• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Un fallo de deserialización en PHP pone en riesgo millones de sitios web WordPress

El investigador en seguridad Sam Thomas, que trabaja para Secarma, ha descubierto una nueva técnica que podría hacer más fácil a los atacantes la explotación de vulnerabilidades de deserialización en PHP mediante la utilización de funciones que eran consideradas como de riesgo bajo.

PHP es uno de los lenguajes de programación más populares, siendo la tecnología para el tratamiento de páginas web dinámicas desde el lado del servidor más utilizado del mundo. Además, muchos de los CMS más importantes lo utilizan, entre ellos WordPress, por lo que podría haber millones de sitios web vulnerables ante esta nueva técnica descubierta.

La deserialización en PHP fue documentada inicialmente en 2009 y abre la puerta a que atacantes puedan llevar a cabo diferentes tipos de ataques mediante el suministro de entradas maliciosas a la función unserialize(), la cual es una característica oficial y legítima de la implementación oficial del lenguaje que nos ocupa. Básicamente, la función seriar (serialize()) permite convertir los datos de los objetos en texto plano, mientras que deserializar (unserialize()) ayuda al programa a recrear el objeto a partir de la cadena en texto plano.

Sam Thomas ha descubierto que un atacante puede usar funciones de bajo riesgo contra archivos Phar (un formato de fichero en PHP que almacena los metadatos en un formato seriado que se deserializa cuando una función de operación de ficheros intenta acceder a él) para realizar de ataques de deserialización sin requerir la utilización de la función unserialize() en una gran variedad de escenarios.

Para explotar el fallo con éxito, el atacante solo tiene que subir al servidor objetivo un fichero para su conversión a un Phar válido que contenga una carga maliciosa en forma de objeto. Después se tiene que hacer que la función que opera con el archivo acceda utilizando el wrapper de transmisión “phar://” para ejecutar el código arbitrario cuando el programa deserializa los metadatos. Por ejemplo, el investigador ha conseguido explotarlo con una imagen JPEG, la cual pasó de un fichero Phar a una imagen JPEG válida al modificar sus 100 primeros bytes, algo que ha podido realizar a través de la funcionalidad de miniaturas de WordPress, que “habilita a un atacante con privilegios para cargar y modificar elementos multimedia y obtener el control suficiente del parámetro utilizado en una llamada ‘file_exists’ para causar una deserialización.”

Sam Thomas ha reportado la vulnerabilidad al equipo de WordPress a principios del presente año, pero a día de hoy todavía no hay un parche que neutralice al 100% la vulnerabilidad. También lo ha reportado a Typo3 el 9 de junio de 2018, aunque para este CMS sí hay un parche completo que ha llegado a las versiones 7.6.30, 8.7.17 y 9.3.

Fuente: The Hacker News

por Eduardo Medina Fri, 17 Aug 2018 14:30:27 +0000

Descubren un fallo en Google Chrome que permite obtener información privada

Imperva ha descubierto un bug en el navegador web Google Chrome que abre la puerta a que actores maliciosos puedan obtener datos privados almacenados en Facebook, Google y otras plataformas mediante la utilización de las etiquetas de HTML5 vídeo (<video>) y audio (<audio>), además de las funciones de filtrado.

El fallo está presente en el motor de renderizado Blink, que es empleado no solo por Google Chrome, sino también por su “padre”, Chromium, y otros derivados de este último como Vivaldi, Opera y Brave. Permite a los atacantes inyectar contenidos en los navegadores de los usuarios incautos mediante la utilización de las mencionadas etiquetas utilizadas.

Según el investigador tras el descubrimiento, las etiquetas pueden ser utilizadas como parte de un script dentro de una aplicación web de escritorio que genera peticiones a los recursos del objetivo, pudiendo ser dicha aplicación el sitio web de Facebook, Google y muchos otros, a la vez que las respuestas a dichas solicitudes pueden ser utilizadas para introducir datos que luego son mostrados al usuario infectado. Esto es debido a que el fallo permite a los atacantes calcular el tamaño de una página de origen cruzado usando etiquetas de audio y vídeo.

Entrando en detalles, el atacante podría mediante un script enviar peticiones a una página de Facebook que tiene una audiencia restringida, por ejemplo a nivel geográfico. A partir de ahí puede evaluar si la víctima es de un determinado lugar viendo si puede acceder o no a la página. Utilizando esta técnica puede hallar otros muchos detalles, como el sexo, los “me gusta” o el historial de ubicaciones, pudiendo llevar a cabo hasta 20 comprobaciones diferentes. Las afirmaciones de verdadero o cierto se obtendrían según el tamaño de la respuesta, siendo falsa en caso de ser pequeña y verdadera en caso de ser grande. La información que se puede obtener de esta manera es bastante precisa, independiente de la configuración establecida en las opciones de privacidad.

Ron Masas, quien ha descubierto esta vulnerabilidad en el motor de renderizado Blink, ha dicho que estaba investigando el mecanismo de Compartición de Recursos de Origen Cruzado (CORS) mediante la verificación de las comunicaciones de origen cruzado de diferentes etiquetas HTML. Con las de vídeo y audio “parece establecer que el atributo ‘precarga’ de ‘metadatos’ cambió las veces que el evento ‘en progreso’ fue llamado, de una manera que parecía estar relacionada con el tamaño del recurso solicitado”. Para ello, creó un servidor HTTP con NodeJS que generaba una respuesta en el tamaño del parámetro dado, creando el script un elemento oculto de audio capaz de solicitar un recurso dado, seguir el número de veces que el evento ‘en progreso’ (onprogress) ha sido activado y devuelve el valor del contador una vez que el análisis del audio falla.

El fallo hallado en Blink ha sido corregido en Chrome/Chromium 68, por lo que los usuarios de cualquier versión anterior son vulnerables.

Fuente: ThreatPost

por Eduardo Medina Thu, 16 Aug 2018 17:15:25 +0000

Una campaña consigue bloquear centenares de cuentas de Instagram

Una campaña de ataques hacker centrado en la red social Instagram ha conseguido bloquear la semana pasada las cuentas de cientos de usuarios. Fueron estos últimos los que avisaron a través de otras redes como Twitter y Reddit sobre lo que les estaba ocurriendo, diciendo que con un “misterioso ataque” se había conseguido bloquear sus cuentas cambiando las direcciones de correo electrónico a otras con un dominio .ru.

Las víctimas que consiguieron recuperar sus cuentas dijeron que los datos asociados habían sido modificados en su mayor parte o totalidad, abarcando los nombres de las cuentas, las imágenes de perfil (muchas veces estableciendo imágenes de películas conocidas como Piratas del Caribe), contraseñas, dirección de correo e incluso la cuenta de Facebook asociada a la de Instagram.

De momento no se conoce cuál es el origen y quién de está detrás de la campaña de ataques contra usuarios de Instagram, pero se sospecha que podría ser un grupo de hackers ruso al pertenecer los correos electrónicos de las cuentas modificadas al proveedor mail.ru, aunque tampoco se puede descartar la posibilidad de que los hackers pretendan hacerse pasar por rusos aprovechando la mala fama que tiene el Gobierno de Rusia, con Vladimir Putin la frente, en estos temas.

Lo peor es que la campaña de ataques, según informan desde Mashable, podría haber conseguido tener éxito incluso contra usuarios que tenían la autenticación en dos pasos habilitada. Aunque esto todavía no ha sido confirmado, a la red social no le ha quedado otra que salir al paso para anunciar que está investigando lo ocurrido y que tiene “equipos dedicados para ayudar a la gente a asegurar sus cuentas.”

Los encargados de Instagram, que pertenece a Facebook, aconsejan a los usuarios tener una contraseña de al menos seis caracteres compuesta por letras y números, habilitar la autenticación en dos pasos y revocar el permiso a cualquier aplicación con el fin de reforzar la seguridad. Aprovechando la ocasión, recordamos nuestro especial sobre gestores de contraseñas, unas herramientas que pueden venir muy bien para reforzar la seguridad de las cuentas en línea.

Es importante tener en cuenta que la autenticación en dos pasos de Instagram todavía se apoya en mensajes de texto y no en una aplicación, un sistema que lleva años siendo considerado como poco seguro para reforzar este mecanismo. Debido a esto, la red social ha anunciado que está trabajando para mejorar las configuraciones de la autenticación en dos pasos.

En estos momentos hay bastante incertidumbre sobre qué ha ocurrido realmente, por lo que a lo mejor la autenticación en dos pasos podría no haber sido saltada de verdad y que todo quedase reducido a una gran cantidad de cuentas protegidas con contraseñas débiles, cosa que ya pasó con el servicio de almacenamiento en la nube Mega el pasado mes de julio. Tampoco se conocen los motivos u objetivos de los hackers.

Desde MuySeguridad, como es habitual en este tipo de casos, recomendamos a todos los usuarios de Instagram cambiar la contraseña cuanto antes, además de revisar la configuración de la autenticación en dos pasos en caso de usarla y revocar los permisos concedidas a las aplicaciones, sobre todo si no son oficiales.

Fuente: The Hacker News

por Eduardo Medina Thu, 16 Aug 2018 14:03:40 +0000

Microsoft publica el paquete de parches mensual correspondiente a agosto de 2018

Microsoft publicó ayer su conjunto de actualizaciones de seguridad correspondiente al mes de agosto, cuyo nombre es Parche del Martes (Patch Tuesday). En esta ocasión el gigante de Redmond ha parcheado un total de 60 vulnerabilidades, de las cuales dos eran zero-day que estaban siendo explotadas de forma activa y 19 han sido consideradas como críticas.

Entre los productos afectados nos encontramos casi todo lo que ofrece Microsoft, abarcando Windows, Microsoft Edge, Internet Explorer, Office, ChakraCore, .NET Framework, Exchange Server, Microsoft SQL Server y el IDE Visual Studio. Las 19 vulnerabilidades críticas eran de ejecución de código en remoto, de las cuales algunas podían permitir a un atacante hasta tomar el control completo del sistema. Los parches contra las 60 vulnerabilidades han venido acompañados de parches contra 39 fallos de software importantes (fallos de mal funcionamiento, no de seguridad). A continuación mencionaremos algunos de los fallos de seguridad más importantes.

Corrupción de memoria en Internet Explorer (CVE-2018-8373)

Se trata de una vulnerabilidad crítica de ejecución de código en remoto que fue mostrada por Trend Micro el pasado mes y que afectaba a las versiones de Internet Explorer 9, 10 y 11 en todos los sistemas operativos Windows soportados.

Las versiones de Internet Explorer mencionadas son vulnerables ante una corrupción de memoria que podía permitir a atacantes remotos tomar el control total del sistema, teniendo antes que convencer a la potencial víctima para que abriera una página web específicamente diseñada.

Ejecución de código en remoto que afectaba a Windows Shell (CVE-2018-8414)

Se trata de un fallo explotado activamente que afectaba a Windows Shell y era explotada mediante la validación incorrecta de las rutas de un fichero. Mediante el engaño, se podía hacer que la potencial víctima ejecutara un fichero específicamente diseñado con código arbitrario en su interior, el cual podía llegar a través de medios como un correo electrónico o una página web.

Ejecución de código en remoto en Microsoft SQL Server (CVE-2018-8273)

Las versiones 2016 y 2017 de SQL Server son vulnerables ante una vulnerabilidad de desbordamiento de buffer que podía ser explotada de forma remota para ejecutar código arbitrario en el contexto la cuenta perteneciente al servicio SQL Server Database Engine. Requiere que el atacante remoto envía una consulta específicamente diseñada a un servicio SQL Server vulnerable.

Vulnerabilidad de ejecución de código en remoto de los Gráficos de Microsoft (Microsoft Graphics) (CVE-2018-8344)

Microsoft ha mostrado que la biblioteca de fuentes de Windows maneja incorrectamente fuentes incrustadas específicamente diseñadas, las cuales podían permitir a los atacantes tomar el control del sistema afectado mediante el envío de fuentes maliciosas incrustadas en una página web o un documento. Las versiones 10, 8.1 y 7 de Windows, además de las 2016 y 2012 de Windows Server, se han visto afectadas por este problema.

Fuente: The Hacker News

por Eduardo Medina Wed, 15 Aug 2018 17:15:18 +0000

Intel reconoce la existencia de otras tres vulnerabilidades que afectan a sus CPU

Decir que 2018 será un año infernal para Intel es algo que no empieza a ser exagerado. Tras destaparse las primeras vulnerabilidades relacionadas con Metldown y Spectre, el gigante del chip está pasando posiblemente uno de los peores momento de su historia, y es que a pesar de que muchos de los problemas hallados en las CPU también afectan a ARM, AMD y PowerPC, Intel está siendo, al menos de momento, la marca que peor parada está saliendo, algo que a nivel comercial podría estar siendo aprovechado por la competencia y que la ha forzado a realizar bastantes cambios para intentar minimizar el perjuicio a su imagen en lo máximo posible.

De la mano de nuestros compañeros de MuyComputerPRO nos hacemos eco del descubrimiento de tres nuevas vulnerabilidades que afectan a las CPU de Intel, las cuales se han hecho públicas a través del blog oficial de la propia compañía y que han recibido el nombre genérico de Foreshadow o L1 Terminal Fault (L1TF), debido a que implican la extracción de información almacenada en la caché de nivel 1 (L1) de la CPU.

A la vez que Intel hacía públicas las vulnerabilidades, ha asegurado que parte de la solución para estas ya está disponible a través de varias actualizaciones en la versión del microcódigo que publicó el pasado mes de marzo. Esto, unido a actualizaciones presentes y futuras desde diversos frentes (desarrolladores de sistemas operativos, kernels, drivers… ), tendrían que ofrecer un parcheo completo para dejar al usuario y al sistema fuera de peligro. Con el fin de tranquilizar todavía más a sus clientes actuales y futuros, la compañía ha anunciado que incluirá cambios en el silicio para que las vulnerabilidades no se reproduzcan en futuras generaciones de CPU.

Las tres vulnerabilidades afectan a una gran cantidad de procesadores Core y Xeon, los cuales son utilizados en millones de equipos tanto de escritorio como servidores. Por otro lado, y según la propia Intel, no se tiene constancia de que ninguna de estas haya sido explotada de forma activa por parte de hackers y cibercriminales, aunque sí recalcan que “esto pone de manifiesto la necesidad de que todo el mundo ponga en práctica las mejores prácticas de seguridad.”

De momento no se tiene constancia de que las CPU de AMD y ARM estén afectadas por las vulnerabilidades de L1 Terminal Fault.

por Eduardo Medina Wed, 15 Aug 2018 15:31:55 +0000

Un fallo en macOS High Sierra permite realizar una pulsación sintética del ratón

El popular hacker blanco y director de investigación de Digita Security, Patrick Wardle, ha descubierto una vulnerabilidad zero-day que podría permitir a los atacantes imitar los clics del ratón para obtener acceso al kernel en el sistema operativo macOS High Sierra.

Wardle ha presentado su descubrimiento en la conferencia sobre cibeserguridad DEF CON que se ha celebrado en la ciudad estadounidense de Las Vegas, donde ha explicado que utilizando dos líneas de código ha encontrado una vulnerabilidad zero-day en macOS High Sierra que podría permitir a un atacante local hacer clic sobre un aviso de seguridad para luego cargar una extensión del kernel, pudiendo de esta manera comprometer el sistema completo.

Apple tomó en el pasado medidas contra la posibilidad de que se imiten los clics del ratón mediante la implementación avisos de seguridad que se muestran al usuario cuando se intenta llevar a cabo tareas que pueden poner en riesgo el sistema. Sin embargo, Wardle ha conseguido saltarse dichas medidas a través la explotación del fallo que ha descubierto. Para llevar con éxito el ataque, ha demostrado ante el público que un atacante local con altos privilegios podría apoyarse en vulnerabilidades presentes en extensiones del kernel de terceros para saltarse los requisitos de firma de código del kernel de High Sierra.

El gigante de Cupertino ya ha reaccionado ante los fallos descubiertos por Wardle implementando en las siguientes versiones de macOS una nueva característica de seguridad llamada “Carga de la extensión del kernel asistida por el usuario” (User Assisted Kernel Extension Loading), la cual fuerza a los usuarios a tener que aprobar manualmente la carga de cualquier extensión del kernel mediante la pulsación sobre el botón Permitir en la interfaz gráfica correspondiente a los ajustes de seguridad. A esto se añaden mitigaciones adicionales para evitar los eventos de ratón sintéticos (como hacer clic con el botón principal del ratón).

La base del fallo está en que macOS High Sierra interpreta dos eventos sintéticos consecutivos de pulsación del ratón como si fuesen una aprobación manual, ya que el primer evento es interpretado como una pulsación y el segundo como un levantamiento del dedo. Esto fue descubierto por Wardle de forma accidental, mientras copiaba y pegaba sin querer por dos veces el código para realizar una pulsación de ratón. Según el investigador, el fallo solo afectaba a High Sierra debido a la implementación de la Carga de la extensión del kernel asistida por el usuario en versiones posteriores del sistema operativo de Apple.

No es la primera vez que se detecta un serio problema de seguridad en High Sierra, ya que en noviembre del año pasado un investigador descubrió que dicha versión de macOS permitía el acceso como administrador sin necesidad de introducir una contraseña, incluso en caso de estar establecida.

Fuente: Security Affairs

por Eduardo Medina Tue, 14 Aug 2018 15:57:43 +0000

Las aplicaciones preinstaladas en Android son una gran fuente de riesgo para los usuarios

Uno de los frentes que se tiene menos en cuenta en las computadoras que se compran, ya sean PC Intel o AMD, smartphones, o tablets, son las aplicaciones y programas que vienen preinstalados, los cuales en la mayoría de las ocasiones terminan siendo inútiles para unos usuarios que suelen preferir las soluciones de Google, Microsoft y las aplicaciones oficiales.

El hecho de que no se tengan muy en cuenta a esas aplicaciones y programas poco útiles los termina volviendo un objetivo tentador y hasta fácil para los cibercriminales, o eso es al menos lo que han expuesto los investigadores de la empresa de ciberseguridad móvil Kryptowire en la conferencia DEF CON que se está celebrando en la ciudad estadounidense de Las Vegas.

Los investigadores han mostrado los detalles de 47 vulnerabilidades diferentes en 25 dispositivos halladas tanto en los firmware como en las aplicaciones que vienen por defecto. Hay que tener en cuenta que la mayoría de las veces las aplicaciones preinstaladas resultan imposibles de desinstalar a menos que se habilite la cuenta de root (administrador de Linux) en Android, algo que expone al usuario a todavía más riesgos. La vulnerabilidades abren la puerta a realizar acciones como espiar al usuario o restablecer la configuración de fábrica, por lo que millones de dispositivos están en riesgo de recibir un ciberataque con desastrosas consecuencias.

Al menos 11 de los smartphones mencionados por Kryptowire son fabricados por conocidas compañías como ASUS, ZTE, LG y Essential Phone, y han llegado a ser distribuidos en Estados Unidos de la mano de operadoras como Verizon y AT&T. Otras marcas afectadas son Vivo, Sony, Nokia, and Oppo, Sky, Leagoo, Plum, Orbic, MXQ, Doogee, Coolpad y Alcatel.

Algunas de las vulnerabilidades descubiertas permiten a los atacantes ejecutar órdenes arbitrarias como si fuesen el usuario legítimo del sistema, bloquear usuarios en sus propios dispositivos, acceder al micrófono y a las cámaras, además de poder leer, borrar y en algunos casos hasta modificar los datos almacenados sin conocimiento del usuario legítimo, abarcando correos electrónicos y mensajes de texto. Poniendo un ejemplo específico, el ASUS ZenFone V podría abrir la puerta a que un hacker tomara el control total sobre el sistema operativo, pudiendo realizar hasta llamadas telefónicas.

Kryptowire ha sido bastante clara a la hora de exponer las conclusiones de su investigación, que fue financiada por el Departamento de Seguridad Interior de Estados Unidos, diciendo que las vulnerabilidades derivan en buena medida de la libertad que ha otorgado Google a los fabricantes y a la naturaleza abierta de Android, que permite a terceros introducir su software de forma preinstalada en los dispositivos.

El hecho de que no sea el propio Android el que esté afectado hace que Google no pueda hacer gran cosa para solucionar todo esos problemas de seguridad, que en su mayoría son responsabilidad de los fabricantes. Por otro lado, que el software preinstalado termine provocando problemas de seguridad no es algo nuevo, ya que problemas parecidos han afectado a los usuarios de Windows a lo largo de la historia, siendo especialmente sonado el caso de Superfish, que le ha costado a Lenovo la supervisión por parte de un tercero de la seguridad de su software durante un periodo de 20 años.

Para no depender del fabricante, los usuarios de Android pueden recurrir a alguna ROM bien soportada como LineageOS.

Fuente: The Hacker News

por Eduardo Medina Mon, 13 Aug 2018 15:14:43 +0000

La Inteligencia Artificial lleva al malware a nuevas cotas de peligrosidad

La Inteligencia Artificial es un campo que ha experimentado una fuerte expansión en los últimos tiempos, siendo aplicado a cada vez más áreas. Al igual que otros muchos campos de la computación, es como un cuchillo, por lo que depende de la persona que la utiliza el hecho de que sirva para buenos o malos fines.

El potencial de la Inteligencia Artificial es enorme y sus límites desconocidos, por lo que algunas personalidades como Elon Musk han advertido de los riegos que podría correr la humanidad en caso no regularla para evitar la creación de computadoras y robots destinados ser utilizados como armas de destrucción masiva. De hecho, cada vez menos personas dudan de la futura existencia de “terminators” y “skynets” ante el avance combinado de unos robots que van ganando en agilidad y el de la Inteligencia Artificial. Pero los potenciales “terminators” y “skynets” no son los únicos peligros, ya que esta también puede ser utilizada para crear o potenciar malware o herramientas de ataque.

Investigadores de IBM Research han desarrollado una herramienta de ataque “altamente dirigida y evasiva” apoyada en Inteligencia Artificial, a la que han decidido llamar DeepLocker y tiene como principal función principal la posibilidad de ocultar su intención maliciosa hasta que un objetivo específico haya sido infectado. Los investigadores de la multinacional han dicho que la han desarrollado “para comprender mejor cómo varios modelos de IA existentes se pueden combinar con las técnicas de malware actuales para crear una nueva clase de malware especialmente desafiante.”

Para realizar correctamente su función, DeepLocker es capaz de de evitar su detección y activarse él mismo cuando se den una serie de condiciones específicas. La Inteligencia Artificial abre las puertas a una gran cantidad de nuevas posibilidades dentro del malware, sobre todo cuando se trata de estados que buscan lanzar ataques sofisticados contra objetivos muy concretos. Por ejemplo, en el caso que nos ocupa, podría ocultarse y seleccionar el objetivo según reconocimiento de voz o facial, geololización o apoyándose en otras funciones del sistema. Profundizando en sus capacidad, IBM ha dicho lo siguiente:

Lo que es único acerca de DeepLocker es que el uso de la Inteligencia Artificial hace que las “condiciones de activación” para desbloquear el ataque sean casi imposibles de realizar con ingeniería inversa. La carga útil maliciosa solo se desbloqueará si se alcanza el objetivo deseado, algo que logra utilizando un modelo de Red Neuronal Profunda de Inteligencia Artificial.

Los investigadores han mostrado una prueba de concepto en la que se ve cómo el peligroso ransomware WannaCry quedaba camuflado por DeepLocker (cuyo nombre traducido sería bloqueado profundo) dentro una aplicación benigna de videoconferencias para que no fuera detectado por las herramientas de análisis de malware, incluyendo motores de antimalware y soluciones de sandbox. En cuanto se den las condiciones desencadenantes, como por ejemplo el reconocer la cara de una persona concreta, DeepLocker pasaría a desbloquear WannaCry, que entraría en acción para provocar sus habituales grandes daños.

Por lo que se puede ver, la Inteligencia Artificial podría poner en aprietos a las soluciones de protección disponibles ahora en el mercado, gracias a que puede hacer que malware potente pase desapercibido mediante su bloqueo dentro de aplicaciones aparentemente legítimas, y esto es solo una demostración del potencial que podría alcanzar.

Fuente: Security Affairs

por Eduardo Medina Fri, 10 Aug 2018 15:41:26 +0000

Consiguen suplantar mensajes y personas en los grupos de WhatsApp

El popular servicio de mensajería WhatsApp tiene varios fallos que podrían permitir a usuarios maliciosos interceptar y modificar los contenidos de los mensajes enviados, tanto de forma privada como en conversaciones en grupo.

Los fallos, que han sido descubiertos por la compañía israelí de ciberseguridad Check Point, se aprovechan de un agujero en los protocolos de seguridad de WhatsApp para cambiar contenidos de los mensajes, abriendo así la puerta al esparcimiento de mensajes destinados a desinformar y de falsas noticias, los cuales pueden ser presentados como procedentes de fuentes confiables.

Los fallos residen en la manera en que la aplicación para móviles de WhatsApp se conecta a WhatsApp Web y descifra los mensajes cifrados de extremo a extremo utilizando el protocolo protobuf2. Los hackers podrían utilizar la función de citar en una conversación grupal de para cambiar la identidad del remitente o alterar el contenido de la respuesta de otra persona, además de enviar mensajes privados a uno de los participantes del grupo que se hacen pasar por grupales pero que solo puede ser vistos por uno de los miembros.

Es importante tener en cuenta que el cifrado extremo a extremo impide que terceros puedan interceptar los mensajes y modificarlos, así que los fallos solo pueden explotados por usuarios malintencionados que ya formen parte de la conversación en grupo. Los investigadores, para demostrar su descubrimiento, han creado una extensión personalizada para el popular software de seguridad de aplicaciones web Burp Site, permitiéndoles interceptar y modificar de forma fácil los mensajes cifrados enviados y recibidos en WhatsApp Web.

La herramienta para realizar el ataque ha recibido el nombre de “WhatsApp Protocol Decryption Burp Tool” y su código está disponible en GitHub. Para llevarlo a cabo, primero el atacante tiene que ingresar sus claves privadas y públicas, las cuales pueden ser obtenidas fácilmente desde la fase de generación de claves de WhatsApp Web, antes de la generación del código QR.

Mediante la explotación de los fallos descubiertos se pueden realizar los siguientes tres ataques:

  1. Utilizando la extensión de Burp Suite, un usuario de WhatsApp malicioso puede alterar el contenido de la respuesta de alguien, sobre todo pudiendo poner palabras que realmente no ha escrito.
  2. Permitir que un usuario malicioso en un grupo de WhatsApp pueda explotar la característica de citar en una conversación, pudiendo suplantar una respuesta para hacerse pasar por otro miembro del grupo o por alguien que ni siquiera está dentro.
  3. Permitir que un usuario malicioso en grupo de WhatsApp pueda enviar un mensajes específicamente diseñados que solo una persona específica pueda leer. Si la la potencial víctima responde, solo el contenido generado por esta última parte será mostrado.

Facebook y WhatsApp han respondido ante los reportes de Check Point que los fallos no rompen el cifrado extremo a extremo utilizado por el servicio de mensajería, algo a lo que han añadido la disposición de una opción para bloquear a emisores que mandan mensajes falsos que pueden resultar problemáticos, pudiendo además acabar esos emisores maliciosos reportados ante los encargados del servicio, así que en un principio no harán nada por subsanarlos.

Otro argumento esgrimido es que “este es un caso límite conocido que se relaciona con el hecho de que no almacenamos mensajes en nuestros servidores y no tenemos una única fuente de la verdad para esos mensajes.”

¿Intentará algo WhatsApp para al menos mitigar estos errores? Las respuestas ofrecidas por los encargados del servicio no parecen en un principio muy convincentes, y a esto hay que añadir el hecho de que su matriz, Facebook, está atravesando una importante crisis a nivel de credibilidad que la pone en el punto de mira ante el más mínimo fallo.

Fuente: The Hacker News

por Eduardo Medina Thu, 09 Aug 2018 17:00:56 +0000

Descubren ejecutables maliciosos contra Windows en instaladores de Android

Un informe publicado por Palo Alto Networks muestra que al menos 145 aplicaciones publicadas en la Play Store contienen malware contra Windows. Sí, habéis leído bien. Los instaladores APK que incluían el malware contra el sistema de Microsoft han estado aproximadamente medio año en el tienda de Google.

Algunas de las aplicaciones maliciosas fueron descargadas más de 1.000 veces e incluso llegaron a tener una puntuación de 4 estrellas, lo que podía servir a otros usuarios como incentivo para descargarlas y así ampliar el número de víctimas. Los instaladores APK, curiosamente, no dañaban Android, sino que incluían Ejecutables Portables (PE) que podían crear otros ejecutables y ficheros ocultos en las carpetas de sistema de Windows, realizar cambios en el registro del mencionado sistema que entran en acción en el arranque y conectarse a direcciones IP específicas para posiblemente recibir órdenes de algún servidor de mando y control.

Los PE maliciosos no se ejecutan directamente en Android, pero si el instalador “APK es desempaquetado en Windows y los ficheros PE son ejecutados de forma accidental, los desarrolladores emiten software basado en Windows o en caso de acabar infectados por ficheros maliciosos ejecutables en plataformas Android, la situación empeorará.”

No es fácil saber a cuántos usuarios han impactado los instaladores APK maliciosos debido a que la inmensa mayoría solo los habrá ejecutado sobre dispositivos Android, por lo que se puede decir que el método de infección no está hecho para impactar sobre un gran número de usuarios.

Lo expuesto en el párrafo anterior deja entrever que posiblemente el malware haya sido incluido inconscientemente. Dicho de otra forma, que los desarrolladores de esas aplicaciones no eran conscientes de que sus computadoras estaban infectadas por un malware que ha podido acabar o reproducirse en los APK que generaban.

Nada más ser avisada por Palo Alto Networks, Google eliminó de la Play Store todas las aplicaciones con los PE descubiertos por la empresa de ciberseguridad.

Fuente: Softpedia

por Eduardo Medina Thu, 09 Aug 2018 09:58:52 +0000