Botnet ‘Smominru’ afecta a más de 500.000 equipos usando EternalBlue

El famoso exploit de la NSA que salió a la luz el año pasado sigue causando estragos.

Resultado de imagen de botnet

A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes debido a su simpleza y utilidad.

Monero (XMR) sigue siendo la moneda favorita para minar ilegalmente gracias a que te proporciona mayor anonimato a la hora de realizar transacciones.

La vulnerabilidad utilizada que se dio a conocer con WannaCry y que paralizó a medio mundo sigue siendo uno de los principales vectores de ataque para este tipo de malware. Con parche de seguridad disponible desde Marzo de 2017, EternalBlue(CVE-2017-0144 SMB) sigue siendo una de las vulnerabilidades más explotadas. 

Smominru (también conocido como Ismo) se ha expandido por muchas zonas, pero la mayoría de los equipos infectados se encuentran en Rusia, India y Taiwán. La razón de que haya más infecciones en estos países es que aún no han tomado conciencia de la necesidad de actualizar sus sistemas a fin de mejorar su seguridad y el número de instalaciones de parches de seguridad en Windows es muy bajo.

El malware ha infectado alrededor de 526.000 sistemas Windows desde Mayo de 2017, lo cuál ha hecho que los atacantes minen 8.900 Monero, que corresponden a 1,86 millones de dólares (actualmente, tras la caída de las criptomonedas).

Los expertos de ProofPoint notificaron al servicio de protección DDoS SharkTech que la infraestructura de comando y control de ‘Smominru’ se encontraba alojada en sus servidores, sin embargo no obtuvieron respuesta.

Según varios investigadores, esta botnet va a seguir expandiéndose a lo largo del año.

Nuevo 0-day en Flash Player, o el cuento de nunca acabar

Ni siquiera el hecho de ser una tecnología en retirada está salvando a Adobe Flash Player de vulnerabilidades 0-day. En esta ocasión es el CERT de Corea del Sur el que detecta una vulnerabilidad desconocida que ya está siendo activamente explotada.

 

Aunque quedan tres años para el adios definitivo a Adobe Flash, aun hay tiempo suficiente para que los atacantes sigan viendo en este un vector de ataque con garantías de éxito. Esta vez se trata de una vulnerabilidad 0-day en Adobe Flash Player, que según el aviso publicado por el CERT de Corea del Sur está siendo activamente explotada.

Identificada como CVE-2018-4878 y catalogada como crítica, la vulnerabilidad se basa en un fallo ‘use-after-free‘ que puede dar lugar a la ejecución de código arbitrario de forma remota. Entre los sistemas afectados se encuentran todas las versiones de Flash Player hasta la 28.0.0.137 (esta incluida) en las versiones para navegadores Chrome, Internet Explorer y Edge. También están afectadas las versiones de escritorio para Windows, Macintosh, Linux y ChromeOS.

Adobe, según anuncia en su propio boletín, no publicara parches para solucionar esta vulnerabilidad hasta algún momento indeterminado de la semana próxima, a pesar de que reconoce saber que está siendo explotada.

A este respecto, el vector utilizado está siendo documentos de Microsoft Office que embeben contenido Flash malicioso. Por tanto, el ataque en cuestión tiene como objetivo a usuarios de Microsoft Windows. Aunque las fuentes oficiales no se han pronunciado,algunos investigadores apuntan a que puede estar relacionado con prácticas de espionaje de Corea del Norte desde al menos mediados de noviembre.

Mientras Adobe no publica una nueva versión que solucione la vulnerabilidad, las contramedidas ofrecidas pasan por configurar Flash Player para que pida autorización para ejecutar ficheros Flash o activar la vista protegida de Microsoft Office, que abrirá los ficheros potencialmente inseguros en modo de solo lectura.

Más información:
Adobe Flash Player New Vulnerability Advisory Recommendation:
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26998

Security Advisory for Flash Player | APSA18-01:
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

Vulnerabilidad crítica en Cisco ASA y FTD permite ejecución remota de código y DoS

La vulnerabilidad se encuentra en la capa SSL de la funcionalidad VPN de ambos productos y ha recibido la puntuación máxima posible al considerarse crítica.

Cisco ha publicado el pasado día 29 un parche de seguridad para solucionar un fallo crítico en la capa SSL de la funcionalidad VPN de Cisco Adaptive Security Appliance (ASA) con identificador CVE-2018-0101. Cisco ha otorgado el CVSS máximo a esta vulnerabilidad y ha publicado la siguiente lista de productos afectados:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)

La vulnerabilidad es explotable cuando la funcionalidad webvpn se encuentra activa y una interfaz se encuentra como ‘enabled’ en la configuración. Al cumplirse las condiciones, un atacante puede aprovechar el fallo para enviar paquetes XML especialmente manipulados y provocar un intento de duplicar una región libre en memoria, lo que produce el error. Firepower Threat Defense (FTD) también es vulnerable al incluir éste ASA.

El error permite la ejecución remota de código en los productos afectados y el reinicio del dispositivo. La única solución, a parte de desactivar la funcionalidad, es aplicar el parche liberado. Las versiones vulnerables son las 8.x y 9.x de ASA, y las posteriores a 6.2.2 de FTD. Los usuarios de ASA 8.x deben actualizar al menos a la versión 9.1.7.20.

Más información:
 
Cisco Adaptive Security Appliance Remote Code Execution and Denial of Service Vulnerability:

Filtrados más de 30 millones de documentos de identidad de ciudadanos sudafricanos

ación personal sobre más de 30 millones de ciudadanos sudafricanos.

El fichero, de nombre ‘masterdeeds.sql’ contenía información personal de todo tipo: documentos de identidad, vida laboral, estado civil y diversa información fiscal sobre ciudadanos sudafricanos.

Estructura de la bbdd filtrada

Hasta el momento se han conseguido extraer 2,257,930 direcciones de correo electrónico y más de 30 millones de documentos de identidad de ciudadanos vivos y ya fallecidos de Sudáfica.

No se sabe con certeza qué entidad es la responsable de esta fuga de información, pero tras un primer análisis de los datos, Hunt encuentra referencias a “TransUnion” y “Dracore Data Sciences” una importante empresa de agregación de datos sudafricana. Estas empresas se encargan de recopilar y almacenar información financiera y de otro tipo para su posterior procesado y explotación.

Entre los servicios que ofrece Dracore se encuentra “GoVault“, que se anuncia como “La mina de oro de información sobre propietarios y compradores sudafricanos”.

Tras conseguir contactar con los responsables del servicio, Dracore niega estar relacionada con el ‘leak’ y le pasa la pelota a Jigsawseñalando que una de las IP proporcionadas corresponde a esta empresa inmobiliaria.

Mientras tanto, los 27 gigabytes de datos siguen estando disponibles en algún lugar de Internet. Esperamos que se tomen las medidas adecuadas para evitar que la información caiga en malas manos.

 

Más información:

What We Know So Far About South Africa’s Largest Ever Data Breach
Is Dracore Data Sciences Responsible For South Africa’s Largest Ever Data Leak?

Adobe actualiza Flash Player para corregir un 0-day

Adobe ha publicado una nueva actualización para Adobe Flash Player, que soluciona el 0-day anunciado recientemente. Esta vulnerabilidad permite a un atacante tomar el control de los sistemas afectados.

 

Adobe confirma que una vulnerabilidad de confusión de tipos (con CVE-2017-11292se está explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash Player versión 27.0.0.159 y anteriores. Concretamente, esta vulnerabilidad permitiría la ejecución de código arbitrario. Afecta a las versiones de Adobe Flash Player para Windows,MacintoshLinux, y los navegadores ChromeInternet Explorer y Edge. Cada uno de estos productos tiene una nueva versión que parchea esta vulnerabilidad, tal y como se puede observar en el boletín de Adobe.

Lo interesante de esta vulnerabilidad es que se está explotando en este momento por la APT nombrada por Kaspersky como BlackOasis(recordamos que una APT es básicamente un ataque informático avanzado y orquestado contra una entidad importante). De hecho, esta vulnerabilidad está reportada por ellos, tras encontrarse el exploit para esta vulnerabilidad en la investigación de la APTEl objetivo de esta APT es espiar a figuras políticas relacionadas con Oriente Medio (cargos de la ONUbloggers, activistas políticos…), y para ello infecta a las víctimas con FinSpy, un malware diseñado para ser comprado por agencias gubernamentales y espiar a los objetivos.

Este tipo de amenazas, las APT, suelen contar con exploits 0-day para infectar a las víctimas. En este caso, era un objeto Flash con el exploit cargado usandoActiveX desde un documento de Microsoft Office.

Más información:
 
Security updates available for Flash Player | APSB17-32
https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

BlackOasis APT and new targeted attacks leveraging zero-day exploit
https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/

FinFisher ataca de nuevo, ahora con posible apoyo de ISP’s
http://unaaldia.hispasec.com/2017/09/finfisher-ataca-de-nuevo-ahora-con.html

Microsoft soluciona 62 vulnerabilidades en sus boletines de octubre

La compañía de Redmond soluciona más de 60 vulnerabilidades en su último boletín, de las cuales 25 son consideradas críticas. Los productos afectados son, entre otros, Internet Explorer, Edge, Office y Windows.

De especial importancia es la vulnerabilidad identificada como CVE-2017-11826. Este fallo, que afecta a todas las versiones con soporte de Microsoft Office, es una vulnerabilidad zero-day que ha estado siendo explotada para distribuir malware, y que permite la ejecución remota de código arbitrario a través de un fallo de corrupción de memoria provocado, por ejemplo, por un fichero Office especialmente diseñado.

Descubierta y revelada publicamente por la empresa Qihoo 360, la vulnerabilidad vendría explotándose al menos desde septiembre según su reporte.

También en Office, la vulnerabilidad CVE-2017-11776 en Microsoft Outlook se encuentra en la forma en que se realiza el cifrado S/MIMEEl fallo permite el envío de correos cifrados incluyendo también el mismo contenido en texto plano. Ha sido descubierto por investigadores en SEC Consult Vulnerability Lab.

Otro importante fallo es el identificado como CVE-2017-11779. Este se aloja en el sistema DNS de Windows, concretamente en el fichero DNSAPI.dll, y viene dado por un error en el manejo de respuestas DNS. Un atacante podría usar un servidor DNS malicioso paraenviar respuestas especialmente diseñadas que dispararan la vulnerabilidad, permitiendo ejecutar código arbitrario de forma remota. Afecta a Windows 8, 10, Server 2012 y 2016.

Finalmente, un breve repaso al resto de las vulnerabilidades:

  • Hasta 18 vulnerabilidades han sido corregidas en Microsoft Scripting Engine (componente de Microsoft Edge y ChakraCore), siendo la mayoría causadas por un fallo de corrupción de memoria y situándose entre gravedad moderada y crítica.Todas permitirían la ejecución de código de forma remota.
  • Se corrigen cuatro vulnerabilidades (Tres de ejecución remota de código y una de revelación de información) en Internet Explorer en versiones desde la 9 a la 11.
  •  24 de las vulnerabilidades corregidas se encuentran en diversas versiones de Microsoft Windows, repartidas entre varios componentes. Entre ellas, cinco vulnerabilidades de revelación de información se encuentran en el Kernel de Windows y otras cuatro, de diverso impacto, en el servidor SMB.
  • Se corrigen nueve fallos en Microsoft Office, incluyendo tres vulnerabilidades XSS en SharePoint y una elevación de privilegios en Skype for Business.
Más información:

October 2017 Security Updates:
https://portal.msrc.microsoft.com/en-us/security-guidance

New Office 0day (CVE-2017-11826) Exploited in the Wild
http://360coresec.blogspot.com.es/2017/10/new-office-0day-cve-2017-11826.html

FAKE CRYPTO: MICROSOFT OUTLOOK S/MIME CLEARTEXT DISCLOSURE (CVE-2017-11776)
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html

ATMii, malware para robo en cajeros simple pero efectivo.

Mientras unos destruyen cajeros automáticos para robar efectivo, otros aprovechan metodos más sutiles para hacerlo.

Investigadores de Kaspersky recibieron en Abril de 2017 una muestra correspondiente a un malware cuyo objetivo era robar dinero de cajeros automáticos, de ahora en adelante ATM.
Este malware conocido como ATMii, requiere de acceso a un cajero ya sea a través de red o físicamente (vía USB). En caso de instalarse con éxito, los ladrones podrán sacar todo el dinero del cajero.

Se trata de un malware sencillo a la par que efectivo, compuesto por un ejecutable que hace de inyector y una DLL que cuenta con la funcionalidad del troyano. Debido a que el valor de la constante PROCESS_ALL_ACCESS difiere entre versiones de Windows, no se ejecuta en versiones XP a pesar de ser la más utilizada aún.

A continuación, veremos la funcionalidad que posee la DLL.

Fragmento de la función de escaneo de servicios.

Los cajeros funcionan bajo la arquitectura XFS, por lo que primero el malware debe encontrar el servicio que se encargue de dispensar dinero. En caso de exito, la información se guardará en un log como podremos ver a continuación.

Escritura a \\tLogs.log

Los atacantes necesitan saber el contenido de los cartuchos, por tanto implementan el comando info para obtener dicha información.

cmd_info

El comando cmd_disp se utiliza para obtener el dinero del cajero. Los argumentos de la función son concretamente la cantidad y la moneda. La moneda se recoge en un struct y solo acepta aquellas recogidas en el.

Fragmento del desensamblado de cmd_disp_ex

Este malware es un ejemplo lo que los criminales son capaces de hacer con muy poco código. Como medidas cautelares, una gestión control de los dispositivos y politicas permitirian no ejecutar dispositivos USB o prevenir la ejecución de código no autorizado

Más información:
 
ATMii: a small but effective ATM robber:

Arrestado un acosador en Internet por los registros de VPN’s que “no guardan registros”

El FBI ha arrestado a un hombre de Massachusetts por acosar en Internet a su compañera de piso. El acusado usaba herramientas para ocultar su identidad.

Todos nos hemos topado alguna vez con publicidad de VPN’s. Para el que no sepa lo que es, en lo que respecta al usuario final una VPN es un servicio que permite cambiar tu dirección IP. Te conectas a un servidor, y ese servidor da la cara por ti en Internet como intermediario. Entre otras cosas,muchos proveedores de VPN’s prometen que no guardan registros sobre la actividad de sus usuarios (registros que suelen pedir las fuerzas de seguridad del estado en investigaciones criminales).

A pesar de que el proveedor PureVPN era uno de éstos, ha colaborado con elFBI para arrestar al acusado, que usaba sus servicios. Y para ello, PureVPN le ha proporcionado al FBI los registros que prometía no guardar. Al acusado Ryan Lin se le acusa de múltiples delitos perpetrados aprovechándose de herramientas para ser anónimo en Internet. La víctima de los múltiples delitos es una mujer de 24 años, compañera de piso del acusado. Ayudándose de herramientas para ocultar su identidad en Internet (TorTextfreeProtonMail…), Ryan Lin habría cometido los siguientes delitos afectando a la víctima mencionada (y otros que no se mencionan):

  • Suplantar la cuenta de correo de la víctima y enviar a los amigos, compañeros de clase, profesores… de la víctima, un collage con fotos personales de ésta y contenido sexual no relacionado
  • La creación de cuentas en portales de Internet para adultos suplantando a la víctima, ofreciendo en su perfil la realización deBDSM, simulación de violaciones…
  • Suplantar la identidad de la víctima para enviar amenazas de bomba y de otros tipos a escuelas cercanas e individuos
  • Envío de comunicaciones amenazantes a la víctima y a su círculo cercano, amenazando con matarlos y violarlos
  • Abuso de la cuenta de la víctima en una página de cuidado de mascotas, con la cual dijo a los dueños de mascotas que cuidaba la víctima que había matado a sus mascotas
  • Revelar el hecho de que la víctima había sufrido un aborto, información que sólo se encontraba en el diario de ésta

Lo que es noticia desde el punto de vista de la seguridad informática es, sin embargo, la polémica de proveedores de VPN’s que prometen no guardar registros y sí lo hacen. En realidad, la mayoría de los proveedores que prometen eso especifican una serie de casos en los que no se cumple lo prometido (investigaciones judiciales entre otras). Como mínimo, los proveedores tienen que registrar el momento de conexión, desde qué IP, ancho de banda consumido… Todo esto para controlar el uso del servicio, sobre todo cuando se contratan paquetes con ancho de banda limitado, núméro máximo de conexiones simultáneas desde una misma cuenta….

Lo cierto es que lo que suelen prometer estos proveedores no es que no vayan a guardar registros sobre los usuarios, sino sobre el tráfico que transcurre sobre el servicio contratado (las páginas a las que navegas, los correos que envías…). Y la información que se guarda es suficiente para identificar a un usuario que ha cometido un delito, en la mayoría de los casos. En este caso concreto, podemos imaginar que alguna de las webs a las que se habría conectado el acusado para suplantar a la víctima guardó la dirección IP desde la que se habría conectado. Como la IP registrada pertenece al proveedor deVPN y éste guardaba la IP real del acusado, cruzando la hora de conexión bastaría para saber la IP real. Lo último que quedaría es preguntar al proveedor de servicios de Internet que usa esa IP real por el dueño de la conexión a Internet.

Irónicamente, el acusado criticaba en Twitter a otro proveedor de VPN no relacionado con el caso por sus declaraciones sobre no guardar registros. “No hay tal cosa como una VPN que no guarda registros“, decía. “Si pueden limitar tus conexiones o sacar estadísticas del ancho de banda, están guardando registros“. Conocido entre sus allegados como un “genio de los ordenadores”, y dadas sus críticas en Twitter evidenciando su conocimiento del área, uno puede pensar que estaba deseando que lo pillasen…

En resumen, hay que leerse la letra pequeña, y cuanto más conocimientos técnicos tengas para evaluar los servicios que usas, más protegido estarás… Si eres de los buenos, claro. Si eres de los malos, olvida lo que he dicho 😉


Más información:

Cyberstalking Suspect Arrested After VPN Providers Shared Logs With the FBI
https://www.bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi/

FBI Arrests A Cyberstalker After Shady “No-Logs” VPN Provider Shared User Logs
https://thehackernews.com/2017/10/no-logs-vpn-service-security_8.html
PureVPN’s Privacy Policy
https://www.purevpn.com/privacy-policy.php

Ejecución remota de comandos en Netgear ReadyNAS Surveillance

Se ha reportado una vulnerabilidad que podría permitir la ejecución remota de comandos en Netgear ReadyNAS Surveillance.

 

ReadyNAS Surveillance es un software para sistemas de video vigilancia en red (Network Video Recorder o NVR por sus siglas) que se instala y aloja las grabaciones directamente en un dispositivo de almacenamiento ReadyNAS.La vulnerabilidad es debida a un error de falta de comprobación de parámetros introducidos por el usuario. Concretamente, el parámetro ‘uploaddir’ utilizado por la página ‘upgrade_handle.php’ de la interfaz del sistema. Esto podría permitir la ejecución de comandos en el sistema sin necesidad de autenticación.

Para aprovechar la vulnerabilidad simplemente sería necesaria una petición como la siguiente:

http://IP-ADDRESS/upgrade_handle.php?cmd=writeuploaddir&uploaddir=%27;COMMAND_TO_EXECUTE;%27

Este error fue descubierto por el investigador Kacper Szure y reportado aNetgear a finales del mes de junio, quien aún no se ha pronunciado en cuanto a la corrección del mismo.

Más información:
 
Netgear ReadyNAS Surveillance Unauthenticated Remote Command Execution
https://blogs.securiteam.com/index.php/archives/3409

Corregidas múltiples vulnerabilidades en Trend Micro OfficeScan

Se han hecho públicas ocho vulnerabilidades en Trend Micro OfficeScan11.0 y XG (12.0) que podrían causar diferentes impactos, desde la revelación de información hasta la ejecución de código remoto y elevación de privilegios.

Trend Micro OfficeScan es un sistema de protección frente a amenazas para servidores de archivos, PC’s, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad ‘in situ’ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.

Los problemas de seguridad son los siguientes:

CVE-2017-14083: La ruta al archivo ‘crypt.key’ utilizado en el proceso de cifrado se encuentra definida en ‘config.php’ y un atacante remoto no autenticado podría descargar dicho fichero a través de una petición simple:


CVE-2017-14084: Las peticiones CURL usadas por la función ‘send’ en ‘HttpTalk.php’establecen los parámetros de verificación ‘CURLOPT_SSL_VERIFYPEER’ y‘CURLOPT_SSL_VERIFYHOST’ a falso, lo que podría permitir la realización de ataquesMITM.

CVE-2017-14085: Un atacante no autenticado podría revelar información sensible acerca de los dominios presentes en las redes, y las versiones y módulos de PHP a través de ‘analyzeWF.php’.

CVE-2017-14086: Una falta de validación permite la ejecución remota de procesos como‘fcgiOfcDDA.exe’ o ‘cgiRqUpd.exe’ por parte de un atacante no autenticado que podrían aprovecharse para causar una denegación de servicio por elevado consumo de recursos (espacio en disco ocupado por los volcados o dumps generados) por múltiples ejecuciones o corrupción del INI.


CVE-2017-14087: Existe un problema de inyección en las cabeceras de host al basarse en$_SERVER[‘HTTP_HOST’] (que puede ser falsificado por el cliente) en lugar de$_SERVER[‘SERVER_NAME’], por ejemplo en ‘db_controller.php’. Esto podría permitirgenerar enlaces arbitrarios que apunten a sitios web maliciosos al cachearse peticiones con cabeceras envenenadas.


CVE-2017-14088: Un error de falta de validación al manejar ‘IOCTL 0x220008’ en ‘tmwfp.sys’podría podría ser aprovechado por un atacante para elevar sus privilegios.

CVE-2017-14089: Determinadas peticiones al ser procesadas en ‘cgiShowClientAdm.exe’podrían causar problemas de corrupción de memoria.

Adicionalmente existe una vulnerabilidad, sin identificador CVE asignado, debida a la posibilidad de realizar solicitudes HTTP arbitrarias en servidores internos o externos a través de ‘help_proxy.php’.

Las vulnerabilidades has sido descubiertas por John Page (aka hyp3rlinx) de ApparitionSec, Leong Wai Meng y zer0b4by en colaboración con Zero Day InitiativeTrend Micro ha publicado las actualizaciones XG CP 1708 y 11.0 SP1 CP 6426 disponibles  respectivamente desde los siguientes enlaces:

http://files.trendmicro.com/products/officescan/XG/patch1/osce_xg_win_en_criticalpatch_1708.exe
http://files.trendmicro.com/products/officescan/11.0_SP1/osce_11_sp1_patch1_win_en_criticalpatch_6426.exe