Noticias de Seguridad Setiembre 2018
Vulnerabilidad en Facebook permite el acceso a 50 millones de datos de usuarios
Una vulnerabilidad en Facebook hizo saltar la alarma el pasado día 25, cuando el equipo de ingenieros de seguridad de Facebook se percató de que existía una brecha de seguridad que afectaba a al menos 50 millones de usuarios.
El ataque se aprovechó de varias vulnerabilidades existentes en el código. La primera de ellas fue debida a un cambio que se aplicó en 2017 que afectaba a la función de la carga de vídeo. El segundo error del que se aprovechó el ataque fue en la característica ‘ver como’ de la plataforma, que te permite ver tu propio perfil como lo vería otro usuario de la red social. Esta última característica, permitió a los atacantes obtener los token de acceso de los demás usuarios.
Los token es el equivalente a las credenciales de acceso, generalmente utilizado en las APIs del servicio, bien sea para la integración de automatismos, módulos, plugins, etc… En este caso la combinación de los tres fallos permitieron a los atacantes pivotar desde sus tokens a tokens de otros usuarios permitiéndoles obtener tokens de acceso adicionales.
Aunque la investigación aún no ha concluido y está en una fase temprana, el equipo de seguridad de Facebook sigue investigando el incidente para intentar averiguar quién está detrás de este ataque, desde dónde se realizó, si hay más usuarios afectados y a qué información se accedió.
Con respecto a la información accesible del ataque, el equipo de seguridad de Facebook aseguran que solo se ha podido acceder a los datos que permite ver la característica ‘ver como’ de la red, como nombre, género, fotos, estudios, etc y que en ningún caso se ha accedido a contraseñas o datos bancarios.
Este ataque ha llevado al equipo de seguridad de Facebook a realizar tres acciones:
1 – Corregir la vulnerabilidad.
2 – Resetear los token de acceso de los 50 millones de usuarios que han sido afectados junto con otros 40 millones de usuarios que utilizaron la característica ‘ver como’ en el último año. Por lo que los usuarios que utilicen este token de acceso, tendrán que volver a iniciar la sesión en el servicio.
3 – Deshabilitar la característica ‘ver como’.
Esta situación se suma al complejo año que lleva Facebook, que comenzó con el ‘Leak de Cambridge Analytica’, continuó con la salida de los socios de Instagram, las declaraciones de los fundadores de Whatsapp, y ahora sufre otro grave fallo de seguridad que ha dejado los datos de sus usuarios accesibles.
Más información:
Comunicado de Facebook:
https://newsroom.fb.com/news/2018/09/security-update/
Imagen extraída de: https://newsroom.fb.com/
Salto de autenticación con permisos administrador en Western Digital My Cloud
La vulnerabilidad, que en estos momentos no cuenta con una solución, permite ejecutar acciones como administrador simplemente estableciendo una cookie
Tanto los investigadores de exploitee.rs como de Securify han encontrado un fallo (CVE-2018-17153) en Western Digital My Cloud que permitiría realizar acciones como administrador en uno de los dispositivos afectados. Se desconocen los modelos exactos vulnerables, pero seguramente sea un gran número de ellos al compartir código. Los investigadores realizaron sus pruebas en el modelo WDBCTL0020HWT ejecutando la versión 2.30.172.
La vulnerabilidad es muy fácil de explotar, y no tiene más requerimientos que tener conexión con el dispositivo. Para su explotación, sólo se requieren 2 pasos: primero, realizar una petición POST form a ‘/cgi-bin/network_mgr.cgi’incluyendo ‘cmd=cgi_get_ipv6&flag=1‘, creando así la sesión. Segundo, realizar una petición con un comando que requiera autenticación (por ejemplo, ‘cgi_get_ssh_pw_status‘) agregando la cookie ‘username=admin‘.
Los discos duros Western Digital My Cloud son empleados en el mercado doméstico y PYMES para almacenar backups e información personal, por lo que son objetivo de ransomware (además de botnets) al estar conectados de forma continua a la red. La empresa fue informada en abril de 2017, pero ésta ha ignorado el reporte, por lo que se ha publicado ahora en septiembre de 2018.
En caso de contar con un dispositivo vulnerable, la primera medida a adoptar es impedir el acceso al dispositivo desde Internet (lo cual debería realizarse en cualquier caso), aunque la solución ideal es desconectar el disco duro de la red, y acceder únicamente a través de cable USB, al menos hasta que se solucione la vulnerabilidad.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17153Authentication bypass vulnerability in Western Digital My Cloud allows escalation to admin privileges:
https://www.securify.nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html
La Organización de las Naciones Unidas deja expuestas por accidente contraseñas y documentos confidenciales
Una mala configuración de algunos servicios para gestión de proyectos como Trello, Jira y Google Docs ha dejado expuestos documentos internos, contraseñas y otra información confidencial sobre la organización y sus miembros.
Cualquiera con el enlace adecuado podría acceder a la información, que incluía las contraseñas de uno de los servidores de ficheros de la organización, las credenciales de un sistemas de video conferencia y de un servidor de desarrollo de una de las oficinas de Coordinación de Asuntos Humanitarios.
El investigador de seguridad Kushagra Pathak que ha descubierto el «leak» ha notificado sus hallazgos a la organización, que a lo largo de este mes ha ido eliminando todo el material.
Pathak descubrió muchos de estos recursos haciendo simples búsquedas en Google, que dieron como resultado tableros de Trello públicos que contenían a su vez otros enlaces a documentos de Google Docs y páginas de Jira.
A pesar de que los tableros de Trello y los documentos de Google son privados por defecto, Pathak ha sugerido a Trello añadir medidas adicionales para evitar que los usuarios publiquen sus tableros por error. A lo que el CEO de Trello ha respondido:
«Nos esforzamos por asegurarnos de que los tableros públicos se crean de manera intencionada, haciendo necesaria una confirmación previa del usuario y mostrando en la parte superior de los tableros la visibilidad del mismo».
Los descubrimientos de Pathak ponen de manifiesto la falta de concienciación en materia de seguridad informática y los riesgos que una fuga de información de estas características supondría para grandes empresas y organizaciones.
Error de la API de Twitter expone mensajes privados de los usuarios
Un error en la API de Twitter expuso los mensajes directos de algunos usuarios a desarrolladores de aplicaciones de terceros no autorizados.
El error que ha dado pie a esta desprivatización de mensajes (si se puede llamar así) ha estado presente desde mayo de 2017 hasta el 10 de septiembre que se descubrió y parcheó.
«Si interactuaba con una cuenta o empresa en Twitter que dependía de un desarrollador que utilizaba la AAAPI para proporcionar sus servicios, es posible que el error haya provocado que algunas de estas interaccione se envíen involuntariamente a otro desarrollador registrado», explica Twitter.
Como funciona el error:
La compañía no ha querido dar muchos datos al respecto, pero si ha aclarado que el error se encontraba en el funcionamiento de la AAAPI propia de la compañía.
«En algunos casos, el error puede haber incluido el envío de ciertos mensajes directos o tweets protegidos a desarrolladores no autorizados», advierten publicamente.
Cabe señalar que el error solo involucra los DM de los usuarios y las interacciones con las empresas que utilizan Twitter para servicios como atención al cliente.
¿Cuantos usuarios están afectados?
A pesar de que no han descubierto ninguna evidencia de que un desarrollador equivocado haya recibido mensajes privados o tweets protegidos, la compañía no puede confirmar que no haya sucedido. Por lo que, potencialmente pueden estar afectadas más de 3 millones de personas (menos del 1% de los usuarios de la red social).
¿Qué puedes hacer si eres uno de los afectados con los que Twitter ha contactado?
Esto no es más que una demostración más de que la seguridad no es una ciencia exacta y que nunca podemos asegurar estar 100% libre de peligro en Internet, por lo que debemos minimizar el riesgo al mínimo posible.
Ejecución de código remoto en Moodle
Se ha publicado un error en la plataforma educativa Moodle que podría permitir la ejecución remota de código
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Existe un error al importar un cuestionario de tipo ‘arrastrar y soltar en el texto’ (ddwtos) en formato XML, debido a una falta de comprobación en una función ‘unserialize’. Esto podría causar una inyección de objetos PHP y conducir a una ejecución remota de código arbitrario.
Es necesario disponer de permisos para crear un cuestionario o importar preguntas para poder aprovechar esta vulnerabilidad. Aunque estos permisos los tienen los profesores, cabe destacar que es posible asignar el rol de ‘profesor’ un usuario ‘estudiante’ para un determinado curso, con lo cual estaría en posición de explotar este error.
Además, una plataforma Moodle también podría verse afectada de manera no intencionada si se importan cuestionarios o preguntas desde fuentes que no son de confianza.
Se propone la siguiente prueba de concepto que ejecuta el comando ‘whoami’ como demostración de la vulnerabilidad.
Prueba de concepto |
Esta vulnerabilidad, identificada como CVE-2018-14630, ha sido descubierta por Johannes Moritz. Ha sido catalogada como seria por la propia plataforma y afecta a todas las versiones anteriores a las siguientes: 3.1.14, 3.3.8, 3.4.5, y 3.5.2, en las cuales se ha corregido.
https://moodle.org/mod/forum/discuss.php?d=376023
Newegg es la nueva víctima del grupo delictivo Magecart
Esta semana la empresa Voletix junto a RiskIQ han publicado una investigación que tiene como protagonistas al grupo de ciberdelincuentes Magecart. Esta vez la víctima ha sido la empresa minorista de ordenadores y productos electrónicos de consumo Newegg.
Magecart es un grupo de ciberdelicuentes especializado en el robo de credenciales de pago mediante el uso de “skimmers digitales”. Entre los ataques que se le han atribuido están el robo de credenciales de pago en Ticketmaster, British Airways y el caso reciente de Newegg.
Este ataque ha sido prácticamente igual que el publicado un par de semanas atrás y que afectaba a la aerolínea británica British Airways. De hecho, teniendo en cuenta la fecha de realización del ataque y no la de publicación, este ataque ha sido anterior.
En resumen, el proceso es el siguiente:
- Los atacantes logran acceder al servidor donde se hospeda el código que interpreta la web de la víctima, a través de cualquier vector.
- El atacante introduce un código Javascript fraudulento que, paralelamente al proceso de compra, envía los credenciales del usuario a un servidor controlado por los atacantes.
- El ataque persiste mientras el código no es detectado.
La detección puede llevarse a cabo bien por alguien externo, por la propia empresa afectada o bien por parte de las entidades bancarias. Estas últimas, debido a las denuncias de sus clientes que reclaman cargos no autorizados, alertan a la víctima.
Las entidades bancarias están más que acostumbradas a detectar patrones que identifiquen un ‘skimmer’ como foco del robo de información de credenciales bancarios. La cadena de hechos es sencilla: reciben quejas de sus usuarios por cargos no autorizados, buscan un patrón común entre ellos, y ya tienen la fuente, en este caso todos compraron previamente en Newegg.
Durante muchos años ha sido bastante común, y lo sigue siendo, la colocación de TPVsfraudulentos que roban las tarjetas que transaccionan con él. Estas nuevas técnicas solo tienen una diferencia: no existe ningún elemento hardware, en vez de ir a un TPV físico, los atacantes manipulan TPVs virtuales.
Pero volviendo al ataque, veamos que particularidades ha tenido este caso.
Lo primero que vamos a contar es el punto donde se ha introducido el código fraudulento, en este caso ha sido en el servidor secure.newegg.com.
Lo verdaderamente sorprendente esta vez ha sido como los atacantes han intentado disfrazar el ataque para permanecer el mayor tiempo en la sombra. Para ello el 13 de agosto los atacantes registraron el dominio neweggstats.com, un dominio que pretendía disfrazar las conexiones para parecer ser legítimo y al cuál enviaban la información robada. Además le compraron un certificado SSL para cifrar el tráfico y darle aún mayor sobriedad a la infraestructura fraudulenta.
Todo esto les permitió permanecer más de un mes sin levantar sospechas, con el siguiente código cargado en la url https://secure.newegg.com/GlobalShopping/CheckoutStep2.aspx
Cabe mencionar que en el caso de British Airways se usó el eslogan, con claros tintes ‘clikbaits’, de que tan solo 22 líneas de código habían sido necesarias para llevar a cabo el ataque. Este caso de Newegg es aún más ‘flagrante’ ya han sido únicamente 15 las líneas necesarias para el llevar a cabo el ataque. Así que podíamos apostar por un eslogan bastante más divertido, a mi manera de ver, que podría ser el siguiente: “Los Hackers que forman parten de Newegg han necesitado 7 lineas menos para perpetrar su ataque que en el caso de British Airways”, una tontuna enorme, ya no solo por el hecho de que el código es Javascript y hablamos de líneas, no de sentencias, sino, porque reducir este tipo de ataques a la orden que hace el envío de datos es evidenciar un completo desconocimiento sobre todo lo que conlleva ataques de este calado.
https://www.volexity.com/blog/2018/09/19/magecart-strikes-again-neweggReporte de RiskIQ:
https://www.riskiq.com/blog/labs/magecart-newegg/Unaaldía Ticketmaster:
https://unaaldia.hispasec.com/2018/06/ticketmaster-un-drama-en-tres-actos-y.html
Unaaldía British Airways:
https://unaaldia.hispasec.com/2018/09/magecart-detras-de-la-sustraccion-de.html
Falso email de Deloitte usado para distribuir malware
No es la primera vez que los spammers utilizan la imagen de empresas conocidas para hacer llegar a los usuarios correos no deseados o, en el peor de los casos, malware.
En este caso los atacantes han suplantado la identidad de la conocida empresa Deloitte para distribuir muestras de TrickBot, una familia de troyanos bancarios que ha estado bastante activa los últimos meses.
Los correos reportados provienen de un tal «Adam Bush» Adam.Bush@deloitte-inv.com y utilizan un dominio fraudulento que incluye el nombre de la marca. El asunto del correo habla de un calendario de nóminas de la empresa y pretende despertar la curiosidad de la víctima para descargar y abrir el adjunto incluido.
Correo suplantando la identidad de Deloitte. Fuente: myonlinesecurity.co.uk |
El fichero adjunto, en formato Excel, contiene una macro maliciosa que descargará el troyano. Desde las versiones de Office 2010 en adelante, el programa requiere que el usuario habilite de forma manual la ejecución de macros, por eso se mostrará en la hoja de cálculo un mensaje como el que vemos a continuación incitando al usuario a activar esta característica:
Payrollschedule.xls. Fuente: myonlinesecurity.co.uk |
La macro descargará el ejecutable desde http://bcgfl[.]com/sdn.uqw o alternativamente http://ubeinc[.]com/sdn.uqw. Dos muestras del ya conocido Trickbot.
IOC de la campaña:
Payrollschedule.xls
MD5: a628323455d1f19d1115e1626d1fabce
SHA-1: 552f531d1f8cba28da5fcc376abbc5647f438c69
URL de descarga del troyano:
http://bcgfl[.]com/sdn.uqw
72.29.67.154
http://ubeinc[.]com/sdn.uqw
72.29.90.19
MD5: cae0a5bb259d11b80e448c0c68f47f06
SHA1: 7c08e6f55738c52b7869d66a301578667b972f4b
Remitente: Adam.Bush@deloitte-inv[.]com
5.79.90.23
185.212.130.89
5.79.76.209
95.211.169.218
Dejar claro que Deloitte no ha sido en ningún momento comprometida y que el dominio fraudulento deloitte-inv.com ha sido registrado por un tercero que nada tiene que ver con la empresa.
Desde Hispasec recomendamos no abrir nunca correos con adjuntos no solicitados.
Vulnerabilidades en plataforma de alquiler de bicicletas oBike
Se han descubierto varias vulnerabilidades en el sistema de bloqueo que utiliza la plataforma de alquiler de bicicletas oBike. Un atacante remoto podría eludir el mecanismo de bloqueo mediante ataques de repetición para reproducir textos cifrados en función de valores predecibles.
oBike es una plataforma de alquiler de bicicletas sin estaciones (se pueden recoger y entregar en cualquier ubicación donde esté permitido aparcar bicicletas o vehículos) originaria de Singapur, opera en más de 40 ciudades de Europa, Asia y Oceanía.
Desde la aplicación para smartphones, el cliente reserva una bicicleta que se encuentre ubicada cerca de su zona y mediante el escaneo de un código QR puede desbloquear y comenzar a utilizar la bicicleta gracias a un dispositivo IoT integrado en ella que actúa como sistema de bloqueo. En el momento en que la bicicleta es desbloqueada comienza el periodo de alquiler por el cual se facturará en tramos de 30 minutos.
Concretamente el protocolo de comunicación utilizado por oBike es el siguiente:
Protocolo de comunicación de la plataforma oBike |
La app envía un mensaje de saludo [1] con las coordenadas GPS para desbloquear la bicicleta a través de Bluetooth (BLE o ‘Bluetooth Low Energy’) y recibe una cadena de 32 bits utilizada como desafío (‘keySource’) [2]. Esta cadena se envía a los servidores de oBike [3] donde se procesa y se devuelve a la app [4] un índice de clave ‘encKey’ y un texto cifrado de 128 bits en ‘keys’. Nuevamente a través de BLE, la app envía a la bicicleta el texto cifrado truncado a 96 bits y el índice de clave ‘encKey’ [5] y la bicicleta es desbloqueada emitiéndose una respuesta de confirmación [6] con los valores ‘macKey’ e ‘index’. Como último paso, la aplicación envía a los servidores de oBike estos dos valores en el mensaje ‘lockMessage’ [7] con el cual el alquiler de la bici queda registrado y se inicia el periodo de facturación.
Previamente, al analizar este protocolo, se descubrieron algunas vulnerabilidades que se exponen en el proyecto ‘Exploration of Weakness in Bike Sharing System’realizado por estudiantes de la ‘School of Computing (National University of Singapure)’en 2017-2018. Estas podrían permitir falsear la ubicación de las bicicletas, realizar una denegación de servicio al hacer que el servidor establezca que la bicicleta está defectuosa por lo que dejaría de aceptar intentos de desbloqueo, e incluso omitir la confirmación en el paso 7, con lo cual la bicicleta quedaría desbloqueada pero el alquiler no sería registrado y por tanto el cobro tampoco sería efectuado.
Un análisis más reciente realizado por Antoine Neuenschwander ha determinado que:
- El campo ‘keySource’ (usado en el paso [2]) no es un valor aleatorio generados por el dispositivo IoT de bloqueo sino que representa la cantidad de milisegundos desde que se encendió el chip (lo cual corresponde a una ventana temporal de algo menos de 50 días: 2^32 milisegundos).
- El texto cifrado de 128 bits ‘keys’, resultante de una operación criptográfica desconocida basada en los valores ‘keySource’ y ‘encKey’, probablemente utilice un cifrado AES-128.
- ‘encKey’ selecciona la clave de encriptación de un conjunto de 64 índices distintos determinados por el servidor.
También se ha observado que si se fijan los valores ‘keySource’ y ‘encKey’, el valor resultante de ‘keys’ es siempre igual. Esto permitiría realizar ataques de repetición para desbloquear la bicicleta, enumerando todos los valores posibles de ‘keySource’ y capturando los valores correspondientes ‘keys’ y ‘encKey’ siendo posible reproducir estos valores posteriormente y de forma offline, sin necesidad de conectar con el servidor. Además es posible limitar el número de valores a enumerar gracias a un comando BLE que provoca un reinicio del chip, con lo que el ataque se simplifica en gran medida.
Esta vulnerabilidad tiene asignado el identificador CVE-2018-16242.
https://nvd.nist.gov/vuln/detail/CVE-2018-16242
http://isteps.comp.nus.edu.sg/event/11th-steps/module/CS3235/project/3
Múltiples vulnerabilidades corregidas en Apple iOS 12
Apple ha sacado un boletín de seguridad corrigiendo múltiples fallos de iOS 12, el sistema operativo de iPhone, entre ellos alguno que permite ejecutar código arbitrario
Revelación de información, elevación de privilegios, falsificación de contenido… Éstas son algunos de los impactos asociados a las vulnerabilidades que se abordan en el último boletín de Apple para su sistema operativo iOS en su versión 12. Además de usarse en el archiconocido iPhone, también está presente en la mayoría de los dispositivos móviles de la marca como el iPad o el iPod touch. Esta vez, todas las vulnerabilidades reportadas tienen un identificador CVE asociado. A continuación, repasamos las vulnerabilidades contenidas en el boletín:
- CVE-2018-4322
- Módulo: Accounts
- Impacto: Una aplicación puede obtener un identificador persistente de una cuenta
- Solución: Mejora del sistema de permisos
- CVE-2018-5383
- Módulo: Bluetooth
- Impacto: Un atacante en una posición privilegiada de la red puede interceptar tráfico
- Solución: Mejora de validación de entradas
- CVE-2018-4330
- Módulo: Core Bluetooth
- Impacto: Una aplicación puede ejecutar código arbitrario con privilegios del sistema
- Solución: Mejora del manejo de memoria para evitar su corrupción
- CVE-2018-4356
- Módulo: CoreMedia
- Impacto: Una aplicación puede obtener información sobre lo que ve la cámara antes de tener concedido el acceso a ella
- Solución: Mejora de validación de permisos
- CVE-2018-4335
- Módulo: IOMobileFrameBuffer
- Impacto: Una aplicación puede leer memoria restringida
- Solución: Mejora del saneamiento de entradas
- CVE-2018-4305
- Módulo: iTunes Store
- Impacto: Un atacante en una posición privilegiada de la red puede falsear diálogos que piden contraseñas
- Solución: Mejora de validación de entradas
- CVE-2018-4363
- Módulo: Kernel
- Impacto: Una aplicación puede leer memoria restringida
- Solución: Mejora del validación de entradas en el kernel
- CVE-2018-4313
- Módulo: Messages
- Impacto: Un usuario local puede descubrir mensajes borrados de un usuario
- Solución: Mejora en el borrado de mensajes
- CVE-2018-4352
- Módulo: Notes
- Impacto: Un usuario local puede descubrir notas borradas de un usuario
- Solución: Mejora en el borrado de notas
- CVE-2018-4313
- Módulo: Safari
- Impacto: Un usuario local puede descubrir páginas web de un usuario
- Solución: Mejora en el manejo de snapshots de aplicaciones
- CVE-2018-4329
- Módulo: Safari
- Impacto: El borrado de elementos del historial de navegación no es completo
- Solución: Mejora en el borrado de elementos, que contempla redirecciones
- CVE-2018-4307
- Módulo: Safari
- Impacto: Una web maliciosa puede extraer información del autocompletado
- Solución: Mejora en la gestión de estados lógicos
- CVE-2018-4362
- Módulo: SafariViewController
- Impacto: Una web maliciosa puede modificar el contenido de la barra de direcciones
- Solución: Mejora en en la gestión de estados de la interfaz de usuario
- CVE-2016-1777
- Módulo: Security
- Impacto: Un atacante puede explotar debilidades del algoritmo criptográfico RC4
- Solución: Eliminación del algoritmo RC4
- CVE-2016-4325
- Módulo: Status Bar
- Impacto: Una persona con acceso físico al dispositivo puede determinar la última aplicación usada con la pantalla bloqueada
- Solución: Mejora de restricciones
- CVE-2018-4338
- Módulo: Wi-Fi
- Impacto: Una aplicación puede leer memoria restringida
- Solución: Mejora del saneamiento de entradas.
Todas las vulnerabilidades han sido corregidas por Apple en la última versión disponible de iOS 12.
Más información:
https://support.apple.com/en-us/HT209106
Exploit basado en CSS puede bloquear tus dispositivos Apple
Se ha revelado la PoC que únicamente contiene unas pocas líneas de código CSS y HTML.
Sabri Haddouche es el nombre del investigador que ha descubierto este fallo. La prueba de concepto liberada fue colgada en Twitter y en su Github. Más allá de un simple bloqueo, la página web, si se visita, provoca un pánico en el kernel del dispositivo y un reinicio completo del sistema.
Explicación del fallo:
El exploit aprovecha una debilidad en el motor de renderizado de Apple Webkit, que es utilizado por todas las aplicaciones y navegadores de la conocia marca. Dado que Webkit no cargaba correctamente varios elementos como etiquetas <div> dentro de una propiedad del filtro CSS, el investigador creó una web que utiliza todos los recursos del dispositivo, provocando el apagado y reinicio del mismo.
Prueba de concepto:
Todos los navegadores que corren sobre iOS son vulnerables a este ataque. Por otro lado, los usuarios de Windows y Linux no se ven afectados por esta vulnerabilidad.
De momento no hay parche disponible contra este fallo, pero se presupone que Apple está investigando el problema.
Corrupción de la memoria del kernel a través de Webroot SecureAnywhere
Un fallo en el software antivirus SecureAnywhere de Webroot permitiría a un usuario sin privilegios leer o escribir una dirección de memoria arbitraria.
El pasado 13 de septiembre, investigadores de Trustwave han descubierto una vulnerabilidad de corrupción de memoria en la versión de macOS de SecureAnywhere, el software antivirus desarrollado por la empresa Webroot.
La ausencia de control de acceso en uno de los procesos que se comunican con el driver del kernel de Webroot SecureAnywhere, permitirían la desreferencia de un puntero controlado por un usuario (sin privilegios) para leer y escribir en una dirección arbitraria.
La vulnerabilidad ha sido corregida en la versión 9.0.8.34 de SecureAnywhere.
https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018-16962–Webroot-SecureAnywhere-macOS-Kernel-Level-Memory-Corruption/Mac Version 9.0.8.34 (Released July 24th, 2018)
http://answers.webroot.com/Webroot/ukp.aspx?pid=10&app=vw&vw=1&login=1&json=1&solutionid=2022
Los ataques ‘Cold Boot’ vuelven una década después
Aunque el ataque ‘Cold Boot’ no es nuevo y parecía estar subsanado, los investigadores de seguridad Olle Segerdah y Pasi Saarinen, de F-Secure, aseguran haber conseguido realizar el ataque a varios ordenadores de forma exitosa aprovechando una vulnerabilidad en la forma en las que los ordenadores protegen el firmware, existente en la mayoría de los ordenadores de la actualidad.
Extraída de https://thehackernews.com |
El ataque ‘Cold Boot’ o de ‘Inicio en frío’ es un ataque que se descubrió hace una década y que permitiría a un atacante con acceso físico a una máquina robar claves de cifrado entre otra información sensible. Este ataque consistía en reiniciar el ordenador sin en proceso adecuado de apagado, lo que podría permitir recuperar los datos existentes en la memoria RAM antes de que sean eliminados.
Pasos de realización del ataque, extraída de https://blog.f-secure.com |
El problema fue subsanado aplicando un proceso de sobreescritura a los datos existentes en la memoria, impidiendo que la información pudiera ser robada. Ahora los investigadores de seguridad aseguran haber descubierto una manera de deshabilitar este proceso, lo que les permitiría realizar un ataque ‘Cood Boot’ al sistema.
Los investigadores también alertan de que este error existe en la mayoría de los ordenadores de hoy en día y aunque los ataque son en frío, no son fáciles de llevar a cabo. Los atacantes deben disponer de tiempo y formas consistentes y confiables para comprometer los equipos objetivos, ya que hay que tener acceso físico a ordenador en cuestión y herramientas adecuadas.
“It’s not exactly easy to do, but it’s not a hard enough issue to find and exploit for us to ignore the probability that some attackers have already figured this out,” says Olle. “It’s not exactly the kind of thing that attackers looking for easy targets will use. But it is the kind of thing that attackers looking for bigger phish, like a bank or large enterprise, will know how to use.”
Los investigadores aseguran que el error no tiene fácil solución y que cada fabricante tendrá que lidiar con el problema. Aún así, Microsoft y Apple están trabajando en una solución conjunta.
Aunque ahora mismo no existe ningún parche oficial, los de Redmon han actualizado sus contramedidas con BitLocker. Por su parte, los de la manzana, han actualizado sus recomendaciones de seguridad, en especial para aquellas personas cuyo ordenador no posea un chip T2, el cual supuestamente ya está protegido frente a este ataque.
El error ha sido presentado en la conferencia SEC-T en Suecia, y el próximo día 27, volverán a hacer una presentación en la conferencia de Microsoft BlueHat v18.
Actualmente los errores han sido reportados a Microsoft y a Apple con los que colaboran para una correcta solución.
https://blog.f-secure.com/cold-boot-attacks/New Cold Boot Attack Unlocks Disk Encryption On Nearly All Modern PCs
https://thehackernews.com/2018/09/cold-boot-attack-encryption.htmlLest We Remember: Cold Boot Attacks on Encryption Keys
https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderman.pdf
[VIDEO] SEC-T 0x0Beyond – Conference day 1
https://www.youtube.com/watch?v=ISE3pxAj7yk
Vulnerabilidad de falsificación de sitios web descubierta en Safari
Se ha descubierto una vulnerabilidad que podría permitir a los atacantes falsificar direcciones de sitios web legítimos para robar credenciales
Si bien Microsoft solucionó el mes pasado esta misma vulnerabilidad que le afectaba en su navegador Edge, Safari aún no está parcheado.
El fallo ha sido descubierto por el investigador de seguridad Rafay Baloch. La vulnerabilidad (CVE-2018-8383) se debe a un problema de condición de carrera que permite a JavaScript actualizar la dirección de la página web en la URL mientras se carga la página.
Funcionamiento de la vulnerabilidad
La explotación de esta vulnerabilidad podría permitir que un atacante inicialmente comience a cargar una página legítima y luego reemplazar el código en la web por uno malicioso.
«Al solicitar datos de un puerto inexistente, la dirección se conservó y, por lo tanto, debido a una condición de carrera sobre un recurso solicitado desde un puerto inexistente combinado con el retraso introducido por la función setInterval logró activar la suplantación de barra de direcciones», explica Baloch en su blog.
Prueba de concepto
Los desarrolladores de Microsoft arreglaron el fallo antes de que pasara la fecha límite de 90 días desde que se le informó, pero Apple aún no ha puesto solución al error.
Baloch sigue sin exponer el código de la prueba de concepto de este último, pero dado que el de Microsoft Edge es público y el fallo es muy similar, cualquier persona con un conocimiento decente de JavaScript podría hacerlo funcionar en Safari.
El propio investigador asegura que este fallo no afecta ni a Chrome ni a Firefox.
Más información:
Blog de Rafay Baloch:
Explicando WPA3: más seguridad y más fácil de usar
Esta nueva versión incluye el nuevo protocolo SAE, que hará inviable nuevos ataques como KRACK; aunque también se incluyen mejoras para hacer más fácil y seguro compartir redes y usar redes públicas
Durante más de una década, el uso de PSK (clave pre-compartida, comúnmente conocido como ‘four-way handshake’) se ha considerado seguro, hasta que en 2016 un grupo de investigadores belgas descubrieron lo que se denominaría KRACK, dejando de manifiesto la necesidad de buscar una alternativa: SAE (Simultaneous Authentication of Equals).
Este nuevo protocolo empleado por WPA3 (que en realidad data de 2008), se trata de una variación de dragonfly handshake, contando entre sus novedades resistencia a ataques como el de KRACK, pero además hace inútil los ataques por diccionario a los paquetes interceptados. Por si fuese poco, además cuenta con ‘forward secrecy’. Esto significa, que aunque se obtenga la clave, un atacante no podrá descifrar los mensajes anteriormente cifrados con dicha clave, porque ésta cambia con cada comunicación.
SAE a diferencia de PSK, tal y como indica su nombre (Simultaneous Authentication of Equals) trata a cada cada parte como iguales, y cualquiera de ellas puede establecer la comunicación. Este nuevo método se contrapone a la forma de trabajar de PSK, en que router y cliente se encontraban diferenciados, y era posible forzar la desconexión entre ambos para analizar los ‘handshake’ (tal y como hace KRACK).
Además de SAE, WPA3 en su modalidad WPA3-Enterprise contará con cifrado de 192-bits, al contrario que WPA3-Personal, que utilizará 128-bits. Esta seguridad adicional puede ser excesiva para el mercado doméstico, pero su uso puede ser requerido por instituciones y gobiernos.
WPA3 no es sólo más seguro, sino también más fácil de usar. Muestra de ello es Easy Connect, un nuevo protocolo que ha sido creado para facilitar compartir (y seguro) el acceso a una red. Esta nueva modalidad hace uso de códigos QR únicos, que deben ser escaneados por los dispositivos. Para aquellos dispositivos sin posibilidad de escanear el código QR, también será posible utilizar un código legible por un ser humano, e incluso compartirlo mediante sonido. Este tipo de medidas evitan compartir la contraseña (lo cual es más inseguro) y reduce los errores comunes al almacenar la clave para compartirla (a.k.a apuntarlo en un post-it). Sólo esperemos que estas nuevas facilidades, no se conviertan en un agujero de seguridad, como ya ocurrió con WPS.
Relacionado con lo anterior, el nuevo protocolo Enhanced Open protegerá a los usuarios que se conecten a redes abiertas, como aeropuertos o cafés, de ver sus datos comprometidos por el resto de usuarios de la red. Éste es un problema grave existente hasta ahora del que muchos usuarios no son conscientes, siendo la única solución utilizar una VPN (algo, que la mayoría de personas no utilizarán). Aunque el uso de una VPN en una red desconocida seguirá siendo aconsejable (porque no sabemos quien controla la red), este nuevo protocolo protegerá en gran medida a los usuarios que no usen una VPN.
Wi-Fi Gets More Secure: Everything You Need to Know About WPA3
https://spectrum.ieee.org/tech-talk/telecom/security/everything-you-need-to-know-about-wpa3
SAE
https://ieeexplore.ieee.org/document/4622764/
RFC Dragonfly Key Exchange
https://tools.ietf.org/html/rfc7664
https://www.wi-fi.org/discover-wi-fi/wi-fi-easy-connectOpen Wi-Fi networks
https://www.wi-fi.org/discover-wi-fi/security
Descubierta aplicación anti-adware espiando a los usuarios de Mac
Una aplicación situada en el puesto número uno de las aplicaciones de pago de la AppStore cazada espiando a sus usuarios
Se trata de la aplicación «Adware Doctor», esta aplicación está diseñada para proteger a sus usuarios de adware y malware e irónicamente ha sido descubierta robando el historial de navegación de los usuarios sin su consentimiento y enviándolo a servidores localizados en China.
El investigador de seguridad ‘@privacyis1st’ detectó un comportamiento sospechoso de spyware en la aplicación antes citada y le reportó los resultados de la investigación a Apple junto con la prueba de concepto de este incidente, pero la aplicación seguía siendo hospedada por el famoso market.
Una investigación más exhaustiva de la aplicación desveló que elude el entorno de ‘Sandboxing’ presente en la ejecución de cada aplicación dentro del sistema operativo del gigante tecnológico. Lo cual conlleva a una violación de los acuerdos de desarrollo de aplicaciones.
Los datos obtenidos por la aplicación son principalmente todos los sitios web que el usuario haya visitado por los navegadores más famosos (Google Chrome, Firefox, Safari) y los envía a servidores chinos (hxxp://yelabapp.com) que está a cargo de los creadores de la aplicación. La aplicación se salta la protección de sandboxing y accede a estos datos, comprimiéndolos para posteriormente mandarlos al servidor a través de ‘sendPostRequestWithSuffix’.
Esta aplicación tiene más historia detrás antes podíamos encontrarla con el nombre de ‘Adware Medic’, que era una aplicación que simulaba ser otra llamada AdwareMedic. Se marcó como falsa con la ayuda de MalwareBytes y se eliminó de la AppStore, pero luego apareció Adware Doctor y se convirtió en la mejor aplicación de pago de la AppStore.
Dado que la aplicación viola flagrantemente los términos y condiciones del market de aplicaciones recopilando datos de los usuarios sin su consentimiento y saltándose las protecciones de sandboxing presentes se le comunicó a Apple el incidente, esta comunicación se lleva a cabo hace algunas semanas, pero la compañía aún no ha hecho nada al respecto.
Fue después cuando la información se hizo pública cuando Apple tomó cartas en el asunto y la aplicación fue finalmente borrada junto con la otra aplicación presente del mismo desarrollador ‘AdBlock Master’ y la URL donde se enviaban los datos ha dejado de ser accesible.
Se recomienda a los usuarios que hayan instalado esta aplicación que la borren inmediatamente de sus dispositivos.
Más información:
Fuente:
https://thehackernews.com/2018/09/mac-adware-removal-tool.html
Artículo técnico:
https://objective-see.com/blog/blog_0x37.html
Escalada de privilegios en ProtonVPN Client
Recientemente se ha descubierto una vulnerabilidad que afecta a la versión 1.5.1 del cliente ProtonVPN
ProtonVPN es un servicio ofrecido por la compañía Proton Technologies, esta compañía es famosa por un servicio de email llamado «ProtonMail» uno de los servicios de correos más seguros del momento.
Hace poco la empresa apostó por hacer un servicio VPN usando la misma visión que con el servicio de email. Y han empezado a aparecer ya algunas vulnerabilidades del lado del cliente.
El cliente de ProtonVPN se divide en dos partes, por un lado está la ‘GUI (Interfaz gráfica)’que se ejecuta con privilegios estándar y el propio servicio que corre con los privilegios del sistema.
Esta vulnerabilidad fue reportada por el equipo en julio y el parche ha llegado en una actualización del 3 de septiembre. Se recomienda actualizar los clientes a la versión actual.
Acusado un espía de Corea del Norte por el ataque a Sony Pictures y el gusano WannaCry 2.0
El Departamento de Justicia estadounidense ha acusado a Park Jin-hyok, un espía de la República Popular de Corea del Norte, de estar detrás de una serie de ataques internacionales de gran repercusión
Buscado por el FBI. Este ciudadano de Corea del Norte es acusado de pertenecer al grupo de delincuentes informáticos conocido como Lazarus. Este grupo presuntamente patrocinado por el gobierno de Corea del Norte lleva en activo desde 2009 atacando toda clase de objetivos. Varios de estos ataques tuvieron objetivos de Corea del Sur, así como los conocidos ataques a Sony Pictures Entertainment y el gusano WannaCry 2.0.
Diagrama que vincula al acusado con las víctimas mediante cuentas de correo usadas en los ataques |
La denuncia original, a pesar de estar en inglés y ser un documento legal, es sorprendentemente legible, y se encuentra en el siguiente enlace:
En ella, el agente especial del FBI Nathan P. Shields, cuya experiencia profesional incluye ingeniería de software en la NASA además de 7 años como agente especial, explica en 179 páginas los detalles de cómo el acusado participó en los hechos. Concretamente, los delitos de los que se le acusa son conspiración y conspiración para cometer fraude electrónico, ambos delitos tipificados en el Título 18 del Código de los Estados Unidos, reservado a los crímenes perseguidos por el gobierno federal (por contraposición a los perseguidos por un estado concreto) y al enjuiciamiento criminal.
Desde el punto de vista de la seguridad informática, es interesante leer la denuncia por lo detallado de la investigación. Se llega hasta el punto de explicar técnicamente que cierto malware está relacionado con otro por contener ambos cierta sección de código binario o usar el mismo protocolo falso para comunicarse con los servidores de control (de esta forma, relacionan diferentes ataques con este grupo). Este protocolo falso parece TLS(un protocolo estándar usado para comunicaciones cifradas), pero no lo es, ya que utiliza otro tipo de cifrado, entre otras diferencias. El objetivo de realizar algo así es evadir los sistemas de detección de intrusos, que lo ven como tráfico legítimo cifrado y no lo detectan como malicioso.
Volviendo al tema del acusado, la última información que se tiene de él es que volvió a Corea del Norte después de trabajar en China para una empresa vinculada con el gobierno coreano. Como es de esperar, no existe convenio de extradición entre Corea del Norte y Estados Unidos. Como diría el famoso futbolista y entrenador Bernd Schuster, «no hase falta desir nada más».
https://threatpost.com/u-s-ties-lazarus-to-north-korea-and-major-hacking-conspiracy/137264/
FBI Most Wanted: PARK JIN HYOK
https://www.fbi.gov/wanted/cyber/park-jin-hyok
A Look into the Lazarus Group’s Operations
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/a-look-into-the-lazarus-groups-operations
Actualización de seguridad para Google Chrome
Google anuncia una nueva versión de su navegador Google Chrome 69. Se publica la versión 69.0.3497.81 para las plataformas Windows, Mac y Linux, que incluye algunas mejoras y soluciona 40 vulnerabilidades.
Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 40 nuevas vulnerabilidades, solo se facilita información de 21 de ellas (siete de gravedad alta, trece de importancia media y tres bajas).
Se corrigen vulnerabilidades por accesos fuera de los límites de la memoria en los módulos V8, Blink, WebAudio, Mojo y SwiftShader (CVE-2018-16065 al CVE-2018-16069 respectivamente). Desbordamientos de memoria en Skia y SwiftShader (CVE-2018-16070 y CVE-2018-16082), acceso no autorizado a archivos en Devtools, falsificaciones de direcciones en los diálogos de permisos y en el modo de pantalla completa (CVE-2018-16079 y CVE-2018-16080) y usos de memoria después de liberarla en WebRTC y Memory Instrumentation (CVE-2018-16071 y CVE-2018-16085).
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 29000 dólares en recompensas a los descubridores de los problemas.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de «Información sobre Google Chrome» (chrome://chrome/). O descargar directamente desde: google.com/chrome.
https://chromereleases.googleblog.com/2018/09/stable-channel-update-for-desktop.html
Backswap ataca ahora a la banca española
Nueva versión de Backswap ataca ahora a seis entidades bancarias españolas.
Ya hablamos en la Una al Día de BackSwap, una variante de Tinba, un pequeño (10-50kB) pero sofisticado troyano bancario que implementa algoritmos de generación de dominios (para la comunicación con el C&C), captura de credenciales de usuario desde formularios o la inyección en diferentes procesos.Existen múltiples versiones de Backswap, la mayoría tienen como objetivo bancos polacos o monederos de criptomonedas.
Como su nombre indica, el malware «intercambia» (swap) el número de cuenta de la víctima directamente por el de la «mula» que retirará el dinero.
Mediante un ataque MitB (Man-in-the-Browser), el atacante intercambia los números de cuenta inyectando código JavaScript directamente en la consola del navegador. Todo ello sin que la víctima se de cuenta.
Las últimas muestras encontradas han ampliado sus objetivos y apuntan ahora a bancos españoles. En total seis importantes entidades se han visto afectadas por este malware.
Backswap se propaga en campañas de spam, por lo que recomendamos no abrir nunca correos con adjuntos no solicitados. Además de mantener siempre actualizados sus sistemas de seguridad.
Indicadores de compromiso:
- hxxps://5[.]61[.]47[.]74/batya/give.php
- hxxps://103[.]242[.]117[.]248/batya/give.php
- hxxps://mta116[.]megaonline[.]in
- hxxps://czcmail[.]com (IP: 119[.]23[.]128[.]176)
Muestras recientes:
- 1fb55006f40a96f0a36aaf1bfc1e72afb713d4f1409ead07e4d153f56203bc76 (OllyDbg.exe)
- 4543583ab8b2b8a2ce71ca1add42221c71dc5c71ab719a0aabfec80a21eaf479 (WinGraph32.exe)
https://securityintelligence.com/backswap-malware-now-targets-six-banks-in-spain/Backswap malware analysis
https://www.cert.pl/en/news/single/backswap-malware-analysis/