Categoría : Vulnerabilidades

Inicio/Seguridad Informática/Archivo por Categoría Vulnerabilidades (Page 6)

Vulnerabilidades en PHP

Recientemente el equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Las actualización incluye la corrección de múltiples problemas y vulnerabilidades, entre las que se incluyen vulnerabilidades de uso después de liberar un serialize en el núcleo de PHP (CVE-2015-6834 y 2015-6835), en GMP y en SPL (CVE-2015-6834). Problemas de referencia a puntero nulo en SPL y XSLT (CVE-2015-6837, CVE-2015-6838), múltiples vulnerabilidades relacionadas con funciones PCRE, una confusión de tipos en SOAP y escalada de directorios en el servidor CLI y en ZIP cuando se crean directorios al extraer archivos.

Se recomienda actualizar a las nuevas versiones 5.6.13, 5.5.29 y 5.4.45 desde:

http://www.php.net/downloads.php

Más información:

PHP 5 ChangeLog

http://php.net/ChangeLog-5.php

Fuente: Hispasec

La versión 4.3.1 de WordPress corrige tres vulnerabilidades

Vulnerabilidades en el motor principal de WordPress no son raras, pero si poco frecuentes. La mayoría de los problemas que afectan a la integridad de los sitios que se ejecutan en el sistema de gestión de contenidos se introducen por los plugins de terceros y éstos ponen los sitios en riesgo de una serie de ataques.

Hoy WordPress se ha actualizado a la versión 4.3.1, donde ha parcheado tres vulnerabilidades, dos de los cuales fueron reportadas por los investigadores de Check Point Software Technologies.

La más grave de las vulnerabilidades parcheadas implica una función de WordPress específica llamada shortcodes. Que no son otra cosa que etiquetas HTML que se introdujeron en la versión 2.5 como una forma sencilla de incorporar macros en el código, lo que ahorra a los desarrolladores la molestia de volver a escribir HTML. WordPress es compatible con una gran cantidad de códigos short predeterminados, como permite la incrustación automática y dinámica de un archivo de vídeo Vimeo en un sitio de WordPress.

El jefe de investigaciones de vulnerabilidades de Check Point, Shahar Tal informó sobre un trío de vulnerabilidades a los ingenieros de seguridad de WordPress hace unos meses y se ha tomado el tiempo para arreglar todos los errores, dijo, sobre todo debido a los posibles problemas de compatibilidad con una serie de plugins de terceros.

Cuando la vulnerabilidad Short se aborda un atacante podría abusar de cómo la plataforma procesa los shortcode e inyectar código JavaScript arbitrario que podría ejecutar cuando una página de WordPress lo hace. Tales ataques cross-site scripting no son nada nuevo en lo que respecta a la seguridad de las aplicaciones basadas en la web y han sido la plataforma de lanzamiento de una serie de ataques, ya sea criminal o patrocinado por el estado.

Además de la vulnerabilidad de cross-site scripting, Tal y su colega Netanel Rubin, que pasó meses investigando las vulnerabilidades de la plataforma, también descubrieron una vulnerabilidad que permitía a los usuarios sin permisos adecuados publicar mensajes en un sitio. En el lapso de unos pocos meses, Rubin fue capaz de encontrar al principio vulnerabilidades que afectan sólo a los usuarios abonados en WordPress hasta el final a los ataques de inyección SQL remoto y cross-site scripting contra fallas en el motor central.

Check Point ha publicado hoy un informe sobre sus conclusiones de cómo sus investigadores fueron capaces de saltarse las protecciones en el lugar que se suponía iban a mantener los atacantes, se logro despojarlos de la whitelisting que niega etiquetas y atributos que no están aprobados.

“Hemos sido capaces de abrir una etiqueta e insertar algo en los atributos shortcode”, dijo Tal. [WordPress] no pensó en todo cuando agregaron la función, que es muy rica y propenso a errores “.

Tal dijo que los ingenieros de WordPress investigaron la base de código en busca de problemas similares en otras áreas también.

Fuente: threatpost

Lockerpin, el peligroso virus que cambia la contraseña de bloqueo de tu celular

Es lo último en amenazas para el sistema operativo Android.

Se inmiscuye en el celular, cambia el PIN (número de identificación personal) de desbloqueo e impide al propietario utilizar su propio dispositivo. Es como si entrara en tu casa y te cerrara por dentro con llave, quedándote fuera y sin poder entrar.

El malware en cuestión se llama Dubbed Android/Lockerpin y ha sido descubierto por la empresa especializada en antivirus Eset.

Es una variedad de ransomware, un tipo de virus que crea una falsa amenaza en el dispositivo y exige al dueño un rescate a cambio de que pueda volver a usarlo.

Lockerpin suele camuflarse como una supuesta actualización del sistema.

                                                          

Sin embargo, al instalarla lo que hace el usuario es otorgarle privilegios de administrador.

Con ellos accede a la configuración del celular y modifica el PIN con el que el dueño del aparato desbloquea la pantalla, dejándolo así sin posibilidad de manipular su propio teléfono inteligente.

Peligro camuflado

“Después de pulsar el botón (de desbloqueo), el dispositivo del usuario queda bloqueado”, dice Lukeas Stefanko, investigador de Eset.

De momento el virus se oculta en aplicaciones relacionadas con la pornografía, pero los expertos advierten que, de llegar por ejemplo a Google Play, la plataforma de distribución digital de aplicaciones móviles para Android, la amenaza se extendería rápidamente.

Además, la cuestión no termina ahí.

Un tiempo después de que su celular haya sido infectado con este malware, el usuario recibe un mensaje en una falsa ventana, supuestamente de la policía u otra autoridad.

                           Lockerpin “secuestra” tu celular y te pide un rescate a cambio de que lo puedas volver a utilizar.

El texto advierte que se ha detectado actividad ilegal desde el terminal, por ejemplo, que el usuario ha visto pornografía ilícita, y que debe pagar US$500 por haber estado relacionado con tales acciones criminales.

Tras salir del mensaje, la pantalla del celular se desbloqueará.

“Hard reset”, la única solución

Para poder volver a utilizar el celular, el usuario tendrá que hacerle un hard reset, restablecerlo de fábrica; esto es, eliminar todo aquello que le añadió a partir de la configuración inicial.

Con ello se borran todos los datos que el usuario almacenó en el terminal, así como los parámetros personalizados como el patrón de desbloqueo, los códigos de acceso de seguridad, etc. La única manera de deshacerte del virus es borrando todo lo que añadiste al celular a partir de la configuración inicial, incluidos todos los datos y la claves.

Es la única manera, advierten los expertos. Y es que, de intentar desinstalar Lockerpin, se generaría un nuevo número PIN de forma aleatoria que reemplazaría al establecido originalmente por el usuario.

Pero para no tener que enfrentarse a una situación así, los expertos recomiendan prevenir y desconfiar de las actualizaciones

Fuente: BBC

La falla de WhatsApp que amenaza a 200 millones de usuarios

Una falla en el popular servicio de mensajería WhatsApp puso a unos 200 millones de sus usuarios en situación de riesgo, advirtió la empresa de seguridad Check Point.

La falla permite a los hackers distribuir programas malignos, entre ellos ransomware, que exige a las víctimas pagar una cuota para recuperar el acceso a sus archivos.

La vulnerabilidad, sin embargo, sólo afecta a la versión web del servicio. WhatsApp fue alertado del problema a finales del mes pasado e inmediatamente lanzó una corrección.

Check Point instó a los usuarios a actualizar el software inmediatamente para aprovecharla.

Ransomware

Jóvenes con teléfonos móviles
                                                   WhatsApp es una aplicación de mensajería móvil multiplataforma.

La aplicación web de WhatsApp es una versión espejo de su versión móvil, y permite acceder desde un navegador web los mensajes, imágenes y otros contenidos recibidos en un teléfono inteligente.

Actualmente hay más de 200 millones de usuarios activos de la aplicación web en comparación con los 900 millones de usuarios de la aplicación de teléfono inteligente, de acuerdo con estadísticas dadas a conocer por la firma este año.

WhatsApp fue comprada por Facebook en febrero de 2014.

De acuerdo con Check Point, la vulnerabilidad se debe a la forma en que el servicio maneja los contactos enviados en el formato vCard (tarjeta virtual).

Todo lo que un pirata informático necesita para enviar una tarjeta de presentación virtual que parece legítima es saber el número de móvil de su objetivo.

Una vez abierto el vCard puede distribuir código malicioso.

Un experto dijo que era relativamente fácil para los hackers hacerse con los números de teléfonos que han sido dados a conocer a través de otras brechas de seguridad.

“Teniendo en cuenta que WhatsApp es una aplicación de mensajería móvil multiplataforma, las posibilidades de que usted abra una vCard es muy alta”, comentó Mark James, especialista de la firma de seguridad ESET.

“Una vez abierta puede intentar descargar e infectar su sistema con ransomware“.

Check Point alertó WhatsApp sobre el problema el 21 de agosto y una semana más tarde se publicó una corrección.

Fuente: BBC

Nuevo Malware en Android

Una nueva cepa de ransomware Android disfrazado como una aplicación de reproductor de vídeo utiliza un medio de comunicación que no se ve en otros tipos de malware similar.

La mayoría de las víctimas son de los Estados Unidos y la estafa-cripto ransomware móvil parece ser rentable según los investigadores de Check Point Software Technologies, éstos dijeron que decenas de miles de dispositivos podrían estar infectados y hasta la fecha alrededor del 10 por ciento de las víctimas han desembolsado por rescate entre $ 200 y $ 500. Check Point afirma que su conclusión es incompleta y que probablemente más dispositivos estén infectados y los hackers se han embolsado más de los $ 200.000 a $ 500.000 estimados.

Como la mayoría ransomware móvil, estas infecciones comienzan cuando la víctima descarga de una aplicación falsa de una tienda de aplicaciones de terceros, en este caso una supuesta aplicación de Flash Player. Una vez que la víctima aprueba la instalación y los permisos solicitados, el ransomware encripta todos los datos en el teléfono, a cambio de un rescate.

Las víctimas, con esta cepa, verán un mensaje que pretende ser de la Agencia de Seguridad Nacional con lenguaje amenazante sobre violaciones de derechos de autor y las amenazas conllevan multas, las cuales se triplicarían si no se paga dentro de las 48 horas siguientes a la notificación. El mensaje de la NSA se ha utilizado con otros ransomware móvil, como Koler y Simplocker.

Lo que diferencia a esta cepa de los demás, Check Point, dijo, es que el ransomware utiliza un protocolo de mensajería instantánea llamado XMPP o extensible de mensajería y Protocolo de Presencia, para recibir órdenes y comunicarse con el servidor de comando y control.

“Uso de XMPP hace que sea mucho más difícil para los dispositivos de seguridad rastrear el tráfico de C & C de malware, así como la distinguen del resto del tráfico XMPP legítima,” Check Point, dijo en un informe publicado el miércoles. “También se hace imposible bloquear el tráfico mediante la supervisión de direcciones URL sospechosas”.

A diferencia de la mayoría ransomware que se comunica a través de HTTP, usar XMPP ha sido eficaz para ayudar a que el malware evada la detección. Con la comunicación HTTP, en el tráfico se utiliza la dirección URL o la dirección IP estática del servidor C & C  y se puede bloquear, negar a los atacantes la capacidad de enviar comandos de cifrado y archivos de proceso, dijo Check Point.

“A medida que esta técnica utiliza funciones de biblioteca externa para manejar la comunicación, el malware no requiere ninguna aplicación adicional para ser instalado en el dispositivo,” Check Point dijo. “Como XMPP soporta TLS, la comunicación entre el cliente y el servidor también es cifrada.”

Check Point dijo que los atacantes hacen los mensajes de rescate basados en la ubicación geográfica del dispositivo, por lo que es convincente para la víctima.

“Parece que los creadores del malware diseñado muestra tanto la configuración de la ubicación del dispositivo y el nombre del operador móvil de manera exitosa”, dijo Check Point. “Como resultado, el mensaje de rescate está realmente basado en datos convincentes, coincide con la zona donde se encuentra el dispositivo, haciendo de este un malware muy astuto.”

Check Point dijo que hay docenas de comandos XMPP y cuentas de control vinculadas a estos ataques, que han sido suspendidos por los operadores respectivos.

Fuente: threatpost

G Data descubre más De 20 Smartphones con Malware preinstalado

Hay casi 2.000 millones de personas en todo el mundo que ya usan smartphone (eMarketer). Pero son muy pocos lo que saben o reparan en todo lo que uno de estos dispositivos puede “contar” a terceros acerca de su propietario. A raíz del descubrimiento en 2014 de las funciones espía preinstaladas en el smartphone Star N9500, los expertos de G DATA pusieron su atención en los propios terminales.

Desde entonces, G DATA ha descubierto funciones similares a las del ya mencionado Star N9500 en el firmware de más de 20 modelos diferentes, algunos de fabricantes tan reconocidos como Huawei, Lenovo o Xiaomi. Puede consultar la lista completa aquí. Los expertos de G DATA sospechan que hay otros dispositivos aún no localizados cuyo firmware también puede estar comprometido.

Lo habitual es que el malware se camufle en una app legítima que mantiene sus funciones originales pero que es capaz de permitir el acceso al dispositivo a los creadores del malware, mostrar anuncios o descargar nuevas aplicaciones no deseadas. Lo más probable es que estas apps manipuladas hayan sido preinstaladas en el firmware durante el proceso que siguen los terminales desde que salen de fábrica hasta que llegan al usuario final. Además del margen asociado a la venta del terminal, un dispositivo infectado facilita el lucro a partir del robo de datos personales, el envío de SMS no autorizados o la “comercialización” indiscriminada de anuncios.

«Se estima que alrededor de 2.500 millones de personas en todo el mundo usan un smartphone o tableta para conectarse a Internet. Mensajería instantánea, navegación y compras online son posible en cualquier momento y desde cualquier lugar gracias a smartphones y tabletas. En paralelo a esta adopción generalizada de móviles conectados, el número de apps maliciosas y malware móvil ha crecido exponencialmente en los últimos tres años. Además, a lo largo del último año, hemos observado un crecimiento significativo de dispositivos que ya llegan al usuario con programas espía en el propio firmware de los terminales» Christian Geschkat, responsable de las soluciones para dispositivos móviles de G DATA

Record negativo: Más de un millón de nuevas amenazas Android en solo seis meses

Durante el segundo trimestre de 2015, los expertos de G DATA registraron una media de 6.100 muestras de nuevo malware cada día, frente a las 4.900 nuevas muestras del primer trimestre, lo que supone un incremento de casi un 25 por ciento.

El primer semestre del año ha superado las expectativas más negativas con más de un millón de nuevas amenazas para Android (1.000.938) en apenas seis meses, casi tantas como las que se registraron en todo el año 2013. G DATA estima que a finales de 2015 se habrán alcanzado la cifra de dos millones de amenazas en solo un año.

Puede comprobar si su smartphone está infectado descargando la solución de seguridad gratuita para dispositivos Android G DATA INTERNET SECURITY LIGHT en Google Play

Pronóstico para 2015

  • Año de records negativos: Los expertos de G DATA afirman que el malware para Android seguirá creciendo en la segunda mitad del año y se superará la cifra de dos millones de nuevas amenazas para esta plataforma en todo 2015.
  • El malware para Android, cada vez más sofisticado: el ataque informático a la empresa italiana Hacking Team, que ha estado detrás de las herramientas de vigilancia de policías, agencias de inteligencia y gobiernos de muchos países, ha provocado la publicación de una gran cantidad de documentación sensible y código fuente relacionado con malware para Android. Los expertos de G DATA sospechan que los cibercriminales aprovechen toda esta información y la utilicen para desarrollar código malicioso para Android cada vez más sofisticado y maduro.

Descarga el informe completo en https://secure.gd/dl-en-mmwr201502

Fuente: G Data

Google, Mozilla y Microsoft planean cortar su apoyo a RC4 a principios de 2016

Google, Microsoft y Mozilla anunciaron el día de hoy que retiraran su apoyo de manera permanente al algoritmo RC4, ya que el mismo es inestable.

Ataques prácticos contra RC4 están creciendo cada vez más, lo que hace el algoritmo cada vez menos confiable. Los fabricantes de los navegadores planean cortar el apoyo a RC4 a finales de enero, principios de febrero el 2016.

Por parte de Mozilla, Richard Barnes dijo que la fecha de cierre debe coincidir con el lanzamiento de Firefox versión 44, programada para el 26 de enero, por parte de Google, Adam Langley dijo que Chrome alcanzará un canal estable en enero o febrero, pero no especificó una fecha, sólo que los servidores que requieran RC4 dejaran de funcionar.

“La Desactivación RC4 significará que Firefox ya no se conectará con servidores que requieren RC4”, dijo Barnes en un post en el foro de la plataforma de desarrolladores de Mozilla.

Langley escribió al security@chromium.org un correo que dice: “Cuando Chrome realiza una conexión HTTPS tiene un deber implícito de hacer todo lo posible para garantizar que la conexión sea segura. En este punto, el uso de RC4 en una conexión HTTPS está siendo inseguro y por lo tanto tenemos la intención de desactivar el soporte para RC4 en un comunicado a futuro”.

Actualmente, Firefox Beta y versiones de lanzamiento no restringen RC4, pero sin embargo, sólo el 0,05 por ciento y 0,08 por ciento de las conexiones a las versiones respectivas utilizan RC4. Los números de Google son un poco más alto para Chrome, un 0,13 por ciento.

Microsoft ha anunciado fin de la vida de RC4 en Microsoft Edge e Internet Explorer 11, y que será desactivado por defecto.

“Microsoft Edge e Internet Explorer 11 sólo se utiliza RC4 durante un repliegue de TLS 1.2 o 1.1 de TLS 1.0. Un retorno a TLS 1.0 con RC4 es más a menudo el resultado de un error inocente, pero esto es indistinguible de un ataque man-in-the-middle “, dijo David Walp, Senior Program Manager, Microsoft Edge. “Por esta razón, RC4 se desactivará enteramente por defecto para todos los usuarios de Microsoft Edge e Internet Explorer en Windows 7, Windows 8.1 y Windows 10 a partir de principios de 2016.”

Durante más de una década, los investigadores han estado haciendo agujeros en RC4, la búsqueda de sesgos en bytes no tan al azar del cifrado de flujo se utilizan para cifrar texto plano. Un atacante con suficiente tiempo y poder de procesamiento y el acceso a suficientes solicitudes TLS podría averiguar todo el texto plano.

En 2013, la investigación realizada por la Universidad de Illinois ‘Daniel J. Bernstein logro un ataque práctico contra una debilidad conocida en RC4 que conduce a una sesión de compromiso TLS, uno de los primeros ataques factibles que se han hecho públicos.

En julio, los investigadores belgas publicaron ataques contra RC4 que permite a un hacker capturar y descifrar una cookie mucho más rápido que nunca.

El documento “Todos sus prejuicios nos pertenece: Rompiendo RC4 en WPA-TKIP y TLS”, escrita por Mathy Vanhoef y Frank Piessens de la Universidad de Lovaina, explica el descubrimiento de nuevas tendencias en el algoritmo que llevó a los atacante a romper el cifrado en los sitios web corriendo TLS con RC4, así como el WPA-TKIP.

Vanhoef y Piessens explican cómo un atacante puede utilizar estos resultados para descifrar las cookies de un usuario, por ejemplo, que debe ser asegurada sobre un canal cifrado. Sus ataques, sin embargo, no se limitan a las cookies.

“Esto significa que el atacante puede realizar acciones bajo el nombre de la víctima (por ejemplo, enviar actualizaciones de estado y enviar mensajes), tener acceso a la información personal (por ejemplo, a los correos electrónicos y el historial de chat), y así sucesivamente”, dijeron los académicos

Fuente: Threat Post