Noticias de Seguridad Mayo 2018

El 90% de los clientes de SAP expuestos por un error en la configuración predeterminada de los productos basados en NetWeaver

Al menos 378.000 usuarios expuestos por un error en SAP NetWeaver desde hace 13 años

Recientemente la firma de seguridad ‘Onapsis’, ha descubierto que el 90% de los sistemas SAP se vieron afectados por una vulnerabilidad que puede ser explotada por un atacante remotamente y sin necesidad de autenticarse, lo único que debe tener es acceso a la red del sistema. La vulnerabilidad presente desde 2005 reside en las configuraciones predeterminadas afecta a cada producto basado en SAP NetWeaver incluyendo la suite ‘S/4 Hana’ y ‘ERP’.

Cuando registramos una aplicación este registro se realiza a través del servidor de mensajes(SAP Message Server) por el puerto 3900 (por defecto).

Visualización del registro de aplicaciones en SAP

Para que esto se haga de forma segura el ‘SAP Message Server’ implementa un mecanismo de control mediante una lista de control de acceso o ‘ACL’para verificar que direcciones IP pueden registrar una aplicación y cuales no. El parámetro para configurar esto es ‘ms/acl_info’ que recibe la ruta a un archivo con un formato determinado. La configuración por defecto hace que las ‘ACL‘ permitan a cualquier host con acceso a la red del ‘SAP Message Server’ pueda registrar un servidor de aplicaciones en el sistema SAP.

Desde Onapsis no tienen pruebas de que se haya estado usando esta vulnerabilidad para un ataque, pero este fallo sin duda es bastante grave y con un gran número de afectados.

Para arreglar esta vulnerabilidad hay que modificar la configuración de acuerdo a las notas de seguridad expuestas por el fabricante para restringir el acceso.

Más información:
 

FacexWorm: el malware que se extiende a través de Facebook

facebook-malware-hacking

Descubierto por Trend Micro, este malware se camufla tras una extensión de Google Chrome para robar criptomonedas a las víctimas.

La técnica de ataque utilizada por la extensión maliciosa surgió por primera vez en agosto del año pasado, pero los investigadores han descubierto que se añadieron nuevas capacidades a principios de este mes.

Estas novedades incluyen el robo de credenciales de sitios web, redirigir a las víctimas a estafas de criptomonedas y/o al enlace de referencia del atacante en programas relacionados con criptomonedas e inyectar mineros en las webs.

A finales del año pasado, se descubrió un bot de minería llamado Digmine el cual se propagaba a través de Facebook Messenger y tenía como objetivo a ordenadores Windows, así como a Google Chrome.
Al igual que el malware que acabamos de mencionar, FacexWorm también se propaga mediante ingeniería social a través de Facebook Messenger para redirigir a las víctimas a versiones falsas de sitios webs populares tales como YouTube.
Cabe señalar que la extensión solo se diseñó para usuarios de Chrome. Si el malware detecta cualquier otro navegador web en el dispositivo de la víctima, redirige a un anuncio de aspecto inofensivo.
Cómo funciona
Si el enlace al vídeo malicioso se abre con Chrome, FacexWorm redirecciona a la víctima a una página falsa de YouTube, donde se aconseja al usuario a descargar una extensión maliciosa para el navegador como si de un códec para reproducir el vídeo se tratase.
Una vez instalada, la extensión descarga más módulos para realizar varias tareas maliciosas.
“FacexWorm es un clon de una extensión legítima de Chrome, pero se le inyectó un código que contiene su rutina principal. Descarga el código JavaScript adicional del servidor C&C cuando se abre el navegador”, explican los investigadores.
Dado que la extensión toma todos los permisos extendidos en el momento de la instalación, el malware puede acceder o modificar datos para cualquier web que el usuario abra.
A día de hoy, las criptomonedas reconocidas a las que se dirige FacexWorm incluyen Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), Ethereum (ETH), Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) y Monero (XMR).
Dado que las campañas de spam en Facebook son bastantes comunes, se aconseja a los usuarios estar atentos al hacer clic en enlaces y archivos proporcionados a través de la plataforma del sitio.
Más información:
 

FacexWorm Targets Cryptocurrency Trading Platforms, Abuses Facebook Messenger for Propagation:
https://blog.trendmicro.com/trendlabs-security-intelligence/facexworm-targets-cryptocurrency-trading-platforms-abuses-facebook-messenger-for-propagation/

Elevación de privilegios y otras vulnerabilidades en TP-Link EAP Controller

Se han hecho públicos varios fallos de seguridad que afectan a EAP Controller y que podrían permitir elevar privilegios, descargar, modificar y restaurar una copia de seguridad, y realizar ataques Cross-Site Request Forgery (CSRF) y Cross Site Scripting (XSS).

EAP Controller es un software de gestión para dispositivos TP-Link EAP que permite la administración y supervisión de forma centralizada utilizando un navegador web. En las nuevas versiones, TP-Link ha cambiado el nombre de este software a Omada Controller.

Las vulnerabilidades, descubiertas por Julián Muñoz de Core Security Exploits QA, son las siguientes:

* CVE-2018-10168: la falta de control de privilegios en el uso de la API web permitiría a un usuario limitado realizar cualquier solicitud como administrador.

* CVE-2018-10167: la clave utilizada para encriptar el fichero de respaldo de la aplicación web se encuentra incrustada en el software, lo cual podría comprometer su confidencialidad e integridad.
* CVE-2018-10166: falta de protección ante falsificación de solicitudes entre sitios. Al no haber tokens ‘anti-CSRF’ en los formularios de la interfaz web, un atacante podría enviar solicitudes autenticadas engañando o convenciendo a un usuario con sesión activa para que visite una página web especialmente manipulada desde la que se realizará la petición HTTP no autorizada y sin conocimiento del usuario legítimo.
* CVE-2018-10165: el parámetro ‘userName’ en ‘/hotspot/localUser/saveUser’ es vulnerable a un XSSpersistente.
CVE-2018-10164: la implementación de ‘portalPictureUpload’ es vulnerable a un XSS persistente.

Nueva actualización de Koodous disponible en Google Play

El pasado 3 de mayo se publicó en Google Play una nueva versión de Koodous. Concretamente la 2.1.10, que introduce cambios en su interfaz y nuevas funcionalidades que repasaremos a continuación.

Cuando empezamos en 2015, Koodous contaba con un dataset de aplicaciones de a penas 3 millones de muestras. Hoy día contamos con más de 28 millones de APK y un volumen de más de 10.500 usuarios activos, de los cuales más de 3.500 son analistas.

Para quienes no lo conozcan, Koodous Mobile funciona como antivirus, protegiendo tu dispositivo Android de aplicaciones maliciosas como troyanos, virus y publicidad abusiva.

¿Qué diferencia a Koodous de los antivirus tradicionales?

Básicamente dos cosas: por un lado el repositorio de muestras, que a día de hoy cuenta con más de 28 millones de APK. Y por otro, una comunidad creciente y activa de analistas que ayudan con sus reglas a detectar nuevas familias de malware y aplicaciones potencialmente no deseadas.

La nueva aplicación se ha reescrito casi desde cero para reducir aún más el impacto en el rendimiento, incluso en dispositivos antiguos.

Denegación de servicio en NetBSD a través de IPsec

Se han descubierto múltiples vulnerabilidades en la implementación de IPsec en NetBSD, que pueden usarse para causar al menos denegación de servicio

NetBSD es un sistema operativo gratuito y de código abierto, catalogado en el grupo de sistemas operativos Unix-like (parecidos a Unix). Está enfocado en la claridad del código, diseño cuidadoso y portabilidad sobre múltiples arquitecturas. Precisamente, su lema principal es ‘Of course it runs NetBSD’, y multitud de fuentes afirman que es el sistema completo que corre en más arquitecturas. Si bien es probable que el kernel Linux corra en más arquitecturas, NetBSD como distribución completa con múltiples utilidades básicas en un sistema operativo ganaría el pulso.

El asunto que nos trae hoy es el descubrimiento de múltiples vulnerabilidades en la implementación de IPsec. Esta implementación forma parte del espacio del kernel, y se encarga de implementar el conjunto de protocolos del mismo nombre, que extienden la funcionalidad del protocolo IP para cifrar y/o autenticar sus paquetes. La forma clásica en la que se presenta es como parte de una red privada virtual, conocido por sus siglas en inglés ‘VPN’.

Concretamente, las vulnerabilidades se encuentran tanto antes como después de cifrar y autenticar, y oficialmente se anuncia que los impactos son denegación de servicio y corrupción de memoria, ambos explotables remotamente. Una de las formas clásicas de denegación de servicio consiste en explotar una vulnerabilidad que corrompe la memoria de un proceso, ocasionando un funcionamiento anómalo que termina accediendo a una zona de memoria no permitida y el proceso se cierra como medida de protección.

Pero si se tiene el poder de corromper la memoria, es posible en algunos escenarios que la corrupción controlada y cuidadosamente diseñada de ésta nos permita ejecutar código que nos interese. A veces incluso especificando explícitamente el código como parte de la entrada anómala que provoca la corrupción (por contraposición a ejecutar otro código ya existente en la memoria del proceso, por redirección del flujo de ejecución). En este caso el boletín no especifica si es posible ejecutar código de forma remota, aunque dada la cantidad de vulnerabilidades (siete) y no afirmar lo contrario, no es posible descartar este impacto. Quizás en las próximas semanas alguien publica un reporte afirmando este impacto tras buscarle las cosquillas al kernel

Todas las vulnerabilidades afectan a partir de la rama 6, y ya han sido corregidas. Para aplicar las correcciones, es necesario obtener el código fuente del kernel de una versión corregida, compilarlo, instalarlo y reiniciar el sistema. Maxime Villard es el responsable de estos descubrimientos.

Más información:
 

Publicado el informe de ciberamenazas y tendencias del CCN-CERT

El Centro Criptológico Nacional ha publicado su ya tradicional informe de ciberamenazas y tendencias edición 2018.

El informe, que cumple una década de publicaciones, hace un repaso a la experiencia acumulada por el CERT (Centro de respuesta a incidentes de seguridad de la información) del propio CCN en base a los más de 26.000 incidentes ocurridos en su ámbito, además del análisis de hechos relevantes acaecidos en el panorama internacional.

La cifra supone un aumento del 26,55% respecto a la contabilidad del año 2016. Destaca el continuo ascenso en protagonismo de las acciones ejecutadas por grupos estatales y, por otro lado, la de los omnipresentes grupos criminales.

El ahora de moda concepto de “Internet de las cosas” se posiciona como elemento clave para facilitar los ataques de denegación de servicio distribuida. Un nuevo frente a gestionar y a tener en cuenta que lleva ya algo de tiempo causando estragos por los descuidos que conlleva su configuración inicial y dejadez posterior en su mantenimiento.

De los casos con una motivación económica, se señalan los ataques a posiciones de dirección de empresas y a los departamentos financieros en general. Cobra lógica, debido a la escasa concienciación y formación digital que suelen disponer típicamente los perfiles de administración; presas fáciles de la ingeniería social.

Un hecho señalable, en el mismo sentido, es el caso de malware Cobalt, cuyo autor fue detenido en España, causable de infecciones en sistemas operados por empleados de banca, a los que se atacaba desde vectores de ingeniería social. Como dato destacable, las operaciones de este grupo criminal afectaron a más de 100 instituciones financieras en más de 40 países.

Por otro lado, respecto al ransomware, este cae en cifras de infección. Sin embargo, sospechamos que no se trataría de una mejora desde las lineas defensivas, sino más bien de un cambio de perspectiva de los atacantes sobre un concepto de sobras conocido por el público: la criptominería. ¿Para que cifrar un disco duro cuando puedes calcular hashes con la CPU de tus víctimas?

Se recoge también un ascenso en ataques de denegación de servicio sobre organizaciones. Del mismo modo se recoge una subida en los ataques web, con la finalidad de obtener información privilegiada o para la venta de datos.

Cifras en caída para el número de infecciones detectadas en dispositivos móviles de forma global, aunque como contrapunto, aumenta la sostificación del código malicioso. También se recoge un descenso en el uso de kit de explotación.

Finalmente, el informe recoge un capitulo a las medidas de protección de individuos y organizaciones, así como otro capítulo dedicado a las tendencias posibles que se visualizan respecto a los ataques para el próximo periodo. En resumen, un informe de recomendada lectura que glosa el estado del arte actual respecto a los ataques acaecidos en el ciberespacio.

Más información:


Ciberamenazas y tendencias -edición 2018-

Publicado el informe de ciberamenazas y tendencias del CCN-CERT

El Centro Criptológico Nacional ha publicado su ya tradicional informe de ciberamenazas y tendencias edición 2018.

El informe, que cumple una década de publicaciones, hace un repaso a la experiencia acumulada por el CERT (Centro de respuesta a incidentes de seguridad de la información) del propio CCN en base a los más de 26.000 incidentes ocurridos en su ámbito, además del análisis de hechos relevantes acaecidos en el panorama internacional.

La cifra supone un aumento del 26,55% respecto a la contabilidad del año 2016. Destaca el continuo ascenso en protagonismo de las acciones ejecutadas por grupos estatales y, por otro lado, la de los omnipresentes grupos criminales.

El ahora de moda concepto de “Internet de las cosas” se posiciona como elemento clave para facilitar los ataques de denegación de servicio distribuida. Un nuevo frente a gestionar y a tener en cuenta que lleva ya algo de tiempo causando estragos por los descuidos que conlleva su configuración inicial y dejadez posterior en su mantenimiento.

De los casos con una motivación económica, se señalan los ataques a posiciones de dirección de empresas y a los departamentos financieros en general. Cobra lógica, debido a la escasa concienciación y formación digital que suelen disponer típicamente los perfiles de administración; presas fáciles de la ingeniería social.

Un hecho señalable, en el mismo sentido, es el caso de malware Cobalt, cuyo autor fue detenido en España, causable de infecciones en sistemas operados por empleados de banca, a los que se atacaba desde vectores de ingeniería social. Como dato destacable, las operaciones de este grupo criminal afectaron a más de 100 instituciones financieras en más de 40 países.

Por otro lado, respecto al ransomware, este cae en cifras de infección. Sin embargo, sospechamos que no se trataría de una mejora desde las lineas defensivas, sino más bien de un cambio de perspectiva de los atacantes sobre un concepto de sobras conocido por el público: la criptominería. ¿Para que cifrar un disco duro cuando puedes calcular hashes con la CPU de tus víctimas?

Se recoge también un ascenso en ataques de denegación de servicio sobre organizaciones. Del mismo modo se recoge una subida en los ataques web, con la finalidad de obtener información privilegiada o para la venta de datos.

Cifras en caída para el número de infecciones detectadas en dispositivos móviles de forma global, aunque como contrapunto, aumenta la sostificación del código malicioso. También se recoge un descenso en el uso de kit de explotación.

Finalmente, el informe recoge un capitulo a las medidas de protección de individuos y organizaciones, así como otro capítulo dedicado a las tendencias posibles que se visualizan respecto a los ataques para el próximo periodo. En resumen, un informe de recomendada lectura que glosa el estado del arte actual respecto a los ataques acaecidos en el ciberespacio.

 

Más información:


Ciberamenazas y tendencias -edición 2018-

Disponible el informe anual del CCN-CERT sobre amenazas y vulnerabilidades en dispositivos móviles

El CCN-CERT (Centro Criptológico Nacional) ha publicado el informe anual sobre las amenazas y vulnerabilidades en dispositivos móviles.

El informe, nos muestra un recorrido por todo lo acontecido a lo largo de 2017 en materia de seguridad en dispositivos móviles. Sin lugar a dudas, y tal y como refleja el propio informe en su introducción, estos sistemas poseen una amplia adopción tanto en el mundo profesional como en el personal. Esto se refleja también en la orientación o tendencias del malware, cada vez más enfocado en el mundo móvil.

Un hecho destacable es la predominancia del sistema operativo Android y la casi completa desaparición del malogrado Windows Phone. Respecto a Android se vuelve a confirmar algo que ya sabíamos y que hemos repetido varias veces desde Una-al-día: la fragmentación de Android. Un fenómeno que no solo fastidia a los desarrolladores de la plataforma de Google, sino que también significa que una larga porción de usuarios podría estar exponiéndose a vulnerabilidades que afectan a versiones sin soporte.

No obstante, respecto a la fragmentación de Android, el informe recoge una interesante iniciativa que intentará paliar los efectos de este fenómeno. Básicamente, se trataría de separar la capa de personalización de los fabricantes del sistema base. Esto, facilitaría que el gigante del buscador pueda ofrecer actualizaciones de forma más rápida a los usuarios, sin tener que esperar meses o de manera indefinida a un parche producido por el fabricante del terminal.

El informe, también dedica un capítulo a explorar las diferentes medidas se seguridad biométrica, como el sistema FaceID de Apple, el escaneo del iris y reconocimiento facial de Samsung o el Intelligent Scan que estrenaron los dispositivos S9 y S9+ del mismo fabricante.

Otros aspectos destacables del informe son la adopción paulatina de formas adaptadas de inteligencia artificial en estos dispositivos y los sistemas de protección frente a desbloqueos y extracción forense de datos en caso de sustracción o pérdida del terminal. Recordemos la importancia de estas plataformas hace que sean un objetivo muy apetecible para el robo de información sensible, sobre todo en el ámbito de las organizaciones y gobiernos.

A destacar la parte de análisis de las amenazas más destacadas en el sentido del malware que afecta a sistemas operativos móviles, en la que vuelve a ser el protagonista Android, así como la orientación de los objetivos del código malicioso a explotar las capacidades computaciones de estos sistemas para minar criptomoneda.

En resumen, una interesante lectura que glosa lo acontecido en seguridad de sistemas y plataformas móviles durante el pasado año y marca, a su vez, las lineas de tendencia que podría seguir el presente año.

Más información:

Las URL’s con capacidad de minado no paran de crecer

Cada vez son más las webs que integran capacidad de minado en segundo plano. Este proceso ocurre de forma paralela a la navegación, siendo transparente para el usuario, pero no tanto para la CPU…

Hoy en día el más famoso y popular es CoinHive,  una empresa que suministra un código JavaScript con capacidad de minado de la cryptomoneda Monero y añade trazabilidad de los resultados a través de un panel web. Siguiendo a CoinHive se encuentran muy de lejos proyectos como CoinIMP y SocketMiner, pero en este momento, juntando ambos no representan ni un 1% de los casos de minado detectados.

Desde el mes de Enero hemos introducido reglas en nuestra red de visitadoras para detectar casos de minería en webs. En Hispasec analizamos más de tres millones de urls diariamente dentro de nuestro servicio Antifraude, en busca de cualquier amenaza que pueda comprometer la seguridad de nuestros clientes.

Número de URL’s analizadas que presentan minado:

  • Enero: 33451
  • Febrero: 41182
  • Marzo: 47471
  • Abril: 49324
  • Mayo: 66294 estimadas (del día 1 al 10 se detectaron 22098)

Los datos confirman una tendencia al alza de este tipo de técnicas, aunque cruzando los resultados obtenidos con el top 1000 de Alexa no se han encontrado cruces relevantes que confirmen que esta técnica esté siendo utilizada como forma de financiación. Las webs analizadas en su mayoría eran o bien urls de publicidad o páginas de descarga de contenido multimedia.

Vulnerabilidad crítica: usuarios de PGP deben desactivar de inmediato plugins de descifrado de emails

Acaba de anunciarse el descubrimiento de una vulnerabilidad que podría comprometer las comunicaciones futuras y pasadas a través de email que usan PGP

El descubrimiento de una vulnerabilidad por un grupo europeo de investigación, entre los que se encuentran miembros de DROWN Attack, obliga a desactivar de inmediato los plugins para el descifrado de emails mediante PGP y S/MIME. Se especifican en concreto los siguientes plugins:

  • Thunderbird con Enigmail
  • Apple Mail con GPGTools
  • Outlook con Gpg4Win
Aunque todavía no se han dado detalles sobre el funcionamiento de esta vulnerabilidad, se sabe que su explotación puede realizarse mediante un email especialmente manipulado. Además, esta vulnerabilidad no sólo afectaría a los futuros emails, sino también a los pasados.
Es necesario aclarar, que el fallo no se encontraría en GPG, el cual sigue siendo seguro tal y como ha asegurado GnuPG en Twitter, sino en el parseador que utilizan los plugins para detectar errores en el descifrado.
La vulnerabilidad a día de hoy no tiene solución, según ha dicho Sebastian Schinzel a través de Twitter, por lo que deben mantenerse deshabilitados o desinstalar los plugins que permitan el descifrado hasta entonces. Mañana martes, a las 07:00 UTC (08:00 en España peninsular) se mostrarán más detalles en un paper que se liberará.
?
Más información:
Anuncio en Twitter por Sebastian Schinzel:

Google Chrome corrige una vulnerabilidad crítica en su sandbox

Google Chrome ha actualizado su reciente versión 66 para corregir cuatro importantes vulnerabilidades, entre ellas una crítica que permitía tomar el control total del navegador saltándose las restricciones de la sandbox.
La actualización 66.0.3359.170, que ya está disponible para todos los sistemas operativos, corregiría las siguientes 4 vulnerabilidades:
  • Crítica: Vulnerabilidad por evasión de la sandbox, que permitiría ejecución remota de código.
  • Alta: Escalada de privilegios a través de las extensiones (CVE-2018-6121)
  • Alta: Denegación de servicio a través del motor V8 (CVE-2018-6122)
  • Alta: Denegación de servicio a través a través de PDFium (CVE-2018-6120)

Como siempre, y hasta que la mayoría de usuarios no hayan actualizado a esta versión, no se publicarán más datos sobre las vulnerabilidades.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados, o a través de “Información sobre Google Chrome” (chrome://chrome/).

Más información:

DynoRoot: Ejecución remota de código con permisos de root en sistemas RedHat

El pasado 15 de mayo se publicó una vulnerabilidad que afecta al cliente DHCP de sistemas RedHat Enterprise Linux 6 y 7. La vulnerabilidad, considerada crítica, permitiría la ejecución remota de código con permisos de root.

DynoRoot es el nombre de marca de la vulnerabilidad etiquetada con CVE-2018-1111, un fallo que afecta al script de integración del componente NetworkManager con el cliente DHCP (/etc/NetworkManager/dispatcher.d/11-dhclient en Red Hat Enterprise Linux 7 o /etc/NetworkManager/dispatcher.d/10-dhclient en Red Hat Enterprise Linux 6).La vulnerabilidad permitiría a un atacante remoto podría falsificar las respuestas enviadas al cliente DHCP para inyectar código arbitrario en el script de NetworkManager antes mencionado que se ejecutaría con permisos de super usuario.

El usuario @Barknkilic ha publicado en un tweet una prueba de concepto en la que consigue abrir una sesión de netcat en la máquina de la víctima:

RedHat ha publicado la lista de productos afectados y los respectivos parches en el siguiente enlace: https://access.redhat.com/errata/RHSA-2018:1453

Productos afectados

  • Red Hat Enterprise Linux Server 7 x86_64
  • Red Hat Enterprise Linux Server – Extended Update Support 7.5 x86_64
  • Red Hat Enterprise Linux Workstation 7 x86_64
  • Red Hat Enterprise Linux Desktop 7 x86_64
  • Red Hat Enterprise Linux for IBM z Systems 7 s390x
  • Red Hat Enterprise Linux for IBM z Systems – Extended Update Support 7.5 s390x
  • Red Hat Enterprise Linux for Power, big endian 7 ppc64
  • Red Hat Enterprise Linux for Power, big endian – Extended Update Support 7.5 ppc64
  • Red Hat Enterprise Linux for Scientific Computing 7 x86_64
  • Red Hat Enterprise Linux EUS Compute Node 7.5 x86_64
  • Red Hat Enterprise Linux for Power, little endian 7 ppc64le
  • Red Hat Enterprise Linux for Power, little endian – Extended Update Support 7.5 ppc64le
  • Red Hat Enterprise Linux for ARM 64 7 aarch64
  • Red Hat Enterprise Linux for Power 9 7 ppc64le
  • Red Hat Enterprise Linux for IBM System z (Structure A) 7 s390x
Recomendamos actualizar cuanto antes los productos afectados.
Más información:
 
[?#??] DynoRoot!!!1111 – CVE-2018-1111
DHCP Client Script Code Execution Vulnerability – CVE-2018-1111

Actualizaciones de seguridad en Adobe Acrobat y Reader

Adobe ha publicado actualizaciones de seguridad para Adobe Acrobat y Reader. Entre los fallos corregidos, hay una ejecución remota de código arbitrario.

Con un total de 47 vulnerabilidades corregidas, Adobe ha publicado parches que dan solución a un variado espectro de errores de programación: desbordamiento de memoria heap, double free (liberación reiterada del mismo recurso), uso de recursos ya liberados, escritura y lectura fuera de límites o evasión de restricciones de seguridad entre otras.

23 de estos fallos permitirían ejecutar código arbitrario, por lo que han sido categorizados como críticos. Además, una de estas vulnerabilidades, con la etiqueta CVE-2018-4990, está siendo explotada actualmente y se conoce, al menos, de una prueba de concepto para otra más, con CVE-2018-4993.

Adobe ha puesto ha disposición de sus usuarios las actualizaciones pertinentes para las versiones de sus programas en los sistemas operativos Microsoft Windows y Apple MacOS.

Más información:
 

Ejecución remota de código en Microsoft PowerPoint para Mac

Se ha descubierto una vulnerabilidad en la forma en que Microsoft PowerPoint para Mac procesa contenido XML, que puede ser explotada para ejecutar código arbitrario si se convence a la víctima para abrir un archivo especialmente diseñado

Microsoft Office es la suite de ofimática por excelencia, de sobras conocido por todos y que requiere poca introducción a estas alturas de la película. Lo que sí es menos conocido, al menos entre los usuarios de Windows, es que dispone de una versión para Mac. De hecho, paradójicamente la primera versión de Microsoft Office se publicó para Mac en 1989, saliendo para plataformas Windows un año después.

La vulnerabilidad que nos ocupa es un clásico en la gama de vulnerabilidades que llevan afectando a Office durante años, y consiste en la posibilidad de ejecutar código arbitrario a través de un archivo especialmente diseñado. Esta vez se debe a un fallo en la forma que PowerPoint tiene de procesar contenido XML incluido en un archivo para este programa. Básicamente, el proceso de formatos de archivo como XML requiere de código bastante complejo, teniendo que procesar muchos casos distintos y sujeto a restricciones de velocidad (no podemos tener a un usuario más de X segundos esperando que se abra un documento). Esto hace que el código que procesa este tipo de formatos sea, simple y llanamente, un lío. Una receta para el desastre.

Identificada como CVE-2018-8176, la vulnerabilidad afecta únicamente a la version de Microsoft Office 2016 para Mac, específicamente a PowerPoint. Como comentábamos, la forma de explotación no tiene nada de especial: crea un archivo manipulado y mándalo por correo, cuélgalo en algún sitio… Y espera a que alguien con Office 2016 para Mac pique. Eso sí, Microsoft especifica que la creación de un archivo especialmente manipulado que pueda explotar esta vulnerabilidad tiene una dificultad bastante grande. Al igual que comenta que no se ha detectado que se esté explotando esta vulnerabilidad por el momento.

Microsoft ya ha publicado en su página oficial una actualización que corrige esta vulnerabilidad.

Más información:

CVE-2018-8176 | Microsoft PowerPoint Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8176

Security Update
https://go.microsoft.com/fwlink/p/?linkid=831049

Ejecución de código arbitrario en Velocloud VMWare NSX SD-WAN

La vulnerabilidad en la interfaz web de esta característica de Velocloud VMWare permitiría la ejecución de código sin la necesidad de encontrarse autenticado

 

NSX SD-WAN Edge es un componente incluido en Velocloud VMWare para la conexión en soluciones en la nube. Este componente, cuenta como opción para su administración de una interfaz web, que es el que contiene la vulnerabilidad. Por fortuna, esta opción se encuentra desactivada por defecto y según anuncia VMWare debería emplearse únicamente en redes privadas. Además, según puede leerse en el anuncio de la vulnerabilidad, está prevista su eliminación en futuras versiones.

El fallo, con CVE-2018-6961, ha sido encontrado por Brian Sullivan de la empresa Tevora, el cual ha reportado para su solución a VMWare. Las versiones 3.x y 2.x de Velocloud VMWare SD-WAN Edge solucionan este fallo, debiéndose actualizar a dicha versión si se emplease el servicio afectado. Para la explotación de la vulnerabilidad, se requiere que el servicio se encuentre activado y sea accesible por el atacante, por lo que una posible forma de mitigar el error es desactivar el servicio, tal y como recomiendan desde VMWare.

Igualmente, se recuerda que este servicio debería sólo utilizarse en redes privadas, y que desaparecerá en futuras versiones.

Más información:


NSX SD-WAN by VeloCloud:

https://www.vmware.com/products/nsx-sd-wan-by-velocloud.html


VMware Security Advisories. VMSA-2018-0011:

https://www.vmware.com/security/advisories/VMSA-2018-0011.html

Desactivar interfaz web NSX SD-WAN Edge:
https://kb.vmware.com/s/article/55009

Más de 500.000 routers y dispositivos NAS afectados por VPNFilter

El equipo de investigadores de Cisco Talos se hacen eco de una nueva familia de malware muy destructiva: VPNFilter. Capaz de robar credenciales, exfiltrar información e incluso destruir el dispositivo afectado.

Los ataques están dirigidos en su mayoría a hosts de Ucrania. Disponiendo de una infraestructura de C&C específica para este país. Aunque otros 54 países se han visto afectados.

Hasta la fecha se sabe que el malware afecta a dispositivos de distinta categoría, tanto de uso doméstico como empresarial:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS para Routers Cloud Core: Versiones 1016, 1036, y 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Otros dispositivos QNAP NAS que funcionen con software QTS
  • TP-Link R600VPN

Estos dispositivos utilizan credenciales por defecto o están afectados por alguna vulnerabilidad ya conocida. De este modo el malware es capaz de infectar y propagarse a otros dispositivos.

Más información:
 
New VPNFilter malware targets at least 500K networking devices worldwide
https://blog.talosintelligence.com/2018/05/VPNFilter.html

Telegrab un malware en la mensajería instantanea de Telegram

Telegrab un malware de Telegram capaz de robar credenciales de navegadores y cookies

Los ví­deomensajes llegan a Telegram

Telegrab es como se ha bautizado a este malware que se detectó por primera vez el 4 de abril de 2018, y surgió una segunda variante el 10 de abril del presente año. Mientras que la primera versión solo robaba credenciales y cookies del navegador, junto con todos los archivos de texto que puedan encontrarse en el sistema, la segunda variante agregó la capacidad de recopilar la caché del cliente de escritorio y las claves de esta famosa aplicación de mensajería , así como otro tipo de información. El robo de este tipo de información podría acarrear en que se puedan secuestrar las sesiones de Telegram.El radio de acción de este malware es principalmente víctimas de habla rusa y evita intencionadamente las direcciones IP relacionadas con cualquier servicio de anonimización de usuarios.

Como hemos dicho antes no explota ninguna vulnerabilidad si no que se aprovecha de que el cliente de escritorio de Telegram no soporta los “‘chats secretos” esto junto con una configuración por defecto de no cerrar la sesión automáticamente hace que este malware pueda secuestrar la sesión y por lo tanto las conversaciones. Su funcionamiento se basa en obtener todos los datos de la caché y comprimirlos para posteriormente enviarlo al servidor de control, si suponemos que el atacante no tiene la contraseña, no debería ser difícil para ellos crear un mecanismo de fuerza bruta que les permita obtener la contraseña para así poder descifrar los ficheros.

Esta campaña no es muy sofisticada pero si es tremendamente eficiente, no existe persistencia en la máquina por lo tanto el malware se ejecuta cuando la víctima lo ejecuta, pero no después de reiniciar. El malware se distribuye a través de varios ‘downloaders’ escritos en diferentes lenguajes (Go, Python, DotNet), estos ‘downloaders’ descargan un fichero con nombre“whiteproblem.exe”(entre otros por ejemplo: finder.exe, dpapi.exe, enotproject.exe).

Una vez se descarga el malware tiene dos posibles variantes: la primera ejecuta el finder.exe y la segunda se trata de un fichero ‘.rar’ autoextraible que contiene un ejecutable de python. El fichero “finder.exe” es el responsable de buscar en el disco duro las credenciales del navegador y las cookies de sesión para un usuario, también recoge todos los archivos de texto del sistema, este ejecutable también es el responsable de la exfiltración de la información recopilada.

Si comparamos esta amenaza con las de grandes grupos delictivos en Internet resulta ser insignificante, pero no nos engañemos, esto solo muestra como una amenaza pequeña puede pasar desapercibida y comprometer miles de credenciales.

 

Más información:
 
Fuente:

Un ataque de ‘downgrade’ en Z-Wave deja expuestos a 100 millones de dispositivos IoT

Alrededor de 100 millones de dispositivos IoT expuestos por una vulnerabilidad en el protocolo Z-Wave

Resultado de imagen de z-wave

Z-wave es un protocolo utilizado principalmente en domótica. Este protocolo permite el control inalámbrico de electrodomésticos y otros dispositivos, está destinado para la automatización del hogar y/o la oficina, permitiendo una conexión a través de Internet para controlarlo.

Los investigadores Ken Munro y Andrew Tierney han descubierto que más de 100 millones de dispositivos de miles de proveedores son vulnerables a un ataque llamado ‘downgrade’ (hacer que el dispositivo vuelva a usar una versión anterior de un sistema, software o protocolo volviéndolo inseguro) que podría permitir a los atacantes obtener acceso no autorizado a los dispositivos. El problema radica en la implementación del protocolo citado antes, una tecnología basada en radiofrecuencias que los dispositivos del hogar usan para comunicarse entre sí.

Resultado de imagen de z-wave
Esquema de conexión Fuente

El último estándar de seguridad para Z-Wave (S2 framework) utiliza un intercambio de claves de acuerdo al sistema ‘Diffie-Hellman’, para compartir las claves únicas entre la unidad controladora central y el dispositivo o dispositivos clientes. Después de que la empresa propietaria de Z-Wave obligase a todos los dispositivos IoT certificados a usar este último estándar en seguridad, millones de dispositivos aún admiten la versión más antigua e insegura del proceso de emparejamiento (S0 framework).

Este estándar se demostró vulnerable en 2013 debido al uso de una clave de codificación insegura para proteger la clave de red, lo que permitía a los atacantes interceptar la comunicación entre los dispositivos estando lo suficientemente cerca. Los investigadores han hecho un vídeo con la prueba de concepto y no solo han conseguido explotar este tipo de ataque si no que se han hecho con el control total del dispositivo robando las claves y controlando el dispositivo.

El 18% de los móviles Android con aplicaciones bancarias instaladas tienen algún tipo de malware.

Un reciente estudio interno basado en los datos de Koodous llevado a cabo por nosotros mismos (Hispasec), revela un dato ciertamente preocupante: un 18% de los móviles analizados tienen instalado algún tipo de malware. El estudio cruza los datos de usuarios con aplicaciones de banca en línea con el malware detectado por Koodous.

¿Qué es Koodous?

Aunque a día de hoy pensamos que la mayoría de nuestros lectores lo conocen lo recordaremos para los más despistados: Koodous es un antivirus colaborativo para Android que pone a disposición de los analistas de malware todo el potencial de los sistemas de análisis; para que mediante la creación de firmas Yara puedan categorizar las muestras que van siendo recogidas por el sistema. Por lo cual son los analistas los que mediante la creación de firmas categorizan las aplicaciones.

El número de usuarios y aplicaciones maliciosas sigue creciendo.

Según los datos que manejamos desde 2014, y una estimación de los datos recogidos en 2018 podemos calcular la siguiente gráfica que muestra una clara tendencia alcista de aplicaciones fraudulentas.

Según datos de la agencia Gartner, el número de terminales móviles con sistema operativo Android no para de crecer, aunque si bien es cierto que iOS mantiene un crecimiento superior al de Android, la cuota de mercado de Android cercana al 86% dan una ventaja que explica entre otras cosas el interés de los atacantes en esta plataforma para la creación de amenazas. Si bien es cierto que existen otros factores determinantes como lo abierto del sistema operativo o que históricamente iTunes ha implementado controles más severos para controlar la subida de aplicaciones.

Más información:

MAIA:
https://www.hispasec.com/es/services/maia

Koodous Google Play:
https://play.google.com/store/apps/details?id=com.koodous.android

Gartner:

https://www.gartner.com/newsroom/id/3876865