Bienvenido a Indetectables.net

Cada mes aparecen 1,4 millones de sitios web falsos que realizan phishing

Según informe publicado por Webroot, en lo que llevamos de año se han creado cada mes 1,4 millones de sitios web falsos que realizan phishing. Esto muestra que este método de ataque para robar datos ha sido efectivo con el paso del tiempo, ya que el número de sitio web falsos detectados es considerable.

El mes en el que se han registrado más sitios web de phishing fue mayo, con un total de 2,3 millones. El informe recalca la cada vez mayor sofisticación de los ataques de phishing, algo de lo que hemos informado en anteriores ocasiones en MuySeguridad. Los sitios web falsos son cada vez más difíciles de detectar, ya que los ciberdelincuentes han ido cubriendo cada vez más flecos en sus creaciones, siendo las falsificaciones cada vez más conseguidas y más difíciles de distinguir del contenido original y legal.

Sin embargo, un punto importante que recalca Webroot es la fugacidad de los sitios web creados para realizar ataques de phishing, los cuales solo están activos entre cuatro y ocho horas la mayoría de las veces. Este método de proceder es utilizado con el fin de evitar su rastreo y el acabar en listas negras, que obviamente permitirían a un navegador web bloquear la falsificación antes de que el usuario acceda.

Los sitios web más falsificados, como no podía ser de otra forma, son los más populares, pudiéndose mencionar a Google, Chase, Dropbox, PayPal y Facebook. Los engaños llegan a costar a las empresas estadounidenses unos 500 millones de dólares al año.

Para Webroot, la mejor forma de combatir el phishing por parte de la industria de la ciberseguridad sería adoptando una combinación de educación del usuario y protección organizacional con inteligencia en tiempo real para estar por delante del cambiante escenario de amenazas.”

Fuente: ItProPortal

por Eduardo Medina Fri, 22 Sep 2017 11:26:58 +0000

Descubren esparcimiento de malware usando la puerta trasera de CCleaner

La conocida herramienta de limpieza para Windows CCleaner dio hace unos días uno de los sustos del año al conseguir un grupo de hackers introducir una puerta trasera que podía ser utilizada para instalar malware, keyloggers y ransomware. El hecho de que Windows suela funcionar con privilegios de administrador ayuda bastante a los actores maliciosos.

Tras ser reportado, los desarrolladores de CCleaner lanzaron de forma de rápida una versión parcheada de la aplicación y los investigadores que descubrieron las versiones troyanizadas descartaron un segundo escenario, sin embargo, esto último ha sido refutado hace poco, ya que investigadores de Talos Group, perteneciente a Cisco, han encontrado evidencias de una carga útil hallada en el fichero GeeSetup_x86.dll, que fue enviado a listas específicas de computadoras basadas en nombres de dominios locales.

La lista predefinida fue hallada en el servidor de mando y control de los desarrolladores de la puerta trasera introducida en CCleaner, y estaba diseñada para encontrar computadoras conectadas a redes pertenecientes a grandes empresas de tecnología, las cuales serían el objetivo de esta carga útil. Las empresas objetivo eran las siguientes:

  • Google
  • Microsoft
  • Cisco
  • Intel
  • Samsung
  • Sony
  • HTC
  • Linksys
  • D-Link
  • Akamai
  • VMware

En la base de datos del servidor de mando y control se han encontrado a cerca de 700.000 ordenadores en las cuales se ha conseguido instalar la puerta trasera y al menos 20 (unidades) que fueron infectadas con la carga útil.

Las 20 computadoras infectadas con la carga útil fueron halladas utilizando nombre de dominio, dirección IP y nombre de host. Esto ha llevado a los investigadores de Talos Group a llegar a la conclusión de que podría tratarse de un malware creado para propósitos de espionaje industrial.

Un grupo de hackers chino podría estar detrás del ataque

La compañía de ciberseguridad Kaspersky Lab ha señalado que el autor de la puerta trasera y la carga útil sería un experto grupo de hackers chino llamado Axiom, que también habría actuado bajo nombres como APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx y AuroraPanda. Esa es la conclusión a la que ha llegado tras encontrar en el malware distribuido mediante CCleaner código utilizado por el mencionado grupo.

Los investigadores de Cisco han encontrado un fichero de configuración en el servidor de los atacantes que establecía un horario perteneciente a una zona de China. Aunque esto no resulta en sí mismo concluyente para determinar que Axiom estuviera detrás de toda esta operación maliciosa, podría ser interpretado como una evidencia. Por otro lado, han notificado a las compañías afectadas nada más realizar su descubrimiento.

La carga útil no se elimina actualizando CCleaner

La puerta trasera podía ser eliminada mediante la actualización de la aplicación, pero no se puede decir lo mismo la carga útil, la cual solo puede ser eliminada mediante el uso de un antimalware o bien restaurando imágenes previas del sistema pertenecientes a un algún momento anterior a la instalación de la carga útil.

Fuente: The Hacker News

por Eduardo Medina Thu, 21 Sep 2017 14:25:37 +0000

HTTP Apache

El investigador en seguridad Hanno Böck ha detallado el último lunes un problema de seguridad al que ha decidido llamar Optionsbleed, debido a que ciertas configuraciones en el servidor HTTP Apache pueden provocar una filtración de los datos alojados en la memoria.

La vulnerabilidad tiene ciertas similitudes con el conocido y dramático Heartbleed, sobre todo en la manera en que los atacantes pueden realizar peticiones a los servidores para engañar al servidor Apache con el fin de obtener como respuesta más datos de los que les corresponde desde su posición.

Böck explica que Optionsbleed no es tan grave como Heartebleed porque solo filtra contenidos procesados por el servidor Apache y no contenidos de todo tipo alojados en la memoria de la máquina, incluyendo el sistema operativo y otros programas y aplicaciones. Esto significa que la filtración de datos está limitada a lo que Apache procesa, destacando las páginas web muy por encima del resto. Sin embargo, esto no significa que la vulnerabilidad sea inocua, ya que sí se podría filtrar contenidos de páginas reservadas solo a usuarios autenticados.

Básicamente, los servidores HTTP se dedican a servir datos que tienen alojados según las peticiones realizadas por los clientes, que principalmente son navegadores web. Los clientes suelen realizar peticiones de tipo GET o POST y esperan obtener una respuesta de los servidores. Sin embargo, Apache es capaz de procesar otros tipos de peticiones a través de sus “métodos”, pudiéndose mencionar PUT, PATCH, HEAD, etc. Estos métodos han sido añadidos a Apache con el paso de los años y no están soportados por todos sus competidores. Además, los administradores de servidores también bloquean el acceso a algunos de esos métodos.

Con el fin de no convertir las peticiones a los servidores en un agujero negro, Apache es capaz de soportar los métodos a modo de opción. Un cliente puede consultar al servidor con una petición de opciones y el servidor responde qué métodos tiene permitidos.

Böck ha llevado a cabo pruebas con los tipos de opciones manejados por los servidores de sitios web correspondientes al millón más visitado según el ránking Alexa, descubriendo que 466 nodos emitieron una respuesta distorsionada respondiendo a un formato similar al siguiente:

Allow: ,GET,,,POST,OPTIONS,HEAD,,
Allow: POST,OPTIONS,,HEAD,:09:44 GMT
Allow: GET,HEAD,OPTIONS,,HEAD,,HEAD,,HEAD,, HEAD,,HEAD,,HEAD,,HEAD,POST,,HEAD,, HEAD,!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"
Allow: GET,HEAD,OPTIONS,=write HTTP/1.0,HEAD,,HEAD,POST,,HEAD,TRACE

En las opciones permitidas (Allow) se pueden ver porciones aleatorias que parecen pertenecientes a páginas web, lo que puede ser interpretado como una filtración de código. Böck no ha sido capaz de hallar el origen exacto del fallo, por lo que ha decidido reportar lo que tiene al equipo de seguridad de Apache.

Todo parece indicar que el origen está en ciertas configuraciones del servidor Apache que terminan provocando Optionsbleed, por lo que no estamos ante un problema generalizado ni especialmente extendido. De hecho, parece que el origen viene de una configuración errónea del fichero .htaccess:

< Limits PATCH PUT DELETE >
 Deny from all
< /Limits >

Los ficheros .htaccess pueden ser colocados dentro de las carpetas de un servidor Apache para establecerles normas concretas. Esto permite a los administradores de los servidores limitar las opciones que pueden ser solicitadas por los clientes. Sin embargo, parece que el establecer normas contradictorias en un fichero .htaccess puede terminar confundiendo al servidor, provocando la vulnerabilidad Optionsbleed, que puede ser etiquetada como de usar después de liberar memoria.

Optionsbleed no fue descubierto por Böck, sino que ha tomado como referencia un informe que lo describía en 2014 publicado por investigadores Old Dominion University, en Estados Unidos. Después de tres años, desde Apache solo han lanzado parches para las ramas 2.4.X y 2.2.X.

Los servidores Apache que están funcionando en entornos compartidos, en los cuales se pueden encontrar diferentes implementaciones del fichero .htaccess en una misma máquina, son los más afectados por Optionsbleed.

Fuente: BleepingComputer

por Eduardo Medina Wed, 20 Sep 2017 13:44:14 +0000

Un popular antivirus chino para Android, DU Antivirus Security, ha estado recolectando datos de forma ilegítima

Un popular antivirus chino presente en la Play Store para Android, DU Antivirus Security, ha sido eliminado y restituido por Google tras detectar Check Point que estaba realizando una recolección de datos ilegítima.

Según los datos que se pueden extraer de la propia Play Store, DU Antivirus Security ha sido descargado entre 10 y 50 millones de veces, por lo que estamos hablando de una aplicación que ha conseguido cierta notoriedad en su segmento. Sin embargo, los investigadores de Check Point descubrieron que, además de presuntamente proteger los dispositivos Android del malware, ha estado recolectando datos como identificadores únicos, lista de contactos, registros de llamadas e información de localización.

En el proceso de recolección de datos DU Antivirus Security los cifraba y los enviaba a un servidor cuya IP era 47.88.174.218. Al principio los investigadores pensaron que pertenecía al autor de algún malware, pero tras investigar descubrieron que los registros de DNS y los subdominios adyacentes mostraban que los dominios principales estaban almacenados en un servidor registrado por un empleado de Baidu (el “Google chino”) llamado Zhan Liang Liu.

Los datos recolectados eran luego usados en otra aplicación llamada “Caller ID & Call Block – DU Caller”, la cual también pertenece a DU Group y ofrece información a los usuarios sobre las llamadas de entrada.

Tras ser notificada de forma secreta por Check Point, Google decidió eliminar DU Antivirus Security el 21 de agosto, aunque permitió que volviera el 24 del mismo mes después de que su desarrollador eliminase el código encargado de recolectar la información de los usuarios. Como defensa de su acción, Google ha argumentado que aquel mecanismo no estaba especificado en la política de privacidad ni en la obtención de permisos del usuario en el proceso de instalación. Las versiones afectadas de la aplicación son la v3.1.5 y posiblemente las anteriores, según Check Point.

Sin embargo, el mecanismo de recolección ilegítima hallado en DU Antivirus Security no termina ahí, ya que este ha sido encontrado en otras 30 aplicaciones, de las cuales 12 están o estaban presentes en la Play Store. Según la estadísticas de la tienda de Google, han sido descargadas entre 24 y 89 millones de veces, lo que delata el gran impacto de este software, que puede ser etiquetado como malware.

Check Point ha publicado una lista de las aplicaciones encontradas en la Play Store que utilizan el mecanismo de recolección de datos ilegítimo junto a las que está fuera de la tienda.

Aplicaciones halladas en la Play Store:

Aplicaciones encontradas en la Play Store que incluían el mecanismo de recolección de datos ilegítimo de DU Antivirus Security

Aplicaciones halladas fuera de la Play Store:

  • com.power.core.setting
  • com.friendivity.biohazard.mobo
  • com.energyprotector.tool
  • com.power.core.message
  • batterysaver.cleaner.speedbooster.taskkiller.phonecooler
  • com.rammanager.pro
  • com.memoryanalysis.speedbooster
  • com.whosthat.callerid
  • speedbooster.memorycleaner.phonecleaner.phonecooler
  • com.example.demos
  • com.android.fb
  • antivirus.mobilesecurity.antivirusfree.antivirusandroid
  • speedtest.networksecurity.internetbooster
  • com.ramreleaser.speedbooster
  • com.dianxinos.optimizer.duplay
  • com.coolkeeper.instacooler
  • com.memoryreleaser.booster
  • com.freepopularhotvideo.hotube

Fuente: BleepingComputer

por Eduardo Medina Tue, 19 Sep 2017 11:39:42 +0000

Vevo es hackeado y se filtran 3,12 terabytes de datos

Vevo, posiblemente la plataforma de vídeos musicales más popular del mundo, ha sido hackeada con graves consecuencias.

Muy posiblemente te hayas topado decenas de veces con vídeos de Vevo mientras buscabas material de tus grupos favoritos en YouTube. Además del portal de Google, Vevo también cuenta con su propio sitio web y sus propias aplicaciones para móviles.

Actualmente los grupos musicales más famosos del mundo publican sus vídeos a través de Vevo, siendo una empresa impulsada por Warner Music Group, Sony Music Entertainment, Univeral Music Group, Alphabet Inc. (matriz de Google) y Abu Dhabi Media. En lo que llevamos de año ha conseguido 200 millones de dólares a través de ingresos publicitarios y el hecho de contar con artistas tan populares como Taylor Swift, Beyoncé y Rihanna ayuda a su buen rendimiento económico.

Sin embargo, y según ha confirmado la propia plataforma a Gizmodo, Vevo ha recibido un ciberataque que se inició a través de un ataque de phishing vía LinkedIn, la famosa red social para profesional actualmente propiedad de Microsoft.

Ha sido el conocido grupo hacker OurMind el que ha salido reconociendo la autoría del ataque. Al parecer, consiguió comprometer la cuenta de un empleado de Vevo para Okta, una aplicación utilizada para iniciar sesión en redes de trabajo, pudiendo desde ahí obtener acceso a los servidores de almacenamiento de la plataforma de vídeos musicales.

En total se habrían filtrado un total de 3,12 terabyes de datos, incluyendo vídeos, documentos internos de oficina, material promocional, contenido de social media planificado para ser usado en el futuro e información sobre registros de artistas que han firmado su participación con empresas de grabación.

Parece que las intenciones de OurMind eran, sobre todo, la de llamar la atención, promocionarse a sí mismo y demostrar la pobre seguridad utilizada por su víctima. Tras un fuerte intercambio de palabras, el grupo de hackers habría decidido filtrar los datos obtenidos. Sin embargo, poco tiempo después fue publicado en el sitio web de OurMind la frase “hemos borrados los ficheros debido a una petición de Vevo.”

¿Habrá eliminado OurMind de verdad el material? No hay que olvidar la gran fuerza del lobby en favor de los derechos de autor y que Vevo cuenta con el respaldo de gigantes que no andan escasos de medios.

Intercambio de palabras entre OurMind y la víctima empleada de Vevo

Sitio web de OurMind indicando que ha borrado el material que ha conseguido filtrar de Vevo

Fuente: Naked Security

por Eduardo Medina Mon, 18 Sep 2017 10:51:05 +0000

ESET avisa de un código JavaScript malicioso usado para minado de criptodivisas

Los investigadores de ESET, la mayor empresa de ciberseguridad con sede en la Unión Europea, han descubierto que los ciberdelincuentes están usando código JavaScript malicioso para utilizar el navegador web de la víctima para el minado de criptodivisas.

El hecho de que la ejecución de JavaScript esté habilitada por defecto en la mayoría de los navegadores web facilita mucho a los cibercriminales la tarea de esparcimiento del malware. Apoyándose sobre todo sitios web de streaming de vídeo y de juegos online e impactando sobre todo en Rusia, Ucrania, Bielorrusia, Moldavia y Kazajistán, el programa JavaScript malicioso se encarga de minar, sobre todo, las criptodivisas Feathercoin, Litecoin y Monero.

El apoyarse en portales de vídeo y juegos no es algo que los cibercrminales hayan elegido al azar, ya que estos son susceptibles de mantener al usuario conectado durante mayores cantidades de tiempo, lo que se traduce en un periodo más prolongado de la ejecución del programa de minado en JavaScript. Esta estrategia también tiene otro motivo, y es que un código JavaScript es más lento en su ejecución que un programa realizado con una tecnología que trabaje a más bajo nivel.

Ante la cada vez mayor frecuencia de este tipo de ataques, algunos estados han legislado poniendo el minado no consentido de critpodivisas al mismo nivel que acceder sin permiso al dispositivo de un usuario, así que los portales que hacen uso de un código JavaScript para minar están obligados a alertar al usuario de forma previa y clara. De no cumplir con la ley, se aplicará como castigo la misma legislación que en caso de usar malvertising.

¿Qué se puede hacer para evitar que el uso involuntario de nuestro ordenador o dispositivo móvil para el minado de criptodivisas? ESET recomienda seguir los siguientes pasos:

  • Activar la detección de aplicaciones potencialmente peligrosas y no deseadas en la solución de seguridad instalada.
  • Mantener el software de seguridad actualizado, así como los navegadores web.
  • Instalar bloqueadores de publicidad en los navegadores utilizados.
  • Instalar bloqueadores de scripts, aunque esto puede provocar que falle el funcionamiento de sitios web legítimos.

Por último, es importante tener en cuenta que al estar apoyado en JavaScript el programa malicioso puede ser ejecutado independientemente del sistema operativo utilizado, abarcando todo tipo de dispositivos.

por Eduardo Medina Fri, 15 Sep 2017 11:39:46 +0000

ciberseguridad

Que la seguridad es un elemento a tener muy en cuenta en cualquier empresa que cuente con una infraestructura tecnológica es, a estas alturas, una obviedad. Lo que no es tan obvio ni mucho menos es saber a qué tipo de amenazas nos enfrentamos a cada momento, y lo que resulta especialmente complejo es saber por dónde se pueden “colar” los delincuentes en nuestros sistemas. Y es que, ya lo hemos contado en muchas ocasiones: los ciberdelincuentes invierten tiempo, dinero y esfuerzos en encontrar nuevas vías con las que poner en riesgo nuestros bienes y cometer sus fechorías.

¿Y qué podemos hacer para prevenir ese riesgo? Mantener siempre una estricta supervisión sobre todos los elementos, tanto internos como externos, de los que depende nuestra infraestructura, asegurándonos así que no hay amenazas en el interior, y de que no estamos sufriendo ataques externos que puedan afectar a los servicios que ofrecemos a clientes, nuestros propios empleados, etcétera. Pero esto tampoco es sencillo, una buena auditoría de seguridad requiere de mucho tiempo, conocimientos y recursos que, en la mayoría de ocasiones, puede no estar a nuestro alcance, si es que deseamos gestionarlo todo nosotros mismos.

Sin embargo, que no podamos asumirlo no significa que tengamos que renunciar a la seguridad que nos ofrece auditar nuestros recursos digitales, pues para tal fin podemos contar con los servicios ofrecidos por Derten quien, de la mano de HP, ofrece un completo catálogo de soluciones relacionadas con la auditoría de seguridad de nuestras empresas, adaptándose a nuestras necesidades concretas y permitiendo que podamos concentrarnos en solucionar los posibles problemas concretos a los que nos enfrentamos.

Además, ahora Derten te regala una auditoría GRATUITA de una IP externa para  comprobar, de forma rápida y cómoda, si tu empresa tiene alguna vulnerabilidad que pueda afectarle gravemente.

¿En qué consiste una auditoría de seguridad?

Servicios de auditoría como los de Derten y HP Services Computing distinguen entre dos áreas fundamentales: auditoría evolutiva de seguridad externa (EAES), que son los destinados a verificar la seguridad de los elementos externos (servicios web, webapps, etcétera) y auditoria evolutiva de seguridad interna (EAIS), que se centra en la seguridad de ordenadores, dispositivos, servidores, redes, etcétera. Así, con una combinación de ambos servicios, podemos tener la seguridad de que nuestros recursos digitales están correctamente supervisados.

Con respecto a la auditoría externa, es decir, la que mantiene una supervisión constante de los servicios web, este servicio ofrece control de cambios en el estado de los mismos, auditoría diaria, perfiles específicos, adaptados a cada caso y alta disponibilidad. Además, los usuarios del servicio recibirán completos informes sobre los resultados, en los que además se facilitará la comunicación entre personal técnico y no técnico, contarán con soporte y, además, facilitará un mayor conocimiento TIC para los consejos de administración de las empresas. Para tal fin, EAES cuenta con 30 elementos diferentes y destinados a cubrir todas las necesidades de una completa auditoría de este tipo. Según las necesidades del cliente, y aunque sus sistemas son auditados diariamente, se puede escoger entre recibir informes diarios, quincenales o mensuales.

En lo referido a la auditoría interna (EAIS), contaremos con un control y conocimiento constante del estado de todos los sistemas que componen nuestra infraestructura TIC, así como la disponibilidad y la flexibilidad necesarias para adaptar la demanda que hacemos del servicio a nuestras necesidades concretas. De esta manera, sabremos que, en caso de que se produzca cualquier problema, seremos informados inmediatamente de ello. Y, lo que es más importante, que tendremos conocimiento de los riesgos a los que nos enfrentamos, antes de que hayamos sido víctimas de un ataque. Otras características del servicio:

  • Verifica el estado de la infraestructura informática de la empresa mediante el uso de Inteligencia Artificial que aplica metodologías de testing, verificación y validación de amenazas
  • Reporting a través de un informe ejecutivo para los miembros de la dirección de la empresa, en un lenguaje no técnico. Esto facilita el acceso a la información y resultados obtenidos.
  • Aumento del conocimiento del departamento IT sobre el estado de la seguridad de la empresa, lo que reduce el tiempo de respuesta ante nuevas amenazas y aumenta la capacidad defensiva de la empresa.
  • La metodología de trabajo está basada en la norma UNE-ISO/IEC 27001:2007.
  • El uso de más de 40 herramientas y procedimientos de análisis y obtención de información nos permiten valorar más de 60.000 parámetros de seguridad

Para asegurar un resultado óptimo, el servicio cuenta con actualizaciones diarias de las ciberamenazas, perfiles específicos para cada necesidad y, por supuesto, la alta disponibilidad que demandamos en un servicio de este tipo. Los clientes reciben de manera constante informes sobre el estado de los sistemas, y además estos se preparan de manera que son accesibles tanto para el equipo técnico, como para miembros de su dirección que no tengan este perfil pero que deban permanecer informados sobre la seguridad, tomando decisiones en base a los resultados de las auditorías.

Para más información, haz clic aquí.

 

Derten para MuySeguridad

por Elisabeth Rojas Fri, 15 Sep 2017 08:51:52 +0000

BlueBorne, el ataque contra Bluetooth que ha dejado expuestos a 5.000 millones de dispositivos

Los investigadores en seguridad IoT de Armis han descubierto una serie de ocho vulnerabilidades en Bluetooth que podrían ser utilizadas para atacar a miles de millones de dispositivos, pudiendo ser estos smartphones, impresoras, PC, etc. En resumidas cuentas, casi cualquier cosa que haga uso del conocido protocolo de redes inalámbricas de corto alcance.

Las vulnerabilidades pueden formar un vector de ataque que ha sido bautizado como “BlueBorne”, y según los investigadores de Armis, podría estar afectando a unos 5.300 millones de dispositivos en todo el mundo. Aunque el número puede sonar muy exagerado, no lo es al afectar directamente al estándar, y de hecho hace tres años se descubrió un problema de seguridad en el estándar USB que dejó expuestos a miles de millones de dispositivos.

En caso de ser explotadas, “las vulnerabilidades podrían posibilitar a un atacante tomar el control de los dispositivos, esparcir malware o establecer un ‘man-in-the-middle’ para obtener acceso a datos críticos y redes sin interacción con el usuario. El ataque no requiere que el objetivo esté emparejado con el dispositivo del atacante ni de que esté visible. Desde que el proceso de Bluetooth tiene altos privilegios sobre cualquier sistema operativo, explotarlas (las vulnerabilidades) ofrece control total sobre el dispositivo.”

Microsoft ya ha publicado el parche que corrige BlueBorne en los sistemas operativos Windows como parte del conjunto de parches de seguridad publicado el pasado martes. En lo que respecta a Apple, los dispositivos actualizados a la versión más reciente de iOS 10 están a salvo y Windows Phone tampoco se ha visto afectado, sin embargo, la cosa cambia sin empezamos a referirnos a Linux.

En lo que se refiere al sistema Linux para PC y servidores, conocido también como GNU/Linux, las actualizaciones que corrigen las vulnerabilidades ya están disponibles a través de los repositorios de las distribuciones con soporte (Ubuntu, Fedora, Debian… ), sin embargo, el panorama cambia radicalmente cuando nos referimos a Android, ya que según Armis, solo el 45% de los dispositivos que usan el sistema de Google se pueden parchear, ya que el resto no recibe actualizaciones por parte de su fabricante. Sí, volvemos a toparnos con los problemas de seguridad derivados del escaso soporte ofrecido por muchos fabricantes de smartphones.

Dispositivos Android y Linux afectados por BlueBorne

Armis ha comentado que BlueBorne es “un sueño hecho realidad para cualquier hacker”, ya que el vector de ataque puede ser utilizado para ciberespionaje, robo de datos, ransomware e incluso la creación de botents para lanzar potentes ataques a través de dispositivos IoT, de forma muy parecida a Mirai. BlueBorne parece ser una auténtica “navaja suiza” para realizar actividades relacionadas con el cibercrimen.

Para poder pasar de un dispositivo a otro, los investigadores han comentado que los atacantes podrían hacer uso de la característica Bluetooth Mesh, introducida en Bluetooth 5 y que permite a dispositivos Bluetooth interconectarse y formar grandes redes para crear estructuras más densas y elaboradas.

Los ataques mediante BlueBorne se pueden llevar a cabo de dos maneras. Una consiste en que el atacante ejecute código en los dispositivos objetivo sin ser detectado, pudiendo obtener acceso a redes corporativas, sistemas, datos, etc. La otra es creando una “Piña de Bluetooth” para poder esnifar y redirigir tráfico hacia donde quiera el atacante (lo más lógico, un servidor).

Después de una larga explicación, BlueBorne puede ser resumido en que solo requiere que el dispositivo Bluetooth (no parcheado) esté activado para ser llevado a cabo, y debido a que el protocolo se suele ejecutar con altos privilegios sobre el sistema operativo, esto abre la puerta a poder llevar a cabo ataques de todo tipo.

Armis ha publicado dos vídeos demostrativos de BlueBorne.

Fuente: ThreatPost

por Eduardo Medina Thu, 14 Sep 2017 10:24:25 +0000

Google Chrome marcará los viejos certificados de Symantec como no confiables en 2018

Google ha anunciado que Chrome, su conocido navegador web, dejará de confiar en muchos certificados de seguridad emitidos por Symantec.

En una publicación en el blog de seguridad de Google, los expertos en seguridad de Chrome Devon O’Brien, Ryan Sleevi y Andrew Whalley han dicho que a partir de Chrome 66 todos los certificados emitidos por Symantec antes del 1 de junio empezarán a ser marcados como no confiables. Mientras esto se produce, la compañía de seguridad está trabajando con los webmasters para migrar a DigiCert, después de que la segunda haya comprado el sitio web de seguridad y el negocio de soluciones PKI de la primera.

Se espera que Chrome 66 sea publicado en junio de 2018, con octubre de ese mismo año como fecha de inhabilitación definitiva de los certificados, cuando sea lanzado Chrome 70. Google tiene la firme intención de “eliminar totalmente la confianza en la infraestructura vieja de Symantec y en todos los certificados que haya emitido”.

El asunto de marcar como no confiables los certificados de Symantec no es nuevo, ya que en marzo del presente año publicamos que Google iba a marcar 30.000 certificados de esa empresa de seguridad como no confiables debido a una emisión indebida. Como es lógico, el asunto tocó la moral de Symantec, que llegó a expresar públicamente que la medida le parecía “exagerada y engañosa”. Con la situación que se ha mostrado a la luz a través de esta noticia, los webmasters que hacen uso de un certificado antiguo tienen 13 meses para corregir el asunto.

Greg Clark, CEO de Symantec, ha dicho que espera que sus clientes salgan beneficiados de la transición a DigiCert, “una empresa que se centra exclusivamente en ofrecer soluciones líderes de identidad y cifrado”, según sus propias palabras.

Fuente: ItProPortal

por Eduardo Medina Wed, 13 Sep 2017 14:49:58 +0000

Bashware abusa de WSL para saltarse la seguridad instalada en Windows 10

Bashware es el nombre que ha recibido una técnica que permitiría a un atacante con los conocimientos suficientes ejecutar binarios maliciosos sobre WSL para saltarse el software de seguridad instalado en una copia de Windows 10.

Para los que anden perdidos, WSL (Windows Subsystem for Linux) es un subsistema que permite ejecutar binarios de Linux sobre Windows 10. En su día fue presentado como Ubuntu Bash, y aunque empezó centrándose en la conocida distribución de Canonical, más adelante se anunciaría la disponibilidad de distribuciones como Fedora y openSUSE para WSL. El hecho de usar en un principio el término Bash no es casual, ya que solo permite la ejecución de aplicaciones y programas de Linux a nivel de consola, no soportando, al menos de momento, interfaz gráfica. Esta tecnología, desarrollada por la propia Microsoft, ha estado en estado beta durante mucho tiempo y se espera que sea liberada como estable en octubre del presente año, cuando se publique Windows 10 Fall Creators Update.

Volviendo Bashware, han sido los investigadores en seguridad de Check Point los que han publicado los detalles técnicos, explicando que permite a los desarrolladores de malware utilizar la shell de Linux de WLS para realizar operaciones ocultas, entre ellas la ejecución de binarios maliciosos. Lo peor de todo es que parece que los antimalware, incluso los de última generación, no son capaces de detectar dichas operaciones, dejando el campo abierto a los atacantes. El origen está en la carencia de soporte por parte de los antimalware para los procesos Pico, una tecnología de contenedores creado para WSL.

Bashware requiere de acceso a nivel de administrador en Windows 10 para habilitar WSL, ya que esta característica viene inhabilitada por defecto, además de la activación del Modo de Desarrollo del sistema operativo. En este escenario no se puede descartar la explotación de alguna vulnerabilidad de escalada de privilegios para activar ambas características, aunque igualmente necesitaría de un reinicio del ordenador para completar la operación.

Tras la activación de WSL, las herramientas necesarias para su funcionamiento pueden ser descargadas de forma silenciosa de los servidores de Microsoft para completar la instalación, pudiendo luego el atacante utilizar la línea de comandos Bash para ejecutar operaciones maliciosas.

Bashware

Check Point dice que un atacante podría utilizar comandos de Linux (mediante Bash) para interactuar con Windows 10, y en caso de no querer llevar a cabo las operaciones directamente debido a que podrían ser detectadas, los ejecutables maliciosos podrían ser puestos en marcha sobre Wine, que se encargaría de traducir las órdenes a Linux, mientras que WSL las convertiría en operaciones del Windows anfitrión. Wine es un conjunto de API de Windows realizadas con ingeniería inversa para poder ejecutar aplicaciones para ese sistema sobre Linux y otros Unix y Unix-like.

Para poder arreglar el problema generado por Bashware los vendedores de soluciones de seguridad tienen que añadir el soporte para WSL y los procesos Pico antes de que Windows 10 Fall Creators Update sea liberado. Check Point ha publicado todos los detalles de Bashware en un informe.

Fuente: BleepingComputer

por Eduardo Medina Tue, 12 Sep 2017 15:07:26 +0000