You are here

Noticias

Ingeniería social: Logos de empresas reputadas para ganarse la confianza del usuario

Hispasec - Wed, 31/01/2018 - 19:27
Para ganarse la confianza de los usuarios, muchas empresas y webs utilizan legítimamente logos de compañías importantes que les apoyan. Por desgracia, los atacantes también hacen uso de estos logos de manera fraudulenta.
Los PUP's (Potentially Unwanted Program) son por definición programas que probablemente no quieras en tu ordenador, ya que te estafan en mayor o menor medida. Ejemplos claros de PUP's: El típico programa que instalas y te mete barras en Internet Explorer, el que te introduce publicidad en el ordenador... Estos programas potencialmente no deseados suelen intentar hacer creer a los usuarios que aquello que van a instalar está respaldado por grandes compañias, con el fin de crear una falsa sensación de confianza.

Segun los investigadores de Malwarebytes, los criminales que distribuyen PUP's tienen entre sus logos más usados, los de Mcafee, Norton y Microsoft, como podemos observar en la siguiente captura:

Fuente: https://blog.malwarebytes.com/wp-content/uploads/2018/01/fakescanner.png
En esta ocasión, se trata de un falso scanner antivirus que intentará hacer creer al usuario que su ordenador está infectado, y que su solución anti-malware puede ser la mejor solución. Tras ejecutar su "solución", ésta informará de problemas aún mayores en el sistema... Subsanables por un módico precio, claro está. 

Para obtener estos 'badges' o insignias, los atacantes no tienen más que hacer un par de búsquedas en Google para encontrarlos y poder utilizarlos en sus campañas. Por otro lado, estos logos aun siendo reales y autorizados no siempre significan respaldo a una compañía. Por ejemplo, el de McAfee quiere decir que el sitio web está libre de malware, que tiene un certificado válido y que no ha sido detectado como phishing, pero en ningún momento quiere significar que la presencia de este "certificado" apoye el producto donde se utiliza. Para poder comprobar la autenticidad de los mismos, se puede hacer click sobre ellos ya que incluyen información del sitio web. Incluso, aquellos de Microsoft Partner Network pueden buscarse en su base de datos.

Como podemos observar, es fácil hacer uso de estos logos para actividades fraudulentas, ya que crean una falsa sensación de seguridad a los usuarios que desconocen el significado real de éstos. Lo mejor es asumir que un simple logo no significa nada, y evitar caer en la falsa sensación de seguridad.


Fernando Díazfdiaz@hispasec.com

Más información:
Stolen security logos used to falsely endorse PUPs:https://blog.malwarebytes.com/threat-analysis/social-engineering-threat-analysis/2018/01/stolen-security-logos-used-to-falsely-endorse-pups/
Categories: Seguridad

Minería, la nueva fiebre del oro virtual

Hispasec - Tue, 30/01/2018 - 16:46
"Todo dispositivo capaz de ejecutar un conjunto de instrucciones puede servir de plataforma para minar criptomoneda".

Dicho así, parece una ley inmutable. De esas que aparecen en los memes motivacionales al lado de una foto de alguien muy relajado mientras se quema un datacenter de fondo. De hecho, si hubiese salido de un gurú, estaría rebotando por twitter o cualquier otra red social. No sabemos si posee un rango de ley, pero básicamente nos ayuda a transmitir la idea principal.

Si ayer se troyanizaban ordenadores de escritorio para crear botnets y alquilar el panel de control para echar abajo los servidores de la competencia, ahora se cierra la puerta y se quita el cartel de "Se alquila, razón aquí". Eso es cosa del pasado, ya no es rentable. Ahora no se desperdician ciclos de CPU en tareas gañanas. 

No hombre, no. Ahora lo que se lleva es el minado. Da igual que tengas acceso a un cluster de computación de altas prestaciones o un smartwatch. O si eres root en cien mil dispositivos IoT. El nuevo 'in' es triturar 'nonces' para ver si nos ha tocado el hash que lleva el premio gordo. 

Y que no sea por falta de criptomonedas, oiga. Dentro de poco, hasta las comunidades de vecinos tendrán la suya propia (ojo, es una ironía), así podremos poner a minar los contadores de la luz, esos que ahora son digitales. Bueno, mejor no, no vaya a ser que a golpe de decreto ley se queden con nuestros 'vecinocoins'. Vamos a dejarlo aquí, no demos ideas.

El cibercrimen no para de encontrar vías de recaudación para su negocio (el uso involuntario, y si es posible inadvertido, de lo ajeno) Si antes utilizaban nuestro ancho de banda como arma de ataque o nuestro disco duro para crear su propia nube privada, la CPU es usada ahora para minar criptomoneda. Al abordaje. 

No en vano, ya no hace falta dar con uno de esos bichitos que pululan por ahí, en lo salvaje. Que del mismo modo que te roba las credenciales que va pillando y, si existe, la "wallet.dat", te pone la CPU a punto de cromo quemado para extraer el dinero digital. Con tan solo visitar una web ya podemos estar pagando un peaje en ciclos de silicio mientras dura nuestra estancia en el sitio. Ni tan siquiera hace falta que sea una web turbia, de las que se visitan "accidentalmente".

El caso más sonado, de entre muchos, es el de "The Pirate Bay". Visitas la web, cargas el infame 'coinhive.min.js' (ojo, puede llamarse de cualquier modo, el nombre es lo de menos) y en pocos segundos tu CPU empieza a fibrilar dando mazazos con su pico virtual:



Ahí lo tenemos, soplando a pleno pulmón. 

Para algunos sitios webs, cuya fuente de ingresos suele ser la publicidad, es normal que recurran a vías alternativas de financiación, sobre todo con el alza de los bloqueadores de publicidad o proyectos como Pi-Hole. Quizás incluso más de uno esté dispuesto a donar esos ciclos de CPU a cambio de la lectura de artículos, etc. Porque de algo tienen que vivir ¿no? No es mala opción, yo daría un ratito del núcleo #2 a cambio de que no me estampen un anuncio a pantalla completa mientras hago scroll (la nag screen del siglo XXI).

El problema aparece cuando se hace con inquina. Hackean un sitio web, meten el minero y a esperar que saque dineros hasta que alguien se da cuenta y el responsable arregla el desaguisado. Incluso es tal la avaricia que aunque estos scripts poseen un nivel de consumo, en la mayor parte de los casos se les quita el freno y cabalgan a toda máquina, alertando así a los usuarios. Aun más, suelen desplegar una ventana minimizada con el minero, para pasar desapercibidos aunque el usuario crea que ha cerrado todas las pestañas. Todo un gesto de supervivencia.

Otro problema asociado es en dispositivos móviles. Minar en un móvil es sinónimo de acabar en pocos minutos con la batería del dispositivo (si has jugado a algún juego con gran carga gráfica puede que lo hayas experimentado). De nuevo, estos scripts suelen traer de fábrica la detección de móviles. En ese caso no proceden a ejecutarse, pero, por supuesto, en el caso de sitios malogrados este script es configurado para ejecutarse en estas plataformas, tan sensibles al gasto energético. 

Por otro lado, tenemos un arsenal de anti-mineros que se basan en listas negras de sitios o scripts con contenido conocido. Su uso es similar, sino es que está incluido, a los anti-ads o bloqueadores de publicidad. No es una solución elegante (no escala nada bien), pero funciona, de momento, aunque y ya existen anti-anti-adblocks que previenen la prevención (valga la redundancia):





De momento, ya sea por una gráfica de consumo de CPU disparada o el chivato del ventilador de la CPU, en ocasiones, los mineros son pillados in fraganti sacando tajada del micro por el propio usuario. El problema es cuando meten un minero en firmware de un router perdido, bajan el consumo de CPU por debajo del radar o detienen su actividad si observan que el usuario está activo.

El futuro está en la mina. De eso no hay duda, pero eso nos va a costar un buen recibo en algunos casos. Muchos dejan su equipo encendido durante horas o días, una visita a la web equivocada podría dejar un script de minería rodando durante ese tiempo, con lo que podríamos machacar el equipo y terminar pagando un buen pico en el recibo de la luz.



David García
@dgn1729






Categories: Seguridad

El minado de criptomonedas llega a YouTube

Hispasec - Mon, 29/01/2018 - 10:20
El minado de criptomonedas está creciendo más y más cada día intentando llegar a todos los lugares de Internet. Esta vez ha llegado a la plataforma de Video YouTube.

Logotipo de YouTubeYouTube es el portal de vídeos online comprado por el gigante Googleen 2006, y el más utilizado en la actualidad. En él, los usuarios alojan y comparten vídeos personales, tutoriales, educativos, anuncios publicitarios, etc.

Esta plataforma utiliza los anuncios como un medio para obtener beneficios, medio que esta vez ha sido objetivo de los hacker para incluir sus anuncios maliciosos, en especial el servicio DoubleClick de Google. Anuncios que según esta alerta están siendo utilizados para minar criptomonedas utilizando la potencia de la computadora de los usuarios.

Esta campaña ha sido detectada por la compañía se seguridad TrendMicro que ha catalogado este malware como “JS_COINHIVE.GN” y que ha tenido un aumento de un 285% desde el 24 de Enero que se detectó esta campaña.

Esta publicidad parece ser legítima y sólo en un 10 % de las veces se ejecutará este contenido malicioso invocando el scripts “coinhive.min.js ”, que utilizará el 80% de la CPU para minar la criptomoneda “Monero”.

Como contramedida se recomienda utilizar bloqueadores de código JavaScript, así como la actualización de las soluciones de seguridad para evitar la ejecución de este código



Jose Ignacio Palacios
Más información:
Blog de Trend Micro: 
https://blog.trendmicro.com/trendlabs-security-intelligence/malvertising-campaign-abuses-googles-doubleclick-to-deliver-cryptocurrency-miners/

Muestra en VirusTotal:
https://www.virustotal.com/#/file/e72737a8cf29eeae795a3918e56c07b4efa2e9ce241ec56053d6a95f878be231/detection
Categories: Seguridad

<span style="font-size: large;"><span

Hispasec - Sun, 28/01/2018 - 10:14
Nueva campaña de KeyLogger en Wordpress

Una nueva campaña de malware ha sido descubierta, la cual está infectando a sitios web con Wordpres instalando un KeyLogger que además está siendo aprovechado para minar bitcoins.




 
WordPress es un sistema de gestión de contenidos (CMS) enfocado a la creación de blogs, desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

 

El malware ha sido descubierto por el investigador de seguridad de Sucuri, Denis Sinegubko, el cual tiene sospechas que esta nueva campaña pueda estar ligada a la campaña que sufrió este CMS en diciembre de 2017, en la cual se afectó a unos 5500 sitios web. El motivo de esta sospecha es debido a que en los dos ataque realizados se utilizó este kyelogger de criptomoneda como método de ataque, un malware llamado “cloudflare[.]solutions”, aunque hay que aclarar que este malware no tiene nada que ver con la empresa Cloudflare.

El nombre de este malware es debido a que los scripts utilizados utilizaban los recursos de este dominio, actualmente inactivo, aunque esta nueva versión ya tiene nuevos dominios registrados como cdjs[.]online, cdns[.]ws y msdns[.]online.

El ataque se realiza en sitios Wordpress con una seguridad débil, por medio de la injección de scripts en base de datos (en tabla “wp_posts”) o en el archivo “functions.php”.

Como medida de limpieza, se recomienda eliminar el código malicioso de los ficheros de temas “functions.php”, revisar las tablas “wp_posts” y cambiar todas las contraseñas del sitio web.



Jose Ignacio Palacios
Más información:* Sucuri Blog
https://blog.sucuri.net/2018/01/cloudflare-solutions-keylogger-returns-on-new-domains.html

* Threatpost
https://threatpost.com/keylogger-campaign-returns-infecting-2000-wordpress-sites/129676/






Categories: Seguridad

'HNS' es la nueva botnet IoT que ya controla 20.000 dispositivos

Hispasec - Sat, 27/01/2018 - 10:00
Esta nueva botnet IoT denominada HNS está extendiendose desde Asia a Estados Unidos.

Extraida de https://theunhivedmind.com Esta botnet utiliza el mismo exploit (CVE-2016-10401) que usó la botnet Reaper. Y, a diferencia del resto de botnets IoT recientes, HNS no es una modificación de Mirai.

Los investigadores de seguridad aseguran que la botnet apareció el 10 de Enero, desapareció unos días y volvió con muchísima más fuerza el 20 de Enero.
De acuerdo con los análisis que se han realizado, cada bot contiene una lista de IPs de otros bots infectados. Esta lista puede actualizarse en tiempo real a medida que se pierdan/ganen más bots.

Además, se ha comprobado que los bots se mandan instrucciones y comandos unos a otros, similar a la base del protocolo P2P. Los comandos que pueden recibir y ejecutar son diversos, entre ellos la ejecución de código o la exfiltración de datos. Sorprendentemente los expertos de Bitdefender no han encontrado función DDoS en los dispositivos, lo que da a pensar que seguramente esté destinada a ser desplegada como una red proxy. El bot se comporta como un gusano el cuál genera listas de IPs aleatorias para conseguir víctimas potenciales. Entonces inicia una conexión SYN con cada host de la lista a la espera de recibir respuesta por parte de estos desde uno de los puertos específicos (23, 2323, 80, 8080).
Una vez que la conexión ha sido establecida, el bot busca un banner específico ("buildroot login:") al cuál intenta conectar con los credenciales por defecto. En caso de fallar, la botnet intenta un ataque de diccionario usando una lista hardcodeada hasta conseguir acceso al nuevo dispositivo infectado.
La buena noticia es que el bot no es persistente por lo que un reinicio del dispositivo infectado debería de ser suficiente para limpiarlo.
Daniel Púa
@arrowcode_
dpua@hispasec.com
Más información:
Bitdefender Labs:https://labs.bitdefender.com/2018/01/new-hide-n-seek-iot-botnet-using-custom-built-peer-to-peer-communication-spotted-in-the-wild/





Categories: Seguridad

Ejecución remota de código en aplicaciones Electron

Hispasec - Fri, 26/01/2018 - 10:00
Electron, el conocido framework de aplicaciones de escritorio, en el que se basan Slack, Atom, Skype, Signal e incluso Visual Studio Code por ejemplo, han corregido una grave vulnerabilidad de ejecución remota de código que afecta a las versiones Windows que utilizan manejadores de protocolo personalizados.

Si hace unos meses alertábamos de las potenciales vulnerabilidades que se presentaban en el ecosistema de aplicaciones basadas en Electron, el reporte facilitado esta semana por Github, confirma esta tendencia.

En este caso, la vulnerabilidad (CVE-2018-1000006) reside en el uso de manejadores de protocolo personalizados, utilizados para identificar un URI, myapp://, asociado y registrado para una aplicación basada en Electron.

Inspeccionando los cambios en el código, se puede observar cómo era posible ejecutar código remotamente si un usuario hacía click en este tipo de URIs, ya que no se controlaba debidamente los parámetros de ejecución, en base a una blacklist.

Utilizando ciertos parámetros, como el parámetro de tipo debug, "gpu-launcher", se podrían lanzar instancias del sistema, como muestra el PoC realizado por CHYbeta:Fuente: CHYbeta
Otros investigadores, como wflki, han demostrado este tipo de vulnerabilidad en el wallet de criptomonedas, Exodus:
Fuente: wflki
Electron ha publicado nuevas versiones (1.8.2-beta.4, 1.7.11 y 1.6.16) y urge a los desarrolladores a actualizar sus aplicaciones lo antes posible. También han publicado las contramedidas oportunas, para aquellos que no puedan actualizar por el momento.

José Mesa
@jsmesaMás información:Protocol Handler Vulnerability Fixhttps://electronjs.org/blog/protocol-handler-fix

CVE-2018-1000006-DEMO
https://github.com/CHYbeta/CVE-2018-1000006-DEMO

Exploiting Electron RCE in Exodus wallet
https://medium.com/@Wflki/exploiting-electron-rce-in-exodus-wallet-d9e6db13c374

Recent protocol handler bug disclosed by Electron as seen in Windows Defender ATP
https://twitter.com/WDSecurity/status/955909703359516673
Categories: Seguridad

Publicada la píldora formativa Thoth 49: ¿Por qué pueden utilizarse las curvas elípticas para cifrar?

Hispasec - Thu, 25/01/2018 - 12:32
Con fecha 23 de enero de 2018 se publica la píldora formativa 49 del proyecto Thoth que lleva por título ¿Por qué pueden utilizarse las curvas elípticas para cifrar? cuyo guión está escrito por los doctores Víctor Gayoso Martínez y Luis Hernández Encinas, investigadores del Departamento de Tratamiento de la Información y las Comunicaciones en el Consejo Superior de Investigaciones Científicas, España.




En 1987, Neal Koblitz y Victor Miller propusieron de forma independiente utilizar curvas elípticas sobre cuerpos finitos para implementar algunos criptosistemas ya existentes, lo que se conoce como Criptografía de Curva Elíptica o ECC, Elliptic Curve Cryptography.
La ventaja que ofrece esta nueva criptografía es que se pueden emplear claves más pequeñas que las utilizadas en otros criptosistemas muy extendidos como el RSA y ElGamal, manteniendo la misma seguridad.

Recuerda que todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, muy importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web del proyecto, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Se puede acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 48 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite, además, una búsqueda mediante los siguientes cinco filtros:

  1. Fundamentos de seguridad
  2. Criptografía clásica
  3. Historia de la criptografía
  4. Matemáticas en criptografía
  5. Criptografía moderna.


Dr. Jorge Ramió
Dr. Alfonso Muñoz
Directores Proyecto Thoth






Categories: Seguridad

Más de 618 conferencias de seguridad en 2018, y estamos en enero

Hispasec - Wed, 24/01/2018 - 09:56
Hemos empezado el año y ya tenemos confirmadas 618 CONs, de conferencias de seguridad, al ancho y alto del globo. Los datos han sido obtenidos de la web infosec-conferences, y el número podría ser bastante mayor ya que en España y Latinoamérica se echa en falta un número considerable de conferencias, aunque bien es cierto que no falta ninguna de las grandes.





En 2017 se celebraron 1138 conferencias de seguridad en todo el mundo. De estas, un total de 548 (casi la mitad) se celebraron en Estados Unidos, seguidas con bastante distancia de otros paises:


United Kingdom117Canada33Germany28Australia31India31France26United Arab Emirates22Singapore21Spain15Netherlands15
España ocupa el puesto décimo empatada con Holanda, con 15 conferencias de seguridad. El segundo país de habla hispana que encontramos en la lista ocupa el puesto 49, y es Puerto Rico, con 3 CONs.
En 2018 el panorama se vuelve repetir con 618 conferencias confirmadas, y el top 10 se mantiene con leves variaciones. Cabe resaltar los casos de Italia y Grecia que, a día de hoy, tienen bastantes más conferencias confirmadas en 2018 que las celebradas en el pasado año.



20172018Italy511Greece25

Para 2018, desde Hispasec, tenemos ya confirmada nuestra presencia como conferenciantes en FIRST TC Osaka 2018, donde nuestro compañero Fernando Díaz (@entdark_) dará la ponencia The day your IP camera took down a website: An In-Depth Analysis of Emerging IoT Botnets. También estaremos en Cuba, en el XIII SEMINARIO IBEROAMERICANO DE SEGURIDAD EN LAS TIC 2018 donde hablaremos sobre malware bancario y ransomware en dispositivos Android.

Os compartimos el script que he usado para recoger los datos de infosec-conferences y el CSV con la información estadística, por si a alguien le pudiera resultar de interés.


Fernando Ramírez
@fdrg21Más información:
Infosec conferences 2017:
https://infosec-conferences.com/events-in-2017/

Infosec conferences 2018:
https://infosec-conferences.com/





Categories: Seguridad

Evrial, un troyano con capacidad para manipular tu portapapeles

Hispasec - Tue, 23/01/2018 - 09:00
Evrial es un troyano diseñado para el robo de información en sistemas Windows. Como muchos otros tiene la capacidad de robar cookies y credenciales, pero la particularidad de esta nueva familia es que además puede acceder y manipular el portapapeles, pudiendo "secuestrar" transferencias de criptomonedas y redirigirlas a la cartera del atacante.





Descubierto por los investigadores @malwrhunterteam y @0x7fff9, Evrial se anunciaba en foros por un precio que ronda los 25 dólares. 




Cuando se realiza el pago, el comprador recibe acceso a un panel web que permite al atacante configurar y compilar el ejecutable y recibir la información que recopila de las víctimas.

Como comentábamos antes, Evrial tiene la capacidad de poder controlar el portapapeles de Windows, lo que permite detectar direcciones de carteras de bitcoin y reemplazarlas por una dirección arbitraria.


Detección de direcciones de 'wallets' para distintas criptomonedas

Reemplazando la cadena en el portapapeles

Además de esto también Evrial también tiene capacidad para:

  • Robar contraseñas almacenadas en el navegador
  • Robar ficheros 'wallet.dat'
  • Robar credenciales de Pidgin y FileZilla
  • Robar cookies y otros documentos del escritorio
  • Hacer capturas de pantalla


IOCS

9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d
https://www.virustotal.com/en/file/9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d/analysis/1516121833/


Francisco Salido
fsalido@hispasec.com
Más información:
Evrial Trojan Switches Bitcoin Addresses Copied to Windows Clipboard:https://www.bleepingcomputer.com/news/security/evrial-trojan-switches-bitcoin-addresses-copied-to-windows-clipboard/





Categories: Seguridad

El autor del troyano Exobot vende el código fuente

Hispasec - Mon, 22/01/2018 - 11:38
Exobot es un troyano bancario para dispositivos Android. Cuando se conoció, se le dio el nombre de Marcher sin embargo ciertas características lo hacían distinguirse de él, entre ellas el ser capaz de renderizar overlays en versiones 6.0 de Android. Incluso el autor, lo quiso distinguir de Marcher llamándolo Exobot




Por lo general, este troyano se distribuía a través de markets externos y enlaces de phishing, además de SMS a través de las víctimas infectadas. Una vez la víctima estaba comprometida, el atacante podía interceptar los SMS de validación del banco y renderizar overlays sobre las aplicaciones objetivo.

El autor de Exobot lo alquilaba a los atacantes, los cuales nunca tenían acceso al código fuente. Para generar los troyanos, utilizaban un panel web donde podían configurar el troyano y estos debían ingeniárselas por su cuenta para infectar a las víctimas. Este ecosistema se ha dilatado a lo largo del tiempo, por lo que muy probablemente fuese un buen negocio para el autor. 

Sin embargo, recientemente el autor ha decidido cerrar el negocio de alquiler para pasar a vender el código fuente a un pequeño grupo de usuarios. Esto puede significar que el autor ha generado el suficiente dinero como para continuar arriesgando, o ha suscitado el interés de los organismos de la ley para ser investigado.

De momento, el código no ha sido filtrado pero se teme que acabe ocurriendo como con otros anteriores como MazarBot o Bankbot, los cuales han sido liberados al público para crear diferentes variantes con mejoras añadidas, y además haciéndolas accesibles a otros usuarios menos experimentados que quieran introducirse en la creación de este tipo de artefactos.

Tras la venta de este troyano, pronto se comenzaron a detectar nuevas campañas haciendo uso de este. Por tanto, podemos observar una clara relación entre su venta y el aumento de objetivos.

Para prevenir este tipo de infecciones, es ideal no descargar aplicaciones de markets externos, además de mantener las soluciones antivirus actualizadas. Por ejemplo, las aplicaciones infectadas que existan en el market de Google serán eliminadas automáticamente a través de Google Play Protect. 



Fernando Díaz
fdiaz@hispasec.com
Más información:
EXOBOT (MARCHER) - ANDROID BANKING TROJAN ON THE RISE:https://clientsidedetection.com/marcher.html

Exobot Author Calls It Quits and Sells Off Banking Trojan Source Codehttps://www.bleepingcomputer.com/news/security/exobot-author-calls-it-quits-and-sells-off-banking-trojan-source-code/




Categories: Seguridad

Vulnerabilidad en Seagate Media Server permitiría el borrado aleatorio de ficheros y carpetas

Hispasec - Sun, 21/01/2018 - 10:14
Un error en Seagate Media Server podría permitir la eliminación de contenido aleatorio por parte de usuarios sin autenticar.


Seagate Personal Cloud es una gama de dispositivos de almacenamiento conectado a la red (más conocidos como NAS, del inglés Network-Attached Storage) destinado a uso personal. Para permitir a los usuarios acceder fácilmente al contenido (películas, música, fotos, documentos, etc.) se incluye la aplicación Seagate Media Server. Además se posibilita el acceso a usuarios anónimos (sin autenticación) que, de manera predeterminada, pueden cargar ficheros en una carpeta pública del sistema.

La vulnerabilidad es debida a una falta de validación en la aplicación Seagate Media Server. Esta utiliza el framework Django y se han mapeado las extensiones 'psp' para que cualquier URL que termine con ella sea automáticamente procesado por la aplicación. Entre otras, las vistas 'delete' hacen uso de las extensiones ‘psp’, y además son accesibles por parte de cualquier usuario no autenticado.

Para aumentar la gravedad del asunto, Media Server se ejecuta con privilegios de root, por lo que prácticamente cualquier elemento del sistema de archivos podría verse afectado.

Además la aplicación carece de protección contra ataques CSRF y es accesible a través del dominio 'personalcloud.local', por lo que sería posible aprovechar este problema a través de un sitio web malicioso sin que sea necesario acceder directamente al NAS.

Se propone la siguiente prueba de concepto:

Prueba de conceptoSe ha corroborado el error en dispositivos con el firmware 4.3.16.0, aunque otras versiones podrían verse afectadas también. Seagate ha liberado la versión 4.3.18.0 del firmware que corrige este problema.

Según Seagate "Personal Cloud es un lugar extraordinario y seguro donde puede cargar y almacenar toda su música y sus películas favoritas junto con las fotos de toda una vida. Todo", sin embargo para evitar la posibilidad de sufrir la pérdida de contenido es recomendable aplicar las actualizaciones disponibles.


Juan José Ruiz
jruiz@hispasec.com
Más información:
Seagate Media Server allows deleting of arbitrary files and foldershttps://sumofpwn.nl/advisory/2017/seagate-media-server-allows-deleting-of-arbitrary-files-and-folders.html





Categories: Seguridad

Vulnerabilidades en routers ASUS

Hispasec - Sat, 20/01/2018 - 10:14
Se han dado a conocer múltiples vulnerabilidades en el firmware ASUSWRT de routers ASUS que podrían permitir adivinar el token de sesión, eludir restricciones de seguridad, obtener los credenciales del administrador y ejecutar código arbitrario sin necesidad de autenticación.

 
En total se trata de cuatro vulnerabilidades diferentes que explicaremos a continuación:

* CVE-2017-15654: Tokens de sesión predecibles

La primera de las vulnerabilidades se encuentra en la implementación de la función que genera el token de sesión para un usuario autenticado, que usa la función 'rand' para generar números aleatorios usando como semilla el reloj del dispositivo. Esto podría permitir a un atacante adivinar un token sabiendo aproximadamente el momento en el administrador ha iniciado sesión.

Para poder aprovechar esta vulnerabilidad es necesaria la interacción del administrador del dispositivo (debe iniciar una sesión en el router).

* CVE-2017-15653: Validación insuficiente de la dirección IP de usuario autenticado

El segundo de los problemas de seguridad consiste en la de falta de validación de la dirección IP del usuario autenticado cuando existe un token de sesión (es posible obtenerlo explotando la vulnerabilidad anterior y engañando al administrador para que inicie sesión). Esto podría permitir evitar restricciones de seguridad usando el token de sesión y un user-agent especial 'asusrouter-asusrouter-asusrouter-asusrouter'.

PoC CVE-2017-15653
* CVE-2017-15656: Contraseñas almacenadas en texto plano

Una tercera vulnerabilidad es debida al almacenamiento de las contraseñas en texto plano en la memoria NVRAM del dispositivo. Lo que permitiría obtener las credenciales del administrador ejecutando el comando 'nvram show' desde una sesión telnet o descargando un fichero con un volcado del contenido de la memoria y decodificándolo (ver la siguiente vulnerabilidad CVE-2017-15655).

Este fallo no ha sido solucionado por el momento. ASUS ha declarado que lanzará una actualización de ASUSWRT en febrero de este año en la que la NVRAM estará cifrada.
* CVE-2017-15655: Desbordamientos de memoria en el servidor HTTPd

Existen múltiples desbordamientos de memoria en cabeceras HTTP (como por ejemplo 'host') que podrían ser aprovechados por un usuario no autenticado para ejecutar código remoto con permisos de administrador. Este código se ejecutaría cuando el administrador visita determinadas páginas de la interfaz del router (por ejemplo, la pestaña de herramientas de red).

Siguiendo en la línea de las anteriores vulnerabilidades, se propone la siguiente prueba de concepto que realizaría un volcado de la memoria a un fichero descargable posteriormente (en el ejemplo 'nvram.css').

PoC CVE-2017-15655

Por último, existe una funcionalidad que permite a un usuario no autenticado obtener información sobre las sesiones actuales (si hay alguien conectado, quién es y su dirección IP). Esto, aun sin ser una vulnerabilidad, permitiría una explotación más fácil de los puntos anteriores.

PoC
Para terminar, Blazej Adamczyk alias 'br0x', el investigador de seguridad que descubrió estas vulnerabilidades ha liberado un exploit que las aprovecha para obtener un token válido y extraer las credenciales de acceso al dispositivo.

Estas vulnerabilidades fueron reportadas a ASUS en Septiembre de 2017 y han sido corregidas (excepto CVE-2017-15656) en la versión 3.0.0.4.382.18495 de ASUSWRT, aunque no se habían hecho públicas hasta el momento para permitir una ventana temporal para la la actualización de los dispositivos. Sin embargo existen routers afectados que se encuentran fuera de su ciclo de vida y no recibirán las actualizaciones de firmware necesarias (por ejemplo, los modelos RT-N65R y RT-N65U). En esos casos se recomienda restringir a la LAN el acceso a la administración del dispositivo.


Juan José Ruiz
jruiz@hispasec.com
Más información:
ASUS routers - part I (CVE-2017-15655):http://sploit.tech/2018/01/16/ASUS-part-I.html

ASUS routers - part II (CVE-2017-15653, CVE-2017-15654, CVE-2017-15656):http://sploit.tech/2018/01/16/ASUS-part-II.html





Categories: Seguridad

Nueva variante de Satori ataca a software de minado de criptodivisas

Hispasec - Fri, 19/01/2018 - 12:25
En esta ocasión la botnet busca equipos con el software de minado Claymore para aprovechar una vulnerabilidad en el panel de gestión y cambiar el monedero asociado al del propio atacante.



Hace un mes hablábamos de Satori, una variante de la botnet Mirai que, a diferencia de esta, utilizaba vulnerabilidades en routers Huawei y otros dispositivos para extenderse. Los centros de control de la red zombie, en un esfuerzo conjunto de varios ISPs, fueron cerrados a mediados del pasado diciembre.

Sin embargo, la firma de seguridad Netlab.360 ha detectado un aumento de actividad similar a la de esta botnet, con el mismo esquema de ataque y nuevos servidores C&C. La diferencia es que esta vez sus objetivos no son solo los dispositivos de red e IoT.


Captura de código con el ataque al puerto 3333.
Esta nueva variante, bautizada como Satori.Coin.Robber, busca en la red equipos con el puerto 3333 abierto, que es utilizado por el software de minado de criptodivisas Claymore como acceso de gestión remota. Utilizando una vulnerabilidad en el panel, el malware cambia el pool de minado y el monedero al del atacante, en este caso:


Además, muy educadamente, el atacante deja un mensaje tranquilizador a la víctima: 


Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net
Así, el atacante ha podido ya obtener ya dos monedas Ethereum, con un valor de más de 2.000 dólares al cambio actual.

Aunque existen vulnerabilidades conocidas para Claymore que ya están solucionadas (CVE-2017-16929, por ejemplo), la botnet explota las versiones que por defecto no requieren contraseña para su administración, que es la configuración por defecto. 



Francisco Lópezflopez@hispasec.com@zisk0Más información:
Art of Steal: Satori Variant is Robbing ETH BitCoin by Replacing Wallet Address:
http://blog.netlab.360.com/art-of-steal-satori-variant-is-robbing-eth-bitcoin-by-replacing-wallet-address-en/




Categories: Seguridad

Oracle corrige 237 vulnerabilidades en su boletín de enero

Hispasec - Thu, 18/01/2018 - 08:57
Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 237 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: algunas de ellas podrían permitir a un atacante remoto sin autenticar hacerse con el control del sistema en el caso de MySQL Enterprise Monitor, por ejmplo y llevar a cabo una denegación de servicio en MySQL Server.




Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
@page { margin: 2cm } p { margin-bottom: 0.25cm; line-height: 120% } a:link { so-language: zxx }
  • Application Express, versiones anteriores a 5.1.4.00.08
  • Agile Material y Equipment Management for Pharmaceuticals, versiones 9.3.3, 9.3.4
  • Converged Commerce, versión 16.0.1
  • Hyperion BI+, versión 11.1.2.4
  • Hyperion Data Relationship Management, versión 11.1.2.4.330
  • Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x
  • Java Advanced Management Console, versión 2.8
  • Java ME SDK, versión 8.3
  • JD Edwards EnterpriseOne Tools, versión 9.2
  • MICROS Handheld Terminal, versiones anteriores a BSP 02.13.0701 (070116)
  • MICROS Relate CRM Software, versiones 10.8.x, 11.4.x, 15.0.x
  • MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0, 10.8.1
  • MySQL Connectors, versiones 5.3.9, 6.9.9, 6.10.4 y sus versiones anteriores.
  • MySQL Enterprise Monitor, versiones 3.3.6.3293, 3.4.4.4226, 4.0.0.5135 y sus versiones anteriores.
  • MySQL Server, versions 5.5.58, 5.6.38, 5.7.20 y sus versiones anteriores.
  • Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0
  • Oracle Agile Engineering Data Management, PLM, PLM MCAD
  • Oracle Argus Safety, versiones 7.x, 8.0.x, 8.1
  • Oracle Autovue for Agile Product Lifecycle Management, versiones 21.0.0, 21.0.1
  • Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0
  • Oracle Banking Payments, versiones 12.3.0, 12.4.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Communications
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1
  • Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
  • Oracle Endeca Information Discovery Integrator, versiones 3.1.0, 3.2.0
  • Oracle Financial Services
  • Oracle FLEXCUBE
  • Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.9
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3
  • Oracle Health Sciences Empirica
  • Oracle Hospitality
  • Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Hyperion Planning, versión 11.1.2.4.007
  • Oracle Identity Manager
  • Oracle Internet Directory, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.3.0
  • Oracle iPlanet Web Server, versión 7.0
  • Oracle Java SE, versiones 6u171, 7u161, 8u152, 9.0.1
  • Oracle Java SE Embedded, versión 8u151
  • Oracle JDeveloper, versions 11.1.1.2.4, 11.1.1.7.0, 11.1.1.7.1, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.2.0
  • Oracle JRockit, versión R28.3.16
  • Oracle Mobile Security Suite, versión 3.0.1
  • Oracle Retail Assortment Planning, versión 14.1.3, 15.0.3, 16.0.1
  • Oracle Retail Convenience y Fuel POS Software, versión 2.1.132
  • Oracle Retail Customer Management y Segmentation Foundation, versiones 10.8.x, 11.4.x, 15.0.x, 16.0.x
  • Oracle Retail Fiscal Management, versión 14.1
  • Oracle Retail Merchandising System, versión 16.0
  • Oracle Retail Workforce Management, versiones 1.60.7, 1.64.0
  • Oracle Secure Global Desktop (SGD), versión 5.3
  • Oracle Transportation Management, versiones 6.2.11, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2, 6.4.3
  • Oracle Tuxedo System and Applications Monitor, versión 12.1.3.0.0
  • Oracle VM VirtualBox, versiones anteriores a 5.1.32, y 5.2.6
  • Oracle WebCenter Content, Portal, Sites y Server
  • Oracle X86 Servers, versiones SW 1.x, SW 2.x
  • OSS Support Tools, versiones anteriores a 2.11.33
  • PeopleSoft Enterprise FIN, FSCM, HCM, PRTL, SCM y PeopleTools
  • Primavera Unifier, versions 10.x, 15.x, 16.x, 17.x
  • Siebel Applications, versions 16.0, 17.0
  • Solaris, versiones 10, 11.3
  • Sun ZFS Storage Appliance Kit (AK), versiones anteriores a 8.7.13
A parte del listado comentado anteriormente, cabe destacar dos vulnerabilidades en el motor de base de datos MySQL:

La primera de ellas, CVE-2017-12617, para MySQL Enterprise Monitor, podría permitir a un usuario remoto sin autenticar hacerse con el control del sistema de base de datos.
La segunda de ellas, con el CVE-2018-2703, afectaría al plugin de autenticación sha256_password, y podría habilitar a un atacante remoto llevar a cabo una denegación de servicio en la fase de autenticación a través de un password especialmente grande.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Enero.



Más información:
Critical Patch Update - January 2018:
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html

My Oracle Support Note 209768.1 (Acceso para usuarios registrados): https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=209768.1
Categories: Seguridad

Variante de KillDisk afecta a entidades financieras de Latinoamérica

Hispasec - Wed, 17/01/2018 - 09:30
Investigadores de Trend Micro han descubierto una nueva variante de KillDisk, un malware con capacidad para borrar por completo el disco duro de la máquina afectada.



Esta nueva variante simula ser un ransomware mostrando un mensaje a la víctima en la pantalla informando de que sus archivos han sido encriptados, cuando en realidad van a ser eliminados de forma permanente.


Infección

El malware llega al sistema a través de otra aplicación maliciosa, lo que se intuye de ciertas rutas hardcodeadas en el código del malware (c:\windows\dimens.exe).

Proceso de infección - Fuente: https://blog.trendmicro.com

KillDisk también cuenta con una funcionalidad de "autodestrucción", que en realidad lo que hace es renombrarse a sí mismo (c:\windows\0123456789). Esta cadena también aparece hardcodeada en la muestra analizada por Trend Micro.

Borrado de archivos

Esta nueva variante recorre todas las unidades lógicas, respetando ciertos directorios de la unidad que contiene el sistema operativo:

  • WINNT
  • Users
  • Windows
  • Program Files
  • Program Files (x86)
  • ProgramData
  • Recovery (case-sensitive check)
  • $Recycle.Bin
  • System Volume Information
  • old
  • PerfLogs

Antes de borrar un archivo se renombra aleatoriamente y se sobreescriben con ceros los primeros 0x2800 bytes del fichero.

Borrado de ficheros - Fuente: https://blog.trendmicro.com


Borrado de discos

El malware lee los registros de arranque desde el \\.\PhysicalDrive0 hasta \\.\PhysicalDrive4 y sobreescribe con ceros los primeros 0x20 sectores del MBR. Además utiliza la información contenida en este registro para dañar en lo posible la lista de particiones.
Lectura del MBR - Fuente: https://blog.trendmicro.com
Una vez borrados el MBR y los ficheros y directorios, KillDisk inicia un contador que reiniciará la máquina cuando llegue a cero. En concreto intentará terminar los siguientes procesos para forzar este reinicio:

  • Client/server run-time subsystem (csrss.exe)
  • Windows Start-Up Application (wininit.exe)
  • Windows Logon Application (winlogon.exe)
  • Local Security Authority Subsystem Service (lsass.exe)

Reinicio - Fuente: https://blog.trendmicro.com
Recomendaciones

Mantener el sistema y las aplicaciones actualizadas, así como hacer copias de seguridad de forma periódica, es la mejor medida para mitigar en lo posible este tipo de ataques.


Indicadores de compromiso


SHA256: 8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5



Francisco Salido
fsalido@hispasec.com
Más información:
New KillDisk Variant Hits Financial Organizations in Latin America:https://blog.trendmicro.com/trendlabs-security-intelligence/new-killdisk-variant-hits-financial-organizations-in-latin-america/





Categories: Seguridad

MaMi, el nuevo spyware para macOS

Hispasec - Tue, 16/01/2018 - 13:34
Se ha descubierto un malware para macOS cuya característica principal es modificar los servidores DNS de la máquina infectada, y que incluye código con funcionalidades de espionaje


La maligna configuración de DNS's. Extraído de objective-see.com.

Patrick Wardle, un experto en seguridad informática con un currículo que incluye a la NSA y la NASA, ha descubierto un spyware para macOS gracias al reporte de un usuario en el foro de Malwarebytes. Este usuario reportaba que su compañera de trabajo había instalado algo por accidente, y tras ello su configuración de servidores DNS permanecía fija apuntando a direcciones IP no deseadas.

El malware, bautizado como OSX/MaMi debido a una de los cadenas usadas en el código fuente, tiene dos funciones principales que destacan: el secuestro de la configuración de los servidores DNS para que apunten a servidores controlados por el atacante y la instalación de un certificado raíz. Lo primero permite (entre otras cosas) que cuando la víctima quiera visitar "google.com", sea el atacante quien responda a qué servidor debe acudir la víctima para descargar esa página web (con lo cual puede responder que acuda a un servidor diseñado para robar información).


Uno de los puntos de descarga del malware. Extraído de objective-see.com.

En cuanto a la instalación de un certificado raíz, esto permite (si no existen medidas contra ello) que páginas web modificadas por el atacante aparezcan como legítimas cuando se usa HTTPS (el famoso "candadito verde"). Estas dos técnicas suelen ser usadas para llevar a cabo lo que se llama "ataque Man-in-the-Middle" (Hombre en medio). Con este ataque, el atacante puede modificar las webs a las que accede el usuario o robar información que circule entre la web y el usuario.

A pesar de que un ataque Man-in-the-Middle puede ser usado para inyectar anuncios en las páginas web que se visitan (produciendo un beneficio económico para el atacante), podemos afirmar con cierta seguridad que el objetivo principal es el espionaje. Básicamente, debido a que incluye funcionalidades como capturas de pantalla, descarga de archivos... Si bien es cierto que también incluye otras como simulación de ratón, ejecución remota de comandos y similares, usadas en herramientas de control remoto. Pero estas funcionalidades suelen introducirse en muchos tipos de malware, simplemente para que el atacante pueda realizar acciones manualmente en el ordenador infectado, si lo desea.


Nombres usados en la programación del malware. Extraído de objective-see.com.

En el análisis presentado por Patrick Wardle, se comenta que estas funcionalidades espía no parecen ser ejecutadas automáticamente en la infección. Esto puede ser porque el malware está programado para hacerlo pero por alguna razón no ocurriese, o porque realmente estas acciones están pensadas para ser usadas manualmente por el atacante. También se comenta en el análisis que no es detectado por ningún antivirus de los existentes en Virustotal (link del reporte), aunque a la hora de escribir este artículo ya es detectado por 26 de los 59 motores de detección presentes.

El vector de infección todavía es desconocido, y el autor del análisis apunta a que probablemente se usan métodos poco sofisticados como correos maliciosos, alertas falsas de seguridad en la web y otros métodos de ingeniería social enfocados a los usuarios de Mac. La forma de desinfectarse se resume a dos puntos, según el análisis: eliminar los servidores DNS que configuró el malware (82.163.143.135 y 82.163.142.137) y eliminar el certificado raíz de nombre "cloudguard.me". Si bien es cierto que en el reporte original en Malwarebytes el usuario se quejaba de que volvían a aparecer estos DNS's tras quitarlos... Cuando un usuario ha sido infectado por un malware que permite descargar más malware y no se sabe qué se ha ejecutado realmente, lo ideal es reinstalar el sistema operativo.

Finalmente, respecto al origen de este malware, Patrick lo relaciona con DNSUnlocker, un malware de 2015 que cambiaba los servidores DNS para introducir publicidad en las webs que visitabas. Se basa en que MaMi usa dos servidores DNS en un rango de red muy cercano al que usaba DNSUnlocker, y que instala el mismo certificado raíz, "cloudguard.me". Al ser éste último un malware para Windows, MaMi sería una versión para macOS de DNSUnlocker con funcionalidad específica para este sistema operativo.


Carlos Ledesma
cledesma@hispasec.com

Más información:
Analyzing a New macOS DNS Hijacker: OSX/MaMihttps://objective-see.com/blog/blog_0x26.html
New MaMi Malware targets macOS systems and changes DNS settingshttp://securityaffairs.co/wordpress/67709/malware/mami-malware-dns-changer.html
Patrick Wardle: Director of Research, Synackhttps://www.rsaconference.com/speakers/patrick-wardle
Categories: Seguridad

Una-al-mes Mission 003. ¡Comenzamos 2018 con fuerzas!

Hispasec - Mon, 15/01/2018 - 10:00
Le ponemos un poco más de dificultad a esta tercera entrega.



De nuevo daros las gracias a todos los que apoyáis este proyecto, ya que nos dais las fuerzas y las ganas para seguir adelante.

Recordaros que tenéis un grupo de telegram para todo el que quiera resolver dudas, mandar sugerencias, etc.

https://t.me/joinchat/AKWAVkxjj1GTE_cvkvQvIQ

Como siempre, ya sabéis que cuando resolváis el reto debéis de enviar la flag con el write-up de la misma al correo unaalmes@hispasec.com.

Igualmente, también podéis recibir soporte en esa dirección pero para una respuesta más rápida se recomienda el grupo de telegram arriba mencionado y hablarle a alguno de los administradores disponibles. Mario Parra y Daniel Púa somos los encargados de resolver las dudas.

Al finalizar los 7 días que estará abierto el reto, se creará una entrada en la web del laboratorio de Hispasec con la resolución del mismo y los tres primeros participantes en haberlo resuelto. Acordaos de incluir vuestro nombre y perfil de Twitter si queréis que este sea publicado.

En este tercer reto queremos darle las gracias especialmente a Daniel García (@daniel_gf3) por su colaboración en la realización del mismo.

El enlace al reto lo tenéis en el apartado "Más información" de esta misma página.

El formato de la flag sigue siendo UAM{...}.

¡Mucha suerte a todos!
Daniel Púa
@acek_101
dpua@hispasec.com
Más información:Mission#003:
http://34.253.233.243/mission3.php





Categories: Seguridad

Página web de Blackberry hackeada para minar criptomonedas

Hispasec - Sun, 14/01/2018 - 10:00
El código usado para este incidente ha sido del servicio de scripts de minería CoinHive.

Logo de la empresa CoinHive y de la criptomoneda Monero.
Que las criptomonedas están ganando popularidad día a día es un hecho. Tanto es así que ha habido numerosos casos de webs vulneradas para minar criptomonedas ilegalmente, el último caso es el de la empresa de telefonía Blackberry.

El atacante habría entrado en la web de la conocida marca de teléfonos para usar los recursos de sus visitantes para minar. En este caso, la moneda en cuestión que se estuvo minando fue Monero.

La empresa CoinHive, autora del código usado para minar en la web, explica en el foro de Reddit que había una vulnerabilidad en el software de la tienda de Blackberry, la cuál fue explotada por el atacante. Tras el descubrimiento de la ilegalidad, CoinHive ha cerrado la cuenta del usuario por violación de términos del servicio.

Segun explica la propia web de scripts, esa vulnerabilidad encontrada en la web de Blackberry ha sido utilizada para vulneras más webs.

Blackberry por su parte ya ha borrado el código y asegura que la web vuelve a ser segura de nuevo.

A medida que aumente el valor de las criptomonedas, esto va a ser más usual.


Daniel Púa
@acek_101
dpua@hispasec.com
Más información:
Infosecurity Magazine:https://www.infosecurity-magazine.com/news/monero-cryptomining-invades/






Categories: Seguridad

Credenciales por defecto en Intel AMT permiten obtener control total del equipo

Hispasec - Sat, 13/01/2018 - 12:29
Llevamos solo dos semanas, pero a Intel ya se le está haciendo largo 2018. Mientras aún resuenan los ecos de Meltdown y Spectre, que creemos tardarán bastante en extinguirse, se descubre una nueva vulnerabilidad que afecta, esta vez en exclusiva, a sus productos.



En este caso se trata de un fallo en la tecnología 'Active Management Technology' (AMT), presente en equipos portátiles de gama corporativa. AMT es un acceso de administración remoto utilizado para administrar, mantener e inventariar el parqué de equipos de gama empresarial. Está presente en sistemas Intel vPro y en algunas estaciones de trabajo con procesadores de la familia Xeon.

Descubierto por la empresa finlandesa F-Secure en julio de 2017, el fallo se encuentra en una provisión incorrecta de fabrica de las credenciales de administración, y permite no solo el acceso administrativo al propio AMT, sino evitar además toda medida de seguridad adicional implementadas en el equipo (contraseñas de BIOS, sistema operativo, cifrado de disco), obteniendo acceso privilegiado al sistema de forma remota.

Al iniciar estos equipos de forma local, es posible acceder a la extensión para la BIOS de AMT antes de que cualquier credencial sea requerida (incluida la contraseña de BIOS). Una vez el sistema lo requiera, un usuario malintencionado puede acceder simplemente introduciendo la contraseña por defecto: admin.




A partir de aquí, se puede configurar el acceso remoto a través de AMT, desactivar el consentimiento del usuario y empezar a gestionar el sistema a través de VNC . Aunque por defecto está limitado a accesos desde la misma red cableada, se puede configurar la opción de hacerlo a través de la misma red Wi-Fi o incluso dirigir al usuario hacia un servidor externo controlado por el atacante, usando para ello 'Client Initiated Remote Access'CIRA.

A través de este acceso privilegiado, el atacante podrá leer y escribir cualquier fichero al que el usuario tenga acceso, además de ejecutar cualquier programa en su equipo.

Según F-Secure, este fallo no es una vulnerabilidad, si no un problema de configuración. Por ello, instan a seguir las buenas prácticas definidas por Intel para evitarlo. Guía que, por otro lado, parece no estar teniendo impacto real, ya que según su experiencia los equipos con AMT no están siendo configurados para garantizar la seguridad.

No es la primera vez que Intel se encuentra con problemas en AMT. El pasado mayo se publicó una vulnerabilidad que permitía a un atacante obtener privilegios del sistema a través de un fallo en el manejo de la autenticación a través de HTTP Digest.

Recordemos que, a pesar de que no se trata de una vulnerabilidad de software, las credenciales por defecto siguen siendo un grave fallo de seguridad (forman parte del OWASP Top-10 como "Security Misconfiguration"). En este caso, el problema obtiene aún más visibilidad debido a la delicada situación de Intel en las últimas semanas.



Francisco Lópezflopez@hispasec.com@zisk0Más información:
A Security Issue in Intel’s Active Management Technology (AMT):https://youtu.be/aSYlzgVacmw

Intel(R) Active Management Technology MEBx Bypass:
https://sintonen.fi/advisories/intel-active-management-technology-mebx-bypass.txt
Explained — How Intel AMT Vulnerability Allows to Hack Computers Remotely:https://thehackernews.com/2017/05/intel-amt-vulnerability.html

Categories: Seguridad

macOS High Sierra y las contraseñas ignoradas

Hispasec - Fri, 12/01/2018 - 09:30
Se ha descubierto una nueva vulnerabilidad en macOS High Sierra, que permite acceder a una parte de las preferencias del sistema con cualquier contraseña




Probabablemente una de las vulnerabilidades más sencillas de reproducir. Basta con tener el sistema operativo macOS en su versión 10.13.2, haber iniciado sesión desde una cuentra de administrador local y seguir los siguientes pasos:

  • Abrir el panel de preferencias de la App Store desde Preferencias del Sistema
  • Haz click en el candado para desbloquear el panel
  • Introduce cualquier contraseña

El resultado es ciertamente alarmante: El panel se encuentra desbloqueado como si se hubiese introducido la contraseña correcta, y se puede cambiar cualquier opción de este panel. De entre todas las opciones disponibles, es particularmente peligroso poder desactivar las actualizaciones del mismo sistema operativo:


La única pega es que, como hemos indicado antes, debemos tener el rol de administrador. También deberíamos tener en cuenta que la protección del candado que permite bloquear y desbloquear las acciones sobre este panel en concreto se implementó hace pocas versiones. La cosa es que no es la primera vez en los últimos meses que Apple comete un fallo "tonto" en el manejo de contraseñas en las interfaces gráficas principales de macOS. Desde mostrar la contraseña de un volumen cifrado en la pista de contraseña hasta sobreescribir directamente la contraseña de administrador (root) sin más.

La forma de corregir esta vulnerabilidad es esperando a que salga la versión 10.13.3 en los próximos días, ya que esta vulnerabilidad está corregida en la última beta de esa versión.



Carlos Ledesma
cledesma@hispasec.com


Más información:
macOS High Sierra's App Store System Preferences Can Be Unlocked With Any Password
https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/

AppStore Preferences lock is a lie
https://openradar.appspot.com/36350507

El nuevo sistema operativo macOS 'High Sierra' se estrena con una grave vulnerabilidad
http://unaaldia.hispasec.com/2017/10/el-nuevo-sistema-operativo-macos-high.html
Categories: Seguridad

Pages

Subscribe to Bytecoders aggregator