viernes, 26 de mayo de 2017

Cloak and Dagger atacan Android

Un grupo de investigadores han dado a conocer una nueva serie de ataques sobre Android bautizados como Cloak and Dagger, y que podrían permitir al atacante tomar el control del dispositivo sin que el usuario tenga conocimiento de la actividad maliciosa.

Un grupo de cuatro investigadores del Instituto de Tecnología de Georgia y de la Universidad de California han publicado un estudio en el que alertan de una serie de vulnerabilidades en sistemas Android. El estudio realizado por los investigadores indica que estos ataques son prácticos y afectan a todas las versiones recientes de Android (incluida la última versión, Android 7. 1. 2), y aún no se han solucionado.

En un ataque real la capa
supersuesta no se muestra
Los ataques solo requieren dos permisos, que en caso de que la aplicación se instale desde Play Store ni siquiera es necesario asignarlos explícitamente ni llegan a notificarse al usuario. Los ataques abusan de los permisos SYSTEM_ALERT_WINDOW ("draw on top") y BIND_ACCESSIBILITY_SERVICE ("a11y"). El primero de ellos actúa como Cloak (Capa) y el segundo como Dagger (Puñal). Algunos ataques solo requieren de uno de los permisos y otros la combinación de ambos.

Estos dos permisos pueden permitir a los atacantes dibujar una ventana que engañe a los usuarios para creer que están interactuando con las características legítimas de la aplicación. El programa malicioso funciona superpuesto para capturar las credenciales del usuario para el autor de malware, mientras que el permiso de accesibilidad introduce las credenciales en la aplicación real oculta debajo. Todo mientras funciona la aplicación que se visualiza por encima y oculta al usuario todo lo ocurrido por detrás.

Los posibles ataques incluyen "clickjacking" avanzado, grabación de pulsaciones del teclado sin restricciones, phishing silencioso, instalación silenciosa de aplicaciones con todos los permisos habilitados o desbloqueo de teléfono y acciones arbitrarias manteniendo la pantalla apagada.

La mejor ilustración de los efectos de los ataques se muestran en los videos publicados por los investigadores:

Invisible Grid Attack (Ataque de red invisible)

Context-aware/hiding Clickjacking + Silent God-mode Install Attack
(Clickjacking oculto y ataque de instalación silenciosa en modo Dios)

Stealthy Phishing Attack (Ataque de phishing sigiloso)

Más información:

Cloak and Dagger

Cloak and Dagger: From Two Permissions to Complete Control of the UI Feedback Loop


Antonio Ropero
Twitter: @aropero


jueves, 25 de mayo de 2017

Actualización por tres vulnerabilidades en Asterisk

Asterisk ha publicado actualizaciones de seguridad para solucionar tres vulnerabilidades que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primer problema, descrito en el boletín AST-2017-002, reside en un desbordamiento de búfer en la capa de transacciones PJSIP. Un usuario remoto puede enviar un paquete SIP con una cabecera CSeq especialmente diseñada y un encabezado Vía sin parámetro de ramificación para provocar el desbordamiento de búfer que conlleva la caída del servicio.

Otra vulnerabilidad, también en PJSIP reside en un error lógico en el tratamiento de paquetes específicamente manipulados que puede permitir a un atacante remoto provocar la caída del servicio.

Por último, un consumo de toda la memoria disponible por el tratamiento de un paquete SCCP a un sistema Asterisk con "chan_skinny" activo, que sea mayor que el tamaño de la cabecera SCCP pero menor que la longitud del paquete especificada en la cabecera.

Afecta a Asterisk Open Source 14.x y 13.x, y a Certified Asterisk 13.13. Se han publicado las versiones Asterisk Open Source 13.15.1 y 14.4.1 y Certified Asterisk 13.13-cert4 que solucionan este problema.

Más información:

Asterisk Project Security Advisory - ASTERISK-2017-002
Buffer Overrun in PJSIP transaction layer

Asterisk Project Security Advisory - ASTERISK-2017-003
Crash in PJSIP multi-part body parser

Asterisk Project Security Advisory - ASTERISK-2017-004
Memory exhaustion on short SCCP packets



Antonio Ropero
Twitter: @aropero




miércoles, 24 de mayo de 2017

Ejecución remota de código en Samba

Se ha confirmado una grave vulnerabilidad en Samba (todas las versiones superiores a 3.5.0), que podría permitir a un atacante remoto ejecutar código arbitrario desde un compartido en el que se pueda escribir.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El problema (con CVE-2017-7494) puede permitir a un cliente malicioso subir una librería compartida a un compartido que permita la escritura y posteriormente hacer que el servidor la cargue y la ejecute.

Se han publicado parches para solucionar esta vulnerabilidad en
Adicionalmente, se han publicado las versiones Samba 4.6.4, 4.5.10 y 4.4.14 que corrigen los problemas.

Como contramedida el equipo de Samba recomienda añadir el parámetro
"nt pipe support = no"
En la sección [global] de smb.conf y reiniciar smbd.

Más información:

[Announce] Samba 4.6.4, 4.5.10 and 4.4.14 Available for Download

Remote code execution from a writable share.



Antonio Ropero

Twitter: @aropero

martes, 23 de mayo de 2017

Los subtítulos pueden permitir controlar tu ordenador

Investigadores de Check Point han anunciado una nueva y sorprendente forma de ataque que puede dejar expuestos a millones de usuarios de todo el mundo, los subtítulos. Mediante un archivo de subtítulos malicioso descargado por el reproductor de medios del usuario el atacante podrá tomar el control total del sistema. Se ven afectadas plataformas de reproducción de vídeo y streaming tan populares como VLC, Kodi (XBMC), Popcorn-Time y strem.io, aunque también puede afectar a otros sistemas.

Se estiman hasta 200 millones de instalaciones de reproductores afectados lo que según los investigadores estiman que puede convertirse en una de las vulnerabilidades más difundidas, de fácil acceso y de resistencia cero de los últimos años.

Según Check Point esta vulnerabilidad abre un Nuevo vector de ataque desconocido hasta el momento: cuando un reproductor multimedia carga los subtítulos de una película. Los repositorios de subtítulos se consideran, en la práctica, como una fuente fiable por el usuario o el reproductor. Sin embargo, la investigación realizada revela que pueden manipularse para conseguir que un archivo de subtítulos alcance la mayor puntuación para de esa forma sea servido al usuario. Incluso en aplicaciones que obtienen los subtítulos de forma automática desde Internet podrá ser posible construir ataques sin interacción del usuario.

El problema reside del tratamiento que los reproductores multimedia realizan de los archivos de subtítulos y del gran número de formatos de subtítulos. En la actualidad hay más de 25 formatos diferentes de subtítulos, cada uno con sus propias características. La necesidad de tratar múltiples formatos al final conlleva diferentes vulnerabilidades.

En el aviso de Check Point confirman la existencia de vulnerabilidades en VLC, Kodi, Popcorn Time y Stremio. Aunque creen que otros reproductores multimedia también pueden tener fallos similares. También aseguran que algunos de los problemas se han corregido, pero aun hay algunos bajo investigación. Para permitir a los desarrolladores corregir todas las vulnerabilidades no han ofrecido mayores detalles técnicos.

Para demostrar las vulnerabilidades y el alcance que pueden tener han publicado un vídeo en el que se muestra como un atacante puede llegar a tomar el control del ordenador en el momento en que se cargan los subtítulos.


Los reproductores afectados han publicado actualizaciones para corregir estos problemas, aunque como comentábamos antes es posible que en breve publiquen nuevas versiones.

Más información:

Hacked in Translation – from Subtitles to Complete Takeover



Antonio Ropero
Twitter: @aropero



lunes, 22 de mayo de 2017

Vulnerabilidades en routers Tenda

Se han reportado dos vulnerabilidades en routers Tenda, descubiertas por Yuan Ming investigador del laboratorio de ciberseguridad de la universidad de Beihang. Las vulnerabilidades son consideradas de gravedad media-alta y podrían permitir a un atacante provocar condiciones de denegación de servicio y saltar restricciones de seguridad.

Tenda es un fabricante muy reconocido de dispositivos de red y equipos de banda ancha. Sus productos van desde redes domésticas, a redes profesionales, switches, CPEs de banda ancha, gateways, banda ancha móvil, powerlines, cámaras IP etc. Tienen una amplia experiencia en el sector industrial y doméstico.

En el primer problema, con CVE-2017-9138, en el que un atacante local podría saltar restricciones de seguridad a través de comandos Shell especialmente manipulados. Este problema se debe a una vulnerabilidad en un servicio UDP específico que permitiría a determinadas URLs ejecutar determinados comandos Shell.

El segundo problema con CVE-2017-9139, en el que un atacante local o remoto podría provocar una denegación de servicio (interrupción del servicio HTTP) a través de peticiones POST especialmente manipuladas a URLs no especificadas. Este error se debe a una vulnerabilidad que podría causar un desbordamiento de memoria intermedia basada en pila.

Estos problemas afectan a routers 802.11ac (modelos FH1202/F1202/F1200, con firmware anterior al 1.2.0.20).
Se recomienda actualizar a versiones superiores.

Más información:

Tenda

Overview


Juan Sánchez


domingo, 21 de mayo de 2017

Corregidas vulnerabilidades en VMware Workstation

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades importantes en VMware Workstation.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

El boletín VMSA-2017-0009 se refiere a dos vulnerabilidades en VMware Workstation Pro y Player 12.x. La primera con CVE-2017-4915 reside en la carga insegura de librerías a través de los archivos de configuración del controlador de sonido ALSA. Esto podría permitir elevar privilegios a root en un sistema anfitrión Linux.

Por otra parte, con CVE-2017-4916, una desreferencia de puntero nulo en el controlador vstor2, que podría permitir provocar condiciones de denegación de servicios a usuarios del sistema anfitrión.


VMware ha publicado versiones actualizadas para evitar los problemas disponibles desde: 
VMware Workstation Pro 12.5.6 
VMware Workstation Player 12.5.6  

Más información:

VMSA-2017-0009
VMware Workstation update addresses multiple security issues


Antonio Ropero

Twitter: @aropero

sábado, 20 de mayo de 2017

Actualización de seguridad para WordPress

Se ha publicado la versión 4.7.5 de WordPress destinada a solucionar seis vulnerabilidades, que podrían permitir la realización de ataques de cross-site scripting y CSRF.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Dos de las vulnerabilidades corregidas podrían permitir la realización de ataques de Cross-Site Scripting (XSS) a través del personalizador y al tratar de subir archivos muy grandes. Un Cross-site request forgery (CSRF) en el cuadro de diálogo de las credenciales del sistema de archivos.

Por otra parte, también existe una validación inadecuada en las redirecciones en la clase HTTP. También se ha corregido el tratamiento incorrecto de los valores y la falta de comprobaciones de capacidad de datos de los meta de entrada de la API XML-RPC.

Además está versión contiene la corrección de otros tres fallos (de la versión 4.7) no relacionados directamente con problemas de seguridad.

Se recomienda la actualización de los sistemas a la versión 4.7.5 disponible desde:
O bien desde el escritorio de WordPress, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.7.5.

Más información:

WordPress 4.7.5 Security and Maintenance Release

WordPress 4.7.5: Actualización de seguridad y mantenimiento




Antonio Ropero
Twitter: @aropero



viernes, 19 de mayo de 2017

Actualización para Joomla! por Inyección SQL

Joomla! ha publicado la versión 3.7.1 destinada a corregir una grave vulnerabilidad de inyección SQL en Joomla! 3.7 fácilmente explotable por atacantes sin privilegios.

Si tienes la versión 3.7...
actualiza ¡YA!
Joomla! es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores.

El problema, con CVE-2017-8917, fue anunciado por investigadores de la firma Securi y reside en el componente com_field (introducido en la versión 3.7). Este componente es accesible de forma pública, lo que significa que puede ser aprovechado por cualquier atacante que visite una web afectada.

Dada la naturaleza de los ataques de inyección SQL, son muchas las formas en que el atacante podría emplearlo. Los ejemplos incluyen obtención de hashes de contraseñas o el secuestro de una sesión de usuario iniciada (que puede significar el compromiso del sitio completo si el atacante obtiene una sesión del administrador).

También se han corregido otros problemas no relacionados directamente con fallos de seguridad.

Se ha publicado la versión 3.7.1 disponible desde
Para nuevas instalaciones:
Para actualizaciones:

Más información:

SQL Injection Vulnerability in Joomla! 3.7

Joomla! 3.7.1 Release

[20170501] - Core - SQL Injection


  
Antonio Ropero
Twitter: @aropero

jueves, 18 de mayo de 2017

SVPeng muta para comenzar a afectar a entidades europeas

Cuando todavía muchos siguen pensando en WannCry, llega el momento de asumir que hay muchos más malwares rondando por Internet. Esta vez queremos alertar de una variante del troyano bancario conocido como SVPeng, que cómo no, vuelve a querer robarnos el dinero.

Hoy hemos encontrado una nueva variante del troyano SVPeng buscando un poquito en Koodous. Esta familia comenzó a distribuirse a mediados de julio de 2016 a través de una vulnerabilidad que descubrieron en Chrome para Android (y ya parchearon). Básicamente el troyano se descargaba usando la plataforma de AdSense, a través de un código JavaScript, descargaba el APK partido en trozos y cifrado. Con esta técnica eludían que el navegador avisara de que se estaba descargando un fichero.

Las primeras muestras que hemos encontrado datan de primeros de marzo de este año y por el momento sólo hemos localizado 12 ejemplares, pero el último de ellos afecta a entidades europeas. Por ello hemos considerado que merece una atención especial.

En este caso hemos comenzado el estudio de la muestra con un breve análisis estático, lo que nos sirve para encontrar la lista de entidades afectadas incluidas dentro del propio código, sin ningún tipo de ofuscación, totalmente claras:



Sin embargo, este dato contrasta enormemente con la alta ofuscación que sufre el resto de su código, por ejemplo:


Este malware se encarga de descifrar un nuevo archivo dex, que carga y utiliza. Los archivos dex incluyen código de la aplicación preparado para la máquina virtual Dalvik. Por otra parte, al igual que otros bankers también registra varios receptores para SMS en su manifiesto. De esta forma los atacantes se garantizan el control de los SMS recibidos, muy útiles para controlar los casos en que se emplea un doble factor de autenticación a través de SMS.



Y como es habitual, solicita permisos de administración:





Finalmente, utiliza un WebView para cargar la página de phishing que se muestra remotamente:


Estos son algunos de los bancos afectados:


La muestra en cuestión se puede observar a continuación en nuestra plataforma Koodous:

Como es habitual recordamos extremar la precaución, especialmente en los dispositivos móviles, donde con frecuencia tendemos a levantar nuestras defensas. El sentido común suele ser una buena defensa, comprobar los permisos que pide la aplicación cuando se instala y por si falla nuestra intuición disponer de algún software de seguridad. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.

Recordamos que si recibís correos que consideréis falsos, con facturas falsas, intentos de fraude o sospechéis que incluye malware podéis enviárnoslo a report@hispasec.com.



Antonio Sánchez

miércoles, 17 de mayo de 2017

WannaCry y las lecciones que nunca aprendemos

Ya pasó la resaca del famoso ransomware WannaCry del pasado viernes, sin embargo siguen las amenazas de una nueva versión. Cuando ya sabemos casi todo del malware, llega el momento de recapacitar y ver si de una vez somos capaces de aprender algo de estos casos.

Como el coyote. No
aprendemos de los errores
En los últimos días hemos visto noticias sobre el ciberataque mundial que ha "colapsado el mundo”, con frases como que estamos ante "el mayor ciberataque de todos los tiempos" o que "estamos ante el inicio de una guerra"... Desde Hispasec queremos poner un poco de orden en toda la información que ha estado circulando estos días.

Es cierto que hacía tiempo que no se veía un ataque que fuera tan grave, global y problemático. Sin embargo los que tenemos algo de memoria, y si no basta con recurrir a Google, podemos recordar más de un ataque similar hace ya muchos años. Podemos recordar casos como el LoveLetter, Slammer, Nimda, Conficker o muchos similares. Después de cada caso de estos tendemos a recapacitar, ver los errores, se corrige, se parchea y se olvida todo. Sin embargo vemos como después de cada caso de este tipo en vez de aprender algo tendemos a olvidar rápidamente lo ocurrido.

Se ha hablado de un ataque global de gran escala con muchos infectados. La prensa se ha hecho eco de la gravedad del problema y la propagación que ha tenido. Se ha hablado de cifras de infección de en torno a 100.000 equipos, como algunas de las más elevadas. Sin embargo podemos recordar los números de infectados por otros malware a lo largo de la historia, por citar algunos representativos:
  • CIH (1998) 60 millones de equipos infectados.
  • I Love You o Loveletter (2000) fueron 50 millones infectados.
  • Slammer (2003) con más de 75.000 servidores infectados en los primeros 10 minutos.
  • Sasser (2004) más de 1 millón de equipos infectados.
  • Conficker (2009) unos 7 millones infectados.
Los datos hablan por sí solos y las comparaciones son odiosas. En cualquier caso, ¿se aprendió algo de estos otros malware con infecciones masivas? Todo indica que no.

Y si hablamos de ransomware aunque no hay cifras concretas, estamos seguros de que el famoso virus de la policía ha infectado a mucha más gente que WannaCry. En un periodo de tiempo más extenso, sí, pero esa muestra de malware dio grandes quebraderos de cabeza a miles de usuarios.

¿Podremos aprender algo de una vez?
"de nuevo un gusano que aprovecha
una vulnerabilidad en un producto de
Microsoft provoca el colapso en Internet.
"
"Vulnerabilidades tienen todos los sistemas, no es un problema en exclusiva de Microsoft, pero este caso viene a poner el dedo en la llaga. Cuando... Microsoft intenta disminuir el tiempo que transcurre desde que es descubierta la vulnerabilidad hasta que el sistema del cliente es actualizado."
Parece que se trata de algo reciente, escrito justo después del ataque del viernes, sin embargo aunque parezca sorprendente estos párrafos tienen más de 14 años (27 de enero de 2003). En una-al-día posterior al caso SQL-Slammer Aquella noticia se titulaba "Lecciones del gusano MS-SQL, y la verdad es que prácticamente todo el artículo sigue siendo vigente. Y es muy recomendable su lectura con los ojos puestos en la actualidad, para comprobar lo poquito que han cambiado muchas cosas.

Las conclusiones y lecciones después de cada caso son muy similares. Nada nuevo.

Actualizaciones. En esto somos muy pesados, todos los días hablando de parche para x o para y, hoy es Windows, mañana Apple, al otro el navegador... Pero es que nuestra experiencia en auditorías nos dice que mantener los equipos y servidores actualizados nos libra de más de un 90% de los problemas. De hecho los equipos actualizados no se verían afectados por este ataque.
"La disponibilidad de un parche no asegura la protección de los sistemas, es necesario que los administradores o usuarios lo apliquen. Si bien es cierto que en algunos casos puede ser un problema por dejadez, falta de tiempo o simple desconocimiento, existe también ciertas reticencias a su instalación inmediata en ambientes en producción. No es que los administradores tengan manías, sino todo lo contrario, es por experiencia propia: parches que se superponen, regresiones de vulnerabilidades, problemas de estabilidad o incompatibilidad con otros componentes."
Otro párrafo que no es nuevo, también tiene 14 años... Pero el problema parece que ha sido el mismo, la falta de una actualización que llevaba un par de meses publicada.
"Los usuarios deben ser conscientes de que, cada vez que no instalan un parche crítico, están dejando una puerta abierta para que un intruso pueda controlar totalmente su sistema, sustraer su información más sensible, borrar sus discos duros, o espiar todo lo que hacen con su ordenador. Y esto ocurre con mucha más frecuencia de la que se cree, con el agravante de que suele pasar desapercibido, al contrario de lo que ocurre con los gusanos."
También formaba parte de las conclusiones de Hispasec tras el gusano Sasser en 2004. 13 años después podemos comprobar que los problemas siguen siendo los mismos.

Pero si los casos anteriores se han cobrado muchas víctimas "civiles", destaca de esta campaña los nombres de las empresas afectadas. Dejando aparte el caso de Telefónica y otras grandes empresas, el ransomware se ha cobrado victimas entre corporaciones y organismos de todo el mundo, afectando a servicios tan críticos como el Servicio Nacional de Salud de Reino Unido, u organismos estatales y servicios de transporte en Rusia. WannaCry ha demostrado que las infraestructuras siguen siendo tan frágiles como hace años y que, en cuanto a gestión de riesgo, en ocasiones la ganancia de flexibilidad en las operaciones sigue priorizándose sobre la seguridad del sistema, unida en algunos casos a la desidia en el mantenimiento.

Copias de seguridad. Posiblemente siga siendo el gran olvidado, pero la realización de copias de seguridad periódicas diarias, semanales... Con una adecuada política, manteniendo las copias en un entorno diferente, etc. puede salvar de un problema de este tipo. Si hay una copia de seguridad de todos los datos del día anterior ante un problema similar podemos estar seguros que la pérdida no será tan significativa.

Pagar o no pagar. Hay que recordar que en muchos casos de ransomware aunque se ha llegado a producir el pago no se ha podido recuperar la información. La recomendación siempre es no pagar. Por lo que se sabe la cantidad recaudada en los tres monederos que recaudaban los fondos de este malware apenas sobrepasa los 70.000 dólares. Cantidad que se puede considerar baja teniendo en cuenta el impacto que ha tenido.

Indicadores de compromiso. Esta muy bien disponer de un firewall, detector de intrusos y un buen número de medidas de seguridad activas y proactivas, pero de nada sirven si no se mantienen al día. Los indicadores de compromiso es el medio empleado en la actualidad para alimentar sistemas de seguridad. En Hispasec ofrecemos IOCFlow que permite aportar a los mecanismos de protección datos en tiempo real, incluyendo malware, documentos maliciosos de Office e incluso URLs maliciosas.

De todas formas no estamos libres de problemas, siempre puede surgir un 0day que cause estragos. Vulnerabilidad no conocida, sin parche, y si quieres redondearlo para sistemas Windows actualizados, con ejecución remota de código. Aunque actualmente este tipo de problemas suelen estar tan bien cotizados en el mercado negro que no se emplean en ataques a gran escala sino para ataques muy muy dirigidos.

Cosas positivas, la comunicación e información es mucho más rápida (que antaño), así como la colaboración entre empresas de seguridad, antivirus, proveedores, telcos, organismos gubernamentales, etc. colaboran de forma activa y mucho más cuando hay que enfrentarse a casos como este. La seguridad de la red es algo que nos atañe a todos. En este caso cabe señalar la colaboración de telefónica con otras compañías compartiendo toda la información que disponía, medidas, etc. 

Cosas negativas. Como siempre en muchos casos la información de algunos medios más pensando en una noticia mediática que en la propia noticia y en lo que importa. Algo que cada vez es más frecuente en Internet, especialmente con el uso y abuso de redes sociales, es el hacer leña del árbol caído. En este caso muchas de las informaciones se centraban en Telefónica, sencillamente porque fue la primera afectada y la que reconoció el problema, le podía haber tocado a cualquiera. De hecho otras actuaron de forma proactiva al saber lo que ya había pasado. A las pocas horas vimos como el problema era global. Empezamos a conocer noticias del sistema de salud inglés, de Latinoamérica, y otras compañías afectadas de todo el mundo.

Microsoft también saca sus propias conclusiones, también interesantes incidiendo igualmente en la importancia de mantener los sistemas actualizados y de la coordinación entre todos los actores para luchar contra estos ataques.
"Debemos tomar de este reciente ataque una renovada determinación para una acción colectiva más urgente. Necesitamos que el sector tecnológico, los clientes y los gobiernos trabajen juntos para protegerse contra los ataques cibernéticos. Se necesita más acción, y se necesita ahora. En este sentido, el ataque WannaCrypt es una llamada de atención para todos nosotros. Reconocemos nuestra responsabilidad de ayudar a responder a esta llamada, y Microsoft se compromete a hacer su parte."
Las lecciones que debemos aprender están expuestas desde hace mucho, solo nos queda ser realmente conscientes de que debemos aprenderlas y tomarnos el problema en serio. Esperemos que esta vez haya sido la definitiva.

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

una-al-dia (25/4/1999) El virus CIH se activa mañana
http://unaaldia.hispasec.com/1999/04/el-virus-cih-se-activa-manana.html

una-al-dia (04/05/2000) Consideraciones sobre VBS.LoveLetter, un gusano muy simple

una-al-dia (27/01/2003) Lecciones del gusano MS-SQL

una-al-dia (03/05/2005) Lecciones aprendidas con Bagle/Beagle

una-al-dia (22/01/2007) El mediático troyano de la tormenta y las lecciones no aprendidas

una-al-dia (03/05/2004) Gusano Sasser: un mal menor que evidencia la falta de seguridad

una-al-dia (02/04/2009) Éxitos y fracasos de Conficker

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack


Antonio Ropero
Twitter: @aropero

martes, 16 de mayo de 2017

Apple publica actualizaciones para múltiples productos

Apple ha anunciado la actualización de productos sus productos más destacados, incluyendo la publicación de iOS 10.3.2, macOS Sierra 10.12.5, Security Update 2017-002 El Capitan y Security Update 2017-002 Yosemite, tvOS 10.2.1, iCloud for Windows 6.2.1, Safari 10.1.1, iTunes 12.6.1 y watchOS 3.2.2. Estas nuevas versiones solucionan un total de 66 vulnerabilidades (algunas en múltiples productos)

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado macOS (anteriormente OS X) Sierra 10.12.5, destinada a corregir 37 nuevas vulnerabilidades en macOS Sierra. Las vulnerabilidades corregidas afectan a múltiples componentes que incluyen CoreAnimation, CoreAudio, DiskArbitration, HFS, iBooks, Kernel, Sandbox, Security, SQLite o TextInput.

iOS 10.3.2 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que está destinada a solucionar 41 nuevas vulnerabilidades. Los problemas corregidos están relacionados con diferentes componentes, como iBooks, Kernel, Notifications, Safari, Security, SQLite, TextInput o WebKit. Varios de los problemas podrían permitir la ejecución remota de código arbitrario.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 10.1.1 para OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 y macOS Sierra 10.12.6. Se solucionan 26 vulnerabilidades, la mayoría de ellas relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para obtener información sensible o ejecutar código arbitrario al visitar una página web específicamente creada.

De forma similar, Apple publica WatchOS 3.2.2, destinada a todos los modelos de su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan 12 vulnerabilidades. Los problemas corregidos afectan a los componentes AVEVideoEncoder, CoreAudio, IOSurface, Kernel, SQLite, TextInput y WebKit.

También ha publicado tvOS 10.2.1, el sistema operativo para Apple TV (de cuarta generación), que soluciona 23 vulnerabilidades en componentes como el Kernel, TextInput, SQLite o WebKit.

También se ha publicado iCloud para Windows 6.2.1 destinado a corregir una vulnerabilidad en WebKit.

Por último, iTunes para Windows que se ve afectado por otra vulnerabilidad en WebKit por lo que se actualiza a la versión 12.6.1.

Más información:

About the security content of macOS Sierra 10.12.5, Security Update 2017-002 El Capitan, and Security Update 2017-002 Yosemite

About the security content of iOS 10.3.2

About the security content of Safari 10.1.1

About the security content of watchOS 3.2.2

About the security content of tvOS 10.2.1

About the security content of iCloud for Windows 6.2.1

About the security content of iTunes 12.6.1 for Windows



Antonio Ropero

Twitter: @aropero

lunes, 15 de mayo de 2017

Newsletter Criptored del mes de abril de 2017

Newsletter con las noticias y actividad del mes de abril de 2017 en Criptored. Estas noticias las podrá encontrar en el histórico de Criptored del mes de abril de 2017 en este enlace.

Actividad en el web de Criptored durante el mes de abril de 2017:
27/04/17: Artículo Recovering the military Enigma using permutations publicado en Cryptologia (España).
26/04/17: CFP para el Primer Congreso Internacional Cibersociedad 2017 en Varadero (Cuba).
24/04/17: Publicada la novena lección Algoritmos de cifra por sustitución polialfabética del MOOC Crypt4you (España).
18/04/17: Publicada la píldora formativa Thoth 45 ¿Cómo funciona el hash SHA-1? (España).
06/04/17: Segunda llamada para el envío de trabajos al IX congreso CIBSI y IV taller TIBETS en la UBA Buenos Aires (Argentina).
03/04/17: Disponible el Newsletter de la revista Red Seguridad del mes de marzo de 2017 (España).
03/04/17: 15.321 accesos al MOOC Crypt4you en marzo de 2017 (España).
03/04/17: 10.033 visualizaciones de las píldoras del proyecto Thoth durante el mes de marzo de 2017 (España).
03/04/17: 7.288 visualizaciones de las lecciones de la enciclopedia Intypedia durante el mes de marzo de 2017 (España).
03/04/17: 38.681 accesos a Criptored y 27.889 descargas de documentos pdf, zip y mp3 en el mes de marzo de 2017 (España).
03/04/17: Newsletter de la actividad de Criptored en el mes de marzo de 2017 (España).

También puede encontrar estas y otras noticias de la actividad de Criptored en la sección Debates del grupo en LinkedIn en el siguiente enlace:



Dr. Jorge Ramió, Dr. Alfonso Muñoz

domingo, 14 de mayo de 2017

Actualización para Adobe Flash Player y Experience Manager Forms

Adobe ha publicado actualizaciones para solucionar siete vulnerabilidades en Flash Player y otra en Experience Manager Forms.

Adobe Flash Player

Como es habitual todos los meses el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-15, destinado a solucionar siete vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando una vulnerabilidad de uso de memoria después de liberarla y seis de corrupción de memoria. Los CVE asignados son: CVE-2017-3068 al CVE-2017-3074.

Adobe ha publicado la versión 25.0.0.171 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde

Adobe Experience Manager Forms

Por otra parte, Adobe ha publicado una actualización de seguridad para Adobe Experience Manager (AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle. Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0.

Está destinada a resolver una vulnerabilidad de obtención de información sensible, considerada importante, resultante del abuso del servicio de pre-population en AEM Forms (CVE-2017-3067). Se ha resuelto proporcionando a los administradores controles adicionales en la configuración para restringir las rutas de archivos y protocolos empleados para rellenar automáticamente un formulario.

Se han publicado las siguientes actualizaciones:
Adobe Experience Manager Forms 6.2 SP1 CFP3
Adobe Experience Manager Forms 6.1 SP2 CFP8
Adobe Experience Manager Forms 6.0 HotFix 2.0.58

Más información:

APSB17-15 Security updates available for Adobe Flash Player

Security updates available for Adobe Experience Manager Forms



Antonio Ropero

Twitter: @aropero

sábado, 13 de mayo de 2017

Vulnerabilidades críticas en Veritas NetBackup

Se han anunciado tres vulnerabilidades críticas en Veritas NetBackup y NetBackup Appliance que podrían permitir a un atacante remoto escribir archivos y ejecutar código arbitrario en los sistemas afectados. 
 
Veritas Backup es un popular y completo sistema de almacenamiento y restauración de copias de seguridad en red.

Los problemas residen en el proceso 'bprd' en un servidor maestro. Podrían permitir evitar el filtrado de directorios por lista blanca y la ejecución de comandos a usuarios remotos sin autenticar como root/administrator (CVE-2017-8856). También se podría copiar cualquier archivo sobre otro en un host NetBackup en el dominio del servidor maestro y su posterior ejecución como root/administrator (CVE-2017-8857). Y por último la escritura de cualquier archivo en un host NetBackup host en el dominio del servidor maestro (CVE-2017-8858).

La vulnerabilidad está confirmada para NetBackup 8.0 (y anteriores) y NetBackup Appliance 3.0 (y anteriores). Se han publicado actualizaciones para corregir estos problemas disponibles desde:

Más información:

VTS17-004: Multiple Vulnerabilities in Veritas NetBackup and NetBackup Appliance



Antonio Ropero
Twitter: @aropero

viernes, 12 de mayo de 2017

Un ransomware ataca a múltiples compañías

Durante el día de hoy se ha conocido un ataque por un ransomware que ha afectado a Telefónica y otras grandes empresas españolas, aunque en las últimas horas se ha visto que el ataque es global y está atacando a compañías de todo el mundo. En Hispasec tenemos la muestra y la hemos analizado.

El ransomware que ha infectado y cifrado las máquinas se trata de una versión mejorada del ransomware WannaCry. Pertenece a la familia Wcry y cifra los datos sensibles del usuario. En sus versiones iniciales, los datos podían ser descifrados, sin embargo en versiones posteriores esto fue evitado por los atacantes.

En la actualidad utiliza un cifrado AES-128 para afectar a distintas extensiones de archivo, y cifra una gran cantidad de extensiones. Entre ellas, se incluyen archivos de código fuente, máquinas virtuales (.vdi, .vmdk) y correos (.eml). Señalar que si se cifran las máquinas virtuales quedarían inaccesibles.

Actualmente, los creadores del ransomware son los que distribuyen el programa para descifrar los archivos, pero únicamente previo pago de una cantidad de entre 300€ a 600€. El método de pago por supuesto, en Bitcoins. Aunque es conocido que las muestras que han afectado en la red de Telefónica solicitaban 300$ de rescate.


La nota de rescate se encuentra disponible en distintos idiomas, entre ellos los más populares para asegurarse que los usuarios de distintos países sigan las instrucciones de recuperación de archivos. La extensión de los archivos cifrados es .wncry, mientras que la nota del ransom queda como "@Please_Read_Me@". El contenido de este archivo se puede ver a continuación:


El proceso de infección está compuesto por distintas fases. En primera instancia, trata de dar permisos de administrador a todos los usuarios. Posteriormente, ejecuta un script en batch compuesto por un número aleatorio [N.ALEATORIO].bat que a su vez ejecuta un fichero .vbs. Conforme avanza la infección, se eliminan las shadow copies de manera silenciosa, así como la posibilidad de restaurar el equipo a una etapa anterior. También se borra el backup del catálogo de Windows. También localiza los ficheros a cifrar, siempre que estos pertenezcan al abanico de extensiones anteriormente mencionadas. Una vez terminado, añade entradas de registro para la ejecución del ransomware y su herramienta al iniciar el equipo:

cmd.exe /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "[ALEATORIO]" /t REG_SZ /d "\"C:\tasksche.exe\"" /f

Cuando este proceso finaliza, se alerta al usuario de que se han cifrado todos sus ficheros y explica cómo descifrarlos y el método de pago.

Los ataques no solo se han centrado en compañías españolas, en las últimas horas se ha confirmado que el servicio de salud inglés (NHS) se ha visto afectado por una variante similar. Hacía mucho tiempo que no se veía un ataque tan global y con tanta incidencia. Aunque las primeras informaciones se han centrado en Telefónica según ha pasado el tiempo se ha confirmado que la incidencia es global. WannaCry ya se extiende por más de 75 países. 

Como es habitual la recomendación pasa por mantener los equipos actualizados. Todo indica que para la propagación del malware por la red interna el malware emplea una vulnerabilidad en el tratamiento de mensajes SMB (Server Message Block 1.0), que quedó corregida en la actualización del boletín de Microsoft MS17-010:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

IOCs:
MD5: 84c82835a5d21bbcf75a61706d8ab549
SHA1: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
Authentihash: 4b2c4c7f06f5ffaeea6efc537f0aa66b0a30c7ccd7979c86c7f4f996002b99fd

MD5: 7bf2b57f2a205768755c07f238fb32cc
SHA1: 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
SHA256: b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
Authentihash: ba936082512d7f462df284097992e756bede1cae6146044f72519f8b4b4cff57




Más información:

Ataque masivo de ransomware

Oleada de ransomware afecta a multitud de equipos

Importante oleada de ransomware afecta a multitud de equipos

NHS in England hit by 'cyber-attack'


Fernando Díaz