cada dispositivo de red (router, switch, tarjeta de red y el mismo sistema operativo) está preparado para interpretar ciertas capas e ignorar las otras.

En este caso, la vulnerabilidad se encuentra en la forma en la que ambos núcleos manejan el protocolo TCP, hermano del protocolo UDP que aparece en la figura. TCPtiene entre sus responsabilidades dividir en trozos llamados “segmentos” la información que pretende transportar si es demasiado grande para transportarse de una sola vez. Tras dividirse en segmentos, TCP se encarga de que cada segmento tenga un identificador que permita al destinatario juntar los segmentos TCP en el orden correcto y reconstruir la información original. Esto es necesario, ya que los paquetes no tienen por qué llegar en el orden en el que salieron.

Llegados a este punto, ya podemos empezar a entender las vulnerabilidades tal y como la explican los reportes oficiales (el primero Linux y el segundo FreeBSD):

One of the data structures that holds TCP segments uses an inefficient algorithm to reassemble the data. This causes the CPU time spent on segment processing to grow linearly with the number of segments in the reassembly queue.

Juha-Matti Tilli reported that malicious peers could inject tiny packets in out_of_order_queue, forcing very expensive calls to tcp_collapse_ofo_queue() and tcp_prune_ofo_queue() for every incoming packet.

Ambas vulnerabilidades dan a entender el mismo problema subyacente: la reconstrucción de la información original a partir de los segmentos TCP fuera de orden no es demasiado eficiente. Los algoritmos usados para la reconstrucción seguramente funcionan bastante bien en las circunstancias habituales, pues en otro caso se habrían detectado problemas de rendimiento previamente. Pero en casos raros, y especialmente si quieres buscarle las cosquillas, es posible a través de una serie de segmentos TCP especialmente diseñados causar que la reconstrucción tarde demasiado. Lo de “demasiado” significa que para una cantidad relativamente pequeña de segmentos TCP (es decir, con un ancho de banda pequeño) conseguimos usar tiempo del procesador de una forma desproporcionada.

Tanto el código del núcleo de Linux como el de FreeBSD han sido actualizados con sendos parches. En Linux estamos hablando de la versión 4.9 para adelante como las más afectadas, pero con la 4.8 y anteriores vulnerables en menor medida (necesitando más tráfico para causar el mismo efecto). En FreeBSD se ven afectadas todas las versiones. La vulnerabilidad de Linux ha recibido el identificador CVE-2018-5390, mientras que la de FreeBSD ha recibido el CVE-2018-6922.

 

Más información:

Cuando tu impresora es más lista de lo que parece: Ejecución remota en HP

HP ha publicado un boletín informando de una vulnerabilidad que permite ejecución remota de código en múltiples modelos de impresoras de tinta

La puntuación base CVSS no deja lugar a dudas: un 9.8 sobre 10. Para que nos entendamos, esta vulnerabilidad equivale a dejarse la puerta de casa abierta con las joyas en la mesa del salón. A pesar de que los vectores CVSS muchas veces no permiten describir la complejidad de una vulnerabilidad, un valor extremo es un mensaje claro. Y afectando a múltiples dispositivos, es una pequeña catástrofe. De éstas que te hacen poner un aviso claro en tu web:

En este caso, es posible que el reporte por parte del investigador externo se haya realizado de forma privada, ya que no aparece vínculo alguno al reporte técnico original. Estos reportes suelen ser más técnicos, y te permiten entender la parte importante de la vulnerabilidad, ya que los reportes oficiales suelen ser bastante escuetos y parecen escritos por cumplir. Por tanto, en este caso no podemos ofrecer un análisis técnico de los hechos y nos limitaremos a comentar el boletín oficial y comentar algunos hechos relacionados. La vulnerabilidad es lo más clásico: se manda a imprimir un archivo especialmente diseñado que desborda memoria en la impresora y permite ejecutar código arbitrario.

En el boletín oficial asignan los identificadores CVE-2018-5924 y CVE-2018-5924 a las vulnerabilidades descritas, y especifican una lista bastante larga de productos afectados, viéndose afectadas las impresoras de inyección de tinta (inkjet). También se especifica que se han actualizado los firmwares de las impresoras afectadas, y que los usuarios de éstas deberían actualizar el firmware a la versión indicada siguiendo el procedimiento enlazado en el mismo boletín.

Lo cierto es que es un tema algo candente, y parece ser que con la fiebre de la seguridad del IoT algunos se han dado cuenta de que esos cacharros que imprimen son otro punto vulnerable más. Y lo bueno de una impresora es que no se suele considerar sospechosa, pues se le cree tonta. Y al final es un dispositivo más, probablemente con acceso a Internet y un procesador ARM genérico que ejecutará lo que sea. Tirando un poco de historial y sin irnos muy lejos, podemos comprobar que hace casi un año se descubrieron algunas vulnerabilidades graves en impresoras HP. El reporte técnico que se realizó es para sentarse a leerlo y disfrutarlo.

Respecto a la seguridad de las impresoras, hay una wiki bastante interesante sobre la “(in)seguridad” como dicen ellos mismos de estos dispositivos. Asociado a la wiki disponemos de PRET, un conjunto de herramientas para la explotación de impresoras. Visto el panorama, parece un buen momento para prestarle atención a la explotación de estos dispositivos.

Más información:
 
Una-al-día:

Detectadas aplicaciones en Google Play Store que contienen malware… para Windows

Las aplicaciones se encontraban en el repositorio oficial desde octubre del año pasado. Aunque inofensivas para los usuarios de Android, si se ejecutan en un entorno Windows pueden infectar el equipo con un keylogger.

Imagen obtenida de Palo Alto.

La retirada de aplicaciones de Google Play Store debido a su contenido malicioso no es nada nuevo. De hecho, hace poco una buena tanda de aplicaciones de minería fueron eliminadas del repositorio. Sin embargo, lo curioso de este caso es que, aunque maliciosas, las aplicaciones no presentan riesgos para usuarios de Android. 

Han sido investigadores de Palo Alto los que han detectado un total de hasta 142 aplicaciones disponibles en Google Play Store que contienen al menos un ejecutable malicioso para Microsoft Windows. El fichero es inofensivo para los usuarios móviles, sin embargo su desempaquetado y posterior ejecución en entornos Windows lleva a la infección del equipo con un keylogger.

La teoría más plausible es que sean los propios desarrolladores de las aplicaciones los infectados por malware (posiblemente de varias familias) y durante el proceso de desarrollo los ejecutables se han introducido dentro del APK que ha pasado a distribuirse. Cabe señalar que otras aplicaciones del mismo desarrollador están limpias, lo que apunta a que han sido confeccionadas en otro entorno.

Las APKs involucradas que Palo Alto ha hecho públicas se pueden encontrar en Koodous. Como curiosidad, el ejecutable de Windows fue visto por primera vez en 2013.

Más información:
 
Hidden Devil in the Development Life Cycle: Google Play Apps Infected with Windows Executable Files:
https://researchcenter.paloaltonetworks.com/2018/07/unit42-hidden-devil-development-life-cycle-google-play-apps-infected-windows-executable-files/

McAfee Labs: Informe sobre amenazas contra blockch...

McAfee Labs - Blockchain Threat Report
Blockchain, una revolucionaria plataforma para la descentralización de las transacciones online, presenta riesgos para la seguridad

Las nuevas tecnologías vienen acompañadas de nuevos riesgos, y la tecnología blockchain no es una excepción. En este nuevo informe, el equipo de McAfee® Advanced Threat Research analiza cómo funciona la tecnología blockchain, cuáles son los problemas de seguridad actuales de sus implementaciones —con incidentes concretos— y cuáles son las técnicas, los objetivos y el malware que utilizan los ciberdelincuentes en sus ataques.

Descargue el informe y conozca a fondo:

  • Cómo funciona la tecnología blockchain y los principales riesgos de seguridad que empresas y usuarios deben tener en cuenta.
  • Las múltiples técnicas que han utilizado con éxito los ciberdelincuentes movidos por fines económicos en ataques notorios dirigidos a las tecnologías blockchain y a sus usuarios.
  • Las últimas tendencias de las amenazas, incluido el cambio actual del ransomware por la criptominería como método principal para adquirir criptomonedas. El malware de “minería de monedas” creció en total un 629 % en el primer trimestre de 2018.
DESCARGAR AHORA >

McAfee Labs
McAfee Labs es una de las referencias mundiales en investigación e inteligencia sobre amenazas, y líder en innovación en ciberseguridad. Gracias a la información que recibe de millones de sensores situados en los principales vectores de amenazas —archivos, la Web, la mensajería y las redes—, McAfee Labs proporciona inteligencia sobre amenazas en tiempo real, análisis críticos y opiniones de expertos que permiten mejorar la protección y reducir los riesgos. www.mcafee.com/es/mcafee-labs

 

Noticias de Seguridad Julio 2018

Múltiples vulnerabilidades en Samsung SmartThings Hub

El equipo de Cisco Talos ha descubierto múltiples vulnerabilidades que podrían permitir hacerse con el control total del Hub y actuar sobre interruptores, cerraduras, termostatos, cámaras y cualquier otro dispositivo conectado a éste.

SmartThings Hub es un dispositivo que sirve para gestionar y conectar entre sí diferentes sensores y dispositivos IoT para casas inteligentes. En la última actualización de su firmware, Samsung ha solucionado más de 20 vulnerabilidades que podrían comprometer el dispositivo y afectar a los dispositivos conectados:Dos vulnerabilidades de denegación de servicio en ‘hubCore Port 39500’ y en el firmware de ‘ZigBee’ (CVE-2018-3918 y CVE-2018-3926) podrían permitir a un atacante remoto desconectar las cámaras o interrumpir el servicio ZigBee por medio de paquetes especialmente manipulados.

Desbordamientos de buffer y otros errores a la hora de gestionar la memoria en el componente ‘video-core’ de SmartThings Hub podrían permitir la ejecución de código arbitrario (CVE-2018-3863 a CVE-2018-3866, CVE-2018-3872, CVE-2018-3878, CVE-2018-3880, CVE-2018-3897, CVE-2018-3902 a CVE-2018-3906, CVE-2018-3912 a CVE-2018-3917, CVE-2018-3919, CVE-2018-3925).

Una falta de comprobación en el parámetro ‘camera-password’ de la configuración del componente ‘video-core’ podría permitir a un atacante remoto ejecutar comandos arbitrarios en el sistema (CVE-2018-3856).

Otra vulnerabilidad en el componente ‘video-core’ podría permitir la inyección de comandos SQL a través del módulo ‘credentials’, al no sanear correctamente el JSON enviado en las peticiones POST del usuario a ‘/credentials’ (CVE-2018-3879).

Múltiples vulnerabilidades a la hora de procesar peticiones HTTP segmentadas permitirían a un atacante manipular las peticiones HTTP e insertar datos maliciosos en el servidor HTTP del componente ‘video-core’ (CVE-2018-3907, CVE-2018-3908, CVE-2018-3909).

El componente ‘hubCore Port 39500’ presenta una vulnerabilidad de inyección de cabeceras HTTP que podría ser explotada y combinada con otras vulnerabilidades presentes en el dispositivo para ejecutar código arbitrario (CVE-2018-3911).

Por último, un error en el controlador de excepciones del componente ‘hubCore‘ permitiría a un atacante interceptar los volcados con información de debug que el componente envía al servicio de ‘backtrace.io‘ para su posterior análisis (CVE-2018-3927).

Se recomienda actualizar actualizar inmediatamente el firmware a la última versión disponible.

 

Más información:
 
Vulnerability Spotlight: Multiple Vulnerabilities in Samsung SmartThings Hub
https://blog.talosintelligence.com/2018/07/samsung-smartthings-vulns.html

Cómo un Open Redirect puede usarse para robar credenciales en la app en Electron de Hangouts

Hangouts, la app de mensajería de Google, ha sido comprometida en su versión de escritorio por una vulnerabilidad de tipo Open Redirect, sumado a un error en la forma en que se abren los enlaces

Electron se ha convertido estos últimos años en una alternativa económica y sencilla de construir apps multiplataforma para escritorio. En vez de invertir recursos y dinero en crear aplicaciones nativas, es posible crear aplicaciones web que se ejecutarán en su propio navegador, sin la barra de direcciones. Esta propiedad de Electron, impide al usuario conocer qué sitio web se está visualizando, lo que puede aprovecharse para redirigir a un sitio de phishing sin que se dé cuenta.

La app de Hangouts para escritorio, que hace uso de Electron, soluciona en parte este problema abriendo con el navegador del sistema los enlaces externos a la aplicación web que ejecuta (https://chat.google.com). El analista Michal Bentkowski investigó este hecho en su blog, descubriendo que la aplicación sigue los enlaces de redirección, y que podría emplearse para redirigir a un phishing. Haciendo uso de un Open Redirect conocido en https://accounts.google.com/ServiceLogin?continue= (que también está presente en chat.google.com), es posible redirigir al usuario a un sitio arbitrario, como una página falsa de login de Google, tal y como puede comprobarse en esta url de demostración:

https://chat.google.com/accounts/ServiceLogin?continue=https://appengine.google.com/_ah/conflogin?continue=http://bentkowski.info/&service=ah

Al tratarse de una vulnerabilidad en una aplicación de mensajería, su propagación es tan sencilla como enviar este enlace a un contacto, y esperar a que éste lo abra. Al cargarse la url en la propia ventana de Electron, el usuario no nota la diferencia con el login original, y ni siquiera puede volver atrás, al no disponer de botones de navegación.
Ya hemos visto otras vulnerabilidades relacionadas con el uso de Electron, como ejecución remota de código o la sufrida en Atom (también de tipo RCE). Debido a su popularidad, es probable que en los próximos años sigamos viendo casos similares, lo que evidencia la necesidad de adoptar medidas. Por ejemplo, en el caso de Hangouts, existen soluciones, como bloquear las redirecciones, o forzar el uso del navegador externo en todos los enlaces recibidos a través de un mensaje.
Más información:

Vulnerability in Hangouts Chat a.k.a. how Electron makes open redirect great again:

Google Open URL Redirection :
https://vagmour.eu/google-open-url-redirection/

Ejecución remota de código en aplicaciones Electron:
https://unaaldia.hispasec.com/2018/01/ejecucion-remota-de-codigo-en.html

Ejecución remota de código en el editor Atom:
https://unaaldia.hispasec.com/2017/11/ejecucion-remota-de-codigo-en-el-editor.html

Por noreply@blogger.com (Nekmo)

Chrome dice que mi sitio no es seguro ¿Qué hago?

Hoy es el día elegido (no os quejéis, podrían haber escogido un viernes) para que el navegador Google Chrome comience a marcar los sitios que no posean un certificado como “No seguro”. De momento es un mensaje adosado al nombre del dominio visitado, en gris. No salta a la vista, es algo discreto y con las prisas con las que vivimos hoy día no parece que a muchos les vaya a molestar…hasta que en octubre de este mismo año, ese mismo mensaje, se cabree y se torne de color rojo chillón…Ya lo contaba nuestro compañero Carlos ‘Maestro‘ Ledesma en otra UAD.

Casi es seguro, el resto de navegadores menos uno seguirá la estela marcada por Chrome. Con el tiempo añadirán el mismo mensaje o similar. Así que toca extender un certificado y configurar adecuadamente el cifrado del servidor para que ese mensaje desaparezca cuando nuestros visitantes entren en nuestros dominios. Pero no queremos que esa sea la motivación principal. Existe otra (y muchas más) importantes por las que ya deberías estar ofreciendo cifrado incondicional en todos y cada uno de tus sitios. Además vamos a derribar unos cuantos mitos acerca de los costes y complejidades inherentes a su despliegue.

1.- Respeta la privacidad de tus clientes o visitantes

Las conexiones cifradas no son un adorno ni están ahí para que “salga el candadito”. Están para que otros no capturen y lean el tráfico que se produce entre cliente y servidor. Es posible que creas que ese tráfico “no es importante”, pero en muchos contextos sí que lo es e importa mucho. Incluso si tu sitio es presencial y no existen formularios o campos de búsqueda, la propia traza de visitas de URLs del sitio ya permite crearse un perfil de la persona afectada por no cifrar las comunicaciones.

2.- Da autenticidad a tu dominio

Sin un certificado debidamente extendido un visitante no sabría diferenciarlo de un sitio falsificado. Visitar un dominio no implica que sea el sitio correcto, tanto con un ataque de envenenamiento de la caché DNS como con un ataque sobre rutas BGP nos permite falsificar un sitio si este no posee un certificado adecuado.

3.- Es gratis

Muchas personas y organizaciones piensan que extender un certificado es caro y un gasto innecesario (o simplemente, no dan importancia a los motivos del punto 1). No solo no es caro, es gratis. Iniciativas como Let’s Encrypts nos permiten poseer un certificado libre de costes directos. No hay excusas si habías mirado la inversión en certificados como un gasto inútil. Es gratis. 0 euros. Nada.

4.- Es sencillo

No tengo/No voy a dedicar personal/tiempo para una tarea así. A veces no es cuestión de dineros sino de tiempo o no tener el personal adecuado para extender e instalar un certificado. En realidad es una tarea sencilla, no es compleja. Elige el certificado adecuado (recuerda, Let’s Encrypts…es gratis!), lo obtienes, sigues los pasos indicados por el emisor (todos tienen una guía, por ejemplo), reinicias el servidor y a funcionar.

5.- Mejora tu imagen

A ver. ¿Cómo va a ser lo mismo una conexión plana, ahí, sin candado ni verde y con un mensaje de “No seguro” que una conexión cifrada con un buen candadazo TLS 1.3? Eso dice mucho. Da fuerza, vigor y sienta principios: “Esto es seguro, bueno (toc, toc) y de confianza”. Aunque no lo hagas por la privacidad, te salga gratis y te lo instale un amigo con conocimientos informáticos al que invitarás a una paella a cambio, al menos piensa que va a reforzar tu imagen.

Desbloquea un logro más:

6.- HSTS o mata tus conexiones inseguras

No es suficiente con el certificado y las conexiones bien configuradas, que eso es otro menester. Mientras no configuremos nuestros servidores para que les diga al navegador de nuestros clientes que no usen conexiones inseguras cuando nos visiten, todo esto podría no servir de mucho.

Aunque dispongamos de lo anterior, los ataques de hombre en el medio suelen usar herramientas del tipo ssltrip, donde se puentea la conexión segura hacia una insegura. Sin embargo, si el navegador visitó antes de ese ataque nuestro sitio y recibió la cabecera HSTS entonces optará por no establecer una conexión plana (no cifrada) y cortará las comunicaciones que se dirijan a nuestro dominio. ¿Sencillo verdad?.

HSTS (https strict transport security) no es para nada difícil de implementar. Hay miles de guías para ello. Una sola cabecera http puede proteger a tus clientes y visitantes de ataques de hombre en el medio de forma bastante sencilla y eficaz.

Más información:

Google dará el tiro de gracia a los sitios HTTP en 10 días:

Más de 18.000 routers Huawei comprometidos en un día por una nueva botnet

Investigadores de NewSky Security descubren una botnet que ha infectado a más de 18.000 routers Huawei en tan solo un día.

El autor del malware, que se hace llamar “Anarchy” es el responsable de otras botnets variantes de Mirai, como Sora o Owari. “Anarchy” ha conseguido infectar más de 18.000 routers Huawei HG532 en tan solo un día y utilizando un solo exploit. Su motivación es, probablemente, la ejecución de ataques DDoS bajo demanda.Lo preocupante de esto es que lo ha hecho utilizando una vulnerabilidad ampliamente conocida y parcheada hace casi un año: CVE-2017-17215 utilizada además en otras botnets como Mirai o Satori.

La vulnerabilidad permitiría a un atacante remoto autenticado ejecutar código arbitrarioenviando paquetes especialmente manipulados al puerto 37215.

Pese a que los fabricantes publican los parches, es responsabilidad de los usuarios su aplicación, lo que refleja todavía una gran falta de concienciación en materia de seguridad.

Más información:
 
Router Crapfest: Malware Author Builds 18,000-Strong Botnet in a Day

ZombieBoy, nuevo malware de minado de criptomonedas

ZombieBoy, como lo ha bautizado el analista de seguridad James Quinn, es una nueva familia de malware de minado de criptomonedas que utiliza la capacidad de procesamiento de tu ordenador para obtener Moneros.

ZombieBoy tiene características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima el virus utiliza la herramienta que le da nombre: “ZombieBoyTools”. Esta herramienta aprovecha dos conocidos exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la máquina de la víctima.

Captura de la herramienta ZombieBoyTools. Fuente: www.alienvault.com

Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario “123.exe” desde ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes del malware:

“64.exe”, además de estar encriptado con el packet “Themida” implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza “WinEggDrop” un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente “64.exe” utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:

  • 42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
  • 49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ

El otro componente descargado tiene el nombre de “74.exe”. Se encarga de descargar y ejecutar la DLL “NetSyst96.dll”, heredada del RAT “Gh0stRat”, permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.

“84.exe” es otro de los módulos droppeados por “123.exe”. Al igual que “74.exe” es un RAT utilizado para extraer información adicional sobre la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.

Flujo de actividad. Fuente: www.alienvault.com

Para comprobar si está infectado por ZombieBoy puede buscar si alguno de los binarios implicados se encuentra entre sus procesos:

  • 123.exe
  • 64.exe
  • 74.exe
  • 84.exe
  • CPUinfo.exe
  • N.exe
  • S.exe
  • Svchost.exe (OJO, siempre que no provenga de C:\Windows\System32)

Si es así debería detener estos procesos y borrar los ficheros implicados, así como las entradas al registro introducidas por el virus.

Entradas de registro maliciosas:

  • SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
  • SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc
Ficheros descargados por el malware:
  • C:\%WindowsDirectory%\sys.exe
  • C:\windows\%system%\boy.exe
  • C:\windows\IIS\cpuinfo.exe
  • C:\Program Files(x86)\svchost.exe
  • C:\Program Files\AppPatch\mysqld.dll
  • C:\Program Files(x86)\StormII\mssta.exe
  • C:\Program Files(x86)\StormII\*
  • C:\Archivos de programa (x86)\svchost.exe
  • C:\Archivos de programa\AppPatch\mysqld.dll
  • C:\Archivos de programa (x86)\StormII\mssta.exe
  • C:\Archivos de programa (x86)\StormII\*

 

Francisco Salido
fsalido@hispasec.com
Más información:
 
ZombieBoy:

Actualizaciones para múltiples productos Apple

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, e iTunes e iCloud para Windows. Entre todos los productos se corrigen 109 fallos de seguridad.

Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.

El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 11.4.1, resuelve 22 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Wi-Fi’, ‘Emoji’, el kernel y ‘WebKit’ entre otros. Uno de los fallos permitiría a una web maliciosa suplantar la URL mostrada para hacer creer a los usuarios que se encuentran en un sitio web legítimo (CVE-2018-4277, también presente en macOS, watchOS y tvOs).

macOS High Sierra 10.13.6 y los Security Update 2018-004 para Sierra y El Capitán. En este caso se solucionan 11 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘APFS’, ‘ATS’, ‘IOGraphics’, ‘CFNetwork’, ‘CoreCrypto’ y el kernel. Tres de estas vulnerabilidades podrían permitir elevar privilegios (CVE-2018-4280 y CVE-2018-4285) y/o ejecutar código arbitrario con privilegios de ‘kernel’ (CVE-2018-4268).

Safari 11.1.2 cuenta con otro boletín que soluciona 16 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. También varios de los errores corregidos permitirían que una web maliciosa suplantase la URL mostrada al usuarios para hacerle creer que se encuentran en un sitio web legítimo(CVE-2018-4260, CVE-2018-4274 y CVE-2018-4279).

El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 4.3.2, soluciona 14 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario(CVE-2018-4262, CVE-2018-4264, CVE-2018-4272 y CVE-2018-4284) y la elevación de privilegios (CVE-2018-4280).

tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 11.4.1, donde se corrigen 18 vulnerabilidades en múltiples componentes. Ocho de ellas podrían permitir la ejecución remota de código (del CVE-2018-4261 al CVE-2018-4265, CVE-2018-4267, CVE-2018-4272, CVE-2018-4284) y otra elevar privilegios en el sistema (CVE-2018-4280).

Las versiones iTunes 12.8 e iCould 7.6 para Windows corrigen 14 vulnerabilidades cada una, algunas también de gravedad alta.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:
 
iOS 11.4.1:

https://support.apple.com/kb/HT208938

macOS High Sierra 10.13.6 y Security Update 2018-004 para Sierra y El Capitán:

Google dará el tiro de gracia a los sitios HTTP en 10 días

El popular navegador Google Chrome marcará como no seguros los sitios web que sirvan su contenido usando HTTP en vez de su versión autenticada y cifrada HTTPS, como parte del esfuerzo de Google de hacer Internet más seguro

A poco que te muevas por Internet, si usas Google Chrome para navegar es bastante posible que éste te haya avisado de que cierto sitio no era seguro. A veces porque el responsable de la web olvidó actualizar el certificado HTTPS (tienen caducidad), otras veces porque la página web envía sin cifrar contraseñas o información de tarjetas de créditos… La cuestión es que te salta un aviso, a veces bastante difícil de esquivar, informándote de que la página no es segura.

Como ya muchos sabréis, HTTP es el protocolo clásico para servir páginas web (que son principalmente contenido HTML) en Internet. El problema de HTTP es que no permite saber si efectivamente quien sirve la web es quien dice ser, y que la información viaja sin cifrar entre el navegador y el servidor. Esto es un problema, ya que permite a un atacante situado entre el navegador y el servidor espiar y modificar el tráfico, entre otros escenarios.

Hace un par de años Google anunció que en enero de 2017 iba a empezar a marcar como no seguros los sitios HTTP que manejase contraseñas e información de tarjetas de crédito. Este fue el primer paso dado por Google hacia un objetivo final: marcar todas las páginas HTTP como no seguras. Las estadísticas que dieron en febrero de este año avalan esta decisión: más de dos tercios del tráfico que pasa por las versiones de Android y Windowsestá protegido, así como más de tres cuartos del de Chrome OS y Mac. También afirman que 81 de los 100 sitios en el top 100 usan HTTPS por defecto.

Para los usuarios, esto no tiene más que ventajas, pero ¿qué pasa con los responsables de las webs? Ya sabemos que la seguridad no suele ser cómoda y que una medida de seguridad es una configuración más, pero hoy en día hay miles de tutoriales para ello, y muchos servicios de creación de páginas web incluyen la opción de activarlo con un solo click. Y si no cuentas con el apoyo de una plataforma, al menos te queda el consuelo de que con iniciativas como Let’s Encrypt te sale gratis.

Amigo webmaster, ya no te quedan excusas.

Más información:

 

Golden Cup: el malware espía que aprovecha el Mundial para robar tu información

A lo largo de este año las Fuerzas de Defensa de Israel han sido el objetivo de diferentes campañas de malware espía: familias como “GlanceLove” o “WinkChat” utilizaban técnicas de ingeniería social para sustraer todo tipo de información de los soldados. El pasado 3 de julio, el equipo de ClearSky informaba de una nueva familia de malware para Android dirigida a ciudadanos israelíes.

En esta ocasión el malware utiliza la fiebre del Mundial de Rusia para conseguir sus objetivos. La aplicación “Golden Cup“, aparentemente legítima, podía descargarse de Google Play y utilizarse para mostrar en tiempo real los resultados de los partidos. Tras ella se escondía el malware que se descargaba en varias fases con objeto de eludir a los sistemas de seguridad.
Una vez instalada la aplicación se establecía la comunicación con el C&C utilizando el protocolo de transporte MQTT a través del puerto 1883.
A partir de ahora el malware puede recibir órdenes del servidor de C&C y actualizar el estado del dispositivo.
Más información:
 
Infrastructure and Samples of Hamas’ Android Malware Targeting Israeli Soldiers
https://www.clearskysec.com/glancelove/

Vulnerabilidades críticas en Thunderbird 52.9

Mozilla Fundation Security ha corregido varias vulnerabilidades críticas que afectan a Thunderbird 52.9

Mozilla Thunderbird es un cliente de correo electrónico multiplataforma de código abierto y libre, cliente de noticias, cliente de RSS y de chat desarrollado por la Fundación Mozilla. Utiliza el lenguaje de interfaz XUL y viene instalado por defecto en los sistemas de escritorio de Ubuntu.

Más información:

Security vulnerabilities fixed in Thunderbird 52.9 – Mozilla
https://www.mozilla.org/en-US/security/advisories/mfsa2018-18/#CVE-2018-12364

Stylish: La extensión del navegador que se queda con lo que visitas

Una extensión para los navegadores Google Chrome y Mozilla Firefox dedicada a modificar la apariencia de las webs, conocida como Stylish, se dedicaba a mandar lo visitado por el usuario a servidores de SimilarWeb, la empresa detrás de ésta

“De buen gusto”, dice la página de diccionarios en línea WordReference.com que significa “stylish“, entre otras acepciones. La verdad es que de buen gusto no se puede decir que haya sido lo que ha hecho SimilarWeb, la empresa detrás de esta famosa extensión. Y no decimos “famosa” como manida coletilla periodística, estamos hablando de la que ha sido la extensión de referencia con su funcionalidad: permitir especificar hojas de estilo personalizadas para modificar la apariencia de una web. Los datos: cerca de dos millones de usuarios en Google Chrome, y casi trescientos mil en Mozilla Firefox. Datos extraídos gracias a la caché de Google, ya que ambas versiones han desaparecido de las páginas de Chrome y Firefox.

La mecánica del espionaje es sencilla: Este tipo de extensiones necesitan acceder a la URLdel navegador para saber si está en una página a la que debe aplicar una hoja de estilos personalizada. Y ya que accedes a la URL, pues te la quedas y la envías a tus servidores, que hay empresas que compran el historial de visitas de la gente… ¿Qué hay de malo en ésto? Bueno, éstas empresas estudian los hábitos de navegación de la gente, y de las peores cosas que pueden hacer dentro de la legalidad es venderle a otra empresa que a una persona en concreto le gustan los nomos de jardín. Así, esa última empresa como anunciante en Internet te puede bombardear con publicidad sobre unos nomos chulísimos cada vez que pases por una página que contiene anuncios gestionados por esa empresa.

En realidad, que Stylish se dedicase a esos menesteres no es una novedad. Cuando fue comprado a un desarrollador independiente por SimilarWeb en enero de 2017, ésta anunció que iba a recopilar ciertos datos “anónimos” sobre los usuarios. De hecho, ese mismo mes se publicó un artículo avisando de este cambio en la política de privacidad, donde se comentaba que efectivamente se obtenía información sobre los sitios que se visitaban. Lo que pasa es que a veces es necesario escribir un artículo incendiariocomo el de Robert Heaton, con capturas de pantalla donde se ve claramente cómo mandan esa información a los servidores de SimilarWeb:

Extraída de robertheaton.com

Como ya comentábamos en otra Una-al-día, existen distintos tipos de datos personales, y los que probablemente recopila SimilarWeb son datos personales despersonalizados. Es decir, datos personales que conforman un perfil, pero que no se asocian directamente a una persona. El problema es que es demasiado fácil, a pesar de recopilarlos sin identificar a la persona en concreto, terminar vinculándolos a una. Y es que como dice Robert Heaton en su artículo, si saben que alguien está visitando https://www.linkedin.com/in/<NOMBRE_DE_USUARIO>/edit/ (página visitada por un usuario para modificar su perfil), ¿quién podrá ser ese usuario? Guiño, guiño.

En definitiva, se dice que “si un servicio es gratis, el producto eres tú”, y este es otro caso más. Otra de las acepciones de “stylish” según WordReference.com es “a la moda, que también hace justicia al concepto recopilar datos personales para luego venderlos: está de moda. Y lo que nos queda.

Más información:
 
“Stylish” browser extension steals all your internet history
https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/

Major Stylish add-on changes in regards to privacy
https://www.ghacks.net/2017/01/04/major-stylish-add-on-changes-in-regards-to-privacy/

Nuevos ataques contra el protocolo de red LTE (4G) y posible afección a 5G

El protocolo Long Term Evolution (LTE) más conocido como 4G es vulnerable a la interceptación y/o modificación de la comunicación de forma remota

Fuente: https://thehackernews.com/2018/06/4g-lte-network-hacking.html

Muchas compañías de comunicación implementan el protocolo LTE o, como se conoce normalmente, 4G, presente en la mayoría de dispositivos móviles. Las tecnologías provenientes de esta familia (3G, 4G, 5G) se gestan para proveer de mayor seguridad (entre otras cosas más) al antiguo protocolo GSM.

Un equipo de investigadores ha descubierto una vulnerabilidad en el protocolo que podría permitir a los atacantes espiar las comunicaciones que usan el mismo, pudiendo modificar el contenido e incluso redirigirlas a sitios web maliciosos.

Los investigadores han desarrollado tres nuevas técnicas contra esta tecnología que les permiten obtener la identidad de los usuarios, los sitos web visitados y redirigirlos a sitios web maliciosos a través de la suplantación DNS.

Podemos catalogar estas técnicas como “ataques pasivos” y “ataques activos”. Interceptar la comunicación y la visualización de los sitios web visitados pertenecen a ataques pasivos. Por otro lado tenemos el ataque de suplantación de DNS conocido como “aLTEr” que permite a un atacante realizar un “MiTM” para interceptar las comunicaciones y redirigir a la víctima al sitio web malicioso utilizando “DNS Spoofing”.

El futuro 5G

Las futuras redes 5G también se puede ver afectadas. Si bien es cierto que 5G admite el cifrado autenticado esta función no es obligatoria, lo que nos hace pensar que la mayoría de las compañías no tendrán intención de implementarla.

Para protegerse como usuario de estos ataques solo se ha recomendado usar “HTTPS”. El peso de la protección contra esta vulnerabilidad depende de las operadoras, que podrían solucionarlo actualizando su especificación de LTE (4G) para que use un protocolo de cifrado y autenticación como AES-GCM o ChaCha20-Poly1205. Sin embargo esto conlleva que las operadoras hagan un esfuerzo financiero y organizativo.

El equipo de investigadores ha liberado un PDF con los detalles técnicos del ataque, disponible en el apartado Más información.

La distribución de Linux Gentoo sufre un ataque en su cuenta principal de GitHub

Atacantes desconocidos comprometen durante unas horas la cuenta de GitHub de Gentoo utilizada como reserva de código fuente perteneciente al sistema de paquetería de la distribución

Ocho horas, desde las 20:20 (UTC) del 28 de junio hasta las 04:26 del día siguiente. Esta fue la ventana de tiempo que tuvieron los atacantes para introducir código malicioso en la cuenta de GitHub. Código malicioso que tenía como objetivo borrar todos los archivos del sistema donde se ejecutase, a través de archivos usados por el sistema de paquetería. Los archivos modificados para contener código malicioso son los llamados “ebuilds”, que no son más que archivos de texto con información sobre una pieza de software concreta, especificando el nombre, el autor, cómo se debe construir el software a partir del código fuente y otras librerías…

Por suerte, la repercusión final del ataque es bastante limitada. Lo primero que pone freno a la efectividad del ataque es que el código malicioso no funciona tal y como está, probablemente por un fallo en la programación por parte de los atacantes. Y lo segundo es que la cuenta de GitHubcomprometida se usa como espejo, y no es la infraestructura principal usada por defecto por el sistema de paquetería. La principal está en servidores controlados directamente por la organización de Gentoo.

Otra medida de protección que se puede deducir del comunicado oficial de Gentoo es la verificación de los commits (unidades de actualización de código usadas en repositorios de código como Git). Cada vez que un desarrollador de Gentoo sube código al repositorio a través de un commit, ese commit va firmado por él, y el comunicado da a entender que los commitsconteniendo código malicioso no venían firmados por desarrolladores de Gentoo.

Saber si estás afectado es bastante simple: si has usado esa cuenta de GitHub en los últimos días, es probable que hayas descargado código malicioso. Pero según comentaban, el código no funcionaba. Así que bastaría con sincronizar usando la infraestructura principal en vez de la cuenta de GitHub, para que los paquetes con ebuilds modificados para incluir código malicioso se sobreescriban con versiones buenas, y posteriormente poder reinstalar los paquetes instalados en los últimos días.

Carlos Ledesma
@Ravenons
Más información:
 

Noticias de Seguridad Junio 2018

Vulnerabilidad en Git permite la ejecución de código arbitrario a través de submodulos

Entre los dos fallos corregidos en la última iteración del popular sistema de control de versiones, uno permite la ejecución de código arbitrario a través del clonado recusivo de un repositorio.

El pasado día 29 el equipo de desarrollo de Git lanzaba una nueva versión que corrige dos vulnerabilidades. La primera, con identificador CVE-2018-11233, trata un fallo en las pruebas de validez de rutas en sistemas NTFS que permite leer zonas de memoria aleatorias.

La segunda (CVE-2018-11235) es la que llama especialmente la atención. A través de un fichero .gitmodules especialmente manipulado es posible ejecutar código arbitrario en la maquina que esté clonando un repositorio junto a sus submódulos.

En Git, el proceso de descarga inicial de un repositorio se denomina clonado. Durante este proceso, cierta información no se incluye en la copia local del repositorio. Un ejemplo son los hooks (scripts que se ejecutan al realizarse acciones concretas). Estos son definidos en la versión local de cada usuario, evitando por ejemplo que un repositorio recién clonado ejecute comandos en el equipo del usuario.

Por otro lado, tenemos los submdulos. Estos son utilizados para incluir repositorios de otros proyectos dentro de otro que los requiere. Cuando se clona un repositorio, se pueden clonar sus submódulos automáticamente usando el comando ‘git clone –recurse-submodules‘.

El comportamiento normal de este comando es clonar tanto el repositorio padre como su submódulo, dejando hooks y otras configuraciones fuera de la versión local de ambos. Pero en esta vulnerabilidad se presenta una forma de evitarlo. Primero, se define un submódulo dentro de un repositorio padre, pero además se incluye el código y la configuración del submódulo. De esta forma nos saltamos el proceso de clonado del submódulo (el código ya existe en nuestra versión local) y permitimos a los hooks viajar dentro del repositorio descargado.

Una vez con la definición de los hooks en la máquina del usuario, solo necesitamos que se apunten a ellos para ejecutarlos. Desgraciadamente, existe un error en la validación del parámetro ‘name‘ en la configuración de Git que permite definir dónde residen los hooks que son ejecutados. Se podría definir, por ejemplo, que se ejecutaran los hooks que residen en ‘../submodulo/.git/‘. De esta forma, un atacante remoto podría crear un repositorio especialmente manipulado y ejecutar código arbitrario en nuestro sistema a través de un repositorio Git malicioso.

La vulnerabilidad, que ha sido descubierta por Etienne Stalmans, ya ha sido solucionada en las versiones v2.17.1, v2.13.7, v2.14.4, v2.15.2 y v2.16.4 de Git. Sin embargo, dada la gran cantidad de sistemas que usan Git como base, aun queda trabajo por delante. Por ejemplo, en Kubernetes esta vulnerabilidad permitiría obtener permisos de superusuario en un nodo usando volumenes GitRepo.

Más información:
 
Git v2.17.1 Release Notes:
https://marc.info/?l=git&m=152761328506724&w=2

Remediating the May 2018 Git Security Vulnerability:

https://blogs.msdn.microsoft.com/devops/2018/05/29/announcing-the-may-2018-git-security-vulnerability/

Elevación de privilegios en VMware Horizon Client

Detectada una vulnerabilidad crítica en el producto Horizon Client del fabricante VMware que permite a un atacante realizar una elevación de privilegios.

VMware Horizon ofrece una infraestructura de escritorios virtuales (VDI). Es este caso el cliente de conexión de Horizon permite a los usuarios conectarse a su escritorio virtual desde múltiples dispositivos.

VMware Horizon Client contiene una vulnerabilidad debida a un uso inseguro del permiso SUID en el binario correspondiente, que permitiría a un usuario sin privilegios escalar a root en máquinas donde se encuentran instaladas versiones vulnerables de este producto.

Mitre.org le ha asignado el identificador CVE-2018-6964 a esta vulnerabilidad.

Productos afectados:
VMware Horizon Cliente 4.x y versiones anteriores

Actualizando a la versión 4.8.0 se elimina esta vulnerabilidad. Se recomienda actualizar desde el sitio del fabricante:
https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon_clients/4_0

Mas información:

VMware Security Advisories:
https://www.vmware.com/security/advisories/VMSA-2018-0014.html

VMware Horizon Client for Linux contains a local privilege escalation vulnerability:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6964

Vulnerabilidad en componente Apport de Ubuntu – CVE-2018-6552

Apport gestiona incorrectamente los volcados del núcleo cuando faltan ciertos archivos en /proc. Un atacante local podría aprovechar esta vulnerabilidad para causar una denegación de servicios, elevar privilegios o escapar de contenedores.

Logo de Ubuntu

Apport se encarga recopilar informes de errores para depuración:

  • Recopila información sobre fallos que ocurren en el sistema operativo.
  • Puede ser invocado automáticamente por excepciones no controladas en otros lenguajes de programación.
  • Presenta una interfaz que informa al usuario sobre el problema y le indica cómo proceder.
  • Presentar informes de errores no críticos sobre el software, de modo que los desarrolladores obtengan información sobre las versiones del paquete, versión del sistema operativo, etc.
Recopilación de informe de errores por Apport
Informe de errores por Apport

Esta vulnerabilidad se puede aprovechar cuando Apport trata el ‘PID’ del contenedor como el ‘PID’ global cuando ‘/proc/<global_pd>/’ no se encuentra, permitiendo a usuarios locales crear ciertos ficheros como root.

La función ‘is_same_ns()’ devuelve True cuando ‘/proc//’ no existe para indicar que el error se debe manejar en el ‘namespace’ global en lugar de desde dentro de un contenedor. Sin embargo, si se decide reenviar un error a un contenedor, éste no siempre reemplaza ‘sys.argv[1]’ con el valor almacenado en la variable en ‘host_pid’ cuando ‘/proc//’ no existe, por lo que el ‘PID’ utiliza el ‘namespace’ global.

Esta vulnerabilidad afecta a estas versiones de Ubuntu y sus derivados:

  • Ubuntu 18.04 LTS
  • Ubuntu 17.10
  • Ubuntu 16.04 LTS

Se recomienda actualizar el sistema con las siguientes versiones:

Ubuntu 18.04 LTS:
apport – 2.20.9-0ubuntu7.1

Ubuntu 17.10:
apport – 2.20.7-0ubuntu3.9

Ubuntu 16.04 LTS:
apport – 2.20.1-0ubuntu2.18

Más información:
Common Vulnerabilities and Exposures (CVE)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6552

Actualización de múltiples productos Apple

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows. Entre todos los productos se corrigen 192 fallos de seguridad

Los boletines publicados con las actualizaciones y problemas solucionados se resumen como sigue:El boletín para iOS 11.4, el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), resuelve 35 vulnerabilidades. Este es el boletín más amplio de todos y los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen ‘Bluetooth‘, ‘Contacts‘, ‘FontParser‘, ‘iBooks‘, el kernel y ‘WebKit‘ entre otros. Los fallos más graves permitirían ejecutar código arbitrario con privilegios de sistemaaprovechando diversos problemas en la gestión de la memoria del kernel (CVE-2018-4241, CVE-2018-4243 y CVE-2018-4249).

macOS High Sierra 10.13.5 y los Security Update 2018-003 para Sierra y El Capitan. En este caso se solucionan 32 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘AMD‘, ‘ATS‘, ‘apache_mod_php‘, ‘Bluetooth‘, ‘Hypervisor‘, ‘Firmware‘ y el kernel entre otros. 10 de estas vulnerabilidades podrían permitir la ejecución de código arbitrario 9 de ellas con privilegios de sistema (CVE-2018-4196, CVE-2018-4242, CVE-2018-4228, CVE-2018-4236, CVE-2018-4234, CVE-2018-8897, CVE-2018-4241, CVE-2018-4243, CVE-2018-4230, CVE-2018-4193). Adicionalmente otras 2 permitirían elevar los privilegios del usuario.

Safari 11.1.1 representa otro boletín que soluciona 13 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador.

El boletín para watchOS 4.3.1, el sistema operativo destinado a los relojes inteligentes Apple Watch, soluciona 20 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario y la elevación de privilegios.

En el sistema operativo de los televisores de la marca, tvOS 11.4, se corrigen 24 vulnerabilidades en múltiples componentes, la mayoría de ellas (10) podrían permitir la ejecución de código arbitrario y otras 2 elevar privilegios en el sistema.

Las versiones iTunes 12.7.5 e iCould 7.5 para Windows incluyen la corrección de 32 vulnerabilidades.

Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:
 

Ejecución remota de código en la familia antivirus F-Secure

F-Secure ha corregido una grave vulnerabilidad en su familia de antivirus personales y empresariales, relacionada con la librería 7-Zip y el procesamiento de ficheros comprimidos RAR, que podría generar una ejecución remota de código.
El investigador en seguridad landave, ha publicado un extenso análisis de la vulnerabilidad ya corregida en 7-Zip (CVE-2018-10115) que permitiría a cualquier atacante, mediante la distribución de ficheros RAR especialmente manipulados, ejecutar código arbitrario en la máquina o dispositivo de la víctima
Más información:
 
F-Secure Anti-Virus: Remote Code Execution via Solid RAR Unpacking
https://landave.io/2018/06/f-secure-anti-virus-remote-code-execution-via-solid-rar-unpacking/FSC-2018-2: Remote Code Execution in F-Secure Windows Endpoint Protection Products
https://www.f-secure.com/en/web/labs_global/fsc-2018-2

Zip Slip, oportuno rebranding de una vieja vulnerabilidad

Se ha detectado la posibilidad de sobreescribir archivos arbitrarios, que suele permitir ejecutar código arbitrario, en múltiples proyectos software de envergadura

Sobreescritura de archivos arbitrarios al descomprimir un archivo conteniendo nombres de archivo que escalan directorios. Eso es todo. Pero ya sabemos que cualquier cosa vende más con un nombre pegadizo y un logo bonito. En este caso, los responsables de localizar esta vieja vulnerabilidad en múltiples proyectos importantes fueron los componentes del equipo de seguridad de Snyk, una empresa dedicada a encontrar y arreglar vulnerabilidades en dependencias software.

Más información:
 
Zip Slip Vulnerability (Arbitrary file write through archive extraction)
https://github.com/snyk/zip-slip-vulnerability

Vulnerabilidad CRÍTICA en Chrome: ¡Actualiza ya!

La vulnerabilidad descubierta por Michal Bentkowski fue reportada a finales de Mayo.
Sin dar a conocer ningun detalle técnico, el equipo de seguridad de Chromeha descrito el problema como un manejo incorrecto del encabezado CSP(CVE-2018-6148) en su blog.

Para quien no lo conozca, el encabezado de la Política de Seguridad de Contenido (CSP) permite a los administradores de sitios web añadir una capa adicional de seguridad al permitirles controlar los recursos que el navegador puede cargar.El manejo incorrecto de estos encabezados por el navegador web podría volver a habilitar vulnerabilidades de tipo XSS, Clickjacking o de inyección de código en varias webs que securizaran su sitio con este encabezado.

Para los que no conozcan estos ataques, aquí tenéis algunas UAD escritas sobre ellos:
XSS: https://unaaldia.hispasec.com/search?q=xss
– Clickjacking: https://unaaldia.hispasec.com/search?q=clickjacking
Inyección de código: https://unaaldia.hispasec.com/search?q=inyeccion

El parche para esta vulnerabilidad ya ha sido lanzado, por lo que todos los usuarios deben de asegurarse que su sistema está ejecutando la última version actualizada del navegador Chrome.

Más información:

Perfil de Twitter de Michal Bentkowski:
https://twitter.com/securitymbVulnerabilidad en el blog de Google:

Actualización para Adobe Flash soluciona un 0-day

Adobe ha publicado un boletín de seguridad para Adobe Flash Player, que en esta ocasión soluciona un ‘0-day’ y otras 3 vulnerabilidades que afectan al popular reproductor

Adobe ha publicado un boletín de seguridad (APSB18-19) que corrige cuatro vulnerabilidades en su reproductor Flash Player para Windows, macOS, Linux y Chrome OS. Dos de estas vulnerabilidades son de carácter crítico (una de ellas un ‘0-day’) y las dos restantes están clasificadas como importantes.

Según sus identificadores CVE, los errores de seguridad son los siguientes:

* CVE-2018-4945: un error de confusión de tipos que podría permitir la ejecución de código arbitrario en el contexto del usuario. Este fallo de seguridad ha sido descubierto por Jihui Lu de Tencent KeenLab y willJ de Tencent PC Manager trabajando junto a Trend Micro’s Zero Day Initiative.

* CVE-2018-5000: un desbordamiento de enteros que permitiría la revelación de información. Ha sido reportada anónimamente a través de Trend Micro’s Zero Day Initiative.

* CVE-2018-5001: una lectura fuera de límites que también permitiría revelar información. Ha sido reportada anónimamente vía Trend Micro’s Zero Day Initiative.

* CVE-2018-5002: un desbordamiento de memoria que permitiría ejecutar código arbitrario. Esta vulnerabilidad ha sido descubierta de manera independiente por Chenming Xu y Jason Jones de ICEBRG, Bai Haowen, Zeng Haitao y Huang Chaowen de 360 Threat Intelligence Center (360 Enterprise Security Group), y Yang Kang, Hu Jiang, Zhang Qing, y Jin Quan de Qihoo 360 Core Security.

Existe un exploit ‘0-day’ para esta última vulnerabilidad (CVE-2018-5002) que está siendo explotada,y se tiene constancia de su utilización en ataques dirigidos contra usuarios de Windows en Oriente Medio. Estos ataques aprovechan documentos de Office con contenido incrustado malicioso de Flash Player distribuido por correo electrónico, con nombres como ‘***salary.xlsx’ para llamar la atención del usuario.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 29.0.0.171 (y anteriores) para Windows, macOS, Linux, y los navegadores Google Chrome, Internet Explorer y Edge.

Adobe ha publicado la versión 30.0.0.113 de Adobe Flash Player destinada a solucionar las vulnerabilidades anteriormente expuestas, y se encuentran disponibles para su descarga desde la página oficial.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, macOS y Linux actualizar a través del sistema de actualización del propio producto o desde ‘Adobe Flash Player Download Center’.

Más información:
Security updates available for Flash Player | APSB18-19:

https://helpx.adobe.com/security/products/flash-player/apsb18-19.html

Adobe Flash Player Download Center:

https://get.adobe.com/flashplayer/

CVE-2018-5002 – Analysis of the Second Wave of Flash Zero-day Exploit in 2018:

InvisiMole: el malware espía que convierte tu ordenador en un sistema de vigilancia

InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.

 

Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.

Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.

El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia “secuestrando” una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe‘, ‘explorer.exe‘ o ‘svchost.exe‘. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas

Más información:
 
InvisiMole: surprisingly equipped spyware, undercover since 2013
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/InvisiMole?—?Indicators of Compromise
https://github.com/eset/malware-ioc/tree/master/invisimole

Cuidado con Cortana… ¡Podría llegar a desbloquear tu ordenador!

Este asistente IA podría ayudar a los atacantes a desbloquear la contraseña de un sistema objetivo.

Resultado de imagen de cortana hackedEste martes, Microsoft ha lanzado una actualización para corregir una vulnerabilidad que permitía a un usuario malintencionado entrar en un sistema Windows 10 bloqueado y ejecutar comandos maliciosos con privilegios de usuario.

Esta vulnerabilidad de elevación de privilegios, conocida como CVE-2010-8140, existe debido a una mala verificación de entradas de comandos de Cortana.

Cedric Cochin, del equipo de investigación de amenazas avanzadas de McAfee, ha publicado los detalles técnicos del fallo y una prueba de concepto en la que muestra como secuestró un ordenador con Windows 10 bloqueado llevando a cabo un restablecimiento de contraseña usando a Cortana.

MysteryBot, el nuevo troyano “todo en uno” para Android

Por si fuera poco el nivel de malware existente en los dispositivos Android en estos tiempos, ahora se le suma la propia evolución de LokiBot, que supone una nueva familia de malware denominada como MysteryBot.

El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la cual hereda ciertos comportamientos. Concretamente, ha sido detectado gracias a que MysteryBot tiene el mismo servidor de control que Lokibot.

Podemos corroborar esta información utilizando la plataforma Koodous, en la cual en este momento ya existen muestras clasificadas como MysteryBot:

Las novedades que trae este malware es la combinación de varias vías de ataque que pasamos a desgranar a continuación:

Registro de pulsaciones:El malwareguarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEyeAnubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.

RansomwareEste comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo zipcon contraseña, la cual actualmente no tiene mucha robustez (solo 8 caracteres).

Ataques de superposición:La característica más novedosa de este malware, no tanto por lo que hace si no por su ejecución. Este comportamiento permitía qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. Esta familia abusa del permiso ‘PACKAGE_USAGE_STATS’, que junto con el uso de la clase AccessibilityService y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.

Sin duda el malware es novedoso y aprovecha las últimas técnicas de ataque en Android. Actualmente se desconoce si los atacantes tienen alguna campaña de promoción, pero lo que sí podemos observar en la captura facilitada anteriormente es que la intención es hacerse pasar por la aplicación Adobe Flash Player.

Más información:

MysteryBot; a new Android banking Trojan ready for Android 7 and 8:

Detectados contenedores maliciosos distribuidos a través de Docker Hub para cryptojacking

544.74 Monero, lo que al cambio son unos 67.863€ a la hora de escribir este artículo. Es la cantidad que el atacante detrás de la cuenta de Docker Hub “docker123321” ha sido capaz de minar a lo largo de un año a través de imágenes maliciosas distribuidas a sistemas expuestos y, lo que es peor, usando la propia plataforma de Docker.

Durante el último año, investigadores de varias empresas (Kromtech, Fortinet y Sysdig) han estado siguiendo de cerca este caso, hasta que finalmente el pasado 10 de mayo Docker Hub cerró la cuenta maliciosa. Detrás deja un total de 17 imágenes Docker maliciosas que habían sido descargadas en más de 5 millones de ocasiones.
Más información:

Cryptojacking invades cloud. How modern containerization trend is exploited by attackers:

MirageFox, otra APT de procedencia china

La reutilización de código entre distintas familias  de malware, ha permitido identificar un nueva variante compuesta por código de Mirage y Reaver, APT’s viejas conocidas y asociadas a la organización APT15, presuntamente vinculada al gobierno chino.
Configuración de MirageFox, que hace referencia a Mirage. Extraída de intezer.com.
Reutilizar código es lo más natural del mundo. De hecho, es lo que debes hacer si quieres escribir buen código, ya que escribir código reutilizable no tiene como única ventaja que sea reutilizable. Al tener la reutilización como meta final, debes esforzarte en que el código sea modular y legible, por lo que básicamente tienes que escribir código reutilizable aunque no tengas pensado utilizarlo de nuevo en otro sitio. Para empezar, porque te puedes equivocar y quizá termines reusándolo, y por supuesto por las ventajas adicionales ya comentadas que acarrean esta buena práctica.
No es de extrañar que sea una práctica extendida entre los programadores de malware. Al fin y al cabo, la creciente complejidad del malwareha hecho que el esfuerzo estimado para producir un único malwarese incremente, aproximadamente, en un orden de magnitud cada década. Por tanto, la creación de código reutilizable es imperativa a estas alturas. El término malwareno significa otra cosa que “softwaremalicioso”, que únicamente hace referencia a la intención del software. No nos pueden sorprender por tanto cosas como que el malwarecomparte con el goodware(softwarebenigno) un nivel de calidad del código similar, o el tamaño de los equipos dedicados a la programación de éstos.
Y reutilizar código es lo que parece que ha hecho APT15, un grupo conocido por sus acciones de espionaje informático contra compañías y organizaciones de distintos países, atacando a diversos sectores como la industria del petróleo, contratistas de gobiernos, los militares… Una empresa israelí llamada Intezer, que basa su modelo de negocio en la identificación de reutilización de código en malware, ha sido la queha reconocido esta evolución de Mirageque ha bautizado como MirageFox.
En resumen, las características técnicas de esta nueva versión no son algo a destacar. Es una herramienta de administración remota (RAT) que recopila información del equipo infectado y espera órdenes de un servidor central (C&C). Lo que llama la atención de esta versión es que las muestras encontradas hacen referencia a un servidor central en la misma red localdel equipo infectado. Basándose en el modus operandide APT15en un ataque anterior, los investigadores de Intezerhan concluido que probablemente esta muestra fue configurada especialmente para ejecutarse en una red ya comprometida, concretamente una VPN(red virtual privada) cuya clave privada fue robada previamente por APT15.
Probablemente lo más interesante de esta noticia es que pone el foco de atención sobre métodos alternativos de detección de malware, por contraposición a las clásicas firmas que identifican muestras de familias concretas. Detectar nuevas muestras que han reutilizado código de malwareanterior precisamente por detectar la reutilización de código parece una aproximación bastante buena, debido a la tendencia a reutilizar código por parte de los programadores de malware.
Más información:
 
MirageFox: APT15 Resurfaces With New Tools Based On Old Ones
https://www.intezer.com/miragefox-apt15-resurfaces-with-new-tools-based-on-old-ones/

A Look into 30 Years of Malware Development from a Software Metrics Perspective
https://cosec.inf.uc3m.es/~juan-tapiador/papers/2016raid.pdf

Github advierte sobre instaladores maliciosos encontrados en proyectos basados en blockchain

El pasado 13 de junio Github lanzó un comunicado advirtiendo a los usuarios de criptodivisas sobre instaladores Windows maliciosos encontrados en algunos repositorios de la conocida plataforma de desarrollo.

Estos ataques están dirigidos a proyectos basados en Blockchain, que por lo general involucran alguna criptodivisa que puede ser canjeada por dinero real. Los ataques tratan de suplantar algún componente del proyectopara infectar a sus usuarios y poder robar sus activos digitales.

La investigación tuvo lugar a raíz de que los desarrolladores del proyecto Syscoindescubrieran una copia no firmada del instalador “Windows Syscoin 3.0.4.1”en la página de releases del proyecto.

Tras analizar el instalador descubrieron que contenía código malicioso que “dropeaba” el archivo “re.exe” en la carpeta “C:\Users\user\AppData\Local\Temp”, un troyano con funcionalidades de keylogger capaz de robar contraseñas y los “wallets” de los usuarios:

https://www.virustotal.com/#/file/b105d2db66865200d1b235c931026bf44428eb7327393bf76fdd4e96f1c622a1/detection

El ataque ha afectado a la capitalización del mercado que ha pasado de los 210 dólares a los 120 aproximadamente.

El instalador fraudulento fue subido a través de una cuenta comprometida de Github y afectó a la versión 3.0.4.1 del instalador.

El troyano sólo afecta a usuarios de Windows y los binarios ya se encuentran sustituidos por sus versiones legítimas.

Los usuarios de Windows que descargaron el instalador de Syscoin entre los días 9 y 13 de junio deberían eliminar cuanto antes el troyano, cambiar todas sus contraseñas y transferir todos sus activos a una cartera segura.

Más información:
 
Security Notice for Windows based installers:

Casi 400 modelos de cámaras Axis expuestos a ataques remotos

Se han descubierto 7 vulnerabilidades que afectan a 390 modelos diferentes de cámaras de la marca, que permitirían acceder sin credenciales, escalar privilegios y ejecutar comandos arbitrarios

Las vulnerabilidades han sido descubiertas por la empresa de seguridad VDOO, en un proyecto interno enfocado a la seguridad de cámaras IP. Éstas son:

  • CVE-2018-10658:bloqueo del proceso ‘/bin/ssid’.
  • CVE-2018-10659: bloqueo del proceso ‘/bin/ssid’.
  • CVE-2018-10660: inyección de comandos shell.
  • CVE-2018-10661: salto del proceso de autenticación
  • CVE-2018-10662: elevación de permisos usando funcionalidad ‘.srv’de dbus.
  • CVE-2018-10663: lectura fuera del buffer en proceso ‘/bin/ssid’.
  • CVE-2018-10664: bloqueo del proceso httpd.
De estas vulnerabilidades, las catalogadas con los identificadores CVE-2018-10661, CVE-2018-10662 y CVE-2018-10660 permiten en su conjunto tomar el control total de las cámaras por el atacante sin la necesidad de autenticación. La empresa de seguridad ha puesto algunos ejemplos de las acciones que podrían realizarse:
  • Acceder a la transmisión de vídeo.
  • Bloquear la transmisión de vídeo.
  • Tomar el control de la cámara para activarla/desactivarla o rotarla.
  • Añadir la cámara a una botnet.
  • Alterar o cambiar el firmware de la cámara.
  • Utilizar la cámara para infiltrarse en la red.
  • Inutilizar la cámara.
  • Emplear la cámara para otros ataques, como DDoS o minería de bitcoin.
Las otras vulnerabilidades descritas, con los identificadores CVE-2018-10658, CVE-2018-10659 y CVE-2018-10664, permitirían afectar al funcionamiento de la cámara, sin que se requiera autenticación para ninguna de ellas. Finalmente, la vulnerabilidad CVE-2018-10663 permite la revelación de información sin autenticación.
La empresa que ha descubierto las vulnerabilidades asegura que no hay pruebas de que haya habido explotación, recomendando a todos los usuarios afectados actualizar de inmediato. Axis ha liberado un listadode los modelos afectados.
Las vulnerabilidades en dispositivos IoT se encuentran a la orden del día, evidenciando la necesidad de preocuparse por la seguridad de estos dispositivos y mantenerlos actualizados. No sólo es importante por la posible pérdida de privacidad (como en este caso acceder al streaming de vídeo) sino también porque permiten acceder al resto de la red para vulnerar otros dispositivos.

 

Más información:
 

Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecución remota de código

La vulnerabilidad, la cual requiere encontrarse autenticado, es posible debido a un fallo de “Inclusión de fichero Local” (Local File Inclusion, LFI)

 

El equipo de seguridad ChaMD5 ha encontrado una vulnerabilidaddel tipo “Inclusión de Fichero Local” (Local File Inclusion, LFI) que permitiría la ejecución de código remoto (Remote Code Execution, RCE) en la versión 4.8.1 de PhpMyAdmin, una conocida aplicación web que permite trabajar con bases de datos MySQL del servidor.

La vulnerabilidad se encuentra en la función ‘checkPageValidity’, del fichero ‘/libraries/classes/Core.php’de PhpMyAdmin, la cual se encarga de comprobar que el fichero a cargar usando el parámetro ‘target’ de ‘index.php’es válido. Mediante una doble codificación, es posible saltar la restricción para cargar un archivo local arbitrario. Un ejemplo sería: ‘/index.php?target=db_sql.php%253f/etc/passwd’.

Además, para conseguir la ejecución remota de código, puede aprovecharse que PhpMyAdmin almacena en ficheros de sesión las sentencias SQL introducidas en su interfaz. Así pues, introduciendo una sentencia como “select ‘<?php phpinfo();exit;?>'”, y obteniendo el id de sesión gracias a la cookie ‘phpMyAdmin’, puede ejecutarse código PHP arbitrario, el cual podría llamar a comandos del sistema. Un ejemplo completo sería el siguiente:

index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_d41d8cd98f00b204e9800998ecf8427e’

A día de hoy no se encuentra disponible una versión de PhpMyAdmin que solucione el fallo. Aunque se requiera estar autenticado para la explotación de esta vulnerabilidad, el uso de credenciales por defecto, fuerza bruta u otra vulnerabilidad que permita acceder sin credenciales, podrían permitir el control de la máquina debido a este fallo.

Para evitar la explotación de vulnerabilidades como esta, es importante restringir el acceso a herramientas de administración. Una posible solución es limitar la conexión a IPs autorizadas, o el uso de autenticación Basic Authcon una conexión HTTPS.

Más información:
 
phpMyAdmin 4.8.x LFI to RCE (Authorization Required):
https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/

Plaintee y DDKong malware usado para el ciberespionaje de entidades asiáticas

Se ha descubierto una campaña de ataques de espionaje dirigidos a entidades del sudeste asiático utilizando malware.

Recientemente se ha descubierto una campaña de ciberespionaje que está asociada al grupo detrás del troyano KHRAT y ha estado afectando a los países del sudeste asiático.
El grupo denominado RANCOR usa dos familias de malware ‘PLAINTEE’‘DDKONG’.Los investigadores habían monitorizado la infraestructura del ‘C&C’del troyano ‘KHRAT’ donde identificaron múltiples variantes de este malware.

Vulnerabilidad en WordPress permite a un atacante obtener control total sobre el sitio web en segundos

Un fallo en una de las funciones principales permite borrar cualquier archivo del servidor

La vulnerabilidad descubierta por RIPS Technologiespermite a un usuario con pocos privilegios secuestrar todo el sitio web y ejecutar código arbitrario en el servidor.

El equipo de seguridad de WordPress fue informado del fallo hace 7 meses, pero no se corrigió y afecta a todas las versiones, incluida la actual.

La vulnerabilidad reside en una de las funciones de WordPressque se ejecuta en segundo plano cuando un usuario elimina permanentemente la miniatura de una imagen cargada. Esta acción acepta entradas de usuarios no optimizadas, que permiten a un usuario con privilegios limitados eliminar cualquier archivo del alojamiento web.

El único requisito para explotar el fallo es tener al menos una cuenta de autor, lo cuál reduce la gravedad del problema hasta cierto punto.

Eliminando por ejemplo el archivo wp-config.php, que es uno de los archivos más importantes en la instalación de WordPress, podría obligar a todo el sitio web a volver a la pantalla de instalación permitiendo al atacante reconfigurar el sitio web desde el navegador y tomar su control por completo.

Más información:
 
Artículo de RIPS Technologies:

TicketMaster, un drama en tres actos (y un epílogo)

ACTO I: En el que TicketMaster alerta del ataque

El pasado día 28 de junio, TicketMaster alertaba a sus usuarios respecto a una fuga de información. Según explica en la página web que acompaña al aviso, el día 23 descubrieron que un producto del proveedor Inbenta (una empresa que provee chatbotsy que, por cierto, es de origen español) había sido comprometido. Al estar integrado en gran medida en el sitio web de TicketMaster, la información personal y de pago había podido ser accedida por un actor malicioso desconocido.

La primera reacción de TicketMaster ante esto fue desactivar todos los productos de Inbenta en todas las plataformas.

ACTO II: En el que Inbenta responde a las acusaciones

Inbenta, por su parte, ha dado algo más de detalle sobre el ataque en su propia nota de prensa. Un fichero JavaScript, creado específicamente para cubrir las necesidades de TicketMaster, ha sido el responsable del robo de credenciales.

Acusan directamente a TicketMaster de haber integrado el fichero en su plataforma sin su aprobación, ya que de haberlo sabido habrían avisado del peligro que conlleva. Sin embargo, solo una frase después reconocen que el atacante fue capaz de encontrar y modificar este fichero en su infraestructura.

Según las declaraciones del CEO de Inbenta, Jordi Torras, a ZDNet a través de email, el atacante pudo acceder a los servidores frontendde Inbenta a través de la explotación de varias vulnerabilidades, y abusar de la característica de subida de ficheros a la plataforma para sustituir el fichero por uno con el código malicioso.

ACTO III: En el que descubrimos que Monzo ya habían avisado

Monzo es un banco que opera a través de Internet bastante popular en Reino Unido. A partir del día 6 de abril, empezó a ver como las quejas desde estos países por fraude en tarjetas de crédito se multiplicaban hasta llegar a tener que reemplazar 6000 tarjetas de forma preventiva.

Cruzando los datos de los clientes afectados por fraude con sus transacciones, se dieron cuenta que el 70% de últimos fraudes afectaban a clientes que usaban TicketMaster. Lo raro es que estos representaban solo un 0,8% de su base de clientes, un porcentaje demasiado bajo para tanto fraude. Algo ocurría. El 12 de abril, miembros del equipo de seguridad de TicketMaster visitaron las oficinas de Monzo para estudiar el caso y afirmaron en que se iba a investigar internamente.


Más información:
 
INFORMATION ABOUT DATA SECURITY INCIDENT BY THIRD-PARTY SUPPLIER:
https://security.ticketmaster.co.uk/

Noticias de Seguridad Mayo 2018

El 90% de los clientes de SAP expuestos por un error en la configuración predeterminada de los productos basados en NetWeaver

Al menos 378.000 usuarios expuestos por un error en SAP NetWeaver desde hace 13 años

Recientemente la firma de seguridad ‘Onapsis’, ha descubierto que el 90% de los sistemas SAP se vieron afectados por una vulnerabilidad que puede ser explotada por un atacante remotamente y sin necesidad de autenticarse, lo único que debe tener es acceso a la red del sistema. La vulnerabilidad presente desde 2005 reside en las configuraciones predeterminadas afecta a cada producto basado en SAP NetWeaver incluyendo la suite ‘S/4 Hana’ y ‘ERP’.

Cuando registramos una aplicación este registro se realiza a través del servidor de mensajes(SAP Message Server) por el puerto 3900 (por defecto).

Visualización del registro de aplicaciones en SAP

Para que esto se haga de forma segura el ‘SAP Message Server’ implementa un mecanismo de control mediante una lista de control de acceso o ‘ACL’para verificar que direcciones IP pueden registrar una aplicación y cuales no. El parámetro para configurar esto es ‘ms/acl_info’ que recibe la ruta a un archivo con un formato determinado. La configuración por defecto hace que las ‘ACL‘ permitan a cualquier host con acceso a la red del ‘SAP Message Server’ pueda registrar un servidor de aplicaciones en el sistema SAP.

Desde Onapsis no tienen pruebas de que se haya estado usando esta vulnerabilidad para un ataque, pero este fallo sin duda es bastante grave y con un gran número de afectados.

Para arreglar esta vulnerabilidad hay que modificar la configuración de acuerdo a las notas de seguridad expuestas por el fabricante para restringir el acceso.

Más información:
 

FacexWorm: el malware que se extiende a través de Facebook

facebook-malware-hacking

Descubierto por Trend Micro, este malware se camufla tras una extensión de Google Chrome para robar criptomonedas a las víctimas.

La técnica de ataque utilizada por la extensión maliciosa surgió por primera vez en agosto del año pasado, pero los investigadores han descubierto que se añadieron nuevas capacidades a principios de este mes.

Estas novedades incluyen el robo de credenciales de sitios web, redirigir a las víctimas a estafas de criptomonedas y/o al enlace de referencia del atacante en programas relacionados con criptomonedas e inyectar mineros en las webs.

A finales del año pasado, se descubrió un bot de minería llamado Digmine el cual se propagaba a través de Facebook Messenger y tenía como objetivo a ordenadores Windows, así como a Google Chrome.
Al igual que el malware que acabamos de mencionar, FacexWorm también se propaga mediante ingeniería social a través de Facebook Messenger para redirigir a las víctimas a versiones falsas de sitios webs populares tales como YouTube.
Cabe señalar que la extensión solo se diseñó para usuarios de Chrome. Si el malware detecta cualquier otro navegador web en el dispositivo de la víctima, redirige a un anuncio de aspecto inofensivo.
Cómo funciona
Si el enlace al vídeo malicioso se abre con Chrome, FacexWorm redirecciona a la víctima a una página falsa de YouTube, donde se aconseja al usuario a descargar una extensión maliciosa para el navegador como si de un códec para reproducir el vídeo se tratase.
Una vez instalada, la extensión descarga más módulos para realizar varias tareas maliciosas.
“FacexWorm es un clon de una extensión legítima de Chrome, pero se le inyectó un código que contiene su rutina principal. Descarga el código JavaScript adicional del servidor C&C cuando se abre el navegador”, explican los investigadores.
Dado que la extensión toma todos los permisos extendidos en el momento de la instalación, el malware puede acceder o modificar datos para cualquier web que el usuario abra.
A día de hoy, las criptomonedas reconocidas a las que se dirige FacexWorm incluyen Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), Ethereum (ETH), Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) y Monero (XMR).
Dado que las campañas de spam en Facebook son bastantes comunes, se aconseja a los usuarios estar atentos al hacer clic en enlaces y archivos proporcionados a través de la plataforma del sitio.
Más información:
 

FacexWorm Targets Cryptocurrency Trading Platforms, Abuses Facebook Messenger for Propagation:
https://blog.trendmicro.com/trendlabs-security-intelligence/facexworm-targets-cryptocurrency-trading-platforms-abuses-facebook-messenger-for-propagation/

Elevación de privilegios y otras vulnerabilidades en TP-Link EAP Controller

Se han hecho públicos varios fallos de seguridad que afectan a EAP Controller y que podrían permitir elevar privilegios, descargar, modificar y restaurar una copia de seguridad, y realizar ataques Cross-Site Request Forgery (CSRF) y Cross Site Scripting (XSS).

EAP Controller es un software de gestión para dispositivos TP-Link EAP que permite la administración y supervisión de forma centralizada utilizando un navegador web. En las nuevas versiones, TP-Link ha cambiado el nombre de este software a Omada Controller.

Las vulnerabilidades, descubiertas por Julián Muñoz de Core Security Exploits QA, son las siguientes:

* CVE-2018-10168: la falta de control de privilegios en el uso de la API web permitiría a un usuario limitado realizar cualquier solicitud como administrador.

* CVE-2018-10167: la clave utilizada para encriptar el fichero de respaldo de la aplicación web se encuentra incrustada en el software, lo cual podría comprometer su confidencialidad e integridad.
* CVE-2018-10166: falta de protección ante falsificación de solicitudes entre sitios. Al no haber tokens ‘anti-CSRF’ en los formularios de la interfaz web, un atacante podría enviar solicitudes autenticadas engañando o convenciendo a un usuario con sesión activa para que visite una página web especialmente manipulada desde la que se realizará la petición HTTP no autorizada y sin conocimiento del usuario legítimo.
* CVE-2018-10165: el parámetro ‘userName’ en ‘/hotspot/localUser/saveUser’ es vulnerable a un XSSpersistente.
CVE-2018-10164: la implementación de ‘portalPictureUpload’ es vulnerable a un XSS persistente.

Nueva actualización de Koodous disponible en Google Play

El pasado 3 de mayo se publicó en Google Play una nueva versión de Koodous. Concretamente la 2.1.10, que introduce cambios en su interfaz y nuevas funcionalidades que repasaremos a continuación.

Cuando empezamos en 2015, Koodous contaba con un dataset de aplicaciones de a penas 3 millones de muestras. Hoy día contamos con más de 28 millones de APK y un volumen de más de 10.500 usuarios activos, de los cuales más de 3.500 son analistas.

Para quienes no lo conozcan, Koodous Mobile funciona como antivirus, protegiendo tu dispositivo Android de aplicaciones maliciosas como troyanos, virus y publicidad abusiva.

¿Qué diferencia a Koodous de los antivirus tradicionales?

Básicamente dos cosas: por un lado el repositorio de muestras, que a día de hoy cuenta con más de 28 millones de APK. Y por otro, una comunidad creciente y activa de analistas que ayudan con sus reglas a detectar nuevas familias de malware y aplicaciones potencialmente no deseadas.

La nueva aplicación se ha reescrito casi desde cero para reducir aún más el impacto en el rendimiento, incluso en dispositivos antiguos.

Denegación de servicio en NetBSD a través de IPsec

Se han descubierto múltiples vulnerabilidades en la implementación de IPsec en NetBSD, que pueden usarse para causar al menos denegación de servicio

NetBSD es un sistema operativo gratuito y de código abierto, catalogado en el grupo de sistemas operativos Unix-like (parecidos a Unix). Está enfocado en la claridad del código, diseño cuidadoso y portabilidad sobre múltiples arquitecturas. Precisamente, su lema principal es ‘Of course it runs NetBSD’, y multitud de fuentes afirman que es el sistema completo que corre en más arquitecturas. Si bien es probable que el kernel Linux corra en más arquitecturas, NetBSD como distribución completa con múltiples utilidades básicas en un sistema operativo ganaría el pulso.

El asunto que nos trae hoy es el descubrimiento de múltiples vulnerabilidades en la implementación de IPsec. Esta implementación forma parte del espacio del kernel, y se encarga de implementar el conjunto de protocolos del mismo nombre, que extienden la funcionalidad del protocolo IP para cifrar y/o autenticar sus paquetes. La forma clásica en la que se presenta es como parte de una red privada virtual, conocido por sus siglas en inglés ‘VPN’.

Concretamente, las vulnerabilidades se encuentran tanto antes como después de cifrar y autenticar, y oficialmente se anuncia que los impactos son denegación de servicio y corrupción de memoria, ambos explotables remotamente. Una de las formas clásicas de denegación de servicio consiste en explotar una vulnerabilidad que corrompe la memoria de un proceso, ocasionando un funcionamiento anómalo que termina accediendo a una zona de memoria no permitida y el proceso se cierra como medida de protección.

Pero si se tiene el poder de corromper la memoria, es posible en algunos escenarios que la corrupción controlada y cuidadosamente diseñada de ésta nos permita ejecutar código que nos interese. A veces incluso especificando explícitamente el código como parte de la entrada anómala que provoca la corrupción (por contraposición a ejecutar otro código ya existente en la memoria del proceso, por redirección del flujo de ejecución). En este caso el boletín no especifica si es posible ejecutar código de forma remota, aunque dada la cantidad de vulnerabilidades (siete) y no afirmar lo contrario, no es posible descartar este impacto. Quizás en las próximas semanas alguien publica un reporte afirmando este impacto tras buscarle las cosquillas al kernel

Todas las vulnerabilidades afectan a partir de la rama 6, y ya han sido corregidas. Para aplicar las correcciones, es necesario obtener el código fuente del kernel de una versión corregida, compilarlo, instalarlo y reiniciar el sistema. Maxime Villard es el responsable de estos descubrimientos.

Más información:
 

Publicado el informe de ciberamenazas y tendencias del CCN-CERT

El Centro Criptológico Nacional ha publicado su ya tradicional informe de ciberamenazas y tendencias edición 2018.

El informe, que cumple una década de publicaciones, hace un repaso a la experiencia acumulada por el CERT (Centro de respuesta a incidentes de seguridad de la información) del propio CCN en base a los más de 26.000 incidentes ocurridos en su ámbito, además del análisis de hechos relevantes acaecidos en el panorama internacional.

La cifra supone un aumento del 26,55% respecto a la contabilidad del año 2016. Destaca el continuo ascenso en protagonismo de las acciones ejecutadas por grupos estatales y, por otro lado, la de los omnipresentes grupos criminales.

El ahora de moda concepto de “Internet de las cosas” se posiciona como elemento clave para facilitar los ataques de denegación de servicio distribuida. Un nuevo frente a gestionar y a tener en cuenta que lleva ya algo de tiempo causando estragos por los descuidos que conlleva su configuración inicial y dejadez posterior en su mantenimiento.

De los casos con una motivación económica, se señalan los ataques a posiciones de dirección de empresas y a los departamentos financieros en general. Cobra lógica, debido a la escasa concienciación y formación digital que suelen disponer típicamente los perfiles de administración; presas fáciles de la ingeniería social.

Un hecho señalable, en el mismo sentido, es el caso de malware Cobalt, cuyo autor fue detenido en España, causable de infecciones en sistemas operados por empleados de banca, a los que se atacaba desde vectores de ingeniería social. Como dato destacable, las operaciones de este grupo criminal afectaron a más de 100 instituciones financieras en más de 40 países.

Por otro lado, respecto al ransomware, este cae en cifras de infección. Sin embargo, sospechamos que no se trataría de una mejora desde las lineas defensivas, sino más bien de un cambio de perspectiva de los atacantes sobre un concepto de sobras conocido por el público: la criptominería. ¿Para que cifrar un disco duro cuando puedes calcular hashes con la CPU de tus víctimas?

Se recoge también un ascenso en ataques de denegación de servicio sobre organizaciones. Del mismo modo se recoge una subida en los ataques web, con la finalidad de obtener información privilegiada o para la venta de datos.

Cifras en caída para el número de infecciones detectadas en dispositivos móviles de forma global, aunque como contrapunto, aumenta la sostificación del código malicioso. También se recoge un descenso en el uso de kit de explotación.

Finalmente, el informe recoge un capitulo a las medidas de protección de individuos y organizaciones, así como otro capítulo dedicado a las tendencias posibles que se visualizan respecto a los ataques para el próximo periodo. En resumen, un informe de recomendada lectura que glosa el estado del arte actual respecto a los ataques acaecidos en el ciberespacio.

Más información:


Ciberamenazas y tendencias -edición 2018-

Publicado el informe de ciberamenazas y tendencias del CCN-CERT

El Centro Criptológico Nacional ha publicado su ya tradicional informe de ciberamenazas y tendencias edición 2018.

El informe, que cumple una década de publicaciones, hace un repaso a la experiencia acumulada por el CERT (Centro de respuesta a incidentes de seguridad de la información) del propio CCN en base a los más de 26.000 incidentes ocurridos en su ámbito, además del análisis de hechos relevantes acaecidos en el panorama internacional.

La cifra supone un aumento del 26,55% respecto a la contabilidad del año 2016. Destaca el continuo ascenso en protagonismo de las acciones ejecutadas por grupos estatales y, por otro lado, la de los omnipresentes grupos criminales.

El ahora de moda concepto de “Internet de las cosas” se posiciona como elemento clave para facilitar los ataques de denegación de servicio distribuida. Un nuevo frente a gestionar y a tener en cuenta que lleva ya algo de tiempo causando estragos por los descuidos que conlleva su configuración inicial y dejadez posterior en su mantenimiento.

De los casos con una motivación económica, se señalan los ataques a posiciones de dirección de empresas y a los departamentos financieros en general. Cobra lógica, debido a la escasa concienciación y formación digital que suelen disponer típicamente los perfiles de administración; presas fáciles de la ingeniería social.

Un hecho señalable, en el mismo sentido, es el caso de malware Cobalt, cuyo autor fue detenido en España, causable de infecciones en sistemas operados por empleados de banca, a los que se atacaba desde vectores de ingeniería social. Como dato destacable, las operaciones de este grupo criminal afectaron a más de 100 instituciones financieras en más de 40 países.

Por otro lado, respecto al ransomware, este cae en cifras de infección. Sin embargo, sospechamos que no se trataría de una mejora desde las lineas defensivas, sino más bien de un cambio de perspectiva de los atacantes sobre un concepto de sobras conocido por el público: la criptominería. ¿Para que cifrar un disco duro cuando puedes calcular hashes con la CPU de tus víctimas?

Se recoge también un ascenso en ataques de denegación de servicio sobre organizaciones. Del mismo modo se recoge una subida en los ataques web, con la finalidad de obtener información privilegiada o para la venta de datos.

Cifras en caída para el número de infecciones detectadas en dispositivos móviles de forma global, aunque como contrapunto, aumenta la sostificación del código malicioso. También se recoge un descenso en el uso de kit de explotación.

Finalmente, el informe recoge un capitulo a las medidas de protección de individuos y organizaciones, así como otro capítulo dedicado a las tendencias posibles que se visualizan respecto a los ataques para el próximo periodo. En resumen, un informe de recomendada lectura que glosa el estado del arte actual respecto a los ataques acaecidos en el ciberespacio.

 

Más información:


Ciberamenazas y tendencias -edición 2018-

Disponible el informe anual del CCN-CERT sobre amenazas y vulnerabilidades en dispositivos móviles

El CCN-CERT (Centro Criptológico Nacional) ha publicado el informe anual sobre las amenazas y vulnerabilidades en dispositivos móviles.

El informe, nos muestra un recorrido por todo lo acontecido a lo largo de 2017 en materia de seguridad en dispositivos móviles. Sin lugar a dudas, y tal y como refleja el propio informe en su introducción, estos sistemas poseen una amplia adopción tanto en el mundo profesional como en el personal. Esto se refleja también en la orientación o tendencias del malware, cada vez más enfocado en el mundo móvil.

Un hecho destacable es la predominancia del sistema operativo Android y la casi completa desaparición del malogrado Windows Phone. Respecto a Android se vuelve a confirmar algo que ya sabíamos y que hemos repetido varias veces desde Una-al-día: la fragmentación de Android. Un fenómeno que no solo fastidia a los desarrolladores de la plataforma de Google, sino que también significa que una larga porción de usuarios podría estar exponiéndose a vulnerabilidades que afectan a versiones sin soporte.

No obstante, respecto a la fragmentación de Android, el informe recoge una interesante iniciativa que intentará paliar los efectos de este fenómeno. Básicamente, se trataría de separar la capa de personalización de los fabricantes del sistema base. Esto, facilitaría que el gigante del buscador pueda ofrecer actualizaciones de forma más rápida a los usuarios, sin tener que esperar meses o de manera indefinida a un parche producido por el fabricante del terminal.

El informe, también dedica un capítulo a explorar las diferentes medidas se seguridad biométrica, como el sistema FaceID de Apple, el escaneo del iris y reconocimiento facial de Samsung o el Intelligent Scan que estrenaron los dispositivos S9 y S9+ del mismo fabricante.

Otros aspectos destacables del informe son la adopción paulatina de formas adaptadas de inteligencia artificial en estos dispositivos y los sistemas de protección frente a desbloqueos y extracción forense de datos en caso de sustracción o pérdida del terminal. Recordemos la importancia de estas plataformas hace que sean un objetivo muy apetecible para el robo de información sensible, sobre todo en el ámbito de las organizaciones y gobiernos.

A destacar la parte de análisis de las amenazas más destacadas en el sentido del malware que afecta a sistemas operativos móviles, en la que vuelve a ser el protagonista Android, así como la orientación de los objetivos del código malicioso a explotar las capacidades computaciones de estos sistemas para minar criptomoneda.

En resumen, una interesante lectura que glosa lo acontecido en seguridad de sistemas y plataformas móviles durante el pasado año y marca, a su vez, las lineas de tendencia que podría seguir el presente año.

Más información:

Las URL’s con capacidad de minado no paran de crecer

Cada vez son más las webs que integran capacidad de minado en segundo plano. Este proceso ocurre de forma paralela a la navegación, siendo transparente para el usuario, pero no tanto para la CPU…

Hoy en día el más famoso y popular es CoinHive,  una empresa que suministra un código JavaScript con capacidad de minado de la cryptomoneda Monero y añade trazabilidad de los resultados a través de un panel web. Siguiendo a CoinHive se encuentran muy de lejos proyectos como CoinIMP y SocketMiner, pero en este momento, juntando ambos no representan ni un 1% de los casos de minado detectados.

Desde el mes de Enero hemos introducido reglas en nuestra red de visitadoras para detectar casos de minería en webs. En Hispasec analizamos más de tres millones de urls diariamente dentro de nuestro servicio Antifraude, en busca de cualquier amenaza que pueda comprometer la seguridad de nuestros clientes.

Número de URL’s analizadas que presentan minado:

  • Enero: 33451
  • Febrero: 41182
  • Marzo: 47471
  • Abril: 49324
  • Mayo: 66294 estimadas (del día 1 al 10 se detectaron 22098)

Los datos confirman una tendencia al alza de este tipo de técnicas, aunque cruzando los resultados obtenidos con el top 1000 de Alexa no se han encontrado cruces relevantes que confirmen que esta técnica esté siendo utilizada como forma de financiación. Las webs analizadas en su mayoría eran o bien urls de publicidad o páginas de descarga de contenido multimedia.

Vulnerabilidad crítica: usuarios de PGP deben desactivar de inmediato plugins de descifrado de emails

Acaba de anunciarse el descubrimiento de una vulnerabilidad que podría comprometer las comunicaciones futuras y pasadas a través de email que usan PGP

El descubrimiento de una vulnerabilidad por un grupo europeo de investigación, entre los que se encuentran miembros de DROWN Attack, obliga a desactivar de inmediato los plugins para el descifrado de emails mediante PGP y S/MIME. Se especifican en concreto los siguientes plugins:

  • Thunderbird con Enigmail
  • Apple Mail con GPGTools
  • Outlook con Gpg4Win
Aunque todavía no se han dado detalles sobre el funcionamiento de esta vulnerabilidad, se sabe que su explotación puede realizarse mediante un email especialmente manipulado. Además, esta vulnerabilidad no sólo afectaría a los futuros emails, sino también a los pasados.
Es necesario aclarar, que el fallo no se encontraría en GPG, el cual sigue siendo seguro tal y como ha asegurado GnuPG en Twitter, sino en el parseador que utilizan los plugins para detectar errores en el descifrado.
La vulnerabilidad a día de hoy no tiene solución, según ha dicho Sebastian Schinzel a través de Twitter, por lo que deben mantenerse deshabilitados o desinstalar los plugins que permitan el descifrado hasta entonces. Mañana martes, a las 07:00 UTC (08:00 en España peninsular) se mostrarán más detalles en un paper que se liberará.
?
Más información:
Anuncio en Twitter por Sebastian Schinzel:

Google Chrome corrige una vulnerabilidad crítica en su sandbox

Google Chrome ha actualizado su reciente versión 66 para corregir cuatro importantes vulnerabilidades, entre ellas una crítica que permitía tomar el control total del navegador saltándose las restricciones de la sandbox.
La actualización 66.0.3359.170, que ya está disponible para todos los sistemas operativos, corregiría las siguientes 4 vulnerabilidades:
  • Crítica: Vulnerabilidad por evasión de la sandbox, que permitiría ejecución remota de código.
  • Alta: Escalada de privilegios a través de las extensiones (CVE-2018-6121)
  • Alta: Denegación de servicio a través del motor V8 (CVE-2018-6122)
  • Alta: Denegación de servicio a través a través de PDFium (CVE-2018-6120)

Como siempre, y hasta que la mayoría de usuarios no hayan actualizado a esta versión, no se publicarán más datos sobre las vulnerabilidades.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados, o a través de “Información sobre Google Chrome” (chrome://chrome/).

Más información:

DynoRoot: Ejecución remota de código con permisos de root en sistemas RedHat

El pasado 15 de mayo se publicó una vulnerabilidad que afecta al cliente DHCP de sistemas RedHat Enterprise Linux 6 y 7. La vulnerabilidad, considerada crítica, permitiría la ejecución remota de código con permisos de root.

DynoRoot es el nombre de marca de la vulnerabilidad etiquetada con CVE-2018-1111, un fallo que afecta al script de integración del componente NetworkManager con el cliente DHCP (/etc/NetworkManager/dispatcher.d/11-dhclient en Red Hat Enterprise Linux 7 o /etc/NetworkManager/dispatcher.d/10-dhclient en Red Hat Enterprise Linux 6).La vulnerabilidad permitiría a un atacante remoto podría falsificar las respuestas enviadas al cliente DHCP para inyectar código arbitrario en el script de NetworkManager antes mencionado que se ejecutaría con permisos de super usuario.

El usuario @Barknkilic ha publicado en un tweet una prueba de concepto en la que consigue abrir una sesión de netcat en la máquina de la víctima:

RedHat ha publicado la lista de productos afectados y los respectivos parches en el siguiente enlace: https://access.redhat.com/errata/RHSA-2018:1453

Productos afectados

  • Red Hat Enterprise Linux Server 7 x86_64
  • Red Hat Enterprise Linux Server – Extended Update Support 7.5 x86_64
  • Red Hat Enterprise Linux Workstation 7 x86_64
  • Red Hat Enterprise Linux Desktop 7 x86_64
  • Red Hat Enterprise Linux for IBM z Systems 7 s390x
  • Red Hat Enterprise Linux for IBM z Systems – Extended Update Support 7.5 s390x
  • Red Hat Enterprise Linux for Power, big endian 7 ppc64
  • Red Hat Enterprise Linux for Power, big endian – Extended Update Support 7.5 ppc64
  • Red Hat Enterprise Linux for Scientific Computing 7 x86_64
  • Red Hat Enterprise Linux EUS Compute Node 7.5 x86_64
  • Red Hat Enterprise Linux for Power, little endian 7 ppc64le
  • Red Hat Enterprise Linux for Power, little endian – Extended Update Support 7.5 ppc64le
  • Red Hat Enterprise Linux for ARM 64 7 aarch64
  • Red Hat Enterprise Linux for Power 9 7 ppc64le
  • Red Hat Enterprise Linux for IBM System z (Structure A) 7 s390x
Recomendamos actualizar cuanto antes los productos afectados.
Más información:
 
[?#??] DynoRoot!!!1111 – CVE-2018-1111
DHCP Client Script Code Execution Vulnerability – CVE-2018-1111

Actualizaciones de seguridad en Adobe Acrobat y Reader

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader. Entre los fallos corregidos, hay una ejecución remota de código arbitrario.

Con un total de 47 vulnerabilidades corregidas, Adobe ha publicado parches que dan solución a un variado espectro de errores de programación: desbordamiento de memoria heap, double free (liberación reiterada del mismo recurso), uso de recursos ya liberados, escritura y lectura fuera de límites o evasión de restricciones de seguridad entre otras.

23 de estos fallos permitirían ejecutar código arbitrario, por lo que han sido categorizados como críticos. Además, una de estas vulnerabilidades, con la etiqueta CVE-2018-4990, está siendo explotada actualmente y se conoce, al menos, de una prueba de concepto para otra más, con CVE-2018-4993.

Adobe ha puesto ha disposición de sus usuarios las actualizaciones pertinentes para las versiones de sus programas en los sistemas operativos Microsoft Windows y Apple MacOS.

Más información:
 

Ejecución remota de código en Microsoft PowerPoint para Mac

Se ha descubierto una vulnerabilidad en la forma en que Microsoft PowerPoint para Mac procesa contenido XML, que puede ser explotada para ejecutar código arbitrario si se convence a la víctima para abrir un archivo especialmente diseñado

Microsoft Office es la suite de ofimática por excelencia, de sobras conocido por todos y que requiere poca introducción a estas alturas de la película. Lo que sí es menos conocido, al menos entre los usuarios de Windows, es que dispone de una versión para Mac. De hecho, paradójicamente la primera versión de Microsoft Office se publicó para Mac en 1989, saliendo para plataformas Windows un año después.

La vulnerabilidad que nos ocupa es un clásico en la gama de vulnerabilidades que llevan afectando a Office durante años, y consiste en la posibilidad de ejecutar código arbitrario a través de un archivo especialmente diseñado. Esta vez se debe a un fallo en la forma que PowerPoint tiene de procesar contenido XML incluido en un archivo para este programa. Básicamente, el proceso de formatos de archivo como XML requiere de código bastante complejo, teniendo que procesar muchos casos distintos y sujeto a restricciones de velocidad (no podemos tener a un usuario más de X segundos esperando que se abra un documento). Esto hace que el código que procesa este tipo de formatos sea, simple y llanamente, un lío. Una receta para el desastre.

Identificada como CVE-2018-8176, la vulnerabilidad afecta únicamente a la version de Microsoft Office 2016 para Mac, específicamente a PowerPoint. Como comentábamos, la forma de explotación no tiene nada de especial: crea un archivo manipulado y mándalo por correo, cuélgalo en algún sitio… Y espera a que alguien con Office 2016 para Mac pique. Eso sí, Microsoft especifica que la creación de un archivo especialmente manipulado que pueda explotar esta vulnerabilidad tiene una dificultad bastante grande. Al igual que comenta que no se ha detectado que se esté explotando esta vulnerabilidad por el momento.

Microsoft ya ha publicado en su página oficial una actualización que corrige esta vulnerabilidad.

Más información:

CVE-2018-8176 | Microsoft PowerPoint Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8176

Security Update
https://go.microsoft.com/fwlink/p/?linkid=831049

Ejecución de código arbitrario en Velocloud VMWare NSX SD-WAN

La vulnerabilidad en la interfaz web de esta característica de Velocloud VMWare permitiría la ejecución de código sin la necesidad de encontrarse autenticado

 

NSX SD-WAN Edge es un componente incluido en Velocloud VMWare para la conexión en soluciones en la nube. Este componente, cuenta como opción para su administración de una interfaz web, que es el que contiene la vulnerabilidad. Por fortuna, esta opción se encuentra desactivada por defecto y según anuncia VMWare debería emplearse únicamente en redes privadas. Además, según puede leerse en el anuncio de la vulnerabilidad, está prevista su eliminación en futuras versiones.

El fallo, con CVE-2018-6961, ha sido encontrado por Brian Sullivan de la empresa Tevora, el cual ha reportado para su solución a VMWare. Las versiones 3.x y 2.x de Velocloud VMWare SD-WAN Edge solucionan este fallo, debiéndose actualizar a dicha versión si se emplease el servicio afectado. Para la explotación de la vulnerabilidad, se requiere que el servicio se encuentre activado y sea accesible por el atacante, por lo que una posible forma de mitigar el error es desactivar el servicio, tal y como recomiendan desde VMWare.

Igualmente, se recuerda que este servicio debería sólo utilizarse en redes privadas, y que desaparecerá en futuras versiones.

Más información:


NSX SD-WAN by VeloCloud:

https://www.vmware.com/products/nsx-sd-wan-by-velocloud.html


VMware Security Advisories. VMSA-2018-0011:

https://www.vmware.com/security/advisories/VMSA-2018-0011.html

Desactivar interfaz web NSX SD-WAN Edge:
https://kb.vmware.com/s/article/55009

Más de 500.000 routers y dispositivos NAS afectados por VPNFilter

El equipo de investigadores de Cisco Talos se hacen eco de una nueva familia de malware muy destructiva: VPNFilter. Capaz de robar credenciales, exfiltrar información e incluso destruir el dispositivo afectado.

Los ataques están dirigidos en su mayoría a hosts de Ucrania. Disponiendo de una infraestructura de C&C específica para este país. Aunque otros 54 países se han visto afectados.

Hasta la fecha se sabe que el malware afecta a dispositivos de distinta categoría, tanto de uso doméstico como empresarial:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS para Routers Cloud Core: Versiones 1016, 1036, y 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Otros dispositivos QNAP NAS que funcionen con software QTS
  • TP-Link R600VPN

Estos dispositivos utilizan credenciales por defecto o están afectados por alguna vulnerabilidad ya conocida. De este modo el malware es capaz de infectar y propagarse a otros dispositivos.

Más información:
 
New VPNFilter malware targets at least 500K networking devices worldwide
https://blog.talosintelligence.com/2018/05/VPNFilter.html

Telegrab un malware en la mensajería instantanea de Telegram

Telegrab un malware de Telegram capaz de robar credenciales de navegadores y cookies

Los ví­deomensajes llegan a Telegram

Telegrab es como se ha bautizado a este malware que se detectó por primera vez el 4 de abril de 2018, y surgió una segunda variante el 10 de abril del presente año. Mientras que la primera versión solo robaba credenciales y cookies del navegador, junto con todos los archivos de texto que puedan encontrarse en el sistema, la segunda variante agregó la capacidad de recopilar la caché del cliente de escritorio y las claves de esta famosa aplicación de mensajería , así como otro tipo de información. El robo de este tipo de información podría acarrear en que se puedan secuestrar las sesiones de Telegram.El radio de acción de este malware es principalmente víctimas de habla rusa y evita intencionadamente las direcciones IP relacionadas con cualquier servicio de anonimización de usuarios.

Como hemos dicho antes no explota ninguna vulnerabilidad si no que se aprovecha de que el cliente de escritorio de Telegram no soporta los “‘chats secretos” esto junto con una configuración por defecto de no cerrar la sesión automáticamente hace que este malware pueda secuestrar la sesión y por lo tanto las conversaciones. Su funcionamiento se basa en obtener todos los datos de la caché y comprimirlos para posteriormente enviarlo al servidor de control, si suponemos que el atacante no tiene la contraseña, no debería ser difícil para ellos crear un mecanismo de fuerza bruta que les permita obtener la contraseña para así poder descifrar los ficheros.

Esta campaña no es muy sofisticada pero si es tremendamente eficiente, no existe persistencia en la máquina por lo tanto el malware se ejecuta cuando la víctima lo ejecuta, pero no después de reiniciar. El malware se distribuye a través de varios ‘downloaders’ escritos en diferentes lenguajes (Go, Python, DotNet), estos ‘downloaders’ descargan un fichero con nombre“whiteproblem.exe”(entre otros por ejemplo: finder.exe, dpapi.exe, enotproject.exe).

Una vez se descarga el malware tiene dos posibles variantes: la primera ejecuta el finder.exe y la segunda se trata de un fichero ‘.rar’ autoextraible que contiene un ejecutable de python. El fichero “finder.exe” es el responsable de buscar en el disco duro las credenciales del navegador y las cookies de sesión para un usuario, también recoge todos los archivos de texto del sistema, este ejecutable también es el responsable de la exfiltración de la información recopilada.

Si comparamos esta amenaza con las de grandes grupos delictivos en Internet resulta ser insignificante, pero no nos engañemos, esto solo muestra como una amenaza pequeña puede pasar desapercibida y comprometer miles de credenciales.

 

Más información:
 
Fuente:

Un ataque de ‘downgrade’ en Z-Wave deja expuestos a 100 millones de dispositivos IoT

Alrededor de 100 millones de dispositivos IoT expuestos por una vulnerabilidad en el protocolo Z-Wave

Resultado de imagen de z-wave

Z-wave es un protocolo utilizado principalmente en domótica. Este protocolo permite el control inalámbrico de electrodomésticos y otros dispositivos, está destinado para la automatización del hogar y/o la oficina, permitiendo una conexión a través de Internet para controlarlo.

Los investigadores Ken Munro y Andrew Tierney han descubierto que más de 100 millones de dispositivos de miles de proveedores son vulnerables a un ataque llamado ‘downgrade’ (hacer que el dispositivo vuelva a usar una versión anterior de un sistema, software o protocolo volviéndolo inseguro) que podría permitir a los atacantes obtener acceso no autorizado a los dispositivos. El problema radica en la implementación del protocolo citado antes, una tecnología basada en radiofrecuencias que los dispositivos del hogar usan para comunicarse entre sí.

Resultado de imagen de z-wave
Esquema de conexión Fuente

El último estándar de seguridad para Z-Wave (S2 framework) utiliza un intercambio de claves de acuerdo al sistema ‘Diffie-Hellman’, para compartir las claves únicas entre la unidad controladora central y el dispositivo o dispositivos clientes. Después de que la empresa propietaria de Z-Wave obligase a todos los dispositivos IoT certificados a usar este último estándar en seguridad, millones de dispositivos aún admiten la versión más antigua e insegura del proceso de emparejamiento (S0 framework).

Este estándar se demostró vulnerable en 2013 debido al uso de una clave de codificación insegura para proteger la clave de red, lo que permitía a los atacantes interceptar la comunicación entre los dispositivos estando lo suficientemente cerca. Los investigadores han hecho un vídeo con la prueba de concepto y no solo han conseguido explotar este tipo de ataque si no que se han hecho con el control total del dispositivo robando las claves y controlando el dispositivo.

El 18% de los móviles Android con aplicaciones bancarias instaladas tienen algún tipo de malware.

Un reciente estudio interno basado en los datos de Koodous llevado a cabo por nosotros mismos (Hispasec), revela un dato ciertamente preocupante: un 18% de los móviles analizados tienen instalado algún tipo de malware. El estudio cruza los datos de usuarios con aplicaciones de banca en línea con el malware detectado por Koodous.

¿Qué es Koodous?

Aunque a día de hoy pensamos que la mayoría de nuestros lectores lo conocen lo recordaremos para los más despistados: Koodous es un antivirus colaborativo para Android que pone a disposición de los analistas de malware todo el potencial de los sistemas de análisis; para que mediante la creación de firmas Yara puedan categorizar las muestras que van siendo recogidas por el sistema. Por lo cual son los analistas los que mediante la creación de firmas categorizan las aplicaciones.

El número de usuarios y aplicaciones maliciosas sigue creciendo.

Según los datos que manejamos desde 2014, y una estimación de los datos recogidos en 2018 podemos calcular la siguiente gráfica que muestra una clara tendencia alcista de aplicaciones fraudulentas.

Según datos de la agencia Gartner, el número de terminales móviles con sistema operativo Android no para de crecer, aunque si bien es cierto que iOS mantiene un crecimiento superior al de Android, la cuota de mercado de Android cercana al 86% dan una ventaja que explica entre otras cosas el interés de los atacantes en esta plataforma para la creación de amenazas. Si bien es cierto que existen otros factores determinantes como lo abierto del sistema operativo o que históricamente iTunes ha implementado controles más severos para controlar la subida de aplicaciones.

Más información:

MAIA:
https://www.hispasec.com/es/services/maia

Koodous Google Play:
https://play.google.com/store/apps/details?id=com.koodous.android

Gartner:

https://www.gartner.com/newsroom/id/3876865

Noticias de Seguridad Abril 2018

Estado del arte del malware de minado de criptomonedas publicado por CSIRT-CV

El Centro de Respuesta ante Incidentes de la Comunitat Valenciana (CSIRT-CV) ha publicado hoy un estudio sobre el estado del arte de algunas de las variantes más extendidas de amenazas orientadas al minado de criptodivisas.

En el informe se detallan el tipo de equipos objetivo más comunes de cada una, así como sus principales vías, técnicas de infección y últimas tendencias que este CSIRT ha detectado.

A partir de toda la información recabada en dicho informe se puede enfatizar el considerable incremento de nuevas amenazas de tipo ‘miner’ y el hecho de que la mayoría se basan en código reutilizado de repositorios públicos. Otro hecho interesante es que se está explotando todo tipo de dispositivos para minar criptomonedas, desde equipos de usuario, servidores, smartphones y dispositivos IoT.

En el informe de CSIRT-CV no solo nos hablan de los equipos de usuario o servidores como objetivos de infección sino de los dispositivos Android.

Malware como Loapi o ADB.Miner están en auge y cada vez son más las APK que intentan aprovecharse de la potencia de cómputo de los cada vez más avanzados terminales móviles o dispositivos IoT para minar criptomonedas. Un ejemplo de este hecho es el que muestran en el informe, en el que muestran cómo partiendo de nuestra plataforma Koodous y unas sencillas firmas Yara se pueden ir detectando un gran número de APK sospechosas de tener como objetivo no lícito el minado de criptomonedas.

A nivel de tendencias destacan, entre otras, en cuanto a infección de servidores, la distribución de ‘miners’ haciendo uso de vulnerabilidades en los procesos inseguros de deserialización de objetos Java para, tras explotarlas, descargar y ejecutar el ‘miner’ en el servidor comprometido, el aumento de la explotación de las vulnerabilidades CVE-2017-5638 (Apache Struts) y CVE-2017-9822 del servicio DotNetNuke para introducirse en los sistemas y dependiendo de si se trata de un servidor Windows o Linux, cuenta con diferentes Payloads en Powershell o Bash a partir de los cuales descarga el ‘miner’ en el equipo.

En el informe también se recogen una serie de mecanismos de detección para los distintos tipos de ‘miners’ mencionados tanto a nivel de red como de dispositivo y una serie de recomendaciones para protegerse ante este tipo de malware.

Publicada en el BOE la instrucción técnica sobre auditorías de seguridad ENS

Nos hacemos eco, vía el CCN-CERT, de la publicación en el BOE de la tercera instrucción técnica acerca de las auditorías de seguridad obligatorias, la cual, establece las condiciones en las que deberán realizarse las auditorías de seguridad obligatorias para los sistemas clasificados con categoría MEDIA o ALTA, dentro del ámbito del Esquema Nacional de Seguridad (en adelante, ENS).

¿Qué es una instrucción técnica? 

En las propias palabras del CCN-CERT:

Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.

¿Ha de auditarse un sistema de información de categoría BÁSICA?

No es obligatorio, pero de forma voluntaria es recomendable. Un sistema de información con dicha categoría sólo está obligado a una autoevaluación por los administradores o en quien estos deleguen. Básicamente, un documento donde se expone que las medidas de seguridad exigidas están implementadas y son revisadas con regularidad.

¿Cuándo debo auditar los sistemas de información con categoría MEDIA o ALTA?

Las auditorías son necesarias, al menos una cada dos años, para obtener la certificación de adecuación al ENS. Además, se deberán realizar auditorías extraordinarias cada vez que el sistema reciba modificaciones cuyo alcance modifique los requerimientos de seguridad.

Independencia del auditor

Un punto interesante y a tener en cuenta es la circunscripción explícita de las tareas de auditorías al cometido o ámbito para la que están encomendadas. Esto, impide que dentro del proceso de auditoría entren funciones de consultoría, labores de implantación o la modificación lógica de las aplicaciones del propio sistema de información auditado. Incluso cierra la puerta a la realización de la documentación exigida por el ENS o los procedimientos de actuación.

Es decir, el auditor viene a auditar. Solo eso. Se respeta así la independencia de un proceso. Por lo que, ni el auditor puede ofertar arreglar los fallos que él mismo encuentra (algo, muy cuestionable éticamente) ni por tu parte puedes exigirle que implemente las modificaciones y medidas propuestas por él en su informe. Es más, se hace explícito algo que siempre hemos defendido desde HISPASEC: no recomendar ningún producto o servicio concreto. Independencia absoluta y sin intereses.

¿Cómo se clasifican los hallazgos?

En dos. “No conformidad menor” y “No conformidad mayor”. Las primeras indican fallos o controles de seguridad ausentes en uno o más requisitos del ENS. Pero ojo, dan cabida a la “duda significativa”. Es decir, cuando mediante una evidencia objetiva, el auditor plantee la posibilidad de existencia de una no conformidad en los requisitos, entonces pasa a considerarse una no conformidad de lleno.

Para que nos hagamos una idea, una no conformidad podría ser no usar criptografía en dispositivos removibles (un USB) si el sistema de información posee categoría MEDIA o ALTA; siendo necesario en ésta el uso de algoritmos aprobados por el Centro Criptológico Nacional (CCN).

Resultados de la auditoría

La auditoría posee tres finales posibles: “FAVORABLE”, en el cual el sistema no poseerá ninguna “no conformidad”. “FAVORABLE CON NO CONFORMIDADES”, en la que existen deficiencias, tanto mayores como menores. En este caso, se deberá presentar en el plazo de un mes un Plan de Acciones Correctivas sobre dichos hallazgos a la entidad certificadora. Por último, tenemos el resultado “DESFAVORABLE”. En este caso, se deberá realizar una nueva auditoría extraordinaria, en el plazo de seis meses, para comprobar que se han solucionado los hallazgos encontrados por el auditor.

Vulnerabilidad crítica en Cisco IOS deja a miles de dispositivos al descubierto

La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario, tomar el control total de los equipos de la red vulnerable e interceptar tráfico.

Resultado de imagen de cisco hackedLa vulnerabilidad de desbordamiento de búfer (CVE-2018-0171) reside debido a una validación incorrecta de los datos del paquete Small Install Client, el cuál es una función plug-and-play que ayuda a los administradores a implementar dispositivos de red fácilmente.

La empresa Embedi, descubridora de este fallo, ha publicado los detalles técnicos y el código de la prueba de concepto (PoC) después de que Cisco lanzara las actualizaciones pertinentes para abordar el fallo.

Como funciona la vulnerabilidad:

Un atacante debe enviar un mensaje de instalación del software antes mencionado (Small Install Client) a un dispositivo afectado en el puerto 4784, que está abierto de manera predeterminada.

Cisco comentó en un comunicado:

“Para ser más precisos, el desbordamiento de búfer se encuentra en la función ‘smi_ibc_handle_ibd_init_discovery_msg'” y “porque el tamaño de los datos copiados directamente a un búfer de tamaño fijo no son comprobados. El tamaño y los datos se toman directamente del paquete de red el cuál es controlado por el atacante.”

Cisco publicó el parche para corregir este fallo el 28 de Marzo, por lo que se recomienda a todo el mundo que actualice sus dispositivos lo antes posible.

Ejecución remota de código en el motor de Microsoft Malware Protection

Microsoft ha actualizado urgentemente su motor Microsoft Malware Protection (mpengine.dll) para corregir una vulnerabilidad crítica que afectaría, entre otros, a Windows Defender, Security Essentials y Exchange Server.

La vulnerabilidad fue descubierta por el investigador de Google Project Zero, Thomas Dullien, y se le ha asignado el CVE-2018-0986. Según la investigación de Thomas, existiría una incorrecta comprobación de valores en el módulo principal “mpengine.dll”, al haber realizado una implementación de la gestión de archivos comprimidos en formato RAR, utilizando para ello un fork del código libre de unrar.
El problema reside en la modificación del código original, eliminando la comprobación de signo de los valores (signed int), que sí estaba presente inicialmente.
En base a la prueba de concepto publicada, un atacante, utilizando un fichero .RAR especialmente modificado, podría generar un desbordamiento de memoria y potencialmente ejecutar código de manera remota, como se comenta en el propio reporte:

An attacker that can set PosR to be -2, and DataSize to 1, will bypass the (PosR + 2 < DataSize) check.

A minimal sample RAR file that exhibits these traits & causes mpengine to corrupt memory and crash is attached.

Debido a que este motor está presente de serie en diversas versiones de Windows (desde la 7 hasta la 10) y herramientas específicas de correo, como Exchange server, se han publicado urgentemente paquetes de actualizaciones automáticas para corregir la vulnerabilidad.

Las versiones afectadas son:

  • Microsoft Exchange Server 2013 y 2016
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Security Essentials
  • Windows Defender (Windows 7, 8, 10, Server 2012, 2016)
  • Windows Intune Endpoint Protection
Más información:
 
CVE-2018-0986 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0986

Rarog: malware para realizar ataques de minado de criptomonedas

El equipo de investigadores de Palo Alto Networks realiza un análisis de Rarog, un troyano de minado de criptomonedas que está creciendo en popularidad debido a su facilidad de uso y versatilidad.

Rarog se empezó a vender en foros underground en junio del 2017. Su precio y su sencillez lo han hecho muy atractivo para delincuentes noveles que quieren realizar ataques de minado de criptomonedas.

Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarogalrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.

Mapa de infecciones. Fuente: paloaltonetworks.com

El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima… Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos.

A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.

Como decíamos, el troyano se puede adquirir en foros ‘underground’ por unos 6000 rublos, que al cambio equivalen a unos 85€.

Foro donde se anuncia el malware
Más información:
 

Cross-Site Scripting en IBM WebSphere Portal

Se ha publicado una vulnerabilidad en IBM WebSphere Portal que podría permitir un ataque de Cross-Site Scripting (XSS).

 

IBM WebSphere Portal es una solución de herramientas que permite gestionar y construir portales web.

La vulnerabilidad es causada por un error en el filtrado a la hora de procesar el código JavaScript introducido por el usuario y se le ha asignado el identificador CVE-2018-1483.

Esta puede ser aprovechada por un atacante remoto para realizar un ataque XSS, que permitiera ejecutar código JavaScript especialmente manipulado. Una explotación exitosa de la vulnerabilidad le permitiría, entre otras cosas, obtener acceso a las cookies de los objetivos, incluyendo las de sesión.

La vulnerabilidad afecta a las versiones 8.5 y 9 y ha sido corregida con el parche ‘APAR PI95221’ siguiendo la nomenclatura de IBM.

Más información:

IBM Security Bulletin:
https://www-01.ibm.com/support/docview.wss?uid=swg22015317

Paquetes fraudulentos en npm

Se han detectado un total de 40 paquetes maliciosos en el gestor de paquetes de Node.js.

npm es el manejador de paquetes que fue añadido al entorno de ‘Node.js’ en la versión 0.6.3. Desde entonces es instalado automáticamente con el entorno.

Oscar Bolmsten (@o_cee) fue el usuario de Twitter, que por esta red alertó de un comportamiento malicioso en el paquete ‘cross-env’ al detectar que robaba información de las variables de entorno durante la instalación.

Twit de Oscar Bolmsten (@o_cee), extraída de https://twitter.com/

Este paquete, según npm, es uno de los muchos paquetes fraudulentos detectados, el cual fue publicado por el usuario ‘hacktask’ el día 19 de Julio, imitando ser el paquete ‘crossenv’. Dicho paquete fue eliminado el 1 de agosto con unas 700 descargas, aunque muchas de éstas fueron realizadas por automatismos y tan solo unas 50 parecen ser infecciones reales.

Funciones inseguras de un futuro pasado

Desde hace algunos años, existe un grupo de funciones del lenguaje C que han sido el origen de multitud de quebraderos de cabeza, entendámonos, su (mal) uso suele derivar en agujeros de seguridad; algunos catastróficos

Microsoft, terminó por agrupar este variopinto conjunto de funciones en un archivo de cabecera llamado, explícitamente: “banned.h”. Anteriormente estaba publicado en este enlace, pero desde hace algún tiempo dejó de estar disponible. Aun así, Internet se ha encargado de guardarnos varias copias, así que (ojo con las fuentes) podemos, por ejemplo, bajarlo del Github de Mozilla.

Dicho esto, las funciones están definidas para el mundo Windows del desarrollo; aunque existen equivalentes para sistemas UNIX y muchas de ellas son extrapolables (tan solo cambia el nombre o se le añade un guión bajo). Básicamente, la mayor parte del problema reside en funciones que escriben o leen memoria reservada, pero lo hacen de forma incontrolada.

Programar en C o C++ no es fácil, aunque sí que es divertido, ya que dispones de una libertad y potencia que resulta difícil de alcanzar en otros lenguajes o entornos de ejecución. Tenemos a los nuevos vecinos Rust y Go, pero estos chicos aún tienen mucho que demostrar para destronar 40 años de reinado.

Sin duda, parte de la leyenda negra lo suponen estas funciones inseguras, procedentes de otros tiempos, donde aún no existía base de conocimiento alguna. No obstante, los compiladores modernos, librerías y nuevas herramientas pueden amortiguar lo que las prisas y la inexperiencia pueden causar.

 

Actualización de seguridad para Jenkins

Jenkins ha publicado un boletín de seguridad para corregir una vulnerabilidad media y otra menor sobre su core.

 

 

Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.

 

Las versiones afectadas por estas vulnerabilidades son las anteriores a 2.116 para la rama Jenkins weekly y 2.107.2 para la versión LTS.

 

La primera vulnerabilidad identificada con el identificador SECURITY-754, afecta a la consola de comandos (CLI) y podría permitir a un atacante remoto acceder a vistas y agentes del sistema. El fallo ha sido descubierto a través de los errores que el sistema devuelve en función de los argumentos que un atacante va enviando al sistema.

 

La segunda vulnerabilidad identificada con el identificador SECURITY-759, está localizada en los cuadros de diálogo de confirmación de JavaScript. El fallo expone el nombre de algunos elementos de forma insegura, lo que podría ser aprovechado por un atacante para llevar a cabo ataques de tipo ‘cross site scripting’.

Jenkins dispone de una lista de correo en la cual los usuarios de este software pueden suscribirse para recibir notificaciones de seguridad. También pone a disposición de cualquier usuario que descubra alguna vulnerabilidad el siguiente enlace para reporte.

Más información:
 

Fallo en Outlook permite usar ficheros OLE remotos para filtrar la contraseña del usuario

Se ha descubierto un fallo en Outlook que permite la carga de objetos OLE remotos solo previsualizando un correo electrónico. Esto podría usarse para acceder a información secreta del usuario, como el hash de la contraseña del usuario de Windows.

Nos situamos en 2016. Buscando técnicas para saltar ASLR de Windows, el investigador Will Dormann, miembro del CERT, empieza a hacer pruebas incrustando ficheros OLE en el contenido de ficheros de formato de texto enriquecido (RTF). Sin embargo, la vulnerabilidad que encontró iba más allá de sus objetivos iniciales.

Desde hace tiempo, Microsoft Outlook (y la mayoría de clientes y plataformas de correo) bloquea la carga de imágenes remotas en correos HTML como medida de protección de la privacidad, concretamente para no desvelar la dirección IP. Para cargarlas, pide interacción del usuario.

Sin embargo, al enviar correos RTF con objetos OLE remotos incrustados, Dormann comprobó que se carga el contenido automáticamente y sin pedir ninguna autorización cuando estos objetos están alojados en un servidor SMB. Es más, esta carga no se realiza al abrir el correo, sino simplemente previsualizándolo.

A diferencia de los correos HTML, que revelarían únicamente nuestra dirección IP, al iniciar una  conexión SMB estaríamos enviando al servidor remoto mucha más (y más crítica) información del sistema:

  • Dirección IP.
  • Nombre de dominio.
  • Nombre de usuario.
  • Nombre del equipo.
  • Clave de sesión SMB.

Esta vulnerabilidad (CVE-2018-0950) ha sido solucionada en el último boletín de Microsoft. Ahora no se producen visualizaciones de contenido remoto OLE. Sin embargo, este no es el único modo en el que se podría forzar al cliente SMB de Windows iniciar una conexión SMB, por lo que se recomienda el bloqueo de los puertos involucrados en este tipo de conexiones.

Más información:
 

Automatically Stealing Password Hashes with Microsoft Outlook and OLE:
https://insights.sei.cmu.edu/cert/2018/04/automatically-stealing-password-hashes-with-microsoft-outlook-and-ole.html

 

Vulnerabilidades en VMware vRealize Automation 7

VMware ha publicado un boletín de seguridad con el objetivo de corregir dos vulnerabilidades en el panel de control de vRealize Automation, ambas relacionadas con el robo de sesiones de usuario

VMware vRealize Suite es una plataforma orientada a la gestión de la nube. De esta suite forma parte VMware vRealize Automation, la parte encargada de automatizar varios aspectos de la gestión de la nube, que presenta al usuario un panel de control web como parte de su funcionalidad. Precisamente a este panel mencionado le afectan dos vulnerabilidades relacionadas con el robo de sesiones de usuario,

La primera de las vulnerabilidades, identificada como CVE-2018-6958, es el clásico cross-site scripting. Básicamente consiste en la posibilidad de inyectar código JavaScript de forma inesperada en una página web, cosa que es posible porque la página web no limpia adecuadamente la entrada de datos de un usuario. Y por tanto, éste puede introducir datos especialmente diseñados para provocar la inyección. De hecho, es particularmente peligroso cuando los datos especialmente diseñados persisten de una carga de la página a otra, por almacenarse en la base de datos de la página. Esto permite que otro usuario distinto sufra la ejecución de la inyección JavaScript. El escenario descrito es de los más peligrosos para esta vulnerabilidad, y puede permitir el robo de sesión al obtener la cookie de otro usuario.

La segunda vulnerabilidad, con identificador CVE-2018-6958, refleja un problema en el manejo de identificadores de sesión de usuario. Según afirman, puede llevar a que se secuestre la sesión de un usuario. Si bien no especifican cómo, es bastante probable que sea porque los identificadores de sesión generados sigan un patrón, y que por tanto sea posible averiguar identificadores existentes o predecir los identificadores futuros. Ya que los identificadores de sesión se suelen presentar como una cookie, sería tan fácil como una vez obtenido el identificador de otro usuario, presentarlo como tuyo introduciendo esa cookie en tu navegador.

Ambas vulnerabilidades afectan a distintas versiones de la rama 7 de VMware vRealize Automation, y se han publicado versiones corregidas según indica el mismo boletín informativo.

Más información:

 
VMSA-2018-0009: vRealize Automation updates address multiple security issues
https://www.vmware.com/security/advisories/VMSA-2018-0009.html

HoleyBeep: escalado de permisos en Linux usando Beep

El programa Beep, disponible en la mayoría de distribuciones, no parecía mantenerse desde el año 2013 a pesar de emplear el ejecutable el bit SUID

Parece casi una broma, como así evidencia la web creada para la ocasión (holeybeep.ninja) con un gran sentido del humor, pero fallos como estos no hacen más que demostrar la falta de auditoría de código, más en casos como estos en los que el programa hace uso del bit ‘SUID’.

El bit ‘SUID’, permite la ejecución de un programa como otro usuario (el creador del ejecutable) para así poder realizar operaciones que normalmente no podría realizar el usuario que emplea el programa. Un ejemplo clásico es el comando ‘passwd’: este  programa requiere modificar el archivo protegido del sistema (‘/etc/shadow’) donde se almacenan las contraseñas de los usuarios, pero un usuario común requiere poder cambiar su propia contraseña (pero no la del resto de usuarios). En este caso, el programa ‘passwd’se ejecuta como root a pesar de emplearse por un usuario sin permisos, y es el programa el encargado de asegurar que el usuario no pueda realizar acciones que pongan el sistema en riesgo.

En el caso que nos ocupa, el programa Beep, que hace uso del bit ‘SUID’ para ejecutarse como root por un usuario común, llevaba varios años sin actualizarse. Cualquiera pensaría que un programa de este tipo, de tan solo 375 líneas de código y tantos años a sus espaldas (la versión 1.2.2 es de 2002) no contaría con vulnerabilidades, lo que ha quedado patente que no es así. La vulnerabilidad (CVE-2018-0492) es provocada por un efecto carrera que permitiría escribir a un archivo protegido tal y como se explica en Pirhack’s Blog, y así escalar privilegios.

La vulnerabilidad, de la que ya hay un ejemplo de explotación, aprovecha que la función ‘handle_signal del programa es un signal (permitiendo su ejecución en cualquier momento), para así ejecutarse manteniendo el valor anterior de la variable console_type, y el nuevo de la variable console_fd, y así poder escribir a cualquier archivo.

Por suerte el programa no se encuentra instalado de serie en distribuciones como Debian, aunque sí es un paquete conocido y utilizado por scripts. Aunque las vulnerabilidades para escalado de permisos son comunes, los ejecutables que hacen uso del bit ‘SUID’ deberían ser los primeros en ser analizados en busca de este tipo de errores.

Más información:
 
Holey Beep:

Una vulnerabilidad en un dispositivo IoT pone patas arriba la seguridad de un casino

El jueves de la pasada semana el CEO de la empresa de seguridad Darktrace, Nicole Eagan, que asistía al evento WSJ CEO Council Conference en Londres, contó ante los asistentes un escenario que cada día está tomando mayor repercusión: acceder a un sistema informático a través de un dispositivo IOT.

 
La noticia de la cual se hacía eco Nicole Eagan, sin citar ni a la empresa comprometida ni al dispositivo IoT, era que un casino había sido ‘hackeado’ a través de una vulnerabilidad en el termómetro de uno de los acuarios que formaban parte de la decoración. La información obtenida por los atacantes era la base de datos de los clientes del casino.
 
Este escenario que se presentaba el pasado jueves bien podría formar parte de la próxima película de Ocean’s Eleven, pero la realidad no es mucho más halagüeña. El número de dispositivos IoTs que conectamos a nuestra red no para de aumentar. Esta situación unida a la escasa seguridad que presentan algunos dispositivos IoTs hacen que estos dispositivos sean una puerta de entrada sobre la que después pivotan los atacantes hacia objetivos de mayor criticidad.
 
La empresa consultora Gartner asegura que en el último año había crecido un 31% el número de dispositivos IoT, llegando a la cifra de 8.400 millones de dispositivos conectados, y para 2020 la previsión es que esta cifra superará los 20 mil millones de dispositivos.
Para las empresas es vital tener un correcto plan de auditoría técnica que permita a expertos revisar la seguridad de toda su red para poder detectar y mitigar estos problemas de seguridad.
Más información:
 
Casino smart thermometer hacked:

Actualización de seguridad del lenguaje Perl

Perl es un popular lenguaje de programación creado en 1987 por Larry Wall. Es un lenguaje polifacético y usado en multitud de entornos y plataformas.

La distribución del lenguaje ha recibido una actualización de seguridad que corrige tres vulnerabilidades importantes que podrían causar revelación de información, denegación de servicio y potencialmente ejecución de código arbitrario.El primer fallo ha sido descubierto por Brian Carpenter. Se trata de un error en el procesamiento de expresiones regulares que podría causar un desbordamiento de memoria pasada en montículo a través de una expresión regular maliciosa.

El segundo fallo, descubierto por Nguyen Duc Manh, también afecta al mismo componente al hacer referencia a un elemento ya definido. Esto podría desencadenar la revelación de partes de la memoria y potencialmente un desbordamiento de memoria basada en montículo.

El último fallo ha sido descubierto por GwanYeong Kim y afecta a la función ‘pack()’. Se trata, del mismo modo, de un desbordamiento de memoria basada en montículo cuando se está procesando un gran número de objetos.

Los fallos afectan desde la versión de Perl 2.18 a la 2.26.1 inclusives.

Más información
heap-buffer-overflow (WRITE of size 1) in S_regatom (regcomp.c)https://rt.perl.org/Public/Bug/Display.html?id=132227

Heap-buffer-overflow in Perl__byte_dump_string (utf8.c)
https://rt.perl.org/Public/Bug/Display.html?id=132063

heap-buffer-overflow in S_pack_rec
https://rt.perl.org/Public/Bug/Display.html?id=131844

Carga insegura de librerías en Foxit Reader

Foxit Reader, presentado como una alternativa al lector de PDF Adobe Reader con algunas mejoras, sufre de una de las vulnerabilidades menos conocidas: la carga insegura de DLL’s.

Foxit Reader es una herramienta dedicada al formato de archivos PDF, que puede ver, crear, editar, imprimir y firmar digitalmente. Bajo el modelo de características base gratuitas y servicios adicionales de pago conocido como ‘freemium’, esta aplicación está desarrollada por Foxit Software, una compañía localizada en Fremont, California. Las primeras versiones de Foxit Reader se hicieron famosas por ser rápidas y livianas.

Esta vez, Foxit Reader es noticia por presentar una vulnerabilidad poco común, que tiene su origen en un fallo de programación a la hora de especificar las DLL’s a cargar por el programa. La vulnerabilidad concreta es conocida como ‘Unsafe DLL loading’, y consiste en que es posible engañar al programa para que cargue una DLL diferente a la original. Debido a que por defecto las DLL’s al ser cargadas ejecutan un método encargado de inicializar recursos que necesite la DLL (llamado ‘DllMain’), esto es equivalente a ejecución de código arbitrario, si bien las condiciones están ciertamente restringidas.

Generalmente, en Windows la carga de DLL’s funciona buscando la librería en distintas rutas, siguiendo el siguiente orden (en Windows XP, en versiones modernas varía ligeramente):

  1. Donde reside el ejecutable
  2. El directorio actual (no es lo mismo que el primer punto)
  3. El de sistema (típicamente ‘C:\Windows\System32\’)
  4. Otro de sistema, pero el de 16 bits (‘C:\Windows\System\’)
  5. El directorio de Windows (‘C:\Windows\’)
  6. Los directorios especificados en la variable de entorno ‘PATH’
Windows no usa esa lista de búsqueda si se especifica una librería con una ruta absoluta (por ejemplo, C:\Windows\System32\rtutils.dll’) en lugar de relativa (‘rtutils.dll’), y va directamente a por la librería en esa ruta. Pero si efectivamente usa una ruta relativa, entonces usará esa lista de búsqueda. A partir de Windows XP SP2, al estar activado por defecto el valor del registro SafeDllSearchMode’, el orden cambia y el directorio actual pasa al quinto lugar de esa lista, haciendo un poco más segura la carga de DLL’s.
Sin embargo, a pesar de ésto, la carga de DLL’s sigue siendo vulnerable al buscar donde reside el ejecutable, o incluso si no existe la DLL, terminaría por usar rutas como el directorio actual o sacadas de la variable de entorno ‘PATH’. Lo cierto es que las condiciones son un poco especiales, y en las posibilidades de explotación se habla de una víctima ejecutando programas en un servidor de archivos remoto (un escenario no muy común y peligroso ya de por sí por otras razones).
Al final, nos quedamos con que si podemos escribir en la carpeta de una aplicación con esta vulnerabilidad, aunque no tengamos permisos de ejecución, cuando esa aplicación se ejecute tirará de la librería maliciosaplantada por el atacante en lugar de la librería del sistema. Si bien no es una técnica muy usada en explotación, sí lo es en malware, donde los autores plantan una DLL maliciosa como una forma poco usual y enrevesada de conseguir persistencia del malware en el sistema.
Foxit Software ya ha corregido esta vulnerabilidad en la última versión de Foxit Reader disponible en su página web.
Más información:
 
Foxit Reader 8.3.1.21155 (Unsafe DLL Loading Vulnerability)
http://seclists.org/fulldisclosure/2018/Apr/41

Vulnerabilidad en la función autocompletar de LinkedIn podría poner en peligro los datos de los usuarios

Vulnerabilidad descubierta en la funcionalidad autocompletar de Linkedin permite el robo de datos

Una nueva vulnerabilidad descubierta en la popular funcionalidad de ‘Autocompletar’ o ‘Auto fill’ que puede permitir el robo de datos por parte de terceros.

Esta funcionalidad proporciona que otros sitios web puedan permitir que los usuarios de LinkedIn puedan completar rápidamente los datos del perfil, incluyendo información sensible como nombre completo, número de teléfono. dirección de correo electrónico, código postal, empresa…etc en un solo clic.

Recientemente el investigador de seguridad Jack Cable de ‘Lightning Security’descubrió que podía no ser así.

Descubrió que esta funcionalidad estaba plagadas de vulnerabilidades que permitiría a cualquier sitio web obtener los datos del perfil del usuario sin que el usuario se diera cuenta.

Un atacante puede hacer que la funcionalidad autocompletar en su sitio web cambiando algunas propiedades como la de extender esta funcionalidad a través de todo el sitio web para posteriormente hacerlo invisible, en el momento en el que el usuario haga click en cualquier parte de la web desencadenaría la ejecución de esta función y el envío de los datos albergados en la funcionalidad. Por pasos sería de la siguiente manera:

  • El usuario visita el sitio web malicioso, que carga el ‘iframe’ del autocompletar de LinkedIn.
  • El ‘iframe’ ocupa toda la página web y es invisible al usuario.
  • El usuario hace clic en cualquier parte de la web.
  • Los datos son enviados un sitio web malicioso.
Esta vulnerabilidad fue reportada e inmediatamente la compañía emitió una solución temporal a este posible ataque. La corrección restringe el uso de la función autocompletar a los sitios incluidos en la ‘white list’ o lista blanca.
El mismo investigador ha subrayado que el parche está incompleto y que aún permitiría usar esta características por los dominios incluidos en la lista blanca. Por lo tanto si cualquiera de estos sitios se viera comprometido, podría hacerse uso de este ataque.
Por parte de LinkedIn ya han lanzado el parche completo, en un comunicado por parte de la entidad aclaran lo sucedido:

“We immediately prevented unauthorized use of this feature, once we were made aware of the issue. We are now pushing another fix that will address potential additional abuse cases, and it will be in place shortly,” the company said in a statement. 

“While we’ve seen no signs of abuse, we’re constantly working to ensure our members’ data stays protected. We appreciate the researcher responsible reporting this, and our security team will continue to stay in touch with them.”

Más información:

Twitter del investigador:
https://twitter.com/jackhcable
Web para la prueba de concepto:

Software malicioso escondiéndose detrás de la apariencia de AdBlock.

Un gran número de usuarios se han visto afectados por extensiones maliciosas en el market de Google Chrome, según un reciente estudio.

Cada día vemos nuevas técnicas de ataque hacia el usuario, una de ellas es hacer pasar extensiones maliciosas como verdaderas, incluso llegando a colgarlas en markets oficiales. Y como no podría ser menos no se libra AdBlock,  el famoso complemento para diversos navegadores que bloquea la publicidad de los sitios web que visitamos.

El peligro de estas aplicaciones es que se posicionan en lo más alto en el market mediante el uso de palabras claves, siendo suficiente para ganarse la confianza de los usuarios.

Esto ha quedado demostrado en un reciente estudio del investigador de seguridad Andrey Meshkov, que ha publicado una lista de cinco extensiones de AdBlock falsas. Estas  contenían código malicioso que permitían el control total del navegador, y acceder a toda la información disponible.

Adblock falsos

Este investigador informó a Google de sus hallazgos y se han eliminado todas las extensiones referentes a bloqueadores de anuncios que tenían presencia de código malicioso. La lista de complementos era la siguiente:

  • AdRemover para Google Chrome ™ (10 millones + usuarios)
  • uBlock Plus (8 millones + usuarios)
  • [Fake] Adblock Pro (2 millones + usuarios)
  • HD para YouTube ™ (400,000+ usuarios)
  • Webutation (más de 30,000 usuarios)
Debemos tener en cuenta que el número de instalaciones totales asciende a unos 20 millones de instalaciones, cuando por ejemplo añadimos ‘AdRemover’ a nuestro navegador, estamos instalando el código malicioso que se encuentra escondido dentro de una versión modificada de ‘jQuery’, la conocida biblioteca JavaScript. AdRemover’ recibe comandos de un servidor remoto, que se ejecutan en segundo plano y obtienen el acceso al navegador por parte de los atacantes.
Como norma general se recomienda instalar extensiones de la que sepamos su procedencia y sean oficiales. En la sección de Más Información podéis ver noticias de este blog relacionadas con la temática de las aplicaciones maliciosas en markets oficiales.
Más información:
 

Denegación remota de servicio en Microsoft Internet Explorer 11

John Page, conocido bajo el nick ‘hyp3rlinx’, ha descubierto un error en el procesamiento de páginas web por parte de Internet Explorer 11 para Windows 10 que permite forzar el cierre del navegador

Internet Explorer todavía no está muerto. Microsoft Edge es el sucesor, y de hecho es el navegador predeterminado ya en Windows 10. Pero tal y como reza Microsoft en su página oficial, si todavía usas ActiveX (simplificando, esa tecnología muerta usada para ampliar la funcionalidad de Internet Explorer) porque las aplicaciones web en tu empresa lo usan, debes usar Internet Explorer, ya que Edge ya no soporta ActiveX.

Y como sigue vivo, los exploiters siguen dedicando esfuerzos a buscarle las cosquillas al viejo navegador. En este caso, ha sido hyp3rlinx quien se las ha encontrado, creando una página web especialmente diseñada que fuerza al proceso de Internet Explorer a realizar una acción inválida y provoca que el sistema operativo fuerce su cierre. Específicamente, el fallo se produce cuando Internet Explorer se encuentra con una etiqueta HTML ‘a’ con el atributo ‘href’ apuntando a un valor como ‘.exe’. Básicamente, que contenga únicamente una de ciertas extensiones de archivos precedida con un punto, siendo estas extensiones al menos ‘exe’, ‘com’, ‘pif’, ‘bat’ y ‘scr’.

Tal y como el autor reporta la vulnerabilidad, especificando una versión muy concreta (Microsoft Internet Explorer 11.371.16299.0 para Windows 10) sin mencionar rangos, es posible que sea un fallo para esa versión específica. Desde Hispasec hemos podido comprobar que no afecta a la versión de Internet Explorer que viene por defecto con una de las primeras versiones de Windows 10. El impacto de esta vulnerabilidad es fácil de entender: cualquier usuario que visite una página web en la que el atacante pueda insertar un enlace puede terminar con el navegador cerrado.

A la fecha de escritura de este artículo, esta vulnerabilidad no tiene identificador CVE ni ha sido reconocida por Microsoft.

Más información:

 
Microsoft (Win 10) InternetExplorer v11.371.16299.0 – Denial Of Service
http://hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-(Win-10)-DENIAL-OF-SERVICE.txtGuía empresarial acerca del uso de Microsoft Edge e Internet Explorer 11
https://docs.microsoft.com/es-es/microsoft-edge/deploy/enterprise-guidance-using-microsoft-edge-and-ie11

Un grupo de hackers crean una “llave maestra” que abre millones de habitaciones de hotel

A partir de hoy, piénselo dos veces antes de dejar pertenencias valiosas en su habitación de hotel. Esta puede ser desbloqueada por un extraño.

Una vulnerabilidad crítica en un sistema de bloqueo electrónico ampliamente utilizado puede aprovecharse para desbloquear cada habitación cerrada en una instalación, dejando millones de habitaciones de hoteles del mundo vulnerables a cualquier delincuente conocedor de la técnica.

Este sistema de cierre está desplegado en más de 42.000 instalaciones en 166 países diferentes, lo que equivale a millones de puertas inseguras.

Los investigadores de F-Secure Tomi Tuominen y Timo Hirvonen lograron construir una llave maestra que podría usarse para acceder a cualquier habitación de hotel que utilice la tecnología Vision de VingCard.

Como se crea la llave maestra

Lo primero que se necesita es una tarjeta electrónica. Cualquier tarjeta electrónica existente, vieja o expirada puede servir.

Para obtener la clave RFID, el atacante podría leer los datos acercándose a un huésped o empleado del hotel que lleve la tarjeta encima. O simplemente reservar una habitación en el hotel y utilizar su propia tarjeta como fuente.

Luego, y con la ayuda de un programador portátil (los cuáles venden en línea por unos cientos de euros), crearía la llave maestra.

USB-stick-of-death, o dejar K.O. a Windows insertando una memoria USB

Un fallo en el manejador del sistema de ficheros NTFS puede ser aprovechado por un atacante para provocar la famosa “pantalla azul de la muerte” en sistemas de escritorio Windows, ya sea a través del acceso físico al sistema o consiguiendo la inserción usando ingeniería social.

Imagen tomada de https://potasiyam.deviantart.com/art/Blue-screen-of-sadness-258539681

El investigador Marius Tivadar, de Bitdefender, ha publicado una prueba de concepto de una técnica que provoca la aparición de la “pantalla azul de la muerte” (en resumidas cuentas, Denegación de Servicio) en sistemas de escritorio Windows.

Tivadar aprovecha un fallo al cargar sistemas de ficheros NTFS. Mediante el cambio de nombre de directorio raíz y la variable ‘INDEX_ALLOCATION’ en varias localizaciones de una imagen NTFS provoca la creación de una estructura FCB (‘File Control Block‘) que contiene un puntero nulo. Éste, al ser accedido por la función ‘NtfsFindExistingLcb()’, produce una excepción.

El fallo ha sido probado en sistemas Windows 7 Enterprise y 10 en sus versiones Enterprise y Pro, y puede ser explotado por cualquier atacante con acceso físico a la máquina sin importar el nivel de cuenta del usuario ejecutando el sistema operativo.

Además, al estar activada la función Auto-play por defecto, el sistema es afectado automáticamente al insertar el lápiz de memoria. En caso de estar desactivado Auto-play, el sistema quedará bloqueado en el primer acceso a la imagen NTFS modificada, por ejemplo al analizar la memoria con Windows Defender.

La técnica funciona también cuando el sistema se encuentra en modo Bloqueo, por lo que un atacante puede aprovechar un momento de despiste para insertar el lápiz de memoria sin ser visto.

Tivadar expresa su preocupación por este ultimo comportamiento en la documentación de la prueba de concepto:

Creo firmemente que este comportamiento debería cambiarse, dado que ningún lápiz USB o volumen debe montarse cuando el sistema está bloqueado. (…) Pienso en esto como código que se ejecuta sin el consentimiento del usuario. Si este tipo de ataque fuera explotable, y un atacante pudiera cargar malware incluso si un sistema está bloqueado, se podrían abrir miles de múltiples escenarios.

Cabe decir que esta vulnerabilidad fue descubierta en julio del 2017, pero los intentos del investigador para realizar una revelación responsable han sido infructuosos, ya que desde Microsoft han argumentado que el requisito de acceso físico o ingeniería social hace que la vulnerabilidad no sea considerada para lanzar un parche de seguridad. Sin embargo, el descubridor expresa sus dudas, ya que una imagen manipulada, descargada por un malware, podría disparar el fallo.

La prueba de concepto se ha publicado en Github junto con su documentación y varios vídeos demostrativos en la cuenta de Google Fotos de Tivadar.

Más información:
 
PoC for a NTFS crash that I discovered, in various Windows versions:

Noticias de Seguridad Marzo 2018

Fakebank, el troyano bancario que intercepta tus llamadas

El troyano bancario está dirigido a bancos coreanos y es capaz de interceptar las llamadas entre las víctimas y el banco.

A diferencia de versiones anteriores de Fakebank, esta nueva variante es capaz de interceptar las llamadas entre el usuario y su entidad bancaria y viceversa. Para ello, el troyano recolecta en primer lugar información personal del usuario y la envía al servidor de C&C. Posteriormente, el C&C responde con varios parámetros de configuración, especificando entre otras cosas el número de teléfono que será usado en el fraude:

  • phoneNum_ChangeNum: El número legítimo del banco, que será reemplazado por el número fraudulento cuando el usuario haga la llamada.
  • phoneNum_To: El número de los atacantes que simulará ser el banco.
  • phoneNum_Come: El número del atacante que llamará a la víctima. Se falsificará el ID de la llamada.
  • phoneNum_ShowNum: El número legítimo del banco que se mostrará cuando los atacantes realizan la llamada.
Parámetros de configuración del malware. Fuente: https://www.symantec.com

Cuando el usuario llame a su entidad bancaria el malware interceptará la llamada y la redirigirá a los atacantes. Y al contrario, cuando los atacantes simulen una llamada de la entidad bancaria, suplantarán la identidad de ésta falsificando el ID de la llamada.

De este modo los atacantes tienen un mecanismo bastante efectivo para engañar a sus víctimas.

No solo esto, el malware también ha mejorado su sistema de permisos, ajustándose a las distintas versiones de Android para conseguir pasar más inadvertido:

  • Versiones anteriores a Android 6 especificarán el permiso de ‘android.permission.SYSTEM_ALERT_WINDOW‘ en el ‘manifest’ de la aplicación, por lo que se notificará en la instalación.
  • En Android 6 y 7 los permisos se conceden de forma silenciosa si se declaran en el ‘manifest’ y la aplicación proviene de Google Play.
  • A partir de la versión 8 de Android ya no se permite superponer ventanas desde aplicaciones, por lo tanto el malware no funcionaría.

Como recomendaciones de seguridad se recomienda siempre instalar aplicaciones de repositorios oficiales y poner especial atención a los permisos que se solicitan.

Más información:
 

Fallo en la función de Asistencia Remota de Windows permite robar información

Se descubre vulnerabilidad crítica que afecta a todas las versiones de Windows.

Resultado de imagen de windows vulnerability

La Asistencia Remota de Windows es una herramienta preinstalada que permite que alguien de confianza tome el control de tu PC. Usualmente se utiliza para prestar ayuda sin necesidad de desplazamiento.

Esta herramienta está basada en RDP (Remote Desktop Protocol) para establecer las conexiones de manera segura. Sin embargo, el investigador de Trend MicroNabeel Ahmed” ha descubierto una vulnerabilidad de fuga de información (CVE-2018-0878)que podría permitir a los atacantes obtener información para comprometer el sistema. El fallo de seguridad reside en la forma que Windows procesa las Entidades Externas XML (XXE).El ataque se basa en la inclusión de carga maliciosa en la invitación de acceso. Al configurar la asistencia remota, Windows ofrece dos opciones: invitar a alguien o responder. Al escoger la opción invitar a alguien, se genera un archivo de invitación que contiene una serie de parámetros XML. Como el analizador no valida el contenido, se puede modificar este archivo para que envíe el contenido malicioso a través del mismo.

Por tanto se recomienda a todos los usuarios que actualicen Windows a la última versión.

Más información:
 
CVE-2018-0878:

SQL Injection en componente MilestoneFinder de Gitlab CE/EE

Clasificada como crítica, esta vulnerabilidad fue encontrada en GitLab Community Edition y Enterprise Edition 10.1/10.2/10.2.4.

Seguramente conozcais GitHub, sistema de control de versiones en git. GitLab es básicamente GitHub en vuestros servidores, con sus ventajas y desventajas. Entre las desventajas podemos destacar mantener al día las actualizaciones de seguridad tanto del servidor como de GitLab.

Una función que aún se desconoce del componente MilestoneFinder es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase SQL Injection. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

Existe un error en el componente MilestoneFinder que podría ser aprovechado por un atacante remoto para realizar ataques de inyección SQL y afectar a la confidencialidad, la integridad y a la disponibilidad.

No hay información respecto a posibles contramedidas. Se recomienda actualizar a las últimas versiones disponibles.

Mas información

Gitlab CE and EE version 10.1, 10.2, and 10.2.4 are vulnerable to a SQL injection in the MilestoneFinder component.
https://www.cvedetails.com/cve/CVE-2017-0914/

GitLab Security Release: 10.3.4, 10.2.6, and 10.1.6
https://about.gitlab.com/2018/01/16/gitlab-10-dot-3-dot-4-released/

Ubuntu, Arch y Fedora afectadas por una vulnerabilidad en el kernel

La vulnerabilidad con código CVE-2013-1763 afecta a un amplio rango de distribuciones, entre ellas Fedora, Ubuntu y Arch Linux. Esta vulnerabilidad, cuenta además con el código para explotarla, que permite obtener privilegios de root. En esta entrada analizaremos cómo se obtienen dichos privilegios.

Esta vulnerabilidad afecta a las versiones del kernel 3.0-37.10 y se encuentra en ‘net/core/sock_diag.c‘ donde la función ‘__sock_diag_rcv_msg’ no hace hace una comprobación de `bounds check` del array ‘sock_diag_handles’ provocando una ‘out-of-bounds exception’ y permitiendo a usuarios sin privilegios de root obtenerlo.En los sistemas Linux de 32 bits, cada proceso virtualizará 4GB de espacio de memoria, siendo 3GB de estos el espacio de usuario y 1GB el espacio del kernel. En este caso el rango de user-space es 00000000 a 0xBFFFFFFF y el espacio de kernel 0xC0000000 a 0xFFFFFFFF. El espacio del kernel es compartido por todos los procesos sin embargo, sólo pueden acceder los procesos que se estén ejecutando en kernel-mode. Los procesos a nivel de usuario pueden acceder a kernel-mode a través de `syscalls`. Si un proceso se ejecuta en kernel-mode, las direcciones generadas pertenecen al espacio del kernel.

Las funciones ‘commit_creds’ y ‘prepare_kernel_cred’ son funciones del kernel y para poder ejecutarlas tendríamos que pasar a kernel-mode; por tanto si la función ‘__sock_diag_rcv_msg’ se ejecuta en kernel-mode, podemos aprovecharla para ganar privilegios de root.

Se aplica un mmap al rango de memoria 0x10000-0x120000, incluyendo una serie de NOPs hasta poder colocar correctamente la payload que salta al código que pertenece a kernel-mode. En Ubuntu, no se puede obtener el valor de la variable ‘rehash_time’ de dicho rango de memoria, por lo que sólo es válido el siguiente método para obtenerla:

`sudo cat /boot/System.map-3.5.0-17-generic`
Tras conseguir toda esta información, el usuario puede obtener privilegios de root. Como contra, para poder ejecutar este exploit más de una vez, es necesario reiniciar el sistema operativo.

Más información:

CVE-2013-1763:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1763Linux Kernel < 3.5.0-23 (Ubuntu 12.04.2 x64) – ‘SOCK_DIAG’ SMEP Bypass Local Privilege Escalation:

Buffer overflow en Mikrotik RouterOS

SMB Buffer Overflow en Mikrotik RouterOS

Resultado de imagen de mikrotik

Información

Impacto: ejecución de código
Explotable remotamente: Si
Explotable localmente: No
CVE: CVE-2018-7445

Vulnerabilidad

La vulnerabilidad de encuentra en el procesamiento de inicio de sesión de NetBIOS. Los atacantes pueden ejecutar código en el sistema a través de esta vulnerbailidad. El desbordamiento del buffer se produce antes de que se realice la autenticación por lo que un atacante puede explotar esta vulnerabilidad sin necesidad de estar logueado en el sistema.

La función que se encarga de comprobar los nombres de NetBIOS recibe dos buffers como parámetros. El primer byte del buffer de origen se lee y se usa como el tamaño para la operación de copia. Luego se copia esa cantidad de bytes en el buffer de destino. Esta operación se ejecuta hasta que el tamaño para copiar es 0.

No se realiza ninguna validación para garantizar que los datos se ajusten al buffer destino lo que produce el desbordamiento de la pila. Por lo que se recomienda actualizar el sistema a la versión más actual.

Versiones Vulnerables

Todas las arquitecturas y equipos que ejecuten versiones anteriores a la 6.41.3/6.42rc27 de RouterOS

Créditos

La vulnerabilidad ha sido descubierta por Juan Caillava y Maximiliano Vidal de Core Security Consulting Services

 

Más información:
 
Mikrotik RouterOS Download:
https://mikrotik.com/softwareReporte:

Vulnerabilidad en EXIM permitiría ejecución remota de código

La vulnerabilidad se encuentra presente desde la primera versión de EXIM y afectaría al menos a 400 mil servidores que ejecutan este servidor de correo

Un investigador de Devco.re (Meh Chang) reportó el día 5 de febrero el descubrimiento de esta vulnerabilidad en las listas de correo de seguridad de EXIM, identificándose al día siguiente con el CVE-2018-6789, y lanzándose una versión ya parcheada (4.90.1) el día 10 del mismo mes. Según el mismo sitio web de Exim, todas las versiones anteriores a dicha versión deben considerarse obsoletas.

Exim es uno de los servidores de correo electrónico de código abierto más populares, estando disponible tanto para sistemas tipo UNIX como para Windows. Desarrollado por la Universidad de Cambridge en 1995, es en la actualidad el MTA por defecto de Debian y otras distribuciones GNU/Linux.

Fragmento del código vulnerable. Fuente: devco.re

El fallo descubierto se encontraría en la función b64decode’, utilizada por métodos de autenticación como ‘CRAM-MD5’ (utilizado por defecto). Cualquier método de autenticación que haga uso de dicha función es vulnerable. El fallo sería explotable mediante un base64 inválido especialmente manipulado, el cual provocaría un desbordamiento en el buffer.

La vulnerabilidad se aprovecha del tamaño de buffer que asigna la función, el cual es de ‘3*(len/4)+1’. Normalmente esto no sería un problema, pero si se utiliza un base64 inválido de tamaño ‘4n+3’, la función asignará un tamaño de ‘3n+1’, pero utilizará ‘3n+2’. Esto acaba provocando que el buffer se desborde por un byte. Puede verse más información sobre la explotación de la vulnerabilidad en el artículo escrito por su descubridor.

A día de hoy, no hay una prueba de concepto que explote el fallo, y según puede leerse en la descripción de la vulnerabilidad en la web de EXIM, es difícil que pueda explotarse

Más información:

 
Exim Off-by-one RCE: Exploiting CVE-2018-6789 with Fully Mitigations Bypassing:
https://devco.re/blog/2018/03/06/exim-off-by-one-RCE-exploiting-CVE-2018-6789-en/CVE-2018-6789:

Hablemos de DrDOS

Recientemente se ha detectado que mediante el uso de servicios memcached expuestos en internet, se había logrado llevar a cabo un ataque ‘DDoS Reflection’ (DrDOS) con un multiplicador cercano a 51.000.

Un ataque ‘DDos Reflection’ es un ataque de denegación de servicio por amplificación, que se produce cuando haciendo peticiones hacia un objetivo, éste es capaz de multiplicar el número de peticiones hacia el objetivo final.


Memcached es un sistema distribuido para caché de código abierto utilizado principalmente para mejorar la escalabilidad de las aplicaciones web. Memcached almacena pequeños datos mediante una funcionalidad de clave-valor. Los atacantes hacen uso de la funcionalidad clave-valor para crear un gran flujo con el que llevan a cabo el ataque.

El ataque se lleva a cabo en primer lugar mediante la obtención de servidores memcached expuestos en internet, para ello los atacantes hacen uso de herramientas como Shodan. Una vez se obtiene el listado de IPs, se modifica la configuración clave-valor con el fin de lograr la mayor cantidad de almacenamiento posible, permitiendo mediante la falsificación de la IP de destino en la solicitud, que el sistema memcached responda a la IP falsificada, aumentando el diferencial del que hemos hablado anteriormente.
Al llevar a cabo la técnica anteriormente descrita sobre un ‘poll’ de servidores, logramos un ataque DrDoS contra la IP de origen que se ha falsificado, que en este caso, correspondería a la víctima.
Históricamente, este tipo de ataques lo hemos podido observar en sistemas DNS, NTP y sistemas SSDP entre otros muchos, por lo que no es nada nuevo. La novedad se encuentra en el multiplicador que se ha llegado a conseguir superando con bastante claridad al resto de ataques DrDOS registrados.
A continuación os mostramos una tabla comparativa:


Protocolo
Multiplicador
DNS
28 a 54
NTP
556.9
SNMPv2
6.3
NetBIOS
3.8
SSDP
30.8
CharGEN
358.8
QOTD
140.3
BitTorrent
3.8
Kad
16.3
Quake Network Protocol
63.9
Steam Protocol
5.5
Multicast DNS (mDNS)
2 a 10
RIPv1
131.24
Portmap (RPCbind)
7 a 28
LDAP
46 a 55
CLDAP
56 a 70
TFTP
60
Memcache
10,000 a 51,000


Este ataque ha sido posible debido a una mala política de securización. Los que hemos trabajado con servicios memcached sabemos que están pensados para trabajar en ‘Loopback’ o redes locales, y una sola línea en su configuración hacen que sean expuestos en internet, por lo que cualquier persona podría usarlos. Aunque implemente medidas de seguridad éstas no vienen configuradas por defecto, y su fácil puesta en marcha, hace que estas medidas queden en muchos casos en el olvido.
En este casos no estamos hablando de una vulnerabilidad, sino de una técnica de DDoS que se aprovecha de una mala configuración de seguridad, la cual permite alcanzar picos de tráfico que han generado records para empresas como Akamai y Cloudfare. Por ejemplo, Akamai experimentó un ataque de 1.3 Tbs contra un solo cliente, más del doble del tamaño del ataque botnet Mirai mitigado por Akamai en 2017.
La mitigación de este tipo de ataques es sencilla ya que procede del puerto 11211 UDP que utiliza el servicio memcached, por lo que es fácilmente identificable para la aplicación de políticas de mitigación por parte de los servicios anti DDoS.

SgxPectre, otra zancadilla a Intel derivada de Spectre

Investigadores de la Universidad de Ohio han desarrollado una serie de ataques basados en fallos de diseño de procesadores revelados por Spectre. El objetivo, SGX de Intel, una extensión de la arquitectura que permite ejecutar código de forma privada tal que ni siquiera el sistema operativo pueda observar.

Apenas hace dos meses de la presentación pública de Meltdown y Spectre, aquellas vulnerabilidades que han hecho historia en el mundo de la seguridad informática. Con consecuencias tan graves como poder leer la memoria reservada a otros procesos o incluso al sistema operativo, ocasionaron una gran polémica y consecuencias que durarán años. Tal y como analizamos en su día, ambas vulnerabilidades se deben a fallos de diseño en los procesadores, que con el objetivo de exprimir al máximo el silicio y aumentar el rendimiento, abrieron la puerta a una clase de vulnerabilidades que perdurarán años.

Precisamente, el ataque del que hablamos aprovecha estos fallos de diseño. Es una variación de Spectre (la que permitía leer memoria de los procesos con trozos de código vulnerables) orientada a leer memoria de enclaves SGX. ¿Y qué es un enclave SGX? Resumidamente, es una forma de ejecutar código en procesadores Intel que lo soporten, de forma que ni siquiera el sistema operativo o un hipervisor puedan acceder a la memoria involucrada en la ejecución. El objetivo más llamativo de SGX es ejecutar código sensible en un servidor remoto ejecutando software no confiable.

Superficie expuesta a ataques sin y con SGX. Extraída de software.intel.com.

Esto vendría a intentar solucionar el gran problema de la computación en la nube: El que un tercero procese datos sensibles por ti. Aunque lo cierto es que la implementacion deja un poco que desear. Desde que salió, unascuantas publicaciones han ido contándonos cómo básicamente SGX hace aguas por varios sitios, permitiendo leer del preciado enclave, que se presuponía privado. Por no hablar de que para convertirte en confiable y así poder ejecutar un enclave ajeno (de un cliente), hay que contactar con servidores propios de Intel como piezas imprescindibles del proceso de verificación… Pagando, por supuesto.

La familia de ataques SgxPectre no son una revolución conceptual. Tal y como dicen los autores de la publicación, los conceptos de estos ataques son básicamente los mismos en los que se fundamenta Spectre. De hecho, ni siquiera son una revolución en la aplicación de Spectre a SGX, ya que existen reportes sobre la vulnerabilidad de SGX a ataques derivados de Spectre publicados apenas unos días después de la publicación de éste último, incluyendo una prueba de concepto de un grupo de investigación del Imperial College de Londres. Esta publicación aporta una explicación exhaustiva de los ataques, y presenta un verificador de código para detectar los trozos de código vulnerables que permiten estos ataques.

Los usuarios de a pie apenas se verán afectados por estos ataques, ya que SGX se usa en extensiones del procesador relativamente modernas y sólo en procesadores Intel. Evidentemente un producto orientado al usuario final no se puede restringir a funcionar únicamente en procesadores Intel modernos.Aquellos que programen usando SGX deberán esperar al 16 de marzo, que es cuando Intel prometer publicar el SDK corregido (SDK: kit de desarrollo de software, que estaba produciendo los trozos de código vulnerables). Esto junto con las mitigaciones ya publicadas para Meltdown y Spectre, deberían neutralizar estos ataques.



Más información:

 
SgxPectre Attacks: Leaking Enclave Secrets via Speculative Execution
http://web.cse.ohio-state.edu/~zhang.834/papers/SgxPectre.pdf

Intel’s SGX security extensions: Secure until you look at the detail:
https://www.theregister.co.uk/2016/02/01/sgx_secure_until_you_look_at_the_detail/
Intel SGX Explained
https://eprint.iacr.org/2016/086.pdfMeltdown y Spectre: Graves vulnerabilidades en los procesadores de los principales fabricantes
http://unaaldia.hispasec.com/2018/01/meltdown-y-spectre-graves.html
SgxPectre Attacks: Practical Spectre attacks against Intel’s SGX enclaves
https://github.com/OSUSecLab/SgxPectre
New Spectre attack variant can pry secrets from Intel’s SGX protected enclaves
http://www.zdnet.com/article/new-spectre-attack-variant-can-pry-secrets-from-intels-sgx-protected-enclaves/

 

Descubiertos dispositivos Android con troyano de la familia “Triada” instalado de fábrica

Se han detectado un total de 42 modelos de teléfonos Android los cuales tienen un troyano bancario de la familia ‘Triada’ instalado de fábrica.

Extraída de wccftech.com

 

El troyano bancario es un malware que tiene como finalidad robar credenciales bancarias, pero no solo eso, sino también conseguir los datos necesarios para realizar estas transacciones, como por ejemplo códigos de seguridad enviados por SMS desde la entidad bancaria al terminal.

Investigadores de la empresa rusa Dr.Web afirman haber encontrado dispositivos con un troyano de la familia “Triada” instalado de fábrica, y que los paises afectados van más allá de Rusia. La muestra también ha sido encontrada en Polonia, Indonesia, China, República Checa, México, Kazajstán y Serbia.

La muestra en cuestión, identificada como ‘Android.Triada.231’, fue detectada por primera vez en 2016, y cuyo funcionamiento principal es la infección de ‘Zygote’, proceso utilizado por el sistema operativo para arrancar todas las aplicaciones, y así poder obtener control total de las mismas. Para eliminar la muestra del sistema es obligatorio realizar una reinstalación completa del sistema operativo.


Actualmente la lista de los terminales detectados con la muestra son los siguientes:

  • Leagoo M5
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510

No es la primera vez que se detecta malware preinstalado en estos dispositivos. Aunque la firma antivirus no culpa directamente a los fabricantes de smartphones, puesto que la infección suele venir en aplicaciones de terceros, sí lamenta la falta de control de las aplicaciones de terceros instaladas en los dispositivos antes de ponerlos en el mercado.

Más información:

Doctor Web: over 40 models of Android devices delivered already infected from the manufacturershttps://news.drweb.com/show/?i=11749&c=5&lng=en&p=0

Denegación de servicio en ISC BIND y DHCP

ISC ha liberado nuevas versiones del cliente y servidor DHCP, así como del servidor BIND, destinadas a solucionar vulnerabilidades que abren la puerta a ataques de denegación de servicio.

Internet Systems Consortium es una organización dedicada al desarrollo de software y consultoría orientada al soporte de la infraestructura de Internet. Entre otros, es conocida por el desarrollo de BIND, un servidor de nombres de dominio (DNS) y DHCP, una implementación cliente-servidor del protocolo con el mismo nombre. Ambos productos son muy usados en sistemas de todo el mundo y presentan vulnerabilidades que comentamos a continuación, todas ellas permitiendo denegación de servicio. Afortunadamente, a estas alturas no se tiene constancia de que estas vulnerabilidades se estén explotando en la red.

La primera de ellas, con identificador CVE-2018-5732, se produce en el cliente de DHCP, conocido como dhclient. Concretamente, tiene lugar al procesar una respuesta de un servidor DHCP, que si tiene una sección de opciones especialmente diseñada, puede ocasionar un desbordamiento de memoria y el consiguiente cierre inesperado del cliente. No se descarta la posiblidad de ejecutar código arbitrario en algunas circunstancias. Esta vulnerabilidad fue reportada por Felix Wilhelm, del equipo de seguridad de Google, y afecta a las versiones 4.1-ESV-R15-P1, 4.3.6-P1 4.4.1.

En segundo lugar, identificada como CVE-2018-5733, tenemos una vulnerabilidad en el servidor de DHCP, llamado dhcpd. Básicamente consiste en que el servidor tiene un contador en memoria almacenado en 32 bits, que tras recibir una gran cantidad de paquetes de un cilente (del orden de miles de millones) puede desbordarse, con la posiblidad de cierre inesperado del servidor. Esta vulnerabilidad también fue reportada por Felix Wilhelm, y afecta a las versiones que afecta CVE-2018-5732.

Por último, la vulnerabilidad con identificador CVE-2018-5734 se produce en el servidor BIND al procesar una petición malformada. Específicamente, BIND al recibir un tipo concreto de paquete malformado selecciona como código de respuesta SERVFAIL, en vez de FORMERROR (que es la respuesta que indica que la petición DNS está malformada). Eso provoca que la aplicación ejecute una parte del código diferente (la parte que maneja las respuestas con SERVFAIL), y si se encuentra habilitada la caché de esta funcionalidad, se termina produciendo un fallo que ocasiona un cierre inesperado. La buena noticia es que este fallo no ha salido en ninguna versión pública del producto, sino en versiones con soporte de pago.

Todas las vulnerabilidades han sido corregidas a la hora de escribir este artículo, y se pueden corregir descargando la última version del software correspondiente en la sección de descargas de la página oficial del ISC:

https://www.isc.org/downloads/

Más información:

A specially constructed response from a malicious server can cause a buffer overflow in dhclient

https://kb.isc.org/article/AA-01565/75/CVE-2018-5732

A malicious client can overflow a reference counter in ISC dhcpd
https://kb.isc.org/article/AA-01567/75/CVE-2018-5733

A malformed request can trigger an assertion failure in badcache.c
https://kb.isc.org/article/AA-01562/74/CVE-2018-5734

Ejecución remota de código en Adobe Acrobat DC

Un reciente reporte de Cisco Talos alerta de la vulnerabilidad corregida en Adobe Acrobat DC, que permitiría ejecutar código de manera remota al procesar Javascript embebido en un PDF malicioso.
Talos ha publicado los detalles de la vulnerabilidad descubierta por el analista Aleksandar Nikolic. En su reporte, aclaraba que, aun existiendo una correcta gestión del campo “document ID” cuando éste excedía determinada longitud
Si se referenciaba mediante código Javascript embebido a ese anterior ID, se podría generar un desbordamiento de pila debido a una incorrecta comprobación de límites (CVE-2018-4901). Una simple llamada como “this.docID” podría generar el desbordamiento de memoria:

41 0 obj <<
>>
stream
this.docID;
endstream
endobj

Un atacante sólo tendría que distribuir o facilitar una web con un PDF especialmente manipulado con código Javascript para conseguir ejecutar código de manera arbitraria.
Aunque no existen reportes de explotación previos de esta vulnerabilidad, clasificada como crítica, se recomienda actualizar a las últimas versiones de Acrobat y Reader lo antes posible.
Más información:
Adobe Acrobat Reader DC Document ID Remote Code Execution Vulnerabilityhttps://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0505
Security updates available for Adobe Acrobat and Reader | APSB18-02
https://helpx.adobe.com/security/products/acrobat/apsb18-02.html

Noticias de Seguridad Febrero 2018

Ingeniería social: Logos de empresas reputadas para ganarse la confianza del usuario

Para ganarse la confianza de los usuarios, muchas empresas y webs utilizan legítimamente logos de compañías importantes que les apoyan. Por desgracia, los atacantes también hacen uso de estos logos de manera fraudulenta.

Los PUP’s (Potentially Unwanted Program) son por definición programas que probablemente no quieras en tu ordenador, ya que te estafan en mayor o menor medida. Ejemplos claros de PUP’s: El típico programa que instalas y te mete barras en Internet Explorer, el que te introduce publicidad en el ordenador… Estos programas potencialmente no deseados suelen intentar hacer creer a los usuarios que aquello que van a instalar está respaldado por grandes compañias, con el fin de crear una falsa sensación de confianza.

Segun los investigadores de Malwarebytes, los criminales que distribuyen PUP’s tienen entre sus logos más usados, los de Mcafee, Norton y Microsoft, como podemos observar en la siguiente captura:

 

Más información:

Stolen security logos used to falsely endorse PUPs:

 

Ataques XSS y JavaScript privilegiado: Vulnerabilidad en Firefox

Mozilla Firefox no protege adecuadamente de ataques XSS en el código JavaScript privilegiado usado internamente por el navegador, principalmente en su propia interfaz gráfica

Así es, hay código JavaScript privilegiado corriendo en los navegadores modernos. Tanto Google Chrome como Mozilla Firefox usan JavaScript en la programación de sus interfaces de usuario. Por privilegiado nos referimos a código que tiene acceso a las páginas abiertas en el navegador, el sistema de archivos… Hay distintos contextos de ejecución dentro del código privilegiado (algunos más restringidos que otros), siendo uno de los más interesantes por permitir introducir código externo es el de las extensiones del navegador.

 

Más información:
 
Arbitrary code execution through unsanitized browser UI
https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/
An overview of the script security architecture in Gecko

https://developer.mozilla.org/en-US/docs/Mozilla/Gecko/Script_security

MDN web docs: Add-ons

https://developer.mozilla.org/en-US/Add-ons

Chrome extensions: Overview

https://developer.chrome.com/extensions/overview

Microsoft publica actualización para deshabilitar el parche de la 2ª variante de Spectre

La actualización ha sido lanzada para aquellos usuarios que se han visto afectados por reinicios aleatorios tras la aplicación del parche, pero no ha sido publicada como una actualización automática

Sin duda, entre los propósitos de Intel para el próximo año, debe encontrarse empezar mejor que lo que lo han hecho este 2018. Si leíamos hace unos días cómo Linus Torvalds tildaba el parche de Intel para Spectre y Meltdown de una “auténtica y rotunda basura”, ahora el parche para los sistemas Windows parece reafirmarse que no es mucho mejor, habiendo publicado Microsoft una actualización para poder desactivarlo tras los ya reconocidos problemas que está habiendo con la misma.

Más información:
 
Comentario de Linus Torvalds sobre el parche:

Nota de prensa sobre resultados de Intel en el cuarto trimestre de 2017:
https://www.intc.com/investor-relations/investor-education-and-news/investor-news/press-release-details/2018/Intel-Reports-Fourth-Quarter-2017-Financial-Results/default.aspx

Guía de procesadores vulnerables:
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf

Demandas colectivas contra Intel:
https://www.theguardian.com/technology/2018/jan/05/intel-class-action-lawsuits-meltdown-spectre-bugs-computer

Comunicado de El Congreso de los Estados Unidos:
https://energycommerce.house.gov/wp-content/uploads/2018/01/Meltdown-Spectre-Letters.pdf

Compañías Chinas conocieron las vulnerabilidades antes de el gobierno de EEUU:
https://www.wsj.com/articles/intel-warned-chinese-companies-of-chip-flaws-before-u-s-government-1517157430?tesla=y&mod=e2tw

Acciones de Intel:
http://www.nasdaq.com/es/symbol/intc/interactive-chart?timeframe=1m&charttype=line

Precio de procesador Intel en el tiempo:
https://camelcamelcamel.com/Intel-Desktop-Processor-i7-7700K-BX80677I77700K/product/B01MXSI216

Botnet ‘Smominru’ afecta a más de 500.000 equipos usando EternalBlue

El famoso exploit de la NSA que salió a la luz el año pasado sigue causando estragos.

Resultado de imagen de botnet

A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes debido a su simpleza y utilidad.Monero (XMR) sigue siendo la moneda favorita para minar ilegalmente gracias a que te proporciona mayor anonimato a la hora de realizar transacciones.

La vulnerabilidad utilizada que se dio a conocer con WannaCry y que paralizó a medio mundo sigue siendo uno de los principales vectores de ataque para este tipo de malware. Con parche de seguridad disponible desde Marzo de 2017, EternalBlue(CVE-2017-0144 SMB) sigue siendo una de las vulnerabilidades más explotadas.

Smominru (también conocido como Ismo) se ha expandido por muchas zonas, pero la mayoría de los equipos infectados se encuentran en Rusia, India y Taiwán. La razón de que haya más infecciones en estos países es que aún no han tomado conciencia de la necesidad de actualizar sus sistemas a fin de mejorar su seguridad y el número de instalaciones de parches de seguridad en Windows es muy bajo.

El malware ha infectado alrededor de 526.000 sistemas Windows desde Mayo de 2017, lo cuál ha hecho que los atacantes minen 8.900 Monero, que corresponden a 1,86 millones de dólares (actualmente, tras la caída de las criptomonedas).

Los expertos de ProofPoint notificaron al servicio de protección DDoS SharkTech que la infraestructura de comando y control de ‘Smominru’ se encontraba alojada en sus servidores, sin embargo no obtuvieron respuesta.

Según varios investigadores, esta botnet va a seguir expandiéndose a lo largo del año

Más información:
 
Análisis de ProofPoint:

El lunes negro de WordPress: actualizaciones con fallos y vulnerabilidades que no se solucionan

Definitivamente esta semana no es la mejor para el CMS que, dicen, supone casi el 30% de sitios de Internet. Un fallo introducido en la ultima actualización impide actualizar automáticamente, y una vulnerabilidad que tiene como impacto la denegación de servicio no será solucionada.

El lunes se publicaba la versión 4.9.3, solucionando un total de 43 fallos, aunque ninguno de ellos de seguridad. Como es habitual cada vez que hay una actualización, el anuncio de la nueva versión al final rezaba:

Sites that support automatic background updates are already beginning to update automatically.

Pero esto nunca llego a suceder. Irónicamente, la actualización se publicó con un fallo que impide al sistema de actualizaciones automáticas seguir funcionando, o lo que es lo mismo: tras esta instalación, WordPress dejará de actualizarse automáticamente. Esta funcionalidad se implementó en la versión 3.7, precisamente para dar respuesta a la gran cantidad instalaciones vulnerables (algunos estudios afirmaban que suponían el 70% del total).

Para solucionar la situación, el mismo martes se publicó la versión 4.9.4. Sin embargo, al haber quedado el sistema inservible, para actualizar se requieren operaciones manuales por parte del usuario:

Unfortunately yesterdays 4.9.3 release contained a severe bug which was only discovered after release. The bug will cause WordPress to encounter an error when it attempts to update itself to WordPress 4.9.4, and will require an update to be performed through the WordPress dashboard or hosts update tools.

Esto podría suponer que muchos sitios queden estancados en la versión 4.9.3 hasta que sus administradores ejecuten la operación.

Más malas noticias: una denegación de servicio que no se solucionará

Por si esto fuera poco, el mismo lunes el investigador Barak Tawily publicaba un artículo donde describía una vulnerabilidad que afecta a casi cualquier instalación de WordPress, provocando una denegación de servicio.

La vulnerabilidad se encuentra en el fichero ‘load-scripts.php’. Este se utiliza para pedir al servidor varios ficheros estáticos en una sola petición, reduciendo así el número total de peticiones.
Como parámetro se pasa al fichero un array llamado load que contendrá nombres de ficheros estáticos. No todos los estáticos pueden servirse a través de esta petición, solo los definidos en el listado interno $wp_scripts, y nunca se servirán repetidos, aunque ni falta que hace: en ese listado hay un total de 181 ficheros que suponen un número similar de acciones de I/O y un peso del fichero de respuesta de casi 4MB.
Más información:

Riesgos de usar WhatsApp Web en entornos corporativos

WhatsApp Web está siendo ampliamente utilizado en entornos empresariales, pese a que su política de uso deja claro que solo puede utilizarse para uso personal. La razón de su uso se debe a que permite renderizar WhatsApp en tu navegador, para no tener que estar acudiendo al teléfono móvil si quieres usar la famosa aplicación adquirida por Facebook en 2014.

Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones. Concretamente, WhatsAppWeb es una aplicación web relativamente compleja en su forma de comunicarse. Por ejemplo, en un primer momento solo tenía compatibilidad con Google Chrome debido a que era el único navegador que integraba la tecnología WebRTC en ese momento (a día de hoy es soportada por la mayoría de los navegadores).

Más información:

Campaña internacional de fraude por Whatsapp a diferentes supermercados

UDPoS, el malware que afecta a puntos de venta

UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn

Recientemente se ha descubierto una nueva variedad de malware que afecta principalmente a puntos de venta (PoS) y envía la información de las tarjetas robadas a través del protocolo DNS. El uso de este protoloco es algo a destacar, ya que lo más común en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar por una actualización de LogMeIn.

El malware se presenta con nombres como ‘logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe’ y se comunica con servidores de control alojados en Suiza. La primera vez que se ejecuta genera un archivo ‘infobat.bat’ que se usa para hacer una firma del sistema y poder identificar las máquinas infectadas. A continuación escanea la máquina infectada y la información recopilada se aloja en un fichero llamado ‘PCi.jpg’, que se envía al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se asegura de sobrevivir al reinicio de la máquina).

Más información:
 
Investigación completa del malware:

Miles de sitios webs de los gobiernos hackeados para minar criptomonedas

Se han descubierto miles de webs de varios gobiernos del mundo que forzaban a los visitantes a minar criptomonedas.

Extraída de Hackbusters

El script de minado ha sido encontrado en más de 4.000 webs entre las que destacan el Servicio Nacional de Salud de Reino Unido (NHS) y el sistemas judicial de los Estados Unidos.

Los ciberdelincuentes consiguieron modificar un complemento de accesibilidad de terceros llamado Browsealoud, el cuál estaba presente en todas las webs afectadas. Una vez más, la secuencia de comandos que se insertó pertenece a CoinHive, al cuál ya hemos mencionado en otros artículos.

Como ya hemos mencionado en otras ocasiones, los usuarios al visitar una web que contiene código de CoinHive, notan como la potencia de su procesador se ve aumentada notablemente para minar criptomonedas sin conocimiento de ello. Esto es conocido como criptojacking.

El encargado en dar la voz de alarma fue Scott Helme (Consultor de Seguridad en Reino Unido). Descubrió el hackeo después de que uno de sus amigos mencionara haber recibido alertas de antivirus en la web del gobierno y lo publicó en su cuenta de Twitter.

El complemento vulnerado pertenece a la empresa TextHelp. Martin McKay, CTO de dicha compañía escribió un post para tranquilizar a los usuarios. En él, especifica que el completemento está pasando una serie de revisiones de seguridad.

Debido a esta acción, el completemento ha sido borrado eventualmente de todas las webs sin que los encargados de dichas páginas deban realizar ninguna acción.

Además, la compañía asegura que no se ha comprometido datos de ninguno de los usuarios y que sus clientes recibirán una actualización tan pronto como la investigación de seguridad haya finalizado.

Más información:

Lista de webs vulneradas:
https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

Web de CoinHive:
https://coinhive.com/

Tweet de Scott Helme dando la alarma:
https://twitter.com/Scott_Helme/status/962684239975272450

Múltiples Vulnerabilidades en Trend Micro Email Encryption Gateway

Varias vulnerabilidades afectan al sistema ‘Email Encryption Gateway’ de Trend Micro, algunas de las cuales podrían llevar a la ejecución remota de código arbitrario.

Introducción

Email Encryption Gateway es un software basado en Linux que permite el cifrado de correo desde el gateway corporativo.

El cifrado y descifrado del correo en el cliente TMEEG (Trend Micro Email Encryption Gateway) está controlado por un gestor de directivas que permite al administrador configurar directivas basándose en varios parámetros (direcciones de correo remitente, destinatario, palabras clave, etc). Se presenta como una interfaz para configurar los ‘MTA’ salientes.

Se han encontrado vulnerabilidades en la consola web que permitirían a un atacante no autenticado ejecutar comandos arbitrarios con privilegios de root.

Descripción

El informe contiene doce vulnerabilidades que afectan este producto, que pasaremos a explicar de manera muy resumida en las siguientes líneas.

Vulnerabilidad 1 (Actualización insegura vía HTTP)

Vulnerabilidad 2 (Escritura de archivos con ejecución de comandos)

Vulnerabilidad 3 (Actualizaciones sin validar)

Vulnerabilidad 4 (Ubicación de logs arbitraría con ejecución de comandos)Vulnerabilidad 6 (Cross Site Request Forgery)

Vulnerabilidad 7 (XML External Entity Injection)

Vulnerabilidad 8 (Reflected Cross Site Scripting)

Vulnerabilidad 9 (Reflected Cross Site Scripting)

Vulnerabilidad 10 (Stored Cross Site Scripting)

Vulnerabilidad 11 (SQL Injection)

Vulnerabilidad 12 (SQL Injection)

Vulnerabilidad 13 (SQL Injection)

Productos vulnerables
Trend Micro Email Encryption Gateway 5.5 (Build 1111.00)

Información del fabricante y soluciones

https://success.trendmicro.com/solution/1119349-security-bulletin-trend-micro-email-encryption-gateway-5-5-multiple-vulnerabilities

Créditos
Leandro Barragán (Core Security Consulting Services)
Maximiliano Vidal (Core Security Consulting Services)

Más información:

Post original

OMG convierte dispositivos IoT en servidores proxy

Una nueva variante de Mirai ha sido descubierta por investigadores de Fortinet. Bautizada como OMG, la funcionalidad que la define es la capacidad de utilizar los dispositivos IoT infectados como servidores proxy.

Imagen de fondo creada por Kjpargeter. Obtenida de Freepik.com

La liberación del código fuente del la botnet Mirai ha dado a luz todo tipo de variantes con su propio arsenal de funcionalidades específicas. En previas UAD hemos hablado de como explotaban vulnerabilidades en dispositivos Huawei, usaban contraseñas por defecto en ZyXelatacaban a software de minado.

Diagrama de funcionamiento de OMG. Obtenida de Fortinet
Más información:

Tendencias de seguridad IT para 2018

LAS CIBERAMENAZAS PARA LATINOAMÉRICA EN 2018 VAN DESDE CIBERESPIONAJES HASTA ATAQUES A DISPOSITIVOS DEL HOGAR

Ciberespionaje, ataques al sistema de bancos y a las operaciones con criptomonedas, y el aumento y la diversificación de malwares en celulares son las principales amenazas online para América Latina.

 

Tendencias de seguridad IT para 2018

Ransomware y Ramsomware como Servicio

En 2017, los cibercriminales desarrollaron más técnicas para transmitir ransomware, lo que resultó en algunos brotes mundiales, como WannaCry, NotPetya, y, más recientemente, Bad Rabbit. WannaCry fue desatado en mayo de 2017, y, por primera vez, se vio un ransomware con características de gusano, lo que contribuyó a su rápida difusión. Además, WannaCry sacó provecho de un exploit tomado de NSA, conocido como EternalBlue, que se enfoca en una vieja vulnerabilidad de Windows.

Vulnerabilidades criptográficas

En octubre de 2017, se anunció un error en la biblioteca de criptografía utilizada por Infineon en sus chips de hardware. Si bien parece que la falla no fue intencional, queda la duda de qué tan seguras son las tecnologías de cifrado que utilizamos en nuestra vida cotidiana: desde las tarjetas inteligentes y las redes inalámbricas, hasta el tráfico de web cifrado. En 2018, se anticipa que se encontrarán vulnerabilidades criptográficas más severas, que se espera que sean parchadas, ya sea en los estándares mismos o en las implementaciones específicas.

Crisis en la identidad en el comercio electrónico

La identidad en el comercio electrónico entrará en crisis. Los últimos años estuvieron llenos de grandes fugas de información personal identificable (PII, por sus siglas en inglés). Esto puede tener como resultado que se pongan de moda alternativas más seguras, como ApplePlay, como una forma de asegurar la identidad y las transacciones. Sin embargo, si los datos fundamentales de identificación están tan divulgados que ya no son confiables, es posible que veamos una ralentización en el rol crítico de la Internet para modernizar los procesos burocráticos tediosos.

Vulnerabilidades ignoradas en los routers y módems

Los routers y los módems representan otras vulnerabilidades ignoradas. Estos aparatos están en todas partes, y suelen funcionar con software que carece de parches y de mantenimiento de seguridad. El mismo diseño de estos dispositivos exige que tengan acceso constante a la Internet, lo que los convierte en un blanco codiciado para los cibercriminales. Probablemente, en 2018, un mayor control sobre estas pequeñas computadoras producirá hallazgos interesantes.

Predicciones 2018

  • Ataques a la cadena de suministro, a las PyMes (empresas pequeñas y medianas) y a las entidades financieras o #FinTECH
  • #Wipers o amenazas con el objetivo de borrar o destruir el contenido,
  • Perfiles de miles de usuarios robados de los sitios de comercio electrónico,
  • UEFI y Bios, ataques que logran el control del nivel más bajo del sistema (donde no hay mayor protección),
  • Más #Malware enfocado en los dispositivos móviles (hasta construidos de manera automatizada),
  • Códigos maliciosos enfocados a enrutadores, dispositivos de conexión y/o con conexión (IoT). Ni siquiera los dispositivos médicos van a estar exentos,
  • Nuevas formas para atacar a los usuarios de #Criptomonedas,
  • Adopción de técnicas de #APT que usan #Exploits para reducir la interacción de los usuarios que antiguamente requerida para activar las amenazas.

 

 

Nube de tags

Fuentes:

Noticias de Seguridad Agosto 2017

Vulnerabilidades en productos Lenovo

Se han detectado varias vulnerabilidades en diversos productos Lenovo.
Los errores, de gravedad alta, se corresponden con saltos de
restricciones de seguridad, elevación de privilegios dentro del sistema
y/o ejecución de código arbitrario.

Lenovo es un conocido fabricante de ordenadores, tabletas, smartphones,
servidores, etc. También provee servicios de soporte y tecnología de
información de integración, teniendo incluso servicios de acceso a
Internet. La compañía es poseedora desde 2005 de la división de
ordenadores IBM, convirtiéndose en uno de los fabricantes de ordenadores
más grandes del mundo, teniendo los derechos de marcas tan importantes
como Thinkpad, Aptiva o Ideapad.

Más información:

Lenovo
http://www3.lenovo.com

ThinkPad Compact USB Keyboard with TrackPoint Driver Unquoted Service Path
https://support.lenovo.com/es/es/product_security/len-15061

 

Vulnerabilidades en Mozilla Firefox

Mozilla ha publicado su boletín número 18 de este año, el cual está
calificado como crítico. En total se han corregido 29 vulnerabilidades,
de las cuales 5 tienen un impacto crítico, 11 de impacto alto, 7 de
impacto moderado y 6 de bajo.

Vulnerabilidades de impacto crítico

Se corrigen dos vulnerabilidades en la gestión de memoria, una inyección
XUL en la herramienta en desarrollo y dos uso de memoria previamente
liberada en el WebSocket y en el proceso de reescalado. Todas ellas
podría permitir la ejecución de código.

CVE asociados: CVE-2017-7779, CVE-2017-7780, CVE-2017-7798,
CVE-2017-7800 y CVE-2017-7801.

Vulnerabilidades de impacto alto

Se corrigen cuatro vulnerabilidades: una al utilizar memoria previamente
liberada durante la gestión del DOM, en el observador de imagen, en el
elemento imagen y en el gestor SVG. Además, se corrigen tres
desbordamientos de memoria en el atributo ARIA del DOM, en el
renderizado del SVG y en el visor de certificados. Finalmente, se
corrige dos saltos de restricciones, uno en ‘WindowsDllDetourPatcher’ y
otro en las políticas de mismo origen (same-origin), un secuestro de
dominio (Domain hijacking) y una lectura fuera de límites.

CVE asociados: CVE-2017-7753, CVE-2017-7784, CVE-2017-7785,
CVE-2017-7786, CVE-2017-7787, CVE-2017-7792, CVE-2017-7802,
CVE-2017-7804, CVE-2017-7806, CVE-2017-7807 y CVE-2017-7809.

Vulnerabilidades de impacto moderado

Se corrige un spoofing en la navegación con datos, una fuga de
información CSP, un error en la reserva de memoria en las protecciones
DWP y WindowsDllDetourPatcher, un error al añadir un punto en una curva
elíptica, dos errores en la sandbox y una inyección XUL.

CVE asociados: CVE-2017-7781, CVE-2017-7782, CVE-2017-7791,
CVE-2017-7794, CVE-2017-7799, CVE-2017-7803 y CVE-2017-7808.

Vulnerabilidades de impacto bajo

Se corrige un error al procesar el nombre de usuario en la URL, un error
de herencia en las directivas CSP en el iframe sbout:srcdoc, un error al
activar HSTS, un error de lectura en los reportes de Windows, una
gestión de ficheros al gestionar las actualizaciones y una fuga de
información en en nombre de algunas cabeceras.

CVE asociados: CVE-2017-7783, CVE-2017-7788, CVE-2017-7789,
CVE-2017-7790, CVE-2017-7796 y CVE-2017-7797.

La vulnerabilidades han sido corregidas en la versión 55 del navegador,
que puede ser descargada desde la página oficial o a través del propio
sistema de actualización de Firefox.

Más información:
Mozilla Foundation Security Advisory 2017-18
https://www.mozilla.org/en-US/security/advisories/mfsa2017-18/

 

 

Comprometidas dos populares extensiones de Google Chrome

El equipo de seguridad de Google ha enviado advertencias a través de
e-mail a los desarrolladores de extensiones de Chrome después de que
muchos de estos fuesen objetivos de ataques de phishing. Algunos de
estos ataques consiguieron su objetivo y permitieron el robo de algunas
extensiones.

Estos ataques tuvieron lugar la semana pasada, cuando las cuentas de los
desarrolladores de las extensiones CopyFish (80.000 usuarios) y Web
Developer (100.000) se vieron comprometidas. Los atacantes aprovecharon
para insertar código malicioso de adware en la extensión. De esta manera
consiguieron ingresos a través de todos los usuarios que las tuvieran
instaladas.

Estos ataques llevan cerca de dos meses produciéndose sin que hasta la
fecha nadie se haya percatado. El phishing en cuestión se hace pasar por
una cuenta oficial de Google, informando a los desarrolladores de una
supuesta violación de los terminos de servicio de Chrome Web Store. Es
entonces cuando las víctimas accedian a un sitio falso que solicitaba el
login a una cuenta de Google.

Captura de los e-mails de phishing. Fuente: www.bleepingcomputer.com
https://www.bleepstatic.com/images/news/u/986406/Software/Chrome/Extensions/phishing-email.png

Los avances en la investigación indican que los dominios utilizados para
robar la información de estas dos extensiones son los mismos, y el
e-mail prácticamente idéntico, lo que apunta a un actor común en ambos
ataques. La misma estrategia fue probada de nuevo en agosto, pero esta
vez Google Safe Browsing bloqueó estos enlaces fraudulentos.

Tras el secuestro de las extensiones, Google envió un e-mail a todos los
desarrolladores informando de la situación e indicando las instrucciones
para reportar futuros casos similares.

Captura del e-mail de alerta de Google. Fuente: bleepingcomputer.com
https://www.bleepstatic.com/images/news/u/986406/Software/Chrome/Extensions/google-email.png
 

Lobos con piel de cordero: no te fíes de un fichero por su icono

Un fallo detectado a la hora de procesar determinado tipo de iconos en
Windows permitiría simular documentos benignos para albergar malware y
engañar al usuario.

Un reciente estudio de la firma de seguridad Cybereason ha revelado un
fallo a la hora de procesar determinados formatos de icono que, usado
junto a un problema con la caché de iconos de Windows, permitiría a
cualquier PE (Portable Ejectutable) modificar la representación de su
icono de programa para simular un documento benigno o cualquier otro
icono de sistema.

La técnica parece haber sido utilizado por variantes del ransomware
“Cerber” entre otros, y técnicamente se basa en un fallo de los sistemas
Windows a la hora de manejar iconos en formato “True Monochrome”. En vez
de cargar el icono original presente dentro del ejecutable, el sistema
carga un representación totalmente diferente basándose en la caché de
Iconos de Windows, como se puede ver en el vídeo ilustrativo:

Video demostrativo:
https://www.youtube.com/watch?v=cF3sw80oBjY

 

Ejecución remota de comandos en McAfee Security Scan Plus

Una vulnerabilidad en McAfee Security Scan Plus podría permitir la
ejecución de cualquier ejecutable residente con los privilegios del
usuario del sistema.

McAfee Security Scan Plus es una herramienta de diagnóstico gratuita que
permite comprobar el estado de la protección del equipo, determinando si
existen soluciones antivirus, cortafuegos y seguridad Web instaladas,
activas y actualizadas, y también analiza las amenazas en cualquier
programa abierto.

McAfee Security Scan Plus obtiene información promocional procedente de
diferentes dominios ‘mcafee.com’ y la muestra en la interfaz de usuario,
normalmente en la ventana principal de la aplicación.

Imagen: McAfee Security Scan Plus:
https://2.bp.blogspot.com/-g3bt_GrB0LQ/WYhqh7eWsxI/AAAAAAAABn8/4YuyJQFD9X4w4_gMBuqbkRUm_u7u0Rg1ACEwYBhgL/s320/mcafee1.png

 

CopyFish: Extensión para Google Chrome secuestrada e infectada con adware

CopyFish es un software de OCR para Google Chrome que permite extraer
textos de imágenes, PDFs y vídeos. La extensión cuenta a día de hoy con
37.740 usuarios, que recibieron el pasado 29 de julio una nueva
actualización que venía con una desagradable sorpresa.

Y es que la extensión había sido secuestrada. Mediante un ataque de
phishing dirigido a uno de los desarrolladores, los atacantes lograron
acceder a su cuenta de “Google extensions” y robar la aplicación,
transfiriéndola a otra cuenta bajo su control.

El phishing mostraba un login falso a Google extensions y estaba alojado
en https://chromedev.freshdesk.com

Imagen: Phishing de Google Extension
https://1.bp.blogspot.com/-EyHNBy2ySSQ/WYHbfdLxjFI/AAAAAAAAAnA/BHsq-8mtIGABgGc1o4MhWMYah-NROhUYACLcBGAs/s640/phishing-screenshot.png

 

LeakerLocker, el malware para Android que amenaza con nuestra privacidad en la red

Nacido a principios de 2016 y repuntando en los últimos días,
LeakerLocker amenaza con mandar tu información personal (fotos, números,
mensajes…) a todos tus contactos si no pagas un rescate. En su última
campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

Bajo los nombres Wallpapers Blur HD, Booster & Cleaner Pro, y Calls
Recorder, se encontraba en Google Play hasta hace poco este peculiar
malware. Entre otros, amenaza con enviar a todos tus contactos tus
fotos, números de teléfono, mensajes de Facebook, correos
electrónicos… Si no pagas una modesta cantidad. O al menos eso es lo
que dice, porque no se ha encontrado esta supuesta funcionalidad en el
código de la aplicación. Aunque tampoco se puede descartar, ya que este
troyano contempla la ejecución de código arbitrario descargado de los
servidores del atacante.

 

LeakerLocker Mobile Ransomware Threatens to Expose User Information
http://blog.trendmicro.com/trendlabs-security-intelligence/leakerlocker-mobile-ransomware-threatens-expose-user-information/

LeakerLocker: Mobile Ransomware Acts Without Encryptionhttps://securingtomorrow.mcafee.com/mcafee-labs/leakerlocker-mobile-ransomware-acts-without-encryption/?awc=7545_1501598599_24d36516f8b0fefc43b9cff1c3a52551

LeakerLocker Ransomware Found in Two Apps on the Google Play Store
https://www.bleepingcomputer.com/news/security/leakerlocker-ransomware-found-in-two-apps-on-the-google-play-store/