Noticias de Seguridad a nivel mundial: boletín nº 106
Una imagen PNG es suficiente para vulnerar un Android Como se informó la semana pasada, una falla crítica de seguridad permite que algunos móviles con determinadas versiones del sistema operativo Android 7.0 a 9.0 estén expuestos a infectarse, simplemente abriendo un archivo de imagen PNG. Google informó de las vulnerabilidades a través de sus boletines CVE-2019-1986, CVE-2019-1987, y CVE-2019-1988, y ya transmitió especialmente sobre esto a los fabricantes que usan esos sistemas operativos. Según explican en el boletín de febrero, basta con utilizar un archivo en formato .PNG para poder atacar un teléfono inteligente o una tableta. No se ha especificado el "diseño" de este tipo de archivos en formato PNG, para evitar que sea aprovechado el fallo de seguridad, pero con ellos se puede ejecutar código arbitrario con privilegios sobre el sistema. Los dispositivos que reciben actualizaciones directas de la compañía, que son los Pixel y Android One, tienen que haber recibido ya este parche de seguridad que soluciona el importante problema relacionado con las imágenes en formato PNG. Sin embargo, otros muchos dispositivos con las versiones afectadas no recibirán nunca la actualización que acaba de ser liberada por la compañía. Por eso, Google ha decidido omitir los detalles del problema de seguridad con la intención de evitar que los atacantes puedan aprovechar el fallo y atacar a los usuarios. Más información en https://www.zdnet.com/ Glovo hackeada: los clientes denuncian el cobro de pedidos que no han realizado Tras las polémicas en torno a los problemas con sus repartidores, ahora se enfrenta a la denuncia por parte de decenas de clientes que aseguran que Glovo ha sido hackeada. A lo largo del fin de semana los usuarios de la app notaron que el acceso a su perfil ha quedado bloqueado por un cambio de contraseña y al restaurarla se han dado cuenta que su email y cuentas bancarias muestran cargos producidos desde Egipto en la app, además de que su nombre de usuario ha cambiado, así como la localización y el idioma. El reporte de que la app de Glovo ha sido hackeada se ha producido en España, Perú, Argentina e Inglaterra. Hasta el momento, Glovo no ha ofrecido un comunicado oficial sobre esta brecha de seguridad que sus usuarios en varios países han informado, sin embargo al ponernos en contacto con la agencia de prensa de Glovo, nos han asegurado que los hackers no han tenido acceso a los datos de las tarjetas de sus clientes, ya que esa información se gestiona por medio de una plataforma externa. En cualquier caso, la recomendación general es que por el momento y hasta que esta situación se resuelva, debes actualizar los datos de tu cuenta en Glovo: asegura que tu número telefónico sea el correcto y cambia la contraseña utilizando un código seguro y que sea único para esta app. Más información en https://marketing4ecommerce.net/ Ciberdelincuentes vacían tus cuentas con los códigos de un solo uso La autentificación de doble factor es un método muy utilizado por las instituciones financieras de todo el mundo para mantener a salvo el dinero de sus clientes: ya sabes, esos 4 o 6 dígitos que recibes del banco y que tienes que introducir para aprobar una transacción. Normalmente, los bancos envían contraseñas de un solo uso a través de mensajes de texto. Por desgracia, los SMS son uno de los métodos más débiles de implantación de la 2FA, ya que pueden ser interceptados y eso es lo que acaba de suceder en el Reino Unido. Los cibercriminales pueden acceder a tus mensajes de distintas formas y una de las más extravagantes es explotando un error en el SS7, un protocolo utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas. A la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen acceder, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas. El procedimiento es el siguiente: primero, los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca online y solicitan una transferencia. Actualmente, la mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7: interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono. Los bancos aceptan la transferencia como legítima, ya que la transacción se ha autorizado dos veces: con tu contraseña y con el código de un solo uso. Por tanto, el dinero acaba en manos de los delincuentes. Más información en https://latam.kaspersky.com/ Alemania prohíbe que WhatsApp e Instagram compartan datos con Facebook sin consentimiento Facebook vuelve a encontrarse con un nuevo obstáculo interpuesto por las autoridades alemanas y en este caso el obstáculo afecta a la línea de flotación de su negocio de recopilación de datos. La Oficina Federal Antimonopolio de Alemania ha anunciado la prohibición a la red social de recopilar datos a través de terceros, lo que significa que, por ejemplo, no podrá recopilar los datos generados mediante el botón de «Me gusta», los llamados «likes», una práctica que tacha de «abusiva» e «injusta para la competencia». Las autoridades de la competencia alemanas basan su decisión en el hecho de que Facebook desempeña una posición dominante en el mercado y en la valoración de que está abusando de ella. Facebook ha comunicado que tiene previsto recurrir la decisión ante la Justicia y se juega mucho en ese recurso, porque el caso podría sentar un precedente europeo, vinculando por primera vez en la jurisprudencia la protección de datos con la defensa de la competencia. Más información en https://www.abc.es/tecnologia/redes/ Rusia se desconectará del internet mundial Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el gobierno de Rusia estaría considerando la posibilidad de desconectarse de Internet a nivel global por un breve periodo de tiempo, todo como parte de una prueba de ciberseguridad. Esto implica que los datos enviados y recibidos entre individuos y organizaciones rusas permanecerán en las redes de ese país, en lugar de ser enrutados de forma trasnacional. Una ley que está por ser aprobada podría ser el motivo principal por el que el gobierno ruso contempla esta opción, reportan los expertos en seguridad en redes. En esta ley se establece que se deberán realizar todas las modificaciones técnicas necesarias para operar de forma independiente. Para implementar el proyecto denominado Programa de Economía Digital, se requiere que los proveedores de servicios de Internet en Rusia se aseguren de poder operar en caso de que un ataque extranjero aísle las redes rusas. Países miembros de la Organización del Tratado del Atlántico Norte (OTAN) acusan continuamente al gobierno ruso de promover actividades de ciberguerra, por lo que ya han amagado con imponer sanciones por este proyecto. Se espera que la prueba se realice a comienzos del mes de abril, aunque se desconoce la fecha exacta. Más información en https://noticiasseguridad.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 112
Simbad: el phishing se cuela en los simuladores de Google Play Gmail, de Google, es uno de los principales servicios que usan este método de inicio de sesión, 206 aplicaciones y más de 150 millones de descargas. Este es el alcance de SimBad, una nueva campaña de adware que según investigadores de Mobile Threat de CheckPoint está haciendo estragos en la Google Play Store. Como ha explicado la compañía de seguridad, la mayoría de las aplicaciones afectadas son simuladores de juego (de ahí SimBad) y en su configuración más "sencilla" muestra en el terminal del usuario infectado innumerables anuncios (adware) fuera de la aplicación, que ralentizan y llegan a volver inutilizable cualquier teléfono móvil. No es este el único problema. Una vez instaladas, puede resultar complicado eliminar las aplicaciones afectadas del terminal. Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicaciones. Más información en https://www.muyseguridad.net/. Hackers están comprometiendo cuentas de Office 365 y G Suite usando protocolo Imap Acorde a especialistas en ciberseguridad, en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética, los hackers maliciosos están mostrando especial interés en el abuso de protocolos legítimos para incrementar la frecuencia y efectividad de los ataques de fuerza bruta. La conducta abusiva se ha enfocado principalmente en el protocolo IMAP (Protocolo de Acceso a Mensajes de Internet), que se encarga de pasar por alto la autenticación multi factor y las opciones de bloqueo para inicios de sesión sin éxito. Según el hacker ético, esta nueva campaña de ataques de fuerza bruta plantea un enfoque diferente para desplegar el ataque que utiliza la combinación de los nombres de usuario y contraseña. Gracias a un análisis realizado a una muestra de más de 100 mil inicios de sesión no autorizados en distintas plataformas, los investigadores llegaron a conclusiones como: El 70% de los usuarios han sido atacados por hackers maliciosos al menos una vez. Al menos el 40% de los usuarios tienen una de sus cuentas en línea comprometida. 15 de cada 10 mil cuentas de usuario activas han sido comprometidas con éxito. El principal objetivo de los hackers es desplegar campañas de phishing interno para generar persistencia en los sistemas de la organización atacada. El phishing interno es mucho más difícil de detectar que el externo, mencionó el experto en hacking ético. Los hackers tratarán de conseguir acceso de inicio de sesión a las cuentas en la nube de las víctimas, además dependerán de la campaña de phishing interno para propagar la infección de los sistemas. Más información en https://noticiasseguridad.com/seguridad-informatica/. Descubierta una vulnerabilidad en LTE que permite espiar llamadas Malas noticias para los usuarios de redes LTE. Tal y como publican varios medios, un grupo de investigadores de Corea del Sur, acaba de hacer público un informe en el que se identifican nada menos que 36 nuevas vulnerabilidades, en uno de los protocolos de comunicaciones inalámbricas más utilizados del mundo. Entre las reportadas, destacan algunas que permiten “manipular” antenas móviles, traduciéndose en la posibilidad de bloquear llamadas entrantes en un dispositivo, desconectar a usuarios de una red determinada, mandar SMS con malware a los usuarios que se conecten a la antena, e incluso, escuchar conversaciones privadas. No es esta la primera vez sin embargo, que un grupo de investigadores descubre vulnerabilidades de este calado en el protocolo de comunicaciones LTE. Como indican en ZDNET, se han reportado problemas similares en 2015, 2016, 2017 y 2018. ¿Por qué no se han subsanado? Básicamente por que aunque es cierto que algunas se han parcheado, la mayor parte de los esfuerzos se han centrado en el desarrollo y puesta en marcha del nuevo protocolo 5G, que nace de cero para entre otras muchas cosas, acabar con los problemas de seguridad (sin mucho éxito de momento). Para descubrir los problemas de lo que ya parece ser un protocolo más que vulnerable, los investigadores utilizaron el “fuzzing“, una técnica que consiste en inyectar una gran cantidad de datos aleatorios en una aplicación y analizar el output que produce para tratar de identificar anomalías que, en realidad, podrían ser bugs. Más información en https://www.muyseguridad.net/. Glitchpos, el malware que roba números de tarjetas de crédito de puntos de venta Especialistas en ciberseguridad en colaboración con un hacker ético del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva variante de malware diseñada para interceptar números de tarjetas de pago; el malware ha estado circulando por algunos foros de hackers maliciosos. El malware, conocido como GlitchPOS, está disponible para su compra en algunos foros de hacking alojados en dark web. Este software malicioso fue detectado por primera vez en febrero y el número de hackers que lo han comprado o usado aún es desconocido. Acorde a los investigadores, este malware cuenta con un diseño funcional y es muy fácil de utilizar; “no se requieren conocimientos avanzados de hacking para ejecutar GlitchPOS”. Los atacantes han estado desplegando el malware a través de un email malicioso, disfrazándolo como un videojuego muy simple. El malware está protegido por un packer desarrollado en VisualBasic, mismo que descifra una biblioteca (la carga útil del malware) cifrada con el packer UPX. “Cuando se descifra la carga útil, se ejecuta GlitchPOS, que captura la memoria del sistema de punto de venta”. Más información en https://noticiasseguridad.com/ Ransomware piewdiepie: archivos encriptados hasta que el youtuber alcance los 100 millones de suscriptores Los suscriptores al canal de YouTube de PewDiePie han decidido tomar medidas drásticas para que el famoso creador de contenido se consolide como el usuario con más suscriptores de la plataforma de vídeos, mencionan expertos de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética. Según se ha reportado, algún usuario desconocido desarrolló una variante de ransomware que cifra los archivos de las víctimas y sólo serán descifrados cuando el creador de contenido alcance los 100 millones de suscriptores. Acorde a los instructores de la escuela de hackers éticos la herramienta en cuestión, conocida como PewCrypt, es un ransomware basado en Java que ha cifrado miles de archivos. Aunque esta no es la peor parte; en diciembre pasado fue descubierta una nueva variante de ransomware relacionado con esta campaña, sólo que en esta ocasión el software maligno bloquea los archivos y no cuenta con un modo de recuperación, por lo que las víctimas pierden su información para siempre. Conocido como el ransomware PewDiePie, esta es una versión modificada y mal escrita del popular ransomware ShellLocker, reportan los expertos de la escuela de hackers éticos. El ransomware PewDiePie nunca almacena las claves de cifrado de las víctimas, por lo que los archivos comprometidos permanecerán bloqueados para siempre. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 110
Formjacking: la nueva amenaza que hace temblar a las tiendas on-line Se llama Formjacking y es la nueva amenaza silenciosa que ya está comprometiendo la seguridad de cientos de tiendas on-line de todo el mundo. Según el nuevo informe anual sobre amenazas informáticas publicado por Symantec, esta técnica se ha convertido en una nueva mina de oro para los cibercriminales, ya que les permite enriquecerse rápidamente sin demasiado esfuerzo. ¿Pero en qué consiste exactamente? El formjacking pasa por trasladar el concepto de cajero manipulado, al mundo virtual. Frente a la manipulación física de un cajero clásico, en el mundo on-line los ciberdelincuentes inyectan código malicioso en una tienda on-line para robar los detalles de las tarjetas de pago de los compradores. Entre los afectados por esta técnica, la compañía de seguridad destaca los casos de multinacionales como British Airways o TicketMaster, si bien asegura, son las tiendas más pequeñas las más expuestas a este tipo de ataques. De hecho Symantec afirma que de media, 4.800 sitios web únicos se ven comprometidos por código de formjacking cada mes. La empresa asegura que bloqueó más de 3,7 millones de ataques sobre puntos finales en 2018. Más información en https://www.muyseguridad.net/ GHIDRA, la herramienta gratuita de la NSA, ya tiene un bug GHIDRA v.9.0 es la nueva herramienta de análisis y reversing de binarios gratuita, publicada estos días en la conferencia RSA y creada por la NSA. En cierta manera compite por el mercado de la conocida IDA. Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior. La curiosidad es que a pocos minutos de ser publicada, Matthew Hickey ha encontrado un grave problema de seguridad. Establece el JDWP en modo debug y se pone a la escucha en el puerto 18001 de todas las interfaces. JDWP (Java Debug Wire Protocol) permite ejecutar código arbitrario en el sistema, por lo que, al quedar accesible en cualquier red el sistema queda expuesto. Arreglarlo es sencillo, modificando en la línea que lanza JDWP, el asterisco por 127.0.0.1 en el script que lo lanza. Más información en https://www.theregister.co.uk/ Nueva vulnerabilidad afecta a todas las CPUs Intel, no se puede parchear y no afecta a AMD Después de que Spectre y Meltdown estrenara una larga lista de vulnerabilidades de seguridad en las CPUs de Intel, hoy seguimos sumando para bingo con Spoiler, la última vulnerabilidad descubierta por el Instituto Politécnico de Worcester y la Universidad de Lübeck, que afecta a todas las CPU de Intel, desde las CPU Intel Core de 1ª Generación, que llegaron a mediados de 2006, hasta las más recientes, que incluye la 9ª Generación. Intel Spectre Next Generation Spectre NG 0. Según el informe, el Instituto Politécnico de Worcester y la Universidad de Lübeck ha descubierto un nuevo fallo en la microarquitectura que revela información critica acerca del mapeo de páginas físicas en procesos del espacio de usuarios. “El agujero de seguridad puede ser explotado por un conjunto limitado de instrucciones, que es visible en todas las generaciones de Intel a partir de la primera generación de procesadores Intel Core, independientemente del sistema operativo empleado y también funciona desde máquinas virtuales y entornos de espacio aislado. Más información en https://elchapuzasinformatico.com/ Zero-Day en Google Chrome permite la ejecución remota de código La vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y Linux, habría estado siendo aprovechada por atacantes. Clement Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución arbitraria de código en la máquina de la víctima, para así tomar su control. Aunque no se han revelado detalles, según Google el fallo habría estado siendo aprovechado por atacantes. Desde Google han decidido restringir los detalles de la vulnerabilidad hasta que la mayoría de usuarios hayan actualizado; lo único que se conoce de momento de este fallo de corrupción de memoria, es que se produce tras intentar acceder a memoria que ya ha sido liberada ("use-after-free"), y que afecta al componente API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona desde la máquina del usuario. Debido a la alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y MacOS, normalmente estas actualizaciones se encuentran activadas por defecto. Más información en https://unaaldia.hispasec.com/ Desconectados a nivel mundial: Facebook e Instagram estuvieron caídos y WhatsApp tuvo problemas En un miércoles de terror para las comunicaciones y el uso de las redes sociales, WhatsApp se sumó a las fallas de Facebook e Instagram:vusuarios de todo el mundo reportaron problemas con el servicio de mensajería durante 10 horas. Más información en https://tn.com.ar/tecno/f5. App de identificador de llamadas expone información de millones de usuarios La filtración de datos se relaciona con la deficiente seguridad de una implementación de MongoDB. La app de identificador de llamadas Dalil, desarrollada en Arabia Saudita, ha estado filtrando la información de sus usuarios a causa de su implementación de MongoDB, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Más de 5 millones de registros han permanecido expuestos en línea por alrededor de diez días. La base de datos fue descubierta por un equipo de expertos en seguridad en redes; los expertos trataron de contactar a la compañía sobre el incidente, aunque esta tarea se ha complicado. “Esta app es usada principalmente por habitantes de Arabia Saudita, Egipto, Palestina e Israel. El motivo de la exposición es que la implementación de MongoDB no contaba con una contraseña”, mencionan los expertos en seguridad en redes. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 109
Microsoft afirma que los ataques de phishing han aumentado bastante El equipo de seguridad de Microsoft analiza más de 6,500 millones de señales de seguridad al día para identificar tendencias que podrían afectar el entorno digital en el que vivimos. Después de analizar más de 470 mil millones de mensajes de correo electrónico que han sido enviados y recibidos por los clientes de su plataforma Office 365, la compañía informa que los ataques maliciosos de phishing están aumentando, y no por un pequeño margen. Se trata de un masivo 250 por ciento. Peor aún, las técnicas utilizadas por los estafadores son cada vez más competentes y más difíciles de detectar. Más información en https://es.digitaltrends.com/ Nuevos defectos vuelven a habilitar los ataques DMA en una amplia gama de computadoras modernas Los investigadores de seguridad han descubierto una nueva clase de vulnerabilidades de seguridad que afecta a todos los principales sistemas operativos, incluidos Microsoft Windows, Apple macOS, Linux y FreeBSD, lo que permite a los atacantes eludir los mecanismos de protección introducidos para defenderse de los ataques DMA. Conocidos desde hace años, los ataques basados en el acceso directo a la memoria (DMA) permiten que un atacante ponga en peligro una computadora específica en cuestión de segundos al conectar un dispositivo malicioso de conexión en caliente, como una tarjeta de red externa, mouse, teclado, impresora, almacenamiento, y tarjeta gráfica: en el puerto Thunderbolt 3 o el último puerto USB-C. Los ataques basados en DMA son posibles porque el puerto Thunderbolt permite que los periféricos conectados eviten las políticas de seguridad del sistema operativo y la memoria del sistema de lectura / escritura directa que contiene información confidencial, incluidas las contraseñas, los inicios de sesión bancarios, los archivos privados y la actividad del navegador. Más información en https://thehackernews.com. Estas apps de Android te han estado rastreando, incluso cuando tú no lo deseas Aproximadamente 17,000 aplicaciones de Android recopilan información de identificación que crea un registro permanente de la actividad en tu dispositivo, de acuerdo con investigación del International Computer Science Institute. La recopilación de datos parece violar la política del gigante de búsquedas sobre la recopilación de datos que pueden usarse para orientar a los usuarios a la publicidad en la mayoría de los casos, dijeron los investigadores. Las aplicaciones pueden rastrearte vinculando tu ID de publicidad (se conoce como ID Advertising, en inglés), un número único pero cambiable utilizado para personalizar la publicidad, con otros identificadores en tu teléfono que son difíciles –o imposibles– de cambiar. Esos ID están compuestos por identificaciones únicas de tu dispositivo: la dirección MAC, o los números IMEI y Android ID. Menos de un tercio de las aplicaciones que recopilan identificadores toman solo el Advertising ID, según lo que recomienda Google en su documento de prácticas adecuadas para desarrolladores. Más información en https://www.cnet.com/ Nvidia corrige ocho vulnerabilidades críticas Los desarrolladores de procesadores gráficos ofrecen protección contra vulnerabilidades encontradas en sistemas Windows y Linux. Nvidia, compañía especializada en el desarrollo de unidades de procesamiento gráfico, ha incluido una característica inusual en sus nuevos lanzamientos: protección contra ocho vulnerabilidades que podrían ser usadas para desplegar algunas variantes de ciberataque, mencionan expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética. En una publicación en su blog, la compañía informó sobre su decisión de brindar protección contra la explotación de algunas vulnerabilidades, mismas que varían en alcance. Acorde a expertos en seguridad en redes, estas vulnerabilidades podrían permitir que hackers maliciosos habilitaran ejecución remota de código, escalada de privilegios e incluso generar condiciones de denegación de servicio (DDoS). Estas vulnerabilidades se encuentran en los sistemas Windows, Linux y Solaris. Una de las vulnerabilidades reportadas, rastreada como CVE-2018-6260, permite ataques similares a los conocidos Spectre y Meltdown, mencionan expertos en seguridad en redes; sin embargo, esta falla no ha sido considerada crítica debido a que no es explotable de forma remota. Acorde a Nvidia, es necesario realizar algunas acciones adicionales para corregir por completo esta vulnerabilidad en sistemas operativos Windows y Linux. Más información en https://noticiasseguridad.com/ Nueva vulnerabilidad de escalada de privilegios en cisco Webex Hackers maliciosos podrían explotar una vulnerabilidad en Cisco Webex Meetings para sistemas operativos Windows para elevar sus privilegios y ejecutar comandos arbitrarios usando los privilegios de administrador, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Esta vulnerabilidad afecta a todas las versiones de la aplicación Cisco Webex Meetings para equipos de escritorio entre 33.6.4.15 y 33.8.2.7, aunque los expertos no descartan la posibilidad de que versiones anteriores también sean afectadas por esta vulnerabilidad. La vulnerabilidad (CVE-2019-1674) es una inyección de comandos en el sistema operativo pensada para esquivar las nuevas medidas de seguridad de Cisco, implementadas después de corregir un problema de secuestro de DLL encontrado en la misma aplicación anteriormente. Acorde a los expertos en seguridad en redes, CVE-2019-1674 existe debido a la incapacidad del servicio de actualización de Webex para Windows para validar adecuadamente los números de versión de los nuevos archivos. Atacantes locales sin privilegios podrían explotar la vulnerabilidad invocando el comando de servicio de actualización con un comando especialmente diseñado. Los hackers maliciosos podrían explotar esta vulnerabilidad reemplazando el binario de la actualización de esta aplicación con una versión anterior usando la técnica de falsa actualización de software. Posteriormente se genera la escalada de privilegios y los hackers ejecutan comandos arbitrarios con privilegios de administrador. Esta no es la primera ocasión que expertos en seguridad en redes encuentran vulnerabilidades en esta herramienta, aunque no es considerada tan severa como la vulnerabilidad conocida como WebExec, que permite a los atacantes ejecutar comandos de forma remota a través de un componente de una versión vulnerable de Webex. Más información en https://noticiasseguridad.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 116
¿Seguridad de Iphone no funciona? nuevo malware ha infectado a más de 500 millones de usuarios Acorde a especialistas en análisis forense informático del Instituto Internacional de Seguridad Cibernética (IICS) un grupo cibercriminal identificado como eGobbler ha estado explotando una vulnerabilidad en Chrome para sistema iOS con el propósito de atacar a los usuarios de dispositivos iPhone con un exploit que les entrega malvertising; se calcula que alrededor de 500 millones de usuarios en todo el mundo han sido infectados. El malvertising es un método de ataque en el que los hackers muestran a los usuarios publicidad de apariencia inofensiva; en realidad estos anuncios contienen código que redirige a las víctimas a sitios web de contenido malicioso, comentan los especialistas en análisis forense informático. Los reportes sobre la campaña de ataques desplegada por eGobbler han concluido que este actor de amenazas ha infectado servidores de publicidad legítima, misma que ha usado para desplegar los anuncios que mostrarán la ventana emergente maliciosa. La carga útil empleada por este grupo de hackers tiene dos funciones: generar dinero con los anuncios mostrados y la capacidad de redirigir al usuario a sitios web fraudulentos donde se intentará extraer sus datos personales o infectar con malware. Continúa navegando en https://noticiasseguridad.com/ Facebook almacenó millones de contraseñas de usuarios de Instagram en texto sin formato A fines del mes pasado, Facebook reveló que "almacenaba erróneamente las contraseñas de cientos de millones de usuarios de Facebook en texto plano", incluidas las contraseñas de "decenas de miles" de sus usuarios de Instagram también. Ahora parece que el incidente es mucho peor de lo que se informó primero. Estas contraseñas de texto plano de millones de usuarios de Instagram, junto con millones de usuarios de Facebook, estaban disponibles para algunos de los ingenieros de Facebook que, según la compañía, "no abusaban de ellas". De acuerdo con la publicación actualizada, Facebook descubrió "registros adicionales de contraseñas de Instagram almacenados en un formato legible", pero agregó que su investigación reveló que "las contraseñas almacenadas nunca fueron abusadas o mal accedidas por ninguno de los empleados". La última revelación llega en menos de un día después de que se reveló que Facebook había almacenado hasta 1,5 millones de usuarios en sus servidores, sin su consentimiento o conocimiento, desde mayo de 2016. Continúa navegando en https://thehackernews.com/ Microsoft es hackeada – hackean cuentas de Outlook y cuentas de empleados Microsoft ha revelado que un grupo de hackers desconocidos ha perpetrado una brecha de datos en algunos de los sistemas de la compañía; acorde a especialistas en cómputo forense del Instituto Internacional de Seguridad Cibernética (IICS), los hackers habrían comprometido las credenciales de inicio de sesión de algunos miembros del equipo de soporte técnico de la compañía, gracias a esto, consiguieron acceder a las cuentas de email de uno de los clientes de Microsoft. Las primeras investigaciones indican que los hackers atacaron la red de la compañía en algún momento entre enero y marzo, poco después de la intrusión los cibercriminales consiguieron acceso a los datos de inicio de sesión del personal de Microsoft. Acorde a los expertos en cómputo forense, la compañía notificó al cliente comprometido sobre la situación, afirmando que: “el acceso no autorizado podría haber permitido que un usuario no autorizado consiguiera acceso a información relacionada con su cuenta de email, como nombres de carpetas, título del email, entre otros datos”. La compañía afirmó también que los atacantes no tienen acceso al contenido de las carpetas, mensajes o archivos adjuntos. Aún se desconoce el número exacto de correos electrónicos a los que los hackers accedieron. Continúa navegando en https://noticiasseguridad.com/ Nueva vulnerabilidad Día Cero en internet explorer permitiría robo de archivos locales Internet Explorer no es precisamente el buscador más popular, y en definitiva este nuevo incidente de seguridad no le ayudará. Acorde a especialistas del curso de informática forense del Instituto Internacional de Seguridad Cibernética (IICS), ha sido descubierta una vulnerabilidad día cero en este buscador que hace que las computadoras con Windows sean vulnerables a los ataques de robo de archivos. Acorde a los reportes, la vulnerabilidad se encuentra en el uso de archivos MHT de Internet Explorer cuando un usuario guarda una página web. La vulnerabilidad está en la apertura de archivos MHT. “Internet Explorer es vulnerable a un ataque de Entidad Externa XML si un usuario abre un archivo .MHT especialmente diseñado. Este inconveniente permitiría a un atacante extraer archivos locales y realizar un reconocimiento remoto de la versión de Program instalada en la máquina comprometida. Por ejemplo, enviar una solicitud c:\Python27\NEWS.txt podría devolver como respuesta información de la versión de ese programa”. Continúa navegando en https://noticiasseguridad.com/ Hackeo en Wipro; los hackers usan los sistemas de la compañía para atacar a sus propios clientes Wipro se encuentra investigando algunos reportes que sugieren que sus sistemas de TI han sido hackeados; es posible que los sistemas comprometidos se estén empleando para lanzar ciberataques contra algunos de los clientes de esta compañía. Los reportes indican que algunos de los clientes de la compañía de servicios de TI detectaron actividades maliciosas de reconocimiento de redes comunicándose directamente a las redes de Wipro. Se estima que al menos diez o doce compañías han sido afectadas. Aunque Wipro tardó un poco en fijar postura respecto a este incidente, finalmente publicó un comunicado mencionando: “Nuestros procesos internos son en verdad sólidos y nuestros sistemas de seguridad son los más avanzados para prevenir y detectar diversos intentos de ciberataques”. Acorde a los especialistas en análisis forense informático, el ataque se habría originado en el servidor de correo electrónico de la compañía, por lo que Wipro ya prepara una nueva red email de uso privado. Por el momento, los usuarios potencialmente afectados están siendo informados de la situación. Portavoces de la compañía han mantenido comunicación sobre las actualizaciones más recientes sobre este incidente: “Derivado de una compleja campaña de phishing, hemos detectado actividad anómala en las cuentas de algunos empleados en nuestra red interna”. Continúa navegando en https://noticiasseguridad.com/ Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 104
Un fallo de WhatsApp permite ver los mensajes borrados WhatsApp incorporó, meses atrás, la posibilidad de eliminar mensajes enviados. Sin embargo, es posible que un error en la aplicación pueda resucitar estos mensajes no deseados y cause estragos a algunos de los usuarios. Se trata, según Metro, de la copia de seguridad que realiza WhatsApp, todas las noches, a las dos de la madrugada, para mantener un registro de los chats. Un error en el sistema de la copia de seguridad podría hacer ‘resucitar’ los mensajes eliminados. Por lo que si recibes un aviso de WhatsApp que te dice que el mensaje que te acaban de enviar ha sido eliminado y te pica la curiosidad, solo debes restaurar la copia de seguridad. Los mensajes perdidos volverán a la vida. Para realizar este truco, solo deberás desinstalar la ‘app’ y volverla a instalar, y se restaurarán los chats desde la copia de seguridad. Más información en https://www.lavanguardia.com/tecnologia. ¿Cuánto les cuesta el cibercrimen a las empresas? El cibercrimen podría costarles 5,2 billones de dólares a las compañías en los próximos cinco años según un informe de Accenture. Las compañías podrían incurrir en 5,2 billones de dólares de costes adicionales y pérdidas de ingresos, a nivel global y en los próximos cinco años, como consecuencia de ciberataques, según un nuevo estudio de Accenture. Esto se debe a que la dependencia de modelos de negocio complejos, basados en Internet, sobrepasa la capacidad de las compañías de introducir medidas de protección adecuadas para resguardar sus principales activos. El informe, Securing the Digital Economy: Reinventig the Internet for Trust, se ha realizado a través de una encuesta a más de 1.700 CEO y altos ejecutivos de todo el mundo, en la que se exploran las complejidades de los desafíos de Internet a los que se enfrentan las empresas y se esbozan los pasos que los directivos deben dar para evolucionar su rol en cuestiones de tecnología, arquitectura de negocio y gobierno. El estudio resalta que el cibercrimen plantea una serie de retos que pueden amenazar las operaciones, la innovación y el crecimiento de las compañías, así como la expansión de nuevos productos y servicios.Más información en http://www.computing.es/seguridad/ Se detecta una familia de Ransomware, Anatova McAfee ha publicado una noticia en la que anuncia una nueva familia de Ransomware detectada, la cual han bautizado con el nombre de Anatova. La detección de esta familia se realizó a través de redes P2P privadas, y se cree que Anatova puede ser un peligro serio para la red en general debido a la extensión modular con la que se ha creado el malware y al auto cifrado del que dispone sus recursos a través de estas redes. El método de entrada que utiliza Anatova normalmente es el engaño de la víctima a través de un camuflado de su icono con uno de juegos o aplicaciones conocidas en estas redes P2P, lo que lo hace más amigable para las víctimas.El objetivo es el cifrado de todos los documentos de la máquina infectada para después pedir un rescate en criptomonedas, que asciende a 700$. Más información en https://unaaldia.hispasec.com. Vulnerabilidad en FaceTime permite espiar a usuarios de Apple Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de una vulnerabilidad sin parchear en FaceTime, la aplicación de Apple para realizar llamadas de audio y vídeo. Según los reportes, este error permitiría que el receptor de una llamada sea visto o escuchado desde antes de contestar la llamada. Este incidente se ha vuelto viral en Twitter y otras redes sociales, donde los usuarios han mostrado su malestar con esta falla de seguridad, pues cualquier dispositivo Apple podría convertirse en una máquina de espionaje sin que la víctima pueda darse cuenta. Esta falla, que algunos consideran más una falla de diseño que una vulnerabilidad, reside en la función Group FaceTime, lanzada recientemente por Apple. El proceso para reproducir el error es el siguiente: Inicie una videollamada de FaceTime con cualquier contacto Mientras se marca al contacto, deslice hacia arriba desde la parte inferior de la pantalla de su iPhone y seleccione “Agregar persona” En “Agregar persona”, agregue su propio número Esto iniciará una llamada grupal de FaceTime entre usted y la persona a la que llamó, con lo que podrá escuchar al receptor de la llamada, incluso si la persona aún no acepta la llamada Los especialistas en seguridad en redes también mencionaron que si la persona que recibe la llamada presiona el botón de volumen o encendido (para silenciar o rechazar la llamada) la cámara del iPhone podría encenderse. Más información en https://noticiasseguridad.com/. Robo de datos afecta a usuarios de tarjetas Discover Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan un incidente de seguridad en los sistemas de las tarjetas Discover, gracias al que usuarios maliciosos habrían accedido a una cantidad indefinida de detalles de identificación de los clientes, como números de cuenta, fechas de vencimiento, e incluso códigos de seguridad de las tarjetas. Incluso cuando esta clase de incidentes de seguridad son comunes entre las instituciones financieras, esta es la segunda ocasión en menos de un año en que Discover Financial Services notifica un robo de datos relacionado con las tarjetas de sus clientes a las autoridades de California. Con base en los comentarios de Discover, especialistas en seguridad en redes creen que los atacantes habrían obtenido la información comprometiendo los servicios de terceros con acceso a los datos de pago de los clientes de Discover, o bien los datos podrían haber estado a la venta en algún foro de dark web gracias al uso de malware de robo de datos o a skimmers de tarjetas instalados en puntos de venta o cajeros automáticos. Más información en https://noticiasseguridad.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 102
Vulnerabilidad en sistemas de Amadeus expone registros de viajes de millones de personas Este error podría haber permitido modificar múltiples detalles de viajes. Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que, debido a una vulnerabilidad recientemente descubierta en el sistema de reservaciones Amadeus, un atacante o atacantes pudieron acceder y cambiar las reservas usando sólo un número de reservación. El bug, presente en el sistema de reservas que ostenta el 44% del mercado de reservaciones internacionales, fue descubierto por el experto en seguridad en redes Noam Rotem, que intentó reservar un vuelo en la aerolínea israelí ELAL. Rotem, en colaboración con un grupo de especialistas en seguridad en redes, reportó su hallazgo a través de un blog: “descubrimos que, simplemente cambiando la RULE_SOURCE:1ID, podíamos ver cualquier PNR y acceder al nombre del cliente y los detalles del vuelo asociados”. Los investigadores entonces pudieron iniciar sesión en el portal de clientes de ELAL “y hacer múltiples cambios, canjear millas de viajero frecuente, modificar los lugares asignados en un vuelo y modificar el perfil de los usuarios para cancelar o cambiar una reserva en un vuelo”. Los expertos explican que la aerolínea ELAL envía los códigos vía email no cifrado, haciendo hincapié en que algunos usuarios descuidados incluso llegan a compartir estos mensajes en redes sociales. “Aunque esta es sólo la punta del iceberg”, afirma el blog. “Después de ejecutar una sencilla secuencia de comandos para comprobar si existían medidas de protección contra fuerza bruta, pudimos encontrar el PNR de miles de clientes al azar, incluyendo información personal”, concluye el blog. Los investigadores desarrollaron un script para solucionar el problema, contactaron a ELAL para notificarles sobre la vulnerabilidad, y emitieron algunas sugerencias a la aerolínea, como la implementación de CAPTCHA, contraseñas y otras medidas de seguridad contra bots. Más información en https://noticiasseguridad.com Encuentran Malware instalado en teléfonos de Alcatel La aplicación realizaba transacciones en línea ejecutadas en segundo plano. Un equipo de expertos en seguridad en redes detectó un número sospechosamente alto de intentos de transacciones en línea provenientes de smartphones de la marca Alcatel con sistema operativo Android, por lo que decidieron indagar a profundidad en el tema. Durante la investigación, los expertos descubrieron que una aplicación preinstalada dedicada al pronóstico del clima extrae gran cantidad de datos de los usuarios y es la responsable de tales intentos de transacciones. La APK lleva el nombre de com.tct.weather y fue firmada por TLC Corporation, empresa china de tecnología, fabricante de los dispositivos Alcatel y Blackberry. Acorde a los expertos en seguridad en redes, esta aplicación recopila y transmite a un servidor en China datos como ubicación, dirección email o clave IMEI, además de contar con una serie de permisos demasiado invasivos. La aplicación también se encuentra en Google Play, cuenta con más de 10 millones de descargas y una puntuación de 4/5. De no haber sido bloqueada, la actividad maliciosa de esta app seguramente habría afectado a los usuarios de equipos Alcatel en países como Brasil, Malasia o Nigeria, cargándoles costos por alrededor de 1 millón 500 mil dólares. Los expertos reportan que las transacciones se realizaban en segundo plano, por lo que los usuarios no eran capaces de detectar algún comportamiento anómalo en la app. Más información en https://noticiasseguridad.com Vulnerabilidades con más de 30 años de antigüedad en SCP Estas fallas podrían conducir a ejecución de comandos remotos en los sistemas comprometidos. Acorde a expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética, ha sido descubierto un conjunto de vulnerabilidades de 36 años de antigüedad en la implementación del Protocolo de Copia Segura (SCP) de múltiples aplicaciones de clientes; las vulnerabilidades podrían ser explotadas por usuarios maliciosos para sobrescribir archivos de forma arbitraria en el directorio de destino del cliente de SCP sin autorización. El SCP (también conocido como Protocolo de Control de Sesión) es un protocolo de red que permite a los usuarios transferir archivos de forma segura entre un host local y uno remoto mediante el Protocolo de Copia Remota (RCP) y el protocolo SSH. Dicho de otro modo, el protocolo SCP, creado en 1983, es una versión segura de RCP que requiere de la autenticación y el cifrado del protocolo SSH para transferir archivos entre el servidor y el cliente, mencionan expertos en seguridad en redes. Las vulnerabilidades, descubiertas por el experto en ciberseguridad Harry Sintonen, existen debido a las deficientes validaciones realizadas por los clientes de SCP, que podrían ser explotadas por servidores maliciosos o utilizando alguna variante del ataque Man-in-the-Middle (MiTM) para eliminar o sobrescribir archivos arbitrarios en el sistema de los clientes. “Muchos clientes SCP no verifican si los objetos devueltos por el servidor SCP coinciden con las solicitudes. Este problema se remonta al año 1983 y al protocolo RCP, en el que está basado SCP”, mencionó el experto. Un servidor controlado por un atacante podría colocar un archivo .bash_aliases en el directorio de inicio de la víctima, engañando al sistema para que ejecute comandos maliciosos tan pronto como el usuario de Linux inicie un nuevo shell. Más información en https://noticiasseguridad.com/. Dos hackers acusados de piratear el sistema SEC en un esquema de negociación de acciones Las autoridades estadounidenses han acusado a dos piratas informáticos ucranianos por piratear el sistema de archivo EDGAR de la Comisión de Bolsa y Valores y robar informes confidenciales de empresas antes de su lanzamiento público. EDGAR, o recopilación, análisis y recuperación de datos electrónicos, es un sistema de archivo en línea en el que las empresas envían sus documentos financieros. El sistema procesa alrededor de 1.7 millones de solicitudes electrónicas por año. EDGAR enumera millones de presentaciones sobre revelaciones corporativas, que van desde informes de ganancias anuales y trimestrales hasta información confidencial y confidencial sobre fusiones y adquisiciones, que podría utilizarse para el abuso de información privilegiada o incluso para manipular los mercados de valores de EE. UU. Los dos piratas informáticos ucranianos, Artem Radchenko y Oleksandr Ieremenko (27 años), piratearon el sistema EDGAR para extraer informes confidenciales no públicos de empresas que cotizan en bolsa y vendieron esa información a diferentes grupos de comerciantes. Más información en https://thehackernews.com/. Investigadores invitados a hackear un Tesla en Pwn2Own 2019 Los investigadores pueden ganar hasta $300,000 y un automóvil si logran piratear un Tesla Model 3 en la competencia Pwn2Own de este año, anunció el lunes la Zero Day Initiative (ZDI) de Trend Micro. Pwn2Own 2019, programado para realizarse del 20 al 22 de marzo junto con la conferencia CanSecWest en Vancouver, Canadá, introduce una categoría automotriz para la cual se instalará un Modelo 3 de Tesla. Los hackers de White Hat pueden ganar entre $ 50,000 y $ 250,000 por demostrar una vulnerabilidad contra un módem o sintonizador de Tesla, componentes de Wi-Fi o Bluetooth, sistema de información, entretenimiento, puerta de enlace, piloto automático, sistema de seguridad y llavero (incluido el teléfono que se usa como una tecla). "Junto con el premio en efectivo, el ganador de la primera ronda en esta categoría ganará un vehículo de tracción trasera de gama media Tesla Modelo 3", dijo ZDI. Premios a la piratería de Tesla. En la categoría de navegadores web, los hackers pueden ganar decenas e incluso cientos de miles de dólares por escapes de sandbox, escalaciones de privilegios del kernel de Windows y escapes de VM. Los objetivos son Chrome, Edge, Safari y Firefox. La categoría empresarial incluye Adobe Reader, Microsoft Office 365 y Microsoft Outlook. Finalmente, el único objetivo de la categoría del lado del servidor es Windows RDP, para el cual los hackers pueden ganar $ 150,000. Más información en https://www.securityweek.com/. Los viejos protocolos RF exponen las grúas a los ataques remotos de hackers Un equipo de investigadores de la firma de ciberseguridad con sede en Japón, Trend Micro, analizó los mecanismos de comunicación utilizados por las grúas y otras máquinas industriales y descubrió serias vulnerabilidades que pueden facilitar a los actores malintencionados lanzar ataques remotos. Las grúas, montacargas, taladros y otras máquinas pesadas utilizadas en los sectores de fabricación, construcción, transporte y minería a menudo dependen de los controladores de radiofrecuencia (RF). Estos sistemas incluyen un transmisor que envía comandos a través de ondas de radio y un receptor que interpreta esos comandos. Los investigadores han probado productos de varios proveedores, incluidos Saga, Juuko, Telecrane, Hetronic, Circuit Design, Autec y Elca, y se encontró que todos eran vulnerables. Sus pruebas se han realizado en 14 lugares diferentes del mundo real y también se encontró que todos estaban afectados. Trend Micro ha notificado a los proveedores afectados las vulnerabilidades y algunas de ellas ya han comenzado a tomar medidas. ICS-CERT ha publicado dos avisos para fallas descubiertas por los investigadores en productos de Telecrane y Hetronic . Obtenga más información sobre las fallas del controlador en la Conferencia sobre seguridad cibernética ICS 2019 de SecurityWeek. El principal problema encontrado por los expertos es que los proveedores no han protegido las comunicaciones entre el transmisor y el receptor, lo que permite a los atacantes capturar el tráfico y los comandos de suplantación de identidad. Los investigadores han detallado cinco tipos de ataques. Uno de ellos, que es fácil de llevar a cabo, involucra ataques de repetición. En estos ataques, el pirata informático captura una transmisión válida y la reproduce con fines maliciosos. Más información en https://www.securityweek.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Últimas noticias de Seguridad a nivel mundial: boletín nº 99
Congreso Español aprueba el cierre de páginas web sin autorización judicial El cierre de páginas web sin necesidad de autorización judicial ya es posible, tras recibir la aprobación en el Congreso. Se ratifica el Proyecto de Ley para modificar la normativa de Propiedad intelectual, que introduce esta novedad a través de una enmienda al texto, la número 32, acordada por PP, PSOE y Ciudadanos. A partir de ahora, cuando exista "reiteración por segunda vez de actividades ilícitas", el prestador de servicios de internet que aloje el contenido deberá ejecutar "la medida de colaboración" solicitada desde el Ministerio de Cultura, que "no requerirá la autorización judicial prevista" en la llamada Ley Sinde y exigida hasta ahora. Este punto de la reforma aboga por la agilización del cierre de páginas que hayan vulnerado previamente los derechos de propiedad intelectual, véanse webs piratas de películas y series o réplicas del trabajo periodístico de diarios de información. Más información https://www.elmundo.es/. Vulnerabilidad crítica en zoom permite secuestro de conexión Un atacante podría falsificar mensajes, secuestrar controles de pantalla o expulsar a otros usuarios de las conferencias. Una vulnerabilidad considerada crítica en la aplicación de videoconferencias Zoom podría permitir a un atacante remoto secuestrar los controles de pantalla y expulsar a los asistentes de las conferencias, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética. Investigadores de una firma de ciberseguridad publicaron una prueba de concepto para esta vulnerabilidad de ejecución de comando no autorizada, mencionando que el error persiste en la función de mensajería de Zoom, La vulnerabilidad, rastreada como CVE-2018-15715, ha sido considerada de gravedad “crítica”, y tiene una puntuación CVSS de 3.0/9.9. Un potencial atacante, sin autenticación y de forma remota, podría crear y enviar un mensaje de Protocolo de Datagrama de Usuario (UDP), y se interpretaría como un mensaje confiable de Protocolo de Control de Transmisión utilizado por los servidores autorizados de Zoom. Más información en http://noticiasseguridad.com/ Cadena de Hoteles Marriott es hackeada, 500 millones de clientes afectados Registros de 500 millones de clientes del grupo hotelero Marriott se vieron comprometidos en la violación de datos. La cadena de hoteles Marriott International ha revelado que la base de datos de reservaciones de su división Starwood había sido comprometida por terceros no autorizados. Acorde a una investigación interna de especialistas en forense digital, un atacante había conseguido acceso a la red de Starwood desde 2014. Marriot International afirma que se encuentra notificando a los clientes registrados en la base de datos comprometida. Acorde a estimaciones de la empresa, la base de datos comprometida contiene registros de hasta 500 millones de clientes, de los cuales, alrededor de 320 millones de registros incluían información como nombre del cliente, dirección, números de teléfono, dirección email, número de pasaporte e información de la cuenta del usuario. Más información en http://noticiasseguridad.com/ Violación de seguridad en sitio web de Dell La empresa tuvo que restablecer las contraseñas de sus usuarios debido al incidente de seguridad. Especialistas en seguridad informática y forense digital del Instituto Internacional de Seguridad Cibernética reportan que Dell, el gigante tecnológico, ha sido víctima de una violación de seguridad por la que un grupo de hackers ha intentado extraer los datos de los clientes directamente del sitio web de la compañía. Según las primeras investigaciones, el incidente de seguridad aconteció en algún momento del 9 de noviembre. Ese mismo día, Dell detectó e interrumpió el ataque dirigido a los datos personales de sus clientes, incluyendo nombres, direcciones email y contraseñas. Según los reportes de los especialistas en forense digital, la empresa se encuentra realizando una profunda investigación, misma que hasta el momento no ha arrojado evidencia irrefutable de que los actores maliciosos hayan conseguido acceso a los datos resguardados por Dell. Como medida de seguridad, la empresa ha restablecido las contraseñas de todos los usuarios de su plataforma en línea. Asimismo, Dell afirma que información financiera como información de tarjetas de pago o más datos sensibles no se han visto comprometidos en el ataque. “Datos de tarjetas de pago y otros detalles confidenciales no fueron detectados por los hackers”, menciona el anuncio de seguridad de la compañía. La empresa afirma que ya han sido implementadas las medidas de seguridad pertinentes para mitigar el riesgo de un segundo ciberataque. “Después de detectar el intento de robo de datos, implementamos un protocolo de defensa e iniciamos una investigación. Más información en http://noticiasseguridad.com/ Nuevo método para desbloquear un iPhone y Android Cuando hablamos de poder desbloquear un iPhone puede parecer repetitivo. La realidad es que han aparecido varios métodos con los que era posible. Uno de ellos, uno de los métodos más recientes, fue realizado por la empresa israelí Cellebrite, que podía desbloquear cualquier móvil de Apple, o el más reciente GrayKey. Hoy nos hacemos eco de otra empresa que asegura que puede desbloquear un iPhone. En concreto se trata de una compañía llamada DriveSavers. Entre sus funciones destacan la recuperación de datos. Ahora promete que cualquier persona podría llegar a desbloquear un iPhone con un costo U$S3.900 por dispositivo. Indican que no importa si la contraseña es muy simple o estamos ante una clave realmente fuerte, con muchas cifras. Nos hemos centrado en iPhone, pero desde DriveSavers aseguran que también pueden desbloquear modelos Android. Desde DriveSavers dicen que hacen uso de una nueva tecnología, por lo que la tasa de éxito es del 100% a la hora de desbloquear un iPhone o recuperar los datos del teléfono protegido en cualquier otra marca. No importa el modelo ni el sistema operativo que utilicen. También incluyen aquí tablets. En definitiva, un nuevo problema para Apple en cuanto al desbloqueo de un iPhone. Como hemos mencionado, no hay más datos sobre el precio o si realmente la tasa es del 100% como aseguran. Habrá que esperar y ver si desde Apple lanzan algún comunicado, algún tipo de parche para evitar que un dispositivo de su marca pueda ser desbloqueado. Más información en https://news.softpedia.com/ Quora El popular sitio web de preguntas y respuestas Quora informó a los usuarios el lunes que su información podría haber sido robada después de que alguien obtuviera acceso no autorizado a sus sistemas. El atacante, descrito como un "tercero malicioso", podría haber obtenido información sobre aproximadamente 100 millones de usuarios, incluidos el nombre, la dirección de correo electrónico, la contraseña de hash, los datos importados de las redes vinculadas, el contenido público y las acciones (por ejemplo, preguntas, respuestas, comentarios y upvotes), y contenido y acciones no públicas (por ejemplo, solicitudes de respuesta, downvotes y mensajes directos). Según el director ejecutivo de Quora, Adam D'Angelo, los usuarios que publicaron de forma anónima no se ven afectados y una gran mayoría de los datos comprometidos ya eran públicos en Quora. La información de la tarjeta de pago y los números de seguridad social no están en riesgo ya que este tipo de datos no son recopilados por Quora. La compañía está en el proceso de notificar a los usuarios afectados y restablecer sus contraseñas. Señaló que "no todos los usuarios de Quora están afectados, y algunos se vieron afectados más que otros". Más información en https://www.securityweek.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 118
Vulnerabilidad en WhatsApp permite instalar spyware en teléfonos con solo realizar una llamada WhatsApp reveló la existencia de una vulnerabilidad crítica en la aplicación que permite instalar el conocido spyware Pegasus en dispositivos Android e iOS con solo realizar una llamada al número de teléfono que se busca comprometer. La vulnerabilidad ya fue reparada y la compañía lanzó un parche con la última actualización. De acuerdo a la información revelada el 13 de mayo, Facebook, propietario de WhatsApp, anunció oficialmente la existencia de una vulnerabilidad (CVE-2019-3568) de buffer overflow (o desbordamiento de búfer) en WhatsApp VOIP que permiten la ejecución remota de código en el dispositivo de la víctima cuando se logra enviarle al número de teléfono elegido como blanco de ataque paquetes de SRTP especialmente diseñados. En este sentido, para explotar el fallo el atacante solo necesita llamar a un dispositivo vulnerable. Además, la víctima ni siquiera necesita aceptar la llamada para que su equipo sea comprometido e incluso la llamada desaparece del registro, explicó Financial Times. Continúa navegando en https://www.welivesecurity.com/. 50.000 empresas que ejecutan software de SAP vulnerables a ataques Los investigadores afirman que hasta 50.000 empresas que han adoptado soluciones SAP pueden ser susceptibles a ataques cibernéticos debido a nuevas vulnerabilidades que apuntan a fallas de configuración en el software. Según el equipo de seguridad cibernética de los laboratorios de investigación Onapsis, los ataques denominados 10KBlaze que apuntan a dos componentes técnicos del software SAP se han lanzado recientemente y pueden llevar al "compromiso total" de las aplicaciones SAP. Las herramientas "10KBlaze" también podrían usarse para crear nuevos usuarios con privilegios arbitrarios, para realizar funciones comerciales como crear nuevos proveedores o pedidos de compra, en otras palabras, cometer fraude financiero y obtener acceso a las bases de datos de SAP o interrumpir operaciones de negocios. Sin ninguna forma de autenticación, los atacantes remotos solo necesitan algunos conocimientos técnicos y conectividad de red al sistema vulnerable para realizar un ataque. Todos los sistemas SAP NetWeaver Application Server (AS) y S / 4HANA, ya que utilizan una Lista de control de acceso en Gateway y un Servidor de mensajes, pueden estar en riesgo. Continúa navegando en https://www.zdnet.com/article/. Hackers están explotando vulnerabilidad en Microsoft Sharepoint Una auditoría de seguridad informática reveló que actores de amenazas están explotando activamente una vulnerabilidad de ejecución remota de código en algunas versiones de SharePoint Server para instalar la herramienta de hacking conocida como The China Copper. A pesar de que la vulnerabilidad ya había sido corregida, no todas las implementaciones de SharePoint habían sido actualizadas. La vulnerabilidad, identificada como CVE-2019-0604, afecta a todas las versiones desde SharePoint 2010 hasta SharePoint 2019; Microsoft corrigió la falla en febrero y lanzó parches de actualización en marzo y abril. “Después de la auditoría de seguridad informática descubrimos que un hacker que trate de explotar esta vulnerabilidad podría ejecutar código arbitrario en el grupo de aplicaciones de SharePoint”, mencionaron los especialistas. Según los reportes, para explotar esta vulnerabilidad un atacante necesita de un paquete de aplicaciones de SharePoint especialmente diseñado. Para explotar esta vulnerabilidad, los actores de amenazas emplearon la herramienta de hacking The China Chopper para acceder de forma remota a los servidores comprometidos para enviar comandos y administrar archivos en los servidores de las víctimas. Continúa navegando en https://noticiasseguridad.com/vulnerabilidades/. Morpheus, el procesador “imposible de hackear” Expertos del diplomado en seguridad en redes del IICS reportan el lanzamiento de una nueva arquitectura de procesador de computadora que podría redefinir la forma en la que un sistema se defiende contra las amenazas cibernéticas, dejando en el pasado el modelo de trabajo de actualizaciones y correcciones periódicas. Este nuevo chip, llamado Morpheus, bloquea potenciales ciber ataques empleando cifrado y organizando aleatoriamente los bits clave de su propio código unas 20 veces por segundo, sobrepasando por mucho la velocidad de cualquier hacker o herramienta de hacking conocida. “El enfoque actual para corregir fallas de seguridad ya debería ser considerado obsoleto”, mencionan los especialistas del diplomado en seguridad en redes. “Nuevo código es desarrollado día a día, mientras esto siga sucediendo, siempre habrá nuevas fallas y vulnerabilidades”, añadieron. Con Morpheus, aunque los hackers descubran vulnerabilidades, la información necesaria para explotar estas fallas habrá desaparecido del sistema objetivo en cuestión de segundos. El primer prototipo de este procesador se defendió de forma exitosa contra todas las variantes de ataque de flujo conocidas; esta es una de las técnicas de ciberataque más peligrosas y utilizadas por los hackers. Esta tecnología podría usarse para múltiples propósitos, desde laptops, PCs de escritorio e incluso dispositivos de Internet de las Cosas (IoT), que requieren de más y mejores medidas de seguridad cada día. Continúa navegando en https://noticiasseguridad.com/ Filtración de código fuente confidencial de Samsung Una auditoría de seguridad informática ha revelado que una gran cantidad de información confidencial se ha expuesto al público de forma indebida en GitLab; acorde a los expertos, entre la información comprometida se encuentran código fuente, credenciales de acceso y claves confidenciales para varios proyectos privados. Una de las implementaciones comprometidas ha sido usada por personal de Samsung para trabajar en el código de algunos proyectos de la compañía, como Samsung SmartThings. Después de la auditoría de seguridad informática, se descubrieron decenas de proyectos de codificación interna de Samsung expuestos en GitLab debido a una configuración de seguridad errónea (no estaban protegidos con contraseña). Esto quiere decir que cualquiera podía acceder a ellos e incluso descargar el código fuente de SmartThings, la plataforma para smarthome desarrollada por Samsung y los certificados privados para la implementación de SmartThings en iOS y Android. Acorde a los expertos, muchas de las carpetas expuestas almacenaban registros y datos analíticos para los servicios de SmartThings y Bixby de Samsung, al igual que los tokens privados de GitLab de varios empleados almacenados en texto simple. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 127
Naturgy sufre el chantaje de un 'hacker' que robó información ultraconfidencial Naturgy se ha visto obligada a implementar un plan especial contra la ciberseguridad tras sufrir meses atrás un chantaje de unos piratas informáticos que entraron en ordenadores claves de la cúpula directiva. El ataque fue de tal calibre que Francisco Reynés, presidente ejecutivo del grupo energético, elevó el problema al consejo de administración, que decidió encargar a cuatro empresas especializadas una nueva estrategia para hacer frente a estos riesgos de seguridad. Según han confirmado fuentes de Naturgy, el ciberataque selectivo, dirigido exclusivamente a una serie de ordenadores de altos directivos, se produjo en diciembre de 2018. Un técnico robó ciertas contraseñas particulares de ejecutivos de la multinacional y amenazó a la compañía con difundir por la red la información a la que había tenido acceso. Entre ellas, según otras fuentes, correos electrónicos personales, documentos internos altamente confidenciales, operaciones de fusiones y adquisiciones y potenciales objetivos estratégicos corporativos. Este servicio estaba subcontratado y externalizado con Cap Gemini. Continúa navegando en https://www.elconfidencial.com/empresas/. Fuga de datos de Attunity: datos de Netflix, Ford, TD Bank expuestos por Open AWS Buckets La filtración de datos ha sido revelada por la empresa UpGuard, en la que se han visto afectadas empresas como Netflix o Ford. El problema parece estar relacionado con un bucket de Amazon S3, un servidor abierto de AWS que contaba con terabytes de información sensible de esas compañías a través de una plataforma de integración de datos israelí llamada Attunity. La filtración fue descubierta el pasado 13 de mayo, en la que UpGuard descubrió esos tres servidores con información de Attunity sin ningún tipo de protección. De todos los datos que vieron sin cifrar, probaron a descargar en torno a un terabyte de información, entre los que había 750 gigas de copias de seguridad de emails, además de cuentas de OneDrive de trabajadores que tenían emails, contraseñas de acceso al sistema, información de ventas y marketing, datos de proyectos, etc. Para demostrar la filtración de datos, UpGuard envió pruebas cadenas de verificación de la base de datos a Netflix, una factura de una actualización de software a TD Bank, y a Ford unas diapositivas describiendo un proyecto próximo. En principio no han detectado datos pertenecientes a los usuarios. Con respecto a la propia Attunity, también se descubrieron multitud de datos como credenciales para sus sistemas y su cuenta oficial de Twitter, además de identificación de sus empleados, como nombres, salario, fecha de nacimiento y números de identificación dentro de la empresa. UpGuard informó a Attunity de la filtración de datos el 16 de mayo, y la compañía procedió rápidamente a cifrar estos buckets. Continúa navegando en https://securityaffairs.co/wordpress. 100 apps de préstamos filtran detalles personales y financieros, más de 4 millones de usuarios afectados Especialistas en protección de datos de la firma de seguridad Safety Detectives han descubierto una brecha de datos masiva (casi 900 GB de información comprometida) originada en un servidor establecido en China; el servidor expuesto ya ha sido cerrado. El servidor expuesto es una implementación de Elastic y expone la información personal de millones de ciudadanos chinos. Los expertos, liderados por el reconocido investigador Anurag Sen, descubrieron que la información expuesta fue recolectada y almacenada por más de 100 desarrolladores de aplicaciones, sobre todo servicios de préstamos bancarios en el país asiático. Acorde a los expertos en protección de datos, entre la información personal comprometida destacan detalles como: historial crediticio del usuario, información sobre gestión de riesgos financieros, números de identidad personal, nombres completos, dirección, detalles de contacto (número telefónico, email, etc). Además de los detalles personales, los expertos también descubrieron que el servidor almacenaba información sobre los dispositivos empleados por los usuarios de estas apps, como marca y modelo del smartphone, lista de contactos, detalles de ubicación, dirección IP, números IMEI, compañía operadora de red móvil, entre otros datos. Continúa navegando en https://noticiasseguridad.com/. Los apagones seguirán. Es hora de mejorar nuestra resistencia cibernética Un apagón invernal de seis horas en la Francia metropolitana podría causar daños a hogares, empresas e instituciones esenciales por más de 1500 millones de euros. Un ataque cibernético bien organizado a una infraestructura crítica de electricidad podría tener este tipo de repercusión económica en un país. ¿Es esta una opción realista? En 2018, los funcionarios del Departamento de Seguridad Nacional de los Estados Unidos declararon públicamente que piratas informáticos se habían infiltrado en las salas de control de varias empresas de electricidad de los Estados Unidos, hasta el punto de tener la capacidad de interrumpir el flujo de electricidad a los clientes. Como copresidentes del pasado año de los sistemas de resistencia cibernética del Foro Económico Mundial: grupo de trabajo público-privado sobre electricidad, hemos dedicado tiempo a analizar la manera de mitigar el riesgo de ataques cibernéticos que afecten a la infraestructura crítica de electricidad y definir el mejor enfoque para la resistencia cibernética en una comunidad eléctrica cada vez más compleja. En los últimos 10 años, el sector eléctrico ha padecido ataques cibernéticos importantes: el mapa a continuación ofrece una vista rápida no exhaustiva. En 2010, el virus informático Stuxnet ocasionó un daño considerable a las centrifugadoras nucleares de Irán, que fueron manipuladas para quedar fuera de control. Continúa navegando en https://es.weforum.org/agenda/. Vulnerabilidades en mouse y teclados Logitech permiten robar contraseñas Logitech cuenta con los teclados y ratones más vendidos de Internet. Algunos de sus modelos se encuentran entre los más vendidos de Amazon, como el B100 de 5 euros, el G203 Prodigy, o el M185, su popular ratón inalámbrico por 10 euros. Ahora, una vulnerabilidad afecta al protocolo inalámbrico usado por ratones, teclados y punteros para presentaciones de la compañía. Los ratones y teclados inalámbricos de Logitech llevan 10 años con graves vulnerabilidades. El investigador de seguridad Marcus Mengs ha descubierto que un gran número de teclados y ratones de Logitech son vulnerables a ataques mediante wireless. Su investigación sobre las conexiones wireless de los mencionados dispositivos ha puesto al descubierto numerosas debilidades. Estas vulnerabilidades afectan a teclados, ratones, y a punteros láser inalámbricos. Los fallos permitirían a un atacante espiar las pulsaciones de los teclados. Todo lo que el usuario escribe puede ser capturado y leído por un potencial atacante. También permitiría enviar cualquier comando si un dispositivo vulnerable está conectado a la máquina víctima. Marcus Mengs demuestra cómo infectar un sistema con un troyano controlado remotamente por radio. El uso de un canal de radio, implica que el ataque es incluso efectivo con máquinas que ni siquiera están conectadas a Internet. Continúa navegando en https://www.heise.de/ct/artikel/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
