October 16, 2017, 1:00 am
Se ha reportado una vulnerabilidad en ImageMagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.
![]()
Como ya hemos comentado anteriormente, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.
En el problema reportado, con CVE- 2017-15281, debido a un error al ejecutar ‘./magick convert %file% /dev/null’ en determinados archivos podría causar un salto en memoria debido a valores no inicializados. Esto podría ser aprovechado por un atacante remoto para provocar una denegación de servicio (cierre de la aplicación) a través de archivos especialmente manipulados.
Este problema afecta a las versiones anteriores a la 7.0.7-6
Se recomienda actualizar a versiones superiores.
Juan Sánchez
Más información:
ImageMagick
Conditional Statement depends on uninitialized value #832
↧
October 17, 2017, 12:30 am
El investigador en seguridad informática, Mathy Vanhoef perteneciente al grupo de investigación IMEC-DISTRINET de la universidad Belga KU Leuven, ha demostrado públicamente, cómo el protocolo WPA2/WPA (tanto Personal como Enterprise) es vulnerable a un nuevo tipo de ataque, provocando que se pueda comprometer la comunicación segura e incluso inyectar código, mediante un ataque MitM al mecanismo de autenticación. ![]() |
| Logotipo de KRACK. Fuente krackattacks.com |
Según Vanhoef (@vanhoefm), la vulnerabilidad residiría en el propio diseño del protocolo WPA2, no en la implementación que utilice el sistema operativo, estando de facto afectados, todos aquellos dispositivos o sistemas que tengan WIFI habilitado. Ahondando en la vulnerabilidad, ésta se basaría en la capacidad de forzar la reutilización del 'nonce' o número arbitrario de un solo uso, utilizado durante el inicio de autenticación de una comunicación cifrada entre el cliente (supplicant) y servidor (AP), generalmente mediante un vector de iniciación (IV). Esto ocurre durante el protocolo de autenticación 4-way handshake, cuando se negocian las claves compartidas y el Pairwise Master Key (PMK), para iniciar el cifrado de la comunicación (norma IEEE 802.11i). Con este nuevo método, denominado Key Reinstallation Attacks (KRACKs), el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key) según el escenario utilizado en su demostración para Android 6.0, como Linux, reenviando 'handshakes' especialmente modificados.
KRACK Attacks: Bypassing WPA2 against Android and Linux
Mediante esta nueva técnica, los impactos pueden ser bastante graves, dado que se consigue modificar la comunicación segura e incluso inyectar código para, por ejemplo, modificar el tráfico y descargar aplicaciones maliciosas en el cliente (como un troyano o ransomware).
Todo esto depende de la combinación de protocolos utilizados durante la comunicación:
- Si se usa AES-CCMP, un atacante podría responder y descrifrar los paquetes.
- Pero si se usa WPA-TKIP o GCMP, se podría incluso falsificar los mismos, siendo el ataque con mayor impacto.
Este tipo de ataque se basa en diferentes técnicas y un conjunto de vulnerabilidades sobre el protocolo, por lo que ha recibido hasta 10 CVEs distintos (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088).
↧
↧
October 18, 2017, 12:30 am
Adobe confirma que una vulnerabilidad de confusión de tipos (con CVE-2017-11292) se está explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash Player versión 27.0.0.159 y anteriores. Concretamente, esta vulnerabilidad permitiría la ejecución de código arbitrario. Afecta a las versiones de AdobeFlash Player para Windows, Macintosh, Linux, y los navegadores Chrome, Internet Explorer y Edge. Cada uno de estos productos tiene una nueva versión que parchea esta vulnerabilidad, tal y como se puede observar en el boletín de Adobe.
Lo interesante de esta vulnerabilidad es que se está explotando en este momento por la APT nombrada por Kaspersky como BlackOasis (recordamos que una APT es básicamente un ataque informático avanzado y orquestado contra una entidad importante). De hecho, esta vulnerabilidad está reportada por ellos, tras encontrarse el exploit para esta vulnerabilidad en la investigación de la APT. El objetivo de esta APT es espiar a figuras políticas relacionadas con Oriente Medio (cargos de la ONU, bloggers, activistas políticos...), y para ello infecta a las víctimas con FinSpy, un malware diseñado para ser comprado por agencias gubernamentales y espiar a los objetivos.
Este tipo de amenazas, las APT, suelen contar con exploits0-day para infectar a las víctimas. En este caso, era un objeto Flash con el exploit cargado usando ActiveX desde un documento de Microsoft Office.
Más información:
Security updates available for Flash Player | APSB17-32
https://helpx.adobe.com/security/products/flash-player/apsb17-32.html
BlackOasis APT and new targeted attacks leveraging zero-day exploit
https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/
FinFisher ataca de nuevo, ahora con posible apoyo de ISP'shttp://unaaldia.hispasec.com/2017/09/finfisher-ataca-de-nuevo-ahora-con.html
↧
October 19, 2017, 12:30 am
El pasado 17 de octubre, Troy Hunt, reconocido MVP de Microsoft y creador del servicio 'Have I been pwned?', recibió en su correo un dump de 27 gigabytes con información personal sobre más de 30 millones de ciudadanos sudafricanos.
El fichero, de nombre 'masterdeeds.sql' contenía información personal de todo tipo: documentos de identidad, vida laboral, estado civil y diversa información fiscal sobre ciudadanos sudafricanos.
![]() |
| Estructura de la bbdd filtrada |
Hasta el momento se han conseguido extraer 2,257,930 direcciones de correo electrónico y más de 30 millones de documentos de identidad de ciudadanos vivos y ya fallecidos de Sudáfica.
No se sabe con certeza qué entidad es la responsable de esta fuga de información, pero tras un primer análisis de los datos, Hunt encuentra referencias a "TransUnion" y "Dracore Data Sciences" una importante empresa de agregación de datos sudafricana. Estas empresas se encargan de recopilar y almacenar información financiera y de otro tipo para su posterior procesado y explotación.
Entre los servicios que ofrece Dracore se encuentra "GoVault", que se anuncia como "La mina de oro de información sobre propietarios y compradores sudafricanos".
Tras conseguir contactar con los responsables del servicio, Dracore niega estar relacionada con el 'leak' y le pasa la pelota a Jigsaw, señalando que una de las IP proporcionadas corresponde a esta empresa inmobiliaria.
Mientras tanto, los 27 gigabytes de datos siguen estando disponibles en algún lugar de Internet. Esperamos que se tomen las medidas adecuadas para evitar que la información caiga en malas manos.
Más información:
What We Know So Far About South Africa's Largest Ever Data Breach
Is Dracore Data Sciences Responsible For South Africa's Largest Ever Data Leak?
↧
October 20, 2017, 5:04 am
Desde hoy se encuentra disponible para su libre descarga el software de laboratorio genRSA v2.1, realizado por D. Rodrigo Díaz Arroyo como su trabajo fin de grado en Ingeniería de Computadores en la Universidad Politécnica de Madrid, bajo la dirección del profesor Jorge Ramió Aguirre.
URL genRSA v2.1.![]()
Se trata de un software de prácticas desarrollado en Java y JavaFX, que implementa toda la lógica de la aplicación gracias al uso de la clase BigInteger.
El software incluye manual de usuario y banco de pruebas, accesibles además desde la misma aplicación.
Diseñado para prácticas de laboratorio de criptografía con el algoritmo RSA, corresponde a una actualización completa del antiguo programa genRSA v1.0 del año 2004, a partir de hoy obsoleto, realizado por D. Juan Carlos Pérez García y que en sus 13 años de existencia ha superado las 26.000 descargas en la red.
Puede saber si su versión de genRSA v2.1 es la última actualización, observando en Acerca de (pestaña Ayuda) la zona inferior derecha de la pantalla. Esta viene indicada como año, mes y día, siendo la primera 20171018.
Entre las prestaciones de genRSA v2.1 se encuentran:- Generación manual y automática de claves de hasta 4.096 bits, en formato decimal y hexadecimal. - Opciones de guardar, abrir o borrar clave.
- Indicación automática de separación por miles en números decimales.
- Posibilidad de generar claves con primos de igual tamaño, diferentes tamaños y con primos seguros.
- Indicación del tiempo requerido para generar la clave.
- En generación de clave automática, elección de valor mínimo para la clave pública e, o bien el estándar F4.
- Indicación del tamaño de bits de cada parámetro de la clave generada, incluidas las claves privadas parejas CPP.
- Listado completo de las claves privadas parejas CPP.
- Indicación de la cantidad de números no cifrables NNC.
- Generación del log de números no cifrables NNC, indicando el porcentaje que se ha computado.
- Opciones de cifrado y descifrado, así como firma y verificación de la firma.
- Opción de cifrado y/o firma de textos, agrupando éstos en bloques de bytes según el tamaño del módulo.
- Test de primalidad de Miller Rabin y de Fermat con hasta 300 iteraciones.
- Ataque por factorización Pollard Rho (óptimo: módulo 80 bits, tiempo < 10 segundos).
- Ataque por paradoja del cumpleaños (óptimo: módulo 50 bits, tiempo < 10 segundos).
- Ataque por cifrado cíclico (óptimo: módulo 36 bits, tiempo < 10 segundos).
Otro software de prácticas de libre descarga desde Criptored que se ha actualizado recientemente es Criptoclásicos version 2.1, en su compilación 20170917 del 17 de septiembre de 2017:
URL Criptoclásicos v2.1
Jorge Ramió y Alfonso Muñoz.
Criptored
↧
↧
October 20, 2017, 11:00 pm
Investigadores de 360.cn y CheckPoint descubren una botnet que rápida y silenciosamente ha infectado a cerca de dos millones de dispositivos. La mayoría de ellos, cámaras IP y grabadoras de video en red.
![]() |
| Mapa de conexiones de la botnet. |
La botnet, referenciada como IoT_reaper fue descubierta en el mes de septiembre. Desde entonces, ha sufrido muchas modificaciones y aumentado el numero de dispositivos infectados.
Esta botnet que "surge" de Mirai utiliza código de dicha botnet. Sin embargo, posee muchas distinciones y nuevos mecanismos que la separan lo suficiente de Mirai para considerarlo una nueva amenaza.
Como diferencia insignia, IoT_reaper abandona el uso de ataques de fuerza bruta utilizando contraseñas por defecto o débiles escaneando puertos telnet abiertos. En su lugar, utiliza exploits para tomar el control de aquellos dispositivos que no hayan sido parcheados, añadiéndolos así a su infraestructura. La botnet actualmente, cuenta con 9 vulnerabilidades que explota:| D-Link 1 | https://blogs.securiteam.com/index.php/archives/3364 |
| D-Link 2 | http://www.s3cur1ty.de/m1adv2013-003 |
| GOAHEAD | https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html |
| JAWS | https://www.pentestpartners.com/blog/pwning-cctv-cameras/ |
| Netgear | https://blogs.securiteam.com/index.php/archives/3409 |
| Vacron | https://blogs.securiteam.com/index.php/archives/3445 |
| Netgear 2 | http://seclists.org/bugtraq/2013/Jun/8 |
| LinkSys | http://www.s3cur1ty.de/m1adv2013-004 |
| AVTECH | https://github.com/Trietptm-on-Security/AVTECH |
A esta lista, se continuan incluyendo nuevas vulnerabilidades a medida que la botnet se actualiza. El malware contiene un listado "openr resolvers", funcionalidad que le permite llevar a cabo ataques de amplificación de DNS con relativa facilidad (http://openresolverproject.org/)
![]() |
| Comprobando el listado de IPs seleccionadas. |
La botnet contiene la runtime de LUA, y contacta con un servidor remoto para ejecutar módulos de manera dinámica.
![]() |
| Script remoto en LUA |
![]() |
| API remota |
Durante el análisis no se ha observado la presencia de comandos que hagan referencia a un ataque DDoS, lo que da pie a pensar que es una botnet aún en desarrollo activo.
Basándonos en los datos conocidos del día 19 de Octubre, el número de nodos activos alcanza la cifra de 10.000. Suponiendo que el atacante tenga más de 10.000 nodos activos diariamente, y que cada nodo cuenta con una velocidad de subida de 10mbps, estaríamos hablando de una potencia de 100Gbps.
En caso de contar con dispositivos IoT en el hogar, lo ideal es identificar si poseen vulnerabilidades y contactar con el fabricante para obtener más información y de esa manera poder parchearlas.
Fernando Díazfdiaz@hispasec.com
Más información:
僵尸网络】IOT_REAPER : 一个正在快速扩张的新 IOT僵尸网络:
↧
October 22, 2017, 12:30 am
Durante esta semana se ha hecho público un importante estudio sobre la vulnerabilidad presente en la librería RSA de la firma Infineon (CVE-2017-15361), alertando de la viabilidad de realizar un ataque de factorización a todas aquellas claves RSA generadas mediante esta librería, y utilizando para ello únicamente su clave pública.
![]() |
| ROCA- crocs.fi.muni.cz |
Dado que esta librería se utiliza en multitud de chips de cifrado (como Infineon TPM), en el cifrado y firma de certificados (como PGP), Smartcards, tarjetas de identificación, dispositivos Tokens (Yubikey), sistemas de cifrado de ficheros (BitLocker con TPM), etc., el ecosistema de dispositivos y productos vulnerables es bastante amplio, viéndose afectados paralelamente otros fabricantes como Microsoft, HP o Google.
El estudio ha sido anunciado por los investigadores del departamento CRoCS, de la universidad de Masaryk, en la república Checa y de la italiana Ca' Foscari en Venezia, junto a la empresa Enigma Bridge, y será presentado oficialmente a finales de mes en la conferencia ACM CCS '17. Según sus investigaciones, la librería afectada (versión 1.02.013) generaría claves que, dependiendo de su longitud, sería viable su factorización hoy en día con la inversión adecuada. Si tomamos como ejemplo claves RSA de 512, 1024 y 2048 bits, utilizando servicios como Amazon AWS, se podría factorizar aquellas claves generadas con la librería de Infineon, con un coste menor a $1, $100 y $40000 respectivamente, utilizando simplemente instancias Amazon AWS C4, y en un tiempo que varía entre horas o pocos días. Alertan, además, que claves de 4096 bits podrían ser factorizadas mejorando el ataque actual, denominado ROCA (The Return of Coppersmith's Attack).
Utilizando ROCA, un atacante podría suplantar identidades, firmar malware con un certificado malicioso o descifrar mensajes que utilicen claves vulnerables, por ejemplo.
La gravedad de este ataque ha provocado que el gobierno de Estonia mandara generar nuevas tarjetas de identificación, ya que se veían afectadas más de 750.000 generadas desde 2014. Dado que los chips de Infineon, así como la librería, se utilizan en multitud de dispositivos, otros países y fabricantes se podrían ver afectados.
Tanto los investigadores como el fabricante han publicado diversas recomendaciones:
Se han publicado también herramientas para determinar si la clave se ve afectada por la vulnerabilidad:
Así como servicios online:
Infineon, Microsoft, HP y el resto de fabricantes afectados, han publicado parches y firmwares ya disponibles, así que recomendamos que se actualicen los sistemas y dispositivos afectados lo antes posible.
↧
October 23, 2017, 12:30 am
Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 252 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL, e incluso hardware, como las series M de los servidores Fujitsu.
Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:- Oracle and Sun Systems Products Suite
- Oracle Communications Billing and Revenue Management
- Oracle Communications Diameter Signaling Router
- Oracle Communications EAGLE LNP Application Processor
- Oracle Communications Messaging Server
- Oracle Communications Order and Service Management
- Oracle Communications Policy Management
- Oracle Communications Services Gatekeeper
- Oracle Communications Unified Session Manager
- Oracle Communications User Data Repository
- Oracle Communications WebRTC Session Controller
- Oracle Construction and Engineering Suite
- Oracle Database
- Oracle E-Business Suite
- Oracle Enterprise Manager
- Oracle Financial Services Applications
- Oracle Fusion Applications
- Oracle Fusion Middleware
- Oracle Health Sciences
- Oracle Hospitality Cruise AffairWhere
- Oracle Hospitality Cruise Fleet Management
- Oracle Hospitality Cruise Materials Management
- Oracle Hospitality Cruise Shipboard Property Management System
- Oracle Hospitality Guest Access
- Oracle Hospitality Hotel Mobile
- Oracle Hospitality OPERA 5 Property Services
- Oracle Hospitality Reporting and Analytics
- Oracle Hospitality Simphony
- Oracle Hospitality Suite8
- Oracle Java SE
- Oracle JD Edwards
- Oracle Linux and Virtualization
- Oracle MySQL Product Suite
- Oracle PeopleSoft
- Oracle Retail Applications
- Oracle Siebel
- Oracle Supply Chain Products
- Oracle Tekelec HLR Router
A continuación, ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
- Oracle Database ha corregido 6 vulnerabilidades, dos de ellas de ejecución remota de código.
- 23 parches han sido publicados para Oracle Communications Applications, 18 de ellas permitían la explotación remota, por parte de un atacante sin autenticar.
- Oracle Construction and Engineering Suite ha corregido una vulnerabilidad crítica en Primavera Unifier.
- En cambio, Oracle E-Business Suite ha solucionado 26 vulnerabilidades, 25 de ellas explotables sin autenticación.
- En Oracle Enterprise Manager Grid Control también se ha solucionado otra vulnerabilidad crítica de ejecución de código.
- Oracle FLEXCUBE, que forma parte de la familia Financial Services Applications, ha recibido un parche para solucionar una vulnerabilidad de grado medio.
- Otro paquete numeroso de parches, lo ha recibido Oracle Fusion Middleware, solucionando 40 vulnerabilidades, siendo críticas 26, que permitirían la explotación remota sin autenticar.
- Oracle Health Sciences Applications ha corregido una vulnerabilidad de ejecución de código remoto.
- El otro gran paquete de actualizaciones ha sido asignado para Oracle Hospitality Applications, con 37 correcciones realizadas, siendo 13 de los parches por explotación remota sin autenticar.
- Hyperion también ha sido actualizado, viéndose afectado por 4 vulnerabilidades.
- En este boletín, Oracle Java SE ha recibido 22 parches, 20 de ellos con explotación remota.
- Otras 2 vulnerabilidades han sido corregidas en Oracle JD Edwards, afectando al componente OpenSSL.
- Para Oracle MySQL se han publicado 25 nuevos parches, 6 de ellos remotamente explotables.
- Oracle PeopleSoft también ha sido actualizado, corrigiendo 23 vulnerabilidades.
- 9 vulnerabilidades han sido corregidas en Oracle Retail, 6 de ellas explotables remotamente.
- Oracle Siebel CRM ha publicado 8 nuevos parches.
- Para la suite Oracle Sun Systems Products, se han solucionado 10 nuevas vulnerabilidades, afectando a Solaris Cluster y varias familias de servidores, entre otros los modelos SPARC (M3000, M4000, M5000, M8000, M9000) y Fujitsu (M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S).
- Oracle Supply Chain Products Suite, 7 vulnerabilidades han sido solucionadas.
- Y finalmente, para Oracle Virtualization, 6 parches han sido publicados, en concreto 5 para VirtualBox.
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Octubre.
José Mesa
@jsmesa
Más información:
Critical Patch Update - October 2017:
↧
October 24, 2017, 12:30 am
Los investigadores de Symantec han informado sobre la presencia de muestras de Sockbot en el catálogo de Google Play. Sockbot es un malware capaz de registrar dispositivos en una botnet y realizar ataques de denegación de servicios distribuídos.
El malware ha conseguido disuadir los controles de seguridad de Google haciéndose pasar por una aplicación legítima para modificar 'skins' de Minecraft.
![]() |
| Aplicación maliciosa en Google Play (Fuente: https://www.symantec.com) |
Además de eso, el código malicioso está ofuscado y sus 'strings' principales van cifradas, lo que dificulta su detección.
Según Symantec la infección se ha extendido ampliamente: alrededor de 2.6 millones de dispositivos desde EEUU y Rusia hasta Brasil y Alemania.
El nombre del malware ya deja adivinar lo que hace: Sockbot inicia un servicio proxy SOCKS en el dispositivo infectado. De este modo el atacante puede enviar anuncios desde el C&C y mostrarlos en los dispositivos infectados sin su consentimiento. Aunque la funcionalidad principal de Sockbot es la de mostrar anuncios, un atacante podría utilizar el mismo método para controlar un gran número de dispositivos infectados y realizar ataques de denegación de servicio distribuídos (DDoS).
Google ya ha retirado las ocho aplicaciones que habían conseguido colarse en su market y tomado las medidas oportunas contra su desarrollador 'FunBaster'.
Más información:
↧
↧
October 25, 2017, 6:01 am
BadRabbit es un ransomware que cuenta con muchos elementos similares a NotPetya, lo que sugiere que los autores detrás del ataque sean los mismos. Sin embargo esta vez el cifrado se ha sustituido por una herramienta más avanzada para evitar los errores cometidos anteriormente. Durante el análisis nos centraremos en la DLL maliciosa.
A diferencia de NotPetya, este malware no hace uso de EternalBlue para distribuirse. Sin embargo, de manera similar utiliza 'WMIC' para distribuir los archivos y realiza un escaneo de la red interna buscando 'SMB' compartidos, entre los que se encuentran:
![]() |
| Listado de shares que el BadRabbit comprueba. |
En esta ocasión contamos con un listado de credenciales empleadas para llevar a cabo ataques de diccionario sobre los dispositivos remotos, junto con un módulo basado en Mimikatz para recolectar usuarios y contraseñas.
![]() |
| Listado de usuarios / passwords empleado por el ataque de diccionario. |
Se puede observar también que existen directorios que no se ven afectados por el ransomware. Los directorios \\Windows, \\Program Files, \\ProgramData y \\AppData no son cifrados.
![]() |
| Datos correspondientes a las extensiones, la nota de rescate y las carpetas ignoradas. |
La lista de extensiones afectadas podemos verla a continuación.
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .x ml .xvd .zip
La mayoría de extensiones son las más comunes entre el ransomware, aunque esta vez incluye objetivos como archivos de maquinas virtuales para los distintos sistemas de virtualización además de ficheros comprimidos, documentos de Office, vídeo, código (.java, .c, .cpp, etc)
![]() |
Servicio TOR al que las victimas se dirigen.
|
El cifrado se lleva a cabo a través de DiskCryptor, un software legítimo utilizado para hacer un cifrado completo del disco, el cual es instalado como servicio por el malware. Las claves aleatorias se generan a través de una función criptográficamente segura CryptGenRandom y luego son protegidos por una clave publica RSA 2048 harcodeada.
![]() |
| Clave hardcodeada empleada para proteger la clave aleatoria. |
Finalmente, la clave aleatoria es utilizada como argumento en otra herramienta encargada de hacer el cifrado del archivo:
schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR %ws /C Start \"\" \"%wsdispci.exe\" -id %u && exit"
![]() |
| Agregando dispci.exe a tasks. |
De momento, el ataque parece dirigido a usuarios de Europa del Este por lo que los países como Rusia, Bulgaria y Ukrania se ven afectados por el ataque en su mayoría; aunque también Japón y Turquía reciben un numero elevado de infecciones. La distribución se hace a través de un javascript malicioso.
Este malware necesita permisos de creación de archivos en carpetas que requieren privilegios de administrador. Por tanto, si el ransomware no es ejecutado como administrador y existen unas políticas correctas en el sistema no se llegará a ejecutar con éxito. Otra manera de evitar la infección, es crear un archivo C:\perfc.dat con permisos de READ-ONLY (sólo lectura) que al estar presente provocará que el ransomware no siga realizando ninguna acción.
Más información:
↧
October 26, 2017, 5:00 am
Hoy comienza la primera jornada de las tres que componen el segundo Simposio de Seguridad de la Información y Prevención de Fraudes, evento de ciberseguridad que congrega a profesionales de la industria de Panamá.
El Simposio de Seguridad de la Información y Prevención de Fraudes congrega, a más de 125 Representantes de la banca local, con el propósito de actualizar y capacitar al personal de Seguridad, Seguridad Informática, Operaciones, Fraude, Negocios y otras áreas relacionadas de la actividad bancaria de los bancos asociados, en aspectos, tipologías y modalidades, cuya aplicación se considera de la mayor importancia y actualidad en nuestro medio. Esto es con la finalidad de mitigar los diferentes delitos modernos, que están afectando el sistema bancario panameño, y este año se pondrán en práctica, las mejores tendencias de integración. Todo esto constituye una oportunidad para promover imagen corporativa y servicios.
El simposio tendrá lugar los días 26, 27 y 28 de octubre. Los asistentes a estas jornadas podrán disfrutar de un calendario de charlas y talleres diversos, a continuación le dejamos el enlace completo al calendario y adjuntamos las charlas de las que podrán disfrutar los asistentes. - La transformación digital y los desafíos de las unidades de prevención de fraude
- Seguridad y fraude en el canal de autoservicio, una visión global y regional
- Métodos matemáticos para la detección de fraude
- La colaboración y la administración de acceso a la información financiera, van de la mano
- How exponential technology is disrupting financial services
- Innovación y Seguridad: Retos y oportunidades en los pagos electrónicos
- FINTECH
- Malware Polimórfico
- Estrategias para mitigación de brechas de seguridad interna y amenazas avanzadas
- Amenazas actuales y estrategias para proteger las marcas y contenido digital
- Cómo proteger las cuentas privilegiadas contra los ataques cibernéticos
- Recomendaciones para ayudar a proteger su información. Desde monitoreo pasivo a protección proactiva
- Inteligencia Avanzada – La diferencia entre mantener tu trabajo en el banco, o aprender a buscar nuevo empleo
- Perfilando al defraudador moderno
- Troyanos bancarios en plataformas Android
- Insiders…La amenaza silenciosa
- El uso de ciberinteligencia para proteger marcas y prevenir Ataques
Cabe destacar que La Asociación Bancaria de Panamá, fundada el 1 de febrero de 1962, es un organismo de derecho privado apolítico, sin fines de lucro, que agrupa en su seno a entidades bancarias públicas y privadas, que desarrollan actividades dentro de Panamá y a escala internacional.
Fernando Ramírez estará presente los tres días del evento y junto a Ángel López serán los ponentes encargados de la charla de Troyanos bancarios en plataformas Android el próximo Viernes 27.
Más información:
Web asociación bancaria Panamá:
↧
October 27, 2017, 12:30 am
La empresa de seguridad IOActive ha descubierto dos vulnerabilidades críticas en AmosConnect 8, un software de comunicaciones marítimas. Estas vulnerabilidades permiten comprometer el servidor del barco que contiene este software.
AmosConnect 8 es un sistema de comunicaciones marítimas enfocado a barcos. Optimizado para trabajar con el recurso costoso que es una conexión satélite a Internet, permite el envío de correos, la navegación por Internet, reportar la posición del barco, mensajería instantánea... Este software se instala en un servidor conectado a un terminal de comunicación de datos via satélite.
IOActive, que lleva unos años analizando la seguridad de este tipo de sistemas, ha encontrado dos vulnerabilidades en el panel web de acceso al servidor de AmosConnect. Ambas vulnerabilidades llaman la atención, pues una de ellas usa una variante sofisticada del ataque de inyección SQL, y otra permite ejecutar código arbitrario con privilegios de administrador gracias a una cuenta oculta de administración con contraseña fácilmente calculable.
La primera de las vulnerabilidades es de la familia de las inyecciones SQL (concretamente la variante a ciegas, blind). La variante básica de este ataque está a punto de cumplir 20 años (se considera que la primera mención pública fue en 1998), y la solución simplemente consiste en usar una librería muy fácil de usar (habrá cientos de ellas, y para cualquier plataforma). Es por esto que llama la atención esta vulnerabilidad a estas alturas de la película. La variante blind complica la extracción de información, pero no la hace imposible.
En este caso, el nombre de usuario y la contraseña de los usuarios en el servidor de AmosConnect se almacena en texto plano en la base de datos, con lo que es trivial extraer esa información con las herramientas adecuadas. Concretamente, la URL vulnerable es aquella que recibe la petición de autorización en el panel de acceso web (en su parámetro 'data[MailUser][emailAddress]'):
![]()
La segunda vulnerabilidad es más grave todavía, combinación de dos errores clásicos: la existencia de una cuenta de administración oculta, y que una contraseña se genere usando información pública. Los investigadores se dieron cuenta de la existencia de código dentro del sistema de autenticación que manejaba la posibilidad de autenticarse con una cuenta oculta que además poseía privilegios de administración, con nombre SysAdmin. Y dentro de ese código, vieron cómo la contraseña de esa cuenta se generaba únicamente usando la ID de soporte del producto, que aparece públicamente en el panel web de acceso...
![]()
Una vez dentro de esta cuenta de administración, es posible crear tareas desde el panel para que se ejecuten a nivel de sistema operativo con privilegios de administrador, con lo que se puede ejecutar código arbitrario y comprometer completamente el servidor.
La pregunta clave es: ¿Cómo de grave es esto?
Pues bien, la respuesta es que bastante, pero no como para causar un escándalo. La vulnerabilidad no se puede explotar desde fuera de la red del barco, pero comprometer desde cero un servidor local no es ninguna tontería. Y además, está el problema de que la red no esté bien aislada y se pueda saltar a otros servidores, o que incluso en el mismo servidor estén instalados otros servicios críticos de navegación... En cualquier caso, la versión a la que afecta dejó de ser soportada hace meses. Los servidores proporcionados por la empresa del software están cerrados para la versión afectada, para forzar a sus usuarios a que cambien de versión.
No hay que perder de vista que hay software en corriendo en todos lados, y que en sistemas exóticos hay mucho por investigar...
Carlos Ledesmacledesma@hispasec.com
Más información:
Backdoor Account Found in Popular Ship Satellite Communications System
http://blog.ioactive.com/2017/10/amosconnect-maritime-communications.html
AmosConnect: Maritime Communications Security Has Its Flaws
https://www.bleepingcomputer.com/news/security/backdoor-account-found-in-popular-ship-satellite-communications-system/
Two critical vulnerabilities found in Inmarsat's satcom systems
https://threatpost.com/two-critical-vulnerabilities-found-in-inmarsats-satcom-systems/128632/
↧
October 28, 2017, 12:30 am
Investigadores de Kaspersky Labs publican un extenso e interesante estudio sobre las medidas de seguridad presentes en las aplicaciones de citas online. El estudio abarca un total de 9 plataformas, incluidas las populares Tinder y Badoo, sobre las que se realiza un análisis en diferentes aspectos de la seguridad de las que la mayoría no salen del todo bien paradas.
Una de las principales preocupaciones es que los datos proporcionados por la aplicación permitan a acosadores ir más allá de esta y les permita encontrar a otros miembros de la plataforma en otras redes sociales o incluso en el mundo real. Por ejemplo Tinder y Bumble permiten publicar a los usuarios datos sobre trabajo y estudios, lo que permitiría estrechar el cerco sobre ellos a la hora de localizarlos. Happn, además, guarda un campo 'fb_id' que en ciertos escenarios muestra directamente el identificador en Facebook.
Un problema aun más serio es el relacionado con las capacidades de localización. Dos tercios de las aplicaciones permiten fácilmente localizar a otros usuarios mostrando la distancia entre el atacante y ellos. Eso sí, cada cual con su propia exactitud.
En cuanto a la seguridad de las comunicaciones, la mayoría de las aplicaciones utilizan, en algún punto, cifrado TLS. Y decimos "en algún punto" porque en ciertas transacciones de datos no es usado. Por ejemplo, Tinder, Paktor, Bumble (Android) y Badoo (iOS) realizan peticiones con fotografías sin cifrar y otra información como localización y datos personales. La aplicación Mamba, además sube datos específicos del dispositivo como su fabricante y modelo. Tanto en esta como en Zoosk, un atacante que esté capturando e inyectando tráfico podría llegar a administrar la cuenta.
Y aun usando HTTPS en el resto de comunicaciones el usuario sigue estando en riesgo, ya que la mayoría de las aplicaciones no comprueban la validez de los certificados. Excepto Badoo, Bumble y Zoosk en su versión Android, las aplicaciones son vulnerables a ataques "Man in the Middle" mediante el uso de certificados no verificados, llegando a interceptar en algunos casos tokens de autenticación y contraseñas.
Como punto final, en un escenario que afecta especialmente a los usuarios de Android, los datos almacenados en el teléfono por la mayoría de las aplicaciones son susceptibles al acceso por el usuario root. Esto significa que algunas aplicaciones capaces de obtener estos privilegios en el sistema (como por ejemplo algunos troyanos) pueden obtener credenciales de acceso y el listado de los mensajes enviados, entre otra información.En conclusión, parece que es WeChat la que sale mejor parada, aunque desgraciadamente no es una aplicación de citas como tal. De estas, parece que Badoo y Bumble, en sus versiones para iOS, son las que mayor nivel de seguridad ofrecen.
Aunque el listón no está precisamente alto.
Francisco López
Más información:
Dangerous liaisons
↧
↧
October 29, 2017, 11:57 am
Recientemente el investigador Tim Carrington (@__invictus_) ha descubierto dos vulnerabilidades (una de denegación de servicio y otra de ejecución de código remoto) en routers TP-Link WR940N. ![]()
Para explotar estas vulnerabilidades se necesita conocer las credenciales de administración del dispositivo.La vulnerabilidad de denegación de servicio se explota a través de un campo que se encuentra en el panel de administración, en concreto en la herramienta de diagnóstico.
Si pasamos una cadena superior a 50 caracteres al campo 'pingAddr' desencadenamos la denegación del servicio y el reinicio del dispositivo.
En cuanto a la vulnerabilidad de desbordamiento de buffer, los valores de la llamada a 'httpGetEnv' (parámetros 'ping_addr', 'isNew') son valores pasados por peticiones 'GET', que son pasados a su vez a la función 'ipAddrDispose'.
Estas vulnerabilidades se consideran criticas ya que a parte de producir la detención del servicio, también se puede ejecutar código remotamente. TP-Link ya ha desarrollado un parche para estas vulnerabilidades, alq ue como siempre se recomienda actualizar. Adicionalmente, se encuentra disponible el exploit para esta vulnerabilidad, que se puede encontrar en este enlace.Más información
A curious tale of remote code execution. The TP-Link story - CVE-2017-13772
https://www.fidusinfosec.com/tp-link-remote-code-execution-cve-2017-13772/
CERTSI
https://www.certsi.es/alerta-temprana/vulnerabilidades/cve-2017-13772
SecList
http://seclists.org/fulldisclosure/2017/Oct/49
Exploit
https://www.exploit-db.com/exploits/43022/
↧
October 30, 2017, 1:30 am
El investigador Matt Bergin (@thatguylevel) de KoreLogic ha descubierto una vulnerabilidad que permite la inclusión local de ficheros (LFI, Local File Inclusion) en Sophos UTM 9.
Cualquier usuario con permiso de lectura sobre los registros puede leer cualquier archivo del sistema local utilizando una cuenta de usuario con privilegios limitados. Esto puede usarse para leer el fichero de registro 'confd' y obtener privilegios de root a través de su identificador de sesión SID'.
El cliente 'confd' no está permitido para las cuentas de usuarios, pero es posible enumerar un directorio que contiene subdirectorios cuyo nombre son los identificadores de sesión (SID). Se pueden realizar solicitudes de nombres de usuarios, como por ejemplo el usuario admin.
Cualquier usuario con permisos de acceso a la funcionalidad 'Loggin & Reporting' dentro de la aplicación de administración puede leer ficheros del sistema. En la imagen vemos la petición 'POST' que se hace y como está construida, el valor 'SID' corresponde con el usuario admin.![]() |
| Petición POST |
![]() |
| Respuesta |
La función 'start_download()' se carga en el navegador, recibe un parámetro que es usado para construir la siguiente solicitud 'HTTP GET'![]() |
| Petición GET y respuesta |
Al disponer de los valores 'SID' podemos filtrar los identificadores de sesión de los usuarios con mayores privilegios, por ejemplo si explotamos esta vulnerabilidad usando una cuenta de administrador podremos usarla para cambiar el directorio raíz y las contraseñas de los usuarios registrados.Empresa: SophosProducto: UTM 9Versión: 9.410Plataforma: Embedded Linux
Consecuencias: Fuga de información y salto de restricciones de seguridad
Vector: HTTP
El equipo de Sophos ha lanzado la versión 9.503 que corrige esta vulnerabilidad. Se recomienda actualizar lo más pronto posible.
Mario Parra
Más información:
URL de la publicación:
https://www.korelogic.com/Resources/Advisories/KL-001-2017-020.txt
SecList
http://seclists.org/fulldisclosure/2017/Oct/57
Versión de Sophos UTM 9 actualizada.
https://community.sophos.com/products/unified-threat-management/b/utm-blog/posts/utm-up2date-9-503-released
↧
October 31, 2017, 2:55 am
Cuatro investigadores de la universidad de Maryland han diseñado un sistema automático capaz de romper el reCAPTCHA de Google con una precisión cercana al 85%
Este sistema no esta dirigido a resolver los retos basados en imágenes que ofrece reCAPTCHA sino las versiones de audio. El audio es utilizado para que aquellas personas que tengan dificultades para visualizar los retos puedan resolver aquellos que reCAPTCHA ofrece.
unCAPTCHA descarga el audio del puzzle y lo suministra a 6 sistemas distintos 'Text-To-Speech'. Estos sistemas traducen el audio a texto y unCAPTCHA escoge la respuesta más probable que es posteriormente enviada a los servidores de Google.
Los investigadores que trabajaron en este sistema hicieron pruebas para comprobar la eficiencia de esta herramienta, llegando a un 85,15% de precisión al romper 450 reCAPTCHAS en casi cinco segundos y medio.
Existen otras herramientas como ReBreakCaptcha cuya finalidad y metodología es prácticamente idéntica, sin embargo unCAPTCHA informó en todo momento a Google de su investigación, permitiendo mejorar el sistema.
Según afirman los investigadores, tras comunicarse los hallazgos Google comenzó a limitar el éxito de unCAPTCHA. Por ejemplo se detectaron mejoras en la detección de navegadores bloqueando el uso de Selenium, que al ser usado el audio obtenido contenía fragmentos sin sentido o incluso texto añadido, cuando antes únicamente contenían dígitos.
Más información:
"unCaptcha: A Low-Resource Defeat of reCaptcha’s Audio Challenge":
↧
November 1, 2017, 1:30 am
El investigador y desarrollador Alex Birsan ha descubierto diversos fallos de seguridad en el 'Issue Tracker' de Google que le han permitido acceder a información técnica sobre graves vulnerabilidades en diferentes productos de la compañía.
![]()
Issue Tracker, también conocido como "Buganizer", es una herramienta usada por Google para llevar un registro de fallos, vulnerabilidades y futuras 'features' de sus productos.
La herramienta permite el acceso a usuarios que no pertenecen a la organización, pero sólo a ciertos tickets marcados como públicos. La mayor parte del contenido (más del 99%) sólo está disponible para usuarios a los que se les ha dado acceso explícito.
Como Birsan explica en su artículo, una fuga de información en la herramienta podría tener un grave impacto, por lo que se propuso poner a prueba la seguridad del sistema.
El primer intento de Birsan fue intentar conseguir una cuenta corporativa que le permitiera el acceso a zonas restringidas del sistema. Diferentes intentos le llevaron a descubrir que podía registrar una cuenta falsa y luego cambiar el correo por uno de tipo "@google.com" a través del correo de confirmación. Esto le permitió registrar la cuenta "buganizer-system+123123+67111111@google.com", que aunque no sirvió para conseguir acceso a Buganizer sí que permitía utilizar otros servicios exclusivos como GRide.
El segundo fallo descubierto por Birman permitía suscribirse a una 'issue' arbitraria cambiando el ID, al no aplicarse ningún control de acceso sobre esta llamada a la API. Aunque no consiguió filtrar ninguna información importante, Google clasificó esta vulnerabilidad como crítica.
![]() |
| Actualizaciones recibidas de distintas 'issues' (Fuente: @alex.birsan) |
La última vulnerabilidad reportada por Birsan es la más crítica y permitiría monitorizar en tiempo real toda la actividad que sucedía en el sistema de tickets. El fallo residía en una llamada a la API expuesta en el JavaScript de la página y que se utilizaba para dejar de recibir notificaciones sobre un cierto ticket.
POST /action/issues/bulk_edit HTTP/1.1 { "issueIds":[ 67111111, 67111112 ], "actions":[ { "fieldName":"ccs", "value":"test@example.com", "actionType":"REMOVE" } ] }
Esta llamada revelaba en su respuesta todos los detalles sobre el ticket, sin implementar ningún control de acceso. Pudiendo conocer los detalles técnicos de cualquier fallo o vulnerabilidad simplemente consultando su ID.
A pesar de que los tickets de prioridad alta se corrigen en pocas horas, el equipo de Google atendió rápidamente las vulnerabilidades reportadas por Birsan y recompensó al técnico a través de su programa de 'bug bounty'.
Más información:
↧
↧
November 2, 2017, 2:00 am
El investigador de seguridad, Niklas Abel, ha descubierto un problema de seguridad en la librería shadowsocks que podría resultar en una ejecución de comandos del shell arbitrarios.Shadowsocks es una librería que implementa socks5 de forma segura.El problema reside en el componente ss-manager, el cual no valida adecuadamente la entrada proveniente de usuario, en concreto, peticiones de configuración en formato JSON. Un usuario malintencionado podría ejecutar comandos de forma arbitraria a través de una petición especialmente manipulada.La vulnerabilidad tiene asignado el CVE-2017-15924.
El parche del fallo está publicado aquí.Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.
Más información:
DSA-4009-1 shadowsocks-libev -- security update
https://www.debian.org/security/2017/dsa-4009
Shadowsocks
https://shadowsocks.org/en/index.html
↧
November 3, 2017, 11:28 am
La misma Google acaba con este estándar que anunció hace 3 años para prevenir los ataques "Man in the Middle" usando CAs vulnerados.![]()
Hace 3 años se anunciaba con el rfc7469 esta medida de seguridad adicional, creada por la misma Google e implementado en sus servidores y el navegador Chrome con su versión 46, que previene de un posible 'ataque MitM de sustitución' haciendo uso de una CA vulnerada en la que confía el cliente.
La medida ha sido anunciada por Chris Palmer, que trabaja en la seguridad de Google Chrome, el pasado 27 de octubre. Entre las razones que exime para declararlo obsoleto se encuentra el alto riesgo de dejar un sitio inutilizable.
HTTP Public Key Pinning (HPKP) es una cabecera adicional enviada por el servidor que contiene la declaración de las claves públicas válidas para el sitio web durante un periodo de tiempo. En caso de cambiar la clave pública utilizada, como cuando se cifra la conexión con el certificado de otra CA, el cliente corta la conexión evitando así un posible ataque MitM. El problema de esta medida es que no se diferencia entre un cambio de clave pública fidedigno y un ataque real, pudiendo dejar el sitio inaccesible.
![]() |
| Ejemplo de cabeceras HPKP. Fuente: rfc7469. |
Además del problema antes descrito, puede que su baja adopción, con sólo un 0.1% según Netcraft, también sea una de las razones para su eliminación. Otra opción es el apoyo de Google a su otro proyecto similar (aunque complementario) Certificate Transparency.
Certificate Transparency (CT) es un proyecto de Google para el registro y monitorización de los certificados expedidos, el cual involucra a entidades de certificación, dueños de los certificados y clientes. Las CAs enviarían los cambios de los certificados que gestionan a los registros CT, los dueños podrían monitorizar los cambios indebidos sobre los certificados de sus dominios, y los clientes validarían el certificado que envía el sitio respecto al registrado en CT. Este nuevo sistema permite a los dueños saber rápidamente si están sufriendo un ataque, y a los clientes denegar el cambio fraudulento de no estar registrado.
Esta medida, que no requiere de cambios por los dueños de los sitios para su adopción, da solución a uno de los mayores problemas del ataque por reemplazo de certificado: la mayoría se realizan sin que el dueño se entere.Juan José Oyague
joyague@hispasec.com
Más información:
↧
November 4, 2017, 1:30 am
Cisco ha publicado una actualización de seguridad que soluciona un fallo de seguridad en dos de sus modelos de Firewall Firepower.
El fallo identificado como CVE-2017-12277 permitiría a un atacante remoto sin autenticar ejecutar código remoto con privilegios de administración a través una URL especialmente manipulada.
Esta vulnerabilidad se debe a una incorrecta validación de los datos de entrada en los parámetros de configuración de "Smart Licensing", y afecta a las versiones 1.1.3, 1.1.4, y 2.0.1 de FX-OS en Cisco Firepower. Las versiones 2.1.1, 2.2.1, y 2.2.2 no están afectadas.
Los productos afectados son:- Firepower 4100 Series Next-Generation Firewall
- Firepower 9300 Security Appliance
Más información:
CiscoSecurityAdvisory:
↧
