Roban 519.000€ que el PSG había pagado al Boca por la compra de Leandro Paredes mediante una transacción sutilmente manipulada que desvió el dinero a una cuenta en un banco de México.

Leandro Paredes, centrocampista en el Zenit de Rusia, había sido transferido al PSG por 40 millones de euros, y según la FIFA, al primer club de Paredes le correspondían 1.299.377,48 euros por derechos de formación que se pagarían en 3 plazos.

A finales de enero de este año comenzó el intercambio de emails entre el PSG y el Boca para llegar a un acuerdo sobre cómo se iba a efectuar el pago. Según estos emails la fecha prevista para la transacción era el 6 de marzo y tan solo 6 días después de la fecha establecida el Boca se comunicó con el PSG para saber por qué se había retrasado el pago.

18 de marzo, el PSG se puso en contacto con el Boca para confirmar que el pago estaba en proceso.

22 de marzo, los franceses confirman que la transferencia se ha realizado y dan un plazo de 7 días para su acreditación. En esta última comunicación del PSG con el Boca se había adjuntado un comprobante de la transferencia internacional, una nota del PSG y la factura emitida por Boca. En esta factura se indicaba que la transferencia debía depositarse en una cuenta que tiene Boca en el banco Macro.

4 de abril, desde Boca mandan una comunicación al PSG para pedir el número de comprobante de la transferencia para poder rastrear el dinero.

11 de abril, Boca advierte al PSG que va a reclamar a la FIFA por impago. Ante esta noticia el PSG contesta que el pago se había hecho según lo acordado y que figuraba como acreditado, algo que no cuadraba porque en la cuenta del Boca en el banco Macro no habían tenido ningún movimiento.

17 de abril, Boca vuelve a establecer una nueva comunicación con el PSG donde dicen no poder rastrear la transferencia debido a que al comprobante que habían mandado le faltaban datos.

24 de abril, llega desde Francia un email con 8 archivos adjuntos que demuestran que la transferencia había sido realizada y un histórico con el intercambio de emails. Los directivos del Boca empiezan a entender lo que ha ocurrido.

Después de que el Boca analizara los emails se dieron cuenta de que los datos habían sido modificados, el dinero había sido enviado a una cuenta en México a nombre de una firma llamada «OM IT Solutions S.A de CV». Después de llegar a México lo habían mandado a una cuenta en el banco Citibank de Nueva York, que pertenecía a la marca mexicana «Vector Casa de Bolsa».

Cuando miraron los correos intercambiados se dieron cuenta de que tenían modificaciones casi imperceptibles, por ejemplo, el dominio era bocajuniors.com.an en vez de bocajuniors.com.ar.

Tras estas comprobaciones los directivos del Boca descubrieron que habían sido estafados y les habían robado más de medio millón de euros, por lo que efectuaron de inmediato la denuncia.

El fiscal ha pedido la declaración testimonial de todos los involucrados en el intercambio de información entre Boca y PSG. Desde Boca han incautado todos los ordenadores relacionados con la transacción para realizar un peritaje informático para saber desde dónde se realizaron las modificaciones de los correos. Cabe destacar que los investigadores ya tienen algunos sospechosos en el punto de mira.

Más información:

Investigan el robo de 519.000 euros que el Paris Saint Germain le pagó a Boca por el pase de Paredes
https://www.infobae.com/sociedad/policiales/2019/05/26/exclusivo-investigan-el-robo-de-519-000-euros-que-el-paris-saint-germain-le-pago-a-boca-por-el-pase-de-paredes/

Durante más de dos horas del jueves 6 de junio, China Telecom ( el tercer proveedor de servicios de telecomunicaciones más grande de China ) enrutó gran parte del tráfico móvil europeo por sus redes.

El problema fue debido a que la empresa Safe Host filtró por error más de 70.000 rutas de su tabla de enrutamiento interna al ISP chino. Aunque este tipo de filtraciones forma parte del funcionamiento del propio protocolo existen procedimientos de seguridad para evitar que esto pase, y por ende, se desvió el tráfico a otro proveedor que ocasione una pérdida de la calidad del servicio.

Lo llamativo es que China Telecom público las rutas de Safe Host en su infraestructura, en lugar de descartarlas, y al hacerlo, su red pasó a ser el camino más corto para llegar a  Safe Host y a otras compañías de telecomunicaciones y proveedores de servicios de Internet cercanos.

Las consecuencias no se hicieron esperar y los clientes de distintos operadores móviles de Francia, Holanda y Suiza notaron latencias importantes en sus servicios, durante las dos horas que duró el desvío de las conexiones.

El problema no solo reside en la degradación del servicio sino en que este hecho no hace más que añadir más leña al fuego a las continuas conjeturas que sostienen que China secuestra la red de comunicación de los países occidentales.

Más Información:

https://www.zdnet.com/article/for-two-hours-a-large-chunk-of-european-mobile-traffic-was-rerouted-through-china/

Se ha detectado una nueva campaña de spam cuyo principal objetivo no es el publicitario, sino la extorsión a través de la difamación del sitio web de la víctima.

El Spam, también conocido como ‘correo basura’ o ‘correo no deseado’ es una técnica utilizada en la que un atacante envía correo electrónicos de forma masiva para trasladar el mensaje deseado del atacante a la víctima.

En los últimos tiempos esto ha evolucionado de forma que se intenta hacer una extorsión a la víctima afirmando haber hackeado su ordenador y tener material sexual obtenido de la cámara web procedente de su ordenador . Si el chantaje no fuese aceptado, se terminaría publicando todo el material obtenido de la víctima. A este spam se le ha llamado ‘sextorción’.

La nueva campaña de spam detectada ha evolucionado entorno a las páginas web empresariales o de negocio en lugar de personas físicas. Esta extorsión tienen objetivo atacar la imagen de la página web. Para hacer esto, los atacantes amenazan con utilizar la imagen de la empresa afectada (suplantación de identidad) en miles de sitios web mediante el formulario de contacto de estas páginas web.

Como en cualquier tipo de spam moderno que no es símplemente publicitario, los atacantes o extorsionadores, piden un rescate para que la amenaza no se cumpla, rescate que en este caso asciende a la cantidad de 0,3 bitcoin (cerca de unos 2500€).

Ante este tipo de ataque, que entendemos que ninguna empresa quiere recibir, lo más recomendable, y que recomendamos, es no atender a este tipo de chantajes. Recordamos que este tipo de mensajes son automatismos que el atacante realiza casi sin ningún filtro, además que nunca se tendrá asegurado que esta campaña de difamación sea anulada (si llegara a existir), si el pago se realizara.

Más información:

New Extortion Scam Threatens to Ruin a Website’s Reputation
https://www.bleepingcomputer.com/news/security/new-extortion-scam-threatens-to-ruin-a-websites-reputation/

Existe un fallo que afecta al modeline de Vim, permitiendo escapar del sandbox que emplea para ejecutar los comandos

El investigador Armin Razmjou ha encontrado un fallo en el editor de texto Vim y otros derivados de este, que permitiría la ejecución de código al abrir un fichero de texto especialmente manipulado. Para la explotación hace uso de las ‘modelines’, una opción que tiene Vim para establecer variables y opciones para la edición de un archivo.

El problema se encuentra en concreto en el comando ‘:source!’, el cual se utiliza para cargar opciones desde un fichero externo, y según ha podido comprobarse también podría permitir la ejecución de comandos. Vim para impedir este tipo de riesgos utiliza un sandbox con otros comandos como pueden ser ‘foldexpr’, ‘formatexpr’ o ‘includeexpr’. No obstante, el comando ‘source’ no se encontraba segurizado.

Armin ha creado una prueba de concepto (PoC) en su Github para comprobar si nuestra instalación de Vim es vulnerable. Es imprescindible para la prueba que no se encuentre deshabilitado el soporte para modeline (‘:set modeline’). Para la prueba, basta con añadir esta línea a un fichero, abrir el archivo con Vim y comprobar si se ejecuta ‘uname -a’:

Aunque no se utilice habitualmente Vim, es necesario recordar que en muchos sistemas es el editor de texto por defecto para el modo consola, por lo que podría ejecutarse por error, permitiendo la explotación. Puede comprobarse el editor por defecto en la variable de entorno ‘$EDITOR’.

La vulnerabilidad, la cual ha sido identificada como CVE-2019-12735, ya ha sido corregida en la versión 8.1.1365 de Vim y debería llegar como una actualización de seguridad en la mayoría de distribuciones.

Más información:

Vim/Neovim Arbitrary Code Execution via Modelines:
https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md

La policía alemana está alertando de un peligroso malware que está instalado por defecto en los smartphones alemanes, y se calcula que unos 20.000 alemanes están infectados.

El troyano en cuestión ha sido detectado por la compañía antivirus Sophos como ‘Andr/Xgen2-CY’ y fue detectado por primera vez en Octubre de 2018 bajo la aplicación ’SoundRecorder. Esta aplicación venía instalada en varios teléfonos de forma nativa.

Los modelos detectados que tienen el malware instalado de fábrica son dispositivos Android low-cost y son los siguientes:

• Doogee BL7000
• M-Horse Pure 1
• Keecoo P11
• VKworld Mix Plus

El comportamiento de esta familia es similar al de otras: se ejecutará en el arranque, para posteriormente enviar la información del dispositivo y quedarse a la escucha de nuevas órdenes. La información principal recolectada por el malware era la siguiente:

• Número de teléfono del dispositivo
• Localización del dispositivo
• IMEI y Android ID
• Marca, modelo y versión del sistema
• Información de la CPU
• Tipo de red
• Dirección MAC
• Tamaño de la memoria RAM y ROM
• Espacio de la tarjeta de memoria
• Lenguaje y país
• Proveedor de servicio

Entre las acciones más relevantes que se pueden llevar a cabo a través del servidor de C&C, se encuentra el instalar o desinstalar aplicaciones y ejecutar comandos shell.

Cabe destacar que una desinstalación manual no es posible ya que el malware está instalado en el firmware del dispositivo. Por lo tanto, solo es posible cambiar el firmware del dispositivo para limpiar el virus. Algo que no es factible para todos los usuarios. Sin duda una demostración de que lo barato puede salir caro.

Más información:

Germany: Backdoor found in four smartphone models; 20,000 users infected
https://www.zdnet.com/article/germany-backdoor-found-in-four-smartphone-models-20000-users-infected/

The price of a cheap mobile phone may include your privacy
https://news.sophos.com/en-us/2018/10/02/the-price-of-a-cheap-mobile-phone-may-include-your-privacy/

En la última publicación de actualizaciones de software de Adobe correspondientes con el mes de junio de 2019, han dado a conocer un total de 11 vulnerabilidades en 3 de sus productos más utilizados (Adobe ColdFusion, Flash Player y Adobe Campaign).

De las once vulnerabilidades, tres afectan a Adobe ColdFusion, una plataforma comercial de desarrollo de páginas webs. Todas las vulnerabilidades que ha publicado Adobe con respecto a ColdFusion son críticas y podrían provocar la ejecución de código arbitrario.

En esencia, las tres vulnerabilidades de ColdFusion consisten en:

• CVE-2019-7838: Una vulnerabilidad en la subida de ficheros categorizada como «omisión de la lista negra de extensión de archivo» y que puede ser explotada si el directorio de carga de archivos es accesible desde la web.
•  CVE-2019-7839: Una vulnerabilidad de inyección de comandos en las ediciones ColdFusion 2016 y 2018, pero no afecta a la versión 11 de ColdFusion.
•  CVE-2019-7840: Una vulnerabilidad en la deserialización de datos no confiables que pofría permitir una ejecución de código arbitrario en el sistema.

También existe una vulnerabilidad en el conocido software de Adobe, Flash Player. En este CVE-2019-7845, Adobe alerta que esta vulnerabilidad crítica podría permitir también la ejecución de código arbitrario en las versiones afectadas. Los productos afectados son:

• Adobe Flash Player Desktop Runtime en su versión 32.0.0.207 y afecta a Microsoft Windows, macOS y GNU/Linux.
• Adobe Flas PLayer for Google Chrome en su versión 32.0.0.207 y afecta a Microsoft Windows, macOS, GNU/Linux y ChromeOS
• Adobe Flas Player for Microsoft Edge and Internet Explorer 11 en su versión 32.0.0.207 y que afecta a Microsft Windows 8.1 y Windows 10.

Cabe destacar que,el caso de la versión de Adobe Flash Player que afecta a Microsoft Edge e Internet Explorer 11, se suma a las vulnerabilidades que se están publicando y que afectan a los navegadores de Microsoft.

Las 7 vulnerabilidades restantes pertenecen a Adobe Campaign Classic, una avanzada plataforma de gestión de campañas y marketing diversos canales. De las siete vulnerabilidades una ha sido catalogada de alta gravedad, tres han sido definidas como de importancia y las tres restantes suponen una pequeña amenaza para los usuarios tal como ha publicado Adobe.

La vulnerabilidad el CVE-2019-7850, la cual mediante un command injection permitiría la ejecución de código arbitrario en las máquinas con versiones de Adobe Campaign afectadas.

Según Security Focus, las versiones de Adobe Campaign afectadas son:

• Adobe Campaign v6.11 0
• Adobe Campaign 18.10.5 Build 8984
• Adobe Campaign 6.11 Build 8795
• Adobe Campaign 6.11 Build 8770
• Adobe Campaign 6.11 Build 8664
• Adobe Campaign 6.11 Build 8653
• Adobe Campaign 6.11 Build 8640
• Adobe Campaign 6.11 Build 8622
• Adobe Campaign 6.11 Build 8612
• Adobe Campaign 6.11 Build 8601
• Adobe Campaign 6.11 Build 8591
• Adobe Campaign 6.11 Build 8580
• Adobe Campaign 6.11 Build 8571
• Adobe Campaign 6.11 Build 8563
• Adobe Campaign 6.11 Build 8552
• Adobe Campaign 16.8 Build 8757
• Adobe Campaign 16.4 Build 8724
• Adobe Campaign 16.11 Build 8767
• Adobe Campaign 15.9
• Adobe Campaign 15.12 Build 8705

La solución planteada por Adobe es la de actualizar inmediatamente los tres software que se han visto afectados por las once vulnerabilidades aquí expuestas.

Más información:

Adobe Releases Security Updates for Flash Player, ColdFusion, and Campaign
https://www.bleepingcomputer.com/news/security/adobe-releases-security-updates-for-flash-player-coldfusion-and-campaign/

Una vulnerabilidad crítica que afecta a las versiones 4.87 a la 4.91 del popular servidor de correo, permitiría a atacantes remotos sin autenticar, ejecutar código arbitrario en la máquina anfitrión.

Exim es un servidor de correo electrónico de código abierto muy popular en sistemas Unix. Fue desarrollado en 1995 por Philip Hazel en la Universidad de Cambridge. Actualmente Exim es el MTA por defecto de Debian y de otras distribuciones de GNU/Linux.

Aprovechando un fallo en la función ‘deliver_message’, del módulo ‘/src/deliver.c’, un atacante podría llegar a ejecutar código arbitrario con privilegios de root manipulando la dirección de correo de destino.

Esta vulnerabilidad fue publicada el pasado 5 de junio bajo el identificador CVE-2019-10149 y se tiene constancia de que está siendo utilizada en ataques ‘in the wild’.

El investigador de seguridad Amit Serper, ha compartido evidencias de un ataque masivo que se está realizando contra estos servidores. Por un lado, la clave RSA que el atacante utiliza para tomar el control de la máquina mediante SSH:

AAAAB3NzaC1yc2EAAAADAQABAAABAQC1Sdr0tIIL8yPhKTLzVMnRKj1zzGqtR4tKpM 2bfBEx+AHyvBL8jDZDJ6fuVwEB+aZ8bl/pA5qhFWRRWhONLnLN9RWFx/880msXITwO XjCT3Qa6VpAFPPMazJpbppIg+LTkbOEjdDHvdZ8RhEt7tTXc2DoTDcs73EeepZbJmD FP8TCY7hwgLi0XcG8YHkDFoKFUhvSHPkzAsQd9hyOWaI1taLX2VZHAk8rOaYqaRG3U RWH3hZvk8Hcgggm2q/IQQa9VLlX4cSM4SifM/ZNbLYAJhH1x3ZgscliZVmjB55wZWR L5oOZztOKJT2oczUuhDHM1qoUJjnxopqtZ5DrA76WH user@localhost"

Clave RSA del atacante

Por otra parte, la cadena «an7kmd2wp4xo7hpr», que corresponde a un servicio oculto de la red TOR, puede aparecer en algunos registros de acceso o del firewall.

Según parece, estos ataques tienen como objetivo final la ejecución de un «minero de criptomonedas«, escondido en un falso .ico empaquetado con UPX.

Mientras tanto, Freddie Leeman, investigador de seguridad, ha detectado actividades relacionadas con otro grupo de atacantes que apuntaban también a instalaciones vulnerables de Exim. En este caso, se intentaba descargar un binario localizado en hxxp://173[.]212[.]214[.]137/, que en principio serviría para obtener una shell en la máquina explotada.

A pesar de que el fallo fue solucionado en la versión 4.92 de Exim, publicada en febrero. Se estima que un gran número de sistemas todavía son vulnerables. Una búsqueda en Shodan nos arroja 3.594.690 posibles instalaciones.

Desde Hispasec recomendamos a todos los usuarios de Exim revisar sus instalaciones y actualizar cuanto antes a la versión 4.92.

Más información:

IOC #1 clave RSA
https://gist.github.com/aserper/e36d382668c6cf2c996c5143025097c0#file-gistfile1-txt

kthrotlds CVE-2019-10149 Exim/cPanel
https://www.srv24x7.com/kthrotlds-cve-2019-10149-exim/

Mozilla Foundation ha publicado el boletín de seguridad MFSA2019-17 que solventa 4 fallos en su popular cliente de correo, Thunderbird. Tres de estas vulnerabilidades han sido clasificadas de gravedad alta.

Mozilla Thunderbird es un cliente de correo electrónico multiplataforma de código abierto y libre, cliente de noticias, cliente de RSS y de chat desarrollado por la Fundación Mozilla.

Las vulnerabilidades, presentes en la implementación de iCal, son las siguientes:

* CVE-2019-11703: un desbordamiento de memoria en la función ‘parser_get_next_char’ localizada en el fichero ‘icalparser.c’ al procesar un calendario adjunto podría permitir la ejecución de código remoto.

* CVE-2019-11704: una falta de comprobación de límites en la función ‘icalmemory_strdup_and_dequote’ en ‘icalvalue.c’ cuando la cadena de entrada finaliza con el carácter ‘\’ podría provocar la lectura y escritura fuera de límites de la memoria, de referencia a puntero nulo, y corrupción de la memoria. La explotación exitosa de este fallo de seguridad podría permitir la ejecución de código remoto.

* CVE-2019-11705: una validación incorrecta en la función ‘icalrecuradd_bydayrules’ localizada en ‘icalrecur.c’ podría permitir la ejecución de código remoto.

* CVE-2019-11706: una confusión de tipos en la función ‘icaltimezone_get_vtimezone_properties’ en ‘icalproperty.c’ al analizar un archivo adjunto de calendario con formato incorrecto podría ser aprovechada para revelar información sensible.

Estos fallos de seguridad han sido reportados por Luis Merino de X41 D-SEC, quien además ha proporcionado pruebas de concepto para cada uno de ellos en GitHub.

Thunderbird 60.7.1, que corrige todas las vulnerabilidades expuestas, está disponible para su descarga desde la página oficial.

Más información:
CVE-2019-11703: Heap buffer overflow in icalparser.c
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/#CVE-2019-11703

CVE-2019-11704: Heap buffer overflow in icalvalue.c
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/#CVE-2019-11704

CVE-2019-11705: Stack buffer overflow in icalrecur.c
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/#CVE-2019-11705

CVE-2019-11706: Type confusion in icalproperty.c
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/#CVE-2019-11706

Advisory X41-2019-001: Heap-based buffer overflow in Thunderbird
https://www.x41-dsec.de/lab/advisories/x41-2019-001-thunderbird/

Advisory X41-2019-002: Heap-based buffer overflow in Thunderbird
https://www.x41-dsec.de/lab/advisories/x41-2019-002-thunderbird/

Advisory X41-2019-003: Stack-based buffer overflow in Thunderbird
https://www.x41-dsec.de/lab/advisories/x41-2019-003-thunderbird/

Advisory X41-2019-004: Type confusion in Thunderbird
https://www.x41-dsec.de/lab/advisories/x41-2019-004-thunderbird/

Se ha hecho pública la noticia de la existencia de un error en el plugin Evernote para el navegador Google Chrome que actualmente está siendo utilizada por más de 4,5 millones de usuarios.

Evernote, es un servicio que nos permite organizar nuestras notas o tareas a través de una aplicación existente en muchas plataformas, permitiéndonos tener sincronizadas estas notas en distintos dispositivos e incluso compartirlas con otros usuarios.

La vulnerabilidad ha sido encontrada por los investigadores de seguridad de Guardio, y se le ha asignado del identificador CVE-2019-12592, que solo afecta a la extensión ‘Evernote Web Clipper’, una extensión disponible para el navegador Google Chrome.

El error reside en la forma en la que la extensión interactúa con los sitios web, siendo posible romper los mecanismos de políticas del mismo origen (same-origin policy) y de dominio aislado (domain-isolation).

Según los investigadores, el error podría ser aprovechado para ejecutar código arbitrario a través de una página web especialmente manipulada e incluso podría ser utilizado para leer información sensible del usuario y no solo en el contexto del dominio de Evernote.

Junto al reporte, los investigadores de seguridad han publicado un vídeo en el que puede apreciarse una prueba de concepto funcional que aprovecha esta vulnerabilidad y que a través de un fichero javascript especialmente manipulado permite obtener información sensible del usuario, como puede ser información de sus redes sociales.

Actualmente el error está solucionado en la versión 7.11.1 o superior y debería instalarse de forma automática por el propio Chrome.

Más información:

Critical Vulnerability Discovered in Evernote’s Chrome Extension
https://guard.io/blog/evernote-universal-xss-vulnerability

El investigador de seguridad Jonathan Looney, de Netflix, ha descubierto varias vulnerabilidades en la implementación de TCP/IP del kernel Linux que permitirían a un atacante remoto provocar denegaciones de servicio en los sistemas que trabajen con las versiones del núcleo afectadas.

La vulnerabilidad más crítica, bautizada como «SACK Panic» y etiquetada con CVE-2019-11477, debe su nombre a los paquetes de reconocimiento selectivo (SACK). Este protocolo se define en el RFC 2018 y RFC 2883, y trata de solventar el problema de las retransmisiones innecesarias de paquetes durante una conexión TCP. Cuando el envío de un segmento falla, se solicita la retransmisión de ese segmento mediante un paquete ACK con el número del último fragmento recibido. Aunque los subsiguientes segmentos se hayan recibido correctamente, el servidor volverá a retransmitirlos en orden. Para solucionar este problema de optimización se utiliza la trama SACK, que se envía junto con el ACK duplicado (utilizado para solicitar la retransmisión), indicando el rango de tramas que sí se han recibido correctamente. Con esta información, el servidor ya puede retransmitir sólo los paquetes que no se han recibido, optimizando así la comunicación.

Otro concepto que debemos definir es el de «tamaño de segmento máximo» (MSS). El MSS es un parámetro que se envía en las cabeceras TCP de cada paquete y especifica el tamaño máximo (en bytes) que se puede recibir sin fragmentar. Valores elevados en el MSS podrían provocar más fragmentación y en consecuencia una reducción de la velocidad.

Pasaremos ahora a explicar detalladamente la vulnerabilidad:

En la implementación de TCP/IP del kernel Linux se utiliza una estructura llamada Socket Buffer (SKB). Básicamente es una lista enlazada de buffers que almacenan paquetes de red. Esta lista se utiliza para guardar la cola de transmisión, la cola de recepción, cola de paquetes SACK, etc. Las estructuras SKB pueden almacenar los datos fragmentados, en un máximo de 17 fragmentos como se define en su fichero de cabecera:

Cuando un paquete debe ser enviado, se guarda información de control en una estructura como la siguiente, utilizada para instruir cómo se realizará el envío:

De esta estructura, debemos fijarnos en los campos ‘tcp_gso_segs‘ y ‘tcp_gso_size‘, que se utilizan para almacenar información relativa a la fragmentación de los paquetes.

Pues bien, cuando la descarga de segmentación (TSO) está activa y el mecanismo de retransmisión SACK habilitado, puede producirse una situación en la que alguna estructura SKB alcance el número máximo de fragmentos permitido y se provoque un desbordamiento de entero en ‘tcp_gso_segs’, resultando en un kernel panic.

Un atacante remoto podría favorecer estas condiciones configurando el MSS de la conexión TCP al mínimo y enviando una secuencia de paquetes SACK especialmente manipulada. Un MSS mínimo, dejaría sólo 8 bytes libres por segmento, lo que elevaría el número de tramas TCP necesarias para enviar toda la información.

Las versiones 2.6.29 y posteriores del kernel Linux son vulnerables. Netflix ha publicado un parche para corregir el fallo:

• kernel Linux 2.6.29: PATCH_net_1_4.patch
• kernel Linux 4.14: PATCH_net_1_4.patch + PATCH_net_1a.patch

Las otras dos vulnerabilidades identificadas han sido etiquetadas con CVE-2019-11478 y CVE-2019-11479 respectivamente y se consideran de gravedad media. La primera también está relacionada con los paquetes SACK, y permitiría a un atacante remoto segmentar la cola de retransmisiones ralentizando el envío de paquetes SACK (en versiones anteriores a 4.15) o hasta el punto de agotar los recursos al tener que recorrer una lista enlazada de paquetes SACK demasiado larga.

La segunda, permitiría a un atacante agotar los recursos del sistema configurando un valor bajo del MSS. Lo que elevaría la fragmentación y el ancho de banda requerido para transmitir la misma cantidad de información. Esta vulnerabilidad afecta a todas las versiones de Linux y para explotarla se requeriría el envío continuo de tráfico.

Netflix también ha publicado los parches para estas dos vulnerabilidades:

• CVE-2019-11478 – PATCH_net_2_4.patch
• CVE-2019-11479 – PATCH_net_3_4.patch y PATCH_net_4_4.patch

Más información:

TCP SACK PANIC – Kernel vulnerabilities – CVE-2019-11477, CVE-2019-11478 & CVE-2019-11479
https://access.redhat.com/security/vulnerabilities/tcpsack

Linux and FreeBSD Kernel: Multiple TCP-based remote denial of service vulnerabilities
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

Firefox ha liberado hoy las versiones 67.0.3 y ESR 60.7.1 para mitigar la explotación de su último zero-day, clasificado bajo el código CVE-2019-11707.

Los usuarios del navegador ya pueden actualizar su versión para parchear la última vulnerabilidad descubierta, clasificada bajo el código CVE-2019-11707. La vulnerabilidad permitía ejecución remota de código arbitrario en las máquinas afectadas por el fallo, lo que a su vez llevaba a la toma de control de la máquina por parte del atacante.

El investigador de ciberseguridad Samuel Groß, de ‘Project Zero’, el equipo de analistas de seguridad informática de Google, reportó esta vulnerabilidad que afecta a cualquiera que utilice la versión de escritorio de Firefox, ya sea en Windows, macOS o Linux. Sin embargo, los clientes de Firefox para Android, iOS y Amazon Fire TV, no se ven afectados por el fallo.

Según el anuncio del fabricante, el fallo de seguridad ha sido clasificado como una vulnerabilidad asociada a un error de confusión de tipos, que podía llevar a la caída del sistema debido al comportamiento de la instrucción Array.pop, que tiene lugar durante el manejo de objetos JavaScript. De este modo, un atacante podría crear una página web a la que dirigir a la víctima y ejecutar código arbitrario cuando se consiga disparar el error de confusión de tipos.

Hasta ahora aún no consta la publicación de ninguna prueba de concepto que explique los detalles técnicos de la vulnerabilidad o sus condiciones de explotación.

A pesar de que Firefox instala automáticamente las actualizaciones pertinentes, se recomienda igualmente a los usuarios que actualicen manualmente de inmediato sus clientes.

Más información:

Mozilla Foundation Security Advisory 2019-18
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/

Un equipo de investigadores han revelado detalles sobre un nuevo tipo de ataque contra la memoria RAM que podría permitir a un programa malicioso leer areas de memoria de otro proceso funcionando en la misma máquina.

A esta técnica se la ha bautizado como RAMBleed y con identificador CVE-2019-0174. Este ataque está basado en el ya conocido Rowhammer, demostrado por investigadores de seguridad recientemente.

Conocido desde 2012, Rowhammer es un fallo en la confiabilidad de los chips de memoria DRAM.

Se descubrió que accediendo de forma rápida y repetida a una fila de memoria puede causar cambios en bits de filas de memoria adyacentes (cambiar de 0 a 1 o viceversa).

En los años siguientes, los investigadores demostraron como era posible escalar privilegios en una máquina vulnerable cambiando bits de la memoria.

Descubierto por un equipo de investigadores de la universidad de Michigan, la universidad de tecnología de Graz y la universidad de Adelaide. Este nuevo ataque RAMBleed, al igual que Rowhammer (y sus variantes), funciona cambiando bits; pero en vez de escribir información en filas de memoria adyacentes, lo que hace es leer información de la memoria protegida perteneciente a otro proceso.

Para demostrar la vulnerabilidad, los investigadores presentaron un ataque contra OpenSSH 7.9 corriendo en una máquina con Linux donde se consiguió extraer la clave RSA del servidor SSH corriendo como root.

De acuerdo con los investigadores, incluso la protección ECC (Error Correcting Code), que puede detectar y corregir los cambios de bit en la memoria, no previene el ataque RAMBleed.

Aunque DDR3 y DDR4 son vulnerables a RAMBleed, los investigadores aconsejan actualizar a DDR4 y activar TRR (Targeted Row Refresh), porque de esta forma es más difícil llevar a cabo este ataque.

Más información:

https://rambleed.com/

https://thehackernews.com/2019/06/rambleed-dram-attack.html

Tavis Ormandy, investigador de seguridad de Google Project Zero, ha descubierto un bug en «SymCrypt», la librería criptográfica principal de Microsoft a partir de Windows 8.

Este bug en «SymCrypt» permite realizar una denegación de servicio en la aplicación que utilice la librería, e incluso forzando al usuario en algunos casos a reiniciar el sistema operativo.

Al tratarse de una vulnerabilidad que no permite ejecutar código malicioso, el propio investigador considera el bug como una vulnerabilidad de baja severidad. Aunque en ciertos casos, como es el caso de software para servidores como «Internet Information Services», una vulnerabilidad de denegación de servicio puede ser un problema importante.

El error se encuentra en la función «SymCryptFdefModInvGeneric», encargada de hacer el calculo del inverso modular. Durante el calculo del inverso modular, se produce un bucle infinito al realizar los cálculos en ciertos patrones de bits.

Tavis Ormandy ha realizado pruebas generando un certificado X.509 que explota la vulnerabilidad, y que al incluirlo en, por ejemplo, un mensaje S/MIME permite realizar una denegación de servicio a un servicio de Windows.

Según el investigador de Google, el fallo se reportó a Microsoft hace 91 días, tras los cuales, Microsoft no ha liberado ningún parche que resuelva el problema. Por ello, después de estos 91 días, se ha liberado la información acerca de la vulnerabilidad. Según Microsoft, el parche que resuelve este error se publicará junto al resto de parches de seguridad el 9 de julio.

Más información:

Issue 1804: cryptoapi: SymCrypt modular inverse algorithm
https://bugs.chromium.org/p/project-zero/issues/detail?id=1804

La nueva herramienta lanzada permite el descifrado de la última versión de este ransomware

En un trabajo en conjunto entre la Europol, el FBI y Bitdefender, ha sido posible la recuperación de las claves de cifrado que empleaba el ransomware GandCrab 5.2 antes del cierre de los servidores empleados por los criminales tras este malware. Anteriormente, Bitdefender ya había lanzado herramientas para el descifrado de versiones anteriores de GandCrab, pero la versión 5.2 se seguía resistiendo hasta este momento.

La recuperación de las claves ha llegado justo a tiempo antes del cierre del servicio. Ya a principios de mes el grupo tras GandCrab anunciaba en los foros de habla rusa exploit.in que cerrarían a finales de mes tras haber logrado 2000 millones de dólares a un ritmo de 150 millones al año, habiendo blanqueado ya todo el dinero.

La nueva herramienta lanzada por Bitdefender permite el descifrado tanto de esta versión como de otras anteriormente lanzadas de GandCrab. Además de poder descargarse gratuitamente desde la web de Bitdefender, es posible encontrarla en No More Ransom, un proyecto que recopila herramientas de descifrado de este y otros ransomware.

El punto y final a GandCrab supone el cierre de uno de los ransomware más difundidos y que más víctimas ha tenido, aunque aún quedan muchas otras amenazas como GandCrab que siguen sin poder descifrarse. Las ganancias obtenidas por este grupo sólo son una evidencia más de que el ransomware ha llegado para quedarse, y la importancia de tener una buena política de seguridad para estar preparados.

Más información:

Good riddance, GandCrab! We’re still fixing the mess you left behind:
https://labs.bitdefender.com/2019/06/good-riddance-gandcrab-were-still-fixing-the-mess-you-left-behind/

No para de crecer y está diseñada para atacar una gran cantidad de ordenadores y equipos de red como VMware, Oracle y hasta routers con DD-WRT entre otras decenas de modelos.

Esta botnet ya es conocida, lleva tiempo funcionando y utilizando la red de Mirai como principal red de ataque. Desde su nacimiento su principal objetivo han sido routers, además de atacar cualquier equipo Belkin, chips Realtek, equipos DELL e incluso sistemas de virtualización como VMware y servidores Oracle con el fin de ser utilizados en ataques a mayor escala.

Esta nueva versión de Echobot contiene 8 nuevos exploits que no están siendo usados por otras botnets, además de los otros 18 ya conocidos.
Con estos nuevos exploits se suman nuevos dispositivos susceptibles de ser infectados entre los que podemos destacar sistemas airOS, ASMAX, routers DD-WRT, D-Link, Linksys, Seowonintech, Yealink y Zeroshell.

Alguna de las vulnerabilidades explotadas tienes más de 10 años, pero con las diversas actualizaciones que ha ido sufriendo podemos encontrar también exploits recientes como el de RCE de Belkin o la vulnerabilidad de 2017 de Netgear ReadyNAS.

Además, los investigadores de Palo Alto advierten de que alguno de los exploits son para fallos desconocidos y aun sin registrar, ya que no registran ningún CVE, y que pueden suponer un peligro mayor.

Podemos encontrar información mucho más detallada sobre los dispositivos que se ven afectados en la web de Palo Alto Networks.

Seis meses después de ser identificada la vulnerabilidad CVE-2019-1105, Microsoft ha lanzado una versión actualizada de Outlook for Android, aplicación de correo electrónico usada actualmente por más de 100 millones de usuarios.

Por lo tanto, las versiones anteriores a la 3.0.88 para Android siguen manteniendo esta vulnerabilidad de cross-site scripting (XSS) anunciada en enero de 2019, que permitiría a un tercero inyectar código JavaScript o similar aprovechando la forma en que Outlook analiza los mensajes de correo electrónico entrantes. Para ello, el atacante remoto podría lograr la ejecución de código en la aplicación del dispositivo desde el lado del cliente con el envío de correos electrónicos que tuviesen un formato concreto.

«The attacker who successfully exploited this vulnerability could then perform cross-site scripting attacks on the affected systems and run scripts in the security context of the current user.»

Según Microsoft, esta vulnerabilidad que podría ser aprovechada para realizar ataques de suplantación de identidad, fue convenientemente informada de manera responsable por múltiples investigadores de seguridad de manera independiente, incluyendo a Bryan Appleby de F5 Networks, Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y Gaurav Kumar. Además, han declarado de que no les consta ningún ataque relacionado con la CVE-2019-1105, aunque se recomienda actualizar lo antes posible la aplicación Outlook desde Google Play Store en caso de que no se haya producido aún la actualización automática.

Más información:

• Noticia original en thehackernews.com
• PoC en the hackernews.com

En los últimos años, varios investigadores en ciberseguridad han puesto de manifiesto las vulnerabilidades existentes en algunos procesadores y memorias RAM dinámicas. Esto suponía la posibilidad de llevar a cabo ataques side-channel contra, por ejemplo, OpenSSH.

Como prueba de concepto, muchos investigadores demostraron la posibilidad de llevar a cabo ataques side-channel contra la aplicación OpenSSH instalada en la víctima. En estos escenarios, un proceso sin privilegios controlado por el atacante, explotaba vulnerabilidades de lectura de memoria para robar la clave secreta privada SSH de zonas de memoria restringidas del sistema.

Esto era posible en tanto que OpenSSH mantiene en ejecución un agente que guarda una copia de la clave SSH privada en la memoria, de tal modo que no sea necesario escribir la passphrase cada vez que se quiera realizar una conexión al mismo servidor remoto.

Sin embargo, los sistemas operativos modernos, almacenan por defecto información sensible, incluyendo las claves de encriptación y las contraseñas, en la memoria del kernel que no es accesible por procesos carentes de los suficientes privilegios.

Pero, dado que las claves SSH se encuentran en memoria en texto plano, es decir, sin cifrar, la característica es susceptible de ser atacada si existe alguna vulnerabilidad de lectura de memoria.

OpenSSH encriptará a partir de ahora esa información.

La buena noticia es que estos escenarios ya no tendrán lugar gracias a la última actualización de SSH. Los desarrolladores han resuelto esta incidencia con el último parche, introduciendo una nueva característica de seguridad que encripta las claves privadas antes de almacenarlas en la memoria del sistema, protegiendo con ello estos datos de la mayoría de ataques de tipo side-channel.

Según el desarrollador de OpenSSH Damien Miller, el nuevo parche de OpenSSH: «encripta las claves privadas cuando no están en uso mediante una clave simétrica que se deriva de una pre-clave relativamente extensa compuesta por datos aleatorios».

«Los atacantes deberían recuperar la pre-clave completa con una altísima precisión antes de intentar siquiera desencriptar la clave privada protegida. Sin embargo, la generación actual de ataques adolece de unas tasas de error en bits que, cuando se dan de forma acumulativa sobre la pre-clave, hace prácticamente imposible esta clase de ataques.»

Es necesario aclarar que esta actualización simplemente mitiga esta amenaza temporalmente y no es una solución permanente. Miller insiste en que OpenSSH elminará esta protección contra los ataques side-channel en unos años, cuando la arquitectura de los ordenadores sea menos insegura.

Más información:

OpenSSH Now Encrypts Secret Keys in Memory Against Side-Channel Attacks
https://thehackernews.com/2019/06/openssh-side-channel-vulnerability.html

Después de parchear una vulnerabilidad crítica en Firefox 67.0.3 a principios de la semana pasada, Mozilla está advirtiendo a todos sus usuarios sobre una segunda vulnerabilidad de día cero que está siendo explotada activamente en Internet.

Esta vulnerabilidad, con identificador CVE-2019-11708 consiste en una escapada del sandbox, que si se encadena con la vulnerabilidad CVE-2019-11707, una confusión de tipos, permitiría a un atacante ejecutar código arbitrario en la máquina víctima sólo con visitar una web maliciosa.

El sandbox del navegador es un mecanismo de seguridad que aisle procesos de terceras partes en el navegador, evitando que se puedan dañar otras partes del sistema operativo.

Mozilla era consciente de la primera vulnerabilidad desde Abril, cuando un investigador de Google Project Zero lo reportó a la compañía. Pero se dieron cuenta de la segunda vulnerabilidad cuando los atacantes comenzaron a explotar ambas fallas conjuntamente contra empleados de Coinbase y otros usuarios de empresas de criptomonedas.

Ayer, Patrick Wardle, un experto en seguridad en macOS, publicó un reporte revelando que otra campaña diferente contra usuarios en posesión de criptomonedas está usando el mismo día cero en Firefox para instalar malware en macOS.

En este momento no está claro si los atacantes descubrieron la primera vulnerabilidad justo a tiempo cuando fue reportada a Mozilla o ganaron acceso a reportes de bugs clasificados de otra manera.

Firefox ha liberado la versión 67.0.4 para solucionar ambas vulnerabilidades.

Más Información:

https://thehackernews.com/2019/06/firefox-0day-vulnerability.html

El investigador de seguridad Jindrich Karasek de la empresa Trend Micro publicó recientemente el descubrimiento de una botnet destinada al minado de criptomonedas que basa su infección en la herramienta ADB (Android Debug Bridge).

Según el estudio publicado, el malware que ha registrado actividad en 21 países con un foco principal de infección en Corea del Sur, se conectaba a la dirección IP 45.67.14.179, donde se encontraban los componentes necesarios para la la infección, minado y proliferación de la amenaza.

Una vez se ha llevado a cabo la infección en el dispositivo, el malware cambia el directorio del sistema a un directorio que, presumiblemente, le dote de mayores permisos “/data/local/tmp”.

Una vez ubicado en un path del sistema que le dote de mayores niveles de permisos, el sistema lleva a cabo técnicas de ‘fingerprinting’ sobre el dispositivo, para determinar si el dispositivo es válido o no para el siguiente paso.

Por último descarga el ‘script’ o ‘payload’ le asigna permisos, lo ejecuta y lo borra del sistema.

En el código se puede observar como en función del sistema huésped descargará un código para llevar a cabo la minería u otro.

Adicionalmente lleva a cabo técnicas para mejorar la eficiencia, como es cambiar el tamaño de página en memoria con el comando: “/sbin/sysctl -w vm.nr_hugepages=128”.

Por último el malware intenta llevar a cabo la propagación mediante el protocolo SSH. Cabe destacar que en algunos casos existen claves almacenadas que permiten la autenticación en otros sistemas sin llevar a cabo el uso de diccionarios ni fuerza bruta.

Más información:

Cryptocurrency-Mining Botnet Malware Arrives Through ADB and Spreads Through SSH
https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-mining-botnet-arrives-through-adb-and-spreads-through-ssh/+

La popular plataforma de videojuegos Origin utilizada por cientos de millones de personas en todo el mundo era vulnerable a múltiples fallos de seguridad que podrían haber permitido a un usuario malintencionado tomar el control de las cuentas de otros jugadores y robar datos confidenciales.

Las vulnerabilidades descubiertas por investigadores de CheckPoint y CyberInt se pueden encadenar, de manera que, se puede secuestrar la cuenta de EA de la víctima simplemente convenciéndola de que haga click en un enlace.

Explotación de la vulnerabilidad:

Para realizar este ataque, tal y como se muestra en el siguiente vídeo, los investigadores aprovecharon una vulnerabilidad no parcheada en el servicio en cloud Azure que les permitió tomar el control de uno de los subdominios de EA.

PoC:

El conocido fallo de Azure se puede explotar aprovechando que el CNAME del DNS de un dominio/subdominio apunte a la plataforma Azure pero este no se haya configurado/vinculado a una cuenta activa de este cloud, en este caso cualquier otro usuario de la plataforma puede secuestrarlo para estacionar ese subdominio en su propio host de Azure.

En la prueba de concepto, los investigadores secuestraron «eaplayinvite.ea.com» y presentaron un script en él que aprovechaba las debilidades en el inicio de sesión único (SSO) de los juegos de EA y el mecanismo TRUST.

La página web finalmente permitió a los investigadores capturar tokens secretos de SSO de los jugadores con solo convencerlos de que los visitaran en el mismo navegador web en el que ya tienen una sesión activa en el sitio web de EA y tomar sus cuentas sin requerir credenciales reales.

En el peor de los casos, los investigadores de CheckPoint dijeron que un atacante podría haber explotado estas fallas para causar daños potenciales, como obtener acceso a la información de la tarjeta de crédito de los jugadores con la capacidad de comprar de manera fraudulenta la moneda del juego en nombre de los jugadores.

CyberInt y CheckPoint informaron inmediatamente de sus hallazgos a EA Games y ayudaron a la compañía a solucionar las lagunas de seguridad para proteger a sus clientes. La firma de seguridad se hizo pública hoy con sus hallazgos, casi tres meses después de que EA abordara los problemas.

Más información:

EA Origin exploit potentially exposed 300 million users to attack
https://www.itpro.co.uk/security/33916/ea-origin-exploit-potentially-exposed-300-million-users-to-attack