Noticias de Seguridad Junio 2018

Actualización para Adobe Flash soluciona un 0-day

Adobe ha publicado un boletín de seguridad para Adobe Flash Player, que en esta ocasión soluciona un ‘0-day’ y otras 3 vulnerabilidades que afectan al popular reproductor

Adobe ha publicado un boletín de seguridad (APSB18-19) que corrige cuatro vulnerabilidades en su reproductor Flash Player para Windows, macOS, Linux y Chrome OS. Dos de estas vulnerabilidades son de carácter crítico (una de ellas un ‘0-day’) y las dos restantes están clasificadas como importantes.

Según sus identificadores CVE, los errores de seguridad son los siguientes:

* CVE-2018-4945: un error de confusión de tipos que podría permitir la ejecución de código arbitrario en el contexto del usuario. Este fallo de seguridad ha sido descubierto por Jihui Lu de Tencent KeenLab y willJ de Tencent PC Manager trabajando junto a Trend Micro’s Zero Day Initiative.

* CVE-2018-5000: un desbordamiento de enteros que permitiría la revelación de información. Ha sido reportada anónimamente a través de Trend Micro’s Zero Day Initiative.

* CVE-2018-5001: una lectura fuera de límites que también permitiría revelar información. Ha sido reportada anónimamente vía Trend Micro’s Zero Day Initiative.

* CVE-2018-5002: un desbordamiento de memoria que permitiría ejecutar código arbitrario. Esta vulnerabilidad ha sido descubierta de manera independiente por Chenming Xu y Jason Jones de ICEBRG, Bai Haowen, Zeng Haitao y Huang Chaowen de 360 Threat Intelligence Center (360 Enterprise Security Group), y Yang Kang, Hu Jiang, Zhang Qing, y Jin Quan de Qihoo 360 Core Security.

Existe un exploit ‘0-day’ para esta última vulnerabilidad (CVE-2018-5002) que está siendo explotada,y se tiene constancia de su utilización en ataques dirigidos contra usuarios de Windows en Oriente Medio. Estos ataques aprovechan documentos de Office con contenido incrustado malicioso de Flash Player distribuido por correo electrónico, con nombres como ‘***salary.xlsx’ para llamar la atención del usuario.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 29.0.0.171 (y anteriores) para Windows, macOS, Linux, y los navegadores Google Chrome, Internet Explorer y Edge.

Adobe ha publicado la versión 30.0.0.113 de Adobe Flash Player destinada a solucionar las vulnerabilidades anteriormente expuestas, y se encuentran disponibles para su descarga desde la página oficial.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, macOS y Linux actualizar a través del sistema de actualización del propio producto o desde ‘Adobe Flash Player Download Center’.

Más información:
Security updates available for Flash Player | APSB18-19:

https://helpx.adobe.com/security/products/flash-player/apsb18-19.html

Adobe Flash Player Download Center:

https://get.adobe.com/flashplayer/

CVE-2018-5002 – Analysis of the Second Wave of Flash Zero-day Exploit in 2018:

Vulnerabilidad en Git permite la ejecución de código arbitrario a través de submodulos

Entre los dos fallos corregidos en la última iteración del popular sistema de control de versiones, uno permite la ejecución de código arbitrario a través del clonado recusivo de un repositorio.

El pasado día 29 el equipo de desarrollo de Git lanzaba una nueva versión que corrige dos vulnerabilidades. La primera, con identificador CVE-2018-11233, trata un fallo en las pruebas de validez de rutas en sistemas NTFS que permite leer zonas de memoria aleatorias.

La segunda (CVE-2018-11235) es la que llama especialmente la atención. A través de un fichero .gitmodules especialmente manipulado es posible ejecutar código arbitrario en la maquina que esté clonando un repositorio junto a sus submódulos.

En Git, el proceso de descarga inicial de un repositorio se denomina clonado. Durante este proceso, cierta información no se incluye en la copia local del repositorio. Un ejemplo son los hooks (scripts que se ejecutan al realizarse acciones concretas). Estos son definidos en la versión local de cada usuario, evitando por ejemplo que un repositorio recién clonado ejecute comandos en el equipo del usuario.

Por otro lado, tenemos los submdulos. Estos son utilizados para incluir repositorios de otros proyectos dentro de otro que los requiere. Cuando se clona un repositorio, se pueden clonar sus submódulos automáticamente usando el comando ‘git clone –recurse-submodules‘.

El comportamiento normal de este comando es clonar tanto el repositorio padre como su submódulo, dejando hooks y otras configuraciones fuera de la versión local de ambos. Pero en esta vulnerabilidad se presenta una forma de evitarlo. Primero, se define un submódulo dentro de un repositorio padre, pero además se incluye el código y la configuración del submódulo. De esta forma nos saltamos el proceso de clonado del submódulo (el código ya existe en nuestra versión local) y permitimos a los hooks viajar dentro del repositorio descargado.

Una vez con la definición de los hooks en la máquina del usuario, solo necesitamos que se apunten a ellos para ejecutarlos. Desgraciadamente, existe un error en la validación del parámetro ‘name‘ en la configuración de Git que permite definir dónde residen los hooks que son ejecutados. Se podría definir, por ejemplo, que se ejecutaran los hooks que residen en ‘../submodulo/.git/‘. De esta forma, un atacante remoto podría crear un repositorio especialmente manipulado y ejecutar código arbitrario en nuestro sistema a través de un repositorio Git malicioso.

La vulnerabilidad, que ha sido descubierta por Etienne Stalmans, ya ha sido solucionada en las versiones v2.17.1, v2.13.7, v2.14.4, v2.15.2 y v2.16.4 de Git. Sin embargo, dada la gran cantidad de sistemas que usan Git como base, aun queda trabajo por delante. Por ejemplo, en Kubernetes esta vulnerabilidad permitiría obtener permisos de superusuario en un nodo usando volumenes GitRepo.

Más información:
 
Git v2.17.1 Release Notes:
https://marc.info/?l=git&m=152761328506724&w=2

Remediating the May 2018 Git Security Vulnerability:

https://blogs.msdn.microsoft.com/devops/2018/05/29/announcing-the-may-2018-git-security-vulnerability/

Elevación de privilegios en VMware Horizon Client

Detectada una vulnerabilidad crítica en el producto Horizon Client del fabricante VMware que permite a un atacante realizar una elevación de privilegios.

VMware Horizon ofrece una infraestructura de escritorios virtuales (VDI). Es este caso el cliente de conexión de Horizon permite a los usuarios conectarse a su escritorio virtual desde múltiples dispositivos.

VMware Horizon Client contiene una vulnerabilidad debida a un uso inseguro del permiso SUID en el binario correspondiente, que permitiría a un usuario sin privilegios escalar a root en máquinas donde se encuentran instaladas versiones vulnerables de este producto.

Mitre.org le ha asignado el identificador CVE-2018-6964 a esta vulnerabilidad.

Productos afectados:
VMware Horizon Cliente 4.x y versiones anteriores

Actualizando a la versión 4.8.0 se elimina esta vulnerabilidad. Se recomienda actualizar desde el sitio del fabricante:
https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon_clients/4_0

Mas información:

VMware Security Advisories:
https://www.vmware.com/security/advisories/VMSA-2018-0014.html

VMware Horizon Client for Linux contains a local privilege escalation vulnerability:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6964

Vulnerabilidad en componente Apport de Ubuntu – CVE-2018-6552

Apport gestiona incorrectamente los volcados del núcleo cuando faltan ciertos archivos en /proc. Un atacante local podría aprovechar esta vulnerabilidad para causar una denegación de servicios, elevar privilegios o escapar de contenedores.

Apport se encarga recopilar informes de errores para depuración:

  • Recopila información sobre fallos que ocurren en el sistema operativo.
  • Puede ser invocado automáticamente por excepciones no controladas en otros lenguajes de programación.
  • Presenta una interfaz que informa al usuario sobre el problema y le indica cómo proceder.
  • Presentar informes de errores no críticos sobre el software, de modo que los desarrolladores obtengan información sobre las versiones del paquete, versión del sistema operativo, etc.

Esta vulnerabilidad se puede aprovechar cuando Apport trata el ‘PID’ del contenedor como el ‘PID’ global cuando ‘/proc/<global_pd>/’ no se encuentra, permitiendo a usuarios locales crear ciertos ficheros como root.

La función ‘is_same_ns()’ devuelve True cuando ‘/proc//’ no existe para indicar que el error se debe manejar en el ‘namespace’ global en lugar de desde dentro de un contenedor. Sin embargo, si se decide reenviar un error a un contenedor, éste no siempre reemplaza ‘sys.argv[1]’ con el valor almacenado en la variable en ‘host_pid’ cuando ‘/proc//’ no existe, por lo que el ‘PID’ utiliza el ‘namespace’ global.

Esta vulnerabilidad afecta a estas versiones de Ubuntu y sus derivados:

  • Ubuntu 18.04 LTS
  • Ubuntu 17.10
  • Ubuntu 16.04 LTS

Se recomienda actualizar el sistema con las siguientes versiones:

Ubuntu 18.04 LTS:
apport – 2.20.9-0ubuntu7.1

Ubuntu 17.10:
apport – 2.20.7-0ubuntu3.9

Ubuntu 16.04 LTS:
apport – 2.20.1-0ubuntu2.18

Más información:
Common Vulnerabilities and Exposures (CVE)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6552

Actualización de múltiples productos Apple

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows. Entre todos los productos se corrigen 192 fallos de seguridad

Los boletines publicados con las actualizaciones y problemas solucionados se resumen como sigue:El boletín para iOS 11.4, el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), resuelve 35 vulnerabilidades. Este es el boletín más amplio de todos y los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen ‘Bluetooth‘, ‘Contacts‘, ‘FontParser‘, ‘iBooks‘, el kernel y ‘WebKit‘ entre otros. Los fallos más graves permitirían ejecutar código arbitrario con privilegios de sistemaaprovechando diversos problemas en la gestión de la memoria del kernel (CVE-2018-4241, CVE-2018-4243 y CVE-2018-4249).

macOS High Sierra 10.13.5 y los Security Update 2018-003 para Sierra y El Capitan. En este caso se solucionan 32 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘AMD‘, ‘ATS‘, ‘apache_mod_php‘, ‘Bluetooth‘, ‘Hypervisor‘, ‘Firmware‘ y el kernel entre otros. 10 de estas vulnerabilidades podrían permitir la ejecución de código arbitrario 9 de ellas con privilegios de sistema (CVE-2018-4196, CVE-2018-4242, CVE-2018-4228, CVE-2018-4236, CVE-2018-4234, CVE-2018-8897, CVE-2018-4241, CVE-2018-4243, CVE-2018-4230, CVE-2018-4193). Adicionalmente otras 2 permitirían elevar los privilegios del usuario.

Safari 11.1.1 representa otro boletín que soluciona 13 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador.

El boletín para watchOS 4.3.1, el sistema operativo destinado a los relojes inteligentes Apple Watch, soluciona 20 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario y la elevación de privilegios.

En el sistema operativo de los televisores de la marca, tvOS 11.4, se corrigen 24 vulnerabilidades en múltiples componentes, la mayoría de ellas (10) podrían permitir la ejecución de código arbitrario y otras 2 elevar privilegios en el sistema.

Las versiones iTunes 12.7.5 e iCould 7.5 para Windows incluyen la corrección de 32 vulnerabilidades.

Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:
 

Ejecución remota de código en la familia antivirus F-Secure

F-Secure ha corregido una grave vulnerabilidad en su familia de antivirus personales y empresariales, relacionada con la librería 7-Zip y el procesamiento de ficheros comprimidos RAR, que podría generar una ejecución remota de código.
El investigador en seguridad landave, ha publicado un extenso análisis de la vulnerabilidad ya corregida en 7-Zip (CVE-2018-10115) que permitiría a cualquier atacante, mediante la distribución de ficheros RAR especialmente manipulados, ejecutar código arbitrario en la máquina o dispositivo de la víctima
Más información:
 
F-Secure Anti-Virus: Remote Code Execution via Solid RAR Unpacking
https://landave.io/2018/06/f-secure-anti-virus-remote-code-execution-via-solid-rar-unpacking/FSC-2018-2: Remote Code Execution in F-Secure Windows Endpoint Protection Products
https://www.f-secure.com/en/web/labs_global/fsc-2018-2

Zip Slip, oportuno rebranding de una vieja vulnerabilidad

Se ha detectado la posibilidad de sobreescribir archivos arbitrarios, que suele permitir ejecutar código arbitrario, en múltiples proyectos software de envergadura

Sobreescritura de archivos arbitrarios al descomprimir un archivo conteniendo nombres de archivo que escalan directorios. Eso es todo. Pero ya sabemos que cualquier cosa vende más con un nombre pegadizo y un logo bonito. En este caso, los responsables de localizar esta vieja vulnerabilidad en múltiples proyectos importantes fueron los componentes del equipo de seguridad de Snyk, una empresa dedicada a encontrar y arreglar vulnerabilidades en dependencias software.

Más información:
 
Zip Slip Vulnerability (Arbitrary file write through archive extraction)
https://github.com/snyk/zip-slip-vulnerability

Vulnerabilidad CRÍTICA en Chrome: ¡Actualiza ya!

La vulnerabilidad descubierta por Michal Bentkowski fue reportada a finales de Mayo.
Sin dar a conocer ningun detalle técnico, el equipo de seguridad de Chromeha descrito el problema como un manejo incorrecto del encabezado CSP(CVE-2018-6148) en su blog.

Para quien no lo conozca, el encabezado de la Política de Seguridad de Contenido (CSP) permite a los administradores de sitios web añadir una capa adicional de seguridad al permitirles controlar los recursos que el navegador puede cargar.El manejo incorrecto de estos encabezados por el navegador web podría volver a habilitar vulnerabilidades de tipo XSS, Clickjacking o de inyección de código en varias webs que securizaran su sitio con este encabezado.

Para los que no conozcan estos ataques, aquí tenéis algunas UAD escritas sobre ellos:
XSS: https://unaaldia.hispasec.com/search?q=xss
– Clickjacking: https://unaaldia.hispasec.com/search?q=clickjacking
Inyección de código: https://unaaldia.hispasec.com/search?q=inyeccion

El parche para esta vulnerabilidad ya ha sido lanzado, por lo que todos los usuarios deben de asegurarse que su sistema está ejecutando la última version actualizada del navegador Chrome.

Más información:

Perfil de Twitter de Michal Bentkowski:
https://twitter.com/securitymbVulnerabilidad en el blog de Google:

InvisiMole: el malware espía que convierte tu ordenador en un sistema de vigilancia

InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.

 

Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.

Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.

El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia «secuestrando» una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe‘, ‘explorer.exe‘ o ‘svchost.exe‘. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas

Más información:
 
InvisiMole: surprisingly equipped spyware, undercover since 2013
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/InvisiMole?—?Indicators of Compromise
https://github.com/eset/malware-ioc/tree/master/invisimole

Cuidado con Cortana… ¡Podría llegar a desbloquear tu ordenador!

Este asistente IA podría ayudar a los atacantes a desbloquear la contraseña de un sistema objetivo.

Resultado de imagen de cortana hackedEste martes, Microsoft ha lanzado una actualización para corregir una vulnerabilidad que permitía a un usuario malintencionado entrar en un sistema Windows 10 bloqueado y ejecutar comandos maliciosos con privilegios de usuario.

Esta vulnerabilidad de elevación de privilegios, conocida como CVE-2010-8140, existe debido a una mala verificación de entradas de comandos de Cortana.

Cedric Cochin, del equipo de investigación de amenazas avanzadas de McAfee, ha publicado los detalles técnicos del fallo y una prueba de concepto en la que muestra como secuestró un ordenador con Windows 10 bloqueado llevando a cabo un restablecimiento de contraseña usando a Cortana.

MysteryBot, el nuevo troyano «todo en uno» para Android

Por si fuera poco el nivel de malware existente en los dispositivos Android en estos tiempos, ahora se le suma la propia evolución de LokiBot, que supone una nueva familia de malware denominada como MysteryBot.

El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la cual hereda ciertos comportamientos. Concretamente, ha sido detectado gracias a que MysteryBot tiene el mismo servidor de control que Lokibot.

Podemos corroborar esta información utilizando la plataforma Koodous, en la cual en este momento ya existen muestras clasificadas como MysteryBot:

Las novedades que trae este malware es la combinación de varias vías de ataque que pasamos a desgranar a continuación:

Registro de pulsaciones:El malwareguarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEyeAnubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.

RansomwareEste comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo zipcon contraseña, la cual actualmente no tiene mucha robustez (solo 8 caracteres).

Ataques de superposición:La característica más novedosa de este malware, no tanto por lo que hace si no por su ejecución. Este comportamiento permitía qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. Esta familia abusa del permiso ‘PACKAGE_USAGE_STATS’, que junto con el uso de la clase AccessibilityService y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.

Sin duda el malware es novedoso y aprovecha las últimas técnicas de ataque en Android. Actualmente se desconoce si los atacantes tienen alguna campaña de promoción, pero lo que sí podemos observar en la captura facilitada anteriormente es que la intención es hacerse pasar por la aplicación Adobe Flash Player.

Más información:

MysteryBot; a new Android banking Trojan ready for Android 7 and 8:

Detectados contenedores maliciosos distribuidos a través de Docker Hub para cryptojacking

544.74 Monero, lo que al cambio son unos 67.863€ a la hora de escribir este artículo. Es la cantidad que el atacante detrás de la cuenta de Docker Hub «docker123321» ha sido capaz de minar a lo largo de un año a través de imágenes maliciosas distribuidas a sistemas expuestos y, lo que es peor, usando la propia plataforma de Docker.

Durante el último año, investigadores de varias empresas (Kromtech, Fortinet y Sysdig) han estado siguiendo de cerca este caso, hasta que finalmente el pasado 10 de mayo Docker Hub cerró la cuenta maliciosa. Detrás deja un total de 17 imágenes Docker maliciosas que habían sido descargadas en más de 5 millones de ocasiones.
Más información:

Cryptojacking invades cloud. How modern containerization trend is exploited by attackers:

MirageFox, otra APT de procedencia china

La reutilización de código entre distintas familias  de malware, ha permitido identificar un nueva variante compuesta por código de Mirage y Reaver, APT’s viejas conocidas y asociadas a la organización APT15, presuntamente vinculada al gobierno chino.
Configuración de MirageFox, que hace referencia a Mirage. Extraída de intezer.com.
Reutilizar código es lo más natural del mundo. De hecho, es lo que debes hacer si quieres escribir buen código, ya que escribir código reutilizable no tiene como única ventaja que sea reutilizable. Al tener la reutilización como meta final, debes esforzarte en que el código sea modular y legible, por lo que básicamente tienes que escribir código reutilizable aunque no tengas pensado utilizarlo de nuevo en otro sitio. Para empezar, porque te puedes equivocar y quizá termines reusándolo, y por supuesto por las ventajas adicionales ya comentadas que acarrean esta buena práctica.
No es de extrañar que sea una práctica extendida entre los programadores de malware. Al fin y al cabo, la creciente complejidad del malwareha hecho que el esfuerzo estimado para producir un único malwarese incremente, aproximadamente, en un orden de magnitud cada década. Por tanto, la creación de código reutilizable es imperativa a estas alturas. El término malwareno significa otra cosa que «softwaremalicioso», que únicamente hace referencia a la intención del software. No nos pueden sorprender por tanto cosas como que el malwarecomparte con el goodware(softwarebenigno) un nivel de calidad del código similar, o el tamaño de los equipos dedicados a la programación de éstos.
Y reutilizar código es lo que parece que ha hecho APT15, un grupo conocido por sus acciones de espionaje informático contra compañías y organizaciones de distintos países, atacando a diversos sectores como la industria del petróleo, contratistas de gobiernos, los militares… Una empresa israelí llamada Intezer, que basa su modelo de negocio en la identificación de reutilización de código en malware, ha sido la queha reconocido esta evolución de Mirageque ha bautizado como MirageFox.
En resumen, las características técnicas de esta nueva versión no son algo a destacar. Es una herramienta de administración remota (RAT) que recopila información del equipo infectado y espera órdenes de un servidor central (C&C). Lo que llama la atención de esta versión es que las muestras encontradas hacen referencia a un servidor central en la misma red localdel equipo infectado. Basándose en el modus operandide APT15en un ataque anterior, los investigadores de Intezerhan concluido que probablemente esta muestra fue configurada especialmente para ejecutarse en una red ya comprometida, concretamente una VPN(red virtual privada) cuya clave privada fue robada previamente por APT15.
Probablemente lo más interesante de esta noticia es que pone el foco de atención sobre métodos alternativos de detección de malware, por contraposición a las clásicas firmas que identifican muestras de familias concretas. Detectar nuevas muestras que han reutilizado código de malwareanterior precisamente por detectar la reutilización de código parece una aproximación bastante buena, debido a la tendencia a reutilizar código por parte de los programadores de malware.
Más información:
 
MirageFox: APT15 Resurfaces With New Tools Based On Old Ones
https://www.intezer.com/miragefox-apt15-resurfaces-with-new-tools-based-on-old-ones/

A Look into 30 Years of Malware Development from a Software Metrics Perspective
https://cosec.inf.uc3m.es/~juan-tapiador/papers/2016raid.pdf

Github advierte sobre instaladores maliciosos encontrados en proyectos basados en blockchain

El pasado 13 de junio Github lanzó un comunicado advirtiendo a los usuarios de criptodivisas sobre instaladores Windows maliciosos encontrados en algunos repositorios de la conocida plataforma de desarrollo.

Estos ataques están dirigidos a proyectos basados en Blockchain, que por lo general involucran alguna criptodivisa que puede ser canjeada por dinero real. Los ataques tratan de suplantar algún componente del proyectopara infectar a sus usuarios y poder robar sus activos digitales.

La investigación tuvo lugar a raíz de que los desarrolladores del proyecto Syscoindescubrieran una copia no firmada del instalador «Windows Syscoin 3.0.4.1»en la página de releases del proyecto.

Tras analizar el instalador descubrieron que contenía código malicioso que «dropeaba» el archivo «re.exe» en la carpeta «C:\Users\user\AppData\Local\Temp», un troyano con funcionalidades de keylogger capaz de robar contraseñas y los «wallets» de los usuarios:

https://www.virustotal.com/#/file/b105d2db66865200d1b235c931026bf44428eb7327393bf76fdd4e96f1c622a1/detection

El ataque ha afectado a la capitalización del mercado que ha pasado de los 210 dólares a los 120 aproximadamente.

El instalador fraudulento fue subido a través de una cuenta comprometida de Github y afectó a la versión 3.0.4.1 del instalador.

El troyano sólo afecta a usuarios de Windows y los binarios ya se encuentran sustituidos por sus versiones legítimas.

Los usuarios de Windows que descargaron el instalador de Syscoin entre los días 9 y 13 de junio deberían eliminar cuanto antes el troyano, cambiar todas sus contraseñas y transferir todos sus activos a una cartera segura.

Más información:
 
Security Notice for Windows based installers:

Casi 400 modelos de cámaras Axis expuestos a ataques remotos

Se han descubierto 7 vulnerabilidades que afectan a 390 modelos diferentes de cámaras de la marca, que permitirían acceder sin credenciales, escalar privilegios y ejecutar comandos arbitrarios

Las vulnerabilidades han sido descubiertas por la empresa de seguridad VDOO, en un proyecto interno enfocado a la seguridad de cámaras IP. Éstas son:

  • CVE-2018-10658:bloqueo del proceso ‘/bin/ssid’.
  • CVE-2018-10659: bloqueo del proceso ‘/bin/ssid’.
  • CVE-2018-10660: inyección de comandos shell.
  • CVE-2018-10661: salto del proceso de autenticación
  • CVE-2018-10662: elevación de permisos usando funcionalidad ‘.srv’de dbus.
  • CVE-2018-10663: lectura fuera del buffer en proceso ‘/bin/ssid’.
  • CVE-2018-10664: bloqueo del proceso httpd.
De estas vulnerabilidades, las catalogadas con los identificadores CVE-2018-10661, CVE-2018-10662 y CVE-2018-10660 permiten en su conjunto tomar el control total de las cámaras por el atacante sin la necesidad de autenticación. La empresa de seguridad ha puesto algunos ejemplos de las acciones que podrían realizarse:
  • Acceder a la transmisión de vídeo.
  • Bloquear la transmisión de vídeo.
  • Tomar el control de la cámara para activarla/desactivarla o rotarla.
  • Añadir la cámara a una botnet.
  • Alterar o cambiar el firmware de la cámara.
  • Utilizar la cámara para infiltrarse en la red.
  • Inutilizar la cámara.
  • Emplear la cámara para otros ataques, como DDoS o minería de bitcoin.
Las otras vulnerabilidades descritas, con los identificadores CVE-2018-10658, CVE-2018-10659 y CVE-2018-10664, permitirían afectar al funcionamiento de la cámara, sin que se requiera autenticación para ninguna de ellas. Finalmente, la vulnerabilidad CVE-2018-10663 permite la revelación de información sin autenticación.
La empresa que ha descubierto las vulnerabilidades asegura que no hay pruebas de que haya habido explotación, recomendando a todos los usuarios afectados actualizar de inmediato. Axis ha liberado un listadode los modelos afectados.
Las vulnerabilidades en dispositivos IoT se encuentran a la orden del día, evidenciando la necesidad de preocuparse por la seguridad de estos dispositivos y mantenerlos actualizados. No sólo es importante por la posible pérdida de privacidad (como en este caso acceder al streaming de vídeo) sino también porque permiten acceder al resto de la red para vulnerar otros dispositivos.

 

Más información:
 

Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecución remota de código

La vulnerabilidad, la cual requiere encontrarse autenticado, es posible debido a un fallo de «Inclusión de fichero Local» (Local File Inclusion, LFI)

El equipo de seguridad ChaMD5 ha encontrado una vulnerabilidaddel tipo «Inclusión de Fichero Local» (Local File Inclusion, LFI) que permitiría la ejecución de código remoto (Remote Code Execution, RCE) en la versión 4.8.1 de PhpMyAdmin, una conocida aplicación web que permite trabajar con bases de datos MySQL del servidor.

La vulnerabilidad se encuentra en la función ‘checkPageValidity’, del fichero ‘/libraries/classes/Core.php’de PhpMyAdmin, la cual se encarga de comprobar que el fichero a cargar usando el parámetro ‘target’ de ‘index.php’es válido. Mediante una doble codificación, es posible saltar la restricción para cargar un archivo local arbitrario. Un ejemplo sería: ‘/index.php?target=db_sql.php%253f/etc/passwd’.

Además, para conseguir la ejecución remota de código, puede aprovecharse que PhpMyAdmin almacena en ficheros de sesión las sentencias SQL introducidas en su interfaz. Así pues, introduciendo una sentencia como «select ‘<?php phpinfo();exit;?>'», y obteniendo el id de sesión gracias a la cookie ‘phpMyAdmin’, puede ejecutarse código PHP arbitrario, el cual podría llamar a comandos del sistema. Un ejemplo completo sería el siguiente:

index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_d41d8cd98f00b204e9800998ecf8427e’

A día de hoy no se encuentra disponible una versión de PhpMyAdmin que solucione el fallo. Aunque se requiera estar autenticado para la explotación de esta vulnerabilidad, el uso de credenciales por defecto, fuerza bruta u otra vulnerabilidad que permita acceder sin credenciales, podrían permitir el control de la máquina debido a este fallo.

Para evitar la explotación de vulnerabilidades como esta, es importante restringir el acceso a herramientas de administración. Una posible solución es limitar la conexión a IPs autorizadas, o el uso de autenticación Basic Authcon una conexión HTTPS.

Más información:
 
phpMyAdmin 4.8.x LFI to RCE (Authorization Required):
https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/

Plaintee y DDKong malware usado para el ciberespionaje de entidades asiáticas

Se ha descubierto una campaña de ataques de espionaje dirigidos a entidades del sudeste asiático utilizando malware.

Recientemente se ha descubierto una campaña de ciberespionaje que está asociada al grupo detrás del troyano KHRAT y ha estado afectando a los países del sudeste asiático.
El grupo denominado RANCOR usa dos familias de malware ‘PLAINTEE’‘DDKONG’.Los investigadores habían monitorizado la infraestructura del ‘C&C’del troyano ‘KHRAT’ donde identificaron múltiples variantes de este malware.

Vulnerabilidad en WordPress permite a un atacante obtener control total sobre el sitio web en segundos

Un fallo en una de las funciones principales permite borrar cualquier archivo del servidor

La vulnerabilidad descubierta por RIPS Technologiespermite a un usuario con pocos privilegios secuestrar todo el sitio web y ejecutar código arbitrario en el servidor.

El equipo de seguridad de WordPress fue informado del fallo hace 7 meses, pero no se corrigió y afecta a todas las versiones, incluida la actual.

La vulnerabilidad reside en una de las funciones de WordPressque se ejecuta en segundo plano cuando un usuario elimina permanentemente la miniatura de una imagen cargada. Esta acción acepta entradas de usuarios no optimizadas, que permiten a un usuario con privilegios limitados eliminar cualquier archivo del alojamiento web.

El único requisito para explotar el fallo es tener al menos una cuenta de autor, lo cuál reduce la gravedad del problema hasta cierto punto.

Eliminando por ejemplo el archivo wp-config.php, que es uno de los archivos más importantes en la instalación de WordPress, podría obligar a todo el sitio web a volver a la pantalla de instalación permitiendo al atacante reconfigurar el sitio web desde el navegador y tomar su control por completo.

Más información:
 
Artículo de RIPS Technologies:

TicketMaster, un drama en tres actos (y un epílogo)

ACTO I: En el que TicketMaster alerta del ataque

El pasado día 28 de junio, TicketMaster alertaba a sus usuarios respecto a una fuga de información. Según explica en la página web que acompaña al aviso, el día 23 descubrieron que un producto del proveedor Inbenta (una empresa que provee chatbotsy que, por cierto, es de origen español) había sido comprometido. Al estar integrado en gran medida en el sitio web de TicketMaster, la información personal y de pago había podido ser accedida por un actor malicioso desconocido.

La primera reacción de TicketMaster ante esto fue desactivar todos los productos de Inbenta en todas las plataformas.

ACTO II: En el que Inbenta responde a las acusaciones

Inbenta, por su parte, ha dado algo más de detalle sobre el ataque en su propia nota de prensa. Un fichero JavaScript, creado específicamente para cubrir las necesidades de TicketMaster, ha sido el responsable del robo de credenciales.

Acusan directamente a TicketMaster de haber integrado el fichero en su plataforma sin su aprobación, ya que de haberlo sabido habrían avisado del peligro que conlleva. Sin embargo, solo una frase después reconocen que el atacante fue capaz de encontrar y modificar este fichero en su infraestructura.

Según las declaraciones del CEO de Inbenta, Jordi Torras, a ZDNet a través de email, el atacante pudo acceder a los servidores frontendde Inbenta a través de la explotación de varias vulnerabilidades, y abusar de la característica de subida de ficheros a la plataforma para sustituir el fichero por uno con el código malicioso.

ACTO III: En el que descubrimos que Monzo ya habían avisado

Monzo es un banco que opera a través de Internet bastante popular en Reino Unido. A partir del día 6 de abril, empezó a ver como las quejas desde estos países por fraude en tarjetas de crédito se multiplicaban hasta llegar a tener que reemplazar 6000 tarjetas de forma preventiva.

Cruzando los datos de los clientes afectados por fraude con sus transacciones, se dieron cuenta que el 70% de últimos fraudes afectaban a clientes que usaban TicketMaster. Lo raro es que estos representaban solo un 0,8% de su base de clientes, un porcentaje demasiado bajo para tanto fraude. Algo ocurría. El 12 de abril, miembros del equipo de seguridad de TicketMaster visitaron las oficinas de Monzo para estudiar el caso y afirmaron en que se iba a investigar internamente.


Más información:
 
INFORMATION ABOUT DATA SECURITY INCIDENT BY THIRD-PARTY SUPPLIER:
https://security.ticketmaster.co.uk/
adminits

This entry has 0 replies

Comments are closed.