Archivos de etiquetas: macOS

Datos sin encriptación durante actualización de aplicación Signal

Signal es una aplicación de comunicaciones que hace alarde en su capacidad de mensajería encriptada, el problema es que falla en aprovisionar esa misma protección cuando está realizando una actualización a la versión de escritorio desde su extensión de Chrome, debido a que exporta los mensajes del usuario como archivos de texto no encriptados.
Al actualizar Signal Desktop desde la extensión Signal Chrome, el proceso requiere que el usuario elija una ubicación para guardar los datos de mensajes (texto y adjuntos), con tal de importarlos automáticamente a la nueva versión.
Luego de este paso, el investigador de seguridad y hacker Matt Suiche se dió cuenta que la aplicación volcaba la información en una ubicación que él escogió sin encriptar los archivos antes. Él anunció su descubrimiento mediante Tweeter, además de realizar el reporte de fallos al fabricante. “Es completamente insano”, añadió, agregando una captura de pantalla que muestra los datos en texto plano volcados por Signal durante la actualización.

El directorio principal contiene distintos subdirectorios, uno para cada contacto distinto en Signal. Estos subdirectorios llevan el nombre del contacto y su número de teléfono. Junto con esto, sólo al ingresar a ellos podemos encontrar información sensible. Las conversaciones son almacenadas en el formato JSON (JavaScript Object Notation) sin encriptación ni ofuscamiento, de forma que es posible leer su contenido a simple vista.
Suiche realizó el hallazgo en macOS al recibir una notificación de actualización de la extensión de Signal para Chrome. En tests realizados por BleepingComputer en entorno Linux arrojó el mismo resultado. Tampoco hay advertencias de que el contenido se esta guardando sin encriptar, además de que esta información persiste en el disco duro una vez de que la actualización se completa y la nueva versión de Signal la importa. Los usuarios deben eliminar este subdirectorio manualmente para mitigar el riesgo de filtración de sus conversaciones privadas.
La extensión de Signal para Chrome se encuentra obsoleta. Signal ha estado disponible para teléfonos móviles desde un comienzo, pero debido a la conveniencia se requirió el desarrollo de una versión para computadores de escritorio, la cual apareció como una extensión de Chrome.
Esto significa que la aplicación de escritorio encriptaba sus comunicaciones sólo cuando Google Chrome se encontraba en ejecución. Desde octubre de 2017 existe una nueva variante como aplicación standalone, la cual desecha la interacción con Chrome. Además esto marcó el comienzo del fin para la aplicación de Chrome, la cual expira en menos de un mes.
El problema no es sólo con Signal Desktop. Deprecar una versión en favor de otra, no es motivo suficiente para dejar los datos sin encriptar siendo que el objetivo de este sistema es justamente la transmisión encriptada de conversaciones y archivos. Además se ha descubierto que Signal Desktop no remueve correctamente archivos que han sido adjuntos a mensajes que desaparecen (una funcionalidad que borra los mensajes luego de cierta cantidad de tiempo), ya que estos adjuntos se pueden encontrar en el sistema de archivos de todas formas
Fuente: https://www.bleepingcomputer.com/news/security/signal-upgrade-process-leaves-unencrypted-messages-on-disk/

Malware MaMi – macOS

Un nuevo malware que afecta a macOS (antes conocido como OSX) principalmente modifica los DNS del sistema afectado.
Este malware denominado como OSX/MaMi se caracteriza por la modificación de los DNS para que apunten a servidores controlados por los criminales presuntamente creadores de este malware, y la instalación de un certificado raíz.
De esta forma al intentar buscar una dirección, la respuesta de donde se encuentra ese servidor la da el DNS maligno en vez del de Google. Con esto se aseguran que una gran cantidad de personas puedan ver sus paginas de phishing sin sospechar mayormente de que se trata de una estafa.
Con la instalación del certificado consiguen que las páginas malignas que ellos preparan no levan sospechas en los navegadores al existir un certificado para estos sitios falsos.
Además permite que la comunicación entre el usuario y otro servicio sea fácilmente “espiable” por un ataque del tipo MitM (Man-in-the-Middle u hombre-en-el-medio) y así robar información como por ejemplo credenciales de correo, bancarias, privadas, etc…
Como si fuera poco lo ya indicado, este malware incluye funciones como ejecución de código remoto, descarga de archivo, control de mouse, etc. Por lo que se presume que su principal función es el espionaje.
Pero como no todo es catastrófico, los usuarios de Sophos ya se encuentran cubiertos ante esta amenaza. Cabe mencionar que Sophos fue elegido como uno de los mejores Anti Virus para Mac por la prestigiosa revisa especializada MacWorld, siendo el único AV gratuito de este listado.

Vulnerabilidad en todos los procesadores Intel, que hacer.

Diversos fabricantes han publicado parches e información de seguridad con la finalidad de mitigar estas vulnerabilidades, por lo que como proveedor de servicios de seguridad les hacemos llegar.
Esta semana se dio a conocer una vulnerabilidad en la arquitectura de todos los procesadores Intel, en resumen es un problema en el cual es posible acceder a sectores de memoria donde se guarda información del núcleo del Sistema Operativo.
Una falla fundamental en el diseño de los procesadores Intel está forzando el rediseño de los núcleos de Linux y Windows para evitar esta falla de seguridad a nivel de chip.
Programadores están en máxima capacidad para potenciar el núcleo de código abierto en el sistema de memoria virtual de Linux. Mientras se espera que Microsoft introduzca los cambios necesarios en sus Sistemas Operativos Windows el próximo martes de parchado.
Se estima que estas actualizaciones afecten el desempeño de los procesadores Intel. Estos efectos aún están bajo medición aunque se estima un impacto entre el 5% y el 30% en el desempeño.
La solución es básicamente separar la memoria del núcleo completamente de los procesos del usuario usando Kernel Page Table Isolation (KPTI), lo que recientemente fue posible revelar mediante un ataque denominado Forcefully Unmap Complete Kernel With Interrupt Trampolines (o F**KWIT) en el núcleo de Linux.
Cuando un programa necesita realizar cualquier acción como escribir un archivo o abrir una conexión de red, pasa el control temporalmente al procesador para que el núcleo realice la tarea. para realizar esta transición del usuario al núcleo y de vuelta lo mas rápida y eficientemente posible, el núcleo se presenta en todos los espacios de memoria virtual de los procesos, aún cuando no sea visible para los programas. Luego cuando se necesita el núcleo, el programa realiza una llamada al sistema, el procesador cambia al modo de núcleo y lo accede. Cuando está realizado, la CPU es indicada a volver al modo de usuario para re-entrar al proceso, mientras en el modo de usuario el código del núcleo y sus datos permanecen fuera de vista pero presentes en las tablas de paginación del proceso.
Los parches KPTI mueven el núcleo a una dirección completamente diferente a los procesos del usuario, de forma que no sea visible en absoluto. Con esto se pretende evitar que código maligno vulnere la protección mediante Kernel Adress Space Layout Randomization (KASLR). Este mecanismo de defensa usado por varios Sistemas Operativos para alojar componentes del núcleo en ubicaciones aleatorias en la memoria virtual.
Esto parece una buena solución, pero, los procesadores modernos realizan “ejecución especulativa”, al ejecutar una instrucción la CPU intenta predecir cual será la próxima instrucción que debe ejecutar, la prueba y si es válida la realiza. Hay una falta de seguridad en esta ejecución especulativa que al combinarse con lo anteriormente explicado permitiría eventualmente que un proceso a nivel de usuario pueda acceder directamente a instrucciones del núcleo y procesador, lo cual es peligroso.
¿Como afecta esto a usuarios Sophos?
El 3 de enero del presente año, Microsoft liberó un aviso de seguridad el cual incluye actualizaciones de emergencia para el problema, esto incluye contactar al fabricante de su Anti Virus para comfirmar que es compatible con el parche y a la vez definir una llave específica en el registro de Windows.
Sophos ha finalizado las pruebas de compatibilidad con la isntalación de este parche y con la modificaciáon del registro de Windows, confirmando de que no existen problemas de compatibilidad.
Sophos comenzará a agregar de forma automática la llave de registro a los siguientes productos de Sophos Endpoint y Server desde el 5 de enero de 2018:
Sophos Central Endpoints/Servers

Sophos Enterprise Console Endpoints/Servers

Preview subscriptionRecommended subscription

Sophos Endpoint StandaloneSophos Virtual Enviroment (SVE)UTM Managed EndpointsSophos Home

Los clientes que deseen aplicar el parche de inmediato, antes de que la actualización de Sophos lo realice automáticamente, pueden realizarlo de forma manual tal como se indica en el articulo de Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002.
Alternativamente es posible descargar y aplicar el parche sin la llave de registro.
Tome nota de que Microsoft indica que “además podría ser necesario instalar actualizaciones de firmware desde el fabricante de su dispositivo para protección adicional. Revise con el fabricante de su dispositivo para actualizaciones relevantes”. Para mayor información lea el artículo de Microsoft https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Sophos recomienda que realice pruebas antes de aplicar actualizaciones de firmware en ambientes productivos.
Además Sophos se encuentra evaluando el impacto en sus productos como XG Firewall, UTM y otros appliances que ejecutan Linux y contienen procesadores Intel para asegurarse de que están debidamente protegidos antes esta vulnerabilidad.
Parches e información de otros fabricantes/proveedores:
https://support.f5.com/csp/article/K91229003