Esta vulnerabilidad fue reportada a Cisco, quien publicó un parche el 5 de septiembre que implementaba una ‘whitelist’ de aplicaciones que podían ser ejecutadas desde ese directorio.

Los investigadores siguieron buscando alguna forma de ejecutar código por ese medio.

Tras hacer ingeniería inversa al ejecutable ‘WebExService.exe’, determinaron que a través del método ‘software-update’, un usuario sin privilegios podía ejecutar cualquier comando de la siguiente forma:

Esto lanzaría la calculadora con privilegios de sistema.

Notar que no podemos ejecutar directamente cmd.exe o powershell, pero nada nos impide ejecutarlos a través de wmic.exe o net.exe de la siguiente forma:

Como vemos, con privilegios de administrador:

Hasta ahora sólo hemos conseguido la ejecución local de un comando arbitrario.
Para conseguir la ejecución remota tenemos dos opciones:

Bien iniciar sesión en la máquina remota y ejecutar el comando anterior.

O bien, podemos crear un usuario local con las mismas credenciales y ejecutar el comando contra la máquina remota en el contexto de este nuevo usuario (con ‘runas /user:newuser cmd.exe’):

La vulnerabilidad fue descubierta el 24 de julio de este año y divulgada de forma responsable a Cisco, quien publicó dos parches el 5 de septiembre y el 3 de octubre que limitaban los permisos de ejecución a ejecutables firmados por WebEx.

Se recomienda actualizar cuanto antes a las versiones Cisco Webex Meetings Desktop App Release 33.6.0 y/o Cisco Webex Productivity Tools Release 33.0.5 o posteriores.

Los dispositivos afectados son: DWR-116, DWR-512, DWR-712, DWR-912, DWR-921 y DWR-111, aunque también podrían verse afectados otros con el mismo tipo de firmware.

• CVE-2018-10822, posibilidad de leer archivos remotamente y de forma arbitraria vía /.. o // después de un «GET/uir» en una petición HTTP.
• CVE-2018-10823, inyección de comandos.
• CVE-2018-10824, contraseñas almacenadas en un archivo de texto plano.

El problema del directorio transversal (CVE-2018-10822) se debe a una reparación incompleta de la vulnerabilidad CVE-2017-6190, descubierta por Patryk Bogdan.

Combinando las vulnerabilidades CVE-2018-10822 y CVE-2018-10824, un atacante podría intentar obtener la contraseña del administrador en el caso de conocer la ubicación del archivo en el que está almacenada dicha clave.

Con una instrucción del tipo:

El atacante podría obtener un archivo binario de configuración que contiene el nombre de usuario y la contraseña del administrador así como otros datos de configuración del router. La falta de encriptación descrita por la CVE-2018-10824, unida a la vulnerabilidad del directorio transversal (CVE-2018-10822) que permite al atacante leer el archivo sin necesidad de identificación, suponen un riesgo grave.

La vulnerabilidad CVE-2018-10823 ha identificado la posibilidad de ejecutar código arbitrario por parte de un atacante que se haya identificado en el router. De modo que una vez que se haya identificado en el mismo, es suficiente con ejecutar un código del estilo de:

De modo que sería posible inyectar comandos a través de parámetros que no son correctamente validados en la vista «chkisg.htm» para hacerse con el control completo del dispositivo al obtener el archivo «passwd».

El equipo de D-Link fue informado el 9/5/18 confirmando que está trabajando en las actualizaciones necesarias.

Más información:
D-Link routers – full takeover
http://sploit.tech/2018/10/12/D-Link.html

El ransomware GandCrab apareció por primera vez en enero de este año y se ha ido actualizando muy rápidamente desde entonces, este mes ha llegado a su versión 5.0.2 mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones.

Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.

Anuncio de asociación NTCrypt + GandCrab Fuente: securingtomorrow.mcafee.com

Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros).

La versión 5 viene con las siguientes características:

• Eliminación de archivos
• Descubrimiento de información en el sistema objetivo
• Ejecución a través de API
• Ejecución a travésde WMIC
• Detección de productos antimalware y de seguridad.
• Modificación del registro
• Descubrimiento de los arboles de directorio para buscar archivos a cifrar.
• Descubrir recursos compartidos en red para cifrarlos
• Enumeración de procesos para poder eliminar algunos concretos
• Creación de archivos
• Elevación de privilegio

Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.

El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.

Ha sido encontrado un fallo en el flujo que sigue libssh durante el proceso de autenticación, que permite autenticarse correctamente sin necesidad de entregar ninguna credencial. Para ello, al establecer la conexión, en vez de enviar el estado ‘SSH2_MSG_USERAUTH_REQUEST‘ como esperaría el servidor, tan sólo hay que enviar el estado final ‘SSH2_MSG_USERAUTH_SUCCESS’.

Este error, que ha sido descubierto por Peter Winter-Smith de NCC Group y tiene por identificador CVE-2018-10933, ya ha sido parcheado en la versión 0.8.4 y 0.7.6. Algunos de los productos que pueden haber sido afectados son X2Go, Csync o Remmina. En el caso de Github, aunque utiliza libssh, no está afectado al emplear una versión modificada de la biblioteca. La vulnerabilidad sólo afecta a la parte del servidor, por lo que en principio proyectos como KDE, que utiliza la parte de cliente, no están afectados.

No debe confundirse libssh con OpenSSH, siendo ambos proyectos independientes. No existe riesgo para la mayoría de servidores SSH instalados en máquinas tipo Unix, al emplear estos por defecto una implementación de OpenSSH. Si se utiliza un producto que haga uso de esta biblioteca en el lado del servidor, se urge a actualizar de inmediato debido a la gravedad de la vulnerabilidad.

El jefe de aguas y alcantarillados de Onslow (en Carolina del Norte) expuso en un comunicado que habían sido objeto de un «sofisticado ataque de ransomware«.

El relato de los hechos, según el CEO de la compañía (Jeffrey Hudson) de aguas y alcantarillado, comienza a las 3:00AM del día 4 de octubre, cuando un empleado del departamento IT se percató del ataque y reaccionó desconectando los sistemas de internet.
Sin embargo, para ese entonces, el virus ya se había propagado rápidamente por la red local y logró cifrar varios sistemas importantes del servicio de aguas (bases de datos, según el CEO).
Tanto el CEO del servicio de aguas y alcantarillado de North Carolina como el jefe de IT, estuvieron de acuerdo en no ceder a las amenazas de rescate de los atacantes.

Jeffrey Hudson declara que, la información de sus clientes no ha sido comprometidatras el ataque, pero sí han tenido que restaurar varias bases de datos que poseían para volver a la normalidad.

De acuerdo con centro de quejas de delitos por internet del FBI, los ataques de tipo ransom (cifrar el disco completo y pedir a continuación un rescate por la clave) no son tan comunes si los comparamos con otros como el phishing, aunque si son costosos para las organizaciones/particulares que las sufren.

El virus usado utilizado por los atacantes es Emotet, un troyano bancario cuya función principal es descargar y lanzar otros malwares. En este caso, el malware lanzado es Ryuk, un malware de tipo ransom.

Emotet es un malware troyano polimórfico. Anteriormente este malware se consideraba del tipo bancario, hoy en día es un troyano bancario cuya función principal es descargar y lanzar otros ejecutables. También tiene la capacidad de descargar módulos adicionales de su servidor, entre los que encontramos:

• Módulo de spam
• Módulo de gusano de red.
• Módulo para visualizar la contraseña del correo electrónico.
• Módulo para visualizar las contraseñas del navegador web.

Adobe ha publicado cinco boletines de seguridad en los que se han corregido, al menos, 16 vulnerabilidades en sus productos Flash Player, Digital Editions, Experience Manager, Framemaker y Technical Communications Suite.

A continuación se exponen los boletines publicados para cada producto.

Adobe Digital Editions (APSB18-27): boletín que soluciona tres vulnerabilidades relacionadas con un desbordamiento de memoria que podría permitir la ejecución remota de código (CVE-2018-12813, CVE-2018-12814 y CVE-2018-12815), cinco debidas a errores de lecturas fuera de límites que permitirían revelar información (CVE-2018-12816, y CVE-2018-12818 a CVE-2018-12821), y otro fallo que también permitiría la ejecución de código debido a un error de acceso a memoria previamente liberada (CVE-2018-12822).

Adobe Flash Player (APSB18-35): actualmente no se detallan las vulnerabilidades corregidas en este boletín.

Adobe Experience Manager (APSB18-36): cinco problemas de seguridad que podrían permitir la revelación de información sensible a través de ataques Cross-Site Scripting permanentes (CVE-2018-15969, CVE-2018-15972 y CVE-2018-15973) y reflejados (CVE-2018-15970 y CVE-2018-15971) se solucionan en este boletín.

Adobe Framemaker (APSB18-37) y Adobe Technical Communications Suite (APSB18-38): estos dos últimos boletines corrigen sendos fallos de seguridad relacionados con la carga de librerías de manera insegura que permitiría la elevación de privilegios (CVE-2018-15974 y CVE-2018-15976 respectivamente).

Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):

• Adobe Digital Editions 4.5.8 y anteriores para las plataformas Windows, Macintosh e iOS.
• Adobe Flash Player 31.0.0.108 para los sistemas operativos Windows, macOS, Linux y ChromeOS, así como los navegadores Google Chrome, Microsoft Edge and Internet Explorer 11.
• Adobe Experience Manager 6.x para todas las plataformas.
• Adobe Framemaker 1.0.5.1 y anteriores para Microsoft Windows.
• Adobe Technical Communications Suite 1.0.5.1 y anteriores para Microsoft Windows.

 

Más información:

 

APSB18-27 – Security Updates Available for Adobe Digital Editions:

https://helpx.adobe.com/security/products/Digital-Editions/apsb18-27.html

APSB18-35 – Security updates available for Adobe Flash Player:

https://helpx.adobe.com/security/products/flash-player/apsb18-35.html

APSB18-36 – Security updates available for Adobe Experience Manager:

https://helpx.adobe.com/security/products/experience-manager/apsb18-36.html

APSB18-37 – Security Updates Available for Adobe Framemaker:

https://helpx.adobe.com/security/products/framemaker/apsb18-37.html

APSB18-38 – Security Updates Available for Adobe Technical Communications Suite:

https://helpx.adobe.com/security/products/techcommsuite/apsb18-38.html

Adobe Digital Editions:

https://www.adobe.com/solutions/ebook/digital-editions/download.html

Adobe Flash Player:

http://get.adobe.com/flashplayer/

Adobe Experience Manager:

https://helpx.adobe.com/experience-manager/aem-releases-updates.html

Adobe Framemaker:

https://www.adobe.com/products/framemaker.html

Adobe Technical Communications Suite:

https://www.adobe.com/products/technicalcommunicationsuite.html

José Rodríguez ha encontrado un nuevo fallo de seguridad en iOS que permite acceder a la información que contiene el dispositivo.

La vulnerabilidad se encuentra en la característica ‘VoiceOver’, que dicta la información mostrada en pantalla. Gracias a esta característica y a un error que muestra una ventana aparentemente vacía, es posible saber lo que realmente contine dicha ventana y navegar a través de ella para acceder a diferentes funcionalidades a las que no se debería tener acceso estando el dispositivo bloqueado.

El investigador ha publicado dos videos con dos formas diferentes de vulnerar el sistema. En el primer video podemos observar que es necesario recibir una llamada de teléfono y a continuación un mensaje para que se muestre la pantalla en blanco aparentemente vacía. Pero, como podemos ver, en realidad no esta vacía y haciendo uso de ‘VoiceOver’ se puede navegar por ella.

En la segundo video, se hace uso de la creación de notas a través de Siri para acabar visualizando una pantalla en blanco para compartir la nota, pero usando ‘VoiceOver’ podemos darnos cuenta de que realmente la pantalla no está vacía y podemos navegar por ella para compartir la nota por diferentes redes sociales, e incluso obtener información de conversaciones de WhatsApp si se intenta compartir a través de este.

Apple ha lanzado la versión 12.0.1 que resuelve este fallo de seguridad. Si aún no has actualizado, te recomendamos que lo hagas lo antes posible.

Microsoft ha lanzado un nuevo boletín de actualizaciones de seguridad para este mes de octubre, parcheando los siguientes productos:

• Internet Explorer
• Microsoft Edge (CVE-2018-8503, CVE-2018-8530)
• Microsoft Windows (CVE-2018-8330, CVE-2018-8472, CVE-2018-8481, CVE-2018-8432, CVE-2018-8486, CVE-2018-8493, CVE-2018-8506)
• Microsoft Office and Microsoft Office Services and Web Apps (ADV180026, CVE-2018-8427, CVE-2018-8501, CVE-2018-8504)
• ChakraCore (CVE-2018-8503)
• .NET Core  (CVE-2018-8292)
• PowerShell Core (CVE-2018-8292)
• SQL Server Management Studio (CVE-2018-8532)
• Microsoft Exchange Server (CVE-2010-3190)
• Azure IoT Edge
• Hub Device Client SDK for Azure IoT (CVE-2018-8531)

Entre las vulnerabilidades más críticas se encuentra una que afecta a Microsoft XML Core Services (MSXML), con identificador CVE-2018-8494. Un mensaje XML manipulado permitiría la ejecución remota de código (RCE). El fallo afecta a todas las versiones de Windows soportadas, incluyendo versiones de servidor.

A parte, una de las vulnerabilidades más importantes es la registrada con el CVE-2018-8453. Según Microsoft, esta vulnerabilidad habría sido aprovechada por atacantes. El fallo se encuentra en Win32K, y permitiría a una aplicación ejecutar código arbitrario con permisos del kernel.

En esta actualización se ha incluido también un parche para la vulnerabilidad CVE-2018-8423, la cual se hizo pública el día 20 de septiembre por haber superado los 120 días desde su reporte sin que se parchease, y afecta a Microsoft JET Database Engine. El fallo fue descubierto por Zero Day Initiative, y permitiría la ejecución remota de código. No se tiene constancia de que esta vulnerabilidad haya sido aprovechada.

El conjunto de actualizaciones de octubre se vio afectado por la noticia del borrado de ficheros tras actualizar, situación que parece haber sido controlada, y por la que se ha reanudado la distribución de la actualización afectada. Aunque la actualización no parece ser la misma a la que incluye estos parches, algunos usuarios pueden haber ignorado las actualizaciones por la alarma generada, y sus equipos se encontrarían expuestos por las vulnerabilidades anteriores. Dichos usuarios, deben actualizar lo antes posible para evitar verse afectados.

ADV180026:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180026

CVE-2010-3190:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2010-3190
CVE-2018-8292:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8292

CVE-2018-8330:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8330

CVE-2018-8427:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8427

CVE-2018-8432:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8432

CVE-2018-8472:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8472

CVE-2018-8481:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8481

CVE-2018-8482:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8482

CVE-2018-8486:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8486

CVE-2018-8493:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8493

CVE-2018-8501:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8501

CVE-2018-8503:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8503

CVE-2018-8504:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8504

CVE-2018-8506:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8506

CVE-2018-8530:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8530

CVE-2018-8532:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8532

CVE-2018-8533:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8533

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8494

A Remote Code Execution Vulnerability in the Microsoft Windows Jet Database Engine:
https://www.zerodayinitiative.com/blog/2018/9/20/zdi-can-6135-a-remote-code-execution-vulnerability-in-the-microsoft-windows-jet-database-engine

Investigadores de seguridad de Google Project Zero encuentra una vulnerabilidad en WhatsApp que permitiría comprometer tu cuenta con solo responder a una videollamada de WhatsApp

La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un ‘memory heap overflow‘ que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado.

La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas.

Silvanovich ha publicado la prueba de concepto con la información acerca del fallo de seguridad. Aunque esta prueba de concepto solamente provoca que se desencadene la corrupción de memoria haciendo que WhatsApp se cierre, Tavis Ormandy, también investigador de Project Zero, ha afirmado que se puede comprometer completamente WhatsApp con solo responder a una videollamada.

WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible.

El conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas.

En principio los objetivos son África y Asia tal y como explica el US-CERT en el siguiente mensaje.

https://www.us-cert.gov/ncas/alerts/TA18-275A

El cual han publicado en su cuenta de Twitter oficial.

¿Cómo funciona el ataque?

Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta.

«Según la estimación de un socio de confianza, los componentes de ‘Hidden Cobra’ han robado decenas de millones de dólares», explican en el informe.

La segunda vulnerabilidad permitiría también la subida de un archivo de cualquier tipo, pero requeriría esta vez que el atacante estuviera autenticado. Esta vulnerabilidad tiene asignado el código CVE-2018-17442.

Las dos siguientes permitirían realizar ataques de Cross-Site Scripting a través de los parámetros ‘sitename’ y ‘username’. Estas vulnerabilidades han recibido los códigos CVE-2018-17443 y CVE-2018-17441 respectivamente.

XSS en el parámetro ‘sitename’

XSS en el parámetro ‘username’

Estas vulnerabilidades ya se encuentran solucionadas a partir de la versión Central WifiManager v1.03r0100-Beta1.

La policía de la República Checa ha dado aviso de un nuevo tipo de malware, que hasta el momento ha logrado sustraer 78.000€ de diferentes víctimas. En el comunicado se han hecho públicas imágenes de uno de los cómplices retirando el dinero robado de un cajero en Praga, tal y como puede verse en la imagen a continuación.

Las aplicaciones fraudulentas en cuestión son QRecorder (com.apps.callvoicerecorder) y Google Play Services (gjfid.pziovmiq.eefff). Esta última, no debe confundirse con com.google.android.gms, incluida con el sistema y firmada por Google. Utilizando Koodous, es posible encontrar 4 muestras de la primera y otras 4 de la segunda, como por ejemplo dd5d3589755543003a97454a134ca578f05b39bf5152ccd6183fc7ef08c87c65y d0e28ee49d7b7feb5f94dbd00e4f5a6e4f418b536229188ef86bf45008c34d9b.

Resultados de la aplicación fraudulenta en Koodous.

El troyano al iniciarse requerirá los permisos necesarios para realizar sus actividades delictivas, como Accessibility service para descargar y ejecutar código externo malicioso en función de la entidad bancaria, permiso para dibujar en otras aplicaciones para robar las credenciales, e incluso permisos para leer y enviar SMS para la confirmación de las transacciones.

Para la comunicación, el atacante hace uso de Firebase, donde envía el listado de apps bancarias a vulnerar, para así descargar el código fuente cifrado AES a ejecutar en función del banco.

Según puede comprobarse por el código fuente, la aplicación cuenta con traducciones para checo, alemán y polaco (con inglés por defecto), por lo que seguramente son los usuarios de estos tres primeros idiomas los de interés por el atacante. En el siguiente vídeo por Lukas Stefanko, puede comprobarse el funcionamiento del malware.

Este troyano evidencia una vez más que una aplicación por encontrarse en Google Play no puede considerarse segura, y que el número de descargas no es una muestra de confianza (ya que dicho número puede alterarse mediante bots), por lo que deben extremarse las precauciones al descargar aplicaciones, y utilizar herramientas que aseguren nuestro dispositivo.