27 may. 2020

Guía "Seguridad en la instalación y uso de dispositivos IoT" [INCIBE]

El Instituto Nacional de Ciberseguridad (INCIBE) ha publicado la guía Seguridad en la instalación y uso de dispositivos IoT (Internet de las Cosas, en inglés Internet of Things), en su misión de concienciar y prevenir a las organizaciones sobre las posibles amenazas de la digitalización en el mundo empresarial.

La guía recoge las principales medidas de seguridad que una empresa debe incorporar al uso de estos dispositivos para reducir riesgos

Con el objetivo de mitigar esos posibles riesgos, INCIBE ha recogido en esta guía las principales medidas de seguridad que debe incorporar todo empresario al uso de dispositivos IoT, considerando también su administración, su ciclo de vida y toda la información que generan e intercambian. Algunas de ellas son: la utilización de técnicas criptográficas que cifren la información o la aplicación de actualizaciones o parches de seguridad.

El término IoT hace referencia a la conectividad de todo tipo de dispositivos, desde sensores, hasta objetos comunes como vehículos, televisiones, etc. La digitalización de estos dispositivos permite enviar y recibir información para realizar tareas, como la visualización de cámaras de seguridad en un smartphone. El IoT aplicado al mundo empresarial puede suponer una gran mejora en diversas áreas de negocio: seguridad, gestión de inventarios, logística, etc., pero también puede conllevar asociados algunos riesgos, si no se toman las medidas de seguridad pertinentes.

En este sentido, el contenido de la guía se desglosa en cinco grandes bloques: qué son los dispositivos IoT y cuál es su utilización en el mundo empresarial, principales amenazas que pueden afectarles, vectores de ataque, medidas de seguridad que se deben implantar para hacer frente a los riesgos inherentes a estos dispositivos y un pequeño decálogo de recomendaciones de ciberseguridad. INCIBE invita a pequeñas, medianas y grandes empresas a consultar esta guía con el fin de implantar las medidas de seguridad necesarias para conseguir un entorno seguro y minimizar los riesgos de sufrir un incidente de seguridad.

Para más información, puede descargarse el documento completo en la sección específica de la web de INCIBE.

26 may. 2020

Unc0ver: jailbreak '0day' para iOS 13.5 y todos los iPhone y iPad

Los jailbreaks parecen estar viviendo una segunda juventud. Estos procesos para "liberar" los iPhone y iPad y poder -entre otras cosas- instalar aplicaciones no bendecidas en la App Store acaban de ponerse muy de moda con el lanzamiento de Unc0ver 5.0.0.

Este nuevo jailbreak es muy especial, porque desde hace cinco años no se descubría un jailbreak que explotase una vulnerabilidad '0day'. Su alcance es tan espectacular que cualquier iPhone o iPad incluso con la versión más reciente de iOS (la 13.5) puede ser "liberado". La pregunta, claro, es si tiene sentido hacerlo.

Hacía años que no se descubría un jailbreak con este alcance

El principal desarrollador de Unc0ver usa como alias Pwn20wnd, y explicaba en un tuit cómo este era el primer jailbreak desde iOS 8 que había logrado aprovechar un exploit de tipo 0day.
Este tipo de vulnerabilidad se llama así porque no existen parches o actualizaciones para corregirla y porque con ella se lanza una forma de explotarla, como en este caso Unc0ver 5.0.0. En otros jailbreaks previos se hacía uso de vulnerabilidades más antiguas que no funcionaban con versiones actuales de iOS, pero este caso el alcance es mucho mayor. El equipo de Unc0ver indica que probaron a utilizarla en dispositivos con versiones desde iOS 11 a iOS 13.5 sin problemas, aunque no funcionó en las versiones que van de la 12.3 a la 12.3.2 y de la 12.4.2 a la 12.4.5.

Como explican en Wired, esta herramienta permite incluso que hagas una copia de seguridad de tu dispositivo antes de hacer el jailbreak, y de ese modo puedes borrar las huellas que deja ese proceso cuando restauras esa copia de seguridad.

Aunque al hacerlo pierdes las modificaciones al kernel que ha hecho la herramienta, los ficheros del jailbreak siguen presentes, lo que permite volver a ejecutar el proceso de nuevo si lo necesitas.

¿Qué puedes hacer con un jailbreak?

Durante mucho tiempo los jailbreaks fueran una útil forma de acceder a muchas de las opciones que Apple no ofrecía en las primeras versiones de iOS. Las ausencias de la plataforma eran notables, y los jailbreaks hacían que el sistema fuese mucho más personalizable y versátil.

Con el tiempo esa ventaja se fue difuminando. Apple fue puliendo y corrigiendo muchas de las debilidades de iOS, y hoy en día la ventaja fundamental que plantea un jailbreak al usuario final es la de acceder a un catálogo de aplicaciones no controlado por Apple.

También tendrás acceso a opciones que la empresa de Cupertino sigue controlando. ¿Quieres usar Firefox en lugar de Safari por defecto? Mala suerte... a no ser que hagas jailbreak: entonces sí que podrás lograrlo.

El férreo control que Apple impone en la App Store hace que algunas herramientas queden fuera del alcance de los usuarios. Con el jailbreak es posible acceder a tiendas de aplicaciones como AltStore o Cydia que ofrecen muchas aplicaciones que no están bajo el control de Apple.
También es posible usar estos componentes para instalar aplicaciones en formato de paquetes IPA, análogos a los APK de Android. Eso, claro, incrementa de forma notable el riesgo de que algunas de ellas contengan malware, pero es un riesgo que quienes hacen el jailbreak asumen.

Lo cierto es que la aparición de Unc0ver reabre esa particular situación en la que Apple trata de parchear esas vulnerabilidades para atajar el uso de diversos jailbreaks. Queda por ver si esta herramienta soportará el futuro iOS 14, pero a Pwn20wnd eso no parece preocuparle mucho: si no lo hace "acabaré haciendo un nuevo jailbreak 0day".

Fuente: Xataka

25 may. 2020

Movimiento Lateral: Pass the Hash Attack

Artículo basado en "Lateral Movement: Pass the Hash Attack" desarrollado por Pavandeep Singh

Traducción: Rodrigo Camacho (@_R0dr1_) y Leandro Di Dio (@leandrod86) para Segu-Info

Author: Pavandeep Singh is a Technical Writer, Researcher and Penetration Tester. Can be Contacted on Twitter and LinkedIn


Si has estado en el campo de la seguridad informática en los últimos 20 años, puedes haber escuchado sobre Pass-the-Hash o ataque PtH. Es muy efectivo y castiga muy duro si se lo ignora. Fue tan efectivo que llevó a Microsoft Windows a hacer grandes cambios en la manera de almacenar credenciales y usarlas para autenticación. Incluso después de muchos cambios, actualizaciones y parches PtH es un problema que simplemente continuará. Echemos un vistazo.

Tabla de Contenidos

  • Historia de PtH
  • "Arreglo" de Microsoft
  • Introducción al Hashing y NTLM
  • Funcionamiento de PtH
  • Ceros en vez de Hashes LM
  • Configuraciones usadas en la practica
  • Ataques Pass-the-Hash
  • Mimikatz
  • PtH sobre SMB
    • Metasploit scanner/smb/smb_login
    • Empire lateral_movement/invoke_smbexec
  • Impacket smbclient
  • pth-smbclient
  • crackmapexec
  • PtH sobre PsExec
  • Metasploit windows/smb/psexec
  • Metasploit admin/smb/psexec_command
  • Impacket psexec
  • PtH sobre WMI
  • Impacket wmiexec
  • PowerShell Invoke-WMIExec
  • pth-wmic
  • exe
  • PtH sobre RPC
  • Impacket rpcdump
  • pth-rpcclient
  • pth-net
  • Herramientas Pass the Hash
  • PTH Toolkit
    • pth-winexe
    • pth-curl
  • Impacket
    • Impacket atexec
    • Impacket lookupsid
    • Impacket samrdump
    • Impacket reg
  • Detección PtH
  • Migración PtH
  • Referencias
  • Conclusiones 

El artículo completo se puede descargar desde aquí.

Historia de PtH

Una de las primeras cosas que aprendí en explotación fue que, una vez obtenida la sesión, uno debe buscar credenciales y/o hashes. Esta es una de las actividades fundamentales que un atacante desarrolla después del exploit inicial. Desde la perspectiva de un Red Teamer, PtH es una parte del Movimiento Lateral. Después de obtener los hashes depende de los atacantes lo que harán con el hash. Pueden intentar descifrarlo. Pero, como todos sabemos, eso es difícil, consume tiempo y sin garantía de obtener la contraseña. Pero hay otro camino.

Durante la autenticación, el procedimiento básico es que la contraseña se recopila del usuario, luego es encriptada y entonces el hash encriptado de la contraseña correcta es utilizado para una futura autenticación. Después de la autenticación inicial, Windows mantiene el hash en su memoria de manera tal que el usuario no tenga que introducir la contraseña una y otra vez. Durante el volcado de credenciales, vemos que hemos extraído muchos y muchos hashes. Ahora, como atacante, no conocemos la contraseña. Así, durante la autenticación, introducimos el hash en lugar de la contraseña. Windows compara los hashes y recibe al atacante con los brazos abiertos. En pocas palabras, a esto se lo denomina ataque Pass-the-Hash.

El "arreglo" de Microsoft

Microsoft reemplazó el cifrado RC4 con AES, así como también introdujo la credencial Guard. Esto llevó a pensar a muchos usuarios que el ataque PtH se había ido para siempre. Pero la realidad fue muy distinta. Esos cambios hicieron el ataque muy difícil de desarrollar, pero nunca resolvieron el problema de fondo. Los cambios introducidos hicieron que algunas técnicas y herramientas sean inútiles. Pero algunas aún funcionaban. Esto creó un sentido de confusión entre la comunidad. Espero poder brindar algo de luz sobre esto.

Introducción al Hashing y NTLM

Una función Hash criptográfica es un algoritmo que toma un bloque de datos arbitrarios y devuelve una cadena de bits de tamaño fijo, el valor del hash, tal que un cambio en los datos cambiará el valor del hash. En otras palabras, esto significa que tienes un bloque de texto en nuestro caso la contraseña y ejecutas alguna función mágica y si hiciste algún cambio pequeño en la contraseña finalizarías con un valor completamente diferente.

Microsoft, desde el lanzamiento de Windows 10, usa el protocolo de autenticación NTLMv2. También se introdujo el sistema de inicio de sesión único el cual mantiene las credenciales almacenadas en la caché de la memoria para así poder ser utilizadas más tarde.

El artículo completo se puede descargar desde aquí.

Microsoft confirma 0-Day en archivo del sistema de Windows

Pocos días después de la actualización de seguridad mensual de Windows (Patch Tuesday), se ha informado públicamente de algunas vulnerabilidades 0-Day en un archivo del sistema, a las que todavía no se ha dado solución.

Como todos los meses, Microsoft corrige en bloque con el Patch Tuesday vulnerabilidades de seguridad en toda su gama de productos. En la última actualización de seguridad, se han corregido un total de 111 vulnerabilidades, 16 de las cuales fueron catalogadas como críticas y, excepcionalmente, no hubo ninguna vulnerabilidad 0-day entre ellas.

Recordamos que se consideran como vulnerabilidades 0-Day aquellas que no son todavía conocidas, por lo que el proveedor no ha sido capaz de solucionarlas, suponiendo una brecha de seguridad que podría ser aprovechada por los atacantes desde el mismo día del lanzamiento del producto. En esta ocasión, se han publicado al menos cuatro nuevas vulnerabilidades 0-Day que afectan a Microsoft Windows, afectando tres de ellas archivos del sistema de Windows.

La Iniciativa Zero Day (ZDI) de Trend Micro es un programa de recompensas de detección (bug bounty) creado en 2005 que fomenta la notificación de vulnerabilidades 0-day. Aquellos investigadores de seguridad que logran descubrir alguna vulnerabilidad y la notifican al ZDI, son recompensados económicamente. Se pone especial atención en la identificación de la gravedad y la descripción técnica del fallo de seguridad para facilitar el trabajo de los proveedores a la hora de solucionar los mismos y que los investigadores de seguridad sigan analizando los productos.

Por motivos de seguridad, se evita la publicación de los detalles técnicos de las vulnerabilidades hasta que el proveedor ha lanzado la actualización de seguridad. No obstante, el ZDI ofrece una ventana de 120 días para que se corrija el fallo, tras la cual se publica un «aviso limitado» incluyendo consejos para la mitigación.

Las vulnerabilidades 0-Day de Microsoft Windows que se divulgaron públicamente el 19 de mayo afectan principalmente al archivo splwow64.exe, que es un controlador de impresora para aplicaciones de 32 bits. El ejecutable Spooler Windows OS (Windows 64 bits) permite que las aplicaciones de 32 bits sean compatibles con un sistema Windows de 64 bits. Los CVE-2020-0915, CVE-2020-0916 y CVE-2020-0986 afectan a este archivo. Las tres se clasifican como de gravedad alta en el sistema de puntuación CVE, con una calificación de 7.0.

Estas vulnerabilidades podría permitir a un atacante escalar privilegios en un sistema Windows. El problema reside en el proceso de host del controlador de impresora en modo de usuario, produciéndose por la falta de una validación adecuada de un valor suministrado por el usuario antes de desreferenciarlo como un puntero. Por lo tanto, se puede aprovechar esta vulnerabilidad para escalar privilegios de baja integridad y ejecutar código en el contexto del usuario actual con integridad media.

Dado que el atacante debe obtener en primer lugar la capacidad de ejecutar código de bajo privilegio en el destino, la calificación de estas vulnerabilidades no ha sido de severidad crítica.

La última de las vulnerabilidades 0-day divulgada públicamente por el ZDI no tiene todavía un número CVE, solo el ZDI-20-666. Esta vulnerabilidad también permite una escalada de privilegios, pero esta vez relacionada el manejo de perfiles de conexión de WLAN. Un atacante podría obtener las credenciales de la máquina mediante un perfil malicioso, que luego podrían ser aprovechadas para otro tipo de ataque. Sin embargo, Microsoft no la ha considerado lo suficientemente grave como como para corregirla en la versión actual, por lo que no ha proporcionado ningún parche de seguridad.

Todas las vulnerabilidades fueron notificadas a Microsoft por parte del ZDI en diciembre, aunque no se solucionaron hasta el Patch Tuesday de mayo. Todavía no se sabe cuándo publicará Microsoft una solución para los usuarios.

El consejo de mitigación incluido en las divulgaciones de asesoramiento limitado de ZDI para las tres vulnerabilidades 0-day se basan en la restricción del servicio, de modo que solo los clientes y servidores legítimos puedan comunicarse con el mismo. 

Fuentes:

24 may. 2020

Trend Micro identifica métodos críticos de ataque a la Industria 4.0

Trend Micro ha publicado una investigación [PDF] en la que describe cómo los hackers avanzados podrían aprovechar nuevos vectores de ataque no convencionales para sabotear los entornos de fabricación inteligente (Attacks on Smart Manufacturing Systems).

Para este informe, Trend Micro Research ha trabajado con el Politecnico di Milano en su laboratorio de Industry 4.0, que alberga equipos de fabricación reales de los líderes del sector, para demostrar cómo los agentes de amenazas maliciosas pueden explotar las características y los fallos de seguridad existentes en los entornos de IoT Industrial (IIoT) para el espionaje con beneficios económicos.

"Los ciberataques de fabricación anteriores han utilizado malware tradicional que se puede detener mediante la protección regular de la red y los endpoints. Sin embargo, es probable que los atacantes avanzados desarrollen ataques específicos de Tecnología Operativa (OT) diseñados para pasar desapercibidos", comenta Bill Malik, vicepresidente de estrategia de infraestructura de Trend Micro. "Como muestra nuestra investigación, ahora hay múltiples vectores expuestos a tales amenazas, lo que podría provocar importantes daños económicos y de reputación para las empresas de la Industria 4.0. La respuesta es una seguridad específica para IIoT diseñada para erradicar las amenazas sofisticadas y específicas".

"El Politecnico di Milano está plenamente comprometido con el apoyo a la Industria 4.0 para abordar aspectos cruciales relacionados con la seguridad y la fiabilidad de los controles automatizados y avanzados, especialmente a medida que adquieren relevancia en todos los sectores de producción y tienen un impacto cada vez mayor en los negocios", señalan Giacomo Tavola, profesor asociado en Diseño y Gestión de Sistemas de Producción, y Stefano Zanero, profesor asociado en Temas Avanzados de Ciberseguridad del Politécnico de Milán.

Los equipos críticos de fabricación inteligente se basan principalmente en sistemas patentados, sin embargo, estas máquinas tienen la potencia informática de los sistemas de TI tradicionales. Son capaces de mucho más que el propósito para el cual están desplegados, y los atacantes pueden explotar este poder. Las computadoras usan principalmente lenguajes propietarios para comunicarse, pero al igual que con las amenazas de TI, los lenguajes se pueden utilizar para ingresar código malicioso, atravesar la red o robar información confidencial sin ser detectados.

Aunque los sistemas de fabricación inteligente están diseñados y desplegados para estar aislados, este aislamiento se está erosionando a medida que convergen TI y OT. Debido a la separación prevista, existe una gran confianza depositada en los sistemas y, por tanto, muy pocas verificaciones de integridad para evitar actividades maliciosas.

Los sistemas y máquinas que podrían aprovecharse incluyen el sistema de ejecución de fabricación (MES), las interfaces hombre-máquina (HMI) y los dispositivos IIoT personalizables. Estos son potenciales eslabones débiles en la cadena de seguridad y podrían ser explotados de tal manera que dañen los bienes producidos, causen fallos de funcionamiento o alteren los flujos de trabajo para fabricar productos defectuosos.

El informe ofrece un conjunto detallado de medidas de defensa y mitigación, incluyendo:
  • Inspección en profundidad de paquetes que soporta los protocolos OT para identificar cargas útiles anómalas a nivel de red
  • Los controles de integridad se ejecutan regularmente en los endpoints para identificar cualquier componente de software alterado
  • La firma de código en los dispositivos IIoT para incluir dependencias como las bibliotecas de terceros
  • El análisis de riesgos se extenderá más allá de la seguridad física al software de automatización
  • Cadena completa de confianza para los datos y el software en los entornos de fabricación inteligente
  • Herramientas de detección para reconocer la lógica vulnerable/maliciosa de las máquinas de fabricación complejas
  • Sandboxing y separación de privilegios para el software en las máquinas industriales

23 may. 2020

Ransomware Ragnar Locker instala una VM para cifrar los datos

Un nuevo estudio advierte sobre un nuevo método de ataque de ransomware que ejecuta una máquina virtual (como VirtualBox) en las computadoras objetivo para infectarlas. El ataque se puede dar más allá del alcance del software antivirus local de la computadora.

Según la compañía de ciberseguridad con sede en el Reino Unido, Sophos, el grupo de ransomware conocido como Ragnar Locker es bastante selectivo al elegir a sus víctimas. Los objetivos de Ragnar tienden a ser empresas en lugar de usuarios individuales.

En un ataque recientemente detectado, el ransomware Ragnar Locker se implementó dentro de una máquina virtual Oracle VirtualBox con Windows XP. La carga útil de ataque fue un instalador de 122 MB con una imagen virtual de 282 MB en el interior, todo para ocultar un ejecutable de ransomware de 49 kB.
Ragnar Locker le pide a las víctimas grandes cantidades de dinero para liberar sus archivos. También amenaza con liberar datos confidenciales si los usuarios no pagan el rescate.

Sophos dio el ejemplo de la red de Energias de Portugal, que robó 10 TB de datos confidenciales y exigió el pago de casi 1.850 Bitcoin (BTC), aproximadamente 11 millones de dólares (al momento de esta publicación) para no filtrar los datos.

El modus operandi del ransomware es aprovechar las vulnerabilidades de las aplicaciones de escritorio remoto en Windows, donde obtienen acceso de administrador a la computadora.
Con los permisos necesarios otorgados, los atacantes configuran la máquina virtual para interactuar con los archivos. Luego proceden a arrancar la máquina virtual, ejecutando una versión simplificada de Windows XP llamada "Micro XP v0.82".

Brett Callow, analista de amenazas en el laboratorio de malware Emsisoft, proporcionó más detalles sobre Ragnar Locker:
"Recientemente se ha observado que los operadores lanzan el ransomware desde una máquina virtual para evitar ser detectados por protocolos de seguridad. Al igual que otros grupos de ransomware, Ragnar Locker roba datos y utiliza la amenaza de su lanzamiento como palanca adicional para extorsionar el pago. Si la empresa no paga, los datos robados se publican en el sitio Tor del grupo".
Callow afirma que las tácticas implementadas por los grupos de ransomware se están volviendo cada vez más "malvadas y extremas", considerando que otros grupos de ransomware ahora amenazan con vender los datos a los competidores de la víctima o usarlos para atacar a sus clientes y socios comerciales.

El especialista en amenazas de Emsisoft agrega lo siguiente:
"Las empresas en esta situación no tienen buenas opciones disponibles para ellos. Incluso si se paga el rescate, simplemente tienen una falsa promesa hecha por un actor de mala fe de que los datos robados se eliminarán y no se utilizarán indebidamente".
En ataques anteriores, el grupo Ragnar Locker ha utilizado ataques de proveedores de servicios administrados o ataques en las conexiones del protocolo de escritorio remoto (RDP) de Windows para establecerse en las redes específicas. Después de obtener acceso de nivel de administrador al dominio de un objetivo y exfiltración de datos, han utilizado herramientas administrativas nativas de Windows como Powershell y Windows Group Policy Objects (GPO) para moverse lateralmente a través de la red a clientes y servidores de Windows.

En el ataque detectado, los actores de Ragnar Locker usaron una tarea de GPO para ejecutar Microsoft Installer (msiexec.exe), pasando parámetros para descargar e instalar silenciosamente un paquete MSI diseñado y sin firmar de 122 MB desde un servidor web remoto. Una instalación funcional de un antiguo hipervisor Oracle VirtualBox: en realidad, Sun xVM VirtualBox versión 3.0.4 del 5 de agosto de 2009 (Oracle compró Sun Microsystems en 2010).
Un archivo de imagen de disco virtual (VDI) llamado micro.vdi, una imagen de una versión simplificada del sistema operativo Windows XP SP3, llamada MicroXP v0.82. La imagen incluye el ejecutable del ransomware Ragnar Locker de 49 kB.

Fuente: Sophos

22 may. 2020

Consiguen hackear el WiFi a través del Bluetooth

El Bluetooth está sufriendo uno de sus peores días en cuanto a seguridad se refiere. A principios de semana, investigadores de Suiza descubrieron BIAS (Bluetooth Impersonation Attack), que afecta a todos los dispositivos Bluetooth y permite a un atacante conectarse a nuestro móvil con sólo tener la clave de autenticación. Ahora, un nuevo fallo permite hackear el WiFi a través del Bluetooth en un tipo de ataque que acaba de comprobarse por primera vez.

Han sido investigadores alemanes e italianos los que han descubierto un nuevo ataque que rompe la separación entre las tecnologías WiFi y Bluetooth en dispositivos como ordenadores, móviles o tablets. Este fallo, bautizado como Spectra, funciona en los chips que combinan distintos tipos de protocolos de comunicación inalámbrica, tales como el WiFi, Bluetooth o incluso LTE.

Spectra: rompiendo la separación entre WiFi y Bluetooth

La clave de Spectra es que el Bluetooth y el WiFi operan en la misma banda de frecuencia de 2,4 GHz, y al compartir espectro es el chip el que tiene que dictaminar el acceso de cada una de las tecnologías. El ataque aprovecha esos mecanismos de coexistencia que los fabricantes incluyen, los cuales cambian de tecnologías de manera instantánea a la hora de emitir señales. Aunque este mecanismo mejora el rendimiento de ambas tecnologías, también permite realizar ataques de canal lateral para que un atacante pueda inferir datos de una tecnología a otra.
Para ello, analizaron chips de red de Broadcom y Cypress, que se usan en cientos de millones de dispositivos como iPhone, MacBook y móviles de Samsung, y consiguieron romper la separación en los chips de ambas marcas. Los investigadores darán los datos técnicos de cómo lo han conseguido en la Black Hat 2020, pero de momento afirman que lo que hacen es enviar tráfico malicioso y finalmente atacar a la interfaz que separa ambas tecnologías.

Gracias a ello, el ataque puede tener efectos devastadores. Entre los ataques que pueden realizar se encuentra varios de denegación de servicio (DoS) en el espectro, pudiendo obtener información a través de, por ejemplo, las diferencias de tiempo entre pulsar determinadas teclas en un teclado Bluetooth.

Se puede hackear el WiFi usando el Bluetooth

Y aún peor, descubrieron que hay una región de memoria RAM compartida por ambas tecnologías, la cual permite ejecutar código en el WiFi a través de Bluetooth. Esto convierte un ataque de ejecución remota del Bluetooth en un ataque equivalente de ejecución remota en el WiFi, aumentando la superficie de ataque.

Además de los chips de Broadcom y Cypress, los investigadores afirman que chips de otras marcas también están probablemente afectados porque comparten mecanismos y tecnologías. De momento no se sabe si los fallos están solucionados en los chips afectados, pero suponemos que en la conferencia de agosto darán más información al respecto.

Los detalles técnicos adicionales sobre el ataque aún no se han hecho públicos. El equipo de investigación planea proporcionar un resumen técnico durante una sesión virtual en la conferencia de seguridad de Black Hat en agosto.

Fuente: ZDNet

Código fuente de Windows NT 3.5 y la Xbox original se ha filtrado en Internet

En un contexto en que la Free Software Foundation ha pedido a Microsoft recientemente y en varias ocasiones que libere el código fuente de Windows 7 tras la retirada de su soporte, se ha filtrado en Internet algo más antiguo pero igualmente interesante: el código fuente de Windows NT 3.5 y la Xbox original.

Según leemos en The Verge, donde confirman que la filtración del sistema operativo de la consola es real, Microsoft de momento habla de que están investigando, pero no ofrece información concluyente. El código fuente apareció en la Red a comienzos de mayo.

Microsoft ha protegido en gran medida su código fuente propietario de Windows y Xbox a lo largo de los años. El código fuente parcial de Windows 2000 y NT 4 se filtró en 2004, e incluso parte del código fuente de Windows 10 se publicó en línea en 2017. Le pedimos a Microsoft que comentara sobre la fuga del código fuente de Windows NT 3.5, pero la compañía dice que no tiene nada que compartir Este incidente en particular.

Respecto a Xbox, además de su sistema operativo, que incluye su icónico Dashboard, muy adelantado a su tiempo, también se ha filtrado el kit de desarrollo de Xbox, herramientas de emulación y documentos internos. Esto, si hasta ahora no hubiera estado en manos de desarrolladores de emuladores, podría ayudar a perfeccionar estos, pero lo probable es que antes de filtrarse, lleven tiempo en manos fuera de Microsoft.
Actualmente, solo 40 de los 900 juegos de dicha consola se puedan emular de forma limitada. Se explica con el hecho de que los emuladores de la primera generación de consolas de Microsoft no se hayan llegado a perfeccionar, por la dificultad que ello entraña pese a que la Xbox original utilizara la arquitectura x86. El procresador elegido fue uno basado en un Pentium III.

En cuanto a Windows NT 3.5, hablamos de la segunda versión de este sistema operativo, lanzado en 1994, y cuyo soporte, con Windows NT 3.51 duró hasta 2001. De él se han filtrado herramientas de desarrollo y el código fuente de una versión cercana a la final. Actualmente no es un código de mucha relevante, pero sería distinto si Windows 2000 y NT 4 siguieran en activo, pues estaban muy basados en él.

Hasta el momento, Microsoft ha liberado motu proprio el código fuente de muchas herramientas, entre las que destacan MS-DOS 1.25 y 2.0, que al ser de 1983, realmente no son comparables a NT 3.5. En cuanto a software de mucha importancia, está Word 1.1A, y recientemente, los PowerToys, la Terminal de Windows o la Calculadora de Windows.

Fuente: Genbeta

21 may. 2020

NXNSAttack: ataque DNS que podría haber tumbado Internet con un DDoS

Investigadores israelíes han descubierto un gran fallo que afecta al protocolo DNS y que permiten lanzar ataques DDoS masivos con muy pocos recursos. El ataque ha sido bautizado como NXNSAttack [PDF], que aprovecha un fallo en el mecanismo de delegación de las DNS que fuerza a los resolutores DNS a generar más solicitudes de DNS de las necesarias. Con ello, un atacante puede decidir qué web atacar para enviar esas solicitudes y hacer que un servicio se caiga.

Los investigadores han demostrado que el número de mensajes de DNS intercambiados en un proceso de resolución normal puede ser mucho más grande en la práctica. Esta ineficiencia puede generar un grave cuello de botella y puede usarse para llevar a cabo un ataque devastador tanto contra un resolutor recursivo de DNS como contra un servidor autoritativo.

Una vulnerabilidad de DNS podría haber tumbado Internet en cualquier momento

Una búsqueda de DNS recursiva ocurre cuando un servidor de DNS se comunica con varios servidores DNS en una secuencia ordenada para localizar una dirección IP asociada a un dominio. Si no has modificado tu resolutor de DNS, entonces tendrás el de tu operador, pero muchos usuarios usan otros servidores como Google o Cloudflare.

El resolutor envía la solicitud al servidor autoritativo si no puede localizar la IP de un dominio. Si no lo encuentra, pasa al siguiente servidor hasta que pueda resolverla y permitir el acceso a la web deseada. Los investigadores descubrieron que pueden aprovechar este mecanismo para enviar solicitudes con un gran número de paquetes hacia un dominio concreto en lugar de a los servidores autoritativos.

Para poder llevar a cabo el ataque, el proceso es el siguiente:

En primer lugar, el atacante envía una consulta de DNS a un servidor de DNS recursivo. La solucitud es para un dominio controlado por el atacante, que puede ser "atacante.com". Seguidamente, como el servidor DNS recursivo no está autorizado para resolver el dominio, reenvía la operación a un servidor de DNS autoritativo malicioso en propiedad del atacante.

El servidor DNS malicioso responde al servidor recursivo con un mensaje del tipo "estoy delegando la resolución de DNS en este listado de servidores". Este listado contiene una lista de miles de subdominios de la web de la víctima. Por último, el servidor de DNS recursivo reenvía la consulta de DNS a todos los subdominios de la lista, haciendo que el tráfico se dispare en el servidor DNS autoritativo de la víctima.
Así, el ataque puede amplificar el número de paquetes intercambiados en 1.620 veces, saturando no sólo el resolutor de DNS con más solicitudes de las que puede gestionar, sino que hacer que la web que el atacante quiera se caiga. Y con una botnet, los efectos pueden ser devastadores, ya que podrían tumbar servidores de DNS tan grandes como Google o a DynDNS, que ya generó un enorme caos hace unos años.

Los principales resolutores de DNS han parcheado el fallo

Antes de publicar la existencia de la vulnerabilidad, los investigadores se comunicaron con los principales resolutores de DNS del mercado y las principales compañías detrás de la infraestructura de Internet, entre las que se encuentran Cloudflare, Google, Amazon, Microsoft, PowerDNS, CZ.NIC, Dyn, Verisign e IBM. Todos han lanzado parches para solucionar la vulnerabilidad.

Los investigadores israelíes dijeron que han estado trabajando durante los últimos meses con los fabricantes de software DNS, redes de entrega de contenido y proveedores de DNS administrados para aplicar mitigaciones a los servidores DNS en todo el mundo.


  • Los ataques DDoS son cada vez más peligrosos, ya que cada vez hay más dispositivos del IoT con malas protecciones, pero con acceso a conexiones de alta velocidad. Estos dispositivos vulnerables pasan a formar parte de botnets como Mirai, formadas por decenas de miles e incluso cientos de miles de dispositivos que pueden tirar cualquier servicio.

    Fuente: ZDNet | NXNSAttack
  • Signal corrige la falla que revela la ubicación, introduce PIN de señal

    Signal ha corregido una vulnerabilidad que afectaba a su popular aplicación de comunicaciones seguras del mismo nombre y que permitía a los atacantes descubrir y rastrear la ubicación de un usuario.

    La organización sin fines de lucro también anunció el martes un nuevo mecanismo, los PIN de señales, que eventualmente permitirá a los usuarios no usar su número de teléfono como su ID de usuario.

    Sobre la vulnerabilidad

    La vulnerabilidad, descubierta por el investigador de Tenable David Wells, se debe al hecho de que la bifurcación WebRTC utilizada por Signal para la comunicación de voz y video debe descubrir una ruta de conexión válida para que el local (la parte que llama) y el par remoto (la parte llamada) se comuniquen .

    Al hacerlo, realiza una solicitud de DNS y revela el servidor DNS al que se conecta automáticamente el teléfono.

    Si bien la información del servidor DNS no puede decirle a la persona que llama dónde se encuentra exactamente la persona que llama, ya que ofrece solo datos de ubicación aproximados, según Wells, "en casos como el DNS público de Google (8.8.8.8/8.8.4.4) y otros, este ataque puede reduzca la ubicación a la ciudad del usuario de Signal debido al uso de la subred del cliente EDNS".

    Lo más importante es que la información se puede obtener incluso si la parte llamada no responde la llamada, lo que significa que la parte llamada no puede evitar que un atacante realice la llamada, cuelgue antes de responder y recopile la información del servidor DNS.

    Hacerlo muchas veces durante el día y durante semanas le permitiría al atacante crear un perfil de servidores DNS frecuentes que la aplicación usa cuando la parte llamada se muda de casa, al trabajo, a una cafetería, etc.

    Si bien esto puede no ser un problema para los usuarios promedio, uno puede ver cómo ciertos usuarios como periodistas, activistas, disidentes o incluso víctimas de acosadores podrían verse afectados por actores maliciosos que pueden conocer, en cualquier momento, su ubicación general.

    Afortunadamente, Signal ya ha lanzado versiones actualizadas de Signal para Android (v4.59.11) e iOS (3.8.4) que solucionan el problema, por lo que los usuarios pueden actualizar sus aplicaciones de inmediato.

    Si la actualización es imposible, Wells aconseja usar una aplicación VPN móvil que canalice el tráfico DNS.

    Acerca de los PIN de señal

    Al configurar y usar un PIN de señal, los usuarios podrán guardar (hacer copias de seguridad) datos importantes (por ejemplo, perfil, configuración de cuenta, contactos, lista de bloqueo) que podrían perder si sus teléfonos se pierden, son robados o destruidos. Esto también permitirá a los usuarios migrar fácilmente sus datos de Signal cuando cambien de teléfono.

    Los datos se cifrarán y guardarán en los servidores de Signal, pero Signal no podrá acceder a ellos porque no conocen el PIN de los usuarios.

    También es importante señalar que los datos guardados no incluyen las conversaciones de Signal.

    Los PIN de Signal también pueden servir como un "bloqueo de registro" opcional, una protección adicional contra el secuestro de la cuenta de Signal.

    Finalmente, como este mecanismo "también ayudará a facilitar nuevas funciones como el direccionamiento que no se basa exclusivamente en números de teléfono, ya que la libreta de direcciones del sistema ya no será una forma viable de mantener su red de contactos".

    Los usuarios pueden cambiar su PIN y activar el Bloqueo de registro a través de la configuración de privacidad de la aplicación. Puede encontrar más información sobre los PIN de señal aquí.

    Fuente: HelpNetSecurity