16 de octubre de 2019

Acceso a comunicaciones web encriptadas a través del parcheado de Chrome y Firefox

Un nuevo 'malware' permite parchear los navegadores Chrome y Firefox para espiar las comunicaciones web privadas entre usuarios sin tocar los paquetes de red, que la compañía de ciberseguridad Kaspersky vincula al grupo de 'hackers' rusos Turla, supuestos autores del ataque COMfun Trojan, producido en 2014.
Kaspersky ha desvelado a través de un estudio que este nuevo 'malware' fue descubierto en abril de este año y que compromete las comunicaciones web encriptadas a través del parcheado de Chrome y Firefox. Los 'hackers' utilizan un nuevo sistema con el que toman el control del canal de la red y reemplazan los instaladores originales por otros infectados sobre la marcha. A estos nuevos módulos los han denominado 'Reductor'.
Aseguran que, además de cargar, descargar y ejecutar archivos, los autores de 'Reductor' intentan manipular certificados digitales y "marcar el tráfico TLS (seguridad de la capa de transporte) de salida con identificadores únicos relacionados con el receptor". TLS es un protocolo de seguridad que utilizan las páginas web para proteger la privacidad e integridad de los datos en la comunicación entre varias aplicaciones.
Los instaladores infectados se descargaban de páginas web HTTPS ilegales, si bien los archivos procedían de descargas HTTP, como explican desde la compañía de ciberseguridad. Esto indica que la sustitución de archivos normales por maliciosos que puede puede producir durante el proceso de descarga. "El hecho de que los archivos originales de estas páginas no están infectados también refuerza la evidencia de la manipulación de tráfico subsequente", apuntan desde Kaspersky.
Así, han registrado dos procesos de infección por 'Reductor': mediante la infección de distribuidores de 'software' populares, como son Internet Downloader Manager o WinRAR, o mediante la capacidad de COMpfun para descargar archivos en dominios ya infectados.
Desde Kaspersky aseguran que este nuevo 'malware' presenta, de hecho, "fuertes similitudes de código" con el 'malware' COMPfun Trojan, y por ello deducen que podría haber sido desarrollado por los mismos autores. Este 'malware' fue documentado por primera vez en 2014 por G-DATA y Kaspersky lo relacionó con el grupo de 'hackers' rusos Turla, basándose en sus victimología.
Para marcar el TLS sin tocar el tráfico, el 'malware' añade certificados digitales desde su sección de datos al dominio marcado como objetivo y permite a los hackers añadir certificados adicionales de manera remota a través de un conducto nombrado. "No tocan los paquetes de red para nada; en lugar de ello, los desarrolladores analizaron el código fuente de Firefox y el código binario de Chrome para parchear las funciones de generación de números pseudoaleatorios (PRNG) en la memoria de procesamiento", explican.
Los navegadores utilizan PRNG para generar la secuencia de 'cliente aleatorio' para el paquete de red al principio del TLS. 'Reductor' añade 'hardware' único encriptado e identificadores de 'software' basados en las víctimas para su campo de 'cliente aleatorio'. Para parchear estas funciones de PRNG, utilizan un "desensamblador pequeño embebido en Intel de instrucción larga", aseguran.
Desde Kaspersky creen que el motivo de estos ataques es que los certificados "pueden facilitar ataques de intermediario (MitM) en el tráfico TLS". Estos MitM permiten leer, insertar y modificar mensajes entre dos usuarios sin que las víctimas sean conscientes de ello. Creen que la razón principal de los ataques se sostiene sobre la idea de los que los "operadores de campaña necesitan acceder al tráfico de los objetivos". A pesar de ello, afirman que "no observamos ninguna funcionalidad MitM en las muestras analizadas de 'malware'.
Fuente: Europa Press

APPLE MacOS. Actualización Catalina provoca pérdidas de datos en aplicación correo electrónico

La nueva actualización de macOS Catalina está provocando problemas a algunos usuarios dentro de la aplicación de correo electrónico Mail, al causar pérdidas de datos como la desaparición de mensajes o que se muestren incompletos, así como incidentes a la hora de mover los mensajes entre buzones electrónicos.
El desarrollador Michael Tsai, autor de EagleFiler y SpamSieve, complementos para la 'app' Mail de macOS, ha difundido a través de su blog que ha recibido varios informes de usuarios de macOS Catalina que afirman haber sufrido una pérdida de datos en Apple Mail desde el lanzamiento del sistema la pasada semana.
Estos incidentes consisten, según los informes recibidos por Tsai, en primer lugar, en la pérdida de datos al pasar de Mojave, antigua versión del sistema operativo, a la nueva actualización de macOS Catalina. Afirma que "a veces" el traspaso se ha completado con éxito, pero que "un gran número de mensajes resultaron estar desaparecidos o incompletos".
En segundo lugar, este error también afecta al traslado de mensajes entre buzones electrónicos, tanto arrastrando y soltando como a través de AppleScript, según apunta Tsai en su blog. Cuando algunos usuarios llevan a cabo esta acción, puede dar lugar a un mensaje en blanco, aunque solo en el asunto.
"Si el mensaje fue movido a un servidor de buzón electrónico, otros dispositivos ven el mensaje como eliminado. Y finalmente esto sincroniza de nuevo con el primer Mac, donde el mensaje también desaparece", explica Tsai.
En cuanto al motivo de estos errores, el desarrollador señala que "ninguno de ellos parece haber sido causado por mis 'apps'" y apostilla que otro de los problemas que ha detectado es la imposibilidad de eliminar mensjaes con AppleScript.
Tsai, además, apunta que es probable que el usuario no se dé cuenta de que algo malo está sucediendo a menos que mire un buzón electrónico o mensaje que esté afectado por este error. Además, como los datos están siendo sincronizados con el servidor, declara que "los problemas se pueden propagar a otros Macs y dispositivos iOS".
Por su parte, asegura que hacer una copia "es difícil" porque Mail ya no descarga de manera automática los mensajes completamente, así que "la copia de los datos locales estará necesariamente incompleta", explica. Además, declara que reestablecer una copia es también complicado pues los datos de Mail "están constantemente cambiando".
Así, apunta que "no hay una manera directa de mezclar los datos reestrablecidos con los mensajes recibidos desde la última copia, y también con los datos en tiempo real en el servidor". Aunque "es bueno hacer copias de todas formas", apostilla. Es por ello por lo que Tsai recomienda no actualizar el sistema macOS a Catalina "por ahora".
LA RESPUESTA DE APPLE
Por su parte, Apple ha informado a sus usuarios, como recoge Tsai, que los afectados por este error en Mail no pueden recuperar sus datos desde una copia en Time Machine que haya sido realizada en Mojave, de acuerdo con los informes de usuarios enviados a Tsai.
Sin embargo, el propio desarrollador asegura que esto no es así y que "puedes utilizar Time Machine para acceder a versiones previas de las carpetas en el almacenamiento de datos de Mail, y luego utilizar el comando archivo, importar buzones electrónicos para selectivamente importarlos en el Mail en Catalina", explica. Como los buzones electrónicos son importados como nuevos, "esto no debería afectar a los mensajes que están en el servidor", apostilla.
Declara que esta es la única forma de restaurarlos sin que se produzcan pérdidas, pues apunta que si el usuario restaura el Mac a la versión anterior, a Mojave, es algo que "no tiene sentido" porque en el momento en el que se abra Mail, este va a borrar todo los mensajes que fueron eliminados en el servidor.
Apple lanzó la semana pasada la nueva actualización de su sistema operativo, macOS Catalina, que introduce Apple Arcade, el servicio de suscripción de juegos, para el Mac, Apple Music, Apple Podcasts y Apple TV. Además, cuenta como novedad con 'Sidecar' que permite usar el iPad como segunda pantalla o como tableta digitalizadora.
También incluye la prestación de accesibilidad 'Control por Voz' y 'Catalyst', una nueva tecnología de macOS Catalina que permite a desarrolladores externos llevar apps del iPad al Mac. Además, introduce 'Tiempo de Uso', para que los usuarios puedan consultar información sobre cómo pasan el tiempo en 'apps' y sitios web.
Fuente: Europa Press

CHECKM8. El 'exploit' de iOS que permite hacer 'jailbreak' en iPhone y Apple no puede corregir

Un nuevo 'exploit' para iOS, denominado checkm8, permite hacer 'jailbreak' en prácticamente todos los dispositivos iPhones desde el modelo 4s, lo que plantea una serie de cuestiones sobre las formas en que un ciberatacante podría utilizarlo, especialmente porque no puede corregirse.
checkm8 ha sido descubierto por axi0mX, un investigador de ciberseguridad especializado en 'jailbreak' para iOS. Según explicó en su perfil de Twitter, este 'exploit' se localiza en el 'bootrom', una memoria de arranque de solo lectura grabada en el hardware, lo que imposibilita su corrección, ni siquiera a través de una actualización de 'firmware'.
Este 'exploit' está presente en una gran variedad de modelos de iPhone, desde 4s hasta X, ya que parece que no se ha localizado en los 'smartphones' de Apple con procesadores A12 y A13.
Según axi0mX, checkm8 permite hacer 'jailbreak', un proceso que elimina algunas de las restricciones de iOS para introducir modificaciones, normalmente para personalizar la experiencia, pero que puede afectar a la seguridad del sistema.
El investigador de seguridad de Kaspersky, Mikhail Kuzin, explica en un comunicado este tipo de 'jailbreak' "podría utilizarse para espiar o monitorizar la actividad de la víctima en dispositivos iOS", pero matiza que, "todavía no está claro cómo un usuario malicioso podría utilizar dicho 'exploit' para ataques a gran escala y más teniendo en cuenta que el 'exploit' requiere acceso físico al dispositivo y un enfoque dirigido".
Aun así, desde la compañía de ciberseguridad recomiendan a los usuarios de dispositivos iOS afectados reconfigurar una contraseña .
  Fuente: Europa Press

LINUX. Fallo en ‘sudo’ permite ejecución irrestricta de código con privilegios de root

La vulnerabilidad permitiría que un usuario malintencionado, aún encontrándose explícitamente listado en el archivo de configuración ‘sudoers‘ como no-permitido, ejecutase código con privilegios de administrador mediante un bypass de la política de seguridad.
Se ha descubierto una vulnerabilidad en sudo, una de las utilidades más importantes y usadas que existen en los sistemas UNIX y basados en Linux. Su función, deducible del significado de su acrónimo «superuser, do» es permitir a un usuario que disfrute de este permiso, la ejecución de programas con permisos de super usuario, sin tener que cambiar el entorno.
Típicamente, en la mayoría de distribuciones basadas en Linux, la posibilidad de facultar a un usuario para ejecutar sudo pasa por incluir la configuración correcta en el archivo /etc/sudoers. La separación de permisos es una excelente práctica de seguridad, así como un paradigma ampliamente establecido en los sistemas Linux. Gracias a él, los administradores pueden definir fácilmente qué usuarios o grupos de usuarios pueden ejecutar o no un comando.
La vulnerabilidad implica que este principio de securización fundamental puede ser ignorado, aunque un usuario esté explícitamente desautorizado para ejecutar un determinado comando. Esto podría conducir a la toma de control del sistema.
La vulnerabilidad, descubierta por el investigador de Seguridad de la Información de Apple Joe Vennix, ha sido asociada al código CVE–2019-14287. Lo interesante es que la explotación parece requerir únicamente el establecimiento de una ID de usuario de valor «-1 » o «4294967295». Esto es debido a que la función implicada en la conversión del valor de la ID de usuario a su valor nominal, no trata correctamente el valor «-1 » o su equivalente sin signar «4294967295». Dicha función estaría tratando esos valores de modo que quedaran igualados a 0, cuya conversión nominal resulta ser root, el usuario con permisos completos sobre el sistema. Pueden consultarse los detalles técnicos de la función implicada en este fallo pulsando este enlace.
La vulnerabilidad afecta a todas las versiones de la utilidad sudo anteriores a 1.8.28 y su parche de seguridad correspondiente fue liberado el día 14 de Octubre de 2019. Se recomienda encarecidamente actualizar el paquete a la última versión disponible para parchear el fallo.
Más información:
Fuente: Hispasec

APPLE. Publica boletines de seguridad

Apple ha publicado 4 boletines de seguridad que solucionan vulnerabilidades en los productos macOS, iCloud e iTunes. Entre todos los productos se corrigen 23 fallos de seguridad diferentes, 12 de cuales podrían permitir la ejecución de código.
Esta semana Apple ha publicado 4 boletines de seguridad para sus productos, que se resumen como sigue:
·        El sistema operativo macOS Catalina 10.15 proporciona la solución a 16 fallos de seguridad relacionados con los componentes ‘apache_mod_php’, ‘CoreAudio’, ‘Crash Reporter’, ‘AMD’, ‘Intel Graphics Driver’, ‘IOGraphics’, ‘WebKit’ y el Kernel entre otros. Seis de estas vulnerabilidades podrían derivar en la ejecución remota de código arbitrario (CVE-2019-8745) e incluso con privilegios de kernel o system (CVE-2019-8701, CVE-2019-8717, CVE-2019-8748, CVE-2019-8758, y CVE-2019-8781).
·        iCloud para Windows 10.7 e iCloud para Windows 7.14 cuentan con sendos boletines que solucionan 8 vulnerabilidades: dos de ellas permitirían un ataque XSS (CVE-2019-8625 y CVE-2019-8719) y las seis restantes la ejecución de código arbitrario (CVE-2019-8707, CVE-2019-8726, CVE-2019-8733, CVE-2019-8735, CVE-2019-8745, y CVE-2019-8763).
·        iTunes 12.10.1 para Windows comparte los mismos CVEs que los boletines de iCould y además añade uno adicional (CVE-2019-8720) que permitiría también la ejecución de código.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.
Más información:
iCloud para Windows 10.7: https://support.apple.com/es-es/HT210636
iCloud para Windows 7.14: https://support.apple.com/es-es/HT210637
iTunes 12.10.1 para Windows: https://support.apple.com/es-es/HT210635
Fuente: Hispasec

JOOMLA!. Nuevo 0day que afecta a versiones antiguas del gestor de contenidos

Ha sido encontrada una nueva vulnerabilidad en versiones antiguas de Joomla! que permitiría ejecutar código remoto a partir de una inyección de objetos en PHP.
La vulnerabilidad ha sido descubierta por el investigador Alessandro Groppo de Hacktive Security, y afecta a las versiones comprendidas entre la 3.0.0 y la 3.4.6. A pesar de no ser versiones actuales, es importante tener en cuenta que aún hay muchos sitios web que utilizan estas versiones antiguas de este CMS por cuestión de compatibilidad con temas y plugins.
Este fallo de seguridad se podría aprovechar a través de una inyección de objetos en PHP. El mejor escenario para reproducir este error sería el login de Joomla!, ya que los valores introducidos en los campos de usuario y contraseña se almacenan en un objeto serializado de manera consecutiva en una cookie de sesión. Y a su vez, los objetos definidos en la cookie de Joomla! se almacenan en su base de datos, valiéndose de dos funciones que permiten operar sobre la base de datos con dicho objeto: read() y write().
Al realizar una acción de lectura o escritura de un objeto en la base de datos, la función correspondiente reemplaza el valor «\00\x2a\x00» por «\0\0\0» en el caso de escritura (en la función write()) o viceversa reemplazando «\0\0\0» por «\00\x2a\x00» en caso de lectura (en la función read()). Estos reemplazos se realizan debido a que las variables $protected tienen el prefijo «\00\x2a\x00» en el objeto serializado pero en MySQL no es posible almacenar Null Bytes.
Este paso es muy importante para realizar con éxito la inyección, ya que si se introduce \0\0\0 en el campo username, a la hora de escribirlo, se guardará tal cual:
s:8:s:"username";s:16:"my\0\0\0username"
Sin embargo al realizar la lectura con la función read(), modificará el valor de los 6 caracteres reduciéndolo a 3:
s:8:s:"username";s:16:"myN*Nusername"
(indica string de 16 caracteres pero hay 13 caracteres)
Al tener control sobre usuario y contraseña, que son campos consecutivos en el objeto serializado como se observa en la siguiente imagen, es posible realizar un desbordamiento en el primer campo (usuario) dejando el segundo campo libre para inyectar el código del exploit en forma de objeto que daría paso a la ejecución remota de código.
Alessandro explica cada paso a realizar en el blog de hacktivesecurity. Además hace alusión al CVE-2015-8562, que afecta a las mismas versiones de Joomla!, aunque remarca como punto positivo que es independiente de las versiones de PHP en el servidor.
Se ha hecho público un exploit por lo que se recomienda actualizar a una versión de Joomla! que no sea vulnerable.
Más información
·        Joomla 3.4.6 – ‘configuration.php’ Remote Code Execution https://www.exploit-db.com/exploits/47465
·        Joomla! 3 Download https://downloads.joomla.org/cms/joomla3
Fuente: Hispasec

MacOS. Descubierto RCE en el iTerm2 del OS

Se ha descubierto una vulnerabilidad crítica de ejecución remota de código de 7 años en la aplicación de emulador de terminal iTerm2 macOS, uno de los reemplazos de código abierto más populares para la aplicación de terminal incorporada de Mac.
Identificado como CVE-2019-9535 , la vulnerabilidad en iTerm2 fue descubierta como parte de una auditoría de seguridad independiente financiada por el Programa de Soporte de Código Abierto de Mozilla (MOSS) y realizada por la firma de seguridad cibernética Radically Open Security (ROS).
Según una publicación de blog escrita por Mozilla, la falla de RCE reside en la característica de integración tmux de iTerm2, que, si se explota, podría permitir que un atacante ejecute comandos arbitrarios al proporcionar una salida maliciosa al terminal.
Como se muestra en la demostración en video, los posibles vectores de ataque para esta vulnerabilidad incluyen conectarse a un servidor SSH malicioso controlado por el atacante, usar comandos como curl para buscar un sitio web malicioso o usar tail -f para seguir un archivo de registro que contiene contenido malicioso.
«Por lo general, esta vulnerabilidad requeriría cierto grado de interacción o truco del usuario; pero debido a que puede explotarse a través de comandos generalmente considerados seguros, existe un alto grado de preocupación por el impacto potencial.»
La vulnerabilidad afecta a las versiones de iTerm2 hasta 3.3.5 inclusive, y recientemente se ha parcheado con el lanzamiento de iTerm2 3.3.6, que los usuarios pueden descargar manualmente o buscar actualizaciones dentro del menú de aplicaciones instaladas.
Más información:
iTerm2 issues emergency update after MOSS finds a fatal flaw in its terminal code
Fuente: Hispasec

MICROSOFT. Parchea 59 vulnerabilidades

El pasado martes día 8 de octubre, Microsoft liberó un paquete de parches que soluciona un total de 59 vulnerabilidades. 9 de ellas críticas, 49 de gravedad alta y 2 de gravedad media.
Los principales productos afectados son Windows, Internet Explorer, Edge, Office, Office SharePoint, el motor de scripting Chakra y los componentes relacionados con el sistema de actualizaciones, el protocolo RDP o el servidor de bases de datos SQL Server.
Por el momento no se han encontrado evidencias de que alguna de estas vulnerabilidades se esté explotando activamente en Internet.
La primera de las vulnerabilidades considerada crítica se encuentra en el componente de Azure y se debe a una falta de saneamiento de una de las entradas de usuario que permitiría a un atacante escapar de la Sandbox y ejecutar código arbitrario en el contexto de NT AUTHORITY\system. Esta vulnerabilidad ha sido etiquetada como CVE-2019-1372.
Otras cuatro vulnerabilidades críticas en el motor de scripting Chakra permitirían la ejecución de código arbitrario en el contexto del usuario actual, principalmente por errores de corrupción de memoria o en el parser MSXML. CVE-2019-1366, CVE-2019-1060, CVE-2019-1307 y CVE-2019-1308.
Otras dos vulnerabilidades clasificadas como de gravedad crítica se encuentran en el componente VBScript y permitirían ejecutar código arbitrario en el contexto del usuario actual aprovechando corrupciones de la memoria. CVE-2019-1239 y CVE-2019-1238.
Por último, vale la pena mencionar otra vulnerabilidad crítica en el cliente RDP de Microsoft (CVE-2019-1333) que permitiría a un atacante ejecutar código arbitrario en la máquina de la víctima. Para ello, el atacante tendría que utilizar técnicas de ingeniería social, realizar ataques Man in the Middle (MITM) o alguna otra técnica para engañar al usuario y que se conecte al servidor malicioso.
Como siempre, Microsoft recomienda aplicar las últimas actualizaciones de seguridad.
Más Información:
Fuente:  Hispasec

Datos de 92 millones de brasileños se subastan en la Deep Web

De acuerdo a una publicación de BleepingComputer, se han encontrado los datos de 92 millones de brasileños expuestos y a la venta en foros de la Deep Web.
Tal y como se especifica en el reporte, la subasta estaba disponible en múltiples mercados de la Deep Web a la que solamente se podía acceder pagando una pequeña cantidad de dinero o mediante invitación de alguien que tuviera una cuenta activa en dichos portales webs.
16 GB de datos de usuarios brasileños clasificados en una base de datos SQL que se ofrecía por una puja inicial de 15.000 dólares y una sobrepuja de 1.000 dólares adicionales.
Esta base de datos contenía: nombres, fechas de nacimiento, IDs de contribuyentes y alguna información extra sobre direcciones, el sexo o el nombre de la madre de cada víctima.
El origen de la base de datos no es claro, aunque por la información del ID del contribuyente u otra información única de la persona, hace pensar que el origen sea una base de datos gubernamental de aproximadamente 93 millones de ciudadanos que actualmente se encuentran empleados.
La fuga de información es bastante grande, y más, cuando se observa que, según datos demográficos como los presentados en la anterior captura, la población de Brasil es de unos 210 millones de personas mientras que la fuga es de 92 millones (más del 43% de la población). Es decir, casi la mitad de la población brasileña se ha podido ver afectada por esta subasta de información personal.
Bajo el Artículo 18 de la Ley General de Protección de Datos de Brasil, los ciudadanos tienen derechos asociados a sus datos, por lo que las organizaciones tienen el deber de asegurar que su información está anonimizada, redactada y eliminada. Desafortunadamente, esta Ley no entra en vigor hasta agosto de 2020.
Jonathan Deveaux , Jefe de Protección de Datos empresariales con Comforte AG considera que en el futuro, las empresas deberían depender más de métodos como los de tokenización para proteger datos de los ciudadanos. Tal y como Jonathan Deveaux dijo:
«Una buena práctica emergente entre muchos líderes tecnológicos es adoptar un enfoque de seguridad centrado en los datos, que protege los datos personales con tecnología de anonimización como la tokenización.
La tokenización no solo permite que las organizaciones cumplan con los requisitos de cumplimiento y permanezcan seguras, sino que la tokenización también permite que las organizaciones adopten de forma segura la tecnología moderna, como la computación híbrida o en la nube».
Esta fuga de información sirve para mantener una actitud escéptica con respecto a cómo se están realizando, por ejemplo, las transferencias bancarias en compras online, puesto que con la última normativa PSD2, muchas entidades bancarias han optado por utilizar SMS para acceder o verificar pagos, algo que posiblemente no sea lo más seguro (sobre todo teniendo en cuenta noticias como las de SimJacker).
Más información:
Fuente: Hispasec