APPLE. Presentación de nuevo iPhone más grande y relojes orientados a salud

Apple Inc presentó el miércoles teléfonos iPhone más grandes y un reloj que puede detectar problemas cardíacos, con lo que busca que los usuarios cambien sus antiguos modelos por unos más caros en momentos en la demanda por aparatos se ha estancado.

El vicepresidente senior de márketing de Apple, Philip Schiller, en la presentación del teléfono iPhone XR en Cupertino, EEUU, sep 12, 2018. REUTERS/Stephen Lam

Los pequeños cambios a los productos de Apple siguen a una importante renovación el año pasado con el lanzamiento del iPhone X y eran, en general, esperados por los inversores. Las acciones de Apple caían un 1,5 por ciento en el Nasdaq.

La estrategia ayudó a Apple a convertirse en la primera empresa estadounidense que cotiza en bolsa que alcanzó un valor de mercado de más de 1 billón de dólares a principios de este año.

“Es bastante consistente con los últimos lanzamientos de iPhone donde se vende con la noticias en el corto plazo, pero las cosas probablemente mejorarán mucho en las próximas semanas y meses, especialmente con una fuerte temporada de ventas navideñas”, dijo Jake Dollarhide, director ejecutivo de Longbow Asset Management.

Los nuevos teléfonos, basados en el iPhone XS y iPhone XS Max, con pantalla de 5,8 pulgadas y 6,5 pulgadas, respectivamente, se venderán desde 999 dólares y 1.099 dólares.

Apple usa el sufijo ‘S’ cuando actualiza componentes, pero deja el exterior de un teléfono igual.

La empresa también presentó el iPhone Xr de 6,1 pulgadas, hecho de aluminio, y que se vende desde 749 dólares.

Los dos modelos de teléfono a partir de 999 dólares o más en Estados Unidos parecen aprovechar la fortaleza de la economía, el bajo desempleo y un creciente patrimonio de las familias.

La compañía abrió su evento diciendo que su nueva gama de relojes Apple Watch Serie 4 tendrá pantallas sin bordes, como sus últimos teléfonos, y que sus pantallas son sobre un 30 por ciento más grandes que las de los modelos actuales.

El nuevo reloj es promocionado como un dispositivo de salud más completo, que puede detectar el latido cardíaco irregular e iniciar una llamada de emergencia automáticamente si detecta la caída de un usuario, lo que puede atraer a clientes de edad avanzada.

“Este es un gran problema”, dijo el analista de tecnología de salud Ross Muken de Evercore. “Esta actualización realmente muestra los crecientes esfuerzos de la compañía para hacer que el reloj sea un dispositivo médico serio”, agregó.

Fuente Reuters

Vulnerabilidad de escalada de privilegios en cliente NordVPN

Existe una vulnerabilidad de ejecución de código explotable en la funcionalidad de conexión del cliente VPN NordVPN 6.14.28.0. Un archivo de configuración OpenVPN especialmente diseñado podría causar una escalada de privilegios, lo que podría permitir la ejecución de comandos arbitrarios con los privilegios del sistema, catalogada de  Importancia: 4 - Alta

Recursos afectados:

• Cliente de VPN NordVPN 6.14.28.0

Recomendación

• Un parche ha sido incluido en la actualización del cliente VPN el 8 de agosto. Se recomienda actualizar los clientes VPN a la versión actual.

Detalle de vulnerabilidades

• El investigador Paul Rascagneres de Cisco Talos, ha descubierto que si se modifica el archivo de configuración de OpenVPN y se agrega el parámetro up y a continuación la ruta de ejecución de un programa cualquiera, el programa se ejecutará con privilegios de sistema. Se ha reservado el identificador CVE-2018-3952 para esta vulnerabilidad.

Más información

·        TALOS-2018-0622 - Cisco Talos https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0622

·        Vulnerability Spotlight: CVE-2018-3952 / CVE-2018-4010 - Multi-provider VPN Client Privilege Escalation Vulnerabilities https://blog.talosintelligence.com/2018/09/vulnerability-spotlight-Multi-provider-VPN-Client-Privilege-Escalation.html

Fuente. Hispasec

Múltiples vulnerabilidades en productos HPE

El investigador Sztivi ha descubierto 9 vulnerabilidades de severidad crítica en productos HPE que podrían permitir a un atacante remoto sin autenticación la ejecución de código arbitrario., catalogadas de Importancia: 5 - Crítica

Recursos afectados:

·        Intelligent Management Center

Recomendación

Por el momento no existe ninguna actualización que solucione estas vulnerabilidades. Se recomienda, como medida de mitigación, restringir la interacción del servicio con máquinas de confianza mediante, por ejemplo, cortafuegos y listas blancas.

Detalle de vulnerabilidades

Un atacante puede aprovechar las siguientes vulnerabilidades para ejecutar código arbitrario en el contexto de SYSTEM, debido a:

·        La inadecuada comprobación de los datos de entrada suministrados por el usuario en el servicio dbman, en el puerto de escucha TCP 2810 (por defecto).

·        El manejo de las peticiones de opcode 10010 en el servicio dbman, en el puerto de escucha TCP 2810 (por defecto) que permite la escritura arbitraria de archivos con datos controlados por el usuario.

·        La inadecuada validación del parámetro de nombre de usuario proporcionado al método dealInodeNotifyMsg antes de copiarlos a un búfer basado en pilas de longitud fija.

·        Un checkeo inapropiado de la longitud de los datos suministrados por el usuario dentro del descifrado de mensajes encriptados antes de copiarlos a un búfer basado en pilas de longitud fija.

·        El procesamiento del mensaje dealInodeOfflineMsg no valida adecuadamente la longitud de los datos suminstrados por el usuario antes de copiarlos a un búfer basado en pilas de longitud fija.

Más información

·        Certsi https://www.certsi.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-hpe-0

Fuente: INCIBE

Boletín de seguridad de Microsoft de septiembre de 2018

La publicación de actualizaciones de seguridad de Microsoft este mes consta de 60 vulnerabilidades, 17 clasificadas como críticas y 43 como importantes, siendo el resto de severidad media o baja, catalogadas de Importancia: 5 - Crítica

Recursos afectados:

1. Internet Explorer
2. Microsoft Edge
3. Microsoft Windows
4. Microsoft Office and Microsoft Office Services and Web Apps
5. ChakraCore
6. Adobe Flash Player
7. .NET Framework
8. Microsoft.Data.OData
9. ASP.NET

Recomendación

• Instalar la actualización de seguridad correspondiente. En la página de información de instalación de las mismas actualizaciones, se informa de los distintos métodos para llevarlas a cabo.

Detalle de vulnerabilidades

El tipo de vulnerabilidades publicadas se corresponde a las siguientes:

• Elevación de privilegios.
• Denegación de servicio.
• Ejecución remota de código.
• Revelación de información.
• Suplantación.
• Evasión de seguridad.
• Encuesta valoración

Más información

• Security update deployment information: September 11, 2018 https://support.microsoft.com/en-za/help/20180911/security-update-deployment-information-september-11-2018
• Release Notes September 2018 Security Updates https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/498f2484-a096-e811-a978-000d3a33c573
• Security Update Guide https://portal.msrc.microsoft.com/en-us/security-guidance

Fuente: INCIBE

SAP. Actualización de seguridad de septiembre 2018

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de Importancia: 4 - Alta

Recursos afectados:

1. SAP Business Client, versión 6.5
2. SAP Business One, versiones 9.2 y 9.3
3. SAP NetWeaver BI, versiones 7.30,7.31,7.40,7.41 y 7.50
4. SAP HANA, versiones 1.0 y 2.0
5. SAP WebDynpro, versiones 7.20, 7.30, 7.31, 7.40, 7.50
6. SAP NetWeaver AS Java, versiones de la 7.10 a la 7.11, 7.20, 7.30, 7.31, 7.40, 7.50
7. SAP Hybris Commerce, versiones 6.*
8. SAP Plant Connectivity, versión 15.0
9. SAP Adaptive Server Enterprise, versión 16.0
10. SAP HCM Fiori "People Profile" (GBX01HR), versión 6.0
11. SAP Mobile Platform, versión 3.0
12. SAP Enterprise Financial Services, versión 6.05, 6.06, 6.16, 6.17, 6.18, 8.0
13. SAP Business One Android application, versión 1.2

Recomendación

• Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Detalle de vulnerabiliadades

SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, de las cuales 1 es una actualización de una nota de seguridad publicada con anterioridad, 3 de severidad alta, 9 de de severidad media y 1 de severidad baja,

El tipo de vulnerabilidades publicadas se corresponde a los siguientes:

• 1 vulnerabilidad de denegación de servicio
• 3 vulnerabilidades de divulgación de información
• 3 vulnerabilidades de falta de comprobación de autorización
• 2 vulnerabilidades de Cross-Site Scripting
• 2 vulnerabilidades de incorrecta validación de XML
• 3 vulnerabilidades de otras tipologías

Las vulnerabilidades más relevantes son las siguientes:

1. La vulnerabilidad de divulgación de información en SAP Business ONE y SAP HANA, podría permitir a un atacante revelar información adicional (datos del sistema, información de depuración, etc.) que ayudaría a aprender sobre un sistema y planificar otros ataques. Esto podría desembocar en la divulgación de información, escalamiento de privilegios y otros ataques. Se ha asignado el código CVE-2018-2458 para esta vulnerabilidad.
2. Un atacante puede utilizar la vulnerabilidad de incorrecta validación de XML, presente en SAP BEx Web Java Runtime Export Web Service, para enviar solicitudes XML especialmente diseñadas y no autorizadas que serían procesadas por el analizador XML. El atacante obtendría acceso no autorizado al sistema de archivos del SO. Se ha asignado el código CVE-2018-2462 para esta vulnerabilidad.
3. Una vulnerabilidad de falta de comprobación de autorizacion en SAP ECC Sales Support podría permitir a un atacante el acceso a un servicio sin necesidad de autorización y emplear funciones de servicio con acceso restringido. Esto puede desembocar en la divulgación de información, escalado de privilegios y otros ataques.

Mas información

• SAP Security Patch Day – September 2018 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=499356993
• SAP Cyber Threat Intelligence report – September 2018 https://erpscan.com/press-center/blog/sap-cyber-threat-intelligence-report-september-2018/
• SAP Security Notes September ‘18: Critical Bug in SAP HANA XS https://www.onapsis.com/blog/sap-patch-notes-september-2018

Fuente: INCIBE

Múltiples vulnerabilidades en productos de Intel

Intel ha publicado 16 avisos de seguridad en su centro de seguridad de productos, 1 de severidad crítica, 7 de severidad alta y 8 de severidad media. Importancia: 4 - Alta

Recursos afectados:

• Intel® Data Migration Software v3.1 y anteriores
• Intel® OpenVINO™ Toolkit for Windows v2018.1.265 and earlier
• Intel® IoT Developers Kit 4.0 y anteriores
• Intel® NUC Kit, varios modelos
• Intel® Compute Card, varios modelos
• Intel® Compute Stick, varias modelos
• Intel® Centrino® Wireless-N, varios modelos
• Intel® Centrino® Advanced-N, varios modelos
• Intel® Distribution for Python 2018 versiones descargadas antes del 6 de agosto del 2018
• Intel® Extreme Tuning Utility, versiones anteriores a 6.4.1.23
• Intel® Driver & Support Assistant, versiones anteriores a 3.5.0.1
• Intel® Computing Improvement Program, versiones anteriores a 2.2.0.03942
• Intel-SA-00086 Detection Tool, versiones anteriores a 1.2.7.0
• Intel® CSME, versiones desde 11.0 hasta 11.8.50; desde 11.10 hasta 11.11.50; desde 11.20 hasta 11.21.51, Intel® Server Platform Services firmware versión 4.0 (en Purley y Bakerville only) e Intel® TXE versiones desde la 3.0 hasta 3.1.50.
• Sistemas que usen Intel® CSME con versiones de firmware anteriores a 11.0/ Intel® Server Platform Services 4.0/TXE 3.0 o que usen las versiones de firmware 11.8.55/11.11.55/11.21.55/ Intel® Server Platform Services 5.0 y superiores /TXE 3.1.55 o superiores no están afectadas por esta vulnerabilidad.
• Intel® CSME, varias versiones
• Intel® ME, varias versiones
• Intel® Trusted Execution Engine (TXE), varias versiones
• Intel® Data Center manager, versiones anteriores a 5.1
• Intel® Server Board, varias versiones
• Intel® Server Board S2600BP, S2600WF y S2600ST

Recomendación

• Actualizar a  la última versión de producto en https://downloadcenter.intel.com/.

Detalle de vulnerabilidades

Un usuario malintencionado que aprovechara alguna de las vulnerabilidades descritas, podría llegar a realizar las siguientes acciones en los productos afectados:

1. Escalada de privilegios
2. Ejecución de código con otros privilegios
3. Ejecución de código arbitrario
4. Revelación de información
5. Denegación de servicio
6. Encuesta valoración

Más información

• Intel® Product Security Center Advisories https://www.intel.com/content/www/us/en/security-center/default.html

Fuente: INCIBE

SAFARI. Vulnerabilidad de falsificación de sitios web

Se ha descubierto una vulnerabilidad que podría permitir a los atacantes falsificar direcciones de sitios web legítimos para robar credenciales

Si bien Microsoft solucionó el mes pasado esta misma vulnerabilidad que le afectaba en su navegador Edge, Safari aún no está parcheado.

El fallo ha sido descubierto por el investigador de seguridad Rafay Baloch. La vulnerabilidad (CVE-2018-8383) se debe a un problema de condición de carrera que permite a JavaScript actualizar la dirección de la página web en la URL mientras se carga la página.

Funcionamiento de la vulnerabilidad

La explotación de esta vulnerabilidad podría permitir que un atacante inicialmente comience a cargar una página legítima y luego reemplazar el código en la web por uno malicioso.

"Al solicitar datos de un puerto inexistente, la dirección se conservó y, por lo tanto, debido a una condición de carrera sobre un recurso solicitado desde un puerto inexistente combinado con el retraso introducido por la función setInterval logró activar la suplantación de barra de direcciones", explica Baloch en su blog.

Prueba de concepto

Los desarrolladores de Microsoft arreglaron el fallo antes de que pasara la fecha límite de 90 días desde que se le informó, pero Apple aún no ha puesto solución al error.

Baloch sigue sin exponer el código de la prueba de concepto de este último, pero dado que el de Microsoft Edge es público y el fallo es muy similar, cualquier persona con un conocimiento decente de JavaScript podría hacerlo funcionar en Safari.

El propio investigador asegura que este fallo no afecta ni a Chrome ni a Firefox.

Más información:

·        Blog de Rafay Baloch: https://www.rafaybaloch.com/2018/09/apple-safari-microsoft-edge-browser.html

Fuente: Hispasec

MAGECART. Detrás de la sustracción de información de pago de los clientes de British Airways

El pasado 6 de septiembre, la aerolínea británica British Airways, anunció que había sufrido un ataque que provocó el robo de información confidencial de 380,000 de sus clientes. Entre la información sustraída se encuentra información personal de los usuarios y de los métodos de pago usados por los mismos.

La misma British Airways a través del comunicado aportaba la siguiente información. En primer lugar, acotaba el tiempo que habían estado expuestos a este ataque, situaba el mismo entre las 22:58 horas del 21 de agosto y las 21:45 horas del 5 de septiembre de 2018, todo según la franja horaria UTC+1. Además aportan datos que hacían prever el 'modus operandi' del ataque. Estos datos aclaran que los usuarios debían de haber llevado una compra desde su web principal o aplicación móvil.

El investigador de seguridad Yonathan Klijnsma de la empresa RiskIQ ha aportado datos que arrojan detalles de esta brecha de seguridad la cuál ha relacionado directamente con el grupo Magecart. Que para nuestros lectores son los mismos que perpetraron el ataque contra Ticketmaster el pasado mes de junio del cual hablamos en la siguiente noticia.

Los datos aportados por la empresa RiskIQ aportan una visión clara de cómo funciona este grupo organizado. Pueden leerlo en su artículo.

De forma resumida, los atacantes lograron hacerse con el control del servidor, una vez dentro ocultaron código Javascript dentro de una librería conocida (Modernizr), para no levantar sospechas. Este código fraudulento era el encargado de ir recolectando la información.

Pero, ¿y la aplicación Android?, fácil, la aplicación recogía información desde el servidor actuando como ‘webview’. La web referenciada también incluía la versión modificada de la librería Modernizr por lo que el código se cargaba también en los terminales

Sin duda un ataque con un alto nivel de especialización y 100% dirigido que nos hacen hablar de un concepto que cada vez suena con más fuerza los skimmers virtuales, métodos de robo colocado dentro del código que maneje información de pago para el robo de la misma.

Más información:

·        Reporte oficial: https://www.britishairways.com/en-gb/information/incident/data-theft/latest-information

·        RiskIQ: https://www.riskiq.com/blog/labs/magecart-british-airways-breach/

Fuente: Hispasec

WPA3. Más seguridad y más fácil de usar

Esta nueva versión incluye el nuevo protocolo SAE, que hará inviable nuevos ataques como KRACK; aunque también se incluyen mejoras para hacer más fácil y seguro compartir redes y usar redes públicas

Durante más de una década, el uso de PSK (clave pre-compartida, comúnmente conocido como 'four-way handshake') se ha considerado seguro, hasta que en 2016 un grupo de investigadores belgas descubrieron lo que se denominaría KRACK, dejando de manifiesto la necesidad de buscar una alternativa: SAE (Simultaneous Authentication of Equals).

Este nuevo protocolo empleado por WPA3 (que en realidad data de 2008), se trata de una variación de dragonfly handshake, contando entre sus novedades resistencia a ataques como el de KRACK, pero además hace inútil los ataques por diccionario a los paquetes interceptados. Por si fuese poco, además cuenta con 'forward secrecy'. Esto significa, que aunque se obtenga la clave, un atacante no podrá descifrar los mensajes anteriormente cifrados con dicha clave, porque ésta cambia con cada comunicación.

SAE a diferencia de PSK, tal y como indica su nombre (Simultaneous Authentication of Equals) trata a cada cada parte como iguales, y cualquiera de ellas puede establecer la comunicación. Este nuevo método se contrapone a la forma de trabajar de PSK, en que router y cliente se encontraban diferenciados, y era posible forzar la desconexión entre ambos para analizar los 'handshake' (tal y como hace KRACK).

Además de SAE, WPA3 en su modalidad WPA3-Enterprise contará con cifrado de 192-bits, al contrario que WPA3-Personal, que utilizará 128-bits. Esta seguridad adicional puede ser excesiva para el mercado doméstico, pero su uso puede ser requerido por instituciones y gobiernos.

WPA3 no es sólo más seguro, sino también más fácil de usar. Muestra de ello es Easy Connect, un nuevo protocolo que ha sido creado para facilitar compartir (y seguro) el acceso a una red. Esta nueva modalidad hace uso de códigos QR únicos, que deben ser escaneados por los dispositivos. Para aquellos dispositivos sin posibilidad de escanear el código QR, también será posible utilizar un código legible por un ser humano, e incluso compartirlo mediante sonido. Este tipo de medidas evitan compartir la contraseña (lo cual es más inseguro) y reduce los errores comunes al almacenar la clave para compartirla (a.k.a apuntarlo en un post-it). Sólo esperemos que estas nuevas facilidades, no se conviertan en un agujero de seguridad, como ya ocurrió con WPS.

Relacionado con lo anterior, el nuevo protocolo Enhanced Open protegerá a los usuarios que se conecten a redes abiertas, como aeropuertos o cafés, de ver sus datos comprometidos por el resto de usuarios de la red. Éste es un problema grave existente hasta ahora del que muchos usuarios no son conscientes, siendo la única solución utilizar una VPN (algo, que la mayoría de personas no utilizarán). Aunque el uso de una VPN en una red desconocida seguirá siendo aconsejable (porque no sabemos quien controla la red), este nuevo protocolo protegerá en gran medida a los usuarios que no usen una VPN.

Más información:

·        Wi-Fi Gets More Secure: Everything You Need to Know About WPA3

·        https://spectrum.ieee.org/tech-talk/telecom/security/everything-you-need-to-know-about-wpa3

·        SAE https://ieeexplore.ieee.org/document/4622764/

·        RFC Dragonfly Key Exchange https://tools.ietf.org/html/rfc7664

·        Wi-Fi Easy Connect https://www.wi-fi.org/discover-wi-fi/wi-fi-easy-connect

·        Open Wi-Fi networks https://www.wi-fi.org/discover-wi-fi/security

Fuente: INCIBE

Google Chrome traerá un generador de contraseñas

El equipo de Chrome, el navegador de Google, ha dado un paso hacia delante en el hastiado campo de las contraseñas. Está preparando una nueva funcionalidad que ofrecerá a los usuarios generar contraseñas seguras.

Anticipando el conjunto de mejoras que Chrome espera recibir para celebrar el décimo aniversario del navegador, se encuentra una funcionalidad que permite al usuario mejorar la seguridad en el uso de contraseñas, en concreto, nos posibilitará generar contraseñas seguras además de la ya conocida función de custodia y sincronización de estas.

De hecho, Google, pretende con este paso paliar el problema que genera la reutilización indiscriminada de contraseñas, a la par que descarga al usuario del proceso de elección que suele terminar, casi siempre, en una mala elección. De esta forma, se podrá optar a que el navegador nos genere una nueva contraseña (las reglas incluyen al menos una minúscula, una mayúscula, un número y símbolos si estos son requeridos) y la recuerde, así como que la sincronice con el resto de dispositivos que tengamos federados.

Indudablemente, Ia reutilización de contraseñas es un peligro habitual en usuarios que no están advertidos del riesgo que conlleva esta flexibilidad. Este escenario de explotación ocurre cuando se extraen o filtran credenciales de un sitio web. Una vez que las contraseñas han sido expuestas, estas podrían ser probadas no ya en el sitio afectado sino en otros muchos sitios donde el usuario podría poseer una cuenta; comprometiendo así, de un solo golpe varios accesos.

Otro riesgo común de dejar a elección del usuario la generación de contraseñas es la incapacidad de elegir contraseñas seguras. Si bien parte de la responsabilidad le corresponde al sitio o aplicación, por no obligar a seguir una politica de contraseñas fuertes, el usuario medio no se distingue por la elección de buenas contraseñas. Ya sea por la costumbre, necesidad -absurda- de memorizarlas o desconocimiento del riesgo que supone una credencial débil.

Sin duda, los generadores de contraseñas no son nada nuevo ni exclusivos. Los gestores de contraseñas ya lo poseen como una característica considerada fundamental dentro de sus funciones. Sin embargo, lo que sí que parece exclusivo es su uso, ya que no están precisamente difundidos en los usuarios comunes. Quizás, si incrustamos su uso en los navegadores podamos evitar que la utilización de  contraseñas débiles como la clásica "12345

Más información:

·        Tired of memorizing p4ssw0rd$? The new Chrome has your back https://www.blog.google/products/chrome/chrome-password-manager/

Fuente: Hispasec

Descubierta aplicación anti-adware espiando a usuarios de Mac

Una aplicación situada en el puesto número uno de las aplicaciones de pago de la AppStore cazada espiando a sus usuarios

Se trata de la aplicación "Adware Doctor", esta aplicación está diseñada para proteger a sus usuarios de adware y malware e irónicamente ha sido descubierta robando el historial de navegación de los usuarios sin su consentimiento y enviándolo a servidores localizados en China.

El investigador de seguridad '@privacyis1st' detectó un comportamiento sospechoso de spyware en la aplicación antes citada y le reportó los resultados de la investigación a Apple junto con la prueba de concepto de este incidente, pero la aplicación seguía siendo hospedada por el famoso market.

Una investigación más exhaustiva de la aplicación desveló que elude el entorno de 'Sandboxing' presente en la ejecución de cada aplicación dentro del sistema operativo del gigante tecnológico. Lo cual conlleva a una violación de los acuerdos de desarrollo de aplicaciones.

Los datos obtenidos por la aplicación son principalmente todos los sitios web que el usuario haya visitado por los navegadores más famosos (Google Chrome, Firefox, Safari) y los envía a servidores chinos (hxxp://yelabapp.com) que está a cargo de los creadores de la aplicación. La aplicación se salta la protección de sandboxing y accede a estos datos, comprimiéndolos para posteriormente mandarlos al servidor a través de 'sendPostRequestWithSuffix'.

Esta aplicación tiene más historia detrás antes podíamos encontrarla con el nombre de 'Adware Medic', que era una aplicación que simulaba ser otra llamada AdwareMedic. Se marcó como falsa con la ayuda de MalwareBytes y se eliminó de la AppStore, pero luego apareció Adware Doctor y se convirtió en la mejor aplicación de pago de la AppStore.

Dado que la aplicación viola flagrantemente los términos y condiciones del market de aplicaciones recopilando datos de los usuarios sin su consentimiento y saltándose las protecciones de sandboxing presentes se le comunicó a Apple el incidente, esta comunicación se lleva a cabo hace algunas semanas, pero la compañía aún no ha hecho nada al respecto.

Fue después cuando la información se hizo pública cuando Apple tomó cartas en el asunto y la aplicación fue finalmente borrada junto con la otra aplicación presente del mismo desarrollador 'AdBlock Master' y la URL donde se enviaban los datos ha dejado de ser accesible.

Se recomienda a los usuarios que hayan instalado esta aplicación que la borren inmediatamente de sus dispositivos.

Más información:

·        Fuente: https://thehackernews.com/2018/09/mac-adware-removal-tool.html

·        Artículo técnico:  https://objective-see.com/blog/blog_0x37.html

Fuente: Hispasec

MALWARE . Kronos se actualiza para ser más fuerte

Los troyanos bancarios son un tipo de malware que ha aumentado mucho en los últimos tiempos. Esto ha afectado tanto a los equipos de escritorio como a los dispositivos móviles. La razón principal es que los usuarios cada vez utilizan más Internet para realizar acciones relacionadas con los bancos. La tecnología avanza, pero a su vez los riesgos presentes. Hoy hablamos de Kronos, uno de los troyanos bancarios más peligrosos de los últimos tiempos. Ahora ha recibido una actualización que hace que sea aún más fuerte. Vamos a dar algunos consejos para protegernos y evitar ser víctima.

El troyano bancario Kronos se actualiza y se hace más fuerte

Seguro que muchos recordáis cuando hace unos meses hablábamos de Kronos. Ahora llega más fuerte después de actualizarse. Este troyano bancario pertenece a la misma familia que otras variedades de malware similares como Zeus, Gozi o Citadel.

Esta nueva variante de Kronos también se conoce como Osiris. Ha estado presente en diferentes campañas en países europeos y también otras naciones como Japón. Esta nueva actualización incluye funciones como el control de comando de red TOR, captura de teclas y control remoto a través de VNC.

Para su distribución utiliza un kit de exploit como RIG EK. Ha sido enviado en campañas de phishing mediante correo electrónico donde además envían documentos de Word especialmente diseñados.

Esta nueva actualización de Kronos utiliza mecanismos Anti-VM o Anti-Sandbox para evadir la detección en cualquier entorno virtual. Además, puede modificar algunos aspectos de Internet y reducir la seguridad del navegador para inyectar código malicioso en los sitios web.

Este troyano puede copiarse por sí mismo en diferentes ubicaciones en nuestro equipo, además de ejecutables para TOR o crear accesos directos en la carpeta de inicio.

Hay que mencionar que este troyano bancario hoy en día es mucho más caro que hace unos meses. Se puede encontrar en la Dark Web por unos 7.000 dólares (unos 6.000 euros al cambio actual).

Cómo protegerse de Kronos, el troyano bancario

Los primero que debemos de tener en cuenta es que se distribuye de múltiples formas. Esto incluye macros en Word, aprovechando ciertas vulnerabilidades en el sistema operativo, a través de descargas, etc.

Es muy importante contar con programas y herramientas de seguridad. Pero esto se aplica a cualquier tipo de amenazas, no es exclusivo de este troyano bancario. Tener un buen antivirus y otro tipo de software de seguridad puede protegernos de eventuales ataques.

Pero en este caso se antoja aún más importante el sentido común. Como hemos mencionado, puede distribuirse a través de macros en Word mediante correo electrónico. Por ello hay que prestar mucha atención a posibles archivos adjuntos sospechosos que recibamos, incluso desde contactos que conocemos.

El motivo es que si un usuario acaba infectado, puede reenviar ese correo a otros contactos. Un problema serio, ya que si alguien recibe un e-mail desde una cuenta extraña, que no conoce, puede sospechar. Sin embargo si lo recibimos de un familiar o un amigo, tendemos a fiarnos y a abrir el correo o descargar archivos adjuntos.

También es importante tener nuestros sistemas actualizados. Hemos visto que Kronos utiliza vulnerabilidades del sistema para distribuirse. En ocasiones surgen parches de seguridad que resuelven este tipo de problemas. Por tanto es importante que tengamos actualizados los equipos a la última versión, así como los diferentes programas que tengamos instalados.

Fuente: Fossbytes

AMPLIACION. Acusado un espía de Corea del Norte por el ataque a Sony Pictures y el gusano WannaCry 2.0

El Departamento de Justicia estadounidense ha acusado a Park Jin-hyok, un espía de la República Popular de Corea del Norte, de estar detrás de una serie de ataques internacionales de gran repercusión

Buscado por el FBI. Este ciudadano de Corea del Norte es acusado de pertenecer al grupo de delincuentes informáticos conocido como Lazarus. Este grupo presuntamente patrocinado por el gobierno de Corea del Norte lleva en activo desde 2009 atacando toda clase de objetivos. Varios de estos ataques tuvieron objetivos de Corea del Sur, así como los conocidos ataques a Sony Pictures Entertainment y el gusano WannaCry 2.0.

La denuncia original, a pesar de estar en inglés y ser un documento legal, es sorprendentemente legible, y se encuentra en el siguiente enlace:

https://int.nyt.com/data/documenthelper/274-park-jin-hyo-complaint/7b40e5ed5b185f141e1a/optimized/full.pdf

En ella, el agente especial del FBI Nathan P. Shields, cuya experiencia profesional incluye ingeniería de software en la NASA además de 7 años como agente especial, explica en 179 páginas los detalles de cómo el acusado participó en los hechos. Concretamente, los delitos de los que se le acusa son conspiración y conspiración para cometer fraude electrónico, ambos delitos tipificados en el Título 18 del Código de los Estados Unidos, reservado a los crímenes perseguidos por el gobierno federal (por contraposición a los perseguidos por un estado concreto) y al enjuiciamiento criminal.

Desde el punto de vista de la seguridad informática, es interesante leer la denuncia por lo detallado de la investigación. Se llega hasta el punto de explicar técnicamente que cierto malware está relacionado con otro por contener ambos cierta sección de código binario o usar el mismo protocolo falso para comunicarse con los servidores de control (de esta forma, relacionan diferentes ataques con este grupo). Este protocolo falso parece TLS (un protocolo estándar usado para comunicaciones cifradas), pero no lo es, ya que utiliza otro tipo de cifrado, entre otras diferencias. El objetivo de realizar algo así es evadir los sistemas de detección de intrusos, que lo ven como tráfico legítimo cifrado y no lo detectan como malicioso.

Volviendo al tema del acusado, la última información que se tiene de él es que volvió a Corea del Norte después de trabajar en China para una empresa vinculada con el gobierno coreano. Como es de esperar, no existe convenio de extradición entre Corea del Norte y Estados Unidos. Como diría el famoso futbolista y entrenador Bernd Schuster, "no hase falta desir nada más".

Más información:

·         U.S. Ties Lazarus to North Korea and Major Hacking Conspiracy https://threatpost.com/u-s-ties-lazarus-to-north-korea-and-major-hacking-conspiracy/137264/

·         FBI Most Wanted: PARK JIN HYOK https://www.fbi.gov/wanted/cyber/park-jin-hyok

·         A Look into the Lazarus Group’s Operations https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/a-look-into-the-lazarus-groups-operations

Fuente: Hispasec

Diagrama que vincula al acusado con las víctimas mediante cuentas de correo usadas en los ataques

Escalada de privilegios en ProtonVPN Client

Recientemente se ha descubierto una vulnerabilidad que afecta a la versión 1.5.1 del cliente ProtonVPN

ProtonVPN es un servicio ofrecido por la compañía Proton Technologies, esta compañía es famosa por un servicio de email llamado "ProtonMail" uno de los servicios de correos más seguros del momento.

Hace poco la empresa apostó por hacer un servicio VPN usando la misma visión que con el servicio de email. Y han empezado a aparecer ya algunas vulnerabilidades del lado del cliente.

El cliente de ProtonVPN se divide en dos partes, por un lado está la 'GUI (Interfaz gráfica)' que se ejecuta con privilegios estándar y el propio servicio que corre con los privilegios del sistema.

La 'GUI' se usa para generar el fichero de configuración para OpenVPN que se usa para para ejecutar el servicio con el archivo de configuración indicado.

El pasado abril la firma VerSprite descubrió la vulnerabilidad con CVE-2018-10169 que hacía que si un atacante agregase un parámetro como "plugin" o como "script-security" en el archivo de configuración permitiría ejecutar comandos con privilegios de sistema ya que no existía validación alguna.

Si observamos el código de la imagen vemos cómo la función 'parse_line()' admite los caracteres ' " " ' (comillas dobles) para indicar los comandos.

El investigador Paul Rascagneres (@r00tbsd) de "Cisco Talos" ha descubierto que si modificamos el archivo de configuración y agregamos el parámetro "up" y a continuación la ruta de ejecución de un programa cualquiera (la prueba de concepto se hace con notepad.exe) veremos cómo el programa se ejecuta con privilegios de sistema.

Prueba de concepto

Esta vulnerabilidad fue reportada por el equipo en julio y el parche ha llegado en una actualización del 3 de septiembre. Se recomienda actualizar los  clientes a la versión actual.

Más información

• https://talosintelligence.com/vulnerability_reports/TALOS-2018-0679
• https://github.com/OpenVPN/openvpn/blob/5961250e776194a411a8dfc1670c5c0c73107bf8/src/openvpn/options

Fuente: Hispasec

BIOMEDICINA. Desarrollan fármaco que paraliza el cáncer permanentemente

Científicos australianos de la Universidad de Melbourne descubrieron un nuevo tipo de droga que puede ayudar a tratar el cáncer ––grupo numeroso de enfermedades que se caracterizan por el desarrollo de células anormales––.El fármaco no elimina las células cancerosas, sino que las deja en un estado durmiente que impide que la enfermedad progrese, el cual cuenta con una ventaja que se debe resaltar: no tiene efectos secundarios.

Paralizar el cáncer en crecimiento

El descubrimiento, publicado en la revista Nature, consiste en un fármaco que inhibe dos tipos de proteína llamados KAT6A y KAT6B. Ambas están estrechamente relacionadas con el desarrollo tumoral y se consideran dos de los principales motores de crecimiento en las células cancerosas. La KAT6A se encuentra en el número 12 en la lista de genes más comúnmente amplificados en cánceres. 

Al aplicar un tratamiento que inhibe la formación de las proteínas antes mencionadas, los investigadores lograron cuadruplicar la esperanza de vida en animales afectados por linfoma –– tipo de cáncer que se desarrolla cuando se produce un fallo en la forma de actuar de los linfocitos (células blancas de la sangre)––uno de los tipos de tumor más letal.

“Desde el principio, descubrimos que el agotamiento genético de KAT6A cuadruplicaba la esperanza de vida en modelos animales de cáncer de sangre llamado linfoma. Armados con el conocimiento de que KAT6A es un importante factor de cáncer, comenzamos a buscar formas de inhibir la proteína para tratar el cáncer”, comentó , Tim Thomas del Instituto de Ciencias Farmacéuticas Monash

Sin daño celular, ni efectos secundarios

Este nuevo tratamiento no destruye las células cancerosas, sino que las desactiva. Lo que hace, es poner la enfermedad “a dormir” permanentemente, impidiendo que se desarrolle o que se reactive tras su eliminación. La ventaja que tiene esta droga o fármaco es que no tiene dolorosos efectos secundarios, como sí los posee la radioterapia o quimioterapia.

Los tratamientos actuales se basan en sustancias que destruyen el ADN de las células cancerosas. El problema es que no es fácil dirigir estos tratamientos para que solo destruyan células enfermas. La terapia a menudo destruye también células sanas, lo que da lugar a todo tipo de efectos secundarios lamentablemente dolorosos para el paciente.

Los descubridores de la droga comentaron estar entusiasmados, pero enfatizaron en lo necesario que es seguir investigando y realizar ensayos clínicos en seres humanos antes de que la droga llegue a los hospitales. Su mayor uso puede estar en prevenir de forma permanente la reaparición del cáncer tras su eliminación.

“La posibilidad de brindarles a los médicos otra herramienta que podrían usar para retrasar sustancialmente la recurrencia del cáncer podría tener un gran impacto para los pacientes“, Thomas.

Fuente: Muy Interesante.es

INVESTIGACION. Desarrollan el primer fármaco del mundo que bloquea la metástasis

Investigadores españoles crean un nanocompuesto que frena la expansión del cáncer de colon

Golpe certero de la ciencia al cáncer de colon, el tumor maligno con mayor incidencia en nuestro país. Investigadores españoles han ensayado con éxito en animales un nanofármaco capaz de bloquear la expansión de la enfermedad, lo que se conoce como metástasis. Un proceso que afecta al cuarenta por ciento del millón de casos de este tipo de cáncer que se diagnostican cada año en el mundo, y que representa la causa principal de muerte.

La investigación, que publica la revista científica «EMBO Molecular Medicine», abre una nueva vía para prevenir la metástasis en el cáncer colorrectal en los seres humanos, utilizando una nanomedicina que elimina selectivamente las células madre metastásicas.

El nuevo fármaco funciona como un dron que identifica un receptor (CXCR4) en las células madre metastásicas. Una vez localizadas, administra el fármaco y las destruye, bloqueando la metástasis, según precisan fuentes de la investigación. Al actuar sólo sobre las células tumorales metastásicas, el nuevo nanofármaco evita la toxicidad general asociada a los tratamientos habituales contra el cáncer y preserva las células sanas. Aunque hasta ahora se ha ensayado con éxito en animales que padecen cáncer colorrectal, los investigadores que han realizado el ensayo creen que se podría utilizar en 20 tipos de tumores adicionales, que también expresan CXCR4, como en los de próstata, mama, ovario y otros.

Los investigadores han destacado que se trata del «primer fármaco en el mundo, selectivamente antimetastásico, que aborda la necesidad médica de bloquear la diseminación metastásica». Esta es la principal causa de muerte en pacientes oncológicos, «a la vez que elimina la toxicidad y los efectos adversos de los tratamientos convencionales»

El Hospital de Sant Pau de Barcelona podría ser el primer centro en el mundo en llevar a cabo ahora ensayos clínicos que evalúen este nuevo fármaco en pacientes, previamente a su posible introducción en la terapéutica clínica.

El trabajo ha sido llevado a cabo conjuntamente por investigadores del Institut d’Investigació Biomèdica de Sant Pau (IIB Sant Pau), del Hospital Sant Pau, de la Universidad Autónoma de Barcelona (UAB), del Consejo Superior de Investigaciones Científicas (CSIC) y del Centro de Investigación Biomédica en Red de Bioingeniería, Biomateriales y Nanomedicina (CIBER-BBN), que han sido los creadores del nanofármaco. Además, la investigación ha sido liderada por Ramon Mangues (IIB Sant) y Antonio Villaverde y Esther Vázquez, ambos de la UAB, y todos ellos miembros del Ciber-BBN.

Los científicos han detallado que el fármaco actúa solo sobre las células iniciadoras de metástasis, a través de su interacción específica, entre un péptido presente en la nanopartícula proteica que lo transporta y el receptor celular CXCR4 que se encuentra sobreexpresado en las células tumorales.

«Esto permite atacar solamente a las células tumorales, bloqueando su diseminación en estadios tempranos, de manera que previene la aparición de metástasis, a la vez que evita los efectos adversos derivados de los tratamientos habituales», explican los investigadores.

Alto Impacto

Los científicos creen que la nanopartícula se puede dirigir para tratar diferentes tipos de neoplasias (tumores), convirtiéndola en un vehículo muy versátil que puede transportar diferentes moléculas terapéuticas de elevada potencia para diversos tipos de cáncer.

Actualmente no existen fármacos en el mercado que eliminen selectivamente las células madre metastásicas, por lo que este descubrimiento podría tener un alto impacto clínico cuando ya se hayan superado los ensayos necesarios y pueda aplicarse en humanos.

Fuente: ABC.es