Ejecución remota de comandos a través de Cisco WebEx

Cisco ha informado de una grave vulnerabilidad detectada en su cliente de videoconferencias WebEx que permitiría a un atacante remoto ejecutar comandos arbitrarios con privilegios de sistema.

WebEx es un popular servicio que permite realizar reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

Los investigadores Ron Bowes y Jeff McJunkin descubrieron en un pentesting rutinario esta vulnerabilidad que han bautizado como «WebExec«. El fallo se encuentra en el servicio ‘WebexUpdateService’ y se le ha asignado el código CVE-2018-15442.Buscando alguna forma de elevar privilegios a través del cliente de WebEx, los investigadores descubrieron dos cosas. Una: que el directorio ‘c:\ProgramData\WebEx\WebEx\Applications\’ podía ser escrito y leído por cualquier usuario. Y dos: que el cliente de WebEx instala el servicio ‘webexservice’ que puede ser iniciado y detenido por cualquier usuario. Por lo tanto, sería trivial reemplazar el ejecutable por otro y conseguir ejecutar código arbitrario con privilegios de sistema.

Esta vulnerabilidad fue reportada a Cisco, quien publicó un parche el 5 de septiembre que implementaba una ‘whitelist’ de aplicaciones que podían ser ejecutadas desde ese directorio.

Los investigadores siguieron buscando alguna forma de ejecutar código por ese medio.

Tras hacer ingeniería inversa al ejecutable ‘WebExService.exe’, determinaron que a través del método ‘software-update’, un usuario sin privilegios podía ejecutar cualquier comando de la siguiente forma:

Esto lanzaría la calculadora con privilegios de sistema.

Notar que no podemos ejecutar directamente cmd.exe o powershell, pero nada nos impide ejecutarlos a través de wmic.exe o net.exe de la siguiente forma:

Como vemos, con privilegios de administrador:

Hasta ahora sólo hemos conseguido la ejecución local de un comando arbitrario.
Para conseguir la ejecución remota tenemos dos opciones:

Bien iniciar sesión en la máquina remota y ejecutar el comando anterior.

O bien, podemos crear un usuario local con las mismas credenciales y ejecutar el comando contra la máquina remota en el contexto de este nuevo usuario (con ‘runas /user:newuser cmd.exe’):

La vulnerabilidad fue descubierta el 24 de julio de este año y divulgada de forma responsable a Cisco, quien publicó dos parches el 5 de septiembre y el 3 de octubre que limitaban los permisos de ejecución a ejecutables firmados por WebEx.

Se recomienda actualizar cuanto antes a las versiones Cisco Webex Meetings Desktop App Release 33.6.0 y/o Cisco Webex Productivity Tools Release 33.0.5 o posteriores.

 

Más información:

Technical Rundown of WebExec
https://blog.skullsecurity.org/2018/technical-rundown-of-webexec

WebExec FAQ
https://webexec.org/

 

Cisco Webex Meetings Desktop App Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection

Nueva versión de Signal permite encriptar la identidad del remitente

La aplicación de mensajería Signal planea implementar una nueva función que pretende ocultar la identidad del remitente de posibles atacantes que intercepten la comunicación.

Desde hace algún tiempo las aplicaciones de mensajerías como WhatsApp o Telegram entre otras han implementado cifrados en la comunicación, pero estos paquetes cifrados contenían y contienen pequeñas dosis de información que podría permitir conocer los agentes implicados en la comunicación y la hora de los mensajes. Aquí tenemos una comparativa sobre el cifrado en la comunicación de las distintas aplicaciones.

1. WhatsApp: la aplicación de Whatsapp basa su cifrado en el protocolo de Signal.
2. Telegram: la aplicación de Telegram basa su cifrado en el protocolo MTProto.
3. Signal: AES por cada conversación y se basa en OTR con modificaciones incluyendo ahora “Sealed Sender”.

En el caso de Signal la aplicación encripta el mensaje usando su protocolo habitual, en este mensaje se incluye el certificado del remitente y se empaqueta todo. Este paquete se cifra y se envía junto con un token de entrega que el destinatario finalmente descifra mensaje tras validar la clave de la identidad del remitente.

Se debe tener en cuenta que la nueva técnica de Signal elimina la capacidad de la compañía de verificar (por parte de ella) el certificado del remitente aunque la compañía ya está introduciendo soluciones alternativas que permiten a los usuarios poder verificar quién les envió determinado mensaje. Esta nueva característica se encuentra en fase beta, por lo que los usuarios que tengan esta versión podrán probarla.

Mas información:

Signal Secure Messaging App:
https://thehackernews.com/2018/10/signal-secure-messaging-metadata.html

Whatsapp PDF Tech:
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf

Telegram FAQ MTProto:
https://core.telegram.org/techfaq

Signal FAQ Tech:
https://support.signal.org/hc/en-us/articles/360007320391-Is-it-private-Can-I-trust-it-

ONTSI presenta una nueva edición del «Estudio sobre la Ciberseguridad y Confianza en los hogares españoles»

Esta investigación analiza el estado de la ciberseguridad en los hogares digitales españoles. En él se detallan la adopción de medidas relacionadas con la seguridad digital, el nivel de incidencia real de situaciones que pueden constituir riesgos y el grado de confianza que los hogares españoles depositan en la Sociedad de la Información.

Las distintas informaciones del documento, se han obtenido a través de dos vías: recopilación de datos declarados –mediante encuestas en 3.512 hogares españoles–, y datos reales –a través de un software específico que analiza los sistemas y la presencia de malware en los equipos y dispositivos gracias a la utilización conjunta de 50 motores antivirus–. Esta dualidad de fuentes permite contrastar el nivel real de incidentes que sufren los equipos con la percepción que tienen los usuarios. Además, se incluyen los resultados del análisis de más de 2000 dispositivos Android.

Desde Hispasec hemos colaborado de forma activa en realización de este estudio, mediante el desarrollo y utilización del software Pinkerton, destinado a analizar los sistemas recogiendo datos del sistema operativo, su estado de actualización y las herramientas de seguridad instaladas, así como la presencia de malware.

Los datos reflejados en este informe abarcan el análisis de los datos recogidos entre enero y junio de 2018. Como es habitual los datos son interesantes y reveladores. En el mismo documento, se ofrecen enlaces, a través del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) de Red.es, para que los usuarios puedan consultar consejos y ayudas para mejorar su ciberseguridad en los distintos ámbitos en los que se centra el estudio. Por lo que no solo resulta interesante por sí mismo, sino que además resulta de gran interés por los enlaces e información de ayuda al usuario que ofrece.

El estudio completo se puede descargar desde la página del ONTSI en el siguiente enlace.

El informe recoge muchos más datos de interés:

• Medidas de seguridad
  Definición y clasificación de las medidas de seguridad, uso de medidas de seguridad en el ordenador del hogar, medidas de seguridad utilizadas en redes inalámbricas Wi-Fi, uso de medidas de seguridad dispositivos Android, motivos de no utilización de medidas de seguridad.
• Hábitos de comportamiento en la navegación y usos de Internet
  Banca en línea y comercio electrónico, descargas en Internet, alta en servicios en Internet, redes sociales, hábitos de uso de las redes inalámbricas Wi-Fi, hábitos de uso en dispositivos Android.
• Incidentes de seguridad
  Tipos de malware, incidencias de seguridad, incidentes por malware, tipología del malware detectado, peligrosidad del código malicioso y riesgo del equipo, malware vs. sistema operativo, malware vs. actualización del sistema, malware vs. Java en PC, incidencias de seguridad en las redes inalámbricas Wi-Fi.
• Consecuencias de los incidentes de seguridad y reacción de los usuarios
  Intento de fraude online y manifestaciones, seguridad y fraude, cambios adoptados tras un incidente de seguridad
• Confianza en el ámbito digital en los hogares españoles
  e-Confianza y limitaciones en la Sociedad de la Información, percepción de los usuarios sobre la evolución en seguridad, valoración de los peligros de Internet, responsabilidad en la seguridad de Internet.
• Conclusiones y Alcance del estudio

Laboratorio Hispasec

Más información:

 

CIBERSEGURIDAD Y CONFIANZA EN LOS HOGARES ESPAÑOLES (MAYO 2018)

http://www.ontsi.red.es/ontsi/sites/ontsi/files/Resumen ejecutivo Ciberseguridad y Confianza en los hogares españoles %28mayo 2018%29_0.pdf

ONTSI | Observatorio Nacional de las Telecomunicaciones y de la SI
http://www.ontsi.red.es/ontsi/

Descubiertas vulnerabilidades críticas en el sistema operativo de Amazon: FreeRTOS

Un investigador ha descubierto varias vulnerabilidades críticas en FreeRTOS las cuales exponen una amplia gama de dispositivos IoT al ataque de ciber delincuentes.

Riesgo de intrusiones en dispositivos D-Link

Hace unos días, Blazej Adamczyk reportó una serie de vulnerabilidades en los dispositivos D-Link que podrían permitir a un atacante hacerse con el control del router, incluso le permitiría ejecutar código directamente.

Extraído de Amazon.es

Los dispositivos afectados son: DWR-116, DWR-512, DWR-712, DWR-912, DWR-921 y DWR-111, aunque también podrían verse afectados otros con el mismo tipo de firmware.

• CVE-2018-10822, posibilidad de leer archivos remotamente y de forma arbitraria vía /.. o // después de un «GET/uir» en una petición HTTP.
• CVE-2018-10823, inyección de comandos.
• CVE-2018-10824, contraseñas almacenadas en un archivo de texto plano.

El problema del directorio transversal (CVE-2018-10822) se debe a una reparación incompleta de la vulnerabilidad CVE-2017-6190, descubierta por Patryk Bogdan.

Combinando las vulnerabilidades CVE-2018-10822 y CVE-2018-10824, un atacante podría intentar obtener la contraseña del administrador en el caso de conocer la ubicación del archivo en el que está almacenada dicha clave.

Con una instrucción del tipo:

El atacante podría obtener un archivo binario de configuración que contiene el nombre de usuario y la contraseña del administrador así como otros datos de configuración del router. La falta de encriptación descrita por la CVE-2018-10824, unida a la vulnerabilidad del directorio transversal (CVE-2018-10822) que permite al atacante leer el archivo sin necesidad de identificación, suponen un riesgo grave.

La vulnerabilidad CVE-2018-10823 ha identificado la posibilidad de ejecutar código arbitrario por parte de un atacante que se haya identificado en el router. De modo que una vez que se haya identificado en el mismo, es suficiente con ejecutar un código del estilo de:

De modo que sería posible inyectar comandos a través de parámetros que no son correctamente validados en la vista «chkisg.htm» para hacerse con el control completo del dispositivo al obtener el archivo «passwd».

El equipo de D-Link fue informado el 9/5/18 confirmando que está trabajando en las actualizaciones necesarias.

Más información:
D-Link routers – full takeover
http://sploit.tech/2018/10/12/D-Link.html

GandCrab v5 evoluciona dificultando su desofuscación

GandCrab evoluciona asociándose con un servicio criptológico para ofuscar su código

El ransomware GandCrab apareció por primera vez en enero de este año y se ha ido actualizando muy rápidamente desde entonces, este mes ha llegado a su versión 5.0.2 mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones.

Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.

Anuncio de asociación NTCrypt + GandCrab Fuente: securingtomorrow.mcafee.com

Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros).

La versión 5 viene con las siguientes características:

• Eliminación de archivos
• Descubrimiento de información en el sistema objetivo
• Ejecución a través de API
• Ejecución a travésde WMIC
• Detección de productos antimalware y de seguridad.
• Modificación del registro
• Descubrimiento de los arboles de directorio para buscar archivos a cifrar.
• Descubrir recursos compartidos en red para cifrarlos
• Enumeración de procesos para poder eliminar algunos concretos
• Creación de archivos
• Elevación de privilegio

Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.

El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.

 

Más información:

 

Fuente:

https://securingtomorrow.mcafee.com/mcafee-labs/rapidly-evolving-ransomware-gandcrab-version-5-partners-with-crypter-service-for-obfuscation/

https://d3xt3rsl4b.github.io/2018/10/18/gandcrab-detail-analysis-of-js-delivery-payload/

Boletín de seguridad para Drupal

Autenticación sin credenciales en libssh

La vulnerabilidad se encuentra en todas las versiones desde la 0.6, requiriendo para su explotación sólo alterar el orden del proceso de autenticación

Ha sido encontrado un fallo en el flujo que sigue libssh durante el proceso de autenticación, que permite autenticarse correctamente sin necesidad de entregar ninguna credencial. Para ello, al establecer la conexión, en vez de enviar el estado ‘SSH2_MSG_USERAUTH_REQUEST‘ como esperaría el servidor, tan sólo hay que enviar el estado final ‘SSH2_MSG_USERAUTH_SUCCESS’.

Este error, que ha sido descubierto por Peter Winter-Smith de NCC Group y tiene por identificador CVE-2018-10933, ya ha sido parcheado en la versión 0.8.4 y 0.7.6. Algunos de los productos que pueden haber sido afectados son X2Go, Csync o Remmina. En el caso de Github, aunque utiliza libssh, no está afectado al emplear una versión modificada de la biblioteca. La vulnerabilidad sólo afecta a la parte del servidor, por lo que en principio proyectos como KDE, que utiliza la parte de cliente, no están afectados.

No debe confundirse libssh con OpenSSH, siendo ambos proyectos independientes. No existe riesgo para la mayoría de servidores SSH instalados en máquinas tipo Unix, al emplear estos por defecto una implementación de OpenSSH. Si se utiliza un producto que haga uso de esta biblioteca en el lado del servidor, se urge a actualizar de inmediato debido a la gravedad de la vulnerabilidad.

 

Más información:

 

CVE-2018-10933:
https://www.libssh.org/security/advisories/CVE-2018-10933.txtGithub response:
https://twitter.com/GitHubSecurity/status/1052358402842746880

OpenSSH/Development:
https://en.wikibooks.org/wiki/OpenSSH/Development

Libssh site:
https://www.libssh.org/features/

El FBI investiga ataque al servicio de aguas y alcantarillado de North Carolina

Funcionarios federales están trabajando conjuntamente con una empresa local encargada del servicio de aguas de North Caroline, después de que se hayan detectado intrusiones en sus sistemas.

El jefe de aguas y alcantarillados de Onslow (en Carolina del Norte) expuso en un comunicado que habían sido objeto de un «sofisticado ataque de ransomware«.

El relato de los hechos, según el CEO de la compañía (Jeffrey Hudson) de aguas y alcantarillado, comienza a las 3:00AM del día 4 de octubre, cuando un empleado del departamento IT se percató del ataque y reaccionó desconectando los sistemas de internet.
Sin embargo, para ese entonces, el virus ya se había propagado rápidamente por la red local y logró cifrar varios sistemas importantes del servicio de aguas (bases de datos, según el CEO).
Tanto el CEO del servicio de aguas y alcantarillado de North Carolina como el jefe de IT, estuvieron de acuerdo en no ceder a las amenazas de rescate de los atacantes.

Jeffrey Hudson declara que, la información de sus clientes no ha sido comprometidatras el ataque, pero sí han tenido que restaurar varias bases de datos que poseían para volver a la normalidad.

De acuerdo con centro de quejas de delitos por internet del FBI, los ataques de tipo ransom (cifrar el disco completo y pedir a continuación un rescate por la clave) no son tan comunes si los comparamos con otros como el phishing, aunque si son costosos para las organizaciones/particulares que las sufren.

El virus usado utilizado por los atacantes es Emotet, un troyano bancario cuya función principal es descargar y lanzar otros malwares. En este caso, el malware lanzado es Ryuk, un malware de tipo ransom.

Emotet es un malware troyano polimórfico. Anteriormente este malware se consideraba del tipo bancario, hoy en día es un troyano bancario cuya función principal es descargar y lanzar otros ejecutables. También tiene la capacidad de descargar módulos adicionales de su servidor, entre los que encontramos:

• Módulo de spam
• Módulo de gusano de red.
• Módulo para visualizar la contraseña del correo electrónico.
• Módulo para visualizar las contraseñas del navegador web.

Se propaga por medio de una botnet de spam, adjuntando documentos o enlaces maliciosos en correos electrónicos, también mediante fuerza bruta con diccionario.

Una vez que Emotet ha infectado un dispositivo, tiene la capacidad de interceptar, registrar y guardar todo el tráfico saliente del navegador web.

Ryuk es descargado y lanzado por Emotet. Ryuk es usado en ataques dirigidos hechos a medida (al contrario que Emotet, que mayormente usa botnets de spam).

La primera muestra de Ryuk de la que se tiene constancia es del día 18 de agosto de 2018

Infecta todos los archivos del sistema excepto los ficheros de la lista blanca de directorios. Estos serían «Windows», «Mozilla», «Chrome», «RecycleBin», «Ahnlab»

documentos de MS Office, OpenOffice, PDFs, archivos de texto, bases de datos, fotos, música, vídeos, archivos de imágenes, archivos, etc

Más información:

Comunicado:
https://www.onwasa.com/DocumentCenter/View/3701/Scan-from-2018-10-15-08_08_13-AEMOTET info:
https://www.us-cert.gov/ncas/alerts/TA18-201A

RYUK info:
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

Actualizaciones para múltiples productos de Adobe

Adobe ha publicado cinco boletines de seguridad en los que se han corregido, al menos, 16 vulnerabilidades en sus productos Flash Player, Digital Editions, Experience Manager, Framemaker y Technical Communications Suite.

A continuación se exponen los boletines publicados para cada producto.

Adobe Digital Editions (APSB18-27): boletín que soluciona tres vulnerabilidades relacionadas con un desbordamiento de memoria que podría permitir la ejecución remota de código (CVE-2018-12813, CVE-2018-12814 y CVE-2018-12815), cinco debidas a errores de lecturas fuera de límites que permitirían revelar información (CVE-2018-12816, y CVE-2018-12818 a CVE-2018-12821), y otro fallo que también permitiría la ejecución de código debido a un error de acceso a memoria previamente liberada (CVE-2018-12822).

Adobe Flash Player (APSB18-35): actualmente no se detallan las vulnerabilidades corregidas en este boletín.

Adobe Experience Manager (APSB18-36): cinco problemas de seguridad que podrían permitir la revelación de información sensible a través de ataques Cross-Site Scripting permanentes (CVE-2018-15969, CVE-2018-15972 y CVE-2018-15973) y reflejados (CVE-2018-15970 y CVE-2018-15971) se solucionan en este boletín.

Adobe Framemaker (APSB18-37) y Adobe Technical Communications Suite (APSB18-38): estos dos últimos boletines corrigen sendos fallos de seguridad relacionados con la carga de librerías de manera insegura que permitiría la elevación de privilegios (CVE-2018-15974 y CVE-2018-15976 respectivamente).

Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):

• Adobe Digital Editions 4.5.8 y anteriores para las plataformas Windows, Macintosh e iOS.
• Adobe Flash Player 31.0.0.108 para los sistemas operativos Windows, macOS, Linux y ChromeOS, así como los navegadores Google Chrome, Microsoft Edge and Internet Explorer 11.
• Adobe Experience Manager 6.x para todas las plataformas.
• Adobe Framemaker 1.0.5.1 y anteriores para Microsoft Windows.
• Adobe Technical Communications Suite 1.0.5.1 y anteriores para Microsoft Windows.

 

Más información:

 

APSB18-27 – Security Updates Available for Adobe Digital Editions:

https://helpx.adobe.com/security/products/Digital-Editions/apsb18-27.html

APSB18-35 – Security updates available for Adobe Flash Player:

https://helpx.adobe.com/security/products/flash-player/apsb18-35.html

APSB18-36 – Security updates available for Adobe Experience Manager:

https://helpx.adobe.com/security/products/experience-manager/apsb18-36.html

APSB18-37 – Security Updates Available for Adobe Framemaker:

https://helpx.adobe.com/security/products/framemaker/apsb18-37.html

APSB18-38 – Security Updates Available for Adobe Technical Communications Suite:

https://helpx.adobe.com/security/products/techcommsuite/apsb18-38.html

Adobe Digital Editions:

https://www.adobe.com/solutions/ebook/digital-editions/download.html

Adobe Flash Player:

http://get.adobe.com/flashplayer/

Adobe Experience Manager:

https://helpx.adobe.com/experience-manager/aem-releases-updates.html

Adobe Framemaker:

https://www.adobe.com/products/framemaker.html

Adobe Technical Communications Suite:

https://www.adobe.com/products/technicalcommunicationsuite.html

Descubierta vulnerabilidad para eludir la pantalla de bloqueo de iOS 12

El investigador español José Rodríguez ha descubierto una vulnerabilidad en iOS 12 que permite eludir la pantalla de bloqueo y acceder al contenido del dispositivo

José Rodríguez ha encontrado un nuevo fallo de seguridad en iOS que permite acceder a la información que contiene el dispositivo.

La vulnerabilidad se encuentra en la característica ‘VoiceOver’, que dicta la información mostrada en pantalla. Gracias a esta característica y a un error que muestra una ventana aparentemente vacía, es posible saber lo que realmente contine dicha ventana y navegar a través de ella para acceder a diferentes funcionalidades a las que no se debería tener acceso estando el dispositivo bloqueado.

El investigador ha publicado dos videos con dos formas diferentes de vulnerar el sistema. En el primer video podemos observar que es necesario recibir una llamada de teléfono y a continuación un mensaje para que se muestre la pantalla en blanco aparentemente vacía. Pero, como podemos ver, en realidad no esta vacía y haciendo uso de ‘VoiceOver’ se puede navegar por ella.

En la segundo video, se hace uso de la creación de notas a través de Siri para acabar visualizando una pantalla en blanco para compartir la nota, pero usando ‘VoiceOver’ podemos darnos cuenta de que realmente la pantalla no está vacía y podemos navegar por ella para compartir la nota por diferentes redes sociales, e incluso obtener información de conversaciones de WhatsApp si se intenta compartir a través de este.

Apple ha lanzado la versión 12.0.1 que resuelve este fallo de seguridad. Si aún no has actualizado, te recomendamos que lo hagas lo antes posible.

Microsoft parchea 12 vulnerabilidades críticas en su actualización de octubre

La nueva actualización de seguridad parchea 49 vulnerabilidades, entre las que se encuentran 12 críticas y 35 catalogadas como importantes

Microsoft ha lanzado un nuevo boletín de actualizaciones de seguridad para este mes de octubre, parcheando los siguientes productos:

• Internet Explorer
• Microsoft Edge (CVE-2018-8503, CVE-2018-8530)
• Microsoft Windows (CVE-2018-8330, CVE-2018-8472, CVE-2018-8481, CVE-2018-8432, CVE-2018-8486, CVE-2018-8493, CVE-2018-8506)
• Microsoft Office and Microsoft Office Services and Web Apps (ADV180026, CVE-2018-8427, CVE-2018-8501, CVE-2018-8504)
• ChakraCore (CVE-2018-8503)
• .NET Core  (CVE-2018-8292)
• PowerShell Core (CVE-2018-8292)
• SQL Server Management Studio (CVE-2018-8532)
• Microsoft Exchange Server (CVE-2010-3190)
• Azure IoT Edge
• Hub Device Client SDK for Azure IoT (CVE-2018-8531)

Entre las vulnerabilidades más críticas se encuentra una que afecta a Microsoft XML Core Services (MSXML), con identificador CVE-2018-8494. Un mensaje XML manipulado permitiría la ejecución remota de código (RCE). El fallo afecta a todas las versiones de Windows soportadas, incluyendo versiones de servidor.

A parte, una de las vulnerabilidades más importantes es la registrada con el CVE-2018-8453. Según Microsoft, esta vulnerabilidad habría sido aprovechada por atacantes. El fallo se encuentra en Win32K, y permitiría a una aplicación ejecutar código arbitrario con permisos del kernel.

En esta actualización se ha incluido también un parche para la vulnerabilidad CVE-2018-8423, la cual se hizo pública el día 20 de septiembre por haber superado los 120 días desde su reporte sin que se parchease, y afecta a Microsoft JET Database Engine. El fallo fue descubierto por Zero Day Initiative, y permitiría la ejecución remota de código. No se tiene constancia de que esta vulnerabilidad haya sido aprovechada.

El conjunto de actualizaciones de octubre se vio afectado por la noticia del borrado de ficheros tras actualizar, situación que parece haber sido controlada, y por la que se ha reanudado la distribución de la actualización afectada. Aunque la actualización no parece ser la misma a la que incluye estos parches, algunos usuarios pueden haber ignorado las actualizaciones por la alarma generada, y sus equipos se encontrarían expuestos por las vulnerabilidades anteriores. Dichos usuarios, deben actualizar lo antes posible para evitar verse afectados.

Más información:

Updated version of Windows 10 October 2018 Update released to Windows Insiders:
https://blogs.windows.com/windowsexperience/2018/10/09/updated-version-of-windows-10-october-2018-update-released-to-windows-insiders/#PyeYSOJ84xJzTeEJ.97

ADV180026:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180026

CVE-2010-3190:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2010-3190
CVE-2018-8292:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8292

CVE-2018-8330:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8330

CVE-2018-8427:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8427

CVE-2018-8432:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8432

CVE-2018-8472:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8472

CVE-2018-8481:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8481

CVE-2018-8482:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8482

CVE-2018-8486:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8486

CVE-2018-8493:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8493

CVE-2018-8501:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8501

CVE-2018-8503:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8503

CVE-2018-8504:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8504

CVE-2018-8506:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8506

CVE-2018-8530:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8530

CVE-2018-8532:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8532

CVE-2018-8533:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8533

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8494

A Remote Code Execution Vulnerability in the Microsoft Windows Jet Database Engine:
https://www.zerodayinitiative.com/blog/2018/9/20/zdi-can-6135-a-remote-code-execution-vulnerability-in-the-microsoft-windows-jet-database-engine

Vulnerabilidad conocida en Mikrotik WinBox, más crítica de lo esperado.

Este nuevo ataque desarrollado por Teenable Research, podría permitir a usuarios maliciosos hacerse con el control de los routers Mikrotik para desplegar malware en la red, minar criptomonedas, o evitar las restricciones configuradas en estos dispositivos.

La vulnerabilidad (CVE-2018-14847), publicada en Abril de este mismo año, fue calificada con severidad media. Sin embargo, investigadores de Teenable Research han liberado una nueva prueba de concepto basada en dicha vulnerabildad, utilizando una nueva técnica que permite evadir la autenticación de RouterOS y permitir la ejecución remota de código arbitrario.

Este fallo usa WinBox (pequeña utilidad gráfica para administrar RouterOS) como vector de ataque, aunque la vulnerabilidad es en sí misma, de RouterOS.
El funcionamiento de esta nueva prueba de concepto es simple; en primer lugar se obtienen las credenciales del usuario administrator del dispositivo para después escribir un fichero en el router (con ayuda de las credenciales extraidas) con el que finalmente el atacante puede conseguir acceso con los máximos privilegios (root).

Las versiones afectadas por esta vulnerabilidad son:
bugfix release: desde 6.30.1 hasta 6.40.7
current release: desde 6.29 hasta 6.42
RC release (Release Candidate): desde 6.29rc1 hasta 6.43rc3

Ya hablamos en anteriores entradas de las vulnerabilidades que continuamente amenazan a estos dispositivos, por lo que como siempre, se recomienda actualizar el sistema operativo de los routers afectados a la última versión disponible y adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox.

Fallo de seguridad en WhatsApp permite comprometer tu cuenta con solo responder una videollamada

Investigadores de seguridad de Google Project Zero encuentra una vulnerabilidad en WhatsApp que permitiría comprometer tu cuenta con solo responder a una videollamada de WhatsApp

La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un ‘memory heap overflow‘ que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado.

La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas.

Silvanovich ha publicado la prueba de concepto con la información acerca del fallo de seguridad. Aunque esta prueba de concepto solamente provoca que se desencadene la corrupción de memoria haciendo que WhatsApp se cierre, Tavis Ormandy, también investigador de Project Zero, ha afirmado que se puede comprometer completamente WhatsApp con solo responder a una videollamada.

WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible.

Más información:

 

Reporte del fallo:

https://bugs.chromium.org/p/project-zero/issues/detail?id=1654

Twitter Natalie Silvanovich:
https://twitter.com/natashenka/status/1049733016531001344

Hacker-News:
https://thehackernews.com/2018/10/hack-whatsapp-account-chats.html?m=1

Google+ expone los datos de 500.000 usuarios y cierra su plataforma

La conocida red social de Google cerrará después de que la compañía haya expuesto los datos privados de cientos de miles de usuarios a desarrolladores externos.

Según el gigante de la tecnología, una vulnerabilidad en una de las API de Google+ permitió a desarrolladores externos acceder a los datos de más de 500.000 usuarios, incluídos la dirección, ocupación, fecha de nacimiento, etc.

Dado que los servidores de la compañía no mantienen registros de API durante más de dos semanas, la empresa no puede confirmar el número de usuarios afectados por la vulnerabilidad.

«Sin embargo, realizamos un análisis detallado durante las dos semanas previas a parchear el error y, a partir de ese análisis, los perfiles de hasta 500.000 cuentas de Google+ podrían verse afectados. Nuestro análisis mostró que hasta 438 aplicacaciones pueden haber usado esta API». comunicaba Google.

La vulnerabilidad estuvo abierta desde 2015 y se solucionó en Marzo de 2018, pero la compañía optó por no revelarlo al público mientras estaba el escándalo de Facebook.

Además de admitir la brecha de seguridad, Google también anunció que la compañía está cerrando su red de medios sociales, reconociendo que Google+ no logró la acogida esperada.

Novedades de Google en cuanto a privacidad tras el error:

Como una de las consecuencias de todo lo acontecido, la compañía ha revisado y actualizado el acceso de desarrolladores externos a la cuenta deGoogle y los datos de los dispositivos Android.

Antes, cuando una aplicación de terceros solicita al usuario el acceso a los datos de su cuenta de Google, al hacer click en el botón «Permitir» se aprueban todos los permisos solicitados a la vez, lo que brinda la oportunidad de que aplicaciones malintencionadas engañen a los usuarios para que entreguen permisos efectivos.

Con la nueva actualización de permisos, solicita cada uno individualmente en lugar de todos a la vez, dando a los usuarios un mayor control sobre el tipo de datos de la cuenta que eligen compartir con cada aplicación.

Finalmente, tras el incidente, las acciones de Google han caído más del 2 por ciento.

FASTCash: el nuevo ataque utilizado para sacar dinero de los cajeros automáticos

El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes ‘Hidden Cobra’ está comprometiendo servidores bancarios

El conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas.

En principio los objetivos son África y Asia tal y como explica el US-CERT en el siguiente mensaje.

https://www.us-cert.gov/ncas/alerts/TA18-275A

El cual han publicado en su cuenta de Twitter oficial.

¿Cómo funciona el ataque?

Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta.

Sin embargo, los ciberdelincuentes consiguieron comprometer estos servidores para que intereceptaran la solicitud de transacción y diera una respuesta afirmativa falsa pero legítima sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros para que escupan la cantidad solicitada sin siquiera notificar al banco.

«Según la estimación de un socio de confianza, los componentes de ‘Hidden Cobra’ han robado decenas de millones de dólares», explican en el informe.

 ¿Cómo llegaron los atacantes a comprometer los servidores de aplicaciones de pago?

 

Aunque no está confirmado, las autoridades de EE.UU. creen que los ciberdelincuentes utilizaron correos electrónicos de phishing que contendrían ejecutables maliciosos de Windows.

Una vez abierto, estos servían de conexión para que los atacantes pivotaran en la red del banco utilizando las credenciales legítimas del empleado afectado y conseguir inyectar el malware en el servidor de aplicaciones de pago.

A pesar de que la mayoría de los servidores utilizaban versiones del sistema operativo AIX sin soporte, no se han encontrado pruebas de que los atacantes aprovecharan alguna vulnerabilidad sobre el mismo.

El US-CERT ha recomendado a los bancos que hagan obligatoria la autenticación de dos factores cuanto antes.

Más información:

 

Mensaje US-CERT:
https://www.us-cert.gov/ncas/alerts/TA18-275A

D-Link soluciona varias vulnerabilidades presentes en Central WifiManager

D-Link ha publicado actualizaciones para solucionar varias vulnerabilidades presentes en «Central WifiManager», una herramienta que permite administrar y monitorizar puntos de acceso dentro de una red.

La primera vulnerabilidad, etiquetada con CVE-2018-17440, permitiría la subida de un fichero sin restricciones y la ejecución de código arbitrario.

La segunda vulnerabilidad permitiría también la subida de un archivo de cualquier tipo, pero requeriría esta vez que el atacante estuviera autenticado. Esta vulnerabilidad tiene asignado el código CVE-2018-17442.

Las dos siguientes permitirían realizar ataques de Cross-Site Scripting a través de los parámetros ‘sitename’ y ‘username’. Estas vulnerabilidades han recibido los códigos CVE-2018-17443 y CVE-2018-17441 respectivamente.

XSS en el parámetro ‘sitename’

XSS en el parámetro ‘username’

Estas vulnerabilidades ya se encuentran solucionadas a partir de la versión Central WifiManager v1.03r0100-Beta1.

Más información:

 

D-Link Central WiFiManager Software Controller Multiple Vulnerabilities
https://www.coresecurity.com/advisories/d-link-central-wifimanager-software-controller-multiple-vulnerabilities

Encontrado troyano bancario en Google Play con más de 10K instalaciones

El troyano, que ha pasado desapercibido hasta conseguir al menos 78.000€ de sus víctimas, descarga código malicioso en función de la entidad bancaria del usuario

La policía de la República Checa ha dado aviso de un nuevo tipo de malware, que hasta el momento ha logrado sustraer 78.000€ de diferentes víctimas. En el comunicado se han hecho públicas imágenes de uno de los cómplices retirando el dinero robado de un cajero en Praga, tal y como puede verse en la imagen a continuación.

Las aplicaciones fraudulentas en cuestión son QRecorder (com.apps.callvoicerecorder) y Google Play Services (gjfid.pziovmiq.eefff). Esta última, no debe confundirse con com.google.android.gms, incluida con el sistema y firmada por Google. Utilizando Koodous, es posible encontrar 4 muestras de la primera y otras 4 de la segunda, como por ejemplo dd5d3589755543003a97454a134ca578f05b39bf5152ccd6183fc7ef08c87c65y d0e28ee49d7b7feb5f94dbd00e4f5a6e4f418b536229188ef86bf45008c34d9b.

Resultados de la aplicación fraudulenta en Koodous.

El troyano al iniciarse requerirá los permisos necesarios para realizar sus actividades delictivas, como Accessibility service para descargar y ejecutar código externo malicioso en función de la entidad bancaria, permiso para dibujar en otras aplicaciones para robar las credenciales, e incluso permisos para leer y enviar SMS para la confirmación de las transacciones.

Para la comunicación, el atacante hace uso de Firebase, donde envía el listado de apps bancarias a vulnerar, para así descargar el código fuente cifrado AES a ejecutar en función del banco.

Según puede comprobarse por el código fuente, la aplicación cuenta con traducciones para checo, alemán y polaco (con inglés por defecto), por lo que seguramente son los usuarios de estos tres primeros idiomas los de interés por el atacante. En el siguiente vídeo por Lukas Stefanko, puede comprobarse el funcionamiento del malware.

Este troyano evidencia una vez más que una aplicación por encontrarse en Google Play no puede considerarse segura, y que el número de descargas no es una muestra de confianza (ya que dicho número puede alterarse mediante bots), por lo que deben extremarse las precauciones al descargar aplicaciones, y utilizar herramientas que aseguren nuestro dispositivo.

 

Más información:

 

Banking Trojan found on Google Play stole 10,000 Euros from victims:
https://lukasstefanko.com/2018/09/banking-trojan-found-on-google-play-stole-10000-euros-from-victims.htmlKoodous – QRecorder:
https://koodous.com/apks/dd5d3589755543003a97454a134ca578f05b39bf5152ccd6183fc7ef08c87c65

Koodous – Google Play Services:
https://koodous.com/apks/d0e28ee49d7b7feb5f94dbd00e4f5a6e4f418b536229188ef86bf45008c34d9b

Torii es la nueva botnet IoT multiplataforma

El investigador de seguridad @VessOnSecurity ha detectado a través de uno de sus honeypots un ataque via Telnet que tiene como objetivo dispositivos IoT.

Al igual que Mirai, Torii utiliza fuerza bruta de contraseñas conocidas para llevar a cabo la infección y una vez dentro del dispositivo es donde encontramos la diferencia entre ambas familias. Torii tiene un arsenal de características que van más allá de la realización de ataques DDoS o minar criptomonedas, como la capacidad de enviar información, la ejecución de comandos y ejecutables, y una comunicación cifrada, sin duda un malware en IoT más evolucionado que su predecesor Mirai.

Dentro de la sofisticación que mencionábamos se encuentra que es multiplataforma, las arquitecturas disponibles por el momento son: MIPS, ARM, x86, x64, PowerPC, Motorola 68k y SuperH.

Debido a esta característica multiplataforma, Torii amenaza a una cantidad de dispositivos más amplia que Mirai, y si bien es cierto que el vector de infección es bastante precoz, a día de hoy parece ser más que suficiente para los atacantes que están encontrando en los dispositivos IoT conectados una vía rápida de generación de botnets.

Avast ha llevado a cabo un completo análisis de la muestra que pueden consultar en su blog.

IOCs:

Ips:

184.95.48.12 104.237.218.82 104.237.218.85 66.85.157.90

Hashes:

Enlace de Avast.

Más información:

Twitter Vess:

https://twitter.com/VessOnSecurity

Blog Avast:
https://blog.avast.com/new-torii-botnet-threat-research

Vulnerabilidad en Facebook permite el acceso a 50 millones de datos de usuarios

Una vulnerabilidad en Facebook hizo saltar la alarma el pasado día 25, cuando el equipo de ingenieros de seguridad de Facebook se percató de que existía una brecha de seguridad que afectaba a al menos 50 millones de usuarios.

El ataque se aprovechó de varias vulnerabilidades existentes en el código. La primera de ellas fue debida a un cambio que se aplicó en 2017 que afectaba a la función de la carga de vídeo. El segundo error del que se aprovechó el ataque fue en la característica ‘ver como’ de la plataforma, que te permite ver tu propio perfil como lo vería otro usuario de la red social. Esta última característica, permitió a los atacantes obtener los token de acceso de los demás usuarios.

Los token es el equivalente a las credenciales de acceso, generalmente utilizado en las APIs del servicio, bien sea para la integración de automatismos, módulos, plugins, etc… En este caso la combinación de los tres fallos permitieron a los atacantes pivotar desde sus tokens a tokens de otros usuarios permitiéndoles obtener tokens de acceso adicionales.

Aunque la investigación aún no ha concluido y está en una fase temprana, el equipo de seguridad de Facebook sigue investigando el incidente para intentar averiguar quién está detrás de este ataque, desde dónde se realizó, si hay más usuarios afectados y a qué información se accedió.

Con respecto a la información accesible del ataque, el equipo de seguridad de Facebook aseguran que solo se ha podido acceder a los datos que permite ver la característica ‘ver como’ de la red, como nombre, género, fotos, estudios, etc y que en ningún caso se ha accedido a contraseñas o datos bancarios.

Este ataque ha llevado al equipo de seguridad de Facebook a realizar tres acciones:
1 – Corregir la vulnerabilidad.
2 – Resetear los token de acceso de los 50 millones de usuarios que han sido afectados junto con otros 40 millones de usuarios que utilizaron la característica ‘ver como’ en el último año. Por lo que los usuarios que utilicen este token de acceso, tendrán que volver a iniciar la sesión en el servicio.
3 – Deshabilitar la característica ‘ver como’.

Esta situación se suma al complejo año que lleva Facebook, que comenzó con el ‘Leak de Cambridge Analytica’, continuó con la salida de los socios de Instagram, las declaraciones de los fundadores de Whatsapp, y ahora sufre otro grave fallo de seguridad que ha dejado los datos de sus usuarios accesibles.

Más información:

Comunicado de Facebook:
https://newsroom.fb.com/news/2018/09/security-update/

Imagen extraída de: https://newsroom.fb.com/

Salto de autenticación con permisos administrador en Western Digital My Cloud

La vulnerabilidad, que en estos momentos no cuenta con una solución, permite ejecutar acciones como administrador simplemente estableciendo una cookie

Tanto los investigadores de exploitee.rs como de Securify han encontrado un fallo (CVE-2018-17153) en Western Digital My Cloud que permitiría realizar acciones como administrador en uno de los dispositivos afectados. Se desconocen los modelos exactos vulnerables, pero seguramente sea un gran número de ellos al compartir código. Los investigadores realizaron sus pruebas en el modelo WDBCTL0020HWT ejecutando la versión 2.30.172.

La vulnerabilidad es muy fácil de explotar, y no tiene más requerimientos que tener conexión con el dispositivo. Para su explotación, sólo se requieren 2 pasos: primero, realizar una petición POST form a ‘/cgi-bin/network_mgr.cgi’incluyendo ‘cmd=cgi_get_ipv6&flag=1‘, creando así la sesión. Segundo, realizar una petición con un comando que requiera autenticación (por ejemplo, ‘cgi_get_ssh_pw_status‘) agregando la cookie ‘username=admin‘.

Los discos duros Western Digital My Cloud son empleados en el mercado doméstico y  PYMES para almacenar backups e información personal, por lo que son objetivo de ransomware (además de botnets) al estar conectados de forma continua a la red. La empresa fue informada en abril de 2017, pero ésta ha ignorado el reporte, por lo que se ha publicado ahora en septiembre de 2018.

En caso de contar con un dispositivo vulnerable, la primera medida a adoptar es impedir el acceso al dispositivo desde Internet (lo cual debería realizarse en cualquier caso), aunque la solución ideal es desconectar el disco duro de la red, y acceder únicamente a través de cable USB, al menos hasta que se solucione la vulnerabilidad.

Más información:

 

CVE-2018-17153:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17153Authentication bypass vulnerability in Western Digital My Cloud allows escalation to admin privileges:
https://www.securify.nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html

La Organización de las Naciones Unidas deja expuestas por accidente contraseñas y documentos confidenciales

Una mala configuración de algunos servicios para gestión de proyectos como Trello, Jira y Google Docs ha dejado expuestos documentos internos, contraseñas y otra información confidencial sobre la organización y sus miembros.

Cualquiera con el enlace adecuado podría acceder a la información, que incluía las contraseñas de uno de los servidores de ficheros de la organización, las credenciales de un sistemas de video conferencia y de un servidor de desarrollo de una de las oficinas de Coordinación de Asuntos Humanitarios.

El investigador de seguridad Kushagra Pathak que ha descubierto el «leak» ha notificado sus hallazgos a la organización, que a lo largo de este mes ha ido eliminando todo el material.

Pathak descubrió muchos de estos recursos haciendo simples búsquedas en Google, que dieron como resultado tableros de Trello públicos que contenían a su vez otros enlaces a documentos de Google Docs y páginas de Jira.

A pesar de que los tableros de Trello y los documentos de Google son privados por defecto, Pathak ha sugerido a Trello añadir medidas adicionales para evitar que los usuarios publiquen sus tableros por error. A lo que el CEO de Trello ha respondido:

«Nos esforzamos por asegurarnos de que los tableros públicos se crean de manera intencionada, haciendo necesaria una confirmación previa del usuario y mostrando en la parte superior de los tableros la visibilidad del mismo».

Los descubrimientos de Pathak ponen de manifiesto la falta de concienciación en materia de seguridad informática y los riesgos que una fuga de información de estas características supondría para grandes empresas y organizaciones.

UNITED NATIONS ACCIDENTALLY EXPOSED PASSWORDS AND SENSITIVE INFORMATION TO THE WHOLE INTERNET:

https://theintercept.com/2018/09/24/united-nations-trello-jira-google-docs-passwords/

Error de la API de Twitter expone mensajes privados de los usuarios

Un error en la API de Twitter expuso los mensajes directos de algunos usuarios a desarrolladores de aplicaciones de terceros no autorizados.

Ejecución de código remoto en Moodle

Se ha publicado un error en la plataforma educativa Moodle que podría permitir la ejecución remota de código

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Existe un error al importar un cuestionario de tipo ‘arrastrar y soltar en el texto’ (ddwtos) en formato XML, debido a una falta de comprobación en una función ‘unserialize’. Esto podría causar una inyección de objetos PHP y conducir a una ejecución remota de código arbitrario.

Es necesario disponer de permisos para crear un cuestionario o importar preguntas para poder aprovechar esta vulnerabilidad. Aunque estos permisos los tienen los profesores, cabe destacar que es posible asignar el rol de ‘profesor’ un usuario ‘estudiante’ para un determinado curso, con lo cual estaría en posición de explotar este error.

Además, una plataforma Moodle también podría verse afectada de manera no intencionada si se importan cuestionarios o preguntas desde fuentes que no son de confianza.

Se propone la siguiente prueba de concepto que ejecuta el comando ‘whoami’ como demostración de la vulnerabilidad.

Prueba de concepto

Esta vulnerabilidad, identificada como CVE-2018-14630, ha sido descubierta por Johannes Moritz. Ha sido catalogada como seria por la propia plataforma y afecta a todas las versiones anteriores a las siguientes: 3.1.14, 3.3.8, 3.4.5, y 3.5.2, en las cuales se ha corregido.

Newegg es la nueva víctima del grupo delictivo Magecart

Esta semana la empresa Voletix junto a RiskIQ han publicado una investigación que tiene como protagonistas al grupo de ciberdelincuentes Magecart. Esta vez la víctima ha sido la empresa minorista de ordenadores y productos electrónicos de consumo Newegg.

Magecart es un grupo de ciberdelicuentes especializado en el robo de credenciales de pago mediante el uso de “skimmers digitales”. Entre los ataques que se le han atribuido están el robo de credenciales de pago en Ticketmaster, British Airways y el caso reciente de Newegg.

Este ataque ha sido prácticamente igual que el publicado un par de semanas atrás y que afectaba a la aerolínea británica British Airways. De hecho, teniendo en cuenta la fecha de realización del ataque y no la de publicación, este ataque ha sido anterior.

En resumen, el proceso es el siguiente:

1. Los atacantes logran acceder al servidor donde se hospeda el código que interpreta la web de la víctima, a través de cualquier vector.
2. El atacante introduce un código Javascript fraudulento que, paralelamente al proceso de compra, envía los credenciales del usuario a un servidor controlado por los atacantes.
3. El ataque persiste mientras el código no es detectado.

La detección puede llevarse a cabo bien por alguien externo, por la propia empresa afectada o bien por parte de las entidades bancarias. Estas últimas, debido a las denuncias de sus clientes que reclaman cargos no autorizados, alertan a la víctima.

Las entidades bancarias están más que acostumbradas a detectar patrones que identifiquen un ‘skimmer’ como foco del robo de información de credenciales bancarios. La cadena de hechos es sencilla: reciben quejas de sus usuarios por cargos no autorizados, buscan un patrón común entre ellos, y ya tienen la fuente, en este caso todos compraron previamente en Newegg.

Durante muchos años ha sido bastante común, y lo sigue siendo, la colocación de TPVsfraudulentos que roban las tarjetas que transaccionan con él. Estas nuevas técnicas solo tienen una diferencia: no existe ningún elemento hardware, en vez de ir a un TPV físico, los atacantes manipulan TPVs virtuales.

Pero volviendo al ataque, veamos que particularidades ha tenido este caso.

Lo primero que vamos a contar es el punto donde se ha introducido el código fraudulento, en este caso ha sido en el servidor secure.newegg.com.

Lo verdaderamente sorprendente esta vez ha sido como los atacantes han intentado disfrazar el ataque para permanecer el mayor tiempo en la sombra. Para ello el 13 de agosto los atacantes registraron el dominio neweggstats.com, un dominio que pretendía disfrazar las conexiones para parecer ser legítimo y al cuál enviaban la información robada. Además le compraron un certificado SSL para cifrar el tráfico y darle aún mayor sobriedad a la infraestructura fraudulenta.

Todo esto les permitió permanecer más de un mes sin levantar sospechas, con el siguiente código cargado en la url https://secure.newegg.com/GlobalShopping/CheckoutStep2.aspx

Cabe mencionar que en el caso de British Airways se usó el eslogan, con claros tintes ‘clikbaits’, de que tan solo 22 líneas de código habían sido necesarias para llevar a cabo el ataque. Este caso de Newegg es aún más ‘flagrante’ ya han sido únicamente 15 las líneas necesarias para el llevar a cabo el ataque. Así que podíamos apostar por un eslogan bastante más divertido, a mi manera de ver, que podría ser el siguiente: “Los Hackers que forman parten de Newegg han necesitado 7 lineas menos para perpetrar su ataque que en el caso de British Airways”, una tontuna enorme, ya no solo por el hecho de que el código es Javascript y hablamos de líneas, no de sentencias, sino, porque reducir este tipo de ataques a la orden que hace el envío de datos es evidenciar un completo desconocimiento sobre todo lo que conlleva ataques de este calado.

Más información:

 

Reporte de Volexity:
https://www.volexity.com/blog/2018/09/19/magecart-strikes-again-neweggReporte de RiskIQ:
https://www.riskiq.com/blog/labs/magecart-newegg/Unaaldía Ticketmaster:
https://unaaldia.hispasec.com/2018/06/ticketmaster-un-drama-en-tres-actos-y.html

Unaaldía British Airways:
https://unaaldia.hispasec.com/2018/09/magecart-detras-de-la-sustraccion-de.html

Falso email de Deloitte usado para distribuir malware

No es la primera vez que los spammers utilizan la imagen de empresas conocidas para hacer llegar a los usuarios correos no deseados o, en el peor de los casos, malware.

En este caso los atacantes han suplantado la identidad de la conocida empresa Deloitte para distribuir muestras de TrickBot, una familia de troyanos bancarios que ha estado bastante activa los últimos meses.

Los correos reportados provienen de un tal «Adam Bush» Adam.Bush@deloitte-inv.com y utilizan un dominio fraudulento que incluye el nombre de la marca. El asunto del correo habla de un calendario de nóminas de la empresa y pretende despertar la curiosidad de la víctima para descargar y abrir el adjunto incluido.

Correo suplantando la identidad de Deloitte. Fuente: myonlinesecurity.co.uk

El fichero adjunto, en formato Excel, contiene una macro maliciosa que descargará el troyano. Desde las versiones de Office 2010 en adelante, el programa requiere que el usuario habilite de forma manual la ejecución de macros, por eso se mostrará en la hoja de cálculo un mensaje como el que vemos a continuación incitando al usuario a activar esta característica:

Payrollschedule.xls. Fuente: myonlinesecurity.co.uk

La macro descargará el ejecutable desde http://bcgfl[.]com/sdn.uqw o alternativamente http://ubeinc[.]com/sdn.uqw. Dos muestras del ya conocido Trickbot.

IOC de la campaña:

Payrollschedule.xls
MD5:  a628323455d1f19d1115e1626d1fabce
SHA-1:  552f531d1f8cba28da5fcc376abbc5647f438c69

URL de descarga del troyano:
http://bcgfl[.]com/sdn.uqw
72.29.67.154
http://ubeinc[.]com/sdn.uqw
72.29.90.19
MD5: cae0a5bb259d11b80e448c0c68f47f06
SHA1: 7c08e6f55738c52b7869d66a301578667b972f4b

Remitente: Adam.Bush@deloitte-inv[.]com
5.79.90.23
185.212.130.89
5.79.76.209
95.211.169.218

Dejar claro que Deloitte no ha sido en ningún momento comprometida y que el dominio fraudulento deloitte-inv.com ha sido registrado por un tercero que nada tiene que ver con la empresa.

Desde Hispasec recomendamos no abrir nunca correos con adjuntos no solicitados.

Más información:

 

fake Deloitte FW: Payroll schedule delivers Trickbot:

https://myonlinesecurity.co.uk/fake-deloitte-fw-payroll-schedule-delivers-trickbot/

Vulnerabilidades en plataforma de alquiler de bicicletas oBike

Se han descubierto varias vulnerabilidades en el sistema de bloqueo que utiliza la plataforma de alquiler de bicicletas oBike. Un atacante remoto podría eludir el mecanismo de bloqueo mediante ataques de repetición para reproducir textos cifrados en función de valores predecibles.

oBike es una plataforma de alquiler de bicicletas sin estaciones (se pueden recoger y entregar en cualquier ubicación donde esté permitido aparcar bicicletas o vehículos) originaria de Singapur, opera en más de 40 ciudades de Europa, Asia y Oceanía.

Desde la aplicación para smartphones, el cliente reserva una bicicleta que se encuentre ubicada cerca de su zona y mediante el escaneo de un código QR puede desbloquear y comenzar a utilizar la bicicleta gracias a un dispositivo IoT integrado en ella que actúa como sistema de bloqueo. En el momento en que la bicicleta es desbloqueada comienza el periodo de alquiler por el cual se facturará en tramos de 30 minutos.

Concretamente el protocolo de comunicación utilizado por oBike es el siguiente:

Protocolo de comunicación de la plataforma oBike

La app envía un mensaje de saludo [1] con las coordenadas GPS para desbloquear la bicicleta a través de Bluetooth (BLE o ‘Bluetooth Low Energy’) y recibe una cadena de 32 bits utilizada como desafío (‘keySource’) [2]. Esta cadena se envía a los servidores de oBike [3] donde se procesa y se devuelve a la app [4] un índice de clave ‘encKey’ y un texto cifrado de 128 bits en ‘keys’. Nuevamente a través de BLE, la app envía a la bicicleta el texto cifrado truncado a 96 bits y el índice de clave ‘encKey’ [5] y la bicicleta es desbloqueada emitiéndose una respuesta de confirmación [6] con los valores ‘macKey’ e ‘index’. Como último paso, la aplicación envía a los servidores de oBike estos dos valores en el mensaje ‘lockMessage’ [7] con el cual el alquiler de la bici queda registrado y se inicia el periodo de facturación.

Previamente, al analizar este protocolo, se descubrieron algunas vulnerabilidades que se exponen en el proyecto ‘Exploration of Weakness in Bike Sharing System’realizado por estudiantes de la ‘School of Computing (National University of Singapure)’en 2017-2018. Estas podrían permitir falsear la ubicación de las bicicletas, realizar una denegación de servicio al hacer que el servidor establezca que la bicicleta está defectuosa por lo que dejaría de aceptar intentos de desbloqueo, e incluso omitir la confirmación en el paso 7, con lo cual la bicicleta quedaría desbloqueada pero el alquiler no sería registrado y por tanto el cobro tampoco sería efectuado.

Un análisis más reciente realizado por Antoine Neuenschwander ha determinado que:

• El campo ‘keySource’ (usado en el paso [2]) no es un valor aleatorio generados por el dispositivo IoT de bloqueo sino que representa la cantidad de milisegundos desde que se encendió el chip (lo cual corresponde a una ventana temporal de algo menos de 50 días: 2^32 milisegundos).
• El texto cifrado de 128 bits ‘keys’, resultante de una operación criptográfica desconocida basada en los valores ‘keySource’ y ‘encKey’, probablemente utilice un cifrado AES-128.
• ‘encKey’ selecciona la clave de encriptación de un conjunto de 64 índices distintos determinados por el servidor.

También se ha observado que si se fijan los valores ‘keySource’ y ‘encKey’, el valor resultante de ‘keys’ es siempre igual. Esto permitiría realizar ataques de repetición para desbloquear la bicicleta, enumerando todos los valores posibles de ‘keySource’ y capturando los valores correspondientes ‘keys’ y ‘encKey’ siendo posible reproducir estos valores posteriormente y de forma offline, sin necesidad de conectar con el servidor. Además es posible limitar el número de valores a enumerar gracias a un comando BLE que provoca un reinicio del chip, con lo que el ataque se simplifica en gran medida.

Esta vulnerabilidad tiene asignado el identificador CVE-2018-16242.

Más información:

 

obike:

https://www.o.bike

CVE-2018-16242:

https://nvd.nist.gov/vuln/detail/CVE-2018-16242

Exploration of Weaknesses in Bike Sharing System:

http://isteps.comp.nus.edu.sg/event/11th-steps/module/CS3235/project/3

Reverse engineering of the oBike protocol communication (BLE and HTTP):

https://github.com/antoinet/obike

Múltiples vulnerabilidades corregidas en Apple iOS 12

Apple ha sacado un boletín de seguridad corrigiendo múltiples fallos de iOS 12, el sistema operativo de iPhone, entre ellos alguno que permite ejecutar código arbitrario

Revelación de información, elevación de privilegios, falsificación de contenido… Éstas son algunos de los impactos asociados a las vulnerabilidades que se abordan en el último boletín de Apple para su sistema operativo iOS en su versión 12. Además de usarse en el archiconocido iPhone, también está presente en la mayoría de los dispositivos móviles de la marca como el iPad o el iPod touch. Esta vez, todas las vulnerabilidades reportadas tienen un identificador CVE asociado. A continuación, repasamos las vulnerabilidades contenidas en el boletín:

• CVE-2018-4322
  • Módulo: Accounts
  • Impacto: Una aplicación puede obtener un identificador persistente de una cuenta
  • Solución: Mejora del sistema de permisos

• CVE-2018-5383
  • Módulo: Bluetooth
  • Impacto: Un atacante en una posición privilegiada de la red puede interceptar tráfico
  • Solución: Mejora de validación de entradas

• CVE-2018-4330
  • Módulo: Core Bluetooth
  • Impacto: Una aplicación puede ejecutar código arbitrario con privilegios del sistema
  • Solución: Mejora del manejo de memoria para evitar su corrupción

Exploit basado en CSS puede bloquear tus dispositivos Apple

Se ha revelado la PoC que únicamente contiene unas pocas líneas de código CSS y HTML.

Sabri Haddouche es el nombre del investigador que ha descubierto este fallo. La prueba de concepto liberada fue colgada en Twitter y en su Github. Más allá de un simple bloqueo, la página web, si se visita, provoca un pánico en el kernel del dispositivo y un reinicio completo del sistema. 

Explicación del fallo:

El exploit aprovecha una debilidad en el motor de renderizado de Apple Webkit, que es utilizado por todas las aplicaciones y navegadores de la conocia marca. Dado que Webkit no cargaba correctamente varios elementos como etiquetas <div> dentro de una propiedad del filtro CSS, el investigador creó una web que utiliza todos los recursos del dispositivo, provocando el apagado y reinicio del mismo. 

Prueba de concepto:

Todos los navegadores que corren sobre iOS son vulnerables a este ataque. Por otro lado, los usuarios de Windows y Linux no se ven afectados por esta vulnerabilidad.

De momento no hay parche disponible contra este fallo, pero se presupone que Apple está investigando el problema.

Más información:

 

Código de la PoC:
https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea

 

Corrupción de la memoria del kernel a través de Webroot SecureAnywhere

Un fallo en el software antivirus SecureAnywhere de Webroot permitiría a un usuario sin privilegios leer o escribir una dirección de memoria arbitraria.

El pasado 13 de septiembre, investigadores de Trustwave han descubierto una vulnerabilidad de corrupción de memoria en la versión de macOS de SecureAnywhere, el software antivirus desarrollado por la empresa Webroot.

Los ataques ‘Cold Boot’ vuelven una década después

Aunque el ataque ‘Cold Boot’ no es nuevo y parecía estar subsanado, los investigadores de seguridad Olle Segerdah y Pasi Saarinen, de F-Secure, aseguran haber conseguido realizar el ataque a varios ordenadores de forma exitosa aprovechando una vulnerabilidad en la forma en las que los ordenadores protegen el firmware, existente en la mayoría de los ordenadores de la actualidad.

Extraída de https://thehackernews.com

El ataque ‘Cold Boot’ o de ‘Inicio en frío’ es un ataque que se descubrió hace una década y que permitiría a un atacante con acceso físico a una máquina robar claves de cifrado entre otra información sensible. Este ataque consistía en reiniciar el ordenador sin en proceso adecuado de apagado, lo que podría permitir recuperar los datos existentes en la memoria RAM antes de que sean eliminados.

Pasos de realización del ataque, extraída de https://blog.f-secure.com

El problema fue subsanado aplicando un proceso de sobreescritura a los datos existentes en la memoria, impidiendo que la información pudiera ser robada. Ahora los investigadores de seguridad aseguran haber descubierto una manera de deshabilitar este proceso, lo que les permitiría realizar un ataque ‘Cood Boot’ al sistema.

Los investigadores también alertan de que este error existe en la mayoría de los ordenadores de hoy en día y aunque los ataque son en frío, no son fáciles de llevar a cabo. Los atacantes deben disponer de tiempo y formas consistentes y confiables para comprometer los equipos objetivos, ya que hay que tener acceso físico a ordenador en cuestión y herramientas adecuadas.

“It’s not exactly easy to do, but it’s not a hard enough issue to find and exploit for us to ignore the probability that some attackers have already figured this out,” says Olle. “It’s not exactly the kind of thing that attackers looking for easy targets will use. But it is the kind of thing that attackers looking for bigger phish, like a bank or large enterprise, will know how to use.”

Los investigadores aseguran que el error no tiene fácil solución y que cada fabricante tendrá que lidiar con el problema. Aún así, Microsoft y Apple están trabajando en una solución conjunta.

Aunque ahora mismo no existe ningún parche oficial, los de Redmon han actualizado sus contramedidas con BitLocker. Por su parte, los de la manzana, han actualizado sus recomendaciones de seguridad, en especial para aquellas personas cuyo ordenador no posea un chip T2, el cual supuestamente ya está protegido frente a este ataque.

El error ha sido presentado en la conferencia SEC-T en Suecia, y el próximo día 27, volverán a hacer una presentación en la conferencia de Microsoft BlueHat v18.

Actualmente los errores han sido reportados a Microsoft y a Apple con los que colaboran para una correcta solución.

Más información:

The Chilling Reality of Cold Boot Attacks:
https://blog.f-secure.com/cold-boot-attacks/New Cold Boot Attack Unlocks Disk Encryption On Nearly All Modern PCs
https://thehackernews.com/2018/09/cold-boot-attack-encryption.htmlLest We Remember: Cold Boot Attacks on Encryption Keys
https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderman.pdf

[VIDEO] SEC-T 0x0Beyond – Conference day 1
https://www.youtube.com/watch?v=ISE3pxAj7yk

Vulnerabilidad de falsificación de sitios web descubierta en Safari

Se ha descubierto una vulnerabilidad que podría permitir a los atacantes falsificar direcciones de sitios web legítimos para robar credenciales

Explicando WPA3: más seguridad y más fácil de usar

Esta nueva versión incluye el nuevo protocolo SAE, que hará inviable nuevos ataques como KRACK; aunque también se incluyen mejoras para hacer más fácil y seguro compartir redes y usar redes públicas

Durante más de una década, el uso de PSK (clave pre-compartida, comúnmente conocido como ‘four-way handshake’) se ha considerado seguro, hasta que en 2016 un grupo de investigadores belgas descubrieron lo que se denominaría KRACK, dejando de manifiesto la necesidad de buscar una alternativa: SAE (Simultaneous Authentication of Equals).

Este nuevo protocolo empleado por WPA3 (que en realidad data de 2008), se trata de una variación de dragonfly handshake, contando entre sus novedades resistencia a ataques como el de KRACK, pero además hace inútil los ataques por diccionario a los paquetes interceptados. Por si fuese poco, además cuenta con ‘forward secrecy’. Esto significa, que aunque se obtenga la clave, un atacante no podrá descifrar los mensajes anteriormente cifrados con dicha clave, porque ésta cambia con cada comunicación.

SAE a diferencia de PSK, tal y como indica su nombre (Simultaneous Authentication of Equals) trata a cada cada parte como iguales, y cualquiera de ellas puede establecer la comunicación. Este nuevo método se contrapone a la forma de trabajar de PSK, en que router y cliente se encontraban diferenciados, y era posible forzar la desconexión entre ambos para analizar los ‘handshake’ (tal y como hace KRACK).

Además de SAE, WPA3 en su modalidad WPA3-Enterprise contará con cifrado de 192-bits, al contrario que WPA3-Personal, que utilizará 128-bits. Esta seguridad adicional puede ser excesiva para el mercado doméstico, pero su uso puede ser requerido por instituciones y gobiernos.

WPA3 no es sólo más seguro, sino también más fácil de usar. Muestra de ello es Easy Connect, un nuevo protocolo que ha sido creado para facilitar compartir (y seguro) el acceso a una red. Esta nueva modalidad hace uso de códigos QR únicos, que deben ser escaneados por los dispositivos. Para aquellos dispositivos sin posibilidad de escanear el código QR, también será posible utilizar un código legible por un ser humano, e incluso compartirlo mediante sonido. Este tipo de medidas evitan compartir la contraseña (lo cual es más inseguro) y reduce los errores comunes al almacenar la clave para compartirla (a.k.a apuntarlo en un post-it). Sólo esperemos que estas nuevas facilidades, no se conviertan en un agujero de seguridad, como ya ocurrió con WPS.

Relacionado con lo anterior, el nuevo protocolo Enhanced Open protegerá a los usuarios que se conecten a redes abiertas, como aeropuertos o cafés, de ver sus datos comprometidos por el resto de usuarios de la red. Éste es un problema grave existente hasta ahora del que muchos usuarios no son conscientes, siendo la única solución utilizar una VPN (algo, que la mayoría de personas no utilizarán). Aunque el uso de una VPN en una red desconocida seguirá siendo aconsejable (porque no sabemos quien controla la red), este nuevo protocolo protegerá en gran medida a los usuarios que no usen una VPN.

Más información:

Wi-Fi Gets More Secure: Everything You Need to Know About WPA3

https://spectrum.ieee.org/tech-talk/telecom/security/everything-you-need-to-know-about-wpa3

SAE
https://ieeexplore.ieee.org/document/4622764/

RFC Dragonfly Key Exchange
https://tools.ietf.org/html/rfc7664

Wi-Fi Easy Connect
https://www.wi-fi.org/discover-wi-fi/wi-fi-easy-connectOpen Wi-Fi networks
https://www.wi-fi.org/discover-wi-fi/security

Descubierta aplicación anti-adware espiando a los usuarios de Mac

Una aplicación situada en el puesto número uno de las aplicaciones de pago de la AppStore cazada espiando a sus usuarios

Se trata de la aplicación «Adware Doctor», esta aplicación está diseñada para proteger a sus usuarios de adware y malware e irónicamente ha sido descubierta robando el historial de navegación de los usuarios sin su consentimiento y enviándolo a servidores localizados en China.

El investigador de seguridad ‘@privacyis1st’ detectó un comportamiento sospechoso de spyware en la aplicación antes citada y le reportó los resultados de la investigación a Apple junto con la prueba de concepto de este incidente, pero la aplicación seguía siendo hospedada por el famoso market.

Una investigación más exhaustiva de la aplicación desveló que elude el entorno de ‘Sandboxing’ presente en la ejecución de cada aplicación dentro del sistema operativo del gigante tecnológico. Lo cual conlleva a una violación de los acuerdos de desarrollo de aplicaciones.

Los datos obtenidos por la aplicación son principalmente todos los sitios web que el usuario haya visitado por los navegadores más famosos (Google Chrome, Firefox, Safari) y los envía a servidores chinos (hxxp://yelabapp.com) que está a cargo de los creadores de la aplicación. La aplicación se salta la protección de sandboxing y accede a estos datos, comprimiéndolos para posteriormente mandarlos al servidor a través de ‘sendPostRequestWithSuffix’.

Esta aplicación tiene más historia detrás antes podíamos encontrarla con el nombre de ‘Adware Medic’, que era una aplicación que simulaba ser otra llamada AdwareMedic. Se marcó como falsa con la ayuda de MalwareBytes y se eliminó de la AppStore, pero luego apareció Adware Doctor y se convirtió en la mejor aplicación de pago de la AppStore.

Dado que la aplicación viola flagrantemente los términos y condiciones del market de aplicaciones recopilando datos de los usuarios sin su consentimiento y saltándose las protecciones de sandboxing presentes se le comunicó a Apple el incidente, esta comunicación se lleva a cabo hace algunas semanas, pero la compañía aún no ha hecho nada al respecto.

Fue después cuando la información se hizo pública cuando Apple tomó cartas en el asunto y la aplicación fue finalmente borrada junto con la otra aplicación presente del mismo desarrollador ‘AdBlock Master’ y la URL donde se enviaban los datos ha dejado de ser accesible.

Se recomienda a los usuarios que hayan instalado esta aplicación que la borren inmediatamente de sus dispositivos.

Más información:

Fuente:
https://thehackernews.com/2018/09/mac-adware-removal-tool.html

Artículo técnico:

https://objective-see.com/blog/blog_0x37.html

Escalada de privilegios en ProtonVPN Client

Recientemente se ha descubierto una vulnerabilidad que afecta a la versión 1.5.1 del cliente ProtonVPN

Buscado por el FBI. Este ciudadano de Corea del Norte es acusado de pertenecer al grupo de delincuentes informáticos conocido como Lazarus. Este grupo presuntamente patrocinado por el gobierno de Corea del Norte lleva en activo desde 2009 atacando toda clase de objetivos. Varios de estos ataques tuvieron objetivos de Corea del Sur, así como los conocidos ataques a Sony Pictures Entertainment y el gusano WannaCry 2.0.

Diagrama que vincula al acusado con las víctimas mediante cuentas de correo usadas en los ataques

La denuncia original, a pesar de estar en inglés y ser un documento legal, es sorprendentemente legible, y se encuentra en el siguiente enlace:

https://int.nyt.com/data/documenthelper/274-park-jin-hyo-complaint/7b40e5ed5b185f141e1a/optimized/full.pdf

En ella, el agente especial del FBI Nathan P. Shields, cuya experiencia profesional incluye ingeniería de software en la NASA además de 7 años como agente especial, explica en 179 páginas los detalles de cómo el acusado participó en los hechos. Concretamente, los delitos de los que se le acusa son conspiración y conspiración para cometer fraude electrónico, ambos delitos tipificados en el Título 18 del Código de los Estados Unidos, reservado a los crímenes perseguidos por el gobierno federal (por contraposición a los perseguidos por un estado concreto) y al enjuiciamiento criminal.

Desde el punto de vista de la seguridad informática, es interesante leer la denuncia por lo detallado de la investigación. Se llega hasta el punto de explicar técnicamente que cierto malware está relacionado con otro por contener ambos cierta sección de código binario o usar el mismo protocolo falso para comunicarse con los servidores de control (de esta forma, relacionan diferentes ataques con este grupo). Este protocolo falso parece TLS(un protocolo estándar usado para comunicaciones cifradas), pero no lo es, ya que utiliza otro tipo de cifrado, entre otras diferencias. El objetivo de realizar algo así es evadir los sistemas de detección de intrusos, que lo ven como tráfico legítimo cifrado y no lo detectan como malicioso.

Volviendo al tema del acusado, la última información que se tiene de él es que volvió a Corea del Norte después de trabajar en China para una empresa vinculada con el gobierno coreano. Como es de esperar, no existe convenio de extradición entre Corea del Norte y Estados Unidos. Como diría el famoso futbolista y entrenador Bernd Schuster, «no hase falta desir nada más».

FBI Most Wanted: PARK JIN HYOK
https://www.fbi.gov/wanted/cyber/park-jin-hyok

A Look into the Lazarus Group’s Operations
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/a-look-into-the-lazarus-groups-operations

Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 40 nuevas vulnerabilidades, solo se facilita información de 21 de ellas (siete de gravedad alta, trece de importancia media y tres bajas).

Se corrigen vulnerabilidades por accesos fuera de los límites de la memoria en los módulos V8, Blink, WebAudio, Mojo y SwiftShader (CVE-2018-16065 al CVE-2018-16069 respectivamente). Desbordamientos de memoria en Skia y SwiftShader (CVE-2018-16070 y CVE-2018-16082), acceso no autorizado a archivos en Devtools, falsificaciones de direcciones en los diálogos de permisos y en el modo de pantalla completa (CVE-2018-16079 y CVE-2018-16080) y usos de memoria después de liberarla en WebRTC y Memory Instrumentation (CVE-2018-16071 y CVE-2018-16085).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 29000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de «Información sobre Google Chrome» (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Ya hablamos en la Una al Día de BackSwap, una variante de Tinba, un pequeño (10-50kB) pero sofisticado troyano bancario que implementa algoritmos de generación de dominios (para la comunicación con el C&C), captura de credenciales de usuario desde formularios o la inyección en diferentes procesos.Existen múltiples versiones de Backswap, la mayoría tienen como objetivo bancos polacos o monederos de criptomonedas.

Como su nombre indica, el malware «intercambia» (swap) el número de cuenta de la víctima directamente por el de la «mula» que retirará el dinero.

Mediante un ataque MitB (Man-in-the-Browser), el atacante intercambia los números de cuenta inyectando código JavaScript directamente en la consola del navegador. Todo ello sin que la víctima se de cuenta.

Las últimas muestras encontradas han ampliado sus objetivos y apuntan ahora a bancos españoles. En total seis importantes entidades se han visto afectadas por este malware.

Backswap se propaga en campañas de spam, por lo que recomendamos no abrir nunca correos con adjuntos no solicitados. Además de mantener siempre actualizados sus sistemas de seguridad.


Indicadores de compromiso:

• hxxps://5[.]61[.]47[.]74/batya/give.php
• hxxps://103[.]242[.]117[.]248/batya/give.php
• hxxps://mta116[.]megaonline[.]in
• hxxps://czcmail[.]com (IP: 119[.]23[.]128[.]176)

Muestras recientes:

• 1fb55006f40a96f0a36aaf1bfc1e72afb713d4f1409ead07e4d153f56203bc76 (OllyDbg.exe)
• 4543583ab8b2b8a2ce71ca1add42221c71dc5c71ab719a0aabfec80a21eaf479 (WinGraph32.exe)

Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005.

La vulnerabilidad, considerada de gravedad crítica (con CVE-2018-11776), se debe a una validación insuficiente de los datos introducidos por el usuario. Esta vulnerabilidad reside en el core del framework y existen varios vectores de ataque:

1. Cuando se utilizan resultados que no especifican un espacio de nombres (ni el el fichero de configuración de Struts ni en el propio código Java)
2. Cuando se utiliza la etiqueta ‘url’ en una plantilla sin especificar una acción y un valor.

A través de estos vectores un atacante remoto podría inyectar un espacio de nombres arbitrario pasándolo como parámetro en una petición HTTP.

Para que el ataque se haga efectivo, se tienen que cumplir dos condiciones:

1. El parámetro ‘alwaysSelectFullNamespace’ debe estar a ‘true’ en la configuración de Struts.
2. El fichero de configuración de Struts contiene una etiqueta ‘<action …>’ que no especifica ningún espacio de nombres.

La forma más sencilla para evitar las vulnerabilidades es actualizar a Apache Struts versiones 2.3.35 o 2.5.17; disponibles desde: http://struts.apache.org/download.html#struts-ga

https://semmle.com/news/apache-struts-CVE-2018-11776

SamSam no es más que la herramienta principal de un ataque dirigido a entidades concretas. No es un malware de distribución masiva, sino que es ejecutado de forma manual dentro de la red de la organización víctima. Para ello, el atacante necesita encontrar previamente una forma de acceder a la red. Las primeras versiones del ataque usaban exploits conocidos contra servicios de la organización expuestos a Internet, pero las últimas versiones han optado por atacar usando fuerza bruta (probando contraseñas una tras otra) contra un servicio en concreto: el servicio RDP (Remote Desktop Protocol), usado para permitir el acceso remoto a otro ordenador compartiendo la pantalla.

Una característica del malware que impide su análisis en profundidad es que su parte principal viene cifrada con una clave que sólo conoce el atacante. Evidentemente, para su ejecución es necesario descifrarla, pero lo hace el atacante proporcionando la contraseña al ejecutarlo manualmente. Por tanto, para poder analizar el malware en profundidad, sería necesario pillar al atacante in fraganti y capturar la contraseña, ya que apenas se ejecuta el malware se borra la contraseña usada para descifrarlo.

El resto de partes son piezas de apoyo que ayudan a descifrar y lanzar el malware de forma automática. Adicionalmente, el ataque hace uso de diversas herramientas de apoyo, entre otras una herramienta de administración remota (RAT) con capacidad para realizar cualquier acción en el sistema y herramientas públicas de terceros para realizar el reconocimiento de la red y moverse lateralmente en ésta (es decir, saltar de un punto de la red a otro). De nuevo, recordamos que estamos ante un ataque dirigido, donde un atacante entra en la red por algún medio externo al ransomware, y una vez dentro, reconoce y ataca manualmente otros puntos de la red, para finalmente ejecutar el ransomware en los puntos de la red que considere dignos de secuestrar.

Flujo del ataque

A continuación se describe las fases del ataque que tienen como objetivo final la ejecución del ransomware SamSam. Se presupone que la entidad ya ha sido seleccionada por el atacante. Para ello, puede haber sido elegida manualmente por su importancia y valor, o bien haber sido elegida tras buscar organizaciones con redes con una seguridad débil. Para esto último, los atacantes se suelen valer de herramientas como el buscador Shodan, que permiten buscar qué puntos de Internet corren ciertos servicios que se conocen vulnerables, para intentar explotarlos luego. También existen listas de servicios vulnerables previamente confeccionadas puestas a la venta por otros criminales.

1. Intrusión en la red

Se conocen tres métodos por los cuales el atacante accede a la red en este paso:

1. Ataque de fuerza bruta sobre el servicio RDP de Windows, que corre en el puerto 3389, buscando credenciales débiles.
2. Aprovechando vulnerabilidades de servicios expuestos a Internet. En el pasado aprovecharon vulnerabilidades en el servidor de aplicaciones JBoss.
3. Ingeniería social, especialmente a través de correos adjuntos infectados. Se desconocen los detalles de esta forma de entrada.

Una vez completado este punto, el atacante puede ejecutar código en la máquina afectada, si bien dependiendo de la configuración del sistema comprometido o del nivel de la cuenta de usuario comprometida, estaríamos hablando de ejecución a nivel de usuario sin privilegios o a nivel de administrador. Si el atacante no ha conseguido privilegios de administrador, procede al siguiente paso:

2. Elevación de privilegios

Tras conseguir entrar en la red con una cuenta de usuario sin privilegios, el atacante tiene que escalar privilegios y obtener acceso como controlador de dominio. Para ello hace uso de distintas herramientas y exploits, herramientas la mayoría de código abierto y gratuitas, y también creadas por el mismo atacante.  No se ha documentado una relación directa entre un exploit en particular y estos ataques en esta fase. Se sabe que en esta fase el atacante ha podido estar días, por ejemplo debido al uso de herramientas que aprovechan la entrada de un controlador de dominio al sistema para robarle el acceso.

3. Movimiento lateral

Con el objetivo de afectar el número máximo de sistemas, el atacante procede a escanear la red y comprometer los sistemas accesibles. Para ello, y con el acceso de administrador, accede de forma normal a un servidor de la compañía, desde el cual procede a escanear la red. Una vez seleccionados los posibles objetivos, accede a todos los que puede y realiza una prueba para ver si efectivamente puede acceder al sistema de archivos de ese sistema. El que esto sea realizado por parte del atacante de forma manual permite hacer el menor ruido posible.

4. Ejecución del malware

Tras establecerse como controlador de dominio desde un servidor de la compañía, el atacante procede a instalar y ejecutar el ransomwareSamSam en los objetivos disponibles. Para ello, usa principalmente una herramienta legal llamada PsExec. La ejecución del malware se realiza de una forma atípica: se proporciona una contraseña como parámetro de línea de comandos al ejecutable del ransomware en el momento de ejecución. Esta contraseña se usa para descifrar el malware, que viene cifrado. De esta forma, el atacante mantiene en secreto el funcionamiento concreto del malware, ya que en un análisis post mortem del sistema víctima no se encuentra el código que ha provocado el desastre.

5. Espera del pago y soporte técnico

Tras infectar todos los sistemas objetivo de una forma coordinada (con segundos de diferencia entre ellos), al atacante sólo le queda limpiar todos los rastros que pueda y esperar a que la víctima pague. Tras completarse la ejecución del ransomware, como en casi todos los casos, el malware deja una nota de rescate. En ésta se especifica la cantidad de Bitcoins a pagar para obtener la contraseña de descifrado (con precios en dólares actualmente de unos 500 dólares por máquina y 4.000 por todas) y la dirección a la que realizar el pago. También se especifica una dirección de una web contenida en la red Tor (una red pública y gratuita que mantiene el anonimato de los usuarios, pero que requiere la instalación de software adicional para navegar por ella). En esa dirección se encuentra una forma de contactar con el atacante e incluso poder descifrar algunos archivos gratuitamente. Como el acceso a la red Tor no es conocido para la mayoría de los usuarios, el atacante incluye instrucciones accesibles para poder acceder a ella.

Precisamente uno de los puntos más llamativos de este ransomware es la calidad del «soporte técnico» que se ofrece por parte del atacante para solucionar problemas relacionados con el pago y el descifrado de los archivos, llegando hasta el punto de enviarse una decena de mensajes por parte del atacante para solucionar un problema particular de un usuario que ya había pagado. O disculparse por la tardanza al responder a un mensaje de un usuario. También es reseñable que el atacante parece haber proporcionado la clave de descifrado a todas las víctimas que han pagado, si bien desde Hispasec recomendamos nunca pagar el rescate, ya que contribuiríamos a alimentar este tipo de fraude.

Soluciones y contramedidas

Este malware tiene un sistema de cifrado para el que no se han documentado fallos. Por tanto, en este momento no hay solución más allá de pagar el rescate. Ahora pasamos a diferenciar entre la infección por ransomware y la intrusión a la red para explicar qué medidas se deben tomar con antelación para protegerse de estas amenazas:

Infección por ransomware

En el primer caso, infección por ransomware, existen una serie de medidas específicas para detectar que un malware de este tipo se encuentra ejecutándose y bloquearlo, pero existen otras medidas más básicas y generales de protegerse. Hablamos de las copias de seguridad y los entornos de usuario fácilmente restaurables. Las copias de seguridad son imprescindibles para casos como éste, pero son igualmente vitales en casos de rotura del almacenamiento principal de un sistema y otras catástrofes. Es especialmente interesante que estas copias no estén conectadas a red alguna, o que se encuentren en otro lugar físico.

Adicionalmente, poder restaurar los equipos de los usuarios con un sistema de replicación de imagen de disco duro o un sistema de virtualización distribuido son las otras medidas que complementan a las copias de seguridad de los datos. Ambas medidas combinadas proporcionan una excelente protección contra la amenaza de un ransomware. Incluso en uno de los peores casos: entra un ransomware de propagación automática e infecta los sistemas de todos los usuarios de la red usando un exploit desconocido. Si tienes copias de seguridad diarias, habrás perdido como mucho un día de información. Y si los entornos de tus usuarios son fácilmente restaurables, en unas horas puedes estar funcionando de nuevo con equipos limpios.

Intrusión en la red

Finalmente, queda comentar contramedidas contra intrusiones en la red. En este tipo de casos, empresas grandes con mucho que perder y redes bastante complejas, no se puede ofrecer una serie de contramedidas generales y pensar que eso es suficiente. Es necesario invertir en seguridad informática, tanto en personal como en equipos, y apoyar firmemente desde dirección la implementación y respeto de la política de seguridad diseñada por personal cualificado. En este caso en particular, dados los tres tipos de entradas que se conoce realiza el atacante, podemos comentar las medidas básicas de protección contra cada uno de ellos:

1. Credenciales débiles: Forzar que todo método de autenticación basado en contraseña respete unos requisitos mínimos de longitud y variedad de caracteres en la contraseña.
2. Servicios vulnerables expuestos a Internet: Lo primero es exponer el mínimo número de servicios posibles a Internet. Lo segundo es actualizar el software para protegerse al menos de vulnerabilidades conocidas. Finalmente, aislar en la medida de lo posible estos servicios del resto de la red interna.
3. Ingeniería social: Cursos de conciención a todos los niveles de la compañía, siempre procurando que sean prácticos y amenos. Las políticas de seguridad deben ser razonables y no requerir un esfuerzo sobrehumano para ser respetadas, o los usuarios no las respetarán.

Extraer información de tu perfil personal de Facebook si tienes iniciada sesión en él y visitas una web maliciosa. Esta es la prueba de concepto llamativa para esta vulnerabilidad. Es posible extraer tu edad, tus likes, tu histórico de localización…Esta vulnerabilidad ha sido reportada por Imperva, una empresa de seguridad informática dedicada entre otras cosas al análisis de eventos de seguridad. Se dieron cuenta de ella cuando investigaban el comportamiento del mecanismo CORS (Cross-Origin Resource Sharing) en las distintas etiquetas HTML.

Lo que encontraron fue ciertamente interesante… Pero antes es necesario explicar lo básico, para que la vulnerabilidad no nos suene a chino. Primero, es necesario saber que el navegador, por seguridad, restringe bastante las peticiones que puede hacer una página web a otra página web que no esté en su dominio. ¿Qué quiere decir esto? Que la página de facebook.com tal y como se ejecuta en tu navegador, no puede hacer cierto tipo de peticiones a google.com. ¿Por qué este comportamiento? Un ejemplo simple: imagínate que entras a paginamala.com y ésta se pone a hacer peticiones a bancosantander.com, teniendo abierta la banca online… En realidad luego no es tan sencillo, ya que existe otra serie de medidas para evitar que esto ocurra aunque no se respete esa restricción, pero es un control necesario más.

Lo que acabamos de contar arriba no es ni más ni menos que la famosa «same-origin policy» (política del mismo origen), cuyo nombre tras la breve explicación cobra sentido. Lo que pasa es que la web, por definición, no tiene sentido como nodos aislados, y una página funcional necesita recursos de otras webs. No estamos hablando de estar en google.com y desde allí pinchar en un enlace a facebook.com, no. Esto se considera como una acción intencionada del usuario, y no es la misma página la que ejecuta la acción (ni recibe el contenido de facebook.com). Hablamos de facebook.com necesitando una fuente de texto especial alojada en google.com (que tiene una sección para obtener fuentes), para poder mostrarte un texto con esa fuente.

Error en Chrome por realizar una petición que viola la política del mismo origen

Es por esto que para que una web pueda acceder a recursos de otra (siempre que esta otra quiera), se crea el mecanismo CORS antes mencionado, que define una serie de situaciones y acciones que se deben llevar a cabo en éstas que permiten compartir recursos entre orígenes distintos. Y esto es lo que significa CORSbásicamente, «intercambio de recursos de origen cruzado». En la práctica esto se implementa haciendo el navegador una petición de prueba antes de la real, para preguntar al dominio externo si permite peticiones completas desde otros dominios, y si no lo permite explícitamente, no se hace la petición completa. En algunos casos más relajados se permite hacer directamente la petición completa, pero si el servidor no especifica explícitamente que cierta página externa puede peticionarla (ya sea por no haber sido configurado o por otras razones), el mismo navegador no permite a la página leer la respuesta a la petición.

Ya disponemos de las bases para entender la vulnerabilidad. Como bien sabemos, la parte principal de una web está compuesta por HTML, que a su vez se compone de etiquetas especificando el contenido de la web. Pues bien, en Google Chrome, las etiquetas ‘audio’ y ‘video’, tienen un pequeño fallo. Estas etiquetas son usadas para insertar audio y vídeo en las páginas, y uno de sus atributos es la URL en la que está el recurso, (audio o vídeo). El fallo que tienen es que no comprueban el tipo de recurso (básicamente, que sea audio o vídeo) antes de permitir acceder a cierta información del recurso. Concretamente, sin saber si el recurso es audio o vídeo y mientras lo descarga, esta etiqueta lanza una serie de eventos que el código JavaScript de la página puede capturar y extraer información de éstos.

¿Cuál es el problema de ésto? Que según el número de eventos de cierto tipo que arroje la etiqueta HTML mientras va cargando el recurso sea audio o no, es posible estimar el tamaño del recurso. ¿Realmente esto es un problema? Sí. Y lo entenderemos describiendo el escenario del ataque propuesto por el autor:

1. Crea una página en Facebook
2. Publica un post restringido a personas con 18 años
3. Publica otro post restringido a persona con 19 años
4. Publica más posts con la misma idea hasta cubrir todo el rango de edad, año a año
5. Crea una página maliciosa con tantas etiquetas ‘audio’ como posts has creado en Facebook, y que cada una apunte a un post.
6. Controla la cantidad de veces que se lanza este evento por cada etiqueta, para estimar el tamaño de cada página.
7. Consigue que la víctima visite tu página maliciosa

Oracle Security Alert Advisory – CVE-2018-3110:

El ataque aprovecha la forma en la que las apps utilizan el sistema de almacenamiento externo para dar como resultado una inyección de código.

Los investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.

Conceptos base:

Es bien conocido que las aplicaciones en el sistema operativo Android pueden almacenar sus recursos en el dispositivo en dos ubicaciones: almacenamiento interno y externo.

Google, insta a los desarrolladores a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el ‘sandbox’ integrado de Android, para almacenar sus archivos o datos confidenciales.

Sin embargo, los investigadores encontraron que muchas aplicaciones usaban almacenamiento externo sin protección al que cualquier aplicación instalada en el mismo dispositivo puede acceder.

Explicación del ataque:

Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Dado que la aplicación no puede validar la integridad de los datos, el código de la actualización legítimo de la aplicación se puede reemplazar por uno malicioso.

 
Entre las aplicaciones que han probado se encuentran: Google Translate, Yandex Translate, Google Voice Typing, Lg World, … entre otras.

Los investigadores recalcan que solo han probado una pequeña cantidad de aplicaciones importantes y, por lo tanto, esperan que el problema afecte a un número más signifitcativo.

 

Más información:

 

Post de Check Point:

https://blog.checkpoint.com/2018/08/12/man-in-the-disk-a-new-attack-surface-for-android-apps/

Speck es un algoritmo de cifrado ligero, especialmente diseñado para dispositivos IoT, con baja capacidad de cómputo y creado por la NSA, la Agencia de Seguridad Nacional de Estados Unidos.

En Android, Kaspersky VPN – Secure Connection tiene más de 1.000.000 de descargas

Cuando un usuario se conecta a una VPN, todo el tráfico pasa a través de un túnel cifrado al servidor VPN, por lo que al servidor de destino le llega la dirección IP de dicho servidor.

Funcionamiento VPN

El problema surge cuando Kaspersky VPN no redirige las consultas al servidor DNS cifradas, por lo que el servidor DNS podría registrar los sitios web que visitan los usuarios e incluso vincularlos a su dirección IP.

Este bug fue descubierto por el analista de seguridad Dhiraj Mishra, en su blog indica los pasos a seguir para reproducir el problema:

1. Visitar IPleak.net
2. Conectarse a cualquier servidor virtual utilizando Kaspersky VPN.
3. Una vez conectado, volver a visitar IPleak.net. Se podrá observar que la dirección DNS no ha cambiado.

VMware Horizon ofrece una infraestructura de escritorios virtuales (VDI). Es este caso el cliente de conexión de Horizon permite a los usuarios conectarse a su escritorio virtual desde múltiples dispositivos.

La aplicación Horizon Client se comunica con View Connection Server, que actúa como intermediario entre el dispositivo cliente y los escritorios. Los usuarios inician sesión en Horizon Client y View Connection Server los autentica para luego conectarlos con sus respectivos escritorios virtuales.

VMware Horizon – Gestión de la infraestructura

VMware Horizon Client – Conexión desde el cliente al escritorio virtual

Las versiones de Horizon 6, 7 y Horizon Client para Windows presentan una vulnerabilidad de lectura fuera de los límites de memoria en la librería «Message Framework». Un usuario malicioso con pocos privilegios podría explotar esta vulnerabilidad permitiendo acceder a información desde un proceso privilegiado en un sistema donde se encuentre instalado Horizon Connection Server, Horizon Agent u Horizon Client afectados por esta vulnerabilidad.

Este problema solo afecta a las versiones de Horizon 6 y 7 de Microsoft Windows.

Today we released a new and an updated #VMware Security Advisory. Check out https://t.co/nX6pezEPrp and https://t.co/goNuO7XzVr.

— VMware Sec Response (@VMwareSRC) 7 de agosto de 2018

Horizon 7 – Windows | Parche 7.5.1:
https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon/7_5

Horizon 6 – Windows | Parche 6.2.7:
https://my.vmware.com/group/vmware/info?slug=desktop_end_user_computing/vmware_horizon/6_2

Horizon Client for Windows – Windows | Parche 4.8.1:
https://my.vmware.com/web/vmware/details?productId=578&downloadGroup=CART19FQ2_WIN_4_8_1

En este caso, la vulnerabilidad se encuentra en la forma en la que ambos núcleos manejan el protocolo TCP, hermano del protocolo UDP que aparece en la figura. TCPtiene entre sus responsabilidades dividir en trozos llamados «segmentos» la información que pretende transportar si es demasiado grande para transportarse de una sola vez. Tras dividirse en segmentos, TCP se encarga de que cada segmento tenga un identificador que permita al destinatario juntar los segmentos TCP en el orden correcto y reconstruir la información original. Esto es necesario, ya que los paquetes no tienen por qué llegar en el orden en el que salieron.

Llegados a este punto, ya podemos empezar a entender las vulnerabilidades tal y como la explican los reportes oficiales (el primero Linux y el segundo FreeBSD):

One of the data structures that holds TCP segments uses an inefficient algorithm to reassemble the data. This causes the CPU time spent on segment processing to grow linearly with the number of segments in the reassembly queue.

Juha-Matti Tilli reported that malicious peers could inject tiny packets in out_of_order_queue, forcing very expensive calls to tcp_collapse_ofo_queue() and tcp_prune_ofo_queue() for every incoming packet.

Ambas vulnerabilidades dan a entender el mismo problema subyacente: la reconstrucción de la información original a partir de los segmentos TCP fuera de orden no es demasiado eficiente. Los algoritmos usados para la reconstrucción seguramente funcionan bastante bien en las circunstancias habituales, pues en otro caso se habrían detectado problemas de rendimiento previamente. Pero en casos raros, y especialmente si quieres buscarle las cosquillas, es posible a través de una serie de segmentos TCP especialmente diseñados causar que la reconstrucción tarde demasiado. Lo de «demasiado» significa que para una cantidad relativamente pequeña de segmentos TCP (es decir, con un ancho de banda pequeño) conseguimos usar tiempo del procesador de una forma desproporcionada.

Tanto el código del núcleo de Linux como el de FreeBSD han sido actualizados con sendos parches. En Linux estamos hablando de la versión 4.9 para adelante como las más afectadas, pero con la 4.8 y anteriores vulnerables en menor medida (necesitando más tráfico para causar el mismo efecto). En FreeBSD se ven afectadas todas las versiones. La vulnerabilidad de Linux ha recibido el identificador CVE-2018-5390, mientras que la de FreeBSD ha recibido el CVE-2018-6922.

En este caso, es posible que el reporte por parte del investigador externo se haya realizado de forma privada, ya que no aparece vínculo alguno al reporte técnico original. Estos reportes suelen ser más técnicos, y te permiten entender la parte importante de la vulnerabilidad, ya que los reportes oficiales suelen ser bastante escuetos y parecen escritos por cumplir. Por tanto, en este caso no podemos ofrecer un análisis técnico de los hechos y nos limitaremos a comentar el boletín oficial y comentar algunos hechos relacionados. La vulnerabilidad es lo más clásico: se manda a imprimir un archivo especialmente diseñado que desborda memoria en la impresora y permite ejecutar código arbitrario.

En el boletín oficial asignan los identificadores CVE-2018-5924 y CVE-2018-5924 a las vulnerabilidades descritas, y especifican una lista bastante larga de productos afectados, viéndose afectadas las impresoras de inyección de tinta (inkjet). También se especifica que se han actualizado los firmwares de las impresoras afectadas, y que los usuarios de éstas deberían actualizar el firmware a la versión indicada siguiendo el procedimiento enlazado en el mismo boletín.

Lo cierto es que es un tema algo candente, y parece ser que con la fiebre de la seguridad del IoT algunos se han dado cuenta de que esos cacharros que imprimen son otro punto vulnerable más. Y lo bueno de una impresora es que no se suele considerar sospechosa, pues se le cree tonta. Y al final es un dispositivo más, probablemente con acceso a Internet y un procesador ARM genérico que ejecutará lo que sea. Tirando un poco de historial y sin irnos muy lejos, podemos comprobar que hace casi un año se descubrieron algunas vulnerabilidades graves en impresoras HP. El reporte técnico que se realizó es para sentarse a leerlo y disfrutarlo.

Respecto a la seguridad de las impresoras, hay una wiki bastante interesante sobre la «(in)seguridad» como dicen ellos mismos de estos dispositivos. Asociado a la wiki disponemos de PRET, un conjunto de herramientas para la explotación de impresoras. Visto el panorama, parece un buen momento para prestarle atención a la explotación de estos dispositivos.

Git v2.17.1 Release Notes:

https://marc.info/?l=git&m=152761328506724&w=2

https://blogs.msdn.microsoft.com/devops/2018/05/29/announcing-the-may-2018-git-security-vulnerability/

Elevación de privilegios en VMware Horizon Client

Detectada una vulnerabilidad crítica en el producto Horizon Client del fabricante VMware que permite a un atacante realizar una elevación de privilegios.

Vulnerabilidad en componente Apport de Ubuntu – CVE-2018-6552

Apport gestiona incorrectamente los volcados del núcleo cuando faltan ciertos archivos en /proc. Un atacante local podría aprovechar esta vulnerabilidad para causar una denegación de servicios, elevar privilegios o escapar de contenedores.

Ejecución remota de código en la familia antivirus F-Secure

Zip Slip, oportuno rebranding de una vieja vulnerabilidad

Se ha detectado la posibilidad de sobreescribir archivos arbitrarios, que suele permitir ejecutar código arbitrario, en múltiples proyectos software de envergadura

Vulnerabilidad CRÍTICA en Chrome: ¡Actualiza ya!

Cuidado con Cortana… ¡Podría llegar a desbloquear tu ordenador!

Este asistente IA podría ayudar a los atacantes a desbloquear la contraseña de un sistema objetivo.