Vulnerabilidad en tarjetas contactless de Mastercard

Un equipo de investigadores de la universidad ETH de Zurich ha publicado una investigación donde detallan una vulnerabilidad que permitiría no introducir el PIN en las transacciones realizadas mediante contactless con tarjetas Mastercard y Maestro. Según los investigadores, este descubrimiento surgió tras investigar un fallo en el protocolo EMV de tarjetas VISA, del que informaban el pasado mes de septiembre del año 2020, y que también permitía omitir el PIN en transacciones.

Para la realización del ataque, únicamente se necesita una tarjeta y dos dispositivos móviles Android con una aplicación instalada, que se encargará de alterar los campos de las transacciones. El proceso consiste en colocar cerca de la tarjeta un dispositivo móvil que actuará como un emulador de PoS, engañando de esta manera a la tarjeta para iniciar una transacción y para que comparta sus detalles, mientras que un segundo móvil emulará ser la tarjeta y será utilizado para enviar los datos de la transacción modificada al terminal PoS. Sigue la noticia en https://www.usenix.org/.

Expuestos 38 millones de registros

El equipo de UpGuard ha publicado un informe acerca de una configuración incorrecta en Microsoft Power Apps, que habría dado lugar a la exposición de más de 38 millones de registros de datos personales. Microsoft Power Apps permite crear aplicaciones personalizadas a empresas e instituciones, pudiendo habilitar la API de OData (protocolo de datos abiertos) para recuperar datos de los usuarios de las listas de Power Apps.

El 24 de mayo UpGuard detectó que se podía acceder de manera anónima a listas con datos de Power Apps mediante la API de Odata, debido a que los accesos no están limitados de manera predeterminada. En la investigación se descubrieron miles de listas accesibles en cientos de portales, entre los que se encuentran empresas privadas y administraciones públicas; con una diversidad de datos que van desde correos electrónicos, citas de vacunación, nombres y apellidos, números de teléfono, o números del seguro social. Más información en https://www.upguard.com/.

Vulnerabilidad de escalado de privilegios sin parchear en Windows

Investigadores de Google Project Zero han hecho públicos los detalles de una vulnerabilidad de elevación de privilegios en Windows que permite evadir las restricciones impuestas por AppContainer ‘sandbox utilizada para verificar la seguridad de una app de Windows antes de permitir su ejecución’. Los detalles del fallo han sido publicados 10 días después de haber sido comunicado a Microsoft y sin que exista un parche para el mismo.

El fallo de base se ubica en las reglas por defecto de la plataforma de filtrado de Windows (conocida como WFP por sus siglas en inglés, Windows Filtering Platform) que permiten a un ejecutable conectarse mediante sockets TCP a AppContainers. Algunas de estas reglas por defecto son susceptibles de ser imitadas por un actor amenaza para conseguir conectarse a AppContainers e inyectar código malicioso. Mediante este método sería capaz de acceder a servicios locales y a recursos restringidos de la intranet empresarial. Sigue la noticia en https://googleprojectzero.blogspot.com/.

Troyano Triada incluido en una aplicación modificada de WhatsApp

Investigadores de Karpersky han publicado un análisis donde alertan de la detección del troyano Triada incluido en una aplicación modificada de WhatsApp catalogada como FMWhatsapp en su versión 16.80.0 para Android. WhatsApp ofrece funcionalidades limitadas que los usuarios tienden a ampliar con aplicaciones complementarias modificadas no oficiales. Este hecho ha sido aprovechado por los operadores de Triada para la inserción de código malicioso. Gracias al compromiso de la aplicación, una vez descargada e iniciada, los operadores pueden recopilar información del terminal como el ID del dispositivo, dirección MAC, entre otros y la envían a un servidor remoto que responde enviando el payload de Triada. Instalado ya el troyano, se recopila información del usuario y su operador y se envía a su servidor C&C. Entre las capacidades de Triada destacan la suscripción a servicios premium mediante el control del servicio de mensajes de texto, la aparición de publicidad no deseada y el envío de peticiones a páginas web en procesos secundarios para incrementar el número de visitas. Más información en  https://securelist.com/.

Hacker de 21 años estuvo detrás del ataque masivo a T-Mobile

Un reciente reporte señala que John Erin Binns, ciudadano estadounidense residente en Turquía, reconoció ser el principal responsable del incidente de ciberseguridad que afectó a T-Mobile, derivando en la filtración de más de 50 millones de registros confidenciales.

Binns, con 21 años de edad, se atribuyo el ataque en una entrevista para Wall Street Journal, asegurando que toda la operación fue desplegada desde su hogar en Izmir, Turquía, donde vive desde 2018.

Empleando Telegram, plataforma de mensajería instantánea enfocada en la privacidad, Binns proporcionó a su entrevistador pruebas para demostrar que en realidad fue él quien desplegó el ataque contra el gigante de las telecomunicaciones. Al parecer, Binns obtuvo acceso a las redes de la compañía a través de un enrutador vulnerable. Sigue la noticia en https://noticiasseguridad.com/hacking-incidentes/.

Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.

¡Hasta pronto!