Nueva vulnerabilidad de Exim podría llevar a un ataque DoS o incluso a ejecución de código remoto

Una nueva vulnerabilidad afecta a Exim, el famoso agente de transporte de correos, utilizado por al menos el 57% de los servidores de correos del mundo.

Esta vulnerabilidad descubierta por investigadores de QAX-A-Team explotando el error asignado al CVE-2019-16928 podría llevar a un ataque de denegación de servicios o alguna ejecución de código remoto.

Esta vulnerabilidad es el resultado de un error de desbordamiento basado en string_vformat (string.c). Según el aviso de Exim , la vulnerabilidad puede ser explotada por un atacante a través de una “cadena de caracteres extraordinariamente larga HELO (EHLO)” destinada a bloquear el proceso responsable de recibir el mensaje. Jeremy Harris de Exim, calificó la vulnerabilidad como un “error de codificación simple” que resultó de no hacer crecer una cadena lo suficiente, publicó una prueba de concepto que muestra un ejemplo de cómo podría explotarse.

Exim advierte que podría haber otras formas de explotar esta vulnerabilidad, en un post de Exim´s bug tracker revela la posibilidad de un ataque de ejecución de código remota (RCE).

Un par de otras vulnerabilidades de Exim han sido titulares en los últimos meses. En junio, se descubrió que los actores de amenazas apuntaban a servidores que usaban Exim a través del troyano Watchbog, mientras que a mediados de septiembre se descubrió otro error (CVE-2019-15846) que también podría conducir a ataques RCE.

El CVE-2019-16928 aparece junto ala version 4.92 de Exim, afectando también a las versiones 4.92, 4.92.1 y 4.92.2, las versiones anteriores a la 4.92 no son vulnerables, por lo que Exim recomienda a todos sus usuarios actualizar a la última version 4.92.3 la cual incluye remediación de la vulnerabilidad CVE-2019-16928.

Referencias:

https://blog.rapid7.com/2019/10/01/exim-vulnerability-cve-2019-16928-global-exposure-details-and-remediation-advice/

https://www.trendmicro.com/vinfo/hk-en/security/news/cybercrime-and-digital-threats/exim-vulnerability-cve-2019-16928-could-lead-to-denial-of-service-and-remote-code-execution-attacks

https://www.tenable.com/blog/cve-2019-16928-critical-buffer-overflow-flaw-in-exim-is-remotely-exploitable

https://www.cvedetails.com/cve/CVE-2019-16928/

https://www.andreafortuna.org/2019/10/01/cve-2019-16928-a-new-vulnerability-on-exim-exposes-millions-of-email-servers-to-remote-attacks/https://unaaldia.hispasec.com/2019/10/grave-vulnerabilidad-en-el-servidor-de-correo-exim.html

10 Riesgos de seguridad de datos que te podrían impactar en 2020

n el panorama digital de hoy, pocas cosas causan tanto temor como una filtración de datos. No sólo por el enorme costo monetario en multas, corrección, y reparación, sino también por las consecuencias de mercado a las que son expuestas las empresas que son víctimas de ataques, con sus consecuencias publicitadas, lo que se traduce en un menoscabo de la apreciación de seriedad de la organización ante su púbico objetivo.

Es precisamente esta visibilidad la que convierte a la ciberseguridad en una publicidad positiva “no-implícita” para las organizaciones.

Aún más, la seguridad de los datos debiese ser el resultado más importante en una operación para las empresas entrando el año 2020, ya que no toda ciberamenaza tiene el mismo riesgo, y las compañías pueden trabajar para proveer una protección de datos sobresaliente al fortalecer sus estándares de seguridad en contra de las amenazas más alarmantes.

En este afán es que presentamos 10 riesgos a la privacidad de los datos que podrían afectar a las organizaciones el próximo año 2020:

1.- Filtración accidental

No todos los eventos de pérdida de datos son fruto de alguna complicada operación de cibercriminales. De hecho un gran número de filtraciones de datos provienen de los propios empleados de la compañía, quienes en ocaciones accidentalmente comparten o manejan de mala manera los datos sensibles. El extravío de activos de información o errores de direccionamiento de los datos son algunas de las formas en que esta problemática se presenta.

De acuerdo a un reporte de Shred-it, el 40% de los ejecutivos senior atribuyeron sus más recientes incidentes de seguridad a estos comportamientos.

Por ejemplo, en agosto, la información personal identificable de cientos de australianos, junto a sus detalles de salud, fueron expuestos al público luego de que un empleado accidentalmente enviara a un proveedor una planilla conteniendo información sensible.

La gente comete estos errores, y mitigar el riesgo asociado a estos errores es crítico para proteger la privacidad de los datos.

2.- Equipos de ciberseguridad sobreexigidos

Es poca la cantidad de profesionales que hoy soportan la carga del panorama de la ciberseguridad, como los administradores de TI que deben proteger la información más sensible de una organización.

Quizás no debamos sorprendernos si es que se sienten desgastados.

Más de 2/3 de los profesionales de la ciberseguridad han considerado dejar sus trabajos o inclusive dejar la industria, y su fatiga en general hace que una eventual situación difícil sea aún mas complicada.

Esto deja a las organizaciones expuestas, lo que podría incrementar el ímpetu de implementar automatización donde y cuándo sea posible. Esto ayuda a bajar la carga de actividades repetitivas y desgastantes, mejorar su presición, y especializar a los profesionales de seguridad TI con herramientas que permitan apuntar a la excelencia en su trabajo.

3.- Robo de datos por empleados

Cuando las compañías consideran sus riesgos de ciberseguridad, las amenazas externas se encuentran típicamente como primera preocupación. De hecho los cibercriminales juegan un rol prominente en los robos de datos, sin embargo los empleados de la compañía pueden ser protagonistas de muchos otros.

Un reporte de amenazas internas que realizó Verizon, indica que el 57% de las brechas en bases de datos incluye amenazas internas y que el 61% de estos empleados no tienen un rol de liderazgo cuando han comprometido los datos de sus clientes o usuarios.

Afortunadamente, existen mecanismos y procedimientos para evitar los riesgos ocasionados por sus amenazas internas. Por ejemplo el DLP de Sophos que evita el envío de información sensible mediante correo electrónico y dispositivos extraíbles, entre otros.

4.- Ransomware

Pocas amenazas atraen tanto la atención de los medios de comunicación e infunden el miedo como lo hacen los ataques de ransomware. Estos ataques son cada vez mas frecuentes y las víctimas son organizaciones de todos los tamaños, además de que sus consecuencias pueden ser bastante costosas.

El costo de los ataques con ransomware aumenta más del doble con cada año, y se estima que esta tendencia seguirá así a futuro.

Muchos ataques con ransomware comienzan a nivel de los empleados de una compañía, en la forma de estafas con phishing y otras comunicaciones maliciosas enviadas por los atacantes, las cuales gatillan la infección. Por tanto, además de tener precaución en los posibles puntos de entrada de estas amenazas, es recomendable utilizar una herramienta de protección en contra de esta clase de amenazas. Intercept X de Sophos tiene un mecanismo de detección de operaciones sospechosas por parte de los procesos y protección de archivos contra modificaciones maliciosas, mitigando así el problema de la ejecución de un ransomware y protegiendo los archivos posiblemente encriptados.

5.- Mala higiene de contraseñas.

Recientemente Google realizó un estudio en varias credenciales de acceso y concluyó que el 1,5% de toda la información de login en el internet es vulnerable a ataques con credenciales robadas, estos accesos maliciosos posteriormente pueden ser utilizados para infringir ataques a la red de una compañía.

Muchas credenciales de acceso son comprometidas en robos de datos previos, y con muchas personas utilizando las mismas claves o algunas fáciles de adivinar, esta información puede ser utilizada para acceder a datos de una empresa aún cuando sus redes estén securizadas.

Por tanto, las mejores prácticas como por ejemplo, requerir que se cambien las contraseñas de forma periódica, es una forma simple pero consecuente de abordar esta posible amenaza.

También ayuda de cierta forma un gestor de contraseñas, nuestro partner ManageEngine, cuenta con la herramienta Password Manager Pro, la cual permite configurar un periodo de renovación de contraseñas, sugerencia de contraseñas aleatorias, y alertas de uso de cuentas, entre otros.

6.- Cohecho

Datos de la compañía y propiedad intelectual son ambos increíblemente valiosos y, en algunos casos, los empleados pueden ser sobornados para revelar esta información.

Por ejemplo, el 2018, Amazon acusó a varios empleados de participar en una confabulación que comprometió datos de clientes; y en 2019, se descubrió que empleados de AT&T recibieron sobornos para implantar malware en la red de la compañía.

Por supuesto que el cohecho no es la mejor manera de ejecutar un robo de datos, pero, especialmente para las compañías cuyo valor reside en su propiedad intelectual, puede ser un serio problema de seguridad de datos.

7.- Demasiado acceso a los datos.

Los datos que puede albergar una empresa son uno de los activos mas valiosos, y deben ser protegidos adecuadamente.

En un contexto simplificado: el acceso a los datos debe ser de acuerdo a la necesidad de saber los datos, minimizando la exposición y por ende, reduciendo el riesgo de mal uso accidental o doloso.

8.- Phishing

Los correos de phishing se encuentran en aumento, se ha observado un aumento del 250% en este año. Al mismo tiempo, la nueva tecnología y el aumento del acceso a la información hacen que estos ataques sean cada vez más sofisticados, aumentando así la posibilidad de que los atacantes infiltren los sistemas de información.

El aumento se debe a la facilidad con que un correo phishing puede implantar un agente malicioso dentro de una red corporativa, es mucho mas fácil inducir mediante un correo de engaño a un empleado para que visite un sitio que le instalará malware, a intentar otros métodos de intrusión.

A pesar de los mejores esfuerzos que cada organización aplica, estos mensajes maliciosos inevitablemente llegan a las bandejas de entrada de los empleados.
Manejar este trafico equipar a los empleados con las herramientas necesarias para defenderse de esta amenaza (educación y entrenamiento) es un aspecto crítico. PhisThreat de Sophos es una excelente plataforma de entrenamiento para usuarios, controlable desde la consola central de Sophos Cloud, con la capacidad de crear campañas de entrenamiento y obtener detalles y estadísticas para ir mejorando la conciencia del phishing dentro de la organización.

9.- Fraude

Los correos electrónicos y contraseñas se encuentran en alta demanda por los cibercriminales, ya que son los principales datos que son robados entre 70% y 64% de los ataques exitosos, respectivamente. ya que esta información puede ser usada posteriormente para desplegar otros ataques, las compañías deben estar alerta de como sus datos pueden ser utilizados en contra de ellos.

10.- Denegación

En el año que viene, muchas compañías no se ajustarán adecuadamente a medidas de integridad de datos, y este es potenciado cuando se trata de PYMEs, las cuales estadísticamente son las más vulnerables a los robos de datos. Un estudio de Keeper Security y Ponemon Institute halló que el 67% de las PYMEs tuvieron un incidente de ciberseguridad significativo durante el año pasado.

El panorama digital de hoy puede ser paralizante, pero no es imposible de surcar. Al controlar lo incontrolable, la responsabilidad de de mitigación de riesgos e implementar una estrategia de ciberseguridad holística. Cada organización debe poner su mejor esfuerzo en el empuje hacia delante cuando se trata de la seguridad de datos y la privacidad.

Fuentes:
https://www.forbes.com/sites/theyec/2019/10/01/10-data-security-risks-that-could-impact-your-company-in-2020
https://www.techrepublic.com/article/over-40-of-reported-security-breaches-are-caused-by-employee-negligence/
https://www.zdnet.com/article/cybersecurity-staff-burnout-risks-leaving-organisations-vulnerable-to-cyberattacks/
https://enterprise.verizon.com/resources/reports/insider-threat-report/
https://www.bleepingcomputer.com/news/security/google-estimates-15-percent-of-web-logins-exposed-in-data-breaches/
https://www.wsj.com/articles/amazon-investigates-employees-leaking-data-for-bribes-1537106401
https://www.zdnet.com/article/at-t-employees-took-bribes-to-plant-malware-on-the-companys-network/
https://www.digitaltrends.com/computing/microsoft-security-massive-increase-phishing-scams/
https://www.scmagazine.com/home/security-news/data-breach/first-half-2019-sees-4000-data-breaches-exposing-4b-records/
https://keepersecurity.com/assets/pdf/Keeper-2018-Ponemon-Report.pdf

Nueva vulnerabilidad 0-Day afecta a la mayoría de los teléfonos que están siendo hackeados en este último tiempo

Nueva vulnerabilidad 0-Day sin parche afecta al famoso SO móvil Android.

También se descubrió que la vulnerabilidad es explotada por la marca israelí de vigilancia NSO Group, infame por vender exploits de día cero a los gobiernos, o uno de sus clientes, para obtener el control de los dispositivos Android de sus objetivos.

Descubierto por Maddie Stoneel investigador de Project Zero, los detalles y la PoC de el exploit para vulnerabilidad crítica codificada como CVE-1029-2215 publicada solo siete días después de el reporte del equipo de seguridad de Android.

Esta vulnerabilidad aprovecha una debilidad del compilador de kernel de Android, que da la opción de alojar privilegios de un tercero, esto puede permitir que un atacante o una aplicación escale sus privilegios para obtener acceso de root a un dispositivo vulnerable y potencialmente tomar el control remoto completo del dispositivo.

Equipos Android Vulnerables

La vulnerabilidad reside en versiones de kernel de Android lanzados antes de abril del año pasado, el parche fue incluido en el 4.14 LTS del kernel de Linux lanzado en diciembre del 2017, pero fue incorporado en AOSP con version de kernel 3.18, 4.4 y 4.9.

Por lo que la mayoría de los dispositivos Android fabricados y vendidos por la mayoría de los proveedores con el núcleo no parcheado aún son vulnerables a esta vulnerabilidad incluso después de tener las últimas actualizaciones de Android, incluidos los modelos de teléfonos inteligentes populares que se enumeran a continuación:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Teléfonos Oreo LG
  • Samsung S7
  • Samsung S8
  • Samsung S9

La vulnerabilidad puede ser explotada de forma remota

De acuerdo con los investigadores desde la aparición de vulnerabilidad de Chrome “accesible from inside the Chrome sandbox”, la debilidad del compilador de kernel de Android puede ser explotada de forma remota combinando estas 2 vulnerabilidades.

El error es una vulnerabilidad de escalada de privilegios locales que permite el compromiso total de un dispositivo vulnerable. Si el exploit se entrega a través de la Web, solo necesita ser emparejado con un exploit de renderizado, ya que esta vulnerabilidad es accesible a través del sandbox“. dice Stone en el Chromium blog.

He adjuntado una prueba de concepto de explotación local para demostrar cómo se puede usar este error para obtener lectura / escritura arbitraria del núcleo cuando se ejecuta localmente. Solo requiere la ejecución de código de aplicación no confiable para explotar CVE-2019-2215. I ‘ también adjunté una captura de pantalla (success.png) del POC que se ejecuta en un Pixel 2, con Android 10 con nivel de parche de seguridad en septiembre de 2019 “.

El parche de seguridad estará disponible próximamente

Aunque Google lanzará un parche para esta vulnerabilidad en su Boletín de seguridad de Android de octubre en los próximos días y también notificó a los OEM, la mayoría de los dispositivos afectados probablemente no recibirían el parche de inmediato, a diferencia de Google Pixel 1 y 2.

Este problema está calificado como de alta gravedad en Android y por sí solo requiere la instalación de una aplicación maliciosa para su posible explotación. Cualquier otro vector, como a través del navegador web, requiere encadenarse con un exploit adicional“, dijo el equipo de seguridad de Android en un comunicado.

Hemos notificado a los socios de Android, y el parche está disponible en el kernel común de Android. Los dispositivos Pixel 3 y 3a no son vulnerables, mientras que los dispositivos Pixel 1 y 2 recibirán actualizaciones para este problema como parte de la actualización de octubre“.

Referencias:

https://www.muyseguridad.net/2019/10/07/nuevo-0-day-para-android/

https://thehackernews.com/2019/10/android-kernel-vulnerability.html

https://www.pcworld.com/article/3444238/zero-day-android-exploit-pixel-galaxy-huawei-lg-patch.html

https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/

https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/

¡Primeros ciberataques masivos de BlueKeep!

Investigadores en ciberseguridad han descubierto un nuevo ciberataque que se cree es el primer intento de explotar la famosa vulnerabilidad de escritorio remoto “BlueKeep” de forma masiva, esto podría comprometer en masa los sistemas vulnerables para obtener recompensas en criptomonedas, como en este momento está sucediendo en Europa, como con La Ser, Everis y otras empresas.

En mayo de este año, Microsoft lanzó un parche de alta criticidad de ejecución de código remoto, el cual llamaron BlueKeep, la vulnerabilidad de servicio de escritorio remoto puede ser explotada para lograr el control absoluto de los sistemas vulnerables simplemente enviando solicitudes especialmente diseñadas sobre RDP.

BlueKeep, categorizado como CVE-2019-0708, es una vulnerabilidad empotrable en un gusano o un posible malware para propagarse automáticamente de una computadora vulnerable a otra sin requerir la interacción de las víctimas.

BlueKeep ha sido considerado una vulnerabilidad tan grave que Microsoft e incluso a nivel gubernamental como la NSA o la GCHQ han estado continuamente advirtiendo y alentando a usuarios y administradores a cargar los parches de seguridad en sus sistemas.

Incluso varios investigadores y marcas que han logrado explotar esta vulnerabilidad con éxito sin llegar a publicar el desarrollo, ya que casi un millón de sistemas seguían vulnerables pasado un mes del lanzamiento de los parches de seguridad.

Es por esto que los hackers aficionados tardaron casi seis meses en encontrar un exploit BlueKeep que todavía no es confiable y ni siquiera tiene un componente que sea empotrable en un gusano.

El exploit de BlueKeep extiende malware que pide recompensa.

La explotación de BlueKeep fue especulada por primera vez por Kevin Beaumont, el sábado cuando sus múltiples sistemas de honeypot EternalPot RDP se bloquearon y se reiniciaron repentinamente.

Marcus Hutchins, el investigador que a detener el ya conocido WannaCry ransomware outbreak el 2017, luego analizó los volcados de memoria compartidos por Beaumont y confirmó “artefactos BlueKeep en la memoria y el código de shell para lanzar un Monero Miner (método de pago)”.

En una publicación de blog, Hutchins dijo: “Finalmente, confirmamos que este segmento [en un volcado de memoria] apunta a un shellcode ejecutable. En este punto, podemos afirmar intentos de explotación de BlueKeep válidos, ¡con un shellcode que incluso coincide con el del módulo BlueKeep en Metasploit! “.

El exploit contiene comandos PowerShell como carga inicial, el cual podría descargar el binario con código malicioso de un atacante remoto y ejecutarlo en la maquina objetivo.

Según el servicio Google’s VirusTotal malware scanning, el binario malicioso el binario malicioso es un malware de criptomonedas que extrae Monero (XMR) utilizando la potencia informática de los sistemas infectados para generar ingresos para los atacantes.

Pero esto no es un ataque de gusano

Hutchins confirma que el malware no contiene ninguna extensión con capacidad de saltar de un sistema a otro y también aparecen varios atacantes que primero buscan en internet sistemas vulnerables para luego explotarlos.

En otras palabras, sin un componente que permita al malware pasar de un computador a otro, el atacante está forzado a intentar ataques a sistemas públicos que sean vulnerables, no así a sistemas conectados entre si dentro de una misma red.

Aunque hacker mas experimentados podrían tener exploits para BlueKeep para comprometer sigilosamente a las víctimas, afortunadamente, la falla aún no se ha explotado a mayor escala, como WannaCry o NotPetyaataques maliciosos, como se especuló inicialmente.

De todas formas, de un tiempo hasta esta parte no es claro cuantos sistemas con Windows vulnerables han estado comprometidos en los últimos ataques que piden recompensa por medio de Monero Miner.

¿Que te podemos recomendar para protegerte?

Primero que todo, instalar las actualizaciones o los parches de seguridad que Windows lanzó para tu sistema operativo, estos los puedes descargar en los siguientes links:

Si no es posible solucionar la vulnerabilidad en su organización, puede tomar estas mitigaciones:

  • Deshabilite los servicios RDP, si no es necesario.
  • Bloquee el puerto 3389 utilizando un firewall o hágalo accesible solo a través de una VPN privada.
  • Habilitar la autenticación de nivel de red (NLA): esta es una mitigación parcial para evitar que cualquier atacante no autenticado explote esta falla Wormable.

Referencas:

https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/

https://thehackernews.com/2019/11/bluekeep-rdp-vulnerability.html

https://www.elespanol.com/omicrono/software/20191104/ciberataque-europa-everis-empresas-bloqueadas-ransomware/441956113_0.html

https://www.elmundo.es/tecnologia/2019/11/04/5dc01412fc6c839d6d8b4658.html

https://www.seguridadyfirewall.cl/2019/11/descubren-ataque-masivo-de-bluekeep.html

https://www.genbeta.com/seguridad/ataques-ransomware-siguen-aumentando-equipos-vulnerables-que-usan-versiones-viejas-windows

https://www.adslzone.net/2019/11/04/bluekeep-ransomware-cadena-ser/

Nuevos ataques con ransomware dirigidos a grandes compañías españolas

Everis, una de las consultoras TI más grandes de España, fue víctima de un ciberataque en la madrugada de este lunes obligándolos a apagar todos sus sistemas hasta solucionar el problema de raíz.

Un ransomware es un virus informático que encripta los datos e infectan el sistema hasta el pago de una recompensa.

Según medios locales, Everis informó a sus empleados del devastador ataque de ransomware diciendo:

Estamos sufriendo un ataque masivo de virus en la red Everis. Por favor, mantenga las PC apagadas. La red se ha desconectado con clientes y entre oficinas. Lo mantendremos actualizado“.

Por favor, transfiera urgentemente el mensaje directamente a sus equipos y colegas debido a problemas de comunicación estándar“.

De acuerdo a un consultor español de ciberseguridad, el malware cifró archivos en las computadoras de Everis con un nombre de extensión similar al nombre de la compañía, es decir, ” .3v3r1s “, lo que sugiere que el ataque fue muy selectivo.

En este momento se desconoce de cual familia proviene el ransomware utilizado para infectar la compañía, pero los atacantes detrás del ataque demandan el pago de 750.000 euros (equivalente a unos 835.000 USD) como recompensa por desencriptar los datos.

De todos modos, considerando la criticidad de la naturaleza del ataque, el fundador de en un tweet sugiere que  el tipo de ransomware podría ser BitPaymer / IEncrypt , el mismo malware que recientemente se descubrió que explota una vulnerabilidad de día cero en el software iTunes e iCloud de Apple.

Este es el mensaje del ransomware que se desplegó en las pantallas de los equipos infectados de la compañía.

Hi Everis, your network was hacked and encrypted.

No free decryption software is available on the web.

Email us at sydney.wiley@protonmail.com or evangelina.mathews@tutanota.com to get the ransom amount.

Keep our contacts safe.

Disclosure can lead to the impossibility of decryption.

¿Qué más? Al parecer Everis no es la única compañía que ha sufrido este ataque de ransomware esta madrugada.

Otras compañías españolas y europeas han reportado ser víctimas de un ransomware de similares características en el mismo periodo de tiempo,  del cual la red nacional de radio La Cadena SER ha confirmado el ataque cibernético.

La cadena SER ha sufrido esta mañana un ataque de un virus informático del tipo ransomware, encriptador de archivos, que ha tenido una afectación grave y generalizada de todos sus sistemas informáticos“, dijo la compañía.

Siguiendo el protocolo establecido en los ataques cibernéticos, el SER ha visto la necesidad de desconectar todos sus sistemas informáticos operativos“.

La compañía también ha informado que “los técnicos ya se encuentran trabajando en la recuperación de cada una de sus estaciones”.

Hasta el momento no está claro si las personas detrás de los ataques con este ransomware son los mismos, cómo el malware se infiltró en las compañías en primer lugar y si contenía capacidades para propagarse con éxito a través de la red.

Aunque no esta confirmado, personas relacionadas a estos incidentes sospechan que los atacantes utilizaron vulnerabilidad critica de escritorio remoto BlueKeep para deshabilitar los servidores de la compañía, cuya primera actividad de explotación masiva se vio hace unos días atrás.

Mientras tanto, el Departamento de Seguridad Nacional de España también emitió una advertencia sobre el ciberataque en curso y recomendó a los usuarios que sigan prácticas básicas de seguridad como mantener sus sistemas actualizados y tener una copia de seguridad adecuada de sus datos importantes.

Referencias:

https://www.lavanguardia.com/tecnologia/20191104/471372667264/ciberataque-ransomware-virus-seguridad-nacional-ser-everis-accenture.html

https://www.xataka.com/seguridad/ciberataque-ransomware-deja-ko-sistemas-cadena-ser-everis

https://hipertextual.com/2019/11/everis-cadena-ser-ransomware-bitcoin

https://thehackernews.com/2019/11/everis-spain-ransomware-attack.html

https://www.infobae.com/america/tecno/2019/11/04/la-cadena-ser-y-everis-victima-de-un-ciberataque-que-derivo-en-el-secuestro-y-cifrado-de-archivos/

https://www.elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/

https://www.muycomputerpro.com/2019/11/04/everis-accenture-kpmg-cadena-ser-ciberataque

El ataque Simjacker es más peligroso de lo que se pensaba

Serían mas de mil millones de tarjetas SIM afectadas por esta vulnerabilidad.

Hace poco tiempo publicamos un artículo acerca del ataque denominado Simjacker, el cual se demostró de ser capaz de ser explotado de forma silenciosa mediante SMS creados específicamente para ejecutar comandos en el teléfono víctima.

Recapitulando, la vulnerabilidad Simjacker reside en el conjunto de instrucciones de S@T Browser, el cual viene incorporado en una larga variedad de tarjetas SIM, incluyendo eSIM, provistas por operadores de telefonía móvil en al menos 30 países.

Continuar leyendo

Vulnerabilidad SIMjacker ha rastreado y espiado a usuarios de teléfonos móviles por años

Investigadores de seguridad descubre un ataque basado en método SMS para rastrear y espiar a los usuarios de teléfonos móviles.

“Estamos seguros de que el desarrollo del ataque fue realizado por una compañía privada que trabaja directamente con gobiernos para monitorear personas.” Aseguran los investigadores de AdaptiveMobile Security.

“Creemos que esta vulnerabilidad ha sido explotada por al menos 2 años por un altamente sofisticado sistema de ataque en varios países, principalmente con fines de vigilancia”.

Los investigadores describen el ataque como “Un gran salto en complejidad y sofisticación”, comparado con los ataques realizados a redes móviles anteriormente y es considerable el escalamiento en las habilidades de los atacantes.

Como funciona SIMjacker

Todo comienza con un atacante utilizando un Smartphone con un modem GSM o cualquier servicio A2P para enviar mensajes de texto a sus víctimas.

Estos mensajes SMS contienen instrucciones ocultas de SIM Toolkit (STK) que son compatibles con el navegador S @ T de un dispositivo, una aplicación que reside en la tarjeta SIM, en lugar del teléfono.

El navegador S@T y el STK son una tecnología de hace ya varios años compatible con algunas redes móviles y sus tarjetas SIM. Se pueden usar para activar acciones en un dispositivo, como iniciar navegadores, reproducir sonidos o mostrar ventanas emergentes. Antiguamente, los operadores usaban estos protocolos para enviar a los usuarios ofertas promocionales.

Pero AdaptiveMobile dijo que el ataque SIMjacker abusa de este mecanismo para recuperar archivos, la localización e incluso el IMEI de los dispositivos de las víctimas, todo esto lo realiza a través de un mensaje de texto SMS.

Solo para empeorar las cosas el SIMjacker es completamente silencioso sin dejar ningún registro de estos mensajes en el equipo, por lo que las víctimas están expuestas durante largos periodos, por lo que se registra su ubicación.

Además, debido a que Simjack explota una tecnología que reside en la tarjeta SIM, el ataque también funciona independientemente del tipo de dispositivo del usuario.

“Hemos observado que los dispositivos de casi todos los fabricantes están dirigidos con éxito para recuperar la ubicación: Apple, ZTE, Motorola, Samsung, Google, Huawei e incluso dispositivos IoT con tarjetas SIM”, dijeron los investigadores. La única buena noticia es que el ataque no se basa en mensajes SMS regulares, sino en códigos binarios más complejos, entregados como SMS, lo que significa que los operadores de red deberían poder configurar su equipo para bloquear dichos datos que atraviesan sus redes y llegan a los dispositivos del cliente.

Referencias:

https://www.cyberscoop.com/simjacker-mobile-phone-vulnerability/

https://www.abc.es/tecnologia/redes/abci-simjacker-solo-puede-hackearte-movil-y-espiar-ubicacion-201909140159_noticia.html

https://www.xatakamovil.com/seguridad/asi-simjacker-vulnerabilidad-tarjetas-sim-que-permite-conocer-ubicacion-usuario-todo-momento

https://www.zdnet.com/article/new-simjacker-attack-exploited-in-the-wild-to-track-users-for-at-least-two-years/

https://www.xataka.com/seguridad/simjacker-ultima-pesadilla-para-nuestra-privacidad-revela-tu-ubicacion-da-igual-que-tengas-movil-android-ios

Microsoft lanza un parche de emergencia para vulnerabilidad 0 day de Internet Explorer y Windows Defender

Microsoft lanza un parche de seguridad de emergencia para 2 nuevas vulnerabilidades, una de ellas es crítica y está siendo explotada en estos momentos por ciber criminales a través de Internet Explorer.

Descubierta y asignada al CVE-2019-1367 por Clément Lecigne de Google’s Threat Analysis Group, la vulnerabilidad permite ejecutar código de forma remota manipulando objetos en la memoria del equipo por medio de Internet Explorer.

Esta manipulacion de información podría llevar a tomar el control absoluto de la máquina, solo visitando un sitio web especialmente diseñado en Internet Explorer.

Un atacante que explotó con éxito la vulnerabilidad, podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de administrador, un atacante podría tomar el control de un sistema afectado“, indica Microsoft.

Esta vulnerabilidad afecta directamente a las versiones 9, 10 y 11 de Internet Explorer y aunque lo ideal es que los usuarios estén constantemente actualizando el software, es altamente recomendable utilizar un browser más seguro, como Google Chrome o Mozilla Firefox.

Según Microsoft esta vulnerabilidad esta siendo explotada en este momento, pero no revela detalles de la forma en la que se lleva acabo la explotación.

Microsoft también lanzó una segunda actualización de seguridad para parchar una vulnerabilidad de denegación de servicio (DoS) en Microsoft Defender, un motor antimalware que esta incluido en Windows 8 y versiones posteriores del sistema operativo.

Descubierta y asignada a CVE-2019-1255 por Charalampos Billinis de F-Secure and Wenxu Wu of Tencent Security Lab, la vulnerabilidad reside en la forma en que Microsoft Defender maneja los archivos y existe en las versiones de Microsoft Malware Protection Engine hasta 1.1.16300.1.

De acuerdo a lo publicado por Microsoft un atacante que explote esta vulnerabilidad exitosamente puede evitar que cuentas autorizadas, ejecuten binarios legítimos en el sistema, pero para explotar esta falla, el atacante “primero requeriría la ejecución en el sistema de la víctima“.

La actualización de seguridad para Microsoft Defender es automática y por lo tanto, se aplicará a través del motor de protección contra malware de Microsoft. La falla se ha solucionado en el motor de protección contra malware de Microsoft versión 1.1.16400.2, por lo que se recomienda actualizar lo antes posible.

Referencias

https://thenextweb.com/security/2019/09/24/microsoft-issues-emergency-windows-patch-to-address-internet-explorer-zero-day-flaw/
https://www.computerworld.com/article/3440741/microsoft-releases-emergency-ie-patches-inside-optional-non-security-cumulative-updates.html
https://thehackernews.com/2019/09/windows-update-zero-day.html
https://www.infosecurity-magazine.com/news/microsoft-issues-emergency-patch-1/
https://techcrunch.com/2019/09/24/microsoft-emergency-patch-windows/
https://www.bbc.com/news/technology-49809453
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/

Lilocked (Lilu) Ransomware infecta a miles de servidores web

Un ransomware relativamente nuevo llamado Lilocked por los investigadores y Lilu por los desarrolladores, se encuentra encriptando datos en servidores web. Todos los servidores infectados conocidos son sitios web, lo que provoca que los archivos encriptados se encuentren fácilmente en resultados de búsqueda de Google.

El primer reporte de Lilu fue realizado el día 26 de julio del 2019 en un articulo llamado “The Week in Ransomware” donde Michael Gillespie encontró una muestra subida a su servicio ID Ransomware. Fue nuevamente descubierto por el experto en seguridad Benkow quien lo publicó a través de tweeter. Google reporta mas de 6.000 resultados de sitios web encriptados y con sus archivos renombrados con extensión .lilocked, provocado por este ransomware.

Además, las estadísticas de envíos de ID Ransomware muestran que esta infección tiene un volumen bajo pero constante, de envíos al servicio de identificación de ransomware.

No se sabe si Lilu se dirige específicamente a los servidores web, pero la mayoría de los archivos enviados vistos encontrados están relacionados con sitios web. Al revisar los archivos enviados, no parece haber un patrón como WordPress, Magento u otros sitios de CMS comúnmente pirateados.

Lo que se conoce hasta este momento de la encriptación de datos por Lilu, no es mucho ya que aun no se encuentra alguna muestra de como trabaja internamente es ransomware. Según la poca información que hay podemos asegurar que cuando una maquina es infectada, encripta los archivos cambiando el nombre del archivo por su extension .lilocked. Un ejemplo de esto seria , apple-icon.png seria encriptado y renombrado como apple-icon.png.lilocked.

Para cada carpeta infectada Lilocked deja una nota llamada #README.lilocked.

La nota #README.lilocked informa a la víctima que sus datos an sido encriptados y que se dirijan al sitio de pago de tor de la banda para poder pagar la recompensa requerida, en este archivo va incluido una llave necesaria para el login del sitio de pago.

Si la víctima entra al sitio muestra un formulario donde tiene que ingresar la llave entregada.

Una vez ingresada la llave, se despliega un mensaje de como pagar la recompensa, esta esta en bitcoins (0.010 BTC) que equivalen aproximadamente a 100 USD que es lo que demanda la banda.

Hasta este momento no se conoce una forma efectiva de desencriptar los archivos,  también se descubrió ­­­­­­el correo asociado al ataque.

Referencias:

https://www.zdnet.com/article/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware/

https://www.notebookcheck.net/Lilu-Lilocked-ransomware-has-now-infected-thousands-of-Linux-servers.434547.0.html

https://blog.knowbe4.com/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware

https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/

https://www.linuxadictos.com/lilu-nuevo-ransomware-infecta-miles-de-servidores-basados-en-linux.html

Exploit de Bluekeep disponible en MetaSploit

Un exploit público de Bluekeep fue añadido al framework de pentesting open-source MetaSploit, desarrollado por Rapid7 junto a la comunidad open-source.

Bluekeep es una vulnerabilidad que permite la ejecución remota de código (RCE) descubierta en el protocolo de escritorio remoto de Windows (RPD) la cual permite que un atacante sin autenticar ejecute código arbitrariamente, realice ataques de denegación de servicio, y en algunos casos, tomar el control total de sistemas sin parchar.

Este exploit recién liberado utiliza código de la prueba de concepto de los contribuidores de Metasploit zǝɹosum0x0 y Ryan Hanson, está diseñado para afectar versiones de WIndows 7 y Windows 2008 R2 de 64 bits.

El gerente de ingenieros senior de MetaSploit, Brent Cook, indicó que por defecto, este exploit sólo identifica el sistema operativo del objetivo e indica si es o no vulnerable a Bluekeep. También apuntó a que este exploit no soporta automatización de objetivo sino que requiere que el usuario especifique manualmente los detalles del objetivo antes de intentar cualquier explotación.

zǝɹosum0x0 manifestó que toda la información requerida para explotar esta vulnerabilidad ya ha sido filtrada las semanas anteriores y existen al menos una docena de exploits privados anunciados. Ha sido una preocupación por muchos meses el parchado de esta vulnerabilidad, y al igual que otras fallas de windows que se pueden incluir en un gusano, posiblemente será una preocupación en los años venideros.

La publicación de este exploit sigue a un incrementado número de ataques que apuntan a los servicios RDP, con BinaryEdge detectando actualmente más de 1.000.000 de sistemas sin parchar expuestos en internet. Shodan a su vez tiene un dashboard con estadísticas por país afectado.

El exploit hace uso de una librería RDP de propósito general con mejoras, también tiene capacidades aumentadas para reconocimiento de RDP, las cuales benefician a los usuarios y contribuidores más allá del contexto de búsqueda y explotación de BlueeKeep. Si un IPS interrumpe el progreso del exploit de BlueKeep al detectar una firma de payload contra un sistema sin parchar, la desconexión causaría un error fatal en el objetivo, ya que el código del exploit se gatilla por una desconexión de red.

Otros exploits de BlueKeep

La herramienta CANVAS de la empresa Immunity agregó un exploit completamente funcional de BlueeKeep el 23 de julio, este es un exploit completo y no se limita a verificar la vulnerabilidad.

El parche para esta vulnerabilidad fue publicado por Microsoft el 14 de mayo de este año, este parche se puede descargar para cada versión de Windows desde https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708.

Además Microsoft publicó otros parches para vulnerabilidades de RDP en agosto de este año, los cuales se encuentran disponibles en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181 y https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

Juan Pablo Tosso, Gerente de ciberseguridad avanzada de Makros:
Bluekeep es una vulnerabilidad crítica que dada su alta explotabilidad, ha sido manejada de forma hermética en la comunidad de ciberseguridad. Pese a que desde hace ya varios meses existen POCs y documentación suficiente para elaborar exploits funcionales, el alto nivel de conocimiento técnico en ingeniería reversa necesario para aprovechar esta vulnerabilidad ha evitado que script kiddies desaten el caos en internet.
La publicación de este exploit probablemente dé inicio a la creación de nuevos ransomware y una explotación masiva a servicios públicos vulnerables, por lo tanto el parchado se debe realizar inmediatamente.

Para estos casos Makros cuenta con un servicio de gestión de vulnerabilidades proactivo, el cual apoya en la detección y la mitigación.

También es recomendable implementar el módulo Sophos Exploit Prevention, disponible para Sophos Enterprise Console. Éste módulo activa las protecciones de anti-exploit, Cryptoguard, y tecnología Clean en el agente.

Fuentes:
https://www.bleepingcomputer.com/news/security/public-bluekeep-exploit-module-released-by-metasploit/
https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/
https://blog.firosolutions.com/exploits/bluekeep/
https://www.cyber.gov.au/news/acsc-confirms-public-release-bluekeep-exploit
https://nakedsecurity.sophos.com/2019/07/26/bluekeep-guides-make-imminent-public-exploit-more-likely/
https://nakedsecurity.sophos.com/2019/07/01/rdp-bluekeep-exploit-shows-why-you-really-really-need-to-patch/
https://www.computerworld.com/article/3436857/heads-up-a-free-working-exploit-for-bluekeep-just-hit.html
https://www.welivesecurity.com/la-es/2019/06/10/bluekeep-vulnerabilidad-tiene-vilo-industria-seguridad/
https://github.com/rapid7/metasploit-framework/pull/12283