31 de octubre de 2019

ELECCIONES 10N-2019. Campaña de intoxicación contra PSOE y Unidas Podemos. Y suplantación de identidad contra Errejón y MasMadrid . ¿Por qué todos acusan al PP?

El promotor de la campaña de intoxicación para desmovilizar a la izquierda está a sueldo de un gurú electoral de Pablo Casado.
  La campaña opaca, con anuncios en Facebook y carteles en la calle que promueve la abstención entre votantes de PSOE y Unidas Podemos, podría alcanzar un coste total de unos 40.000€
El PSOE presentará su denuncia este jueves.
En el recurso al que ha tenido acceso eldiario.es, los socialistas subrayan que las campañas son "contrarias al principio de transparencia" y que inducen "confusión entre el electorado". El PSOE también instan a la Junta Electoral a castigar esa conducta pese al "anonimato" o a tratarse de "personas físicas". Sostienen que no puede usarse como "escudo" porque "suponen una clara injerencia en los procesos electorales". El recurso apunta directamente al PP al considerar que "está acreditada una relación indirecta –comercial o de afinidad–", aunque actúen como "hombres de paja".
El malestar en el PSOE es completo y ha llegado a la cúspide. Sánchez ha hecho alusión al caso en un mitin celebrado a última hora de este miércoles en Barcelona: "Resulta que el PP anda haciendo lo de Trump con estas campaña de noticias falsas diciendo que son votantes de izquierdas que andan disgustados con el PSOE. Que les quede bien claro (...) que cuenten con nosotros porque vamos a votar el 10 de noviembre, vamos a votar progresista y vamos a votar al PSOE". "Primero caja B y ahora campaña en B, no tienen remedio", ha reprochado.
Hoy los medios cuentan que el PP anda haciendo campañas de desinformación. Están fingiendo ser votantes de izquierdas y llamando a la abstención.
Primero fue la caja B y ahora, campaña en B.
Que les quede claro: iremos a votar el #10N y votaremos progresista.#AhoraSí#AraSí🌹 pic.twitter.com/tkAvLY8FQP
— Pedro Sánchez (@sanchezcastejon) October 30, 2019
Los socialistas denuncian, además, que llueve sobre mojado y acusan a Sanmartín de estar detrás de la campaña negativa contra Susana Díaz en los comicios del pasado 2 de diciembre que se impulsó bajo el nombre "Socialistas por el Cambio en Andalucía". El consultor que trabaja ahora para Pablo Casado fue el responsable de la campaña del PP andaluz para las autonómicas e incluso recibió un premio por ella.
Los medios de comunicación han destapado la estrategia de Moreno Bonilla que ahora pretendía aplicar Casado 👇🏻
MANIPULAR CON PÁGINAS FALSAS Y FAKE NEWS PARA FOMENTAR QUE LA GENTE NO VAYA A VOTAR
🚨 En #Andalucía, el #2D 👉🏻 Abstención del 41%#PPTramposopic.twitter.com/6UKlwlUMux
— PSOE de Andalucía (@psoedeandalucia) October 30, 2019
UNIDAS PODEMOS también al ataque contra el PP
 En varios mensajes a través de redes sociales, aunque en el momento de redactar esta información estaba "valorando" si daban algún paso más, como acudir a la Junta Electoral. "Financiaron ilegalmente sus campañas, usaron a los mafiosos de las cloacas policiales y mediáticas para mentir sobre Podemos y ahora lanzan una campaña posiblemente ilegal llamando a la abstención. El PP es experto en juego sucio para amañar la democracia", ha denunciado el responsable de Acción de Gobierno, Acción Institucional y Programa de Podemos, Pablo Echenique.
El PP está bajando el nivel. ¿Antes utilizaba mafiosos de las cloacas y sicarios mediáticos de extrema derecha para difundir basura falsa contra Podemos y ahora sólo campañitas de falsa bandera en Facebook y en alguna farola? Qué decepción. https://t.co/Qx2QIcFWW3
ᴘᴀʙʟᴏ ᴇᴄʜᴇɴɪQᴜᴇ 🇪🇸 (@pnique) October 30, 2019
MÁS PAÍS. Responsabiliza ante la JEC, al PP de estar detrás  campaña  "intoxicación"
Errejón dice, "Si el PP quiere hacer una campaña fomentando la abstención y desmovilización entre la izquierda no la puede hacer de tapadillo, la tiene que hacer de cara" pide a la Junta Electoral Central (JEC), que investigue el caso y lo derive a la Fiscalía si aprecia indicios de un delito de calumnias agravadas.
El candidato a la Presidencia del Gobierno de Más País, Íñigo Errejón, ha apuntado este jueves al Partido Popular como presunto responsable de la "campaña sucia de intoxicación y fake news" para desmovilizar el voto de izquierdas que su partido ha denunciado ante la Junta Electoral Central. "Es legítimo que todo el mundo haga la campaña que quiera, pero si el PP quiere hacer una campaña fomentando la abstención y la desmovilización entre la izquierda no la puede hacer de tapadillo, la tiene que hacer dando la cara", ha sentenciado Errejón, que ha ironizado con que que se ha pasado "de Cambrigde Analitica a Génova Analitica".
Errejón se ha pronunciado así en una entrevista en Los Desayunos de TVE sobre la campaña, difundida por Facebook, con "suplantación" de su identidad, y mediante cartelería en la calle con el lema el "10-N. No contéis conmigo, yo no voto" con la imagen del candidato del PSOE, Pedro Sánchez, y del Unidas Podemos, Pablo Iglesias.
El líder de Más País ha reconocido que él no sabe si el PP está como formación política detrás, pero ha señalado que varias informaciones periodísticas señalan que detrás de la campaña están dos personas "estrechamente vinculadas al PP", al menos en el pasado, que "están pagando anuncios" en algunos casos utilizando su nombre para desmovilizar a la izquierda.
Pide que la JEC acuda a la Fiscalía si ve indicios de delito
En este sentido ha pedido que la Junta Electoral Central aclare la identidad de estas dos personas, su vinculación con el PP y que tome las medidas oportunas, entre ellas, que lo ponga en manos de la Fiscalía si aprecia indicios de un delito de calumnias agravadas. Desde Más Madrid, en cualquier caso, no descartan tomar ninguna otra medida.
El objetivo de estos anuncios está claro para Errejón: "intentar sembrar una cosa, la gran baza del PP en estas elecciones, que es la desmovilización y la abstención" entre el electorado progresista. Ante este intento, el candidato de Más País ha señalado "el camino": que el electorado progresista acuda a las urnas a votar la opción que prefiera, pero que no se quede en casa.
Errejón ha reclamado una campaña "limpia" sin las "malas artes" que ya se han visto en Brasil con Bolsonaro, en Estados Unidos con Trump o en el Reino Unido con el Brexit. "Lo que nos estamos jugando es la democracia".
PP dice "No sabemos de dónde sale"
Desde la dirección del PP han negado en todo momento cualquier vinculación con la campaña de intoxicación. "No tenemos nada que ver. No sabemos de dónde sale", explicaban fuentes de Génova, en relación a la iniciativa a favor de la abstención financiada por Josep Lanuza, uno de los trabajadores de Aleix Sanmartín, a su vez asesor electoral de Casado. El equipo del líder del PP reconoce que Sanmartín "colabora" con los populares, aunque niega que sea su "principal gurú" y argumenta que con el partido "colabora mucha gente".
Las fuentes del PP consultadas se han negado a concretar si la empresa de este consultor, llamada Sanmartin Group, es una de las que está elaborando la campaña para el 10N.
De momento, el líder del PP asegura públicamente estar "orgulloso" de su campaña para las generales. "Las cosas van bien y van a ir mejor conforme avance la campaña, que tan larga se le va a hace al PSOE", aseguraba este miércoles, en un acto en Palma (Mallorca). Tanto en público como en privado, insiste: "Estamos a tiro de piedra de ganar las elecciones".
EDITORIAL
Todos esperamos y reclamamos que la Junta Electoral Central actúe al menos con la misma celeridad y contundencia que la demostrada actuando contra el PSOE y sancione con ejemplaridad a los culpables, dada la gravedad de los hechos denunciados, puesto que a mi juicio, las campañas de desinformación en época electoral, son lo más ruin y la mayor de las bajezas morales que puede haber en democracia, propias de las mafias o del fascismo.
Fuente: eldiario.es y rtve.es

INTERNET CUMPLE 50 AÑOS. Del envío de un mensaje de solo dos letras ,”LO”.

Internet celebró su 50 cumpleaños como protagonista de la tercera revolución industrial.
Internet, la red global de comunicaciones que ha revolucionado a la humanidad, cumplió ayer martes cincuenta años de su creación en California, cuando científicos se enviaron entre sí un mensaje de dos letras.
Eran las diez de la noche del 29 de octubre de 1969 cuando el científico Leonard Kleinrock y su equipo enviaron desde su laboratorio en la Universidad de California Los Ángeles (UCLA) el primer mensaje a través de una red que protagoniza la denominada tercera revolución industrial.
La Universidad de Stanford a más de 500 kilómetros al norte de UCLA recibió en una segunda computadora el mensaje de tan sólo dos letras: "LO".
Fuente: EFE

Vulnerabilidades en RouterOS permiten root sin autenticación

Las vulnerabilidades aprovechan la caché DNS del router para modificar la resolución a los dominios de actualización
RouterOS es un sistema operativo basado en Linux desarrollado para los routers MikroTik, aunque su instalación puede efectuarse en cualquier otro equipo como un PC. Este sistema cuenta con una serie de utilidades de código cerrado como es su propio comando ‘resolve’, el cual utiliza el protocolo de routerOS Winbox para la conexión con el router.
Es en esta utilidad que Jacob Baines de Tenable ha encontrado una vulnerabilidad por la cual no se valida la autenticación para ejecutar ‘resolve’, por lo que cualquier usuario sin autenticar puede utilizarlo, tal y como demuestra en una Prueba de Concepto (PoC). Esto en un principio no supone un gran problema, aunque sí lo es que las resoluciones DNS del comando se guarden en la caché DNS del router, ya que es posible elegir el servidor DNS que se usará para la resolución.
Aprovechando que se puede elegir el DNS que se usará para resolver la petición, y que ésta se cacheará en la tabla DNS del router, un atacante podría tomar el control del servidor DNS si estuviese en uso por los clientes. Pero esto no se queda aquí, ya que dicha caché se utiliza (sin necesidad de estar activado el modo servidor DNS) para la resolución de los servidores de actualización del router.
Aunque toda la comunicación con los servidores de RouterOS para actualizarse se realiza mediante HTTP sin cifrar, los paquetes que descarga sí están firmados, por lo que no es posible actualizar a una versión modificada sin que valide la firma. No obstante, un bug permite hacer downgrade a una versión vulnerable, teniendo la 6.45.6 la particularidad de que resetea las contraseñas al hacer downgrade, sólo teniendo que esperar el atacante a que el router se desactualice para acceder con las credenciales por defecto.
De momento no hay un parche que solucione las vulnerabilidades, aunque no es suficiente con parchear la autenticación en ‘resolve’: es necesario que las peticiones que realice no se cacheen. La única solución de momento es desactivar el protocolo Winbox de routerOS para evitar ser víctimas de este ataque, al menos hasta que se publique un parche.
Actualización:
La versión 6.45.7 de RouterOS soluciona las vulnerabilidades aquí descritas, identificadas como CVE-2019-3976, CVE-2019-3977, CVE-2019-3978 y CVE-2019-3979. ¡Gracias a los comentarios por avisar!
Más información:
Fuente: Hispasec


28 de octubre de 2019

ESTEGANOGRAFÍA. Código malicioso oculto en archivos de audio WAV.

Investigadores de Blackberry Cylance Threat han descubierto recientemente código malicioso ofuscado dentro de archivos de audio en formato WAV. Al parecer, los archivos WAV incorporaban ocultos droppers para decodificar y ejecutar posteriormente código malicioso.
La implementación del código malicioso conseguía, en la mayoría de ocasiones, no corromper las estructuras fundamentales del archivo, permitiendo su reproducción sin anomalía reseñable o pérdida de calidad. En algunos casos, el código malicioso provocaba colateralmente que el contenido reproducido fuera ruido blanco.
El análisis de los investigadores revelaba que el código malicioso estaba relacionado con el minero XMRig Monero. También se han hallado evidencias en los archivos maliciosos de código directamente relacionado con el famoso framework de explotación Metasploit. Concretamente, el código encontrado se encargaba de generar una conexión reversa y entregar una shell al atacante.
Los droppers de los archivos maliciosos encargados de decodificar y llamar posteriomente al minero, son clasificados, fundamentalmente, en tres grupos según los investigadores:
  • Aquellos que emplean esteganografía de tipo LSB (Least Significant Bit) para ejecutar un archivo portable.
  • Otros que emplean un algoritmo de decodificación basado en un método de aleatorización rand() para decodificar y ejecutar un archivo portable.
  • Finalmente, muestras que emplean un algoritmo de decodificación basado en un método de aleatorización rand() para decodificar y ejecutar una shellcode.
La variedad de aproximaciones válidas para la inyección de estos payloads demuestra la viabilidad de la esteganografía como vector de infección a través del ocultamiento de código ejecutable en prácticamente cualquier tipo de archivo siempre que el atacante sea capaz de no corromper la estructura fundamental del contenedor.
A continuación se listan algunas de las firmas SHA-256 de los archivos implicados, para su comprobación y estudio en VirusTotal:
·        595A54F0BBF297041CE259461AE8A12F37FB29E5180705EAFB3668B4A491CECC
·        DB043392816146BBE6E9F3FE669459FEA52A82A77A033C86FD5BC2F4569839C9
·        A2923D838F2D301A7C4B46AC598A3F9C08358B763B1973B4B4C9A7C6ED8B6395
·        843CD23B0D32CB3A36B545B07787AC9DA516D20DB6504F9CDFFA806D725D57F0
·        7DC620E734465E2F5AAF49B5760DF634F8EC8EEAB29B5154CC6AF2FC2C4E1F7C
Más información y detalles técnicos:
Fuente: Hispasec

Brecha de seguridad en NordVPN y TorGuard VPN

Los atacantes han tenido acceso a tres claves privadas y a configuraciones de algunos de sus servidores.
La filtración se hizo pública en un hilo de Twitter en el que NordVPN promocionaba sus servicios. En respuesta al ‘tweet’ de la compañía, otro usuario publicaba un enlace a un archivo de texto correspondiente a un fichero de ‘log’ que evidenciaba el robo de información.
El mismo fichero contenía varios ficheros de configuración del software OpenVPN utilizado para proporcionar sus servicios, además de certificados y tres claves privadas.
Dos de las claves RSA correspondían a la configuración de OpenVPN y otra a un certificado ya expirado de tipo ‘wildcard‘ de su dominio.
Aunque las claves filtradas no permiten descifrar el tráfico VPN almacenado y la implementación de ‘forward-secrecy’ en OpenVPN garantiza la seguridad de las claves utilizadas anteriormente, debemos asumir que el atacante tuvo acceso al tráfico durante el ataque. Estas claves además podrían ser utilizadas para realizar ataques ‘man-in-the-middle’.
NordVPN ha confirmado que la brecha se produjo en uno de sus centros de datos en Finlandia en marzo de 2018. El atacante logró explotar una vulnerabilidad en uno de los sistemas de control remoto utilizados por el proveedor y consiguió la información antes expuesta (no se revelaron usuarios ni contraseñas).
El incidente también ha afectado a otros proveedores que utilizaban el mismo centro de datos, como VikingVPN y TorGuard.
En este caso, TorGuard ha sido el único que no se ha visto afectado ya que su clave CA principal estaba almacenada fuera del servidor vulnerado.
NordVPN afirma que es un caso aislado y que ningún otro centro de datos se ha visto afectado.
Más información:
·        Why the NordVPN network is safe after a third-party provider breach https://nordvpn.com/es/blog/official-response-datacenter-breach/
·        Why TorGuard’s Network is Secure After an Isolated 2017 Server Breach https://torguard.net/blog/why-torguards-network-is-secure-after-an-isolated-2017-server-breach/
Fuente: Hispasec

Nuevo malware infecta el cliente de escritorio de Discord

El cliente de voz ‘Discord’ se convierte en el objetivo de un nuevo malware, que lo troyaniza para robar información del sistema.
El investigador ‘MalwareHunterTeam’ descubrió a principios de mes un nuevo malware que tiene como objetivo infectar la aplicación de escritorio de ‘Discord’, un cliente de voz que se ha hecho muy popular entre los ‘gamers’.
Se le conoce con el nombre de ‘Spidey Bot’, y para infectar la aplicación de escritorio de ‘Discord’ añade el código malicioso a los ficheros de código Javascript de la app.
La aplicación está desarrollada utilizando ‘Electron’, que permite desarrollar aplicaciones de escritorio utilizando HTML, CSS y Javascript. El troyano aprovecha este funcionamiento para modificar los ficheros de código de la aplicación y añadir código malicioso.
Una vez añadido el código malicioso, cada vez que el usuario inicia la app de ‘Discord’, se ejecutará también el código malicioso sin que el usuario sospeche.
El código malicioso se añade a los ficheros:
·        %AppData%\Discord[version]\modules\discord_modules\index.js
·        %AppData%\Discord[version]\modules\discord_desktop_core\index.js
Después de infectar los ficheros, este malware reinicia la app de ‘Discord’ para que el código malicioso comience su ejecución. Lo primero que hace este código malicioso es obtener información sobre el sistema en el que se está ejecutando.
Entre la información recopilada y enviada al atacante se incluye:
·        Token de usuario de Discord
·        Zona horaria del sistema
·        Resolución de pantalla
·        IP local
·        IP pública
·        Información del usuario: nombre de usuario, email, teléfono, etc.
·        Información de pagos almacenada
·        Versión de Discord
·        Los 50 primeros caracteres del clipboard de Windows
Después de recopilar y enviar esta información, el troyano ejecutará la función ‘fightdio‘, que se encarga de conectar al servidor de control y esperar comandos que ejecutar en el sistema.
Código de la función ‘fightdio’, encargada de recibir y ejecutar comandos específicos (Imagen BleepingComputer)
El servidor de control ya no se encuentra disponible, pero podrían existir nuevas muestras que utilicen nuevos servidores de control activos.
Más información:
Fuente: Hispasec

PLAY STORE. 8 millones de descargas contenían código malicioso programado por un estudiante

42 aplicaciones albergadas en la Play Store, cuyas descargas suman un total de más de 8 millones, contenían código malicioso. Tras rastrear el origen de las aplicaciones, se atribuyen a un estudiante universitario en Vietnam.
El investigador de ESET, Lukas Stefanko, ha descubierto que 42 aplicaciones alojadas en la Play Store de Google albergaban en realidad adware malicioso que era mostrado a pantalla completa en los dispositivos de las víctimas. Inicialmente, estas aplicaciones eran subidas a la plataforma como aplicaciones legítimas. Era más tarde, aprovechando sucesivas actualizaciones, cuando se actualizaba el código de la aplicación para incluir el código malicioso.
La identidad del estudiante ha podido ser fácilmente rastreada, dado que tampoco él, según las palabras del investigador, hizo demasiados esfuerzos en ocultar su identidad. Entre otras cosas, los detalles de registro asociados a las aplicaciones estaban disponibles de forma pública, incluyendo su nombre, dirección o número de teléfono. Toda esta información fue la que los investigadores utilizaron para llegar a su perfil en Facebook, Github y Youtube.
Dado que todas sus aplicaciones facilitaban al usuario aquellas características que, inicialmente, le eran prometidas en la descripción (radio, descargador de vídeos, juegos) era difícil para los usuarios tomar las aplicaciones como maliciosas o encontrar algo sospechoso.
El componente malicioso de las aplicaciones, un adware de la familia Ashas, conectaba a un servidor remoto de control operado por el desarrollador y automáticamente enviaba información básica sobre el entorno de ejecución y el dispositivo en el que se habían instalado las aplicaciones.
Una vez realizado el primer paso de la comunicación, la aplicación maliciosa recibía los datos de configuración pertinentes de su servidor de control remoto que, en última instancia, era el responsable de mostrar el contenido publicitario malicioso.
En aras de intentar ocultar la funcionalidad maliciosa de los mecanismos de seguridad de Google Play, la aplicación comprobaba antes de nada la dirección IP del dispositivo afectado. Si ésta caía dentro del rango de las IP conocidas atribuidas a los servidores de Google, la aplicación no ejecutaba el payload malicioso.
Además, para evitar que los usuarios fueran capaces de establecer la asociación entre los anuncios que salían en su teléfono y la aplicación recién instalada, el desarrollador estableció unos tiempos de retraso entre la instalación y la primera vez que un anuncio malicioso se le mostraba al usuario.
Otro de los trucos empleados para reducir las sospechas sobre las aplicaciones maliciosas era que éstas ocultaban su propio icono para que los usuarios no pudieran desinstalarla fácilmente arrastrando el icono a la parte superior de la pantalla.
Recomendamos la lectura completa del post del autor, donde se detalla al completo el proceso seguido durante la investigación y se listan además las aplicaciones afectadas, (https://www.welivesecurity.com/2019/10/24/tracking-down-developer-android-adware/ )
Más información:
Fuente: Hispasec

Fallo de ejecución de código en PHP7 configurado con NGINX y PHP-FPM

Un nuevo bug en PHP7 permite tomar el control del servidor vulnerable ejecutando código remoto. El exploit publicado convierte esta hazaña en algo trivial, por lo que es muy posible que esté siendo aprovechada por atacantes «in the wild».
Esta vulnerabilidad (CVE-2019-11043) es una ejecución de código remoto en PHP7, la nueva rama en producción de PHP, uno de los lenguajes de programación más extendidos para sitios web.
La vulnerabilidad afecta a sitios que funcionan con el servidor web NGINX y PHP-FPM, centrándose en una configuración en concreto, la cual es muy común encontrar en webs en producción. Se trata de algo muy sencillo de explotar con este exploit que los investigadores que encontraron la vulnerabilidad han hecho público.
PHP-FPM es una alternativa a PHP FastCGI que gestiona mejor sitios web con mucho tráfico, además de ofrecer un manejo avanzado de los procesos.
La vulnerabilidad principal es un error de underflow memory corruption en «env_paht_info» en el módulo PHP-FMP, que combinándose con otros errores permiten ejecutar código en servidores vulnerables de forma remota.
Andrew Danau descubrió la vulnerabilidad en una competición CTF (Capture The Flag), cuyo objetivo es resolver una serie de retos informáticos. El fallo se encontró a partir de un comportamiento extraño en la parte del servidor al introducir un salto de línea codificado en la URL ‘%0A’. A partir de ese comportamiento Andrew, junto a otros dos investigadores, Emil Lerner y Omar Ganiev, descubrieron el fallo y crearon el exploit, cuya ejecución se realiza en una simple línea de comando.
Un sitio web es vulnerable a la explotación si cumple las siguientes características:
·        Utiliza NGINX y está configurado para reenviar las peticiones al procesador PHP-FPM.
·        Está configurado ‘fast_split_path_info‘ con una expresión regular que comience con ‘^’ y termine con ‘$’ (no contempla un salto de línea).
·        La variable PATH_INFO esta definida con fastcgi_param.
·        No hay comprobaciones como try_files $ uri = 404 o if (-f $ uri) que determinen si un archivo existe o no.
La configuración que se describe puede parecerse a la siguiente:
Se trata de una situación frecuente. Incluso algunos hosting utilizan esta configuración como parte de tutoriales de PHP-FPM. El proveedor de hosting Nextclowd ya ha avisado a sus clientes para que revisen sus servidores, ya que en un manual de instalación anteriormente publicado se utilizaba la configuración vulnerable.
Ayer se lanzó un parche para esta vulnerabilidad, casi un mes después de ser informado al equipo de desarrolladores de PHP, y dado que el exploit ya está disponible es probable que atacantes estén escaneando Internet para encontrar sitios web vulnerables.
Este fallo ha sido catalogado como CVE-2019-11043 y se recomienda encarecidamente que los usuarios actualicen PHP a PHP 7.3.11 y PHP 7.2.24 incluso si no están utilizando la configuración vulnerable.
Más información
·        Bugs.php-net
·        Exploit en GitHub
Fuente: Hispasec

APPLE. Descubiertos 17 «Clickers» en la App Store

Investigadores de seguridad de la empresa Wandera han descubierto 17 aplicaciones fraudulentas en la App Store de Apple. Las aplicaciones se comunicaban con un servidor de control y comando con el objetivo de manipular el acceso a páginas web y anuncios para beneficio económico del atacante.
Los troyanos de tipo «Clicker» están diseñados para acceder a recursos de Internet, generalmente páginas web, con el objetivo de manipular el acceso a anuncios, provocar denegaciones de servicio o redireccionar a la víctima para que descargue o ejecute malware.
Las aplicaciones descubiertas en el repositorio de Apple compartían un módulo que se encargaba de llevar a cabo el acceso fraudulento a anuncios sin el conocimiento del usuario. La aplicación fraudulenta visitaba de forma masiva diferentes páginas webs y realizaba clicks a los anuncios que había configurado el atacante sin la interacción del usuario.
Estos anuncios pertenecen a campañas de marketing de «pago por click (PPC)». Los productos anunciados no tienen necesariamente relación con el atacante, pero la manipulación de las visitas repercutía en un beneficio económico para el atacante.
El listado de aplicaciones afectadas cubre una amplia variedad de categorías:
  • RTO Vehicle Information
  • EMI Calculator & Loan Planner
  • File Manager – Documents
  • Smart GPS Speedometer
  • CrickOne – Live Cricket Scores
  • Daily Fitness – Yoga Poses
  • FM Radio – Internet Radio
  • My Train Info – IRCTC & PNR
  • Around Me Place Finder
  • Easy Contacts Backup Manager
  • Ramadan Times 2019
  • Restaurant Finder – Find Food
  • BMI Calculator – BMR Calc
  • Dual Accounts
  • Video Editor – Mute Video
  • Islamic World – Qibla
  • Smart Video Compressor
Según informa Wandera, el mismo desarrollador, AppAspect Technologies Pvt. Ltd. Contaba con 51 aplicaciones en la App Store, de las cuales 17 estaban infectadas con el «clicker».
El servidor de control y comando es compartido por muestras de similar comportamiento para otras plataformas como Android. El atacante utilizaba una linea de comunicación cifrada para cambiar los anuncios y páginas que se visitan o la configuración de los dispositivos.
Apple ya ha efectuado la retirada de las aplicaciones afectadas de su repositorio e informa que ha actualizado sus sistemas de detección para impedir que muestras similares se cuelen en la App Store.
Más información:
Trojan malware infecting 17 apps on the App Store
Fuente: INCIBE

MICROSOFT. Boletín de seguridad de octubre de 2019

La publicación mensual de actualizaciones de seguridad de Microsoft consta de 59 vulnerabilidades, 10 clasificadas como críticas y 49 como importantes, siendo el resto de severidad media o baja, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
·        Microsoft Windows,
·        Internet Explorer,
·        Microsoft Edge (EdgeHTML-based),
·        ChakraCore,
·        Microsoft Office, Microsoft Office Services y Web Apps,
·        SQL Server Management Studio,
·        Open Source Software,
·        Microsoft Dynamics 365,
·        Windows Update Assistant.
Recomendación
Instalar la actualización correspondiente. En la página de información de instalación de las actualizaciones de seguridad, se informa de los distintos métodos de actualización.
Detalle de vulnerabilidades
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
·        denegación de servicio,
·        escalada de privilegios,
·        divulgación de información,
·        ejecución remota de código,
·        omisión de la característica de seguridad,
·        suplantación,
·        falsificación.
Más información
Fuente: INCIBE

SAP. Actualización de seguridad de octubre de 2019

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de Importancia: 5 - Crítica
Recursos afectados:
  • SAP NetWeaver Process Integration:
  • AS2 Adapter, versiones 1.0 y 2.0;
  • B2B Toolkit, versiones 1.0 y 2.0.
  • SAP Landscape Management enterprise edition, versión 3.0;
  • SAP IQ, versión 16.1;
  • SAP SQL Anywhere, versión 17.0;
  • SAP Dynamic Tiering, versiones 1.0 y 2.0;
  • SAP Customer Relationship Management (Email Management):
  • S4CRM, versiones 100 y 200;
  • BBPCRM, versiones 700, 701, 702, 712, 713 y 714.
  • SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), versiones 420 y 430;
  • SAP Financial Consolidation, versiones 10.0 y 10.1;
  • SAP Kernel (RFC):
  • KRNL32NUC, KRNL32UC y KRNL64NUC, versiones 7.21, 7.21EXT, 7.22 y 7.22EXT;
  • KRNL64UC, versiones 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49 y 7.73;
  • KERNEL, versiones 7.21, 7.49, 7.53, 7.73 y 7.76.
Detalle de vulnerabilidades:
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 7 notas de seguridad y 1 actualización, siendo 2 de ellas de severidad crítica, 1 alta, y 5 medias.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

  • 3 vulnerabilidades de Cross-Site Scripting (XSS);
  • 1 vulnerabilidad de denegación de servicio;
  • 1 vulnerabilidad de divulgación de información;
  • 1 vulnerabilidad de falta de comprobación de autorización;
  • 1 vulnerabilidad de falta de autenticación;
  • 1 vulnerabilidad de otro tipo.
Las notas de seguridad calificadas como críticas y alta se refieren a:
La configuración del adaptador AS2 permite dos proveedores de seguridad diferentes. Dependiendo del proveedor seleccionado, existe una vulnerabilidad de falta de autenticación que puede conducir al robo o manipulación de datos confidenciales, así como al acceso a funcionalidades administrativas y otras funciones privilegiadas. Se ha asignado el identificador CVE-2019-0379 para esta vulnerabilidad.
SAP Landscape Management Enterprise permite la definición de operaciones personalizadas, cada una de ellas asignadas a un proveedor específico. También se pueden añadir más parámetros personalizados a dicho proveedor. Este producto es vulnerable a una divulgación de información si estos parámetros personalizados cumplen unas condiciones específicas. Se ha asignado el identificador CVE-2019-0380 para esta vulnerabilidad.
Existe una vulnerabilidad en el algoritmo de búsqueda de archivos que afecta a distintos productos. El algoritmo busca en demasiados directorios, incluso si están fuera del ámbito de aplicación. La explotación de esta vulnerabilidad permitiría a un atacante leer, sobrescribir, eliminar y exponer archivos arbitrarios del sistema. También puede llevar al secuestro de DLL, así como a la elevación de privilegios. Se ha asignado el identificador CVE-2019-0381 para esta vulnerabilidad.
Para el resto de vulnerabilidades, se han asignado los siguientes identificadores: CVE-2019-0368, CVE-2019-0374, CVE-2019-0375, CVE-2019-0376, CVE-2019-0377, CVE-2019-0378, CVE-2019-0370, CVE-2019-0369, CVE-2019-0365 y CVE-2019-0367.
Recomendación
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Más información
SAP Security Patch Day – October 2019
SAP Security Notes October '19: Only Nine New Notes, but Two HotNews
Fuente: INCIBE