28 mar 2024

🧛Darcula software de SMiShing chino

El phishing como servicio (PaaS) ha alcanzado la mayoría de edad con lo que se considera la operación de estafa de paquetes más generalizada a nivel mundial hasta la fecha.

La plataforma de phishing como servicio en idioma chino "Darcula" ha creado 19.000 dominios de phishing en ataques cibernéticos contra más de 100 países, dicen los investigadores. La plataforma ofrece a los ciberdelincuentes fácil acceso a campañas de phishing de marca por precios de suscripción de alrededor de 250 dólares al mes, según investigadores del proveedor de seguridad de infraestructura de Internet Netcraft.

Las plataformas de phishing como servicio no son nuevas, pero Darcula eleva el listón con mayor sofisticación técnica. Ejecuta muchas de las mismas herramientas empleadas por los desarrolladores de aplicaciones, incluidas JavaScript, React, Docker y Harbor.

Darcula utiliza iMessage y RCS (Rich Communication Services) en lugar de SMS para enviar mensajes de texto, una característica que permite que los mensajes fraudulentos enviados a través de la plataforma eviten los cortafuegos de SMS, que normalmente bloquean la entrega de mensajes sospechosos.

SMiShing de entrega de paquetes

Los ataques de phishing mediante mensajes de texto, también conocidos como SMiShing, han sido un peligro durante años. Los ciberdelincuentes intentan utilizar mensajes de "paquete perdido" o similares para engañar a posibles marcas para que visiten sitios falsos (disfrazados de empresas postales o bancos) y entreguen los detalles de sus tarjetas de pago o su información personal. Google ha tomado medidas para bloquear los mensajes RCS de los teléfonos rooteados, pero el esfuerzo sólo ha tenido un éxito parcial.

La plataforma Darcula ofrece una fácil implementación de sitios de phishing con cientos de plantillas dirigidas a marcas de todo el mundo, incluidas Kuwait Post, la empresa de telecomunicaciones Etisalat con sede en los Emiratos Árabes Unidos, Jordan Post, Saudi Post, Australia Post, Singapore Post y servicios postales en Sudáfrica, Nigeria, Marruecos. y más.

Este ataque presenta diferencias a otros servicios recientes como Fluffy Wolf o FakeSMS o Tycoon 2FA. Las estafas de Darcula generalmente se dirigen a consumidores y no a empresas.

Por ejemplo, para obtener acceso inicial a las infraestructuras objetivo, Fluffy Wolf, activo desde 2022, se hace pasar por una empresa de construcción para enviar correos electrónicos de phishing con archivos adjuntos disfrazados de informes de conciliación o informes destinados a garantizar que los diferentes conjuntos de cifras contables sean correctos. Los archivos protegidos con contraseña ocultan una variedad de cargas útiles maliciosas; el principal es Meta Stealer, clon del popular ladrón RedLine.

Tycoon, por su parte, es una una popular plataforma de phishing como servicio (PhaaS) responsable de miles de ataques a cuentas de Microsoft 365 y Gmail, se ha vuelto aún más difícil de detectar.

El investigador de seguridad israelí Oshri Kalfon comenzó a investigar a Darcula el año pasado (parte I y II) después de recibir un mensaje fraudulento en hebreo. Kalfron descubrió innumerables pistas sobre el funcionamiento de la plataforma después de rastrear las raíces de la estafa hasta un sitio de control cuyo panel de administración era fácil de hackear porque los estafadores habían olvidado cambiar las credenciales de inicio de sesión predeterminadas.

La plataforma Darcula cuenta con soporte para alrededor de 200 plantillas de phishing, que abarcan una variedad de marcas. Los servicios postales de todo el mundo son el objetivo principal, pero también se encuentran en la lista otras organizaciones orientadas al consumidor, incluidas empresas de servicios públicos, instituciones financieras, organismos gubernamentales (departamentos de impuestos, etc.), aerolíneas y proveedores de telecomunicaciones.

Una característica de las estafas basadas en Darcula son dominios creados expresamente, en lugar de dominios legítimos pirateados. Los dominios de nivel superior (TLD) más comunes utilizados para darcula son .top y .com, seguidos de numerosos TLD genéricos de bajo costo. Alrededor de un tercio (32%) de las páginas de Darcula abusan de Cloudflare, una opción preferida en la documentación de Darcula. También se abusa de Tencent, Quadranet y Multacom como anfitriones.

Redes de phishing

Desde principios de 2024, Netcraft ha detectado un promedio de 120 nuevos dominios que alojan páginas de phishing de Darcula por día. "Darcula es la operación de estafa de paquetes más generalizada a nivel mundial".

A diferencia de los kits de phishing típicos (de última generación), los sitios web de phishing generados con Darcula se pueden actualizar sobre la marcha para agregar nuevas funciones y funciones antidetección.

Por ejemplo, una actualización reciente de Darcula cambió el kit para que el contenido malicioso esté disponible a través de una ruta específica (es decir, ejemplo.com/track), en lugar de la página principal (ejemplo.com), dice Netcraft. La táctica disfraza la ubicación del atacante.

En la página principal, los sitios de Darcula suelen mostrar un dominio falso para una página de venta/reserva. Las versiones anteriores redirigían a los rastreadores y robots a búsquedas en Google de varias razas de gatos.

Debajo del capó, Darcula utiliza el registro de contenedores de código abierto Harbor para alojar imágenes Docker de sitios web de phishing escritos en React. Los ciberdelincuentes que alquilan la tecnología seleccionan una marca a la que apuntar antes de ejecutar un script de configuración que instala un sitio web de phishing específico de la marca y un panel de administración en Docker.

La evidencia sugiere que la operación está diseñada en gran medida para ciberdelincuentes que hablan chino. "Basándonos en lo que hemos observado, creemos que Darcula utiliza principal o exclusivamente el chino, y quienes utilizan la plataforma crean plantillas externas en otros idiomas", afirma Duncan.

Fuente: DarkReading

¿SQLi en tus aplicaciones? ¡No te da vergüenza!

Dos organismos gubernamentales de EE.UU. han instado a los proveedores de tecnología a eliminar la clase "imperdonable" de vulnerabilidades conocida como inyección SQL (SQLi).

La alerta de "seguridad por diseño" fue emitida el 25 de marzo por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI.

Afirma que la industria del software ha sabido cómo eliminar los defectos de SQLi a escala durante décadas. Sin embargo, los actores de amenazas pudieron explotar precisamente una vulnerabilidad de este tipo en el software de transferencia de archivos MOVEit del desarrollador Progress el año pasado, con un efecto devastador.

Se cree que la banda de ransomware Clop ganó hasta 100 millones de dólares con la campaña, que resultó en la filtración de datos de miles de clientes corporativos de MOVEit, lo que afectó los datos personales de decenas de millones de clientes intermedios.

"A pesar del conocimiento y la documentación generalizados de las vulnerabilidades de SQLi durante las últimas dos décadas, junto con la disponibilidad de mitigaciones efectivas, los fabricantes de software continúan desarrollando productos con este defecto, lo que pone en riesgo a muchos clientes", señala la alerta.

"CISA y el FBI instan a los altos ejecutivos de las empresas de fabricación de tecnología a realizar una revisión formal de su código para determinar su susceptibilidad a compromisos SQLi. Si se encuentran vulnerables, los altos ejecutivos deben asegurarse de que los desarrolladores de software de sus organizaciones comiencen a implementar de inmediato mitigaciones para eliminar toda esta clase de defecto de todos los productos de software actuales y futuros".

Los ataques SQLi tienen éxito porque los desarrolladores no tratan el contenido proporcionado por el usuario como potencialmente malicioso, según CISA. Puede resultar no solo en el robo de datos confidenciales, sino también permitir que los delincuentes alteren, eliminen o hagan que la información no esté disponible en una base de datos.

La alerta instaba a los fabricantes de tecnología a seguir tres principios rectores:

  • Asumir la responsabilidad de los resultados de seguridad del cliente mediante la realización de revisiones formales del código y el uso de "declaraciones preparadas con consultas parametrizadas" como práctica estándar.
  • Adoptar la transparencia y la responsabilidad "radical" garantizando que los registros CVE sean correctos y completos, documentando las causas fundamentales de las vulnerabilidades y trabajando para eliminar clases enteras de vulnerabilidad.
  • Realinear los objetivos comerciales hacia el desarrollo de software seguro desde el diseño, incluida la realización de las inversiones adecuadas y la creación de estructuras de incentivos. En última instancia, esto podría ayudar a reducir los costos financieros y de productividad, así como la complejidad.
Para obtener más información sobre los principios recomendados y las mejores prácticas para lograr este objetivo, visite la página Secure by Design de CISA. Para ponerse al día con las publicaciones de esta serie, visite Secure by Design Alerts.

Fuente: Infosecurity-Magazine.

27 mar 2024

GoFetch: vulnerabilidad crítica de los chips Apple M

Apareció una nueva vulnerabilidad para los chips Apple M (inserte el número aquí).

Esta es una vulnerabilidad que no se puede reparar llamada GoFetch, que está integrada en la forma física/arquitectura del chip. La revelación de la vulnerabilidad GoFetch dentro de los chips de la serie M de Apple ha conmocionado a la comunidad tecnológica, destacando una vía sofisticada para que los atacantes extraigan claves de cifrado secretas.

La vulnerabilidad GoFetch recientemente expuesta que afecta a los chips M1, M2 y M3 de Apple permite a un atacante filtrar claves secretas de aplicaciones criptográficas en un sistema objetivo. El exploit funciona ejecutando un proceso fraudulento en el mismo clúster de CPU que el proceso objetivo en la máquina objetivo. Actualmente no existe una mitigación sencilla para esta vulnerabilidad, ya que reside en el hardware.

GoFetch es una vulnerabilidad de canal lateral de caché. Este tipo de vulnerabilidad se dirige a un caché particular del sistema mediante el análisis de datos secundarios.

Los chips de silicio de Apple M1, M2 y M3 poseen un Prefetcher dependiente de la memoria de datos, que es una parte de hardware del chip responsable de predecir las direcciones de memoria de los datos a los que es probable que acceda el código ejecutado en la computadora en un futuro cercano y almacenarlos en un cache.

Las pruebas realizadas por los investigadores demostraron que era posible extraer claves de productos de cifrado populares (OpenSSL Diffie-Hellman Key Exchange, descifrado Go RSA), pero también de criptografía poscuántica como CRYSTALS-Kyber y CRYSTALS-Dilithium. Sin embargo, los investigadores escribieron que "si bien demostramos ataques de extremo a extremo en cuatro implementaciones criptográficas diferentes, es probable que más programas estén en riesgo dadas estrategias de ataque similares".

¿Qué es una vulnerabilidad de canal lateral de caché?

Imagina que tienes una caja fuerte cerrada cuyo código no conoces, pero sabes que el sonido que hace el dial cuando lo giras cambia según el número en el que estés. Entonces, escuchas atentamente el sonido que hace el dial cuando lo giras y puedes descubrir la combinación de esa manera, aunque no sepas los números reales.

Un ataque de canal lateral funciona de manera similar. En lugar de intentar romper el cifrado directamente, un atacante busca otras pistas que puedan revelar la información secreta. Por ejemplo, podrían usar un dispositivo para medir la cantidad de energía que utiliza una computadora mientras realiza operaciones de cifrado. Al analizar los patrones en el uso de energía, pueden descubrir la clave que se utilizó para cifrar los datos, aunque no conozcan el algoritmo. Esta puede ser una forma muy eficaz de eludir las medidas de seguridad y obtener acceso a información confidencial.

Fuente: Medium | TechRepublic

26 mar 2024

Ransomware: cómo defender el reino (I)

Seguimos viendo cómo las organizaciones se ven afectadas, de alguna manera enfermiza, por el rasnowmare. Creo que algunos de mis amigos en la industria y yo estamos aburridos con las respuestas tan dramáticas de "sofisticado", "avanzado" e "imprevisible", porque la mayoría de las veces las cadenas de destrucción simplemente no son así.

Ransomware 101

No se trata sólo de que sus datos se cifrarán, sino que probablemente serán exfiltrados y vendidos. Es probable que le vendan el acceso, le vendan los datos y le extorsionen. El modelo de negocio de Ransomware se está adaptando a las respuestas de los defensores. Incluso si puedes restaurar desde la copia de seguridad, es probable que intenten extorsionarte.

Esto trae un punto clave en esta ecuación: la mejor posición es NO ser vulnerados (pwn3d) para empezar. Puede parecer una tontería decirlo, pero cuando miramos las cadenas de infección, es posible ver el mundo un poco desde la perspectiva de la prevención proactiva y no desde el post-incidente.

Acceso inicial

Las rutas de acceso inicial típicas del ransomware incluyen:

Diccionarios: ataques a servicios de acceso remoto expuestos (a menudo RDP expuesto en TCP 3389 o puertos cercanos) que no están configurados de forma segura. A menudo tienen NLA deshabilitado y muchas veces no hay bloqueos de cuentas, MFA o monitoreo. El ransomware RDP, según Coveware, representa aproximadamente el 50% de todos los vectores de acceso inicial históricamente, aunque esta cantidad disminuyó en el cuarto trimestre de 2020 con preferencia al phishing:

Las vulnerabilidades de ejecución remota de código (RCE) de los servicios expuestos son otro vector importante. Existe una variedad de CVE relacionados con esto, pero incluyen:

  • Servidor de intercambio
  • VPN de pulso
  • Vmware
  • Citrix
  • Varios productos VPN y Firewall

Estos vectores tiende a reducirse en gran medida a favor del phishing, porque el mismo puede conducir al acceso remoto por parte de los delincuentes de varias maneras. Las partes clave aquí pueden incluir:

  • Recolección de credenciales que conduce al acceso remoto
  • Ejecución de malware en el dispositivo de destino.
  • Ingeniería social para brindar a los delincuentes acceso remoto asistido por el usuario (por ejemplo, utilizando software como TeamViewer o asistencia remota de Windows)

Entonces, ¿qué podemos hacer aquí para identificar, prevenir y detectar? Bueno, mira la lista de verificación:

  • Lista de verificación de prevención de acceso inicial.
  • Auditar la superficie de ataque frente a Internet.
  • Auditar la configuración de los servicios de acceso remoto.
  • Garantizar que los servicios de seguridad perimetral estén actualizados y funcionando en una configuración reforzada y segura.
  • Implementar controles de autenticación sólidos.
  • Implementar buenas políticas y controles de contraseñas.
  • Bloqueos y deshabilitación de cuentas estén habilitados.
  • Realizar auditorías de contraseñas.
  • Asegurar que los registros de eventos se envíen y supervisen.
  • Implementar la autenticación multifactor.
  • Agregue capas de protección, por ejemplo una VPN con MFA (esto no es una solución mágica)
  • Habilitar servicios de seguridad de correo (por ejemplo, antiphishing)..
  • Deshabilitar las macros en los dispositivos de punto final.
  • Ejecutar servicios antimalware/EDR.
  • Habilitar el registro de operaciones de usuarios normales y privilegiados.
  • Implementar configuraciones reforzadas.
  • Implementar listas de aplicaciones/binarios permitidas (por ejemplo, Applocker)
  • Deshabilitar las extensiones de archivos no seguras (por ejemplo, MSHTA, VBS, WSH, JS, etc.)
  • Deshabilitar Powershell, WMI, etc.
  • Bloquear extensiones riesgosas (por ejemplo, ISO, VHD/VHDX, etc).
  • Restringir el tráfico de salida riesgoso.
  • Aprovechar servicios de DNS protector (por ejemplo, Cloudflare o similar).
  • Filtrar el tráfico para permitir solo los tipos de archivos y sitios que se esperaría recibir.
  • Bloquear sitios web que se sabe que son maliciosos.
  • Inspeccionar activamente el contenido.
  • Usar firmas para bloquear código malicioso conocido.
  • Deshabilitar RDP si no es necesario.
  • Habilitar MFA en todos los puntos de acceso remoto a la red y aplicar listas de permisos de IP mediante firewalls de hardware.
  • Utilizar el modelo de privilegios mínimos para proporcionar acceso remoto: utilizar cuentas con privilegios bajos para autenticarse y proporcione un proceso auditado para permitir que un usuario escale sus privilegios dentro de la sesión remota cuando sea necesario.
  • Parchear las vulnerabilidades conocidas en todos los dispositivos de acceso remoto y externos de inmediato (consultar la guía sobre cómo administrar las vulnerabilidades dentro de su organización) y seguir las instrucciones de solución del proveedor, incluida la instalación de nuevos parches tan pronto como estén disponibles.
  • Administrar dispositivos de forma centralizada para permitir que solo las aplicaciones en las que la empresa confía se ejecuten en los dispositivos, utilizando tecnologías que incluyen AppLocker o desde tiendas de aplicaciones confiables (u otras ubicaciones confiables).
  • Proporcionar educación sobre seguridad y capacitación en concientización a su personal, por ejemplo, los mejores consejos para el personal del NCSC.
  • Deshabilitar o restringir entornos de secuencias de comandos y macros.
  • Deshabilitar la ejecución automática para medios automontados (se debe evirar uso de medios extraíbles USB si no es necesario).

Para obtener más orientación sobre rescates, se puede consultar el de NCSC de UK.

Fuente: PwnDefend

25 mar 2024

BSAM: Metodología de evaluación de seguridad de dispositivos Bluetooth

Ha sido en el congreso de seguridad RootedCon Madrid 2024 donde Tarlogic ha presentado BSAM y su investigación, demostrado cómo capturar audio sin que el usuario del dispositivo sea consciente y utilizarlo para espiar conversaciones privadas.

BSAM es el acrónimo de Bluetooth Security Assesment Methodology (Metodología de evaluación de seguridad de dispositivos Bluetooth). BSAM es una metodología de abierta y colaborativa desarrollada para estandarizar la evaluación de seguridad de dispositivos que hacen uso de la tecnología bluetooth.

Su aplicación ha ayudado a identificar problemas de seguridad en un gran número de auriculares Bluetooth, evidenciando que los fabricantes deben tomarse la seguridad de Bluetooth en serio para evitar, entre otros riesgos, conexiones no autorizadas a estos dispositivos para espiar conversaciones. Esta metodología abierta y colaborativa incorpora controles que evalúan la seguridad de múltiples aspectos de las comunicaciones Bluetooth y proporciona ejemplos de vulnerabilidades en esta tecnología, tan ampliamente utilizada en dispositivos móviles y de bajo consumo.

Haciendo uso de un script en Python desde Linux es posible automatizar las tareas necesarias para explotar una vulnerabilidad común en dispositivos Bluetooth. Esta vulnerabilidad permite a cualquiera acceder al dispositivo Bluetooth sin que este avise o notifique al propietario, es decir, de manera totalmente silenciosa.

BlueSpy es una prueba de concepto realizada por Tarlogic que permite explotar vulnerabilidades presentes en auriculares Bluetooth y espiar conversaciones privadas. 

La demostración se ha centrado en unos auriculares particulares de gama alta, pero se ha evidenciado que existen auriculares de otros fabricantes que también se encuentran afectados por la misma vulnerabilidad, ya que únicamente es necesario que el dispositivo admita un emparejamiento de tipo "JustWorks".

La herramienta BlueSpy, con el código y documentación, se encuentra publicada en el repositorio de GitHub de Tarlogic Security.

El contenido completo y análisis técnico se puede ver en el sitio de Tarlogic y BSAM.

23 mar 2024

Microsoft lanza una solución de emergencia para fallas de Windows Server en actualizaciones de marzo

Microsoft ha lanzado actualizaciones de emergencia fuera de banda (OOB) para solucionar un problema conocido que provoca que los controladores de dominio de Windows bloqueen después de instalar las actualizaciones de seguridad de Windows Server del pasado 13 de marzo de 2024.

Como informó BleepingComputer el miércoles, muchos administradores de sistemas han advertido desde el martes de parches de este mes que los servidores se congelan y reinician inesperadamente debido a una pérdida de memoria en el proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS).

"Nuestros síntomas aumentaron el uso de la memoria en el proceso lsass.exe después de instalar KB5035855 (Server 2016) y KB5035857 (Server 2022) hasta el punto de que toda la memoria física y virtual se consumió y la máquina se bloqueó", le dijo un administrador de Windows.

Redmond reconoció públicamente este problema que afecta a todos los servidores de controladores de dominio con las últimas actualizaciones de Windows Server 2012 R2, 2016, 2019 y 2022.

Microsoft lanzó las siguientes actualizaciones acumulativas de emergencia de Windows Server que deberían solucionar la pérdida de memoria de LSASS y evitar que los servidores afectados colapsen y se reinicien:

"Esta actualización soluciona un problema conocido que afecta al Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS). Podría perder memoria en los controladores de dominio (DC)", explica la compañía. "La pérdida ocurre cuando los DC de Active Directory locales y basados en la nube procesan solicitudes de autenticación Kerberos. Esta pérdida sustancial podría causar un uso excesivo de memoria. Debido a esto, LSASS podría dejar de responder y los DC se reiniciarán cuando no lo espere."

Para solucionar este problema conocido, los administradores deben descargar las actualizaciones OOB del Catálogo de actualizaciones de Microsoft e instalarlas en los controladores de dominio afectados.

Si instaló actualizaciones anteriores de Windows Server, solo se descargarán e instalarán las nuevas actualizaciones de estos paquetes. Microsoft no ha informado de ningún problema conocido con estas actualizaciones de emergencia.

Fuente: BC

¿Cuál es la diferencia entre fraude de identidad y suplantación de identidad?

La diferencia es tan sutil que es fácil usarlos indistintamente. Si bien ambos pueden afectar su billetera, son diferentes y conocer las diferencias puede ayudarlo a comprender lo que está en juego.

Action Fraud, un sitio web que pertenece a la policía británica, define los dos términos de la siguiente manera:

  • "La suplantación de identidad ocurre cuando los estafadores acceden a suficiente información sobre la identidad de alguien (como su nombre, fecha de nacimiento, direcciones actuales o anteriores) para cometer fraude de identidad".
  • "El fraude de identidad puede describirse como el uso de esa identidad robada en actividades delictivas para obtener bienes o servicios mediante engaño".

 

La suplantación de identidad es...

Cuando alguien utiliza su información personal para abrir y abusar de nuevas cuentas o servicios en su nombre, o posiblemente para hacerse pasar por usted de otras maneras.

Ejemplos:

  • Un delincuente utiliza su información personal para abrir una nueva línea de crédito en un minorista a su nombre y luego realiza compras con cargo a la línea de crédito.
  • Un delincuente usa su número de Seguro Social para crear una licencia de conducir con su imagen pero con su nombre e información personal.

El fraude de identidad es...

Cuando alguien roba o hace un mal uso de su información personal para explotar una cuenta o cuentas que ya tiene.

Ejemplos:

  • Un delincuente obtiene la información de su tarjeta de débito a través de una violación de datos y realiza compras con ella contra su cuenta bancaria.
  • Un delincuente obtiene acceso a una de sus cuentas mediante un ataque de phishing y hace un uso indebido de los fondos o hace un uso indebido del acceso asociado a esa cuenta.

Entonces existe esa sutil diferencia que mencionamos:

  • La suplantación de identidad significa el robo de su información personal, que luego se utiliza para hacerse pasar por usted de alguna manera, como abrir nuevas cuentas a su nombre.
  • El fraude de identidad implica el uso indebido de una cuenta existente.

Fuente: Mcafee | MarketBusinessNews

22 mar 2024

Naz.API: 71 millones de cuentas filtradas

Una nueva base de datos con 71 millones de cuentas filtradas se ha puesto a la venta en un foro especializado. Contiene al menos un 35% de contraseñas que no habían sido filtradas anteriormente, así que se trata de un "lote" nuevo.

El archivo con las cuentas se llama Naz.API, y ha sido descubierto por el experto en seguridad Troy Hunt, el creador de Have I been pwned?, que te dice si alguna vez has sido hackeado.

El archivo comprimido contiene 319 archivos, y ocupa 104 GB. Están las credenciales de 70.840.771 cuentas, y el 35% no están en la base de datos de Have I been pwned? Eso significa que, posiblemente, es la primera vez que las hackean.

  • 319 archivos en 104GB
  • 70.840.771 de email únicos
  • 427.308 individuos de HIBP impactados
  • 65.03% de emails ya estaban previamenten en HIBP

Un vistazo a la última filtración: Naz.API

Troy Hunt ha comprobado que la filtración es real, probando los correos y contraseñas de muestra que ofrecía el vendedor, y poniéndose en contacto con las víctimas. Algunas de ellas aseguran que usaron esas contraseñas en 2021, así que los hackeos son relativamente recientes. Los usuarios que no cambian las contraseñas a menudo, están en un serio peligro.

Por lo visto, buena parte de los robos de cuentas y contraseñas se han producido usando malware infostealer, porque en la lista de prueba de los vendedores se muestran correos y contraseñas en texto plano. El malware ha obtenido credenciales de máquinas comprometidas. Aparentemente, esto provino del ahora desaparecido sitio web illicit[.]services que proporcionaba resultados de búsqueda para datos de otras personas.

Todas las direcciones de correo electrónico ahora están en HIBP y se pueden buscar individualmente o mediante la sección "dominio" y todas esas contraseñas están en la sección de "Passwords". Esta adición reciente incrementa la cantidad de información con la que HIBP dispone, la cual hasta el momento, cuenta con casi 13.000 millones de cuentas violadas y una lista de 741 sitios sospechosos, entre otras categorías.

Fuente: Troy Hunt

21 mar 2024

800 paquetes NPM vulnerables a ""Manifest Confusion"

Una nueva investigación ha descubierto más de 800 paquetes NPM que tienen discrepancias con sus entradas de registro, de los cuales 18 explotan una técnica llamada "Manifest Confusion".

Los hallazgos provienen de la firma de ciberseguridad JFrog, que dijo que el problema podría ser aprovechado por actores dañinos para engañar a los desarrolladores para que ejecuten código malicioso.

"Es una amenaza real, ya que los desarrolladores pueden ser engañados para que descarguen paquetes que parecen inocentes, pero cuyas dependencias ocultas son en realidad maliciosas", dijo el investigador de seguridad Andrey Polkovnichenko.

La "confusión de manifiestos" se documentó por primera vez en julio de 2023, cuando el investigador de seguridad Darcy Clarke descubrió que las discrepancias en los metadatos del manifiesto y del paquete podrían utilizarse como arma para organizar ataques a la cadena de suministro de software.

El problema surge del hecho de que el registro npm no valida si el archivo de manifiesto contenido en el tarball (paquete.json) coincide con los datos del manifiesto proporcionados al servidor npm durante el proceso de publicación a través de una solicitud HTTP PUT al punto final del URI del paquete.

Como resultado, un actor de amenazas podría aprovechar esta falta de verificación cruzada para proporcionar un manifiesto diferente que contenga dependencias ocultas que se procese durante la instalación del paquete para instalar sigilosamente dependencias maliciosas en el sistema del desarrollador.

El manifiesto visible o 'falso' puede engañar a los desarrolladores e incluso auditar herramientas que dependen de los datos disponibles en la base de datos de registro npm. "En realidad, el instalador toma el archivo package.json del tarball, que puede ser diferente del visible proporcionado en la solicitud HTTP PUT".

La compañía dijo que identificó más de 800 paquetes en los que había una discrepancia entre el manifiesto en el registro npm y el archivo package.json dentro del tarball. Si bien muchas de estas discrepancias son el resultado de diferencias en las especificaciones del protocolo o variaciones en la sección de scripts del archivo del paquete, se dice que 18 de ellas fueron diseñadas para explotar una confusión manifiesta.

Un paquete notable en cuestión es yatai-web-ui, que está diseñado para enviar una solicitud HTTP a un servidor con información sobre la dirección IP de la máquina en la que se instaló el paquete.

Los hallazgos muestran que los actores de amenazas nunca parecen haber utilizado el vector de ataque. Dicho esto, es fundamental que los desarrolladores tomen medidas para garantizar que los paquetes estén libres de comportamientos sospechosos.

"Dado que npm no resolvió este problema, confiar en los paquetes sólo por su apariencia en el sitio web de npm puede ser arriesgado", dijo Polkovnichenko.

"Las organizaciones deben introducir procedimientos que verifiquen que todos los paquetes que ingresan a la organización o que utilizan sus equipos de desarrollo son seguros y confiables. Específicamente en el caso de confusión manifiesta, se requiere que cada paquete se analice para ver si hay algún paquete oculto. dependencias."

Fuente: THN

Pwn2Own 2024: caen Windows, Tesla, Ubuntu, Chrome, Firefox, Edge, Safari, VirtualBox y VMware Workstation

En el primer día de Pwn2Own Vancouver 2024, los concursantes hicieron una demostración de las vulnerabilidades Zero-Day y las cadenas de explotación de Windows 11, Tesla y Ubuntu Linux para ganar 732.500 dólares y un automóvil Tesla Model 3.

La competencia comenzó con Abdul Aziz Hariri de Haboob SA utilizando un exploit de Adobe Reader que combinaba una omisión de restricción de API y un error de inyección de comandos para obtener la ejecución de código en macOS y ganar 50.000 dólares.

Synacktiv ganó el Tesla Model 3 y 200.000 dólares después de hackear la ECU de Tesla con control CAN BUS del vehículo (VEH) en menos de 30 segundos mediante un desbordamiento de enteros.

Los investigadores de seguridad de Theori, Gwangun Jung y Junoh Lee, ganaron 130.000 dólares después de escapar de una VM de VMware Workstation para obtener ejecución de código como SYSTEM en Windows y utilizando una cadena dirigida a un error de variable no inicializada, una debilidad de UAF y un desbordamiento de búfer basado en montón.

Bruno PUJOS y Corentin BAYET de Reverse Tactics recaudaron 90.000 dólares explotando dos errores de Oracle VirtualBox y un UAF de Windows para escapar de la VM y elevar los privilegios a SYSTEM.

El primer día del concurso terminó con Manfred Paul pirateando los navegadores web Apple Safari, Google Chrome y Microsoft Edge, explotando tres vulnerabilidades de día cero y ganando 102.500 dólares.

Otros intentos del primer día de Pwn2Own incluyen:

  • El equipo de investigación DEVCORE obtuvo un premio de $30.000 después de escalar privilegios a SYSTEM en un sistema Windows 11 completamente parcheado usando un exploit que apuntaba a dos errores, incluida una condición de carrera TOCTAU. También recibieron 10.000 dólares por hacer una demostración de un exploit de escalamiento de privilegios locales (LPE) ya conocido de Ubuntu Linux.
  • Seunghyun Lee, del KAIST Hacking Lab, hackeó el navegador web Google Chrome utilizando una vulnerabilidad Use-After-Free (UAF) para recaudar 60.000 dólares.
  • Kyle Zeng de ASU SEFCOM demostró otro exploit LPE dirigido a Ubuntu Linux a través de una condición de carrera para ganar $20.000.
  • Cody Gallagher también ganó 20.000 dólares por una vulnerabilidad de día cero de escritura fuera de límites (OOB) de Oracle VirtualBox.
  • Dungdm de Viettel Cyber Security también hackeó VirtualBox de Oracle utilizando una cadena de exploits de dos errores por 20.000 dólares.

Después de que los Zero-Day se muestren en Pwn2Own, los proveedores tienen 90 días para lanzar parches de seguridad para todas las fallas reportadas antes de que la Iniciativa Día Cero de Trend Micro los revele públicamente.

A lo largo de Pwn2Own Vancouver 2024, los investigadores de seguridad se centrarán en productos completamente parcheados en las categorías de navegador web, nativo de la nube/contenedor, virtualización, aplicaciones empresariales, servidores, escalada de privilegios (EoP) local, comunicaciones empresariales y automoción.

El segundo día, los competidores de Pwn2Own intentarán explotar errores de día cero en Windows 11, VMware Workstation, Oracle VirtualBox, Mozilla Firefox, Ubuntu Desktop, Google Chrome, Docker Desktop y Microsoft Edge.

Después de los dos días de competencia de hacking, los participantes pueden ganar más de 1.300.000 dólares, incluido un automóvil Tesla Model 3. El premio máximo por hackear un Tesla es ahora de 150.000 dólares, y el propio coche.

Los competidores pueden ganar un premio máximo de 500.000 dólares y un automóvil Tesla Model 3 por un exploit que brinda control remoto completo con root ilimitada cuando apunta al piloto automático de Tesla.

Utilizando una vulnerabilidad del kernel de Windows, también pueden obtener un premio de $300.000 por un escape exitoso del huésped al host del Cliente Hyper-V y una escalamiento de privilegios en el sistema operativo host.

Durante el Vancouver Pwn2Own del año pasado, ganado por Team Synacktiv, los hackers ganaron 1.035.000 dólares y un coche Tesla durante 27 Zero-Days (y varias colisiones de errores) en Windows 11, Microsoft Teams, Microsoft SharePoint, macOS, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox, y el Modelo 3 de Tesla.

Synacktiv también hackeó el módem Tesla y el sistema de infoentretenimiento durante la primera edición de Pwn2Own Automotive en enero, obteniendo permisos de root en un módem Tesla encadenando tres Zero-Day y demostrando un escape de la zona de pruebas del sistema de infoentretenimiento a través de una cadena de exploits.

Segundo día

Manfred Paul (@_manfp) ganó la edición de este año de Pwn2Own Vancouver con 25 puntos Master of Pwn y $202.500 ganados durante la competencia de dos días después de hackear los navegadores web Apple Safari, Google Chrome y Microsoft Edge.

El segundo día, Manfred Paul también aprovechó una vulnerabilidad de día cero de escritura fuera de límites (OOB) para obtener RCE y escapó del entorno limitado de Mozilla Firefox utilizando una debilidad de función peligrosa expuesta.

Otros intentos exitosos (y colisiones de errores) el último día incluyen:

  • Explotaciones de escalamiento de privilegios de Windows 11 de HackInside, Valentina Palmiotti, Marcin Wiązowski y Gabriel Kirkpatrick de IBM X-Force,
  • Explotaciones de escalamiento de privilegios de VMware Workstation RCE y Ubuntu Linux de STAR Labs SG y un escape de Docker,
  • El equipo de Palo Alto hackeó Chrome y Edge después de derrotar el endurecimiento V8.
  • Explotación de escape de huésped a host de Oracle VirtualBox de ColdEye,
  • Seunghyun Lee de KAIST Hacking Lab toca dos veces el exploit Chrome y Edge RCE,
  • Theori con una escalamiento de privilegios en Ubuntu Linux.

Fuente: BC