Month: March 2018

EL PARCHE DE MELTDOWN ABRE UNA VULNERABILIDAD EN WINDOWS 7

Posted on

La solución Meltdown de Microsoft abrió un gran vacío en la seguridad de Windows 7, advierten investigadores.

Meltdown y Spectre son, probablemente, las peores vulnerabilidades descubiertas en la historia de la informática. Estos dos fallos de seguridad se hicieron públicos a principios de año y afectan a prácticamente todos los procesadores modernos al estar relacionados con la forma en la que el Kernel y la CPU se comunican entre sí, comenta in investigador de seguridad de la información. Además, la complejidad de estas vulnerabilidades hace que su solución sea muy complicada, tanto que, a veces, los correspondientes parches abren nuevas brechas de seguridad en los sistemas operativos, como acaba de suceder con Windows 7.

windows 7

Los primeros parches de Microsoft para la vulnerabilidad del procesador Intel Meltdown crearon un problema aún mayor en Windows 7 que permitía a cualquier aplicación sin privilegios leer la memoria del kernel, afirma un experto en seguridad de la información.

Los parches de enero y febrero de Microsoft detuvieron el error de Meltdown que expuso las contraseñas en la memoria protegida, pero el investigador de seguridad de la información Ulf Frisk descubrió que los parches introdujeron un error del kernel mucho peor, que permite que cualquier proceso lea y escriba en cualquier lugar de la memoria kernel.

Frisk dice que la vulnerabilidad afecta a Windows 7 x64 y Windows 2008R2 con los parches de enero o febrero.

Los dos parches defectuosos configuraron erróneamente un poco en el traductor de memoria virtual a física conocido como PLM4 para permitir que cualquier aplicación en modo usuario acceda a las tablas de páginas del núcleo, según Frisk.

La CPU de Intel usa estas tablas de página para traducir la memoria virtual de un proceso en memoria física. El bit correctamente establecido normalmente aseguraría que el kernel tenga acceso exclusivo a estas tablas.

“El bit de permiso Usuario / Supervisor se estableció en Usuario en la entrada de autorreferencia PML4. Esto hizo que las tablas de páginas estuvieran disponibles para el código de modo de usuario en cada proceso. Normalmente, las tablas de páginas solo deberían ser accesibles por el núcleo”, dijo. “El PML4 es la base de la jerarquía de tabla de páginas en memoria de 4 niveles que utiliza la Unidad de administración de memoria de la CPU (MMU) para traducir las direcciones virtuales de un proceso en direcciones de memoria física en la RAM”.

Además, el profesional de seguridad de la información dice que el error sería “trivialmente fácil” de usar para acceder a toda la memoria física, debido a que la tabla de páginas PML4 se encuentra en una dirección de memoria fija en Windows 7. Esta situación significa que un atacante también podrá para ubicar la tabla de páginas de Windows 7 a la que ahora se puede acceder mediante aplicaciones en modo de usuario.

“Windows 7 ya hizo el arduo trabajo de mapeo en la memoria requerida en cada proceso en ejecución. La explotación era solo una cuestión de lectura y escritura en la memoria virtual en proceso ya mapeada”, escribe Frisk. “Una vez que se ha obtenido acceso de lectura / escritura a las tablas de páginas, será trivialmente fácil acceder a la memoria física completa, a menos que esté adicionalmente protegido por las tablas de páginas extendidas (EPT) utilizadas para la virtualización. Todo lo que uno tiene que hacer es escribir sus propias entradas de tabla de páginas (PTE) en las tablas de página para acceder a la memoria física arbitraria”.

El investigador de seguridad de la información Frisk aconsejó a todos los administradores y usuarios de Windows 7 y Windows 2008R2 que instalen el parche de marzo de Microsoft para resolverlo. Windows 10 y Windows 8.1 no se ven afectados.

Advertisements

ANDROID MALWARE EN LAS APLICACIONES DE QR READER EN PLAY STORE

Posted on Updated on

Los investigadores de seguridad de la información de SophosLabs han descubierto un nuevo malware de Android en aplicaciones de lectores QR aparentemente inofensivas en Google Play Store. El malware se ha desarrollado para inundar dispositivos Android con anuncios de pantalla grande para generar ingresos para los atacantes.

android qr

Etiquetado como Andr / HiddnAd-AJ por los investigadores de seguridad de la información, el malware se encontró en seis aplicaciones de lectura de código QR y una en brújula inteligente. Todas las aplicaciones infectadas se realizaron en Play Store al evadir Play Protect de Google, una aplicación desarrollada para intensificar aún más la seguridad de los sistemas que se ejecutan en Android.

Según el análisis, el malware funciona de tal manera que una vez que infecta el dispositivo, espera hasta seis horas para comenzar a enviar correo no deseado con irritantes anuncios de gran pantalla y notificaciones que contienen enlaces, todo para generar la mayor cantidad de ingresos posible.

android qr jpg

“La parte de adware de cada aplicación estaba integrada en lo que parece a primera vista, como una biblioteca de programación estándar de Android que estaba integrada en la aplicación. Al agregar un subcomponente “gráfico” de aspecto inocente a una colección de rutinas de programación que esperarías encontrar en un programa regular de Android, el motor de adware dentro de la aplicación se está ocultando a simple vista “, escribió el profesional de seguridad de la información Paul Ducklin de SophosLabs.

Las aplicaciones infectadas con malware se informaron a Google, quien hizo un trabajo rápido para eliminar las aplicaciones antes de que ocurrieran más daños. Sin embargo, algunas de las aplicaciones ya se descargaron más de 500,000 veces.

Si ha descargado alguna de estas aplicaciones, es hora de eliminarlas ahora mismo. Además, el único lugar seguro para que los usuarios de Android busquen aplicaciones limpias sigue siendo Play Store, por lo tanto, evite descargar aplicaciones innecesarias. Los expertos en seguridad de la información también recomiendan adherirse a Google Play si es posible.

CPU DE INTEL VULNERABLE AL ATAQUE ‘BRANCHSCOPE’

Posted on Updated on

Un nuevo método de ataque de canal lateral que se puede lanzar contra dispositivos con procesadores Intel, y los parches lanzados en respuesta a las vulnerabilidades de Spectre y Meltdown podrían no prevenir este tipo de ataques, ha sido descubierto por investigadores de seguridad de la información.

intel branchscope

El nuevo ataque, denominado BranchScope, ha sido identificado y demostrado por un equipo de investigadores del Colegio de William & Mary, la Universidad de California Riverside, la Universidad Carnegie Mellon en Qatar y la Universidad de Binghamton.

Similar a Meltdown y Spectre, BranchScope puede ser explotado por un atacante para obtener información potencialmente sensible a la que normalmente no podrían acceder directamente. El atacante debe tener acceso al sistema de destino y debe poder ejecutar código arbitrario.

Los investigadores creen que los requisitos para tal ataque son realistas, convirtiéndolo en una amenaza seria para las computadoras modernas, “a la par con otros ataques de canal lateral”.

El ataque de BranchScope se ha demostrado en dispositivos con tres tipos de CPU Intel i5 e i7 basadas en Microarquitecturas Skylake, Haswell y Sandy Bridge. Los expertos en seguridad de la información demostraron que el ataque funciona incluso si la aplicación específica se ejecuta dentro de un enclave Intel SGX. Intel SGX, o Software Guard Extensions, es un sistema de ejecución aislado basado en hardware diseñado para evitar que el código y los datos se filtren o modifiquen.

BranchScope es similar a Spectre ya que ambos se dirigen a los predictores de bifurcación direccional. Las unidades de predicción de ramas (BPU) se utilizan para mejorar el rendimiento de los procesadores enrutados adivinando la ruta de ejecución de las instrucciones de derivación. El problema es que cuando dos procesos se ejecutan en el mismo núcleo físico de la CPU, comparten una BPU, lo que potencialmente permite que un proceso malintencionado manipule la dirección de una instrucción de bifurcación ejecutada por la aplicación seleccionada.

El BPU tiene dos componentes principales: un búfer de destino de bifurcación (BTB) y un predictor direccional, y la manipulación de cualquiera de ellos puede utilizarse para obtener datos potencialmente confidenciales de la memoria. Intel publicó recientemente un video que proporciona una explicación de alto nivel de cómo funcionan estos ataques.

En varias ocasiones en el pasado cómo la manipulación de BTB se puede utilizar para ataques, pero BranchScope implica la manipulación de predictores de ramas.

“BranchScope es el primer ataque de grano fino en el predictor de bifurcación direccional, ampliando nuestra comprensión de la vulnerabilidad de canal lateral de la unidad de predicción de bifurcación”, explicaron los investigadores de seguridad de la información en su artículo.

Los investigadores que identificaron el método de ataque BranchScope han propuesto una serie de contramedidas que incluyen soluciones basadas en software y hardware.

Dmitry Evtyushkin, una de las personas involucradas en esta investigación, le dijo a SecurityWeek que si bien no han sido probados, las actualizaciones de microcódigo lanzadas por Intel en respuesta a Meltdown y Spectre solo pueden arreglar el vector BTB, lo que significa que los ataques de BranchScope aún podrían ser posibles. Sin embargo, Intel les dijo a los investigadores que la guía de software para mitigar Specter Variant 1 también podría ser efectiva contra los ataques de BranchScope.

BranchScope no es el único método de ataque de canal lateral de CPU descubierto después de la divulgación de Meltdown y Spectre. Uno de ellos, apodado SgxPectre, muestra cómo se puede aprovechar Spectre para vencer a SGX. Investigadores de seguridad de la información también han demostrado nuevas variantes de los ataques Meltdown y Spectre, que han llamado MeltdownPrime y SpectrePrime.

MONGODB HACKEADO EN 13 SEGUNDOS

Posted on

Durante los últimos años, hackers han estado explotando servidores basados en MongoDB sin protección para robar datos y mantener las bases de datos expuestas a cambio de un rescate. Los hackers filtraron 36 millones de registros de datos internos recopilados de varios servidores vulnerables.

mongodb jpgg

Los investigadores en seguridad de la información de la firma alemana Kromtech llevaron a cabo un experimento en el que deliberadamente dejaron expuesta una base de datos MongoDB al público y vigilaron las conexiones entrantes, para determinar y medir la profundidad de los ataques contra MongoDB.

La seriedad del asunto puede entenderse por el hecho de que en julio de 2015 John Matherly de Shodan, el primer motor de búsqueda del mundo para dispositivos IoT reveló que hay más de 30,000 bases de datos MongoDB sin protección expuestas para el acceso público.

El honeypot (un mecanismo de seguridad configurado para detectar y contrarrestar los intentos de uso no autorizado de los sistemas de información) contenía 30 GB de datos falsos. Los hackers tardaron solo tres horas en identificar la base de datos antes de borrar sus datos en solo 13 segundos y dejaron una nota de rescate exigiendo 0.2 Bitcoin de acuerdo con la publicación de blog de Kromtech.

mongodb 1 jpg

En enero de 2017, los hackers tenían varias bases de datos MongoDB para pedir rescate y exigían 0.2 Bitcoins a cambio. No está claro si los piratas informáticos que tomaron la base de datos de honeypot son parte del mismo grupo. Sin embargo, de acuerdo con el Director de Comunicación de Kromtech, Bob Diachenko, el ataque a su base de datos se remonta a China.

Los investigadores de seguridad de la información están seguros de que solo un script automatizado puede completar dicha tarea en 13 segundos.

“El atacante se conecta a nuestra base de datos primero, luego descarta las bases de datos para eliminarlas, descarta las revistas para borrar sus pistas, crea una base de datos llamada Advertencia con la colección Léame y el Registro de soluciones, luego deja caer las revistas nuevamente para cubrir sus pistas. Todo esto se completó en solo trece segundos, lo que llevó a la conclusión de que este era el trabajo de un guión automatizado “, señalaron analistas de seguridad de la información de Kromtech.

mongodb-hacked 13-seconds jpg

Los expertos en seguridad de la información aconsejan a los usuarios que protejan su base de datos ya que los servidores expuestos de MongoDB aún están en riesgo. Otro aspecto importante de los ataques de rescate contra MongoDB es que los hackers simplemente eliminan la base de datos, por lo tanto, incluso si la víctima paga, sus datos nunca serán devueltos.

EXPLOIT DE ASISTENCIA REMOTA DE WINDOWS PERMITE A HACKERS ROBAR ARCHIVOS

Posted on

Siempre se le ha advertido que no comparta el acceso remoto a su computadora con personas que no son de confianza por algún motivo, es un consejo básico de seguridad de la información y de sentido común.

Se descubrió una vulnerabilidad crítica en la función Asistencia remota de Windows (Quick Assist) de Microsoft que afecta a todas las versiones de Windows hasta la fecha, incluidos Windows 10, 8.1, RT 8.1 y 7, según informaron investigadores de seguridad de la información. Esta vulnerabilidad permite a los atacantes remotos robar archivos confidenciales en la máquina objetivo.

windows hack

La asistencia remota de Windows es una herramienta integrada que permite que alguien de confianza tome control de su PC (o que tome el control remoto de otras personas) para que puedan ayudarlo a solucionar un problema desde cualquier parte del mundo.

La característica se basa en el protocolo de escritorio remoto (RDP) para establecer una conexión segura con la persona necesitada.

Sin embargo, Nabeel Ahmed de Trend Micro Zero Day Initiative descubrió y reportó una vulnerabilidad de divulgación de información (CVE-2018-0878) en Asistencia remota de Windows que podría permitir a los atacantes obtener información para comprometer aún más el sistema de la víctima.

La vulnerabilidad, que ha sido resuelta por la compañía en el parche de este mes, reside en la forma en que Windows Remote Assistance procesa las Entidades Externas XML (XXE).

La vulnerabilidad afecta a Microsoft Windows Server 2016, Windows Server 2012 y R2, Windows Server 2008 SP2 y R2 SP1, Windows 10 (ambos de 32 y 64 bits), Windows 8.1 (ambos de 32 y 64 bits) y RT 8.1, y Windows 7 (32 y 64 bits).

windowa hack 1

Dado que ahora está disponible un parche de seguridad para esta vulnerabilidad, el investigador de seguridad de la información finalmente ha lanzado al público los detalles técnicos y el código de prueba de prueba de la vulnerabilidad.

Para explotar esta falla, que reside en el analizador MSXML3, el hacker necesita utilizar la técnica de ataque “Extracción de datos fuera de banda” al ofrecer a la víctima acceso a su computadora a través de Asistencia remota de Windows.

Al configurar Asistencia remota de Windows, la función le ofrece dos opciones: invitar a alguien para que lo ayude y responder a alguien que necesite ayuda.

Seleccionar la primera opción ayuda a los usuarios a generar un archivo de invitación, es decir, ‘invitation.msrcincident’, que contiene datos XML con muchos parámetros y valores necesarios para la autenticación.

windowa hack 2

Como el analizador no valida correctamente el contenido, el atacante puede simplemente enviar un archivo de invitación de Asistencia remota especialmente diseñado que contiene una carga maliciosa a la víctima, engañando a la computadora objetivo para que envíe el contenido de archivos específicos desde ubicaciones conocidas a un servidor remoto controlado por los atacantes

“La información robada podría enviarse como parte de la URL en las solicitudes HTTP al atacante. En todos los casos, un atacante no tendría manera de obligar a un usuario a ver el contenido controlado por el atacante. En cambio, un atacante tendría convencer a un usuario para que actúe “, explica el colaborador de seguridad de la informaciónde Microsoft.

“Esta vulnerabilidad XXE puede usarse genuinamente en ataques de phishing masivos dirigidos a personas que creen que realmente están ayudando a otra persona con un problema de TI. Totalmente inconscientes de que el archivo de invitación .srcincident podría potencialmente dar como resultado la pérdida de información confidencial”, advierte Ahmed.

Entre los parches de otras vulnerabilidades críticas resueltas este mes, se recomienda encarecidamente a los usuarios de Windows que instalen la última actualización para Asistencia remota de Windows lo antes posible.

VPN HOTSPOT SHIELD, PUREVPN Y ZENMATE ESTÁN REVELANDO DIRECCIÓN IP REAL DE CLIENTES

Posted on

Según VPN Mentor, una empresa privada que revisa redes privadas virtuales (VPN), después de una investigación en profundidad, se descubrió que tres proveedores de servicios VPN con millones de clientes en todo el mundo están filtrando datos confidenciales como las direcciones IP de los usuarios. Las principales son HotSpot Shield, PureVPN y ZenMate.

El propósito de usar una VPN depende de la situación, pero la mayoría de las personas optan por las VPN para combatir la censura en línea accediendo a sitios web bloqueados por sus ISP, mientras que otros eligen usar VPN para anonimato y mejor privacidad, dijeron profesionales de seguridad de la información.

VPNN

Pero cuando la VPN que pensabas que estaba protegiendo tu privacidad en realidad representaba una amenaza para ella. Eso significa que ahora puede estar bajo vigilancia gubernamental o en organizaciones maliciosas, los piratas informáticos pueden rastrear su dirección IP e identificar su ISP o, a nivel empresarial, puede permitir que los atacantes lleven a cabo ataques distribuidos de denegación de servicio (DDoS).

Según la publicación de blog de VPN Mentor, con el fin de encontrar vulnerabilidades en HotSpot Shield, PureVPN y ZenMate VPN Mentor contrataron a tres hackers éticos que después de las pruebas concluyeron que las tres VPN han filtrado la dirección IP del usuario, incluso cuando se usa una VPN existe una amenaza de privacidad.

Cabe señalar que las vulnerabilidades existen en los complementos del navegador Chrome para las tres VPN y no en las aplicaciones de escritorio o smartphone.

Según el informe de investigación de expertos en seguridad de la información, el HotSpot Shield de AnchorFree se llenó con tres vulnerabilidades. La primera vulnerabilidad (CVE-2018-7879) permitió a los atacantes remotos provocar una recarga del sistema afectado o ejecutar código de forma remota.

La segunda y la tercera vulnerabilidad (CVE-2018-7878 y CVE-2018-7880) filtraron las direcciones IP y DNS, lo que representa una amenaza para la privacidad de los usuarios, ya que los hackers pueden rastrear la ubicación del usuario y el ISP.

Se debe reconocer que HotSpot Shield respondió rápidamente a VPN Mentor con respecto a las vulnerabilidades y parchó todas las vulnerabilidades de manera profesional y oportuna para proteger a millones de sus usuarios de lo que podría ser una amenaza grave si se explota.

“La respuesta rápida de HotSpot Shield es algo que creemos que vale la pena recomendar. Sentimos que trabajaron con nuestro equipo de investigación de una manera rápida y seria y que se preocupan por sus usuarios. Tomaron nuestra investigación como ayuda para mejorar en lugar de criticar “, dijo el cofundador de VPN Mentor, el Sr. Ariel Hochstadt.

En PureVPN y ZenMate, los investigadores en seguridad de la información también descubrieron que las lagunas similares a HotSpot Shield pueden perder sitios de usuario y direcciones IP. Sin embargo, debido a que no recibieron una respuesta de ambos fabricantes, no especificaron las vulnerabilidades de ambos.

EL NUEVO ATAQUE CRYPTOJACKING UTILIZA EXPLOITS DE REDIS Y NSA

Posted on

Investigadores de seguridad de la información han revelado un ataque cryptojacking extremadamente complejo llamado RedisWannaMine, que está impulsado por los exploits de Redis y NSA y dirigido tanto a los servidores de bases de datos como a los servidores de aplicaciones

Según una publicación de blog, el ataque cryptojacking de nueva generación, demuestra un comportamiento tipo gusano combinado con exploits avanzados para aumentar la tasa de infección de los atacantes y engordar sus billeteras. Los atacantes apuntan a máquinas que usan el exploit SME EternalBlue de la NSA, así como el servidor de caché de Redis.

Los investigadores encontraron el malware cuando sondeó un servidor remoto y encontró una lista de archivos sospechosos. La lista incluye archivos maliciosos conocidos, como minerd, pero también algunos archivos sospechosos desconocidos como transfer.sh.

Cryptojacking nsa

Un archivo de script de shell que encontró fue un programa de descarga que es similar en algunos aspectos a los descargadores de cryptojacking más antiguos. Este archivo descarga un malware crypto miner desde una ubicación externa, gana persistencia en la máquina a través de nuevas entradas en crontab y obtiene acceso remoto a la máquina a través de una nueva entrada de clave ssh en /root/.ssh/authorized_keys y nuevas entradas en el sistema iptables, reportaron investigadores de seguridad de la información.

Según los investigadores, el script instala una gran cantidad de paquetes utilizando los gestores de paquetes estándar de Linux, como apt y yum. “Esto es probablemente para asegurarse de que sea autosuficiente y no necesite depender de las bibliotecas locales en la máquina de la víctima”, dijeron.

También descarga una herramienta públicamente disponible, llamada masscan, de un repositorio de Github, luego la compila e instala. El script inicia otro proceso llamado “redisscan.sh”. El nuevo proceso utiliza el masscantool mencionado anteriormente para descubrir e infectar los servidores Redis disponibles públicamente.

Una vez que el script completó el escaneo de Redis, se inicia otro proceso de escaneo llamado “ebscan.sh”. Esta vez, el nuevo proceso utiliza la herramienta masscan para descubrir e infectar servidores Windows disponibles públicamente con la versión SMB vulnerable.

“La vulnerabilidad de SMB que esta secuencia de comandos está explorando fue utilizada por la NSA para crear el exploit” Eternal Blue”. Este exploit fue adaptado posteriormente para llevar a cabo “WannaCry”, uno de los mayores ciberataques en el mundo “, dijeron los investigadores.

Los investigadores de seguridad de la información dijeron que las organizaciones deberían proteger las aplicaciones web y las bases de datos. “El vector de ataque inicial se introdujo a través de una vulnerabilidad de aplicación web. Una aplicación correctamente parcheada o una aplicación protegida por un WAF debe ser segura “, dijo Nadav Avital, analista de seguridad de aplicaciones técnicas.

Joseph Carson, jefe de seguridad de Thycotic, dijo que sin lugar a dudas veremos más ciberataques utilizando las hazañas de Redis y NSA ya que muchas organizaciones de todo el mundo siguen teniendo problemas con Patch Management. “Los hackers siempre seguirán utilizando cualquier sistema con exploits no parcheados de vulnerabilidades conocidas”.

“Aplicar un enfoque de privilegios mínimos y gestión de acceso privilegiado reducirá la capacidad de dichos exploits para moverse fácilmente e infectar sistemas en la red, lo que significa que incluso si un ciberataque es exitoso, el impacto para la organización puede mantenerse aislado”. El experto en seguridad de la información agrego.

Jon Topper, CTO de The Scale Factory, dijo que los atacantes no discriminan: usarán cualquier exploit que los lleve a un sistema remoto. “Si hay una cantidad de servidores Redis y SMB en el acceso público y sin parches, entonces corren el riesgo de ser utilizados como un vector de ataque “, dijo.

“Las organizaciones pueden mitigar los ataques poniendo en marcha mejores controles de acceso a la red; ni los servidores Redis ni SMB deben estar orientados a Internet en la mayoría de los casos de uso”. En un entorno corporativo, es posible que tenga servidores SMB accesibles para las estaciones de trabajo de los usuarios, por lo que una estación de trabajo comprometida podría usarse como un vector para obtener acceso a un servidor SMB. Si está ejecutando un software de servidor, debe mantenerlo actualizado. Sin peros, peros ni excusas “, agrego el experto en seguridad de la información.