Noticias de Seguridad Abril 2019

Karkoff’, el nuevo ‘DNSpionage’ con estrategia de focalización selectiva

Los cibercriminales detrás de la campaña de malware DNSpionage han encontrado una nueva manera de infectar a víctimas específicas con una nueva variante del malware DNSpionage.

DNSpionage fue descubierto por primera vez en noviembre del año pasado, y se basaba en sitios o documentos maliciosos para infectar a las víctimas con DNSpionage, una herramienta remota que utilizaba comunicaciones DNS y HTTP para comunicarse con el servidor que controlaba el atacante y que usaba para escribir en él los comandos a ejecutar en los equipos atacados.

Como se ha comentado, en la campaña anterior, se podía utilizar un documento de Word con una macro maliciosa para, de esta manera, infectar a la víctima. En esta nueva campaña utilizan un documento de Excel con una macro similar.

Antaño utilizaban el directorio .oracleServices, no obstante, para esta nueva campaña detectada en febrero, el atacante, para evitar que las reglas de los antivirus lo detecten, utiliza un directorio .msdonedrive y renombra al malware «taskwin32.exe».

Donde reside el éxito de esta nueva campaña de malware, es que ahora realizan reconocimientos previos de las posibles víctimas antes de infectarlas, lo que permite al atacante escoger una víctima en concreto e infectarla con una probabilidad de éxito mayor que si simplemente tratasen de infectar a varios equipos de forma masiva.

Los pasos que sigue esta nueva campaña son:

1.El malware emplea un archivo .bat (a.bat) para ejecutar el comando WMI y así obtener una lista con todos los procesos que estén corriendo sobre la máquina de la víctima.

wmi process list

2. El malware también identifica el username y el nombre de la máquina de la víctima. Finalmente utiliza la API NewWkstaGetInfo() con el nivel 100 para así recuperar información adicional de la máquina.

Este nivel devuelve información sobre el entorno de trabajo de la víctima, incluida información específica de la plataforma, el nombre de dominio, del equipo local e información relativa al sistema operativo. Es precisamente esta información que logra obtener, la que es clave para así poder seleccionar una víctima determinada tal y como se ha hecho alusión con anterioridad.

Es igualmente reseñable esta peculiar forma poco sofisticada de separar una misma string (caso del archivo \\Configure.txt, el cual separa en \\Conf y en igure.txt). Esto provocaría que, por ejemplo, la siguiente regla Yara no hiciese saltar la alerta al no coincidir el string que busca.

rule DNSpionage { 
strings: 
$conf="Configure.txt" 
condition: 
All of them 
}

Es precisamente esta anomia la que ocasiona que los antivirus como Avast oAvira (antivirus que el malware busca en la fase de reconocimiento dentro del sistema de la víctima y, en caso de encontrar alguno, realiza esta acción de separar el string) no alerten al usuario.

Estas eran las palabras de los investigadores que han detectado esta nueva campaña de malware sobre la fase de reconomiento que realiza Karkoff

«The malware searches for two specific anti-virus platforms: Avira and Avast. If one of these security products is installed on the system and identified during the reconnaissance phase, a specific flag will be set, and some options from the configuration file will be ignored,»

Karkoff, programado en .NET, permite al atacante ejecutar código arbitrario sobre la máquina víctima y de forma remota. Junto a todas sus características, también es interesante la funcionalidad por la cual genera un log con todos los comandos ejecutados sobre el sistema víctima con su fecha y hora.Son muchas las empresas y organizaciones que utilizan macros para reducir tareas repetitivas sin ser conscientes de cómo pueden estar perjudicando a la infraestructura de la organización. Así pues, se recomienda deshabilitar las macros, utilizar software antimalware de confianza y que se actualice en tiempo real, ser conocedores de las nuevas campañas de ingeniería social y de auditar los registros DNS tal y como recomendaron desde el Department of Homeland Security (DHS) para así reducir riesgos y posibilidades de sufrir ataques de DNS hijacking tales como los mencionados en este artículo

Más información

https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html

CriptoCert: la primera certificación profesional española en criptografía

CriptoCert Certified Crypto Analyst. Así se ha denominado a la primera certificación técnica profesional española en criptografía.

De la mano de CriptoCert S.L., compañía española recientemente fundada y focalizada en la promoción, difusión, educación, capacitación técnica y certificación de profesionales en el campo de la criptografía y protección de la información, así como de su aplicación en el mundo real, nace CriptoCert Certified Crypto Analyst, la primera certificación técnica profesional de criptografía y protección de la información en español, que cuenta además con el reconocimiento del Centro Criptológico Nacional (CCN), centro responsable de la seguridad y protección de las comunicaciones de las administraciones públicas en España (adscrito al Centro Nacional de Inteligencia, CNI).

El objetivo principal de esta certificación es capacitar y acreditar de manera rigurosa a profesionales mediante contenidos técnicos extensos, detallados y actualizados. Como segundo objetivo, se plantea la difusión del uso de la criptografía y su utilización práctica, lo que se conoce como criptografía aplicada. Dado que uno de los fundamentos de la criptografía son las matemáticas, y aunque la certificación estudia los conceptos y principios matemáticos necesarios para comprender el funcionamiento de múltiples sistemas y protocolos criptográficos, y en cómo aplicar la criptografía de forma práctica en numerosos escenarios desde el punto de vista de la ingeniería, evita lo más posible profundizar en esa faceta más teórica.

En resumen, la ambición de esta innovadora iniciativa española es extender los complejos conocimientos vinculados al mundo de la criptología a un mayor número de profesionales de una manera clara y entendible, para que dispongan de las capacidades de análisis y comprensión de los elementos criptográficos, de cara a su aplicación en la protección de soluciones y entornos tecnológicos.

Hoy en día, la criptografía no sólo es una moda: ejemplos significativos de su utilización están presentes en el día a día en múltiples sistemas, aplicaciones, protocolos, comunicaciones, arquitecturas y dispositivos. Y es menester que los técnicos, ingenieros e incluso directivos de empresas, organizaciones, administración pública y otros entornos civiles o militares, conozcan cómo funciona la criptografía y sepan de sus fortalezas y de sus debilidades.

Más información: https://www.criptocert.com

TajMahal: detectado un nuevo APT Framework tras pasar 5 años desapercibido

Este framework, modular y de gran complejidad, habría estado en funcionamiento al menos desde 2014

1200px-Taj_Mahal_N-UP-A28-a

Investigadores han revelado el descubrimiento de un nuevo tipo de ‘APT Framework’ al que han nombrado como Taj Mahal, el monumento funerario ubicado en la ciudad de Agra, India. Esta nueva herramienta, tras conseguir acceder al ordenador de la víctima de una forma que todavía no ha sido esclarecida, divide su ataque en 2 paquetes con módulos y herramientas para la infección y lograr los objetivos deseados.

El primer paquete, denominado Tokio, contiene 3 módulos, backdoors, scripts de powerShell y servidores C&C. Incluye todas las herramientas necesarias para asegurar la infección de la máquina. Este paquete continúa en el equipo de la víctima como un backup por si el segundo paquete fuese eliminado.

El segundo paquete, Yokohama, es el encargado de obtener el resultado deseado del ataque. Incluye hasta 80 módulos almacenados en una unidad virtual cifrada, además de plugins, bibliotecas, archivos de configuración y más. Entre los módulos disponibles se encuentran herramientas de registro de pulsaciones de teclado, sustracción de cookies y datos (incluyendo backups de dispositivos Apple), captura de pantalla al utilizar aplicaciones VoIP, robo de información en CDs grabados, ficheros recurrentes utilizados en pendrives, documentos mandados a imprimir, etc.

Aunque existían indicios desde 2013 de la existencia de TajMahal, no fue hasta abril de 2014 que pudo confirmarse en el equipo de una víctima. Ha sido en otoño de 2018 que por fin ha podido descubrirse más al respecto. Sólo existe una víctima conocida de momento, una entidad diplomática de Asia Central, aunque podrían haber más casos de los que todavía no se ha dado constancia.

Fuente:

Project TajMahal – a sophisticated new APT framework
https://securelist.com/project-tajmahal/90240/

Fallo en la aplicación de iOS de WordPress filtró los tokens de acceso a terceros

WordPress ha solucionado recientemente una grave vulnerabilidad en su aplicación para iOS que, aparentemente, filtró tokens de autorización de los usuarios cuyos blogs usaban imágenes alojadas en sitios de terceros.

Explicación de la vulnerabilidad:

El fallo, descubierto por el equipo de ingenieros de WP, residía en la forma en que la aplicación de WordPress para iOS estaba obteniendo las imágenes de blogs privados (Imgur, Flickr, etc.).

Eso significa que, si una imagen estaba alojada en algún blog que no pertenecía a WordPress, cuando la aplicación de iOS intentaba obtener la imagen, enviaba un token de autorización de WordPress.com al blog concreto, dejando una copia del mismo en los registros de acceso del servidor.

Curiosamente, la aplicación para dispositivos Android y los sitios web de WordPress auto hospedados no se ven afectados por este fallo.

Nivel de afectación:

Según Auttomatic, la vulnerabilidad afecta a todas las versiones de la aplicación de WordPress para iOS lanzada en los últimos dos años y fue parcheada el mes pasado con el lanzamiento de la versión 11.9.1.

Aunque la empresa no reveló con precisión cuantos usuarios o blogs se vieron afectados por el problema, si confirmó que no hay indicios de que haya habido una explotación malintencionada del fallo.

Además, la compañía ha tomado la precaución de restablecer los tokens de acceso y enviar un mensaje de advertencia a todos los usuarios de iOS con blogs privados.

Desde Hispasec recomendamos a todos los propietarios de blogs que hagan uso de la aplicación de WordPress para dispositivos iOS, que actualicen su aplicación inmediatamente.

Más información
https://www.zdnet.com/article/wordpress-ios-app-leaked-authentication-tokens/

Encontrados datos de 540 millones de usuarios de Facebook en un servidor de Amazon desprotegido.

Los datos filtrados no provienen directamente de Facebook, sino que fueron recolectados por los desarrolladores de una app.

Hace unos días la compañía fue sorprendida pidiendo a algunos de sus usuarios las credenciales de acceso a sus cuentas de correo. Hoy nos encontramos con que los datos de millones de usuarios estaban desprotegidos en un servidor de Amazon.

Investigadores de la compañía UpGuard descubrieron dos datasets distintos: la primera pertenece a una compañía de medios mejicana llamada Cultura Colectiva y la otra a una app integrada en Facebook llamada At the pool.

Los datos recolectados por Cultura Colectiva contienen 540 millones de registros de usuarios. Incluyen: comentarios, likes, nombres de cuenta, ID de usuario de Facebook, etc.

En cuanto al leak de la app At the Pool, ésta contiene información sobre los amigos de los usuarios, likes, grupos, localizaciones gps, así como nombres de usuario, contraseñas en texto plano y direcciones de correo de 22000 usuarios.

En Upguard creen que las contraseñas encontradas en la base de datos pertenecen a la app At the Pool y no son directamente credenciales de Facebook, pero dado que con muchísima frecuencia se suelen reutilizar las credenciales para varios servicios, éstas podrían ser válidas para acceder a famosa red social.

Ambos datasets estaban en un bucket S3 desprotegido, que ahora se encuentra securizado después de que el propio Facebook y Cultura Colectivacontactaran con Amazon.

Más Información:

https://thehackernews.com/2019/04/facebook-app-database.html

Múltiples vulnerabilidades en los controladores de dispositivos WiFi Broadcom

El pasado 17 de abril se hicieron públicas varias vulnerabilidades en los driver para chipsets de tarjetas WiFi Broadcom que permitirían explotar varios desbordamientos de memoria para ejecutar código arbitrario.

El driver propietario ‘wl‘ presenta dos fallos que podrían provocar desbordamientos de la memoria basada en ‘heap‘. Su versión open-source, ‘brcmfmac‘ también presenta varios errores de validación que podrían desencadenar desbordamientos de memoria.

Vulnerabilidades en el driver ‘brcmfmac’

CVE-2019-9503

Cuando se recibe una trama desde una fuente remota, la función ‘is_wlc_event_frame‘ la descarta sin procesarla. Sólo si la trama proviene de la máquina anfitrión, se recibirá y procesará correctamente. Un error de validación en dicha función podría permitir a un atacante remoto enviar tramas desde una fuente remota no permitida.

CVE-2019-9500
Un atacante local podría desencadenar un desbordamiento de la memoria basada en ‘heap a través de una trama especialmente diseñada que desencadene un evento en el módulo ‘Wake-up on Wireless LAN‘, en la función ‘brcmf_wowl_nd_results‘. Esta vulnerabilidad combinada con el error de validación anterior, permitiría explotar este fallo de forma remota.

Vulnerabilidades en el driver ‘wl’

CVE-2019-9501
Un error de validación en la función que controla el proceso de autenticación ‘wlc_wpa_sup_eapol‘ podría ser aprovechado por un atacante para provocar un desbordamiento de la memoria basada en ‘heap‘.

CVE-2019-9502
Otro fallo de validación en la función ‘wlc_wpa_plumb_gtk‘, provocaría un desbordamiento de la memoria basada en ‘heap’ si se supera el límite de 164 bytes en el campo que almacena la información sobre el fabricante.

Cuando se utiliza el chipset SoftMAC, estas vulnerabilidades afectarían al kernel de la máquina anfitrión. Cuando se trate de un chipset FullMAC, se ejecutarían en el firmware del chipset.

En el peor de los casos estas vulnerabilidades permitirían a un atacante remoto no autenticado ejecutar código arbitrario en el sistema vulnerable. Más comúnmente, la explotación de estos fallos resultaría en una denegación de servicio.

Ambos driver ya han sido parcheados y se recomienda actualizar cuanto antes.

Microsoft confirma problemas con antivirus en su actualización KB4493472

Tras el lanzamiento de la actualización mensual para Windows 7 KB4493472, Microsoft informó que algunos antivirus como ArcaBit, Avast, Avira, McAfee y Sophos podrían presentar problemas a la hora de iniciarse o durante su ejecución tras la instalación.

En su página de soporte, se advierte que las compañías implicadas han identificado el problema de inestabilidad provocado por la actualización y que de momento está investigando cómo resolverlo. Mientras tanto, la única opción posible para evitar los problemas reportados consiste en bloquear la actualización del sistema operativo.

Los efectos de la actualización de seguridad sobre los dispositivos que tuviesen instalados estos programas antivirus podrían experimentar desde tiempos de arranque más lentos hasta un empeoramiento de su rendimiento o incluso la inestabilidad del sistema operativo.

Se informa que los dispositivos con Windows 8.1 y Windows 10 también podrían verse afectados con las últimas actualizaciones del subsistema Client Server Runtime Subsystem (CSRSS) de abril de 2019, debido a que Microsoft ha introducido un posible interbloqueo con ENS.

Facebook revela que almacenaba contraseñas de usuario en texto plano

Imagen extraída de iMyFone

A fines del mes pasado, Facebook reveló que almacenaba las contraseñas de multitud de usuarios de Facebook e Instagram en texto sin formato. No obstante, hace poco se actualizó el comunicado de prensa de marzo aumentando la cantidad de usuarios de Instagram afectados desde las decenas de miles iniciales hasta el orden de cientos de millones de usuarios.

Al almacenarse en texto plano, las contraseñas de estos usuarios de Facebook y de Instagram eran de libre acceso para determinados ingenieros de la compañía. Facebook asegura que no se ha realizado ningún uso ilegítimo de las mismas por parte de su personal.

Según la compañía: “Desde que se publicó esta nota de prensa, hemos descubierto registros adicionales con contraseñas de Instagram en formato legible. Estimamos que este problema ha afectado a millones de usuarios de Instagram. Notificaremos a estos usuarios como se hizo los anteriores. Nuestra investigación ha determinado que las contraseñas almacenadas no fueron objeto de abuso interno ni de acceso indebido.”

Esta información ha aparecido menos de un día después de que se revelase que Facebook había almacenado información de contacto de hasta 1,5 millones de usuarios en sus servidores, sin su consentimiento ni conocimiento, desde mayo de 2016.

Como en cualquier caso similar, se recomienda a los usuarios de Facebook e Instagram que cambien sus contraseñas de acceso y activen el sistema de verificación en dos pasos para proteger sus cuentas.

Más información:

Microsoft Outlook: nueva brecha de seguridad

El 14 de abril conocimos, a través de la plataforma Reddit, una captura de pantalla de un usuario que avisaba de haber recibido un e-mail de Microsoft alertando de que atacantes desconocidos habían sido capaces de acceder a alguna información de su cuenta de Outlook.

Al parecer, la brecha tuvo lugar en el primer trimestre del año, entre el día 1 de Enero y el 28 de Marzo, tal y como muestra este usuario en Reddit mediante su captura y como es corroborado por más usuarios de la plataforma.

Según el e-mail por parte de Microsoft en el que se notificaba la incidencia, que podemos ver en la foto adjunta, los atacantes comprometieron las credenciales de la cuenta de uno de los agentes de soporte de Microsoft y la utilizaron de manera no autorizada para acceder a alguna información relacionada con las cuentas afectadas. Sin embargo, parece ser que el contenido o los adjuntos de los e-mails no fue objeto de acceso no autorizado.