Kaspersky VPN – Descubierto bug que afecta a millones de usuarios

La versión 1.4.0.216 de Kaspersky VPN presenta una fuga de DNS que podría revelar información sobre las páginas visitadas por los usuarios.

El bug se encontraba en el servicio VPN ofrecido por Kaspersky, también conocido como “Secure Connection” y que según Kaspersky cuenta con más de un millón de usuarios en todo el mundo.

En Android, Kaspersky VPN – Secure Connection tiene más de 1.000.000 de descargas

Cuando un usuario se conecta a una VPN, todo el tráfico pasa a través de un túnel cifrado al servidor VPN, por lo que al servidor de destino le llega la dirección IP de dicho servidor.

Funcionamiento VPN

El problema surge cuando Kaspersky VPN no redirige las consultas al servidor DNS cifradas, por lo que el servidor DNS podría registrar los sitios web que visitan los usuarios e incluso vincularlos a su dirección IP.

Este bug fue descubierto por el analista de seguridad Dhiraj Mishra, en su blog indica los pasos a seguir para reproducir el problema:

  1. Visitar IPleak.net
  2. Conectarse a cualquier servidor virtual utilizando Kaspersky VPN.
  3. Una vez conectado, volver a visitar IPleak.net. Se podrá observar que la dirección DNS no ha cambiado.
 
Kaspersky a solucionado este fallo en la versión 1.4.0.453. Se recomienda actualizar a la última versión disponible.
Más información:
 
A bug that affects million users – Kaspersky VPN | Dhiraj Mishra
https://www.inputzero.io/2018/08/kaspersky-vpn-leaks-dns-address.html

El cifrado Speck gana presencia en el kernel Linux

Speck es un algoritmo de cifrado ligero, especialmente diseñado para dispositivos IoT, con baja capacidad de cómputo y creado por la NSA, la Agencia de Seguridad Nacional de Estados Unidos.

 


Esta tecnología, que fue aceptada por una petición de Google para dar soporte de cifrado al nuevo sistema operativo Android Go en la versión 4.17 del kernel Linux, ha aumentado su presencia en el kernel de Linux debido a la inclusión de Speck128 y Speck256 como algoritmos compatibles en FSCRYPT.

Speck al igual que Simon, fueron publicadas en 2013 como dos tipos cifrados diseñados para sistemas ligeros. Speck es un cifrado add-rotate-xor (ARX) diseñado para ser lo más ligero posible, mientras que su algoritmo hermano, Simon, se ha optimizado para implementaciones de hardware.
 
El hecho de que ambas tecnologías de cifrado hayan sido desarrolladas por la NSA y que hayan sido rechazadas por la Organización Internacional de Estándares (ISO), han rodeado a esta decisión de una latente desconfianza por parte de la comunidad.
Si tiramos de antecedentes, esta desconfianza está sustentada por hechos como las filtraciones sobre que el software de cifrado Truecrypt estaba ‘backdoreado’ por la NSA. Caso que finalmente por medio de dos auditorias quedó descartado, excepto por los más escépticos que vieron en el abandono de sus desarrolladores un argumento a favor de sus convicciones.
Más información:
Auditoría Truecrypt:
https://www.pcworld.com/article/2905995/truecrypt-audit-shows-no-sign-of-nsa-backdoors-just-some-minor-glitches.html

Man-in-the-Disk: el nuevo ataque que ha dejado a millones de teléfonos Android vulnerables

El ataque aprovecha la forma en la que las apps utilizan el sistema de almacenamiento externo para dar como resultado una inyección de código.

Los investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.

Conceptos base:

Es bien conocido que las aplicaciones en el sistema operativo Android pueden almacenar sus recursos en el dispositivo en dos ubicaciones: almacenamiento interno y externo.

Google, insta a los desarrolladores a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el ‘sandbox’ integrado de Android, para almacenar sus archivos o datos confidenciales.

Sin embargo, los investigadores encontraron que muchas aplicaciones usaban almacenamiento externo sin protección al que cualquier aplicación instalada en el mismo dispositivo puede acceder.

Explicación del ataque:

Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Dado que la aplicación no puede validar la integridad de los datos, el código de la actualización legítimo de la aplicación se puede reemplazar por uno malicioso.

Demostraciones:

 
Entre las aplicaciones que han probado se encuentran: Google Translate, Yandex Translate, Google Voice Typing, Lg World, … entre otras.

Los investigadores recalcan que solo han probado una pequeña cantidad de aplicaciones importantes y, por lo tanto, esperan que el problema afecte a un número más signifitcativo.

Oleada de ataques de ‘cryptojacking’ afecta a más de 200.000 routers MikroTik

Una campaña de ataques de ‘cryptojacking’ afecta a más de 200.000 routers MikroTik de operadores brasileños.

 

El 23 de abril, la empresa MikroTik publicaba un parche que solucionaba una vulnerabilidad en el módulo ‘Winbox’ de su sistema ‘RouterOS’ hasta la versión 6.42.

Después de casi cinco meses, todavía son muchos los dispositivos que no han sido parcheados y que por lo tanto son vulnerables a CVE-2018-14847. Debido a esto, más de 200.000 routers MikroTik, la mayoría localizados en Brasil, se han visto afectados por una oleada de ataques de ‘cryptojacking’ que utilizaban el software ‘CoinHive’ para minar criptomonedas.

El atacante se las ingeniaba para ejecutar el script de CoinHive en el navegador de las víctimas. Lo hacía de varias maneras:

Aprovechando la vulnerabilidad antes mencionada, el atacante modificó las páginas de error del webproxy para incluir el script de minado.

Página de error manipulada. Fuente: www.trustwave.com
Página de error manipulada. Fuente: www.trustwave.com


De esta manera, cuando el usuario recibía una página de error, se ejecutaba el script que utilizaba los recursos de la víctima para minar.

Investigaciones posteriores descubrieron otros mecanismos que el atacante utilizaba para inyectar el script de minado en todas las páginas web que visitaba la víctima. Para ello se modificaba el módulo ‘wireless’ para inyectar el script en el html de las páginas que visitaban los clientes conectados al router por esta vía.

Módulo ‘wireless’ manipulado. Fuente: www.trustwave.com
Módulo ‘wireless’ manipulado. Fuente: www.trustwave.com

El atacante también se preocupó por la persistencia de su ataque. Aprovechando los permisos de administrador obtenidos al explotar la vulnerabilidad, añadió una tarea al planificador de procesos de RouterOS que descargaba y ejecutaba el script ‘u113.rsc’. Así, cada cierto tiempo se descargaban las paginas de error modificadas y se creaba la cuenta ‘ftu’ que servía de ‘backdoor’. Además de algunos comandos que tenían como objetivo limpiar el rastro del atacante para evitar su detección.

Planificador de procesos de RouterOS. Fuente: www.trustwave.com

Aunque la mayoría de los ataques se localizan en Brasil, se han detectado dispositivos afectados en otros puntos.

Se recomienda actualizar cuanto antes a la última versión disponible del firmware.

Cuando tu impresora es más lista de lo que parece: Ejecución remota en HPCuando tu impresora es más lista de lo que parece: Ejecución remota en HPCuando tu impresora es más lista de lo que parece: Ejecución remota en HP

HP ha publicado un boletín informando de una vulnerabilidad que permite ejecución remota de código en múltiples modelos de impresoras de tinta

La puntuación base CVSS no deja lugar a dudas: un 9.8 sobre 10. Para que nos entendamos, esta vulnerabilidad equivale a dejarse la puerta de casa abierta con las joyas en la mesa del salón. A pesar de que los vectores CVSS muchas veces no permiten describir la complejidad de una vulnerabilidad, un valor extremo es un mensaje claro. Y afectando a múltiples dispositivos, es una pequeña catástrofe. De éstas que te hacen poner un aviso claro en tu web:

En este caso, es posible que el reporte por parte del investigador externo se haya realizado de forma privada, ya que no aparece vínculo alguno al reporte técnico original. Estos reportes suelen ser más técnicos, y te permiten entender la parte importante de la vulnerabilidad, ya que los reportes oficiales suelen ser bastante escuetos y parecen escritos por cumplir. Por tanto, en este caso no podemos ofrecer un análisis técnico de los hechos y nos limitaremos a comentar el boletín oficial y comentar algunos hechos relacionados. La vulnerabilidad es lo más clásico: se manda a imprimir un archivo especialmente diseñado que desborda memoria en la impresora y permite ejecutar código arbitrario.

En el boletín oficial asignan los identificadores CVE-2018-5924 y CVE-2018-5924 a las vulnerabilidades descritas, y especifican una lista bastante larga de productos afectados, viéndose afectadas las impresoras de inyección de tinta (inkjet). También se especifica que se han actualizado los firmwares de las impresoras afectadas, y que los usuarios de éstas deberían actualizar el firmware a la versión indicada siguiendo el procedimiento enlazado en el mismo boletín.

Lo cierto es que es un tema algo candente, y parece ser que con la fiebre de la seguridad del IoT algunos se han dado cuenta de que esos cacharros que imprimen son otro punto vulnerable más. Y lo bueno de una impresora es que no se suele considerar sospechosa, pues se le cree tonta. Y al final es un dispositivo más, probablemente con acceso a Internet y un procesador ARM genérico que ejecutará lo que sea. Tirando un poco de historial y sin irnos muy lejos, podemos comprobar que hace casi un año se descubrieron algunas vulnerabilidades graves en impresoras HPEl reporte técnico que se realizó es para sentarse a leerlo y disfrutarlo.

Respecto a la seguridad de las impresoras, hay una wiki bastante interesante sobre la “(in)seguridad” como dicen ellos mismos de estos dispositivos. Asociado a la wiki disponemos de PRET, un conjunto de herramientas para la explotación de impresoras. Visto el panorama, parece un buen momento para prestarle atención a la explotación de estos dispositivos.

Detectadas aplicaciones en Google Play Store que contienen malware… para Windows

Las aplicaciones se encontraban en el repositorio oficial desde octubre del año pasado. Aunque inofensivas para los usuarios de Android, si se ejecutan en un entorno Windows pueden infectar el equipo con un keylogger.

Imagen obtenida de Palo Alto.

La retirada de aplicaciones de Google Play Store debido a su contenido malicioso no es nada nuevo. De hecho, hace poco una buena tanda de aplicaciones de minería fueron eliminadas del repositorio. Sin embargo, lo curioso de este caso es que, aunque maliciosas, las aplicaciones no presentan riesgos para usuarios de Android. 

Han sido investigadores de Palo Alto los que han detectado un total de hasta 142 aplicaciones disponibles en Google Play Store que contienen al menos un ejecutable malicioso para Microsoft Windows. El fichero es inofensivo para los usuarios móviles, sin embargo su desempaquetado y posterior ejecución en entornos Windows lleva a la infección del equipo con un keylogger.

La teoría más plausible es que sean los propios desarrolladores de las aplicaciones los infectados por malware (posiblemente de varias familias) y durante el proceso de desarrollo los ejecutables se han introducido dentro del APK que ha pasado a distribuirse. Cabe señalar que otras aplicaciones del mismo desarrollador están limpias, lo que apunta a que han sido confeccionadas en otro entorno.

Las APKs involucradas que Palo Alto ha hecho públicas se pueden encontrar en Koodous. Como curiosidad, el ejecutable de Windows fue visto por primera vez en 2013.

Se filtran 11.000 mensajes privados de WikiLeaks

Una activista ha filtrado miles de mensajes privados de la famosa organización conocida por publicar secretos de interés público.

La periodista Emma Best ha publicado más de 11.000 mensajes directos de un grupo de Twitter utilizado por WikiLeaks.

“En varios momentos del chat, hay ejemplos de homofobia, transfobia, sexismo, racismo, antisemitismo y otros contenidos y lenguajes objetables”, explica Best.

Los mensajes filtrados muestran el fuerte favoritismo republicano de la organización, ya que en algunos, escritos seguramente por el fundados de WikiLeaks Julian Assange, llamaban a la candidata Hillary Clinton “sádica” y “sociópata” entre otros. Además, especificaban que sería mucho mejor para el partido Republicano ganar.

También se ven mensajes relacionados con el ex presidente de los Estados Unidos, Barack Obama.

“Obama es solo un centralizador. Es malo porque representacionalmente no se ve ni actúa como lo que él representa. Hillary tiene una confusión de representación similar, pero conducirá activamente la máquina a un lugar oscuro”.

En respuesta a la publicación, WikiLeaks afirma que “Se han manipulado algunos registros pero son útiles de otras maneras”.

El fundador de WikiLeaks, Assange, permanece en la embajada ecuatoriana en Londres, pero los últimos informes indican que Ecuador quiere retirar su asilo político y entregarlo a las autoridades británicas.

Más información:
 
Post de Emma Best:

Incidente de seguridad en Reddit

Reddit, el popular sitio de agregación de noticias y marcadores sociales habría sido hackeado en junio de este año. Registros de eventos, copias de bases de datos y el código fuente (ahora privativo) de Reddit, podría haber sido extraído por el atacante.

Si tienes una cuenta en Reddit, es posible que hayas recibido un correo electrónico como este:

Según un responsable de Reddit, durante el intervalo de tiempo entre el 14 y el 18 de junio, varios servidores de la infraestructura de Reddit habrían sido atacados, con el resultado de la extracción de datos de usuarios, en concreto, direcciones de correo electrónico actuales y una copia de las credenciales de acceso que data del año 2007.

Respecto a las contraseñas, se trataría del grueso correspondiente al año 2007. Una copia de seguridad de los inicios del sitio. Además, y sorprende por la época, las credenciales no estaban guardadas en texto plano (hash + sal). Dado el transcurso de tiempo, es bastante improbable que las contraseñas que puedan extraerse de ahí sean útiles hoy día, aunque no es sorprendente ver cuentas cuyas contraseñas no han sido cambiadas en lustros.

Además, han sido extraídas listas de correos electrónicos de usuarios actuales, procedentes del sistemas de envío de resúmenes de noticias. Estas sí serían actuales, en concreto de todos los usuarios que tuvieran marcada dicha opción durante el día 3 y el 17 de junio. Repetimos: solo un listado de direcciones de correos electrónicos, nada de credenciales, en principio.

Eso respecto a los datos de usuario, pero llama la atención en el post que hace el responsable de Reddit, una anotación que puede pasar desapercibida:

As the attacker had read access to our storage systems, other data was accessed such as Reddit source code, internal logs, configuration files and other employee workspace files, but these two areas are the most significant categories of user data.

Es decir, que la filtración de datos de usuario, que no es precisamente un botín rebosante de maravedies, solo es una pizca de lo acontecido; aunque sí es lo que determina las posibles sanciones administrativas. El código fuente del Reddit actual, privativo, podría estar durmiendo en el disco duro de su asaltante.

Aunque el código fuente de Reddit siempre ha sido publicado con una licencia de fuente abierta, la compañía cerró el código fuente de la aplicación principal (aunque sigue publicando proyectos laterales y herramientas). Según el artículo publicado por el responsable de Reddit, el atacante habría tenido acceso a este código, recordemos, una versión muy distinta a la última versión libre publicada; ya que el sitio recibió un completo lavado de cara a inicios de este mismo año.

Respecto del ataca en si, llama la atención un aspecto importante:

we learned that SMS-based authentication is not nearly as secure as we would hope, and the main attack was via SMS intercept. We point this out to encourage everyone here to move to token-based 2FA.

Aunque las cuentas de empleados que habrían sido hackeadas poseían doble factor de autenticación, este era un mensaje SMS y habría sido interceptado. Ojo, no estamos frente a un ataque oportunista contra servidores y mala configuración. Nos está desvelando una parte importante de como se desarrolló el plan del atacante: fue a por los empleados, y es más que probable que echara mano de ingeniería social o algo más complejo para hacerse con el código de los mensajes SMS enviados a los empleados.

En un comentario aparte, el mismo responsable, comenta que contrataron hace dos meses y medio a un jefe de seguridad. Lo que no deja de llamar la atención, que una compañía con un gran público en Internet, no lo tuviera ya desde hace años.

Como podemos ver, no solo se trata de construir una infraestructura segura. Un ataque centrado en las personas suele ser más fructífero que uno enfocado en la complejidad técnica. En este caso, ni tan siquiera un segundo factor de autenticación ha parado al atacante, quien de una forma u otra se hizo con los mensajes SMS. Es desde luego un ataque muy personalizado, del que sabemos poco pero podemos inferir mucho.

Más información:
 

Una investigación revela infección de terminales iPhone a través de MDM

Interesante trabajo por parte del equipo de seguridad Talos de Cisco, en la que revelan como hasta un total de 13 teléfonos con sistema operativo iOS que habrían sido infectados.

Los detalles técnicos, de obligada y agradable lectura, están en el artículo original publicado en el blog de Cisco Talos. Sintetizando: una investigación de este grupo ha dado con más de una docena de terminales de la marca Apple que podrían haber sido infectados, no con un malware diseñado para esta plataforma sino con la funcionalidad de gestión del dispositivo.

Esquema de infección (Fuente: https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html)

La gestión de dispositivos o Mobile Device Management, está pensada para administrar grandes parques de móviles en entornos de empresa. Pensemos en una organización de tamaño mediano y en la persona que debe instalar las aplicaciones de uso en la empresa, certificados y reglas de restricción sobre el uso de la plataforma. El MDM permite librarle de ese tedioso trabajo. Además también posee interesantes características prácticas como el borrado remoto en caso de pérdida y otras, más orwellianas, como la geolocalización. Apple llama a esto “dispositivo supervisado”.

Naturalmente, no funciona por arte de magia, es necesario o bien tener acceso físico al dispositivo o pidiéndole amablemente a la usuaria o al usuario que proceda a aceptar su sumisión mediante ingeniería social (a veces ni tan siquiera hace falta engañarle un poco, basta pedir que lo acepte sin mas). Una vez se agrega el certificado apropiado (funciona como una especie de autoridad certificadora) es posible instalar y administrar el dispositivo.

Pero eso es solo el principio, hay más. El esquema explota una técnica denominada BOptions sideloading. Consiste en la carga y ejecución de funciones desde una biblioteca dinámica (dylib). Esta biblioteca es incluida con el paquete ipa (el equivalente en iOS a un apk de Android) de una aplicación legítima, lo que deriva en su troyanización. De hecho, los investigadores encontraron hasta tres aplicaciones “retocadas”, algunas muy conocidas por todos: WhatsApp, Telegram y una tercera popular, al parecer, en la India, país en el que se circunscribe el ataque.

Respecto del ataque, llama la atención que solamente haya 13 dispositivos afectados. Según Talos, este ataque llevaba activo 3 años y aunque en su manufactura se dejaran pistas falsas para desviar la atribución, todo parece indicar que se trata de una operación montada desde India. Además, con una intención muy clara de obtener las comunicaciones y localización de las víctimas.

El esquema en si no es original. MDM ya ha dado algún que otro susto, recordemos a SidestepperCuanto más se abre un dispositivo o sistema más se expone a que esa misma funcionalidad retorne como una fresca y sonora bofetada en la cara. Eso si, con la connivencia de la ignorancia de quienes usan el dispositivo.

Más información:

Advance Mobile Malware Campaign in India uses malicious MDM

ZombieBoy, nuevo malware de minado de criptomonedas

ZombieBoy, como lo ha bautizado el analista de seguridad James Quinn, es una nueva familia de malware de minado de criptomonedas que utiliza la capacidad de procesamiento de tu ordenador para obtener Moneros.

ZombieBoy tiene características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima el virus utiliza la herramienta que le da nombre: “ZombieBoyTools”. Esta herramienta aprovecha dos conocidos exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la máquina de la víctima.

Captura de la herramienta ZombieBoyTools. Fuente: www.alienvault.com

Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario “123.exe” desde ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes del malware:

“64.exe”, además de estar encriptado con el packet “Themida” implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza “WinEggDrop” un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente “64.exe” utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:

  • 42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
  • 49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ

El otro componente descargado tiene el nombre de “74.exe”. Se encarga de descargar y ejecutar la DLL “NetSyst96.dll”, heredada del RAT “Gh0stRat”, permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.

“84.exe” es otro de los módulos droppeados por “123.exe”. Al igual que “74.exe” es un RAT utilizado para extraer información adicional sobre la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.

Flujo de actividad. Fuente: www.alienvault.com

Para comprobar si está infectado por ZombieBoy puede buscar si alguno de los binarios implicados se encuentra entre sus procesos:

  • 123.exe
  • 64.exe
  • 74.exe
  • 84.exe
  • CPUinfo.exe
  • N.exe
  • S.exe
  • Svchost.exe (OJO, siempre que no provenga de C:\Windows\System32)

Si es así debería detener estos procesos y borrar los ficheros implicados, así como las entradas al registro introducidas por el virus.

Entradas de registro maliciosas:

  • SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
  • SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc
Ficheros descargados por el malware:
  • C:\%WindowsDirectory%\sys.exe
  • C:\windows\%system%\boy.exe
  • C:\windows\IIS\cpuinfo.exe
  • C:\Program Files(x86)\svchost.exe
  • C:\Program Files\AppPatch\mysqld.dll
  • C:\Program Files(x86)\StormII\mssta.exe
  • C:\Program Files(x86)\StormII\*
  • C:\Archivos de programa (x86)\svchost.exe
  • C:\Archivos de programa\AppPatch\mysqld.dll
  • C:\Archivos de programa (x86)\StormII\mssta.exe
  • C:\Archivos de programa (x86)\StormII\*
Más información:
 
ZombieBoy: