Nueva actualización de Koodous disponible en Google Play

El pasado 3 de mayo se publicó en Google Play una nueva versión de Koodous. Concretamente la 2.1.10, que introduce cambios en su interfaz y nuevas funcionalidades que repasaremos a continuación.

 

Cuando empezamos en 2015, Koodous contaba con un dataset de aplicaciones de a penas 3 millones de muestras. Hoy día contamos con más de 28 millones de APK y un volumen de más de 10.500 usuarios activos, de los cuales más de 3.500 son analistas.

Para quienes no lo conozcan, Koodous Mobile funciona como antivirus, protegiendo tu dispositivo Android de aplicaciones maliciosas como troyanos, virus y publicidad abusiva.

¿Qué diferencia a Koodous de los antivirus tradicionales?

Básicamente dos cosas: por un lado el repositorio de muestras, que a día de hoy cuenta con más de 28 millones de APK. Y por otro, una comunidad creciente y activa de analistas que ayudan con sus reglas a detectar nuevas familias de malware y aplicaciones potencialmente no deseadas.

La nueva aplicación se ha reescrito casi desde cero para reducir aún más el impacto en el rendimiento, incluso en dispositivos antiguos.

Estas son las principales novedades:

Nueva interfaz

Los cambios en la interfaz permiten tener una visual más inmediata de la seguridad de nuestros dispositivos. Además se simplifica el funcionamiento: automáticamente Koodous Mobile comprobará contra su base de datos las nuevas instalaciones y actualizaciones instaladas en el dispositivo, de forma transparente al usuario. En caso de detectar alguna aplicación maliciosa se notificará al usuario y se proporcionará un acceso directo a la solución.

También se ha cuidado su estética, haciéndola visualmente más atractiva en móviles y tablets.

Instalador

Se introduce como novedad un “instalador” que comprueba la aplicación antes de que se instale en el sistema. De esta manera es posible parar el malware antes de que pueda afectar a nuestro dispositivo.

Koodous previene instalar una aplicación potencialmente maliciosa

Información extendida

Una nueva vista muestra información detallada sobre las aplicaciones instaladas en el dispositivo. De este modo se pueden revisar los permisos o realizar un análisis más exhaustivo de la aplicación a través la plataforma web.



Si aún no lo has probado os animamos a instalar esta nueva versión y proteger vuestros dispositivos con Koodous.

Un grupo de hackers crean una “llave maestra” que abre millones de habitaciones de hotel

A partir de hoy, piénselo dos veces antes de dejar pertenencias valiosas en su habitación de hotel. Esta puede ser desbloqueada por un extraño.

Una vulnerabilidad crítica en un sistema de bloqueo electrónico ampliamente utilizado puede aprovecharse para desbloquear cada habitación cerrada en una instalación, dejando millones de habitaciones de hoteles del mundo vulnerables a cualquier delincuente conocedor de la técnica.

Este sistema de cierre está desplegado en más de 42.000 instalaciones en 166 países diferentes, lo que equivale a millones de puertas inseguras.

Los investigadores de F-Secure Tomi Tuominen y Timo Hirvonen lograron construir una llave maestra que podría usarse para acceder a cualquier habitación de hotel que utilice la tecnología Vision de VingCard.

Como se crea la llave maestra

Lo primero que se necesita es una tarjeta electrónica. Cualquier tarjeta electrónica existente, vieja o expirada puede servir.

Para obtener la clave RFID, el atacante podría leer los datos acercándose a un huésped o empleado del hotel que lleve la tarjeta encima. O simplemente reservar una habitación en el hotel y utilizar su propia tarjeta como fuente.

Luego, y con la ayuda de un programador portátil (los cuáles venden en línea por unos cientos de euros), crearía la llave maestra.

Como funciona

El dispositivo en cuestión se mantendría cerca del sistema de bloqueo destino y haría diferentes intentos con diferentes keys hasta finalmente desbloquear la puerta, como se puede ver en este vídeo de demostración.

La empresa F-Secure no ha querido proporcionar más datos técnicos sobre la programación de la tarjeta maestra por razones obvias.

https://safeandsavvy.f-secure.com/2018/04/25/researchers-find-way-to-generate-master-keys-to-hotels/

Fallo sin posibilidad de parche en las Nintendo Switch

Se ha publicado una prueba de concepto para ejecutar código arbitrario a través de un fallo sin posibilidad de parche en modelos del chip NVIDIA Tegra T186/X2.

Kate Temkin, una investigadora de hardware conocida por su participación en el proyecto ReSwitched, para investigar la arquitectura de las consolas Nintendo Switch. Kate, ha publicado un exploit, bautizado Fuseè Geleè, que aprovecha un fallo en el chip NVIDIA Tegra, chip que montan los dispositivos de la desarrolladora japonesa, concretamente en la memoria ROM que utiliza para el arranque.

Este fallo es aprovechado durante la secuencia de carga de la consola para ejecutar código arbitrario, en concreto, durante el proceso denominado: Tegra Recovery Mode. Esto permite, de este modo, instalar un firmware no oficial, por ejemplo, Atmosphere, el núcleo en el que está colaborando Temkin. Esto posibilitaría, entre otras cosas, la instalación de juegos y otro tipo de software no oficiales.

Esta vulnerabilidad no solo afectaría en exclusiva a la consola de Nintendo, otros dispositivos que usen del mismo modelo de chip, fabricado en 2016, podrían verse afectados.

Debido al carácter de memoria de solo lectura, el chip no puede ser actualizado posteriormente a su instalación en fábrica, por lo que a menos que se sustituya físicamente, la consola permanecería vulnerable, sin posibilidad de corrección aunque se actualice el firmware oficial.

La descubridora ha publicado un detallado documento donde se describe el fallo. Básicamente, un error en una función de copia de memoria en las rutinas de control de dispositivos USB, en la cual es posible manipular un parámetro para controlar la dirección de retorno de la función. Debido a que la función se ejecuta durante un contexto de máximo privilegio, es posible hacerse con el control del sistema antes de que este fuerce medidas de seguridad y contención de permisos sobre los procesos en ejecución.

No es previsible que este fallo pueda ser corregido en las Nintendo Switch y otros dispositivos que porten el mencionado chip afectado, por lo que una nueva versión libre de este fallo teóricamente sólo será aplicable a futuros modelos.

Denegación remota de servicio en Microsoft Internet Explorer 11

John Page, conocido bajo el nick ‘hyp3rlinx’, ha descubierto un error en el procesamiento de páginas web por parte de Internet Explorer 11 para Windows 10 que permite forzar el cierre del navegador

Internet Explorer todavía no está muertoMicrosoft Edge es el sucesor, y de hecho es el navegador predeterminado ya en Windows 10. Pero tal y como reza Microsoft en su página oficial, si todavía usas ActiveX (simplificando, esa tecnología muerta usada para ampliar la funcionalidad de Internet Explorer) porque las aplicaciones web en tu empresa lo usan, debes usarInternet Explorer, ya que Edge ya no soporta ActiveX.

Y como sigue vivo, los exploiters siguen dedicando esfuerzos a buscarle las cosquillas al viejo navegador. En este caso, ha sido hyp3rlinx quien se las ha encontrado, creando una página web especialmente diseñada que fuerza al proceso de Internet Explorer a realizar una acción inválida y provoca que el sistema operativo fuerce su cierre. Específicamente, el fallo se produce cuando Internet Explorer se encuentra con una etiqueta HTML ‘a’ con el atributo ‘href’ apuntando a un valor como ‘.exe’. Básicamente, que contenga únicamente una de ciertas extensiones de archivos precedida con un punto, siendo estas extensiones al menos ‘exe’, ‘com’, ‘pif’, ‘bat’ y ‘scr’.

Tal y como el autor reporta la vulnerabilidad, especificando una versión muy concreta (Microsoft Internet Explorer 11.371.16299.0 para Windows 10) sin mencionar rangos, es posible que sea un fallo para esa versión específica. Desde Hispasec hemos podido comprobar que no afecta a la versión deInternet Explorer que viene por defecto con una de las primeras versiones de Windows 10. El impacto de esta vulnerabilidad es fácil de entender:cualquier usuario que visite una página web en la que el atacante pueda insertar un enlace puede terminar con el navegador cerrado.

A la fecha de escritura de este artículo, esta vulnerabilidad no tiene identificador CVE ni ha sido reconocida por Microsoft.

Microsoft (Win 10) InternetExplorer v11.371.16299.0 – Denial Of Service
http://hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-(Win-10)-DENIAL-OF-SERVICE.txt

Guía empresarial acerca del uso de Microsoft Edge e Internet Explorer 11
https://docs.microsoft.com/es-es/microsoft-edge/deploy/enterprise-guidance-using-microsoft-edge-and-ie11

Software malicioso escondiéndose detrás de la apariencia de AdBlock

Un gran número de usuarios se han visto afectados por extensiones maliciosas en el market de Google Chrome, según un reciente estudio.

 

Cada día vemos nuevas técnicas de ataque hacia el usuario, una de ellas es hacer pasar extensiones maliciosas como verdaderas, incluso llegando a colgarlas en markets oficiales. Y como no podría ser menos no se libra AdBlock,  el famoso complemento para diversos navegadores que bloquea la publicidad de los sitios web que visitamos.

El peligro de estas aplicaciones es que se posicionan en lo más alto en el market mediante el uso de palabras claves, siendo suficiente para ganarse la confianza de los usuarios.

Esto ha quedado demostrado en un reciente estudio del investigador de seguridad Andrey Meshkov, que ha publicado una lista de cinco extensiones de AdBlock falsas. Estas  contenían código malicioso que permitían el control total del navegador, y acceder a toda la información disponible.

Adblock falsos

Este investigador informó a Google de sus hallazgos y se han eliminado todas las extensiones referentes a bloqueadores de anuncios que tenían presencia de código malicioso. La lista de complementos era la siguiente:

  • AdRemover para Google Chrome ™ (10 millones + usuarios)
  • uBlock Plus (8 millones + usuarios)
  • [Fake] Adblock Pro (2 millones + usuarios)
  • HD para YouTube ™ (400,000+ usuarios)
  • Webutation (más de 30,000 usuarios)
Debemos tener en cuenta que el número de instalaciones totales asciende a unos 20 millones de instalaciones, cuando por ejemplo añadimos ‘AdRemover’ a nuestro navegador, estamos instalando el código malicioso que se encuentra escondido dentro de una versión modificada de ‘jQuery’, la conocida biblioteca JavaScript. AdRemover’ recibe comandos de un servidor remoto, que se ejecutan en segundo plano y obtienen el acceso al navegador por parte de los atacantes.
Como norma general se recomienda instalar extensiones de la que sepamos su procedencia y sean oficiales. En la sección de Más Información podéis ver noticias de este blog relacionadas con la temática de las aplicaciones maliciosas en markets oficiales.
https://blog.adguard.com/en/over-20-000-000-of-chrome-users-are-victims-of-fake-ad-blockers/

Fallo de seguridad CRÍTICO sin parchear en dispositivos de almacenamiento LG

Aviso importante: Si ha instalado un dispositivo de almacenamiento en red LG, debe desconectarlo inmediatamente.

Un investigador de seguridad de la empresa VPN Mentor ha descubierto una vulnerabilidad de ejecución de código remoto en varios modelos de dispositivos LG NAS. Este fallo podría permitir a un atacante comprometer los dispositivos vulnerables y robar datos almacenados en ellos.

Los dispositivos NAS son unidades de almacenamiento de archivos conectadas a una red que permite a los usuarios almacenar y compartir datos con varios equipos.

El fallo en cuestión, reside en la validación incorrecta del parámetro “contraseña” de la página de inicio de sesión para la administración remota del dispositivo. Explotando este campo, los atacantes pueden pasar comandos arbitrarios del sistema.

El modo de actuar más simple para la explotación del fallo es inyectando una shell simple con la que poder ejecutar los comandos con mayor comodidad.

Con el uso de la shell, los atacantes pueden incluso descargar la base de datos completa del dispositivo NAS, incluidos los correos electrónicos, los nombres de usuario y las contraseñas hasheadas en MD5.

Dado que el cifrado MD5 es muy débil y se puede romper con facilidad, un atacante remoto podría obtener acceso autorizado y robar datos sensibles almacenados en los dispositivos vulnerables.

Otra manera de actuar sería agregar un nuevo usuario al dispositivo mediante los comandos ejecutados en la shell, e iniciar sesión con esas credenciales.

Este último modo de actuar lo vemos en el siguiente vídeo:

Dado que LG aún no ha lanzado una actualización que solucione el problema, se recomienda a los usuarios que posean alguno de estos dispositivos, que lo desconecte hasta que el fallo sea parcheado.

Para los usuarios que no quieran prescindir del uso de su dispositivo NAS, se recomienda asegurarse de que su dispositivo no es accesible desde Internet, que estén protegidos por un firewall que solo permita el acceso a ellos por un grupo confiable de IPs y que observen periódicamente cualquier actividad sospechosa en la verificación de usuarios y contraseñas.

Actualización de seguridad del lenguaje Perl

Perl es un popular lenguaje de programación creado en 1987 por Larry Wall. Es un lenguaje polifacético y usado en multitud de entornos y plataformas.

 

La distribución del lenguaje ha recibido una actualización de seguridad que corrige tres vulnerabilidades importantes que podrían causar revelación de información, denegación de servicio y potencialmente ejecución de código arbitrario.

El primer fallo ha sido descubierto por Brian Carpenter. Se trata de un error en el procesamiento de expresiones regulares que podría causar un desbordamiento de memoria pasada en montículo a través de una expresión regular maliciosa.

El segundo fallo, descubierto por Nguyen Duc Manh, también afecta al mismo componente al hacer referencia a un elemento ya definido. Esto podría desencadenar la revelación de partes de la memoria y potencialmente un desbordamiento de memoria basada en montículo.

El último fallo ha sido descubierto por GwanYeong Kim y afecta a la función ‘pack()’. Se trata, del mismo modo, de un desbordamiento de memoria basada en montículo cuando se está procesando un gran número de objetos.

Los fallos afectan desde la versión de Perl 2.18 a la 2.26.1 inclusives.

Más información
heap-buffer-overflow (WRITE of size 1) in S_regatom (regcomp.c)https://rt.perl.org/Public/Bug/Display.html?id=132227

Heap-buffer-overflow in Perl__byte_dump_string (utf8.c)
https://rt.perl.org/Public/Bug/Display.html?id=132063

heap-buffer-overflow in S_pack_rec
https://rt.perl.org/Public/Bug/Display.html?id=131844

Una vulnerabilidad en un dispositivo IoT pone patas arriba la seguridad de un casino

El jueves de la pasada semana el CEO de la empresa de seguridadDarktrace, Nicole Eagan, que asistía al evento WSJ CEO Council Conference en Londres, contó ante los asistentes un escenario que cada día está tomando mayor repercusión: acceder a un sistema informático a través de un dispositivo IOT.

 
La noticia de la cual se hacía eco Nicole Eagan, sin citar ni a la empresa comprometida ni al dispositivo IoT, era que un casino había sido ‘hackeado’ a través de una vulnerabilidad en el termómetro de uno de los acuarios que formaban parte de la decoración. La información obtenida por los atacantes era la base de datos de los clientes del casino.
 
Este escenario que se presentaba el pasado jueves bien podría formar parte de la próxima película de Ocean’s Eleven, pero la realidad no es mucho más halagüeña. El número de dispositivos IoTs que conectamos a nuestra red no para de aumentar. Esta situación unida a la escasa seguridad que presentan algunos dispositivos IoTs hacen que estos dispositivos sean una puerta de entrada sobre la que después pivotan los atacantes hacia objetivos de mayor criticidad.
 
La empresa consultora Gartner asegura que en el último año había crecido un 31% el número de dispositivos IoT, llegando a la cifra de 8.400 millones de dispositivos conectados, y para 2020 la previsión es que esta cifra superará los 20 mil millones de dispositivos.
Para las empresas es vital tener un correcto plan de auditoría técnica que permita a expertos revisar la seguridad de toda su red para poder detectar y mitigar estos problemas de seguridad.

Vulnerabilidades en VMware vRealize Automation 7

VMware ha publicado un boletín de seguridad con el objetivo de corregir dos vulnerabilidades en el panel de control de vRealize Automation, ambas relacionadas con el robo de sesiones de usuario

VMware vRealize Suite es una plataforma orientada a la gestión de la nube. De esta suite forma parte VMware vRealize Automation, la parte encargada de automatizar varios aspectos de la gestión de la nube, que presenta al usuario un panel de control web como parte de su funcionalidad. Precisamente a este panel mencionado le afectan dos vulnerabilidades relacionadas con el robo de sesiones de usuario,

La primera de las vulnerabilidades, identificada como CVE-2018-6958, es el clásico cross-site scripting. Básicamente consiste en la posibilidad de inyectar código JavaScript de forma inesperada en una página web, cosa que es posible porque la página web no limpia adecuadamente la entrada de datos de un usuario. Y por tanto, éste puede introducir datos especialmente diseñados para provocar la inyección. De hecho, es particularmente peligroso cuando los datos especialmente diseñados persisten de una carga de la página a otra, por almacenarse en la base de datos de la página. Esto permite que otro usuario distinto sufra la ejecución de la inyecciónJavaScript. El escenario descrito es de los más peligrosos para esta vulnerabilidad, y puede permitir el robo de sesión al obtener la cookie de otro usuario.

La segunda vulnerabilidad, con identificador CVE-2018-6958, refleja un problema en el manejo de identificadores de sesión de usuario. Según afirman, puede llevar a que se secuestre la sesión de un usuario. Si bien no especifican cómo, es bastante probable que sea porque los identificadores de sesión generados sigan un patrón, y que por tanto sea posible averiguar identificadores existentes o predecir los identificadores futuros. Ya que losidentificadores de sesión se suelen presentar como una cookie, sería tan fácil como una vez obtenido el identificador de otro usuario, presentarlo como tuyo introduciendo esa cookie en tu navegador.

Ambas vulnerabilidades afectan a distintas versiones de la rama 7 de VMware vRealize Automation, y se han publicado versiones corregidas según indica el mismo boletín informativo.



Más información:
 
VMSA-2018-0009: vRealize Automation updates address multiple security issues
https://www.vmware.com/security/advisories/VMSA-2018-0009.html