Noticias de Seguridad Octubre 2018

Ejecución remota de comandos a través de Cisco WebEx

Cisco ha informado de una grave vulnerabilidad detectada en su cliente de videoconferencias WebEx que permitiría a un atacante remoto ejecutar comandos arbitrarios con privilegios de sistema.

WebEx es un popular servicio que permite realizar reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

Los investigadores Ron Bowes y Jeff McJunkin descubrieron en un pentesting rutinario esta vulnerabilidad que han bautizado como “WebExec“. El fallo se encuentra en el servicio ‘WebexUpdateService’ y se le ha asignado el código CVE-2018-15442.Buscando alguna forma de elevar privilegios a través del cliente de WebEx, los investigadores descubrieron dos cosas. Una: que el directorio ‘c:\ProgramData\WebEx\WebEx\Applications\’ podía ser escrito y leído por cualquier usuario. Y dos: que el cliente de WebEx instala el servicio ‘webexservice’ que puede ser iniciado y detenido por cualquier usuario. Por lo tanto, sería trivial reemplazar el ejecutable por otro y conseguir ejecutar código arbitrario con privilegios de sistema.

Esta vulnerabilidad fue reportada a Cisco, quien publicó un parche el 5 de septiembre que implementaba una ‘whitelist’ de aplicaciones que podían ser ejecutadas desde ese directorio.

Los investigadores siguieron buscando alguna forma de ejecutar código por ese medio.

Tras hacer ingeniería inversa al ejecutable ‘WebExService.exe’, determinaron que a través del método ‘software-update’, un usuario sin privilegios podía ejecutar cualquier comando de la siguiente forma:

Esto lanzaría la calculadora con privilegios de sistema.

Notar que no podemos ejecutar directamente cmd.exe o powershell, pero nada nos impide ejecutarlos a través de wmic.exe o net.exe de la siguiente forma:

Como vemos, con privilegios de administrador:

Hasta ahora sólo hemos conseguido la ejecución local de un comando arbitrario.
Para conseguir la ejecución remota tenemos dos opciones:

Bien iniciar sesión en la máquina remota y ejecutar el comando anterior.

O bien, podemos crear un usuario local con las mismas credenciales y ejecutar el comando contra la máquina remota en el contexto de este nuevo usuario (con ‘runas /user:newuser cmd.exe’):

La vulnerabilidad fue descubierta el 24 de julio de este año y divulgada de forma responsable a Cisco, quien publicó dos parches el 5 de septiembre y el 3 de octubre que limitaban los permisos de ejecución a ejecutables firmados por WebEx.

Se recomienda actualizar cuanto antes a las versiones Cisco Webex Meetings Desktop App Release 33.6.0 y/o Cisco Webex Productivity Tools Release 33.0.5 o posteriores.

 

Más información:

Technical Rundown of WebExec
https://blog.skullsecurity.org/2018/technical-rundown-of-webexec

WebExec FAQ
https://webexec.org/

 
Cisco Webex Meetings Desktop App Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection

Nueva versión de Signal permite encriptar la identidad del remitente

La aplicación de mensajería Signal planea implementar una nueva función que pretende ocultar la identidad del remitente de posibles atacantes que intercepten la comunicación.

Desde hace algún tiempo las aplicaciones de mensajerías como WhatsApp o Telegram entre otras han implementado cifrados en la comunicación, pero estos paquetes cifrados contenían y contienen pequeñas dosis de información que podría permitir conocer los agentes implicados en la comunicación y la hora de los mensajes. Aquí tenemos una comparativa sobre el cifrado en la comunicación de las distintas aplicaciones.

  1. WhatsApp: la aplicación de Whatsapp basa su cifrado en el protocolo de Signal.
  2. Telegram: la aplicación de Telegram basa su cifrado en el protocolo MTProto.
  3. Signal: AES por cada conversación y se basa en OTR con modificaciones incluyendo ahora “Sealed Sender”.

En el caso de Signal la aplicación encripta el mensaje usando su protocolo habitual, en este mensaje se incluye el certificado del remitente y se empaqueta todo. Este paquete se cifra y se envía junto con un token de entrega que el destinatario finalmente descifra mensaje tras validar la clave de la identidad del remitente.

Se debe tener en cuenta que la nueva técnica de Signal elimina la capacidad de la compañía de verificar (por parte de ella) el certificado del remitente aunque la compañía ya está introduciendo soluciones alternativas que permiten a los usuarios poder verificar quién les envió determinado mensaje. Esta nueva característica se encuentra en fase beta, por lo que los usuarios que tengan esta versión podrán probarla.

Mas información:

Signal Secure Messaging App:
https://thehackernews.com/2018/10/signal-secure-messaging-metadata.html

Whatsapp PDF Tech:
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf

Telegram FAQ MTProto:
https://core.telegram.org/techfaq

Signal FAQ Tech:
https://support.signal.org/hc/en-us/articles/360007320391-Is-it-private-Can-I-trust-it-

ONTSI presenta una nueva edición del “Estudio sobre la Ciberseguridad y Confianza en los hogares españoles”

El Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), presenta una nueva edición del “Estudio sobre la Ciberseguridad y Confianza en los hogares españoles” correspondiente al primer semestre de 2018.
Esta investigación analiza el estado de la ciberseguridad en los hogares digitales españoles. En él se detallan la adopción de medidas relacionadas con la seguridad digital, el nivel de incidencia real de situaciones que pueden constituir riesgos y el grado de confianza que los hogares españoles depositan en la Sociedad de la Información.
Las distintas informaciones del documento, se han obtenido a través de dos vías: recopilación de datos declarados –mediante encuestas en 3.512 hogares españoles–, y datos reales –a través de un software específico que analiza los sistemas y la presencia de malware en los equipos y dispositivos gracias a la utilización conjunta de 50 motores antivirus–. Esta dualidad de fuentes permite contrastar el nivel real de incidentes que sufren los equipos con la percepción que tienen los usuarios. Además, se incluyen los resultados del análisis de más de 2000 dispositivos Android.
Desde Hispasec hemos colaborado de forma activa en realización de este estudio, mediante el desarrollo y utilización del software Pinkerton, destinado a analizar los sistemas recogiendo datos del sistema operativo, su estado de actualización y las herramientas de seguridad instaladas, así como la presencia de malware.
Los datos reflejados en este informe abarcan el análisis de los datos recogidos entre enero y junio de 2018. Como es habitual los datos son interesantes y reveladores. En el mismo documento, se ofrecen enlaces, a través del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) de Red.es, para que los usuarios puedan consultar consejos y ayudas para mejorar su ciberseguridad en los distintos ámbitos en los que se centra el estudio. Por lo que no solo resulta interesante por sí mismo, sino que además resulta de gran interés por los enlaces e información de ayuda al usuario que ofrece.
El estudio completo se puede descargar desde la página del ONTSI en el siguiente enlace.
El informe recoge muchos más datos de interés:
  • Medidas de seguridad
    Definición y clasificación de las medidas de seguridad, uso de medidas de seguridad en el ordenador del hogar, medidas de seguridad utilizadas en redes inalámbricas Wi-Fi, uso de medidas de seguridad dispositivos Android, motivos de no utilización de medidas de seguridad.
  • Hábitos de comportamiento en la navegación y usos de Internet
    Banca en línea y comercio electrónico, descargas en Internet, alta en servicios en Internet, redes sociales, hábitos de uso de las redes inalámbricas Wi-Fi, hábitos de uso en dispositivos Android.
  • Incidentes de seguridad
    Tipos de malware, incidencias de seguridad, incidentes por malware, tipología del malware detectado, peligrosidad del código malicioso y riesgo del equipo, malware vs. sistema operativo, malware vs. actualización del sistema, malware vs. Java en PC, incidencias de seguridad en las redes inalámbricas Wi-Fi.
  • Consecuencias de los incidentes de seguridad y reacción de los usuarios
    Intento de fraude online y manifestaciones, seguridad y fraude, cambios adoptados tras un incidente de seguridad
  • Confianza en el ámbito digital en los hogares españoles
    e-Confianza y limitaciones en la Sociedad de la Información, percepción de los usuarios sobre la evolución en seguridad, valoración de los peligros de Internet, responsabilidad en la seguridad de Internet.
  • Conclusiones y Alcance del estudio
Laboratorio Hispasec
Más información:
 
CIBERSEGURIDAD Y CONFIANZA EN LOS HOGARES ESPAÑOLES (MAYO 2018)

Descubiertas vulnerabilidades críticas en el sistema operativo de Amazon: FreeRTOS

Un investigador ha descubierto varias vulnerabilidades críticas en FreeRTOS las cuales exponen una amplia gama de dispositivos IoT al ataque de ciber delincuentes.

Resultado de imagen de freertos amazon

¿Qué es FreeRTOS?
Se trata de un sistema operativo de código abierto para sistemas integrados que se ha portado a más de 40 microcontroladores utilizados hoy día en IoT, aeroespacial e industria médica entre otros.
Este sistema ha sido diseñado para ejecutar aplicaciones que necesitan una sincronización muy precisa y un altro grado de confiabilidad. Un marcapasos es un ejemplo de uso de este sistema integrado en tiempo real que contrae el músculo cardíaco en el momento adecuado.
Desde finales del año pasado FreeRTOS está siendo administrado por Amazon, quien ha estado agregando modulos para mejorar la seguridad y disponibilidad en el sistema.
Vulnerabilidades en FreeRTOS:
Oir Karliner, investigador de seguridad de Zimperium Security Labs (zLabs), ha descubierto un total de 13 vulnerabilidades en la pila TCP/IP de FreeRTOS que también afectan a las variantes distribuidas por Amazon.
Lista de CVE:
CVE Description
CVE-2018-16522 Remote code execution
CVE-2018-16525 Remote code execution
CVE-2018-16526 Remote code execution
CVE-2018-16528 Remote code execution
CVE-2018-16523 Denial of service
CVE-2018-16524 Information leak
CVE-2018-16527 Information leak
CVE-2018-16599 Information leak
CVE-2018-16600 Information leak
CVE-2018-16601 Information leak
CVE-2018-16602 Information leak
CVE-2018-16603 Information leak
CVE-2018-16598 Other
Las vulnerabilidades podrían permitir a los atacantes: desbloquear el dispositivo de destino, filtrar información de su memoria, ejecutar código malicioso, etc.

“Durante nuestra investigación, descubrimos múltiples vulnerabilidades dentro de la pila TCP/IP de FreeRTOS y en los módulos de conectividad seguras de AWS. Las mismas vulnerabilidades están presentes en el componente TCP/IP de WHIS Connect para OpenRTOS/SafeRTOS“, señala el investigador.

Zimperium informó responsablemente de las vulnerabilidades a Amazon y la compañía ayer implementó parches de seguridad que corregían estos fallos.

Más información:
Información de los parches de Amazon:

Riesgo de intrusiones en dispositivos D-Link

Hace unos días, Blazej Adamczyk reportó una serie de vulnerabilidades en los dispositivos D-Link que podrían permitir a un atacante hacerse con el control del router, incluso le permitiría ejecutar código directamente.

Extraído de Amazon.es

Los dispositivos afectados son: DWR-116, DWR-512, DWR-712, DWR-912, DWR-921 y DWR-111, aunque también podrían verse afectados otros con el mismo tipo de firmware.

  • CVE-2018-10822, posibilidad de leer archivos remotamente y de forma arbitraria vía /.. o // después de un “GET/uir” en una petición HTTP.
  • CVE-2018-10823, inyección de comandos.
  • CVE-2018-10824, contraseñas almacenadas en un archivo de texto plano.

El problema del directorio transversal (CVE-2018-10822) se debe a una reparación incompleta de la vulnerabilidad CVE-2017-6190, descubierta por Patryk Bogdan.

Combinando las vulnerabilidades CVE-2018-10822 y CVE-2018-10824, un atacante podría intentar obtener la contraseña del administrador en el caso de conocer la ubicación del archivo en el que está almacenada dicha clave.

Con una instrucción del tipo:

El atacante podría obtener un archivo binario de configuración que contiene el nombre de usuario y la contraseña del administrador así como otros datos de configuración del router. La falta de encriptación descrita por la CVE-2018-10824, unida a la vulnerabilidad del directorio transversal (CVE-2018-10822) que permite al atacante leer el archivo sin necesidad de identificación, suponen un riesgo grave.

La vulnerabilidad CVE-2018-10823 ha identificado la posibilidad de ejecutar código arbitrario por parte de un atacante que se haya identificado en el router. De modo que una vez que se haya identificado en el mismo, es suficiente con ejecutar un código del estilo de:

De modo que sería posible inyectar comandos a través de parámetros que no son correctamente validados en la vista “chkisg.htm” para hacerse con el control completo del dispositivo al obtener el archivo “passwd”.

El equipo de D-Link fue informado el 9/5/18 confirmando que está trabajando en las actualizaciones necesarias.

Más información:
D-Link routers – full takeover
http://sploit.tech/2018/10/12/D-Link.html

GandCrab v5 evoluciona dificultando su desofuscación

GandCrab evoluciona asociándose con un servicio criptológico para ofuscar su código

El ransomware GandCrab apareció por primera vez en enero de este año y se ha ido actualizando muy rápidamente desde entonces, este mes ha llegado a su versión 5.0.2 mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones.

Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.

Anuncio de asociación NTCrypt + GandCrab
Fuente: securingtomorrow.mcafee.com

Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros).

La versión 5 viene con las siguientes características:

  • Eliminación de archivos
  • Descubrimiento de información en el sistema objetivo
  • Ejecución a través de API
  • Ejecución a travésde WMIC
  • Detección de productos antimalware y de seguridad.
  • Modificación del registro
  • Descubrimiento de los arboles de directorio para buscar archivos a cifrar.
  • Descubrir recursos compartidos en red para cifrarlos
  • Enumeración de procesos para poder eliminar algunos concretos
  • Creación de archivos
  • Elevación de privilegio

Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.

El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.

 

Más información:
 
Fuente:

Boletín de seguridad para Drupal

Drupal ha publicado su sexto boletín de seguridad del año en el cual corrige 5 vulnerabilidades, dos de ellas han sido calificadas como severidad crítica.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El boletín en cuestión, SA-CORE-2018-006, afecta a la versión 7 y 8 de Drupal. Actualmente las vulnerabilidades no cuentan con ningún CVE, son las siguientes:

La primera vulnerabilidad, de severidad moderada, es debida a que el chequeo de moderación de contenido puede fallar permitiendo a un usuario tener acceso a ciertas transiciones. En la solución se ha visto modificado el servicio ‘ModerationStateConstraintValidator’ y la interfaz ‘StateTransitionValidationInterface’ que podría causar un problema de retrocompativilidad.

La segunda vulnerabilidad de severidad moderada, se encuentra en el módulo de rutas, el cual podría permitir a un usuario con administración de rutas, causar una redirección a través de una inyección especialmente manipulada.

La tercera vulnerabilidad se encuentra en la función ‘RedirectResponseSubscriber::sanitizeDestination’, que bajo ciertas circunstancias no procesa adecuadamente el parámetro ‘destination’ y podría ser utilizado para causar una redirección web maliciosa a través de la manipulación del parámetro ‘destination’.

La cuarta vulnerabilidad, y primera crítica del boletín, se encuentra en una limpieza errónea de las variables de ‘Shell’ en la función ‘DefaultMailSystem::mail’ que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.

La última vulnerabilidad se encuentra en la validación de enlaces contextuales, la cual no valida adecuadamente los enlaces solicitados y podría causar una ejecución de código arbitrario a través de una solicitud de un enlace especialmente manipulado.

Las vulnerabilidades han sido corregidas en las versiones 7.60, 8.6.2 y 8.5.8.

Más información:
 
Drupal Core – Multiple Vulnerabilities – SA-CORE-2018-006:

Autenticación sin credenciales en libssh

La vulnerabilidad se encuentra en todas las versiones desde la 0.6, requiriendo para su explotación sólo alterar el orden del proceso de autenticación

Ha sido encontrado un fallo en el flujo que sigue libssh durante el proceso de autenticación, que permite autenticarse correctamente sin necesidad de entregar ninguna credencial. Para ello, al establecer la conexión, en vez de enviar el estado ‘SSH2_MSG_USERAUTH_REQUESTcomo esperaría el servidor, tan sólo hay que enviar el estado final SSH2_MSG_USERAUTH_SUCCESS’.

Este error, que ha sido descubierto por Peter Winter-Smith de NCC Group y tiene por identificador CVE-2018-10933, ya ha sido parcheado en la versión 0.8.4 y 0.7.6. Algunos de los productos que pueden haber sido afectados son X2Go, Csync o Remmina. En el caso de Github, aunque utiliza libssh, no está afectado al emplear una versión modificada de la biblioteca. La vulnerabilidad sólo afecta a la parte del servidor, por lo que en principio proyectos como KDE, que utiliza la parte de cliente, no están afectados.

No debe confundirse libssh con OpenSSH, siendo ambos proyectos independientes. No existe riesgo para la mayoría de servidores SSH instalados en máquinas tipo Unix, al emplear estos por defecto una implementación de OpenSSH. Si se utiliza un producto que haga uso de esta biblioteca en el lado del servidor, se urge a actualizar de inmediato debido a la gravedad de la vulnerabilidad.

 

Más información:
 

El FBI investiga ataque al servicio de aguas y alcantarillado de North Carolina

Funcionarios federales están trabajando conjuntamente con una empresa local encargada del servicio de aguas de North Caroline, después de que se hayan detectado intrusiones en sus sistemas.

El jefe de aguas y alcantarillados de Onslow (en Carolina del Norte) expuso en un comunicado que habían sido objeto de un “sofisticado ataque de ransomware“.

El relato de los hechos, según el CEO de la compañía (Jeffrey Hudson) de aguas y alcantarillado, comienza a las 3:00AM del día 4 de octubre, cuando un empleado del departamento IT se percató del ataque y reaccionó desconectando los sistemas de internet.
Sin embargo, para ese entonces, el virus ya se había propagado rápidamente por la red local y logró cifrar varios sistemas importantes del servicio de aguas (bases de datos, según el CEO).
Tanto el CEO del servicio de aguas y alcantarillado de North Carolina como el jefe de IT, estuvieron de acuerdo en no ceder a las amenazas de rescate de los atacantes.

Jeffrey Hudson declara que, la información de sus clientes no ha sido comprometidatras el ataque, pero sí han tenido que restaurar varias bases de datos que poseían para volver a la normalidad.

De acuerdo con centro de quejas de delitos por internet del FBI, los ataques de tipo ransom (cifrar el disco completo y pedir a continuación un rescate por la clave) no son tan comunes si los comparamos con otros como el phishing, aunque si son costosos para las organizaciones/particulares que las sufren.

El virus usado utilizado por los atacantes es Emotet, un troyano bancario cuya función principal es descargar y lanzar otros malwares. En este caso, el malware lanzado es Ryuk, un malware de tipo ransom.

Emotet es un malware troyano polimórfico. Anteriormente este malware se consideraba del tipo bancario, hoy en día es un troyano bancario cuya función principal es descargar y lanzar otros ejecutables. También tiene la capacidad de descargar módulos adicionales de su servidor, entre los que encontramos:

  • Módulo de spam
  • Módulo de gusano de red.
  • Módulo para visualizar la contraseña del correo electrónico.
  • Módulo para visualizar las contraseñas del navegador web.
Se propaga por medio de una botnet de spam, adjuntando documentos o enlaces maliciosos en correos electrónicos, también mediante fuerza bruta con diccionario.
Una vez que Emotet ha infectado un dispositivo, tiene la capacidad de interceptar, registrar y guardar todo el tráfico saliente del navegador web.
Ryuk es descargado y lanzado por Emotet. Ryuk es usado en ataques dirigidos hechos a medida (al contrario que Emotet, que mayormente usa botnets de spam).
La primera muestra de Ryuk de la que se tiene constancia es del día 18 de agosto de 2018
Infecta todos los archivos del sistema excepto los ficheros de la lista blanca de directorios. Estos serían “Windows”, “Mozilla”, “Chrome”, “RecycleBin”, “Ahnlab”
documentos de MS Office, OpenOffice, PDFs, archivos de texto, bases de datos, fotos, música, vídeos, archivos de imágenes, archivos, etc


Más información:

Actualizaciones para múltiples productos de Adobe

Adobe ha publicado cinco boletines de seguridad en los que se han corregido, al menos, 16 vulnerabilidades en sus productos Flash Player, Digital Editions, Experience Manager, Framemaker y Technical Communications Suite.

A continuación se exponen los boletines publicados para cada producto.

Adobe Digital Editions (APSB18-27): boletín que soluciona tres vulnerabilidades relacionadas con un desbordamiento de memoria que podría permitir la ejecución remota de código (CVE-2018-12813, CVE-2018-12814 y CVE-2018-12815), cinco debidas a errores de lecturas fuera de límites que permitirían revelar información (CVE-2018-12816, y CVE-2018-12818 a CVE-2018-12821), y otro fallo que también permitiría la ejecución de código debido a un error de acceso a memoria previamente liberada (CVE-2018-12822).

Adobe Flash Player (APSB18-35): actualmente no se detallan las vulnerabilidades corregidas en este boletín.

Adobe Experience Manager (APSB18-36): cinco problemas de seguridad que podrían permitir la revelación de información sensible a través de ataques Cross-Site Scripting permanentes (CVE-2018-15969, CVE-2018-15972 y CVE-2018-15973) y reflejados (CVE-2018-15970 y CVE-2018-15971) se solucionan en este boletín.

Adobe Framemaker (APSB18-37) y Adobe Technical Communications Suite (APSB18-38): estos dos últimos boletines corrigen sendos fallos de seguridad relacionados con la carga de librerías de manera insegura que permitiría la elevación de privilegios (CVE-2018-15974 y CVE-2018-15976 respectivamente).

Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):

  • Adobe Digital Editions 4.5.8 y anteriores para las plataformas Windows, Macintosh e iOS.
  • Adobe Flash Player 31.0.0.108 para los sistemas operativos Windows, macOS, Linux y ChromeOS, así como los navegadores Google Chrome, Microsoft Edge and Internet Explorer 11.
  • Adobe Experience Manager 6.x para todas las plataformas.
  • Adobe Framemaker 1.0.5.1 y anteriores para Microsoft Windows.
  • Adobe Technical Communications Suite 1.0.5.1 y anteriores para Microsoft Windows.

 

Más información:
 
APSB18-27 – Security Updates Available for Adobe Digital Editions:

https://helpx.adobe.com/security/products/Digital-Editions/apsb18-27.html

APSB18-35 – Security updates available for Adobe Flash Player:

https://helpx.adobe.com/security/products/flash-player/apsb18-35.html

APSB18-36 – Security updates available for Adobe Experience Manager:

Descubierta vulnerabilidad para eludir la pantalla de bloqueo de iOS 12

El investigador español José Rodríguez ha descubierto una vulnerabilidad en iOS 12 que permite eludir la pantalla de bloqueo y acceder al contenido del dispositivo

José Rodríguez ha encontrado un nuevo fallo de seguridad en iOS que permite acceder a la información que contiene el dispositivo.

La vulnerabilidad se encuentra en la característica ‘VoiceOver’, que dicta la información mostrada en pantalla. Gracias a esta característica y a un error que muestra una ventana aparentemente vacía, es posible saber lo que realmente contine dicha ventana y navegar a través de ella para acceder a diferentes funcionalidades a las que no se debería tener acceso estando el dispositivo bloqueado.

El investigador ha publicado dos videos con dos formas diferentes de vulnerar el sistema. En el primer video podemos observar que es necesario recibir una llamada de teléfono y a continuación un mensaje para que se muestre la pantalla en blanco aparentemente vacía. Pero, como podemos ver, en realidad no esta vacía y haciendo uso de ‘VoiceOver’ se puede navegar por ella.

En la segundo video, se hace uso de la creación de notas a través de Siri para acabar visualizando una pantalla en blanco para compartir la nota, pero usando ‘VoiceOver’ podemos darnos cuenta de que realmente la pantalla no está vacía y podemos navegar por ella para compartir la nota por diferentes redes sociales, e incluso obtener información de conversaciones de WhatsApp si se intenta compartir a través de este.

Apple ha lanzado la versión 12.0.1 que resuelve este fallo de seguridad. Si aún no has actualizado, te recomendamos que lo hagas lo antes posible.

Microsoft parchea 12 vulnerabilidades críticas en su actualización de octubre

La nueva actualización de seguridad parchea 49 vulnerabilidades, entre las que se encuentran 12 críticas y 35 catalogadas como importantes

Microsoft ha lanzado un nuevo boletín de actualizaciones de seguridad para este mes de octubre, parcheando los siguientes productos:

Entre las vulnerabilidades más críticas se encuentra una que afecta a Microsoft XML Core Services (MSXML), con identificador CVE-2018-8494. Un mensaje XML manipulado permitiría la ejecución remota de código (RCE). El fallo afecta a todas las versiones de Windows soportadas, incluyendo versiones de servidor.

A parte, una de las vulnerabilidades más importantes es la registrada con el CVE-2018-8453. Según Microsoft, esta vulnerabilidad habría sido aprovechada por atacantes. El fallo se encuentra en Win32K, y permitiría a una aplicación ejecutar código arbitrario con permisos del kernel.

En esta actualización se ha incluido también un parche para la vulnerabilidad CVE-2018-8423, la cual se hizo pública el día 20 de septiembre por haber superado los 120 días desde su reporte sin que se parchease, y afecta a Microsoft JET Database Engine. El fallo fue descubierto por Zero Day Initiative, y permitiría la ejecución remota de código. No se tiene constancia de que esta vulnerabilidad haya sido aprovechada.

El conjunto de actualizaciones de octubre se vio afectado por la noticia del borrado de ficheros tras actualizar, situación que parece haber sido controlada, y por la que se ha reanudado la distribución de la actualización afectada. Aunque la actualización no parece ser la misma a la que incluye estos parches, algunos usuarios pueden haber ignorado las actualizaciones por la alarma generada, y sus equipos se encontrarían expuestos por las vulnerabilidades anteriores. Dichos usuarios, deben actualizar lo antes posible para evitar verse afectados.

Más información:


ADV180026:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180026

CVE-2010-3190:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2010-3190
CVE-2018-8292:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8292

CVE-2018-8330:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8330

CVE-2018-8427:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8427

CVE-2018-8432:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8432

CVE-2018-8472:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8472

CVE-2018-8481:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8481

CVE-2018-8482:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8482

CVE-2018-8486:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8486

CVE-2018-8493:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8493

CVE-2018-8501:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8501

CVE-2018-8503:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8503

CVE-2018-8504:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8504

CVE-2018-8506:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8506

CVE-2018-8530:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8530

CVE-2018-8532:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8532

CVE-2018-8533:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8533

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8494

A Remote Code Execution Vulnerability in the Microsoft Windows Jet Database Engine:
https://www.zerodayinitiative.com/blog/2018/9/20/zdi-can-6135-a-remote-code-execution-vulnerability-in-the-microsoft-windows-jet-database-engine

Vulnerabilidad conocida en Mikrotik WinBox, más crítica de lo esperado.

Este nuevo ataque desarrollado por Teenable Research, podría permitir a usuarios maliciosos hacerse con el control de los routers Mikrotik para desplegar malware en la red, minar criptomonedas, o evitar las restricciones configuradas en estos dispositivos.

La vulnerabilidad (CVE-2018-14847), publicada en Abril de este mismo año, fue calificada con severidad media. Sin embargo, investigadores de Teenable Research han liberado una nueva prueba de concepto basada en dicha vulnerabildad, utilizando una nueva técnica que permite evadir la autenticación de RouterOS y permitir la ejecución remota de código arbitrario.

Este fallo usa WinBox (pequeña utilidad gráfica para administrar RouterOS) como vector de ataque, aunque la vulnerabilidad es en sí misma, de RouterOS.
El funcionamiento de esta nueva prueba de concepto es simple; en primer lugar se obtienen las credenciales del usuario administrator del dispositivo para después escribir un fichero en el router (con ayuda de las credenciales extraidas) con el que finalmente el atacante puede conseguir acceso con los máximos privilegios (root).

Las versiones afectadas por esta vulnerabilidad son:
bugfix release: desde 6.30.1 hasta 6.40.7
current release: desde 6.29 hasta 6.42
RC release (Release Candidate): desde 6.29rc1 hasta 6.43rc3

Ya hablamos en anteriores entradas de las vulnerabilidades que continuamente amenazan a estos dispositivos, por lo que como siempre, se recomienda actualizar el sistema operativo de los routers afectados a la última versión disponible y adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox.

Más información:
 
Reporte de Vulnerabilidad Mikrotik:
https://blog.mikrotik.com/security/winbox-vulnerability.htmlPrueba de concepto de Teenable Research:
https://github.com/tenable/routeros/tree/master/poc/bytheway

Código CVE asociado a esta vulnerabilidad:
https://www.cvedetails.com/cve/CVE-2018-14847/

Fallo de seguridad en WhatsApp permite comprometer tu cuenta con solo responder una videollamada

Investigadores de seguridad de Google Project Zero encuentra una vulnerabilidad en WhatsApp que permitiría comprometer tu cuenta con solo responder a una videollamada de WhatsApp

La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un ‘memory heap overflow‘ que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado.

La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas.

Silvanovich ha publicado la prueba de concepto con la información acerca del fallo de seguridad. Aunque esta prueba de concepto solamente provoca que se desencadene la corrupción de memoria haciendo que WhatsApp se cierre, Tavis Ormandy, también investigador de Project Zero, ha afirmado que se puede comprometer completamente WhatsApp con solo responder a una videollamada.

WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible.

Google+ expone los datos de 500.000 usuarios y cierra su plataforma

La conocida red social de Google cerrará después de que la compañía haya expuesto los datos privados de cientos de miles de usuarios a desarrolladores externos.

Resultado de imagen de google+

Según el gigante de la tecnología, una vulnerabilidad en una de las API de Google+ permitió a desarrolladores externos acceder a los datos de más de 500.000 usuarios, incluídos la dirección, ocupación, fecha de nacimiento, etc.

Dado que los servidores de la compañía no mantienen registros de API durante más de dos semanas, la empresa no puede confirmar el número de usuarios afectados por la vulnerabilidad.

“Sin embargo, realizamos un análisis detallado durante las dos semanas previas a parchear el error y, a partir de ese análisis, los perfiles de hasta 500.000 cuentas de Google+ podrían verse afectados. Nuestro análisis mostró que hasta 438 aplicacaciones pueden haber usado esta API”. comunicaba Google.

La vulnerabilidad estuvo abierta desde 2015 y se solucionó en Marzo de 2018, pero la compañía optó por no revelarlo al público mientras estaba el escándalo de Facebook.

Además de admitir la brecha de seguridad, Google también anunció que la compañía está cerrando su red de medios sociales, reconociendo que Google+ no logró la acogida esperada.

Novedades de Google en cuanto a privacidad tras el error:

Como una de las consecuencias de todo lo acontecido, la compañía ha revisado y actualizado el acceso de desarrolladores externos a la cuenta deGoogle y los datos de los dispositivos Android.

Antes, cuando una aplicación de terceros solicita al usuario el acceso a los datos de su cuenta de Google, al hacer click en el botón “Permitir” se aprueban todos los permisos solicitados a la vez, lo que brinda la oportunidad de que aplicaciones malintencionadas engañen a los usuarios para que entreguen permisos efectivos.

Con la nueva actualización de permisos, solicita cada uno individualmente en lugar de todos a la vez, dando a los usuarios un mayor control sobre el tipo de datos de la cuenta que eligen compartir con cada aplicación.

Finalmente, tras el incidente, las acciones de Google han caído más del 2 por ciento.

FASTCash: el nuevo ataque utilizado para sacar dinero de los cajeros automáticos

El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes ‘Hidden Cobra’ está comprometiendo servidores bancarios

Resultado de imagen de atm hackedEl conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas.

En principio los objetivos son África y Asia tal y como explica el US-CERT en el siguiente mensaje.

https://www.us-cert.gov/ncas/alerts/TA18-275A

El cual han publicado en su cuenta de Twitter oficial.

¿Cómo funciona el ataque?

Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta.

Sin embargo, los ciberdelincuentes consiguieron comprometer estos servidores para que intereceptaran la solicitud de transacción y diera una respuesta afirmativa falsa pero legítima sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros para que escupan la cantidad solicitada sin siquiera notificar al banco.
“Según la estimación de un socio de confianza, los componentes de ‘Hidden Cobra’ han robado decenas de millones de dólares”, explican en el informe.
 ¿Cómo llegaron los atacantes a comprometer los servidores de aplicaciones de pago?
 
Aunque no está confirmado, las autoridades de EE.UU. creen que los ciberdelincuentes utilizaron correos electrónicos de phishing que contendrían ejecutables maliciosos de Windows.
Una vez abierto, estos servían de conexión para que los atacantes pivotaran en la red del banco utilizando las credenciales legítimas del empleado afectado y conseguir inyectar el malware en el servidor de aplicaciones de pago.

A pesar de que la mayoría de los servidores utilizaban versiones del sistema operativo AIX sin soporte, no se han encontrado pruebas de que los atacantes aprovecharan alguna vulnerabilidad sobre el mismo.
El US-CERT ha recomendado a los bancos que hagan obligatoria la autenticación de dos factores cuanto antes.

Más información:
 

D-Link soluciona varias vulnerabilidades presentes en Central WifiManager

D-Link ha publicado actualizaciones para solucionar varias vulnerabilidades presentes en “Central WifiManager”, una herramienta que permite administrar y monitorizar puntos de acceso dentro de una red.

La primera vulnerabilidad, etiquetada con CVE-2018-17440, permitiría la subida de un fichero sin restricciones y la ejecución de código arbitrario.

La segunda vulnerabilidad permitiría también la subida de un archivo de cualquier tipo, pero requeriría esta vez que el atacante estuviera autenticado. Esta vulnerabilidad tiene asignado el código CVE-2018-17442.

Las dos siguientes permitirían realizar ataques de Cross-Site Scripting a través de los parámetros ‘sitename’ y ‘username’. Estas vulnerabilidades han recibido los códigos CVE-2018-17443 y CVE-2018-17441 respectivamente.

XSS en el parámetro ‘sitename’
XSS en el parámetro ‘username’

Estas vulnerabilidades ya se encuentran solucionadas a partir de la versión Central WifiManager v1.03r0100-Beta1.

Más información:
 

Encontrado troyano bancario en Google Play con más de 10K instalaciones

El troyano, que ha pasado desapercibido hasta conseguir al menos 78.000€ de sus víctimas, descarga código malicioso en función de la entidad bancaria del usuario

La policía de la República Checa ha dado aviso de un nuevo tipo de malware, que hasta el momento ha logrado sustraer 78.000€ de diferentes víctimas. En el comunicado se han hecho públicas imágenes de uno de los cómplices retirando el dinero robado de un cajero en Praga, tal y como puede verse en la imagen a continuación.

Las aplicaciones fraudulentas en cuestión son QRecorder (com.apps.callvoicerecorder) y Google Play Services (gjfid.pziovmiq.eefff). Esta última, no debe confundirse con com.google.android.gms, incluida con el sistema y firmada por Google. Utilizando Koodous, es posible encontrar 4 muestras de la primera y otras 4 de la segunda, como por ejemplo dd5d3589755543003a97454a134ca578f05b39bf5152ccd6183fc7ef08c87c65d0e28ee49d7b7feb5f94dbd00e4f5a6e4f418b536229188ef86bf45008c34d9b.

Resultados de la aplicación fraudulenta en Koodous.

El troyano al iniciarse requerirá los permisos necesarios para realizar sus actividades delictivas, como Accessibility service para descargar y ejecutar código externo malicioso en función de la entidad bancaria, permiso para dibujar en otras aplicaciones para robar las credenciales, e incluso permisos para leer y enviar SMS para la confirmación de las transacciones.

Para la comunicación, el atacante hace uso de Firebase, donde envía el listado de apps bancarias a vulnerar, para así descargar el código fuente cifrado AES a ejecutar en función del banco.

Según puede comprobarse por el código fuente, la aplicación cuenta con traducciones para checo, alemán y polaco (con inglés por defecto), por lo que seguramente son los usuarios de estos tres primeros idiomas los de interés por el atacante. En el siguiente vídeo por Lukas Stefanko, puede comprobarse el funcionamiento del malware.

Este troyano evidencia una vez más que una aplicación por encontrarse en Google Play no puede considerarse segura, y que el número de descargas no es una muestra de confianza (ya que dicho número puede alterarse mediante bots), por lo que deben extremarse las precauciones al descargar aplicaciones, y utilizar herramientas que aseguren nuestro dispositivo.

 

Más información:
 

Torii es la nueva botnet IoT multiplataforma

El investigador de seguridad @VessOnSecurity ha detectado a través de uno de sus honeypots un ataque via Telnet que tiene como objetivo dispositivos IoT.

Al igual que Mirai, Torii utiliza fuerza bruta de contraseñas conocidas para llevar a cabo la infección y una vez dentro del dispositivo es donde encontramos la diferencia entre ambas familias. Torii tiene un arsenal de características que van más allá de la realización de ataques DDoS o minar criptomonedas, como la capacidad de enviar información, la ejecución de comandos y ejecutables, y una comunicación cifrada, sin duda un malware en IoT más evolucionado que su predecesor Mirai.

Dentro de la sofisticación que mencionábamos se encuentra que es multiplataforma, las arquitecturas disponibles por el momento son: MIPS, ARM, x86, x64, PowerPC, Motorola 68k y SuperH.

Debido a esta característica multiplataforma, Torii amenaza a una cantidad de dispositivos más amplia que Mirai, y si bien es cierto que el vector de infección es bastante precoz, a día de hoy parece ser más que suficiente para los atacantes que están encontrando en los dispositivos IoT conectados una vía rápida de generación de botnets.

Avast ha llevado a cabo un completo análisis de la muestra que pueden consultar en su blog.

IOCs:

Ips:

184.95.48.12 104.237.218.82 104.237.218.85 66.85.157.90

Hashes:

Enlace de Avast.

Más información:

Twitter Vess:

https://twitter.com/VessOnSecurity

Blog Avast:
https://blog.avast.com/new-torii-botnet-threat-research