sábado, 25 de marzo de 2017

Corregidas dos vulnerabilidades en OpenSSH

Se ha publicado una nueva versión de OpenSSH destinada a corregir dos vulnerabilidades que podrían permitir descifrar mensajes o crear o modificar archivos en los sistemas afectados.

OpenSSH es una implementación libre de la familia de protocolos SSH, que ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH se realiza de forma cifrada y se aplican fuertes mecanismos para garantizar la autenticación.

El primer problema corregido reside en la corrección de una variante de u ataque corregido en la versión 7.3 por una debilidad que puede permitir la medición de tiempo en las contramedidas contra ataques de Padding Oracle en CBC (Cifrado por bloques). Hay que señalar que los cifrados CBC están desactivados por defecto en los clientes OpenSSH y solo se incluyen por compatibilidad. En sshd se ofrecen como opción de preferencia más baja y se eliminarán por defecto completamente en la próxima versión.

Por otra parte un nuevo problema reportado por los investigadores de Project Zero de Google. Solamente afecta a la versión OpenSSH portable y podría permitir a un servidor remoto autenticado aprovechar una escalada de directorios (o directorio transversal) en sftp-client en Cygwin para crear o modificar archivos fuera del directorio destino.

OpenSSH ha publicado la versión OpenSSH 7.5 que corrige estos problemas y algunos otros fallos no relacionados directamente con la seguridad.

Más información:

OpenSSH 7.5 has just been released

OpenSSH on Cygwin: directory traversal in SFTP client


Antonio Ropero

Twitter: @aropero

viernes, 24 de marzo de 2017

Mazain, un nuevo troyano bancario y su botnet asociada (y II)

En la una-al-día de ayer describimos el comportamiento de Mazain, una nueva muestra de malware para Android que hemos encontrado en nuestro Departamento Antifraude. Tal y como adelantamos, en la noticia de hoy vamos a analizar el C&C, las campañas, las diferentes muestras, las entidades afectadas y el panel de control.

Seguimos nuestra investigación con la misma muestra que tratamos ayer, buscamos el panel de control del troyano y vimos que solo afecta a usuarios en Rusia:

Los atacantes saben todo de los dispositivos infectados

En este panel aparece información como el IMEI, si tiene ROM modificada, la versión de Android, versión del APK, país del afectado, aplicaciones de bancos que tiene en el dispositivo, modelo del dispositivo, si tiene acceso root, si tiene la pantalla encendida, si tiene el dispositivo encendido, fecha de infección y unos botones para ver la información recolectada del dispositivo, incluidas las credenciales robadas del banco.

Pues sí. Así de fácil consiguen las credenciales

A través de una búsqueda rápida en Koodous descubrimos que hay casi 90 apks con el mismo nombre de paquete en el momento de escribir esta entrada:

89 APKs con el mismo nombre de paquete

Y la primera muestra de la que tenemos constancia en Koodous es de finales del año 2016:

Esta es la primera

Hemos analizado todas las aplicaciones y hemos extraído tantos los bancos afectados como los puntos de control, finalmente muchas de las apps comparten el mismo punto de control:

¿Para qué tener muchos C&C?

El dominio mcdir.ru pertenece a una compañía de hosting rusa llamada MCHost. Nos ha llamado la atención este porque es el que mayor número de C&C presenta.

La lista de nombres de paquetes monitorizados es la siguiente:
  • ru.sberbankmobile
  • ru.sberbank_sbbol
  • ru.alfabank.mobile.android
  • ru.alfabank.oavdo.amc
  • ru.mw
  • ru.raiffeisennews
  • com.idamob.tinkoff.android
  • com.paypal.android.p2pmobile
  • com.webmoney.my
  • ru.rosbank.android
  • ru.vtb24.mobilebanking.android
  • ru.simpls.mbrd.ui
  • ru.yandex.money
  • ua.com.cs.ifobs.mobile.android.sbrf
  • ua.privatbank.ap24
  • ru.simpls.brs2.mobbank
  • com.ubanksu
  • com.alseda.ideabank
  • pl.pkobp.iko
  • com.bank.sms
  • ua.com.cs.ifobs.mobile.android.otp
  • ua.vtb.client.android
  • ua.oschadbank.online
  • com.trinetix.platinum
  • hr.asseco.android.jimba.mUCI.ua
  • ua.pentegy.avalbank.production
  • com.ukrgazbank.UGBCardM
  • com.coformatique.starmobile.android

De la que se pueden extraer todas las entidades afectadas, principalmente todas de Rusia, aunque también hay entidades de Ucrania, Polonia y Croacia: 
  • Sberbank 
  • Alfa-Bank
  • VISA QIWI
  • Raiffeisen Bank
  • Tinkoff Bank
  • PayPal 
  • Webmoney Keeper
  • Rosbank
  • VTB Bank
  • MTS Bank
  • Yandex Money
  • PrivatBank
  • Russian Standard Bank
  • ubank
  • IdeaBank
  • PKO Bank Polski
  • Banco SMS (HandWallet)
  • OTP Bank
  • VTB Bank
  • Oschadbank
  • Platinum Bank
  • Ukrsotsbank
  • UkrSibbank

Para terminar, hemos generado una regla Yara en Koodous que iremos actualizando y que contempla que el malware contenga alguna de las URLs que ya se han visto anteriormente o el nombre de paquete.

Una sencilla regla Yara para detectarlo

Aunque este malware en este momento afecte principalmente a entidades rusas, no debemos dejar de prestarle atención. En cualquier momento a los atacantes puede resultarles muy sencillo enfocar su ataque a otro punto, como ya hemos visto en otras ocasiones. Además las medidas y recomendaciones son básicamente las mismas independientemente del malware que tratemos.

De nuevo recordamos extremar la precaución, especialmente en nuestros dispositivos móviles, donde con frecuencia tendemos a levantar nuestras defensas. Recuerda que tu móvil es igual que un ordenador, aplica las mismas prácticas de seguridad. El sentido común siempre es nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y una red de seguridad por si falla nuestra intuición. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.

Por otra parte si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com

Más información:

Mazain Yara

Hosting principal

una-al-dia (23/03/2017) Mazain, un nuevo troyano bancario y su botnet asociada (I)



Antonio Sánchez

jueves, 23 de marzo de 2017

Mazain, un nuevo troyano bancario y su botnet asociada (I)

El malware para Android crece más cada día, además se vuelve más peligroso y con un objetivo concreto: nuestro dinero. Hemos encontrado un nuevo troyano bancario para Android del que además hemos podido acceder al panel de la botnet que lo controla.

Nos hemos encontrado en Koodous con una nueva muestra que parecía tener un comportamiento sospechoso, así que el Departamento Antifraude de Hispasec ha procedido a realizar un análisis más detallado.

¿A qué va a ser malware?

Tras el análisis dinámico y estático hemos comprobado que se trata de un troyano de evidente origen ruso que monitoriza otras aplicaciones bancarias, de pago online y similares instaladas en el dispositivo, con el objeto de capturar las credenciales introducidas. Hemos llamado "Mazain" a este troyano por la referencia a su autor ("by Maza-in") en el panel de la botnet.

Rápidamente, en un primer vistazo en Koodous ya resultan sospechosas tanto las "Actividades" como los "Servicios" que la aplicación tiene declarados en su manifiesto:

¿injectionActivity?¿goRoot? Con nombres así da para sospechar

¿injectionService? Más de lo mismo

Con estos indicios y con ya muchas sospechas de encontrarnos ante un nuevo malware, el siguiente paso es ejecutar la muestra en un dispositivo móvil. Y lo primero que encontramos es que pide permisos de administración. Otra evidencia.

¿Permisos de Administrador?
¡Es el momento de cancelar la instalación!

Y por si fuera poco, el icono desaparece de las aplicaciones disponibles y al mismo tiempo realiza un par de peticiones al C&C (Command and Control, la infraestructura mando y control):



Con todas las evidencias reunidas, solo queda pasar a realizar un análisis estático que nos ofrezca más información sobre este malware. Tras un primer examen del código vemos que contiene diferentes funcionalidades.

En primer lugar descubrimos información de la configuración del troyano, como es su punto de control, la clave con la que va a comunicarse con el servidor y el nombre de la campaña. No se puede decir que el desarrollador haya sido muy cuidadoso, ya que posteriormente hemos encontrado estos mismos datos incluidos directamente en otras partes del código ("hardcodeados").

Así siempre, por favor

También comprobamos los diferentes nombres de paquete de las aplicaciones que monitoriza. Encontrando aplicaciones tan conocidas como PayPal o webmoney y de bancos principalmente rusos (Alfa-Bank, Rosbank, Sberbank). El origen ruso del troyano se hace evidente.



Las intenciones son claras, inyectar su código malicioso cuando el usuario abra alguna de ellas:



Es el momento de volver al teléfono y probar el funcionamiento sobre una de ellas. En este caso Visa QiWi, un proveedor ruso de servicios de pago online:



Tras introducir las credenciales en la pantalla que nos muestra, vemos el tráfico realizado, tanto solicitando la web que ha superpuesto como la información que hemos introducido:




Además de la función de captura de credenciales de banca online, también hemos encontrado funciones para recolectar los SMS enviados y recibidos. Sin duda con el propósito de acceder a los sistemas en los que haya un doble factor de autenticación:



En una próxima entrega analizaremos la botnet, el panel y más datos interesantes sobre este nuevo malware.

De nuevo, las medidas recomendadas son las habituales: sentido común como nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y una red de seguridad por si falla nuestra intuición. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.


Antonio Sánchez

miércoles, 22 de marzo de 2017

Mozilla corrige la vulnerabilidad del Pwn2Own

Mozilla ha publicado un boletín de seguridad (del MFSA 2017-08) destinado a corregir la vulnerabilidad crítica que afecta a sus navegadores web Firefox y Firefox ESR anunciada en el concurso Pwn2Own.

Como ya describimos en nuestra crónica del concurso Pwn2Own el equipo Chaitin Security Research Lab (@ChaitinTech) consiguió un desbordamiento de entero en Mozilla Firefox (con CVE-2017-5428), concretamente en la función createImageBitmap(). En su aviso, Mozilla aclara que esta función se ejecuta en el contexto de la sandbox por lo que requiere una segunda vulnerabilidad para lograr el compromiso del equipo. Precisamente el equipo Chaitin en su demostración empleó un búfer sin inicializar en el kernel de Windows para elevar sus privilegios y conseguir el ataque exitoso. Lo que les permitió ganar 30.000 dólares.

Como ya anunciamos empezamos a ver como los fabricantes publican actualizaciones para corregir los fallos descubiertos. Mozilla no ha tardado en reaccionar y publica las versiones 52.0.1 de Firefox y Firefox ESR. Se encuentran disponibles para su descarga a través de los canales habituales.

Más información:

Mozilla Foundation Security Advisory 2017-08
integer overflow in createImageBitmap()

una-al-dia (21/03/2017) El Pwn2Own 2017 causa estragos en navegadores y sistemas operativos





Antonio Ropero
Twitter: @aropero


martes, 21 de marzo de 2017

El Pwn2Own 2017 causa estragos en navegadores y sistemas operativos

Durante los días 15 al 17 de marzo se ha celebrado la décima edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores y plugins en diferentes sistemas operativos se llevan importantes premios económicos. Como en ediciones anteriores en esta ocasión las víctimas han sido Apple Safari, Microsoft Edge, Mozilla Firefox, Adobe Flash, Reader, Windows, macOS y hasta Ubuntu y VMware.

Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares, diferentes sistemas operativos, así como en los plugins más atacados. Pwn2Own 2017 se ha celebrado en la ciudad canadiense de Vancouver, organizado por Zero Day Initiative (ZDI) y Trend Micro.

Día 1

El primer día se realizaron 10 intentos de ataque, cinco exitosos, uno de forma parcial, dos fallidos y otras dos retiradas. En total 20 nuevas vulnerabilidades y 233.000 dólares en premios.

Empezó con el equipo 360 Security usando un desbordamiento basado en heap en jpeg2000, una fuga de información en el kernel de Windows y un búfer sin inicializar en el kernel de Windows para conseguir una ejecución remota de código a través de Adobe Reader. Por ello ganaron 50.000 dólares y 6 puntos para el premio de Master of Pwn.

Tras esto, Samuel Groß y Niklas Baumstark consiguieron puntos de estilo por dejar un mensaje especial en la Touch Bar de un Mac. Para ello utilizaron un uso de memoria después de liberarla en Safari combinado con tres errores de lógica y una desreferencia de puntero nulo para conseguir elevar sus privilegios a root en macos. Como el problema de uso de memoria después de liberar ya había sido corregido en una versión beta del navegador el ataque se consideró un éxito parcial, a pesar de lo cual consiguieron 28.000 dólares y 9 puntos para el concurso de Master of Pwn.


El siguiente concursante fue Tencent Security– Team Ether que consiguió un ataque exitoso contra Microsoft Edge a través de una escritura arbitraria en Chakra y mediante otro error consiguieron escapar de la sandbox. Esto les permitió ganar 80.000 dólares y 10 puntos para el Master of Pwn.

Por primera vez en la competición un equipo intentaba un ataque contra Ubuntu Linux. El equipo Chaitin Security Research Lab realizó un acceso fuera de límites en el kernel de Linux para ganar 15.000 dólares y 3 puntos para Master of Pwn.


Las retiradas vinieron por parte de Tencent Security – Team Ether que intentaban atacar Windows, y Ralf-Philipp Weinmann en su intento sobre el navegador Microsoft Edge. Posiblemente las recientes actualizaciones de Microsoft debían haber afectado a sus exploits.

Otro fallo vino de la mano de Tencent Security – Team Sniper al atacar Google Chrome con una elevación de privilegios.

Pero este equipo sí logró un ataque exitoso contra Adobe Reader, empleando una fuga de información seguida de un uso de memoria después de liberarla para conseguir la ejecución de código. Mediante otro uso de memoria después de liberarla en el kernel consiguieron privilegios del sistema. Ganaron 25.000 dólares y 6 puntos para el premio de Master of Pwn.

El equipo Chaitin Security Research Lab consiguió otro éxito a través de Apple Safari consiguieron acceso root en macOS mediante una cadena de seis vulnerabilidades que incluían una obtención de información en Safari, cuatro de confusión de tipos en el navegador y un uso de memoria después de liberar en WindowServer. La crónica de Trend Micro califica esta demostración como espectacular lo que facilitó otros 35.000 dólares y 11 puntos para el Master of Pwn.

Para finalizar el primer día, Richard Zhu intentó conseguir una elevación a privilegios a root en macos a través de Apple Safari. Sin embargo, finalizado el tiempo permitido no consiguió un ataque exitoso.

Vídeo resumen del primen día

Día 2

El segundo día de competición fue mucho más productivo, con hasta 17 intentos en un único día. El número de participantes este año ha marcado todo un récord, que obligó a los organizadores a dividir a los participantes de esta jornada en dos grupos diferentes. Por un lado los enfocados en productos Microsoft y adobe y otra parte enfocada en productos Mozilla y Apple. Finalmente se lograron 11 ataques exitosos, uno fallido, tres retiradas y dos descalificaciones, para conseguir un total de 340.000 dólares en premios.

En la pista A _al puro estilo deportivo_ el día comenzó con el equipo 360 Security (@mj0011sec) con un intento de ataque exitoso sobre Adobe Flash por una cadena de vulnerabilidades de un uso de memoria después de liberarla, dos fugas de información del kernel de Windows y un búfer sin inicializar en el kernel de Windows para elevar los permisos desde Flash hasta conseguir privilegios del sistema. Por ello ganaron otros 40.000 dólares y 12 puntos más para el premio de Master of Pwn.

Continuó con otro ataque exitoso a Adobe Flash por parte del equipo Tencent Security – Team Sniper mediante un uso de memoria después de liberar y otro en el kernel de Windows para elevar privilegios a nivel de sistema. Lo que les valió para ganar 40.000 dólares y 12 puntos para Master of Pwn.

El equipo Tencent Security – Sword Team consiguió un ataque exitoso contra Microsoft Edge que valiéndose de otras dos vulnerabilidades de uso de memoria después de liberar consiguieron privilegios del sistema. Con esto ganaron 55.000 dólares y 14 puntos más.

A pesar de los éxitos anteriores, Tencent Security - Team Lance y Tencent Security - Team Shield retiraron sus ataques dirigidos a Microsoft Windows y Microsoft Edge. Sin embargo esto no le importó al equipo Tencent Security – Team Sniper para completar un exploit exitoso contra Microsoft Edge mediante un uso de memoria después de liberar en Chakra y otro en el kernel de Windows para elevar privilegios a nivel de sistema. Con esto sumaron otros 55.000 dólares y 14 puntos más.

Una vez más el equipo de 360 Security explotó con éxito Microsoft Windows con un acceso fuera de límites en el kernel de Windows, que les permitió ganar 15.000 dólares y 4 puntos de Master of Pwn. Para finalizar el día en el grupo A, Tencent Security - Team Sniper consiguió elevar sus privilegios en Microsoft Windows a través de un desbordamiento de entero en el kernel, lo que les valió 15.000 dólares y 4 puntos más para el título de Master de Pwn.

En el grupo B, el equipo de 360 Security demostró una elevación de privilegios en Apple macOS. Mediante una fuga de información y una condición de carrera en el kernel. Obtuvieron 10.000$ y 3 puntos más para Master of Pwn. Sin tiempo de levantarse de la silla, el mismo equipo aprovechó un desbordamiento de entero en Apple Safari y un uso de memoria después de liberar en el kernel para conseguir permisos de roor en un macOS. De esta forma ganaron otros 35.000 dólares y 11 puntos más.

El equipo Chaitin Security Research Lab (@ChaitinTech) consiguió una elevación de privilegios en macOS mediante una fuga de información y un acceso fuera de límites en el kernel. Esto les valió 10.000 dólares y 3 puntos para el Master of Pwn.

El equipo de Tencent Security – Sword Team sufrió una descalificación al realizar un ataque sobre Apple macOS con vulnerabilidades ya reportadas y conocidas por Apple. A continuación Moritz Jodeit de Blue Frost Security (@moritzj) intentaba atacar Mozilla Firefox pero no consiguió que sus exploits funcionaran exitosamente dentro del tiempo previsto.

El equipo Chaitin Security Research Lab (@ChaitinTech) consiguió un desbordamiento de entero en Mozilla Firefox y elevó sus privilegios a través de un búfer sin inicializar en el kernel de Windows. Esto les permitió ganar otros 30.000 dólares y 9 puntos de Master of Pwn.

Para finalizar el día en el grupo B, Tencent Security – Team Sniper aprovecharon un desbordamiento de entero en Apple Safari y consiguieron privilegios de root mediante acceso fuera de límites y uso después de liberar en WindowServer. Lo que les valió otros 35.000 dólares y 11 puntos para el premio de Master of Pwn.



Vídeo resumen del segundo día:

Día 3

Esta ha sido la primera edición del Pwn2Own que ha requerido tres días dado el elevado número de participantes e intentos de ataque, pero el décimo aniversario del concurso y la bosa de premios merecía un reconocimiento en todos los niveles. El tercer día, mucho más reducido, tenía como punto central dos ataques a VMware. Los tres participantes de este tercer día se repartieron 260.000 dólares.

El viernes comenzó con una actuación espectacular del equipo 360 Security que utilizó un desbordamiento del heap en Microsoft Edge, un error de confusión de tipos en el kernel de Windows y un búfer sin inicializar en VMware para lograr escapar por completo de la máquina virtual. Esto les permitió conseguir 105.000 dólares y 27 puntos para el Master of Pwn. 

Por su parte, Richard Zhu (fluorescence) empleó dos vulnerabilidades de uso de memoria después de liberarla diferentes en Microsoft Edge para posteriormente elevar los privilegios a nivel del sistema mediante un desbordamiento de búfer en el kernel de Windows. Esto le facilitó 55.000 dólares y 14 puntos.

Finalmente el ganador del concurso de "Master of Pwn" fue el equipo 360 Security con 63 puntos.

Los resultados finales de este Pwn2Own han sido más espectaculares que nunca, con tres días de concurso y un total de 51 nuevas vulnerabilidades reportadas y 833.000 dólares repartidos en premios. 

Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas. Sin duda en breve empezaremos a ver las actualizaciones para corregir estos problemas.

Vídeo resumen del tercer día


Más información:

The Results – Pwn2Own 2017 Day One

The Results – Pwn2Own 2017 Day Two

The Results – Pwn2Own Day Three




Antonio Ropero
Twitter: @aropero



lunes, 20 de marzo de 2017

Vulnerabilidad crítica en VMware Workstation y Fusion

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en VMware Workstation y Fusión que podría permitir desde un sistema invitado ejecutar código arbitrario en el sistema anfitrión.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

El problema, considerado crítico, reside en la funcionalidad arrastrar y soltar (drag-and-drop) de VMware Workstation y Fusion por una vulnerabilidad de acceso a memoria fuera de límites. Un usuario local en un sistema invitado podría conseguir ejecutar código arbitrario y privilegios elevados en el sistema anfitrión. Como contramedida en Workstation Pro y Fusion, el problema no puede explotarse si las funcionalidades de arrastrar y soltar y de copiar y pegar están desactivadas. Esta contramedida no está disponible en Workstation Player.

Está vulnerabilidad está considerada crítica, pues es de las más graves que pueden darse en entornos virtuales: escapar del entorno virtual y lograr ejecutar código en el sistema anfitrión. Se ha asignado el CVE-2017-4901.


Afecta a Workstation Pro y Player 12.x en todos los sistemas y a Fusion y Fusion Pro 8.x en Mac OS X.

VMware ha publicado versiones actualizadas para evitar el problema, disponibles desde:
VMware Workstation Pro 12.5.4
VMware Workstation Player 12.5.4
VMware Fusion Pro / Fusion 8.5.5

Más información:

VMSA-2017-0015
VMware Workstation and Fusion updates address out-of-bounds memory access vulnerability

New VMware Security Advisory VMSA-2017-0005



Antonio Ropero

Twitter: @aropero

domingo, 19 de marzo de 2017

Corregidas vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado una actualización de seguridad considerada crítica para solucionar tres vulnerabilidades, que podrían permitir la realización de ataques CSRF, la ejecución remota de código arbitrario o evitar la autenticación.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El primer problema, con CVE-2017-6377, considerado crítico reside en un fallo en el módulo Editor al comprobar de forma incorrecta el acceso a archivos privados. Cuando se añade un archivo privado a través de un editor de texto configurado (como CKEditor), el editor no verifica adecuadamente el acceso del archivo, lo que puede permitir un salto de la autenticación.

Por otra parte, con CVE-2017-6379 y considerado moderadamente crítico, algunas rutas administrativas no incluyen protección contra ataques CSRF ("Cross Site Request Forgery").

Por último, de gravedad moderadamente crítica y CVE-2017-6381, una librería desarrollada por terceros que incluye dependencias de desarrollo de Drupal 8 es vulnerable a la ejecución remota de código. Esto está mitigado con la protección .htaccess por defecto contra ejecución PHP, y porque las dependencias de desarrollo de Composer normalmente no están instaladas. Pueden ser vulnerables instalaciones de Drupal 8 anteriores a 8.2.2. Para asegurar que no se es vulnerable se puede eliminar el directorio /vendor/phpunit de la raíz de los desarrollos en producción.

Todos los problemas afectan a Drupal 8. Se recomienda la actualización a Drupal 8.2.7.

Además, esta misma semana Drupal también ha anunciado avances para facilitar a los administradores la actualización del CMS, incluso entre versiones mayores.

Más información:

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-001

drupal 8.2.7

Making Drupal upgrades easy forever



Antonio Ropero
Twitter: @aropero

sábado, 18 de marzo de 2017

Actualizaciones de seguridad para Adobe Flash Player y Shockwave Player

Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar siete vulnerabilidades en Flash Player y una en Shockwave Player.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-07 que soluciona siete vulnerabilidades.

Los problemas incluyen dos vulnerabilidades de corrupción de memoria, un desbordamiento de búfer y tres por uso de memoria después de liberarla que podrían permitir la ejecución de código; y un fallo en el generador de números aleatorios que podría permitir la obtención de información. Los CVE asignados son del CVE-2017-2997 al CVE-2017-3003.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 25.0.0.127
  • Flash Player para Linux 25.0.0.127
Igualmente se ha publicado la versión 25.0.0.127 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
Para actualizar Adobe Flash Player para Linux:

Adobe Shockwave Player

Por otra parte, Adobe ha publicado un nuevo boletín de seguridad (APSB17-08) para solucionar una vulnerabilidad importante en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.

En esta ocasión la vulnerabilidad (con CVE-2017-2983) está relacionada con un problema en la ruta de búsqueda de directorios empleada para encontrar recursos que podría permitir una escalada de privilegios. El problema afecta las versiones de Adobe Shockwave Player 12.2.7.197 y anteriores para plataformas Windows.

Adobe recomienda actualizar a la versión 12.2.8.198 de Shockwave Player, disponible desde:

Más información:

Security updates available for Adobe Flash Player

Security update available for Adobe Shockwave Player 



Antonio Ropero
Twitter: @aropero

viernes, 17 de marzo de 2017

Actualizaciones de Wireshark corrigen múltiples vulnerabilidades

Wireshark Foundation ha publicado las versiones 2.0.11 y 2.2.5 que incluyen la corrección de nueve vulnerabilidades que podrían provocar condiciones de denegación de servicio.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

En esta ocasión la fundación Wireshark ha publicado nueve boletines de seguridad (del wnpa-sec-2017-03 al wnpa-sec-2017-11) todos ellos afectan a todas las versiones de las ramas 2.2 y 2.0.

Como es habitual, las vulnerabilidades corregidas residen en denegaciones de servicio por fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. La lista de los disectores y protocolos afectados incluyen LDSS, RTMTP, WSP, y IAX2. También se han solucionado fallos en los analizadores de archivos STANAG 4607, NetScaler y K12.

También se ha solucionado múltiples problemas no relacionados directamente con vulnerabilidades de seguridad y actualizado el soporte de diferentes protocolos.

Las vulnerabilidades mencionadas se han solucionado en las versiones 2.0.11 y 2.2.5 disponibles para descarga desde la página oficial del proyecto.

Más información:

Wireshark 2.0.11 is now available

Wireshark 2.2.5 Release Notes

wnpa-sec-2017-03 - LDSS dissector crash

wnpa-sec-2017-04 - RTMTP dissector infinite loop

wnpa-sec-2017-05 - WSP dissector infinite loop

wnpa-sec-2017-06 - STANAG 4607 file parser infinite loop

wnpa-sec-2017-07 - NetScaler file parser infinite loop

wnpa-sec-2017-08 - NetScaler file parser crash

wnpa-sec-2017-09 - K12 file parser crash

wnpa-sec-2017-10 - IAX2 dissector infinite loop

wnpa-sec-2017-11 - NetScaler file parser infinite loop


Antonio Ropero

Twitter: @aropero

jueves, 16 de marzo de 2017

Google publica Chrome 57 y corrige 36 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 57. Se publica la versión 57.0.2987.98 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 36 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 36 nuevas vulnerabilidades, solo se facilita información de 18 de ellas (nueve de gravedad alta y otras nueve de importancia media).

Se corrigen vulnerabilidades por corrupción de memoria en V8, desbordamiento de entero en libxslt, seguridad incorrecta en la interfaz de usuario en Omnibox, falsificación de direcciones en Omnibox, salto de la política de contenidos de seguridad en Blink, tratamiento incorrecto de cookies en Cast y un desbordamiento de heap en Skia. También escritura fuera de límites en PDFium y ChunkDemuxer y usos de memoria después de liberarla en ANGLE, PDFium y GuestView. Por último divulgación de información en V8, XSS y Blink. Se han asignado los CVE-2017-5029 al CVE-2017-5046.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 38.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Vídeo con las novedades de Chrome 57:

Más información:

Stable Channel Update


Antonio Ropero
Twitter: @aropero

miércoles, 15 de marzo de 2017

El malware bancario Ursnif pone el ojo en España

Son muchos los correos fraudulentos que pueden llegarnos al cabo del día: refiriéndose a falsas facturas, a recibos simulados, instándonos a descargar los datos necesarios para revisar la factura y la supuesta cantidad que "debemos". En las últimas campañas de envíos masivos de correos hemos detectado distribuciones de ransomware dirigidas a usuarios de habla hispana, sin embargo en esta ocasión los sensores de Hispasec han registrado múltiples correos que incluyen malware bancario dirigido a usuarios de entidades españolas. 


Este será el correo que recibiremos en nuestra bandeja de entrada, nos avisarán de una cuota a la que por supuesto no estamos suscritos y nos adjuntan dicha factura para que la paguemos. Evidentemente nada más lejos de la realidad. Al descomprimir el archivo adjunto nos encontramos ante un documento de Word.



El documento nada más abrirlo nos alerta de que se han deshabilitado las macros por seguridad, por lo que ya podemos comenzar a sospechar. Sin embargo, como suele ser habitual en estos ataques el documento nos avisa que para poder observar todo el contenido primero necesitará habilitarlas. Si las habilitas, puedes pasar a estar en un fuerte aprieto.

Analizamos la macro que contiene el documento:


Pero al estar ofuscada, no podemos obtener gran información. Tras desofuscar el contenido, podemos apreciar el punto de descarga del malware en cuestión, el cual utiliza un script de Powershell para descargarse y ejecutarse.



Una vez ejecutado, encontramos que se descarga un módulo de TOR según nuestra arquitectura y lo emplea para establecer las comunicaciones necesarias.

En nuestro departamento antifraude hemos detectado una última tanda de correos que afecta a diferentes entidades entre las que se encuentran las siguientes:
  • Santander
  • Targobank
  • BBVA

Como siempre, las recomendaciones a seguir ante este tipo de amenazas es evitar abrir este tipo de correos maliciosos. Si sospechas de una factura que no deberías haber recibido, entonces puedes encontrarte ante una amenaza. Si crees que puede ser cierta la factura, asegúrate antes llamando al lugar en cuestión para confirmar que sea un e-mail benigno.

Por último, si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com.


Fernando Díaz

martes, 14 de marzo de 2017

Microsoft publica 18 boletines de seguridad y soluciona 135 vulnerabilidades

A pesar de las informaciones previas sobre la no publicación de boletines, este martes Microsoft ha publicado 18 boletines de seguridad (del MS17-006 al MS17-023) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft nueve de los boletines presentan un nivel de gravedad "crítico" mientras que los nueve restantes son "importantes". En total se han solucionado 135 vulnerabilidades (algunas de ellas en varios productos). Además se han corregido otras siete vulnerabilidades adicionales en Flash Player.

Hay que señalar que Microsoft ha corregido los problemas anunciados con anterioridad, incluyendo el fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio (CVE-2017-0016) y los reportados por Project Zero, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038) y de ejecución remota de código en los navegadores Internet Explorer y en Edge (CVE-2017-0037). Tras la ausencia de boletines el pasado mes de febrero se esperaban muchos boletines y vulnerabilidades corregidas. Las previsiones se han cumplido y los boletines publicados son los siguientes:

MS17-006: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 12 nuevas vulnerabilidades, tres de ellas se habían publicado con anterioridad. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2017-0008, CVE-2017-0009, CVE-2017-0012, CVE-2017-0018, CVE-2017-0033, CVE-2017-0037, CVE-2017-0040, CVE-2017-0049, CVE-2017-0059, CVE-2017-0130, CVE-2017-0149 y CVE-2017-0154).

MS17-007: Boletín "crítico" que incluye la también habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan 32 vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2017-0009 al CVE-2017-0012, CVE-2017-0015, CVE-2017-0017, CVE-2017-0023, CVE-2017-0032 al CVE-2017-0035, CVE-2017-0037, CVE-2017-0065 al CVE-2017-0071, CVE-2017-0094, CVE-2017-0131 al CVE-2017-0138, CVE-2017-0140, CVE-2017-0141, CVE-2017-0150 y CVE-2017-0151).  

MS17-008: Boletín considerado "crítico" que resuelve 11 vulnerabilidades en Windows Hyper-V. La más grave de ellas podría permitir la ejecución remota de código si un atacante autenticado en un sistema invitado ejecuta una aplicación específicamente creada que provoque la ejecución de código en el sistema Hyper-V anfitrión (CVE-2017-0021, CVE-2017-0051, CVE-2017-0074, CVE-2017-0075, CVE-2017-0076, CVE-2017-0095 al CVE-2017-0099 y CVE-2017-0109).

MS17-009: Actualización considerada "crítica" que resuelve una vulnerabilidad en la librería PDF, que podría permitir la ejecución remota de código si un usuario abre un documento PDF específicamente creado (CVE-2017-0023).

MS17-010: Boletín considerado "crítico" que resuelve seis vulnerabilidades (CVE-2017-0143 al CVE-2017-0148) que podrían llegar a permitir la ejecución remota de código si un atacante autenticado envía paquetes específicamente creados a un servidor Microsoft Server Message Block 1.0 (SMBv1).

MS17-011: Actualización considerada "crítica" destinada a corregir 29 vulnerabilidades en Windows Uniscribe, la más grave podría permitir la ejecución remota de código si un usuario visita un sitio web específicamente creado o abre un documento manipulado (CVE-2017-0072, CVE-2017-0083 al CVE-2017-0092, CVE-2017-0111 al CVE-2017-0128).

MS17-012: Actualización considerada "crítica" destinada a corregir seis vulnerabilidades en diferentes componentes de Windows. La más grave podría permitir la ejecución remota de código arbitrario (CVE-2017-0007, CVE-2017-0016, CVE-2017-0039, CVE-2017-0057, CVE-2017-0100 y CVE-2017-0104). Aquí se incluye la vulnerabilidad de denegación de servicio en el tratamiento de tráfico SMB; conocida con anterioridad y sobre la que ya hemos comentado en diversas ocasiones.

MS17-013: Boletín "crítico" destinado a corregir 12 vulnerabilidades en Microsoft Graphics Component, las más graves podrían permitir la ejecución remota de código si se abre un documento o web específicamente creada. Afectan a Microsoft Windows, Microsoft Office, Skype for Business, Microsoft Lync y Microsoft Silverlight. (CVE-2017-0001, CVE-2017-0005, CVE-2017-0014, CVE-2017-0025, CVE-2017-0038, CVE-2017-0047, CVE-2017-0060 al CVE-2017-0063, CVE-2017-0073 y CVE-2017-0108). Esta actualización incluye la corrección de la vulnerabilidad reportada por Project Zero por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038).

MS17-014: Boletín "importante" que soluciona 12 vulnerabilidades, la más grave de ellas que podría permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2017-0006, CVE-2017-0019, CVE-2017-0020, CVE-2017-0027, CVE-2017-0029, CVE-2017-0030, CVE-2017-0031, CVE-2017-0052, CVE-2017-0053, CVE-2017-0105, CVE-2017-0107 y CVE-2017-0129).
  
MS17-015: Destinado a corregir una vulnerabilidad (CVE-2017-0110) de gravedad "importante" en Microsoft Exchange Outlook Web Access (OWA). Podría permitir la ejecución remota de código en Exchange Server si un atacante envía un correo con un adjunto específicamente manipulado a un servidor Exchange vulnerable.

MS17-016: Resuelve una vulnerabilidad importante (CVE-2017-0055) en Microsoft Internet Information Services (IIS), que podría permitir la elevación de privilegios si un usuario pulsa una URL específicamente manipulada alojada en un servidor Microsoft IIS afectado.

MS17-017: Boletín considerado "importante" que resuelve cuatro vulnerabilidades en el kernel de Windows que podrían permitir la elevación de privilegios (CVE-2017-0050 y CVE-2017-0101 al CVE-2017-0103). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.

MS17-018: Boletín de carácter "importante" destinado a corregir ocho vulnerabilidades en el controlador modo kernel de Windows que podrían permitir la elevación de privilegios si un usuario ejecuta una aplicación específicamente creada. (CVE-2017-0024, CVE-2017-0026, CVE-2017-0056 y CVE-2017-0078 al CVE-2017-0082).

MS17-019: Resuelve una vulnerabilidad "importante" (CVE-2017-0043) de obtención de información en Active Directory Federation Services (ADFS). Afecta a Windows Server 2008, 2012 y 2016.

MS17-020: Destinado a corregir una vulnerabilidad (CVE-2017-0045) de gravedad "importante" de Cross-Site Request Forgery en Windows DVD Maker.

MS17-021: Boletín de carácter "importante" destinado a corregir una vulnerabilidad (CVE-2017-0042) de obtención de información si Windows DirectShow abre contenido multimedia específicamente creado. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.

MS17-022: Resuelve una vulnerabilidad "importante" (CVE-2017-0022) en Microsoft XML Core Services (MSXML) al tratar de forma inadecuada objetos en memoria. Un atacante podría verificar la existencia de archivos en el sistema. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.

MS17-023: Como ya es habitual, Microsoft publica un boletín para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. Se trata de un boletín "crítico" que en esta ocasión soluciona siete vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-07 de Adobe (y que comentaremos con más detalle en una próxima una-al-día).

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Microsoft Security Bulletin Summary for March 2017

una-al-dia (03/02/2017) Vulnerabilidad 0-day en Windows

una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzo

una-al-dia (27/02/2017) Anunciada una nueva vulnerabilidad en los navegadores de Microsoft

Microsoft Security Bulletin MS17-006 - Critical
Cumulative Security Update for Internet Explorer (4013073)

Microsoft Security Bulletin MS17-007 - Critical
Cumulative Security Update for Microsoft Edge (4013071)

Microsoft Security Bulletin MS17-008 - Critical
Security Update for Windows Hyper-V (4013082)

Microsoft Security Bulletin MS17-009 - Critical
Security Update for Microsoft Windows PDF Library (4010319)

Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389)

Microsoft Security Bulletin MS17-011 - Critical
Security Update for Microsoft Uniscribe (4013076)

Microsoft Security Bulletin MS17-012 - Critical
Security Update for Microsoft Windows (4013078)

Microsoft Security Bulletin MS17-013 - Critical
Security Update for Microsoft Graphics Component (4013075)

Microsoft Security Bulletin MS17-014 - Important
Security Update for Microsoft Office (4013241)

Microsoft Security Bulletin MS17-015 - Important
Security Update for Microsoft Exchange Server (4013242)

Microsoft Security Bulletin MS17-016 - Important
Security Update for Windows IIS (4013074)

Microsoft Security Bulletin MS17-017 - Important
Security Update for Windows Kernel (4013081)

Microsoft Security Bulletin MS17-018 - Important
Security Update for Windows Kernel-Mode Drivers (4013083)

Microsoft Security Bulletin MS17-019 - Important
Security Update for Active Directory Federation Services (4010320)

Microsoft Security Bulletin MS17-020 - Important
Security Update for Windows DVD Maker (3208223)

Microsoft Security Bulletin MS17-021 - Important
Security Update for Windows DirectShow (4010318)

Microsoft Security Bulletin MS17-022 - Important
Security Update for Microsoft XML Core Services (4010321)

Microsoft Security Bulletin MS17-023 - Critical
Security Update for Adobe Flash Player (4014329)




Antonio Ropero

Twitter: @aropero