Archivos del autor: Felipe Carmona

Nueva vulnerabilidad de Exim podría llevar a un ataque DoS o incluso a ejecución de código remoto

Una nueva vulnerabilidad afecta a Exim, el famoso agente de transporte de correos, utilizado por al menos el 57% de los servidores de correos del mundo.

Esta vulnerabilidad descubierta por investigadores de QAX-A-Team explotando el error asignado al CVE-2019-16928 podría llevar a un ataque de denegación de servicios o alguna ejecución de código remoto.

Esta vulnerabilidad es el resultado de un error de desbordamiento basado en string_vformat (string.c). Según el aviso de Exim , la vulnerabilidad puede ser explotada por un atacante a través de una “cadena de caracteres extraordinariamente larga HELO (EHLO)” destinada a bloquear el proceso responsable de recibir el mensaje. Jeremy Harris de Exim, calificó la vulnerabilidad como un “error de codificación simple” que resultó de no hacer crecer una cadena lo suficiente, publicó una prueba de concepto que muestra un ejemplo de cómo podría explotarse.

Exim advierte que podría haber otras formas de explotar esta vulnerabilidad, en un post de Exim´s bug tracker revela la posibilidad de un ataque de ejecución de código remota (RCE).

Un par de otras vulnerabilidades de Exim han sido titulares en los últimos meses. En junio, se descubrió que los actores de amenazas apuntaban a servidores que usaban Exim a través del troyano Watchbog, mientras que a mediados de septiembre se descubrió otro error (CVE-2019-15846) que también podría conducir a ataques RCE.

El CVE-2019-16928 aparece junto ala version 4.92 de Exim, afectando también a las versiones 4.92, 4.92.1 y 4.92.2, las versiones anteriores a la 4.92 no son vulnerables, por lo que Exim recomienda a todos sus usuarios actualizar a la última version 4.92.3 la cual incluye remediación de la vulnerabilidad CVE-2019-16928.

Referencias:

https://blog.rapid7.com/2019/10/01/exim-vulnerability-cve-2019-16928-global-exposure-details-and-remediation-advice/

https://www.trendmicro.com/vinfo/hk-en/security/news/cybercrime-and-digital-threats/exim-vulnerability-cve-2019-16928-could-lead-to-denial-of-service-and-remote-code-execution-attacks

https://www.tenable.com/blog/cve-2019-16928-critical-buffer-overflow-flaw-in-exim-is-remotely-exploitable

https://www.cvedetails.com/cve/CVE-2019-16928/

https://www.andreafortuna.org/2019/10/01/cve-2019-16928-a-new-vulnerability-on-exim-exposes-millions-of-email-servers-to-remote-attacks/https://unaaldia.hispasec.com/2019/10/grave-vulnerabilidad-en-el-servidor-de-correo-exim.html

Nueva vulnerabilidad 0-Day afecta a la mayoría de los teléfonos que están siendo hackeados en este último tiempo

Nueva vulnerabilidad 0-Day sin parche afecta al famoso SO móvil Android.

También se descubrió que la vulnerabilidad es explotada por la marca israelí de vigilancia NSO Group, infame por vender exploits de día cero a los gobiernos, o uno de sus clientes, para obtener el control de los dispositivos Android de sus objetivos.

Descubierto por Maddie Stoneel investigador de Project Zero, los detalles y la PoC de el exploit para vulnerabilidad crítica codificada como CVE-1029-2215 publicada solo siete días después de el reporte del equipo de seguridad de Android.

Esta vulnerabilidad aprovecha una debilidad del compilador de kernel de Android, que da la opción de alojar privilegios de un tercero, esto puede permitir que un atacante o una aplicación escale sus privilegios para obtener acceso de root a un dispositivo vulnerable y potencialmente tomar el control remoto completo del dispositivo.

Equipos Android Vulnerables

La vulnerabilidad reside en versiones de kernel de Android lanzados antes de abril del año pasado, el parche fue incluido en el 4.14 LTS del kernel de Linux lanzado en diciembre del 2017, pero fue incorporado en AOSP con version de kernel 3.18, 4.4 y 4.9.

Por lo que la mayoría de los dispositivos Android fabricados y vendidos por la mayoría de los proveedores con el núcleo no parcheado aún son vulnerables a esta vulnerabilidad incluso después de tener las últimas actualizaciones de Android, incluidos los modelos de teléfonos inteligentes populares que se enumeran a continuación:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Teléfonos Oreo LG
  • Samsung S7
  • Samsung S8
  • Samsung S9

La vulnerabilidad puede ser explotada de forma remota

De acuerdo con los investigadores desde la aparición de vulnerabilidad de Chrome “accesible from inside the Chrome sandbox”, la debilidad del compilador de kernel de Android puede ser explotada de forma remota combinando estas 2 vulnerabilidades.

El error es una vulnerabilidad de escalada de privilegios locales que permite el compromiso total de un dispositivo vulnerable. Si el exploit se entrega a través de la Web, solo necesita ser emparejado con un exploit de renderizado, ya que esta vulnerabilidad es accesible a través del sandbox“. dice Stone en el Chromium blog.

He adjuntado una prueba de concepto de explotación local para demostrar cómo se puede usar este error para obtener lectura / escritura arbitraria del núcleo cuando se ejecuta localmente. Solo requiere la ejecución de código de aplicación no confiable para explotar CVE-2019-2215. I ‘ también adjunté una captura de pantalla (success.png) del POC que se ejecuta en un Pixel 2, con Android 10 con nivel de parche de seguridad en septiembre de 2019 “.

El parche de seguridad estará disponible próximamente

Aunque Google lanzará un parche para esta vulnerabilidad en su Boletín de seguridad de Android de octubre en los próximos días y también notificó a los OEM, la mayoría de los dispositivos afectados probablemente no recibirían el parche de inmediato, a diferencia de Google Pixel 1 y 2.

Este problema está calificado como de alta gravedad en Android y por sí solo requiere la instalación de una aplicación maliciosa para su posible explotación. Cualquier otro vector, como a través del navegador web, requiere encadenarse con un exploit adicional“, dijo el equipo de seguridad de Android en un comunicado.

Hemos notificado a los socios de Android, y el parche está disponible en el kernel común de Android. Los dispositivos Pixel 3 y 3a no son vulnerables, mientras que los dispositivos Pixel 1 y 2 recibirán actualizaciones para este problema como parte de la actualización de octubre“.

Referencias:

https://www.muyseguridad.net/2019/10/07/nuevo-0-day-para-android/

https://thehackernews.com/2019/10/android-kernel-vulnerability.html

https://www.pcworld.com/article/3444238/zero-day-android-exploit-pixel-galaxy-huawei-lg-patch.html

https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/

https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/

¡Primeros ciberataques masivos de BlueKeep!

Investigadores en ciberseguridad han descubierto un nuevo ciberataque que se cree es el primer intento de explotar la famosa vulnerabilidad de escritorio remoto “BlueKeep” de forma masiva, esto podría comprometer en masa los sistemas vulnerables para obtener recompensas en criptomonedas, como en este momento está sucediendo en Europa, como con La Ser, Everis y otras empresas.

En mayo de este año, Microsoft lanzó un parche de alta criticidad de ejecución de código remoto, el cual llamaron BlueKeep, la vulnerabilidad de servicio de escritorio remoto puede ser explotada para lograr el control absoluto de los sistemas vulnerables simplemente enviando solicitudes especialmente diseñadas sobre RDP.

BlueKeep, categorizado como CVE-2019-0708, es una vulnerabilidad empotrable en un gusano o un posible malware para propagarse automáticamente de una computadora vulnerable a otra sin requerir la interacción de las víctimas.

BlueKeep ha sido considerado una vulnerabilidad tan grave que Microsoft e incluso a nivel gubernamental como la NSA o la GCHQ han estado continuamente advirtiendo y alentando a usuarios y administradores a cargar los parches de seguridad en sus sistemas.

Incluso varios investigadores y marcas que han logrado explotar esta vulnerabilidad con éxito sin llegar a publicar el desarrollo, ya que casi un millón de sistemas seguían vulnerables pasado un mes del lanzamiento de los parches de seguridad.

Es por esto que los hackers aficionados tardaron casi seis meses en encontrar un exploit BlueKeep que todavía no es confiable y ni siquiera tiene un componente que sea empotrable en un gusano.

El exploit de BlueKeep extiende malware que pide recompensa.

La explotación de BlueKeep fue especulada por primera vez por Kevin Beaumont, el sábado cuando sus múltiples sistemas de honeypot EternalPot RDP se bloquearon y se reiniciaron repentinamente.

Marcus Hutchins, el investigador que a detener el ya conocido WannaCry ransomware outbreak el 2017, luego analizó los volcados de memoria compartidos por Beaumont y confirmó “artefactos BlueKeep en la memoria y el código de shell para lanzar un Monero Miner (método de pago)”.

En una publicación de blog, Hutchins dijo: “Finalmente, confirmamos que este segmento [en un volcado de memoria] apunta a un shellcode ejecutable. En este punto, podemos afirmar intentos de explotación de BlueKeep válidos, ¡con un shellcode que incluso coincide con el del módulo BlueKeep en Metasploit! “.

El exploit contiene comandos PowerShell como carga inicial, el cual podría descargar el binario con código malicioso de un atacante remoto y ejecutarlo en la maquina objetivo.

Según el servicio Google’s VirusTotal malware scanning, el binario malicioso el binario malicioso es un malware de criptomonedas que extrae Monero (XMR) utilizando la potencia informática de los sistemas infectados para generar ingresos para los atacantes.

Pero esto no es un ataque de gusano

Hutchins confirma que el malware no contiene ninguna extensión con capacidad de saltar de un sistema a otro y también aparecen varios atacantes que primero buscan en internet sistemas vulnerables para luego explotarlos.

En otras palabras, sin un componente que permita al malware pasar de un computador a otro, el atacante está forzado a intentar ataques a sistemas públicos que sean vulnerables, no así a sistemas conectados entre si dentro de una misma red.

Aunque hacker mas experimentados podrían tener exploits para BlueKeep para comprometer sigilosamente a las víctimas, afortunadamente, la falla aún no se ha explotado a mayor escala, como WannaCry o NotPetyaataques maliciosos, como se especuló inicialmente.

De todas formas, de un tiempo hasta esta parte no es claro cuantos sistemas con Windows vulnerables han estado comprometidos en los últimos ataques que piden recompensa por medio de Monero Miner.

¿Que te podemos recomendar para protegerte?

Primero que todo, instalar las actualizaciones o los parches de seguridad que Windows lanzó para tu sistema operativo, estos los puedes descargar en los siguientes links:

Si no es posible solucionar la vulnerabilidad en su organización, puede tomar estas mitigaciones:

  • Deshabilite los servicios RDP, si no es necesario.
  • Bloquee el puerto 3389 utilizando un firewall o hágalo accesible solo a través de una VPN privada.
  • Habilitar la autenticación de nivel de red (NLA): esta es una mitigación parcial para evitar que cualquier atacante no autenticado explote esta falla Wormable.

Referencas:

https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/

https://thehackernews.com/2019/11/bluekeep-rdp-vulnerability.html

https://www.elespanol.com/omicrono/software/20191104/ciberataque-europa-everis-empresas-bloqueadas-ransomware/441956113_0.html

https://www.elmundo.es/tecnologia/2019/11/04/5dc01412fc6c839d6d8b4658.html

https://www.seguridadyfirewall.cl/2019/11/descubren-ataque-masivo-de-bluekeep.html

https://www.genbeta.com/seguridad/ataques-ransomware-siguen-aumentando-equipos-vulnerables-que-usan-versiones-viejas-windows

https://www.adslzone.net/2019/11/04/bluekeep-ransomware-cadena-ser/

Nuevos ataques con ransomware dirigidos a grandes compañías españolas

Everis, una de las consultoras TI más grandes de España, fue víctima de un ciberataque en la madrugada de este lunes obligándolos a apagar todos sus sistemas hasta solucionar el problema de raíz.

Un ransomware es un virus informático que encripta los datos e infectan el sistema hasta el pago de una recompensa.

Según medios locales, Everis informó a sus empleados del devastador ataque de ransomware diciendo:

Estamos sufriendo un ataque masivo de virus en la red Everis. Por favor, mantenga las PC apagadas. La red se ha desconectado con clientes y entre oficinas. Lo mantendremos actualizado“.

Por favor, transfiera urgentemente el mensaje directamente a sus equipos y colegas debido a problemas de comunicación estándar“.

De acuerdo a un consultor español de ciberseguridad, el malware cifró archivos en las computadoras de Everis con un nombre de extensión similar al nombre de la compañía, es decir, ” .3v3r1s “, lo que sugiere que el ataque fue muy selectivo.

En este momento se desconoce de cual familia proviene el ransomware utilizado para infectar la compañía, pero los atacantes detrás del ataque demandan el pago de 750.000 euros (equivalente a unos 835.000 USD) como recompensa por desencriptar los datos.

De todos modos, considerando la criticidad de la naturaleza del ataque, el fundador de en un tweet sugiere que  el tipo de ransomware podría ser BitPaymer / IEncrypt , el mismo malware que recientemente se descubrió que explota una vulnerabilidad de día cero en el software iTunes e iCloud de Apple.

Este es el mensaje del ransomware que se desplegó en las pantallas de los equipos infectados de la compañía.

Hi Everis, your network was hacked and encrypted.

No free decryption software is available on the web.

Email us at sydney.wiley@protonmail.com or evangelina.mathews@tutanota.com to get the ransom amount.

Keep our contacts safe.

Disclosure can lead to the impossibility of decryption.

¿Qué más? Al parecer Everis no es la única compañía que ha sufrido este ataque de ransomware esta madrugada.

Otras compañías españolas y europeas han reportado ser víctimas de un ransomware de similares características en el mismo periodo de tiempo,  del cual la red nacional de radio La Cadena SER ha confirmado el ataque cibernético.

La cadena SER ha sufrido esta mañana un ataque de un virus informático del tipo ransomware, encriptador de archivos, que ha tenido una afectación grave y generalizada de todos sus sistemas informáticos“, dijo la compañía.

Siguiendo el protocolo establecido en los ataques cibernéticos, el SER ha visto la necesidad de desconectar todos sus sistemas informáticos operativos“.

La compañía también ha informado que “los técnicos ya se encuentran trabajando en la recuperación de cada una de sus estaciones”.

Hasta el momento no está claro si las personas detrás de los ataques con este ransomware son los mismos, cómo el malware se infiltró en las compañías en primer lugar y si contenía capacidades para propagarse con éxito a través de la red.

Aunque no esta confirmado, personas relacionadas a estos incidentes sospechan que los atacantes utilizaron vulnerabilidad critica de escritorio remoto BlueKeep para deshabilitar los servidores de la compañía, cuya primera actividad de explotación masiva se vio hace unos días atrás.

Mientras tanto, el Departamento de Seguridad Nacional de España también emitió una advertencia sobre el ciberataque en curso y recomendó a los usuarios que sigan prácticas básicas de seguridad como mantener sus sistemas actualizados y tener una copia de seguridad adecuada de sus datos importantes.

Referencias:

https://www.lavanguardia.com/tecnologia/20191104/471372667264/ciberataque-ransomware-virus-seguridad-nacional-ser-everis-accenture.html

https://www.xataka.com/seguridad/ciberataque-ransomware-deja-ko-sistemas-cadena-ser-everis

https://hipertextual.com/2019/11/everis-cadena-ser-ransomware-bitcoin

https://thehackernews.com/2019/11/everis-spain-ransomware-attack.html

https://www.infobae.com/america/tecno/2019/11/04/la-cadena-ser-y-everis-victima-de-un-ciberataque-que-derivo-en-el-secuestro-y-cifrado-de-archivos/

https://www.elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/

https://www.muycomputerpro.com/2019/11/04/everis-accenture-kpmg-cadena-ser-ciberataque

Vulnerabilidad SIMjacker ha rastreado y espiado a usuarios de teléfonos móviles por años

Investigadores de seguridad descubre un ataque basado en método SMS para rastrear y espiar a los usuarios de teléfonos móviles.

“Estamos seguros de que el desarrollo del ataque fue realizado por una compañía privada que trabaja directamente con gobiernos para monitorear personas.” Aseguran los investigadores de AdaptiveMobile Security.

“Creemos que esta vulnerabilidad ha sido explotada por al menos 2 años por un altamente sofisticado sistema de ataque en varios países, principalmente con fines de vigilancia”.

Los investigadores describen el ataque como “Un gran salto en complejidad y sofisticación”, comparado con los ataques realizados a redes móviles anteriormente y es considerable el escalamiento en las habilidades de los atacantes.

Como funciona SIMjacker

Todo comienza con un atacante utilizando un Smartphone con un modem GSM o cualquier servicio A2P para enviar mensajes de texto a sus víctimas.

Estos mensajes SMS contienen instrucciones ocultas de SIM Toolkit (STK) que son compatibles con el navegador S @ T de un dispositivo, una aplicación que reside en la tarjeta SIM, en lugar del teléfono.

El navegador S@T y el STK son una tecnología de hace ya varios años compatible con algunas redes móviles y sus tarjetas SIM. Se pueden usar para activar acciones en un dispositivo, como iniciar navegadores, reproducir sonidos o mostrar ventanas emergentes. Antiguamente, los operadores usaban estos protocolos para enviar a los usuarios ofertas promocionales.

Pero AdaptiveMobile dijo que el ataque SIMjacker abusa de este mecanismo para recuperar archivos, la localización e incluso el IMEI de los dispositivos de las víctimas, todo esto lo realiza a través de un mensaje de texto SMS.

Solo para empeorar las cosas el SIMjacker es completamente silencioso sin dejar ningún registro de estos mensajes en el equipo, por lo que las víctimas están expuestas durante largos periodos, por lo que se registra su ubicación.

Además, debido a que Simjack explota una tecnología que reside en la tarjeta SIM, el ataque también funciona independientemente del tipo de dispositivo del usuario.

“Hemos observado que los dispositivos de casi todos los fabricantes están dirigidos con éxito para recuperar la ubicación: Apple, ZTE, Motorola, Samsung, Google, Huawei e incluso dispositivos IoT con tarjetas SIM”, dijeron los investigadores. La única buena noticia es que el ataque no se basa en mensajes SMS regulares, sino en códigos binarios más complejos, entregados como SMS, lo que significa que los operadores de red deberían poder configurar su equipo para bloquear dichos datos que atraviesan sus redes y llegan a los dispositivos del cliente.

Referencias:

https://www.cyberscoop.com/simjacker-mobile-phone-vulnerability/

https://www.abc.es/tecnologia/redes/abci-simjacker-solo-puede-hackearte-movil-y-espiar-ubicacion-201909140159_noticia.html

https://www.xatakamovil.com/seguridad/asi-simjacker-vulnerabilidad-tarjetas-sim-que-permite-conocer-ubicacion-usuario-todo-momento

https://www.zdnet.com/article/new-simjacker-attack-exploited-in-the-wild-to-track-users-for-at-least-two-years/

https://www.xataka.com/seguridad/simjacker-ultima-pesadilla-para-nuestra-privacidad-revela-tu-ubicacion-da-igual-que-tengas-movil-android-ios

Microsoft lanza un parche de emergencia para vulnerabilidad 0 day de Internet Explorer y Windows Defender

Microsoft lanza un parche de seguridad de emergencia para 2 nuevas vulnerabilidades, una de ellas es crítica y está siendo explotada en estos momentos por ciber criminales a través de Internet Explorer.

Descubierta y asignada al CVE-2019-1367 por Clément Lecigne de Google’s Threat Analysis Group, la vulnerabilidad permite ejecutar código de forma remota manipulando objetos en la memoria del equipo por medio de Internet Explorer.

Esta manipulacion de información podría llevar a tomar el control absoluto de la máquina, solo visitando un sitio web especialmente diseñado en Internet Explorer.

Un atacante que explotó con éxito la vulnerabilidad, podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de administrador, un atacante podría tomar el control de un sistema afectado“, indica Microsoft.

Esta vulnerabilidad afecta directamente a las versiones 9, 10 y 11 de Internet Explorer y aunque lo ideal es que los usuarios estén constantemente actualizando el software, es altamente recomendable utilizar un browser más seguro, como Google Chrome o Mozilla Firefox.

Según Microsoft esta vulnerabilidad esta siendo explotada en este momento, pero no revela detalles de la forma en la que se lleva acabo la explotación.

Microsoft también lanzó una segunda actualización de seguridad para parchar una vulnerabilidad de denegación de servicio (DoS) en Microsoft Defender, un motor antimalware que esta incluido en Windows 8 y versiones posteriores del sistema operativo.

Descubierta y asignada a CVE-2019-1255 por Charalampos Billinis de F-Secure and Wenxu Wu of Tencent Security Lab, la vulnerabilidad reside en la forma en que Microsoft Defender maneja los archivos y existe en las versiones de Microsoft Malware Protection Engine hasta 1.1.16300.1.

De acuerdo a lo publicado por Microsoft un atacante que explote esta vulnerabilidad exitosamente puede evitar que cuentas autorizadas, ejecuten binarios legítimos en el sistema, pero para explotar esta falla, el atacante “primero requeriría la ejecución en el sistema de la víctima“.

La actualización de seguridad para Microsoft Defender es automática y por lo tanto, se aplicará a través del motor de protección contra malware de Microsoft. La falla se ha solucionado en el motor de protección contra malware de Microsoft versión 1.1.16400.2, por lo que se recomienda actualizar lo antes posible.

Referencias

https://thenextweb.com/security/2019/09/24/microsoft-issues-emergency-windows-patch-to-address-internet-explorer-zero-day-flaw/
https://www.computerworld.com/article/3440741/microsoft-releases-emergency-ie-patches-inside-optional-non-security-cumulative-updates.html
https://thehackernews.com/2019/09/windows-update-zero-day.html
https://www.infosecurity-magazine.com/news/microsoft-issues-emergency-patch-1/
https://techcrunch.com/2019/09/24/microsoft-emergency-patch-windows/
https://www.bbc.com/news/technology-49809453
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/

Lilocked (Lilu) Ransomware infecta a miles de servidores web

Un ransomware relativamente nuevo llamado Lilocked por los investigadores y Lilu por los desarrolladores, se encuentra encriptando datos en servidores web. Todos los servidores infectados conocidos son sitios web, lo que provoca que los archivos encriptados se encuentren fácilmente en resultados de búsqueda de Google.

El primer reporte de Lilu fue realizado el día 26 de julio del 2019 en un articulo llamado “The Week in Ransomware” donde Michael Gillespie encontró una muestra subida a su servicio ID Ransomware. Fue nuevamente descubierto por el experto en seguridad Benkow quien lo publicó a través de tweeter. Google reporta mas de 6.000 resultados de sitios web encriptados y con sus archivos renombrados con extensión .lilocked, provocado por este ransomware.

Además, las estadísticas de envíos de ID Ransomware muestran que esta infección tiene un volumen bajo pero constante, de envíos al servicio de identificación de ransomware.

No se sabe si Lilu se dirige específicamente a los servidores web, pero la mayoría de los archivos enviados vistos encontrados están relacionados con sitios web. Al revisar los archivos enviados, no parece haber un patrón como WordPress, Magento u otros sitios de CMS comúnmente pirateados.

Lo que se conoce hasta este momento de la encriptación de datos por Lilu, no es mucho ya que aun no se encuentra alguna muestra de como trabaja internamente es ransomware. Según la poca información que hay podemos asegurar que cuando una maquina es infectada, encripta los archivos cambiando el nombre del archivo por su extension .lilocked. Un ejemplo de esto seria , apple-icon.png seria encriptado y renombrado como apple-icon.png.lilocked.

Para cada carpeta infectada Lilocked deja una nota llamada #README.lilocked.

La nota #README.lilocked informa a la víctima que sus datos an sido encriptados y que se dirijan al sitio de pago de tor de la banda para poder pagar la recompensa requerida, en este archivo va incluido una llave necesaria para el login del sitio de pago.

Si la víctima entra al sitio muestra un formulario donde tiene que ingresar la llave entregada.

Una vez ingresada la llave, se despliega un mensaje de como pagar la recompensa, esta esta en bitcoins (0.010 BTC) que equivalen aproximadamente a 100 USD que es lo que demanda la banda.

Hasta este momento no se conoce una forma efectiva de desencriptar los archivos,  también se descubrió ­­­­­­el correo asociado al ataque.

Referencias:

https://www.zdnet.com/article/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware/

https://www.notebookcheck.net/Lilu-Lilocked-ransomware-has-now-infected-thousands-of-Linux-servers.434547.0.html

https://blog.knowbe4.com/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware

https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/

https://www.linuxadictos.com/lilu-nuevo-ransomware-infecta-miles-de-servidores-basados-en-linux.html

Vulnerabilidades en HTTP/2 expone a millones de sitios a ataques DoS

En HTTP/2, la ultima version de protocolo de red HTTP se han encontrado múltiples vulnerabilidades de seguridad que afectan al web server mas popular, que incluye Apache, Microsoft´s IIS y NGINX.

Lanzado en mayo del 2015, HTTP/2 fue diseñado para mejorar la experiencia de navegación mejorando la velocidad de carga de las paginas y su seguridad. Al día de hoy mas de cien millones o un 40% de los sitios de internet están usando este nuevo protocolo.

Se encontraron un total de 8 vulnerabilidades graves en HTTP/2, siete de estas descubiertas por Jonathan Looney de Netflix y una por Piotr Sikora de Google, existen debido al agotamiento de los recursos cuando se manejan entradas maliciosas, lo que permite que un cliente sobrecargue el código de gestión de colas del servidor.

Estas vulnerabilidades son explotables en DoS (Denial of Service), esto podría afectar a los millones de servicios que están corriendo en un servidor web con la implementación HTTP/2.

¿Como es el ataque en términos simples?, básicamente es que un cliente malicioso le pide a un servidor vulnerable objetivo que haga algo que genere una respuesta, pero luego el cliente se niega a leer la respuesta, forzándolo a consumir memoria y CPU excesivas mientras procesa las solicitudes.

Estos defectos permiten una pequeña cantidad de sesiones maliciosas de bajo ancho de banda, esto para evitar que los participantes de la conexión realicen un trabajo adicional. Es probable que estos ataques agoten los recursos de manera que otras conexiones o procesos en la misma máquina también puedan verse afectados o bloquearse“, explica Netflix en un aviso publicado el martes.

La mayoría de las vulnerabilidades enumeradas a continuación funcionan en la capa de transporte HTTP / 2:

  • CVE-2019-9511 — HTTP/2 “Data Dribble”
  • CVE-2019-9512 — HTTP/2 “Ping Flood”
  • CVE-2019-9513 — HTTP/2 “Resource Loop”
  • CVE-2019-9514 — HTTP/2 “Reset Flood”
  • CVE-2019-9515 — HTTP/2 “Settings Flood”
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

Algunos son lo suficientemente eficientes como para que un único sistema final pueda causar estragos en varios servidores. Otros ataques son menos eficientes; sin embargo, incluso los ataques menos eficientes pueden abrir la puerta a ataques DDoS que son difíciles de detectar y bloquear“, señala el aviso.

De todas formas estas vulnerabilidades no permiten la modificación ni extracción de datos de contenidos en los servidores, solo se pueden utilizar para aplicar la técnica de DoS.

El equipo de seguridad de Netflix se asocio con Google y el centro de coordinación CERT para poder informar de manera responsable las vulnerabilidades a cada uno de los proveedores y mantenedores afectados por lo antes mencionado.

Según el CERT, los proveedores afectados incluyen NGINX , Apache , H2O , Nghttp2, Microsoft (IIS), Cloudflare , Akamai , Apple ( SwiftNIO), Amazon, Facebook (Proxygen), Node.js y Envoy proxy, muchos de los cuales ya han lanzado parches de seguridad y avisos.

Referencias:

https://thehackernews.com/2019/08/http2-dos-vulnerability.html

https://kb.cert.org/vuls/id/605641/

https://www.f5.com/labs/articles/threat-intelligence/denial-of-service-vulnerabilities-discovered-in-http-2

https://www.zdnet.com/article/severe-vulnerabilities-discovered-in-http2-protocol/

https://www.redeszone.net/2019/08/14/nuevas-vulnerabilidades-http2-explotar-servidores-no-parcheados/

http://sedici.unlp.edu.ar/handle/10915/68348

KDE Desktop de Linux podría ser hackeado solo bajando un archivo, sin la necesidad de abrirlo

Si estas corriendo el escritorio KDE de linux tienes que ser extremadamente cuidadoso de no descargar ningún archivos “.desktop” o “.directory” por algún tiempo.

Un investigador de ciberseguridad ha revelado una vulnerabilidad zero-day sin parches en el framework de KDE, que podría permitir que los archivos .desktop y .directory creados de forma malintencionada, ejecuten silenciosamente código arbitrario en la computador de un usuario, sin siquiera requerir que la víctima lo abra realmente.

KDE Plasma es uno de los mas populares ambientes de escritorio open-source widget-based para usuarios de Linux y viene por defecto en varias distribuciones de este sistema operativo, como en Manjaro, openSUSE, Kubuntu y PCLinuxOS.

Dominik Penner el investigador que hizo el descubrimiento, se contactó con The Hacker News para informar de una vulnerabilidad de inyección de comandos en el escritorio de KDE 4/5 Plasma, esto debido a la forma en que KDE maneja los archivos .desktop y .directory. 

Cuando se crea una instancia de un archivo .desktop o .directory, evalúa de forma insegura las variables de entorno y las expansiones de shell utilizando KConfigPrivate :: expandString () a través de la función KConfigGroup :: readEntry ()” , Dijo Dominik Penner.

Sacándole partido a esta falla, afectando al paquete 5.60.0 o versiones anteriores del KDE Frameworks, es simple e implica algo de ingeniería social ya que un atacante necesitaría engañar al usuario de KDE para que descargue un archivo que contenga un archivo malicioso .desktop o .directory.

Usando un archivo .desktop especialmente diseñado, un usuario remoto podría verse comprometido simplemente descargando y visualizando el archivo en su administrador de archivos, o arrastrando y soltando un enlace en sus documentos o escritorio“.

Teóricamente, si podemos controlar las entradas de configuración y activar su lectura, podemos lograr la inyección de comandos / RCE“, explicó Penner.

En la prueba de concepto, Penner publicó 2 videos demostrando el ataque exitoso al KDE KDesktopFile Command Injection vulnerability, todo esto junto al respectivo código para explotar esta vulnerabilidad.

Aparentemente, esta publicación se realizó antes de ser reportada a los desarrolladores de KDE, la KDE Community reconoció esta vulnerabilidad y aseguró que la solución ya viene en camino.

Además, si descubre una vulnerabilidad similar, es mejor enviar un correo electrónico security@kde.org antes de hacerlo público. Esto nos dará tiempo para parchearlo y mantener a los usuarios seguros antes de que los malos intenten explotarlo” anunció la KDE Community.

Mientras tanto, los desarrolladores de KDE recomendaron a los usuarios que simplemente “eviten descargar archivos .desktop o .directory y extraer archivos de fuentes no confiables” durante un tiempo hasta que se repare la vulnerabilidad.

Referencias:

https://mastodon.technology/@kde/102571278750266664 https://securityaffairs.co/wordpress/89527/hacking/kde-zero-day-vulnerability.html

https://www.zdnet.com/article/unpatched-kde-vulnerability-disclosed-on-twitter/

Descubren una vulnerabilidad en KDE Plasma fácil de explotar

https://thehackernews.com/2019/08/kde-desktop-linux-vulnerability.html?m=1

https://www.cvedetails.com/vulnerability-list/vendor_id-77/KDE.html

Google descubre que solo visitando algunos sitios los IPhones fueron hackeados durante años

Si, tu IPhone puede ser hackeado solo visitando un sitio que aparentemente es inofensivo, investigadores de Google publicaron un descubrimiento terrorífico.

La historia se remonta a una cadena de ataques generalizados para iPhone, que los investigadores de ciberseguridad del proyecto “Cero” de Google descubrieron a principios de este año, esto se logra implantando un spyware en los últimos 5 exploits de jailbreaking remoto existentes para IPhone.

Estos exploits, los cuales explotan un total de 14 vulnerabilidades del sistema operativo iOS mobile, de las cuales 7 residen en el browser de la marca “Safari”, 5 en el kernel del sistema operativo y 2 fallas en sandbox, los objetivos eran casi todas las versiones de iOS entre “iOS 10” hasta la mas reciente “iOS 12”.

Según la publicación realizada por el investigador del Proyecto Cero “Ian Beer”, solo dos de las 14 vulnerabilidades de seguridad eran zero-days, CVE-2019-7287 y CVE-2019-7286 sin parches en el momento del descubrimiento y sorprendentemente la cadena de ataque permaneció sin ser detectada durante al menos dos años.

Aun que los detalles técnicos de estas 2 vulnerabilidades no estaban disponibles, estas fueron publicadas en febrero luego de el lanzamiento de la versión 12.1.4 de iOS.

Reportamos estos problemas a Apple con un plazo de 7 días el 1 de febrero de 2019, lo que resultó en el lanzamiento de iOS 12.1.4 el 7 de febrero de 2019. También compartimos los detalles completos con Apple, que fueron revelados públicamente el 7 de febrero de 2019 “, dice Beer.

Ahora los investigadores de Google explican, el ataque comenzó a través de una pequeña cantidad de sitios hackeados con miles de visitas por semana, dirigidos a todos los usuarios de iOS que visitan esos sitios web sin discriminación alguna.

Simplemente visitar el sitio pirateado fue suficiente para que el servidor exploit ataque su dispositivo y si fue exitoso, ya se intaló un monitoreo“, dice Beer.

Una vez que el usuario de Iphone visite un sitio corrompido a través de Safari, se activa el exploits WebKit que realiza una escalada de privilegios hasta obtener un acceso mas alto de acceso en la raiz del dispositivo.

Los exploits del iPhone se usaron para implementar un implante diseñado principalmente para robar archivos como iMessages, fotos y datos de ubicación de GPS en vivo de los usuarios, y subirlos a un servidor externo cada 60 segundos.

No hay un indicador visual en el dispositivo de que el implante se está ejecutando. No hay forma de que un usuario en iOS vea una lista de procesos, por lo que el binario del implante no intenta ocultar su ejecución del sistema“, explica Beers.

El implante de software espía también robó los archivos de la base de datos del dispositivo de la víctima que utilizan las populares aplicaciones de cifrado de extremo a extremo como Whatsapp, Telegram e iMessage para almacenar datos, incluidos los chats privados en texto sin formato.

Además, el implante también tenía acceso a los datos del llavero del dispositivo de los usuarios que contenían credenciales, tokens de autenticación y certificados utilizados en y por el dispositivo.

El llavero también contiene los tokens de larga duración utilizados por servicios como el inicio de sesión único de iOS de Google para permitir que las aplicaciones de Google accedan a la cuenta del usuario. Estos se cargarán a los atacantes y luego se pueden usar para mantener el acceso al usuario Cuenta de Google, incluso una vez que el implante ya no se está ejecutando “, dice Beers.

Si bien el implante se eliminaría automáticamente de un iPhone infectado al reiniciar, sin dejar rastro de sí mismo, visitar el sitio pirateado nuevamente reinstalaría el implante.

Alternativamente, como explica Beer, los atacantes pueden “mantener un acceso persistente a varias cuentas y servicios mediante el uso de tokens de autenticación robados del llavero, incluso después de perder el acceso al dispositivo“.

Referencias:

https://unaaldia.hispasec.com/2019/08/iphone-zero-days-un-nuevo-spyware-de-altas-capacidades-puede-monitorizar-toda-la-vida-digital-de-las-personas.html

https://www.cbsnews.com/news/google-iphone-hack-discovered-mass-ios-hacking-attack-sustained-over-at-least-two-years-2019-08-30/

https://www.thesun.co.uk/tech/9826781/google-iphone-hacked-websites-how/

https://thehackernews.com/2019/08/hacking-iphone-ios-exploits.html

https://www.newsweek.com/has-your-iphone-been-hacked-google-malware-apple-ios-cybersecurity-1456983

https://www.cnet.com/news/google-says-iphone-security-flaws-let-websites-hack-them-for-years/

https://www.theguardian.com/technology/2019/aug/30/hackers-monitoring-implants-iphones-google-says