Nueva versión de Signal permite encriptar la identidad del remitente

La aplicación de mensajería Signal planea implementar una nueva función que pretende ocultar la identidad del remitente de posibles atacantes que intercepten la comunicación.

Desde hace algún tiempo las aplicaciones de mensajerías como WhatsApp o Telegram entre otras han implementado cifrados en la comunicación, pero estos paquetes cifrados contenían y contienen pequeñas dosis de información que podría permitir conocer los agentes implicados en la comunicación y la hora de los mensajes. Aquí tenemos una comparativa sobre el cifrado en la comunicación de las distintas aplicaciones.

  1. WhatsApp: la aplicación de Whatsapp basa su cifrado en el protocolo de Signal.
  2. Telegram: la aplicación de Telegram basa su cifrado en el protocolo MTProto.
  3. SignalAES por cada conversación y se basa en OTR con modificaciones incluyendo ahora “Sealed Sender”.

En el caso de Signal la aplicación encripta el mensaje usando su protocolo habitual, en este mensaje se incluye el certificado del remitente y se empaqueta todo. Este paquete se cifra y se envía junto con un token de entrega que el destinatario finalmente descifra mensaje tras validar la clave de la identidad del remitente.

Se debe tener en cuenta que la nueva técnica de Signal elimina la capacidad de la compañía de verificar (por parte de ella) el certificado del remitente aunque la compañía ya está introduciendo soluciones alternativas que permiten a los usuarios poder verificar quién les envió determinado mensaje. Esta nueva característica se encuentra en fase beta, por lo que los usuarios que tengan esta versión podrán probarla.

Mas información:

Signal Secure Messaging App:
https://thehackernews.com/2018/10/signal-secure-messaging-metadata.html

Whatsapp PDF Tech:
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf

Telegram FAQ MTProto:
https://core.telegram.org/techfaq

Signal FAQ Tech:
https://support.signal.org/hc/en-us/articles/360007320391-Is-it-private-Can-I-trust-it-

Vulnerabilidad en la gestión de paquetes ICMP en el kernel de XNU de Apple

El investigador de seguridad Kevin Backhouse ha descubierto una vulnerabilidad en el núcleo de XNU de Apple relacionada con la gestión de los paquetes ICMP.

apple_logo

La vulnerabilidad se produce cuando el kernel XNU recibe un paquete ICMP especialmente diseñado. De forma que, cualquier dispositivo que se encuentre en la misma red, solamente debe enviar este paquete para explotar la vulnerabilidad. Y, como se puede apreciar en el vídeo de la prueba de concepto, no requiere ningún tipo de interacción por parte de la víctima.

Video of my PoC for CVE-2018-4407. It crashes any macOS High Sierra or iOS 11 device that is on the same WiFi network. No user interaction required. pic.twitter.com/tXtp7QRCp8

— Kevin Backhouse (@kevin_backhouse) October 30, 2018

Más especificamente, la vulnerabilidad se trata de un desbordamiento de del buffer en el heap, que se produce porque el atacante controla el tamaño y contenido del buffer utilizando diferentes campos del paquete. Por ello, aunque de momento solamente se ha realizado una prueba de concepto que hace que el dispositivo se reinicie debido al fallo, debería poderse aprovechar esta vulnerabilidad para lograr la ejecución de código remoto.

Teniendo en cuenta que XNU es el kernel utilizado en los sistemas operativos de los dispositivos Apple, esta vulnerabilidad afecta tanto a iOS como a macOS. Las siguientes versiones de los sistemas operativos son vulnerables:

– iOS 11 e inferiores
– macOS High Sierra 10.13.6 e inferiores
– macOS Sierra 10.12.6 e inferiores
– Mac OSX El Capitan e inferiores

Más Información:
Entrada de blog Kevin Backhouse:
https://lgtm.com/blog/apple_xnu_icmp_error_CVE-2018-4407

Prueba de concepto:
https://twitter.com/kevin_backhouse/status/1057352656560287746

Actualizaciones para múltiples productos de Apple

 

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos Safari, iCloud para Windows, iTunes, watchOS, iOS, tvOS y macOS. Entre todos los productos se corrigen 177 fallos de seguridad.

apple-vulnerabilidades-uadLos boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.

El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 12.1, resuelve 31 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Wi-Fi’, ‘FaceTime’, el kernel y ‘WebKit’ entre otros. Uno de los fallos permitiría a una web maliciosa suplantar la URL mostrada para hacer creer a los usuarios que se encuentran en un sitio web legítimo (CVE-2018-4385).

macOS Mojave 10.14.1 y los ‘Security Update 2018-001 High Sierra’ y ‘2018-005 Sierra’. En este caso se solucionan 71 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘afpserver’, ‘AppleGraphicsControl’, ‘APR’, ‘CFNetwork’, ‘CoreCrypto’, ‘Dock’ y el kernel entre otros. Nueve de estas vulnerabilidades permitirían ejecutar código arbitrario con privilegios de sistema (CVE-2018-4126, CVE-2018-4331, CVE-2018-4334, CVE-2018-4350, CVE-2018-4393, CVE-2018-4402, CVE-2018-4410, CVE-2018-4415, CVE-2018-4426).

Safari 12.0.1 cuenta con otro boletín que soluciona 12 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. Varios de los errores corregidos permitirían a una web maliciosa la ejecución de código arbitrario (CVE-2018-4372, CVE-2018-4373, CVE-2018-4375, CVE-2018-4376, CVE-2018-4382, CVE-2018-4386, CVE-2018-4392, CVE-2018-4416).

El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 5.1, soluciona 21 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario (CVE-2018-4372, CVE-2018-4373, CVE-2018-4375, CVE-2018-4376, CVE-2018-4382, CVE-2018-4386, CVE-2018-4392, CVE-2018-4416, CVE-2018-4378).

tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 12.1, donde se corrigen 15 vulnerabilidades en múltiples componentes. Cinco de ellas podrían permitir la ejecución remota de código (CVE-2018-4372, CVE-2018-4382, CVE-2018-4386, CVE-2018-4392, CVE-2018-4416).

Las versiones iTunes 12.9.1 e iCould 7.8 para Windows corrigen 14 y 13 vulnerabilidades respectivamente, algunas también de gravedad alta.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

 

Más información:

Safari 12.0.1
https://support.apple.com/es-es/HT209196

iCloud for Windows 7.8
https://support.apple.com/kb/HT209198

iTunes 12.9.1
https://support.apple.com/kb/HT209197

watchOS 5.1
https://support.apple.com/kb/HT209195

iOS 12.1
https://support.apple.com/kb/HT209192

tvOS 12.1
https://support.apple.com/kb/HT209194

macOS Mojave 10.14.1, Security Update 2018-001 High Sierra, Security Update 2018-005 Sierra
https://support.apple.com/kb/HT209193

Nueva versión de Signal permite encriptar la identidad del remitente

La aplicación de mensajería Signal planea implementar una nueva función que pretende ocultar la identidad del remitente de posibles atacantes que intercepten la comunicación.

Desde hace algún tiempo las aplicaciones de mensajerías como WhatsApp o Telegram entre otras han implementado cifrados en la comunicación, pero estos paquetes cifrados contenían y contienen pequeñas dosis de información que podría permitir conocer los agentes implicados en la comunicación y la hora de los mensajes. Aquí tenemos una comparativa sobre el cifrado en la comunicación de las distintas aplicaciones.

  1. WhatsApp: la aplicación de Whatsapp basa su cifrado en el protocolo de Signal.
  2. Telegram: la aplicación de Telegram basa su cifrado en el protocolo MTProto.
  3. SignalAES por cada conversación y se basa en OTR con modificaciones incluyendo ahora “Sealed Sender”.

En el caso de Signal la aplicación encripta el mensaje usando su protocolo habitual, en este mensaje se incluye el certificado del remitente y se empaqueta todo. Este paquete se cifra y se envía junto con un token de entrega que el destinatario finalmente descifra mensaje tras validar la clave de la identidad del remitente.

Se debe tener en cuenta que la nueva técnica de Signal elimina la capacidad de la compañía de verificar (por parte de ella) el certificado del remitente aunque la compañía ya está introduciendo soluciones alternativas que permiten a los usuarios poder verificar quién les envió determinado mensaje. Esta nueva característica se encuentra en fase beta, por lo que los usuarios que tengan esta versión podrán probarla.

 

Mas información:

Signal Secure Messaging App:
https://thehackernews.com/2018/10/signal-secure-messaging-metadata.html

Whatsapp PDF Tech:
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf

Telegram FAQ MTProto:
https://core.telegram.org/techfaq

Signal FAQ Tech:
https://support.signal.org/hc/en-us/articles/360007320391-Is-it-private-Can-I-trust-it-

 

El FBI investiga ataque al servicio de aguas y alcantarillado de North Carolina

Funcionarios federales están trabajando conjuntamente con una empresa local encargada del servicio de aguas de North Caroline, después de que se hayan detectado intrusiones en sus sistemas.

El jefe de aguas y alcantarillados de Onslow (en Carolina del Norte) expuso en un comunicado que habían sido objeto de un “sofisticado ataque de ransomware“.

El relato de los hechos, según el CEO de la compañía (Jeffrey Hudson) de aguas y alcantarillado, comienza a las 3:00AM del día 4 de octubre, cuando un empleado del departamento IT se percató del ataque y reaccionó desconectando los sistemas de internet.
Sin embargo, para ese entonces, el virus ya se había propagado rápidamente por la red local y logró cifrar varios sistemas importantes del servicio de aguas (bases de datos, según el CEO).
Tanto el CEO del servicio de aguas y alcantarillado de North Carolina como el jefe de IT, estuvieron de acuerdo en no ceder a las amenazas de rescate de los atacantes.

Jeffrey Hudson declara que, la información de sus clientes no ha sido comprometidatras el ataque, pero sí han tenido que restaurar varias bases de datos que poseían para volver a la normalidad.

De acuerdo con centro de quejas de delitos por internet del FBI, los ataques de tipo ransom (cifrar el disco completo y pedir a continuación un rescate por la clave) no son tan comunes si los comparamos con otros como el phishing, aunque si son costosos para las organizaciones/particulares que las sufren.

El virus usado utilizado por los atacantes es Emotet, un troyano bancario cuya función principal es descargar y lanzar otros malwares. En este caso, el malware lanzado es Ryuk, un malware de tipo ransom.

Emotet es un malware troyano polimórfico. Anteriormente este malware se consideraba del tipo bancario, hoy en día es un troyano bancario cuya función principal es descargar y lanzar otros ejecutables. También tiene la capacidad de descargar módulos adicionales de su servidor, entre los que encontramos:

  • Módulo de spam
  • Módulo de gusano de red.
  • Módulo para visualizar la contraseña del correo electrónico.
  • Módulo para visualizar las contraseñas del navegador web.
Se propaga por medio de una botnet de spam, adjuntando documentos o enlaces maliciosos en correos electrónicos, también mediante fuerza bruta con diccionario.
Una vez que Emotet ha infectado un dispositivo, tiene la capacidad de interceptar, registrar y guardar todo el tráfico saliente del navegador web.
Ryuk es descargado y lanzado por Emotet. Ryuk es usado en ataques dirigidos hechos a medida (al contrario que Emotet, que mayormente usa botnets de spam).
La primera muestra de Ryuk de la que se tiene constancia es del día 18 de agosto de 2018
Infecta todos los archivos del sistema excepto los ficheros de la lista blanca de directorios. Estos serían “Windows”, “Mozilla”, “Chrome”, “RecycleBin”, “Ahnlab”
documentos de MS Office, OpenOffice, PDFs, archivos de texto, bases de datos, fotos, música, vídeos, archivos de imágenes, archivos, etc
Más información:
Comunicado:
https://www.onwasa.com/DocumentCenter/View/3701/Scan-from-2018-10-15-08_08_13-A

EMOTET info:
https://www.us-cert.gov/ncas/alerts/TA18-201A

RYUK info:
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

Autenticación sin credenciales en libssh

La vulnerabilidad se encuentra en todas las versiones desde la 0.6, requiriendo para su explotación sólo alterar el orden del proceso de autenticación

Ha sido encontrado un fallo en el flujo que sigue libssh durante el proceso de autenticación, que permite autenticarse correctamente sin necesidad de entregar ninguna credencial. Para ello, al establecer la conexión, en vez de enviar el estado ‘SSH2_MSG_USERAUTH_REQUEST‘ como esperaría el servidor, tan sólo hay que enviar el estado final SSH2_MSG_USERAUTH_SUCCESS’.

Este error, que ha sido descubierto por Peter Winter-Smith de NCC Group y tiene por identificador CVE-2018-10933, ya ha sido parcheado en la versión 0.8.4 y 0.7.6. Algunos de los productos que pueden haber sido afectados son X2Go, Csync o Remmina. En el caso de Github, aunque utiliza libssh, no está afectado al emplear una versión modificada de la biblioteca. La vulnerabilidad sólo afecta a la parte del servidor, por lo que en principio proyectos como KDE, que utiliza la parte de cliente, no están afectados.

No debe confundirse libssh con OpenSSH, siendo ambos proyectos independientes. No existe riesgo para la mayoría de servidores SSH instalados en máquinas tipo Unix, al emplear estos por defecto una implementación de OpenSSH. Si se utiliza un producto que haga uso de esta biblioteca en el lado del servidor, se urge a actualizar de inmediato debido a la gravedad de la vulnerabilidad.



Boletín de seguridad para Drupal

Drupal ha publicado su sexto boletín de seguridad del año en el cual corrige 5 vulnerabilidades, dos de ellas han sido calificadas como severidad crítica.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El boletín en cuestión, SA-CORE-2018-006, afecta a la versión 7 y 8 de Drupal. Actualmente las vulnerabilidades no cuentan con ningún CVE, son las siguientes:

La primera vulnerabilidad, de severidad moderada, es debida a que el chequeo de moderación de contenido puede fallar permitiendo a un usuario tener acceso a ciertas transiciones. En la solución se ha visto modificado el servicio ‘ModerationStateConstraintValidator’ y la interfaz ‘StateTransitionValidationInterface’ que podría causar un problema de retrocompativilidad.

La segunda vulnerabilidad de severidad moderada, se encuentra en el módulo de rutas, el cual podría permitir a un usuario con administración de rutas, causar una redirección a través de una inyección especialmente manipulada.

La tercera vulnerabilidad se encuentra en la función ‘RedirectResponseSubscriber::sanitizeDestination’, que bajo ciertas circunstancias no procesa adecuadamente el parámetro ‘destination’ y podría ser utilizado para causar una redirección web maliciosa a través de la manipulación del parámetro ‘destination’.

La cuarta vulnerabilidad, y primera crítica del boletín, se encuentra en una limpieza errónea de las variables de ‘Shell’ en la función ‘DefaultMailSystem::mail’ que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.

La última vulnerabilidad se encuentra en la validación de enlaces contextuales, la cual no valida adecuadamente los enlaces solicitados y podría causar una ejecución de código arbitrario a través de una solicitud de un enlace especialmente manipulado.

Las vulnerabilidades han sido corregidas en las versiones 7.60, 8.6.2 y 8.5.8.

Más información:
 
Drupal Core – Multiple Vulnerabilities – SA-CORE-2018-006:

GandCrab v5 evoluciona dificultando su desofuscación

GandCrab evoluciona asociándose con un servicio criptológico para ofuscar su código

 

El ransomware GandCrab apareció por primera vez en enero de este año y se ha ido actualizando muy rápidamente desde entonces, este mes ha llegado a su versión 5.0.2 mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones.

Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.

Anuncio de asociación NTCrypt + GandCrab
Fuente: securingtomorrow.mcafee.com

Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros).

La versión 5 viene con las siguientes características:

  • Eliminación de archivos
  • Descubrimiento de información en el sistema objetivo
  • Ejecución a través de API
  • Ejecución a travésde WMIC
  • Detección de productos antimalware y de seguridad.
  • Modificación del registro
  • Descubrimiento de los arboles de directorio para buscar archivos a cifrar.
  • Descubrir recursos compartidos en red para cifrarlos
  • Enumeración de procesos para poder eliminar algunos concretos
  • Creación de archivos
  • Elevación de privilegio

Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.

El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.

Hashes

e168e9e0f4f631bafc47ddf23c9848d7: Versión 5.0

6884e3541834cc5310a3733f44b38910: DLL de la versión 5.0

2d351d67eab01124b7189c02cff7595f: Versión 5.0.2

41c673415dabbfa63905ff273bdc34e9: Versión 5.0.2

1e8226f7b587d6cd7017f789a96c4a65: DLL  exploit de 32 bits

fb25dfd638b1b3ca042a9902902a5ff9: DLL  exploit de 64 bits

df1a09dd1cc2f303a8b3d5097e53400b: botnet relacionada con el malware (IP 92.63.197.48)

 
Fuente:

Riesgo de intrusiones en dispositivos D-Link

Hace unos días, Blazej Adamczyk reportó una serie de vulnerabilidades en los dispositivos D-Link que podrían permitir a un atacante hacerse con el control del router, incluso le permitiría ejecutar código directamente.

Extraído de Amazon.es

Los dispositivos afectados son: DWR-116, DWR-512, DWR-712, DWR-912, DWR-921 y DWR-111, aunque también podrían verse afectados otros con el mismo tipo de firmware.

  • CVE-2018-10822, posibilidad de leer archivos remotamente y de forma arbitraria vía /.. o // después de un “GET/uir” en una petición HTTP.
  • CVE-2018-10823, inyección de comandos.
  • CVE-2018-10824, contraseñas almacenadas en un archivo de texto plano.

El problema del directorio transversal (CVE-2018-10822) se debe a una reparación incompleta de la vulnerabilidad CVE-2017-6190, descubierta por Patryk Bogdan.

Combinando las vulnerabilidades CVE-2018-10822 y CVE-2018-10824, un atacante podría intentar obtener la contraseña del administrador en el caso de conocer la ubicación del archivo en el que está almacenada dicha clave.

Con una instrucción del tipo:

El atacante podría obtener un archivo binario de configuración que contiene el nombre de usuario y la contraseña del administrador así como otros datos de configuración del router. La falta de encriptación descrita por la CVE-2018-10824, unida a la vulnerabilidad del directorio transversal (CVE-2018-10822) que permite al atacante leer el archivo sin necesidad de identificación, suponen un riesgo grave.

La vulnerabilidad CVE-2018-10823 ha identificado la posibilidad de ejecutar código arbitrario por parte de un atacante que se haya identificado en el router. De modo que una vez que se haya identificado en el mismo, es suficiente con ejecutar un código del estilo de:

De modo que sería posible inyectar comandos a través de parámetros que no son correctamente validados en la vista “chkisg.htm” para hacerse con el control completo del dispositivo al obtener el archivo “passwd”.

El equipo de D-Link fue informado el 9/5/18 confirmando que está trabajando en las actualizaciones necesarias.

Más información:
D-Link routers – full takeover
http://sploit.tech/2018/10/12/D-Link.html

Descubiertas vulnerabilidades críticas en el sistema operativo de Amazon: FreeRTOS

Un investigador ha descubierto varias vulnerabilidades críticas enFreeRTOS las cuales exponen una amplia gama de dispositivos IoT al ataque de ciberdelincuentes.

Resultado de imagen de freertos amazon
¿Qué es FreeRTOS?
Se trata de un sistema operativo de código abierto para sistemas integrados que se ha portado a más de 40 microcontroladores utilizados hoy día en IoT, aeroespacial e industria médica entre otros.
Este sistema ha sido diseñado para ejecutar aplicaciones que necesitan una sincronización muy precisa y un altro grado de confiabilidad. Un marcapasos es un ejemplo de uso de este sistema integrado en tiempo real que contrae el músculo cardíaco en el momento adecuado.
Desde finales del año pasado FreeRTOS está siendo administrado por Amazon, quien ha estado agregando modulos para mejorar la seguridad y disponibilidad en el sistema.
Vulnerabilidades en FreeRTOS:
Oir Karliner, investigador de seguridad de Zimperium Security Labs (zLabs), ha descubierto un total de 13 vulnerabilidades en la pila TCP/IP de FreeRTOS que también afectan a las variantes distribuidas por Amazon.
Lista de CVE:
CVE Description
CVE-2018-16522 Remote code execution
CVE-2018-16525 Remote code execution
CVE-2018-16526 Remote code execution
CVE-2018-16528 Remote code execution
CVE-2018-16523 Denial of service
CVE-2018-16524 Information leak
CVE-2018-16527 Information leak
CVE-2018-16599 Information leak
CVE-2018-16600 Information leak
CVE-2018-16601 Information leak
CVE-2018-16602 Information leak
CVE-2018-16603 Information leak
CVE-2018-16598 Other
Las vulnerabilidades podrían permitir a los atacantes: desbloquear el dispositivo de destino, filtrar información de su memoria, ejecutar código malicioso, etc.

“Durante nuestra investigación, descubrimos múltiples vulnerabilidades dentro de la pila TCP/IP de FreeRTOS y en los módulos de conectividad seguras de AWS. Las mismas vulnerabilidades están presentes en el componente TCP/IP de WHIS Connect para OpenRTOS/SafeRTOS“, señala el investigador.

Zimperium informó responsablemente de las vulnerabilidades a Amazon y la compañía ayer implementó parches de seguridad que corregían estos fallos.

Más información:
Información de los parches de Amazon: