Noticias de Seguridad Marzo 2019
Hallada vulnerabilidad en la nueva función biométrica de Whatsapp
La nueva función de análisis biométrico agregada al servicio de mensajería instantánea Whatsapp presenta una vulnerabilidad que permitiría a un atacante acceder sin realizar la autentificación biométrica.
Después de varias semanas, tras la implantación del servicio de análisis biométrico para la autentificación del usuario en las cuentas de Whatsapp (https://www.biometricupdate.com/201901/biometric-authentication-coming-to-whatsapp), los especialistas del Instituto Internacional de Seguridad Cibernética han informado del descubrimiento de una vulnerabilidad que afecta a este nuevo servicio.
El reconocimiento biométrico para acceder a la aplicación mientras el terminal esté desbloqueado puede suponer una medida extra de seguridad con la que proteger el contenido confidencial de los usuarios, aunque aparentemente presenta algunos inconvenientes en su implementación. De momento solo está disponible para algunos dispositivos Apple.
Un usuario de la red social Reddit encontró un inconveniente de seguridad en esta nueva función que consiste en que un usuario puede acceder a WhatsApp desde la iOS Share Sheet sin necesidad de realizar previamente la identificación biométrica. De modo que si el usuario configura el inicio de sesión biométrico inmediato no se verá afectado por esta vulnerabilidad; sin embargo, si el usuario selecciona un intervalo de tiempo, el acceso a la iOS Share Sheet permite restablecer el temporizador, dejando el acceso a Whatsapp libre.
Según el usuario, el proceso para explotar esta falla es:
- Acceder a la iOS Share Sheet, por ejemplo, a través de la aplicación de fotos.
- Pulsar el icono de WhatsApp en la iOS Share Sheet.
- Ir a la pantalla de inicio de iOS durante la transición a la siguiente pantalla, aprovechando que la verificación de FaceID o TouchID no se realiza si una opción diferente se establece en “inmediatamente” por adelantado.
- Abrir WhatsApp, puesto que ya no se realizará la identificación biométrica (ya sea por reconocimiento facial o huellas dactilares).
Los equipos de seguridad de la red de Facebook, la compañía propietaria de WhatsApp, afirman que ya han identificado la vulnerabilidad y que están en proceso de implementar el correspondiente parche de seguridad. Mientras tanto, se recomienda que se configure el intervalo de bloque de pantalla en la opción “inmediatamente” si se desea seguir usando esta función de forma segura.
Más información:
Security Newspaper
Google revela un error de “alta severidad” sin parchear en el núcleo de Apple macOS
Investigadores de Google Project Zero han hecho pública una vulnerabilidad en macOS, después de que Apple no haya liberado un parche en los 90 días previos a la publicación.
Descubierto por el investigador Jann Horn y demostrada por Ian Beer. La vulnerabilidad reside en la forma que el kernel de macOS, XNU, permite a un atacante manipular el sistema de ficheros sin informar al Sistema Operativo.
Esta vulnerabilidad podría permitir a un programa malicioso saltarse la funcionalidad Copy-on-Write (COW) y modificar la memoria compartida entre procesos, llegando a corromperla.
Copy-On-Write o COW es una optimización en la administración de recursos usada en computación. En este caso, se da cuando un proceso necesita un fichero o dato que ya se encuentra en la memoria de otro proceso. Ambos procesos pueden compartir dicho recurso en lugar de crear una nueva copia, reduciendo de esta forma recursos.
Sin embargo, si uno de estos procesos necesita realizar algún cambio sobre el recurso, la función COW aparece y crea una nueva copia en la memoria, de forma que el otro proceso pueda también tener acceso al recurso.
Los investigadores vieron que cuando la imagen de un sistema de ficheros montado es modificada directamente (con la llamada pwrite() ), esta información no es propagada en el sistema de ficheros montado.
Por tanto, un programa malicioso puede hacer cambios en la memoria liberada almacenada en el disco sin informar al subsistema de administración virtual (virtual management subsystem), engañando al proceso destino para que cargue contenido malicioso en la memoria.
La vulnerabilidad fue notificada a Apple en noviembre de 2018 y ésta reconoció la existencia del fallo. Pero a día de hoy aun no se ha solucionado a pesar del aviso. De modo que los investigadores han publicado la falla con criticidad alta y también han liberado una prueba de concepto.
Más información:
https://thehackernews.com/2019/03/cybersecurity-macos-hacking.html
Zero-Day en Google Chrome permite la ejecución remota de código
La vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y Linux, habría estado siendo aprovechada por atacantes.
Clement Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución arbitraria de código en la máquina de la víctima, para así tomar su control. Aunque no se han revelado detalles, según Google el fallo habría estado siendo aprovechado por atacantes.
Desde Google han decidido restringir los detalles de la vulnerabilidad hasta que la mayoría de usuarios hayan actualizado; lo único que se conoce de momento de este fallo de corrupción de memoria, es que se produce tras intentar acceder a memoria que ya ha sido liberada (‘use-after-free’), y que afecta al componente API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona desde la máquina del usuario.
Debido a la alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y MacOS, normalmente estas actualizaciones se encuentran activadas por defecto, aunque pueden forzarse accediendo a chrome://settings/help. En el caso de la mayoría de distribuciones GNU/Linux, éstas deben realizarse por el gestor de paquetes del sistema.
Fuente:
Stable Channel Update for Desktop:
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html
Microsoft parchea 64 vulnerabilidades
El pasado martes día 12 de marzo, Microsoft liberó un paquete de parches que solucionan un total de 64 vulnerabilidades. 17 de ellas críticas, 45 importantes, y dos de criticidad baja y moderada.
Los productos afectados son Windows, Internet Explorer, Edge, Office, Office SharePoint, ChakraCore, Skype for Business, and Visual Studio NuGet.
Microsoft parchea también dos vulnerabilidades de día cero que se están explotando activamente. Ambas fallas residen en el componente Win32k. La primera de ellas (CVE-2019-0808) puede ser explotada en combinación con la vulnerabilidad en Chrome descubierta la semana pasada y permite a un atacante remoto ejecutar código arbitrario en máquinas con Windows 7 o Windows Server 2018.
La segunda vulnerabilidad, con ID CVE-2019-0797, es similar a la primera y también se está explotando activamente en Internet. Ésta afecta a Windows 10, 8.1, Server 2012, 2016, y 2019.
Como hemos dicho, este parche acumulativo soluciona 17 vulnerabilidades críticas y otras 45 con carácter importante. La mayoría de las categorizadas como críticas permiten la ejecución remota de código y afectan principalmente a Windows 10 y a las ediciones Server.
Como siempre, Microsoft recomienda aplicar las últimas actualizaciones de seguridad.
Más Información:
https://thehackernews.com/2019/03/microsoft-windows-security-updates.html
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0808
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0797
Brecha de seguridad en Citrix expone 6TB de información sensible
La famosa compañía de software Citrix, reveló que el pasado 6 de marzo sufrió una brecha de seguridad ocasionada por cibercriminales Iraníes que ha permitido a los atacantes revelar 6TB de información sensible de distintos clientes. El reporte le llegó a Citrix la semana pasada por parte del FBI.
Aunque aún no hay evidencias del método utilizado, el FBI considera que se ha utilizado una técnica conocida como “password spraying“, un tipo de ataque por fuerza bruta en el que se comprueban un número reducido de contraseñas comunmente utilizadas contra múltiples usuarios. A diferencia de los ataques por fuerza tradicionales en los que se trata de vulnerar una única cuenta.
Los investigadores de Resecurity ya reportaron en diciembre de 2018 que el grupo de cibercriminales IRIDIUM habían atacado a más de 200 gobiernos, compañías de gas y petróleo o compañías tecnológicas entre otras. [Su reporte]. No obstante, Citrix no ha actuado hasta este último reported del FBI alertando sobre la brecha de seguridad.
Por otro lado, el Presidente de Resecurity ha afirmado para NBC News que IRIDIUM logró acceder a la red interna de Citrix hace 10 años y que han permanecido dentro de la infraestructura desde entonces, accediendo posiblemente a información sensible.
La noticia de este incidente de seguridad ha llegado a Forbes, los cuales han manifestado la gravedad del incidente dado que -como comentan- Citrix provee servicios a más de 400.000 compañías y alrededor del 98% de las compañías dentro de la lista Fortune 500.
“Citrix provides virtual private network access and credentials to 400,000 companies and other organizations worldwide and 98% of the Fortune 500”
Cabe destacar que entre las empresas dentro de la lista de Fortune 500 se encuentran Walmart(puesto 1), Apple (puesto 4), Amazon (puesto 8) o grandes bancos como Deutsche Bank(puesto 223), por lo que se manifiesta la gran problemática de permitir el acceso a información confidencial a usuarios no autorizados.
Si realizamos una búsqueda por Shodan en busca de máquinas virtuales de Citrix, nos encontramos (a fecha de hoy) más de 3000 máquinas de distintos países, estando España en el segundo puesto de máquinas Citrix con 162, sólo por detrás de EEUU con 1403.
Entre las máquinas que hemos podido encontrar con esta simple búsqueda, nos cabe destacar empresas petroleras en Arabía Saudí entre otras.
Se pone de manifiesto la facilidad para cibercriminales como IRIDIUM de realizar ataques como los de “password spraying” utilizando servicios tales como HaveIBeenPwned para conocer, en su sección de Passwords, si una determinada contraseña ha aparecido en algún leak. Nos percatamos que hay una gran cantidad de usuarios utilizando contraseñas poco complejas como “password”, la cual aparece más de 3 millones de veces en la base de datos de HaveIBeenPwned.
Para minimizar el riesgo a sufrir ataques como los expuestos, se recomienda utilizar contraseñas robustas más algún 2FA para dificultar el acceso no autorizado de cibercriminales a nuestros sistemas.
Más información:
TheHackerNews
https://thehackernews.com/2019/03/citrix-data-breach.html
Resecurity
https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/
Blog de Citrix
https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/
PirateMatryoshka, el malware que afecta a The Pirate Bay
No es la primera vez que los cibercriminales utilizan páginas de descargas de torrents para enmascarar malware, es una práctica bien conocida que programas, juegos y contenidos multimedia codiciados puedan ser susceptibles de ocultar algún tipo de malware. En este caso le ha tocado a The Pirate Bay, un blanco muy atractivo para los atacantes debido a su gran popularidad.
El Torrent
El equipo de Kaspersky ha descubierto que PirateMatryoshka se está haciendo pasar por programas de software populares que, en su lugar, descargan un troyano. Su objetivo es infectar los ordenadores de los usuarios con programas publicitarios y herramientas para la instalación de malwareadicional y cuenta con una estructura por capas, de ahí el nombre.
PirateMatryoshka consigue engañarnos disfrazándose de versiones pirateadas de algún software legítimo, pero en realidad es un descargador de troyanos.
Según Kaspersky, una vez que un usuario pulsa en el instalador comienza el proceso de infección. Primero muestra un phishing de la página de The Pirate Bay para que el usuario ingrese sus credenciales y poder continuar con la instalación. Estos usuarios son utilizados como mulas por el malware para su propia distribución. El proceso de instalación está diseñado para continuar aunque no se hayan ingresado las credenciales del usuario y el enlace alphishing ha sido visitado más de 10.000 veces
En paralelo comprueba el registro de Windows HKEY_CURRENT_USER \ Software \ dSet y se asegura de que sea la primera vez que se instala en el ordenador del usuario. Si existe, termina la ejecución. Si el resultado de la comprobación es negativo, el instalador busca el servicio pastebin.com para obtener un enlace al módulo adicional y su clave de descifrado.
Después descarga un instalador que se utiliza para ejecutar los archivos portables: oyce.exe, setupDiv.exe, coduc.exe y xVid.exe.
El segundo y el cuarto de los programas mencionados son descargadores de los programas de AdWare, InstallCapital y MegaDowl. El primero y el tercero son autoclickers que se usan para que el usuario no cancele las instalaciones y para seleccionar las casillas necesarias en InstallCapital y MegaDowl.
Nos encontramos ante una combinación entre software sofisticado y multifuncional capaz de distribuirse de forma efectiva. En la siguiente imagen podemos ver como quedaría un PC infectado por PirateMatryoshka.
Fuentes:
https://securelist.com/piratebay-malware/89740/
https://testdevelocidad.info/blog/un-malware-de-tipo-muneca-rusa-se-expande-a-traves-de-piratebay/
Qbot reaparece como Qakbot para atacar a entidades financieras
Se ha publicado la noticia en la que se alerta de la evolución del malware bancario Qbot, a la se le ha denominado como Qakbot.
Qbot fue un malware bancario detectado en 2009 y cuya actividad era la infección de las máquinas para la obtención de credenciales bancarias, actividad que consiguió afectar miles de ordenadores.
La detección de la muestra se ha logrado gracias a un comportamiento anómalo detectado en una de las redes monitorizadas por la solución data-alert de Varonis. Después de su detección y análisis se ha publicado un estudio alertando de la evolución de esta familia de malware.
Ataque e infección:
Fichero analizado: REQ_02132019b.doc.vbs
sha1: c4b0e2161b44fa580d00cccd3b3c70b957d6f64
Lo más relevante de la evolución del malware es sin duda su polimorfismo es decir, que se encuentra cambiando continuamente, dificultando muchísimo su análisis estático. También ha llamado la atención la aleatoriedad de los nombres que componen el proceso de infección así como la diferencia de comportamiento de la muestra cuando esta está conectada a Internet o no.
La muestra analizada intentaba enmascararse bajo un fichero ‘*.doc’ (Microsoft Word) cuando en realidad era un fichero ‘.*vbs’ (VisualBasicScript) utilizando un ataque de doble extensión (‘*.doc.vbs’), el cual era enviado como adjunto en un correo electrónico fraudulento, técnica habitualmente conocida y practicada por todo tipo de atacantes.
Para las comunicaciones iniciales esta muestra utilizaba ‘BITSAdmin’ desde el script de Visual Basic. Una herramienta de línea de comandos, creada para monitorizar los procesos de transferencias de red. Técnica astuta por parte de los creadores de la muestra ya que con esto evitan el uso de ‘PowerShell’ que está mucho más monitorizada por los motores antivirus.
A continuación se muestran las direcciones web de descarga de los archivos de configuración de la muestra.
Persistencia y robo:
Nombre del fichero: widgetcontrol.png
sha1: 10c540521ae79a8631daa3db4ab958744ffc3f39
El archivo descargado, será inyectado en el proceso explorer.exe del sistema, proceso necesario para el entorno gráfico de Windows. El archivo inyectado será, o puede ser, diferente en cada ejecución del malware, característia añadida en el complejo polimorfismo del que dispone la muestra.
Otra característica importante del archivo descargado es que viene firmado digitalmente, esto permite que el sistema operativo no alerte de que un archivo sospechoso se va a ejecutar. Para que el fichero descargado esté validado correctamente, debe de ser firmado con un certificado, previamente autorizado por una entidad de confianza. En muchos casos, estos certificados son obtenidos en ataques previos a otras entidades.
Los certificados utilizados por el malware son los siguientes:
- Saiitech Systems Limited
- ECDJB Limited
- Hitish Patel Consulting Ltd
- Doorga Limited
- INTENTEK LIMITED
- Austek Consulting Limited
- IO Pro Limited
- Vercoe IT Ltd
- Edsabame Consultants Ltd
- SOVA CONSULTANCY LTD
Una vez descargado estos ficheros el malware creará varias vías para mantener la persistencia en el sistema:
- Creación de una clave en el registro de Windows para que arranque una vez se inicie el sistema operativo.
- Programación de una tarea a través de una líne a de comandos utilizando el programador de tareas de Windows.
- Creación de un enlace en la carpeta de inicio de Windows.
Una vez tiene persistencia en el equipo de la víctima, el malware utilizará diversas técnicas para el robo de credenciales:
- A través de un keylogging, es decir, mediante la monitorización de las teclas pulsadas por el usuario.
- A través de las cookies guardadas en el navegador del sistema.
- A través del hookeo de las llamadas a las API de ciertas entidades financieras, es decir mediantes la monitorización y modificación de las comunicaciones de red con las entidades financieras.
En el momento de la investigación el servidor de control y comandos (C&C) estaba activo, permitiendo ver a los investigadores el alcance de la muestra, que aunque la campaña de infección está centrada en Estados unidos, también se ha encontradon rastros de actividades en Parte de Asia, Europa y Sudamérica.
Más información:
Varonis Exposes Global Cyber Campaign: C2 Server Actively Compromising Thousands of Victims.
https://www.varonis.com/blog/varonis-discovers-global-cyber-campaign-qbot/
Qbot-analysis
https://github.com/varonis/qbot-analysis
Análisis preliminar de Ghidra, el framework de reversing de la NSA.
En la noche de ayer (del 5 al 6 de marzo) fue liberado el nuevo framework de ingeniería inversa de la NSA denominado “Ghidra”. Hoy os contamos nuestras primeras impresiones tras haber realizado algunas pruebas.
URL de descarga: https://www.ghidra-sre.org/
Instalación:
Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior.
Si aún así tenéis alguna duda, en la web proporcionada hay un pequeño vídeo explicativo.
Primeras impresiones:
Lo primero que podemos ver al abrirla es que se trata de la versión 9.0 del programa, por lo que puede inferirse que lleva muchos años siendo utilizada y que ha pasado por numerosas etapas para la mejora de su código, lo que, en principio, nos lleva a pensar que estamos ante una herramienta madura y a prueba de errores.
Al crear un nuevo proyecto, nos muestra un baúl de herramientas con dos opciones: “CodeBrowser” y “Version Tracking”. Analizaremos en esta ocasión la herramienta “CodeBrowser”.
Si abrimos un binario, la herramienta nos lo analiza y nos muestra el desensamblaje del código en una interfaz que nos parece bastante amigable, en comparación con otros frameworks similares.
Aunque los tiempos de carga son casi mínimos, la optimización del consumo de recursos no es su punto fuerte, ya que consume bastante más que otras herramientas que tienen el mismo objetivo.
Como punto a favor de su usabilidad, existe una cheatsheet oficial con los shortcuts más importantes del programa. Puede accederse a la plantilla a través de este enlace.
Fallos reconocidos en las primeras 12 horas:
Apenas unas horas después de la salida del producto, varios expertos en ciberseguridad se han hecho eco de un fallo en la apertura del puerto JDWP (18001) en el modo debugque se pone a la escucha en todas las interfaces y permite ejecución de código remoto. A continuación vemos un ejemplo del fallo que describimos:
Usando un motor de búsqueda de dispositivos conectados a internet como shodan.io podemos ver ya algunos equipos que ahora mismo podrían ser vulnerados.
La solución más simple sería modificar el código que hace referencia a la interfaz y ponerlo solo a la escucha en localhost.
El issue se encuentra abierto en Github ahora mismo. URL: https://github.com/NationalSecurityAgency/ghidra/issues/6.
Opiniones publicadas:
Varios expertos en reversing ya se han pronunciado sobre la herramienta, manteniendo diferentes opiniones sobre la utilidad del producto:
Para estar al tanto de la opinión de la comunidad acerca de Ghidra, existe un post anclado en Reddit: https://www.reddit.com/r/ReverseEngineering/comments/ax2gma/ghidra_stickied_thread/
Cibercriminales están explotando activamente una vulnerabilidad Drupal
Una vulnerabilidad descubierta recientemente en Drupal esta siendo explotada activamente por cibercriminales
Fuente:
https://thehackernews.com/2019/02/drupal-hacking-exploit.html
Más información sobre la vulneravilidad:
Miles de servidores C&C de malware expuestos por una vulnerabilidad
Una vulnerabilidad en un software utilizado por los cibercriminales ha permitido revelar la ubicación de miles de servidores de mando y control o C&C (del inglés ‘command and control’) de malware.
Cobalt Strike es una herramienta legítima de prueba de penetración con una arquitectura cliente-servidor, utilizada por los investigadores de seguridad para probar la resistencia de una organización contra ataques dirigidos. En los últimos años, Cobalt Strike se ha convertido en parte del kit de herramientas utilizado por desarrolladores de malware y grupos cibercriminales como FIN6 y FIN7 (Carbanak) o APT29 (Cozy Bear). Los atacantes aprovechan Cobalt Strike para alojar sus servidores de C&C de malware que se comunican con los equipos infectados a través de ‘beacons’.
Sin embargo una vulnerabilidad en este software ha resultado clave para descubrir las ubicaciones de miles de servidores de comando y control de malware (C&C). El fallo se encontraba en el código de NanoHTTPD, un servidor web de código abierto basado en Java, al agregar un espacio en blanco adicional después del código de estado de las respuestas HTTP. Dicha particularidad en las respuestas del servidor ha sido utilizada por investigadores de la empresa de seguridad Fox-IT para detectar las comunicaciones entre los ‘beacons’ y sus servidores C&C desde 2015.
Desde ese año hasta el pasado mes de enero de 2019, cuando los desarrolladores de Cobalt Strike corrigieron el error, los investigadores de Fox-IT han observado un total de 7718 servidores de Cobalt Strike. Aunque, como cabe esperar, muchos de ellos son legítimos también se incluyen servidores C&C de malware vinculados a la unidad de piratería gubernamental APT10 de China, del troyano bancario Bokbot, y Carbanak.
Los investigadores de seguridad han revelado una lista de direcciones IP que alojaban o siguen alojando servidores C&C de Cobalt Strike.
KnownSec 404 Team, una empresa china de seguridad IT ha confirmado el descubrimiento de Fox-IT al identificar 3643 servidores basados ??de Cobalt Strike operativos (un 86% de los cuales se corresponden con la lista suministrada por Fox-IT).
Según aventuran los investigadores de Fox-IT, el truco de la exploración del espacio en blanco cada vez redundará en un menor número de resultados debido a que los servidores legítimos se están actualizando a la versión 3.13, con la vulnerabilidad corregida. Sin embargo también opinan que, debido a que los delincuentes cibernéticos tienden a utilizar versiones no legítimas de software, estas se quedarán sin recibir la actualización y por tanto los servidores de C&C de malware podrán seguir siendo rastreados. Al menos durante un tiempo.
Más información:
Identifying Cobalt Strike team servers in the wild
https://blog.fox-it.com/2019/02/26/identifying-cobalt-strike-team-servers-in-the-wild/
Historical list of {Cobalt Strike,NanoHTTPD} servers
https://github.com/fox-it/cobaltstrike-extraneous-space/
Arrestado el líder detrás de Cobalt y Carbanak
https://unaaldia.hispasec.com/2018/03/arrestado-el-lider-detras-de-cobalt-y-carbanak.html
La mayor plataforma de Bug Bounty confirma el tópico. Jóvenes, americanos y sin estudios superiores.
HackerOne ha publicado un informe donde son encuestados más de mil investigadores de seguridad para obtener las últimas estadísticas, tendencias y perspectivas de la comunidad.
El informe comparte distintas estadísticas, como las edades, ubicación, estudios y preferencias de sus usuarios, en las que, como citamos en el título de la noticia, se confirman algunos de los tópicos que rodean la figura del hacker.
En él también se da a conocer como dos de los usuarios, Mark Litchfield y Santiago López, han alcanzado el millón de euros en recompensas a través de su plataforma.
Para los que no lo sepan, una plataforma de Bug Bounty, es la encargada de la mediación entre las empresas y los investigadores de seguridad. Por un lado las empresas ofrecen recompensas para que los investigadores hagan una publicación responsable de las vulnerabilidades encontradas y los investigadores reconocimiento y una compensación económica.
Entre otros datos llamativos, cabe destacar la herramienta Burp Suite, como la favorita entre los investigadores de seguridad.
A través del siguiente enlace podéis descargar el informe completo.