Categoría : Vulnerabilidades

Inicio/Seguridad Informática/Archivo por Categoría Vulnerabilidades (Page 7)

Ins0mnia: La nueva vulnerabilidad de iOS

Para entender esta vulnerabilidad, es necesario comprender que una de las maneras que tiene Apple de protege a sus usuarios es mediante el control de cómo el software de terceros interactúa con iOS. Una aplicación iOS sólo puede ejecutarse en segundo plano durante un tiempo limitado antes de la que la aplicación sea suspendida por iOS. Generalmente este plazo es de tres minutos. Esta limitación no sólo ayuda a garantizar la capacidad de respuesta predecible en la interacción del usuario, sino que también evita que cualquier aplicación de espionaje se ejecute en el fondo. Por ejemplo, una aplicación de música puede tener razón legítima para pedir permiso para acceder a la ubicación GPS y el micrófono mientras se trabaja en el primer plano, pero pocos usuarios querría que la aplicación se ejecute en segundo plano para monitorear continuamente ubicaciones GPS y grabación de audio. El control por parte de iOS se supone que es para evitar esos abusos de los permisos.

El conmutador de tareas iOS es una interfaz que muestra la lista de aplicaciones recientemente abiertas. Cuando un usuario cierra una aplicación pulsando el botón de inicio, la aplicación pasa a segundo plano, y está sujeta a ciertas limitaciones estrictas impuestas por iOS en aplicaciones de fondo. Además, el usuario puede optar por apagar completamente una aplicación mediante la eliminación desde el conmutador de tareas.

La vulnerabilidad Ins0mnia permitió que una aplicación pueda eludir estas limitaciones. Una aplicación maliciosa podría aprovechar la vulnerabilidad Ins0mnia para ejecutarse en segundo plano y robar información confidencial del usuario por un tiempo ilimitado sin el consentimiento o conocimiento del usuario. Esta información sensible podría entonces continuamente se enviada a un servidor remoto. Este fallo también podría ser aprovechado para reducir drásticamente el rendimiento del dispositivo y la usabilidad del sistema. Incluso podría ser usado para drenar la batería.

El ataque consistía en engañar al iDevice haciéndole creer que se está depurando la aplicación iOS. Esto impidió que el sistema de suspensión de la aplicación se ejecutara cuando la duración de fondo permitida expiró.

Si una aplicación aprovechara esta vulnerabilidad y el usuario retira la aplicación de conmutador de tareas, la aplicación seguirá ejecutándose en segundo plano, mientras que el usuario cree que la apliacción había sido cerrada por completo.

También nos dimos cuenta de que una aplicación no necesitaba el derecho get-task-allow, un malware Ins0mnia no requiere que Apple permita nada. Creemos que tal aplicación tenía una alta probabilidad de pasar el examen de Apple Store, por lo que es una laguna poco común para un atacante para distribuir malware dentro del jardín amurallado de Apple.

Demostración

Este vídeo muestra una aplicación de iOS malicioso que el usuario cree que ha terminado, pero que sigue funcionando sin el conocimiento del usuario y envía actualizaciones de ubicación de la víctima al atacante.

Fuente: FireEye

Whatsapp: un supuesto mensaje de una cafetería roba información personal

WhatsApp, al ser utilizada por millones de usuarios, es uno de los blancos más interesantes para hackers. En esta oportunidad desde Kaspersky Labemitieron una alerta donde informan que se está utilizando un mensaje para robar información.

El mensaje llega supuestamente de Starbucks ofrece una promoción. No es de Starbucks y lo único que hará es robar información personal.

Según el mensaje se regalan US$500 para consumir en la tienda local. Todo si se contesta una encuesta. Para eso hay que entrar a un link y ahí es donde se le robará información al usuario.

 

0009929390

 

Fuente: minutouno

Vulnerabilidades identificadas en Navegadores de Android: Dolphin y Mercury.

Existen vulnerabilidades en dos navegadores alternativos bastante populares para Android: Dolphin y Mercury, según, a través del navegador podría resultar la ejecución de un código remoto o escritura arbitraria.

El Investigador de seguridad móvil Benjamin Watson, que bloguea bajo el disfraz de Rotlogix, éste fin de semana ha descubierto y descrito las vulnerabilidades de los navegadores mencionados.

Asumiendo que el atacante y el usuario están en el mismo entorno de red compartida, un atacante puede explotar la vulnerabilidad de Dolphin cuando el usuario descarga y aplica un nuevo tema para el navegador.

A través de algo de ingeniería inversa, Rotlogix ha descubierto que Dolphin tiene la funcionalidad para descomprimir y aplicar el contenido de un tema. Pero por el proxy del tráfico de descarga, Rotlogix descubrió que podía inyectar un tema modificado y a su vez, lograr una escritura arbitraria en el directorio de datos del navegador. Una vez adentro, él también descubrió que podía crear una biblioteca diseñada que podría sobrescribir la que ya existe en el navegador y el resultado seria lo que él llama “full blown code execution.”

Rotlogix escribió  sobre esta vulnerabilidad el pasado viernes y afirmó que los desarrolladores de Dolphin eran conscientes del problema.

El lunes se les preguntó cuándo llegaría una solución para dicha vulnerabilidad, un vocero de la empresa alegó que estaban trabajando en una solución para el problema.

Dolphin, tiene su sede en San Francisco, Mobotap, Inc., cuenta con entre 50 millones – 100000000 de instalaciones, después de Chrome y Firefox es uno de los navegadores alternativos más populares de Android.

El lunes salió una actualización para el navegador, pero no está claro si la versión más reciente incluye una solución para el problema.

El problema con mercury, un navegador de Android producido por iLegendSoft, Inc., se deriva de una combinación de lo que Rotlogix describe como una insecure Intent URI scheme implementation and a path traversal vulnerability. Los errores de Mercuriy en su mayoría son arraigados a su característica de transferencia de WiFi. A través de una página HTML maliciosa un atacante podría “invocar actividades privadas”, según Rotlogix.

Tomó un poco encontrar más, pero a través de la vulnerabilidad recorrida Rotlogix descubrió que podría aprovechar las características, no sólo leer los datos del directorio de datos de Mercury, sino también descargar, cargar y reemplazar ciertos archivos en el directorio del navegador.

iLegendSoft no ha respondido las solicitudes  realizadas para hacer comentarios al respecto, pero mientras tanto, Rotlogix está instando a los usuarios para eliminar el navegador y utilizar otro hasta que se aborde el tema.

Fuente: threatPost

Ashley Madison ofrece recompensa de 500.000 $

AshleyMadison.com, un servicio de engaño en línea cuyo lema es “La vida es corta, ten una historia de amor”, está ofreciendo una recompensa de $ 500,000 por información que conduzca a la detención y el enjuiciamiento de la persona o grupo de personas responsables de la filtración de información personal de más de 30 millones de usuarios de la compañía.

 

A snippet of the message left behind by the Impact Team.

un fragmento del mensaje dejado por el equipo de Impacto

La oferta de recompensa llegó en una conferencia de prensa hoy dada por la policía de Toronto, Canadá, lugar donde tiene su sede AshleyMadison. En la conferencia televisada, El Superintendente de la policía de Toronto, Bryce Evans, relata los acontecimientos claves del “Proyecto Unicornio”, el nombre que le han asignado las fuerzas del orden a la investigación sobre el ataque. En la transmisión de las noticias de la oferta de recompensa, Evans hizo un llamamiento a los piratas informáticos públicos y  a los White Hat en busca de ayuda para llevar a los atacantes a la justicia.

“Los efectos causados por la fuga de información han tenido un gran impacto social  y económico, y lo seguirán teniendo a largo plazo, esto ha provocado un beneficio a los delincuentes y una mayor victimización. A partir de esta mañana, tenemos dos informes no confirmados de suicidios que están asociados con la fuga de perfiles de clientes AshleyMadison.” Dijo Evans

Evans no dio detalles sobre los suicidios, y sólo dijo que su oficina está investigando esos informes. El San Antonio Express-News  informó el viernes que un trabajador de la ciudad cuya información se encuentra en la base de datos filtrada de AshleyMadison se quitó la vida el pasado jueves, aunque la publicación reconoce que no está claro si la muerte del trabajador tuviera algo que ver con la fuga.

Evans advirtió a los usuarios públicos y preocupados de AshleyMadison que deben estar en guardia contra una serie de extorsiones que ya están apareciendo contra los clientes del sitio. El viernes, KrebsOnSecurity contó una historia exclusiva sobre un tal plan de extorsión que amenazaba con alertar a la esposa de la víctima a menos que el beneficiario paga el atacante un Bitcoin (por valor de algo más de USD $ 250).

La Policía de Toronto ha publicado esta imagen de un intento de extorsión similar  y que han venido haciendo de las suyas.

“Los delincuentes ya han participado en otras estafas en línea reclamando para proporcionar acceso a la página web de filtrado”, dijo. “El público tiene que ser consciente que al hacer clic en estos enlaces, está exponiendo su computadora para el adware, el spyware y virus. También están aquellos que ofrecen borrar perfiles de clientes de la lista. Nadie va a ser capaz de borrar esa información”.

Evans dijo que los empleados AshleyMadison se dieron cuenta de la intrusión cuando llegaron a trabajar en la mañana 12 de julio de 2015. Evans dijo que los empleados al encender sus equipos se les presentó el mensaje inicial del Equipo de Impacto – el grupo de hackers que se ha atribuido la responsabilidad de la Violación – acompañado por la canción “Thunderstruck” de la banda de rock AC / DC tocando en el fondo.

El Departamento de Policía de Toronto está animando a cualquier persona con información sobre el atacante (s) ponerse en contacto con ellos por teléfono o Twitter. Del mismo modo, el departamento está pidiendo a las víctimas de los ataques de extorsión vinculados a los datos de fuga, no pagar las demandas de rescate, y en su lugar informar los crímenes en las direcciones y / o números que se indican a continuación.

Fuente: krebsonsecurity

La compañia Web.com ha sido Hackeada

La Compañía Web.com anuncio este martes que había sufrido una violación de Datos (tarjetas de pago y información personal) perteneciente a 93.000 clientes.

Sin embargo un portavoz de web.com dijo a John Herbkersman Threatpost por correo electrónico, que todos los datos de las tarjetas de crédito de los clientes se cifran.

La violación se detecto el 13 de agosto, web.com anuncio que contacto a la policía y a una empresa de seguridad informática para ayudar en la investigación de este hecho.

Web.com dijo que tiene más de 3,3 millones de clientes y dijo que está ofreciendo un año de monitoreo gratuito a los clientes afectados por la violación, la compañía le envió un correo electrónico a las victimas explicándoles lo siguiente:

“La seguridad de la información de nuestros clientes es una prioridad para Web.com. Nuestros objetivos son simples “proteger a nuestros clientes de los ataques de Internet y, en el caso de que un ataque tenga éxito, solucionar el problema de inmediato “, dijo David L. Brown, presidente y director ejecutivo de Web.com, en un comunicado.

Web.com dijo que el vector por el cual los atacantes fueron capaces de infiltrarse en uno de sus sistemas, lo ha dejado de inmediato fuera de servicio. Además de los números de tarjetas de crédito, Web.com dijo que los hackers también tuvieron acceso a información personal, incluyendo nombres y direcciones adjuntas a las tarjetas de pago. Pero los códigos de seguridad de las Tarjetas de crédito, así como los números de Seguro Social no se vieron comprometidos, dijo Web.com.

“Web.com tiene medidas de seguridad muy fuertes y sofisticadas para proteger sus sistemas informáticos y regularmente revisan y actualizan los protocolos de seguridad”, dijo la compañía en un FAQ publicado en su sitio.

“Desafortunadamente, la ciberdelincuencia es una amenaza persistente en el mundo de hoy. A pesar de nuestros mejores esfuerzos, ninguna empresa es inmune”. Web.com proporciona una serie de servicios de alojamiento, así como registro de dominios, diseño de sitios web, gestión, optimización de motores de búsqueda y otros servicios.

Fuente: threatpost

Vulnerabilidad en SMB en Windows permite robo de credenciales

En la Conferencia Black Hat, un equipo de expertos liderado por Jonathan Brossard presentaron una vulnerabilidad en el protocolo SMB de Microsoft [PDF] utilizado para compartir archivos en redes locales. La vulnerabilidad afecta a todas las versiones de Windows, incluyendo Windows 10 y puede ser explotada a través de Internet, algo que los investigadores creían imposible.

SMB es un protocolo de 21 años de edad creado por IBM, que permite compartir archivos e impresoras en una red. Desde su creación, ha evolucionado y llegado a la versión 3.0, que se suministra ahora en la mayoría de los Windows. La mayoría de las veces este protocolo se utiliza en redes empresariales, junto al algoritmo de autenticación NTLMv2, que permite a los usuarios autentificarse rápidamente en servidores Windows.

La vulnerabilidad descubierta por el equipo de Brossard permite extraer las credenciales de usuario desde un dominio de Windows cerrado, utilizando una técnica de ataque llamada SMB Relay, basicamente un MitM para datos SMB. Mientras esta técnica generalmente trabajaba sólo en LAN, debido a que la mayoría de redes empresariales se han ampliado para incluir infraestructuras cloud, el ataque puede realizarse a través de conexiones a Internet.

La fuga de credenciales sucede cuando un usuario está tratando de leer un correo electrónico, acceder a una página Web utilizando el navegador o haciendo cualquier cosa que implique abrir una dirección URL. La vulnerabilidad se encuentra en una DLL específica que permite a un atacante realizar un ataque de retransmisión SMB, obtener las credenciales del usuario, romper el hash de la contraseña y luego utilizarlas para robar información de la red pasando como un usuario normal.

Como señala Brossard, todas las versiones de IE son vulnerables, incluyendo el nuevo navegador Edge, siendo este “el primer ataque contra Windows 10 y su navegador Spartan”.

Además, otras aplicaciones vulnerables incluyen Windows Media Player, Adobe Reader, Apple QuickTime, Excel 2010, Symantec Norton Security Scan, AVG Free, BitDefender Free Comodo Antivirus, IntelliJ IDEA, Box Sync, GitHub, TeamViewer, Dropbox y muchas otros aplicaciones.

La investigación también incluye técnicas de mitigación [PDF], pero según Brossard, el más eficiente sería definir configuraciones de Firewall personalizados, para prevenir fugas de datos a través de SMB.

Fuente: Segu.Info

Hackers han liberado toda la información robada de Ashley Madison

Hace un mes el sitio web Ashley Madison visitado por aquellos que buscan tener “aventuras” y citas a través del anonimato de Internet, fue comprometido cuando un grupo de hackers se hiciera con toda la información privada de más de 37 millones de usuarios. Desde base de datos de la empresa, a registros financieros, y datos personales de las personas registradas. Impact Team, como se hacen llamar los responsables por el hackeo, amenazaron con liberar los archivos si Ashley Madison no cerraba de inmediato y permanentemente.

Un archivo de alrededor de 10GB que presuntamente contiene correos electrónicos, perfiles de usuarios, transacciones con tarjeta de crédito, y otra información sensible apareció en las últimas horas de este martes disponible como una descarga en la Deep Web solamente accesible a través de Tor. Asumiendo que los archivos sean legítimos y haciendo caso a las amenazas recibidas, estaríamos frente a los registros de clientes, perfiles con fantasías sexuales secretas, las transacciones, nombres y direcciones reales, documentos de empleados y correos electrónicos.

Varios sitios como Wired y ARStechnica han podido descargar los archivos y se encuentran navegando a través de ellos para verificar su legitimidad y la extensión de la filtración.

 Fuente: Hipertextual