Hallada vulnerabilidad en la nueva función biométrica de Whatsapp

La nueva función de análisis biométrico agregada al servicio de mensajería instantánea Whatsapp presenta una vulnerabilidad que permitiría a un atacante acceder sin realizar la autentificación biométrica.

Resultado de imagen de whatsapp biometricExtraído de dignited.com

Después de varias semanas, tras la implantación del servicio de análisis biométrico para la autentificación del usuario en las cuentas de Whatsapp (https://www.biometricupdate.com/201901/biometric-authentication-coming-to-whatsapp), los especialistas del Instituto Internacional de Seguridad Cibernética han informado del descubrimiento de una vulnerabilidad que afecta a este nuevo servicio.

El reconocimiento biométrico para acceder a la aplicación mientras el terminal esté desbloqueado puede suponer una medida extra de seguridad con la que proteger el contenido confidencial de los usuarios, aunque aparentemente presenta algunos inconvenientes en su implementación. De momento solo está disponible para algunos dispositivos Apple.

Un usuario de la red social Reddit encontró un inconveniente de seguridad en esta nueva función que consiste en que un usuario puede acceder a WhatsApp desde la iOS Share Sheet sin necesidad de realizar previamente la identificación biométrica. De modo que si el usuario configura el inicio de sesión biométrico inmediato no se verá afectado por esta vulnerabilidad; sin embargo, si el usuario selecciona un intervalo de tiempo, el acceso a la iOS Share Sheet permite restablecer el temporizador, dejando el acceso a Whatsapp libre.

Según el usuario, el proceso para explotar esta falla es:

  • Acceder a la iOS Share Sheet, por ejemplo, a través de la aplicación de fotos.
  • Pulsar el icono de WhatsApp en la iOS Share Sheet.
  • Ir a la pantalla de inicio de iOS durante la transición a la siguiente pantalla, aprovechando que la verificación de FaceID o TouchID no se realiza si una opción diferente se establece en “inmediatamente” por adelantado.
  • Abrir WhatsApp, puesto que ya no se realizará la identificación biométrica (ya sea por reconocimiento facial o huellas dactilares).

Los equipos de seguridad de la red de Facebook, la compañía propietaria de WhatsApp, afirman que ya han identificado la vulnerabilidad y que están en proceso de implementar el correspondiente parche de seguridad. Mientras tanto, se recomienda que se configure el intervalo de bloque de pantalla en la opción “inmediatamente” si se desea seguir usando esta función de forma segura.

Más información:

Security Newspaper

  • https://www.securitynewspaper.com/2019/02/22/vulnerability-in-new-whatsapp-biometrics-feature-is-found/

Cibercriminales están explotando activamente una vulnerabilidad Drupal

Una vulnerabilidad descubierta recientemente en Drupal esta siendo explotada activamente por cibercriminales

El pasado 19 de Febrero se hizo pública una nueva vulnerabilidad (CVE-2019-6340) para el sistema de gestión de contenidos Drupal, justo después de que sus desarrolladores publicasen una nueva versión que la resuelve.
El fallo de seguridad es del tipo RCE (Remote Code Execution), es decir, que la explotación de la vulnerabilidad permite la ejecución remota de código en el servidor en el que se aloja Drupal.
El fallo se trata de un ‘Object Injection’, una vulnerabilidad típica en aplicaciones desarrolladas en PHP, y que consiste en proporcionar un objeto PHP serializado a través de una petición HTTP que será posteriormente deserializado en el servidor. Dicha deserialización transformará el objeto serializado en un objeto real PHP que podrá ejecutar código.
Aunque haya sido corregida, aún muchos usuarios de este popular gestor de contenidos no han tenido la oportunidad de actualizar a la nueva versión para estar protegidos. Por ello, los cibercriminales están aprovechando la situación explotando este fallo de seguridad para comprometer el sistema e inyectar en las webs código JavaScript para minar criptomonedas. Este código JavaScript pertenece a CoinIMP, un servicio de minado de criptomonedas para navegadores similar a CoinHive.
Desde Hispasec, como siempre, os recomendamos actualizar lo antes posible vuestro Drupal para estar protegidos frente a estos ataques.

Miles de servidores C&C de malware expuestos por una vulnerabilidad

Una vulnerabilidad en un software utilizado por los cibercriminales ha permitido revelar la ubicación de miles de servidores de mando y control o C&C (del inglés ‘command and control’) de malware.

Imagen de cobaltstrike.com

Cobalt Strike es una herramienta legítima de prueba de penetración con una arquitectura cliente-servidor, utilizada por los investigadores de seguridad para probar la resistencia de una organización contra ataques dirigidos. En los últimos años, Cobalt Strike se ha convertido en parte del kit de herramientas utilizado por desarrolladores de malware y grupos cibercriminales como FIN6 y FIN7 (Carbanak) o APT29 (Cozy Bear). Los atacantes aprovechan Cobalt Strike para alojar sus servidores de C&C de malware que se comunican con los equipos infectados a través de ‘beacons’.

Sin embargo una vulnerabilidad en este software ha resultado clave para descubrir las ubicaciones de miles de servidores de comando y control de malware (C&C). El fallo se encontraba en el código de NanoHTTPD, un servidor web de código abierto basado en Java, al agregar un espacio en blanco adicional después del código de estado de las respuestas HTTP. Dicha particularidad en las respuestas del servidor ha sido utilizada por investigadores de la empresa de seguridad Fox-IT para detectar las comunicaciones entre los ‘beacons’ y sus servidores C&C desde 2015.

Espacio en blanco adicional en la respuesta HTTP

Desde ese año hasta el pasado mes de enero de 2019, cuando los desarrolladores de Cobalt Strike corrigieron el error, los investigadores de Fox-IT han observado un total de 7718 servidores de Cobalt Strike. Aunque, como cabe esperar, muchos de ellos son legítimos también se incluyen servidores C&C de malware vinculados a la unidad de piratería gubernamental APT10 de China, del troyano bancario Bokbot, y Carbanak.

Los investigadores de seguridad han revelado una lista de direcciones IP que alojaban o siguen alojando servidores C&C de Cobalt Strike.

KnownSec 404 Team, una empresa china de seguridad IT ha confirmado el descubrimiento de Fox-IT al identificar 3643 servidores basados ​​de Cobalt Strike operativos (un 86% de los cuales se corresponden con la lista suministrada por Fox-IT).

Según aventuran los investigadores de Fox-IT, el truco de la exploración del espacio en blanco cada vez redundará en un menor número de resultados debido a que los servidores legítimos se están actualizando a la versión 3.13, con la vulnerabilidad corregida. Sin embargo también opinan que, debido a que los delincuentes cibernéticos tienden a utilizar versiones no legítimas de software, estas se quedarán sin recibir la actualización y por tanto los servidores de C&C de malware podrán seguir siendo rastreados. Al menos durante un tiempo.

Más información:

Identifying Cobalt Strike team servers in the wild
https://blog.fox-it.com/2019/02/26/identifying-cobalt-strike-team-servers-in-the-wild/

Historical list of {Cobalt Strike,NanoHTTPD} servers
https://github.com/fox-it/cobaltstrike-extraneous-space/

Arrestado el líder detrás de Cobalt y Carbanak
https://unaaldia.hispasec.com/2018/03/arrestado-el-lider-detras-de-cobalt-y-carbanak.html

La mayor plataforma de Bug Bounty confirma el tópico. Jóvenes, americanos y sin estudios superiores

HackerOne ha publicado un informe donde son encuestados más de mil investigadores de seguridad para obtener las últimas estadísticas, tendencias y perspectivas de la comunidad.

El informe comparte distintas estadísticas, como las edades, ubicación, estudios y preferencias de sus usuarios, en las que, como citamos en el título de la noticia, se confirman algunos de los tópicos que rodean la figura del hacker.

En él también se da a conocer como dos de los usuarios, Mark Litchfield y Santiago López, han alcanzado el millón de euros en recompensas a través de su plataforma.

Para los que no lo sepan, una plataforma de Bug Bounty, es la encargada de la mediación entre las empresas y los investigadores de seguridad. Por un lado las empresas ofrecen recompensas para que los investigadores hagan una publicación responsable de las vulnerabilidades encontradas y los investigadores reconocimiento y una compensación económica.

Entre otros datos llamativos, cabe destacar la herramienta Burp Suite, como la favorita entre los investigadores de seguridad.

A través del siguiente enlace podéis descargar el informe completo.

Google revela un error de “alta severidad” sin parchear en el núcleo de Apple macOS

Investigadores de Google Project Zero han hecho pública una vulnerabilidad en macOS, después de que Apple no haya liberado un parche en los 90 días previos a la publicación.

Descubierto por el investigador Jann Horn y demostrada por Ian Beer. La vulnerabilidad reside en la forma que el kernel de macOS, XNU, permite a un atacante manipular el sistema de ficheros sin informar al Sistema Operativo.

Esta vulnerabilidad podría permitir a un programa malicioso saltarse la funcionalidad Copy-on-Write (COW) y modificar la memoria compartida entre procesos, llegando a corromperla.

Copy-On-Write o COW es una optimización en la administración de recursos usada en computación. En este caso, se da cuando un proceso necesita un fichero o dato que ya se encuentra en la memoria de otro proceso. Ambos procesos pueden compartir dicho recurso en lugar de crear una nueva copia, reduciendo de esta forma recursos.

Sin embargo, si uno de estos procesos necesita realizar algún cambio sobre el recurso, la función COW aparece y crea una nueva copia en la memoria, de forma que el otro proceso pueda también tener acceso al recurso.

Los investigadores vieron que cuando la imagen de un sistema de ficheros montado es modificada directamente (con la llamada pwrite() ), esta información no es propagada en el sistema de ficheros montado.

Por tanto, un programa malicioso puede hacer cambios en la memoria liberada almacenada en el disco sin informar al subsistema de administración virtual (virtual management subsystem), engañando al proceso destino para que cargue contenido malicioso en la memoria.

La vulnerabilidad fue notificada a Apple en noviembre de 2018 y ésta reconoció la existencia del fallo. Pero a día de hoy aun no se ha solucionado a pesar del aviso. De modo que los investigadores han publicado la falla con criticidad alta y también han liberado una prueba de concepto.

Más información:

https://thehackernews.com/2019/03/cybersecurity-macos-hacking.html

Análisis preliminar de Ghidra, el framework de reversing de la NSA.

Análisis preliminar de Ghidra, el framework de reversing de la NSA.

En la noche de ayer (del 5 al 6 de marzo) fue liberado el nuevo framework de ingeniería inversa de la NSA denominado “Ghidra”. Hoy os contamos nuestras primeras impresiones tras haber realizado algunas pruebas.

URL de descarga: https://www.ghidra-sre.org/

Instalación:

Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior.

Si aún así tenéis alguna duda, en la web proporcionada hay un pequeño vídeo explicativo.

Primeras impresiones:

Lo primero que podemos ver al abrirla es que se trata de la versión 9.0 del programa, por lo que puede inferirse que lleva muchos años siendo utilizada y que ha pasado por numerosas etapas para la mejora de su código, lo que, en principio, nos lleva a pensar que estamos ante una herramienta madura y a prueba de errores.

Al crear un nuevo proyecto, nos muestra un baúl de herramientas con dos opciones: “CodeBrowser” y “Version Tracking”. Analizaremos en esta ocasión la herramienta “CodeBrowser”.

Si abrimos un binario, la herramienta nos lo analiza y nos muestra el desensamblaje del código en una interfaz que nos parece bastante amigable, en comparación con otros frameworks similares.

Aunque los tiempos de carga son casi mínimos, la optimización del consumo de recursos no es su punto fuerte, ya que consume bastante más que otras herramientas que tienen el mismo objetivo.

Como punto a favor de su usabilidad, existe una cheatsheet oficial con los shortcuts más importantes del programa. Puede accederse a la plantilla a través de este enlace.

Fallos reconocidos en las primeras 12 horas:

Apenas unas horas después de la salida del producto, varios expertos en ciberseguridad se han hecho eco de un fallo en la apertura del puertoJDWP (18001) en el modo debugque se pone a la escucha en todas las interfaces y permite ejecución de código remoto. A continuación vemos un ejemplo del fallo que describimos:

Here is a screen shot that proves RCE in the JDWP service when running Ghidra in debug mode. The issue is that the NSA left an asterisk * instead of something sane like “127.0.0.1” – exposing JDWP to all interfaces and allowing exploitation. It’s not default, but a bugdoor. pic.twitter.com/YYTU8Qdx8T

— Hacker Fantastic (@hackerfantastic) March 6, 2019

Usando un motor de búsqueda de dispositivos conectados a internet como shodan.io podemos ver ya algunos equipos que ahora mismo podrían ser vulnerados.

La solución más simple sería modificar el código que hace referencia a la interfaz y ponerlo solo a la escucha en localhost.

El issue se encuentra abierto en Github ahora mismo. URL: https://github.com/NationalSecurityAgency/ghidra/issues/6.

Opiniones publicadas:

Varios expertos en reversing ya se han pronunciado sobre la herramienta, manteniendo diferentes opiniones sobre la utilidad del producto:

The same capabilities with IDA Pro would cost you ~$13,000 (and it supports less architectures). As much as I love IDA, their monopoly is the bane of my existence.

— MalwareTech (@MalwareTechBlog) March 6, 2019

After playing with ghidra for an hour pic.twitter.com/EW5PEBLdDU

— Malware Unicorn (@malwareunicorn) March 6, 2019

Para estar al tanto de la opinión de la comunidad acerca de Ghidra, existe un post anclado en Reddithttps://www.reddit.com/r/ReverseEngineering/comments/ax2gma/ghidra_stickied_thread/