Noticias de Seguridad Octubre 2018
Ejecución remota de comandos a través de Cisco WebEx
Cisco ha informado de una grave vulnerabilidad detectada en su cliente de videoconferencias WebEx que permitiría a un atacante remoto ejecutar comandos arbitrarios con privilegios de sistema.
WebEx es un popular servicio que permite realizar reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.
Esta vulnerabilidad fue reportada a Cisco, quien publicó un parche el 5 de septiembre que implementaba una ‘whitelist’ de aplicaciones que podían ser ejecutadas desde ese directorio.
Los investigadores siguieron buscando alguna forma de ejecutar código por ese medio.
Tras hacer ingeniería inversa al ejecutable ‘WebExService.exe’, determinaron que a través del método ‘software-update’, un usuario sin privilegios podía ejecutar cualquier comando de la siguiente forma:
Esto lanzaría la calculadora con privilegios de sistema.
Notar que no podemos ejecutar directamente cmd.exe o powershell, pero nada nos impide ejecutarlos a través de wmic.exe o net.exe de la siguiente forma:
Como vemos, con privilegios de administrador:
Hasta ahora sólo hemos conseguido la ejecución local de un comando arbitrario.
Para conseguir la ejecución remota tenemos dos opciones:
Bien iniciar sesión en la máquina remota y ejecutar el comando anterior.
O bien, podemos crear un usuario local con las mismas credenciales y ejecutar el comando contra la máquina remota en el contexto de este nuevo usuario (con ‘runas /user:newuser cmd.exe’):
La vulnerabilidad fue descubierta el 24 de julio de este año y divulgada de forma responsable a Cisco, quien publicó dos parches el 5 de septiembre y el 3 de octubre que limitaban los permisos de ejecución a ejecutables firmados por WebEx.
Se recomienda actualizar cuanto antes a las versiones Cisco Webex Meetings Desktop App Release 33.6.0 y/o Cisco Webex Productivity Tools Release 33.0.5 o posteriores.
Más información:
Technical Rundown of WebExec
https://blog.skullsecurity.org/2018/technical-rundown-of-webexec
WebExec FAQ
https://webexec.org/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection
Nueva versión de Signal permite encriptar la identidad del remitente
La aplicación de mensajería Signal planea implementar una nueva función que pretende ocultar la identidad del remitente de posibles atacantes que intercepten la comunicación.
Desde hace algún tiempo las aplicaciones de mensajerías como WhatsApp o Telegram entre otras han implementado cifrados en la comunicación, pero estos paquetes cifrados contenían y contienen pequeñas dosis de información que podría permitir conocer los agentes implicados en la comunicación y la hora de los mensajes. Aquí tenemos una comparativa sobre el cifrado en la comunicación de las distintas aplicaciones.
- WhatsApp: la aplicación de Whatsapp basa su cifrado en el protocolo de Signal.
- Telegram: la aplicación de Telegram basa su cifrado en el protocolo MTProto.
- Signal: AES por cada conversación y se basa en OTR con modificaciones incluyendo ahora “Sealed Sender”.
En el caso de Signal la aplicación encripta el mensaje usando su protocolo habitual, en este mensaje se incluye el certificado del remitente y se empaqueta todo. Este paquete se cifra y se envía junto con un token de entrega que el destinatario finalmente descifra mensaje tras validar la clave de la identidad del remitente.
Se debe tener en cuenta que la nueva técnica de Signal elimina la capacidad de la compañía de verificar (por parte de ella) el certificado del remitente aunque la compañía ya está introduciendo soluciones alternativas que permiten a los usuarios poder verificar quién les envió determinado mensaje. Esta nueva característica se encuentra en fase beta, por lo que los usuarios que tengan esta versión podrán probarla.
Mas información:
Signal Secure Messaging App:
https://thehackernews.com/2018/10/signal-secure-messaging-metadata.html
Whatsapp PDF Tech:
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf
Telegram FAQ MTProto:
https://core.telegram.org/techfaq
Signal FAQ Tech:
https://support.signal.org/hc/en-us/articles/360007320391-Is-it-private-Can-I-trust-it-
ONTSI presenta una nueva edición del «Estudio sobre la Ciberseguridad y Confianza en los hogares españoles»
- Medidas de seguridad
Definición y clasificación de las medidas de seguridad, uso de medidas de seguridad en el ordenador del hogar, medidas de seguridad utilizadas en redes inalámbricas Wi-Fi, uso de medidas de seguridad dispositivos Android, motivos de no utilización de medidas de seguridad. - Hábitos de comportamiento en la navegación y usos de Internet
Banca en línea y comercio electrónico, descargas en Internet, alta en servicios en Internet, redes sociales, hábitos de uso de las redes inalámbricas Wi-Fi, hábitos de uso en dispositivos Android. - Incidentes de seguridad
Tipos de malware, incidencias de seguridad, incidentes por malware, tipología del malware detectado, peligrosidad del código malicioso y riesgo del equipo, malware vs. sistema operativo, malware vs. actualización del sistema, malware vs. Java en PC, incidencias de seguridad en las redes inalámbricas Wi-Fi. - Consecuencias de los incidentes de seguridad y reacción de los usuarios
Intento de fraude online y manifestaciones, seguridad y fraude, cambios adoptados tras un incidente de seguridad - Confianza en el ámbito digital en los hogares españoles
e-Confianza y limitaciones en la Sociedad de la Información, percepción de los usuarios sobre la evolución en seguridad, valoración de los peligros de Internet, responsabilidad en la seguridad de Internet. - Conclusiones y Alcance del estudio
ONTSI | Observatorio Nacional de las Telecomunicaciones y de la SI
http://www.ontsi.red.es/ontsi/
Descubiertas vulnerabilidades críticas en el sistema operativo de Amazon: FreeRTOS
Un investigador ha descubierto varias vulnerabilidades críticas en FreeRTOS las cuales exponen una amplia gama de dispositivos IoT al ataque de ciber delincuentes.
CVE | Description |
---|---|
CVE-2018-16522 | Remote code execution |
CVE-2018-16525 | Remote code execution |
CVE-2018-16526 | Remote code execution |
CVE-2018-16528 | Remote code execution |
CVE-2018-16523 | Denial of service |
CVE-2018-16524 | Information leak |
CVE-2018-16527 | Information leak |
CVE-2018-16599 | Information leak |
CVE-2018-16600 | Information leak |
CVE-2018-16601 | Information leak |
CVE-2018-16602 | Information leak |
CVE-2018-16603 | Information leak |
CVE-2018-16598 | Other |
«Durante nuestra investigación, descubrimos múltiples vulnerabilidades dentro de la pila TCP/IP de FreeRTOS y en los módulos de conectividad seguras de AWS. Las mismas vulnerabilidades están presentes en el componente TCP/IP de WHIS Connect para OpenRTOS/SafeRTOS«, señala el investigador.
Zimperium informó responsablemente de las vulnerabilidades a Amazon y la compañía ayer implementó parches de seguridad que corregían estos fallos.
Post de Ori Karliner:
https://blog.zimperium.com/freertos-tcpip-stack-vulnerabilities-put-wide-range-devices-risk-compromise-smart-homes-critical-infrastructure-systems/
Riesgo de intrusiones en dispositivos D-Link
Hace unos días, Blazej Adamczyk reportó una serie de vulnerabilidades en los dispositivos D-Link que podrían permitir a un atacante hacerse con el control del router, incluso le permitiría ejecutar código directamente.
Los dispositivos afectados son: DWR-116, DWR-512, DWR-712, DWR-912, DWR-921 y DWR-111, aunque también podrían verse afectados otros con el mismo tipo de firmware.
- CVE-2018-10822, posibilidad de leer archivos remotamente y de forma arbitraria vía /.. o // después de un «GET/uir» en una petición HTTP.
- CVE-2018-10823, inyección de comandos.
- CVE-2018-10824, contraseñas almacenadas en un archivo de texto plano.
El problema del directorio transversal (CVE-2018-10822) se debe a una reparación incompleta de la vulnerabilidad CVE-2017-6190, descubierta por Patryk Bogdan.
Combinando las vulnerabilidades CVE-2018-10822 y CVE-2018-10824, un atacante podría intentar obtener la contraseña del administrador en el caso de conocer la ubicación del archivo en el que está almacenada dicha clave.
Con una instrucción del tipo:
El atacante podría obtener un archivo binario de configuración que contiene el nombre de usuario y la contraseña del administrador así como otros datos de configuración del router. La falta de encriptación descrita por la CVE-2018-10824, unida a la vulnerabilidad del directorio transversal (CVE-2018-10822) que permite al atacante leer el archivo sin necesidad de identificación, suponen un riesgo grave.
La vulnerabilidad CVE-2018-10823 ha identificado la posibilidad de ejecutar código arbitrario por parte de un atacante que se haya identificado en el router. De modo que una vez que se haya identificado en el mismo, es suficiente con ejecutar un código del estilo de:
De modo que sería posible inyectar comandos a través de parámetros que no son correctamente validados en la vista «chkisg.htm» para hacerse con el control completo del dispositivo al obtener el archivo «passwd».
El equipo de D-Link fue informado el 9/5/18 confirmando que está trabajando en las actualizaciones necesarias.
Más información:
D-Link routers – full takeover
http://sploit.tech/2018/10/12/D-Link.html
GandCrab v5 evoluciona dificultando su desofuscación
GandCrab evoluciona asociándose con un servicio criptológico para ofuscar su código
El ransomware GandCrab apareció por primera vez en enero de este año y se ha ido actualizando muy rápidamente desde entonces, este mes ha llegado a su versión 5.0.2 mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones.
Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.
![]() |
Anuncio de asociación NTCrypt + GandCrab Fuente: securingtomorrow.mcafee.com |
Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros).
La versión 5 viene con las siguientes características:
- Eliminación de archivos
- Descubrimiento de información en el sistema objetivo
- Ejecución a través de API
- Ejecución a travésde WMIC
- Detección de productos antimalware y de seguridad.
- Modificación del registro
- Descubrimiento de los arboles de directorio para buscar archivos a cifrar.
- Descubrir recursos compartidos en red para cifrarlos
- Enumeración de procesos para poder eliminar algunos concretos
- Creación de archivos
- Elevación de privilegio
Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.
El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.
Boletín de seguridad para Drupal
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
El boletín en cuestión, SA-CORE-2018-006, afecta a la versión 7 y 8 de Drupal. Actualmente las vulnerabilidades no cuentan con ningún CVE, son las siguientes:
La primera vulnerabilidad, de severidad moderada, es debida a que el chequeo de moderación de contenido puede fallar permitiendo a un usuario tener acceso a ciertas transiciones. En la solución se ha visto modificado el servicio ‘ModerationStateConstraintValidator’ y la interfaz ‘StateTransitionValidationInterface’ que podría causar un problema de retrocompativilidad.
La segunda vulnerabilidad de severidad moderada, se encuentra en el módulo de rutas, el cual podría permitir a un usuario con administración de rutas, causar una redirección a través de una inyección especialmente manipulada.
La tercera vulnerabilidad se encuentra en la función ‘RedirectResponseSubscriber::sanitizeDestination’, que bajo ciertas circunstancias no procesa adecuadamente el parámetro ‘destination’ y podría ser utilizado para causar una redirección web maliciosa a través de la manipulación del parámetro ‘destination’.
La cuarta vulnerabilidad, y primera crítica del boletín, se encuentra en una limpieza errónea de las variables de ‘Shell’ en la función ‘DefaultMailSystem::mail’ que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.
La última vulnerabilidad se encuentra en la validación de enlaces contextuales, la cual no valida adecuadamente los enlaces solicitados y podría causar una ejecución de código arbitrario a través de una solicitud de un enlace especialmente manipulado.
Las vulnerabilidades han sido corregidas en las versiones 7.60, 8.6.2 y 8.5.8.
Autenticación sin credenciales en libssh
La vulnerabilidad se encuentra en todas las versiones desde la 0.6, requiriendo para su explotación sólo alterar el orden del proceso de autenticación
Ha sido encontrado un fallo en el flujo que sigue libssh durante el proceso de autenticación, que permite autenticarse correctamente sin necesidad de entregar ninguna credencial. Para ello, al establecer la conexión, en vez de enviar el estado ‘SSH2_MSG_USERAUTH_REQUEST‘ como esperaría el servidor, tan sólo hay que enviar el estado final ‘SSH2_MSG_USERAUTH_SUCCESS’.
Este error, que ha sido descubierto por Peter Winter-Smith de NCC Group y tiene por identificador CVE-2018-10933, ya ha sido parcheado en la versión 0.8.4 y 0.7.6. Algunos de los productos que pueden haber sido afectados son X2Go, Csync o Remmina. En el caso de Github, aunque utiliza libssh, no está afectado al emplear una versión modificada de la biblioteca. La vulnerabilidad sólo afecta a la parte del servidor, por lo que en principio proyectos como KDE, que utiliza la parte de cliente, no están afectados.
No debe confundirse libssh con OpenSSH, siendo ambos proyectos independientes. No existe riesgo para la mayoría de servidores SSH instalados en máquinas tipo Unix, al emplear estos por defecto una implementación de OpenSSH. Si se utiliza un producto que haga uso de esta biblioteca en el lado del servidor, se urge a actualizar de inmediato debido a la gravedad de la vulnerabilidad.
https://www.libssh.org/security/advisories/CVE-2018-10933.txtGithub response:
https://twitter.com/GitHubSecurity/status/1052358402842746880
OpenSSH/Development:
https://en.wikibooks.org/wiki/OpenSSH/Development
Libssh site:
https://www.libssh.org/features/
El FBI investiga ataque al servicio de aguas y alcantarillado de North Carolina
Funcionarios federales están trabajando conjuntamente con una empresa local encargada del servicio de aguas de North Caroline, después de que se hayan detectado intrusiones en sus sistemas.
El jefe de aguas y alcantarillados de Onslow (en Carolina del Norte) expuso en un comunicado que habían sido objeto de un «sofisticado ataque de ransomware«.
El relato de los hechos, según el CEO de la compañía (Jeffrey Hudson) de aguas y alcantarillado, comienza a las 3:00AM del día 4 de octubre, cuando un empleado del departamento IT se percató del ataque y reaccionó desconectando los sistemas de internet.
Sin embargo, para ese entonces, el virus ya se había propagado rápidamente por la red local y logró cifrar varios sistemas importantes del servicio de aguas (bases de datos, según el CEO).
Tanto el CEO del servicio de aguas y alcantarillado de North Carolina como el jefe de IT, estuvieron de acuerdo en no ceder a las amenazas de rescate de los atacantes.
Jeffrey Hudson declara que, la información de sus clientes no ha sido comprometidatras el ataque, pero sí han tenido que restaurar varias bases de datos que poseían para volver a la normalidad.
De acuerdo con centro de quejas de delitos por internet del FBI, los ataques de tipo ransom (cifrar el disco completo y pedir a continuación un rescate por la clave) no son tan comunes si los comparamos con otros como el phishing, aunque si son costosos para las organizaciones/particulares que las sufren.
El virus usado utilizado por los atacantes es Emotet, un troyano bancario cuya función principal es descargar y lanzar otros malwares. En este caso, el malware lanzado es Ryuk, un malware de tipo ransom.
Emotet es un malware troyano polimórfico. Anteriormente este malware se consideraba del tipo bancario, hoy en día es un troyano bancario cuya función principal es descargar y lanzar otros ejecutables. También tiene la capacidad de descargar módulos adicionales de su servidor, entre los que encontramos:
- Módulo de spam
- Módulo de gusano de red.
- Módulo para visualizar la contraseña del correo electrónico.
- Módulo para visualizar las contraseñas del navegador web.
Actualizaciones para múltiples productos de Adobe
Adobe ha publicado cinco boletines de seguridad en los que se han corregido, al menos, 16 vulnerabilidades en sus productos Flash Player, Digital Editions, Experience Manager, Framemaker y Technical Communications Suite.
A continuación se exponen los boletines publicados para cada producto.
Adobe Digital Editions (APSB18-27): boletín que soluciona tres vulnerabilidades relacionadas con un desbordamiento de memoria que podría permitir la ejecución remota de código (CVE-2018-12813, CVE-2018-12814 y CVE-2018-12815), cinco debidas a errores de lecturas fuera de límites que permitirían revelar información (CVE-2018-12816, y CVE-2018-12818 a CVE-2018-12821), y otro fallo que también permitiría la ejecución de código debido a un error de acceso a memoria previamente liberada (CVE-2018-12822).
Adobe Flash Player (APSB18-35): actualmente no se detallan las vulnerabilidades corregidas en este boletín.
Adobe Experience Manager (APSB18-36): cinco problemas de seguridad que podrían permitir la revelación de información sensible a través de ataques Cross-Site Scripting permanentes (CVE-2018-15969, CVE-2018-15972 y CVE-2018-15973) y reflejados (CVE-2018-15970 y CVE-2018-15971) se solucionan en este boletín.
Adobe Framemaker (APSB18-37) y Adobe Technical Communications Suite (APSB18-38): estos dos últimos boletines corrigen sendos fallos de seguridad relacionados con la carga de librerías de manera insegura que permitiría la elevación de privilegios (CVE-2018-15974 y CVE-2018-15976 respectivamente).
Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):
- Adobe Digital Editions 4.5.8 y anteriores para las plataformas Windows, Macintosh e iOS.
- Adobe Flash Player 31.0.0.108 para los sistemas operativos Windows, macOS, Linux y ChromeOS, así como los navegadores Google Chrome, Microsoft Edge and Internet Explorer 11.
- Adobe Experience Manager 6.x para todas las plataformas.
- Adobe Framemaker 1.0.5.1 y anteriores para Microsoft Windows.
- Adobe Technical Communications Suite 1.0.5.1 y anteriores para Microsoft Windows.
https://helpx.adobe.com/security/products/Digital-Editions/apsb18-27.html
https://helpx.adobe.com/security/products/flash-player/apsb18-35.html
https://helpx.adobe.com/security/products/experience-manager/apsb18-36.html
https://helpx.adobe.com/security/products/framemaker/apsb18-37.html
https://helpx.adobe.com/security/products/techcommsuite/apsb18-38.html
https://www.adobe.com/solutions/ebook/digital-editions/download.html
http://get.adobe.com/flashplayer/
https://helpx.adobe.com/experience-manager/aem-releases-updates.html
https://www.adobe.com/products/framemaker.html
https://www.adobe.com/products/technicalcommunicationsuite.html
Descubierta vulnerabilidad para eludir la pantalla de bloqueo de iOS 12
El investigador español José Rodríguez ha descubierto una vulnerabilidad en iOS 12 que permite eludir la pantalla de bloqueo y acceder al contenido del dispositivo
José Rodríguez ha encontrado un nuevo fallo de seguridad en iOS que permite acceder a la información que contiene el dispositivo.
La vulnerabilidad se encuentra en la característica ‘VoiceOver’, que dicta la información mostrada en pantalla. Gracias a esta característica y a un error que muestra una ventana aparentemente vacía, es posible saber lo que realmente contine dicha ventana y navegar a través de ella para acceder a diferentes funcionalidades a las que no se debería tener acceso estando el dispositivo bloqueado.
El investigador ha publicado dos videos con dos formas diferentes de vulnerar el sistema. En el primer video podemos observar que es necesario recibir una llamada de teléfono y a continuación un mensaje para que se muestre la pantalla en blanco aparentemente vacía. Pero, como podemos ver, en realidad no esta vacía y haciendo uso de ‘VoiceOver’ se puede navegar por ella.
En la segundo video, se hace uso de la creación de notas a través de Siri para acabar visualizando una pantalla en blanco para compartir la nota, pero usando ‘VoiceOver’ podemos darnos cuenta de que realmente la pantalla no está vacía y podemos navegar por ella para compartir la nota por diferentes redes sociales, e incluso obtener información de conversaciones de WhatsApp si se intenta compartir a través de este.
Apple ha lanzado la versión 12.0.1 que resuelve este fallo de seguridad. Si aún no has actualizado, te recomendamos que lo hagas lo antes posible.
Microsoft parchea 12 vulnerabilidades críticas en su actualización de octubre
La nueva actualización de seguridad parchea 49 vulnerabilidades, entre las que se encuentran 12 críticas y 35 catalogadas como importantes
Microsoft ha lanzado un nuevo boletín de actualizaciones de seguridad para este mes de octubre, parcheando los siguientes productos:
- Internet Explorer
- Microsoft Edge (CVE-2018-8503, CVE-2018-8530)
- Microsoft Windows (CVE-2018-8330, CVE-2018-8472, CVE-2018-8481, CVE-2018-8432, CVE-2018-8486, CVE-2018-8493, CVE-2018-8506)
- Microsoft Office and Microsoft Office Services and Web Apps (ADV180026, CVE-2018-8427, CVE-2018-8501, CVE-2018-8504)
- ChakraCore (CVE-2018-8503)
- .NET Core (CVE-2018-8292)
- PowerShell Core (CVE-2018-8292)
- SQL Server Management Studio (CVE-2018-8532)
- Microsoft Exchange Server (CVE-2010-3190)
- Azure IoT Edge
- Hub Device Client SDK for Azure IoT (CVE-2018-8531)
Entre las vulnerabilidades más críticas se encuentra una que afecta a Microsoft XML Core Services (MSXML), con identificador CVE-2018-8494. Un mensaje XML manipulado permitiría la ejecución remota de código (RCE). El fallo afecta a todas las versiones de Windows soportadas, incluyendo versiones de servidor.
A parte, una de las vulnerabilidades más importantes es la registrada con el CVE-2018-8453. Según Microsoft, esta vulnerabilidad habría sido aprovechada por atacantes. El fallo se encuentra en Win32K, y permitiría a una aplicación ejecutar código arbitrario con permisos del kernel.
En esta actualización se ha incluido también un parche para la vulnerabilidad CVE-2018-8423, la cual se hizo pública el día 20 de septiembre por haber superado los 120 días desde su reporte sin que se parchease, y afecta a Microsoft JET Database Engine. El fallo fue descubierto por Zero Day Initiative, y permitiría la ejecución remota de código. No se tiene constancia de que esta vulnerabilidad haya sido aprovechada.
El conjunto de actualizaciones de octubre se vio afectado por la noticia del borrado de ficheros tras actualizar, situación que parece haber sido controlada, y por la que se ha reanudado la distribución de la actualización afectada. Aunque la actualización no parece ser la misma a la que incluye estos parches, algunos usuarios pueden haber ignorado las actualizaciones por la alarma generada, y sus equipos se encontrarían expuestos por las vulnerabilidades anteriores. Dichos usuarios, deben actualizar lo antes posible para evitar verse afectados.
https://blogs.windows.com/windowsexperience/2018/10/09/updated-version-of-windows-10-october-2018-update-released-to-windows-insiders/#PyeYSOJ84xJzTeEJ.97
ADV180026:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180026
CVE-2010-3190:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2010-3190
CVE-2018-8292:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8292
CVE-2018-8330:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8330
CVE-2018-8427:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8427
CVE-2018-8432:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8432
CVE-2018-8472:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8472
CVE-2018-8481:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8481
CVE-2018-8482:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8482
CVE-2018-8486:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8486
CVE-2018-8493:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8493
CVE-2018-8501:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8501
CVE-2018-8503:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8503
CVE-2018-8504:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8504
CVE-2018-8506:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8506
CVE-2018-8530:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8530
CVE-2018-8532:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8532
CVE-2018-8533:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8533
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8494
A Remote Code Execution Vulnerability in the Microsoft Windows Jet Database Engine:
https://www.zerodayinitiative.com/blog/2018/9/20/zdi-can-6135-a-remote-code-execution-vulnerability-in-the-microsoft-windows-jet-database-engine
Vulnerabilidad conocida en Mikrotik WinBox, más crítica de lo esperado.
Este nuevo ataque desarrollado por Teenable Research, podría permitir a usuarios maliciosos hacerse con el control de los routers Mikrotik para desplegar malware en la red, minar criptomonedas, o evitar las restricciones configuradas en estos dispositivos.
La vulnerabilidad (CVE-2018-14847), publicada en Abril de este mismo año, fue calificada con severidad media. Sin embargo, investigadores de Teenable Research han liberado una nueva prueba de concepto basada en dicha vulnerabildad, utilizando una nueva técnica que permite evadir la autenticación de RouterOS y permitir la ejecución remota de código arbitrario.
Este fallo usa WinBox (pequeña utilidad gráfica para administrar RouterOS) como vector de ataque, aunque la vulnerabilidad es en sí misma, de RouterOS.
El funcionamiento de esta nueva prueba de concepto es simple; en primer lugar se obtienen las credenciales del usuario administrator del dispositivo para después escribir un fichero en el router (con ayuda de las credenciales extraidas) con el que finalmente el atacante puede conseguir acceso con los máximos privilegios (root).
Las versiones afectadas por esta vulnerabilidad son:
bugfix release: desde 6.30.1 hasta 6.40.7
current release: desde 6.29 hasta 6.42
RC release (Release Candidate): desde 6.29rc1 hasta 6.43rc3
Ya hablamos en anteriores entradas de las vulnerabilidades que continuamente amenazan a estos dispositivos, por lo que como siempre, se recomienda actualizar el sistema operativo de los routers afectados a la última versión disponible y adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox.
https://blog.mikrotik.com/security/winbox-vulnerability.htmlPrueba de concepto de Teenable Research:
https://github.com/tenable/routeros/tree/master/poc/bytheway
Código CVE asociado a esta vulnerabilidad:
https://www.cvedetails.com/cve/CVE-2018-14847/
Fallo de seguridad en WhatsApp permite comprometer tu cuenta con solo responder una videollamada
Investigadores de seguridad de Google Project Zero encuentra una vulnerabilidad en WhatsApp que permitiría comprometer tu cuenta con solo responder a una videollamada de WhatsApp
La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un ‘memory heap overflow‘ que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado.
La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas.
Silvanovich ha publicado la prueba de concepto con la información acerca del fallo de seguridad. Aunque esta prueba de concepto solamente provoca que se desencadene la corrupción de memoria haciendo que WhatsApp se cierre, Tavis Ormandy, también investigador de Project Zero, ha afirmado que se puede comprometer completamente WhatsApp con solo responder a una videollamada.
WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible.
Google+ expone los datos de 500.000 usuarios y cierra su plataforma
La conocida red social de Google cerrará después de que la compañía haya expuesto los datos privados de cientos de miles de usuarios a desarrolladores externos.

Según el gigante de la tecnología, una vulnerabilidad en una de las API de Google+ permitió a desarrolladores externos acceder a los datos de más de 500.000 usuarios, incluídos la dirección, ocupación, fecha de nacimiento, etc.
Dado que los servidores de la compañía no mantienen registros de API durante más de dos semanas, la empresa no puede confirmar el número de usuarios afectados por la vulnerabilidad.
«Sin embargo, realizamos un análisis detallado durante las dos semanas previas a parchear el error y, a partir de ese análisis, los perfiles de hasta 500.000 cuentas de Google+ podrían verse afectados. Nuestro análisis mostró que hasta 438 aplicacaciones pueden haber usado esta API». comunicaba Google.
La vulnerabilidad estuvo abierta desde 2015 y se solucionó en Marzo de 2018, pero la compañía optó por no revelarlo al público mientras estaba el escándalo de Facebook.
Además de admitir la brecha de seguridad, Google también anunció que la compañía está cerrando su red de medios sociales, reconociendo que Google+ no logró la acogida esperada.
Novedades de Google en cuanto a privacidad tras el error:
Como una de las consecuencias de todo lo acontecido, la compañía ha revisado y actualizado el acceso de desarrolladores externos a la cuenta deGoogle y los datos de los dispositivos Android.
Antes, cuando una aplicación de terceros solicita al usuario el acceso a los datos de su cuenta de Google, al hacer click en el botón «Permitir» se aprueban todos los permisos solicitados a la vez, lo que brinda la oportunidad de que aplicaciones malintencionadas engañen a los usuarios para que entreguen permisos efectivos.
Con la nueva actualización de permisos, solicita cada uno individualmente en lugar de todos a la vez, dando a los usuarios un mayor control sobre el tipo de datos de la cuenta que eligen compartir con cada aplicación.
Finalmente, tras el incidente, las acciones de Google han caído más del 2 por ciento.
FASTCash: el nuevo ataque utilizado para sacar dinero de los cajeros automáticos
El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes ‘Hidden Cobra’ está comprometiendo servidores bancarios

En principio los objetivos son África y Asia tal y como explica el US-CERT en el siguiente mensaje.
https://www.us-cert.gov/ncas/alerts/TA18-275A
El cual han publicado en su cuenta de Twitter oficial.
¿Cómo funciona el ataque?
Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta.
«Según la estimación de un socio de confianza, los componentes de ‘Hidden Cobra’ han robado decenas de millones de dólares», explican en el informe.
D-Link soluciona varias vulnerabilidades presentes en Central WifiManager
D-Link ha publicado actualizaciones para solucionar varias vulnerabilidades presentes en «Central WifiManager», una herramienta que permite administrar y monitorizar puntos de acceso dentro de una red.
La segunda vulnerabilidad permitiría también la subida de un archivo de cualquier tipo, pero requeriría esta vez que el atacante estuviera autenticado. Esta vulnerabilidad tiene asignado el código CVE-2018-17442.
Las dos siguientes permitirían realizar ataques de Cross-Site Scripting a través de los parámetros ‘sitename’ y ‘username’. Estas vulnerabilidades han recibido los códigos CVE-2018-17443 y CVE-2018-17441 respectivamente.
![]() |
XSS en el parámetro ‘sitename’ |
![]() |
XSS en el parámetro ‘username’ |
Estas vulnerabilidades ya se encuentran solucionadas a partir de la versión Central WifiManager v1.03r0100-Beta1.
https://www.coresecurity.com/advisories/d-link-central-wifimanager-software-controller-multiple-vulnerabilities
Encontrado troyano bancario en Google Play con más de 10K instalaciones
El troyano, que ha pasado desapercibido hasta conseguir al menos 78.000€ de sus víctimas, descarga código malicioso en función de la entidad bancaria del usuario
La policía de la República Checa ha dado aviso de un nuevo tipo de malware, que hasta el momento ha logrado sustraer 78.000€ de diferentes víctimas. En el comunicado se han hecho públicas imágenes de uno de los cómplices retirando el dinero robado de un cajero en Praga, tal y como puede verse en la imagen a continuación.
Las aplicaciones fraudulentas en cuestión son QRecorder (com.apps.callvoicerecorder) y Google Play Services (gjfid.pziovmiq.eefff). Esta última, no debe confundirse con com.google.android.gms, incluida con el sistema y firmada por Google. Utilizando Koodous, es posible encontrar 4 muestras de la primera y otras 4 de la segunda, como por ejemplo dd5d3589755543003a97454a134ca578f05b39bf5152ccd6183fc7ef08c87c65y d0e28ee49d7b7feb5f94dbd00e4f5a6e4f418b536229188ef86bf45008c34d9b.
![]() |
Resultados de la aplicación fraudulenta en Koodous. |
El troyano al iniciarse requerirá los permisos necesarios para realizar sus actividades delictivas, como Accessibility service para descargar y ejecutar código externo malicioso en función de la entidad bancaria, permiso para dibujar en otras aplicaciones para robar las credenciales, e incluso permisos para leer y enviar SMS para la confirmación de las transacciones.
Para la comunicación, el atacante hace uso de Firebase, donde envía el listado de apps bancarias a vulnerar, para así descargar el código fuente cifrado AES a ejecutar en función del banco.
Según puede comprobarse por el código fuente, la aplicación cuenta con traducciones para checo, alemán y polaco (con inglés por defecto), por lo que seguramente son los usuarios de estos tres primeros idiomas los de interés por el atacante. En el siguiente vídeo por Lukas Stefanko, puede comprobarse el funcionamiento del malware.
Este troyano evidencia una vez más que una aplicación por encontrarse en Google Play no puede considerarse segura, y que el número de descargas no es una muestra de confianza (ya que dicho número puede alterarse mediante bots), por lo que deben extremarse las precauciones al descargar aplicaciones, y utilizar herramientas que aseguren nuestro dispositivo.
https://lukasstefanko.com/2018/09/banking-trojan-found-on-google-play-stole-10000-euros-from-victims.htmlKoodous – QRecorder:
https://koodous.com/apks/dd5d3589755543003a97454a134ca578f05b39bf5152ccd6183fc7ef08c87c65
Koodous – Google Play Services:
https://koodous.com/apks/d0e28ee49d7b7feb5f94dbd00e4f5a6e4f418b536229188ef86bf45008c34d9b
Torii es la nueva botnet IoT multiplataforma
El investigador de seguridad @VessOnSecurity ha detectado a través de uno de sus honeypots un ataque via Telnet que tiene como objetivo dispositivos IoT.
Al igual que Mirai, Torii utiliza fuerza bruta de contraseñas conocidas para llevar a cabo la infección y una vez dentro del dispositivo es donde encontramos la diferencia entre ambas familias. Torii tiene un arsenal de características que van más allá de la realización de ataques DDoS o minar criptomonedas, como la capacidad de enviar información, la ejecución de comandos y ejecutables, y una comunicación cifrada, sin duda un malware en IoT más evolucionado que su predecesor Mirai.
Dentro de la sofisticación que mencionábamos se encuentra que es multiplataforma, las arquitecturas disponibles por el momento son: MIPS, ARM, x86, x64, PowerPC, Motorola 68k y SuperH.
Debido a esta característica multiplataforma, Torii amenaza a una cantidad de dispositivos más amplia que Mirai, y si bien es cierto que el vector de infección es bastante precoz, a día de hoy parece ser más que suficiente para los atacantes que están encontrando en los dispositivos IoT conectados una vía rápida de generación de botnets.
Avast ha llevado a cabo un completo análisis de la muestra que pueden consultar en su blog.
IOCs:
Ips:
184.95.48.12 104.237.218.82 104.237.218.85 66.85.157.90
Hashes:
Más información:
Twitter Vess:
https://twitter.com/VessOnSecurity
Blog Avast:
https://blog.avast.com/new-torii-botnet-threat-research