Fallo de seguridad en WhatsApp permite comprometer tu cuenta con solo responder una videollamada

Investigadores de seguridad de Google Project Zero encuentra una vulnerabilidad en WhatsApp que permitiría comprometer tu cuenta con solo responder a una videollamada de WhatsApp

La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un ‘memory heap overflow‘ que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado.

La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas.

Silvanovich ha publicado la prueba de concepto con la información acerca del fallo de seguridad. Aunque esta prueba de concepto solamente provoca que se desencadene la corrupción de memoria haciendo que WhatsApp se cierre, Tavis Ormandy, también investigador de Project Zero, ha afirmado que se puede comprometer completamente WhatsApp con solo responder a una videollamada.

WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible.

Más información:
 
Reporte del fallo:

Múltiples vulnerabilidades en Foxit Reader y PhantomPDF

Foxit ha corregido un total de 18 vulnerabilidades que afectan a Foxit Reader y Foxit PhantomPDF. Estas vulnerabilidades podrían permitir a un atacante provocar denegaciones de servicio, obtener información sensible o la ejecución de código arbitrario.

Foxit es un lector de PDF de la compañía Foxit Software, gratuito en su versión Reader y con versión de pago que permite modificar PDF. Se encuentra disponible para sistemas operativos Windows y GNU/Linux, y en forma de plugin para navegadores web. Supone una alternativa más ligera y apriori menos atacada que al popular lector de PDFs Adobe Reader.

Las vulnerabilidades afectan a las versiones 9.1.0.9292 y anteriores de los productos Reader y PhantomPDF.

El equipo de investigadores de Cisco Talos ha encontrado 18 vulnerabilidades en Fox Reader. Una de las más críticas, afecta al motor JavaScript de la aplicación para crear formularios dinámicos y documentos interactivos.

Esta última vulnerabilidad tiene lugar cuando se lanza código JavaScript embebido en el PDF. Cuando el documento se cierra, liberan numerosos objectos usados, pero en este caso, el código JavaScript embebido continúa ejecutándose, potencialmente provocando que se use memoria que ya fue liberada (‘use-after-free’) en el motor JavaScript de Foxit, lo que potencialmente puede permitir la ejecución remota de código arbitrario.

Más información:

Boletín oficial Foxit:
https://www.foxitsoftware.com/support/security-bulletins.php

Reporte vulnerabilidades Cisco Talos:
https://blog.talosintelligence.com/2018/10/foxit-pdf-reader-multiple-vulnerabilities.html#more

GhostDNS entra en tu router, te cambia la configuración DNS y te roba las credenciales.

DNSchanger no es nada nuevo, pero este caso en particular ha llamado la atención a los investigadores de Netlab, que han descubierto GhostDNS, una botnet basada en el conocido malware y que ha conseguido infectar a más de 100.000 router y afectar a más de 70 firmware diferentes.

the hackers way

 

Los servidores de nombres o DNS se encargan de traducir el dominio que utilizamos para acceder a una página web en la dirección IP del servidor donde se aloja. Generalmente se utilizan servidores DNS de entidades conocidas, como es el caso de Google, OpenDNS o CloudFlare por ejemplo. Si un atacante cambiara el servidor DNS utilizado por uno controlado por él, podría redireccionar un dominio a cualquier IP, de esta manera, si es capaz de duplicar el contenido del sitio web al que accede, podría realizar un ataque de phishing complicado de detectar por el usuario, ya que la URL que utiliza es la de la página real.


El módulo principal de GhostDNS es DNSChanger, que se encarga de cambiar la configuración de los DNS en los router. Cuenta con más de 100 scripts cuya finalidad es la explotación de los routers vulnerables para ejecutarse y cambiar su configuración.


De los demás módulos no tenemos mucha información aún. Sabemos que uno es un panel de administración, seguramente utilizado como servidor de C&C por el atacante, y otro es Rogue DNS, que resuelve el dominio utilizado por la víctima y cambia la IP por la del servidor controlado por el atacante.


Para proteger nuestro router es importante cambiar la contraseña que viene por defecto por una segura, descargar e instalar la última versión de firmware desde la página oficial del fabricante y por último revisar la configuración DNS.
Más información:

D-Link soluciona varias vulnerabilidades presentes en Central WifiManage

D-Link ha publicado actualizaciones para solucionar varias vulnerabilidades presentes en “Central WifiManager”, una herramienta que permite administrar y monitorizar puntos de acceso dentro de una red.

 

La primera vulnerabilidad, etiquetada con CVE-2018-17440, permitiría la subida de un fichero sin restricciones y la ejecución de código arbitrario.

La segunda vulnerabilidad permitiría también la subida de un archivo de cualquier tipo, pero requeriría esta vez que el atacante estuviera autenticado. Esta vulnerabilidad tiene asignado el código CVE-2018-17442.

Las dos siguientes permitirían realizar ataques de Cross-Site Scripting a través de los parámetros ‘sitename’ y ‘username’. Estas vulnerabilidades han recibido los códigos CVE-2018-17443 y CVE-2018-17441 respectivamente.

XSS en el parámetro ‘sitename’
XSS en el parámetro ‘username’

Estas vulnerabilidades ya se encuentran solucionadas a partir de la versión Central WifiManager v1.03r0100-Beta1.

Más información:
 

Actualización de seguridad para Extensiones de Google Chrome

Como hemos visto este último año, las extensiones maliciosas de chrome han ido creciendo y google se ha visto obligado a actualizar su Chrome web store. A partir de la versión de Chrome 70 vamos a encontrarnos con extensiones más seguras y transparentes para el usuario.

 

A principio de este año Google comenzó a banear las extensiones que tenían scripts de minería de datos, más tarde en junio la compañía deshabilitó la instalación desde web, y por último introdujo machine learning para detectar y neutralizar malware en las extensiones. Por lo que han decidido dar el siguiente paso anunciando 5 nuevas actualizaciones que darán al usuario más control sobre ciertos permisos y obliga a cumplir las medidas de seguridad.


Los nuevos cambios que veremos en Chrome 70 son:
  • Nuevos permisos de Host. Hasta ahora el usuario no controlaba qué tipo de permisos de lectura escritura o cambio tenía la extensión sobre el sitio web que estaba visitando. A partir de esta nueva versión, aunque actualmente está en beta, el usuario controlará cuando y como la extensión de chrome controlará los datos.
  • Google prohíbe la ofuscación de código: Los malos utilizan código ofuscado para que sea más difícil de detectar y de analizar. A partir de ahora el código de las extensiones tienen que estar libre de código ofuscado, en el caso contrario en desarrollador tendrá 90 días para quitarlo.
  • Identificación en dos pasos: debido a la corriente de phishing sufrida este último año con la intención de robar cuentas con las que actualizar las extensiones con código malicioso, Google ha decidido añadir la verificación en dos pasos a la lista de actualizaciones.
  • Revisión de extensiones. Google revisará las extensiones más de forma más profunda.
  • por último, se anuncia la actualización del fichero manifest a la versión 3. El fichero manifest.json es donde se declaran las variables de configuración de la extensión
Con más de 180.000 extensiones en Chrome Web Store, Google tratará de hacer más seguro navegar por internet.

Más información:
Google Announces 5 Major Security Updates for Chrome Extensions

FASTCash: el nuevo ataque utilizado para sacar dinero de los cajeros automáticos

El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes ‘Hidden Cobra’ está comprometiendo servidores bancarios

Resultado de imagen de atm hacked

El conocido grupo, supuestamente avalado por el gobierno de Corea del Norte, es el autor de este ataque en el que comprometen de forma remota los servidores de aplicaciones de pago para facilitar las transacciones fraudulentas.

En principio los objetivos son África y Asia tal y como explica el US-CERT en el siguiente mensaje.

https://www.us-cert.gov/ncas/alerts/TA18-275A

El cual han publicado en su cuenta de Twitter oficial.

¿Cómo funciona el ataque?

Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta.

Sin embargo, los ciberdelincuentes consiguieron comprometer estos servidores para que intereceptaran la solicitud de transacción y diera una respuesta afirmativa falsa pero legítima sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros para que escupan la cantidad solicitada sin siquiera notificar al banco.
“Según la estimación de un socio de confianza, los componentes de ‘Hidden Cobra’ han robado decenas de millones de dólares”, explican en el informe.
 ¿Cómo llegaron los atacantes a comprometer los servidores de aplicaciones de pago?
 
Aunque no está confirmado, las autoridades de EE.UU. creen que los ciberdelincuentes utilizaron correos electrónicos de phishing que contendrían ejecutables maliciosos de Windows.
Una vez abierto, estos servían de conexión para que los atacantes pivotaran en la red del banco utilizando las credenciales legítimas del empleado afectado y conseguir inyectar el malware en el servidor de aplicaciones de pago.

A pesar de que la mayoría de los servidores utilizaban versiones del sistema operativo AIX sin soporte, no se han encontrado pruebas de que los atacantes aprovecharan alguna vulnerabilidad sobre el mismo.
El US-CERT ha recomendado a los bancos que hagan obligatoria la autenticación de dos factores cuanto antes.

Google+ expone los datos de 500.000 usuarios y cierra su plataforma

La conocida red social de Google cerrará después de que la compañía haya expuesto los datos privados de cientos de miles de usuarios a desarrolladores externos.

Resultado de imagen de google+

Según el gigante de la tecnología, una vulnerabilidad en una de las API de Google+ permitió a desarrolladores externos acceder a los datos de más de 500.000 usuarios, incluídos la dirección, ocupación, fecha de nacimiento, etc.

Dado que los servidores de la compañía no mantienen registros de API durante más de dos semanas, la empresa no puede confirmar el número de usuarios afectados por la vulnerabilidad.

“Sin embargo, realizamos un análisis detallado durante las dos semanas previas a parchear el error y, a partir de ese análisis, los perfiles de hasta 500.000 cuentas de Google+ podrían verse afectados. Nuestro análisis mostró que hasta 438 aplicaciones pueden haber usado esta API”. comunicaba Google.

La vulnerabilidad estuvo abierta desde 2015 y se solucionó en Marzo de 2018, pero la compañía optó por no revelarlo al público mientras estaba el escándalo de Facebook.

Además de admitir la brecha de seguridad, Google también anunció que la compañía está cerrando su red de medios sociales, reconociendo que Google+no logró la acogida esperada.

Novedades de Google en cuanto a privacidad tras el error:

Como una de las consecuencias de todo lo acontecido, la compañía ha revisado y actualizado el acceso de desarrolladores externos a la cuenta deGoogle y los datos de los dispositivos Android.

Antes, cuando una aplicación de terceros solicita al usuario el acceso a los datos de su cuenta de Google, al hacer click en el botón “Permitir” se aprueban todos los permisos solicitados a la vez, lo que brinda la oportunidad de que aplicaciones malintencionadas engañen a los usuarios para que entreguen permisos efectivos.

Con la nueva actualización de permisos, solicita cada uno individualmente en lugar de todos a la vez, dando a los usuarios un mayor control sobre el tipo de datos de la cuenta que eligen compartir con cada aplicación.

Finalmente, tras el incidente, las acciones de Google han caído más del 2 por ciento.