Boletín nº 64 Noticias Seguridad en Comunidad Movistar Empresas
Skype no puede reparar un error de seguridad Afecta al funcionamiento del programa Skype y puede ser aprovechado para realizar DLL hijacking, o secuestro de DLL. Este ataque permite descargar una librería DLL con código malicioso en una carpeta del usuario, y renombrarla con el mismo nombre de una librería normal del sistema. Una vez instalado, Skype utiliza su propio archivo de actualización en lugar de Microsoft Update. Skype periódicamente ejecuta "%ProgramFiles%\Skype\Updater\Updater.exe" bajo la cuenta de System y cuando una actualización está disponible este Updater.exe copia y ejecuta el archivo "%SystemRoot%\Temp\SKY[abcd].tmp". Este ejecutable es el vulnerable a DLL hijacking porque al menos utiliza UXTheme.dll desde su propio directorio del sistema de Windows. Un usuario podría reemplazar esta DLL u otra para escalar privilegios. A partir de esto, el atacante podría ganar permisos de administrador en nuestro sistema. Con este salto de privilegios, el atacante no estaría limitado a las carpetas del usuario, sino que tendría acceso a todo el sistema. Según Kanthak, aunque este bug ha sido probado en Windows, también se puede aplicar a Mac y a Linux. Más información en ZDNet.com Nuevo fallo en Apple: Una sola letra inutiliza tu iPhone Una sola letra es necesaria para hacer que tu iPhone deje de funcionar. La publicación italiana Mobile World ha descubierto este nuevo fallo en el sistema operativo iOS 11 en el que al recibir un carácter en la aplicación de mensajería de los teléfonos Apple, así como en aplicaciones desarrolladas por terceros, provoca que el terminal entre en bucle y sea imposible acceder a dichas aplicaciones de mensajería. Más información en elmundo.es. Saturn, el nuevo ransomware que siembra el caos entre los usuarios Vuelven los ransomware después de una pequeña pausa. Algunos expertos en seguridad han encontrado una nueva amenaza presente en equipos de empresas y usuarios particulares. La han bautizado con el nombre de Saturn, ya que añade esta extensión a todos aquellos archivos del sistema que se ven afectados por su cifrado. Hay que extremar las precauciones con esta amenaza. Los expertos en seguridad indican que los archivos cifrados por el momento no son recuperables. Esto quiere decir que conviene guardar en la recámara una copia de seguridad reciente para disponer de cierta maniobrabilidad ante este tipo de sucesos. Para ser más precisos, la comprobación que realiza está relacionada con el entorno de ejecución. Si se detecta que se trata de una máquina virtual, el ransomware Saturn detiene cualquier actividad. De no ser así, comienza con el caos, modificando la configuración del sistema operativo Windows. Más información en bleepingcomputer.com La compañía de Elon Musk fue víctima del denominado cryptojacking La minería en la nube es posible hace tiempo y el código malicioso para hacerlo en ordenadores de terceros sin permiso, también. En esta ocasión, se accedió a la cuenta en la nube de Tesla para usarla y minar criptomonedas. Según lo relatado por el equipo de RedLock Cloud Security, los atacantes lograron infiltrarse en la consola de administración de Kubernetes (un sistema diseñado por Google para optimizar las aplicaciones en la nube) de Tesla, porque increíblemente no tenía contraseña. De esta forma, se hicieron de las credenciales de Tesla para entrar a la cuenta en la nube de Amazon Web Services (AWS). Estando dentro, instalaron un software de minería y, según señala la firma, probablemente lo configuraron para usar solo una parte del procesamiento y no levantar sospechas. El método llamado cryptojacking también afectó a la aseguradora británica Aviva y el fabricante holandés SIM Gemalto. Desde Tesla se refirieron al incidente: Abordamos esta vulnerabilidad a las pocas horas de conocerla. Nuestra investigación inicial no encontró indicios de que la seguridad del cliente o la seguridad de los vehículos se viera comprometida de alguna manera. Desde RedLock, aunque no han especificado cuál fue la criptomoneda que minaron, declararon que el constante monitoreo es fundamental. Más información en fayerwayer.com Pymes europeas pagaron casi $100 millones por ransomware en 2017 Las PYMES europeas se vieron obligadas a pagar casi $100 millones para recuperar el acceso a computadoras bloqueadas, ya que un ransomware continuó atacando en la región el año pasado, según un informe de una empresa de seguridad informática. Una firma de seguridad informática realizo un estudio con 150 proveedores de tecnología que sirven a más de un millón de pequeñas y medianas empresas de toda Europa. El estudio realizado mostro que el 5% de las PYMES fueron víctimas del ransomware el año pasado, pagando $98 millones entre el segundo trimestre de 2016 y el segundo trimestre de 2017. No solo PYMES han sufrido estos ataques, empresas importantes como Maersk y FedEx han sido atacadas por ransomware, ambas informando pérdidas operacionales de $300 millones después de los ataques. El colaborador de una compañía dedicada a la seguridad informática como WebImprints, comento “El impacto del ransomware puede ser triple. El costo del rescate, el tiempo de inactividad y cualquier daño a la reputación puede tener un efecto amenazante para las PYMES…”. Más información en noticiasseguridad.com El FBI, la CIA y la NSA recomiendan no utilizar teléfonos Huawei por miedo al espionaje chino Estados Unidos no se fía ni de Huawei ni de sus teléfonos móviles. Los responsables de las seis principales agencias de inteligencia norteamericanas han advertido a los estadounidenses de que no deben utilizar los productos y servicios de las empresas chinas Huawei y ZTE, alegando que los terminales desarrollados por estas marcas podrían estar funcionando como agentes chinos y realizando labores de espionaje pare el gobierno de de Pekín. Más información en elmundo.es El malware de la botnet DoubleDoor esquiva firewalls para instalar una puerta trasera La creación de botnets es algo que se encuentra a la orden del día. Expertos en seguridad de la compañía NewSky han encontrado una que puede saltarse los sistemas de seguridad de los dispositivos accesibles desde Internet para anular otras medidas de seguridad e instalar puertas traseras en los dispositivos. Estamos hablando de DoubleDoor, una botnet que según expertos cuenta con bastante proyección. Para ser más precisos, los ciberdelincuentes se están aprovechando de dos fallos de seguridad, catalogados como CVE-2015–7755 y CVE-2016–10401. Tal y como se puede observar, son dos fallos que son antiguos. Sin embargo, tal y como sucede en muchas ocasiones, los responsables de actualizar los equipos no han hecho los deberes. Esto ha provocado que los equipos continúen siendo vulnerables. Más información en redeszone.net Un solo carácter NULL podría permitir ocultar malware a los antivirus en Windows 10 Anti-Malware Scan Interface deja de escanear un script tras un carácter NULL.Tal como han demostrado expertos de seguridad, el fallo en Windows Defender se encuentra con que este motor de escaneo empieza a analizar cualquier archivo o script pero, en el momento en el que se topa con un carácter NULL, el motor de escaneo deja de analizar el script, dándolo por bueno. Fallo seguridad NULL Anti-Malware Scan. De esta manera, los piratas informáticos podrían esconder todo el código malicioso por debajo de este carácter NULL para que, aunque se analice el script, el código malicioso pase desapercibido y no sea detectado. Más información en RedesZone.net Hackers hackeados: borran 1 TB de spyware para proteger a los usuarios Afincada en Florida, en los Estados Unidos, Retina-X Studios se dedica al desarrollo de software y aplicaciones orientadas al control de dispositivos. Este ‘control’ se lleva a cabo por parte de un usuario principal, que puede ser el padre o jefe. En definitiva, una herramienta de control en el ámbito laboral y doméstico. Sin embargo, en abril de 2017 sufrieron un ataque que permitió descubrir que instalaban spyware en los dispositivos de sus clientes para extraer información que, evidentemente, en ningún caso se había cedido de forma voluntaria. Han sido los ‘hackeados’, y han borrado 1 TB de spyware de sus servidores en la nube. Más información en adslzone.net Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.Noticias de Seguridad a nivel mundial: boletín nº 103
Collection #1 una nueva brecha de datos que afecta a millones de correos electrónicos La OSI (oficina de seguridad de internautas), nos advierte de una nueva brecha que afecta a millones de cuentas de correo. Tal y como informa la OSI, se ha publicado una brecha de datos denominada Collection #1 con 773 millones de cuentas de correo. Esta filtración, a diferencia de otras, parece tratarse de una compilación de datos obtenidos a través de diversos sitios web y servicios. Es la mayor publicación de cuentas de correo y contraseñas detectada hasta la fecha que afecta a millones de personas en todo el mundo. La mayor parte de los usuarios se ven comprometidos debido a la reutilización de las contraseñas, suponiendo un riesgo elevado para la privacidad de los mismos. Se recomienda a todos los usuarios comprobar cada una de sus cuentas de correo en la plataforma Have I Been Pwned. En dicha web se puede verificar si la cuenta se ha visto afectada. Más información en https://comunidad.movistar.es/ Magecart infecta de nuevo cientos de webs de comercio electrónico Esta vez, el grupo Magecart ha comprometido 277 webs de comercio electrónico mediante la inserción de código JavaScript malicioso en una librería usada por la empresa de publicidad Adverline. Magecart. Normalmente el grupo Magecart cuando compromete un sitio web de comercio electrónico, inserta código malicioso después para capturar la información del pago realizado. Así es como en el pasado lograron acceder a la información bancaria de los clientes de las plataformas Ticketmaster, British Airways y Newegg. Sin embargo, investigadores de RiskQ y Trend Micro descubrieron cómo esta vez, en lugar de comprometer directamente webs de comercio electrónico, insertaron código JavaScript en una librería alojada en una compañía de publicidad francesa llamada Adverline. Lo que permitió interceptar la información de pago de todos los sitios web que usaban esta librería. Magecart-hacking-group. Más información en https://unaaldia.hispasec.com/ Descubren un fallo de seguridad en Fortnite que revela información personal y datos bancarios de sus jugadores Según ha comunicado la compañía de ciberseguridad Check Point , existen tres nuevas vulnerabilidades en el registro de cuentas del videojuego Fortnite que han dejado expuestos los datos personales y de tarjetas de crédito de los jugadores. A través de estas vulnerabilidades pueden hacerse con el control de las cuentas de usuarios de Fortnite, con la posibilidad de hacer compras de objetos del juego con la moneda virtual V-Buck. Este problema también afecta a la privacidad, pues los hackers podrían escuchar las conversaciones dentro de Fortnite accediendo al sonido grabado por el micrófono de los usuarios durante el juego, así como a la información personal almacenada en las cuentas. Fortnite se ha convertido en el gran fenómeno del mundo de los videojuegos en 2018. Estas nuevas vulnerabilidades podrían haber sido explotadas sin que el jugador introduzca ningún dato de acceso. Para ello, se aprovecha la infraestructura web de Epic Games y el sistema de autenticación basado en ‘tokens’. Los mecanismos de la web del videojuego, junto con los sistemas de acceso unificado Single Sign-On (SSO) como Facebook, Google y Xbox, han podido utilizarse para robar las credenciales de acceso del usuario y hacerse con la cuenta de la víctima si esta hace clic en un enlace de ‘phishing’. Más información en https://www.lavanguardia.com/ Hackean un banco usando Linkedin y Skype Los atacantes se aprovecharon de un empleado del banco para penetrar en su infraestructura informática. Redbanc, empresa encargada de administrar la red interbancaria de cajeros automáticos en Chile, sufrió un grave incidente de ciberseguridad llamado PowerRatankba, según reportan expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética, El ataque comenzó con un anuncio de LinkedIn en el que se ofrecía un empleo como programador, anuncio al que respondió un empleado de Redbanc. Los atacantes acordaron una supuesta entrevista laboral vía Skype con el empleado del banco, donde le solicitaron que descargara un archivo llamado ApplicationPDF.exe, mismo que infectó el equipo de cómputo de la víctima de la estafa. Los expertos en seguridad en redes creen que el malware fue ejecutado exitosamente, permitiendo a los atacantes explorar la red de la empresa en busca de vulnerabilidades. Más información en https://noticiasseguridad.com/. Reguladores imponen 50 millones de euros de multa para Google por privacidad de datos Las autoridades de Francia alegan que la empresa tecnológica actúa con graves faltas de transparencia. Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética informan que, de conformidad con el Reglamento General de Protección de Datos (GDPR), la Comisión Nacional de Informática y Libertades de Francia (CNIL) impuso una multa de 50 millones de euros a Google por “violaciones de transparencia y de manejo de información, pues la empresa no solicitó el consentimiento de los usuarios para procesar sus datos con fines de personalización de publicidad”. Esta medida fue tomada en consecuencia de las demandas presentadas por la organización no gubernamental None Of Your Business (NOYB), dedicada a la defensa de la privacidad de usuarios de tecnología; la ONG argumentó que “Google no cuenta con una base legal sólida para el procesamiento de los datos de sus usuarios con fines comerciales”. Expertos en seguridad en redes y privacidad comentan que, aunque Google publica toda la información que exige el GDPR, la empresa dificulta que los usuarios la encuentren, además la información es ambigua e incompleta, afirma la CNIL. “Información elemental, como propósitos del procesamiento de datos o plazos de almacenamiento de datos personales es intencionalmente difícil de reunir. Además, el informe menciona que, aunque Google afirma que solicita el consentimiento expreso de sus usuarios antes de procesar sus datos con fines comerciales, se encontró que esto no sucede de esta forma, pues los usuarios no son suficientemente informados durante este proceso, además de que la información que muestra Google puede ser ambigua o poco específica. Más información en https://noticiasseguridad.com/ Vulnerabilidades encontradas en Firmware de Chips Wifi Un especialista publicó recientemente los hallazgos de su investigación. Acorde a expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el firmware de los chips WiFi usados en diversos dispositivos presenta múltiples inconvenientes de seguridad. Según los reportes, algunas de estas fallas podrían ser explotadas para la ejecución remota de código arbitrario, todo sin necesidad de interacción por parte del usuario. Las fallas de seguridad fueron descubiertas en ThreadX, un sistema operativo en tiempo real (RTOS); según la página web de los desarrolladores, ThreadX cuenta con más de 6 mil millones de implementaciones, siendo uno de los programas más populares funcionando con chips WiFi. El firmware también opera en SoC Avastar 88W8897 (Wi-Fi + Bluetooth + NFC) de Marvell, presente en Sony PlayStation 4, en la tableta Microsoft Surface, Xbox One, Samsung Chromebook y algunos smartphones, reportan expertos en seguridad en redes. Inicialización de proceso de chips WiFi. Regularmente, un chip WiFi es inicializado por un controlador del fabricante encargado de cargar la imagen del firmware durante el proceso de inicio. Con el sistema en chip inalámbrico de Marvell (SoC), hay ciertos controladores que funcionan con el kernel de Linux que usa: ‘mwifiex’, ‘mlan’ y ‘mlinux’. Ambas funciones tienen capacidades de depuración, lo que permite leer y escribir desde y hacia la memoria del módulo WiFi. Controlar la asignación de bloques de memoria. Una de las vulnerabilidades descubiertas en el firmware es un desbordamiento de bloques que podría activarse cuando el chip está buscando redes disponibles, un proceso que comienza cada cinco minutos, incluso si el dispositivo ya está conectado a una red WiFi. “Un atacante podría realizar una ejecución remota de código en un Samsung Chromebook, por ejemplo, incluso sin necesidad de que el usuario realice interacción alguna”, afirma Denis Selianin, especialista en seguridad en redes y dispositivos WiFi.Más información en: https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
