24 de marzo de 2016

ALIADOS. Firma israelí ayuda al FBI a desbloquear iPhone encriptado

Si Cellebrite tiene éxito, entonces el FBI ya no necesitará la ayuda de Apple Inc, dijo el diario israelí, citando fuentes anónimas del sector.
La empresa israelí Cellebrite, un proveedor de software forense móvil, está ayudando a la Oficina Federal de Investigaciones de Estados Unidos (FBI) en su intento para desbloquear un iPhone usado por uno de los atacantes de San Bernardino, California, informó el miércoles el diario Yedioth Ahronoth.
Autoridades de Cellebrite se abstuvieron de comentar sobre el tema.
Apple está en una batalla legal con el Departamento de Justicia de Estados Unidos por la orden de un juez que dice que debe hacer un software nuevo para desactivar la protección de las claves en el iPhone usado por el tirador.
Ambas partes iban a verse cara a cara en una corte el martes pero el lunes un juez federal aceptó el pedido del gobierno, de que se posponga la audiencia después de que los fiscales federales de Estados Unidos dijeron que una "tercera parte" había presentado un posible método para abrir un iPhone encriptado.
El acontecimiento podría poner fin al choque legal que quedó en el centro de un debate más amplio sobre la privacidad de datos en Estados Unidos.
Cellebrite, una subsidiaria de la japonesa Sun Corp, tiene su fuente de ingresos dividida entre dos negocios: un sistema forense usado por la policía, el ejército y la inteligencia, que recupera datos escondidos dentro de aparatos móviles, y tecnología para minoristas de móviles.
Fuente:Reuters

INJUSTICIA. Lucha de Apple por privacidad no aporta ventajas frente a competidores

La mayoría de los estadounidenses confían en Apple para que proteja su información personal del ataque de piratas informáticos, según una encuesta realizada por Reuters, pero sin considerarlo superior a sus rivales Google, Amazon y Microsoft.
Los resultados de la encuesta se dieron a conocer el lunes, al tiempo que Apple libra una batalla legal contra el Departamento de Justicia de Estados Unidos por la orden de un juez para que Apple diseñe un software con el que desactivar la protección por contraseña de un iPhone utilizado por uno de los responsables del tiroteo de San Bernardino, California.
Ambas partes se dieron cita el martes en el tribunal, pero en la noche del lunes un juez federal de Riverside, California, admitió la petición del gobierno de posponer la vista después de que varios fiscales dijeran que un "tercero" había presentado un posible método para desbloquear un iPhone.
El desarrollo del caso podría traer un brusco final debido al enfrentamiento legal que ha propiciado la apertura de un gran debate sobre la privacidad de datos en Estados Unidos, que ya comenzó tras las revelaciones en 2013 del ex consultor de la Agencia Nacional de Seguridad estadounidense, Edward Snowden, sobre los programas de vigilancia masiva del gobierno.
Entre los encuestados, preguntados si confían en Apple para proteger los datos de los piratas informáticos, el 60 por ciento contestaron que están muy de acuerdo o de acuerdo en parte, según la encuesta realizada del 11 al 16 de marzo.
Las respuestas coinciden con las mismas preguntas acerca de Alphabet, de Google, Amazon.com y Microsoft.
La encuesta también reveló que sólo una de cada 10 personas considera que las opciones de seguridad, como la protección de información cifrada y el uso de clave son las características más importantes para comprar un teléfono nuevo. Mientras que el rendimiento y el precio se situaban muy por delante, considerándose estos dos factores los más importantes para un tercio de los encuestados.

Fuente: Reuters

DEAD DROPS. Miles de memorias USB escondidas por todo el mundo.

Si un día caminando por ahí,  te encuentras una memoria USB incrustada en una pared, no pienses en espías, sino en el juego 'dead drop', es decir en una de las miles de memorias USB que están escondidas alrededor del mundo y en los sitios más comunes, donde nunca nos hubiéramos imaginado.
La idea de colocar unidades USB en espacios públicos de todo el mundo se le ocurrió al artista alemán Aram Bartholl. ¿Con qué intención? Con la de crear una red P2P (de persona a persona) anónima, que permitiese el intercambio físico de archivos sin necesidad de conectarse a Internet. Un proyecto original, sin duda, que nació hace seis años, en 2010, en Nueva York, cuando Bartholl escondió las primeras cinco memorias USB. Actualmente hay miles por todo el mundo.
¿En qué consiste?
  • Se hace un agujero en un muro, se incrusta el 'pendrive' dejando la parte del conector a la vista, se sella con masa o cemento y ¡listo! Estas memorias externas tienen que estar vacías en el momento de la colocación -solo deben incluir el archivo que explica el proyecto- y siempre deben situarse en la pared exterior de un edificio que esté en un lugar público, o en algún otro lugar que se os ocurra, pero siempre público.
Previa YoutubeCargando el vídeo....
  • El paso siguiente es comunicar a la web deaddrops.com el lugar exacto donde se ha colocado la memoria USB para que otros usuarios puedan encontrarla. A partir de ahí cualquiera puede conectar su ordenador e iniciar el intercambio de archivos.
¿Son legales?
  • Este “juego” está pensando para que cada uno deje en los lápices USB los archivos que desee -música, películas, fotos, etc.- para que otra persona pueda descargarlos. Al no tratarse de un sistema que esté conectado a Internet no deja huella, como ocurre con otros programas de descarga de archivos como, por ejemplo, uTorrent. Las autoridades no pueden intervenir, dado que no se está vulnerando la ley de descargas.
  • Eso sí, si te decides a participar, ten cuidado, porque puedes encontrarte con unidades USB con código malicioso. “Las ‘dead drops’ pueden usarse indebidamente en beneficio del software malicioso”, advierte su creador. Es, dice, parte del juego.
  • En la actualidad, hay miles de 'pendrives' instalados en muros de todo el mundo, y, por supuesto, España es uno de los países en los que podemos tropezar con ellos. En el momento de escribir este artículo la página deaddrops.com contabiliza un total de 1.625 unidades USB en todo el mundo y la capacidad de almacenamiento está a punto de llegar a los 12.000 gigas (12 terabytes).
Fuente: Europa Press

GIT. Corregidas dos graves vulnerabilidades

Se ha informado de dos vulnerabilidades que posibilitan la ejecución de código remoto y que afectan a todas las versiones de Git, tanto cliente como servidor, anteriores a la 2.7.1. También se ven afectadas las versiones compatibles, como GitHub, Bitbucket o Gitlab.
Git es un software de control de versiones diseñado por Linus Torvalds, diseñado para la confiabilidad del mantenimiento de versiones de aplicaciones cuando estas tienen un gran número de archivos de código fuente. En la actualidad proyectos de relevancia usan Git para el mantenimiento de sus versiones, como el grupo de programación del núcleo Linux.
Detalle e Impacto de las vulnerabilidades
  • El primer problema, con CVE-2016-2315, podría permitir a un usuario remoto autenticado enviar un repositorio específicamente manipulado para provocar un desbordamiento de búfer y ejecutar código arbitrario en los sistemas afectados. De forma similar, y relacionado con el anterior, un desbordamiento de entero (con CVE-2016-2324) por el que un usuario autenticado que envíe o clone un repositorio específicamente manipulado podría ejecutar código arbitrario en los sistemas afectados.
  • Para hacer un push a un repositorio Git remoto es necesario tener permiso de escritura, para lo que en general se requiere de algún tipo de autenticación o autorización. Sin embargo, en servicios tipo Bitbucket o Github en los que se puede crear o clonar un repositorio sin la aprobación del administrador, estos problemas pueden ser mayores ya que cualquiera podría intentar explotar la vulnerabilidad. Hay que señalar que en dichos servicios el problema ya está corregido, pero en otros de similares características (especialmente los auto-hospedados) podrían ser vulnerables.
Recomendación
  • Estos problemas fueron corregidos en la versión 2.7.1 de Git, publicada en febrero, si bien no se han conocido hasta ahora (ni los desarrolladores de Git informaron de ello en su momento).
Más información:
Fuente: Hispasec

PWN2OWN 2016. Safari, Edge, Flash y Chrome caen

Los días 16 y 17 de marzo se ha celebrado una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Como en ediciones anteriores en esta ocasión las víctimas han sido Apple Safari, Microsoft Edge, Adobe Flash y Google Chrome.
Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares en diferentes sistemas operativos, así como en los plugins más atacados: en esta ocasión Flash ha sido el centro de los ataques. Pwn2Own 2016 se ha celebrado en la ciudad canadiense de Vancouver, organizado por Hewlett Packard Enterprise, Zero Day Initiative (ZDI) y Trend Micro.
Los resultados finales de este Pwn2Own son impresionantes:
  • 21 nuevas vulnerabilidades en total
  • 6 vulnerabilidades en Windows
  • 5 vulnerabilidades en Apple OS X
  • 4 vulnerabilidades en Adobe Flash
  • 3 vulnerabilidades en Apple Safari
  • 2 vulnerabilidades en Microsoft Edge
  • 1 vulnerabilidad en Google Chrome
  • 460.000 dólares en premios.
Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas. Sin duda en breve empezaremos a ver las actualizaciones para corregir estos problemas.
Más información:
Fuente: Hispasec

iOS. Nuevo malware para la plataforma puede infectar dispositivos sin jailbreak

Palo Alto Networks ha anunciado el descubrimiento de una nueva familia de malware capaz de infectar dispositivos iOS sin jailbreak, a la que han bautizado como "AceDeceiver".
La novedad de AceDeceiver reside en que para lograr su ejecución reside en que en vez de aprovechar el uso de certificados corporativos como otras muestras de malware para iOS de los últimos años, aprovecha un fallo en el diseño del DRM de Apple. Incluso aunque Apple haya eliminado AceDeceiver de la App Store este sigue reproduciéndose gracias a un nuevo vector de ataque.
Según los investigadores de Palo Alto Networks es el primero que abusa de un fallo de diseño en FairPlay, el sistema DRM de protección de Apple. Fairplay es la tecnología de gestión de derechos digitales creada por Apple, para evitar que las pistas de audio protegidas sean reproducidas en sistemas sin autorización.
El fallo descubierto permite instalar aplicaciones maliciosas en dispositivos iOS independientemente de si tienen o no tienen jailbreak. La técnica, conocida desde 2013 como "FairPlay Man-In-The-Middle (MITM)", se ha aprovechado para instalar aplicaciones iOS "pirateadas", pero esta es la primera vez en que se detecta su uso para propagar malware.
Según el informe publicado por Palo Alto Networks hasta el momento han encontrado tres aplicaciones iOS diferentes de la familia AceDeceiver en la App Store oficial entre julio de 2015 y febrero de 2016; todas ellas decían ser aplicaciones de fondos de pantalla (wallpaper). Igualmente, según señalan por el momento AceDeceiver solo muestra comportamientos maliciosos cuando el usuario se localiza en China. Si bien el atacante podría cambiar esto en cualquier momento de una forma sencilla.
A finales de febrero, tras el aviso de Palo Alto Networks, Apple eliminó estas aplicaciones de la App Store. Sin embargo, el ataque sigue siendo viable ya que FairPlay MITM solo require que estas aplicaciones hayan estado disponibles una vez en la tienda. Mientras que el atacante haya podido obtener una copia de la autorización de Apple, el ataque no requiere la disponibilidad actual en la tienda de aplicaciones para su propagación.
AceDeceiver muestra otra nueva forma en que los atacantes intentan evitar las medidas de seguridad de los sistemas iOS para instalas aplicaciones maliciosas, especialmente en dispositivos sin jailbroken. Por el momento parece que estamos libres de este malware, aunque todo puede cambiar de un día para otro.
Más información:
Fuente: Hispasec

MOZILLA. Corrige vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado la nueva versión de Thunderbird 38.7, su popular cliente de correo, en la que corrigen 24 vulnerabilidades. Se agrupan en 10 boletines (seis de nivel crítico, tres clasificados de gravedad alta y uno de baja).
Dado que Thunderbird 38 contiene código subyacente que se basa en el de Firefox 38 ESR (versión de soporte extendido), los problemas corregidos también fueron solucionados en Firefox 38.7 ESR (publicado la semana pasada).
Detalle de la actualización
  • Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1952 y CVE-2016-1953) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Por usos después de liberar en el tratamiento de cadenas HTML5 (CVE-2016-1960), en SetBody (CVE-2016-1961), y durante transformaciones XML (CVE-2016-1964). También por un desbordamiento de búfer al decodificar ASN.1 en NSS (CVE-2016-1950). Por último, 14 vulnerabilidades en el tratamiento de fuentes en la librería Graphite 2 en la versión 1.3.5 (CVE-2016-1977 y CVE-2016-2790 al CVE-2016-2802).
  • Además, también se han corregido otras vulnerabilidades de gravedad alta como una sobreescritura local de archivos y escalada de privilegios a través de informes CSP, corrupción de memoria con plugins NPAPI maliciosos y un uso después de liberar mientras se procesan llaves codificadas DER en las librerías Network Security Services (NSS).
Recomendación
La nueva versión está disponible a través de:
Más información:
Fuente: Hispasec

VMWARE VREALIZE. Cross-site scripting en algunos de sus productos

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en VMware vRealize Automation y vRealize Business Advanced y Enterprise, que podrían permitir realizar ataques de cross-site scripting almacenados.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.
Recursos afectados
  • Los problemas afectan a VMware vRealize Automation 6.x anteriores a 6.2.4 (CVE-2015-2344) y a VMware vRealize Business Advanced y Enterprise 8.x anteriores a 8.2.5 (CVE-2016-2075). 
Detalle e Impacto de la vulnerabilidad
  • En ambos casos se trata de la modalidad más grave de ataques cross-site scripting y la explotación podría dar lugar al compromiso de la estación de trabajo cliente de usuario vRA o vRB.
  • Los cross-site scripting almacenados o persistentes sin duda resultan la modalidad más peligrosa de estos ataques. Igualmente  se producen al no comprobar los datos de entrada en  una web, normalmente formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la web legítima).
Recomendación
Se han publicado las siguientes actualizaciones para corregir el problema en todas las versiones afectadas:
  1. VMware vRealize Automation 6.2.4 https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_automation/6_2
  2. VMware vRealize Business Advanced and Enterprise 8.2.5 https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_business/8_2
Más información:
Fuente: Hispasec

APPLE. Publica actualizaciones para: OS X Server, OS X El Capitan, Safari, iOS …

Apple ha publicado actualizaciones para sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.4) y Security Update 2016-002, Safari 9.1, iOS 9.3, OS X Server 5.1, Xcode 7.3, tvOS 9.2 y watchOS 2.2. En total se solucionan 173 nuevas vulnerabilidades.
Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados:
  1. Se ha publicado OS X El Capitan v10.11.4 y Security Update 2016-002 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 a v10.11.3; destinado a corregir 59 vulnerabilidades, la mayoría de ellas podrían llegar a permitir la ejecución de código arbitrario. Afectan a componentes importantes como AppleRAID, Bluetooth, FontParser, HTTPProtocol, Graphics Driver, IOGraphics, IOUSBFamily, Kernel, libxml2, OpenSSH, OpenSSL, QuickTime, Security, o Wi-Fi.
  2. También ha publicado la versión OS X Server v5.1 (para OS X Yosemite 10.10.5 y posteriores). Se han solucionado cuatro vulnerabilidades que afectan a los componentes Server App, Web Server y Wiki Server. Con identificadores CVE-2016-1774, CVE-2016-1776, CVE-2016-1777 y CVE-2016-1787.
  3. Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.1 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.x. Se solucionan 12 vulnerabilidades relacionadas principalmente con problemas en WebKit (el motor de navegador de código abierto que es la base de Safari). Otros componentes afectados son libxml2, Safari Downloads, Safari Top Sites. Con identificadores CVE-2009-2197, CVE-2016-1762, CVE-2016-1771, CVE-2016-1772, CVE-2016-1778, CVE-2016-1779 , CVE-2016-1781 al CVE-2016-1786.
  4. Por otra parte, iOS se actualiza a la versión 9.3 que incluye mejoras no relacionadas directamente con la seguridad y soluciona 38 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes AppleUSBNetworking, FontParser, HTTPProtocol, IOHIDFamily, Kernel, libxml2, Messages, Profiles, Security, TrueTypeScaler, WebKit, WebKit History y WebKit Page Loading.
  5. De forma similar, Apple publica WatchOS 2.2, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 34 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario.
  6. Apple también ha publicado Xcode 7.3, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en otool y dos vulnerabilidades en subversión (que se actualiza a la versión 1.7.22).
  7. Por último, también ha publicado tvOS 9.2, el sistema operativo para Apple TV (de cuarta generación), que no solo incluye novedades y mejoras sino que además soluciona un total de 23 vulnerabilidades.
Más información:
Fuente: Hispasec

HP. Múltiples vulnerabilidades en System Management Homepage

Identificadas múltiples vulnerabilidades que afectan al software HP System Management Homepage tanto en Windows como en Linux, catalogadas de Importancia: 4 - Alta
Recursos afectados
  • HP System Management Homepage Software, versiones anteriores a la 7.5.4
Detalle e Impacto de las vulnerabilidades
  • La explotación de las mismas puede permitir a un atacante remoto ejecutar código en el sistema afectado, provocar una denegación de servicio, acceder de manera no autorizada a recursos, divulgar información confidencial o realizar una elevación de privilegios.
Recomendación
Más información
Fuente: INCIBE

STARTSSL. Fallo permite a un atacante conseguir certificados para cualquier dominio

Un fallo de seguridad reciente en la  plataforma StartSSL., podía permitir a un pirata informático hacerse con el certificado de una web de la que él no es propietario
Los certificados digitales tienen varias finalidades. Además de permitirnos establecer conexiones cifradas con el protocolo HTTPS para evitar que usuarios intermedios puedan hacerse con la información que transferimos, también nos permiten saber si una web es fiable y por quién está siendo controlada, algo que, por ejemplo, en el caso de las webs HTTP sin certificado digital, es imposible.
StartSSL utiliza una técnica de validación con la que poder demostrar que somos los dueños del dominio. Para ello, nos pide enviar a su servidor correos de verificación desde diferentes cuentas de correo (por ejemplo, Webmaster, Postmaster y Hostmaster) creadas en el mismo dominio para el que queremos crear el certificado.
Si durante el proceso de verificación aprovechamos la vulnerabilidad del servidor, del tipo “Unvalidated Input“, es posible cambiar las direcciones de verificación por cuentas de correo convencionales, por ejemplo, creadas en Gmail. De esta manera, aunque StartSSL nos envía mensajes un mensaje de verificación a una supuesta cuenta dentro del dominio que queremos certificar, es posible recibir dicho correo en una cuenta cualquiera y, con él, proceder a la generación del correspondiente certificado.
Si esta técnica la aplicamos a un dominio de prestigio como Google, Outlook, Skype o Facebook, fácilmente se pueden generar certificados totalmente válidos con los que engañar a posibles víctimas potenciales de ataques informáticos.
Los responsables de seguridad de StartSSL solucionaron la vulnerabilidad apenas unas horas después de ser reportada.

 Fuente: oalmanna

XORIST. Los archivos afectados por el ransomware se pueden recuperar gratis

Expertos en seguridad han encontrado un fallo de seguridad en Xorist  que permite recuperar los archivos cifrados y de forma totalmente gratuita para las víctimas del ransomware.
Los pagos por el rescate de los archivos afectados por Xorist se realizan vía SMS
  • Aunque no se encuentra a la altura de otros virus informáticos que cifran los archivos, podrían considerarse dos peculiaridades. 
  • La primera de ellas es la utilización de los mensajes de texto para confirmar el pago y obtener el código que permite sobre el papel el desbloqueo de los archivos. 
  • La otra diferencia es que mientras el resto de amenazas ofrecen una herramienta de desbloqueo independiente del ransomware, en este caso todo se encuentra empaquetado.
Existe una solución aunque no es aplicable a todas las infecciones
  • Por suerte algunos usuarios disponen de la oportunidad de recuperar el acceso a los archivos de forma totalmente gratuita. 
  • Sin embargo, el “pero” es que no siempre se puede aplicar y existen una serie de condiciones que permiten recuperar los datos cifrados. 
  • Desde Emisoft han puesto a disposición de los usuarios un foro donde pueden dejar sus comentarios y saber si su caso es uno de los que permite la recuperación de los archivos.
Fuente: Softpedia

USB THIEF. Nuevo troyano USB capaz de evitar su detección

Este troyano ha sido detectado por la empresa de seguridad ESET y ha recibido el nombre de USB Thief debido a que su finalidad es la de robar datos desde una memoria USB maliciosa. 
Mientras que el malware convencional utiliza prácticas tradicionales para llevar a cabo la infección, este nuevo troyano hace uso de aplicaciones portables para llevar a cabo su tarea. Cuando el usuario lleva en la memoria USB una aplicación portable, por ejemplo, Firefox o Notepad++, el troyano se configura automáticamente para que, al abrirla, este se inserte en la cadena de ejecución como un plugin o una librería, quedando así funcionando en segundo plano.
Cómo se protege y oculta USB Thief de los motores antivirus
Además de la ingeniosa forma de ejecutarse, este troyano es capaz de evadir los análisis de los principales motores antivirus. Para ello hace uso de dos técnicas diferentes:
  1. La primera de ellas es que los binarios están cifrados con un algoritmo AES de 128 bits.
  2. La segunda de ellas es que el nombre de los archivos se genera aleatoriamente a partir de elementos criptográficos, por lo que no pueden “deducirse”.
La clave de cifrado se calcula a partir del identificador “ID” único de la memoria USB donde se aloja, por lo que el código de cada troyano es único, aunque eso conlleva a que este también solo podrá ser ejecutado desde esa única memoria, y no infectar otras memorias USB ni otras plataformas. De esta manera, los motores antivirus no pueden detectar el malware analizándolo ni por comportamiento ni por nombre de archivo. Además, este también queda protegido de la ingeniería inversa.
El malware está formado por 4 ejecutables y dos archivos de configuración, los cuales se ejecutan de la siguiente manera:
  1. Primer binario -loader: Este primer loader busca engañar al usuario para que lo ejecute (haciéndose pasar por una aplicación portable). También comprueba que se está ejecutando en una memoria USB y que esta no está protegida contra escritura, ya que los datos se almacenan en ella.
  2. Segundo binario -loader: Este segundo loader utiliza el hash generado con el primer loader para ejecutarse y cargar el primer archivo de configuración. A su vez controla que el malware no se ejecuta sobre un depurador, finalizando en caso de que el proceso padre no sea el original.
  3. Tercer binario -loader: Este tercer loader, cargado a partir de los datos del segundo, se encarga de comprobar si hay un antivirus en el sistema. De ser así se detiene automáticamente. Si todo es correcto, este loader carga el segundo fichero de configuración y hace la llamada al troyano en sí.
  4. Cuarto binario – Troyano: Este cuarto binario es el troyano en sí. Cuando el tercer loader hace la llamada, este inyecta la función de robo de datos en el proceso “%windir%\system32\svchost.exe -k netsvcs” y comienza ya a recopilarlos todos, guardándolos en la memoria USB desde la que se está ejecutando bajo un identificador único calculado según los datos del ordenador de la víctima.ejecución usb thief
Como podemos ver, USB Thief está especialmente enfocado a ordenadores que no están conectados a Internet, ya que se requiere acceso físico al equipo o servidor. Además, al ser totalmente portable, no deja ni una sola evidencia de que ha estado ahí, es totalmente invisible.
Mientras que este troyano se centra principalmente en el robo de datos personales, los expertos de seguridad aseguran que sería muy sencillo implementar otras finalidades, por ejemplo, habilitar una puerta trasera o la instalación de un segundo troyano mucho más agresivo y peligroso que el primero.
Fuente: We Live Security

MICROSOFT. Añade una nueva función a Office 2016 para acabar con las macro maliciosas

Microsoft ha anunciado una nueva característica de Office 2016, concretamente para Word, Excel y PowerPoint, con la que en teoría, se por fin a este tipo de infecciones. 
Esta nueva característica, enfocada principalmente a administradores de redes corporativas, permite bloquear la ejecución de todo tipo de macro que provenga de una fuente no fiable (Internet) para evitar que esta pueda recuperar contenido.
El bloqueo de las macro debe activarse desde las directivas de grupo
  • Para activar esta nueva función, debemos ser administradores de una red corporativa y, desde las directivas de grupo, debemos buscar la ruta “Plantillas administrativas / Microsoft Word 2016 / Opciones de Word / Seguridad / Centro de confianza” para, allí, activar la opción de bloqueo de macros que descargan ficheros desde Internet.
  • Una vez activada dicha directiva, todas las macros que se intenten conectar a Internet se bloquearán automáticamente, evitando así que estas puedan comprometer la seguridad de nuestro equipo. Las macros que descarguen archivos desde dentro de la red corporativa funcionarán sin problemas, aunque se recomienda siempre verificar que los archivos que se recuperan son de confianza.
  • Por el momento esta función solo llegará a entornos corporativos, sin embargo, es probable que en un futuro cercano esta también llegue a todos los usuarios de una forma más sencilla, acabando así, de una vez por todas, con el malware macro.
Fuente: Redeszone.net

SURPRISE. El ransomware que se instala a través de TeamViewer

Surprise, nombre que ha recibido este ransomware por la extensión que añade a todos los archivos infectados, es un nuevo ransomware detectado por primera vez el día 10 de marzo por unas pocas firmas antivirus, desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto que se publicó con fines educativos pero que, como tantas veces ocurre, está siendo utilizado para estafarl.
Modus operandi de Surprise
  • Las víctimas de este ransomware, de repente se enuentran con que todos sus ficheros habían sido codificados añadiendo la extensión “.surprise” en todas las fotos, documentos y archivos personales del sistema. 
  • Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint.
  • Este ransomware utiliza un algoritmo AES-256 para cifrar los archivos con una clave maestra RSA-2048, la cual se almacena en un servidor remoto de control. 
  • Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.
  • Para recuperar los archivos, el pirata informático pide un pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.
Se desconoce cómo el hacker se infiltro en los servidores de TeamViewer 
  • El ransomware sigue un patrón, y es que todas ellas tenían instalada la herramienta de control remoto TeamViewer en sus sistemas. Analizando los registros de esta herramienta, todas las víctimas han podido ver cómo un usuario no autorizado se había conectado a sus equipos, había descargado un fichero llamado “surprise.exe” (el ransomware) y lo había ejecutado manualmente, dando lugar así a la infección.
  • Por el momento no se sabe cómo ha conseguido el pirata informático conectarse de forma remota a los equipos de las víctimas, aunque hay dos posibles opciones:
  1. La primera de ellas, aunque un poco complicada, es que el pirata tenga en su poder una vulnerabilidad zero-day que le permita conectarse de forma remota a cualquier servidor TeamViewer. Los responsables de seguridad de TeamViewer han auditado su herramienta tras las primeras infecciones y aseguran que esto no es posible, lo que nos lleva a la segunda opción.
  2. La segunda de ellas, y probablemente más probable, es que utiliza una herramienta de escaneo de red para detectar cualquier servidor TeamViewer conectado y, posteriormente, consigue acceder a los sistemas de sus víctimas mediante ataques de fuerza bruta.

  • Tanto las empresas de seguridad como Bleeping Computer y los responsables de seguridad de TeamViewer están estudiando el caso para poder arrojar luz sobre cómo ha sido posible que un pirata informático haya podido distribuir este nuevo ransomware a través de esta herramienta de control remoto.
  • Tal como recomienda directamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer con una contraseña compleja, activar la doble autenticación, mantener el servidor actualizado a la última versión (y descargado siempre de la web oficial) y, por último, asegurarnos de que el ataque informático no viene por ninguna otra rama (por ejemplo, otro malware instalado en el sistema).
  • Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.
  • También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos.
Fuente: Redeszone.net

ALIANZA. Google, Microsoft y Yahoo! Unidos por un nuevo protocolo para correo electrónico

Desde 1982 SMTP ha sido uno de los protocolos más utilizados por los usuarios de Internet pero las grandes empresas del sector creen que es el momento de “jubilar” este y crear un nuevo protocolo que garantice la seguridad de los datos de los usuarios.
El proyecto en cuestión a unido a grandes empresas del sector, como lo son Microsoft, Yahoo! o Google, contando además con la colaboración de Comcast o la propia LinkedIn. Por este motivo, las empresas mencionadas con anterioridad se centran en desarrollar el conocido como SMTP STS (del inglés Strict Transport Protocol). 
El nuevo protocolo ofrecerá una mayor seguridad en las comunicaciones
  • Es bastante habitual que hablemos de degradaciones en el protocolo SSL/TLS, permitiendo la realización de ataques MitM con el consiguiente robo de datos. Los expertos y responsables de estas compañías buscan un extra de confidencialidad a los contenidos de los mensajes y mejorar las comunicaciones entre los extremos, evitando que bajo ningún concepto se pueda suplantar la identidad del servidor y que el usuario se comunique con un extremo no legítimo.
  • Esto supone que los servidores utilizados en la actualidad se puedan validar de forma mutua y tomar decisiones de seguridad adecuadas para cada situación, como por ejemplo, qué cifrado es el soportado y qué acción tomar en el caso de que exista un problema de seguridad.
La especificación estará disponible muy pronto
  • Contar con el apoyo de empresas tan conocidas como Google, Microsoft o Yahoo! ayudará a crear un estándar y que este se encuentre disponible en un plazo corto de tiempo. Sin ir más lejos, los responsables de alguna de las empresas que participan creen que antes de finales de verano estará disponible, permitiendo realizar las implementaciones en los servicios a partir de ese mismo momento.
Fuente: Softpedia

LINUX. Lynis 2.2.0 llega con importantes mejoras, novedades y nuevos tests

Recientemente, los responsables de Lynis han liberado una nueva versión, la 2.2.0, con la que pretenden seguir adelante con el desarrollo, mejorando la herramienta y permitiendo a los usuarios realizar auditorías de seguridad de sus sistemas Linux mucho más rápidas y precisas que antes.
Lynis es una de las herramientas para Linux más completas con las que poder realizar auditorías completas de prácticamente con cualquier distribución Linux, como Ubuntu, Arch, Debian, Fedora y OpenSUSE.
Principales novedades de Lynis 2.2.0

  1. La primera mejora sería la optimización de prácticamente todas las funciones. Gracias a ella, todos los tests pueden funcionar de una forma mucho más rápida y estable, devolviendo al usuario resultados mucho más fiables que antes, así como detectar muchas más vulnerabilidades potenciales en el software. También se han solucionado la mayoría de razones por las que la herramiente devolvía mensajes “unexcepted” en lugar del binario o host responsable de una vulnerabilidad.
  2. Esta nueva versión de la herramienta también incluye varias nuevas funciones para la detección de vulnerabilidades específicas. Algunas de las funciones ya existentes se han cambiado de nombre para dar un enfoque más específico de estas. También se han eliminado tests obsoletos para reducir la carga de los análisis.
  3. También se han mejorado los tests de firewall y configuración de red, especialmente para prepararlos para el nuevo protocolo IPv6.
  4. Por último, en esta nueva versión se han empezado a incluir varios ajustes para realizar pruebas más en profundidad, algo ideal para empresas que tienen la necesidad de cumplir con niveles de seguridad más estrictos.
El futuro de Lynis
  • Tal como aseguran los responsables de la herramienta, el futuro de esta herramienta, además de seguir mejorando los tests y la fiabilidad de los mismos, pasa por una mejora global de la documentación. Mientras que ahora toda la información de la herramienta se distribuye en un gran documento de texto, en un futuro cercano se podrá consultar toda ella desde una web con un índice y toda la información separada por categorías.
  • Con esta actualización, esta herramienta sigue siendo una de las mejores y más completas plataformas de análisis de vulnerabilidades, gracias a la cual, vamos a poder tener la certeza de que nuestro equipo o servidor Linux no está expuesto a ataques, tanto a nivel de configuración como a nivel de binarios potencialmente vulnerables.
Más información
Fuente : Help Net Security

SAMAS. El nuevo ransomware que más preocupa a Microsoft

Desde el FBI y Microsoft están alertando de la presencia de un nuevo ransomware en la red, conocido con el nombre de Samas.
Conocido también con el nombre de Kadi, este malware se activó hace tres meses en Europa y Asia, aunque ha sido en Estados Unidos donde más repercusión ha tenido. Tampoco está muy claro cuáles son los objetivos reales de esta amenaza, ya que desde Redmond informan de que tanto usuarios domésticos como administradores de servidores deben extremar las precauciones y en el caso del FBI sostiene que son los servidores con vulnerabilidad lo principales objetivos de esta amenaza.
Algunos investigadores apuntan a que el ransomnware aprovecha fallos de seguridad en instalaciones JBOSS y aplicaciones Java para llegar al sistema de ficheros de los servidores de forma que podía considerarse más o menos sigilosa.
Una vez ha conseguido asentarse en el sistema, la amenaza hace uso de la herramienta reGeorg para crear un mapa de red y así ver qué opciones de expansión posee.
Samas, al igual que otras amenazas, cifra los archivos
  • Aunque pueda parecer distinto del resto, la realidad es que no es así y sigue el mismo procedimiento que otros ransomware. Una vez ha realizado todo lo citado con anterioridad procede a la búsqueda de los archivos y el cifrado ayudándose de RSA de 2048 bits. Tal y como es de imaginar, una vez realizado este proceso la amenaza solicita el pago de una cantidad para recuperar el acceso a los datos, concretamente 1 Bitcoin que equivale aproximadamente a 400 dólares.
Un blog de WordPress para gestionar los pagos
  • Lo que sí dista y mucho de otras amenazas es la forma de gestionar e informar sobre el proceso para realizar los pagos, ya que la amenaza cuenta con un blog que utiliza este gestor de contenidos en el que se puede encontrar información sobre cómo realizar el proceso de pago y el de descifrado una vez realizado este.
  • Tal y como era de esperar, pronto la web dejó de estar operativa, por lo que los ciberdelincuentes han tomado la decisión de alojar una página en la conocida como Dark Web para gestionar todo lo mencionado con anterioridad.
vssadmin.exe o cómo perder las copias de seguridad
  • Hace poco hemos mencionado que pronto este tipo de amenazas afectarían a los copias de seguridad, lo que no esperábamos es que todo esto sucediese tan pronto. La amenaza crea un proceso que es el encargado de buscar las carpetas ocultas y aquellas que posean copias de seguridad para llevar a cabo su borrado. Por lo tanto, conviene tener mucho cuidado y comenzar a cambiar los hábitos en lo referido a copias de seguridad, evitando almacenarlas en el mismo equipo.
Fuente: Softpedia

GMOBI. Un adware que llega a Android gracias a un SDK

Aunque no se sabe a ciencia cierta cómo Gmobi ha llegado hasta Android, todo parece indicar que ha sido gracias a un SDK en el que se ha añadido el código malicioso.
Aunque no han querido desvelar el nombre del kit de desarrollo, los expertos en seguridad de la firma Dr.Web, encargada de descubrir la presencia de este código, han afirmado que se trata de software que permite automatizar la creación y gestión de notificaciones en las aplicaciones destinadas a funcionar en Android.
También han indicado que el funcionamiento de la amenaza es claro y directo: una vez que se encuentra en el dispositivo comienza con la recopilación de datos que posteriormente se enviarán a un servidor de control. Cuentas de correo electrónico, la ubicación del dispositivo, información sobre el operador de red o si existe Google Play en el terminal son algunos de los datos que se envían sin que el usuario sea consciente.
Gmobi solo busca mostrar anuncios al usuario
  • Aunque nos encontramos ante un virus, hay que decir que no es tan peligroso y dañino de cara a los datos del usuarios, ya que no realiza la recopilación ni de imágenes ni otros archivos que puedan contener información importante. Una vez se ha procedido al envío de la información y esta se ha recibido y procesado, el terminal recibirá actualizaciones software para crear accesos directos que llevarán al usuario a unas páginas determinadas. Este software adicional también permitirá a los propietarios del adware mostrar anuncios de forma periódica.
Eliminar la amenaza puede resultar una tarea complicada
  • Teniendo en cuenta que Gmobi se encuentra en el código del firmware que posee el dispositivo no es fácil llevar a cabo su eliminación, o al menos haciendo uso de los métodos habituales. Teniendo todo esto en cuenta, al usuario solo le queda descargar una nueva imagen y proceder a su flasheo. De esta forma se asegurará que el malware desaparezca y que el terminal móvil o tableta quede libre de este virus informático.
Fuente: Softpedia

ANDROID. Descubren una nueva forma de explotar la vulnerabilidad Stagefright

Un grupo de investigadores ha descubierto una nueva forma de seguir explotando esta vulnerabilidad en el sistema operativo móvil de Google, incluso aunque este tenga instalados las últimas actualiaciones de seguridad.
Recursos afectados
  • Este grupo de investigadores ha descubierto la vulnerabilidad utilizando un Nexus 5, aunque después la ha reproducido igualmente en otros smartphones como el LG G3, un HTC One o un Samsung Galaxy S5. 
  • Las versiones de Android afectadas por esta nueva vulnerabilidad con Android 2.2, 4.0, 5.0 y 5.1. Cualquier otra versión de Android no es vulnerable.
Detalle e Impacto de la vulnerabilidad
  • Durante el ataque, los investigadores han sido capaces de lograr acceso completo a los archivos del sistema, así como copiar y borrar los mismos. Además, también han logrado acceder a la cámara y al micrófono del mismo.
  • El ataque para explotar esta vulnerabilidad puede resumirse en tres simples pasos. El primero de ellos es hacer que el usuario visite una web con un vídeo capaz de bloquear el centro multimedia de Android y hacer que este se reinicie. Una vez logrado, un JavaScript recopila información sobre el smartphone e intenta cargar otro vídeo en el smartphone vulnerable, el cual facilita más información sobre el estado interno del dispositivo. Por último, un tercer vídeo se encarga de ejecutar un malware en la memoria, gracias al cual el atacante consigue control total sobre el dispositivo.
  • Esta nueva vulnerabilidad puede denominarse como Stagefright 2.0 ya que, aunque afecta a un menor número de versiones de Android, es mucho más sencillo de explotar que la primera vulnerabilidad detectada en 2015.
Google ha liberado los primeros boletines para los Nexus.
  • Google no ha tardado mucho en desarrollar un nuevo parche para solucionar esta vulnerabilidad en sus propios smartphones, los Nexus. A lo largo de este fin de semana, todos estos dispositivos han recibido una actualización OTA de la mano de Google con la que se solucionaba dicha vulnerabilidad, sin embargo, aún quedan millones de dispositivos vulnerables a la espera de recibir la actualización.
  • Mientras que los diferentes fabricantes publican sus propias OTA para solucionar este nuevo Stagefright, lo más recomendable es evitar visitar páginas web de dudosa fiabilidad, por ejemplo, que recibamos a través de correos electrónicos desde fuentes que no conozcamos.
  • Si nuestro smartphone es relativamente antiguo, lo más probable es que no se actualice y quedemos expuestos. En ese caso os recomendamos intentar instalar CyanogenMod, una de las mejores Roms de Android que, entre otras muchas cosas, nos permite tener los últimos boletines de seguridad instalados, así con la versión más reciente de Android (actualmente la 6.0 Marshmallow) incluso aunque nuestro smartphone ya no reciba actualizaciones por parte del fabricante.
Fuente: Exploit db