20 de septiembre de 2018

IESE. La web de la escuela de negocios sufre un ciberataque

La web de venta de material IESE Publishing de la escuela de negocios IESE ha sufrido un hackeo cuya autoría ha sido reivindicada por el grupo La Nueve (Anonymous), que asegura haber tenido acceso a miles de datos personales de clientes de la escuela de negocios, si bien todavía se desconoce el alcance el ciberataque.
El grupo La Nueve, vinculado a la red Anonymous, se ha proclamado autor del hackeo en sus cuenta de Twitter, en la que ha asegurando que ha accedido a mas de 41,7 millones de correos y de 300.000 datos personales.
"Trabajar con servidores bajo Windows XP y ASPNET es una osadía, mucho más si se almacenan en ellos 41.782.180 correos, 301.148 datos personales... Una base de datos Oracle debe estar bien salvaguardada a ojos curiosos o amantes de las Coronitas y no dejar que compremos 'casos de negocios' con cuentas ajenas", han apuntado los hackers.
Esta mañana, IESE ha reconocido en Twitter que IESE Publishing ha sido víctima de un hackeo y que se ha producido un acceso a datos de clientes. "Estamos analizando el alcance del ataque y hemos cerrado el acceso a la tienda online. En breve, informaremos", indicaba.
Un portavoz de IESE Business School ha explicado a Europa Press que están tratando de recabar toda la información posible y analizando hasta dónde ha llegado el ataque.
Desde el IESE han recalcado que, "en principio", lo que se ha hackeado es su tienda online de venta de casos de negocio y a lo largo de la mañana enviaran un comunicado para explicar las consecuencias y las medidas tomadas por la entidad.
Fuente: El Economista.es

UE. El Parlamento aprueba nueva ley copyright que cambiará concepto de Internet

El pleno del Parlamento Europeo ha aprobado por 438 votos a favor frente a 226 en contra, la nueva propuesta de los derechos de autor respaldando así los controvertidos artículos 11 y 13. Éstos hacen referencia al control del contenido por parte del creador y a la responsabilidad que tendrán plataformas sobre los archivos que los usuarios alojen en ella.
La nueva normativa ha vuelto a votarse hoy en la institución después de que se rechazase el pasado mes de julio con 318 votos en contra frente a 278 apoyos y 31 abstenciones.
Tras el respaldo logrado, el texto iniciará ahora trámite parlamentario que implicaría al Consejo, Comisión y Parlamento, con el objetivo de que pueda ser aprobado a finales de este año o a principios de 2019. Tras ese trámite, tocará a los 28 Estados miembros aplicar la nueva norma europea a la legislación local de cada país.
Una vez que se concluyan los caminos burocráticos, es de esperar que la legislación sea llevada ante la Justicia por asociaciones y empresas afectadas por el nuevo texto.
La ley sobre el copyright europeo ha sido tremendamente controvertida por los artículos 11 y 13, ya que cambia por completo el actual uso que se hace de internet y las redes sociales, lo que ha levantado un gran movimiento online en contra de la reforma.
En concreto, el texto obligaría por un lado a establecer límites a la hora de enlazar a las publicaciones, y por otro insta a las plataformas online -como Google, Facebook o Youtube- a supervisar los contenidos que los usuarios comparten en ellas, para asegurarse de que no se vulneren los derechos de autor. De este modo se abre la puerta a que las tecnológicas puedan automatizar la moderación de mensajes para cumplir con el requerimiento.
El artículo 11 reconoce el derecho legal renunciable de los medios de comunicación a reclamar a las plataformas digitales durante un periodo de 20 años compensaciones por compartir fragmentos de sus contenidos informativos. De este modo, las plataformas online y grandes agregadores de noticias como Google News deberán compensar por enlazar a otras páginas.
Por su parte, el artículo 13 establece que las plataformas digitales que faciliten acceso público a "grandes cantidades de obras" adoptarán las "medidas pertinentes" para asegurar el "correcto funcionamiento" de los acuerdos alcanzados con los titulares de derechos de autor o incluso para "impedir que estén disponibles en sus servicios".
Wikipedia y plataformas sin ánimo de lucro quedarán exentas
Las nuevas medidas afectarán directamente a YouTube, Facebook o Google News, sin embargo, el texto recoge algunas excepciones y excluye de estas oblicaciones a plataformas pequeñas o microagregadores europeos, con lo que la iniciativa se enfoca principalmente a las grandes tecnológicas.
Entre los que quedan fuera de la aplicación del nuevo texto, también se especifica que la carga a las enciclopedias en línea de una manera no comercial, como Wikipedia, o las plataformas de software de código abierto, como GitHub, se excluirán automáticamente del requisito de cumplir con las normas de derechos de autor.
"Estoy muy contento de que a pesar de la fuerte campaña de cabildeo de los gigantes de Internet, ahora hay una mayoría en toda la casa que respalda la necesidad de proteger el principio de pago justo para creativos europeos", ha explicado el promotor de la nueva ley del copyright, Axel Voss, miembro del Partido Popular Europeo.
Por su parte Julia Reda, vicepresidenta del Grupo de Los Verdes en el Parlamento, ha explicado que la votación supone "es un duro golpe para la Internet libre y abierta. Al respaldar los nuevos límites legales y técnicos sobre lo que podemos publicar y compartir en línea, el Parlamento Europeo está poniendo las ganancias corporativas por encima de la libertad de expresión y abandona los viejos principios que hicieron de internet lo que es hoy".
Google, uno de los principales afectados, ha comentado que "la gente quiere acceso a noticias de calidad y contenido creativo online. Siempre hemos sostenido que la innovación y la colaboración son la mejor manera de lograr un futuro sostenible para los sectores informativos y creativos europeos, y estamos comprometidos en una asociación cercana y continua con estas industrias".
Fuente: El Economista.es

AMAZON. Investiga supuesta filtración de datos de empleados a cambio de sobornos

Amazon.com Inc. dijo el lunes que estaba investigando supuestas filtraciones internas de información confidencial por parte de algunos empleados a cambio de sobornos para eliminar valoraciones negativas de su web.
Empleados de Amazon están ofreciendo datos internos y otra información clasificada a través de intermediarios, a vendedores independientes que ofrecen sus productos en la web para ayudarles a aumentar las ventas a cambio de pagos, informó el Wall Street Journal el domingo, citando fuentes. (on.wsj.com/2NNebte)
La práctica, que es una violación de la política de la compañía, es particularmente importante en China, añadió el diario, en un momento en el que el número de vendedores allí se está disparando.
“Sometemos a nuestros empleados a un alto estándar ético y cualquier persona que viole nuestro código se enfrenta a medidas disciplinarias, incluyendo el despido y posibles sanciones legales y penales”, dijo un portavoz de la compañía a Reuters.
El WSJ dijo en su reporte que intermediarios de empleados de Amazon en Shenzhen están ofreciendo métricas de ventas internas y direcciones de correo electrónico de los clientes que dejan valoraciones, así como un servicio para eliminar las críticas negativas y restablecer cuentas inhabilitadas de Amazon a cambio de pagos de entre 80 y más de 2.000 dólares.
El gigante del comercio electrónico también está investigando una serie de casos en los que están involucrados empleados, entre ellos algunos en Estados Unidos, sospechosos de aceptar estos sobornos, según el diario.
Fuente: Reuters

IRÁN. Acusa a Twitter del cierre de cuentas legítimas pero no las que van contra gobierno

El ministro iraní de Relaciones Exteriores Mohammad Javad Zarif acusó el domingo a Twitter de cerrar cuentas de iraníes “reales”, mientras permite las que están en contra del gobierno, respaldadas por Estados Unidos.
En agosto, Facebook Inc, Twitter Inc y Alphabet Inc eliminaron colectivamente cientos de cuentas vinculadas con una supuesta operación de propaganda iraní.
“Hola @Jack. Twitter ha cerrado cuentas de iraníes reales, (incluyendo) presentadores de TV y estudiantes, por participar supuestamente de una ‘operación de influencia’”, dijo Zarif en un tuit, refiriéndose al CEO de Twitter, Jack Dorsey.
“¿Qué tal si miran los bots reales en (la capital albanesa de) Tirana usados para lanzar propaganda de ‘cambio de régimen’ escupida por (Washington) DC? #YouAreBots”, dijo Zarif.
Twitter se abstuvo de comentar cuando fue contactado por Reuters en Estados Unidos.
Medios iraníes han acusado a Israel, Arabia Saudita y grupos opositores en el exilio, incluyendo los Mujahideen Khalq, que tienen algunos miembros basados en Albania, de estar detrás de campañas de redes sociales pidiendo el derrocamiento del gobierno islámico.
El líder supremo iraní, el ayatola Ali Khamenei, acusó a Estados Unidos e Israel este mes de librar una guerra mediática para desalentar a los iraníes, mientras el país enfrenta dificultades económicas tras la reimposición de las sanciones estadounidenses.
Fuente: Reuters

Bancos y operadores lanzan primera plataforma "blockchain" de materias primas

Bancos globales y operadoras están lanzando la primera plataforma basada en cadenas de bloques o “blockchain” para financiar la comercialización de materias primas, desde petróleo hasta trigo, dijeron en un comunicado conjunto el miércoles.
La plataforma será administrada por una empresa llamada komgo SA, con sede en Ginebra, Suiza, y será lanzada en el transcurso de este año.
Los bancos y las principales operadoras han estado probando numerosos planes piloto con materias primas en los últimos años, pero este emprendimiento será el primero al que cualquier empresa podrá unirse.
Entre los fundadores de komgo figuran ABN AMRO, BNP Paribas, Citi, Crédit Agricole Group, Gunvor, ING, Koch Supply & Trading, Macquarie, Mercuria, MUFG Bank, Natixis, Rabobank, Shell, SGS y Societe Generale.
“Blockchain”, originalmente la plataforma detrás de la criptomoneda bitcoin, es vista por muchos como una solución a las operaciones y transacciones deficientes y se espera que mejore la transparencia al reducir el riesgo de fraudes.
Como un libro de contabilidad de alta tecnología, la plataforma “blockchain” utiliza una base de datos compartida que se actualiza en tiempo real y puede procesar y liquidar transacciones en minutos sin necesidad de una verificación de terceros.
En lugar de compartir una montaña de papeles entre una larga lista de participantes, un operador podrá usar una nota de crédito digital, acelerando considerablemente las transacciones.
komgo se utilizará primero para la energía. Los primeros intercambios serán cargas rudimentarias en el Mar del Norte, la región de referencia para la mayor parte del comercio mundial de crudo.
A partir de inicios del próximo año komgo se ampliará a la agricultura y los metales. La empresa trabajará junto con Vakt, una plataforma de comercialización de energía administrada por muchos de los mismos accionistas de komgo.
La plataforma será desarrollada en asociación con la empresa de tecnología de “blockchain” ConsenSys.
Fuente: Reuters

Renault-Nissan utilizará Android para el "infoentretenimiento" de sus vehículos

La alianza automovilística Renault-Nissan-Mitsubishi dijo el martes que usará el sistema operativo Android de Google en sus futuros vehículos, una victoria del gigante tecnológico estadounidense en su intento de ganar cuota en el mercado de la información y el entretenimiento.    
Renault, Nissan y Mitsubishi, con ventas combinadas de 10,6 millones de vehículos el año pasado, dijeron que “integrarán aplicaciones y servicios de Google”, entre ellos Mapas y el Asistente de Google por voz, en sus coches.
La decisión, adelantada por el Wall Street Journal, supone optar más claramente por la tecnología que lo que muchos grandes o lujosos fabricantes rivales han estado dispuestos a hacer, temerosos de perder el control de las relaciones y los datos de los clientes, así como los potencialmente importantes ingresos futuros de los servicios conectados.
A cambio, llevará toda la potencia de las miles de aplicaciones de Android a los modelos de Renault, Nissan y Mitsubishi, que incluyen ventas significativas de automóviles asequibles y de bajo costo en mercados emergentes.
La iniciativa también eleva la presión sobre algunos proveedores de tecnología automovilística, como el especialista en navegación por satélite TomTom. Sus acciones se desplomaron alrededor de un 25 por ciento ante la noticia.    La asociación con Google promete “ricas experiencias de usuario que actualmente están disponibles sólo fuera del vehículo o, en cierta medida, conectando un dispositivo Android a vehículos compatibles”, dijo el jefe de desarrollo de la alianza, Hadi Zablit.
Los primeros vehículos equipados con Android se lanzarán en 2021, dijo la alianza el martes, sin revelar ninguno de los términos financieros de la operación.
Fuente: Reuters

CRYPTOJACKING. Principal amenaza informática con 2,4 millones de ataques en 2018

El 'cryptojacking' se ha convertido en la principal amenaza para la seguridad de los dispositivos electrónicos durante la primera mitad de 2018, año en el que la tendencia de los ciberataques se inclina hacia estas prácticas con casi 2,4 millones de casos registrados en Windows durante los seis meses iniciales.
Las empresas de ciberseguridad Panda y G Data evidencian esta deriva hacia el 'cryptojacking' en la actividad de los piratas informáticos, cada vez más interesado en el minado fradulento de criptomonedas, según datos recogidos en sendos informes.
Así, Panda publica que la Administración Pública española ha sufrido un ascenso del 4.000% en cuanto a este tipo de infracciones con respecto al año anterior completo, y ha valorado a este 2018 como "el año del 'cryptojacking'".
El 'cryptojacking' consiste en el secuestro de equipos ajenos por parte de cibercriminales que utilizan la potencia del procesador y de la tarjeta gráfica para realizar minado de monedas virtuales. Este proceso se lleva a cabo de forma oculta, pues pasa inadvertido para los usuarios, y los ciberdelincuentes se enriquecen con él.
Los ataques se desencadenan al descargar 'malware' alojado en páginas web, por lo que no es necesario ejecutar ningún archivo para infectar el ordenador y no queda ningún rastro en el disco duro al cargarse directamente en la memoria. El único síntoma a corto plazo que los dispositivos experimentan son el ralentizamiento de sus funciones, junto con un deterioro acelerado a largo plazo.
Los 2,4 millones de ataques registrados hasta junio suponen 13.000 infracciones al día, o lo que es lo mismo, nueve cada minuto. Con estas cifras, el 'cryptojacking' se ha convertido en la principal ciberamenaza del momento, superando al 'ransomware', 'malware' de 2017 según Panda.
El 'ransomware' (que bloquea los archivos de un dispositivo y exige un rescate económico), ha sido superado en número por los casos de 'cryptojacking', como indica el informe de G Data. Tres puestos dentro de las diez nuevas amenazas y cuatro de los diez Programas Potencialmente No Deseados (PUP) del año son de este tipo.
A lo largo de estos meses se han dado diversos casos notorios de minado de criptomonedas en empresas, su objetivo principal debido a los recursos que estas poseen, entre los que destacan los que afectaron a YouTube, GitHub o Microsoft en su programa Word, entre otros. También resaltan ataques masivos como los que afectaron a la empresa brasileña MikroTik o al sistema operativo Drupal.
El creciente interés por las divisas informáticas también es palpable en Reino Unido, donde el 59% de las empresas ubicadas en el país han sido afectadas por este tipo de ataques en algún momento, y de los cuales el 80% se han producido en este 2018.
No obstante, las empresas no son el único blanco de los ciberdelincuentes, pues también se han conocido casos de minado en usuarios particulares. Entre estos, el efectuado por un grupo criminal chino que se valió de más de un millón de ordenadores minando criptomonedas, o el ocasionado por una versión falsa de Fortnite para Android.
Fuente: Europa Press

IBM. Detecta sesgos en decisiones de IA mediante nuevo servicio de nube

IBM ha presentado este miércoles un nuevo servicio de 'software' que se añade a su plataforma en la nube IBM Cloud que está orientada para su uso por parte de empresas y que es capaz de detectar sesgos en las decisiones tomadas por las herramientas basadas en la Inteligencia Artificial.
Las nuevas tecnologías tienen como objetivo proporcionar a las empresas una mayor transparencia respecto a la aplicación de la Inteligencia Artificial (IA), como ha informado IBM a través de un comunicado.
"Estamos facilitando a las empresas que utilizan la IA una mayor transparencia y control para afrontar el riesgo potencial de una toma de decisiones errónea", ha afirmado David Kenny, vicepresidente sénior de Soluciones Cognitivas de IBM.
El nuevo servicio de IBM detecta automáticamente los sesgos y proporciona la explicación sobre las decisiones que toma la IA. Funciona en tiempo real, y cuando detecta un sesgo recomienda soluciones para incorporar los datos a los modelos.
La herramienta proporciona explicaciones de fácil comprensión, junto con los factores que motivaron la decisión, la confianza y un registro de precisión. La información se muestra a las empresas través de cuadros de mando visuales.
Se construye a partir varios 'frameworks' de 'machine learning' y entornos personalizados de IA como Watson, Tensorflow, SparkML, AWS SageMaker y AzureML. Es posible personalizar su funcionamiento al programarlo para monitorizar aspectos distintos según el flujo de trabajo de la empresa.
Este servicio ya está disponible en IBM Cloud para ayudar a las empresas a administrar sistemas de IA de una amplia variedad de sectores, así como a través de IBM Services. Asimismo, IBM pondrá a disposición para la comunidad el kit de herramientas AI Fairness 360 de reducción y detección de sesgos en código abierto.
Fuente: Europa Press

MOODLE. Múltiples vulnerabilidades

Descubiertas 3 vulnerabilidades en Moodle, una de criticidad alta y 2 de criticidad baja. Estas vulnerabilidades podrían ocasionar un XSS reflejado (o indirecto) o una inyección y ejecución de código PHP; además, se ha actualizado una librería de terceros como medida de precaución, catalogadas de Importancia: 4 - Alta
Recursos afectados:
Se han visto afectadas las siguientes versiones, según la vulnerabilidad:
  • MSA-18-0019: 3.5 hasta 3.5.1, 3.4 hasta 3.4.4, 3.3 hasta 3.3.7 y versiones anteriores sin soporte.
  • MSA-18-0018: 3.5 hasta 3.5.1, 3.4 hasta 3.4.4, 3.3 hasta 3.3.7, 3.1 hasta 3.1.13 y versiones anteriores sin soporte.
  • MSA-18-0017: 3.5 hasta 3.5.1, 3.4 hasta 3.4.4, 3.1 hasta 3.1.13 y versiones anteriores sin soporte.
Recomendación
Se han puesto a disposición de los usuarios las siguientes actualizaciones en función de la vulnerabilidad:
  • MSA-18-0019: 3.5.2, 3.4.5 y 3.3.8.
  • MSA-18-0018 y MSA-18-0017: 3.5.2, 3.4.5, 3.3.8 y 3.1.14.
Detalle de vulnerabilidades
La vulnerabilidad de criticidad alta es la siguiente:
Al importar preguntas de prueba heredadas con el método drag and drop into text, un atacante podría inyectar y ejecutar código PHP en las preguntas importadas, ya sea intencionadamente o importando preguntas de una fuente no confiable.
Se han reservado los siguientes identificadores para estas vulnerabilidades: CVE-2018-14631 (MSA-18-0019), CVE-2018-1999022 (MSA-18-0018) y CVE-2018-14630 (MSA-18-0017).
Más información
Fuente: Hispasec

Vulnerabilidad en BIG-IP ASM de F5

F5 ha descubierto una vulnerabilidad que afecta a BIG-IP ASM, por la cual, puede dejar de aplicar las firmas de ataque despúes de activar una política de seguridad que incluye una nueva firma, catalogada de Importancia: 3 - Media
Recursos afectados:
BIG-IP ASM versiones comprendidas entre la 12.1.2 y la 12.1.3.6
Recomendación
También recomienda actualizar las otras políticas de seguridad para hacer referencia al nuevo ID de colección de firmas.
Detalle de vulnerabilidades
El problema aparece cuando se cumplen las siguientes condiciones:
  • El sistema BIG-IP ASM ejecuta versiones comprendidas entre 12.1.2 a 12.1.3.6.
  • Tiene configuradas múltiples políticas de seguridad en el sistema BIG-IP ASM.
  • Una de las políticas de seguridad incluye una nueva firma de ataque no incluida en otras políticas.
  • Activa la política de seguridad que incluye la nueva firma.
Cuando se activa la política de seguridad, el sistema regenera la colección de firmas base con una ID incrementada. Cuando se produce este problema, solo se actualiza la política de seguridad recientemente activada para hacer referencia al nuevo ID de colección de firmas.
Más información
Fuente: INCIBE

Múltiples vulnerabilidades corregidas en Apple iOS 12

Apple ha sacado un boletín de seguridad corrigiendo múltiples fallos de iOS 12, el sistema operativo de iPhone, entre ellos alguno que permite ejecutar código arbitrario
Revelación de información, elevación de privilegios, falsificación de contenido... Éstas son algunos de los impactos asociados a las vulnerabilidades que se abordan en el último boletín de Apple para su sistema operativo iOS en su versión 12. Además de usarse en el archiconocido iPhone, también está presente en la mayoría de los dispositivos móviles de la marca como el iPad o el iPod touch. Esta vez, todas las vulnerabilidades reportadas tienen un identificador CVE asociado. A continuación, repasamos las vulnerabilidades contenidas en el boletín:
CVE-2018-4322
  • Módulo: Accounts
  • Impacto: Una aplicación puede obtener un identificador persistente de una cuenta
  • Solución: Mejora del sistema de permisos
CVE-2018-5383
  • Módulo: Bluetooth
  • Impacto: Un atacante en una posición privilegiada de la red puede interceptar tráfico
  • Solución: Mejora de validación de entradas
CVE-2018-4330
  • Módulo: Core Bluetooth
  • Impacto: Una aplicación puede ejecutar código arbitrario con privilegios del sistema
  • Solución: Mejora del manejo de memoria para evitar su corrupción
CVE-2018-4356
  • Módulo: CoreMedia
  • Impacto: Una aplicación puede obtener información sobre lo que ve la cámara antes de tener concedido el acceso a ella
  • Solución: Mejora de validación de permisos
CVE-2018-4335
  • Módulo: IOMobileFrameBuffer
  • Impacto: Una aplicación puede leer memoria restringida
  • Solución: Mejora del saneamiento de entradas
CVE-2018-4305
  • Módulo: iTunes Store
  • Impacto: Un atacante en una posición privilegiada de la red puede falsear diálogos que piden contraseñas
  • Solución: Mejora de validación de entradas
CVE-2018-4363
  • Módulo: Kernel
  • Impacto: Una aplicación puede leer memoria restringida
  • Solución: Mejora del validación de entradas en el kernel
CVE-2018-4313
  • Módulo: Messages
  • Impacto: Un usuario local puede descubrir mensajes borrados de un usuario
  • Solución: Mejora en el borrado de mensajes
CVE-2018-4352
  • Módulo: Notes
  • Impacto: Un usuario local puede descubrir notas borradas de un usuario
  • Solución: Mejora en el borrado de notas
CVE-2018-4313
  • Módulo: Safari
  • Impacto: Un usuario local puede descubrir páginas web de un usuario
  • Solución: Mejora en el manejo de snapshots de aplicaciones
CVE-2018-4329
  • Módulo: Safari
  • Impacto: El borrado de elementos del historial de navegación no es completo
  • Solución: Mejora en el borrado de elementos, que contempla redirecciones
CVE-2018-4307
  • Módulo: Safari
  • Impacto: Una web maliciosa puede extraer información del autocompletado
  • Solución: Mejora en la gestión de estados lógicos
CVE-2018-4362
  • Módulo: SafariViewController
  • Impacto: Una web maliciosa puede modificar el contenido de la barra de direcciones
  • Solución: Mejora en en la gestión de estados de la interfaz de usuario
CVE-2016-1777
  • Módulo: Security
  • Impacto: Un atacante puede explotar debilidades del algoritmo criptográfico RC4
  • Solución: Eliminación del algoritmo RC4
CVE-2016-4325
  • Módulo: Status Bar
  • Impacto: Una persona con acceso físico al dispositivo puede determinar la última aplicación usada con la pantalla bloqueada
  • Solución: Mejora de restricciones
CVE-2018-4338
  • Módulo: Wi-Fi
  • Impacto: Una aplicación puede leer memoria restringida
  • Solución: Mejora del saneamiento de entradas.
  • Todas las vulnerabilidades han sido corregidas por Apple en la última versión disponible de iOS 12.
Más información:
·        Apple security update - HT209106 https://support.apple.com/en-us/HT209106
Fuente: Hispasec

Exploit basado en CSS puede bloquear tus dispositivos Apple

Se ha revelado la prueba de concepto que únicamente hace usos de las tecnologías CSS y HTML para llevar a cabo su explotación.
Sabri Haddouche es el nombre del investigador que ha descubierto el reciente fallo. La prueba de concepto liberada fue colgada en Twitter y en su Github. En ella, se demuestra que más allá de un simple bloqueo, la página web, si se visita, provoca un pánico en el kernel del dispositivo y un reinicio completo del sistema.
Explicación del fallo:
El exploit aprovecha una debilidad en el motor de renderizado de Apple Webkit que es utilizado por todas las aplicaciones y navegadores de la conocida marca. Dado que Webkit no cargaba correctamente varios elementos como etiquetas
dentro de una propiedad del filtro CSS, el investigador creó una web que utiliza todos los recursos del dispositivo, provocando el apagado y reinicio del mismo.
Prueba de concepto:
Todos los navegadores que corren sobre iOS son vulnerables a este ataque. Por otro lado, los usuarios de Windows y Linux no se ven afectados por esta vulnerabilidad.
De momento no hay parche disponible contra este fallo, pero se presupone que Apple está investigando el problema.
Más información:
Fuente: Hispasec

Corrupción de la memoria del kernel a través de Webroot SecureAnywhere

Un fallo en el software antivirus SecureAnywhere de Webroot permitiría a un usuario sin privilegios leer o escribir una dirección de memoria arbitraria.
El pasado 13 de septiembre, investigadores de Trustwave han descubierto una vulnerabilidad de corrupción de memoria en la versión de macOS de SecureAnywhere, el software antivirus desarrollado por la empresa Webroot.
La ausencia de control de acceso en uno de los procesos que se comunican con el driver del kernel de Webroot SecureAnywhere, permitirían la desreferencia de un puntero controlado por un usuario (sin privilegios) para leer y escribir en una dirección arbitraria.
La siguiente prueba de concepto publicada por Trustwave provocaría un 'kernel panic' al intentar escribir una dirección que no se encuentra actualmente en memoria:
La vulnerabilidad ha sido corregida en la versión 9.0.8.34 de SecureAnywhere.
Más información:
·        CVE-2018-16962: Webroot SecureAnywhere macOS Kernel Level Memory Corruption https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2018-16962--Webroot-SecureAnywhere-macOS-Kernel-Level-Memory-Corruption/
·        Mac Version 9.0.8.34 (Released July 24th, 2018) http://answers.webroot.com/Webroot/ukp.aspx?pid=10&app=vw&vw=1&login=1&json=1&solutionid=2022
Fuente: Hispasec

Los ataques ‘Cold Boot’ vuelven una década después

Aunque el ataque ‘Cold Boot’ no es nuevo y parecía estar subsanado, los investigadores de seguridad Olle Segerdah y Pasi Saarinen, de F-Secure, aseguran haber conseguido realizar el ataque a varios ordenadores de forma exitosa aprovechando una vulnerabilidad en la forma en las que los ordenadores protegen el firmware, existente en la mayoría de los ordenadores de la actualidad.
El ataque ‘Cold Boot’ o de 'Inicio en frío' es un ataque que se descubrió hace una década y que permitiría a un atacante con acceso físico a una máquina robar claves de cifrado entre otra información sensible. Este ataque consistía en reiniciar el ordenador sin en proceso adecuado de apagado, lo que podría permitir recuperar los datos existentes en la memoria RAM antes de que sean eliminados.
El problema fue subsanado aplicando un proceso de sobreescritura a los datos existentes en la memoria, impidiendo que la información pudiera ser robada. Ahora los investigadores de seguridad aseguran haber descubierto una manera de deshabilitar este proceso, lo que les permitiría realizar un ataque ‘Cood Boot’ al sistema.
Los investigadores también alertan de que este error existe en la mayoría de los ordenadores de hoy en día y aunque los ataque son en frío, no son fáciles de llevar a cabo. Los atacantes deben disponer de tiempo y formas consistentes y confiables para comprometer los equipos objetivos, ya que hay que tener acceso físico a ordenador en cuestión y herramientas adecuadas.
“It’s not exactly easy to do, but it’s not a hard enough issue to find and exploit for us to ignore the probability that some attackers have already figured this out,” says Olle. “It’s not exactly the kind of thing that attackers looking for easy targets will use. But it is the kind of thing that attackers looking for bigger phish, like a bank or large enterprise, will know how to use.”
Los investigadores aseguran que el error no tiene fácil solución y que cada fabricante tendrá que lidiar con el problema. Aún así, Microsoft y Apple están trabajando en una solución conjunta.
Aunque ahora mismo no existe ningún parche oficial, los de Redmon han actualizado sus contramedidas con BitLocker. Por su parte, los de la manzana, han actualizado sus recomendaciones de seguridad, en especial para aquellas personas cuyo ordenador no posea un chip T2, el cual supuestamente ya está protegido frente a este ataque.
El error ha sido presentado en la conferencia SEC-T en Suecia, y el próximo día 27, volverán a hacer una presentación en la conferencia de Microsoft BlueHat v18.
Actualmente los errores han sido reportados a Microsoft y a Apple con los que colaboran para una correcta solución.
Más información:
·        The Chilling Reality of Cold Boot Attacks: https://blog.f-secure.com/cold-boot-attacks/
·        New Cold Boot Attack Unlocks Disk Encryption On Nearly All Modern PCs https://thehackernews.com/2018/09/cold-boot-attack-encryption.html
·        Lest We Remember: Cold Boot Attacks on Encryption Keys  https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderman.pdf
·        [VIDEO] SEC-T 0x0Beyond - Conference day 1 https://www.youtube.com/watch?v=ISE3pxAj7yk
Fuente: Hispasec

Varias extensiones de Kodi comprometidas para minar criptomonedas

El equipo de investigadores de ESET ha encontrado varias extensiones de Kodi utilizadas para distribuir malware de minado de criptomonedas.
Kodi (antiguo XBMC) es un popular 'Media Center' soportado de forma nativa en las principales plataformas: Linux, Mac OS X y sistemas operativos de Microsoft Windows.
Kodi por si solo no provee ningún contenido, está pensado para ser extendido mediante aplicaciones de terceros. Esta característica ha sido explotada más de una vez por algunos atacantes para incluir código malicioso en las instalaciones de sus usuarios.
En el caso que nos ocupa se trata de una campaña de software de minado de criptomonedas distribuido desde dos populares repositorios de plugins para Kodi: Bubbles y Gaia (y sus respectivos forks).
El análisis de ESET reveló que el malware funciona sobre Windows y Linux para minar la criptomoneda Monero (XMR).
La infección puede ocurrir de tres formas:
  1. Incluyendo un repositorio malicioso e instalando alguna de las extensiones comprometidas.
  2. Instalando una versión de Kodi que incluya el repositorio malicioso de serie.
  3. Instalando una versión de Kodi con las extensiones comprometidas de serie.
Los países más afectados han sido Estados Unidos, Israel, Grecia y Reino Unido.
Recomendación
  • Para evitar y/o contrarrestar la amenaza recomendamos bloquear aquellos repositorios de terceros no confiables y escanear el dispositivo con algún software antivirus actualizado.
Algunos IOCs proporcionados por ESET:
  • B8FD019D4DAB8B895009B957A7FEBAEFCEBAFDD1
  • BA50EAA31441D5E2C0224B9A8048DAF4015735E7
  • 717C02A1B040187FF54425A64CB9CC001265C0C6
  • F187E0B6872B096D67C2E261BE41910DAF057761
  • 4E2F1E9E066D7D21CED9D690EF6119E59CF49176
  • 53E7154C2B68EDBCCF37FB73EEB3E042A1DC7108
  • FF9E491E8E7831967361EDE1BD26FCF1CD640050
  • 3CC8B10BDD5B98BEA94E97C44FFDFB1746F0C472
  • 389CB81D91D640BA4543E178B13AFE53B0E680B5
  • 6DA595FB63F632EE55F36DE4C6E1EB4A2A833862
  • 9458F3D601D30858BBA1AFE1C281A1A99BF30542
  • B4894B6E1949088350872BDC9219649D50EE0ACA
  • 79BCC4F2D19A394DD2DB2B601208E1D1EA57565B
  • AAAEDE03F6C014CEE8EC0D9C0EA4FC7B0E67DB59
  • C66B5ADF3BDFA87B0731512DD2654F4341EBAE5B
  • F0196D821381248EB8717F47C70D8C235E83A12E
  • 7CFD561C215DC04B702FE40A199F0B60CA706660
  • 08406EB5A8E75F53CFB53DB6BDA7738C296556D6
  • 2000E2949368621E218529E242A8F00DC8EC91ED
  • 5B1F384227F462240178263E8F2F30D3436F10F5
  • B001DD66780935FCA865A45AEC97C85F2D22A7E2
  • C6A4F67D279478C18BE67BEB6856F3D334F4AC42
  • EE83D96C7F1E3510A0D7D17BBF32D5D82AB54EF3
  • 38E6B46F34D82BD23DEACD23F3ADD3BE52F1C0B6
  • 90F39643381E2D8DFFF6BA5AB2358C4FB85F03FC
  • B9173A2FE1E8398CD978832339BE86445ED342C7
  • D5E00FB7AEA4E572D6C7C5F8D8570DAB5E1DD156
  • D717FEC7E7C697D2D25080385CBD5C122584CA7C
  • DF5433DC7EB272B7B837E8932E4540B216A056D8
Más información:
·        Kodi add-ons launch cryptomining campaign https://www.welivesecurity.com/2018/09/13/kodi-add-ons-launch-cryptomining-campaign/
Fuente: Hispasec

Denegación de servicio y revelación de información en FreeBSD

Una vulnerabilidad en el procesador del formato ELF en el cargador de ejecutables permite forzar el apagado del sistema y extraer información del espacio de memoria del núcleo
Denegación de servicio y revelación de información sensible si puedes correr un ejecutable en la máquina. Ese es el impacto de la última vulnerabilidad reportada en FreeBSD, vulnerabilidad que se puede explotar a través de la ejecución de un ejecutable ELF especialmente diseñado. El código responsable de cargar los ejecutables en memoria es un código especialmente sensible, debido a la cantidad de veces que es llamado por el sistema operativo y a tener que tratar en el núcleo con datos que provienen del usuario.
Lo cierto es que la mayoría del código útil cumple la última condición y procesa en el núcleo datos que vienen del usuario. El problema real es la complejidad de los datos a procesar. Como ejemplo contrario al que nos ocupa, podemos pensar en una llamada al sistema que escribe datos a un archivo. Simplificando, esa llamada al sistema tendría tres argumentos: la ruta del archivo, los datos a escribir y la longitud de estos datos. Los datos a escribir no tienen complejidad alguna para ser procesados: pueden contener cualquier cosa, y se volcarán directamente al archivo. Lo único que debería respetarse es que la longitud de los datos fuese correcta, pero si no lo es, tampoco pasa nada. El sistema operativo volcará más datos de los reales, cogiendo del siguiente trozo de memoria, o llegando a cerrar el proceso que llama si por especificar mal la longitud termina leyendo memoria a la que no tiene acceso.
El último argumento que nos queda es la ruta del archivo. Una ruta de un archivo tiene un formato relativamente sencillo, una serie de nombres separados por barras. Hay algunos caracteres que no pueden contener, así como otros caracteres que pueden dar problemas en ciertos sistemas de archivos, pero es sencillo saber si una ruta de archivo está bien formada y extraer la información que necesitemos de ésta. Otro cantar es el tema que nos ocupa, el procesamiento del formato ELF en los ejecutables:
Al final, el procesamiento de una estructura de datos es similar al procesamiento de lenguajes de programación (parsing), en el sentido de que ambos tienen una estructura predefinida y una lista de construcciones permitida. Y el problema de muchos formatos de archivo, incluido el formato ELF, es que se equiparan a una categoría de lenguajes difíciles de procesar. Por tanto, la complejidad del código para procesarlos aumenta, aumentando también la posibilidad de que exista un fallo de seguridad en el código. Hay publicaciones científicas con proposiciones para simplificar este tipo de formatos sin perder expresividad, como ésta, pero lo cierto es que lo ideal es intentar simplificar lo máximo posible las estructura de datos. De esta forma, se simplificaría el código que las procesa, y los fallos de seguridad serían mucho menos frecuentes.
Pero como siempre, la seguridad aquí se enfrenta a la necesidad de retrocompatibilidad y diseño fácil (que no es lo mismo que el resultado del diseño sea complejo). Tenemos que recordar que la seguridad es un compromiso, y hacer algo seguro al 100% es hacerlo inútil o excesivamente costoso.
Más información:
·         FreeBSD-SA-18:12.elf - Improper ELF header parsing https://www.freebsd.org/security/advisories/FreeBSD-SA-18:12.elf.asc
·         Occupy Babel! - LANGSEC explained in a few slogans http://langsec.org/occupy/
·         Context Parsing (Not Only) of the Object-File-Format Description Language http://elib.mi.sanu.ac.rs/files/journals/csis/28/100408.pdf
Fuente: Hispasec