Los investigadores Abhishek Anand, Chen Wang, Jian Liu, Nitesh Saxena, Yingying Chen publicaron recientemente una paper titulado «Spearphone: A Speech Privacy Exploit via Accelerometer-Sensed Reverberations from Smartphone Loudspeakers«.

El ataque que se demuestra en el paper mencionado, se ha apodado Spearphone, el cual aprovecha un sensor de movimiento llamado acelerómetro y que se encuentra en la mayoría de los dispositivos Android. En el ataque se expone que se puede acceder al acelerómetro sin restricciones por cualquier aplicación instalada en el dispositivo aunque ésta no tenga los suficientes permisos.

La clave del ataque reside en que los altavoces que vienen incorporados en los teléfonos inteligentes se colocan en la misma superficie que los sensores de movimiento integrados, lo que produce reverberaciones de voz en la superficie y áreas en el cuerpo del teléfono cuando el modo altavoz está habilitado.

Tal y como se expone en el paper, los investigadores han demostrado que el ataque se puede llevar a cabo cuando la víctima realice una llamada o videoconferencia con el modo altavoz habilitado o intenta escuchar un archivo multimedia (vídeo o archivo de audio) en modo altavoz. Es especialmente interesante que este ataque se puede realizar de igual forma cuando la víctima utiliza el asistente virtual de su teléfono.

Los investigadores afirman que el ataque de Side-Channel que presentan se puede utilizar para examinar las lecturas capturadas cuando se está offline, y utilizando el procesamiento de la señal junto con técnicas de aprendizaje automático «listas para su uso» que nos permitan reconstruir las palabras y extraer información relevante.

We proposed a novel side-channel attack that compromises the phone’s loudspeaker privacy by exploiting accelerometer’s output impacted by the emitted speech. This attack can leak information about the remote human speaker (in a voice call) and the speech that is produced by the phone’s speaker. In the proposed attack, we use off-the-shelf machine learning and signal processing techniques to analyze the impact of speech on accelerometer readings and perform gender, speaker and speec classification with a high accuracy.

Página 13 del paper, VII. Conclusion

El ataque también permitiría conocer el contenido del audio reproducido por la víctima desde la galería o por notas de voz de aplicaciones de mensajería como Whatsapp.

Como se ha hecho alusión, los investigadores también han tenido éxito al capturar la respuesta de salida de los diferentes asistentes virtuales analizados (Google Assistant y Samsung Bixby). En otras palabras, han conseguido obtener la respuesta que estos asistentes ha dado a la petición previa del usuario.

Además Spearphone también se podría emplear para identificar características de usuarios tales como su género (con un éxito del 90%) o la identificación de las personas implicadas en la conversación (con una precisión del 80%).

No obstante los investigadores también explican que existen algunas limitaciones que podría dificultar la ejecución del ataque. Algunas de estas limitaciones son la baja tasa de muestreo, la variación en el volumen máximo y la calidad de voz de los diferentes teléfonos.

Para más información, se recomienda leer el paper que han publicado los investigadores.

Manu Alén

La vulnerabilidad que ha sido identificada con el CVE-2019-6160, residía en el firmware de los productos de almacenamiento de Lenovo-EMC, también conocida como Iomega, la cual podría permitir a un usuario no autenticado acceder a archivos en recursos compartidos del NAS a través de la API, permitiendo la descarga de los mismos.

La filtración, según el informe de Vertical Structure, expone que se han filtrado aproximadamente 13 mil archivos de hoja de cálculo, con un peso estimado de 36 TB. En ellos se encontraba fundamentalmente información financiera con números de tarjetas.

Lenovo ha confirmado la vulnerabilidad a través de un comunicado, reconociendola, a continuación se detalla los dispositivos identificados ordenados por su código CPE.

cpe:2.3:o:lenovo:px12-350r_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:px12-350r:-:*:*:*:*:*:*:*

cpe:2.3:o:lenovo:ix12-300r_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:ix12-300r:-:*:*:*:*:*:*:*

cpe:2.3:o:lenovo:home_media_network_hard_drive_firmware:*:*:*:*:cloud:*:*:*

cpe:2.3:h:lenovo:home_media_network_hard_drive:-:*:*:*:*:*:*:*

cpe:2.3:o:lenovo:storcenter_ix2-200_firmware:*:*:*:*:cloud:*:*:*

cpe:2.3:h:lenovo:storcenter_ix2-200:-:*:*:*:*:*:*:*

cpe:2.3:o:lenovo:storcenter_ix4-200d_firmware:*:*:*:*:cloud:*:*:*

cpe:2.3:h:lenovo:storcenter_ix4-200d:-:*:*:*:*:*:*:*

cpe:2.3:o:lenovo:storcenter_ix2-200_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:storcenter_ix-200:-:*:*:*:*:*:*:*

cpe:2.3:o:lenovo:storcenter_ix4-200d_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:storcenter_ix4-200d:-:*:*:*:*:*:*:*

cpe:2.3:o:lenovo:storcenter_ix4-200rl_firmware:*:*:*:*:*:*:*:*

cpe:2.3:h:lenovo:storcenter_ix4-200rl:-:*:*:*:*:*:*:*

Este no es el primer escándalo que sacude a la multinacional de tecnología china, que acumula en su haber escándalos como la inclusión por defecto de malware en sus portátiles.

Pese a estar la vulnerabilidad corregida, esta se encuentra en versiones del firmware que deberá de ser actualizado por los usuarios de los dispositivos, por lo que se recomienda llevar a cabo la actualización de los mismos lo antes posible.

Referencias:

Reporte oficial de Lenovo: https://support.lenovo.com/es/es/product_security/len-25557

Investigación de Vertical Structure: https://verticalstructure.com/best-practices-in-identifying-and-remediating-vulnerabilities

Recientemente el FBI ha hecho publicas las claves maestras de uno de los ransomwares más conocidos y que más usuarios ha afectado, GandCrab.

Con la colaboración de diferentes agencias de seguridad, el FBI ha liberado finalmente las claves maestras de descifrado para las versiones 4, 5, 5.0.4, 5.1, y 5.2 de GandCrab.

Esta es una gran noticia para los usuarios afectados por este ransomware, que ahora podrán recuperar todos sus datos utilizando la herramienta de descifrado desarrollada por BitDefender y las claves publicadas.

En Junio de 2019, los desarrolladores de este ransomware anunciaron que pararían el desarrollo del ransomware y dejarían de dar soporte para las versiones activas.

En el mensaje publicado, afirman que han ganado más de 150.000 dólares al año gracias a GandCrab, y después de haber recaudado tanto dinero, daban por buena y suficiente su ganancia. Afirmaban también que para acabar con el soporte, eliminarían las claves de descifrado, haciendo imposible la recuperación de los ficheros para las víctimas que aún no hubiesen pagado el rescate.

Las claves publicadas por el FBI se tratan de las claves privadas RSA2048 con las que se pueden descifrar las claves de cifrado Salsa20 de archivos, ya que estas claves de ficheros se almacenan al final del fichero cifrado, pero cifradas usando la clave pública RSA2048.

Si eres uno de los afectados por este rasomware, puedes descargar las herramientas de descifrado de la siguiente web: https://www.nomoreransom.org/es/decryption-tools.html

Desde Hispasec, te recomendamos no abrir los emails sospechosos ni sus ficheros adjuntos para evitar infectar tu ordenador.

Más información:

Fuente FBI: https://assets.documentcloud.org/documents/6199678/GandCrab-Master-Decryption-Keys-FLASH.pdf

Fuente y claves de descifrado: https://gbhackers.com/fbi-released-master-decryption-key/

Cisco ha publicado tres actualizaciones de seguridad que solventan vulnerabilidades de impacto alto e incluso crítico para los sistemas afectados.

Las tres vulnerabilidades corregidas son las siguientes:

* CVE-2019-1920: un error en la implementación del manejo de errores para las solicitudes de autenticación de clientes en 802.11r Fast Transition para Cisco IOS Access Points. Esto podría causar una denegación de servicio (reinicio inesperado del dispositivo) ante la recepción de solicitudes de autenticación por parte de un atacante no autenticado en red adyacente.

* CVE-2019-1919: la existencia de una cuenta estática con privilegios de root en las imágenes de máquinas virtuales Cisco FindIT Network Management y Cisco FindIT Network Probe Release 1.1.4 podría permitir que un atacante local no autenticado con acceso a la consola de la máquina virtual lograse hacerse con el control del sistema afectado.

* CVE-2019-1917: un fallo de seguridad en la interfaz de la API REST de Cisco Vision Dynamic Signage Director, debida a una insuficiente validación de las solicitudes HTTP, podría permitir a un atacante remoto no autenticado eludir el sistema de autenticación en el sistema afectado y ejecutar acciones arbitrarias a través de la API REST con privilegios administrativos.

Esta última vulnerabilidad es considerada crítica, ya que la REST API se encuentra activada por defecto y no es posible deshabilitarla.

Más info:
Cisco IOS Access Points Software 802.11r Fast Transition Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-aironet-dos

Cisco FindIT Network Management Software Static Credentials Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-cfnm-statcred

Cisco Vision Dynamic Signage Director REST API Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190717-cvdsd-wmauth

Se ha confirmado una filtración relativa a los servicios de inteligencia rusos (FSB: ‘Federal Security Service’) que contiene 7,5 TB de datos secretos.

El ataque se produjo el pasado 13 de Julio por un grupo de ciberdelincuentes desconocido hasta ahora, que se hacen llamar ‘0v1ru$’, y no fue dirigido directamente al servicio de inteligencia ruso en sí, sino que fue dirigido hacia un gran contratista de los servicios de inteligencia rusos que colabora de forma activa y frecuente con ellos, SysTech. La filtración quedó confirmada cuando estos ciberdelincuentes modificaron la página web de SysTech con un emoticono que no pasaba desapercibido.

Según el medio de información ‘Forbes’ el ataque ha sido calificado como el peor ataque de la historia hacia el servicio de inteligencia ruso, ya que el botín de datos recaudados ha ascendido a los 7,5 TB. Una cantidad de datos enorme, con un valor más que añadido por la calidad de los datos, que contienen información sobre muchos proyectos secretos en los que está trabajando el FSB. Esta información ya ha sido confirmada por la BBC Rusa, la cual ha añadido también que los datos robados no contenían datos secretos de estado ni documentos gubernamentales.

Según otro medio, que ha publicado datos de la filtración, algunos de los proyectos en los que se está trabajando son los siguientes:

• Nautilus: Proyecto de recolección de datos a través de redes sociales como ‘MySpace’, ‘Facebook’ o ‘Linkedin’.
• Nautilus-S: Proyecto para desanonimizar el tráfico torificado (tráfico bajo la red Tor).
• Reward: Proyecto de xploits que afectan a las redes P2P para el espionaje de los usuarios de esta red.
• Mentor: Proyecto de monitorización y espionaje de compañías rusas a través de las comunicaciones por correo electrónico.
• Hope: Proyecto de creación de una internet ajena a la existente.
• Tax-3: Proyecto de una intranet aislada del resto de sistemas informáticos en la que se almacene los datos de personas relevantes.

La filtración de estos datos ha sido mediante un tweet de ‘DigitalRevolution’, grupo con el que han tenido contactos para la difusión de estos documentos.

Más información:

BBC: Russia is working on a Tor de-anonymization project
https://thenextweb.com/security/2019/07/22/bbc-russia-is-working-on-a-tor-de-anonymization-project/

Russia’s Secret Intelligence Agency Hacked: ‘Largest Data Breach In Its History’
https://www.forbes.com/sites/zakdoffman/2019/07/20/russian-intelligence-has-been-hacked-with-social-media-and-tor-projects-exposed/#104453ac6b11

Se ha descubierto un nuevo spyware indetectable (de momento) para la mayoría de compañías antivirus, que incluye funcionalidades poco habituales con respecto a otros malware de Linux.

Es un hecho conocido que en Linux existe menos malware que en Windows. Una de las razones de esto, son las diferencias en la arquitectura de ambos sistemas operativos, otra razón puede ser el menor uso de Linux con respecto a Windows en lo que respecta a cuota de mercado. Por ello, el malware en Linux no está tan maduro como sí lo está en el sistema operativo de Redmond.

A pesar de haberse descubierto varias vulnerabilidades críticas en algunas distribuciones de Linux, los cibercriminales no están pudiendo perpetrar importantes ataques usando dichas vulnerabilidades.

La mayor parte del malware desarrollado para Linux centra su atención en el minado de criptomonedas y en la creación de botnets para servicios de DDoS. En su mayoría, las máquinas suelen ser servidores vulnerables.

Sin embargo, investigadores de seguridad de la empresa Intezer Labs han descubierto un nuevo troyano que tiene varios módulos maliciosos para espiar a usuarios de Linux.

EvilGnome se ha diseñado para robar ficheros, tomar capturas de pantalla, capturar sonido del micrófono y la descarga y ejecución de otros binarios.

Según Intezer Labs, la muestra fue descubierta en VirusTotal y tenía módulos aun sin terminar, lo que indica que estaba aun en fase de desarrollo.

EvilGnome se distribuye en forma de script en shell autoextraible, creado con la utilidad ‘makeself‘. Y se disfraza como una extensión de GNOME para pasar desapercibido, según los investigadores.

La persistencia se logra mediante la instalación de una tarea en el crontab del usuario, que se lanza cada minuto y toda la información robada se envía a un servidor remoto controlado por el atacante.

EvilGnome contiene al menos cinco módulos maliciosos:

• ShooterSound — este módulo usa PulseAudio para capturar audio del micrófono del usuario y subirlo al servidor C2.
• ShooterImage — este otro usa la librería Cairo para hacer capturas de pantalla y subirlas al servidor del atacante.
• ShooterFile — este módulo busca en el disco duro de la víctima ficheros de reciente creación y los sube al servidor C2 si cumplen una regla.
• ShooterPing — con este módulo se reciben órdenes del servidor C2
• ShooterKey — es un keylogger incompleto, este módulo aun no tiene uso.

Todos ellos cifran la información antes de remitirla al servidor C2. Las órdenes del C&C están cifradas con la clave RC5 «sdg62_AS.sa$die3,».

Los investigadores de Intezer Labs afirman que existe relación entre EvilGnome y el grupo APT Gamaredon Group. Las evidencias que según ellos lo demuestran son:

• El ISP usado por EvilGnome es el mismo que el usado por Gamaredon.
• Las operaciones de EvilGnome se llevan a cabo en la misma dirección IP que el grupo Gamaredon usó dos meses atrás.
• EvilGnome usa dominios de tipo ‘.space’, igual que Gamaredon.
• EvilGnome usa técnicas y módulos que recuerdan a las herramientas ya existentes del grupo Gamaredon para Windows.

Más Información:

https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/

https://thehackernews.com/2019/07/linux-gnome-spyware.html

ProFTPD se trata de una de las aplicaciones FTP de código abierto más famosas que existen. Actualmente corre en más de un millón de servidores en todo el mundo. La vulnerabilidad permite la copia arbitraria de archivos saltándose las restricciones en cuanto a permisos de escritura se refiere.

La vulnerabilidad ha sido clasificada con el CVE-2019-12815 y, pese a que el fabricante reporta que las versiones afectadas sólo llegan hasta la 1.3.5b, el investigador que ha descubierto el fallo, Tobias Mädel, afirma en su web que la vulnerabilidad afecta también a la versión 1.3.6.

La vulnerabilidad reside en el módulo mod_copy de la aplicación. Se trata de un componente del código encargado de gestionar la copia de archivos de un directorio a otro sin devolver los datos de nuevo al cliente. Según el investigador alemán, un manejo incorrecto de los controles de acceso por parte del módulo es lo que permite que un usuario autenticado pueda copiar archivos a directorios del servidor FTP donde no tiene permisos de escritura.

Adicionalmente, el investigador reporta que en algunos escenarios, la vulnerabilidad puede conducir a ejecución remota de código o a filtración de información sensible. Sin embargo, las condiciones en las que puede producirse una ejecución de código son extremadamente situacionales, poco comunes e involucran, entre otras cosas, la existencia de un entorno que ejecute código PHP y la posibilidad de tener permisos de escritura previos en algún directorio del servidor.

Es importante recordar que, aunque el módulo afectado es un componente que viene por defecto en todas las versiones de ProFTPD y, por ende, afecta potencialmente a un número muy elevado de servidores, la vulnerabilidad requiere un inicio de sesión exitoso para ser explotada. Esto es, sólo un usuario legítimamente autenticado puede aprovechar este fallo de seguridad.

El investigador comenta que la vulnerabilidad fue reportada hace más de nueves meses, pero los desarrolladores encargados del mantenimiento de la aplicación open source no han proporcionado respuesta alguna ante sus avisos. Por otro lado, ProFTPD ya adolecía de una vulnerabilidad similar reportada en 2015 que afectaba a la versión 1.3.5.

Las versiones anteriores a 1.3.6 ya tienen un parche de seguridad oficial para mitigar la vulnerabilidad, no así la versión 1.3.6, para la que el investigador recomienda, como mitigación temporal, deshabilitar el módulo mod_copy en sus servidores en su archivo de configuración, hasta que los desarrolladores encargados del proyecto liberen el parche oficial.

El investigador de seguridad Sam Jadali descubre como numerosas extensiones de Chrome y Firefox están robando información privada de sus usuarios.

Según su investigación, varias extensiones de Chrome y Firefox han estado extrayendo información de navegación de millones de usuarios y de al menos 45 grandes compañías.

Apodadas en su conjunto como «DataSpii» por Jadali y su equipo, estas extensiones recolectan datos de las URLs visitadas además de información privada de ámbito corporativo relacionada con compañías como Amazon, Skype y Apple entre otras. La lista completa se puede consultar en el reporte de Jadali.

Las 8 extensiones maliciosas usadas son:

• Branded Surveys (Chrome)
• FairShare Unlock (Chrome y Firefox)
• HoverZoom (Chrome)
• Panel Community Surveys (Chrome)
• PanelMeasurement (Chrome
• SaveFrom.net Helper (Firefox)
• SpeakIt! (Chrome)
• SuperZoom (Chrome y Firefox)

Después de que el equipo de Jadali reportase las extensiones, éstas fueron eliminadas del repositorio de addons de ambos navegadores. Sin embargo, dichas extensiones continúan recabando información de los usuarios, a pesar de que ya han sido retiradas.

Cada extensión rastrea la información de manera diferente y usando tácticas de ocultación varias para ofuscar la recolección de datos. La información de los usuarios era vendida finalmente a terceras partes en un proceso que se detalla en el siguiente diagrama:

Jadali y su equipo también han notificado a todas aquellas compañías cuyos datos se han filtrado ya que dicha información incluye nombres de empleados, direcciones, tarjetas de crédito, contraseñas, números PIN, acceso a ficheros almacenados en la nube, historiales médicos, etc.

Para solucionar el problema y evitar el espionaje, se recomienda desinstalar las extensiones a la mayor brevedad posible.

Más Información:

https://securitywithsam.com/

https://lifehacker.com/uninstall-these-eight-browser-extensions-that-stole-dat-1836539093

https://computerhoy.com/noticias/tecnologia/tienes-estas-8-extensiones-chrome-firefox-te-estan-robando-datos-desinstalalas-459917

Esta no es una noticia sobre una nueva vulnerabilidad como estamos acostumbrados, sino sobre los medios, el sector de la seguridad y la falta de rigor. VLC, uno de los reproductores más populares, se ha visto sumido en una campaña de desprestigio solicitando su desinstalación por un fallo ya parcheado desde hace más de un año.

La vulnerabilidad de la disputa se encuentra en la biblioteca libebml, encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.

La razón por la que el analista de seguridad que «redescubrió» la vulnerabilidad pudo reproducirla se debe a que estaba usando una versión sin soporte de Ubuntu. En vez de contrastar si su versión era la última y qué versiones eran vulnerables, abrió un reporte por el canal incorrecto, notificándose en el bugtracker de VLC en vez de por el email privado de seguridad preparado para ello. Debido a que el fallo no era reproducible en sistemas actualizados y a la falta de información, el reporte no pudo tratarse.

Al mismo tiempo, MITRE abría un CVE para la vulnerabilidad sin contactar con el equipo de VLC a pesar de violar sus propias políticas, y por si fuera poco NVD no respondía a las peticiones de VLC solicitando que se corrigiera la información del CVE. La vulnerabilidad recibió además la puntuación de 9.8 (crítica) siendo la correcta 5.5 (ya corregida).

La prensa en vez de contrastar o comprobar en qué consistía el fallo se apresuró a publicar noticias alarmistas por la vulnerabilidad, siendo el detonante la escrita en Gizmodo con título «You Might Want to Uninstall VLC. Immediately». Por supuesto, otros medios se hicieron eco de la noticia con titulares del mismo tipo.

Los medios ya están actualizando las noticias publicadas, pero el daño ya está hecho. La reputación de VLC se ha visto dañada, y muchos usuarios habrán desinstalado el reproductor a pesar de no existir riesgo en la actualidad.

Más información:

A thread written by @videolan:
https://threader.app/thread/1153963312981389312

En los últimos días se ha detectado en Hispasec un nuevo troyano bancario que utiliza una extensión de Chrome para robar las credenciales de acceso bancario.

El pasado 23 de julio llegó a los sistemas de detección y análisis de malware de Hispasec una nueva muestra de troyano bancario que utiliza un nuevo esquema para el robo de datos bancarios.

Este nuevo esquema de funcionamiento incluye dos componentes principales:

• Configuración de un proxy malicioso en la configuración del sistema operativo.
• Uso de una extensión maliciosa para el navegador Google Chrome que se encarga de redirigir las peticiones a las páginas web que alojan el phishing bancario.

Infección

La infección se lleva a cabo a través de un script para «wscript», que actua de ‘dropper‘, y cuyo código se encuentra muy ofuscado. Este script es el encargado de instalar los dos componentes necesarios.

En primer lugar configura el sistema para utilizar un servidor proxy malicioso que se encargará de resolver y responder las peticiones realizadas a la web de phishing.

Como se puede observar en la imagen, el script modifica el valor del registro «AutoConfigURL» para la configuración de Internet, lo que permite no solo configurar un proxy malicioso en el equipo, sino también mantener actualizada la dirección IP del proxy a utilizar.

A continuación, el script descarga un fichero comprimido en formato ZIP que contiene la extensión maliciosa para Google Chrome y un instalador legítimo de Google Chrome Canary.

Una vez descargado el ZIP, lo descomprime e inicia el instalador de Google Chrome, sin importar si ya existe una versión de Google Chrome instalada en el equipo. Una vez instalado y configurado el navegador, se configura como navegador predeterminado.

Robo de Credenciales

En este momento, entra en juego la extensión maliciosa, que solicita al navegador permisos para interceptar las peticiones web a los dominios de las entidades bancarias afectadas y bloquearlas.

Con estos permisos, la extensión puede detectar el acceso por parte del usuario a la web del banco, y redirigir la petición a otra URL en la que se aloja la web de phishing para robar las credenciales de acceso.

Como podemos apreciar, las redirecciones para cada entidad se realizan a subdominios «ww«, en lugar del habitual «www«. Esto reduce la posibilidad de que el usuario detecte que no se trata del dominio habitual.

Estos subdominios no se encuentran en uso, por lo que será el servidor proxy malicioso el encargado de resolver los nombres de dominio y responder con el contenido de la web de phishing.

Entidades afectadas

Las entidades afectadas por este troyano bancario son entidades de Latinoamérica, entre las que se encuentran BBVA, Banco Santander, BCI o Scotia Bank.

Conclusiones

Tras el análisis realizado por el equipo de análisis de malware de Hispasec, podemos ver que se trata de un nuevo esquema de funcionamiento de troyano bancario. Si bien es cierto que existen troyanos conocidos como «ProxyChanger» que modifican la configuración del sistema para añadir un proxy malicioso que se encargue del robo de datos, en este caso se introduce un componente adicional como es la extensión de Google Chrome que apoya el ataque y lo hace efectivo.

Este tipo de ataques, permiten pasar más desapercibidos, puesto que los motores antivirus no están suficientemente preparados para la detección de extensiones maliciosas para el navegador, además de hacer el ataque más difícil de identificar por parte del usuario.

Aunque el código del dropper se encuentra muy ofuscado, no ocurre lo mismo con el código de la extensión. Además, la funcionalidad de la extensión es bastante simple y se limita a realizar una redirección hacia un subdominio que pasará desapercibido para el usuario. Esto nos invita a pensar que se trata de una primera versión del malware, y que en el futuro podríamos encontrar nuevas versiones más complejas e incluso versiones que afecten a nuevas entidades bancarias más allá de Latinoamérica.

IOCs

Si desea más información sobre el troyano, como los indicadores de compromiso o los hash de las muestras, contacte con nuestro departamento de malware escribiendo un correo electronico a: malwaredept@hispasec.com

El grupo iraní APT34/OilRig, también conocido como OilRig, HelixKitten o GreenBug, ha lanzado una nueva campaña de phishing contra el sector energético, petrolero y de gas, además de entidades gubernamentales.

APT34 es un grupo iraní dedicado al ciberespionaje que lleva activo desde, al menos, 2014. Usan una combinación de herramientas públicas y no públicas para la recolección de información estratégica que beneficiaría los intereses de los estados nacionales relacionados con sus necesidades geopolíticas y económicas.

La campaña fue descubierta el pasado junio por investigadores de FireEye. Los atacantes se hicieron pasar por personal de la universidad de Cambridge para ganarse la confianza de las víctimas y que éstas abriesen los documentos infectados.

El SOC de FireEye analizó la alerta e identificó el archivo malicioso System.doc, que, a pesar de tener la extensión .doc, es un archivo ejecutable ubicado en C: \ Users \ <Nombre de usuario> \ .templates. FireEye identificó esta familia de malware como Tonedeaf.

Según el informe de FireEye, OilRig ha actualizado su cinturón de herramientas y ha añadido tres nuevas familias de malware: Tonedeaf, Valuevault y Longwatch. También se identificó una variante de Pickpocket, una herramienta de robo de credenciales del navegador que vuelca las credenciales de inicio de sesión guardadas en Chrome, Firefox e Internet Explorer en un archivo.

Tonedeaf es un backdoor que recolecta información del sistema. Puede cargar, descargar archivos y ejecutar comandos de shell. Se comunica con un servidor C&C utilizando las solicitudes HTTP GET y POST. En la campaña reciente el malware se distribuyó a través de un mensaje de LinkedIn en un archivo .xls infectado llamado ERFT-Details.xls. La hoja de cálculo creó un archivo ejecutable en el sistema y programó una tarea llamada «comprobación de actualización de windows» que ejecuta el archivo C: \ Users \ <Nombre de Usuario> \ .templates \ System Manager.exe cada minuto. Al cerrar la hoja de cálculo una función final renombrará el archivo System.doc a System Manager.exe.

Además, se detectaron otras familias nuevas que se conectaban al mismo dominio (offlineearthquake [.]com).

Valuevault es una versión de la herramienta de robo de credenciales del navegador de Windows Vault Password Dumper. Mantiene la misma funcionalidad que la herramienta original al permitir extraer las contraseñas guardadas en el almacén de windows, llamar a PowerShell para extraer el historial de navegación del navegador y comparar las contraseñas del navegador con los sitios visitados.

Longwatch es un keylogger que guarda un archivo log.txt en la carpeta temporal de Windows.

Fuente: FireEye

Los habitantes de Johannesburg, la ciudad mas poblada de sudáfrica, se quedaron sin suministro eléctrico después del ataque a la compañía eléctrica debido a un virus de tipo ransom.

La compañía responsable del suministro eléctrico de esta ciudad confirmó vía twitter que durante ese día fueron atacados por un ransomware que cifró todas sus bases de datos, aplicaciones y redes.

El ataque impedió que los clientes prepago no pudieran hacer compras, subir facturas durante el proceso de pago, o acceder a la web oficial de la compañía.

La compañía eléctrica aseguró en un comunicado que ninguna información relativa a sus clientes se ha visto comprometida en el ataque.

A día de hoy la compañía ha solventado los problemas de suministro en la mayor parte del territorio de la ciudad y en sus sistemas y aplicaciones críticas, incluyendo el sistema de compra de electricidad prepago.

Sin embargo, el sitio web encargado de registrar incidencias en la red eléctrica no funciona aun correctamente. La compañía está solicitando a sus clientes que hagan este trámite por teléfono.

Dependiendo del tipo y la severidad de este ciberataque, la restauración de todos los servicios podría llevar semanas.

El alcalde de la ciudad no ha detallado qué tipo de ransomware es el que ha infectado a sus infraestructuras o si la compañía tiene copias de seguridad de los ficheros cifrados por el virus.

Este ataque se suma a otros ocurridos el pasado mes en dos ciudades de Florida y que finalmente causaron el pago de ambos rescates en su totalidad; unos 600.000$ para la ciudad de Riviera Beach y 500.000$ en Lake City.

No obstante, autoridades federales y expertos en ciberseguridad recomiendan no pagar nunca los rescates porque animan a los cibercriminales y por que no hay garantías de que todos los ficheros sean restaurados.

Mucho mas efectivo que pagar los rescates, es considerar una solución robusta para las copias de seguridad.

Más Información:

https://www.lcfla.com/community/page/press-release-cyber-attack

https://twitter.com/CityPowerJhb/status/1154277777950093313

https://thehackernews.com/2019/06/florida-ransomware-attack.html

Una nueva versión del troyano TrickBot incluye novedosas técnicas de evasión para prevenir su detección y eliminación. En esta última versión, TrickBot apunta a Windows Defender, el antivirus por defecto en sistemas Windows 10 y en muchos casos, el único que los usuarios tienen instalado en su equipo. Así, TrickBot, que empezó como un troyano bancario, ha conseguido mediante actualizaciones constantes convertirse en una amenaza con propósitos múltiples la cual permite el robo de información sensible de aplicaciones, enviar spam, así como ejecutar distintos tipos de malware en ordenadores infectados.

TrickBot es un troyano bancario que se centra en el robo de las credenciales bancarias, monederos de criptomonedas, información de los navegadores u otras credenciales que se encuentren en los ordenadores de los usuarios y sus navegadores.

Cuando TrickBot se ejecuta, en primer lugar inicia un «cargador» que prepara el sistema al deshabilitar los servicios y procesos de Windows encargados de la seguridad del software, tras lo que inicia una elevación de privilegios en el sistema. Una vez completada esta tarea, dará comienzo el paso «clave»: la inyección de una DLL que descargará el resto de módulos usados para llevar a cabo las diferentes tareas, como el robo de información del ordenador. Esta inyección refleja una nueva colaboración con IcedID (otro troyano bancario que apareció en 2017): en lugar de competir, TrickBot ha buscado fortalecer la relación con otros cibercriminales para lograr un mayor alcance y efectividad en su ataque.

Como novedad, TrickBot ahora incluye la funcionalidad de «Cookie Grabber» en un módulo a parte, lo que permite a los atacantes su manipulación de manera independiente a otros componentes y formas de robo de información del troyano.

Versiones anteriores de TrickBot, seguían un procedimiento más básico para desactivar las protecciones de Windows Defender:

1. Deshabilitar y borrar el servicio WinDefend.
2. Matar los procesos MsMPEng.exe, MSASCuiL.exe, y MSASCui.exe.
3. Añadir y habilitar la política de Windows «DisableAntiSpyware» para deshabilitar Windows Defender y otros softwares.
4. Deshabilitar las notificaciones de Windows Security.
5. Deshabilitar la protección en tiempo real de Windows Defender.

En la nueva muestra descubierta por los investigadores de seguridad de MalwareHunterTeam y Vitali Kremez, quienes realizaron ingeniería inversa sobre la versión, se puede ver que el troyano ha añadido funciones que dan un paso más en la desactivación de Windows Defender.

TrickBot ha añadido 12 métodos adicionales para atacar a Windows Defender y Microsoft Defender ATP en Windows. Estos métodos utilizan, o bien la configuración de Registro, o el comando de PowerShell Set-MpPreferene para configurar las características de Windows Defender.

Estos nuevos métodos llevan a cabo las siguientes funciones, la mayoría de las cuales (si no todas) se pueden bloquear si TamperProteciton se encuentra activo:

• Añadir políticas en SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection en los siguientes casos:
  • DisableBehaviorMonitoring: deshabilita la monitorización de acciones de Windows Defender.
  • DisableOnAccessProtection: deshabilita el escaneo al abrir un programa o archivo.
  • DisableScanOnRealtimeEnalbe: deshabilita el proceso de escaneo.
• Configurar las siguientes características de Windows Defender a través de PowerShell:
  • DisableRealtimeMonitoring: deshabilita el escaneo en tiempo real.
  • DisableBehaviorMonitoring: lo mismo que el anterior, solo que en el caso de Windows Defender.
  • DisableBlockAtFirstSeen: deshabilita la protección en la nube de Windows Defender.
  • DisableOAVProtection: deshabilita el escaneo de los archivos y ficheros descargados.
  • DisablePrivacyMode: deshabilita el modo privado de manera que todos los usuarios puedan ver el historial de amenazas.
  • DisableIntrusionPreventionSystem: deshabilita la protección de red para exploits de vulnerabilidades conocidas.
  • DisableScriptScanning: deshabilita el escaneo de scripts.
  • SevereThreatDefaultAction: configura el valor de esta función en 6, lo cual desactiva la respuesta automática ante amenazas severas.
  • LowThreatDefaultAction: configura el valor de esta función en 6, lo cual desactiva la respuesta automática ante amenazas severas.
  • ModerateThreatDefaultAction: configura el valor de esta función en 6, lo cual desactiva la respuesta automática ante amenazas moderadas.

Cuando TrickBot detecte que ciertos programas de seguridad están instalados, configurará un debugger para ese proceso utilizando la clave en el Registro de Windows «Opciones de Ejecución de Archivos de Imagen» (IFEO). Esto provoca que el debugger sea ejecutado antes que el programa, y si el debugger no existe, el programa que se pretende ejecutar fallará. En esta versión el nombre del proceso usado como debugger se ha cambiado a «kakugulykau», lo que causará que los programas no se ejecuten. Los programas que tienen un IFEO debugger configurado son:

• MBAMService
• SAVService
• SavService.exe
• AlMon.exe
• SophosFS.exe
• ALsvc.exe
• Clean.exe
• SAVAdminService.exe

Una de las formas en las que esta nueva versión de TrickBot se distribuye es a través de una página falsa de descarga de Office 365, la cual parece un sitio web totalmente legítimo de Microsoft; sus links incluso redireccionan a la página oficial de Microsoft. Sin embargo, tras esperar unos segundos el sitio web lanzará un mensaje indicando que nuestro navegador (Chrome y/o Firefox) necesita ser actualizado. Esta alerta difiere ligeramente según el navegador que utilicemos.

Como conclusión, recomendar a los usuarios verificar siempre las fuentes antes de realizar cualquier descarga y/o actualización.

Más información:

New TrickBot Version Focuses on Microsoft’s Windows Defender https://www.bleepingcomputer.com/news/security/new-trickbot-version-focuses-on-microsofts-windows-defender/

Trickbot Trojan Gets IcedID Proxy Module to Steal Banking Info https://www.bleepingcomputer.com/news/security/trickbot-trojan-gets-icedid-proxy-module-to-steal-banking-info/

Trickbot Trojan Now Has a Separate Cookie Stealing Module https://www.bleepingcomputer.com/news/security/trickbot-trojan-now-has-a-separate-cookie-stealing-module/

Fake Office 365 Site Pushes Trickbot Trojan as Browser Update https://www.bleepingcomputer.com/news/security/fake-office-365-site-pushes-trickbot-trojan-as-browser-update/

Los investigadores han publicado finalmente pruebas de concepto detalladas de exploits que podrían aprovechar de forma remota vulnerabilidades existentes en el código de iOS de Apple a través de un mensaje especialmente elaborado y enviado vía iMessage.

Según las pruebas de concepto, la explotación de algunas de estas vulnerabilidades no requeriría de intervención alguna por parte del usuario, lo que eleva la clasificación del riesgo de estas brechas. Todas fueron reportadas a Apple por Samuel Gross y Natalie Silvanovich, miembros de Project Zero. La compañía parcheó las vulnerabilidades la semana pasada con su actualización 12.4 para iOS.

De esas vulnerabilidades descubiertas, al menos cuatro no requieren de intervención alguna del usuario y tendrían que ver con fallos de corrupción de memoria que tienen lugar cuando se intenta acceder a la misma una vez ha quedado liberada. Este fallo podría, según los investigadores, permitir la ejecución de código arbitrario en aquellos dispositivos iOS afectados.

Los investigadores, sin embargo, aún no han publicado todas las vulnerabilidades descubiertas. Dado que una de ellas (CVE-2019-8641) no ha sido mitigada en la última actualización, el equipo de Project Zero ha decidido mantenerla en privado por ahora.

Otra de las vulnerabilidades, catalogada como CVE-2019-8646, responde a un fallo de tipo ‘lectura fuera de límites’ que puede ser aprovechado de forma remota simplemente mediante el envío de un mensaje vía iMessage. Pero, en vez de la ejecución de código arbitrario, este fallo permite la lectura del contenido de archivos guardados en el dispositivo iOS de la víctima, gracias a la filtración de memoria.

A continuación enumeramos las vulnerabilidades publicadas y los enlaces asociados a cada una de ellas:

• CVE-2019-8647 (Ejecución remota de código vía iMessage)
• CVE-2019-8662 (Ejecución remota de código vía iMessage)
• CVE-2019-8660 (Ejecución remota de código vía iMessage)
• CVE-2019-8646 (Lectura de archivos vía iMessage)

Dado que ya han sido publicadas pruebas de concepto que explotan con éxito estos fallos, es muy recomendable la actualización de todos los dispositivos iOS, ya sean iPhone, iPad o iPod a la última actualización para iOS 12.4.

Más información:

• https://www.engadget.com/2019/07/30/google-project-zero-ios-interactionless-vulnerabilities-apple/?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuZ29vZ2xlLmNvbS8&guce_referrer_sig=AQAAAG_6X5j__LTA9AIJmYBQv2sM279J3ew13h38CpRRA_mNLCBoaczV_ZQOjZp70T_j76Gqv_RxCfROx6cQYyS1U3ApWSpdat6TRmE7ZySdz3jgvDZ_gCXEq4ubPr5uea9BfIkL9sw-FzCrkOzlBqHeZ90uQdV6eQpuosMqUcAJPmAU
• https://www.zdnet.com/article/google-researchers-disclose-vulnerabilities-for-interactionless-ios-attacks/
• https://thehackernews.com/2019/07/apple-ios-vulnerabilities.html

ElasticSearch, un motor de análisis con el que se pueden realizar búsquedas muy rápidas, escrito en Java y partícipe de la filosofía del desarrollo de código abierto, se ha convertido en uno de los objetivos de los cibercriminales en la actualidad debido al aumento de su popularidad. Recientemente se ha descubierto una nueva vulnerabilidad que compromete su funcionamiento: la transformación de sus bases de datos en botnets destinadas a realizar ataques de denegación de servicios distribuidos (DDoS). Este ataque es realizado a partir del malware Setag, con trazas del malware BillGates, descubierto por primera vez en 2014.

Para llevar a cabo el ataque, el malware se aprovecha de las bases de datos o servidores de ElasticSearch que, o bien son públicos, o han sido expuestos. El ataque es realizado en dos fases diferentes:

1ª FASE: el dropper ejecuta el script s67.sh, el cual define qué shell usar y dónde encontrarla, tratando posteriormente de deshabilitar el firewall. Se descargará entonces un segundo script (s66.sh) usando el comando curl (o wget en caso de que el comando curl no funcione).

2ª FASE: el segundo script descargado también define qué shell usar y deshabilita el firewall del sistema. En cambio, este script eliminará algunos archivos posiblemente relacionados con la minería de criptomonedas, así como otros de configuración almacenados en el directorio /tmp. Después el script matará algunos de estos procesos que tienen que ver con la minería de criptomonedas, entre otros. El siguiente paso será eliminar los rastros de la infección inicial y matar procesos que tienen lugar en puertos TCP. En esta segunda etapa también se descargan los binarios.

Los atacantes hacen uso de dominios desechables, ya que éstos permiten cambiar las URLs cuando son detectadas. Además, el uso de sitios web comprometidos también permite al atacante evadir cierto tipo de detecciones. Estas páginas web comprometidas contienen el payload a descargar.

En cuanto a los binarios, Trend Micro detectó una backdoor variable que roba información sobre el sistema y que tiene la capacidad de iniciar ataques DDoS. Estas muestras contienen rasgos característicos del malware BillGates, aparecido por primera vez en 2014 y conocido por provocar secuestros de sistemas y ataques DDoS, funcionalidades que también se encuentran en Setag. El payload cuenta con código que previene acciones de debugging y además revisa si el archivo ha sido manipulado. Este malware también reemplaza las herramientas de sistema afectadas con una copia propia y las transfiere al directorio /usr/bin/dpkgd. Para lograr la persistencia se ejecuta un script que crea una copia de sí mismo en las siguientes rutas:

• /etc/rc{1-5}.d/S97DbSecuritySpt
• /etc/rc{1-5}.d/S99selinux
• /etc/init.d/selinux
• /etc/init.d/DbSecuritySpt

Como conclusión, se recomienda a cualquier empresa que use ElasticSearch que esté al tanto de las posibles vulnerabilidades que vayan apareciendo, y que de la misma forma implementen el parche publicado por ElasticSearch para solucionar el problema actual.

Más información

Multistage Attack Delivers BillGates/Setag Backdoor, Can Turn Elasticsearch Databases into DDoS Botnet ‘Zombies’

New malware attack turns Elasticsearch databases into DDoS botnet

¿Qué es y cómo funciona Elasticsearch?

Se ha descubierto una vulnerabilidad grave en LibreOffice que aún no ha sido reparada y que permitiría la ejecución de código para la instalación de malware en el sistema tan pronto como se abra un archivo de documento creado con fines malintencionados.

Siendo una de las alternativas de código abierto más populares a la suite ofimática de Microsoft, LibreOffice está disponible para sistemas Windows, Linux y macOS.

A principios de julio, LibreOffice lanzó la versión 6.2.5, que aborda dos vulnerabilidades graves (CVE-2019-9848 y CVE-2019-9849). Sin embargo, según afirma el investigador de seguridad Alex Inführ, el parche para la primera vulnerabilidad ha sido omitido.

La vulnerabilidad CVE-2019-9848, que aún existe en la versión más reciente, está relacionada con LibreLogo, un script de gráficos vectoriales que se envía de forma predeterminada con LibreOffice. Este script permite a los usuarios indicar qué scripts preinstalados en el documento se pueden ejecutar en varios eventos, como el mouse-over. Fue descubierta por Nils Emmerich, que describió cómo la falla podría permitir a un atacante crear un documento malicioso que pudiera ejecutar de forma oculta comandos arbitrarios de Python sin mostrar ninguna advertencia al usuario objetivo. El principal problema reside en que el código no es traducido correctamente pero proporciona una secuencia de comandos en Python similar al código del script legítimo. Al usar formularios y el evento OnFocus, se podría forzar la ejecución del código al abrirse el documento sin la necesidad de que se generase el evento con el ratón. Emmerich lanzó una prueba de concepto para este ataque en su blog.

La vulnerabilidad CVE-2019-9849, que se puede resolver instalando la última actualización disponible, podría permitir la inclusión de contenido arbitrario remoto dentro de un documento, incluso con el «modo oculto» habilitado. Pese a que el modo oculto no está habilitado de forma predeterminada, los usuarios pueden activarlo para restringir solo a ubicaciones de confianza los recursos remotos que pueden emplear los documentos para recuperar datos.

Inführ ya ha notificado al equipo de LibreOffice el problema de la omisión, pero hasta que el equipo libere un nuevo parche para corregirla se recomienda a los usuarios actualizar o reinstalar el software sin macros o al menos sin el componente LibreLogo. Para ello se deben seguir los siguiente pasos:

• Abrir la Configuración para iniciar la instalación.
• Seleccionar la instalación «Personalizada».
• Seleccionar «Componentes opcionales».
• Desactivar «LibreLogo» seleccionando la opción «Esta función no estará disponible».
• Pulsar en «Siguiente» e instalar el software.

Más información:

• Just Opening A Document in LibreOffice Can Hack Your Computer, en The Hacker News.
• Vulnerabilidad CVE-2019-9848, en INCIBE-CERT.
• Vulnerabilidad CVE-2019-9849, en INCIBE-CERT.

Se ha descubierto que FaceApp, la aplicación de transformación de fotos con tecnología de inteligencia artificial que recientemente se volvió viral por su filtro de edad pero que llegó a los titulares porsu controvertida política de privacidad, recopila la lista de tus amigos de Facebook sin ningún motivo.

FaceApp, de fabricación rusa, ha existido desde la primavera de 2017, pero tomó las redes sociales por sorpresa en el transcurso de las últimas semanas, ya que millones de personas descargaron la aplicación para ver cómo se verían cuando fueran mayores o menores, o intercambiaran géneros.

La aplicación también contiene una función que permite a los usuarios descargar y editar fotos de sus cuentas de Facebook, que solo funciona cuando un usuario habilita a FaceApp para acceder a la cuenta de la famosa red social a través de la opción ‘Iniciar sesión con Facebook’. Al aceptar este acceso, la aplicación obtiene la lista de amigos de Facebook del usuario.

Es importante resaltar que si no hacemos el login en Facebook, Faceapp no tiene permisos para acceder a esta información tal y como podemos ver en el análisis de la app realizado en Koodous.

https://koodous.com/apks/9349f609293505f274bf1e6ba20ea74473d39889cf815fe3a11fa64e531c5817/analysis

Algunos investigadores han contactado con el CEO de FaceApp, Yaroslav Goncharov, preguntando sobre ese polémico permiso. Este, al ser contactado, comentó que se iba a usar para una característica denominada «Social Stylist» que finalmente se canceló, pero la app sigue pidiendo el permiso en cuestión.

No es la primera vez que esta aplicación ha dado motivos para desconfiar en temas relacionados con la privacidad. A los pocos días de volverse viral, los medios de comunicación se hicieron eco de la política de privacidad expresada libremente por la app especificada, que al uso de la aplicación otorga una licencia «perpetua» sobre las fotos del usuario, lo que le permite usar su imagen y nombre para cualquier propósito sin su consentimiento, incluso a pesar de eliminar las fotos.

Además de esto, durante el mismo tiempo, surgió la preocupación de que la aplicación no solo accediera a las fotos enviadas por los usuarios, sino que también tomara todo el rollo de cámara de los teléfonos de los usuarios.

Desde Hispasec, recomendamos NO USAR una aplicación tan poco fiable en cuestiones de privacidad. En caso de usarla, recomendamos no dar ningún permiso adicional a los que ya trae por defecto.

Más información:

FaceApp unnecessarily accessing your Facebook Friends List?
https://www.cisomag.com/faceapp-unnecessarily-accessing-your-facebook-friends-list/

Avira Software Updater es una herramienta diseñada para actualizar automáticamente todos los programas, aplicaciones y controladores instalados en el ordenador, tanto aquellos pertenecientes a Microsoft Windows como de terceros, siempre que exista actualizaciones disponibles con el objetivo de mantener la seguridad del sistema. Software Updater puede ser descargado gratuitamente desde la página oficial de Avira y también se encuentra incluido en la suite Avira Free Security Suite.

Los investigadores de Tempest Security, una empresa brasileña de seguridad IT, descubrieron que el servicio ‘Avira.SoftwareUpdater’ -que se ejecuta con privilegios de SYSTEM- accede a un directorio (‘C:\ProgramData\Avira\SoftwareUpdater\’) que resulta accesible para cualquier usuario del sistema independientemente de sus niveles de privilegios, así como los ficheros que contiene (como por ejemplo ‘SwuConfig.json’). Esto supone un fallo de seguridad que podría permitir una elevación de privilegios a cualquier usuario del sistema.

Para aprovechar esta vulnerabilidad crearon un enlace simbólico del Administrador de objetos llamado ‘SwuConfig.json’ apuntando a un archivo arbitrario (en concreto al archivo ‘C:\Windows\system32\api-ms-win-core-fibras-l1–1–1.dll’), y un punto de montaje NTFS dentro de ‘C:\ProgramData\Avira’ con el nombre ‘SoftwareUpdater’ (dado que existe un directorio con este nombre, se debe cambiar el nombre antes de la explotación para que el punto de montaje sea creado sin provocar errores). Este punto de montaje NTFS debe ser configurado para que se consulte el enlace simbólico ‘SwuConfig.json’ creado previamente.

En este punto, al ejecutar Software Updater se creará el fichero DLL con todos los permisos posibles en el directorio elegido, siendo posible sobrescribir su contenido con código arbitrario. Dicho código será ejecutado la próxima vez que se lance Avira Software Updater, heredando los privilegios del proceso que lo importó (privilegios de SYSTEM).

El equipo de Tempest Security, descubrió y reportó este fallo de seguridad a Avira el pasado mes de abril, fecha en la que se le asignó el identificador CVE-2019–11396. Sin embargo, los detalles no se han hecho públicos hasta ahora para permitir a la empresa corregir la vulnerabilidad y dar tiempo a los usuarios a actualizar.

Se ha comprobado que la versión 2.0.6.13175 es vulnerable aunque no se descarta que otras versiones puedan estar también afectadas. Actualmente la última versión de Software Updater es la 2.0.6.17105, en la que ya se ha corregido el fallo de seguridad.

Más información:

Vulnerabilidade no Avira Security Suite pode levar à escalação de privilégios no Windows
https://medium.com/sidechannel-br/vulnerabilidade-no-avira-security-suite-pode-levar-%C3%A0-escala%C3%A7%C3%A3o-de-privil%C3%A9gios-no-windows-71964236c077

Avira Free Security Suite
https://www.avira.com/es/free-security-suite

Avira Software Updater para Windows
https://www.avira.com/es/software-updater

Se han publicado un total de 4 vulnerabilidades en Django que afectan a las versiones 2.2, 2.1 y 1.11 las cuales podrían causar una Denegación de Servicio.

Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices ‘DRY’ (Do not repeat yourself – No te repitas) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.

La primera vulnerabilidad, identificada como CVE-2019-14232, existe en los métodos ‘chars’ y ‘words’ de la clase ‘django.utils.text.Truncator’ cuando el argumento ‘html=True’ es pasado debido que podría llegar a ser extremadamente lento al evaluar ciertas entradas, las cuales podrían ser aprovechadas por un atacante a través de las plantillas de filtros ‘truncatechars_html’ y ‘truncatewords_html’.

La segunda de las vulnerabilidades, con identificador CVE-2019-14233, se encuentra en el método ‘django.utils.html.strip_tags’ que puede llegar a ser lento al evaluar largas secuencias de entidades HTML enlazadas, las cuales podría utilizar un atacante a través de la plantilla de filtro ‘scriptags’.

La tercera, identificada como CVE-2019-14234, se encuentra en las clases exclusivas para PostgreSQL ‘django.contrib.postgres.fields.JSONField’ y ‘django.contrib.postgres.fields.HstoreField’ y podría ser vulnerable ante una ataque de inyección SQL a través de un diccionario de búsqueda especialmente manipulado con un filtro de búsqueda.

La cuarta y última vulnerabilidad, identificada como CVE-2019-14235, se encuentra en la función ‘django.utils.encoding.uri_to_iri’ que podría permitir que la memoria se consuma si es llamada con una secuencia de octetos UTF-8 especialmente manipulada.

Las vulnerabilidades han sido corregidas en las versiones 2.2.4, 2.1.11 y 1.11.23 de Django.

Más información:

Django security releases issued: 2.2.4, 2.1.11 and 1.11.23
https://www.djangoproject.com/weblog/2019/aug/01/security-releases/

A partir de la versión 76 de Google Chrome se añadió como novedad una implementación de la API FileSystem (API de Sistema de Archivos) para el modo incógnito. Esta novedad se incluyó para prevenir que los sitios web pudiesen saber si este modo estaba en uso en función de la disponibilidad de esta API.

No obstante, la implementación que realiza no escribe a disco como es habitual, sino a memoria. Estas escrituras resultan mucho más rápidas y estables, lo que permite diferenciar fácilmente si el modo incógnito está en uso. Además, en esta modalidad la cuota de disco asignada es mucho menor, lo que ayuda a diferenciarlo.

El problema ya era conocido desde 2018 por los mismos desarrolladores de Chrome, proponiendo como alternativa cifrar los datos a disco y mantener los metadatos en memoria. No obstante, tal y como sugiere el investigador Jesse Li, que ha realizado esta investigación, cifrar los datos a disco dejaría evidencias para el resto de usuarios del sistema de que se está usando el modo incógnito por la mera existencia de estos ficheros cifrados y su tamaño.

El investigador ha publicado una Prueba de Concepto (PoC) para que cualquiera pueda comprobar en su máquina los resultados de su estudio, la cual también cuenta con una demo en su sitio web.

Más información:

Detecting incognito mode in Chrome 76 with a timing attack:
https://blog.jse.li/posts/chrome-76-incognito-filesystem-timing/

chrome-filesystem-timing:
https://github.com/veggiedefender/chrome-filesystem-timing

Demo:
https://jse.li/chrome-filesystem-timing/