Categoría : Seguridad Informática

Inicio/Archivo por Categoría Seguridad Informática (Page 7)

El Malware YiSpecter abusa de los certificados de iOS para incertar Adwares en Apple.

Los investigadores advirtieron que la salida del malware WireLurker  en noviembre cuyo blanco eran las plataformas de Apple podría llegar a ser un acertijo para los desarrolladores del malware en Mac e iOS. Mientras WireLurker fue rápidamente aplastado y resultó ser bastante benigno, sus autores demostraron cómo el abuso de los certificados de desarrolladores empresariales emitidos por Apple era un medio eficaz para obtener el código malicioso en iPhones con jailbreak e iPads.

Otra amenaza llamada YiSpecter aparentemente ha seguido el ejemplo de WireLurker y ha combinado el uso de certificados emitidos bajo el Programa de Empresa de Apple iOS Developer con el abuso de APIs privadas para mover el adware en dispositivos iOS jailbreak, principalmente en China y Taiwán.

Claud Xiao, investigador de Palo Alto Networks, publicó un informe sobre el malware, que al parecer ha estado en estado salvaje durante 10 meses y tiene tasas de detección pobres en los servicios de seguridad como VirusTotal.

De manera similar a WireLurker, YiSpecter abre una puerta trasera a un conjunto de servidores de comando y control y devuelve los datos del dispositivo teniendo la capacidad de instalar y poner en marcha nuevos troyanos a algunas aplicaciones que sobreviven eliminación secuestrando otras aplicaciones con el fin de mostrar anuncios, buscar el cambio por defecto de la configuración en Safari, cambiar los marcadores y las páginas abiertas en el navegador móvil. El trabajo es en gran medida difundir un adware pornográfico.

A diferencia WireLurker, que se extendió desde Macbooks infectados a los dispositivos iOS, YiSpecter se propaga en un puñado de maneras, beneficiado en gran medida de la legitimidad de los certificados, uno de los cuales ya ha sido revocado por Apple.

“Creemos que todos son legítimos”, dijo el director de Palo Alto del investigador Ryan Olson. Los certificados cuestan $ 299 y están disponibles únicamente para los negocios controlados y verificados que deseen desarrollar aplicaciones empresariales para iOS. “Estos están destinados para su distribución interna. La distribución de aplicaciones de esta manera no es lo que pretende Apple, y por qué los están revocando”.

La investigación académica se había hecho antes de que WireLurker demostrara el potencial de abuso en torno a estos certificados,  Olson dijo que esperaba ver algunos ataques que  traten de imitar este enfoque. El aumento de la atención en el tema, en particular, de la mano de WireLurker, causó la respuesta de Apple para los iOS 9 recientemente liberados  con una característica que obliga a los usuarios que deseen ejecutar una aplicación firmada pasar por un par de “aros” adicionales. El desarrollador, por ejemplo, debe dar  confianza a la aplicación en la configuración del dispositivo para poder correr la misma.

“Usted no sólo haga clic en Aceptar, usted tiene que cavar en la configuración si desea confiar en los desarrolladores. Este es el tipo de función que impide este tipo de ataque de tener éxito “, dijo Olson.

El uso de APIs privadas para instalar aplicaciones maliciosas también es preocupante, ya que puede ser utilizado para llevar a cabo una serie de operaciones sensibles, Xiao de Palo Alto escribió, que son ciegos al mecanismo de distribución de la empresa de Apple. YiSpecter se compone de cuatro componentes, todos los cuales están firmados.

Al abusar de APIs privadas, estos componentes “descargar e instalar” de un comando y servidor de control (C2), escribió Xiao. “Tres de los componentes maliciosos utilizan trucos para ocultar sus iconos de “salto en pantalla” de iOS, lo que impide al usuario encontrarlos y eliminarlos. Los componentes también utilizan el mismo nombre y logotipos de aplicaciones del sistema para engañar a los usuarios de energía iOS “.

YiSpecter no es una amenaza para App Store. Se mueve a través de una serie de canales distintos que presentan como una alternativa al reproductor multimedia QVOD muy  popular  y utilizado para intercambiar y ver pornografía en China. Una vez QVOD fue cerrada por la policía en abril, los atacantes detrás de YiSpecter se dirigieron a aquellos usuarios con el malware.

El más interesante método de propagación de YiSpecter es su abuso de la práctica llevada a cabo por los ISP locales que inyectan JavaScript y publicidad HTML en el tráfico.

“Los proveedores de Internet jugaron un papel en él, pero probablemente pensaron que sería sólo la publicación de anuncios”, dijo Olson.

YiSpecter también se extendió a través del gusano Lingdun, el malware que utiliza falsos certificados VeriSign y Symantec para eludir los sistemas de detección. Lingdun es una amenaza de Windows y se utiliza sobre todo para introducir software en PCs con Windows. Un número de sitios y mensajes a las redes sociales de distribución de aplicaciones subterráneas también fueron introducidos por  YiSpecter, dijo Palo Alto.

YiSpecter es el último de una notable racha de ataques contra las diversas plataformas de Apple, comenzando con XcodeGhost y la vulnerabilidad publicada la semana pasada de Gatekeeper en OS X.

Fuente: ThreatPost

Hackean Impresoras inalámbricas con el uso de un Celular y un Drone

Se podría pensar que nuestro trabajo esta protegido dentro de las oficinas ubicadas en una torre de más d 30 pisos de altura, por lo tanto nuestro Wi-Fi se encuentran fuera del alcance de los hackers que quisieran robar documentos confidenciales.

Pero los investigadores de Singapur han demostrado cómo los atacantes utilizando un avión no tripulado más un teléfono móvil podría interceptar fácilmente documentos enviados a una impresora aparentemente inaccesibles, lo que ocurre es que éstas tiene Wi-Fi abierta. El método que idearon pretende en realidad ayudar a las organizaciones a determinar de forma barata y fácil si tienen dispositivos Wi-Fi vulnerables que se puede acceder desde el “cielo”. Pero la misma técnica también podría ser utilizado por los espías corporativos cuya intención sea espionaje económico.

El Drone es simplemente el transporte utilizado para transportar a un teléfono móvil que contiene dos aplicaciones diferentes diseñadas por los investigadores. Uno, que ellos llaman Cybersecurity Patrol, detecta las impresoras Wi-Fi abiertas y se puede utilizar con fines defensivos para descubrir dispositivos vulnerables y notificar a las organizaciones que están abiertos a los ataques. La segunda aplicación realiza la misma actividad de detección, pero a los efectos de los ataques. Una vez que se detecta una impresora inalámbrica abierta, la aplicación utiliza el teléfono para establecer un punto de acceso falso que imita los documentos de la impresora e intercepta los documentos destinados al dispositivo real.

“En Singapur hay muchos rascacielos, y sería muy difícil llegar al piso 30 con su notebook si no existe el acceso físico”, dice Yuval Elovici, jefe de iTrust, un centro de investigación de seguridad cibernética en la Universidad de Tecnología y Diseño de Singapur. “Un avión no tripulado puede hacerlo fácilmente. Este es el punto principal de la investigación, el cierre de la brecha física con el drone con el fin de lanzar el ataque o escanear fácilmente los dispositivos vulnerables de toda la organización. Los estudiantes investigadores Jinghui Toh y Hatib Muhammad desarrollaron el método bajo la guía de Elovici como parte de un proyecto de defensa cibernética patrocinada por el gobierno. Se centraron en las impresoras inalámbricas como su objetivo porque dicen que estas son a menudo un punto débil pasado por alto en las oficinas. Muchas impresoras Wi-Fi vienen con la conexión Wi-Fi abierta por defecto, y las empresas se olvidan de que esto puede ser un método para robar datos desde afuera.

Para el demo utilizan un avión no tripulado estándar de la firma china DJI y un teléfono Samsung. Sus búsquedas de aplicaciones de teléfonos inteligentes para SSID de la impresora abiertas y SSID empresa. De los SSID, la aplicación puede identificar el nombre de la empresa que está escaneando, así como el modelo de la impresora. A continuación, se hace pasar por la impresora y obliga a todos los equipos cercanos a conectarse a él en lugar de la impresora real. Una vez que un documento es interceptado, lo cual toma sólo unos segundos, la aplicación puede enviarlo a la cuenta de Dropbox de un atacante mediante 3G o 4G de conexión del teléfono, y enviarlo a la impresora real por lo que una víctima no sabría el documento había sido interceptado .

La zona de ataque está limitada a 26 metros de radio. Pero con hardware dedicado, un atacante podría generar una señal de que es mucho más fuerte y ampliar esa gama más lejos, señala Elovici. Cualquier equipo dentro de la zona de ataque podrá optar por conectarse a la impresora falsa sobre la real, incluso si la impresora real está más cerca en la proximidad de la canalla.

Un Drone que se asoma fuera de un edificio de oficinas es probable que se pierda, por lo que el uso de este método para un ataque tiene desventajas obvias. Pero el objetivo de su investigación era demostrar principalmente que los adversarios mismos no necesitan ser colocados cerca de un dispositivo Wi-Fi para robar datos. Un hacker podría controlar un avión no tripulado de media milla de distancia o, en el caso de los aviones no tripulados autónomos, en ninguna parte cerca del edificio en absoluto.

En cuanto a lo que necesitaría la App para realizar una exploración inicial que detecte los dispositivos vulnerables en el edificio es que la impresora, o bien, la señal del Wi-Fi tenga un alcance por lo menos de unos 30 metros, señala Elovici.

En cuanto al teléfono móvil, crear una impresora falsa no era trivial, sin embargo, después de comprar una impresora HP6830, ellos utilizaron ingeniería inversa del protocolo de la impresora para comunicarse con los ordenadores que envían los documentos. Luego se arraigan un teléfono Samsung para instalar el sistema operativo. Para la aplicación, escribieron un código Python que simula la impresora HP.

Cualquier organización que están más interesados ​​en el descubrimiento de dispositivos vulnerables que atacarlos simplemente puede instalar la aplicación Cybersecurity Patrol en un teléfono y adjuntarlo a un avión no tripulado para analizar sus edificios para impresoras sin garantía y otros dispositivos inalámbricos. Un avión no tripulado no es esencial para esto, sin embargo, a medida que los investigadores muestran en su vídeo de demostración (arriba), un teléfono que contiene su aplicación se puede conectar a una aspiradora robot y establecerse dentro de una oficina para buscar los dispositivos vulnerables, ya que limpia los pisos de una compañía.

“El punto de la investigación principal era desarrollar un mecanismo para tratar de patrullar el perímetro de la organización y encontrar impresoras abiertas desde fuera de la organización”, dice Elovici.

Fuente: wired

WordPress ha parcheado Vulnerabilidades en el Plugin Jetpack

Después de algunos errores críticos que fueron descubiertos recientemente y parcheados en el núcleo del motor de WordPress , cosa que es rara en cuanto a la seguridad relacionada con WordPress, el orden aparentemente ha sido restaurado con el descubrimiento de una vulnerabilidad crítica en un plugin popular.

Plugins inseguros han estado en el corazón de numerosos ataques lanzados desde sitios comprometidos de WordPress. Uno de ellos fue parcheado esta semana en Jetpack, un plugin que se ha descargado más de un millón de veces. Jetpack permite a los administradores de sitios web añadir características de personalización, contenido móvil, tráfico y otras herramientas de seguimiento en cuanto a rendimiento.

Investigadores de Sucuri reportaron una grave cross-site scripting (inseguridad informática) almacenada en el plugin el 10 de septiembre, que fue parcheado el lunes. Ayer, la empresa de seguridad dio a conocer detalles sobre la falla, que afectó versiones Jetpack 3.7 y anteriores.

La vulnerabilidad estuvo presente en el módulo de contactos en forma de plugin, que está activada de forma predeterminada. Si se realizan con éxito  ataques contra la falla podrían exponer a los sitios utilizando el plugin para una serie de problemas que incluye una puerta trasera que permitiría a un hacker ir y venir a su antojo.

“Un atacante puede aprovechar este problema al proporcionar una dirección de correo electrónico malicioso especialmente diseñado en una de las páginas del formulario de contacto de la web,” Sucuri investigador Mac-Alexandre Montpas escribió en un aviso publicado ayer. “A medida que el correo electrónico no se verifica apropiadamente antes de que salga en el ‘Feedback’ sección administrativa, el atacante podría usar este error y un poco de hackeo en el navegador web para ejecutar un código JavaScript en el extremo del administrador, lo que les permite hacer lo que quiere con el sitio”.

A diferencia reflectantes vulnerabilidades cross-site scripting, fallas XSS almacenadas son explotadas cuando el atacante pasa un código al servidor web y espera a que el usuario inicie sesión, si se trata de un abonado, autor o administrador.

“El atacante sólo tiene que esperar a que el usuario “correcto” inicie sesión, sin introducir indicadores adicionales que podrían alertar al administrador (campaña de phishing)”, dijo Montpas. “A esto se suma la popularidad de un plugin como JetPack, desplegado por defecto en muchas instalaciones a través de sus anfitriones o los paquetes de instalación.”

Sucuri ha publicado detalles técnicos en su asesoramiento, pero en fin, sus investigadores encontraron una manera donde la “entrada” no fue verificada apropiadamente, dándoles la capacidad de atacar el sitio corriendo Jetpack.

Debido a la popularidad de Jetpack, los investigadores instan a los usuarios actualizar inmediatamente a una versión parcheada del plugin.

A principios de este año, un cross-site scripting diferente fue descubierto en el paquete de iconos Genericons que a veces se incluye con Jetpack y el tema TwentyFifteen WordPress.

Aunque la mayoría de los problemas de seguridad relacionados con WordPress y otros sistemas de gestión de contenidos están relacionados plugin, el mes pasado  WordPress lanzó la versión 4.3.1 en la que parcheo tres vulnerabilidades, la más grave de las cuales se encontraron en los códigos cortos cuentan etiquetas, HTML que permiten a los desarrolladores de sitios a incrustar macros en códigos.

Fuente: ThreatPost

“Dridex” el malware Bancario se encuentra nuevamente en circulación

El troyano bancario “Dridex” hizo ruido este jueves en la mañana cuando se realizo gran campaña de Phishing apuntando principalmente a victimas del Reino Unido, Sin embargo fue acorralado por investigadores de Palo Alto Networks.

Los correos electrónicos de phishing se enlazan a un documento de Microsoft Word que atrae a los usuarios a habilitar las macros de los sitios Web controlados por el atacante y así descargar el malware bancario.

La campaña sigue activa, dijo el director de inteligencia de Palo Alto, Ryan Olson.

Dridex, por su parte, había sido bastante tranquilo después de un período fuerte de actividad a principios de este año en el que utilizo diferentes temática de campañas de phishing y de spam utilizando macros para descargar el malware de la Web.

Estos Macros, que son desactivados por defecto por Office, y pertenecen a la vieja escuela de propagación de malware, sin duda han hecho un resurgimiento en 2015 con Dridex a la cabeza.

“A principios de año, hemos visto un aumento en documentos de Word utilizando macros para instalar el malware. Estábamos súper sorprendidos por esto en el momento, porque el malware basado en macro había desaparecido desde que fueron desactivados por defecto en Office. No podíamos entenderlo “, dijo Olson. “Creo que es más que una nueva generación de personas que no viven del dolor de la década de 1990 y principios de 2000, cuando era una cosa terrible que las macros se habilitan en Word o Excel. Hoy en día, sólo están haciendo clic en ‘Sí’ para habilitar macros”.

Los mensajes de phishing en esta y otras campañas Dridex han sido bastante convincente en conseguir que los usuarios acepten. En general, los correos electrónicos mencionan algún tipo de negocio o giro comercial y piden el pago. Los archivos adjuntos maliciosos pretenden ser una factura, y el usuario se presenta con un cuadro de diálogo que les pide habilitar las macros con el fin de ver el documento.

En este caso, los macros infectados deben alcanzar un puñado de direcciones URL. Palo Alto ha publicado una lista de las descargas de URLs, mando y control de dominios y otros indicadores de compromiso.

Dridex, sin embargo, tenía todo, pero dejó el mapa desde el final del verano. Una de las razones podría ser la detención a principios de septiembre en Chipre de un hombre moldavo de 30 años de edad, supuestamente detrás del desarrollo de la distribución del malware.

El blog de ​​seguridad de Krebs de Seguridad informó sobre la detención, el 7 de septiembre y citó fuentes no identificadas que dijeron que el hombre tenía vínculos con una banda responsable de Dridex que pueden haber sido una escondida de una conocida banda de Europa del Este llamado el Club de Negocios acusado de utilizar el malware para robar $ 100 millones de los bancos en todo el mundo.

“Entre finales de agosto y ahora, no habíamos visto ninguna actividad Dridex en absoluto”, dijo Olson. “Atribuimos que a causa de la detención, hubo cierta reorganización de la organización y las personas se estaban reagrupando y por lo tanto apareció de nuevo esta mañana Dridex con un poco de volumen “.

A diferencia a principios de enero, cuando los correos electrónicos Dridex fueron alcanzando un máximo de cerca de 100.000 por día, Olson dijo que el resurgimiento actual es de alrededor de 20.000, en su mayoría en el Reino Unido

“Ha sido sobre todo a lo largo del Reino Unido”, dijo Olson. “Es probable que su mejor oportunidad para su reintegro es el Reino Unido Cualquiera de ellos tienen cuentas o mulas de dinero allí. La infraestructura del malware está probablemente mejor preparada para bancos con sede en el Reino Unido “.

Fuente: ThreatPost

El sistema SAP Parchea 12 inyecciones SQL y vulnerabilidades XSS en HANA

El sistema SAP ha parcheado una docena de agujeros en su sistema de gestión de memoria, HANA, esto podría dar lugar a ataques de inyección SQL, errores de inseguridad informática (XSS) y vulnerabilidades en cuanto a corrupción de la memoria.

Muchos de los errores fueron conseguidos por la empresa hace meses, pero no fue hasta el martes que Onapsis, la empresa de seguridad que descubrió las vulnerabilidades, les reveló.

Tal vez la vulnerabilidad más importante que la firma encontró es una que podría haber dejado que un atacante explotara varias vulnerabilidades de corrupción de memoria en su cliente HDBSQL y abusar de interfaces de gestión en el sistema. Al realizar una entrada diseñada específicamente, un atacante podría haber ejecutado comandos y comprometer cualquier información almacenada y procesada por la plataforma.

Otra vulnerabilidad igualmente riesgosa podría haber permitido a un atacante remoto leer la información comercial secreta almacenada en el sistema y ajustar ciertos parámetros para bloquear a otros usuarios. Los atacantes podrían haber utilizado la configuración “rastro de Banco de trabajo”, un entorno de desarrollo basado en la web en HANA, que específicamente para ejecutar comandos SQL de su elección.

Otras vulnerabilidades que Onapsis han descubierto podrían haber permitido a un atacante comprometer parcialmente el sistema, junto con cualquier información procesada o almacenada por ella a través de una vulnerabilidad de inyección de comandos, las opciones de configuración y borrar las credenciales de usuario a través de una inyección SQL.

Seis casos en el software en el que un atacante podría haber inyectado código SQL y dos vulnerabilidades XSS se fijaron por los parches.

SAP repara la mayoría de los errores en abril y mayo de este año, pero Onapsis, una firma con sede en Boston que se especializa en SAP y Oracle ciberseguridad esperó hasta esta semana para anunciar todos los errores de un solo golpe.

Otro asunto problemático en el popular sistema HANA (una vez que se ha llamado a SAP “el producto más atractivo de siempre”), fue encontrado durante el verano. Investigadores de ERPScan, otra firma que desentierra los errores en el software de planificación de recursos empresariales, señalaron que en Junio Black Hat Europa que una clave de cifrado predeterminada estaba protegiendo contraseñas, datos y copias de seguridad en el sistema.

Dado que la clave de cifrado era estática, un atacante sólo tendría que utilizar algunos trucos, como una inyección de SQL o un recorrido de directorio, para leer los datos cifrados, o ejecutar remotamente código.

Mientras que algunos clientes siguen sus recomendaciones, SAP señala en la documentación de HANA, que anima a los usuarios finales a verificar que las llaves maestras por defecto han sido cambiadas, advirtiendo que una mala configuración podría dejar los sistemas vulnerables.

Fuente: threatpost 

Un nuevo error de American Airlines permite comprar pasajes gratis

Un error en la página de internet en Chile de la compañía American Airlines permitió a sus clientes comprar billetes con destinos a Brasil, Estados Unidos y Europa gratis, según informan varios sus clientes.

Durante el fin de semana, al entrar en la página de la aerolínea se encontraron con que pasajes que suelen ser carísimos tenían el sorprendente precio de cero dólares.

La sorprendente situación comenzó a difundirse por las redes sociales y muchos trataron de hacerse con un billete de tan generoso valor.

Una captura de pantalla de la compra de uno de los clientes.

Es el caso de la periodista chilena Macarena Carrasco, que asegura estar “cruzando los deditos para que American Airlines respete los pasajes” comprados a ese precio.

Aún no hay confirmación de que la compañía respete la adquisición, pero Carrasco informa que puede ver el “número de reserva” operativo y todo el itinerario de su viaje.

El billete de Macarena Carrasco es gratis del todo, como se puede ver.
                                                  El billete de Macarena Carrasco es gratis del todo, como se puede ver.

Y es que la situación no parece una operación de marketing, sino un fallo técnico, ya que la web chilena de la compañía seguía caído durante la mañana del lunes.

La periodista de Emol le asegura que compró el billete en la noche del 27 de septiembre, pero que los pasajes estaban disponibles desde la tarde. Ella compró billetes para Londres, pero sostiene que muchos usuarios compraron tiquetes con Grecia como destino a similar precio.

Hace un mes sucedió lo mismo

La web de American Airlines se encuentra caída.

No es la primera vez que la aerolínea sufre un episodio de estas características.

El pasado 20 de agosto varios usuarios aseguraron en redes sociales que habían comprado pasajes de Chile a Nueva York o Miami por unos 70 dólares.

Fue entonces que la compañía reconoció el error

Fuente: BBC

Cisco parchea el servicio bypass, vulnerabilidad en el sistema IOS

Cisco realizo su habitual ronda semestral de parches para iOS este miércoles, el software que la empresa utiliza para la mayoría de sus routers y switches.

Avisos de seguridad de este mes reconocieron cuatro vulnerabilidades, tres que podrían conducir a la cancelación de servicios, y otro que podría dejar que un atacante pudiese pasar sin problemas a través de una autenticación de usuario (bypass).

La vulnerabilidad de pasar a través de la autentificación de usuario (bypass) surgió de una aplicación incorrecta de la SSH versión 2 del protocolo en el software IOS y IOS XE. Si se explota, un atacante, suponiendo que conocían el nombre de un usuario legítimo configurado para la autenticación de usuario basada en RSA, y la clave para el usuario podría conectarse con los privilegios del usuario. Cisco hace hincapié en que esto es simplemente una vulnerabilidad de la autentificación de usuario (bypass) en iOS, no una situación en la que el atacante sería capaz de obtener privilegios.

Dado que el error sólo afecta a la autenticación de usuarios RSA, los usuarios finales pueden desactivar la funcionalidad para mitigarlo, o simplemente aplicar el parche.

La negación de vulnerabilidades de servicios madre en gran parte de los problemas de IPv4 e IPv6 es manejada por el software.

Uno es el resultado de un procesamiento inadecuado de paquetes IPv4 que requieren traducción de direcciones de red (NAT) y multiprotocolo Label Switching (MPLS) de procesamiento – si un atacante remoto no autenticado envió el paquete IPv4 que pudieran provocar un reinicio del dispositivo. Otros dos están en la función de seguridad y espionaje IPv6 en IOS y IOS XE – si los atacantes enviaron un paquete mal formado, o una inundación de tráfico, también podrían causar un dispositivo se recargara.

Los parches son los primeros para el software en seis meses, siendo que  Cisco IOS realiza parches en gran cantidad dos veces al año, en marzo y septiembre.

El mes pasado, la empresa advirtió a los clientes de la empresa que los atacantes estaban tratando de explotar los dispositivos iOS. Los hackers no estaban explotando alguna vulnerabilidad específica, que al parecer estaban usando credenciales válidas, que les daba la posibilidad de subir imágenes ROMMON maliciosas, y tener el acceso permanente a los dispositivos.

Fuente:  threatpost