Category: Seguridad

McAfee y Grupo ITS presentan las soluciones de per...

SOLUCIONES DE WEB PROTECTION

Plataformas de Secure Web Gateway y Defensa avanzada contra amenazas (ATD)

SOLUCIONES DE CASB

McAfee incorporar a su portafolio una plataforma de seguridad en aplicaciones de nube y ShadowIT con la reciente adquisición de Skyhigh

 

Solicite su Prueba de Concepto en forma gratuita

  • Este campo es un campo de validación y debe quedar sin cambios.

 

 

 

 

Noticias de Seguridad Marzo 2018

Fakebank, el troyano bancario que intercepta tus llamadas

El troyano bancario está dirigido a bancos coreanos y es capaz de interceptar las llamadas entre las víctimas y el banco.

A diferencia de versiones anteriores de Fakebank, esta nueva variante es capaz de interceptar las llamadas entre el usuario y su entidad bancaria y viceversa. Para ello, el troyano recolecta en primer lugar información personal del usuario y la envía al servidor de C&C. Posteriormente, el C&C responde con varios parámetros de configuración, especificando entre otras cosas el número de teléfono que será usado en el fraude:

  • phoneNum_ChangeNum: El número legítimo del banco, que será reemplazado por el número fraudulento cuando el usuario haga la llamada.
  • phoneNum_To: El número de los atacantes que simulará ser el banco.
  • phoneNum_Come: El número del atacante que llamará a la víctima. Se falsificará el ID de la llamada.
  • phoneNum_ShowNum: El número legítimo del banco que se mostrará cuando los atacantes realizan la llamada.
Parámetros de configuración del malware. Fuente: https://www.symantec.com

Cuando el usuario llame a su entidad bancaria el malware interceptará la llamada y la redirigirá a los atacantes. Y al contrario, cuando los atacantes simulen una llamada de la entidad bancaria, suplantarán la identidad de ésta falsificando el ID de la llamada.

De este modo los atacantes tienen un mecanismo bastante efectivo para engañar a sus víctimas.

No solo esto, el malware también ha mejorado su sistema de permisos, ajustándose a las distintas versiones de Android para conseguir pasar más inadvertido:

  • Versiones anteriores a Android 6 especificarán el permiso de ‘android.permission.SYSTEM_ALERT_WINDOW‘ en el ‘manifest’ de la aplicación, por lo que se notificará en la instalación.
  • En Android 6 y 7 los permisos se conceden de forma silenciosa si se declaran en el ‘manifest’ y la aplicación proviene de Google Play.
  • A partir de la versión 8 de Android ya no se permite superponer ventanas desde aplicaciones, por lo tanto el malware no funcionaría.

Como recomendaciones de seguridad se recomienda siempre instalar aplicaciones de repositorios oficiales y poner especial atención a los permisos que se solicitan.

Más información:
 

Fallo en la función de Asistencia Remota de Windows permite robar información

Se descubre vulnerabilidad crítica que afecta a todas las versiones de Windows.

Resultado de imagen de windows vulnerability

La Asistencia Remota de Windows es una herramienta preinstalada que permite que alguien de confianza tome el control de tu PC. Usualmente se utiliza para prestar ayuda sin necesidad de desplazamiento.

Esta herramienta está basada en RDP (Remote Desktop Protocol) para establecer las conexiones de manera segura. Sin embargo, el investigador de Trend MicroNabeel Ahmed” ha descubierto una vulnerabilidad de fuga de información (CVE-2018-0878)que podría permitir a los atacantes obtener información para comprometer el sistema. El fallo de seguridad reside en la forma que Windows procesa las Entidades Externas XML (XXE).El ataque se basa en la inclusión de carga maliciosa en la invitación de acceso. Al configurar la asistencia remota, Windows ofrece dos opciones: invitar a alguien o responder. Al escoger la opción invitar a alguien, se genera un archivo de invitación que contiene una serie de parámetros XML. Como el analizador no valida el contenido, se puede modificar este archivo para que envíe el contenido malicioso a través del mismo.

Por tanto se recomienda a todos los usuarios que actualicen Windows a la última versión.

Más información:
 
CVE-2018-0878:

SQL Injection en componente MilestoneFinder de Gitlab CE/EE

Clasificada como crítica, esta vulnerabilidad fue encontrada en GitLab Community Edition y Enterprise Edition 10.1/10.2/10.2.4.

Seguramente conozcais GitHub, sistema de control de versiones en git. GitLab es básicamente GitHub en vuestros servidores, con sus ventajas y desventajas. Entre las desventajas podemos destacar mantener al día las actualizaciones de seguridad tanto del servidor como de GitLab.

Una función que aún se desconoce del componente MilestoneFinder es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase SQL Injection. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

Existe un error en el componente MilestoneFinder que podría ser aprovechado por un atacante remoto para realizar ataques de inyección SQL y afectar a la confidencialidad, la integridad y a la disponibilidad.

No hay información respecto a posibles contramedidas. Se recomienda actualizar a las últimas versiones disponibles.

Mas información

Gitlab CE and EE version 10.1, 10.2, and 10.2.4 are vulnerable to a SQL injection in the MilestoneFinder component.
https://www.cvedetails.com/cve/CVE-2017-0914/

GitLab Security Release: 10.3.4, 10.2.6, and 10.1.6
https://about.gitlab.com/2018/01/16/gitlab-10-dot-3-dot-4-released/

Ubuntu, Arch y Fedora afectadas por una vulnerabilidad en el kernel

La vulnerabilidad con código CVE-2013-1763 afecta a un amplio rango de distribuciones, entre ellas Fedora, Ubuntu y Arch Linux. Esta vulnerabilidad, cuenta además con el código para explotarla, que permite obtener privilegios de root. En esta entrada analizaremos cómo se obtienen dichos privilegios.

Esta vulnerabilidad afecta a las versiones del kernel 3.0-37.10 y se encuentra en ‘net/core/sock_diag.c‘ donde la función ‘__sock_diag_rcv_msg’ no hace hace una comprobación de `bounds check` del array ‘sock_diag_handles’ provocando una ‘out-of-bounds exception’ y permitiendo a usuarios sin privilegios de root obtenerlo.En los sistemas Linux de 32 bits, cada proceso virtualizará 4GB de espacio de memoria, siendo 3GB de estos el espacio de usuario y 1GB el espacio del kernel. En este caso el rango de user-space es 00000000 a 0xBFFFFFFF y el espacio de kernel 0xC0000000 a 0xFFFFFFFF. El espacio del kernel es compartido por todos los procesos sin embargo, sólo pueden acceder los procesos que se estén ejecutando en kernel-mode. Los procesos a nivel de usuario pueden acceder a kernel-mode a través de `syscalls`. Si un proceso se ejecuta en kernel-mode, las direcciones generadas pertenecen al espacio del kernel.

Las funciones ‘commit_creds’ y ‘prepare_kernel_cred’ son funciones del kernel y para poder ejecutarlas tendríamos que pasar a kernel-mode; por tanto si la función ‘__sock_diag_rcv_msg’ se ejecuta en kernel-mode, podemos aprovecharla para ganar privilegios de root.

Se aplica un mmap al rango de memoria 0x10000-0x120000, incluyendo una serie de NOPs hasta poder colocar correctamente la payload que salta al código que pertenece a kernel-mode. En Ubuntu, no se puede obtener el valor de la variable ‘rehash_time’ de dicho rango de memoria, por lo que sólo es válido el siguiente método para obtenerla:

`sudo cat /boot/System.map-3.5.0-17-generic`
Tras conseguir toda esta información, el usuario puede obtener privilegios de root. Como contra, para poder ejecutar este exploit más de una vez, es necesario reiniciar el sistema operativo.

Más información:

CVE-2013-1763:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1763Linux Kernel < 3.5.0-23 (Ubuntu 12.04.2 x64) – ‘SOCK_DIAG’ SMEP Bypass Local Privilege Escalation:

Buffer overflow en Mikrotik RouterOS

SMB Buffer Overflow en Mikrotik RouterOS

Resultado de imagen de mikrotik

Información

Impacto: ejecución de código
Explotable remotamente: Si
Explotable localmente: No
CVE: CVE-2018-7445

Vulnerabilidad

La vulnerabilidad de encuentra en el procesamiento de inicio de sesión de NetBIOS. Los atacantes pueden ejecutar código en el sistema a través de esta vulnerbailidad. El desbordamiento del buffer se produce antes de que se realice la autenticación por lo que un atacante puede explotar esta vulnerabilidad sin necesidad de estar logueado en el sistema.

La función que se encarga de comprobar los nombres de NetBIOS recibe dos buffers como parámetros. El primer byte del buffer de origen se lee y se usa como el tamaño para la operación de copia. Luego se copia esa cantidad de bytes en el buffer de destino. Esta operación se ejecuta hasta que el tamaño para copiar es 0.

No se realiza ninguna validación para garantizar que los datos se ajusten al buffer destino lo que produce el desbordamiento de la pila. Por lo que se recomienda actualizar el sistema a la versión más actual.

Versiones Vulnerables

Todas las arquitecturas y equipos que ejecuten versiones anteriores a la 6.41.3/6.42rc27 de RouterOS

Créditos

La vulnerabilidad ha sido descubierta por Juan Caillava y Maximiliano Vidal de Core Security Consulting Services

 

Más información:
 
Mikrotik RouterOS Download:
https://mikrotik.com/softwareReporte:

Vulnerabilidad en EXIM permitiría ejecución remota de código

La vulnerabilidad se encuentra presente desde la primera versión de EXIM y afectaría al menos a 400 mil servidores que ejecutan este servidor de correo

Un investigador de Devco.re (Meh Chang) reportó el día 5 de febrero el descubrimiento de esta vulnerabilidad en las listas de correo de seguridad de EXIM, identificándose al día siguiente con el CVE-2018-6789, y lanzándose una versión ya parcheada (4.90.1) el día 10 del mismo mes. Según el mismo sitio web de Exim, todas las versiones anteriores a dicha versión deben considerarse obsoletas.

Exim es uno de los servidores de correo electrónico de código abierto más populares, estando disponible tanto para sistemas tipo UNIX como para Windows. Desarrollado por la Universidad de Cambridge en 1995, es en la actualidad el MTA por defecto de Debian y otras distribuciones GNU/Linux.

Fragmento del código vulnerable. Fuente: devco.re

El fallo descubierto se encontraría en la función b64decode’, utilizada por métodos de autenticación como ‘CRAM-MD5’ (utilizado por defecto). Cualquier método de autenticación que haga uso de dicha función es vulnerable. El fallo sería explotable mediante un base64 inválido especialmente manipulado, el cual provocaría un desbordamiento en el buffer.

La vulnerabilidad se aprovecha del tamaño de buffer que asigna la función, el cual es de ‘3*(len/4)+1’. Normalmente esto no sería un problema, pero si se utiliza un base64 inválido de tamaño ‘4n+3’, la función asignará un tamaño de ‘3n+1’, pero utilizará ‘3n+2’. Esto acaba provocando que el buffer se desborde por un byte. Puede verse más información sobre la explotación de la vulnerabilidad en el artículo escrito por su descubridor.

A día de hoy, no hay una prueba de concepto que explote el fallo, y según puede leerse en la descripción de la vulnerabilidad en la web de EXIM, es difícil que pueda explotarse

Más información:

 
Exim Off-by-one RCE: Exploiting CVE-2018-6789 with Fully Mitigations Bypassing:
https://devco.re/blog/2018/03/06/exim-off-by-one-RCE-exploiting-CVE-2018-6789-en/CVE-2018-6789:

Hablemos de DrDOS

Recientemente se ha detectado que mediante el uso de servicios memcached expuestos en internet, se había logrado llevar a cabo un ataque ‘DDoS Reflection’ (DrDOS) con un multiplicador cercano a 51.000.

Un ataque ‘DDos Reflection’ es un ataque de denegación de servicio por amplificación, que se produce cuando haciendo peticiones hacia un objetivo, éste es capaz de multiplicar el número de peticiones hacia el objetivo final.


Memcached es un sistema distribuido para caché de código abierto utilizado principalmente para mejorar la escalabilidad de las aplicaciones web. Memcached almacena pequeños datos mediante una funcionalidad de clave-valor. Los atacantes hacen uso de la funcionalidad clave-valor para crear un gran flujo con el que llevan a cabo el ataque.

El ataque se lleva a cabo en primer lugar mediante la obtención de servidores memcached expuestos en internet, para ello los atacantes hacen uso de herramientas como Shodan. Una vez se obtiene el listado de IPs, se modifica la configuración clave-valor con el fin de lograr la mayor cantidad de almacenamiento posible, permitiendo mediante la falsificación de la IP de destino en la solicitud, que el sistema memcached responda a la IP falsificada, aumentando el diferencial del que hemos hablado anteriormente.
Al llevar a cabo la técnica anteriormente descrita sobre un ‘poll’ de servidores, logramos un ataque DrDoS contra la IP de origen que se ha falsificado, que en este caso, correspondería a la víctima.
Históricamente, este tipo de ataques lo hemos podido observar en sistemas DNS, NTP y sistemas SSDP entre otros muchos, por lo que no es nada nuevo. La novedad se encuentra en el multiplicador que se ha llegado a conseguir superando con bastante claridad al resto de ataques DrDOS registrados.
A continuación os mostramos una tabla comparativa:


Protocolo
Multiplicador
DNS
28 a 54
NTP
556.9
SNMPv2
6.3
NetBIOS
3.8
SSDP
30.8
CharGEN
358.8
QOTD
140.3
BitTorrent
3.8
Kad
16.3
Quake Network Protocol
63.9
Steam Protocol
5.5
Multicast DNS (mDNS)
2 a 10
RIPv1
131.24
Portmap (RPCbind)
7 a 28
LDAP
46 a 55
CLDAP
56 a 70
TFTP
60
Memcache
10,000 a 51,000


Este ataque ha sido posible debido a una mala política de securización. Los que hemos trabajado con servicios memcached sabemos que están pensados para trabajar en ‘Loopback’ o redes locales, y una sola línea en su configuración hacen que sean expuestos en internet, por lo que cualquier persona podría usarlos. Aunque implemente medidas de seguridad éstas no vienen configuradas por defecto, y su fácil puesta en marcha, hace que estas medidas queden en muchos casos en el olvido.
En este casos no estamos hablando de una vulnerabilidad, sino de una técnica de DDoS que se aprovecha de una mala configuración de seguridad, la cual permite alcanzar picos de tráfico que han generado records para empresas como Akamai y Cloudfare. Por ejemplo, Akamai experimentó un ataque de 1.3 Tbs contra un solo cliente, más del doble del tamaño del ataque botnet Mirai mitigado por Akamai en 2017.
La mitigación de este tipo de ataques es sencilla ya que procede del puerto 11211 UDP que utiliza el servicio memcached, por lo que es fácilmente identificable para la aplicación de políticas de mitigación por parte de los servicios anti DDoS.

SgxPectre, otra zancadilla a Intel derivada de Spectre

Investigadores de la Universidad de Ohio han desarrollado una serie de ataques basados en fallos de diseño de procesadores revelados por Spectre. El objetivo, SGX de Intel, una extensión de la arquitectura que permite ejecutar código de forma privada tal que ni siquiera el sistema operativo pueda observar.

Apenas hace dos meses de la presentación pública de Meltdown y Spectre, aquellas vulnerabilidades que han hecho historia en el mundo de la seguridad informática. Con consecuencias tan graves como poder leer la memoria reservada a otros procesos o incluso al sistema operativo, ocasionaron una gran polémica y consecuencias que durarán años. Tal y como analizamos en su día, ambas vulnerabilidades se deben a fallos de diseño en los procesadores, que con el objetivo de exprimir al máximo el silicio y aumentar el rendimiento, abrieron la puerta a una clase de vulnerabilidades que perdurarán años.

Precisamente, el ataque del que hablamos aprovecha estos fallos de diseño. Es una variación de Spectre (la que permitía leer memoria de los procesos con trozos de código vulnerables) orientada a leer memoria de enclaves SGX. ¿Y qué es un enclave SGX? Resumidamente, es una forma de ejecutar código en procesadores Intel que lo soporten, de forma que ni siquiera el sistema operativo o un hipervisor puedan acceder a la memoria involucrada en la ejecución. El objetivo más llamativo de SGX es ejecutar código sensible en un servidor remoto ejecutando software no confiable.

Superficie expuesta a ataques sin y con SGX. Extraída de software.intel.com.

Esto vendría a intentar solucionar el gran problema de la computación en la nube: El que un tercero procese datos sensibles por ti. Aunque lo cierto es que la implementacion deja un poco que desear. Desde que salió, unascuantas publicaciones han ido contándonos cómo básicamente SGX hace aguas por varios sitios, permitiendo leer del preciado enclave, que se presuponía privado. Por no hablar de que para convertirte en confiable y así poder ejecutar un enclave ajeno (de un cliente), hay que contactar con servidores propios de Intel como piezas imprescindibles del proceso de verificación… Pagando, por supuesto.

La familia de ataques SgxPectre no son una revolución conceptual. Tal y como dicen los autores de la publicación, los conceptos de estos ataques son básicamente los mismos en los que se fundamenta Spectre. De hecho, ni siquiera son una revolución en la aplicación de Spectre a SGX, ya que existen reportes sobre la vulnerabilidad de SGX a ataques derivados de Spectre publicados apenas unos días después de la publicación de éste último, incluyendo una prueba de concepto de un grupo de investigación del Imperial College de Londres. Esta publicación aporta una explicación exhaustiva de los ataques, y presenta un verificador de código para detectar los trozos de código vulnerables que permiten estos ataques.

Los usuarios de a pie apenas se verán afectados por estos ataques, ya que SGX se usa en extensiones del procesador relativamente modernas y sólo en procesadores Intel. Evidentemente un producto orientado al usuario final no se puede restringir a funcionar únicamente en procesadores Intel modernos.Aquellos que programen usando SGX deberán esperar al 16 de marzo, que es cuando Intel prometer publicar el SDK corregido (SDK: kit de desarrollo de software, que estaba produciendo los trozos de código vulnerables). Esto junto con las mitigaciones ya publicadas para Meltdown y Spectre, deberían neutralizar estos ataques.



Más información:

 
SgxPectre Attacks: Leaking Enclave Secrets via Speculative Execution
http://web.cse.ohio-state.edu/~zhang.834/papers/SgxPectre.pdf

Intel’s SGX security extensions: Secure until you look at the detail:
https://www.theregister.co.uk/2016/02/01/sgx_secure_until_you_look_at_the_detail/
Intel SGX Explained
https://eprint.iacr.org/2016/086.pdfMeltdown y Spectre: Graves vulnerabilidades en los procesadores de los principales fabricantes
http://unaaldia.hispasec.com/2018/01/meltdown-y-spectre-graves.html
SgxPectre Attacks: Practical Spectre attacks against Intel’s SGX enclaves
https://github.com/OSUSecLab/SgxPectre
New Spectre attack variant can pry secrets from Intel’s SGX protected enclaves
http://www.zdnet.com/article/new-spectre-attack-variant-can-pry-secrets-from-intels-sgx-protected-enclaves/

 

Descubiertos dispositivos Android con troyano de la familia “Triada” instalado de fábrica

Se han detectado un total de 42 modelos de teléfonos Android los cuales tienen un troyano bancario de la familia ‘Triada’ instalado de fábrica.

Extraída de wccftech.com

 

El troyano bancario es un malware que tiene como finalidad robar credenciales bancarias, pero no solo eso, sino también conseguir los datos necesarios para realizar estas transacciones, como por ejemplo códigos de seguridad enviados por SMS desde la entidad bancaria al terminal.

Investigadores de la empresa rusa Dr.Web afirman haber encontrado dispositivos con un troyano de la familia “Triada” instalado de fábrica, y que los paises afectados van más allá de Rusia. La muestra también ha sido encontrada en Polonia, Indonesia, China, República Checa, México, Kazajstán y Serbia.

La muestra en cuestión, identificada como ‘Android.Triada.231’, fue detectada por primera vez en 2016, y cuyo funcionamiento principal es la infección de ‘Zygote’, proceso utilizado por el sistema operativo para arrancar todas las aplicaciones, y así poder obtener control total de las mismas. Para eliminar la muestra del sistema es obligatorio realizar una reinstalación completa del sistema operativo.


Actualmente la lista de los terminales detectados con la muestra son los siguientes:

  • Leagoo M5
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510

No es la primera vez que se detecta malware preinstalado en estos dispositivos. Aunque la firma antivirus no culpa directamente a los fabricantes de smartphones, puesto que la infección suele venir en aplicaciones de terceros, sí lamenta la falta de control de las aplicaciones de terceros instaladas en los dispositivos antes de ponerlos en el mercado.

Más información:

Doctor Web: over 40 models of Android devices delivered already infected from the manufacturershttps://news.drweb.com/show/?i=11749&c=5&lng=en&p=0

Denegación de servicio en ISC BIND y DHCP

ISC ha liberado nuevas versiones del cliente y servidor DHCP, así como del servidor BIND, destinadas a solucionar vulnerabilidades que abren la puerta a ataques de denegación de servicio.

Internet Systems Consortium es una organización dedicada al desarrollo de software y consultoría orientada al soporte de la infraestructura de Internet. Entre otros, es conocida por el desarrollo de BIND, un servidor de nombres de dominio (DNS) y DHCP, una implementación cliente-servidor del protocolo con el mismo nombre. Ambos productos son muy usados en sistemas de todo el mundo y presentan vulnerabilidades que comentamos a continuación, todas ellas permitiendo denegación de servicio. Afortunadamente, a estas alturas no se tiene constancia de que estas vulnerabilidades se estén explotando en la red.

La primera de ellas, con identificador CVE-2018-5732, se produce en el cliente de DHCP, conocido como dhclient. Concretamente, tiene lugar al procesar una respuesta de un servidor DHCP, que si tiene una sección de opciones especialmente diseñada, puede ocasionar un desbordamiento de memoria y el consiguiente cierre inesperado del cliente. No se descarta la posiblidad de ejecutar código arbitrario en algunas circunstancias. Esta vulnerabilidad fue reportada por Felix Wilhelm, del equipo de seguridad de Google, y afecta a las versiones 4.1-ESV-R15-P1, 4.3.6-P1 4.4.1.

En segundo lugar, identificada como CVE-2018-5733, tenemos una vulnerabilidad en el servidor de DHCP, llamado dhcpd. Básicamente consiste en que el servidor tiene un contador en memoria almacenado en 32 bits, que tras recibir una gran cantidad de paquetes de un cilente (del orden de miles de millones) puede desbordarse, con la posiblidad de cierre inesperado del servidor. Esta vulnerabilidad también fue reportada por Felix Wilhelm, y afecta a las versiones que afecta CVE-2018-5732.

Por último, la vulnerabilidad con identificador CVE-2018-5734 se produce en el servidor BIND al procesar una petición malformada. Específicamente, BIND al recibir un tipo concreto de paquete malformado selecciona como código de respuesta SERVFAIL, en vez de FORMERROR (que es la respuesta que indica que la petición DNS está malformada). Eso provoca que la aplicación ejecute una parte del código diferente (la parte que maneja las respuestas con SERVFAIL), y si se encuentra habilitada la caché de esta funcionalidad, se termina produciendo un fallo que ocasiona un cierre inesperado. La buena noticia es que este fallo no ha salido en ninguna versión pública del producto, sino en versiones con soporte de pago.

Todas las vulnerabilidades han sido corregidas a la hora de escribir este artículo, y se pueden corregir descargando la última version del software correspondiente en la sección de descargas de la página oficial del ISC:

https://www.isc.org/downloads/

Más información:

A specially constructed response from a malicious server can cause a buffer overflow in dhclient

https://kb.isc.org/article/AA-01565/75/CVE-2018-5732

A malicious client can overflow a reference counter in ISC dhcpd
https://kb.isc.org/article/AA-01567/75/CVE-2018-5733

A malformed request can trigger an assertion failure in badcache.c
https://kb.isc.org/article/AA-01562/74/CVE-2018-5734

Ejecución remota de código en Adobe Acrobat DC

Un reciente reporte de Cisco Talos alerta de la vulnerabilidad corregida en Adobe Acrobat DC, que permitiría ejecutar código de manera remota al procesar Javascript embebido en un PDF malicioso.
Talos ha publicado los detalles de la vulnerabilidad descubierta por el analista Aleksandar Nikolic. En su reporte, aclaraba que, aun existiendo una correcta gestión del campo “document ID” cuando éste excedía determinada longitud
Si se referenciaba mediante código Javascript embebido a ese anterior ID, se podría generar un desbordamiento de pila debido a una incorrecta comprobación de límites (CVE-2018-4901). Una simple llamada como “this.docID” podría generar el desbordamiento de memoria:

41 0 obj <<
>>
stream
this.docID;
endstream
endobj

Un atacante sólo tendría que distribuir o facilitar una web con un PDF especialmente manipulado con código Javascript para conseguir ejecutar código de manera arbitraria.
Aunque no existen reportes de explotación previos de esta vulnerabilidad, clasificada como crítica, se recomienda actualizar a las últimas versiones de Acrobat y Reader lo antes posible.
Más información:
Adobe Acrobat Reader DC Document ID Remote Code Execution Vulnerabilityhttps://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0505
Security updates available for Adobe Acrobat and Reader | APSB18-02
https://helpx.adobe.com/security/products/acrobat/apsb18-02.html

Noticias de Seguridad Febrero 2018

Ingeniería social: Logos de empresas reputadas para ganarse la confianza del usuario

Para ganarse la confianza de los usuarios, muchas empresas y webs utilizan legítimamente logos de compañías importantes que les apoyan. Por desgracia, los atacantes también hacen uso de estos logos de manera fraudulenta.

Los PUP’s (Potentially Unwanted Program) son por definición programas que probablemente no quieras en tu ordenador, ya que te estafan en mayor o menor medida. Ejemplos claros de PUP’s: El típico programa que instalas y te mete barras en Internet Explorer, el que te introduce publicidad en el ordenador… Estos programas potencialmente no deseados suelen intentar hacer creer a los usuarios que aquello que van a instalar está respaldado por grandes compañias, con el fin de crear una falsa sensación de confianza.

Segun los investigadores de Malwarebytes, los criminales que distribuyen PUP’s tienen entre sus logos más usados, los de Mcafee, Norton y Microsoft, como podemos observar en la siguiente captura:

 

Más información:

Stolen security logos used to falsely endorse PUPs:

 

Ataques XSS y JavaScript privilegiado: Vulnerabilidad en Firefox

Mozilla Firefox no protege adecuadamente de ataques XSS en el código JavaScript privilegiado usado internamente por el navegador, principalmente en su propia interfaz gráfica

Así es, hay código JavaScript privilegiado corriendo en los navegadores modernos. Tanto Google Chrome como Mozilla Firefox usan JavaScript en la programación de sus interfaces de usuario. Por privilegiado nos referimos a código que tiene acceso a las páginas abiertas en el navegador, el sistema de archivos… Hay distintos contextos de ejecución dentro del código privilegiado (algunos más restringidos que otros), siendo uno de los más interesantes por permitir introducir código externo es el de las extensiones del navegador.

 

Más información:
 
Arbitrary code execution through unsanitized browser UI
https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/
An overview of the script security architecture in Gecko

https://developer.mozilla.org/en-US/docs/Mozilla/Gecko/Script_security

MDN web docs: Add-ons

https://developer.mozilla.org/en-US/Add-ons

Chrome extensions: Overview

https://developer.chrome.com/extensions/overview

Microsoft publica actualización para deshabilitar el parche de la 2ª variante de Spectre

La actualización ha sido lanzada para aquellos usuarios que se han visto afectados por reinicios aleatorios tras la aplicación del parche, pero no ha sido publicada como una actualización automática

Sin duda, entre los propósitos de Intel para el próximo año, debe encontrarse empezar mejor que lo que lo han hecho este 2018. Si leíamos hace unos días cómo Linus Torvalds tildaba el parche de Intel para Spectre y Meltdown de una “auténtica y rotunda basura”, ahora el parche para los sistemas Windows parece reafirmarse que no es mucho mejor, habiendo publicado Microsoft una actualización para poder desactivarlo tras los ya reconocidos problemas que está habiendo con la misma.

Más información:
 
Comentario de Linus Torvalds sobre el parche:

Nota de prensa sobre resultados de Intel en el cuarto trimestre de 2017:
https://www.intc.com/investor-relations/investor-education-and-news/investor-news/press-release-details/2018/Intel-Reports-Fourth-Quarter-2017-Financial-Results/default.aspx

Guía de procesadores vulnerables:
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf

Demandas colectivas contra Intel:
https://www.theguardian.com/technology/2018/jan/05/intel-class-action-lawsuits-meltdown-spectre-bugs-computer

Comunicado de El Congreso de los Estados Unidos:
https://energycommerce.house.gov/wp-content/uploads/2018/01/Meltdown-Spectre-Letters.pdf

Compañías Chinas conocieron las vulnerabilidades antes de el gobierno de EEUU:
https://www.wsj.com/articles/intel-warned-chinese-companies-of-chip-flaws-before-u-s-government-1517157430?tesla=y&mod=e2tw

Acciones de Intel:
http://www.nasdaq.com/es/symbol/intc/interactive-chart?timeframe=1m&charttype=line

Precio de procesador Intel en el tiempo:
https://camelcamelcamel.com/Intel-Desktop-Processor-i7-7700K-BX80677I77700K/product/B01MXSI216

Botnet ‘Smominru’ afecta a más de 500.000 equipos usando EternalBlue

El famoso exploit de la NSA que salió a la luz el año pasado sigue causando estragos.

Resultado de imagen de botnet

A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes debido a su simpleza y utilidad.Monero (XMR) sigue siendo la moneda favorita para minar ilegalmente gracias a que te proporciona mayor anonimato a la hora de realizar transacciones.

La vulnerabilidad utilizada que se dio a conocer con WannaCry y que paralizó a medio mundo sigue siendo uno de los principales vectores de ataque para este tipo de malware. Con parche de seguridad disponible desde Marzo de 2017, EternalBlue(CVE-2017-0144 SMB) sigue siendo una de las vulnerabilidades más explotadas.

Smominru (también conocido como Ismo) se ha expandido por muchas zonas, pero la mayoría de los equipos infectados se encuentran en Rusia, India y Taiwán. La razón de que haya más infecciones en estos países es que aún no han tomado conciencia de la necesidad de actualizar sus sistemas a fin de mejorar su seguridad y el número de instalaciones de parches de seguridad en Windows es muy bajo.

El malware ha infectado alrededor de 526.000 sistemas Windows desde Mayo de 2017, lo cuál ha hecho que los atacantes minen 8.900 Monero, que corresponden a 1,86 millones de dólares (actualmente, tras la caída de las criptomonedas).

Los expertos de ProofPoint notificaron al servicio de protección DDoS SharkTech que la infraestructura de comando y control de ‘Smominru’ se encontraba alojada en sus servidores, sin embargo no obtuvieron respuesta.

Según varios investigadores, esta botnet va a seguir expandiéndose a lo largo del año

Más información:
 
Análisis de ProofPoint:

El lunes negro de WordPress: actualizaciones con fallos y vulnerabilidades que no se solucionan

Definitivamente esta semana no es la mejor para el CMS que, dicen, supone casi el 30% de sitios de Internet. Un fallo introducido en la ultima actualización impide actualizar automáticamente, y una vulnerabilidad que tiene como impacto la denegación de servicio no será solucionada.

El lunes se publicaba la versión 4.9.3, solucionando un total de 43 fallos, aunque ninguno de ellos de seguridad. Como es habitual cada vez que hay una actualización, el anuncio de la nueva versión al final rezaba:

Sites that support automatic background updates are already beginning to update automatically.

Pero esto nunca llego a suceder. Irónicamente, la actualización se publicó con un fallo que impide al sistema de actualizaciones automáticas seguir funcionando, o lo que es lo mismo: tras esta instalación, WordPress dejará de actualizarse automáticamente. Esta funcionalidad se implementó en la versión 3.7, precisamente para dar respuesta a la gran cantidad instalaciones vulnerables (algunos estudios afirmaban que suponían el 70% del total).

Para solucionar la situación, el mismo martes se publicó la versión 4.9.4. Sin embargo, al haber quedado el sistema inservible, para actualizar se requieren operaciones manuales por parte del usuario:

Unfortunately yesterdays 4.9.3 release contained a severe bug which was only discovered after release. The bug will cause WordPress to encounter an error when it attempts to update itself to WordPress 4.9.4, and will require an update to be performed through the WordPress dashboard or hosts update tools.

Esto podría suponer que muchos sitios queden estancados en la versión 4.9.3 hasta que sus administradores ejecuten la operación.

Más malas noticias: una denegación de servicio que no se solucionará

Por si esto fuera poco, el mismo lunes el investigador Barak Tawily publicaba un artículo donde describía una vulnerabilidad que afecta a casi cualquier instalación de WordPress, provocando una denegación de servicio.

La vulnerabilidad se encuentra en el fichero ‘load-scripts.php’. Este se utiliza para pedir al servidor varios ficheros estáticos en una sola petición, reduciendo así el número total de peticiones.
Como parámetro se pasa al fichero un array llamado load que contendrá nombres de ficheros estáticos. No todos los estáticos pueden servirse a través de esta petición, solo los definidos en el listado interno $wp_scripts, y nunca se servirán repetidos, aunque ni falta que hace: en ese listado hay un total de 181 ficheros que suponen un número similar de acciones de I/O y un peso del fichero de respuesta de casi 4MB.
Más información:

Riesgos de usar WhatsApp Web en entornos corporativos

WhatsApp Web está siendo ampliamente utilizado en entornos empresariales, pese a que su política de uso deja claro que solo puede utilizarse para uso personal. La razón de su uso se debe a que permite renderizar WhatsApp en tu navegador, para no tener que estar acudiendo al teléfono móvil si quieres usar la famosa aplicación adquirida por Facebook en 2014.

Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones. Concretamente, WhatsAppWeb es una aplicación web relativamente compleja en su forma de comunicarse. Por ejemplo, en un primer momento solo tenía compatibilidad con Google Chrome debido a que era el único navegador que integraba la tecnología WebRTC en ese momento (a día de hoy es soportada por la mayoría de los navegadores).

Más información:

Campaña internacional de fraude por Whatsapp a diferentes supermercados

UDPoS, el malware que afecta a puntos de venta

UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn

Recientemente se ha descubierto una nueva variedad de malware que afecta principalmente a puntos de venta (PoS) y envía la información de las tarjetas robadas a través del protocolo DNS. El uso de este protoloco es algo a destacar, ya que lo más común en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar por una actualización de LogMeIn.

El malware se presenta con nombres como ‘logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe’ y se comunica con servidores de control alojados en Suiza. La primera vez que se ejecuta genera un archivo ‘infobat.bat’ que se usa para hacer una firma del sistema y poder identificar las máquinas infectadas. A continuación escanea la máquina infectada y la información recopilada se aloja en un fichero llamado ‘PCi.jpg’, que se envía al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se asegura de sobrevivir al reinicio de la máquina).

Más información:
 
Investigación completa del malware:

Miles de sitios webs de los gobiernos hackeados para minar criptomonedas

Se han descubierto miles de webs de varios gobiernos del mundo que forzaban a los visitantes a minar criptomonedas.

Extraída de Hackbusters

El script de minado ha sido encontrado en más de 4.000 webs entre las que destacan el Servicio Nacional de Salud de Reino Unido (NHS) y el sistemas judicial de los Estados Unidos.

Los ciberdelincuentes consiguieron modificar un complemento de accesibilidad de terceros llamado Browsealoud, el cuál estaba presente en todas las webs afectadas. Una vez más, la secuencia de comandos que se insertó pertenece a CoinHive, al cuál ya hemos mencionado en otros artículos.

Como ya hemos mencionado en otras ocasiones, los usuarios al visitar una web que contiene código de CoinHive, notan como la potencia de su procesador se ve aumentada notablemente para minar criptomonedas sin conocimiento de ello. Esto es conocido como criptojacking.

El encargado en dar la voz de alarma fue Scott Helme (Consultor de Seguridad en Reino Unido). Descubrió el hackeo después de que uno de sus amigos mencionara haber recibido alertas de antivirus en la web del gobierno y lo publicó en su cuenta de Twitter.

El complemento vulnerado pertenece a la empresa TextHelp. Martin McKay, CTO de dicha compañía escribió un post para tranquilizar a los usuarios. En él, especifica que el completemento está pasando una serie de revisiones de seguridad.

Debido a esta acción, el completemento ha sido borrado eventualmente de todas las webs sin que los encargados de dichas páginas deban realizar ninguna acción.

Además, la compañía asegura que no se ha comprometido datos de ninguno de los usuarios y que sus clientes recibirán una actualización tan pronto como la investigación de seguridad haya finalizado.

Más información:

Lista de webs vulneradas:
https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

Web de CoinHive:
https://coinhive.com/

Tweet de Scott Helme dando la alarma:
https://twitter.com/Scott_Helme/status/962684239975272450

Múltiples Vulnerabilidades en Trend Micro Email Encryption Gateway

Varias vulnerabilidades afectan al sistema ‘Email Encryption Gateway’ de Trend Micro, algunas de las cuales podrían llevar a la ejecución remota de código arbitrario.

Introducción

Email Encryption Gateway es un software basado en Linux que permite el cifrado de correo desde el gateway corporativo.

El cifrado y descifrado del correo en el cliente TMEEG (Trend Micro Email Encryption Gateway) está controlado por un gestor de directivas que permite al administrador configurar directivas basándose en varios parámetros (direcciones de correo remitente, destinatario, palabras clave, etc). Se presenta como una interfaz para configurar los ‘MTA’ salientes.

Se han encontrado vulnerabilidades en la consola web que permitirían a un atacante no autenticado ejecutar comandos arbitrarios con privilegios de root.

Descripción

El informe contiene doce vulnerabilidades que afectan este producto, que pasaremos a explicar de manera muy resumida en las siguientes líneas.

Vulnerabilidad 1 (Actualización insegura vía HTTP)

Vulnerabilidad 2 (Escritura de archivos con ejecución de comandos)

Vulnerabilidad 3 (Actualizaciones sin validar)

Vulnerabilidad 4 (Ubicación de logs arbitraría con ejecución de comandos)Vulnerabilidad 6 (Cross Site Request Forgery)

Vulnerabilidad 7 (XML External Entity Injection)

Vulnerabilidad 8 (Reflected Cross Site Scripting)

Vulnerabilidad 9 (Reflected Cross Site Scripting)

Vulnerabilidad 10 (Stored Cross Site Scripting)

Vulnerabilidad 11 (SQL Injection)

Vulnerabilidad 12 (SQL Injection)

Vulnerabilidad 13 (SQL Injection)

Productos vulnerables
Trend Micro Email Encryption Gateway 5.5 (Build 1111.00)

Información del fabricante y soluciones

https://success.trendmicro.com/solution/1119349-security-bulletin-trend-micro-email-encryption-gateway-5-5-multiple-vulnerabilities

Créditos
Leandro Barragán (Core Security Consulting Services)
Maximiliano Vidal (Core Security Consulting Services)

Más información:

Post original

OMG convierte dispositivos IoT en servidores proxy

Una nueva variante de Mirai ha sido descubierta por investigadores de Fortinet. Bautizada como OMG, la funcionalidad que la define es la capacidad de utilizar los dispositivos IoT infectados como servidores proxy.

Imagen de fondo creada por Kjpargeter. Obtenida de Freepik.com

La liberación del código fuente del la botnet Mirai ha dado a luz todo tipo de variantes con su propio arsenal de funcionalidades específicas. En previas UAD hemos hablado de como explotaban vulnerabilidades en dispositivos Huawei, usaban contraseñas por defecto en ZyXelatacaban a software de minado.

Diagrama de funcionamiento de OMG. Obtenida de Fortinet
Más información:

Tendencias de seguridad IT para 2018

LAS CIBERAMENAZAS PARA LATINOAMÉRICA EN 2018 VAN DESDE CIBERESPIONAJES HASTA ATAQUES A DISPOSITIVOS DEL HOGAR

Ciberespionaje, ataques al sistema de bancos y a las operaciones con criptomonedas, y el aumento y la diversificación de malwares en celulares son las principales amenazas online para América Latina.

 

Tendencias de seguridad IT para 2018

Ransomware y Ramsomware como Servicio

En 2017, los cibercriminales desarrollaron más técnicas para transmitir ransomware, lo que resultó en algunos brotes mundiales, como WannaCry, NotPetya, y, más recientemente, Bad Rabbit. WannaCry fue desatado en mayo de 2017, y, por primera vez, se vio un ransomware con características de gusano, lo que contribuyó a su rápida difusión. Además, WannaCry sacó provecho de un exploit tomado de NSA, conocido como EternalBlue, que se enfoca en una vieja vulnerabilidad de Windows.

Vulnerabilidades criptográficas

En octubre de 2017, se anunció un error en la biblioteca de criptografía utilizada por Infineon en sus chips de hardware. Si bien parece que la falla no fue intencional, queda la duda de qué tan seguras son las tecnologías de cifrado que utilizamos en nuestra vida cotidiana: desde las tarjetas inteligentes y las redes inalámbricas, hasta el tráfico de web cifrado. En 2018, se anticipa que se encontrarán vulnerabilidades criptográficas más severas, que se espera que sean parchadas, ya sea en los estándares mismos o en las implementaciones específicas.

Crisis en la identidad en el comercio electrónico

La identidad en el comercio electrónico entrará en crisis. Los últimos años estuvieron llenos de grandes fugas de información personal identificable (PII, por sus siglas en inglés). Esto puede tener como resultado que se pongan de moda alternativas más seguras, como ApplePlay, como una forma de asegurar la identidad y las transacciones. Sin embargo, si los datos fundamentales de identificación están tan divulgados que ya no son confiables, es posible que veamos una ralentización en el rol crítico de la Internet para modernizar los procesos burocráticos tediosos.

Vulnerabilidades ignoradas en los routers y módems

Los routers y los módems representan otras vulnerabilidades ignoradas. Estos aparatos están en todas partes, y suelen funcionar con software que carece de parches y de mantenimiento de seguridad. El mismo diseño de estos dispositivos exige que tengan acceso constante a la Internet, lo que los convierte en un blanco codiciado para los cibercriminales. Probablemente, en 2018, un mayor control sobre estas pequeñas computadoras producirá hallazgos interesantes.

Predicciones 2018

  • Ataques a la cadena de suministro, a las PyMes (empresas pequeñas y medianas) y a las entidades financieras o #FinTECH
  • #Wipers o amenazas con el objetivo de borrar o destruir el contenido,
  • Perfiles de miles de usuarios robados de los sitios de comercio electrónico,
  • UEFI y Bios, ataques que logran el control del nivel más bajo del sistema (donde no hay mayor protección),
  • Más #Malware enfocado en los dispositivos móviles (hasta construidos de manera automatizada),
  • Códigos maliciosos enfocados a enrutadores, dispositivos de conexión y/o con conexión (IoT). Ni siquiera los dispositivos médicos van a estar exentos,
  • Nuevas formas para atacar a los usuarios de #Criptomonedas,
  • Adopción de técnicas de #APT que usan #Exploits para reducir la interacción de los usuarios que antiguamente requerida para activar las amenazas.

 

 

Nube de tags

Fuentes:

Noticias de Seguridad Agosto 2017

Vulnerabilidades en productos Lenovo

Se han detectado varias vulnerabilidades en diversos productos Lenovo.
Los errores, de gravedad alta, se corresponden con saltos de
restricciones de seguridad, elevación de privilegios dentro del sistema
y/o ejecución de código arbitrario.

Lenovo es un conocido fabricante de ordenadores, tabletas, smartphones,
servidores, etc. También provee servicios de soporte y tecnología de
información de integración, teniendo incluso servicios de acceso a
Internet. La compañía es poseedora desde 2005 de la división de
ordenadores IBM, convirtiéndose en uno de los fabricantes de ordenadores
más grandes del mundo, teniendo los derechos de marcas tan importantes
como Thinkpad, Aptiva o Ideapad.

Más información:

Lenovo
http://www3.lenovo.com

ThinkPad Compact USB Keyboard with TrackPoint Driver Unquoted Service Path
https://support.lenovo.com/es/es/product_security/len-15061

 

Vulnerabilidades en Mozilla Firefox

Mozilla ha publicado su boletín número 18 de este año, el cual está
calificado como crítico. En total se han corregido 29 vulnerabilidades,
de las cuales 5 tienen un impacto crítico, 11 de impacto alto, 7 de
impacto moderado y 6 de bajo.

Vulnerabilidades de impacto crítico

Se corrigen dos vulnerabilidades en la gestión de memoria, una inyección
XUL en la herramienta en desarrollo y dos uso de memoria previamente
liberada en el WebSocket y en el proceso de reescalado. Todas ellas
podría permitir la ejecución de código.

CVE asociados: CVE-2017-7779, CVE-2017-7780, CVE-2017-7798,
CVE-2017-7800 y CVE-2017-7801.

Vulnerabilidades de impacto alto

Se corrigen cuatro vulnerabilidades: una al utilizar memoria previamente
liberada durante la gestión del DOM, en el observador de imagen, en el
elemento imagen y en el gestor SVG. Además, se corrigen tres
desbordamientos de memoria en el atributo ARIA del DOM, en el
renderizado del SVG y en el visor de certificados. Finalmente, se
corrige dos saltos de restricciones, uno en ‘WindowsDllDetourPatcher’ y
otro en las políticas de mismo origen (same-origin), un secuestro de
dominio (Domain hijacking) y una lectura fuera de límites.

CVE asociados: CVE-2017-7753, CVE-2017-7784, CVE-2017-7785,
CVE-2017-7786, CVE-2017-7787, CVE-2017-7792, CVE-2017-7802,
CVE-2017-7804, CVE-2017-7806, CVE-2017-7807 y CVE-2017-7809.

Vulnerabilidades de impacto moderado

Se corrige un spoofing en la navegación con datos, una fuga de
información CSP, un error en la reserva de memoria en las protecciones
DWP y WindowsDllDetourPatcher, un error al añadir un punto en una curva
elíptica, dos errores en la sandbox y una inyección XUL.

CVE asociados: CVE-2017-7781, CVE-2017-7782, CVE-2017-7791,
CVE-2017-7794, CVE-2017-7799, CVE-2017-7803 y CVE-2017-7808.

Vulnerabilidades de impacto bajo

Se corrige un error al procesar el nombre de usuario en la URL, un error
de herencia en las directivas CSP en el iframe sbout:srcdoc, un error al
activar HSTS, un error de lectura en los reportes de Windows, una
gestión de ficheros al gestionar las actualizaciones y una fuga de
información en en nombre de algunas cabeceras.

CVE asociados: CVE-2017-7783, CVE-2017-7788, CVE-2017-7789,
CVE-2017-7790, CVE-2017-7796 y CVE-2017-7797.

La vulnerabilidades han sido corregidas en la versión 55 del navegador,
que puede ser descargada desde la página oficial o a través del propio
sistema de actualización de Firefox.

Más información:
Mozilla Foundation Security Advisory 2017-18
https://www.mozilla.org/en-US/security/advisories/mfsa2017-18/

 

 

Comprometidas dos populares extensiones de Google Chrome

El equipo de seguridad de Google ha enviado advertencias a través de
e-mail a los desarrolladores de extensiones de Chrome después de que
muchos de estos fuesen objetivos de ataques de phishing. Algunos de
estos ataques consiguieron su objetivo y permitieron el robo de algunas
extensiones.

Estos ataques tuvieron lugar la semana pasada, cuando las cuentas de los
desarrolladores de las extensiones CopyFish (80.000 usuarios) y Web
Developer (100.000) se vieron comprometidas. Los atacantes aprovecharon
para insertar código malicioso de adware en la extensión. De esta manera
consiguieron ingresos a través de todos los usuarios que las tuvieran
instaladas.

Estos ataques llevan cerca de dos meses produciéndose sin que hasta la
fecha nadie se haya percatado. El phishing en cuestión se hace pasar por
una cuenta oficial de Google, informando a los desarrolladores de una
supuesta violación de los terminos de servicio de Chrome Web Store. Es
entonces cuando las víctimas accedian a un sitio falso que solicitaba el
login a una cuenta de Google.

Captura de los e-mails de phishing. Fuente: www.bleepingcomputer.com
https://www.bleepstatic.com/images/news/u/986406/Software/Chrome/Extensions/phishing-email.png

Los avances en la investigación indican que los dominios utilizados para
robar la información de estas dos extensiones son los mismos, y el
e-mail prácticamente idéntico, lo que apunta a un actor común en ambos
ataques. La misma estrategia fue probada de nuevo en agosto, pero esta
vez Google Safe Browsing bloqueó estos enlaces fraudulentos.

Tras el secuestro de las extensiones, Google envió un e-mail a todos los
desarrolladores informando de la situación e indicando las instrucciones
para reportar futuros casos similares.

Captura del e-mail de alerta de Google. Fuente: bleepingcomputer.com
https://www.bleepstatic.com/images/news/u/986406/Software/Chrome/Extensions/google-email.png
 

Lobos con piel de cordero: no te fíes de un fichero por su icono

Un fallo detectado a la hora de procesar determinado tipo de iconos en
Windows permitiría simular documentos benignos para albergar malware y
engañar al usuario.

Un reciente estudio de la firma de seguridad Cybereason ha revelado un
fallo a la hora de procesar determinados formatos de icono que, usado
junto a un problema con la caché de iconos de Windows, permitiría a
cualquier PE (Portable Ejectutable) modificar la representación de su
icono de programa para simular un documento benigno o cualquier otro
icono de sistema.

La técnica parece haber sido utilizado por variantes del ransomware
“Cerber” entre otros, y técnicamente se basa en un fallo de los sistemas
Windows a la hora de manejar iconos en formato “True Monochrome”. En vez
de cargar el icono original presente dentro del ejecutable, el sistema
carga un representación totalmente diferente basándose en la caché de
Iconos de Windows, como se puede ver en el vídeo ilustrativo:

Video demostrativo:
https://www.youtube.com/watch?v=cF3sw80oBjY

 

Ejecución remota de comandos en McAfee Security Scan Plus

Una vulnerabilidad en McAfee Security Scan Plus podría permitir la
ejecución de cualquier ejecutable residente con los privilegios del
usuario del sistema.

McAfee Security Scan Plus es una herramienta de diagnóstico gratuita que
permite comprobar el estado de la protección del equipo, determinando si
existen soluciones antivirus, cortafuegos y seguridad Web instaladas,
activas y actualizadas, y también analiza las amenazas en cualquier
programa abierto.

McAfee Security Scan Plus obtiene información promocional procedente de
diferentes dominios ‘mcafee.com’ y la muestra en la interfaz de usuario,
normalmente en la ventana principal de la aplicación.

Imagen: McAfee Security Scan Plus:
https://2.bp.blogspot.com/-g3bt_GrB0LQ/WYhqh7eWsxI/AAAAAAAABn8/4YuyJQFD9X4w4_gMBuqbkRUm_u7u0Rg1ACEwYBhgL/s320/mcafee1.png

 

CopyFish: Extensión para Google Chrome secuestrada e infectada con adware

CopyFish es un software de OCR para Google Chrome que permite extraer
textos de imágenes, PDFs y vídeos. La extensión cuenta a día de hoy con
37.740 usuarios, que recibieron el pasado 29 de julio una nueva
actualización que venía con una desagradable sorpresa.

Y es que la extensión había sido secuestrada. Mediante un ataque de
phishing dirigido a uno de los desarrolladores, los atacantes lograron
acceder a su cuenta de “Google extensions” y robar la aplicación,
transfiriéndola a otra cuenta bajo su control.

El phishing mostraba un login falso a Google extensions y estaba alojado
en https://chromedev.freshdesk.com

Imagen: Phishing de Google Extension
https://1.bp.blogspot.com/-EyHNBy2ySSQ/WYHbfdLxjFI/AAAAAAAAAnA/BHsq-8mtIGABgGc1o4MhWMYah-NROhUYACLcBGAs/s640/phishing-screenshot.png

 

LeakerLocker, el malware para Android que amenaza con nuestra privacidad en la red

Nacido a principios de 2016 y repuntando en los últimos días,
LeakerLocker amenaza con mandar tu información personal (fotos, números,
mensajes…) a todos tus contactos si no pagas un rescate. En su última
campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

Bajo los nombres Wallpapers Blur HD, Booster & Cleaner Pro, y Calls
Recorder, se encontraba en Google Play hasta hace poco este peculiar
malware. Entre otros, amenaza con enviar a todos tus contactos tus
fotos, números de teléfono, mensajes de Facebook, correos
electrónicos… Si no pagas una modesta cantidad. O al menos eso es lo
que dice, porque no se ha encontrado esta supuesta funcionalidad en el
código de la aplicación. Aunque tampoco se puede descartar, ya que este
troyano contempla la ejecución de código arbitrario descargado de los
servidores del atacante.

 

LeakerLocker Mobile Ransomware Threatens to Expose User Information
http://blog.trendmicro.com/trendlabs-security-intelligence/leakerlocker-mobile-ransomware-threatens-expose-user-information/

LeakerLocker: Mobile Ransomware Acts Without Encryptionhttps://securingtomorrow.mcafee.com/mcafee-labs/leakerlocker-mobile-ransomware-acts-without-encryption/?awc=7545_1501598599_24d36516f8b0fefc43b9cff1c3a52551

LeakerLocker Ransomware Found in Two Apps on the Google Play Store
https://www.bleepingcomputer.com/news/security/leakerlocker-ransomware-found-in-two-apps-on-the-google-play-store/