Noticias de Seguridad Setiembre 2019

¿Podemos hablar de hackeo en el caso de la cuenta de WhatsApp de Albert Rivera?

El pasado viernes 20 de septiembre el político Albert Rivera denunciaba ante la Guardia Civil que su cuenta de Twitter había sido hackeada.

El ‘modus operandi’ se basó en técnicas de ingeniería social que consiguieron engañar al líder de la formación naranja para entregar un código enviado por WhatsApp a los atacantes. Estos, previamente, habían forzado el envío de este código denunciando, a través de la propia aplicación, que la cuenta había sido robada.

Al día siguiente una cuenta de Twitter denominada @anonktalonia, revelaba posibles grupos de whatsapp pertenecientes al líder del partido Ciudadanos. Aunque no se atribuía directamente la autoría, la revelación de esta información nos hace entrever que ellos podrían ser quienes estaban detrás del hackeo. Aunque todo esto les duró bien poco, ya que en la tarde del domingo 22 les fue cerrada la cuenta.

Cabe destacar que para llevar a cabo este ataque de ingeniería social, los atacantes solo necesitaron dos cosas: a saber, el número de móvil de Albert Rivera y la participación del propio político en una trampa que tuvo más que ver con las vulnerabilidades propias de la psicología humana, que con conocimientos técnicos especializados en seguridad informática.

La ingeniería social es una rama de la seguridad informática que tiene como objeto de estudio las vulnerabilidades asociadas a la infraestructura humana. Fundamentalmente, la ingeniería social entiende a la persona como un sistema más que puede ser vulnerado si se descubren sus fallos conduciendo a un recursos informático que es el objetivo del ataque. Típicamente, las acciones con éxito en ingeniería social desencadenan en la víctima o bien una liberación de información o bien la realización de una acción y tienen lugar tras explotar un fallo en la manera en que los seres humanos percibimos o gestionamos la información o las emociones. La ingeniería social ha sido siempre en seguridad informática un vector más de entrada a un posible sistema. Siempre se ha estudiado como un técnica válida y, de hecho, se pone en práctica en pruebas de penetración en sistemas controladas por todas las empresas de seguridad que desempeñan estos trabajos. Del mismo modo que una contraseña débil facilita el acceso a un sistema, un individuo no familiarizado con la seguridad, es un excelente vector de entrada a un sistema.

La ingeniería social basa su éxito en la debilidad del usuario, siendo piedra de toque la premisa que considera al humano como el eslabón más débil de la cadena que hace posible que se pueda comprometer todo un sistema. Por este motivo, dejar de auditar la llamada «infraestructura humana», esto es, el modo en el que las personas reaccionan a las trampas o estímulos por parte de un atacante, supone un completo riesgo para las empresas. Las tecnologías evolucionan a diario, no así la psicología humana, que lleva acompañándonos y establecida de forma inalterada, con sus virtudes y carencias, desde que nos constituimos como especie. Siendo esto así, es lógico concluir que para acceder a un sistema informático es más fácil atacar la tradicional psicología humana que un sistema actualizado y fuertemente securizado como un algoritmo de cifrado. He ahí la legitimidad de la Ingeniería Social como una rama más de la seguridad.

Todo esto viene a colación de haber leído en algunos medios, digamos tecnológicos, que no se puede hablar de hackeo puesto que el ataque ha tenido éxito gracias a técnicas de phishing. Si bien sería erróneo hablar de hackeo a Twitter, en tanto que ni su infraestructura humana ni su infraestructura tecnológica han sido objetivos de ataque, sí es técnicamente correcto, tal y como cita la prensa, hablar de un hackeo a la cuenta de Twitter de Albert Rivera. El objetivo del ataque era comprometer un recurso informático: su cuenta. Los vectores empleados incluían tanto factores técnicos -enlaces, comunicación digital – como factores psicológicos.

Otro asunto sería aclarar si el ataque en cuestión ha sido un phishing o no. Para mí y después de aclarar dudas leyendo la definición de Wikipedia, no cabría duda:

Phishing, conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Se trata de un phishing, bastante artesanal, pero un phishing al fin y al cabo, por lo que la mayoría de los titulares que he venido observando por la prensa en estos días no pueden ser tildados de incorrectos desde una perspectiva técnica. La cuenta de Albert Rivera ha sido hackeada, phishing mediante y, por tanto, aprovechando técnicas de ingeniería social que dejan en evidencia la falta de securización de la psicología humana con respecto a los avances tecnológicos.

Microsoft libera parches de emergencia para Internet Explorer y Defender

Microsoft parchea dos vulnerabilidades, una de ellas es un 0-day en Internet Explorer que está siendo explotado activamente en estos momentos.

La primera vulnerabilidad, descubierta por el investigador Clément Lecigne y con identificador CVE-2019-1367 consiste en una ejecución remota de código localizada en la lógica usada por el motor Microsoft Scripting Engine para manipular objetos en memoria.

Esta vulnerabilidad permitiría a un atacante hacerse con el control de la máquina víctima mediante la visita a una web especialmente diseñada usando Internet Explorer.

Además, Microsoft también ha lanzado otro parche para una denegación de servicio en Windows Defender.

Ésta última, descubierta por el investigador de F-Secure Charalampos Billinis y Wenxu Wu de la firma Security Labs, tiene asignado el identificador CVE-2019-1255.

Según Microsoft, esta vulnerabilidad puede ser aprovechada por un atacante para impedir a un usuario ejecutar binarios. Aunque para aprovechar esta falla, es necesario primero adquirir permisos de ejecución en la máquina.

La primera falla afecta a las versiones 9, 10 y 11 del navegador mientras que la vulnerabilidad en Microsoft Defender afecta a las versiones anteriores a 1.1.16400.1. Como es habitual, se recomienda aplicar las actualizaciones lo más pronto posible.

Más Información:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1255
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367
https://thehackernews.com/2019/09/windows-update-zero-day.html

Cerberus llega a España y Latinoamerica

Cerberus, el reciente malware bancario para Android, afecta ahora a entidades bancarias españolas y latinoamericanas.

Imagen: ThreatFabric

Introducción

El miércoles 18 de septiembre llegó al laboratorio de Hispasec una nueva muestra del troyano bancario para Android ‘Cerberus’. Desde su lanzamiento en Junio de 2019, este malware bancario ha ido creciendo en popularidad poco a poco.

Sus desarrolladores no distribuyen las muestras para infectar a las víctimas, sino que venden el troyano el un foro ‘underground’ para que sean sus clientes los que, a través de una herramienta automatizada, construyan el APK malicioso que distribuirán a sus víctimas.

Este troyano tiene su propia cuenta de Twitter (https://twitter.com/androidcerberus), en la que sus desarrolladores publican las novedades incluidas en las nuevas versiones e incluso bromean con los analistas de malware más conocidos de la comunidad.

El hecho de que su popularidad vaya en aumento ha hecho que en la muestra detectada este miércoles se encuentren entidades bancarias españolas y latinoamericanas afectadas por primera vez. En pasadas versiones se habían descubierto entidades francesas y una japonesa.

Propagación

Tal y como suele ser habitual con este tipo de malware, es probable que la distribución del APK malicioso se haya realizado a través de páginas web fraudulentas.

Teniendo en cuenta que la aplicación maliciosa utiliza el logo de ‘Flash Player’ como icono y su nombre, probablemente se haya distribuido a través de una falsa web de videos que incita al usuario a instalar la aplicación como una falsa actualización de su reproductor.

Infección

Una vez que el usuario instala la aplicación maliciosa y la inicia por primera vez, ésta solicita al usuario que le de permisos de accesibilidad. Estos permisos permiten al malware recibir eventos generados por otras aplicaciones que se encuentren ejecutando en primer plano.

Vista con la solicitud de permisos de accesibilidad

Los permisos de accesibilidad se utilizan habitualmente para que ciertas aplicaciones proporcionen una mejor experiencia de usuario en caso de que el usuario tenga, por ejemplo, problemas de visión. De esta forma, estas aplicaciones pueden proporcionar funcionalidades de lectura del texto de la pantalla.

El motivo por el cual la aplicación maliciosa necesita este permiso es que le permite recibir eventos generados por la aplicación que se encuentra ejecutándose en primer plano, incluyendo el nombre de paquete de dicha aplicación. Con esta información, el malware es capaz de detectar cuando una aplicación es iniciada por parte del usuario, y de esta forma mostrar una ventana falsa solicitando las credenciales de acceso a la entidad bancaria.

Adicionalmente, los permisos de accesibilidad también son utilizados por este malware para protegerse y no ser desinstalado por el usuario. Los servicios de accesibilidad pueden simular eventos (toques en la pantalla, pulsación de botones, etc.), por lo que el malware detecta si el usuario está navegando por los ajustes del sistema e intentando desinstalar el troyano. En caso de que esto ocurra, la aplicación maliciosa envía eventos para salir de los ajustes y evitar su desinstalación.

Tras obtener los permisos de accesibilidad, este malware comienza la actividad maliciosa. La aplicación instalada realmente actúa a modo de ‘dropper’, ya que la funcionalidad de robo  y envío de datos se realiza a través de un módulo descargado del servidor de control. Podemos distinguir dos etapas:

  1. La aplicación ‘dropper’ desempaqueta un fichero .DEX que implementa una primera etapa encargada de comprobar el estado del dispositivo infectado, registrarlo en el servidor de control y descargar el módulo malicioso.
  2. Descarga del módulo malicioso (a través de la URL: http://[DOMINIO]/gate.php?action=getModule&data=[DATOS_DISPOSITIVO_CIFRADOS]. El módulo malicioso se trata de un fichero APK, aunque no se instala la aplicación en el dispositivo. En su lugar, el ‘dropper’ cargará dinámicamente las clases necesarias del APK. Este módulo incluye la funcionalidad necesaria para descargar y mostrar las inyecciones para cada entidad. Además incluye el resto de funciones de robo de datos que se explicarán a lo largo de este documento.

Funcionalidades para el robo de datos

Para el robo de credenciales bancarios, este troyano bancario sigue el mismo esquema de funcionamiento que el resto de troyanos bancarios, inyecciones basadas en ‘overlays’. El uso de ‘overlays’ es probablemente la técnica más efectiva, y quizá por ello la preferida por los atacantes, para el robo de credenciales bancarias en Android.

Una vez que la aplicación maliciosa contacta con el servidor para registrar el dispositivo, ésta envía la lista completa de aplicaciones instaladas. Como respuesta, el servidor de control responde con la lista de aplicaciones afectadas de entre todas las aplicaciones instaladas.

Petición al servidor de control para registrar el nuevo dispositivo
Petición al servidor de control para enviar la lista de aplicaciones instaladas

Como respuesta, la aplicación recibe una lista de aplicaciones afectadas de entre las instaladas. Una vez que la aplicación recibe esta lista de entidades afectadas, ésta se encarga de descargar una a una las inyecciones de cada aplicación afectada. Una vez descargada la inyección, se guarda para mostrarla posteriormente.

Código encargado de descargar las inyecciones

Como suele ser habitual en el malware bancario para Android, las inyecciones de Cerberus también están realizadas utilizando HTML y JavaScript. De esta forma, lo que descarga el malware no es más que un fichero HTML que mostrará posteriormente utilizando una ‘WebView’.

Para mostrar la ‘WebView‘ con la falsa web solicitando los datos de usuario, esta aplicación se instala solicitando al usuario que le dé permisos de accesibilidad. Estos permisos le permiten recibir eventos en un servicio ejecutando en segundo plano cada vez que el usuario abre un aplicación o realiza alguna acción en la aplicación.

Al recibir estos eventos, la aplicación maliciosa recibe información sobre la aplicación que se está ejecutando en primer plano. Esta funcionalidad es utilizada para determinar si la aplicación en ejecución es alguna de las afectadas. En caso de ser así, el troyano abrirá una nueva actividad con la ‘WebView’ y la web de phishing.

Inyección para la entidad afectada

Como se puede observar en la imágenes, todas las peticiones se realizan a una URL con la estructura “http://[DOMINIO]/gate.php?action=[COMANDO]&data=[DATOS CIFRADOS]”. El valor del parámetro ‘action’ para el envío de las credenciales robadas es ‘sendInjectLogs’, y en el parámetro ‘data’ se envía cifrado el identificador del paquete correspondiente a la entidad afectada y las credenciales de acceso.

Además del robo de datos bancarios, la aplicación maliciosa también incluye funcionalidad para enviar los SMS recibidos y la agenda de contactos. Para ello, guarda la lista de SMS y contactos en las preferencias compartidas de la aplicación y los envía posteriormente al servidor de control.


Código encargado de guardar los SMS para su posterior envío

Cifrado de peticiones

Como se ha comentado anteriormente, este malware implementa un algoritmo de cifrado que evita inspeccionar los datos enviados al servidor directamente. El algoritmo de cifrado utilizado se trata de RC4. La clave de cifrado es diferente para cada muestra y se almacena en las preferencias compartidas de la aplicación utilizando la clave “key”.

Resulta especialmente curioso el uso del algoritmo RC4 para el cifrado de los datos, ya que es el mismo algoritmo de cifrado utilizado por otro troyano bancario popular, ‘Anubis Bankbot’. Aunque sus desarrolladores afirman que Cerberus se ha desarrollado de cero, el uso de RC4 como algoritmo de cifrado, además del uso de PHP como lenguaje de programación en la parte del servidor y la similitud en las respuestas de algunas de las peticiones, hacen pensar que en mayor o menor medida este nuevo troyano podría estar basado en el código de Anubis Bankbot.

Entidades afectadas

Entre las entidades afectadas se encuentran las españolas Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia. Mientras que en latinoamerica afecta a entidades como Santander (Chile y Perú) y BBVA (Perú).

Conclusiones

Como hemos visto, Cerberus es uno de los troyanos bancarios para Android más recientes. Aún así, está ganando popularidad rápidamente, lo que supone que sus desarrolladores trabajen para incluir nuevas funcionalidades en su creación.

Esta nueva muestra no incluye novedades con respecto a sus funcionalidades, sin embargo, incluye un importante añadido: soporte para el robo de datos bancarios de entidades españolas. Es la primera muestra de Cerberus que se ha descubierto con inyecciones para entidades bancarias españolas.

Teniendo en cuenta la popularidad que ha ganado esta familia de malware, era un secreto a voces que pronto acabaría incorporando entidades españolas y latinoamericanas entre las afectadas. Debemos seguir alerta, ya que se espera que se incluyan nuevas entidades de todo el mundo con el paso del tiempo, además de nuevas funcionalidades.

Indicadores de compromiso

Si desea más información sobre los identificadores de compromiso y los hashes de la muestra, póngase en contacto con nuestro departamento de malware: malwaredept@hispasec.com

Phishing afecta a la web de denuncias SecureDrop

La web de denuncias SecureDrop, perteneciente a The Guardian, estaba redirigiendo a una web phishing que tenía como objetivo robar los codenamesde los usuarios. Además, esta web phishing anunciaba una aplicación móvil para Android que permitía a los atacantes realizar diversas actividades maliciosas en los dispositivos de las víctimas.

SecureDrop es un servicio para compartir datos mediante la red TOR, esto permite a los denunciantes enviar información a las empresas de periodismo de forma anónima. Por ejemplo, podemos hacer uso del servicio en la dirección legítima de la web de noticias The Guardian en 33y6fjyhs3phzfjj.onion

Cuando un usuario desea enviar información a los periodistas del medio de comunicación recibe un nombre en clave, codename, que luego se puede utilizar para futuras comunicaciones. Este nombre en clave es privado, ya que cualquiera que lo conozca puede ver las comunicaciones realizadas con los periodistas.

Una vez que los atacantes obtienen los codenames de los usuarios pueden iniciar sesión en la web legítima de SecureDrop y hacerse pasar por la fuente para robar información y comunicaciones.

Poco después de anunciar que había sido descubierto el phishing la web maliciosa fue desactivada. Sin embargo, no se sabe si el sitio fue desconectado por el equipo de seguridad de The Guardian, o por los atacantes.

Aplicación Android maliciosa

Los atacantes estaban anunciando en la web phishing una aplicación Android que permitía a los usuarios «ocultar su ubicación».

Los descubridores del phishing consiguieron descargar el malware y todavía está disponible el enlace para su descarga desde la cuenta de Twitter de Elliot Alderson

Según nos muestra el análisis del APK en VirusTotal podemos ver una larga lista de permisos que asemejan la funcionalidad a la de un RAT. Entre los permisos solicitados encontramos el monitoreo de las llamadas, ubicación, mensajes de texto, grabar audios…

Tras analizar el malware el investigador Lukas Stefanko dijo:
«La aplicación es un malware controlado de forma remota y ejecutará comandos enviados por el servidor. También puede obtener texto de notificaciones, enviar imágenes desde la galería y tomar capturas de pantalla si el dispositivo está rooteado».

Además, se cree que parte de la información robada del dispositivo puede utilizarse para realizar el secuestro de la tarjeta SIM. La aplicación envía la información a un servidor de comando y control con IP 213.188.152.96. Dicha dirección IP ha sido utilizada para distintas campañas de malware.

Más información:

https://www.bleepingcomputer.com/news/security/phishing-attack-targets-the-guardians-whistleblowing-site/

La opción «eliminar para todos» de WhatsApp no elimina los archivos enviados a iPhone.

La opción, que fue introducida hace dos años, contiene un fallo de seguridad sin parchear que no elimina los archivos enviados a dispositivos iPhone, por lo que, en cuanto a funcionalidad se refiere, sencillamente se limita a generar una sensación de privacidad que no se corresponde con la realidad.

Tanto WhatsApp, como su competidor de software – parcialmente – libre, Telegram, ofrecen la opción «Eliminar para todos» cuando se selecciona un determinado archivo enviado. Esto permite rectificar el envío y enmendar un posible – y a menudo incómodo – error cuando, típicamente, se envía por descuido material a un destinatario no deseado.

En el caso de WhatsApp, la opción sólo está disponible en un lapso de tiempo de una hora, ocho minutos y dieciséis segundos, una vez el mensaje o archivo se ha enviado. Un tiempo, seguramente, más que razonable para percatarse del error.

Sin embargo, tanto da el lapso de tiempo configurado por el fabricante, si los mensajes o archivos enviados, tal y como ha descubierto el investigadorShitesh Sachan, no se eliminan correctamente para los usuarios de iPhone. Incluso aunque recibamos de la aplicación el mensaje de «el mensaje ha sido borrado».

Si bien es cierto que la versión para Android de la popular aplicación de mensajería llega incluso a borrar los archivos de la galería del receptor cuando se selecciona la opción «borrar para todos», no ocurre así para los usuarios de iPhone, un contexto donde la aplicación parece seguir un diseño diferente. 

El problema radica fundamentalmente en que la aplicación trae activada por defecto la opción de «guardar automáticamente» en las respectivas galerías de Android o iPhone y, pese a que desactivar esta opción mitigaría parte del problema, poca gente configura correctamente su aplicación para que adopte este comportamiento. Ni siquiera cuando las mejoras en cuanto almacenamiento y control de los activos son evidentes al activar esta opción.

A comienzos de esta semana se publicaba, igualmente, un fallo de seguridad similar que afectaba a Telegram, que también adolece de una implementación deficiente en su opción «Eliminar para todos». Sin embargo, mientras que Telegram parcheó inmediatamente el fallo, WhatsApp ha declarado que no tiene intención alguna de abordar el tema, porque la funcionalidad de dicha opción es, argumentan, eliminar de la aplicación -y no del dispositivo móvil – los archivos seleccionados.

El equipo de seguridad de WhatsApp también arguye que la pretensión de que su opción «Eliminar para todos» sirva, precisamente, para eliminar por completo el archivo, colisiona con el hecho de que el receptor del mensaje puede verlo antes de que sea borrado o hacer un «pantallazo», lo que haría inútil implementar correctamente la opción. Por otro lado, también afirman que podrían estudiar cambios en la implementación en un futuro.

En este sentido, recomendamos siempre evitar el uso de software privativo que no respete la privacidad y la seguridad del usuario, y adoptar progresivamente el uso de software cuyo código haya sido liberado – software libre – por los beneficios de seguridad y privacidad que supone el tener a disposición de una comunidad activa un código fuente auditado y saneado de manera pública.

Más información:

https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html
https://thehackernews.com/2019/09/whatsapp-delete-for-everyone-privacy.html

Mozilla lanza el servicio VPN ‘Firefox Private Network’ como una extensión del navegador

Mozilla ha lanzado oficialmente un nuevo servicio VPN centrado en la privacidad, llamado Firefox Private Network , como una extensión del navegador que tiene como objetivo cifrar su actividad en línea y limitar lo que los sitios web y los anunciantes saben sobre usted.

El servicio Firefox Private Network se encuentra actualmente en versión beta y solo está disponible para usuarios de escritorio en los Estados Unidos como parte del programa «Firefox Test Pilot» recientemente eliminado de Mozilla, que permite a los usuarios probar nuevas funciones experimentales antes de su lanzamiento oficial.

El programa Firefox Test Pilot fue lanzado por primera vez por la compañía hace tres años, pero se cerró en enero de este año. La compañía ahora decicidió recuperar el programa pero con algunos cambios.

«La diferencia con el programa Test Pilot recientemente relanzado es que estos productos y servicios pueden estar fuera del navegador Firefox y estarán mucho más pulidos, y solo un paso por debajo del lanzamiento público general».

Marissa Wood, vicepresidenta de producto en Mozilla

Desde la empresa aseguran que su red privada de Firefox «proporciona una ruta segura y encriptada a la web para proteger su conexión y su información personal en cualquier lugar y en cualquier lugar donde use su navegador Firefox».

El servicio VPN de red privada de Firefox también encripta y canaliza cada una de las actividades de navegación de Internet suyas a través de una colección de servidores proxy remotos, enmascarando así su ubicación y bloqueando a terceros, incluidos el gobierno y su ISP, para que no espíen su conexión.

Cloudflare, la compañía que ofrece uno de los servicios de protección CDN, DNS y DDoS más grandes y rápidos, proporciona los servidores proxy reales para la extensión Firefox Private Network.

«Cloudflare solo observa una cantidad limitada de datos sobre las solicitudes HTTP / HTTPS que se envían al proxy de Cloudflare a través de navegadores con una extensión activa de Mozilla».

Cloudflare

Como registrarse en el servicio VPN de Firefox:

Firefox Private Network actualmente solo funciona en computadoras de escritorio, pero se cree que también estará disponible para usuarios móviles, una vez que la VPN salga de la versión beta.

Aunque el servicio Firefox Private Network es actualmente gratuito, Mozilla insinuó que la compañía está explorando posibles opciones de precios para el servicio en el futuro para mantenerlo en forma sostenible.

Por ahora, si tiene una cuenta de Firefox y reside en los Estados Unidos, puede probar el servicio VPN de Firefox de forma gratuita registrándose en el sitio web de la red privada de Firefox.

Más información:

Mozilla launches a VPN, brings back the Firefox Test Pilot program
https://techcrunch.com/2019/09/10/mozilla-launches-a-vpn-brings-back-the-firefox-test-pilot-program/

Malware utiliza el servicio BITS de Windows para robar datos

Investigadores de ciberseguridad han descubierto un nuevo malware asociado al grupo Stealth Falcon, éste malware utiliza el servicio background intelligent transfer service (BITS) para el envío de datos en segundo plano al servidor controlado por el atacante.

El grupo Stealth Falcon, patrocinado por el estado, es conocido por atacar a periodistas, activistas y personas detractoras del sistema con spyware. Este grupo centra su actividad principalmente en el Medio Oriente, más concretamente en los Emiratos Árabes Unidos (EAU).

Win32/StealthFalcon se comunica y envía los datos recopilados a los servidores de comando y control (C&C) a través del servicio de transferencia inteligente en segundo plano de Windows (BITS).

BITS es un componente de Windows que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano, de archivos. Esta utilidad es muy utilizada por actualizadores de software en Windows 10 y permite reanudar la transferencia de los archivos en caso de interrupciones. Además, al ser un sistema integrado en Windows es más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatase de este malware.

Según investigadores de ESET, dado que la velocidad de envío de los archivos se ajusta automáticamente y que escapa de las medidas de seguridad habitualmente configuradas, este malware puede operar en segundo plano sin ser detectado y sin modificar la experiencia de uso del usuario.

Pero la puerta trasera Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C a través de BITS.

Una vez cargados los archivos, el malware elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.

Como explican en el informe, no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C.

Más información:
https://thehackernews.com/2019/09/stealthfalcon-virus-windows-bits.html

Vulnerabilidad critica en sistemas de correo electrónico Exim

Un fallo de seguridad crítico en Exim que podría permitir la ejecución de código remoto con privilegios de root en servidores que aceptan conexiones TLS.

e2212-exim_logo

Exim (EXperimental Internet Mailer) es un agente de transporte de correo electrónico o MTA utilizado por más de la mitad de los servidores de email en Internet. Es software libre que se distribuye bajo la licencia GNU GPL, y se distribuye como el MTA por defecto en muchas distribuciones GNU/Linux, como por ejemplo Debian.

A finales del pasado mes de julio el investigador Zerons descubrió un fallo de seguridad en Exim que ha recibido el identificador CVE-2019-15846 y se ha hecho público el 6 de septiembre. Esta vulnerabilidad permitiría a un atacante no autenticado ejecutar programas con privilegios de root en aquellos servidores que aceptan conexiones TLS. Para explotar la vulnerabilidad en las configuraciones por defecto se estaría utilizando una solicitud SNI especialmente manipulada, mientras que en otras configuraciones se podría realizar mediante un certificado de cliente falsificado.

SNI es un componente de protocolo TLS diseñado para permitir que los servidores presenten diferentes certificados TLS para validar y asegurar la conexión a sitios web detrás de la misma dirección IP. El error consistiría en undesbordamiento de búfer provocado por una solicitud SNI que termina en una secuencia de barra invertida durante el proceso de negociación de la conexión segura TLS (handshake).

A pesar de que el archivo de configuración predeterminado proporcionado por el equipo de desarrollo de Exim no tiene habilitado TLS, muchas distribuciones GNU/Linux se distribuyen con la configuración modificada para activar dicha opción.

Esto podría implicar que el universo de servidores Exim vulnerables sea bastante extenso. A saber, según una encuesta realizada por E-Soft Inc. y publicada a principios de septiembre, se ha estimado que el número total de servidores de correo electrónico en Internet que ejecutan Exim es de más de 500.000, correspondiendo a más de 57% de todos los servidores de correo electrónico (MX) en línea. Sin embargo, una búsqueda de instancias de Exim en Shodan muestra alrededor de 5,25 millones de resultados, con mas de 3,5 millones instancias en ejecución usando Exim 4.92. Cabe destacar que se encuentran afectadas las versiones de Exim comprendidas entre la 4.80 y la 4.92.1, ambas incluidas.

Además, el equipo de investigación de Qualys, que ha analizado el fallo afirma tener una prueba de concepto (PoC) funcional y que podrían existir otros métodos de explotación adicionales.

Aunque se ha propuesto el deshabilitar TLS como una forma de mitigación para servidores no actualizados, los desarrolladores del software no la recomiendan. Otra forma de mitigación es agregar las siguientes reglas como parte de la ACL de correo que verifican la existencia de un peer DN o SNI que finaliza con una barra invertida y, en caso de hallarlo, la conexión se rechazaría para bloquear el vector de ataque actualmente conocido:

deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

Sin embargo, las anteriores opciones podrían afectar a usos legítimos por lo que la única opción que realmente se debería contemplar, según palabras de Heiko Schlittermann -uno de los desarrolladores-, es actualizar a la versión 4.92.2 de Exim que solventa el fallo de seguridad.

Más información:
Critical Exim TLS Flaw Lets Attackers Remotely Execute Commands as Root
https://www.bleepingcomputer.com/news/security/critical-exim-tls-flaw-lets-attackers-remotely-execute-commands-as-root/

CVE-2019-15846: Exim – local or remote attacker can execute programs
https://www.openwall.com/lists/oss-security/2019/09/04/1

Exim servers
https://www.shodan.io/report/vRKzLpdS

Múltiples vulnerabilidades en PHP permiten ejecutar código remoto

La última actualización publicada de PHP revela múltiples fallos que han sido parcheados, tanto en el core como en diferentes librerías del lenguaje. La vulnerabilidad más severa permitiría ejecutar código remoto en el servidor de la víctima.

PHP es un lenguaje diseñado originalmente para ser utilizado en aplicaciones basadas en Web junto con HTML. En la actualidad aproximadamente el 78% de los portales web están escritos en PHP, según las estadísticas dew3techs

Los sistemas afectados a estas vulnerabilidades son los siguientes: 
– Versiones PHP 7.1 y anteriores a 7.1.32.
– Versiones PHP 7.2 y anteriores a 7.2.22.
– Versiones PHP 7.3 y anteriores a 7.3.9. 

Detalles técnicos de los errores según la actualización publicada por php.net:

BugRamas afectadas
#78363 Buffer overflow in zendparse 7.3 y 7.2 
#78379 Cast to object confuses GC, causes crash 7.3 y 7.2 
#78412 Generator incorrectly reports non-releasable $this as GC child 7.3 
#77946 Bad cURL resources returned by curl_multi_info_read() 7.3 y 7.2 
#78333 Exif crash (bus error) 7.3 y 7.2 
#77185 Use-after-free in FPM master event handling 7.3 
#78342 Bus error in configure test for iconv //IGNORE 7.3 y 7.2 
#78380 Oniguruma 6.9.3 fixes CVEs 7.3 
#78179 MariaDB server version incorrectly detected 7.3 y 7.2 
#78213 Empty row pocket 7.3 
#77191 Assertion failure in dce_live_ranges() 7.3 y 7.2 
#69100 Bus error from stream_copy_to_stream (file -> SSL stream) 7.3 y 7.2 
#78282 atime and mtime mismatch 7.3 y 7.2 
#78326 improper memory deallocation on stream_get_contents() 7.3 y 7.2 
#78346 strip_tags no longer handling nested php tags 7.3 
#75457 heap use-after-free in pcrelib 7.1

Entre los bugs parcheados se encuentra Oniguruma, una popular librería de expresiones regulares que se utiliza internamente en PHP (y en muchos otros lenguajes), que ha sido actualizada a la versión 6.9.3, debido a una vulnerabilidad de ejecución de código ‘user-after-free‘ asignada con el CVE CVE-2019-13224.

Este fallo podría permitir la ejecución de código en la aplicación afectada. En caso de fallar al ejecutar el exploit podría resultar en una denegación de servicio (DoS).

Como se puede observar, los fallos afectan a librerías y funciones ampliamente utilizadas como la función Exif, la extensión CurlOpcache FastCGI Proccess Manager (FPM) entre otros.

Por el momento no hay constancia de que estos fallos estén siendo aprovechados y explotados en aplicaciones o sistemas en producción en la red. Sin embargo es altamente recomendable que tanto usuarios como proveedores de hostings actualicen sus servidores a las últimas versiones publicadas 7.3.97.2.22, o 7.1.32.


Más información:

php.net
https://www.php.net/ChangeLog-7.php

Cisecurity
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2019-087/


The Hacker News
https://thehackernews.com/2019/09/php-programming-language.html

DNS spoofing en Kubernetes

Los permisos por defecto en los clusters de Kubernetes permiten realizar ARP spoofing, que entre otros riesgos deja tomar el control del DNS

Tal y como ha demostrado el analista de seguridad Daniel Sagi, el diseño de red de Kubernetes junto con los permisos por defecto permite a cualquier pod realizar DNS spoofing al resto de pods del cluster. Este tipo de ataques suplantan el servidor DNS para que las máquinas en vez de resolver al dominio deseado realicen la conexión a un servicio controlado por el atacante.

Para su funcionamiento, se aprovecha que Kubernetes concede por defecto el permiso ‘NET_RAW’ (el cual puede comprobarse con el comando ‘pscap -a’) con el que pueden enviarse paquetes ARP y DNS en bruto. Conceder el permiso para paquetes ARP sin restricciones permite realizar ataques ‘SPF Spoofing’, un tipo de ataque con el que engañar el resto de pods para hacerles creer que la IP del atacante es la del DNS del cluster.

El analista que ha alertado de esta vulnerabilidad ha subido a Github una Prueba de Concepto (PoC) para poder comprobar si somos vulnerables, además de un vídeo demostrando la explotación. Un posible ejemplo de explotación sería tomar el control del DNS para suplantar a un servicio web del cluster y recibir las peticiones del resto de pods.

Código a emplear para deshabilitar el permiso. Fuente: Aquasec.

Para mitigar esta vulnerabilidad puede deshabilitarse el permiso de ‘NET_RAW’ en los pods, el cual está permitido por defecto. Para ello puede usarse el código de la imagen superior. Este permiso, el cual resulta muy peligroso debería encontrarse bloqueado por defecto en Kubernetes para evitar posibles riesgos de seguridad.

Más información:
DNS Spoofing on Kubernetes Clusters:
https://blog.aquasec.com/dns-spoofing-kubernetes-clusters

iPhone Zero Days: un nuevo spyware de altas capacidades puede monitorizar toda la vida digital de las personas

14 vulnerabilidades en iPhone han sido el objetivo de cinco cadenas de exploits (herramientas que unifican vulnerabilidades de seguridad, permitiendo al atacante penetrar en cada capa de las protecciones digitales de iOS). Estas cadenas forman parte de un ataque que ha durado años; dos de estas vulnerabilidades se trataban de Zero Days.

iPhone
Fuente de la imagen: Pexels

Los sitios web infectados que fueron utilizados como medio para llevar a cabo el ataque contenían el spyware encargado de robar información de iMessages, fotos y localización GPS en tiempo real, según lo reportado por Ian Beer y el equipo de investigación Project Zero de Google.

«No había un objetivo específico; visitar el sitio hackeado era suficiente para que el exploit se ejecutase en el dispositivo, y en caso de ejecutarse con éxito, se instalaba un módulo de monitorización», escribió Beer en un blog el pasado viernes. «Estimamos que estos sitios reciben miles de visitas cada semana». Los sitios infectados estaban activos desde hace, al menos, dos años.

Beer dijo que en el ataque se habían usado siete bugs para el navegador deiPhone (Safari), cinco para el kernel y dos «sandbox escapes« (exploit que permite acceder a funcionalidades o procesos más allá de lo permitido en una aplicación normalmente). Google ha sido capaz de hacerse con cinco exploitstotalmente distintivos y únicos para iPhone, los cuales afectan casi a cada versión de estos dispositivos que van desde iOS 10 hasta la última versión de iOS 12.

Escribía el investigador:

Un análisis inicial indicó que al menos una de las cadenas de exploits para la escalada de privilegios era un 0-day, el cual no había sido solventado en el momento de su descubrimiento [enero] (CVE-2019-7287 y CVE-2019-7286).

El alcance de las versiones afectadas «apuntaban a un grupo que estaba haciendo un esfuerzo continuo para hackear a usuarios de iPhone en ciertas comunidades durante un periodo de tiempo de al menos dos años». Añadía Beer que la raíz de las vulnerabilidades revelaban código que, aparentemente, nunca había sido desarrollado correctamente, al cual le faltaban controles de calidad, o que «probablemente casi no se sometió a pruebas o revisiones antes de ser entregados a los usuarios (los dispositivos)».

Google informó sobre estos problemas a Apple en enero, lo que resultó en el lanzamiento apresurado de iOS 12.1.4 en febrero de 2019, el cual no estaba programado para esa fecha; las vulnerabilidades se dieron a conocer públicamente en ese momento.

Detalles del módulo

El payload del malware usado en el ataque es algo personalizado y desarrollado para realizar tareas de monitorización. Este payload hace peticiones mediante comandos desde un servidor C&C (C2) cada sesenta segundos, y se centra principalmente en robar archivos y obtener datos de localización en tiempo real. El análisis de Beer mostró que se pueden evitar algunas de las medidas de seguridad usadas por disidentes para, por ejemplo, proteger su privacidad (y en muchos casos su seguridad física).

Según el investigador, los atacantes usaron las cadenas de exploits para conseguir ejecutar código fuera de un entorno sandbox como usuario rooten los iPhones. Tras lograr esto, los atacantes ejecutaban «posix_spawn«, pasando la ruta al módulo, el cual era almacenado en /tmp; esto hacía que el módulo corriese en segundo plano con privilegios root.

«El implante se ejecuta en el espacio del usuario, aunque fuera de un entorno sandbox y con privilegios de root seleccionados por el atacante para asegurarse de que puede seguir accediendo a la información privada en la que estaban interesados», detallaba Beer. «Usando jtool, podemos ver los privilegios que tiene el módulo… los atacantes tienen control total sobre estos, ya que usaban el exploit para el kernel con el objetivo de añadir el hash del código del módulo a la caché del kernel«.

Durante la prueba, Beer fue capaz de usar el malware para robar archivos de la base de datos de un teléfono infectado, el cual era usado por aplicaciones de mensajería instantánea cifrada de extremo a extremo como WhatsApp, iMessage y Telegram – lo cual significa que pudo hacerse con el texto plano de los mensajes enviados y recibidos.

Ejemplo de robo de información de mensajería instantánea cifrada de extremo a extremo
Fuente de la imagen: The Hacker News

Esta misma técnica podía ser usada en todo el dispositivo.

«El implante puede subir archivos privados usados por todas las aplicaciones del dispositivo, como por ejemplo el contenido en texto planode emails enviados con la aplicación Gmail, los cuales eran subidos al servidor del atacante», comunicaba Beer.

El implante también realiza copias de los contactos del usuario (nombres completos y números de teléfono) almacenados en la agenda de contactos del iPhone, copias de fotos, y puede hacerse con la localización en tiempo real del usuario, actualizando esta última información hasta una vez por minuto si el dispositivo está conectado a alguna red.

Los atacantes podrían conseguir la persistencia en el dispositivo infectado mediante el robo de tokens usados por servicios como iOS Single-Sign-On de Google. Dicha información será transmitida al atacante y podrá ser usada para tener acceso a la cuenta de Google del usuario incluso una vez el implante deje de ser ejecutado. Para que el módulo deje de correr en el dispositivo será necesario reiniciarlo, e incluso así, si tras el reinicio el usuario volviese a visitar el sitio web comprometido, la infección tendría lugar nuevamente.

La dirección IP del servidor a la que se suben los archivos se encuentra incrustada en el binario del módulo, algo que algunos investigadores que se han pronunciado sobre el asunto consideran un «error amateur» frente a la sofisticación de los Zero Days explotados, llegando a especular que tras el ataque se encuentra un estado cuyo objetivo es monitorizar a un grupo concreto de la población y que habría comprado el 0-day por una importante suma de dinero, siendo sus desarrolladores, aparentemente recién iniciados en el mundo del ciberespionaje de acuerdo a los investigadores, quienes se encargaron de desarrollar el malware e introduciendo en su estructura la dirección IP del servidor, lo cual podría facilitar la localización del grupo atacante.

Junto al robo de información privada de los usuarios, igualmente preocupante resulta el hecho de que nada está cifrado -todo se envía al C2 vía HTTP (no HTTPs), abriendo la posibilidad de que los datos sean filtrados a otras personas. Este es otro aspecto que hace pensar a algunos investigadores que el grupo atacante es relativamente inexperto. «Si te conectas a una red de Wi-Fi no cifrada esta información estará siendo transmitida a todo aquel que está a tu alrededor, a tu operador de red y a cualquier intermediario hasta llegar al servidor de Control y Comando», informaba Beer.

En cuanto a los usuarios, estos no se habrían dado cuenta de que habían sido infectados, permitiendo así que el binario obtuviese la información personal durante todo el tiempo que el usuario permaneciera sin reiniciar el dispositivo. «No hay un indicador visual que muestre que se está ejecutando el implante en el dispositivo. No hay manera de que un usuario de iOS vea una lista de procesos, de manera que el binario del módulo no intenta ni siquiera esconder su ejecución en el sistema», según lo reportado por el investigador.

Los sitios webs usados para el ataque tenían como objetivo cierto grupo de personas. Aunque no dijo explícitamente si se trataba de personajes del mundo de la política o grupos demográficos, Beer dio a entender que se trataba del primer grupo. Tampoco se tiene información sobre quién se encuentra detrás del ataque, pero tanto la sofisticación del ataque como su objetivo de espionaje sugiere, como se ha mencionado previamente, que se trata de un grupo de hackers respaldados por un estado.

Ian Beer explica que es necesario dejar a un lado la noción de que cualquier usuario de iPhone que haya podido ser hackeado es «el disidente del millón de dólares» (un nickname que se le dio al activista de derechos humanos de Emiratos Árabes Unidos, Ahmed Mansour, actualmente encarcelado, después de que su iPhone fuese hackeado). El nickname «disidente del millón de dólares» vino por lo costoso que se estimó que fue el proceso de hackear el iPhone de este activista, y con respecto a esto Beer dice que no tiene intención de iniciar una conversación sobre cuánto cuesta una campaña como la tratada en este artículo, pero dice que todos los precios dados «parecen bajos considerando la capacidad de monitorización de las actividades privadas de poblaciones enteras en tiempo real».

El investigador también dijo que los sitios web infectados, los zero-days y losexploits descubiertos por Google durante la investigación son más bien la punta del iceberg, aclarando que «todavía hay muchos otros que están por verse».

Desde Hispasec Sistemas no solo recomendamos que los usuarios mantengan sus dispositivos actualizados; también secundamos el consejo proporcionado por Beer, quien advirtió a los usuarios alentándoles a que fuesen más precavidos ante la amenaza real de los ciberataques, y a que consideren dónde podría acabar un día toda la información que se encuentra en sus dispositivos.

Más información:

iPhone Zero-Days Anchored Watering-Hole Attacks

The Million Dollar Dissident

Hack Exploited Apple Users for Two Years

Mysterious iOS Attack Changes Everything We Know About iPhone Hacking

Google Uncovers How Just Visiting Some Sites Were Secretly Hacking iPhones For Years

Commenting is Disabled on Noticias de Seguridad Setiembre 2019