miércoles, 30 de noviembre de 2016

Vulnerabilidades en ordenadores Lenovo (de nuevo el software propietario preinstalado)

Se han reportado dos vulnerabilidades en ordenadores Lenovo (incluyendo portátiles, servidores y equipos de sobremesa). Las vulnerabilidades son consideradas de gravedad alta y podrían permitir a un atacante local ejecutar código arbitrario y elevar privilegios dentro del sistema. Una vez más los problemas residen en el software propietario preinstalado por Lenovo.

No es la primera vez que Lenovo tiene problemas con aplicaciones propias instaladas en Windows. De nuevo volvemos a recordar y remarcar el peligro del software preinstalado.

En el primer problema, con CVE-2016-8223, en el que un atacante local con privilegios limitados podría aprovecharse de un error en Lenovo System Interface Foundation (Lenovo.Modern.ImController.exe o Lenovo.Modern.ImController.PluginHost.exe que funciona como servicio en el administrador de tareas de Windows 10) para ejecutar código arbitrario dentro del sistema con privilegios de administrador. Lenovo Sistem Interface Foundation proporciona servicios, drivers y aplicaciones de ayuda a otros softwares propios de Lenovo y otros servicios dentro de Windows 10.
  
Afecta a todos los Thinkpad, Thinkcentre, ThinkStation y sistemas Lenovo preinstalados con Windows 10 u cualquier otro sistema que ejecute Lenovo Companion, Lenovo Settins o Lenovo ID.

Se recomienda actualizar a la última versión de Lenovo System Interface Foundation (http://support.lenovo.com/downloads/ds105970).

El segundo problema, con CVE-2016-8224, podría permitir a un atacante con privilegios administrativos en el sistema causar una denegación de servicio y/o elevar privilegios dentro del sistema a través de una aplicación especialmente manipulada que eluda restricciones de las protecciones del Intel Management Engine.

Intel Management Engine (ME) es un conjunto de características hardware desarrolladas por Intel para administrar, reparar y proteger ordenadores dentro de sus propias redes.

Afecta a los siguientes sistemas y productos:

Lenovo Notebook modelos:
110-14IBR/110-15IBR
B70-80
E31-80
E40-80
E41-80
E51-80
G40-80
G50-80
G50-80 Touch
Ideapad 300-14IBR/300-15IBR
Ideapad 300-14ISK/300-15ISK/300-17ISK
Ideapad 510S-12ISK
K21-80
K41-80
MIIX 710-12IKB
XiaoXin Air 12
YOGA 510-14ISK/510-15ISK
YOGA 710-11IKB
Yoga 710-11ISK
Yoga 900-13ISK
YOGA 900S-12ISK

ThinkServer TS150
ThinkServer TS250
ThinkServer  TS450
ThinkServer  TS550

Lenovo ha publicado actualizaciones para los sistemas afectados, se recomienda consultar la página
para determinar por la versión de la BIOS si el sistema está afectado y la actualización requerida.

Las vulnerabilidades han sido reportadas a través de auditorías internas de la propia compañía y por Alexander Ermolov de Digital Security ltd.

Más información:

Intel Management Engine protection not set on some Lenovo Notebook and ThinkServer systems

Lenovo System Interface Foundation Privilege Escalation

una-al-dia (20/02/2015) Portátiles Lenovo con malware de regalo

una-al-dia (08/05/2016) El software preinstalado vuelve a causar problemas en equipos Lenovo

una-al-dia (03/06/2016) Otra vez Lenovo y las aplicaciones preinstaladas


Juan Sánchez

martes, 29 de noviembre de 2016

Vulnerabilidad crítica en Mozilla Firefox

La Fundación Mozilla ha publicado una actualización de seguridad destinados a corregir una vulnerabilidad considerada crítica (MFSA 2016-91) en el navegador Firefox.

El problema (CVE-2016-9078) reside en que en determinadas circunstancias una redirección desde una conexión http a una URL "data:" puede permitir evitar los controles de políticas de mismo origen y permitir que el dominio de referencia acceda a datos en el dominio de la URL "data:".

El fallo solo afecta a las versiones Firefox 49 y 50. Para corregir estas vulnerabilidades, se han publicado la versión Firefox 50.0.1, disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

Security vulnerabilities fixed in Firefox 50.0.1



Antonio Ropero
Twitter: @aropero

lunes, 28 de noviembre de 2016

Nueva campaña de envío de troyano: Sharik

El método más habitual para la propagación de un troyano sigue siendo las campañas de envíos masivos de correos con un adjunto. Como es frecuente, se suelen acompañar de un mensaje atractivo que mediante la ingeniería social incite al usuario a abrir el adjunto con el malware. Una nueva campaña de envíos de este tipo está dando a luz, esta vez distribuye a "Sharik".

Sharik es un troyano que afecta a la plataforma Windows y aprovecha para inyectarse en procesos legítimos y añade entradas al registro necesarias para mantener persistencia. Además, envía toda la información recolectada a un servidor remoto, incluso llega a aceptar comandos del atacante.

Nos llega en forma de e-mail a través de este correo, con un adjunto.

Recibido por parte de mgXXXXoz@gmail.com
"Buenos días,

 Como hemos comentado, te adjunto la escritura con las rectificaciones marcadas en amarillo. He hablado con los compradores y esta mañana me mandan una copia del cheque. 

Un saludo,"

Este adjunto es el troyano que comience el proceso de descarga (dropper), y entre otras cosas creará una serie de carpetas en %APPDATA%.



Comienza conectándose al servidor remoto y aprovecha para descargarse los archivos necesarios para continuar con la infección. Entre ellos, un binario de php funcional (junto a su librería), y un archivo .php que utilizará más adelante.



El archivo en PHP, que se lanza haciendo uso de dicho binario es el que mostramos a continuación:

Contenido del archivo .php utilizado en conjunto con el binario de PHP descargado.

En esta ocasión, logramos tener acceso al archivo PHP descifrado.



Basta comprobar el registro para descubrir las evidencias de la persistencia de este Malware:



Siguiendo el flujo de peticiones al dominio remoto, observamos como en una de las peticiones se obtiene un binario:



De esta forma, el flujo de funcionamiento del troyano tras su ejecución es inicialmntente se guarda en el registro, tras lo cual lanza el php y el binario oculto

Como es habitual para evitar este tipo de amenazas se recomienda no abrir los adjuntos que provengan de orígenes desconocidos o no solicitados. La prevención es la mejor defensa.


Archivo php: http://pastebin.com/nUm4Sxt4

Actualización (29/11/2016):

El Laboratorio Técnico de Hispasec sigue investigando este malware y detectamos una nueva campaña de envío. El correro cambia, aunque el malware se mantiene:




Fernando Díaz


domingo, 27 de noviembre de 2016

Publicada la píldora formativa Thoth 40 "¿Es vulnerable el algoritmo RSA?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 40 del proyecto Thoth que lleva por título "¿Es vulnerable el algoritmo RSA?"

La existencia de un conjunto de números de una clave RSA, conocidos como números no cifrables, que al cifrarlos se transmiten en claro, así como otros números diferentes a la clave privada, conocidos como claves privadas parejas, que realizan la misma función que aquella, hace pensar que se trata de sendas vulnerabilidades en este sistema de cifra asimétrica. Más aún si en ambos casos dichos valores no son conocidos ni mucho menos públicos. Sin embargo, esto no es así. La probabilidad de que una clave secreta de sesión intercambiada mediante RSA, caiga precisamente dentro de ese conjunto de valores no cifrables, es completamente despreciable. Y, por otra parte, esas claves privadas parejas en la práctica siempre serán números cercanos al módulo de cifra de al menos mil bits, por lo que será imposible adivinar sus valores.

Enlace en YouTube a la píldora Thoth 40 "¿Es vulnerable el algoritmo RSA?"

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Puedes acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 39 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda mediante los siguientes cinco filtros:
1) Fundamentos de seguridad
2) Criptografía clásica
3) Historia de la criptografía
4) Matemáticas en criptografía
5) Criptografía moderna

Como siempre, quedamos a la espera de tus comentarios en YouTube, muy importantes y necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth será en diciembre de 2016, con la píldora número 41 de título "¿Cómo podemos atacar al algoritmo RSA?", con lo que se da por terminada esta serie de tres píldoras dedicadas al algoritmo RSA.


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth

sábado, 26 de noviembre de 2016

Solucionadas tres vulnerabilidades en servidores Apache Tomcat

The Apache Software Foundation ha corregido tres vulnerabilidades importantes que afectan a las ramas 6, 7, 8 y 9 de Apache Tomcat, y que podrían permitir a atacantes provocar condiciones de denegación de servicio, ataques cross-site scripting o la ejecución remota de código.  

Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

La primera vulnerabilidad, calificada como "importante", reside en que JmxRemoteLifecycleListener no se actualizó para incluir la corrección de Oracle para CVE-2016-3427. Por ello, las instalaciones de Tomcat que utilicen este Listener siguen siendo siendo vulnerables a una vulnerabilidad de ejecución remota de código. Según Apache son pocas las instalaciones que utilizan este Listener. Afecta a versiones 6.0.0 a 6.0.47, 7.0.0 a 7.0.72, 8.0.0.RC1 a 8.0.38, 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11

Por otra parte, con CVE-2016-6817, una denegación de servicio debida a que el tratamiento de cabeceras HTTP/2 entra en un bucle infinito si se recibe una cabecera de gran tamaño. Afecta a 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11.

Por último, con CVE-2016-6816, el código que trata la petición http permite caracteres no válidos. Esto podría emplearse junto con un proxy que también permita caracteres no válidos inyectar datos en la respuesta http. Esto podría permitir envenenar la caché web, obtener información sensible o realizar ataques XSS. Afecta a versiones 6.0.0 a 6.0.47, 7.0.0 a 7.0.72, 8.0.0.RC1 a 8.0.38, 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11

El fabricante recomienda a los usuarios que actualicen a las versiones 9.0.0.M13, 8.0.39, 8.5.8, 7.0.73 o 6.0.48, disponibles desde:

Más información:

Fixed in Apache Tomcat 9.0.0.M13

Fixed in Apache Tomcat 8.0.39

Fixed in Apache Tomcat 8.5.8

Fixed in Apache Tomcat 7.0.73

Fixed in Apache Tomcat 6.0.48



Antonio Ropero

Twitter: @aropero

viernes, 25 de noviembre de 2016

Múltiples vulnerabilidades en Moodle

Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrían permitir el acceso no autorizado a archivos o a información sensible.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado cuatro boletines de seguridad (del MSA-16-0023 al MSA-14-0026), y tienen asignados los identificadores CVE-2016-8642 al CVE-2016-8644. Tres de ellos considerados como de gravedad menor y uno de riego serio.

El más grave de los problemas afecta cuando la depuración está activa, los errores de excepción de los servicios web podrán contener datos privados. Otros fallos residen en un error en la función de chequeo que puede permitir a los usuarios ver las notas del curso a las que no tiene acceso a visualizar. En la interfaz web de Moodle los usuarios no administradores con capacidad de editar a otros usuarios no pueden editar la información de los administradores, sin embargo esto no se respeta en uno de los servicios web. Por último, un usuario puede acceder a la URL de un archivo incluido en una pregunta para la que no tiene acceso y descargarlo usando el identificador de una pregunta para la que sí tenga acceso.

Se ven afectadas las versiones 3.1 a 3.1.2, 3.0 a 3.0.6, 2.9 a 2.9.8, 2.8 a 2.8.12, 2.7 a 2.7.16, y versiones anteriores ya fuera de soporte.

Las versiones 3.1.3, 3.0.7, 2.9.9 y 2.7.17 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

Más información:

Security Announcements

MSA-16-0026: When debugging is enabled, error exceptions returned from webservices could contain private data.

MSA-16-0025: Capability to view course notes is checked in the wrong context

MSA-16-0024: Non-admin site managers may accidentally edit admins via web services

MSA-16-0023: Question engine allows access to files that should not be available




Antonio Ropero

Twitter: @aropero

jueves, 24 de noviembre de 2016

El CCN-CERT presenta las X Jornadas STIC CCN-CERT

Bajo el lema "Diez años fortaleciendo la ciberseguridad nacional", las Jornadas STIC CCN-CERT celebran su décima edición con conferencias sobre ciberespionaje, APTs, amenazas, herramientas, tecnologías, ENS y complimiento normativo.

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como el CERT Gubernamental español. El CCN-CERT tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés
estratégico para el país.

Las X Jornadas STIC CCN-CERT tendrán lugar en Madrid (Kinépolis-Ciudad de la Imagen), los días 13 y 14 de diciembre y reunirán a más de 1.400 expertos, provenientes, principalmente, del Sector Público y de empresas de interés estratégico para el país (de sectores como el aeroespacial, energético, gubernamental, defensa, farmacéutico, químico, Tecnologías de la Información y las Comunicaciones o financiero que son esenciales para la seguridad nacional y para el conjunto de la economía española).

Las jornadas incluyen un completo programa de conferencias y mesas redondas con temas sobre ciberespionaje, APTs (Amenazas Persistentes Avanzadas), amenazas, herramientas, tecnologías, ENS (Esquema Nacional de Seguridad), complimiento normativo, ataques a dispositivos móviles y Smart Cities o infecciones masivas. El programa completo está disponible desde:

La inscripción y el acceso a las Jornadas es gratuito. Aunque con preferencia para el personal de organizaciones adscritas a alguno de los servicios del CCN-CERT, usuarios registrados en su portal, personal de las Administraciones Públicas o empresas de interés estratégico y patrocinadores. El plazo de inscripción está abierto hasta el día 28 de noviembre en:

Más información:

X Jornadas STIC CCN-CERT

Antonio Ropero

Twitter: @aropero

miércoles, 23 de noviembre de 2016

Vulnerabilidades en productos VMware

VMware ha publicado dos boletines de seguridad para corregir varias vulnerabilidades de divulgación de información sensible en VMware Identity Manager, vRealize Automation, en el servidor vCenter, en el cliente vSphere y vRealize Automation.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.


El primer boletín (VMSA-2016-0021) se refiere a una vulnerabilidad, con CVE-2016-5334, en VMware Identity Manager que podría permitir una obtención "parcial" de información. El fallo es similar a una escala de directorio o de directorio transversal, aunque según confirma la compañía solo se puede acceder a archivos de los directorios "/SAAS/WEB-INF" and "/SAAS/META-INF". Igualmente señala que estos directorios no contienen datos confidenciales pero el problema debe ser corregido igualmente.
Afecta a VMware Identity Manager 2.x y a vRealize Automation 7.x.

Por otra parte, en el boletín VMSA-2016-0022 se refiere a tres vulnerabilidades de Entidad XML Externa (XML External Entity o XXE) en diferentes productos VMware. La primera en el cliente vSphere (CVE-2016-7458); otra afecta a vCenter Server en el Log Browser, en la configuración Distributed Switch y en Content Library (CVE-2016-7459) y por último en vCenter Server y vRealize Automation en la funcionalidad Single Sign-On (CVE-2016-7460). Estos problemas podrían dar lugar a divulgación de información.
Afectan a:

  • vSphere Client 6.0 y 5.5
  • vCenter Server 6.0 y 5.5
  • vRealize Automation 6.x

VMware ha publicado versiones actualizadas para evitar los problemas disponibles desde:
VMware Identity Manager 2.7.1
vRealize Automation 7.2.0
vCenter Server 6.0 U2a y 5.5 U3e
vRealize Automation 6.2.5

Más información:

VMSA-2016-0021
VMware product updates address partial information disclosure vulnerability

VMSA-2016-0022
VMware product updates address information disclosure vulnerabilities

VMSA-2016-0021 and VMSA-2016-0022



Antonio Ropero
Twitter: @aropero

martes, 22 de noviembre de 2016

Múltiples vulnerabilidades en NTP

La Network Time Foundation ha publicado una nueva versión de ntpd destinada a corregir 10 vulnerabilidades, que podrían permitir provocar condiciones de denegación de servicio.

NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.

Los problemas corregidos incluyen una vulnerabilidad de gravedad alta que solo afecta a Windows, dos de importancia media, dos media-baja y cinco de riesgo bajo. También se corrigen otros 28 fallos no relacionados con la seguridad y otras mejoras.

El problema considerado más grave consiste en una denegación de servicio cuando ntpd en Windows recibe un paquete UDP de gran tamaño (CVE-2016-9312).

El resto de problemas residen en una denegación de servicio por desreferencia de puntero nulo en el servicio trap (CVE-2016-9311). Un paquete específicamente construido de modo de control 6 (mode 6) puede provocar una fuga de información y amplificación DDoS (CVE-2016-9310). Otros problemas podrían permitir a un atacante con acceso al dominio broadcast NTP podría impedir el tráfico de los servidores broadcast legítimos (CVE-2016-7427 y CVE-2016-7428).

Debido a un error de regresión existen problemas de validación de  marcas de tiempo (timestamps) Zero Origin (CVE-2016-7431). Desreferencia de puntero nulo en _IO_str_init_static_internal() (CVE-2016-7434). Un ataque por la selección de interfaz en hosts con múltiples interfaces, el atacante podrá obligar al sistema a seleccionar una interfaz errónea y evitar el envío de nuevas peticiones (CVE-2016-7429). Denegación de servicio por la limitación de restricciones (CVE-2016-7426). Por último, la corrección de un anterior fallo provoca un fallo en los cálculos iniciales de la sincronización (CVE-2016-7433).

Se recomienda actualizar a la versión 4.2.8p9 disponible desde:

Más información:

November 2016 ntp-4.2.8p9 NTP Security Vulnerability Announcement (HIGH for Windows, MEDUIM otherwise)



Antonio Ropero

Twitter: @aropero

lunes, 21 de noviembre de 2016

Elevación de privilegios en productos Symantec

Symantec ha confirmado una vulnerabilidad que podría permitir a un atacante ejecutar código con permisos elevados en productos Norton Security, en clientes Symantec Endpoint Protection Small Business Enterprise (SEP SBE) y clientes Symantec Endpoint Protection Cloud (SEPC).

La vulnerabilidad, con CVE-2016-5311, reside en un problema de precargas de DLL debido a restricciones de ruta inadecuadas cuando se cargan las liberías. Esto puede permitir que una de las librerías de la aplicación cargue explícitamente una dll de terceras partes sin especificar una ruta absoluta. Un usuario con acceso al cliente podría insertar un archivo malicioso con el mismo nombre de una dll específica en una carpeta determinada. En la mayoría de situaciones el código se ejecutará con los permisos del usuario. Sin embargo, durante los procesos de instalación y desinstalación, el código arbitrario se ejecutará con permisos del sistema.

Symantec ha corregido esta vulnerabilidad a través de la versión NGC 22.7 para productos Norton y NGC 22.8.0.50 para productos Symantec Endpoint Protection distribuidas a través de LiveUpdate.

Más información:

Security Advisories Relating to Symantec Products - Symantec Norton Client DLL Pre-Loading Uncontrolled Search Path Elevation of Privilege



Antonio Ropero

Twitter: @aropero

domingo, 20 de noviembre de 2016

El Laboratorio de Hispasec no para

Nuestro Laboratorio Técnico no para nunca, una buena muestra de ello es su blog, en el que con frecuencia ofrecen interesantes artículos técnicos y análisis de nuevas muestras de malware. 


A mediados de octubre nuestros compañeros del Laboratorio descubríeron el gusano para Android Curiosity que ha conseguido un gran número de infecciones.

El comportamiento de Curiosity es grave para el usuario, ya que una vez infecta a la víctima obtiene una lista de todos los contactos registrados en el teléfono y se envía a si mismo a través de enlaces en SMSs y phishing. Esto le ha permitido conseguir distribuirse rápidamente en diferentes dispositivos y crear una amplia red de terminales infectados.

Entre los mensajes utilizados para distribuirse, encontramos uno de ellos en español, por lo que es posible que este troyano se esté distribuyendo por países hispano-parlantes: El mensaje en español empleado para su propagación es 
"Hola   He encontrado aquí sus fotos privadas
http://bit.ly/XXXXX
clic para ver".
Además del control sobre las llamadas, también facilita el envío al atacante de información como contactos, SMS almacenados, historial de llamadas grabadas, IMEI, modelo, sistema operativo, red conectada, teléfono, país…

En otra interesante entrada se nos muestra cómo integrar las detecciones de Koodous en el flujo de negocio. Se trata de unas ideas para automatizar la detección de reglas Yara en Koodous. Una forma sencilla de utilizar la API que provee Koodous para extraer todas las aplicaciones detectadas por una regla.

Sin duda, el malware y su análisis se lleva una gran parte de las entradas del blog. A finales de octubre se desgranaba el comportamiento de un gusano para Android que aprovechaba la ingeniería social para distribuirse con gran efectividad, mediante el conocido truco de "¡Mira esta foto!".

Para comenzar noviembre nuestro Laboratorio ofrecía un análisis de Exaspy, un nuevo malware espía para Android.  En esta ocasión, la aplicación se hace pasar por Google Play Services, aunque con la recomendación habitual de comprobar el autor y el nombre del paquete se puede ver que no coinciden con el original.

Entre las posibilidades de este malware, se incluye la posibilidad de grabar audio, dentro y fuera de las llamadas, recolección de mensajes SMS/MMS y de aplicaciones como WhatsApp. La lista completa de aplicaciones espiadas incluye: email, Facebook Messenger, Gmail, Hangouts, Keep, PayBox, Skype, Viber y WhatsApp.

Otras funcionalidades de este malware incluyen:
  • Recolección de mensajes, acceso al historial del navegador
  • Obtención de fotos de la galería del dispositivo
  • Control de la cámara, y micrófono del dispositivo
  • Capturas de pantalla del dispositivo
  • Acceso a la localización del dispositivo
  • Recolección de contraseñas almacenadas en el dispositivo (WiFi)
  • Acceso a la shell del sistema afectado
También podemos ver como el ransomware afecta cada vez más a Android. De nuevo hay que prestar atención a los mensajes que recibimos, pues descubrimos como un Ransomware se hace pasar por un falso correo de una factura de Amazon para infectar.

La última y más reciente de las entradas del blog nos enseña como una aplicación destinada supuestamente a obtener tarjetas de crédito válidas para realizar compras on-line en realidad esconde un peligroso malware. Lo que englobaríamos dentro del "Carding", es decir, el uso ilegitimo de tarjetas de crédito o sus números, pertenecientes a otras personas.

Una de las características de este malware es la de keylogger, pero éste solo actúa en determinadas situaciones. Por ejemplo, cuando detecta que se está visitando la página de las siguientes webs:
  • Amazon
  • Apple
  • Blockchain o Blockchain wallet
  • Coinbase
  • eBay
  • Gamil
  • Localbitcoins
  • OnlineBanking
  • NETELLER
  • PayPal
  • Perfect Money
  • Facebook
  • Yahoo
  • Microsoft / Outlook 

Se puede encontrar mucha más información sobre estos temas en cada una de las entradas del blog del Laboratorio técnico de Hispasec.

Más información:

Curiosity, el nuevo gusano de Android

Integrando las detecciones de Koodous en tu flujo de negocio

Gusano de Android utiliza ingeniería social para distribuirse

Ransomware aprovecha la imagen de Amazon para infectar

El carding puede infectarte



Antonio Ropero
Twitter: @aropero

sábado, 19 de noviembre de 2016

Publicadas nuevas versiones de Wireshark

Wireshark Foundation ha publicado las versiones 2.0.8 y 2.2.2 que incluyen la corrección de cinco vulnerabilidades que podrían provocar condiciones de denegación de servicio. 

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

En esta ocasión la fundación Wireshark ha publicado cinco boletines de seguridad en total (del wnpa-sec-2016-58 al wnpa-sec-2016-62); cinco afectan a la rama 2.2, mientras que cuatro de los avisos de seguridad afectan a la rama 2.0.

Como es habitual, las vulnerabilidades corregidas residen en denegaciones de servicio por fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. La lista de los disectores y protocolos afectados incluyen OpenFlow, DCERPC, DTN, Profinet I/O y AllJoyn. Los CVE van del CVE-2016-9372 al CVE-2016-9376.

También se ha solucionado diferentes problemas no relacionados directamente con vulnerabilidades de seguridad y actualizado el soporte de diferentes protocolos.

Las vulnerabilidades mencionadas se han solucionado en la versión 2.0.8 y 2.2.2 están disponibles para descarga desde la página oficial del proyecto.
Hay que recordar que Wireshark 1.12 alcanzó su final de vida el 31 de julio, por lo que ya no recibe actualizaciones. Se recomienda a los usuarios de esta rama actualizar a Wireshark 2.2.0.

Más información:

Wireshark 2.0.8 is now available

Wireshark 2.2.2 Release Notes

wnpa-sec-2016-58
Profinet I/O long loop. (Bug 12851)

wnpa-sec-2016-59
AllJoyn crash. (Bug 12953)

wnpa-sec-2016-60
OpenFlow crash. (Bug 13071)

wnpa-sec-2016-61
DCERPC crash. (Bug 13072)

wnpa-sec-2016-62
DTN infinite loop. (Bug 13097)



Antonio Ropero

Twitter: @aropero

viernes, 18 de noviembre de 2016

Corregidas vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como moderadamente crítico, en el que se solucionan cuatro vulnerabilidades.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El primer problema considerado critico reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la ruta system.temporary podría permitir a un atacante sin permisos de administrador la descarga de la configuración completa.

Un último problema, de menor gravedad que los anteriores, podría permitir a usuarios sin permisos para la administración de comentarios configurar la visibilidad de comentarios en los nodos que puedan editar.

El primer problema considerado de menor gravedad, reside en un fallo de inconsistencia de nombres en consultas con etiquetas term_access que podría permitir revelar información sobre términos de taxonomía a usuarios sin privilegios. Afecta a Drupal 7 y Drupal 8. También de menor criticidad el formulario de reinicio de contraseña de usuario no especifica el contexto de caché de forma adecuada, lo que puede permitir el envenenamiento de caché y ofrecer contenido no deseado en la página. Solo afecta a Drupal 8.

Por otra parte, una vulnerabilidad moderadamente crítica podría permitir a usuarios maliciosos construir una URL a un formulario de confirmación que tras interactuar con el formulario redireccione al usuario a un sitio web de un tercero. Esto podría emplearse para ataques de ingeniería social. Solo afecta a Drupal 7.

Por último, de gravedad moderadamente crítica, una URL especialmente diseñada puede causar una denegación de servicio a través del mecanismo de transliteración. Solo afecta a Drupal 8.

Se recomienda la actualización a las versiones de Drupal 7.52 o 8.2.3.

Más información:

Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-005





Antonio Ropero

Twitter: @aropero

jueves, 17 de noviembre de 2016

ONTSI presenta una nueva edición del "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles"

El Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) presenta una nueva edición del "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles" correspondiente al periodo enero-junio 2016. 

Esta investigación analiza el estado de la ciberseguridad en los hogares digitales españoles. En él se detallan la adopción de medidas de ciberseguridad, el nivel de incidencia real de situaciones que pueden constituir riesgos de ciberseguridad y el grado de confianza que los hogares españoles depositan en la Sociedad de la Información.

Las distintas informaciones del documento se han obtenido a través de dos vías: recopilación de datos declarados –mediante encuestas en más de 3.600 hogares españoles–, y datos reales –a través de un software específico que analiza los sistemas y la presencia de malware en los equipos gracias a la utilización conjunta de 50 motores antivirus–. Esta dualidad de fuentes permite contrastar el nivel real de incidentes que sufren los equipos con la percepción que tienen los usuarios. Además, desde la anterior edición se incluyen los resultados del análisis de casi 700 dispositivos Android.

Desde Hispasec hemos colaborado de forma activa en realización de este estudio, mediante el desarrollo y utilización del software Pinkerton. Destinado a analizar los sistemas recogiendo datos del sistema operativo, su estado de actualización y las herramientas de seguridad instaladas. Pinkerton también detecta la presencia de malware en los equipos y dispositivos móviles gracias a la utilización conjunta de 50 motores antivirus.

Los datos reflejados en este informe abarcan el análisis de los datos recogidos entre enero y junio de 2016. Como es habitual los datos son interesantes y reveladores.

La mayoría (93,2%) de usuarios de smartphones y tablets Android declara realizar descargas de aplicaciones desde los repositorios oficiales. Sin embargo, el dato aportado por Pinkerton revela que en un tercio (32,8 %) de los dispositivos Android analizados la configuración por defecto había sido modificada para permitir la instalación de aplicaciones desde fuentes desconocidas.

El 63,7% de los usuarios de redes sociales configura su perfil para que solo sea accesible por sus amigos y contactos. Sin embargo el 31,8% expone los datos publicados en su perfil a terceras personas y/o desconocidos, e incluso un 4,6 % de los consultados declara desconocer el nivel de privacidad de su perfil.

El porcentaje de los intentos de fraude que acaban suponiendo un perjuicio económico para la víctima disminuye en 3 puntos porcentuales durante el actual período. La cuantía continúa siendo inferior a 100 euros en el 79,3 % de las ocasiones.

Casi el 71% de los internautas encuestados opinan que su equipo informático o dispositivo móvil se encuentra razonablemente protegido frente a las potenciales amenazas de Internet. Además, más del 45% de los usuarios encuestados confía bastante o mucho en Internet.

En esta edición del informe se recogen interesantes novedades y mejoras como la inclusión de un mayor número de gráficas de evolución con respecto a la oleada anterior, nuevas gráficas y estudios (como por ejemplo el uso de java) y la inclusión de conclusiones más prácticas relacionándolas con noticias de actualidad.

Respecto al uso de Java, que se presenta como novedad en este informe, el entorno Java se encuentra presente en el 60% de los ordenadores escaneados. Cabe destacar que la infección en estos equipos asciende hasta un nivel del 68.9% (seis puntos porcentuales por encima de los equipos que no tienen este software instalado).

En el mismo documento, se ofrecen enlaces, a través del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) de Red.es, para que los usuarios puedan consultar consejos y ayudas para mejorar su ciberseguridad en los distintos ámbitos en los que se centra el estudio. Por lo que no solo resulta interesante por sí mismo, sino que además resulta de gran interés por los enlaces e información de ayuda al usuario que ofrece.

El estudio completo se puede descargar desde la página del ONTSI en el siguiente enlace:

El informe recoge muchos más datos de interés:
  • Medidas de seguridad
    Medidas de seguridad utilizadas en redes inalámbricas Wi-Fi, Uso de medidas de seguridad dispositivos Android
         
  • Hábitos de comportamiento en la navegación y usos de Internet
    Banca en línea y comercio electrónico, Descargas en Internet, Redes sociales, Hábitos de uso de las redes inalámbricas Wi-Fi, Hábitos de uso en dispositivos Android
         
  • Incidentes de seguridad 
    Tipos de malware, Incidencias de seguridad, Incidentes por malware, Tipología del malware detectado, Peligrosidad del código malicioso y riesgo del equipo, Malware vs. sistema operativo, Malware vs. actualización del sistema, Malware vs. Java en PC, Incidencias de seguridad en las redes inalámbricas Wi-Fi
        
  • Consecuencias de los incidentes de seguridad y reacción de los usuarios 
    Intento de fraude online y manifestaciones, Seguridad y fraude, Cambios adoptados tras un incidente de seguridad
         
  • Confianza en el ámbito digital en los hogares españoles 
    e-Confianza y limitaciones en la Sociedad de la Información, Percepción de los usuarios sobre la evolución en seguridad, Valoración de los peligros de Internet, Responsabilidad en la seguridad de Internet
        
  • Conclusiones y Alcance del estudio

Más información:

Ciberseguridad y confianza en los hogares españoles (noviembre 2016)

Estudio sobre la Ciberseguridad y Confianza en los hogares españoles (noviembre 2016)



Antonio Ropero
Twitter: @aropero


miércoles, 16 de noviembre de 2016

Mozilla publica Firefox 50 y corrige 28 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 50 de Firefox, que además de incluir mejoras y novedades soluciona 28 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.5.

Hace mes y medio que Mozilla publicó la versión 49 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras.

Como ya inició en septiembre todos los fallos se engloban en un único boletín, el MSFA-2016-089, que incluye todas las vulnerabilidades corregidas. Según la propia clasificación de Mozilla de las 28 vulnerabilidades corregidas, tres están consideradas críticas, 13 son de gravedad alta, 10 de moderada y las dos restantes de nivel bajo.

Las vulnerabilidades críticas residen en un desbordamiento de búfer en Cairo cuando se procesa contenido SVG (CVE-2016-5296), así como problemas (CVE-2016-5289 y CVE-2016-5290) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.

Entre las vulnerabilidades de gravedad alta se incluyen un fallo en la verificación de actualizaciones de un Add-on podría permitir a un atacante que realice un hombre en el medio y que anule la protección de pinning de certificados instalar un add-on malicioso firmado en vez de la actualización válida (CVE-2016-9064).

También una denegación de servicio al tratar una URL específicamente creada (CVE-2016-5292), la falsificación de la URL en la barra de direcciones en Android (CVE-2016-9065), un desbordamiento de búfer en nsScriptLoadHandler (CVE-2016-9066), dos errores por uso de memoria después de liberarla durante operaciones DOM que podrían provocar denegaciones de servicio (CVE-2016-9067 y CVE-2016-9069), una comprobación incorrecta de la longitud de argumentos en JavaScript podría provocar desbordamientos de enteros o problemas de comprobación de límites (CVE-2016-5297),

También se ha publicado Firefox ESR 45.5 (MSFA-2016-090); versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Está actualización incluye la corrección de nueve vulnerabilidades.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
o desde la actualización del navegador en "Ayuda/Acerca de Firefox".

Firefox ESR está disponible desde:

Más información:

Firefox Notes
Version 50.0

Security vulnerabilities fixed in Firefox 50

una-al-dia (24/09/2016) Mozilla publica Firefox 49 y corrige 18 nuevas vulnerabilidades

Security vulnerabilities fixed in Firefox ESR 45.4


Antonio Ropero
Twitter: @aropero