¿Cómo podemos asegurar las operaciones de estos ambientes de trabajo que suelen ser tan diversos y tan cambiantes sin comprometer la experiencia del usuario o el control de IT?”

Anteriormente los ambientes IT solían estar claramente delimitados y eran fáciles de asegurar. Recorriendo la evolución de los entornos al día de hoy, claramente todo ha cambiado. Debido en gran parte a las tendencias de retención de talento y maduración de la Industria tras haber atravesado las diversas catástrofes mundiales, las organizaciones se han vuelto una compleja red orgánica de múltiples equipos que trabajan de manera virtual con sus propios equipos “BYOD”, accediendo a miles de aplicaciones SaaS, ubicadas en entonos híbridos y demás.

Formulario de Inscripción 


“Webinar: Dell Technologies Data Protection ...

Enfrente los retos específicos de un panorama de TI en constante evolución con tecnología Dell para protección de datos.

Proteja sus datos a través del borde, el núcleo y la nube con dispositivos de protección de datos líderes en la industria y soluciones definidas por software.

Dell EMC Data Protection Software ofrece administración de datos de última generación y funcionalidades integrales de protección de datos para cumplir con las necesidades de las organizaciones de todos los tamaños

Formulario de Inscripción 

  • Este campo es un campo de validación y debe quedar sin cambios.

“Webinar: Oportunidades de Negocio Windows S...

Microsoft desarrollo Windows server 2019 para brindar una solución hibrida y acompañar al cliente en su transición a la nube

Junto con Dell technologies, la alianza estratégica tiene la oferta mas competitiva del mercado en HCI y en esta webinar te vamos a contar como y de que manera lo estamos haciendo.

DellEmc solutions for Microsoft Azure Stack HCI by Grupo ITS


Formulario de Inscripción 

  • Este campo es un campo de validación y debe quedar sin cambios.

“Webinar: Datos reales para las decisiones d...

Live Optics es un software en línea que puede utilizar para recopilar, visualizar y compartir datos acerca de las cargas de trabajo y el ambiente de TI.

El análisis de datos de Live Optics abarca toda la infraestructura de TI, ya que proporciona a los profesionales de TI información valiosa en vivo sobre el inventario y el rendimiento de los hosts y las máquinas virtuales, independientemente de la plataforma y del proveedor. De esta manera, ayuda a registrar y comunicar los parámetros obtenidos, las cargas de trabajo o las inquietudes de soporte a otras personas a fin de reducir el tiempo de toma de decisiones y el riesgo.

Formulario de Inscripción 

  • Este campo es un campo de validación y debe quedar sin cambios.

“Realice un análisis gratuito del rendimien...

Formulario de Consulta


“Webinar : Protegiendo el Vector de mayor ri...

¿Cómo podemos proteger el DNS que es el vector de mayor riesgo para los empleados que trabajan desde sus casas”

Agenda:

  1. Cómo funciona el DNS
  2. Descripción del ciclo de contaminación de una computadora y como el DNS rompe con ese ciclo.
  3. Descripción de cómo los hackers están convirtiendo en Queries de DNS la información para robársela.
  4. La solución.
  5. Demo del producto.

Formulario de Inscripción 


“GrupoITS realizo su GrupoITSDay 2019 en La Rese...

El encuentro con cliente tuvo lugar el viernes 27 de septiembre en el La Reserva Sofitel Cardales

Los asistentes participaron de una charla de presentación, además de compartir un momento exclusivo en una clínica de golf junto a Eduardo EL GATO Romero.

El encuentro estuvo acompañado por las marcas Infoblox y Fortinet

“El DNS tu vector de riesgo más peligroso o tu mejor Aliado”

Actualmente, los ciberataques más comunes son a través del DNS, considerados dentro de la red en la capa de aplicación. Los cíber-delincuentes utilizan el DNS para infectar dispositivos, propagar malwarey ex-filtrar los datos, ya que las soluciones de seguridad de hoy en día se centran en firewalls, IDS y proxies, y normalmente no realizan una inspección profunda del protocolo de DNS y lo pasan por alto, siendo omitido en estos elementos. El 46% de las grandes empresas han experimentado ex-filtración de datos a través de DNS. En los primeros tres meses de 2016 por ejemplo, las víctimas pagaron alarmantes cifras que oscilaron alrededor de $ 200 millones en rescates a cíber-delincuentes. En la actualidad, las empresas no pueden darse el lujo de estar en inactividad, porque existe una relación directa al impacto financiero, pérdida de clientes y los problemas legales derivados de los ataques cibernéticos.

RSVP: marga@mediaorange.com.ar

+54911 5912 3314


Noticias de Seguridad Setiembre 2019

¿Podemos hablar de hackeo en el caso de la cuenta de WhatsApp de Albert Rivera?

El pasado viernes 20 de septiembre el político Albert Rivera denunciaba ante la Guardia Civil que su cuenta de Twitter había sido hackeada.

El ‘modus operandi’ se basó en técnicas de ingeniería social que consiguieron engañar al líder de la formación naranja para entregar un código enviado por WhatsApp a los atacantes. Estos, previamente, habían forzado el envío de este código denunciando, a través de la propia aplicación, que la cuenta había sido robada.

Al día siguiente una cuenta de Twitter denominada @anonktalonia, revelaba posibles grupos de whatsapp pertenecientes al líder del partido Ciudadanos. Aunque no se atribuía directamente la autoría, la revelación de esta información nos hace entrever que ellos podrían ser quienes estaban detrás del hackeo. Aunque todo esto les duró bien poco, ya que en la tarde del domingo 22 les fue cerrada la cuenta.

Cabe destacar que para llevar a cabo este ataque de ingeniería social, los atacantes solo necesitaron dos cosas: a saber, el número de móvil de Albert Rivera y la participación del propio político en una trampa que tuvo más que ver con las vulnerabilidades propias de la psicología humana, que con conocimientos técnicos especializados en seguridad informática.

La ingeniería social es una rama de la seguridad informática que tiene como objeto de estudio las vulnerabilidades asociadas a la infraestructura humana. Fundamentalmente, la ingeniería social entiende a la persona como un sistema más que puede ser vulnerado si se descubren sus fallos conduciendo a un recursos informático que es el objetivo del ataque. Típicamente, las acciones con éxito en ingeniería social desencadenan en la víctima o bien una liberación de información o bien la realización de una acción y tienen lugar tras explotar un fallo en la manera en que los seres humanos percibimos o gestionamos la información o las emociones. La ingeniería social ha sido siempre en seguridad informática un vector más de entrada a un posible sistema. Siempre se ha estudiado como un técnica válida y, de hecho, se pone en práctica en pruebas de penetración en sistemas controladas por todas las empresas de seguridad que desempeñan estos trabajos. Del mismo modo que una contraseña débil facilita el acceso a un sistema, un individuo no familiarizado con la seguridad, es un excelente vector de entrada a un sistema.

La ingeniería social basa su éxito en la debilidad del usuario, siendo piedra de toque la premisa que considera al humano como el eslabón más débil de la cadena que hace posible que se pueda comprometer todo un sistema. Por este motivo, dejar de auditar la llamada «infraestructura humana», esto es, el modo en el que las personas reaccionan a las trampas o estímulos por parte de un atacante, supone un completo riesgo para las empresas. Las tecnologías evolucionan a diario, no así la psicología humana, que lleva acompañándonos y establecida de forma inalterada, con sus virtudes y carencias, desde que nos constituimos como especie. Siendo esto así, es lógico concluir que para acceder a un sistema informático es más fácil atacar la tradicional psicología humana que un sistema actualizado y fuertemente securizado como un algoritmo de cifrado. He ahí la legitimidad de la Ingeniería Social como una rama más de la seguridad.

Todo esto viene a colación de haber leído en algunos medios, digamos tecnológicos, que no se puede hablar de hackeo puesto que el ataque ha tenido éxito gracias a técnicas de phishing. Si bien sería erróneo hablar de hackeo a Twitter, en tanto que ni su infraestructura humana ni su infraestructura tecnológica han sido objetivos de ataque, sí es técnicamente correcto, tal y como cita la prensa, hablar de un hackeo a la cuenta de Twitter de Albert Rivera. El objetivo del ataque era comprometer un recurso informático: su cuenta. Los vectores empleados incluían tanto factores técnicos -enlaces, comunicación digital – como factores psicológicos.

Otro asunto sería aclarar si el ataque en cuestión ha sido un phishing o no. Para mí y después de aclarar dudas leyendo la definición de Wikipedia, no cabría duda:

Phishing, conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Se trata de un phishing, bastante artesanal, pero un phishing al fin y al cabo, por lo que la mayoría de los titulares que he venido observando por la prensa en estos días no pueden ser tildados de incorrectos desde una perspectiva técnica. La cuenta de Albert Rivera ha sido hackeada, phishing mediante y, por tanto, aprovechando técnicas de ingeniería social que dejan en evidencia la falta de securización de la psicología humana con respecto a los avances tecnológicos.

Microsoft libera parches de emergencia para Internet Explorer y Defender

Microsoft parchea dos vulnerabilidades, una de ellas es un 0-day en Internet Explorer que está siendo explotado activamente en estos momentos.

La primera vulnerabilidad, descubierta por el investigador Clément Lecigne y con identificador CVE-2019-1367 consiste en una ejecución remota de código localizada en la lógica usada por el motor Microsoft Scripting Engine para manipular objetos en memoria.

Esta vulnerabilidad permitiría a un atacante hacerse con el control de la máquina víctima mediante la visita a una web especialmente diseñada usando Internet Explorer.

Además, Microsoft también ha lanzado otro parche para una denegación de servicio en Windows Defender.

Ésta última, descubierta por el investigador de F-Secure Charalampos Billinis y Wenxu Wu de la firma Security Labs, tiene asignado el identificador CVE-2019-1255.

Según Microsoft, esta vulnerabilidad puede ser aprovechada por un atacante para impedir a un usuario ejecutar binarios. Aunque para aprovechar esta falla, es necesario primero adquirir permisos de ejecución en la máquina.

La primera falla afecta a las versiones 9, 10 y 11 del navegador mientras que la vulnerabilidad en Microsoft Defender afecta a las versiones anteriores a 1.1.16400.1. Como es habitual, se recomienda aplicar las actualizaciones lo más pronto posible.

Más Información:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1255
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
https://thehackernews.com/2019/09/windows-update-zero-day.html

Cerberus llega a España y Latinoamerica

Cerberus, el reciente malware bancario para Android, afecta ahora a entidades bancarias españolas y latinoamericanas.

Imagen: ThreatFabric

Introducción

El miércoles 18 de septiembre llegó al laboratorio de Hispasec una nueva muestra del troyano bancario para Android ‘Cerberus’. Desde su lanzamiento en Junio de 2019, este malware bancario ha ido creciendo en popularidad poco a poco.

Sus desarrolladores no distribuyen las muestras para infectar a las víctimas, sino que venden el troyano el un foro ‘underground’ para que sean sus clientes los que, a través de una herramienta automatizada, construyan el APK malicioso que distribuirán a sus víctimas.

Este troyano tiene su propia cuenta de Twitter (https://twitter.com/androidcerberus), en la que sus desarrolladores publican las novedades incluidas en las nuevas versiones e incluso bromean con los analistas de malware más conocidos de la comunidad.

El hecho de que su popularidad vaya en aumento ha hecho que en la muestra detectada este miércoles se encuentren entidades bancarias españolas y latinoamericanas afectadas por primera vez. En pasadas versiones se habían descubierto entidades francesas y una japonesa.

Propagación

Tal y como suele ser habitual con este tipo de malware, es probable que la distribución del APK malicioso se haya realizado a través de páginas web fraudulentas.

Teniendo en cuenta que la aplicación maliciosa utiliza el logo de ‘Flash Player’ como icono y su nombre, probablemente se haya distribuido a través de una falsa web de videos que incita al usuario a instalar la aplicación como una falsa actualización de su reproductor.

Infección

Una vez que el usuario instala la aplicación maliciosa y la inicia por primera vez, ésta solicita al usuario que le de permisos de accesibilidad. Estos permisos permiten al malware recibir eventos generados por otras aplicaciones que se encuentren ejecutando en primer plano.

Vista con la solicitud de permisos de accesibilidad

Los permisos de accesibilidad se utilizan habitualmente para que ciertas aplicaciones proporcionen una mejor experiencia de usuario en caso de que el usuario tenga, por ejemplo, problemas de visión. De esta forma, estas aplicaciones pueden proporcionar funcionalidades de lectura del texto de la pantalla.

El motivo por el cual la aplicación maliciosa necesita este permiso es que le permite recibir eventos generados por la aplicación que se encuentra ejecutándose en primer plano, incluyendo el nombre de paquete de dicha aplicación. Con esta información, el malware es capaz de detectar cuando una aplicación es iniciada por parte del usuario, y de esta forma mostrar una ventana falsa solicitando las credenciales de acceso a la entidad bancaria.

Adicionalmente, los permisos de accesibilidad también son utilizados por este malware para protegerse y no ser desinstalado por el usuario. Los servicios de accesibilidad pueden simular eventos (toques en la pantalla, pulsación de botones, etc.), por lo que el malware detecta si el usuario está navegando por los ajustes del sistema e intentando desinstalar el troyano. En caso de que esto ocurra, la aplicación maliciosa envía eventos para salir de los ajustes y evitar su desinstalación.

Tras obtener los permisos de accesibilidad, este malware comienza la actividad maliciosa. La aplicación instalada realmente actúa a modo de ‘dropper’, ya que la funcionalidad de robo  y envío de datos se realiza a través de un módulo descargado del servidor de control. Podemos distinguir dos etapas:

  1. La aplicación ‘dropper’ desempaqueta un fichero .DEX que implementa una primera etapa encargada de comprobar el estado del dispositivo infectado, registrarlo en el servidor de control y descargar el módulo malicioso.
  2. Descarga del módulo malicioso (a través de la URL: http://[DOMINIO]/gate.php?action=getModule&data=[DATOS_DISPOSITIVO_CIFRADOS]. El módulo malicioso se trata de un fichero APK, aunque no se instala la aplicación en el dispositivo. En su lugar, el ‘dropper’ cargará dinámicamente las clases necesarias del APK. Este módulo incluye la funcionalidad necesaria para descargar y mostrar las inyecciones para cada entidad. Además incluye el resto de funciones de robo de datos que se explicarán a lo largo de este documento.

Funcionalidades para el robo de datos

Para el robo de credenciales bancarios, este troyano bancario sigue el mismo esquema de funcionamiento que el resto de troyanos bancarios, inyecciones basadas en ‘overlays’. El uso de ‘overlays’ es probablemente la técnica más efectiva, y quizá por ello la preferida por los atacantes, para el robo de credenciales bancarias en Android.

Una vez que la aplicación maliciosa contacta con el servidor para registrar el dispositivo, ésta envía la lista completa de aplicaciones instaladas. Como respuesta, el servidor de control responde con la lista de aplicaciones afectadas de entre todas las aplicaciones instaladas.

Petición al servidor de control para registrar el nuevo dispositivo
Petición al servidor de control para enviar la lista de aplicaciones instaladas

Como respuesta, la aplicación recibe una lista de aplicaciones afectadas de entre las instaladas. Una vez que la aplicación recibe esta lista de entidades afectadas, ésta se encarga de descargar una a una las inyecciones de cada aplicación afectada. Una vez descargada la inyección, se guarda para mostrarla posteriormente.

Código encargado de descargar las inyecciones

Como suele ser habitual en el malware bancario para Android, las inyecciones de Cerberus también están realizadas utilizando HTML y JavaScript. De esta forma, lo que descarga el malware no es más que un fichero HTML que mostrará posteriormente utilizando una ‘WebView’.

Para mostrar la ‘WebView‘ con la falsa web solicitando los datos de usuario, esta aplicación se instala solicitando al usuario que le dé permisos de accesibilidad. Estos permisos le permiten recibir eventos en un servicio ejecutando en segundo plano cada vez que el usuario abre un aplicación o realiza alguna acción en la aplicación.

Al recibir estos eventos, la aplicación maliciosa recibe información sobre la aplicación que se está ejecutando en primer plano. Esta funcionalidad es utilizada para determinar si la aplicación en ejecución es alguna de las afectadas. En caso de ser así, el troyano abrirá una nueva actividad con la ‘WebView’ y la web de phishing.

Inyección para la entidad afectada

Como se puede observar en la imágenes, todas las peticiones se realizan a una URL con la estructura “http://[DOMINIO]/gate.php?action=[COMANDO]&data=[DATOS CIFRADOS]”. El valor del parámetro ‘action’ para el envío de las credenciales robadas es ‘sendInjectLogs’, y en el parámetro ‘data’ se envía cifrado el identificador del paquete correspondiente a la entidad afectada y las credenciales de acceso.

Además del robo de datos bancarios, la aplicación maliciosa también incluye funcionalidad para enviar los SMS recibidos y la agenda de contactos. Para ello, guarda la lista de SMS y contactos en las preferencias compartidas de la aplicación y los envía posteriormente al servidor de control.


Código encargado de guardar los SMS para su posterior envío

Cifrado de peticiones

Como se ha comentado anteriormente, este malware implementa un algoritmo de cifrado que evita inspeccionar los datos enviados al servidor directamente. El algoritmo de cifrado utilizado se trata de RC4. La clave de cifrado es diferente para cada muestra y se almacena en las preferencias compartidas de la aplicación utilizando la clave “key”.

Resulta especialmente curioso el uso del algoritmo RC4 para el cifrado de los datos, ya que es el mismo algoritmo de cifrado utilizado por otro troyano bancario popular, ‘Anubis Bankbot’. Aunque sus desarrolladores afirman que Cerberus se ha desarrollado de cero, el uso de RC4 como algoritmo de cifrado, además del uso de PHP como lenguaje de programación en la parte del servidor y la similitud en las respuestas de algunas de las peticiones, hacen pensar que en mayor o menor medida este nuevo troyano podría estar basado en el código de Anubis Bankbot.

Entidades afectadas

Entre las entidades afectadas se encuentran las españolas Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia. Mientras que en latinoamerica afecta a entidades como Santander (Chile y Perú) y BBVA (Perú).

Conclusiones

Como hemos visto, Cerberus es uno de los troyanos bancarios para Android más recientes. Aún así, está ganando popularidad rápidamente, lo que supone que sus desarrolladores trabajen para incluir nuevas funcionalidades en su creación.

Esta nueva muestra no incluye novedades con respecto a sus funcionalidades, sin embargo, incluye un importante añadido: soporte para el robo de datos bancarios de entidades españolas. Es la primera muestra de Cerberus que se ha descubierto con inyecciones para entidades bancarias españolas.

Teniendo en cuenta la popularidad que ha ganado esta familia de malware, era un secreto a voces que pronto acabaría incorporando entidades españolas y latinoamericanas entre las afectadas. Debemos seguir alerta, ya que se espera que se incluyan nuevas entidades de todo el mundo con el paso del tiempo, además de nuevas funcionalidades.

Indicadores de compromiso

Si desea más información sobre los identificadores de compromiso y los hashes de la muestra, póngase en contacto con nuestro departamento de malware: malwaredept@hispasec.com

Phishing afecta a la web de denuncias SecureDrop

La web de denuncias SecureDrop, perteneciente a The Guardian, estaba redirigiendo a una web phishing que tenía como objetivo robar los codenamesde los usuarios. Además, esta web phishing anunciaba una aplicación móvil para Android que permitía a los atacantes realizar diversas actividades maliciosas en los dispositivos de las víctimas.

SecureDrop es un servicio para compartir datos mediante la red TOR, esto permite a los denunciantes enviar información a las empresas de periodismo de forma anónima. Por ejemplo, podemos hacer uso del servicio en la dirección legítima de la web de noticias The Guardian en 33y6fjyhs3phzfjj.onion

Cuando un usuario desea enviar información a los periodistas del medio de comunicación recibe un nombre en clave, codename, que luego se puede utilizar para futuras comunicaciones. Este nombre en clave es privado, ya que cualquiera que lo conozca puede ver las comunicaciones realizadas con los periodistas.

Una vez que los atacantes obtienen los codenames de los usuarios pueden iniciar sesión en la web legítima de SecureDrop y hacerse pasar por la fuente para robar información y comunicaciones.

Poco después de anunciar que había sido descubierto el phishing la web maliciosa fue desactivada. Sin embargo, no se sabe si el sitio fue desconectado por el equipo de seguridad de The Guardian, o por los atacantes.

Aplicación Android maliciosa

Los atacantes estaban anunciando en la web phishing una aplicación Android que permitía a los usuarios «ocultar su ubicación».

Los descubridores del phishing consiguieron descargar el malware y todavía está disponible el enlace para su descarga desde la cuenta de Twitter de Elliot Alderson

Según nos muestra el análisis del APK en VirusTotal podemos ver una larga lista de permisos que asemejan la funcionalidad a la de un RAT. Entre los permisos solicitados encontramos el monitoreo de las llamadas, ubicación, mensajes de texto, grabar audios…

Tras analizar el malware el investigador Lukas Stefanko dijo:
«La aplicación es un malware controlado de forma remota y ejecutará comandos enviados por el servidor. También puede obtener texto de notificaciones, enviar imágenes desde la galería y tomar capturas de pantalla si el dispositivo está rooteado».

Además, se cree que parte de la información robada del dispositivo puede utilizarse para realizar el secuestro de la tarjeta SIM. La aplicación envía la información a un servidor de comando y control con IP 213.188.152.96. Dicha dirección IP ha sido utilizada para distintas campañas de malware.

Más información:

https://www.bleepingcomputer.com/news/security/phishing-attack-targets-the-guardians-whistleblowing-site/

La opción «eliminar para todos» de WhatsApp no elimina los archivos enviados a iPhone.

La opción, que fue introducida hace dos años, contiene un fallo de seguridad sin parchear que no elimina los archivos enviados a dispositivos iPhone, por lo que, en cuanto a funcionalidad se refiere, sencillamente se limita a generar una sensación de privacidad que no se corresponde con la realidad.

Tanto WhatsApp, como su competidor de software – parcialmente – libre, Telegram, ofrecen la opción «Eliminar para todos» cuando se selecciona un determinado archivo enviado. Esto permite rectificar el envío y enmendar un posible – y a menudo incómodo – error cuando, típicamente, se envía por descuido material a un destinatario no deseado.

En el caso de WhatsApp, la opción sólo está disponible en un lapso de tiempo de una hora, ocho minutos y dieciséis segundos, una vez el mensaje o archivo se ha enviado. Un tiempo, seguramente, más que razonable para percatarse del error.

Sin embargo, tanto da el lapso de tiempo configurado por el fabricante, si los mensajes o archivos enviados, tal y como ha descubierto el investigadorShitesh Sachan, no se eliminan correctamente para los usuarios de iPhone. Incluso aunque recibamos de la aplicación el mensaje de «el mensaje ha sido borrado».

Si bien es cierto que la versión para Android de la popular aplicación de mensajería llega incluso a borrar los archivos de la galería del receptor cuando se selecciona la opción «borrar para todos», no ocurre así para los usuarios de iPhone, un contexto donde la aplicación parece seguir un diseño diferente. 

El problema radica fundamentalmente en que la aplicación trae activada por defecto la opción de «guardar automáticamente» en las respectivas galerías de Android o iPhone y, pese a que desactivar esta opción mitigaría parte del problema, poca gente configura correctamente su aplicación para que adopte este comportamiento. Ni siquiera cuando las mejoras en cuanto almacenamiento y control de los activos son evidentes al activar esta opción.

A comienzos de esta semana se publicaba, igualmente, un fallo de seguridad similar que afectaba a Telegram, que también adolece de una implementación deficiente en su opción «Eliminar para todos». Sin embargo, mientras que Telegram parcheó inmediatamente el fallo, WhatsApp ha declarado que no tiene intención alguna de abordar el tema, porque la funcionalidad de dicha opción es, argumentan, eliminar de la aplicación -y no del dispositivo móvil – los archivos seleccionados.

El equipo de seguridad de WhatsApp también arguye que la pretensión de que su opción «Eliminar para todos» sirva, precisamente, para eliminar por completo el archivo, colisiona con el hecho de que el receptor del mensaje puede verlo antes de que sea borrado o hacer un «pantallazo», lo que haría inútil implementar correctamente la opción. Por otro lado, también afirman que podrían estudiar cambios en la implementación en un futuro.

En este sentido, recomendamos siempre evitar el uso de software privativo que no respete la privacidad y la seguridad del usuario, y adoptar progresivamente el uso de software cuyo código haya sido liberado – software libre – por los beneficios de seguridad y privacidad que supone el tener a disposición de una comunidad activa un código fuente auditado y saneado de manera pública.

Más información:

https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html
https://thehackernews.com/2019/09/whatsapp-delete-for-everyone-privacy.html

Mozilla lanza el servicio VPN ‘Firefox Private Network’ como una extensión del navegador

Mozilla ha lanzado oficialmente un nuevo servicio VPN centrado en la privacidad, llamado Firefox Private Network , como una extensión del navegador que tiene como objetivo cifrar su actividad en línea y limitar lo que los sitios web y los anunciantes saben sobre usted.

El servicio Firefox Private Network se encuentra actualmente en versión beta y solo está disponible para usuarios de escritorio en los Estados Unidos como parte del programa «Firefox Test Pilot» recientemente eliminado de Mozilla, que permite a los usuarios probar nuevas funciones experimentales antes de su lanzamiento oficial.

El programa Firefox Test Pilot fue lanzado por primera vez por la compañía hace tres años, pero se cerró en enero de este año. La compañía ahora decicidió recuperar el programa pero con algunos cambios.

«La diferencia con el programa Test Pilot recientemente relanzado es que estos productos y servicios pueden estar fuera del navegador Firefox y estarán mucho más pulidos, y solo un paso por debajo del lanzamiento público general».

Marissa Wood, vicepresidenta de producto en Mozilla

Desde la empresa aseguran que su red privada de Firefox «proporciona una ruta segura y encriptada a la web para proteger su conexión y su información personal en cualquier lugar y en cualquier lugar donde use su navegador Firefox».

El servicio VPN de red privada de Firefox también encripta y canaliza cada una de las actividades de navegación de Internet suyas a través de una colección de servidores proxy remotos, enmascarando así su ubicación y bloqueando a terceros, incluidos el gobierno y su ISP, para que no espíen su conexión.

Cloudflare, la compañía que ofrece uno de los servicios de protección CDN, DNS y DDoS más grandes y rápidos, proporciona los servidores proxy reales para la extensión Firefox Private Network.

«Cloudflare solo observa una cantidad limitada de datos sobre las solicitudes HTTP / HTTPS que se envían al proxy de Cloudflare a través de navegadores con una extensión activa de Mozilla».

Cloudflare

Como registrarse en el servicio VPN de Firefox:

Firefox Private Network actualmente solo funciona en computadoras de escritorio, pero se cree que también estará disponible para usuarios móviles, una vez que la VPN salga de la versión beta.

Aunque el servicio Firefox Private Network es actualmente gratuito, Mozilla insinuó que la compañía está explorando posibles opciones de precios para el servicio en el futuro para mantenerlo en forma sostenible.

Por ahora, si tiene una cuenta de Firefox y reside en los Estados Unidos, puede probar el servicio VPN de Firefox de forma gratuita registrándose en el sitio web de la red privada de Firefox.

Más información:

Mozilla launches a VPN, brings back the Firefox Test Pilot program
https://techcrunch.com/2019/09/10/mozilla-launches-a-vpn-brings-back-the-firefox-test-pilot-program/

Malware utiliza el servicio BITS de Windows para robar datos

Investigadores de ciberseguridad han descubierto un nuevo malware asociado al grupo Stealth Falcon, éste malware utiliza el servicio background intelligent transfer service (BITS) para el envío de datos en segundo plano al servidor controlado por el atacante.

El grupo Stealth Falcon, patrocinado por el estado, es conocido por atacar a periodistas, activistas y personas detractoras del sistema con spyware. Este grupo centra su actividad principalmente en el Medio Oriente, más concretamente en los Emiratos Árabes Unidos (EAU).

Win32/StealthFalcon se comunica y envía los datos recopilados a los servidores de comando y control (C&C) a través del servicio de transferencia inteligente en segundo plano de Windows (BITS).

BITS es un componente de Windows que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano, de archivos. Esta utilidad es muy utilizada por actualizadores de software en Windows 10 y permite reanudar la transferencia de los archivos en caso de interrupciones. Además, al ser un sistema integrado en Windows es más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatase de este malware.

Según investigadores de ESET, dado que la velocidad de envío de los archivos se ajusta automáticamente y que escapa de las medidas de seguridad habitualmente configuradas, este malware puede operar en segundo plano sin ser detectado y sin modificar la experiencia de uso del usuario.

Pero la puerta trasera Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C a través de BITS.

Una vez cargados los archivos, el malware elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.

Como explican en el informe, no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C.

Más información:
https://thehackernews.com/2019/09/stealthfalcon-virus-windows-bits.html

Vulnerabilidad critica en sistemas de correo electrónico Exim

Un fallo de seguridad crítico en Exim que podría permitir la ejecución de código remoto con privilegios de root en servidores que aceptan conexiones TLS.

e2212-exim_logo

Exim (EXperimental Internet Mailer) es un agente de transporte de correo electrónico o MTA utilizado por más de la mitad de los servidores de email en Internet. Es software libre que se distribuye bajo la licencia GNU GPL, y se distribuye como el MTA por defecto en muchas distribuciones GNU/Linux, como por ejemplo Debian.

A finales del pasado mes de julio el investigador Zerons descubrió un fallo de seguridad en Exim que ha recibido el identificador CVE-2019-15846 y se ha hecho público el 6 de septiembre. Esta vulnerabilidad permitiría a un atacante no autenticado ejecutar programas con privilegios de root en aquellos servidores que aceptan conexiones TLS. Para explotar la vulnerabilidad en las configuraciones por defecto se estaría utilizando una solicitud SNI especialmente manipulada, mientras que en otras configuraciones se podría realizar mediante un certificado de cliente falsificado.

SNI es un componente de protocolo TLS diseñado para permitir que los servidores presenten diferentes certificados TLS para validar y asegurar la conexión a sitios web detrás de la misma dirección IP. El error consistiría en undesbordamiento de búfer provocado por una solicitud SNI que termina en una secuencia de barra invertida durante el proceso de negociación de la conexión segura TLS (handshake).

A pesar de que el archivo de configuración predeterminado proporcionado por el equipo de desarrollo de Exim no tiene habilitado TLS, muchas distribuciones GNU/Linux se distribuyen con la configuración modificada para activar dicha opción.

Esto podría implicar que el universo de servidores Exim vulnerables sea bastante extenso. A saber, según una encuesta realizada por E-Soft Inc. y publicada a principios de septiembre, se ha estimado que el número total de servidores de correo electrónico en Internet que ejecutan Exim es de más de 500.000, correspondiendo a más de 57% de todos los servidores de correo electrónico (MX) en línea. Sin embargo, una búsqueda de instancias de Exim en Shodan muestra alrededor de 5,25 millones de resultados, con mas de 3,5 millones instancias en ejecución usando Exim 4.92. Cabe destacar que se encuentran afectadas las versiones de Exim comprendidas entre la 4.80 y la 4.92.1, ambas incluidas.

Además, el equipo de investigación de Qualys, que ha analizado el fallo afirma tener una prueba de concepto (PoC) funcional y que podrían existir otros métodos de explotación adicionales.

Aunque se ha propuesto el deshabilitar TLS como una forma de mitigación para servidores no actualizados, los desarrolladores del software no la recomiendan. Otra forma de mitigación es agregar las siguientes reglas como parte de la ACL de correo que verifican la existencia de un peer DN o SNI que finaliza con una barra invertida y, en caso de hallarlo, la conexión se rechazaría para bloquear el vector de ataque actualmente conocido:

deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

Sin embargo, las anteriores opciones podrían afectar a usos legítimos por lo que la única opción que realmente se debería contemplar, según palabras de Heiko Schlittermann -uno de los desarrolladores-, es actualizar a la versión 4.92.2 de Exim que solventa el fallo de seguridad.

Más información:
Critical Exim TLS Flaw Lets Attackers Remotely Execute Commands as Root
https://www.bleepingcomputer.com/news/security/critical-exim-tls-flaw-lets-attackers-remotely-execute-commands-as-root/

CVE-2019-15846: Exim – local or remote attacker can execute programs
https://www.openwall.com/lists/oss-security/2019/09/04/1

Exim servers
https://www.shodan.io/report/vRKzLpdS

Múltiples vulnerabilidades en PHP permiten ejecutar código remoto

La última actualización publicada de PHP revela múltiples fallos que han sido parcheados, tanto en el core como en diferentes librerías del lenguaje. La vulnerabilidad más severa permitiría ejecutar código remoto en el servidor de la víctima.

PHP es un lenguaje diseñado originalmente para ser utilizado en aplicaciones basadas en Web junto con HTML. En la actualidad aproximadamente el 78% de los portales web están escritos en PHP, según las estadísticas dew3techs

Los sistemas afectados a estas vulnerabilidades son los siguientes: 
– Versiones PHP 7.1 y anteriores a 7.1.32.
– Versiones PHP 7.2 y anteriores a 7.2.22.
– Versiones PHP 7.3 y anteriores a 7.3.9. 

Detalles técnicos de los errores según la actualización publicada por php.net:

BugRamas afectadas
#78363 Buffer overflow in zendparse 7.3 y 7.2 
#78379 Cast to object confuses GC, causes crash 7.3 y 7.2 
#78412 Generator incorrectly reports non-releasable $this as GC child 7.3 
#77946 Bad cURL resources returned by curl_multi_info_read() 7.3 y 7.2 
#78333 Exif crash (bus error) 7.3 y 7.2 
#77185 Use-after-free in FPM master event handling 7.3 
#78342 Bus error in configure test for iconv //IGNORE 7.3 y 7.2 
#78380 Oniguruma 6.9.3 fixes CVEs 7.3 
#78179 MariaDB server version incorrectly detected 7.3 y 7.2 
#78213 Empty row pocket 7.3 
#77191 Assertion failure in dce_live_ranges() 7.3 y 7.2 
#69100 Bus error from stream_copy_to_stream (file -> SSL stream) 7.3 y 7.2 
#78282 atime and mtime mismatch 7.3 y 7.2 
#78326 improper memory deallocation on stream_get_contents() 7.3 y 7.2 
#78346 strip_tags no longer handling nested php tags 7.3 
#75457 heap use-after-free in pcrelib 7.1

Entre los bugs parcheados se encuentra Oniguruma, una popular librería de expresiones regulares que se utiliza internamente en PHP (y en muchos otros lenguajes), que ha sido actualizada a la versión 6.9.3, debido a una vulnerabilidad de ejecución de código ‘user-after-free‘ asignada con el CVE CVE-2019-13224.

Este fallo podría permitir la ejecución de código en la aplicación afectada. En caso de fallar al ejecutar el exploit podría resultar en una denegación de servicio (DoS).

Como se puede observar, los fallos afectan a librerías y funciones ampliamente utilizadas como la función Exif, la extensión CurlOpcache FastCGI Proccess Manager (FPM) entre otros.

Por el momento no hay constancia de que estos fallos estén siendo aprovechados y explotados en aplicaciones o sistemas en producción en la red. Sin embargo es altamente recomendable que tanto usuarios como proveedores de hostings actualicen sus servidores a las últimas versiones publicadas 7.3.97.2.22, o 7.1.32.


Más información:

php.net
https://www.php.net/ChangeLog-7.php

Cisecurity
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/


The Hacker News
https://thehackernews.com/2019/09/php-programming-language.html

DNS spoofing en Kubernetes

Los permisos por defecto en los clusters de Kubernetes permiten realizar ARP spoofing, que entre otros riesgos deja tomar el control del DNS

Tal y como ha demostrado el analista de seguridad Daniel Sagi, el diseño de red de Kubernetes junto con los permisos por defecto permite a cualquier pod realizar DNS spoofing al resto de pods del cluster. Este tipo de ataques suplantan el servidor DNS para que las máquinas en vez de resolver al dominio deseado realicen la conexión a un servicio controlado por el atacante.

Para su funcionamiento, se aprovecha que Kubernetes concede por defecto el permiso ‘NET_RAW’ (el cual puede comprobarse con el comando ‘pscap -a’) con el que pueden enviarse paquetes ARP y DNS en bruto. Conceder el permiso para paquetes ARP sin restricciones permite realizar ataques ‘SPF Spoofing’, un tipo de ataque con el que engañar el resto de pods para hacerles creer que la IP del atacante es la del DNS del cluster.

El analista que ha alertado de esta vulnerabilidad ha subido a Github una Prueba de Concepto (PoC) para poder comprobar si somos vulnerables, además de un vídeo demostrando la explotación. Un posible ejemplo de explotación sería tomar el control del DNS para suplantar a un servicio web del cluster y recibir las peticiones del resto de pods.

Código a emplear para deshabilitar el permiso. Fuente: Aquasec.

Para mitigar esta vulnerabilidad puede deshabilitarse el permiso de ‘NET_RAW’ en los pods, el cual está permitido por defecto. Para ello puede usarse el código de la imagen superior. Este permiso, el cual resulta muy peligroso debería encontrarse bloqueado por defecto en Kubernetes para evitar posibles riesgos de seguridad.

Más información:
DNS Spoofing on Kubernetes Clusters:
https://blog.aquasec.com/dns-spoofing-kubernetes-clusters

iPhone Zero Days: un nuevo spyware de altas capacidades puede monitorizar toda la vida digital de las personas

14 vulnerabilidades en iPhone han sido el objetivo de cinco cadenas de exploits (herramientas que unifican vulnerabilidades de seguridad, permitiendo al atacante penetrar en cada capa de las protecciones digitales de iOS). Estas cadenas forman parte de un ataque que ha durado años; dos de estas vulnerabilidades se trataban de Zero Days.

iPhone
Fuente de la imagen: Pexels

Los sitios web infectados que fueron utilizados como medio para llevar a cabo el ataque contenían el spyware encargado de robar información de iMessages, fotos y localización GPS en tiempo real, según lo reportado por Ian Beer y el equipo de investigación Project Zero de Google.

«No había un objetivo específico; visitar el sitio hackeado era suficiente para que el exploit se ejecutase en el dispositivo, y en caso de ejecutarse con éxito, se instalaba un módulo de monitorización», escribió Beer en un blog el pasado viernes. «Estimamos que estos sitios reciben miles de visitas cada semana». Los sitios infectados estaban activos desde hace, al menos, dos años.

Beer dijo que en el ataque se habían usado siete bugs para el navegador deiPhone (Safari), cinco para el kernel y dos «sandbox escapes« (exploit que permite acceder a funcionalidades o procesos más allá de lo permitido en una aplicación normalmente). Google ha sido capaz de hacerse con cinco exploitstotalmente distintivos y únicos para iPhone, los cuales afectan casi a cada versión de estos dispositivos que van desde iOS 10 hasta la última versión de iOS 12.

Escribía el investigador:

Un análisis inicial indicó que al menos una de las cadenas de exploits para la escalada de privilegios era un 0-day, el cual no había sido solventado en el momento de su descubrimiento [enero] (CVE-2019-7287 y CVE-2019-7286).

El alcance de las versiones afectadas «apuntaban a un grupo que estaba haciendo un esfuerzo continuo para hackear a usuarios de iPhone en ciertas comunidades durante un periodo de tiempo de al menos dos años». Añadía Beer que la raíz de las vulnerabilidades revelaban código que, aparentemente, nunca había sido desarrollado correctamente, al cual le faltaban controles de calidad, o que «probablemente casi no se sometió a pruebas o revisiones antes de ser entregados a los usuarios (los dispositivos)».

Google informó sobre estos problemas a Apple en enero, lo que resultó en el lanzamiento apresurado de iOS 12.1.4 en febrero de 2019, el cual no estaba programado para esa fecha; las vulnerabilidades se dieron a conocer públicamente en ese momento.

Detalles del módulo

El payload del malware usado en el ataque es algo personalizado y desarrollado para realizar tareas de monitorización. Este payload hace peticiones mediante comandos desde un servidor C&C (C2) cada sesenta segundos, y se centra principalmente en robar archivos y obtener datos de localización en tiempo real. El análisis de Beer mostró que se pueden evitar algunas de las medidas de seguridad usadas por disidentes para, por ejemplo, proteger su privacidad (y en muchos casos su seguridad física).

Según el investigador, los atacantes usaron las cadenas de exploits para conseguir ejecutar código fuera de un entorno sandbox como usuario rooten los iPhones. Tras lograr esto, los atacantes ejecutaban «posix_spawn«, pasando la ruta al módulo, el cual era almacenado en /tmp; esto hacía que el módulo corriese en segundo plano con privilegios root.

«El implante se ejecuta en el espacio del usuario, aunque fuera de un entorno sandbox y con privilegios de root seleccionados por el atacante para asegurarse de que puede seguir accediendo a la información privada en la que estaban interesados», detallaba Beer. «Usando jtool, podemos ver los privilegios que tiene el módulo… los atacantes tienen control total sobre estos, ya que usaban el exploit para el kernel con el objetivo de añadir el hash del código del módulo a la caché del kernel«.

Durante la prueba, Beer fue capaz de usar el malware para robar archivos de la base de datos de un teléfono infectado, el cual era usado por aplicaciones de mensajería instantánea cifrada de extremo a extremo como WhatsApp, iMessage y Telegram – lo cual significa que pudo hacerse con el texto plano de los mensajes enviados y recibidos.

Ejemplo de robo de información de mensajería instantánea cifrada de extremo a extremo
Fuente de la imagen: The Hacker News

Esta misma técnica podía ser usada en todo el dispositivo.

«El implante puede subir archivos privados usados por todas las aplicaciones del dispositivo, como por ejemplo el contenido en texto planode emails enviados con la aplicación Gmail, los cuales eran subidos al servidor del atacante», comunicaba Beer.

El implante también realiza copias de los contactos del usuario (nombres completos y números de teléfono) almacenados en la agenda de contactos del iPhone, copias de fotos, y puede hacerse con la localización en tiempo real del usuario, actualizando esta última información hasta una vez por minuto si el dispositivo está conectado a alguna red.

Los atacantes podrían conseguir la persistencia en el dispositivo infectado mediante el robo de tokens usados por servicios como iOS Single-Sign-On de Google. Dicha información será transmitida al atacante y podrá ser usada para tener acceso a la cuenta de Google del usuario incluso una vez el implante deje de ser ejecutado. Para que el módulo deje de correr en el dispositivo será necesario reiniciarlo, e incluso así, si tras el reinicio el usuario volviese a visitar el sitio web comprometido, la infección tendría lugar nuevamente.

La dirección IP del servidor a la que se suben los archivos se encuentra incrustada en el binario del módulo, algo que algunos investigadores que se han pronunciado sobre el asunto consideran un «error amateur» frente a la sofisticación de los Zero Days explotados, llegando a especular que tras el ataque se encuentra un estado cuyo objetivo es monitorizar a un grupo concreto de la población y que habría comprado el 0-day por una importante suma de dinero, siendo sus desarrolladores, aparentemente recién iniciados en el mundo del ciberespionaje de acuerdo a los investigadores, quienes se encargaron de desarrollar el malware e introduciendo en su estructura la dirección IP del servidor, lo cual podría facilitar la localización del grupo atacante.

Junto al robo de información privada de los usuarios, igualmente preocupante resulta el hecho de que nada está cifrado -todo se envía al C2 vía HTTP (no HTTPs), abriendo la posibilidad de que los datos sean filtrados a otras personas. Este es otro aspecto que hace pensar a algunos investigadores que el grupo atacante es relativamente inexperto. «Si te conectas a una red de Wi-Fi no cifrada esta información estará siendo transmitida a todo aquel que está a tu alrededor, a tu operador de red y a cualquier intermediario hasta llegar al servidor de Control y Comando», informaba Beer.

En cuanto a los usuarios, estos no se habrían dado cuenta de que habían sido infectados, permitiendo así que el binario obtuviese la información personal durante todo el tiempo que el usuario permaneciera sin reiniciar el dispositivo. «No hay un indicador visual que muestre que se está ejecutando el implante en el dispositivo. No hay manera de que un usuario de iOS vea una lista de procesos, de manera que el binario del módulo no intenta ni siquiera esconder su ejecución en el sistema», según lo reportado por el investigador.

Los sitios webs usados para el ataque tenían como objetivo cierto grupo de personas. Aunque no dijo explícitamente si se trataba de personajes del mundo de la política o grupos demográficos, Beer dio a entender que se trataba del primer grupo. Tampoco se tiene información sobre quién se encuentra detrás del ataque, pero tanto la sofisticación del ataque como su objetivo de espionaje sugiere, como se ha mencionado previamente, que se trata de un grupo de hackers respaldados por un estado.

Ian Beer explica que es necesario dejar a un lado la noción de que cualquier usuario de iPhone que haya podido ser hackeado es «el disidente del millón de dólares» (un nickname que se le dio al activista de derechos humanos de Emiratos Árabes Unidos, Ahmed Mansour, actualmente encarcelado, después de que su iPhone fuese hackeado). El nickname «disidente del millón de dólares» vino por lo costoso que se estimó que fue el proceso de hackear el iPhone de este activista, y con respecto a esto Beer dice que no tiene intención de iniciar una conversación sobre cuánto cuesta una campaña como la tratada en este artículo, pero dice que todos los precios dados «parecen bajos considerando la capacidad de monitorización de las actividades privadas de poblaciones enteras en tiempo real».

El investigador también dijo que los sitios web infectados, los zero-days y losexploits descubiertos por Google durante la investigación son más bien la punta del iceberg, aclarando que «todavía hay muchos otros que están por verse».

Desde Hispasec Sistemas no solo recomendamos que los usuarios mantengan sus dispositivos actualizados; también secundamos el consejo proporcionado por Beer, quien advirtió a los usuarios alentándoles a que fuesen más precavidos ante la amenaza real de los ciberataques, y a que consideren dónde podría acabar un día toda la información que se encuentra en sus dispositivos.

Más información:

iPhone Zero-Days Anchored Watering-Hole Attacks

The Million Dollar Dissident

Hack Exploited Apple Users for Two Years

Mysterious iOS Attack Changes Everything We Know About iPhone Hacking

Google Uncovers How Just Visiting Some Sites Were Secretly Hacking iPhones For Years

Noticias de Seguridad Agosto 2019

El Banco Central Europeo cierra el portal «BIRD» tras sufrir un ataque

El Banco Central Europeo ha confirmado que ha sido víctima de un ciberataque exponiendo información de contacto de sus subscriptores

Con sede en Alemania, el BCE es el banco central de los 19 países europeos que han adoptado el euro como moneda única y es el responsable de supervisar las políticas de protección de los sistemas bancarios de estos países.

A través de un comunicado publicado el jueves, el BCE informó de una brecha de seguridad producida en la web de su sistema BIRD (Banks’ Integrated Reporting Dictionary – Banco Internacional de Reconstrucción y Desarrollo), que estaba alojada en un proveedor diferente al resto de la infraestructura del Banco Central.

Lanzado en 2015, BIRD es la institución del Banco Mundial encargada de la financiación, asistencia y apoyo a las economías del Segundo Mundo o economías en proceso de desarrollo.

En el momento de escribir esta noticia, la web de BIRD muestra un aviso a los visitantes indicando que el sitio está caído por labores de mantenimiento.

Según la agencia Reuters, hay evidencias de que el sitio web de BIRD fue comprometido en diciembre de 2018, aunque la brecha de seguridad ha sido descubierta la pasada semana durante una labor de mantenimiento rutinaria.

Los atacantes instalaron malware en la máquina que aloja BIRD para hospedar software de phishing, lo que les pudo haber permitido robar información de emails, nombres y cargos laborales de 481 subscriptores.

El BCE asegura que la información robada no contiene contraseñas y que sus sistemas internos no se han visto afectados ya que la infraestructura de BIRD está físicamente separada del resto de sistemas críticos.

Esta no es la primera vez que el BCE se ve afectado por una brecha de seguridad; En 2014, unos atacantes desconocidos lograron comprometer la base de datos asociada al sitio web principal del Banco Central, exponiendo los datos de contacto de las personas registradas a los eventos celebrados por el Banco Central.

Más Información:

https://www.ecb.europa.eu/press/pr/date/2019/html/ecb.pr190815~b1662300c5.en.html
https://www.bbc.com/news/business-28458323
https://thehackernews.com/2019/08/european-central-bank-hack.html

Sodin, el ransomware que se aprovecha de los MSP

A finales de marzo de este mismo año Kaspersky informaba sobre un nuevo vector de ataque para los ciberdelincuentes. Se trata de los proveedores de servicios gestionados (MSP – Manage Service Provider), un objetivo que puede llegar a ser muy lucrativo.

En especial, el ransomware Sodin (también conocido como Sodinokibi y REvil) ha dado muchos quebraderos de cabeza a diferentes expertos en el mundo de la seguridad. Sodin aprovechó una vulnerabilidad en servidores Oracle WebLogic para introducirse en los sistemas de los MSP y, además, no es necesaria la participación del usuario para activarse.

Propagación de Sodin

Los atacantes aprovecharon la vulnerabilidad CVE-2019-2725 para ejecutar un comando en PowerShell en un servidor de Oracle WebLogic y cargar undropper (Software diseñado para instalar algún tipo de malware) que, más tarde, instalaría el ransomware Sodin.

En abril, Oracle lanzó los parches para corregir la vulnerabilidad de la que hablamos más arriba, pero a finales de junio se descubrió la vulnerabilidadCVE-2019-2729, similar a la anterior.

En algunos casos los atacantes utilizaron las consolas de acceso en remoto Webroot y Kaseya para enviar el troyano. En otros casos los atacantes consiguieron penetrar en la infraestructura de los MSP mediante una conexiónRDP y descargaron el ransomware en los ordenadores de los clientes.

Esquema criptográfico

Sodin utiliza un esquema híbrido para cifrar los archivos. el contenido del archivo es cifrado mediante el algoritmo salsa20, y las claves con un algoritmo asimétrico de curva elíptica.

Generación de la clave

La configuración de Sodin contiene el campo pk, que se guarda en el registro con el nombre sub_key; esta es la clave pública de 32 bytes del distribuidor del troyano.

cuando se ejecuta, el troyano genera un nuevo par de claves de sesión. la clave pública se guarda en el registro con el nombre pk_key, mientras que la clave privada se cifra usando el algoritmo ECIES, con la clave sub_key y se almacena en el registro con el nombre sk_key.

La misma clave de sesión privada también se cifra con otra clave pública codificada en el cuerpo del troyano. El resultado del cifrado se almacena en el registro con el nombre 0_key.

Si alguien conoce la clave privada correspondiente a la clave con la que se ha cifrado 0_key, puede descifrar los archivos de la víctima, incluso sin la clave privada para sub_clave. Todo indica que los desarrolladores del troyano crearon una forma de descifrar archivos a espaldas de los distribuidores.

fragmento del procedimiento de generación y almacenamiento

Cifrado de archivos

Durante el cifrado de cada archivo se genera un nuevo par de claves asimétricas, file_pub y file_priv. A continuación se calcula el SHA3-256 y el resultado se utiliza como clave simétrica para cifrar el contenido del archivo con el algoritmo Salsa20.

Además de los datos descritos anteriormente también se encuentra un archivo para la inicialización del cifrado Salsa20.

Los archivos cifrados reciben una nueva extensión arbitraria, la nota de rescate se guarda junto a los archivos cifrados y el fondo de pantalla generado por el malware se configura en el escritorio.

fondo de pantalla
demandas de los delincuentes

Como podemos ver, se está consiguiendo un grado muy alto de especialización y sofisticación por parte de los desarrolladores de malware que, a día de hoy, pone a prueba a los analistas de todo el mundo.

Más información:

https://www.darkreading.com/attacks-breaches/attackers-exploit-msps-tools-to-distribute-ransomware/d/d-id/1335025

Distribución de Phishings a través de servicios legítimos

Investigadores de ProofPoint han descubierto una nueva campaña de phishingque utiliza AWS (Amazon Web Services) para alojar las webs fraudulentas.

Distribución de Phishings a través de servicios legítimos

A finales de julio ProofPoint detectaba que algunos de sus phishings monitorizados estaban alojados en AWS, algo poco habitual dadas las restricciones a las que están sometidos para su temprana detección.

La tendencia en los ataques de phishing parece estar tomando un nuevo camino: cada vez se hace más habitual encontrar los kits fraudulentos en servicios de almacenamiento en la nube como GitHubDropbox Google Drive.

Pero no solo están almacenando los kits en la nube, además aprovechan servicios como WeTransfer DocuSign para distribuir páginas que redirijan a los phishing y eludir así las defensas del correo electrónico a la hora de comprobar si la URL es fraudulenta. Los atacantes aprovechan un servicio legítimo que genera una falsa confianza en la víctima de la que aprovecharse para que haga clic en el correo y abra el archivo HTML que la redirija a la página fraudulenta.

Algo similar está ocurriendo con AWS. Los cibercriminales están utilizando diferentes técnicas de codificación mediante JavaScript para evitar que las páginas sean detectadas como una amenaza. Hay que tener en cuenta que los atacantes buscan en todo momento no ser detectados, por ello han incrementado el uso de plataformas de almacenamiento en la nube para alojar estas páginas falsas.

Como ya hemos visto, AWS no es la única empresa que se está viendo afectada por este problema. Otras como Microsoft Github lo han sufrido.

Más información: 

Proofpoint
https://www.proofpoint.com/us/threat-insight/post/phishing-actor-using-xor-obfuscation-graduates-enterprise-cloud-storage-aws

Ataque de ransomware vía RDP afecta a las PYMES

A lo largo de la historia del ransomware hemos visto diferentes vectores de ataque. En esta nueva entrada vamos a descubrir cómo los atacantes utilizan el protocolo RDP de Microsoft para introducir el ransomware en los equipos de sus vícitimas.

El protocolo RDP es utilizado habitualmente para conectarse de forma remota a los escritorios de oficinas, por lo que se ha convertido en un vector de ataque atractivo para los ciberdelincuentes y que puede causar la parálisis de una PYME con una alarmante facilidad.

La siguiente imagen es una búsqueda de escritorios remotos en Shodan. Como podemos ver, Shodan nos devuelve casi 5 millones de resultados(51.154 dispositivos encontrados en España), lo que no quiere decir que todas ellas tengan RDP activo, el grueso de la búsqueda solo serán dispositivos con el puerto 3389 abierto, pero podemos intuir que hay un gran número de posibles víctimas, y muchas de ellas pertenecerán a empresas y organizaciones que pueden quedar paralizadas si sus datos son comprometidos.

¿Cómo explotan los cibercriminales RDP?

Existen dos vectores de ataque distintos, hemos visto ataques que explotan vulnerabilidades en RDP y que son algo más sofisticados pero la gran mayoría de las intrusiones en los sistemas que utilizan este protocolo se han llevado a cabo utilizando fuerza bruta para romper contraseñas débiles, o mucho más fácil, buscar las contraseñas en BBDD leakeadas.

Una vez que los atacantes tienen acceso al equipo de la víctimas solo tienen que desactivar manualmente el antivirus que se esté utilizando e instalar el software de rescate para infectar el equipo.

Los resultados de un ataque de ransomware pueden resultar devastadores para las PYMES pero no solo afecta al pequeño comercio, se han dado casos de hospitales que han sido infectados y han tenido que pagar el rescate para poder tener acceso a sus archivos.

En el último año grupos como Matrix y SamSam han ido abandonando los distintos vectores de ataque para dedicarse casi por completo a la infección por RDP. Como ya vimos en este mismo blog el pasado 31 de mayo, más de 1 millón de máquinas eran vulnerables a BlueKeep (CVE-2019-0708), lo que podría desencadenar un «brote de ransomware por todo el mundo en cuestión de horas» según Matt Boddy, experto en seguridad de Sophos.

Según explicó Matt, en la actualidad hay más de 3 millones de dispositivos vulnerables a ataques por RPD, se ha estado informando sobre cómo todos los honeypots fueron descubiertos en pocas horas para su explotación, tan solo porque estaban expuesto en Internet.

La conclusión que nos aportaba era la de reducir el uso del protocolo RDP siempre que sea posible y utilizar contraseñas robustas que dificulten los ataques por fuerza bruta. Todas las empresas deben actuar en consecuencia e implementar protocolos de seguridad que ayuden a minimizar el riesgo y la exposición para protegerse contra estos cibercriminales.

Más información:

PDF Infrome Sophos

Descubierta vulnerabilidad que permite manipular pequeñas avionetas

El Department of Homeland Security de los estados unidos ha publicado una alerta avisando a los propietarios de aviones pequeños y pidiendo que realicen las mitigaciones recomendadas para evitar que un atacante se aproveche de la vulnerabilidad para tomar el control de la avioneta.

La vulnerabilidad descubierta y publicada en este reporte de Rapid7, reside en las implementaciones modernas del bus de datos CAN (Controller Area Network), un popular estándar de redes que se aplica en algunos vehículos y aeronaves que posibilita que los microcontroladores y dispositivos se comuniquen entre sí.

La investigación llevada a cabo en los laboratorios de Rapid7 empleó el el uso de dos sistemas de dos fabricantes distintos para realizar el ataque. Lo que encontraron fue:

Fabricante X

En la implementación realizada por el que llamaremos: Fabricante X, se descubrió que el CAN ID 0x205 era el responsable de la presión y temperatura del aceite además de las lecturas de temperatura de dos culatas. Enviando un mensaje elaborado utilizando este CAN ID, en Rapid7 fueron capaces de enviar mensajes falsos relativos a la presión, temperatura del aceite y lecturas falsas de la temperatura de dos culatas.

También se identificaron, para esta implementación, algunos CAN ID más como el 0x241 que es el encargado de la brújula o los 0x281-284, encargados de la altitud y el sistema de referencia de rumbo (AHRS), actuando el AHRS como nodo 1. Los nodos 2,3 y 4 hacían referencia a los IDs 0x291-294, 0x2A1-2A4 y 0x2B1-2B4 respectivamente.

Los mensajes de AHRS fueron modificados mediante ingeniería inversa utilizando mensajes de falsificados de unidades AHRS inexistentes, logrando cambiar la altitud de la aeronave mostrada, lo que muestra una posición incorrecta de la avioneta.

CAN IDs falsificados. Fuente: rapid7.com

La naturaleza del bus de datos CAN permite a cualquier dispositivo con acceso físico a los a los CANs enviar mensajes falsos al bus. Los paquetes CAN no disponen de ninguna dirección de destino ni ningún otro mecanismo de autenticación, lo que presenta el problema de no poder identificar quién está enviando dichos mensajes. Esta característica lo hace especialmente sencillo de implementar, pero dificulta mucho su configuración de forma segura al utilizar un medio compartido y, como hemos hecho alusión, no presentar ningún mecanismo de identificación.

Fabricante Y

Por otro lado, en la implementación realizada por el que llamaremos Fabricante Y, Rapid7 identificó el CAN ID 0x10342200 era el encargado de controlar y mostrar la presión del aceite. Rapid7 fue capaz de mostrar cómo, creando mensajes elaborados y utilizando este CAN ID, eran capaces de enviar lecturas falsas relativas a la presión del aceite.

Paquetes CAN manipulados. Fuente: rapid7.com

También se detectó que la brújula electrónica utilizaba CAN ID 0x10A8200 0x10A82100 para estos mensajes. El CAN ID 0x10A8200 actuó como un paquete de encabezado, con el tercer byte actuando como un indicador de longitud. Los campos de rumbo magnético, tiempo y fuerza del campo magnético fueron modificados por técnicas de análisis de protocolo estándar.

Mensaje de la brújula de la aeronave. Fuente: rapid7.com

Algunas mitigaciones

Como se ha visto, muchas de estas vulnerabilidades derivan de problemas de seguridad física. El DHS así lo menciona y da algunas recomendaciones en la sección de «Mitigations» de la alerta publicada. Entre sus propuestas como posibles mitigaciones tenemos:

  • Restringir lo mejor posible los accesos físicos a las aeronaves.
  • Realizar un análisis de impacto y uno de evacuación para así poder elaborar medidas de seguridad efectivas

Más información:

ICS Alert (ICS-ALERT-19-211-01)
https://www.us-cert.gov/ics/alerts/ics-alert-19-211-01

Investigating CAN Bus Network Integrity in Avionics Systems
https://www.rapid7.com/research/report/investigating-can-bus-network-integrity-in-avionics-systems/

Vulnerabilidad en ElasticSearch: bases de datos convertidas en Botnet «Zombies»

ElasticSearch, un motor de análisis con el que se pueden realizar búsquedas muy rápidas, escrito en Java y partícipe de la filosofía del desarrollo de código abierto, se ha convertido en uno de los objetivos de los cibercriminales en la actualidad debido al aumento de su popularidad. Recientemente se ha descubierto una nueva vulnerabilidad que compromete su funcionamiento: la transformación de sus bases de datos en botnets destinadas a realizar ataques de denegación de servicios distribuidos (DDoS). Este ataque es realizado a partir del malware Setag, con trazas del malware BillGates, descubierto por primera vez en 2014.

Para llevar a cabo el ataque, el malware se aprovecha de las bases de datos o servidores de ElasticSearch que, o bien son públicos, o han sido expuestos. El ataque es realizado en dos fases diferentes:

1ª FASE: el dropper ejecuta el script s67.sh, el cual define qué shell usar y dónde encontrarla, tratando posteriormente de deshabilitar el firewall. Se descargará entonces un segundo script (s66.sh) usando el comando curl (o wget en caso de que el comando curl no funcione).

Fragmentos de código del script de la 1ª fase
Fuente la imagen: Trend Micro

2ª FASE: el segundo script descargado también define qué shell usar y deshabilita el firewall del sistema. En cambio, este script eliminará algunos archivos posiblemente relacionados con la minería de criptomonedas, así como otros de configuración almacenados en el directorio /tmp. Después el script matará algunos de estos procesos que tienen que ver con la minería de criptomonedas, entre otros. El siguiente paso será eliminar los rastros de la infección inicial y matar procesos que tienen lugar en puertos TCP. En esta segunda etapa también se descargan los binarios.

Fragmentos de código del script de la 2ª fase y los procesos que mata
Fuente de la imagen: Trend Micro
Fragmentos de código que muestran cómo se matan los procesos en puertos TCP
Fuente de la imagen: Trend Micro

Los atacantes hacen uso de dominios desechables, ya que éstos permiten cambiar las URLs cuando son detectadas. Además, el uso de sitios web comprometidos también permite al atacante evadir cierto tipo de detecciones. Estas páginas web comprometidas contienen el payload a descargar.

Cadena de infección del ataque
Fuente de la imagen: Trend Micro

En cuanto a los binarios, Trend Micro detectó una backdoor variable que roba información sobre el sistema y que tiene la capacidad de iniciar ataques DDoS. Estas muestras contienen rasgos característicos del malware BillGates, aparecido por primera vez en 2014 y conocido por provocar secuestros de sistemas y ataques DDoS, funcionalidades que también se encuentran en Setag. El payload cuenta con código que previene acciones de debugging y además revisa si el archivo ha sido manipulado. Este malware también reemplaza las herramientas de sistema afectadas con una copia propia y las transfiere al directorio /usr/bin/dpkgd. Para lograr la persistencia se ejecuta un script que crea una copia de sí mismo en las siguientes rutas:

  • /etc/rc{1-5}.d/S97DbSecuritySpt
  • /etc/rc{1-5}.d/S99selinux
  • /etc/init.d/selinux
  • /etc/init.d/DbSecuritySpt
Fragmentos de código:
1. Anti-debugging (arriba a la izquierda)
2. Ejecución en etapas múltiples (arriba en el centro)
3. Tipos de ataques DDoS (arriba a la derecha)
4. Lista de herramientas que reemplaza (abajo)
Fuente de la imagen: Trend Micro

Como conclusión, se recomienda a cualquier empresa que use ElasticSearch que esté al tanto de las posibles vulnerabilidades que vayan apareciendo, y que de la misma forma implementen el parche publicado por ElasticSearch para solucionar el problema actual.

Más información

Multistage Attack Delivers BillGates/Setag Backdoor, Can Turn Elasticsearch Databases into DDoS Botnet ‘Zombies’

New malware attack turns Elasticsearch databases into DDoS botnet

¿Qué es y cómo funciona Elasticsearch?

Investigadores de ‘Project Zero’ publican exploits remotos para iOS

Los investigadores han publicado finalmente pruebas de concepto detalladas de exploits que podrían aprovechar de forma remota vulnerabilidades existentes en el código de iOS de Apple a través de un mensaje especialmente elaborado y enviado vía iMessage

Según las pruebas de concepto, la explotación de algunas de estas vulnerabilidades no requeriría de intervención alguna por parte del usuario, lo que eleva la clasificación del riesgo de estas brechas. Todas fueron reportadas a Apple por Samuel Gross y Natalie Silvanovich, miembros de Project Zero. La compañía parcheó las vulnerabilidades la semana pasada con su actualización 12.4 para iOS.

De esas vulnerabilidades descubiertas, al menos cuatro no requieren de intervención alguna del usuario y tendrían que ver con fallos de corrupción de memoria que tienen lugar cuando se intenta acceder a la misma una vez ha quedado liberada. Este fallo podría, según los investigadores, permitir la ejecución de código arbitrario en aquellos dispositivos iOS afectados. 

Los investigadores, sin embargo, aún no han publicado todas las vulnerabilidades descubiertas. Dado que una de ellas (CVE-2019-8641) no ha sido mitigada en la última actualización, el equipo de Project Zero ha decidido mantenerla en privado por ahora.

Otra de las vulnerabilidades, catalogada como CVE-2019-8646, responde a un fallo de tipo ‘lectura fuera de límites’ que puede ser aprovechado de forma remota simplemente mediante el envío de un mensaje vía iMessage. Pero, en vez de la ejecución de código arbitrario, este fallo permite la lectura del contenido de archivos guardados en el dispositivo iOS de la víctima, gracias a la filtración de memoria.

A continuación enumeramos las vulnerabilidades publicadas y los enlaces asociados a cada una de ellas:

Dado que ya han sido publicadas pruebas de concepto que explotan con éxito estos fallos, es muy recomendable la actualización de todos los dispositivosiOS, ya sean iPhoneiPad o iPod a la última actualización para iOS 12.4.

Ataque basado en tiempo permite saber si estás usando el modo incógnito de Chrome

La API del sistema de archivos de Chrome es mucho más rápida en modo incógnito, lo que permite conocer si se está utilizando este modo.

A partir de la versión 76 de Google Chrome se añadió como novedad una implementación de la API FileSystem (API de Sistema de Archivos) para el modo incógnito. Esta novedad se incluyó para prevenir que los sitios web pudiesen saber si este modo estaba en uso en función de la disponibilidad de esta API.

No obstante, la implementación que realiza no escribe a disco como es habitual, sino a memoria. Estas escrituras resultan mucho más rápidas yestables, lo que permite diferenciar fácilmente si el modo incógnito está en uso. Además, en esta modalidad la cuota de disco asignada es mucho menor, lo que ayuda a diferenciarlo.

Gráfica comparando la velocidad de escritura de ambas modalidades. Fuente: blog.jse.li.

El problema ya era conocido desde 2018 por los mismos desarrolladores de Chrome, proponiendo como alternativa cifrar los datos a disco y mantener los metadatos en memoria. No obstante, tal y como sugiere el investigador Jesse Li, que ha realizado esta investigación, cifrar los datos a disco dejaría evidencias para el resto de usuarios del sistema de que se está usando el modo incógnito por la mera existencia de estos ficheros cifrados y su tamaño.

El investigador ha publicado una Prueba de Concepto (PoC) para que cualquiera pueda comprobar en su máquina los resultados de su estudio, la cual también cuenta con una demo en su sitio web.

Más información:

Detecting incognito mode in Chrome 76 with a timing attack:
https://blog.jse.li/posts/chrome-76-incognito-filesystem-timing/

chrome-filesystem-timing:
https://github.com/veggiedefender/chrome-filesystem-timing

Demo:
https://jse.li/chrome-filesystem-timing/