Microsoft libera un parche de emergencia para un día cero en Internet Explorer

Microsoft ha liberado una actualización de seguridad para parchear una vulnerabilidad de día cero en internet explorer, que está siendo explotada activamente.

Microsoft-Patch-Internet-Explorer-Zero-Day-Vulnerability

El investigador del Grupo de Análisis de Amenazas de Google, Clement Lecigne es quien ha dado la voz de alarma sobre esta vulnerabilidad, presente en el motor de scripting del famoso navegador de Microsoft.

Esta vulnerabilidad permite la ejecución de código arbitrario (RCE) en el contexto del usuario que ejecuta el navegador.

Esta vulnerabilidad podría ser explotada al abrir un fichero HTML especialmente diseñado, también al abrir un fichero PDF o un documento de Office; en general cualquier documento que pueda tener contenido empotrado del motor de scripting de Microsoft.

Esta vulnerabilidad afecta a Internet Explorer 9 sobre Windows Server 2008, Intenet Explorer 10 sobre Windows Server 2012, Internet Explorer 11 sobre Windows 7 hasta Windows 10 e Internet Explorer sobre Windows Server 2019, Windows Server 2016, Windows Server 2008 R2, Windows Server 2012 R2.

No se han dado más detalles sobre la campaña que se aprovecha de esta falla, ni tampoco ninguna prueba de concepto que demuestre este bug.

Como siempre, se recomienda actualizar Windows a través de Windows Update a la mayor brevedad posible, o si no es posible, utilizar el siguiente workaround:

En sistemas de 64 bits: cacls %windir%\syswow64\jscript.dll /E /P everyone:N

En sistemas de 32 bits: cacls %windir%\system32\jscript.dll /E /P everyone:N

Más información:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653

https://thehackernews.com/2018/12/internet-explorer-zero-day.html

Nuevo malware: recibe comandos de memes de Twitter

La empresa Trend Micro ha sido la descubridora de este novedoso tipo de ataque que recoge los comandos de una cuenta de Twitter controlada por los atacantes.

Ejemplo de cuenta utilizada para mandar instrucciones al malware

¿Cuál es el malware en cuestión?

El malware utilizado es denominado “TROJAN.MSIL.BERBOMHTHUM.AA“. Su forma de trabajo es infectar un equipo, y tras ello descargar las imágenes que contienen las instrucciones a seguir.

¿Que información sacan de las imágenes?

Los memes publicados en la cuenta hacían uso de técnicas de Esteganografía para ocultar los comandos que ejecutaba el malware. Estos, tras ejecutar las instrucciones, accedían a una publicación de Pastebin para conseguir la dirección del servidor al que enviaban la información robada.

Según los investigadores, la cuenta de Twitter analizada se creó en 2017 y contenía solo dos memes que entregaban comandos “/ print” al malware para indicarle que realizara capturas de pantalla.

Este malware mandaba las capturas al servidor C&C sacado de la URL de Pastebin facilitada en la imagen.

¿Desde cuando se realiza este tipo de ataque?

Según VirusTotal, el malware surgió a mediados de octubre, pues fue cuando se creó la publicación en Pastebin.

Sin embargo, en los memes analizados, la dirección del servidor es local, lo que hace pensar que los ciberdelincuentes aún se encontraban realizando pruebas con el mismo antes del ataque.

Tras el reporte realizado por TrendMicroTwitter tomó cartas en el asunto y cerró la cuenta involucrada.

Más información:

Post de TrendMicro:
https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/

Revelación de información a través de Twitter

Un fallo en uno de los formularios de soporte de Twitter ha podido ser utilizado por atacantes financiados por el estado para revelar información sensible.

El pasado 15 de noviembre fue descubierto un ‘bug’ en uno de los formularios de Twitter utilizado para reportar incidencias que permitía revelar el código del país del número de teléfono asociado a una cuenta de Twitter o el estado (bloqueada o no) de dicha cuenta.

We have become aware of an issue with one of our support forms which may have been used to discover the country code of certain people’s phone numbers and whether the account had been locked by Twitter. This issue did not expose full phone numbers or any other personal data.

— Twitter Support (@TwitterSupport) December 17, 2018

Tras investigar el fallo de seguridad, la compañía descubrió cierta actividad inusual relacionada con la API asociada a dicho formulario: un gran volumen de peticiones desde direcciones IP de China y Arabia Saudi que, según la compañía, pueden estar relacionadas con actores financiados por estos estados; como ha declarado Twitter en su anuncio oficial.

La vulnerabilidad fue resuelta el 16 de noviembre y aunque no era posible revelar el número de teléfono completo ni ninguna otra información personal, Twitter ha advertido a las cuentas afectadas.

Fallo crítico en SQLite podría afectar a miles de apps

El grupo Blade de Tencent ha descubierto un fallo de seguridad en SQLite, que permite realizar RCE, o provocar rupturas inesperadas del programa que utiliza este servicio.

magellan

SQLite es un gestor de base de datos relacional y multiplataforma que encontramos embebido en multitud de aplicaciones y sistemas. Lo que diferencia a SQLite de otros SGBD es que no es un proceso independiente con el que el programa principal se comunica, sino que se lanza con el programa pasando a ser parte integral del mismo. Por eso esta vulnerabilidad estará presente durante largo tiempo en diferentes sistemas y aplicaciones, ya que es necesario actualizar la librería utilizada dentro de la aplicación.

Los investigadores de Tencent han descubierto la posibilidad de encontrar fugas de información del programa que se está ejecutando, detener su ejecución o incluso conseguir ejecutar comandos de forma remota simplemente accediendo a una página web malintencionada, si se da el caso en el que el navegador soporte SQLite junto con la ya obsoleta API WebSQL, que es capaz de traducir el código del exploit a sintaxis SQL. Firefox y Edge no dan soporte a WebSQL, pero otros navegadores basados en el proyecto open-source de Chromium como motor del navegador sí, como es el caso de Google Chrome, Opera, Vivaldi, etc.

Pero, aún siendo los navegadores el principal objetivo de ataque, El equipo Blade afirmó en este comunicado que “ha sido posible explotar ‘Google Home’ con esta vulnerabilidad y actualmente no tienen pensado revelar el código utilizado para explotarla”. Mostrando así que el fallo no solo afecta a algunos navegadores, sino que todos los sistemas que utilicen SQLite que no estén actualizados y cumplan las características necesarias son vulnerables.

El fallo fue reportado al equipo de SQLite y actualizado en la versión SQLite 3.26.0 al igual que se reportó a Chromium y se ha limitado el uso de WebSQL en la nueva versión 71.

En esta prueba de concepto se bloquea el proceso del rendizador utilizando ‘Magellan’.

poc-sqlite

Claro que para que cause efecto es necesario utilizar el navegador adecuado, por ejemplo Google Chrome en una versión menor que la 71. En el código podemos ver que se utiliza el motor de búsqueda de texto completo (full-text) FTS3, y que se están alterando los datos de las ‘shadow tables’ manualmente.  Por otra parte, la nueva actualización de SQLite da la opción de utilizar estas mismas tablas con permiso ‘read-only’, lo que nos hace pensar en que el fallo nace en los permisos de acceso a las ‘shadow tables’.

Fuentes

zdnet
https://www.zdnet.com/article/sqlite-bug-impacts-thousands-of-apps-including-all-chromium-based-browsers/#ftag=RSSbaffb68

Tencent
https://blade.tencent.com/magellan/index_en.html

Github
https://github.com/zhuowei/worthdoingbadly.com/blob/master/_posts/2018-12-14-sqlitebug.html

SQLite Doc
https://www.sqlite.org/fts3.html#*shadowtab

Uso de técnicas de hacking con fines propagandísticos para un famoso youtuber: PewDiePie

PewDiePie es un youtuber sueco, quizás el youtuber más popular de internet. Actualmente su cuenta es la más seguida, junto con T-Series, una compañía musical india, de la que hablaremos en unas líneas.

Lo acontecido es cuando menos, premonitorio o claramente descriptivo de la sociedad en la que vivimos hoy en día, lo que puede ser considerado algo gracioso o anecdótico para algunos, nos alarma y preocupa profundamente a otros.

El popular Youtuber PewDiePie vio recientemente su trono amenazado al ver como la cuenta T-Series llegaba a igualarle en millones de suscriptores. Este caso fue usado por PewDiePie para crear contenido alrededor de este hecho y hacer un llamamiento a sus fans para no caer del primer puesto. En este vídeo de su canal podemos hacer un seguimiento en directo de ambas cuentas.

Pues bien, al menos dos de sus seguidores llevaron a cabo un ataque en cerca de 2 millones de impresoras de las cuales al menos en 100.000 de ellas lograron imprimir panfletos haciendo un llamamiento para buscar suscriptores de la cuenta de PewDiePie.

https://twitter.com/Thrillka/status/1074016514804715520/photo/1

Estas impresoras estaban abiertas a internet a través de los protocolos IPP, JetDirect y LPD, por lo que perfectamente podrían haber sido encontradas a través de la herramienta Shodan.

Al margen de lo ‘script kiddies’ del asunto, lo delirante del tema y sobre lo que debemos de poner el foco es sobre cómo un fanatismo, si bien es cierto que sustentado por un tono jocoso, ha llevado a estas dos personas a cometer un delito para, como se suele decir, llenarse de ‘loles’ y acrecentar su imagen virtual.

Paul Villanueva Munoz

Resultado de imagen de phpmyadmin

El proyecto phpMyAdmin, uno de los sistemas de administración de bases de datos MySQL más populares, dio un aviso el pasado domingo en su blog avisando sobre la última actualización de seguridad, algo que no habían hecho antes.

“Nos inspiramos en el flujo de trabajo de otros proyectos que a menudo anuncian con anticipación cualquier lanzamiento de seguridad para permitir que los encargados de paquetes y proveedores de alojamiento se preparen. Estamos experimentando si dicho flujo de trabajo es adecuado para nuestro proyecto”, explicaba el gerente de lanzamiento de phpMyAdmin, Isaac Bennetch.

Además de la típica corrección de errores, esta versión corrige tres vulnerabilidades críticas de seguridad.

Vulnerabilidades corregidas en la versión 4.8.4:

  1. LFI (CVE-2018-19968):
    Las versiones de phpMyAdmin de entre 4.0 y 4.8.3 incluyen un error de inclusión de archivos locales que podría permitir la lectura de archivos locales del servidor a un atacante remoto.Para explotar esta vulnerabilidad, el atacante debe tener acceso a las tablas de almacenamiento de configuración de phpMyAdmin, aunque puede crearse fácilmente en cualquier base de datos a la que tenga acceso el atacante.
  2. CSRF/XSRF (CVE-2018-19969):
    Las versiones de 4.7.0 a 4.7.6 y de 4.8.0 a 4.8.3 incluyen un defecto de Cross-site Request Forgery que de ser explotado, permitiría a los atacantes realizar operaciones SQL malintencionadas.Para explotar esto únicamente deberían de convencer a las víctimas de que abran enlaces especialmente diseñados.
  3. XSS (CVE-2018-19970):
    Hay un fallo de Cross-site Scripting entre las versiones 4.0 y 4.8.3 con el que un atacante puede inyectar código a través de un nombre de tabla/base de datos especialmente diseñado.

Se recomienda a todos los usuarios de este software que actualicen a la última versión cuanto antes.

Mas información:

Descarga de la versión 4.8.4:
https://www.phpmyadmin.net/files/4.8.4/

Comunicado de pre-lanzamiento:
https://www.phpmyadmin.net/news/2018/12/9/upcoming-security-release-pre-announcement/

Bancos atacados mediante conexiones locales

Al menos ocho bancos de Europa del Este han sido atacados usando el mismo modus operandi, bautizado por Karspersky como DarkVishnya, causando más de diez millones de dólares en pérdidas.

181204-vishnya

 

Durante el año 2017 y también durante este mismo año, especialistas de la compañía antivirus Kaspersky investigaron varios incidentes de robo en al menos ocho bancos europeos.

Todos ellos compartían el mismo patrón de actuación; un dispositivo conectado diréctamente a la red local de la organización. En ocasiones en alguna oficina central, en otras, en una oficina regional o incluso, en otro país distinto.

El ataque comprende 3 fases bien definidas:

En una primera fase, se consigue acceso físico con la excusa de entregar un paquete, buscar un empleo en la compañía, etc. Una vez dentro de las instalaciones, se conecta un dispositivo a un PC o a alguna regleta con conexiones RJ45 (en alguna sala de reuniones o en lugares apartados sin llamar mucho la atención).

Éste dispositivo comunmente puede ser un netbook o un portátil barato, una Raspberry Pi o un Bash Bunny. Una vez conectado, el acceso a la red se conseguía mediante una conexión GPRS/3G/LTE presente en el dispositivo.

Más tarde, en una segunda fase, los atacantes comienzan a ganar acceso a directorios compartidos, servidores web y cualquier otro recurso abiertamiente disponible con el objetivo de obtener la mayor cantidad de información sobre la red. También usaban fuerza bruta o esnifaban conexiones de red para moverse lateralmente hasta llegar finalmente a las máquinas responsables de hacer pagos.

En la tercera y última fase, se mantenía el acceso a las máquinas de la organización mediante técnicas habituales para poder acceder en cualquier otro momento, tales como la habilitación de puertas traseras, escritorios remotos, etc.

DarkVishnya: Banks attacked through direct connection to local network

 

 

Nueva versión del troyano bancario ‘Marcher’ para Android

Una nueva versión del troyano bancario ‘Marcher’ ha sido detectada recientemente en Koodous, nuestro antivirus colaborativo

android

‘Marcher’ es un troyano bancario destinado, principalmente, a robar datos bancarios, incluyendo datos de tarjetas de créditos y credenciales de acceso al sistema bancario. Para llevar a cabo el robo de datos, este malware actúa de forma similar a otras familias de malware para Android, comprobando en segundo plano las aplicaciones activas en cada momentoSi se abre una aplicación bancaria o cualquier otra aplicación afectada, el troyano muestra una ventana falsa con la imagen del banco afectado y solicitando los datos de acceso, simulando a la aplicación real para engañar al usuario y obtener las credenciales.

El equipo de análisis de malware de Hispasec ha analizado la nueva muestra, y como resultado del análisis podemos apreciar que esta nueva versión del malware introduce algunos cambios con respecto a versiones anteriores del mismo.

En primer lugar, la aplicación conecta al servidor de control a través del protocolo HTTP. Realiza una petición a las URLs hxxp://aperdosali.top/get_key y hxxp://aperdosali.top/get_file, para descargar un fichero cifrado y la clave de descifrado. Dicho fichero es un fichero APK, es decir, una nueva aplicación. Pero esta no se instalará en el dispositivo, sino que se utilizará para cargar dinámicamente el código malicioso que se encarga de mostrar y ocultar las inyecciones (ventanas falsas para robar los credenciales).

Una vez descargado el código del inyector, la aplicación envía información sobre el dispositivo (imei, número de teléfono, aplicaciones instaladas, etc.).

Captura de pantalla de 2018-12-08 03-29-31Envío de información del dispositivo cifrada Captura de pantalla de 2018-12-08 02-00-28Información del dispositivo que se envíaComo podemos apreciar en la imágenes, todo el envío de información al servidor de control se hace cifrando la información e indicando el identificador del ‘bot’ (dispositivo infectado).

Esta versión de ‘Marcher’ incluye la lista de bancos y aplicaciones afectadas cifrada, por lo que no es posible acceder a ella directamente. La lista de aplicaciones afectadas y el resto de la configuración del troyano se encuentran entre los ‘assets’ de la aplicación cifrados con algoritmo DES y usando la clave 6b34f4f6.

Captura de pantalla de 2018-12-08 03-44-12Parte de la lista de aplicaciones afectadasAdemás de la posibilidad de mostrar una ventana falsa con una versión web para el robo de credenciales, esta versión incluye inyectores nativos específicos. Para estos inyectores, se realiza una petición a la URL hxxp://aperdosali.top/inj_pkg/BASE64_PACKAGE_ID , donde BASE64_PACKAGE_ID es el identificador del paquete codificado en Base64. Como respuesta, el servidor devuelve un fichero ZIP que contiene los datos necesarios para mostrar la ventana falsa (logos de la entidad afectada y texto en el idioma que corresponda).

Captura de pantalla de 2018-12-08 03-56-38Datos descargados para la inyección de EurobankY una vez descargados los datos necesarios para realizar la inyección, la aplicación espera a que el usuario abra la aplicación afectada para mostrar la ventana falsa.

Captura de pantalla de 2018-12-08 01-30-17Ventana falsa para la aplicación de EurobankUna vez que el usuario rellena los datos y los envía, la aplicación oculta la ventana falsa y muestra la aplicación legítima mientras envía los datos al servidor de control a través de la URL hxxp://aperdosali.top/api/form. En el caso de las inyecciones que solicitan datos de tarjetas de credito, estos se envían al servidor de control a través de la URL hxxp://aperdosali.top/api/cards.

La muestra analizada afecta a aplicaciones de entidades bancarias Europeas (Austria, Alemania, Francia, Polonia, Turquía), de Estados Unidos, China, Singapure y Taiwan.

Como siempre, desde Hispasec recomendamos instalar aplicaciones de plataformas reconocidas como Google Play y nunca de lugares desconocidos. Y aunque se descarguen de plataformas reconocidas, siempre deben tener cuidado porque incluso en estas plataformas podemos encontrar de vez en cuando alguna aplicación maliciosa, como ya se hemos visto en otras ocasiones.

IoCs:
C2
aperdosali.top
comedirtad.top
47.74.70.68

SHA256 de la muestra
2f748905818f8385f3d43212a60f9ee113d59b6b7bf3fd195a2c790ccca92a07

SHA256 del Inyector
a203d33154941f03ed43f9ff3688dba176554cf157aed2b9a65eef176720aaa3

Más información:

Información sobre la evolución del troyano Marcher/Exobot:
https://www.threatfabric.com/blogs/exobot_android_banking_trojan_on_the_rise.html

Acceso root en Polkit para usuarios con uid mayor a INT_MAX

Screenshot_20181205_103550

El fallo, que aún no está solucionado, es reproducible ejecutando cualquier aplicación que utilice PolicyKit

PolicyKit, comúnmente llamado Polkit, es un componente para los sistemas Unix que permite a procesos no privilegiados ejecutar funciones que requieren permisos de superusuario, sin que estos tengan que ejecutarse como root. A diferencia de sudo, no requiere que todo el proceso sea ejecutado con privilegios del sistema, dando un mayor control sobre los permisos.

Este componente, empleado en la mayoría de distribuciones GNU/Linux y utilizado por múltiples programas, no controla correctamente los permisoscuando el usuario tiene un número de identificación (UID) superior al de INT_MAX (2147483647), pudiendo utilizar Polkit sin ninguna restricción y sin que se pida ninguna contraseña.

Screenshot_20181205_104333Ejemplo de explotación con un usuario con uid 4000000000. El usuario es capaz de parar un servicio, sin que este tenga permisos para ello.

Un ejemplo de programa que utiliza Polkit es Systemctl: cuando no son necesarios permisos, por ejemplo para ejecutar ‘systemctl status nginx’, se ejecuta el comando sin restricciones. No obstante, para ejecutar ‘systemctl stop nginx’ (parar un servicio), aparece una ventana de confirmación solicitando la contraseña del usuario, y sólo si éste estuviese autorizado podrá realizar la acción. Con esta vulnerabilidad, el comando se ejecuta sin necesidad de estar autorizado y sin que aparezca la ventana de confirmación.

La vulnerabilidad, con identificador CVE-2018-19788, todavía no se encuentra solucionada, aunque su explotación es complicada salvo que exista ya un usuario con un uid superior a 2147483647, algo de por sí difícil, y que probablemente sea la razón por la que ha pasado el fallo tanto tiempo desapercibido. Para probar la vulnerabilidad, basta con crear un nuevo usuario del sistema y modificar el uid, pudiendo ejecutar cualquiera de los comandos anteriores.

Más información:

CVE-2018-19788:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19788

unprivileged users with UID > INT_MAX can successfully execute any systemctl command:
https://github.com/systemd/systemd/issues/11026

Freedesktop issue:
https://gitlab.freedesktop.org/polkit/polkit/issues/74

Elevación de privilegios en Kubernetes

Una vulnerabilidad en el sistema de orquestación de Google permitiría a un atacante sin autenticar, conseguir privilegios de administrador en cualquier nodo de un cluster basado en Kubernetes.

kubernets-logo

Kubernetes es un sistema de orquestación open-source para gestionar aplicaciones en contenedores Docker, entre otros.

La vulnerabilidad, considerada de gravedad crítica, se encuentra en el componente OpenShift Container Platform 3.x y permitiría comprometer los “pods” en ejecución de un determinado nodo. Los “pods” son las unidades mínimas que puede manejar Kubernetes, y se componen de uno o más contenedores y volúmenes.

El fallo reside en una conexión TCP vulnerable, a través de la cuál un atacante remoto podría enviar peticiones especialmente manipuladas al servidor de API de Kubernetes y establecer una conexión con el “backend” utilizando las credenciales TLS de dicho servicio. De esta forma, podría acceder a cualquier “pod” en ejecución y acceder a información secreta, variables de entorno, procesos en ejecución, volúmenes, etc. Así como acceder a contenedores privilegiados. Adicionalmente, en versiones 3.6 y superiores de OpenShift Container Platform, la vulnerabilidad permitiría acceder con permisos de “administrador de cluster” a cualquier API del servidor de API de OpenShift, como por ejemplo los servicios ‘metrics-service’ y ‘servicecatalog’.

Un atacante con privilegios de administrador de cluster podría desplegar código malicioso o alterar alguno de estos servicios en ejecución.

Decir, que el servidor de API de OpenShift está incluido por defecto en todas las instalaciones de Kubernetes.

La vulnerabilidad ya se ha corregido y se recomienda actualizar cuanto antes.

Versiones seguras de OpenShift Container Platform:

  • v3.11.43-1
  • v3.10.72-1
  • v3.9.51-1
  • v3.8.44-1
  • v3.7.72-1
  • v3.6.173.0.140-1
  • v3.5.5.31.80-1
  • v3.4.1.44.57-1
  • v3.3.1.46.45-1
  • v3.2.1.34-2

 

Más información:

CVE-2018-1002105: proxy request handling in kube-apiserver can leave vulnerable TCP connections
https://github.com/kubernetes/kubernetes/issues/71411

Kubernetes Security Announcement – v1.10.11, v1.11.5, v1.12.3 released to address CVE-2018-1002105
https://groups.google.com/forum/#!forum/kubernetes-announce

Kubernetes privilege escalation and access to sensitive information in OpenShift products and services – CVE-2018-1002105
https://access.redhat.com/security/vulnerabilities/3716411