24 abr. 2018

Informe sobre los afectados por

La polémica de Facebook y Cambridge Analytica está lejos de terminar. Por medio de un comunicado, la empresa de Zuckerberg confirmó que se obtuvo y usó la información de 87 millones de sus usuarios de manera indebida, una cifra de casi el doble a la que se había planteado cuando se dio a conocer el escándalo.

En el documento se evidencia que Estados Unidos es el país con el mayor número de afectados (70.632.350 personas), seguido por Filipinas (1.175.870 usuarios) e Indonesia (1.096.666).
Cabe destacar que, entre los 10 países como más afectados, Brasil y México son las únicas dos naciones latinoamericanas.
Desde la empresa indicaron que una de las medidas que tomarán al respecto será informar a los usuarios de la cuentas afectadas, directamente en su pantalla, qué datos obtuvieron de ellos.

"A partir del lunes 9 de abril, mostraremos a las personas un enlace en la parte superior de su News Feed para que puedan ver qué aplicaciones usan y la información que han compartido con esas aplicaciones", indicaron.

Desde Facebook también adelantaron que tomarán nuevas medidas para hacer más segura la plataforma y restringir el acceso que los desarrolladores tienen a los datos de los usuarios, además de hacer más claros los avisos de privacidad y términos y condiciones, en los que las personas acuerdan dar acceso a terceros a ciertos de sus datos.

Fuente: Netmedia

Exploit para escalar privilegios en Windows 7 y Server 2008 R2 x64 mediante #Meltdown

¿Recuerdan Meltdown? Aplicaciones sin privilegios eran capaces de leer la memoria del kernel debido a una característica integrada en las CPUs... Microsoft la parcheó en enero pero al hacerlo abrió un agujero aún peor permitiendo que cualquier proceso pueda leer el contenido completo de la memoria (a velocidades de gigabytes por segundo), incluso escribir en ella.

No se necesitan exploits complejos: Microsoft ya hizo el arduo trabajo en Windows 7 x64 y Server 2008 R2 x64 de mapeo en la memoria requerida en cada proceso en ejecución. La explotación es solo una cuestión de leer y escribir en la memoria virtual en proceso ya mapeada. No se requieren API sofisticadas ni llamadas de sistema, ¡solo lectura y escritura estándar!

El bug radica en que se permite el acceso en user-mode a una entrada (0x1e8) de la tabla de paginado PML4 (Page Map Level 4), una de las cuatro que se utilizan para trasladar direcciones virtuales a físicas. Y aún peor, dicha entrada es usada en Windows 7 y Server 2008 R2 x64 como auto-referenciable (Self-Referencing) lo que significa que cualquier proceso de usuario puede ver y modificar la tabla PML4 y, de forma adyacente, la memoria física. Recomiendo echar un vistazo al artículo de Adam aka @_xpn_ donde lo explica perfectamente.

Una de las consecuencias de explotar este fallo es la posibilidad de escalar privilegios, como se puede observar en el siguiente vídeo de demo:
Para construir el exploit, "sólo" hay que desarrollar los siguientes pasos:
  • Crear un nuevo conjunto de tablas de página que permita acceder a cualquier dirección de memoria física.
  • Crear un conjunto de firmas que puedan usarse para buscar estructuras _EPROCESS en la memoria del kernel.
  • Encontrar la dirección de memoria _EPROCESS para el proceso en ejecución y para el proceso del Sistema.
  • Reemplace el token del proceso en ejecución con el de System, elevando a NT AUTHORITY\System.
Tenéis el código completo y funcional aquí.

Por último, Microsoft ha publicado el parche para esta vulnerabilidad, bautizada como CVE-2018-1038, así que toca parchear rápido:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-1038

Fuente: HackPlayers

Orangeworm: APT orientada al sector médico

Symantec ha descubierto un nuevo grupo de atacantes que se dirige de forma agresiva a las empresas y organizaciones de salud con el fin de realizar espionaje corporativo.

Denominado Orangeworm, este grupo carga malware en dispositivos que alojan software empleado para controlar máquinas de rayos X, Resonancia Magnética Nuclear (RMN), así como también dispositivos utilizados para ayudar a los pacientes a completar los formularios de consentimiento para procedimientos médicos.

El informe publicado por Symantec, revela que Orangeworm ha estado operando desde el año 2015 y su objetivo principal son las corporaciones internacionales con sede en Europa, Asia y Estados Unidos, enfocadas principalmente en el sector médico. En este sentido, la publicación afirma:
Creemos que estas industrias también han sido atacadas como parte de un ataque más grande a su cadena de suministro para que Orangeworm tenga acceso a sus víctimas previstas vinculadas con la atención médica.
El ataque ocurre de la siguiente manera: Luego de que los atacantes acceden a la red de las víctimas, cargan un troyano llamado Kwampirs, que se encarga de abrir una puerta trasera en los ordenadores comprometidos, permitiendo acceder remotamente a ellos y robar los datos confidenciales de las organizaciones que los atacantes han estudiado previa y cuidadosamente.

Las organizaciones de atención médica han surgido recientemente como un objetivo primordial para los delincuentes y atacantes gubernamentales, incluidos aquellos que realizan ataques de ransomware para generar ganancias. En este sentido, Symantec considera que los atacantes de Orangeworm no tienen otro objetivo más que el espionaje corporativo, como por ejemplo, el robo de secretos comerciales.

De momento, el mayor porcentaje de víctimas del ataque ha sido reportado en Estados Unidos, seguido de Arabia Saudita, Filipinas, India, Reino Unido, Hungría, Alemania, Turquía, Hong Kong, Polonia, Canadá, Francia, Suecia, entre otros.

Fuente: TekCrispy

23 abr. 2018

Es ley: tenencia de pornografía infantil se castiga con cárcel (Argentina)

La Cámara de Diputados convirtió en ley un proyecto consensuado que modifica el artículo 128 del Código Penal y sanciona con penas de entre tres y seis años de prisión la simple tenencia de material pornográfico infantil.

La norma fue aprobada por amplia mayoría -212 votos a favor y una sola abstención-, indicó el sitio Parlamentario.com. "No tenemos que tener temor y hay que decirlo con todas letras: el que tiene pornografía infantil es un pedófilo. Es un paso previo para la materialización del abuso sexual infantil", denunció la presidenta de la Comisión de Legislación Penal, Gabriela Burgos (UCR). Burgos advirtió que en Argentina "hay un negocio con ganancias de 250 millones de pesos anuales" en torno al material pornográfico de menores.

La Cámara de Diputados trasformó en ley la propuesta de modificación del artículo 128 del Código Penal para penalizar la tenencia de pornografía infantil, cualquiera sea su finalidad, y el agravamiento de las penas para que el delito no sea excarcelable.

El senador Julio Cobos (Cambiemos) destacó que "esta ley, surgió del acuerdo con legisladores de diferentes sectores políticos que entendimos la necesidad de lograr la protección integral de los jóvenes y de otorgar a la Justicia todas las herramientas para combatir la pornografía infantil en todas sus variantes".

Modificaciones al artículo 128

  • Reprimir con prisión de tres a seis años al que produzca, financie, ofrezca, comercie, publique o divulgue, por cualquier medio, toda representación de un menor de dieciocho años dedicado a actividades sexuales explícitas o toda representación de sus partes genitales con fines predominantemente sexuales, al igual que el que organice espectáculos en vivo de representaciones sexuales explícitas en que participaren menores.
  • Reprimir con prisión de cuatro meses a un año al que tenga en su poder representaciones de las descriptas en el párrafo anterior.
  • Reprimir con prisión de seis meses a dos años al que tenga en su poder representaciones de las descriptas en el primer párrafo con fines de distribución o comercialización.
  • Reprimir con prisión de un mes a tres años al que facilite el acceso a espectáculos pornográficos o suministre material pornográfico a menores de catorce años.
  • Además, todas las escalas penales previstas en este artículo se elevan en un tercio en su mínimo y en su máximo cuando la víctima fuere menor de trece años.
Actualización 23/04/208: el Gobierno publicó oficializó y reglamentó hoy le Ley 27.436 que penaliza la distribución y tenencia de pornografía infantil . La norma, que fue sancionada el 21 de marzo en Diputados, establece penas de hasta 6 años de prisión e implicó una modificación del artículo 128 del Código Penal.
Fuente: MDZOL

Ataques a los sistemas de pago con móviles

El pago en comercios a través del móvil se está popularizando gracias a las actualizaciones tanto en los smartphones como en los datáfonos de las tiendas. Facilita el pago pero hay que saber que tampoco es 100% seguro según la investigación "All your payment tokens are mine: Vulnerabilities of mobile payment systems" presentada en Black Hat Asia [PDF].

Los pagos móviles se están convirtiendo en una buena alternativa para pagar en diferentes locales y comercios que son compatibles con estos, y es que, al fin y al cabo es la forma de pagar más cómoda que hay, basta con sacar el terminal, desbloquearlo y ponerlo junto al datáfono.

Zhe Zhou, de la Universidad Fudan (China), experto en seguridad informática de la Universidad Fudan, explicaba hace poco en una charla cómo funciona el pago mediante este sistema. Sustituye al pago en efectivo y con tarjeta pero presenta vulnerabilidades que pueden derivar en que los datos del usuario sean robados, según explican en The Register.

El profesor explicó el funcionamiento de estos pagos móviles. Cuando el usuario introduce su tarjeta en una aplicación para realizar los pagos, se genera un número identificativo de la tarjeta llamado "token", que es el que llega al banco para cargarlo a la cuenta.

Cada pago utiliza un token único por lo que la forma de poder utilizar ese token es que la persona que quiere robar los datos impida que el susodicho llegue al servidor de pagos. Cada transacción usa un único token que sólo se puede usar una vez, y por ello, la única manera de poder usar el de otra persona fraudulentamente es impedir que llegue al servidor de pagos. Y hay smartphones con transmisión magnética segura que pueden hacer esto, emitiendo energía electromagnética a través de la bobina de la carga inalámbrica.

Zhe dijo que es posible hacerlo para los teléfonos inteligentes que pueden emular tarjetas de banda magnética. Los teléfonos inteligentes pueden llevar a cabo ese truco gracias a una tecnología llamada "transmisión magnética segura" (MST) que los ve emitir energía electromagnética de la bobina utilizada para la carga inalámbrica. Los teléfonos equipados de este modo envían a los dispositivos de punto de venta los mismos datos que esperan detectar cuando se pasa una tarjeta. Zhe dijo que se espera que el MST tenga un rango de siete centímetros, pero el kit comercial que cuesta US$ 25 pudo detectar la onda desde una distancia de dos metros. Al hacerlo, también detuvieron la señal llegando al punto de venta de terminales y obtuvieron el token no utilizado.
Los pagos con sonido, una técnica utilizada por el sistema "Tez" de Google India, pueden ser secuestrados de manera similar. Zhe dijo que los pagos de sonido se usan a menudo en las máquinas expendedoras y que no es difícil registrar los códigos, ya sea cerca de la máquina o con modificaciones inesperadas. Si la máquina expendedora utiliza una conexión inalámbrica para verificar el token, un jammer lo detiene. De nuevo, el atacante termina con un token válido.

El ataque más astuto de Zhe se enfocó en los códigos QR utilizados como tokens para algunos pagos. Su táctica para tales tokens fue encender subrepticiamente la cámara frontal de un teléfono inteligente para fotografiar el reflejo de un código QR en una cubierta protectora del escáner de punto de venta. Este ataque también detecta la configuración del código QR y cambia sutilmente su apariencia para hacerla ilegible. El malware que ejecuta el ataque en el teléfono inteligente, sin embargo, logra conservar un código QR perfecto y utilizable. La técnica también se puede usar para elaborar códigos QR maliciosos que, cuando se utilizan para pagos de teléfonos inteligentes a teléfonos inteligentes, se ve la máquina de la víctima dirigida para descargar y ejecutar malware.

El investigador dijo que reveló sus descubrimientos al proveedor de pagos móviles más grande de China, y que revocó rápidamente las versiones de sus aplicaciones y prometió asegurarse de que sus productos busquen y destruyan cualquier proceso utilizando las cámaras frontales de los teléfonos.

Concluyo recomendando que todos los intercambios de tokens para pagos móviles deben cifrarse y añadir un mecanismo de desafío y respuesta. También dijo que los tokens de pago móvil siempre están vinculados a una sola transacción, por lo que los tokens no se pueden reutilizar.

Fuente: Andro4All

La NSA explica cómo combate las vulnerabilidades Zero-Day

En la conferencia RSA que se celebró en San Francisco no solo exponen profesionales del sector privado, sino también del sector público, incluyendo la más que polémica NSA.
Dave Hogue, Director Técnico de la NSA, ha hecho una revisión de las mejores prácticas de defensa que llevan a cabo dentro de la organización. Una de las cosas que ha explicado es que cada vulnerabilidad o exploit nuevo descubierto solo tarda 24 horas como mucho en ser utilizado contra la propia NSA. Esto da al equipo de defensa de la agencia pública un margen pequeño para parchear comparado con la media del sector privado, que se puede tomar semanas e incluso meses para aplicación de medidas.

Hogue ha comentado que los ataques de phishing y los sistemas sin parchear siguen representando la mayoría de los ataques que hallan contra la NSA, siendo esta la razón por la que la agencia dice mantener sus sistemas lo más actualizados posible como "una de la mejores prácticas defensivas". Ser disciplinada en este punto le ha permitido no padecer ninguna intrusión mediante la explotación de una vulnerabilidad zero-day en los últimos 24 meses, así que los atacantes tendrían que tener en cuenta que sus probabilidades de éxito utilizando esta vía no son muy elevadas contra la NSA a menos que sean muy rápidos. La gran mayoría de los incidentes con los que lidia la NSA no son Amenazas Persistentes Avanzadas (APT) potentes y recientes, sino que el 93% en 2017 fueron totalmente preveniles mediante la puesta en práctica de sus mismas buenas prácticas.

Estos datos publicados por la NSA muestran lo importante que es tener el software actualizado para evitar las amenazas. De hecho, recordamos que WannaCry se propagó utilizando una vulnerabilidad de Windows que estaba parcheada por Microsoft, pero no aplicada por muchos mantenedores de sistemas.

Fuente: Naked Security

22 abr. 2018

Vulnerabilidad en función autocompletar de LinkedIn exponía datos de usuarios

Una nueva vulnerabilidad descubierta en la popular funcionalidad de 'Autocompletar' o 'Auto fill' que puede permitir el robo de datos por parte de terceros.

Esta funcionalidad proporciona que otros sitios web puedan permitir que los usuarios de LinkedIn puedan completar rápidamente los datos del perfil, incluyendo información sensible como nombre completo, número de teléfono. dirección de correo electrónico, código postal, empresa...etc en un solo clic.

Recientemente el investigador de seguridad Jack Cable de 'Lightning Security' descubrió que esta funcionalidad estaba plagadas de vulnerabilidades que permitiría a cualquier sitio web obtener los datos del perfil del usuario sin que el usuario se diera cuenta.

Un atacante puede hacer que la funcionalidad autocompletar en su sitio web cambiando algunas propiedades como la de extender esta funcionalidad a través de todo el sitio web para posteriormente hacerlo invisible, en el momento en el que el usuario haga click en cualquier parte de la web desencadenaría la ejecución de esta función y el envío de los datos albergados en la funcionalidad. Por pasos sería de la siguiente manera:

El usuario visita el sitio web malicioso, que carga el 'iframe' del autocompletar de LinkedIn.
  • El 'iframe' ocupa toda la página web y es invisible al usuario.
  • El usuario hace clic en cualquier parte de la web.
  • Los datos son enviados un sitio web malicioso.
Esta vulnerabilidad fue reportada e inmediatamente la compañía emitió una solución temporal a este posible ataque. La corrección restringe el uso de la función autocompletar a los sitios incluidos en la 'white list' o lista blanca.

El mismo investigador ha subrayado que el parche está incompleto y que aún permitiría usar esta características por los dominios incluidos en la lista blanca. Por lo tanto si cualquiera de estos sitios se viera comprometido, podría hacerse uso de este ataque.

Por parte de LinkedIn ya han lanzado el parche completo.

Fuente: Hispasec

21 abr. 2018

Google Chrome 66, elimina el soporte de los certificados de Symantec

El nuevo Google Chrome 66 llega a todos los usuarios dentro de la rama estable del navegador.
Actualización Google Chrome 66

Una de las novedades más interesantes del navegador son las nuevas restricciones para las webs o servicios que reproducen contenido multimedia automáticamente, complementando la función introducida ya en Google Chrome 64 que silenciaba automáticamente este tipo de contenido.

Como medida para mejorar la estabilidad, esta nueva versión del navegador ahora nos avisará cuando una web o app inyecte código y bloquee el navegador o cause un cierre inesperado del mismo.

Por último, esta nueva versión del navegador nos va a permitir exportar todas las contraseñas guardadas en un fichero CVS en texto plano, una función completamente insegura (ya que si no tratamos con cuidado este fichero podemos poner en peligro todas nuestras contraseñas), pero necesario si queremos migrarlas todas ellas a otras aplicaciones, especialmente ahora que tanto están de moda los gestores de contraseñas.
Exportar CSV contraseñas Chrome

Mejoras de seguridad y nuevas APIs para Google Chrome 66

En cuanto a las mejoras de seguridad, el nuevo Google Chrome 66 elimina el soporte de los certificados de Symantec que fueron emitidos incorrectamente, evitando que se puedan utilizar ya para establecer conexiones seguras y de confianza a todas las webs que no hayan migrado a los nuevos certificados de DigiCert.

Esta nueva versión también añade nuevos parches de seguridad para Meltdown y Spectre, además de una nueva función, llamada Site Isolation, que ejecuta cada página web en un espacio aislado del resto de webs y del sistema, evitando que ninguna página pueda tener acceso a nuestro sistema.

También se han solucionado un total de 62 vulnerabilidades en el navegador, fallos que podemos ver en detalle en el siguiente enlace.

Por último, el nuevo Google Chrome 66 llega con tres nuevas APIs: Asynchronous Clipboard, que mejorará las funciones de copiar y pegar del navegador, AudioWorklet, que mejora la latencia y la calidad del audio, y Decoding Info para mejorar el streaming de vídeo.

Fuente: RedesZone

20 abr. 2018

Otra vulnerabilidad en Drupal y CKEditor

Es hora de actualizar los de Drupal, de nuevo. Por segunda vez en un mes, se ha descubierto que Drupal tiene otra vulnerabilidad crítica que podría permitir a los atacantes remotos realizar ataques avanzados, incluidos el robo de cookies, keylogging, el phishing y el robo de identidad.

Descubierto por el equipo de seguridad de Drupal, existe una vulnerabilidad XSS en el conocido complemento CKEditor que viene preintegrado en el núcleo de Drupal 8 para ayudar a los administradores del sitio y a los usuarios a crear texto enriquecido WYSIWYG.

De acuerdo con un aviso de seguridad publicado por CKEditor, la vulnerabilidad XSS se deriva de la validación incorrecta de la etiqueta "img" en CKEditor 4.5.11 y posteriores. Esto podría permitir que un atacante ejecute código HTML y JavaScript arbitrario en el navegador de la víctima y obtener acceso a información confidencial.
CKEditor ha corregido la vulnerabilidad con el lanzamiento de CKEditor v4.9.2, que también ha sido parcheado en el CMS por el equipo de seguridad de Drupal con el lanzamiento de Drupal versión 8.5.2 y Drupal 8.4.7.

Como el complemento CKEditor en Drupal 7.x está configurado para cargar desde los servidores CDN, no se ve afectado por el defecto.

Fuente: THN

IT no identifica el 45% del tráfico que pasa por su red

No tener un total conocimiento sobre el tráfico que hay dentro de las empresas entraña un gran riesgo, y por desgracia, según un estudio llevado a cabo por Sophos llamado The Dirty Secrets of Network Firewalls [PDF], es una situación a la que se enfrentan debido a que los administradores IT son incapaces de identificar el 45% del tráfico que pasa por la red de la organización.
En casi una de cada cuatro organizaciones la falta de visibilidad del tráfico llega hasta el 70%, una situación que genera importantes retos a nivel de ciberseguridad debido a que entre ese tráfico no identificado puede corresponder a ataques contra la organización, los cuales pueden ir desde el simple hecho de entorpecer la actividad hasta el robo de datos, pasando por las infecciones mediante malware. Viendo esto, no es extraño que para el 84% de los encuestados consideren un problema grave esta falta de visibilidad, ya que están ciegos antes las amenazas.

Pero, ¿cuál es el motivo de esa falta de visibilidad? Según parece, los firewalls (cortafuegos) cuya detección está basada en firmas no pueden proporcionar una visibilidad adecuada del tráfico de las aplicaciones. Aquí influyen factores como el creciente uso de aplicaciones y servicios que utilizan cifrado, la emulación de navegadores y técnicas avanzadas de navegación. Sin embargo, no solo hay que tener en cuenta a los cibercriminales en sí, sino también a una legislación cuya dureza ha ido aumentando con el paso de los años. Por eso las organizaciones pueden no solo que tener que responder ante sus clientes y/o usuarios en caso de incidente, sino también ante las autoridades públicas competentes.

La falta de visibilidad ya está teniendo consecuencias para las empresas, ya que estas dedican una media de 7 días laborables para reparar 16 equipos infectados cada mes. Las pequeñas organizaciones, que Sophos ha etiquetado como las que tienen entre 100 y 1.000 empleados, pasan 5 días laborables para reparar 13 dispositivos, mientras que las que tienen entre 1.001 y 5.000 empleados pasan una media de días 10 laborables reparando 20 equipos al mes. Los números tienen sentido si se tiene en cuenta que una vulneración de la red puede terminar comprometiendo a varios equipos, por lo que detener de forma rápida la propagación limitaría los daños y el tiempo necesario para las reparaciones. Ante situaciones como estas, la utilización de una solución integral que abarque red y endpoints puede ser vital para minimizar tanto los riesgos como los daños, más teniendo en cuenta la presencia de exploits como MimiKatz y EternalBlue.

El 79% de los administradores IT reconocieron que quieren una mejor protección que la ofrecida por los firewalls actuales, el 99% desea que la tecnología de firewall pueda aislar automáticamente los equipos infectados, mientras que el 97% desea protección de endpoints y firewall del mismo proveedor, pudiendo compartir así de forma directa la información del estado de la seguridad.

Sin embargo, no solo la seguridad preocupa, ya que el 52% de los 2.700 participantes en la encuesta mencionó la pérdida de rendimiento como una preocupación cuando se trata de lidiar con tráfico invisible. Otro aspecto importante es la incapacidad de poder distinguir el tráfico generado por las aplicaciones personalizadas del resto. El 50% de los profesionales IT que invirtieron en aplicaciones personalizadas admitieron que su cortafuegos no era capaz de identificar su tráfico, algo que impide maximizar el retorno de la inversión.

Fuente: Muy Seguridad