Apple corrige 34 vulnerabilidades en su parche de seguridad

Apple ha publicado un boletín de seguridad en el que corrige varias vulnerabilidades para varios de sus productos: iCloud para Windows, Safari, watchOS, tvOS, maCOS e iOS.

El boletín de seguridad corrige un total de 34 vulnerabilidades distintas que se reparten entre los productos descritos anteriormente. Para una mejor comprensión de las vulnerabilidades que afectan a los distintos productos, hemos realizado una tabla donde puede verse de mejor manera. A continuación detallamos las vulnerabilidades corregidas por productos.

iCould para Windows
Afecta a la versión 7.10 y corrige un total de 12 vulnerabilidades.

  • 3 vulnerabilidades en el componente SQLite que permitirían ejecutar código arbitrario a través de una consulta SQL especialmente manipulada.
  • 9 vulnerabilidades en el componente Webkit que podría permitir la ejecución de código arbitrario.

Safari
Afecta a la versión 12 y corrige un total de 10 vulnerabilidades.

  • 1 vulnerabilidad en Safari Reader que podría permitir un XSS.
  • 9 vulnerabilidades en el componente Webkit que podría permitir la ejecución de código arbitrario.

watchOS
Afecta a la versión 5.1.3 y corrige un total de 17 vulnerabilidades.

  • 1 vulnerabilidad en el componente AppleKeyStore que podría permitir el salto de restricciones de la sandbox.
  • 1 vulnerabilidad en el componente Core Media que permitiría escalar privilegios.
  • 2 vulnerabilidades en el componente CoreAnimation que podría permitir la lectura de memoria restringida e incluso salir fuera de la sandbox.
  • 1 vulnerabilidad en el componente FaceTime que podría permitir la ejecución de código arbitrario.
  • 1 vulnerabilidad en el componente IOKit que podría permitir salir de la sandbox.
  • 3 vulnerabilidades en el Kernel que podrían permitir la ejecución de código arbitrario con privilegios de kernel.
  • 1 vulnerabilidad en el componente Natural Language Processing que podría causar una denegación de servicio.
  • 3 vulnerabilidades en el componente SQLite que podrían ejecutar código arbitrario a través de una consulta SQL especialmente manipulada.
  • 4 vulnerabilidades en el componente Webkit que podría permitir la ejecución de código arbitrario.

tvOS
Afecta a la versión 12.1.2 y corrige un total de 24 vulnerabilidades

  • 1 vulnerabilidad en el componente AppleKeyStore que podría permitir el salto de restricciones de la sandbox.
  • 2 vulnerabilidades en el componente CoreAnimation que podría permitir la lectura de memoria restringida e incluso salir fuera de la sandbox.
  • 1 vulnerabilidad en el componente FaceTime que podría permitir la ejecución de código arbitrario.
  • 1 vulnerabilidad en el componente IOKit que podría permitir salir de la sandbox.
  • 6 vulnerabilidades en el Kernel que podrían permitir la ejecución de código arbitrario con privilegios de kernel.
  • 1 vulnerabilidad en libxpc que podría permitir la ejecución de código arbitrario con privilegios de kernel.
  • 3 vulnerabilidades en el componente SQLite que podrían ejecutar código arbitrario a través de una consulta SQL especialmente manipulada.
  • 9 vulnerabilidades en el componente Webkit que podría permitir la ejecución de código arbitrario.

MacOS
Afectan a la versión Mojave 10.14.3, Sierra y High Sierra con la actualización 2019-001 y corrige un total de 23 vulnerabilidades.

  • 1 vulnerabilidad en el componente AppleKeyStore que podría permitir el salto de restricciones de la sandbox.
  • 1 vulnerabilidad en el componente Bluetooth que podría permitir la ejecución de código arbitrario.
  • 2 vulnerabilidad en el componente Core Media que podría provocar una escalada de privilegios.
  • 2 vulnerabilidades en el componente CoreAnimation que podría permitir la lectura de memoria restringida e incluso salir fuera de la sandbox.
  • 1 vulnerabilidad en el componente FaceTime que podría permitir la ejecución de código arbitrario.
  • 1 vulnerabilidad en el componente Hypervisor que podría provocar una escalada de privilegios.
  • 1 vulnerabilidad en el componente Intel Graphics Driver que podría permitir la ejecución de código arbitrario con privilegios de kernel.
  • 1 vulnerabilidad en el componente IOKit que podría permitir salir de la sandbox.
  • 6 vulnerabilidades en el Kernel que podrían permitir la ejecución de código arbitrario con privilegios de kernel.
  • 1 vulnerabilidad en libxpc que podría permitir la ejecución de código arbitrario con privilegios de kernel.
  • 1 vulnerabilidad en componente Natural Language Processing que podría causar una denegación de servicio.
  • 1 vulnerabilidad en el componente QuartzCore que podría permitir una revelación de información sensible.
  • 3 vulnerabilidades en el componente SQLite que podrían ejecutar código arbitrario a través de una consulta SQL especialmente manipulada.
  • 1 vulnerabilidad en el componente WebRTC que podría permitir la ejecución de código arbitrario.

iOS
Afecta a la versión 12.1.3 y corrige un total de 31 vulnerabilidades.

  • 1 vulnerabilidad en el componente AppleKeyStore que podría permitir el salto de restricciones de la sandbox.
  • 1 vulnerabilidad en el componente Bluetooth que podría permitir la ejecución de código arbitrario.
  • 2 vulnerabilidad en el componente Core Media que podría provocar una escalada de privilegios.
  • 2 vulnerabilidades en el componente CoreAnimation que podría permitir la lectura de memoria restringida e incluso salir fuera de la sandbox.
  • 1 vulnerabilidad en el componente FaceTime que podría permitir la ejecución de código arbitrario.
  • 1 vulnerabilidad en el componente IOKit que podría permitir salir de la sandbox.
  • 6 vulnerabilidades en el Kernel que podrían permitir la ejecución de código arbitrario con privilegios de kernel.
  • 1 vulnerabilidad en el componente Keyboard que podría revelar información sensible.
  • 1 vulnerabilidad en libxpc que podría permitir la ejecución de código arbitrario con privilegios de kernel.
  • 1 vulnerabilidad en el componente Natural Language Processing que podría causar una denegación de servicio.
  • 1 vulnerabilidad en Safari Reader que podría permitir un XSS.
  • 3 vulnerabilidades en el componente SQLite que podrían ejecutar código arbitrario a través de una consulta SQL especialmente manipulada.
  • 9 vulnerabilidades en el componente Webkit que podría permitir la ejecución de código arbitrario.
  • 1 vulnerabilidad en el componente WebRTC que podría permitir la ejecución de código arbitrario.

A continuación mostramos la tabla de vulnerabilidades.

Vulnerabilidad Componente iCloud Safari WatchOS tvOS macOS iOS
CVE-2018-20346 SQLite
CVE-2018-20505 SQLite
CVE-2018-20506 SQLite
CVE-2019-6215 WebKit
CVE-2019-6212 WebKit
CVE-2019-6216 WebKit
CVE-2019-6217 WebKit
CVE-2019-6226 WebKit
CVE-2019-6227 WebKit
CVE-2019-6233 WebKit
CVE-2019-6234 WebKit
CVE-2019-6229 WebKit
CVE-2019-6228 Safari Reader
CVE-2019-6235 AppleKeyStore
CVE-2019-6202 Core Media
CVE-2019-6230 CoreAnimation
CVE-2019-6231 CoreAnimation
CVE-2019-6224 FaceTime
CVE-2019-6214 IOKit
CVE-2019-6210 Kernel
CVE-2019-6213 Kernel
CVE-2019-6209 Kernel
CVE-2019-6219 Natural Language Processing
CVE-2019-6225 Kernel
CVE-2019-6205 Kernel
CVE-2019-6208 Kernel
CVE-2019-6218 Libxpc
CVE-2019-6200 Bluetooth
CVE-2019-6221 Core Media
CVE-2018-4467 Hypervisor
CVE-2018-4452 Intel Graphics Driver
CVE-2019-6220 QuartzCore
CVE-2019-6211 WebRTC
CVE-2019-6206 Keyboard

Más información:

Apple security updates
https://support.apple.com/en-us/HT201222

Aparecen dos nuevas campañas de malware que se propagan a través de macros de MS Word

Investigadores de seguridad han descubierto dos nuevas campañas de malware, una de las cuales distribuye el troyano Ursnif, mientras que la otra además de propagar el mismo malware, infecta al objetivo con el ransomware GandCrab.

Aunque ambas campañas parecen ser trabajo de grupos de ciberdelincuentes separados, hay muchas similitudes en su ‘modus operandi‘.

Similitudes del ataque:

Ambos ataques comienzan con correos eletrónicos en la que suplantan la identidad de un conocido para adjuntar un documento de Microsoft Word. Este documento contiene macros de VBS maliciosas que hacen uso de Powershell para ejecutar su carga útil e infectar al objetivo.

Infección de Ursnif & GandCrab:

Como hemos explicado, el documento de MS Word contiene una macro maliciosa en VBS. Si esta se ejecuta con éxito, hace uso de Powershell para descargar y ejecutar tanto Ursnif como GandCrab en los sistemas infectados. En la siguiente imagen se puede ver de manera más clara:

La primera carga útil es una línea de Powershell codeada en base64 la cual evalúa la arquitectura del sistema objetivo y, dependiendo de la misma, descarga una carga adicional de Pastebin. Esta se ejecuta en memoria para hacer bypass de los antivirus comunes.

Finalmente, la carga útil instala una variante del ransomware GandCrab en el sistema de la víctima, bloqueándolo hasta que pague el rescate pertinente.

Infección de Ursnif:

Al igual que el anterior malware comentado, hace uso de macros VBS sobre un documento Word malicioso para iniciar la infección.

En este caso, una vez que se ha ejecutado, el malware recopilar información del sistema, la coloca en un archivo con formato CAB y la envía a su C&C a través de una conexión HTTPS.

Los investigadores de la compañía Talos han publicado una lista de indicadores de compromiso, junto con los nombres de los nombres de archivo de carga que utilizan sobre las máquinas comprometidas.

Más información:

Publicación de Carbon Black sobre GandCrab:
https://www.carbonblack.com/2019/01/24/carbon-black-tau-threatsight-analysis-gandcrab-and-ursnif-campaign/

Publicación de Talos sobre Ursnif:
https://blog.talosintelligence.com/2019/01/amp-tracks-ursnif.html

Se detecta una familia de Ransomware, Anatova

McAfee ha publicado una noticia en la que anuncia (y alerta) una nueva familia de Ransomware detectada, la cual han bautizado con el nombre de Anatova.

La detección de esta familia se realizó a través de redes P2P privadas, y se cree que Anatova puede ser un peligro serio para la red en general debido a la extensión modular con la que se ha creado el malware y al auto cifrado del que dispone sus recursos a través de estas redes.

El método de entrada que utiliza Anatova normalmente es el engaño de la víctima a través de un camuflado de su iconos con uno de juegos o aplicaciones conocidas en estas redes P2P, lo que lo hace más amigable para las víctimas.

El objetivo de la familia, como todo ransomware es el cifrado de todos los documentos de la máquina infectada para después pedir un rescate en criptomonedas, que en las muestras analizadas asciende a 10 DASH, que al cambio a dólares son unos 700$. Aunque esta muestra también es capaz de cifrar archivos compartidos en unidades montadas en el sistema.

Sobre el proceso de cifrado, los investigadores de McAfee  que descubrieron el malware alertan de que será imposible la creación de un software para desinfectar el sistema y recuperar los archivos cifrados, debido a que la muestra genera un par de claves RSA para el cifrado de los archivos para cada usuario.

El malware en cuestión analizado, dispone del hash ‘170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0’ y cuenta con unas técnicas que dificultan su análisis:

  • Cifrado de la mayoría de las cadenas de texto utilizadas.
  • Llamadas a funciones utilizadas de forma dinámica.
  • Protección anti-debug que hace que en las fases de análisis estático encuentre el final del programa rápidamente.

A parte de estos comportamientos avanzados, también cuenta con otras comprobaciones que hace que el malware no se ejecute como puede ser el nombre de usuarios del sistema, el  entorno de ejecución o el lenguaje del sistema.

Esta familia no afectará a las máquinas en países de la CEI, Siria, Egipto, Marruecos, Irak e India. Un comportamiento que a menudo es habitual en los creadores de este tipo de malware, lo que puede dar pistas del lugar de origen de la muestra.

Tambien han publicado una gráfica con las detecciones en varios paises, Siendo los Estados Unidos donde más muestras se han detectado, aunque afecta seriamente a los países Europeos.

Más información:
Blog de McAfee
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/

Bug en iPhone FaceTime permite escuchar y ver a la otra persona antes de descolgar

Ha sido encontrado un fallo en la aplicación de videoconferencias FaceTime, disponible tanto en iOS como en Mac por defecto, que permite escuchar y ver a la persona que se está llamando antes de que ésta acepte la llamada.

Group-FaceTime-iOS-12.12

El fallo es reproducible tanto en iPhone como Mac sin necesidad de conocimientos técnicos y sin que la otra persona se dé cuenta de que está siendo espiada. Para la explotación, no se requieren conocimientos técnicos, aunque si se quiere obtener también vídeo el método es más complicado. Para obtener sólo el audio deben seguirse los siguientes pasos:

  1. Comenzar una llamada usando FaceTime con otro contacto.
  2. Mientras la llamada queda a la espera de aceptación, deslizar hacia arriba para acceder al menú de la llamada, y pulsar en “Añadir persona”.
  3. Añade tu propio número de teléfono a la llamada.
  4. Listo. Comenzará una llamada grupal entre tú mismo y la persona afectada, sin necesidad de que acepte la llamada grupal.

Para obtener además el vídeo, existen diferentes métodos. Según @Jessassin, si otro dispositivo accede a la llamada mediante invitación, la víctima transmitirá también su vídeo. Otra opción, es si la víctima pulsa el botón de encendido en la pantalla de desbloqueo, tras lo cual también enviará el vídeo.

Now you can answer for yourself on FaceTime even if they don’t answer🤒#Apple explain this.. pic.twitter.com/gr8llRKZxJ

— Benji Mobb™ (@BmManski) January 28, 2019

El fallo se ha vuelto popular en la redes sociales bajo el “hashtag” #facetimebug, con usuarios probando por sí mismos el fallo para su asombro. Desde Apple ya han confirmado el error, y van a solucionarlo en una actualización de seguridad esta misma semana. Para evitar ser víctima de este error, se recomienda desactivar Facetime accediendo al menú de opciones del Iphone, acceder al botón de FaceTime, y pulsar en el primer interruptor para ponerlo en gris.

Actualización: debido a la repercusión que ha tenido el bug, Apple ha decidido deshabilitar las llamadas grupales.

Fuente:

Major iPhone FaceTime bug lets you hear the audio of the person you are calling … before they pick up:
https://9to5mac.com/2019/01/28/facetime-bug-hear-audio/

 

Descubierta Facebook bonificando a usuarios por instalar una aplicación que accede a todo el tráfico de red

Recientemente la empresa TechCrunch ha publicado un completo informe en el que demuestran como Facebook estaba bonificando a usuarios, de edades comprendidas entre 23 y 35 años, con hasta 20$ al mes por instalar la aplicación Facebook Research fuera del market oficial de Apple.

La aplicación era distribuida a través de aplicaciones como BetaBound, uTest y Applause y daba capacidad de recopilar la siguiente información:

  • Mensajes privados en aplicaciones de redes sociales.
  • Chats desde aplicaciones de mensajería instantánea.
  • Fotos y vídeos enviados a través de cualquier aplicación.
  • Correos electrónicos.
  • Búsquedas en Internet.
  • Actividad de navegación web.
  • Cualquier información adicional que requiriesen otras aplicaciones, como la ubicación en tiempo real.

Esto lo conseguía a través de la instalación de un certificado raíz, lo cual le permitía a Facebook acceder a todo el tráfico de red.

Esta funcionalidad supone una violación de los términos de servicio de Apple por lo que Facebook se expone a sanciones que pueden llegar hasta el punto de retirarles el certificado usado para la firma de la aplicación.

La aplicación ya ha sido retirada por Facebook en iOS pero sigue disponible para Android, por lo que faltaría que Google se pronunciase al respecto. Koodous muestra que hay versiones de la aplicación desde el 15 de octubre de 2017.