Comprometidas dos populares extensiones de Google Chrome

El equipo de seguridad de Google ha enviado advertencias a través de e-mail a los desarrolladores de extensiones de Chrome después de que muchos de estos fuesen objetivos de ataques de phishing. Algunos de estos ataques consiguieron su objetivo y permitieron el robo de algunas extensiones.

Estos ataques tuvieron lugar la semana pasada, cuando las cuentas de los desarrolladores de las extensiones CopyFish (80.000 usuarios) y Web Developer (100.000) se vieron comprometidas. Los atacantesaprovecharon para insertar código malicioso de adware en la extensión. De esta manera consiguieron ingresos a través de todos los usuarios que las tuvieran instaladas.
Estos ataques llevan cerca de dos meses produciéndose sin que hasta la fecha nadie se haya percatado. El phishing en cuestión se hace pasar por una cuenta oficial de Google, informando a los desarrolladores de una supuesta violación de los terminos de servicio de Chrome Web Store. Es entonces cuando las víctimas accedian a un sitio falso que solicitaba el login a una cuenta de Google.
Phishing email
Captura de los e-mails de phishing. Fuente: www.bleepingcomputer.com

 

Los avances en la investigación indican que los dominios utilizados para robar la información de estas dos extensiones son los mismos, y el e-mail prácticamente idéntico, lo que apunta a un actor común en ambos ataques. La misma estrategia fue probada de nuevo en agosto, pero esta vez Google Safe Browsing bloqueó estos enlaces fraudulentos.
Tras el secuestro de las extensiones, Google envió un e-mail a todos los desarrolladores informando de la situación e indicando las instrucciones para reportar futuros casos similares.
Google email warning
Captura del e-mail de alerta de Google. Fuente: bleepingcomputer.com
Más información:

Chrome Extension Developers Under a Barrage of Phishing Attacks

Microsoft soluciona 48 vulnerabilidades en sus boletines de agosto

Esta vez, son un total de 48 vulnerabilidades las solucionadas por Microsoft, de entre las cuales 25 son consideradas críticas, repartidas entre 6 productos: Windows en sus diferentes versiones, Internet Explorer, Edge, SharePoint y SQL Server y finalmente Adobe Flash Player que sin ser producto de Microsoft ya es un habitual en sus boletines.

Entre las vulnerabilidades encontradas destaca la identificada como CVE-2017-8620. Descubierta por Nicolas Joly de MSRC, este fallo está presente en todas las versiones de Windows con soporte (desde Windows 7 a Windows Server 2016) y permite la ejecución remota de código arbitrario a través del servicio Windows Search.

La vulnerabilidad es especialmente crítica teniendo en cuenta que este servicio es accesible desde varios componentes del sistema, entre ellas el menú de Inicio y el navegador de ficheros. Además, según los comentarios finales del reporte:

Additionally, in an enterprise scenario, a remote unauthenticated attacker could remotely trigger the vulnerability through an SMB connection and then take control of a target computer.

Es decir: sería posible para un atacante remoto no autenticado explotar la vulnerabilidad a través de conexiones SMB. Por este motivo, este fallo es señalado por varios expertos como el de mayor prioridad a la hora de parchear.

Precisamente, esta vulnerabilidad junto con CVE-2017-8627 y CVE-2017-8633 son las únicas que han sidoreveladas antes de que se publicara el boletín, aunque en el mismo Microsoft afirma que no se conocen casos de explotación hasta el momento.

Finalmente, un breve repaso al resto de las vulnerabilidades:

  • Dos de los problemas afectan al Subsistema de Windows para Linux, siendo el más crítico el identificado como CVE-2017-8622, cuyo impacto es elevación de privilegios.
  • Un total de 19 vulnerabilidades afectan a Microsoft Scripting Engine, siendo 17 de ellas corrupciones de memoria.
  • Los navegadores también reciben actualizaciones: Explorer (4) y Edge (7), siendo solo 2 de ellas críticas.
  • En el boletín se incluyen las vulnerabilidades CVE-2017-3085 y CVE-2017-3106 de Adobe Flash, que podrían permitir la ejecución remota de código.
  • Corregidas 2 vulnerabilidades en Windows HyperV, una de ellas permitiendo la ejecución remota de código.
  • Se corrige una vulnerabilidad XSS en Microsoft Sharepoint.
Especialmente útil cuando se tratan de reportes tan extensos (el boletín consta de 121 entradas este mes) es este script en PowerShell creado por John Lambert, empleado de Microsoft, que organiza el boletín por CVEs de forma más clara.
Más información:

August 2017 Security Updates

cURL y libcurl afectados por varias vulnerabilidades

Se ha publicado una nueva versión de la librería libcurl y de la propia herramienta curl, para corregir 3 vulnerabilidades que podrían permitir a un atacante local o remoto obtener información sensible o causar una denegación de servicio


cURL es un cliente de transferencia de archivos multiprotocolo que también tiene una versión en formato librería (libcurl) para poder ser integrado en productos de terceros. Es una de las herramientas de referencia en su ámbito, y es utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs. En su página web aparece una lista incompleta de los productos comerciales que usan libcurl.
Son tres las vulnerabilidades que se han corregido en esta nueva versión:
  • La vulnerabilidad identificada como CVE-2017-1000101, afecta únicamente a la versión de línea de comandos (no a la librería). Básicamente es un error al parsear una URL con formato incorrecto, que podría permitir la lectura de una pequeña cantidad de memoria del proceso (o al menos, detener el proceso). El escenario de ataque más claro es un atacante local que introduce una URL especialmente manipulada en una aplicación que usa libcurl
  • Otra vulnerabilidad, ésta identificada como CVE-2017-1000099afecta a ambas versiones, línea de comandos y libcurl. El error se produce por utilizar por error un trozo de memoria no inicializadocuando se realiza una petición a una URL con protocolo file:// (archivos locales), lo que confunde al programa y puede terminar devolviendo al usuario un trozo extra inesperado de memoria dinámica en una pseudo-cabecera HTTP (cURL devuelve los metadatos del archivo como cabeceras HTTP). El escenario de ataque sería muy similar al de la vulnerabilidad comentada anteriormente.
  • Y finalmente, el CVE-2017-1000100 también afecta a ambas versiones, línea de comandos y libcurl. Este error sí que tiene bastante más peligro, y recuerda un poco a Heartbleed, aunque en este caso sería revelación de información del cliente hacia el servidor, y no al contrario. El problema es que las URL’s con protocolo TFTP que son demasiado largas son truncadas por cURL cuando se almacenan en memoria, pero cURL usa la longitud previa al truncamiento cuando quiere transmitir información al servidor. Por lo que termina saliendo de los límites de memoria asignado y envía más de lo debido. Debido a la estructura de memoria dinámica no se puede saber qué hay exactamente después, pero podría ser cualquier cosa. El ataque más simple sería, ante una petición al servidor maligno, que éste redirigiese a una URL especialmente manipulada con protocolo TFTPapuntando al mismo servidor (para recoger la memoria filtrada).
La nueva versión publicada es la 7.55.0, no es una versión publicada expresamente para corregir vulnerabilidades (es decir, resuelve otros fallos no relacionados con la seguridad y añade nuevas funcionalidades), y está disponible desde https://curl.haxx.se/download.html. También se han publicado parches individuales para solucionar los diferentes fallos de seguridad.