Un grupo de hackers crean una “llave maestra” que abre millones de habitaciones de hotel

A partir de hoy, piénselo dos veces antes de dejar pertenencias valiosas en su habitación de hotel. Esta puede ser desbloqueada por un extraño.

Una vulnerabilidad crítica en un sistema de bloqueo electrónico ampliamente utilizado puede aprovecharse para desbloquear cada habitación cerrada en una instalación, dejando millones de habitaciones de hoteles del mundo vulnerables a cualquier delincuente conocedor de la técnica.

Este sistema de cierre está desplegado en más de 42.000 instalaciones en 166 países diferentes, lo que equivale a millones de puertas inseguras.

Los investigadores de F-Secure Tomi Tuominen y Timo Hirvonen lograron construir una llave maestra que podría usarse para acceder a cualquier habitación de hotel que utilice la tecnología Vision de VingCard.

Como se crea la llave maestra

Lo primero que se necesita es una tarjeta electrónica. Cualquier tarjeta electrónica existente, vieja o expirada puede servir.

Para obtener la clave RFID, el atacante podría leer los datos acercándose a un huésped o empleado del hotel que lleve la tarjeta encima. O simplemente reservar una habitación en el hotel y utilizar su propia tarjeta como fuente.

Luego, y con la ayuda de un programador portátil (los cuáles venden en línea por unos cientos de euros), crearía la llave maestra.

Como funciona

El dispositivo en cuestión se mantendría cerca del sistema de bloqueo destino y haría diferentes intentos con diferentes keys hasta finalmente desbloquear la puerta, como se puede ver en este vídeo de demostración.

La empresa F-Secure no ha querido proporcionar más datos técnicos sobre la programación de la tarjeta maestra por razones obvias.

https://safeandsavvy.f-secure.com/2018/04/25/researchers-find-way-to-generate-master-keys-to-hotels/

Fallo sin posibilidad de parche en las Nintendo Switch

Se ha publicado una prueba de concepto para ejecutar código arbitrario a través de un fallo sin posibilidad de parche en modelos del chip NVIDIA Tegra T186/X2.

Kate Temkin, una investigadora de hardware conocida por su participación en el proyecto ReSwitched, para investigar la arquitectura de las consolas Nintendo Switch. Kate, ha publicado un exploit, bautizado Fuseè Geleè, que aprovecha un fallo en el chip NVIDIA Tegra, chip que montan los dispositivos de la desarrolladora japonesa, concretamente en la memoria ROM que utiliza para el arranque.

Este fallo es aprovechado durante la secuencia de carga de la consola para ejecutar código arbitrario, en concreto, durante el proceso denominado: Tegra Recovery Mode. Esto permite, de este modo, instalar un firmware no oficial, por ejemplo, Atmosphere, el núcleo en el que está colaborando Temkin. Esto posibilitaría, entre otras cosas, la instalación de juegos y otro tipo de software no oficiales.

Esta vulnerabilidad no solo afectaría en exclusiva a la consola de Nintendo, otros dispositivos que usen del mismo modelo de chip, fabricado en 2016, podrían verse afectados.

Debido al carácter de memoria de solo lectura, el chip no puede ser actualizado posteriormente a su instalación en fábrica, por lo que a menos que se sustituya físicamente, la consola permanecería vulnerable, sin posibilidad de corrección aunque se actualice el firmware oficial.

La descubridora ha publicado un detallado documento donde se describe el fallo. Básicamente, un error en una función de copia de memoria en las rutinas de control de dispositivos USB, en la cual es posible manipular un parámetro para controlar la dirección de retorno de la función. Debido a que la función se ejecuta durante un contexto de máximo privilegio, es posible hacerse con el control del sistema antes de que este fuerce medidas de seguridad y contención de permisos sobre los procesos en ejecución.

No es previsible que este fallo pueda ser corregido en las Nintendo Switch y otros dispositivos que porten el mencionado chip afectado, por lo que una nueva versión libre de este fallo teóricamente sólo será aplicable a futuros modelos.

Denegación remota de servicio en Microsoft Internet Explorer 11

John Page, conocido bajo el nick ‘hyp3rlinx’, ha descubierto un error en el procesamiento de páginas web por parte de Internet Explorer 11 para Windows 10 que permite forzar el cierre del navegador

Internet Explorer todavía no está muertoMicrosoft Edge es el sucesor, y de hecho es el navegador predeterminado ya en Windows 10. Pero tal y como reza Microsoft en su página oficial, si todavía usas ActiveX (simplificando, esa tecnología muerta usada para ampliar la funcionalidad de Internet Explorer) porque las aplicaciones web en tu empresa lo usan, debes usarInternet Explorer, ya que Edge ya no soporta ActiveX.

Y como sigue vivo, los exploiters siguen dedicando esfuerzos a buscarle las cosquillas al viejo navegador. En este caso, ha sido hyp3rlinx quien se las ha encontrado, creando una página web especialmente diseñada que fuerza al proceso de Internet Explorer a realizar una acción inválida y provoca que el sistema operativo fuerce su cierre. Específicamente, el fallo se produce cuando Internet Explorer se encuentra con una etiqueta HTML ‘a’ con el atributo ‘href’ apuntando a un valor como ‘.exe’. Básicamente, que contenga únicamente una de ciertas extensiones de archivos precedida con un punto, siendo estas extensiones al menos ‘exe’, ‘com’, ‘pif’, ‘bat’ y ‘scr’.

Tal y como el autor reporta la vulnerabilidad, especificando una versión muy concreta (Microsoft Internet Explorer 11.371.16299.0 para Windows 10) sin mencionar rangos, es posible que sea un fallo para esa versión específica. Desde Hispasec hemos podido comprobar que no afecta a la versión deInternet Explorer que viene por defecto con una de las primeras versiones de Windows 10. El impacto de esta vulnerabilidad es fácil de entender:cualquier usuario que visite una página web en la que el atacante pueda insertar un enlace puede terminar con el navegador cerrado.

A la fecha de escritura de este artículo, esta vulnerabilidad no tiene identificador CVE ni ha sido reconocida por Microsoft.

Microsoft (Win 10) InternetExplorer v11.371.16299.0 – Denial Of Service
http://hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-(Win-10)-DENIAL-OF-SERVICE.txt

Guía empresarial acerca del uso de Microsoft Edge e Internet Explorer 11
https://docs.microsoft.com/es-es/microsoft-edge/deploy/enterprise-guidance-using-microsoft-edge-and-ie11

Software malicioso escondiéndose detrás de la apariencia de AdBlock

Un gran número de usuarios se han visto afectados por extensiones maliciosas en el market de Google Chrome, según un reciente estudio.

 

Cada día vemos nuevas técnicas de ataque hacia el usuario, una de ellas es hacer pasar extensiones maliciosas como verdaderas, incluso llegando a colgarlas en markets oficiales. Y como no podría ser menos no se libra AdBlock,  el famoso complemento para diversos navegadores que bloquea la publicidad de los sitios web que visitamos.

El peligro de estas aplicaciones es que se posicionan en lo más alto en el market mediante el uso de palabras claves, siendo suficiente para ganarse la confianza de los usuarios.

Esto ha quedado demostrado en un reciente estudio del investigador de seguridad Andrey Meshkov, que ha publicado una lista de cinco extensiones de AdBlock falsas. Estas  contenían código malicioso que permitían el control total del navegador, y acceder a toda la información disponible.

Adblock falsos

Este investigador informó a Google de sus hallazgos y se han eliminado todas las extensiones referentes a bloqueadores de anuncios que tenían presencia de código malicioso. La lista de complementos era la siguiente:

  • AdRemover para Google Chrome ™ (10 millones + usuarios)
  • uBlock Plus (8 millones + usuarios)
  • [Fake] Adblock Pro (2 millones + usuarios)
  • HD para YouTube ™ (400,000+ usuarios)
  • Webutation (más de 30,000 usuarios)
Debemos tener en cuenta que el número de instalaciones totales asciende a unos 20 millones de instalaciones, cuando por ejemplo añadimos ‘AdRemover’ a nuestro navegador, estamos instalando el código malicioso que se encuentra escondido dentro de una versión modificada de ‘jQuery’, la conocida biblioteca JavaScript. AdRemover’ recibe comandos de un servidor remoto, que se ejecutan en segundo plano y obtienen el acceso al navegador por parte de los atacantes.
Como norma general se recomienda instalar extensiones de la que sepamos su procedencia y sean oficiales. En la sección de Más Información podéis ver noticias de este blog relacionadas con la temática de las aplicaciones maliciosas en markets oficiales.
https://blog.adguard.com/en/over-20-000-000-of-chrome-users-are-victims-of-fake-ad-blockers/

Fallo de seguridad CRÍTICO sin parchear en dispositivos de almacenamiento LG

Aviso importante: Si ha instalado un dispositivo de almacenamiento en red LG, debe desconectarlo inmediatamente.

Un investigador de seguridad de la empresa VPN Mentor ha descubierto una vulnerabilidad de ejecución de código remoto en varios modelos de dispositivos LG NAS. Este fallo podría permitir a un atacante comprometer los dispositivos vulnerables y robar datos almacenados en ellos.

Los dispositivos NAS son unidades de almacenamiento de archivos conectadas a una red que permite a los usuarios almacenar y compartir datos con varios equipos.

El fallo en cuestión, reside en la validación incorrecta del parámetro “contraseña” de la página de inicio de sesión para la administración remota del dispositivo. Explotando este campo, los atacantes pueden pasar comandos arbitrarios del sistema.

El modo de actuar más simple para la explotación del fallo es inyectando una shell simple con la que poder ejecutar los comandos con mayor comodidad.

Con el uso de la shell, los atacantes pueden incluso descargar la base de datos completa del dispositivo NAS, incluidos los correos electrónicos, los nombres de usuario y las contraseñas hasheadas en MD5.

Dado que el cifrado MD5 es muy débil y se puede romper con facilidad, un atacante remoto podría obtener acceso autorizado y robar datos sensibles almacenados en los dispositivos vulnerables.

Otra manera de actuar sería agregar un nuevo usuario al dispositivo mediante los comandos ejecutados en la shell, e iniciar sesión con esas credenciales.

Este último modo de actuar lo vemos en el siguiente vídeo:

Dado que LG aún no ha lanzado una actualización que solucione el problema, se recomienda a los usuarios que posean alguno de estos dispositivos, que lo desconecte hasta que el fallo sea parcheado.

Para los usuarios que no quieran prescindir del uso de su dispositivo NAS, se recomienda asegurarse de que su dispositivo no es accesible desde Internet, que estén protegidos por un firewall que solo permita el acceso a ellos por un grupo confiable de IPs y que observen periódicamente cualquier actividad sospechosa en la verificación de usuarios y contraseñas.

Actualización de seguridad del lenguaje Perl

Perl es un popular lenguaje de programación creado en 1987 por Larry Wall. Es un lenguaje polifacético y usado en multitud de entornos y plataformas.

 

La distribución del lenguaje ha recibido una actualización de seguridad que corrige tres vulnerabilidades importantes que podrían causar revelación de información, denegación de servicio y potencialmente ejecución de código arbitrario.

El primer fallo ha sido descubierto por Brian Carpenter. Se trata de un error en el procesamiento de expresiones regulares que podría causar un desbordamiento de memoria pasada en montículo a través de una expresión regular maliciosa.

El segundo fallo, descubierto por Nguyen Duc Manh, también afecta al mismo componente al hacer referencia a un elemento ya definido. Esto podría desencadenar la revelación de partes de la memoria y potencialmente un desbordamiento de memoria basada en montículo.

El último fallo ha sido descubierto por GwanYeong Kim y afecta a la función ‘pack()’. Se trata, del mismo modo, de un desbordamiento de memoria basada en montículo cuando se está procesando un gran número de objetos.

Los fallos afectan desde la versión de Perl 2.18 a la 2.26.1 inclusives.

Más información
heap-buffer-overflow (WRITE of size 1) in S_regatom (regcomp.c)https://rt.perl.org/Public/Bug/Display.html?id=132227

Heap-buffer-overflow in Perl__byte_dump_string (utf8.c)
https://rt.perl.org/Public/Bug/Display.html?id=132063

heap-buffer-overflow in S_pack_rec
https://rt.perl.org/Public/Bug/Display.html?id=131844

Una vulnerabilidad en un dispositivo IoT pone patas arriba la seguridad de un casino

El jueves de la pasada semana el CEO de la empresa de seguridadDarktrace, Nicole Eagan, que asistía al evento WSJ CEO Council Conference en Londres, contó ante los asistentes un escenario que cada día está tomando mayor repercusión: acceder a un sistema informático a través de un dispositivo IOT.

 
La noticia de la cual se hacía eco Nicole Eagan, sin citar ni a la empresa comprometida ni al dispositivo IoT, era que un casino había sido ‘hackeado’ a través de una vulnerabilidad en el termómetro de uno de los acuarios que formaban parte de la decoración. La información obtenida por los atacantes era la base de datos de los clientes del casino.
 
Este escenario que se presentaba el pasado jueves bien podría formar parte de la próxima película de Ocean’s Eleven, pero la realidad no es mucho más halagüeña. El número de dispositivos IoTs que conectamos a nuestra red no para de aumentar. Esta situación unida a la escasa seguridad que presentan algunos dispositivos IoTs hacen que estos dispositivos sean una puerta de entrada sobre la que después pivotan los atacantes hacia objetivos de mayor criticidad.
 
La empresa consultora Gartner asegura que en el último año había crecido un 31% el número de dispositivos IoT, llegando a la cifra de 8.400 millones de dispositivos conectados, y para 2020 la previsión es que esta cifra superará los 20 mil millones de dispositivos.
Para las empresas es vital tener un correcto plan de auditoría técnica que permita a expertos revisar la seguridad de toda su red para poder detectar y mitigar estos problemas de seguridad.

Vulnerabilidades en VMware vRealize Automation 7

VMware ha publicado un boletín de seguridad con el objetivo de corregir dos vulnerabilidades en el panel de control de vRealize Automation, ambas relacionadas con el robo de sesiones de usuario

VMware vRealize Suite es una plataforma orientada a la gestión de la nube. De esta suite forma parte VMware vRealize Automation, la parte encargada de automatizar varios aspectos de la gestión de la nube, que presenta al usuario un panel de control web como parte de su funcionalidad. Precisamente a este panel mencionado le afectan dos vulnerabilidades relacionadas con el robo de sesiones de usuario,

La primera de las vulnerabilidades, identificada como CVE-2018-6958, es el clásico cross-site scripting. Básicamente consiste en la posibilidad de inyectar código JavaScript de forma inesperada en una página web, cosa que es posible porque la página web no limpia adecuadamente la entrada de datos de un usuario. Y por tanto, éste puede introducir datos especialmente diseñados para provocar la inyección. De hecho, es particularmente peligroso cuando los datos especialmente diseñados persisten de una carga de la página a otra, por almacenarse en la base de datos de la página. Esto permite que otro usuario distinto sufra la ejecución de la inyecciónJavaScript. El escenario descrito es de los más peligrosos para esta vulnerabilidad, y puede permitir el robo de sesión al obtener la cookie de otro usuario.

La segunda vulnerabilidad, con identificador CVE-2018-6958, refleja un problema en el manejo de identificadores de sesión de usuario. Según afirman, puede llevar a que se secuestre la sesión de un usuario. Si bien no especifican cómo, es bastante probable que sea porque los identificadores de sesión generados sigan un patrón, y que por tanto sea posible averiguar identificadores existentes o predecir los identificadores futuros. Ya que losidentificadores de sesión se suelen presentar como una cookie, sería tan fácil como una vez obtenido el identificador de otro usuario, presentarlo como tuyo introduciendo esa cookie en tu navegador.

Ambas vulnerabilidades afectan a distintas versiones de la rama 7 de VMware vRealize Automation, y se han publicado versiones corregidas según indica el mismo boletín informativo.



Más información:
 
VMSA-2018-0009: vRealize Automation updates address multiple security issues
https://www.vmware.com/security/advisories/VMSA-2018-0009.html

HoleyBeep: escalado de permisos en Linux usando Beep

El programa Beep, disponible en la mayoría de distribuciones, no parecía mantenerse desde el año 2013 a pesar de emplear el ejecutable el bit SUID

Parece casi una broma, como así evidencia la web creada para la ocasión (holeybeep.ninja) con un gran sentido del humor, pero fallos como estos no hacen más que demostrar la falta de auditoría de código, más en casos como estos en los que el programa hace uso del bit‘SUID’.

El bit ‘SUID’, permite la ejecución de un programa como otro usuario (el creador del ejecutable) para así poder realizar operaciones que normalmente no podría realizar el usuario que emplea el programa. Un ejemplo clásico es el comando ‘passwd’: este  programa requiere modificar el archivo protegido del sistema (‘/etc/shadow’) donde se almacenan las contraseñas de los usuarios, pero un usuario común requiere poder cambiar su propia contraseña (pero no la del resto de usuarios). En este caso, el programa ‘passwd’se ejecuta como root a pesar de emplearse por un usuario sin permisos, y es el programa el encargado de asegurar que el usuario no pueda realizar acciones que pongan el sistema en riesgo.

En el caso que nos ocupa, el programa Beep, que hace uso del bit ‘SUID’ para ejecutarse como root por un usuario común, llevaba varios años sin actualizarse. Cualquiera pensaría que un programa de este tipo, de tan solo 375 líneas de código y tantos años a sus espaldas (la versión 1.2.2 es de 2002) no contaría con vulnerabilidades, lo que ha quedado patente que no es así. La vulnerabilidad (CVE-2018-0492) es provocada por un efecto carrera que permitiría escribir a un archivo protegido tal y como se explica en Pirhack’s Blog, y así escalar privilegios.

La vulnerabilidad, de la que ya hay un ejemplo de explotación, aprovecha que la función‘handle_signal del programa es un signal (permitiendo su ejecución en cualquier momento), para así ejecutarse manteniendo el valor anterior de la variable console_type, y el nuevo de la variable console_fd, y así poder escribir a cualquier archivo.

Por suerte el programa no se encuentra instalado de serie en distribuciones como Debian, aunque sí es un paquete conocido y utilizado por scripts. Aunque las vulnerabilidades para escalado de permisos son comunes, los ejecutables que hacen uso del bit ‘SUID’ deberían ser los primeros en ser analizados en busca de este tipo de errores.

Más información:
 
Holey Beep:

Fallo en Outlook permite usar ficheros OLE remotos para filtrar la contraseña del usuario

Se ha descubierto un fallo en Outlook que permite la carga de objetos OLE remotos solo previsualizando un correo electrónico. Esto podría usarse para acceder a información secreta del usuario, como el hash de la contraseña del usuario de Windows.

 

Nos situamos en 2016. Buscando técnicas para saltar ASLR de Windows, el investigador Will Dormann, miembro del CERT, empieza a hacer pruebas incrustando ficheros OLE en el contenido de ficheros de formato de texto enriquecido (RTF). Sin embargo, la vulnerabilidad que encontró iba más allá de sus objetivos iniciales.

Desde hace tiempo, Microsoft Outlook (y la mayoría de clientes y plataformas de correo) bloquea la carga de imágenes remotas en correos HTML como medida de protección de la privacidad, concretamente para no desvelar la dirección IP. Para cargarlas, pide interacción del usuario.

Sin embargo, al enviar correos RTF con objetos OLE remotos incrustados, Dormann comprobó que se carga el contenido automáticamente y sin pedir ninguna autorización cuando estos objetos están alojados en un servidor SMB. Es más, esta carga no se realiza al abrir el correo, sino simplemente previsualizándolo.

A diferencia de los correos HTML, que revelarían únicamente nuestra dirección IP, al iniciar una  conexión SMB estaríamos enviando al servidor remoto mucha más (y más crítica) información del sistema:

  • Dirección IP.
  • Nombre de dominio.
  • Nombre de usuario.
  • Nombre del equipo.
  • Clave de sesión SMB.
Información revelada durante la carga de objetos OLE embebidos en un RTF previsualizado por Microsoft Outlook. Obtenida de: https://insights.sei.cmu.edu/cert/2018/04/automatically-stealing-password-hashes-with-microsoft-outlook-and-ole.html

Una vez abierta la puerta a conexiones arbitrarias a servidores SMB, nos queda estudiar qué información adicional podemos obtener y cómo la podemos explotar. En este caso, Dormann aprovecha una vulnerabilidad en los clientes SMB para provocar una denegación de servicio en el sistema del usuario. 

Explotación de vulnerabilidad en el cliente SMB de Microsoft a travér de Outlook. Obtenida de: https://insights.sei.cmu.edu/cert/2018/04/automatically-stealing-password-hashes-with-microsoft-outlook-and-ole.html

También, usando la herramienta Responder pudo interceptar conexiones del protocolo NTMLv2, que incluye el hash de la contraseña de usuario de Windows. Si esta contraseña es débil, descifrarla es cuestión de segundos.

Información obtenida a través de la petición SMB. Obtenida de: https://insights.sei.cmu.edu/cert/2018/04/automatically-stealing-password-hashes-with-microsoft-outlook-and-ole.html

Esta vulnerabilidad (CVE-2018-0950) ha sido solucionada en el último boletín de Microsoft. Ahora no se producen visualizaciones de contenido remoto OLE. Sin embargo, este no es el único modo en el que se podría forzar al cliente SMB de Windows iniciar una conexión SMB, por lo que se recomienda el bloqueo de los puertos involucrados en este tipo de conexiones.

Más información:
 

Automatically Stealing Password Hashes with Microsoft Outlook and OLE:
https://insights.sei.cmu.edu/cert/2018/04/automatically-stealing-password-hashes-with-microsoft-outlook-and-ole.html