Month: April 2018

ATAQUE DE TRUSTJACKING PERMITE HACKERS PARA HACKEAR DISPOSITIVOS IOS

Posted on

Los profesionales de Symantec han encontrado un error que, de explotarse, permitiría a los atacantes poner en peligro los dispositivos iOS sin que el propietario lo sepa.

El último ataque iOS apodado como “Trustjacking” por los investigadores de seguridad informática, explota una vulnerabilidad en iTunes Wi-Fi Sync, una característica que permite que los dispositivos iOS se sincronicen con iTunes sin tener que conectar físicamente el dispositivo iOS a la computadora. Esta característica se puede habilitar conectando físicamente un iPhone / iPad a una computadora una vez con un cable, especificando que el dispositivo iOS puede confiar en la computadora de ahora en adelante, y luego habilite iTunes Wi-Fi Sync desde la PC. Una vez que se establece una conexión confiable de Wi-Fi Sync, el hacker que tiene acceso a la computadora del usuario puede espiar secretamente en el dispositivo iOS o grabar y controlar cualquier tipo de actividades de forma remota, siempre y cuando ambos estén bajo la misma red local.

trustjacking

“Esto permite a la computadora acceder a las fotos en el dispositivo, realizar una copia de seguridad, instalar aplicaciones y mucho más, sin requerir otra confirmación por parte del usuario y sin ninguna indicación notable. Además, esto permite activar la función “sincronización Wi-Fi de iTunes”, que permite continuar este tipo de comunicación con el dispositivo incluso después de que se haya desconectado de la computadora, siempre que la computadora y el dispositivo iOS estén conectados a la misma red Es interesante observar que habilitar la “sincronización Wi-Fi de iTunes” no requiere la aprobación de la víctima y se puede llevar a cabo puramente desde el lado de la computadora “, escribió en el informe Roy Iarchy, jefe de investigación de Modern OS Security.

Trustjacking es “extremadamente impactante”, dijo Adi Sahabani, vicepresidente sénior de seguridad moderna del sistema operativo en Symantec, quien reveló los hallazgos en RSAC 2018 el miércoles pasado junto con su colega Iarchy.

El informe indica que una vez que la computadora maliciosa está autorizada, no hay otro medio que impida el acceso continuo al dispositivo. Además, el experto en seguridad informática dijo que los usuarios no reciben ningún mensaje ni notificación de que al autorizar la computadora, permiten el acceso a su dispositivo incluso después de desconectar el cable USB. Muchos usuarios suponen que su dispositivo ya no está expuesto una vez que desconectan el cable USB.

“Incluso si el dispositivo solo está conectado durante un período de tiempo muy corto, es suficiente para que un atacante ejecute los pasos necesarios para mantener la visibilidad de todas las acciones realizadas en el dispositivo después de desconectarlo”, escribió Iarchy.

Los profesionales revelaron la vulnerabilidad a Apple, que intentó abordar el problema agregando una capa adicional de protección en iOS 11. La nueva capa de protección requiere que el usuario de iOS ingrese su contraseña cuando confía en una computadora. Sin embargo, los investigadores en seguridad informática creen que tales medidas son inadecuadas.

“Todavía se le dice al usuario que esta autorización solo es relevante mientras el dispositivo está conectado a la computadora, haciéndole creer que desconectar su dispositivo garantiza que nadie puede acceder a sus datos privados”, escribe Iarchy en la publicación del blog. “Si bien apreciamos la mitigación que ha tomado Apple, nos gustaría destacar que no aborda el Trustjacking de una manera holística. Una vez que el usuario ha elegido confiar en la computadora comprometida, el resto del exploit continúa funcionando “, agregó Iarchy.

Los analistas de seguridad informática también sugieren a los usuarios que habiliten copias de seguridad encriptadas en iTunes y que seleccionen una contraseña segura para proteger sus dispositivos.

Los usuarios también pueden ir a Configuración> General> Restablecer> Restablecer ubicación y privacidad, y volver a autorizar todas las computadoras conectadas previamente la próxima vez cuando conecten su dispositivo iOS a cada dispositivo.

Advertisements

POWERSHELL, CÓMO AUTOMATIZAR UNA AUDITORÍA DE ACTIVE DIRECTORY

Posted on

Un grupo de profesionales de la seguridad informática que realiza auditorías de directorios activos recientemente, notó que se repiten una y otra vez.

Por lo tanto, los expertos decidieron escribir la mayor cantidad posible de esto en un script de PowerShell para facilitarles la vida. Los expertos eligieron PowerShell porque no quieren dejar un exe en una caja remota.

Este script no hace todo, todavía hay cosas para agregar.

Actualmente hace lo siguiente:

  • Resultados de la política de contraseñas
  • Buscando cuentas que no caducan
  • Buscando cuentas inactivas / deshabilitadas
  • Buscando máquinas del servidor 2003 / XP conectadas al dominio
  • Hallazgos AD
  • Resultados de la confianza del dominio
  • Resultados de GPO
  • Intentando encontrar archivos SysVOL xml que contengan cpassword
  • Intentando salvar NTDS.dit

active dir 1active dir 2

Los expertos en seguridad informática comparten el enlace al código: github.com/phillips321/adaudit

LA FIRMA DE SEGURIDAD DE SITIOS WEB SUCURI ES GOLPEADA POR ATAQUES DDOS

Posted on

Esta vez Sucuri y sus clientes han sido golpeados por una serie de ataques en todo el mundo.

De acuerdo con los investigadores de seguridad informática, el proveedor de seguridad del sitio web con sede en California Sucuri ha sufrido una serie de ataques DDoS masivos que causan la interrupción del servicio en Europa occidental, América del Sur y partes del este de Estados Unidos.

sucuri

Los ataques comenzaron el 12 de abril de 2018, cuando la red de Sucuri sufrió ataques DDoS continuos. La compañía luego trabajó con proveedores de Nivel 1 para mitigar los ataques.

En un correo electrónico, el portavoz de Sucuri dijo que “el ataque fue lo suficientemente grande como para causar que algunos de nuestros puertos estuvieran muy cerca de su capacidad, lo que causaba una latencia muy alta y la pérdida de paquetes. En algunas otras regiones, causó latencia temporal y pérdida de paquetes”.

La página de estado de la compañía también mantuvo a los clientes actualizados, revelando que Sucuri “trabajó con sus proveedores originales, nuestro NOC y nuestros socios para ayudar a mitigar el ataque y redirigir las regiones afectadas. Desafortunadamente, debido al tamaño del ataque, tardó mucho más de lo esperado para que se manejara por completo”.

Aún se desconoce el tamaño exacto de los ataques DDoS, lo mismo ocurre con sus culpables y sus motivos, sin embargo, últimamente ha habido un aumento en los ataques DDoS a gran escala. El mes pasado, los hackers utilizaron la vulnerabilidad de Memcached para llevar a cabo los ataques DDoS más grandes del mundo de 1,7 Tbps en una firma estadounidense y 1,35 Tbps de ataque en Github.

La vulnerabilidad también se usó para afectar a Amazon, Google, NRA, Play Station y muchos otros objetivos de alto perfil.

En cuanto a Sucuri, los analistas de seguridad informática tienen buenas noticias, los ataques se han mitigado con éxito y, al momento de publicar este artículo, los servicios de Sucuri y los sitios web de los clientes volvieron a estar en línea.

SEGURIDAD DE APLICACIONES WEB

Posted on

Las aplicaciones web se vuelven cada vez más complejas, pero es normal. Siempre es un desafío mantenerse al día con este crecimiento y siempre saber qué aplicación hace, por qué y cuándo, y qué necesita medidas de seguridad adicionales de su parte.

Este tipo de análisis holístico de la seguridad se conoce como modelado de amenazas. Según los expertos en seguridad de la información, existen diferentes métodos o incluso herramientas para hacerlo. Pero en la raíz de todos ellos hay tres preguntas: ¿Quién puede atacarnos? ¿Qué recursos / componentes protegemos? ¿Cuál es la infraestructura de nuestro sistema?

aplicaciones web

¿QUIÉN PUEDE ATACARNOS?

La definición de perfiles de posibles agresores te ayudará a comprender cuáles podrían ser las formas más probables de ataque. Esos perfiles obviamente variarán según la industria, el tipo de aplicación y la empresa. Aquí hay unos ejemplos:

Competidores

Pueden estar interesados, entre otras cosas, en robar datos o desalentar a los usuarios al reducir el rendimiento de la aplicación.

Robots / hackers

Los bots semiautomáticos intentarán encontrar puntos débiles de su aplicación para instalar software malicioso para el spamming o la minería de criptomonedas.

Usuarios

Los usuarios de su aplicación pueden encontrar agujeros de seguridad y ver datos que no pueden ver cambiando las ID de usuario en la URL.

Empleados propios

Incluso si tiene plena confianza en sus empleados, pueden convertirse en una amenaza involuntariamente. Puede tratarse de una cookie de sesión robada, una contraseña robada o rota o simplemente un software malicioso instalado en la computadora del trabajador.

El último es especialmente complicado, y el argumento en el sentido de “utilizamos VPN, solo los usuarios de confianza están en él, estamos seguros” ya no es válido cuando uno de ellos tiene su propia computadora infectada. Es difícil predecir cómo se pueden introducir dichos virus; en un nuevo dispositivo USB que se entregó en una caja abierta o correo electrónico falso.

¿QUÉ PROTEGEMOS?

De acuerdo con los profesionales de la seguridad de la información, debe analizar qué tipo de recursos / valores se deben defender.

Componentes

Para comprender todas las formas posibles de ataque, crea un mapa de todos los componentes de tu aplicación. La página principal de la aplicación y su API backend estarían en el centro de ese mapa y eso no es revelador.

Interfaz

La página web suele ser una forma principal para que los usuarios ingresen a la aplicación web. Puede ser vulnerable a muchos tipos de ataques relacionados con el front-end, siendo XSS el más obvio. Inspeccione cada entrada, ya sea un formulario de contacto, una barra de búsqueda o la URL de la página

Back-end

La página web necesita comunicarse de alguna manera con el servidor. Un atacante también puede hacer eso usando la API directamente. No desea que nadie obtenga los valores de las variables de entorno a través del extremo / env del actuador de Spring Boot.

Base de datos

¿Estás seguro de que tu puerto de base de datos no está abierto? ¿Que no hay un administrador de GUI DB instalado bajo una URL secreta que solo el administrador conoce?

Móvil

Este es el canal favorito de los hackers para ingresar al sistema.

La base de código de las aplicaciones móviles se puede desarrollar independientemente de la aplicación principal, lo que puede llevar a olvidar los parches críticos relacionados con la seguridad.

Hoja informativa

¿Es ese contenido parte de la página principal, o es un lugar dedicado solo al boletín informativo? Si está en un espacio separado, entonces otro componente está bajo amenaza.

Componentes de infraestructura / nube

Su aplicación usará muchos componentes adicionales, especialmente en entornos de nube. Cosas como descubrimiento de servicios (por ejemplo, Eureka), herramientas de administración (Spring Boot Admin), registro y métricas (Kibana, Grafana) u otras herramientas de ayuda (Redis, RabbitMQ).

Software de terceros

¿Tal vez tienes un paquete especial de BPM que se encarga de algunos procesos comerciales bajo el capó? ¿O el sistema de gestión de reglas comerciales? ¿O tal vez se integra con las partes contratantes?

Puede haber muchas cosas diminutas que puede olvidar que incluso tiene, como fuentes RSS, servidores de caché o complementos de lujo para la página web.

INFRAESTRUCTURA

Al mapear todos los componentes de software, es hora de obtener una visión similar de la infraestructura.

Protege tu desarrollador y entornos de prueba. Desde el punto de vista del atacante, lo más interesante son los entornos de desarrollo y prueba. Debido a que, por lo general, su configuración de seguridad es más liberal que la de producción, ya que la conveniencia del programador a menudo tiene mayor prioridad que la seguridad del sistema, dijo el analista de seguridad de la información.

Al tener acceso al entorno de desarrollo, un atacante puede hacer muchas cosas desagradables:

  • Comprender cómo preparar ataques exitosos en servidores de producción
  • Robar datos / contraseñas
  • Instalar software malicioso en servidores de desarrollo
  • Analiza los registros de depuración detallados

Los repositorios de código fuente también deben estar restringidos del mundo exterior. Con un acceso a él, el atacante podría obtener las contraseñas de tus archivos de configuración.

¿Cómo un intruso podría encontrar sus entornos de desarrollo?

Transferencia de DNS

Una de las primeras cosas que debe intentar es inspeccionar su dominio e intentar transferir la información DNS. Una herramienta que permite esto es el programa host. Definir el tipo de consulta como NS mostrará el registro de servidores de nombres para un dominio dado:

$ host -t NS example.com

servidor de nombres example.com b.iana-servers.net.

servidor de nombres example.com a.iana-servers.net.

Luego, en el modo de lista (habilitado por la opción -l), el host intentará realizar la transferencia de zona.

$ host -l ejemplo.com b.iana-servers.net

Si la transferencia tiene éxito, un atacante verá todos los subdominios registrados, como dev.example.com, test.example.com, qa.example.com, etc., junto con sus direcciones IP. Para evitar esto, verifique su configuración de DNS y asegúrese de que las transferencias de zona estén restringidas.

DNS bruteforcing

Si la transferencia DNS simple falla, un intruso puede tratar de adivinar los subdominios en un proceso llamado forzamiento bruto de DNS. Uno de los programas que puede hacer eso se llama dnsenum. De acuerdo con los expertos en seguridad de la información, cuando se proporciona un archivo de diccionario con una lista de prefijos de dominio, el dominio de destino y el servidor DNS informará todos los subdominios existentes con los candidatos dados. Hay diccionarios públicos para dnsenum, que consisten en muchas suposiciones probables.

Después de obtener las IP de sus servidores, el atacante normalmente escaneará sus puertos, buscará los que estén abiertos y planificará los próximos pasos, dijeron profesionales de la seguridad de la información. Una buena práctica es ocultar todos los entornos de prueba del mundo público en redes privadas, permitiendo el acceso remoto para los trabajadores solo a través de redes VPN.

El último punto que podría tomarse en consideración es el uso de conexiones HTTPS no solo en producción sino también en entornos de prueba. Los certificados pueden estar autofirmados, no importa. Lo importante es que ni sus empleados ni los virus instalados en sus computadoras podrán detectar el tráfico HTTP dentro de la VPN.

LA VULNERABILIDAD EN OUTLOOK PERMITE A HACKERS ROBAR CONTRASEÑAS

Posted on

La mayoría de las personas confía en la dirección de correo electrónico de Outlook para tareas relacionadas con el trabajo y personales. Desafortunadamente, Outlook puede no ser tan seguro como quisiéramos pensar los usuarios. Según un informe publicado por expertos en seguridad de la información en el Instituto de Ingeniería de Software Carnegie Mellon, Outlook presenta un error de seguridad que podría desencadenar pérdidas de hash de contraseñas cuando los usuarios obtienen una vista previa de correos electrónicos con formato de texto enriquecido que contienen objetos OLE alojados remotamente.

w out 1

Esta vulnerabilidad de seguridad existe porque el gigante de Redmond no usa estrictas restricciones y verificación de contenido cuando carga elementos desde un servidor SMB remoto. Por otro lado, la misma vulnerabilidad no se puede aprovechar al acceder al contenido alojado en la web, ya que Microsoft aplica restricciones mucho más estrictas cuando se trata de este tipo de contenido.

Outlook no carga imágenes alojadas en la web en correos electrónicos para proteger las direcciones IP de los usuarios. Sin embargo, cuando los usuarios acceden a mensajes de correo electrónico RTF que contienen objetos OLE cargados desde un servidor SMB remoto, Outlook carga las imágenes respectivas.

Esto conduce a una serie de filtraciones que incluyen dirección IP, nombre de dominio y más, como lo explican los informes:

Outlook bloquea el contenido web remoto debido al riesgo de privacidad de los errores web. Pero con un correo electrónico de texto enriquecido, el objeto OLE se carga sin interacción del usuario… Aquí podemos ver que una conexión SMB se está negociando automáticamente. La única acción que desencadena esta negociación es la vista previa de Outlook de un correo electrónico que se le envía… Veo que se están filtrando las siguientes cosas: dirección IP, nombre de dominio, nombre de usuario, nombre de host, clave de sesión de SMB. Un objeto OLE remoto en un mensaje de correo electrónico de texto enriquecido funciona como un error en la web con esteroides.

w out 2

Microsoft soluciona parcialmente el problema. Microsoft lanzó recientemente una revisión el martes de parches para solucionar este problema de seguridad. Según los expertos en seguridad de la información, esta solución no es 100% segura ya que no bloquea todos los ataques SMB remotos.

Una vez que se instala esta solución, los mensajes de correo electrónico previsualizados ya no se conectarán automáticamente a servidores SMB remotos. Esta solución ayuda a prevenir los ataques descritos anteriormente. Es importante darse cuenta de que, incluso con este parche, un usuario todavía está a un solo clic de ser víctima de los tipos de ataques descritos anteriormente. Por ejemplo, si un mensaje de correo electrónico tiene un vínculo al estilo UNC que comienza con “\\”, al hacer clic en el enlace se inicia una conexión SMB con el servidor especificado.

ATMJACKPOT MALWARE ROBA EFECTIVO DE LOS CAJEROS AUTOMÁTICOS

Posted on

Conocido como ATMJackpot, el nuevo malware ATM ha sido identificado por investigadores de seguridad de la información en Netskope Threat Research Labs. La investigación inicial reveló que el malware se originó en Hong Kong, mientras que el binario con sello de tiempo se identifica como el 28 de marzo de 2018.

El malware se encuentra en su fase de desarrollo debido a que, en comparación con otro malware previamente descubierto, ATMJackpot tiene características limitadas. Tal como su UI gráfica es bastante básica y solo muestra el nombre de host y la información sobre los proveedores de servicios, por ejemplo, PIN pad, lector de tarjetas y proveedores de servicios de dispensador de efectivo.

atm

Según la publicación de Netskope, aún no está claro cómo se despliega o utiliza ATMJackpot, pero su propósito es bastante claro, que es robar dinero de los cajeros automáticos.

El jackpot de ATM también se llama ataque lógico; se refiere al uso de malware para controlar la distribución de efectivo desde un cajero automático. Por lo general, el malware se entrega a un cajero automático de manera remota oa través de un puerto USB después de comprometer la red del operador del cajero automático.

No se revela si la implementación de ATMJackpot fue el resultado de la instalación manual a través de USB en cajeros automáticos o si se descargó de una red infectada. Si el primero fuera el caso, entonces no habría sido difícil para los ladrones porque la instalación de malware en un cajero automático no es difícil en absoluto.

Jackpotting está diseñado para evitar el robo físico en la máquina y se puede insertar en el cajero automático a través del puerto USB, dijeron expertos en seguridad de la información. Los ciberdelincuentes están bastante familiarizados con la versión de Windows utilizada en la mayoría de los cajeros automáticos, por lo que comprometer físicamente la bóveda no es un problema para ellos.

El malware inicia su operación maliciosa registrando el nombre de clase de Windows “Win” con un proceso de actividad de malware y luego rellena las opciones disponibles en el sistema para conectarse con el administrador de XFS. El subsistema XFS proporciona una API común para manipular la máquina. A continuación, el malware inicia una sesión para registrarse con el proveedor de servicios a fin de rastrear eventos.

También inicia una sesión con el lector de tarjetas, el teclado PIN y los proveedores de servicios del dispensador de efectivo. Después de rastrear eventos, el malware emite comandos y lee datos del teclado PIN para dispensar efectivo y expulsar tarjetas. La descarga del malware se ha detectado como Gen: Variant.Razy.255528.

El jackpot de los cajeros automáticos se está convirtiendo en un problema serio y preocupante para los expertos en seguridad de la información. El problema se notó por primera vez en Europa en 2014; poco después se extendió a las regiones asiáticas. Europol advirtió en 2017 que los ataques a los cajeros automáticos que incluían la técnica de jackpot estaban en aumento, lo que aumentaba significativamente la escala y el alcance de los ataques contra los cajeros automáticos.

En enero de 2018, EE. UU. Presenció el primer ataque de jackpot contra cajeros automáticos. El Servicio Secreto emitió una alerta de seguridad y se lanzó una operación mundial contra los miembros del notorio grupo Carbanak, que se cree está involucrado en ataques a cajeros automáticos y robo de más de 1,24 millones de dólares.

MÁS DE 1000 TIENDAS MAGENTO AFECTADAS CON MALWARE DE MINERÍA DE CRIPTOMONEDAS Y ROBO DE TARJETAS

Posted on

Hasta ahora, 1,000 sitios web basados en Magento que incluyen tiendas han sido atacados e infectados con este malware, dicen los investigadores de seguridad de la información.

La firma de análisis de amenazas y seguridad cibernética Flashpoint afirmó que los cibercriminales han atacado la plataforma de comercio electrónico de código abierto Magento con malware desde 2016. Como resultado, cientos de sitios web de comercio electrónico que se ejecutan a través de Magento ya han sido comprometidos por hackers para robar números de tarjeta de crédito e instalar mineros de criptomonedas.

Magento tiene dos versiones, una de las cuales es de código abierto, mientras que la otra es una versión empresarial curada. Como es la norma con los productos de código abierto exitosos, la versión empresarial ofrece acceso a soporte y es mantenida exclusivamente por Magento.

magento 1

Los sitios web ejecutados en la plataforma de Magento se ven comprometidos a través de la fuerza bruta. Los hackers usan credenciales comunes y ya conocidas para comprometer el sitio web. De acuerdo con los hallazgos de los investigadores de seguridad de la información, casi 1,000 paneles de administración de Magento se han visto comprometidos hasta el momento. La mayoría de los paneles de Magento comprometidos pertenecen a empresas del sector de la educación y la sanidad, mientras que se identificaron objetivos máximos en EE. UU. Y Europa.

Los investigadores de Flashpoint escribieron que los ataques que se lanzan usando el método de fuerza bruta son exitosos solo cuando los administradores no pueden cambiar las credenciales después de instalar la plataforma. Los hackers pueden crear fácilmente scripts automatizados usando credenciales conocidas para facilitar el acceso al panel.

Después de obtener el control del panel de administración CMS del sitio, los atacantes pueden agregar cualquier script de su elección. Los hackers también se dirigen a otros CMS de procesamiento de comercio electrónico (sistemas de administración de contenido) como Powerfront y OpenCarts también.

Los profesionales de seguridad de la información identificaron que los hackers inyectan código malicioso en el archivo central para acceder a las páginas de procesamiento de datos de pago y enviar solicitudes al servidor que contiene datos confidenciales. Cuando se visita el sitio web comprometido, los visitantes quedan sujetos a ataques de malware. El sitio le pide al visitante que actualice el software Adobe Flash Player y cuando el usuario hace clic en el enlace provisto, el malware se lanza desde los servidores. Estos servidores infectados están alojados en sitios como GitHub.

Varios malware están involucrados en esta campaña; la primera pieza descargada es el software de robo de datos AZORult, que descarga otro malware además del cryptominer. Los datos son interceptados y transmitidos al hacker.

Un método similar se usa para instalar cryptominer. Los atacantes buscan extraer la criptomoneda Rarog en esta campaña en particular. También se identifica que la explotación de los paneles de administración de Magento ha continuado en el nivel de entrada y en niveles más altos en los foros de Deep & Dark Web desde 2016.

Los atacantes están actualizando los archivos maliciosos diariamente para evadir la detección. Esta actualización diaria dificulta que las firmas de software de seguridad detecten la amenaza porque los cambios de firma frecuentes no se pueden detectar de inmediato.

magento

GitHub también ayuda a los atacantes a evitar la detección, ya que pueden descargar y almacenar nuevos códigos fácilmente. Cuando una organización carga la Lista blanca de lados seguros, GitHub está obligado a hacer una aparición. Esto permite que las descargas de malware evadan el bloqueo. Quizás esta es la razón por la cual los atacantes prefieren alojar sus códigos maliciosos en GitHub.

Los profesionales de seguridad de la información han colaborado con las autoridades policiales para informar a las víctimas de las infracciones, pero se sospecha que el alcance del ataque es bastante amplio, mientras que los investigadores han logrado detectar solo una fracción del total de sitios web comprometidos. La mayoría de estos sitios fueron hackeados al explotar las lagunas de seguridad estándar.

Los investigadores han aconsejado a los administradores de Magento que revisen de inmediato las credenciales de la cuenta CMS para mitigar la amenaza de ataque de fuerza bruta. Es muy importante reemplazar las contraseñas viejas y débiles con nuevas más fuertes, así como también hacer cumplir la autenticación 2FA. Además, los empleados de Magento deben contar con administradores de contraseñas seguros, mientras que a los usuarios se les debe prohibir el reciclaje de contraseñas antiguas y usadas.