Noticias de Seguridad Febrero 2018

3 Mar Ricardo Marche Noticias

Ataques XSS y JavaScript privilegiado: Vulnerabilidad en Firefox

Mozilla Firefox no protege adecuadamente de ataques XSS en el código JavaScript privilegiado usado internamente por el navegador, principalmente en su propia interfaz gráfica

Así es, hay código JavaScript privilegiado corriendo en los navegadores modernos. Tanto Google Chrome como Mozilla Firefox usan JavaScript en la programación de sus interfaces de usuario. Por privilegiado nos referimos a código que tiene acceso a las páginas abiertas en el navegador, el sistema de archivos… Hay distintos contextos de ejecución dentro del código privilegiado (algunos más restringidos que otros), siendo uno de los más interesantes por permitir introducir código externo es el de las extensiones del navegador.

Más información:
 
Arbitrary code execution through unsanitized browser UI
https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/
An overview of the script security architecture in Gecko

https://developer.mozilla.org/en-US/docs/Mozilla/Gecko/Script_security

MDN web docs: Add-ons

https://developer.mozilla.org/en-US/Add-ons

Chrome extensions: Overview

https://developer.chrome.com/extensions/overview

Ingeniería social: Logos de empresas reputadas para ganarse la confianza del usuario

Para ganarse la confianza de los usuarios, muchas empresas y webs utilizan legítimamente logos de compañías importantes que les apoyan. Por desgracia, los atacantes también hacen uso de estos logos de manera fraudulenta.

Los PUP’s (Potentially Unwanted Program) son por definición programas que probablemente no quieras en tu ordenador, ya que te estafan en mayor o menor medida. Ejemplos claros de PUP’s: El típico programa que instalas y te mete barras en Internet Explorer, el que te introduce publicidad en el ordenador… Estos programas potencialmente no deseados suelen intentar hacer creer a los usuarios que aquello que van a instalar está respaldado por grandes compañias, con el fin de crear una falsa sensación de confianza.

Segun los investigadores de Malwarebytes, los criminales que distribuyen PUP’s tienen entre sus logos más usados, los de Mcafee, Norton y Microsoft, como podemos observar en la siguiente captura:

Más información:

Stolen security logos used to falsely endorse PUPs:

Microsoft publica actualización para deshabilitar el parche de la 2ª variante de Spectre

La actualización ha sido lanzada para aquellos usuarios que se han visto afectados por reinicios aleatorios tras la aplicación del parche, pero no ha sido publicada como una actualización automática

Sin duda, entre los propósitos de Intel para el próximo año, debe encontrarse empezar mejor que lo que lo han hecho este 2018. Si leíamos hace unos días cómo Linus Torvalds tildaba el parche de Intel para Spectre y Meltdown de una «auténtica y rotunda basura», ahora el parche para los sistemas Windows parece reafirmarse que no es mucho mejor, habiendo publicado Microsoft una actualización para poder desactivarlo tras los ya reconocidos problemas que está habiendo con la misma.

Más información:
 
Comentario de Linus Torvalds sobre el parche:

Nota de prensa sobre resultados de Intel en el cuarto trimestre de 2017:
https://www.intc.com/investor-relations/investor-education-and-news/investor-news/press-release-details/2018/Intel-Reports-Fourth-Quarter-2017-Financial-Results/default.aspx

Guía de procesadores vulnerables:
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf

Demandas colectivas contra Intel:
https://www.theguardian.com/technology/2018/jan/05/intel-class-action-lawsuits-meltdown-spectre-bugs-computer

Comunicado de El Congreso de los Estados Unidos:
https://energycommerce.house.gov/wp-content/uploads/2018/01/Meltdown-Spectre-Letters.pdf

Compañías Chinas conocieron las vulnerabilidades antes de el gobierno de EEUU:
https://www.wsj.com/articles/intel-warned-chinese-companies-of-chip-flaws-before-u-s-government-1517157430?tesla=y&mod=e2tw

Acciones de Intel:
http://www.nasdaq.com/es/symbol/intc/interactive-chart?timeframe=1m&charttype=line

Precio de procesador Intel en el tiempo:
https://camelcamelcamel.com/Intel-Desktop-Processor-i7-7700K-BX80677I77700K/product/B01MXSI216

Botnet ‘Smominru’ afecta a más de 500.000 equipos usando EternalBlue

El famoso exploit de la NSA que salió a la luz el año pasado sigue causando estragos.

Resultado de imagen de botnet

A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes debido a su simpleza y utilidad.Monero (XMR) sigue siendo la moneda favorita para minar ilegalmente gracias a que te proporciona mayor anonimato a la hora de realizar transacciones.

La vulnerabilidad utilizada que se dio a conocer con WannaCry y que paralizó a medio mundo sigue siendo uno de los principales vectores de ataque para este tipo de malware. Con parche de seguridad disponible desde Marzo de 2017, EternalBlue(CVE-2017-0144 SMB) sigue siendo una de las vulnerabilidades más explotadas.

Smominru (también conocido como Ismo) se ha expandido por muchas zonas, pero la mayoría de los equipos infectados se encuentran en Rusia, India y Taiwán. La razón de que haya más infecciones en estos países es que aún no han tomado conciencia de la necesidad de actualizar sus sistemas a fin de mejorar su seguridad y el número de instalaciones de parches de seguridad en Windows es muy bajo.

El malware ha infectado alrededor de 526.000 sistemas Windows desde Mayo de 2017, lo cuál ha hecho que los atacantes minen 8.900 Monero, que corresponden a 1,86 millones de dólares (actualmente, tras la caída de las criptomonedas).

Los expertos de ProofPoint notificaron al servicio de protección DDoS SharkTech que la infraestructura de comando y control de ‘Smominru’ se encontraba alojada en sus servidores, sin embargo no obtuvieron respuesta.

Según varios investigadores, esta botnet va a seguir expandiéndose a lo largo del año

Más información:
 
Análisis de ProofPoint:

El lunes negro de WordPress: actualizaciones con fallos y vulnerabilidades que no se solucionan

Definitivamente esta semana no es la mejor para el CMS que, dicen, supone casi el 30% de sitios de Internet. Un fallo introducido en la ultima actualización impide actualizar automáticamente, y una vulnerabilidad que tiene como impacto la denegación de servicio no será solucionada.

El lunes se publicaba la versión 4.9.3, solucionando un total de 43 fallos, aunque ninguno de ellos de seguridad. Como es habitual cada vez que hay una actualización, el anuncio de la nueva versión al final rezaba:

Sites that support automatic background updates are already beginning to update automatically.

Pero esto nunca llego a suceder. Irónicamente, la actualización se publicó con un fallo que impide al sistema de actualizaciones automáticas seguir funcionando, o lo que es lo mismo: tras esta instalación, WordPress dejará de actualizarse automáticamente. Esta funcionalidad se implementó en la versión 3.7, precisamente para dar respuesta a la gran cantidad instalaciones vulnerables (algunos estudios afirmaban que suponían el 70% del total).

Para solucionar la situación, el mismo martes se publicó la versión 4.9.4. Sin embargo, al haber quedado el sistema inservible, para actualizar se requieren operaciones manuales por parte del usuario:

Unfortunately yesterdays 4.9.3 release contained a severe bug which was only discovered after release. The bug will cause WordPress to encounter an error when it attempts to update itself to WordPress 4.9.4, and will require an update to be performed through the WordPress dashboard or hosts update tools.

Esto podría suponer que muchos sitios queden estancados en la versión 4.9.3 hasta que sus administradores ejecuten la operación.

Más malas noticias: una denegación de servicio que no se solucionará

Por si esto fuera poco, el mismo lunes el investigador Barak Tawily publicaba un artículo donde describía una vulnerabilidad que afecta a casi cualquier instalación de WordPress, provocando una denegación de servicio.

La vulnerabilidad se encuentra en el fichero ‘load-scripts.php’. Este se utiliza para pedir al servidor varios ficheros estáticos en una sola petición, reduciendo así el número total de peticiones.
Como parámetro se pasa al fichero un array llamado load que contendrá nombres de ficheros estáticos. No todos los estáticos pueden servirse a través de esta petición, solo los definidos en el listado interno $wp_scripts, y nunca se servirán repetidos, aunque ni falta que hace: en ese listado hay un total de 181 ficheros que suponen un número similar de acciones de I/O y un peso del fichero de respuesta de casi 4MB.
Más información:

Riesgos de usar WhatsApp Web en entornos corporativos

WhatsApp Web está siendo ampliamente utilizado en entornos empresariales, pese a que su política de uso deja claro que solo puede utilizarse para uso personal. La razón de su uso se debe a que permite renderizar WhatsApp en tu navegador, para no tener que estar acudiendo al teléfono móvil si quieres usar la famosa aplicación adquirida por Facebook en 2014.

Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones. Concretamente, WhatsAppWeb es una aplicación web relativamente compleja en su forma de comunicarse. Por ejemplo, en un primer momento solo tenía compatibilidad con Google Chrome debido a que era el único navegador que integraba la tecnología WebRTC en ese momento (a día de hoy es soportada por la mayoría de los navegadores).

Más información:

Campaña internacional de fraude por Whatsapp a diferentes supermercados

UDPoS, el malware que afecta a puntos de venta

UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn

Recientemente se ha descubierto una nueva variedad de malware que afecta principalmente a puntos de venta (PoS) y envía la información de las tarjetas robadas a través del protocolo DNS. El uso de este protoloco es algo a destacar, ya que lo más común en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar por una actualización de LogMeIn.

El malware se presenta con nombres como ‘logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe’ y se comunica con servidores de control alojados en Suiza. La primera vez que se ejecuta genera un archivo ‘infobat.bat’ que se usa para hacer una firma del sistema y poder identificar las máquinas infectadas. A continuación escanea la máquina infectada y la información recopilada se aloja en un fichero llamado ‘PCi.jpg’, que se envía al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se asegura de sobrevivir al reinicio de la máquina).

Más información:
 
Investigación completa del malware:

Miles de sitios webs de los gobiernos hackeados para minar criptomonedas

Se han descubierto miles de webs de varios gobiernos del mundo que forzaban a los visitantes a minar criptomonedas.

Extraída de Hackbusters

El script de minado ha sido encontrado en más de 4.000 webs entre las que destacan el Servicio Nacional de Salud de Reino Unido (NHS) y el sistemas judicial de los Estados Unidos.

Los ciberdelincuentes consiguieron modificar un complemento de accesibilidad de terceros llamado Browsealoud, el cuál estaba presente en todas las webs afectadas. Una vez más, la secuencia de comandos que se insertó pertenece a CoinHive, al cuál ya hemos mencionado en otros artículos.

Como ya hemos mencionado en otras ocasiones, los usuarios al visitar una web que contiene código de CoinHive, notan como la potencia de su procesador se ve aumentada notablemente para minar criptomonedas sin conocimiento de ello. Esto es conocido como criptojacking.

El encargado en dar la voz de alarma fue Scott Helme (Consultor de Seguridad en Reino Unido). Descubrió el hackeo después de que uno de sus amigos mencionara haber recibido alertas de antivirus en la web del gobierno y lo publicó en su cuenta de Twitter.

El complemento vulnerado pertenece a la empresa TextHelp. Martin McKay, CTO de dicha compañía escribió un post para tranquilizar a los usuarios. En él, especifica que el completemento está pasando una serie de revisiones de seguridad.

Debido a esta acción, el completemento ha sido borrado eventualmente de todas las webs sin que los encargados de dichas páginas deban realizar ninguna acción.

Además, la compañía asegura que no se ha comprometido datos de ninguno de los usuarios y que sus clientes recibirán una actualización tan pronto como la investigación de seguridad haya finalizado.

Más información:

Lista de webs vulneradas:
https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

Web de CoinHive:
https://coinhive.com/

Tweet de Scott Helme dando la alarma:
https://twitter.com/Scott_Helme/status/962684239975272450

Múltiples Vulnerabilidades en Trend Micro Email Encryption Gateway

Varias vulnerabilidades afectan al sistema ‘Email Encryption Gateway’ de Trend Micro, algunas de las cuales podrían llevar a la ejecución remota de código arbitrario.

Introducción

Email Encryption Gateway es un software basado en Linux que permite el cifrado de correo desde el gateway corporativo.

El cifrado y descifrado del correo en el cliente TMEEG (Trend Micro Email Encryption Gateway) está controlado por un gestor de directivas que permite al administrador configurar directivas basándose en varios parámetros (direcciones de correo remitente, destinatario, palabras clave, etc). Se presenta como una interfaz para configurar los ‘MTA’ salientes.

Se han encontrado vulnerabilidades en la consola web que permitirían a un atacante no autenticado ejecutar comandos arbitrarios con privilegios de root.

Descripción

El informe contiene doce vulnerabilidades que afectan este producto, que pasaremos a explicar de manera muy resumida en las siguientes líneas.

Vulnerabilidad 1 (Actualización insegura vía HTTP)

Vulnerabilidad 2 (Escritura de archivos con ejecución de comandos)

Vulnerabilidad 3 (Actualizaciones sin validar)

Vulnerabilidad 4 (Ubicación de logs arbitraría con ejecución de comandos)Vulnerabilidad 6 (Cross Site Request Forgery)

Vulnerabilidad 7 (XML External Entity Injection)

Vulnerabilidad 8 (Reflected Cross Site Scripting)

Vulnerabilidad 9 (Reflected Cross Site Scripting)

Vulnerabilidad 10 (Stored Cross Site Scripting)

Vulnerabilidad 11 (SQL Injection)

Vulnerabilidad 12 (SQL Injection)

Vulnerabilidad 13 (SQL Injection)

Productos vulnerables
Trend Micro Email Encryption Gateway 5.5 (Build 1111.00)

Información del fabricante y soluciones

https://success.trendmicro.com/solution/1119349-security-bulletin-trend-micro-email-encryption-gateway-5-5-multiple-vulnerabilities

Créditos
Leandro Barragán (Core Security Consulting Services)
Maximiliano Vidal (Core Security Consulting Services)

Más información:

Post original

OMG convierte dispositivos IoT en servidores proxy

Una nueva variante de Mirai ha sido descubierta por investigadores de Fortinet. Bautizada como OMG, la funcionalidad que la define es la capacidad de utilizar los dispositivos IoT infectados como servidores proxy.

Imagen de fondo creada por Kjpargeter. Obtenida de Freepik.com

La liberación del código fuente del la botnet Mirai ha dado a luz todo tipo de variantes con su propio arsenal de funcionalidades específicas. En previas UAD hemos hablado de como explotaban vulnerabilidades en dispositivos Huawei, usaban contraseñas por defecto en ZyXelatacaban a software de minado.

Diagrama de funcionamiento de OMG. Obtenida de Fortinet
Más información:
adminits

This entry has 0 replies

Comments are closed.