Archivo mensual: Septiembre 2019

Exploit de Bluekeep disponible en MetaSploit

Un exploit público de Bluekeep fue añadido al framework de pentesting open-source MetaSploit, desarrollado por Rapid7 junto a la comunidad open-source.

Bluekeep es una vulnerabilidad que permite la ejecución remota de código (RCE) descubierta en el protocolo de escritorio remoto de Windows (RPD) la cual permite que un atacante sin autenticar ejecute código arbitrariamente, realice ataques de denegación de servicio, y en algunos casos, tomar el control total de sistemas sin parchar.

Este exploit recién liberado utiliza código de la prueba de concepto de los contribuidores de Metasploit zǝɹosum0x0 y Ryan Hanson, está diseñado para afectar versiones de WIndows 7 y Windows 2008 R2 de 64 bits.

El gerente de ingenieros senior de MetaSploit, Brent Cook, indicó que por defecto, este exploit sólo identifica el sistema operativo del objetivo e indica si es o no vulnerable a Bluekeep. También apuntó a que este exploit no soporta automatización de objetivo sino que requiere que el usuario especifique manualmente los detalles del objetivo antes de intentar cualquier explotación.

zǝɹosum0x0 manifestó que toda la información requerida para explotar esta vulnerabilidad ya ha sido filtrada las semanas anteriores y existen al menos una docena de exploits privados anunciados. Ha sido una preocupación por muchos meses el parchado de esta vulnerabilidad, y al igual que otras fallas de windows que se pueden incluir en un gusano, posiblemente será una preocupación en los años venideros.

La publicación de este exploit sigue a un incrementado número de ataques que apuntan a los servicios RDP, con BinaryEdge detectando actualmente más de 1.000.000 de sistemas sin parchar expuestos en internet. Shodan a su vez tiene un dashboard con estadísticas por país afectado.

El exploit hace uso de una librería RDP de propósito general con mejoras, también tiene capacidades aumentadas para reconocimiento de RDP, las cuales benefician a los usuarios y contribuidores más allá del contexto de búsqueda y explotación de BlueeKeep. Si un IPS interrumpe el progreso del exploit de BlueKeep al detectar una firma de payload contra un sistema sin parchar, la desconexión causaría un error fatal en el objetivo, ya que el código del exploit se gatilla por una desconexión de red.

Otros exploits de BlueKeep

La herramienta CANVAS de la empresa Immunity agregó un exploit completamente funcional de BlueeKeep el 23 de julio, este es un exploit completo y no se limita a verificar la vulnerabilidad.

El parche para esta vulnerabilidad fue publicado por Microsoft el 14 de mayo de este año, este parche se puede descargar para cada versión de Windows desde https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708.

Además Microsoft publicó otros parches para vulnerabilidades de RDP en agosto de este año, los cuales se encuentran disponibles en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181 y https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

Juan Pablo Tosso, Gerente de ciberseguridad avanzada de Makros:
Bluekeep es una vulnerabilidad crítica que dada su alta explotabilidad, ha sido manejada de forma hermética en la comunidad de ciberseguridad. Pese a que desde hace ya varios meses existen POCs y documentación suficiente para elaborar exploits funcionales, el alto nivel de conocimiento técnico en ingeniería reversa necesario para aprovechar esta vulnerabilidad ha evitado que script kiddies desaten el caos en internet.
La publicación de este exploit probablemente dé inicio a la creación de nuevos ransomware y una explotación masiva a servicios públicos vulnerables, por lo tanto el parchado se debe realizar inmediatamente.

Para estos casos Makros cuenta con un servicio de gestión de vulnerabilidades proactivo, el cual apoya en la detección y la mitigación.

También es recomendable implementar el módulo Sophos Exploit Prevention, disponible para Sophos Enterprise Console. Éste módulo activa las protecciones de anti-exploit, Cryptoguard, y tecnología Clean en el agente.

Fuentes:
https://www.bleepingcomputer.com/news/security/public-bluekeep-exploit-module-released-by-metasploit/
https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/
https://blog.firosolutions.com/exploits/bluekeep/
https://www.cyber.gov.au/news/acsc-confirms-public-release-bluekeep-exploit
https://nakedsecurity.sophos.com/2019/07/26/bluekeep-guides-make-imminent-public-exploit-more-likely/
https://nakedsecurity.sophos.com/2019/07/01/rdp-bluekeep-exploit-shows-why-you-really-really-need-to-patch/
https://www.computerworld.com/article/3436857/heads-up-a-free-working-exploit-for-bluekeep-just-hit.html
https://www.welivesecurity.com/la-es/2019/06/10/bluekeep-vulnerabilidad-tiene-vilo-industria-seguridad/
https://github.com/rapid7/metasploit-framework/pull/12283

Google descubre que solo visitando algunos sitios los IPhones fueron hackeados durante años

Si, tu IPhone puede ser hackeado solo visitando un sitio que aparentemente es inofensivo, investigadores de Google publicaron un descubrimiento terrorífico.

La historia se remonta a una cadena de ataques generalizados para iPhone, que los investigadores de ciberseguridad del proyecto “Cero” de Google descubrieron a principios de este año, esto se logra implantando un spyware en los últimos 5 exploits de jailbreaking remoto existentes para IPhone.

Estos exploits, los cuales explotan un total de 14 vulnerabilidades del sistema operativo iOS mobile, de las cuales 7 residen en el browser de la marca “Safari”, 5 en el kernel del sistema operativo y 2 fallas en sandbox, los objetivos eran casi todas las versiones de iOS entre “iOS 10” hasta la mas reciente “iOS 12”.

Según la publicación realizada por el investigador del Proyecto Cero “Ian Beer”, solo dos de las 14 vulnerabilidades de seguridad eran zero-days, CVE-2019-7287 y CVE-2019-7286 sin parches en el momento del descubrimiento y sorprendentemente la cadena de ataque permaneció sin ser detectada durante al menos dos años.

Aun que los detalles técnicos de estas 2 vulnerabilidades no estaban disponibles, estas fueron publicadas en febrero luego de el lanzamiento de la versión 12.1.4 de iOS.

Reportamos estos problemas a Apple con un plazo de 7 días el 1 de febrero de 2019, lo que resultó en el lanzamiento de iOS 12.1.4 el 7 de febrero de 2019. También compartimos los detalles completos con Apple, que fueron revelados públicamente el 7 de febrero de 2019 “, dice Beer.

Ahora los investigadores de Google explican, el ataque comenzó a través de una pequeña cantidad de sitios hackeados con miles de visitas por semana, dirigidos a todos los usuarios de iOS que visitan esos sitios web sin discriminación alguna.

Simplemente visitar el sitio pirateado fue suficiente para que el servidor exploit ataque su dispositivo y si fue exitoso, ya se intaló un monitoreo“, dice Beer.

Una vez que el usuario de Iphone visite un sitio corrompido a través de Safari, se activa el exploits WebKit que realiza una escalada de privilegios hasta obtener un acceso mas alto de acceso en la raiz del dispositivo.

Los exploits del iPhone se usaron para implementar un implante diseñado principalmente para robar archivos como iMessages, fotos y datos de ubicación de GPS en vivo de los usuarios, y subirlos a un servidor externo cada 60 segundos.

No hay un indicador visual en el dispositivo de que el implante se está ejecutando. No hay forma de que un usuario en iOS vea una lista de procesos, por lo que el binario del implante no intenta ocultar su ejecución del sistema“, explica Beers.

El implante de software espía también robó los archivos de la base de datos del dispositivo de la víctima que utilizan las populares aplicaciones de cifrado de extremo a extremo como Whatsapp, Telegram e iMessage para almacenar datos, incluidos los chats privados en texto sin formato.

Además, el implante también tenía acceso a los datos del llavero del dispositivo de los usuarios que contenían credenciales, tokens de autenticación y certificados utilizados en y por el dispositivo.

El llavero también contiene los tokens de larga duración utilizados por servicios como el inicio de sesión único de iOS de Google para permitir que las aplicaciones de Google accedan a la cuenta del usuario. Estos se cargarán a los atacantes y luego se pueden usar para mantener el acceso al usuario Cuenta de Google, incluso una vez que el implante ya no se está ejecutando “, dice Beers.

Si bien el implante se eliminaría automáticamente de un iPhone infectado al reiniciar, sin dejar rastro de sí mismo, visitar el sitio pirateado nuevamente reinstalaría el implante.

Alternativamente, como explica Beer, los atacantes pueden “mantener un acceso persistente a varias cuentas y servicios mediante el uso de tokens de autenticación robados del llavero, incluso después de perder el acceso al dispositivo“.

Referencias:

https://unaaldia.hispasec.com/2019/08/iphone-zero-days-un-nuevo-spyware-de-altas-capacidades-puede-monitorizar-toda-la-vida-digital-de-las-personas.html

https://www.cbsnews.com/news/google-iphone-hack-discovered-mass-ios-hacking-attack-sustained-over-at-least-two-years-2019-08-30/

https://www.thesun.co.uk/tech/9826781/google-iphone-hacked-websites-how/

https://thehackernews.com/2019/08/hacking-iphone-ios-exploits.html

https://www.newsweek.com/has-your-iphone-been-hacked-google-malware-apple-ios-cybersecurity-1456983

https://www.cnet.com/news/google-says-iphone-security-flaws-let-websites-hack-them-for-years/

https://www.theguardian.com/technology/2019/aug/30/hackers-monitoring-implants-iphones-google-says

Violación de firewall de Imperva, expone datos de sus clientes incluyendo certificados SSL y llaves de APIs.

Imperva, una de las startups lideres en ciberseguridad cuya misión es ayudar a empresas a proteger información crítica y aplicaciones de ciberataques, fue víctima de una filtración de información delicada significativa en algunos de sus clientes.

La filtración de información, afecta principalmente a clientes de Imperva Cloud Web Application Firewall (WAF), anteriormente conocido como Incapsula, un servicio CDN centrado en la seguridad, conocido por su mitigación de DDoS y características de seguridad de aplicaciones web que protegen los sitios web de actividades maliciosas.

En una publicación realizada en el blog de la compañía, realizada por Chris Hylen CEO (Chief Executive Officer) de Imperva, reveló que la compañía se enteró del incidente el 20 de agosto de 2019, solo después de que alguien informara sobre la exposición de datos que “afecta a un subconjunto de clientes de su producto Cloud WAF, que tenían cuentas hasta el 15 de septiembre de 2017 “.

La información expuesta incluye direcciones de correo electrónico y contraseñas de todos los clientes de Cloud WAF quienes fueron registrados antes del 15 de septiembre del 2017, así como claves API y certificados SSL proporcionados por el cliente para un subconjunto de usuarios.

Activamos nuestro equipo y protocolo interno de respuesta de seguridad de dato y continuamos investigando con toda la capacidad de nuestros recursos como ocurrió esta exposición“, dice la compañía.

Hemos informado a las agencias reguladoras globales apropiadas y contamos con asesoría de expertos forenses externos“.

La compañía aun no revela la forma en la que se produjo la filtración, si sus servidores se vieron comprometidos o si se dejaron sin seguridad accidentalmente en una base de datos mal configurada en Internet.

Imperva aun se encuentra investigando el incidente y aseguran que fueron informados todos los clientes que fueron directamente afectados y también está tomando medidas adicionales para aumentar su seguridad.

Lamentamos profundamente que este incidente haya ocurrido y continuaremos compartiendo actualizaciones en el futuro. Además, compartiremos los aprendizajes y las nuevas mejores prácticas que puedan surgir de nuestra investigación y las medidas de seguridad mejoradas con la industria en general“, dice la compañía.

Se recomienda a los usuarios de Cloud WAF que cambien las contraseñas de sus cuentas, implementen Single Sign-On (SSO), habiliten la autenticación de dos factores (2FA), generen y carguen nuevos certificados SSL y restablezcan sus claves API.

Referencias:

https://krebsonsecurity.com/2019/08/cybersecurity-firm-imperva-discloses-breach/

https://thehackernews.com/2019/08/imperva-waf-breach.html

https://unaaldia.hispasec.com/2019/08/fuga-de-informacion-en-cloud-web-application-firewall-de-imperva.html

Grupo de cibercriminales Silence APT apunta a nuevos mercados

Silence APT, es un grupo de cibercriminales de habla rusa, conocido por atacar en un comienzo principalmente a organizaciones financieras soviéticas, en este momento ha tomado un nuevo rumbo y se encuentra presente en mas de 30 países ubicados en América, Europa, África y Asia.

El famoso grupo se encuentra activos desde al menos septiembre del año 2016, el ataque exitoso mas reciente fue contra el Dutch-Bangla Bank con sede en Bangladesh, quienes perdieron mas de 3 millones en solo unos días, esto en efectivo girado desde cajeros automáticos.

De acuerdo a un nuevo reporte de la firma Group-IB, el grupo se ha expandido geograficamente de forma considerable en los últimos meses, aumentando la cantidad de ataques.

El reporte también describe al grupo como “hackers jóvenes altamente motivados” a uno de los grupos más sofisticados que ahora representa amenazas para los bancos de todo el mundo.

El grupo esta constantemente actualizando su TTP (tactics, technics and procedures) y cambiando sus alfabetos encriptados, textos y comandos bot y el módulo principal evadan la detección mediante herramientas de seguridad.

“Además, el actor ha reescrito completamente el cargador TrueBot, el módulo de primera etapa, del cual depende el éxito de todo el ataque del grupo. Los hackers también comenzaron a usar Ivoke y un agente EDA, ambos escritos en PowerShell”. dijeron los investigadores.

EDA es un agente de PowerShell, diseñado para controlar sistemas comprometidos mediante la realización de tareas a través del shell de comandos y el tráfico de túnel mediante el protocolo DNS, y se basa en los proyectos Empire y dnscat2.

Así como la mayoría de estos grupos, Silence también se basa en correos electrónicos de phishing con macros Docs o exploits, archivos CHM y atajos .LNK como archivos adjuntos maliciosos para comprometer a sus víctimas.

Para elegir sus objetivos, el grupo primero crea una “lista de objetivos” actualizada de direcciones de correo electrónico activas, mediante el envío de “correos electrónicos de reconocimiento”, que generalmente contienen una imagen o un enlace sin una carga maliciosa.

 “Estas campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. Desde nuestro último informe público, Silence ha enviado más de 170,000 correos electrónicos de reconocimiento a bancos en Rusia, la ex Unión Soviética, Asia y Europa “, según el informe.

“En noviembre de 2018, Silence trató de apuntar al mercado asiático por primera vez en su historia. En total, Silence envió alrededor de 80,000 correos electrónicos, con más de la mitad de ellos dirigidos a Taiwán, Malasia y Corea del Sur”.

Con los últimos ataques efectuados por Silence desde mayo del 2018 hasta el primero de agosto de este año, los investigadores describen el incremento del daño de sus operaciones, confirmaron que la cantidad de fondos robados por Silence se ha quintuplicado desde sus inicios.

Los investigadores también sospechan que los TrueBot (aka Silence.Downloader) y FlawedAmmyy, fueron desarrollados por la misma persona ya que ambos malware están firmados por el mismo certificado digital .

El FlawedAmmyy es un troyano de acceso remoto (RAT) asociado al TA505, otro grupo de habla rusa, responsable de varios ataques de larga escala, donde están involucrados varios ataques de correo electrónico altamente dirigidos, así como campañas masivas de mensajes multimillonarios desde al menos 2014.

“La creciente amenaza planteada por Silence y su rápida expansión global, nos llevaron a hacer públicos ambos informes para ayudar a los especialistas en ciberseguridad a detectar y atribuir correctamente los ataques mundiales de Silence en una etapa temprana”, dijeron los investigadores.

Group-IB no compartió los nombres de los bancos que son objetivos del mencionado grupo, pero afirmaron que el grupo atacó con éxito a los bancos en India (en agosto de 2018), Rusia (en febrero de 2019, el “Banco de TI” ruso), Kirguistán (en mayo de 2019 ), Rusia (en junio de 2019) y Chile, Ghana, Costa Rica y Bulgaria (en julio de 2019).

El grupo de investigadores ha detallado aun mas los ataques de Silence APT y lo ha plasmado en su informe titulado “Silence 2.0: Going Global”, a continuación les dejo un link al informe de Group-IB, por si quieren obtener más información.

https://www.group-ib.com/resources/threat-research/silence_2.0.going_global.pdf

Referencias:

https://www.group-ib.com/media/silence-attacks/

https://www.group-ib.com/resources/threat-research/silence-attacks.html

https://thehackernews.com/2019/08/silence-apt-russian-hackers.html

https://brica.de/alerts/alert/public/1266218/bangladesh-cyber-heist-20-silence-apt-goes-global/

https://itconnect.lat/portal/2019/07/03/silence-666/

Portal de Banco Central Europeo es bajado luego de ataque

El Banco Central Europeo confirmó este jueves que fue víctima de un ciberataque que involucró inyección de malware en uno de sus sitios, lo que conllevaría al robo de información de contacto de los suscriptores a las newsletter que emite esta entidad.

Con su casa central en Alemania, el Banco Central Europeo es el banco central de los 19 países de la Unión Europea que han adoptado el Euro como moneda, y a la vez es responsable de supervisar las prácticas para la protección de datos en el sistema bancario de estos países.

Continuar leyendo

Google revela vulnerabilidad de Windows presente hace 20 años

Un investigador de seguridad de google reveló detalles de una vulnerabilidad de alta severidad presente hace 20 años sin parchar en todas las versiones de Windows desde Windows XP hasta Windows 10.

El error se encuentra en la forma que los clientes MSCTF se comunican, permitiendo que un usuario con pocos privilegios o una aplicación de sandbox tenga acceso de lectura y escritura en una aplicación de nivel superior.

Continuar leyendo

Vulnerabilidades en HTTP/2 expone a millones de sitios a ataques DoS

En HTTP/2, la ultima version de protocolo de red HTTP se han encontrado múltiples vulnerabilidades de seguridad que afectan al web server mas popular, que incluye Apache, Microsoft´s IIS y NGINX.

Lanzado en mayo del 2015, HTTP/2 fue diseñado para mejorar la experiencia de navegación mejorando la velocidad de carga de las paginas y su seguridad. Al día de hoy mas de cien millones o un 40% de los sitios de internet están usando este nuevo protocolo.

Se encontraron un total de 8 vulnerabilidades graves en HTTP/2, siete de estas descubiertas por Jonathan Looney de Netflix y una por Piotr Sikora de Google, existen debido al agotamiento de los recursos cuando se manejan entradas maliciosas, lo que permite que un cliente sobrecargue el código de gestión de colas del servidor.

Estas vulnerabilidades son explotables en DoS (Denial of Service), esto podría afectar a los millones de servicios que están corriendo en un servidor web con la implementación HTTP/2.

¿Como es el ataque en términos simples?, básicamente es que un cliente malicioso le pide a un servidor vulnerable objetivo que haga algo que genere una respuesta, pero luego el cliente se niega a leer la respuesta, forzándolo a consumir memoria y CPU excesivas mientras procesa las solicitudes.

Estos defectos permiten una pequeña cantidad de sesiones maliciosas de bajo ancho de banda, esto para evitar que los participantes de la conexión realicen un trabajo adicional. Es probable que estos ataques agoten los recursos de manera que otras conexiones o procesos en la misma máquina también puedan verse afectados o bloquearse“, explica Netflix en un aviso publicado el martes.

La mayoría de las vulnerabilidades enumeradas a continuación funcionan en la capa de transporte HTTP / 2:

  • CVE-2019-9511 — HTTP/2 “Data Dribble”
  • CVE-2019-9512 — HTTP/2 “Ping Flood”
  • CVE-2019-9513 — HTTP/2 “Resource Loop”
  • CVE-2019-9514 — HTTP/2 “Reset Flood”
  • CVE-2019-9515 — HTTP/2 “Settings Flood”
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

Algunos son lo suficientemente eficientes como para que un único sistema final pueda causar estragos en varios servidores. Otros ataques son menos eficientes; sin embargo, incluso los ataques menos eficientes pueden abrir la puerta a ataques DDoS que son difíciles de detectar y bloquear“, señala el aviso.

De todas formas estas vulnerabilidades no permiten la modificación ni extracción de datos de contenidos en los servidores, solo se pueden utilizar para aplicar la técnica de DoS.

El equipo de seguridad de Netflix se asocio con Google y el centro de coordinación CERT para poder informar de manera responsable las vulnerabilidades a cada uno de los proveedores y mantenedores afectados por lo antes mencionado.

Según el CERT, los proveedores afectados incluyen NGINX , Apache , H2O , Nghttp2, Microsoft (IIS), Cloudflare , Akamai , Apple ( SwiftNIO), Amazon, Facebook (Proxygen), Node.js y Envoy proxy, muchos de los cuales ya han lanzado parches de seguridad y avisos.

Referencias:

https://thehackernews.com/2019/08/http2-dos-vulnerability.html

https://kb.cert.org/vuls/id/605641/

https://www.f5.com/labs/articles/threat-intelligence/denial-of-service-vulnerabilities-discovered-in-http-2

https://www.zdnet.com/article/severe-vulnerabilities-discovered-in-http2-protocol/

https://www.redeszone.net/2019/08/14/nuevas-vulnerabilidades-http2-explotar-servidores-no-parcheados/

http://sedici.unlp.edu.ar/handle/10915/68348

“MACHETE” el grupo secreto de hackers que roba GBs de archivos confidenciales al ejercito venezolano

Investigadores de la empresa de ciberseguridad “ESET” descubrieron una campaña especifica de ciber espionaje, cuyo propósito es robar documentos confidenciales de las Fuerzas Armadas venezolanas.

Ellos extraen archivos de tipo especializados utilizados por el software de sistemas de información geográfica (GIS)”, dijo Matias Porolli investigador de ESET.

Los atacantes se interesan específicamente en archivos que describen rutas de navegación y posicionamiento utilizando cuadrículas militares”.

Alrededor de un 75% de las infecciones de estos virus operados por Machete, están ubicados en Venezuela, esto junto a otras víctimas repartidas por Ecuador, Colombia y Nicaragua.

La primera documentación existente fue realizada por Kaspersky en 2014, el grupo “Machete ” esta activo desde el año 2010, enfocado en varios objetivos dentro de Latinoamérica. Pero al comienzo del 2019, ESET dijo que se ha centrado principalmente en sus esfuerzos de piratería en Venezuela.

Los investigadores encontraron mas de 50 computadores infectados que se comunicaban a través de servidores command-and-control (C&C), en el periodo que abarca entre Marzo y Mayo del año 2019. Esto es para implementar cambios rutinarios de malware en su infraestructura para frustrar la detección y modificar las campañas de phishing.

El modus-operandi

El grupo de espionaje utiliza una técnica más que probada, esto es enviando correos con archivos maliciosos (phishing).

Para atraerlos a abrir los correos electrónicos, el grupo utiliza inteligentemente documentos militares clasificados previamente robados, incluidos radiogramas, el formato ampliamente utilizado por las organizaciones militares para transmitir mensajes. Además, los atacantes aprovechan su conocimiento de la jerga militar y la etiqueta para elaborar correos electrónicos de phishing convincentes.

Una vez abierto el documento señuelo, infecta el dispositivo del objetivo con un virus de backdoor. ESET dijo que el malware (codificado en Python), es una nueva versión que se vio por primera vez hace un año.

El virus incluye persistentemente un componente espía que se ejecuta indefinidamente en segundo plano, copiando y encriptando documentos, tomando capturas de pantalla y actuando como keylogger. También se comunica con el servidor de C&C cada 10 minutos para enviar los datos robados y enmascarar su verdadera intención al nombrar sus archivos como “Google” (GoogleCrash.exe y GoogleUpdate.exe).

ESET dijo que la campaña de phishing todavía está activa hasta el día de hoy, y que los piratas informáticos han extraído con éxito gigabytes de documentos confidenciales cada semana.

¿”Machete” Quienes son?

ESET a encontrado varias instancias de palabras en español en el código de malware, con los registros generados al capturar las pulsaciones de teclas y los datos escritos del portapapeles en el mismo idioma. Esto sugiere que han sido desarrollados por un grupo de habla hispana.

Divulgaciones públicas anteriores de Kaspersky y Cylance (que fue adquirida por BlackBerry a principios de este año) se han hecho eco de hallazgos similares, pero los detalles sobre su identidad exacta siguen siendo desconocidos

El grupo detrás de Machete ha logrado continuar operando incluso después de que los investigadores hayan publicado descripciones técnicas e indicadores de compromiso para este malware“, concluyeron los investigadores de ESET. “Sin embargo, son las organizaciones seleccionadas las que han fallado en crear conciencia y aplicar políticas de seguridad para que los empleados no caigan en estos ataques en primer lugar“.

Referencias:

https://www.abc.es/tecnologia/informatica/software/abci-machete-virus-esta-robando-informacion-militar-venezuela-nicolas-maduro-201908051130_noticia.html

https://www.welivesecurity.com/2019/08/05/sharpening-machete-cyberespionage/

https://www.welivesecurity.com/wp-content/uploads/2019/08/ESET_Machete.pdf

https://thenextweb.com/security/2019/08/06/secretive-machete-hacker-group-steals-gbs-worth-of-sensitive-files-from-the-venezuelan-military/

https://unaaldia.hispasec.com/2019/08/machete-el-how-to-del-malware-que-ha-puesto-en-jaque-al-ejercito-de-venezuela.html

KDE Desktop de Linux podría ser hackeado solo bajando un archivo, sin la necesidad de abrirlo

Si estas corriendo el escritorio KDE de linux tienes que ser extremadamente cuidadoso de no descargar ningún archivos “.desktop” o “.directory” por algún tiempo.

Un investigador de ciberseguridad ha revelado una vulnerabilidad zero-day sin parches en el framework de KDE, que podría permitir que los archivos .desktop y .directory creados de forma malintencionada, ejecuten silenciosamente código arbitrario en la computador de un usuario, sin siquiera requerir que la víctima lo abra realmente.

KDE Plasma es uno de los mas populares ambientes de escritorio open-source widget-based para usuarios de Linux y viene por defecto en varias distribuciones de este sistema operativo, como en Manjaro, openSUSE, Kubuntu y PCLinuxOS.

Dominik Penner el investigador que hizo el descubrimiento, se contactó con The Hacker News para informar de una vulnerabilidad de inyección de comandos en el escritorio de KDE 4/5 Plasma, esto debido a la forma en que KDE maneja los archivos .desktop y .directory. 

Cuando se crea una instancia de un archivo .desktop o .directory, evalúa de forma insegura las variables de entorno y las expansiones de shell utilizando KConfigPrivate :: expandString () a través de la función KConfigGroup :: readEntry ()” , Dijo Dominik Penner.

Sacándole partido a esta falla, afectando al paquete 5.60.0 o versiones anteriores del KDE Frameworks, es simple e implica algo de ingeniería social ya que un atacante necesitaría engañar al usuario de KDE para que descargue un archivo que contenga un archivo malicioso .desktop o .directory.

Usando un archivo .desktop especialmente diseñado, un usuario remoto podría verse comprometido simplemente descargando y visualizando el archivo en su administrador de archivos, o arrastrando y soltando un enlace en sus documentos o escritorio“.

Teóricamente, si podemos controlar las entradas de configuración y activar su lectura, podemos lograr la inyección de comandos / RCE“, explicó Penner.

En la prueba de concepto, Penner publicó 2 videos demostrando el ataque exitoso al KDE KDesktopFile Command Injection vulnerability, todo esto junto al respectivo código para explotar esta vulnerabilidad.

Aparentemente, esta publicación se realizó antes de ser reportada a los desarrolladores de KDE, la KDE Community reconoció esta vulnerabilidad y aseguró que la solución ya viene en camino.

Además, si descubre una vulnerabilidad similar, es mejor enviar un correo electrónico security@kde.org antes de hacerlo público. Esto nos dará tiempo para parchearlo y mantener a los usuarios seguros antes de que los malos intenten explotarlo” anunció la KDE Community.

Mientras tanto, los desarrolladores de KDE recomendaron a los usuarios que simplemente “eviten descargar archivos .desktop o .directory y extraer archivos de fuentes no confiables” durante un tiempo hasta que se repare la vulnerabilidad.

Referencias:

https://mastodon.technology/@kde/102571278750266664 https://securityaffairs.co/wordpress/89527/hacking/kde-zero-day-vulnerability.html

https://www.zdnet.com/article/unpatched-kde-vulnerability-disclosed-on-twitter/

Descubren una vulnerabilidad en KDE Plasma fácil de explotar

https://thehackernews.com/2019/08/kde-desktop-linux-vulnerability.html?m=1

https://www.cvedetails.com/vulnerability-list/vendor_id-77/KDE.html