You are here

Noticias

ATMii, malware para robo en cajeros simple pero efectivo.

Hispasec - Wed, 11/10/2017 - 09:30
Mientras unos destruyen cajeros automáticos para robar efectivo, otros aprovechan metodos más sutiles para hacerlo. 

Investigadores de Kaspersky recibieron en Abril de 2017 una muestra correspondiente a un malware cuyo objetivo era robar dinero de cajeros automáticos, de ahora en adelante ATM. 
Este malware conocido como ATMii, requiere de acceso a un cajero ya sea a través de red o físicamente (vía USB). En caso de instalarse con éxito, los ladrones podrán sacar todo el dinero del cajero. 

Se trata de un malware sencillo a la par que efectivo, compuesto por un ejecutable que hace de inyector y una DLL que cuenta con la funcionalidad del troyano. Debido a que el valor de la constante PROCESS_ALL_ACCESS difiere entre versiones de Windows, no se ejecuta en versiones XP a pesar de ser la más utilizada aún.

A continuación, veremos la funcionalidad que posee la DLL.


Fragmento de la función de escaneo de servicios.
Los cajeros funcionan bajo la arquitectura XFS, por lo que primero el malware debe encontrar el servicio que se encargue de dispensar dinero. En caso de exito, la información se guardará en un log como podremos ver a continuación.


Escritura a \\tLogs.log 

Los atacantes necesitan saber el contenido de los cartuchos, por tanto implementan el comando info para obtener dicha información. 


cmd_info
El comando cmd_disp se utiliza para obtener el dinero del cajero. Los argumentos de la función son concretamente la cantidad y la moneda. La moneda se recoge en un struct y solo acepta aquellas recogidas en el. 


Fragmento del desensamblado de cmd_disp_ex 
Este malware es un ejemplo lo que los criminales son capaces de hacer con muy poco código. Como medidas cautelares, una gestión control de los dispositivos y politicas permitirian no ejecutar dispositivos USB o prevenir la ejecución de código no autorizado


Fernando Díaz
fdiaz@hispasec.com
@entdark_
Más información:
ATMii: a small but effective ATM robber:https://securelist.com/atmii-a-small-but-effective-atm-robber/82707/
https://es.wikipedia.org/wiki/XFS
Categories: Seguridad

Arrestado un acosador en Internet por los registros de VPN's que "no guardan registros"

Hispasec - Tue, 10/10/2017 - 09:30
El FBI ha arrestado a un hombre de Massachusetts por acosar en Internet a su compañera de piso. El acusado usaba herramientas para ocultar su identidad.





Todos nos hemos topado alguna vez con publicidad de VPN's. Para el que no sepa lo que es, en lo que respecta al usuario final una VPN es un servicio que permite cambiar tu dirección IP. Te conectas a un servidor, y ese servidor da la cara por ti en Internet como intermediario. Entre otras cosas, muchos proveedores de VPN's prometen que no guardan registros sobre la actividad de sus usuarios (registros que suelen pedir las fuerzas de seguridad del estado en investigaciones criminales).

A pesar de que el proveedor PureVPN era uno de éstos, ha colaborado con el FBI para arrestar al acusado, que usaba sus servicios. Y para ello, PureVPN le ha proporcionado al FBI los registros que prometía no guardar. Al acusado Ryan Lin se le acusa de múltiples delitos perpetrados aprovechándose de herramientas para ser anónimo en Internet. La víctima de los múltiples delitos es una mujer de 24 años, compañera de piso del acusado. Ayudándose de herramientas para ocultar su identidad en Internet (TorTextfreeProtonMail...), Ryan Lin habría cometido los siguientes delitos afectando a la víctima mencionada (y otros que no se mencionan):


  • Suplantar la cuenta de correo de la víctima y enviar a los amigos, compañeros de clase, profesores... de la víctima, un collage con fotos personales de ésta y contenido sexual no relacionado
  • La creación de cuentas en portales de Internet para adultos suplantando a la víctima, ofreciendo en su perfil la realización de BDSM, simulación de violaciones...
  • Suplantar la identidad de la víctima para enviar amenazas de bomba y de otros tipos a escuelas cercanas e individuos
  • Envío de comunicaciones amenazantes a la víctima y a su círculo cercano, amenazando con matarlos y violarlos
  • Abuso de la cuenta de la víctima en una página de cuidado de mascotas, con la cual dijo a los dueños de mascotas que cuidaba la víctima que había matado a sus mascotas
  • Revelar el hecho de que la víctima había sufrido un aborto, información que sólo se encontraba en el diario de ésta


Lo que es noticia desde el punto de vista de la seguridad informática es, sin embargo, la polémica de proveedores de VPN's que prometen no guardar registros y sí lo hacen. En realidad, la mayoría de los proveedores que prometen eso especifican una serie de casos en los que no se cumple lo prometido (investigaciones judiciales entre otras). Como mínimo, los proveedores tienen que registrar el momento de conexión, desde qué IP, ancho de banda consumido... Todo esto para controlar el uso del servicio, sobre todo cuando se contratan paquetes con ancho de banda limitado, núméro máximo de conexiones simultáneas desde una misma cuenta....

Lo cierto es que lo que suelen prometer estos proveedores no es que no vayan a guardar registros sobre los usuarios, sino sobre el tráfico que transcurre sobre el servicio contratado (las páginas a las que navegas, los correos que envías...). Y la información que se guarda es suficiente para identificar a un usuario que ha cometido un delito, en la mayoría de los casos. En este caso concreto, podemos imaginar que alguna de las webs a las que se habría conectado el acusado para suplantar a la víctima guardó la dirección IP desde la que se habría conectado. Como la IP registrada pertenece al proveedor de VPN y éste guardaba la IP real del acusado, cruzando la hora de conexión bastaría para saber la IP real. Lo último que quedaría es preguntar al proveedor de servicios de Internet que usa esa IP real por el dueño de la conexión a Internet.

Irónicamente, el acusado criticaba en Twitter a otro proveedor de VPN no relacionado con el caso por sus declaraciones sobre no guardar registros. "No hay tal cosa como una VPN que no guarda registros", decía. "Si pueden limitar tus conexiones o sacar estadísticas del ancho de banda, están guardando registros". Conocido entre sus allegados como un "genio de los ordenadores", y dadas sus críticas en Twitter evidenciando su conocimiento del área, uno puede pensar que estaba deseando que lo pillasen...

En resumen, hay que leerse la letra pequeña, y cuanto más conocimientos técnicos tengas para evaluar los servicios que usas, más protegido estarás... Si eres de los buenos, claro. Si eres de los malos, olvida lo que he dicho ;)


Carlos Ledesma
cledesma@hispasec.com
Más información:
Cyberstalking Suspect Arrested After VPN Providers Shared Logs With the FBI
https://www.bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi/
PureVPN Logs Helped FBI Net Alleged Cyberstalker
https://torrentfreak.com/purevpn-logs-helped-fbi-net-alleged-cyberstalker-171009/
FBI Arrests A Cyberstalker After Shady "No-Logs" VPN Provider Shared User Logs
https://thehackernews.com/2017/10/no-logs-vpn-service-security_8.html
PureVPN’s Privacy Policy
https://www.purevpn.com/privacy-policy.php
Categories: Seguridad

Ejecución remota de comandos en Netgear ReadyNAS Surveillance

Hispasec - Mon, 09/10/2017 - 09:30
Se ha reportado una vulnerabilidad que podría permitir la ejecución remota de comandos en Netgear ReadyNAS Surveillance.



ReadyNAS Surveillance es un software para sistemas de video vigilancia en red (Network Video Recorder o NVR por sus siglas) que se instala y aloja las grabaciones directamente en un dispositivo de almacenamiento ReadyNAS.

La vulnerabilidad es debida a un error de falta de comprobación de parámetros introducidos por el usuario. Concretamente, el parámetro 'uploaddir' utilizado por la página 'upgrade_handle.php' de la interfaz del sistema. Esto podría permitir la ejecución de comandos en el sistema sin necesidad de autenticación.

Para aprovechar la vulnerabilidad simplemente sería necesaria una petición como la siguiente:

http://IP-ADDRESS/upgrade_handle.php?cmd=writeuploaddir&uploaddir=%27;COMMAND_TO_EXECUTE;%27


Este error fue descubierto por el investigador Kacper Szure y reportado a Netgear a finales del mes de junio, quien aún no se ha pronunciado en cuanto a la corrección del mismo.



Juan José Ruiz
jruiz@hispasec.com

Más información:
Netgear ReadyNAS Surveillance Unauthenticated Remote Command Execution
https://blogs.securiteam.com/index.php/archives/3409
Categories: Seguridad

Corregidas múltiples vulnerabilidades en Trend Micro OfficeScan

Hispasec - Sun, 08/10/2017 - 09:30
Se han hecho públicas ocho vulnerabilidades en Trend Micro OfficeScan11.0 y XG (12.0) que podrían causar diferentes impactos, desde la revelación de información hasta la ejecución de código remoto y elevación de privilegios.

Trend Micro OfficeScan es un sistema de protección frente a amenazas para servidores de archivos, PC's, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad ‘in situ’ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.

Los problemas de seguridad son los siguientes:

CVE-2017-14083: La ruta al archivo ‘crypt.key’ utilizado en el proceso de cifrado se encuentra definida en ‘config.php’ y un atacante remoto no autenticado podría descargar dicho fichero a través de una petición simple:







CVE-2017-14084: Las peticiones CURL usadas por la función ‘send’ en ‘HttpTalk.php’ establecen los parámetros de verificación ‘CURLOPT_SSL_VERIFYPEER’ y ‘CURLOPT_SSL_VERIFYHOST’ a falso, lo que podría permitir la realización de ataques MITM.

CVE-2017-14085: Un atacante no autenticado podría revelar información sensible acerca de los dominios presentes en las redes, y las versiones y módulos de PHP a través de 'analyzeWF.php’.

CVE-2017-14086: Una falta de validación permite la ejecución remota de procesos como ‘fcgiOfcDDA.exe’ o ‘cgiRqUpd.exe’ por parte de un atacante no autenticado que podrían aprovecharse para causar una denegación de servicio por elevado consumo de recursos (espacio en disco ocupado por los volcados o dumps generados) por múltiples ejecuciones o corrupción del INI.






CVE-2017-14087: Existe un problema de inyección en las cabeceras de host al basarse en $_SERVER['HTTP_HOST'] (que puede ser falsificado por el cliente) en lugar de $_SERVER['SERVER_NAME'], por ejemplo en ‘db_controller.php’. Esto podría permitir generar enlaces arbitrarios que apunten a sitios web maliciosos al cachearse peticiones con cabeceras envenenadas.






CVE-2017-14088: Un error de falta de validación al manejar ‘IOCTL 0x220008’ en ‘tmwfp.sys’ podría podría ser aprovechado por un atacante para elevar sus privilegios.

CVE-2017-14089: Determinadas peticiones al ser procesadas en ‘cgiShowClientAdm.exe’ podrían causar problemas de corrupción de memoria.





Adicionalmente existe una vulnerabilidad, sin identificador CVE asignado, debida a la posibilidad de realizar solicitudes HTTP arbitrarias en servidores internos o externos a través de ‘help_proxy.php’.






Las vulnerabilidades has sido descubiertas por John Page (aka hyp3rlinx) de ApparitionSec, Leong Wai Meng y zer0b4by en colaboración con Zero Day InitiativeTrend Micro ha publicado las actualizaciones XG CP 1708 y 11.0 SP1 CP 6426 disponibles  respectivamente desde los siguientes enlaces:

http://files.trendmicro.com/products/officescan/XG/patch1/osce_xg_win_en_criticalpatch_1708.exe 
http://files.trendmicro.com/products/officescan/11.0_SP1/osce_11_sp1_patch1_win_en_criticalpatch_6426.exe




Juan José Ruiz
jruiz@hispasec.com

Más información:
SECURITY BULLETIN: Trend Micro OfficeScan Multiple Vulnerabilities
https://success.trendmicro.com/solution/1118372

CVE-2017-14083
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14083-TRENDMICRO-OFFICESCAN-XG-PRE-AUTH-REMOTE-ENCRYPTION-KEY-DISCLOSURE.txt

CVE-2017-14084 - Trend Micro OfficeScan v11.0 and XG (12.0)* CURL (MITM)
Remote Code Execution
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14084-TRENDMICRO-OFFICESCAN-XG-CURL-MITM-REMOTE-CODE-EXECUTION.txt

CVE-2017-14085 - Trend Micro OfficeScan v11.0 and XG (12.0)*
Unauthorized NT Domain / PHP Information Disclosures
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14085-TRENDMICRO-OFFICESCAN-XG-REMOTE-NT-DOMAIN-PHP-INFO-DISCLOSURE.txt

CVE-2017-14086 - Trend Micro OfficeScan v11.0 and XG (12.0)*
Unauthorized Start Remote Process Code Execution / DOS - INI Corruption
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14086-TRENDMICRO-OFFICESCAN-XG-PRE-AUTH-START-REMOTE-PROCESS-CODE-EXECUTION-MEM-CORRUPT.txt

CVE-2017-14087
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14087-TRENDMICRO-OFFICESCAN-XG-HOST-HEADER-INJECTION.txt

CVE-2017-14088 - Trend Micro OfficeScan tmwfp Memory Corruption
Privilege Escalation Vulnerability
http://zerodayinitiative.com/advisories/ZDI-17-828/
http://zerodayinitiative.com/advisories/ZDI-17-829/

CVE-2017-14089
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14089-TRENDMICRO-OFFICESCAN-XG-PRE-AUTH-REMOTE-MEMORY-CORRUPTION.txt

Trend Micro OfficeScan v11.0 and XG (12.0)* Unauthorized Server Side
Request Forgery
http://hyp3rlinx.altervista.org/advisories/TRENDMICRO-OFFICESCAN-XG-SERVER-SIDE-REQUEST-FORGERY.txt
Categories: Seguridad

macOS High Sierra: Una pista de contraseña demasiado explícita...

Hispasec - Sat, 07/10/2017 - 09:30
La nueva versión de macOS, High Sierra, con apenas dos semanas de vida, fue lanzada con una vulnerabilidad en la utilidad de discos que muestra la contraseña de un volumen cifrado en la pista de la contraseña.


'mypassword' es realmente la contraseña. Extraída de medium.com

Apple lo ha vuelto a hacer. Esta vez afectando a volúmenes cifrados desde su utilidad de discos. Matheus Mariano, un desarrollador de software brasileño, se topó con esta ¿vulnerabilidad? cuando creaba un nuevo volumen cifrado en el nuevo sistema de ficheros APFS. La vulnerabilidad, CVE-2017-7149, es de lo más absurda: la contraseña que se especifica en la creación del volumen se muestra en la pista de contraseña, en vez de la pista de contraseña especificada.

Afecta a los Mac's con SSD's, ya que si bien hay maneras de poner APFS a discos duros tradicionales, Apple parece que no se termina de decidir y pone y quita soporte a éstos. APFS fue desarrollado con los SSD's en mente, y enfocado al cifrado, lo que es irónico vista esta vulnerabilidad... Aunque realmente no es un fallo del sistema de archivos APFS, sino de la utilidad gráfica de disco que viene con el sistema operativo. Se puede utilizar la utilidad de disco en su versión de consola, que no presenta este fallo.

Este tipo de vulnerabilidades da que pensar sobre los controles de calidad que pasa el software hoy día. Lo cierto es que es un fallo de programación tan simple que no deja lugar a elucubraciones sobre su origen: es seguramente un despiste en la programación de la interfaz gráfica. Uno puede imaginar que el programador tenía que extraer información de varias cajas de texto, entre ellas las de la contraseña y la pista de contraseña. Para no escribir varias veces casi la misma línea de código que extraería el texto de cada una de ellas, la copias varias veces y luego retocas cada una. Pero se te olvida cambiar la referencia de la pista de contraseña y la dejas apuntando a la contraseña...




Apple ya ha publicado un documento de soporte para esta vulnerabilidad, donde expone que la solucion es básicamente reformatear el volumen (previa copia de seguridad) tras haber instalado la actualización que corrige la vulnerabilidad. Esta actualizacion, llamada macOS High Sierra 10.13 Supplemental Update, además corrige la vulnerabilidad CVE-2017-7150 también relacionada con la revelación de contraseñas, que ya cubrimos en su día aquí.


Carlos Ledesma
cledesma@hispasec.com
Más información:
New macOS High Sierra vulnerability exposes the password of an encrypted APFS container
https://hackernoon.com/new-macos-high-sierra-vulnerability-exposes-the-password-of-an-encrypted-apfs-container-b4f2f5326e79

Apple Support Document HT208168
https://support.apple.com/en-us/HT208168

macOS High Sierra 10.13 Supplemental Update
https://support.apple.com/en-us/HT208165
Categories: Seguridad

Varias vulnerabilidades descubiertas en dnsmasq

Hispasec - Fri, 06/10/2017 - 09:30
El equipo de seguridad de Google ha descubierto varias vulnerabilidades en dnsmasq, algunas de las cuales podrían permitir la ejecución de código arbitrario de forma remota.

dnsmasq provee tecnología de infraestructura de red como DNS y DHCP con soporte a IPv6. Gracias a su ligera implementación, es ideal para dispositivos con recursos limitados (por ejemplo routers y dispositivos IoT), aunque también puede encontrarse en la mayoría de las distribuciones Linux. También se usa en dispositivos Android, donde aporta funcionalidades para ejercer como punto de acceso Wi-Fi.


Fuente de la imagen
Ha sido precisamente el equipo de seguridad de Google quien ha descubierto y notificado un total de 7 vulnerabilidades que afectan a las funcionalidades de DNS y DHCP de dnsmasq en su versión 2.78. Según Simon Kelley, autor del software, algunas de estas vulnerabilidades están presentes desde "tiempos prehistóricos" y han pasado inadvertidas en varias auditorias de código previas.

Las tres vulnerabilidades de mayor gravedad, con identificadores CVE-2017-14491, CVE-2017-14492 y CVE-2017-14493, permiten la ejecución de código remoto aprovechando diversos tipos de desbordamiento. Especial mención merece la vulnerabilidad CVE-2017-14491 que, aunque solucionada, sigue permitiendo un desbordamiento de 2 bytes. Anteriormente a la versión 2.76 era posible un desbordamiento sin restricciones. 

La vulnerabilidad CVE-2017-14494, por su parte, produce una fuga de información que puede ser utilizada en combinación con CVE-2017-14493 para saltar el sistema ASLR y ejecutar código arbitrario de forma remota.

Las tres vulnerabilidades restantes (CVE-2017-14495, CVE-2017-13704 y CVE-2017-14496) pueden ser aprovechadas para provocar una denegación de servicio. la tercera de ellas afecta los sistemas Android, y puede ser explotada por un atacante local o conectado al punto Wi-Fi del teléfono.

El equipo de seguridad de Google ha publicado en su artículo diversas pruebas de concepto e instrucciones para que los propios usuarios comprueben si son vulnerables a estos fallos.

Estas vulnerabilidades ya han sido solucionadas en la ultima versión de dnsmasq (2.78) disponible a través de su repositorio. Los usuarios de Android afectados también han recibido la actualización a través del boletín de seguridad de octubre.


Francisco López
@zisk0
flopez@hispasec.com
Más información:
:https://security.googleblog.com/2017/10/behind-masq-yet-more-dns-and-dhcp.html





Categories: Seguridad

Try Catch Stack Overflow

Hispasec - Thu, 05/10/2017 - 09:00
Interesante estudio de varios investigadores del Virginia Tech, en el que ponen en entredicho la calidad del código que podemos encontrar en sitios como StackOverflow y similares, desde el punto de vista de la seguridad.



Todo aquel que ha tenido que tirar alguna que otra línea de código (programar), se habrá encontrado en una situación en la que necesitaba la ayuda de alguien para soslayar un problema determinado. “¿Cómo implemento una conexión SSL?”, “¿Cómo hago para comprobar la validez de un certificado x.509?”, “¿Por qué no estudié gastronomía en vez de informática?”.
A menudo, un golpe de buscador nos arroja un listado de recursos sobre los que indagar en la implementación que “encaje” en nuestro código y lo haga funcionar. Sobre esta suerte de mecanismo de consultoría exprés se ha abusado tanto que incluso algunos gestores han llegado a creer que programar se reduce a buscar un trozo de código y pegarlo en un editor de texto (naturalmente, el Notepad).
Esa creencia, tanto por parte de la dilatada imaginación de algunos gestores como de la poca pericia de algunos junta-palabras-reservadas, hace que se construya una falsa concepción de lo que significa el sacro arte del diseño y programación de computadores digitales basados en la arquitectura Von Newmann (o en la Harvard). Es tan de chiste la cosa, que incluso existen librerías que atrapan una excepción y te buscan la traza en StackOverflow para que directamente copies la mejor respuesta. Verlo para creerlo.
Imagen de: https://github.com/gautamkrishnar/tcso


¿Cuál es el problema?
Basado en el estudio sobre las preguntas y respuestas dadas en torno al lenguaje y plataforma Java, los investigadores han encontrado multitud de errores en respuestas populares que contienen vulnerabilidades de seguridad. El problema, señalan, no se encuentra en las librerías usadas –que no deja de ser reutilización legítima de código-, sino en que estas no se usan de forma segura, dando lugar a la exposición de riesgo por falta de pericia en su uso.
Hay ejemplos de todo tipo, como sugerir deshabilitar la protección contra ataques CSRF del framework Spring para resolver un problema en la autenticación o auténticas chapuzas glorificadas acerca de la implementación correcta de criptografía en la aplicación, como la generación de claves sin la entropía adecuada o uso de algoritmos ya desfasados y retirados desde hace mucho, mucho tiempo.
No nos confundamos. StackOverflowes un recurso maravilloso para un programador; incluso debería tener su propia festividad en el calendario. En el puedes encontrar librerías, consejos, experiencias y algoritmos que jamás hubieses encontrado de no ser porque un colega ya lo ha hecho antes que tú. Lo que realmente sugieren en este estudio es que todo, absolutamente todo, ha de ser pasado por el filtro del sentido común y la capacidad crítica de cada uno. Herramientas que parecen inmunes ante el virus de la prisitis urgentia.
Cuando ves una respuesta que tiene más de 10 años en la que se hace uso del hash MD5 para almacenar hashes de contraseñas, es evidente que no es la respuesta adecuada. Hemos de ser precavidos, levantar el pie del acelerador y observar con detenimiento tareas que son críticas y podrían devenir en quebraderos de cabeza en un futuro. No en vano, existe código escrito que no ha pasado a revisión en décadas, con vulnerabilidades que estaban allí y de las que nadie se percató.

¿Os acordáis del infame ‘gotofail’?


David García
dgarcia@hispasec.com
@dgn1729

Más información:

Secure Coding Practices in Java: Challenges and Vulnerabilities:[PDF] https://arxiv.org/pdf/1709.09970.pdf





Categories: Seguridad

Mozilla publica Firefox 56 y corrige 18 nuevas vulnerabilidades

Hispasec - Wed, 04/10/2017 - 10:00
Mozilla ha anunciado la publicación de la versión 56 de Firefox, que además de incluir mejoras y novedades soluciona 18 graves vulnerabilidades en el navegador que podrían permitir a atacantes remotos ejecutar código arbitrario. También se ha publicado Firefox ESR 52.4.




Mozilla acaba de publicar una nueva versión de su navegador que incorpora nuevas funcionalidades y mejoras. El boletín MFSA-2017-21 incluye las 18 vulnerabilidades corregidas. Según la propia clasificación de Mozilla dos están consideradas críticas, seis son de gravedad alta, ocho de moderada y las dos restantes de nivel bajo.

Las vulnerabilidades críticas (CVE-2017-7811 y CVE-2017-7810) permitirían la ejecución remota de código a través de problemas de corrupción de la memoria

Las vulnerabilidades de gravedad alta residen en usos de memoria tras ser liberada (CVE-2017-7793, CVE-2017-7818, CVE-2017-7819, CVE-2017-7805), la falsificación de la URL en la barra de direcciones en Android (CVE-2017-7817) y un desbordamiento de búfer en la librería gráfica ANGLE (CVE-2017-7824).

Además se solucionan otras vulnerabilidades importantes que podrían permitir saltar la protección contra phishing y malware en URL de tipo blob y data (CVE-2017-7814) y realizar ataques de suplantación en páginas con iframes y la funcionalidad de Electrolysis desactivada (CVE-2017-7815).

También se ha publicado Firefox ESR 52.4  (MFSA-2017-22); versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Esta actualización incluye la corrección de 9 vulnerabilidades.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
http://www.mozilla.org/es-ES/firefox/new/
o desde la actualización del navegador en "Ayuda/Acerca de Firefox".

Firefox ESR está disponible desde:
https://www.mozilla.org/en-US/firefox/organizations/


Francisco Salido
fsalido@hispasec.com
Más información:
Firefox NotesVersion 56.0https://www.mozilla.org/en-US/firefox/56.0/releasenotes/
Security vulnerabilities fixed in Firefox 56https://www.mozilla.org/en-US/security/advisories/mfsa2017-21/
Security vulnerabilities fixed in Firefox ESR 52.4
https://www.mozilla.org/en-US/security/advisories/mfsa2017-22/




Categories: Seguridad

Google forzará HSTS en los TLD con los que opere

Hispasec - Tue, 03/10/2017 - 10:15
Google avisó durante la semana pasada que obligaría a los 45 TLDs bajo su control a hacer uso de HSTS, aumentando de esta manera la seguridad en todos sus dominios.




HSTS (HTTP Strict Transport Security) fuerza el uso de HTTPS en las conexiones a los servidores, un punto clave en la estrategia de cifrado web.

Este protocolo es un mecanismo fundalmental de seguridad para la comunicación. No solo fuerza el protocolo HTTPS en todas las conexiones -incluso si el usuario utiliza HTTP-, sino que también previene otros ataques como el secuestro de cookies o el downgrade. Segun palabras del ingeniero de Google Ben Mcllwain, el uso de HSTS a nivel de TLD permite que los dominios sean seguros por defecto. 

Google avisó que comenzaría a aplicar esta politica con los dominios pertenecientes a los TLD .foo y .dev. Por tanto, aquellos que registren con Google un TLD con HSTS implementado contarán con seguridad garantizada para su sitio web. Sólo necesitarán registrar un TLD seguro y un certificado SSL.

El uso de HSTS es importante porque inutiliza ataques como Logjam y Poodle, los cuales permiten a atacantes experimentados degradar las conexiones SSL a estados más vulnerables. Por ejemplo, Logjam permite rebajar la seguridad del grado de exportación del certificado de 2048-bit a 512-bit, permitiendo a un atacante leer tráfico supuestamente seguro en dicha conexión. Por su parte, Poodle ataca implementaciones SSLv3 y permitiendo a los atacantes recuperar en texto plano las comunicaciones de red.

Ya en agosto de 2016, Google forzó en su dominio HSTS para mantener a sus usuarios seguros incluso cuando hacian click sobre enlaces http. Esto permitió mejorar la seguridad no solo en el motor de búsqueda, sino también en servicios como Alerts, Analytics y Maps.

Fernando Díaz
fdiaz@hispasec.com
Más información:
Google to enforce HSTS on TLDs:https://threatpost.com/google-to-enforce-hsts-on-tlds-it-operates/128204/
Categories: Seguridad

El nuevo sistema operativo macOS 'High Sierra' se estrena con una grave vulnerabilidad

Hispasec - Mon, 02/10/2017 - 09:30
El fallo en cuestión permite a cualquier aplicación robar las contraseñas del 'keychain' sin conocimiento del usuario.



El descubridor de esta brecha de seguridad ha sido el experto informático 'Patrick Wardle', el cuál asegura que no va revelar el funcionamiento del fallo hasta que la famosa marca lo corrija.

'Patrick' trabajó como hacker de la NSA, y actualmente ocupa el puesto de Jefe de investigación de seguridad en la firma 'Synack'.

En su Twitter explica que cualquier aplicación instalada en el sistema  puede acceder al llavero haciendo un 'bypass' sobre cualquier componente de seguridad que tenga nuestro equipo.

Normalmente ninguna aplicación puede acceder al contenido del 'keychain' sin que el usuario introduzca la contraseña principal.

Tweet de 'Patrick Wardle' mostrando las evidencias de la vulnerabilidad 
El mismo investigador, aconseja a todo usuario de la marca, que hasta que el fallo no sea corregido, no se debe instalar ninguna aplicación que venga de fuentes desconocidas o que no este firmada. Recomienda el uso de 'Gatekeeper' para mantener un mayor control de estas aplicaciones que instalamos.Tweet recomendando el uso de 'Gatekeeper'
'Wardle' además, ha subido una prueba de concepto del exploit demostrando como una aplicación maliciosa, firmada o sin firmar, permite al atacante robar todas las contraseñas del llavero de manera remota.



Esperemos que Apple no tarde mucho en arreglar este fallo el cuál ha eclipsado en parte al resto de mejoras en seguridad que traía con el nuevo sistema.



Daniel Púa
@arrowc0de
dpua@hispasec.com
Más información:
Perfil de Twitter de 'Patrick Wardle':https://twitter.com/patrickwardle?lang=es

Análisis de la vulnerabilidad por MalwareBytes:
https://blog.malwarebytes.com/cybercrime/2017/09/keychain-vulnerability-in-macos/









Categories: Seguridad

Vulnerabilidad en Apple Quarantine permite ejecutar codigo arbitrario

Hispasec - Sat, 30/09/2017 - 11:15
Un investigador de wearesegment descubre una vulnerabilidad en OS X que permite bypassear Apple Quarantine y la ejecutar código arbitrario sin restricciones.


Ejecución de código remoto aprovechando la vulnerabilidad.
La caracteristica Quarantine esta diseñada con el fin de proteger a los usuarios de ataques y archivos maliciosos, introduciéndolos en una cuarentena en caso de ser sospechosos o peligrosos. Quarantine funciona estableciendo un atributo extendido para los archivos descargados y aquellos extraidos de archivos comprimidos. Este atributo comunica al sistema que abra o ejecute estos archivos en un entorno restringido. Por ejemplo, un archivo .html en cuarentena no permitirá cargar recursos. 

La vulnerabilidad esta presente en un archivo HTML que forma parte del núcleo de OS X y que es propenso a recibir ataques DOM XSS permitiendo la ejecución de código JavaScript arbitrario en un contexto sin restricciones. A continuación, podemos observar un video donde se muestra la vulnerabilidad en acción: 


El archivo vulnerable se puede encontrar en /System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html

De momento Apple no ha asignado CVE a esta vulnerabilidad y no se menciona en ningun changelog de la misma. La unica solución de momento es actualizar a OS X High Sierra o eliminar rhtmlPlayer.html

Fernando Díaz
fdiaz@hispasec.com
@entdark_
Más información:
Mac OS X Local Javascript Quarantine Bypass:https://www.wearesegment.com/research/Mac-OS-X-Local-Javascript-Quarantine-Bypass.html
Categories: Seguridad

Tu corazón podría sustituir a tus contraseñas

Hispasec - Sat, 30/09/2017 - 10:45
Un grupo de científicos de la Universidad de Buffalo, en Nueva York, han desarrollado un nuevo sistema de autentificación cardíaco que utiliza la forma y tamaño del corazón como único identificador biométrico.

Extraída del Proyecto 'Cardiac-Scan'
Este nuevo sistema de autentificación usa un 'Doppler' a bajo nivel para mapear de forma inalámbrica y continua las dimensiones de tu corazón latiendo. La primera vez que utilizas el escáner tarda alrededor de 8 segundos, a partir de entonces, el sistema reconoce tu corazón de manera ininterrumpida.

La forma de trabajo de este nuevo sistema es la siguiente:
  •  Al llegar a tu puesto de trabajo, tu equipo detecta el latido de tu corazón y se desbloquea de manera automática sin necesidad de contraseña o alguna otra interacción.
  • Al alejarte del dispositivo, el ordenador deja de detectar tu corazón latiendo y bloquea el equipo.

Los investigadores aseguran que la forma y las pulsaciones de nuestros corazones son únicas y pueden ser muy útiles para la autenticación y desbloqueo de dispositivos. De esta manera, tendríamos un sistema biométrico mucho más fiable que la huella dactilar o el escáner de iris.

En cuanto a los riesgos de salud que puede generar este dispositivo, los investigadores aseguran que es mucho menor que el de las señales Wi-Fi o cualquier otro sistema de autentificación. 

'Wenyao Xu', del Departamento de Ciencias de la computación e Ingeniería nos explica: 

"Vivimos en ambiente rodeado de señales Wi-Fi, y este nuevo sistema es tan seguro como esos dispositivos. El lector tiene una potencia de alrededor de 5 milivatios, es incluso menos del 1% de la radiación de nuestros teléfonos inteligentes.". 
A día de hoy, este sistema no es del todo práctico debido a su enorme tamaño. Los investigadores ya trabajan para conseguir unas dimensiones aplicables a las esquina de un teclado de ordenador o a los 'smartphones'.

Uno de los errores de seguridad que presenta el dispositivo es una de sus virtudes, la facilidad de desbloqueo. Cualquier persona podría usar tu ordenador desbloqueado siempre que te encuentres lo suficientemente cerca del mismo. Desde la Universidad de Buffalo ya trabajan en una solución al problema.

Tendremos que estar atentos para ver como avanza este proyecto y ver si puede llegar a ser una alternativa real a la cada vez más anticuadas contraseñas.


Daniel Púa
@arrowc0de
dpua@hispasec.com
Más información:
Documentación oficial 'Cardiac-Scan':https://sctracy.github.io/chensong.github.io/pdf/mobicom17.pdf

Entrevista a 'Wenyao Xu':
http://www.buffalo.edu/news/releases/2017/09/034.html






Categories: Seguridad

Publicada la píldora formativa Thoth 48: ¿Cómo se oculta información con esteganografía?

Hispasec - Fri, 29/09/2017 - 09:30
Se ha publicado en el canal YouTube de la UPM la píldora formativa 48 del proyecto Thoth que lleva por título "¿Cómo se oculta información con esteganografía?"

El procedimiento para ocultar información utilizando una técnica esteganográfica, dependerá mucho del estegomedio elegido. Se entiende por estegomedio el recurso utilizado para ocultar información, por ejemplo, una imagen digital, un audio, un vídeo, un protocolo de comunicación, una página web, un texto, etc.



Independientemente del estegomedio utilizado, uno de los procedimientos comúnmente utilizados consiste en identificar información redundante. Información que puede ser modificada sin afectar al contenido del estegomedio.

Recuerda que todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, muy importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web del proyecto, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Se puede acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 47 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite, además, una búsqueda mediante los siguientes cinco filtros:

  1. Fundamentos de seguridad
  2. Criptografía clásica
  3. Historia de la criptografía
  4. Matemáticas en criptografía
  5. Criptografía moderna.

La próxima entrega del proyecto Thoth será en noviembre de 2017, con la píldora número 49 de título ¿Por qué pueden utilizarse las curvas elípticas para cifrar? y con guión hecho por los doctores Víctor Gayoso Martínez y Luis Hernández Encinas.


Dr. Jorge Ramió. Dr. Alfonso MuñozDirectores Proyecto Thoth

Categories: Seguridad

ZNIU: un malware para Android basado en Dirty COW

Hispasec - Thu, 28/09/2017 - 10:00
ZNIU es un malware que afecta a dispositivos Android basado en el famoso CVE-2016-5195, también conocido como "Dirty COW".




Ya hablamos en su momento de Dirty COW, una condición de carrera en el subsistema de memoria del kernel que permitiría elevar privilegios a 'root' en sistemas Linux. 

A pesar de que ya existen familias que explotan esta vulnerabilidad, es la primera vez que se han encontrado muestras de una que afecta a la plataforma Android. Los investigadores de Trend Micro, sus descubridores, la han bautizado como ZNIU.


Cómo infecta ZNIUPara lograr la infección, ZNIU se camufla como una aplicación pornográfica o como un videojuego que la víctima descarga desde una página web maliciosa.

Una vez instalada la aplicación, ZNIU se comunica con el panel de control, desde donde descarga e implanta la última versión disponible del virus. Mientras tanto, el malware intenta escalar privilegios en el sistema a través de 'Dirty COW', con el objetivo de instalar una puerta trasera en el dispositivo para futuros ataques remotos.


Proceso de infección. Extraída de http://blog.trendmicro.com

Cuando ZNIU está instalado en nuestro sistema, el atacante se identifica como el propietario de nuestro móvil y nuestra línea de teléfono aprovechando toda la información recolectada de nuestro dispositivo. El objetivo será interceptar los servicios de "pago móvil" y transferir dinero a cuentas controladas por el atacante.


Petición de una transacción enviada por el malware. Extraída de http://blog.trendmicro.com
Hasta el momento, las muestras analizadas por Trend Micro parecen afectar sólo a operadoras de telefonía Chinas. Aunque todos los dispositivos infectados (más de 5.000 a lo largo de más de 40 países) disponen de una puerta trasera que podría ser utilizada para actualizar el virus y apuntar a operadoras de otros países.


Algunas muestras de ZNIU




Francisco Salido
fsalido@hispasec.com
Más información:
Análisis de Trend Micro
http://blog.trendmicro.com/trendlabs-security-intelligence/zniu-first-android-malware-exploit-dirty-cow-vulnerability/

Muestras de ZNIU
https://github.com/fs0c131y/Android-Malwares/tree/master/ANDROIDOS_ZNIU





Categories: Seguridad

Exfiltración de información en redes aisladas

Hispasec - Wed, 27/09/2017 - 09:30
Las redes aisladas son aquellas que no están conectadas físicamente con otras redes a propósito, por motivos de seguridad. Ilustramos técnicas usadas para evadir esta medida de seguridad.


Extraída de progressny.com
Es una medida clásica en entornos críticos, de alta seguridad. Las redes aisladas (air-gapped networks) ponen en práctica un hecho evidente: No puedes introducir o extraer información de una red (o nodo de ésta) a través de otra red a la que se encuentre conectada, si no hay red a la que se encuentre conectada. A pesar de lo radical que resulta la medida (los problemas de comunicación que puede tener una red aislada), esto tampoco garantiza que no se introduzca o extraiga información de la red, sólo que no se puede hacer a través de otra red a la que se encuentre conectada. A continuación comentamos algunas formas curiosas en las que se ha violado la seguridad de redes aisladas.

Uno de los casos más sonados es el de Stuxnet (descubierto en 2010), una amenaza persistente avanzada en forma de troyano financiada y desarrollada conjuntamente por Estados Unidos e Israel, con el fin de atacar centrales nucleares iraníes y retrasar su programa nuclear. El objetivo era alterar los sistemas de control de las centrifugadoras usadas en el enriquecimiento de material radioactivo. El problema es que estos sistemas de control se hallaban en redes aisladas. En este caso, la forma de introducir código que alterase estos sistemas de control fue a través de un malware que se propagaba a través de las memorias USB. Una de éstas habría terminado en manos de algún técnico de mantenimiento de la planta...

Extraída de wonderhowto.com
El caso de Stuxnet es un caso de comprometer una red aislada desde fuera, pero... ¿qué pasa si quieres extraer información de al red aislada? Para ello, nos remontamos dos años atrás, a Fanny. Este malware ya fue detectado cuando salió, en 2008, pero se etiquetó como una versión común de malware que infectaba ordenadores a través de memorias USB. Pero la parte "divertida" de Fanny fue descubierta en 2014, cuando investigadores crearon una detección sobre el código de exploit de Stuxnet, y se encontraron con que detectaba un viejo troyano de 2008.

Aquí la historia se vuelve interesante, y es que Fanny ya usaba parte del código de exploit de Stuxnet (detectado en 2010) en 2008. Cuando investigaron más a fondo la funcionalidad de este troyano, descubrieron que estaba especializado en extraer información de las redes aisladas a través de memorias USB. Según iba infectando máquinas, iba almacenando datos interesantes en la memoria USB de forma oculta. Y en cuanto alcanzaba una máquina con conexión a Internet mandaba todos los datos robados a un servidor de control. A su vez, el servidor de control también podía mandar órdenes a las máquinas infectadas, que las introducirían de vuelta en la memoria USB para su ejecución en máquinas sin conexión a Internet...

Extraída de arstechnica.com
Si bien estos casos ya son dignos de Hollywood, todavía hay formas más originales de exfiltrar información en redes aisladas. Otro caso llamativo es el del mítico malware BadBIOS (mítico porque no hay pruebas concluyentes de su existencia). Entre otras funcionalidades, se le atribuía el poder de establecer comunicación entre máquinas infectadas a través de ultrasonidos, usando los altavoces y los micrófonos de las máquinas como emisores y receptores. Técnicamente es posible, que conste... De hecho, un reciente estudio llamativamente titulado aIR-Jumper demuestra que es posible hacer lo mismo con cámaras de vigilancia con visión infrarroja. En este caso, el emisor sería el conjunto de luces LED usadas para iluminar el punto a vigilar, y el receptor la misma cámara que puede captar la luz infrarroja.

Como hemos podido observar, la medida de aislar redes no es la panacea (nada lo es en seguridad informática). Es un requisito imprescindible en sistemas realmente críticos que se benefician poco o nada de estar conectados a otras redes. Pero tal y como se ve en algunos de los ejemplos dados en este artículo, no sirve de mucho sin buenas políticas de seguridad que regulen el verdadero punto flaco de los sistemas de información: Las personas que los manejan.

Carlos Ledesma
cledesma@hispasec.com

Más información:
Canal encubierto
https://es.wikipedia.org/wiki/Canal_encubierto

El grupo de espionaje Sednit ataca redes seguras aisladas
https://www.welivesecurity.com/la-es/2014/11/11/grupo-espionaje-sednit-ataca-redes-aisladas/

Spying on Keyboard Presses with a Software Defined Radio
https://www.rtl-sdr.com/spying-keyboard-presses-software-defined-radio/

Hear that? It's the sound of BadBIOS wannabe chatting over air gaps
http://www.theregister.co.uk/2013/12/05/airgap_chatting_malware/
Categories: Seguridad

540.000 registros de clientes expuestos en Internet

Hispasec - Tue, 26/09/2017 - 09:30
Nuevo leak. 540.000 registros de datos de clientes de una empresa han sido expuestos públicamente, durante un tiempo indeterminado, en Internet.


Los registros pertenecen a la empresa SVR Tracking, cuyo servicio principal es proveer de un sistema de seguimiento GPS y alertas de movimiento de vehículos. Este tipo de servicios suele ser instalado en flotas comerciales y como sistema de recuperación en caso de robo.
El problema fue descubierto por la empresa Kromtech Security Center, al encontrar un servidor caché al que se podía acceder sin contraseña, y en el que se encontraba el grueso de datos expuesto. Entre los datos estaban el nombre de usuario, contraseña, número de identificación del vehículo, IMEI del dispositivo GPS además de la localización física del dispositivo instalado en el coche.

Otro de los pecados cometidos por la empresa fue el tipo de almacenamiento de las contraseñas, en SHA-1, un algoritmo de hash ya superado; además ni tan siquiera se estaba generando una sal para dificultar ataques por tablas rainbow.
Imagen procedente de: https://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online
Cómo podemos aprender, no hace falta una vulnerabilidad crítica o un exploit next-gen para morder el polvo. Basta con no tener la más mínima idea de principios básicos de seguridad y desplegar un servidor con información crítica en Internet, sin control alguno, para facilitar el trabajo a un atacante. Dos fallos fundamentales, que podrían exponer a una empresa a sanciones y una grave pérdida en su reputación.


David García
dgarcia@hispasec.com
@dgn1729
Más información:


Auto Tracking Company Leaks Hundreds of Thousands of Records Onlinehttps://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online





Categories: Seguridad

NVIDIA corrige multiples vulnerabilidades en sus productos

Hispasec - Mon, 25/09/2017 - 16:00
La empresa de hardware ha publicado un boletín donde describe ocho vulnerabilidades presentes en sus productos. Algunas de ellas permiten la denegación de servicio o la escalada de privilegios.


Tres de las vulnerabilidades (CVE-2017-6269, CVE-2017-6268 y CVE-2017-6277) se encuentran en la capa de modo kernel para 'DxgkDdiEscape', situada en el fichero 'nvlddmkm.sys', y están relacionadas con el paso de valores al controlador sin validación previa. Esto podría ser aprovechado para realizar una denegación de servicio o una elevación de privilegios, y por ello son calificadas con severidad alta.

Existe una cuarta vulnerabilidad (CVE-2017-6272) con la misma severidad, causa e impacto, aunque no relacionada con 'DxgkDdiEscape'.

Las cuatro vulnerabilidades restantes son de severidad media. Dos de ellas, con identificadores CVE-2017-6270 y CVE-2017-6271, se encuentran en la capa de modo kernel para 'DxgkDdiCreateAllocation'. Al no validarse los datos introducidos para una división, se puede provocar una división entre cero y denegación de servicio.

Las dos últimas también pueden desembocar en denegación de servicio, y son causadas por controles de acceso incorrectos (CVE-2017-6266) y una incorrecta inicialización de valores internos, que puede dar lugar a un bucle infinito (CVE-2017-6267).
Las vulnerabilidades afectan a los productos Geforce, NVS, Quadro y Tesla tanto en sistemas Windows como Linux. Las actualizaciones ya están disponibles para los tres primeros en las versiones 385.69 para Windows y 384.90 para Linux, mientras que para el producto Tesla se publicarán en la semana del 25 de septiembre. Las actualizaciones también estarán disponibles a través de GeForce Experience.


Francisco López
@zisk0
flopez@hispasec.com
Más información:Security Bulletin: NVIDIA GPU contains multiple vulnerabilities in the kernel mode layer handler:http://nvidia.custhelp.com/app/answers/detail/a_id/4544




Categories: Seguridad

La realidad virtual, el aprendizaje automático y el diseño avanzado, marcan la renovada familia de Workstation HP Z

Canal PDA - Mon, 25/09/2017 - 11:02
HP ha presentado la HP Z8 G4, la Workstation más potente del planeta1 que incorpora nuevas capacidades de seguridad y que hacen de esta estación de trabajo2 de escritorio la más segura y manejable del mundo. HP ha reinventado sus mejores ordenadores de sobremesa para responder a las necesidades en cuanto a potencia de computación […]
Categories: PDA / PPC

Inyección SQL en plugin "Responsive Image Gallery" de Wordpress

Hispasec - Mon, 25/09/2017 - 09:30
Recientemente se ha descubierto una vulnerabilidad SQL Injection en el plugin de Wordpress “Responsive Image Gallery”. Este plugin es una combinación entre collagePlus jQuery y Photobox.

La vulnerabilidad se encuentra en el fichero “gallery_class.php” y “gallery_theme.php”.

Código vulnerable en gallery_class.phpCódigo vulnerable en gallery_theme.php
Cuando se ejecuta la consulta SQL el parámetro $id no está filtrado. Dado esto, podemos introducir cualquier cadena. Para explotar esta vulnerabilidad se necesita el uso de HTTP v1.

Se pueden realizar dos tipos de ataques en este plugin: Union SQL Injection y Blind SQL Injection.


PoC de Union SQL Injection
PoC de Blind SQL Injection
La versión afectada es la 1.1.8. Para solucionar la vulnerabilidad se debe actualizar a la versión 1.2.1, disponible a través de https://downloads.wordpress.org/plugin/gallery-album.1.2.1.zip)

Mario Parra
mparra@hispasec.comMás información:Responsive Image Gallery, Gallery Album
https://wordpress.org/plugins/gallery-album/#developers







Categories: Seguridad

FinFisher ataca de nuevo, ahora con posible apoyo de ISP's

Hispasec - Sun, 24/09/2017 - 09:30
FinFisher (o FinSpy) es un spyware diseñado para ser usado por gobiernos para llevar a cabo labores de vigilancia. Esta última campaña parece apoyarse en los proveedores de servicio, según el último aviso de la firma antivirus ESET.




FinFisher no es un spyware especial. Al menos en el sentido técnico. Captura en directo de webcams, micrófonos, pulsaciones de teclado, extracción de archivos...No tiene funcionalidades extravagantes que otros spywares no tengan. Lo que llama la atención de FinFisher sobre los demás es lo controvertido de sus métodos de distribución. Métodos como spearphishing (phishing dirigido, en este caso para introducir un troyano), instalación manual en dispositivos accesibles físicamente, exploits 0-day y ataques watering hole (se compromete una web confiable para infectar a visitantes específicos).

Esta vez la particularidad viene debida a que, según la investigación llevada a cabo por ESET, seha detectado la distribución de nuevas variantes de FinSpy a nivel del proveedor de servicio de Internet (ISP) utilizado por el usuario, a diferencia de los anteriores métodos comentados. 
Se pudo determinar que aquellos usuarios que buscaban, por ejemplo, aplicaciones de mensajería segura como Threema, o de cifrado de volúmenes o ficheros, como TrueCrypt, eran internamente redirigidos mediante redirecciones de tipo 307 a descargas de esta variante de spyware. Por tanto, se estaba realizando un Man-In-The-Middle a un nivel mucho más bajo de lo habitual.
Esta capacidad de despliegue, sólo posible para determinados países y sus operadores, reafirma y parece validar los datos aportados por una reciente revelación en Wikileaks, sobre FinFly ISP, o la distribución de FinFisher mediante ISPs cooperantes que introducen este comportamiento en su servicio.
Descripción del servicio FinFLY ISP

Carlos Ledesma
cledesma@hispasec.com


Más información:New FinFisher surveillance campaigns: Internet providers involved?
https://www.welivesecurity.com/2017/09/21/new-finfisher-surveillance-campaigns/

FinFly ISP 
https://wikileaks.org/spyfiles4/documents/FinFly-ISP-Catalog.pdf

FinFisher: un Malware-as-a-service de uso ‘legal’ para gobiernos
http://unaaldia.hispasec.com/2012/08/finfisher-un-malware-as-service-de-uso.html




Categories: Seguridad

Pages

Subscribe to Bytecoders aggregator