Boletín nº 73 Noticias Seguridad en Comunidad Movistar Empresas
Puerta trasera oculta en el paquete javascript NPM De acuerdo a investigadores, el equipo del Administrador de paquetes del nodo (npm) acaba de evitar un desastre cuando descubrió y bloqueó la distribución de un mecanismo de puerta trasera ingeniosamente escondido dentro de un paquete de JavaScript. Este mecanismo de puerta trasera fue encontrado por expertos en seguridad informática en “getcookies”, un paquete npm nuevo para trabajar con cookies del navegador. El equipo de profesionales de npm que analizó este paquete, comento que “getcookies” contiene un sistema complejo para recibir comandos de un atacante remoto, y que podría apuntar a cualquier aplicación de JavaScript que haya incorporado esta biblioteca. El equipo investigador de seguridad informática explica: “La puerta trasera funcionaba analizando las request.headers HTTP proporcionadas por el usuario, buscando datos específicamente formateados que proporcionan tres comandos diferentes a la puerta trasera…” Fuente: noticiasseguridad.com. Sitios web de Drupal incluídos sitios del gobierno, hackeados para extraer criptomonedas Vulnerabilidad en Drupal CMS convirtió sitios web populares en Monero Mining Platform. El criptockacking se está convirtiendo en una plaga que afecta a consumidores en todo el mundo, y lo que es aún peor, los expertos no saben cómo lidiar con la situación. De acuerdo con una investigación realizada por el profesional en seguridad informática Troo Mursch sobre los paquetes defectuosos, más de 400 sitios web han sido atacados por hackers con crypto-jacking el pasado fin de semana. Estos sitios son vulnerables ya que utilizan una versión obsoleta del Sistema de administración de contenido de Drupal. Las victimas principales se encontraron en los EE. UU. Ya que se identificaron 123 sitios web de EE. UU. Francia en el segundo lugar con 26 sitios infectados, Canadá 19, Alemania 18 y Rusia 17. Investigadores comentaron que dentro de las víctimas se incluyen algunos sitios web de gobierno, incluido el gobierno de Chihuahua; la Administración de Ingresos de Turquía, y el Proyecto de Mejoramiento de la Calidad de la Educación Superior de Perú, Lenovo, el Zoológico de San Diego y los sitios web de las instituciones educativas de EE. UU. Fuente: noticiasseguridad.com Cómo hacer un ataque de adquisición de subdominio Las vulnerabilidades de adquisición de subdominios suceden siempre que un subdominio apunta a un servicio que se ha eliminado o removido. Esto puede permitir a un atacante configurar una página en el servicio que se estaba utilizando y dirigir su página a ese subdominio. Como ejemplo, si subdomain.example.com estaba apuntando a una página de GitHub y el usuario decidió eliminar su página de GitHub, un atacante podría crear una página de GitHub, agregar un archivo CNAME que contenga el subdominio.testing .com y reclamar el subdominio.testing . com. Fuente: noticiasseguridad.com Cómo hackear cualquier smart-auto con esta herramienta Ataques de denegación de servicio, reproducción/inyección de tráfico, codificando tus propias herramientas CAN Socket en python, ataques dirigidos contra los componentes de tu automóvil y transicionando esto para atacar un auto real con hardware. Hay opciones que pueden comenzar a hackear coches siguiendo un tutorial. Para comenzar, los investigadores de seguridad informática dicen que necesitas configurarte una instalación Ubuntu VMware y cargarlo. De manera opcional, también podría usar VM Kali Linux, sin embargo, puede tener problemas de copia y se cree que Kayak estaba dando problemas de instalación. También es sabido que Kali funciona bien con el auto virtual OpenGarages. Fuente: noticiasseguridad.com. 90% de las implementaciones Sap son vulnerables a la nueva vulnerabilidad Esta vulnerabilidad afecta a SAP Netweaver y puede ser explotado por un atacante remoto no autenticado que tenga acceso a la red del sistema. Al atacar esta vulnerabilidad, se podría obtener acceso irrestricto al sistema, pudiendo comprometer la plataforma y toda la información que contiene, extraer datos o apagar el sistema. La vulnerabilidad afecta a todas las versiones de SAP Netweaver. Dado que SAP Netweaver es la base de las implementaciones de SAP, 378,000 clientes en todo el mundo se ven afectados, dicen los investigadores. La vulnerabilidad existe dentro de la configuración de seguridad predeterminada en cada producto SAP basado en Netweaver. Incluso la suite de negocios digitales de próxima generación S/4HANA se ve afectada. Fuente: noticiasseguridad.com. Cambie su contraseña de Twitter de inmediato, el error expone las contraseñas en texto sin formato Twitter insta a todos sus 330 millones de usuarios a cambiar sus contraseñas, después de identificar que un error de software haya expuesto involuntariamente las contraseñas de sus usuarios al almacenarlas en texto legible en su sistema informático interno. La red de medios sociales reveló el problema en una publicación oficial del blog y en una serie de tweets de Twitter Support. Según Twitter CTO Parag Agrawal, Twitter contraseñas hash utilizando una función popular conocida como bcrypt, que reemplaza una contraseña real con un conjunto aleatorio de números y letras y luego la almacena en sus sistemas. Esto permite a la empresa validar las credenciales de los usuarios sin revelar sus contraseñas reales, al tiempo que las enmascara de una manera que ni siquiera los empleados de Twitter pueden verlas. Fuente: thehackernews. Evitar los enlaces seguros de Microsoft Office 365 Los investigadores de seguridad revelaron una forma de evitar la seguridad y eludir una característica de seguridad de Microsoft Office 365, diseñada originalmente para proteger a los usuarios contra el malware y los ataques de phishing. Apodada Safe Links, la característica se ha incluido en el software Office 365 como parte de la solución Advanced Threat Protection (ATP) de Microsoft que funciona reemplazando todas las URL en un correo electrónico entrante con URL seguras propiedad de Microsoft. Por lo tanto, cada vez que un usuario hace clic en un enlace proporcionado en un correo electrónico, primero lo envía a un dominio propiedad de Microsoft, donde la empresa verifica de inmediato la URL original para detectar cualquier cosa sospechosa. Si los escáneres de Microsoft detectan cualquier elemento malicioso, entonces advierte a los usuarios al respecto, y si no, redirige al usuario al enlace original. Fuente: thehackernews. APT28 hackea lojack software y los antivirus no pueden detectarlo Recientemente investigadores encontraron versiones corruptas del software legítimo LoJack que parece haber sido modificado a escondidas para permitir hackers dentro de las empresas que usan el servicio. Expertos en seguridad informática comentaron que los dominios encontrados dentro de las instancias infectadas de LoJack han estado vinculados previamente a otras operaciones llevadas a cabo por APT28, un grupo de ciberespionaje con sede en Rusia, vinculado a la inteligencia militar de la compañía. El grupo APT28 parece haber estado difundiendo instancias LoJack contaminadas. El software LoJack, es una aplicación que las empresas o los usuarios instalan en sus dispositivos que funciona como un faro y permite a los propietarios rastrear y localizar dispositivos en caso de robo. Los profesionales en seguridad informática de Arbor Networks dijeron haber encontraron aplicaciones LoJack que contenían una pequeña modificación en el binario de la aplicación apuntando al agente LoJack a un servidor de comando y control deshonesto (C & C). Esto nos dice que en lugar de informar al servidor LoJack central, los agentes de LoJack informaron y recibieron instrucciones de los dominios bajo el control de APT28. Las versiones de LoJack contaminadas probablemente sean distribuidas a través de spear-phishing. Los investigadores aun no han podido identificar cómo APT28 distribuyó estos binarios LoJack contaminados a los objetivos, pero creen que los hackers usaron correos electrónicos de spear phishing para engañar a las víctimas y así instalar las versiones maliciosas de LoJack en sus sistemas. Fuente: noticiasseguridad.com. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín semanal nº 30 Noticias Seguridad en Comunidad Movistar Empresas
* Una de cada 3 webs utiliza librerías JavaScript obsoletas y vulnerables El ecosistema JavaScript es el más extendido en las webs modernas y sus repositorios pueden llegar a contener más de 100.000 librerías diferentes, aunque las más utilizadas son, principalmente, jQuery, Angular, Handlebars, Bootstrap, Modernizr, Moment y LoDash. Sin embargo, tanta variedad de librerías está poniendo en peligro la seguridad de los usuarios y de los servidores de páginas web, ya que más del 37% de las páginas web utilizan librerías obsoletas o desactualizadas que ponen en peligro la seguridad del servidor. Si quieres saber más accede a este enlace. https://www.redeszone.net/2017/03/10/librerias-javascript-vulnerables/ * Malware preinstalado en teléfonos Al menos 36 modelos de teléfonos inteligentes de gama alta pertenecientes a empresas como Samsung, LG, Xiaomi, Asus, Nexus, Oppo y Lenovo, están siendo distribuidos con malware precargado. Estos dispositivos infectados se identificaron después de que CheckPoint realizó un análisis en estos en dispositivos Android. Se detectaron dos familias de malware en los dispositivos infectados: Loki y SLocker. http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/ * Detenido el 'hacker' que filtró los 'papeles de la Castellana' sobre familiares del rey Juan Carlos Agentes de la Policía Nacional han detenido en Tenerife a un hacker por atacar el servidor de una asesoría tributaria y hacerse con más de 40.000 documentos privados sobre familiares del rey Juan Carlos y otras grandes fortunas, los conocidos como los papeles de la Castellana que fueron publicados por varios medios en junio de 2016. Los agentes localizaron el origen de la intrusión informática y rastrearon la misma hasta llegar al domicilio del arrestado, en Tenerife. El detenido, quien presuntamente reveló información fiscal de importantes empresarios y grandes fortunas de España, se enfrenta a penas de prisión de hasta 5 años. Descargó de forma ilegal más de 40.000 documentos de importantes empresarios y grandes fortunas de España. http://www.20minutos.es/noticia/2982193/0/hacker-filtro-papeles-castellana-detenido-policia-rey-juan-carlos-datos-fiscales/ * ¿Qué hacer si publican una foto tuya en internet sin tu permiso? Busca al propietario del dominio y pídele que retire la imagen Denúncialo a la policía Conoce la ley ¿Deberían los niños tener derecho a vetar lo que sus padres publican de ellos en Facebook? http://www.bbc.com/mundo/noticias-37896303 * ¿Se equivoca Wikileaks? 14 cosas que hay que saber sobre el espionaje de la CIA Casi 9.000 documentos secretos del departamento cibernético de la CIA han sido filtrados esta semana por Wikileaks, que ha publicado una nota de prensa. One Hacker ha preguntado a tres de los grandes expertos mundiales, David Barroso de Countercraft, Sergio de los Santos de Eleven Paths y Mikko Hypponen, de F-Secure para conocer qué ocultan y qué hay de verdad y mentira en ellos. http://www.onemagazine.es/vault7-wikileaks-filtracion-espionaje-cia-analisis-de-hackers-y-expertos-ultima-hora * Microsoft publica 18 boletines de seguridad y soluciona 135 vulnerabilidades A pesar de las informaciones previas sobre la no publicación de boletines, este martes Microsoft ha publicado 18 boletines de seguridad (del MS17-006 al MS17-023) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft nueve de los boletines presentan un nivel de gravedad "crítico" mientras que los nueve restantes son "importantes". En total se han solucionado 135 vulnerabilidades (algunas de ellas en varios productos). Además se han corregido otras siete vulnerabilidades adicionales en Flash Player. http://unaaldia.hispasec.com/2017/03/microsoft-publica-18-boletines-de.html * Auditando la seguridad de los juguetes inteligentes Cuando empezaron a salir las noticias por todos lados (hasta medios nacionales se hicieron eco) sobre los juguetes que ponían en riesgo la privacidad de los niños, recordé la muñeca y busqué la aplicación (para iOS y Android), la bajé y empecé a analizarla de forma estática (basado en el código fuente) y dinámica (analizando la aplicación en ejecución), aunque la aplicación solicitaba una gran cantidad de permisos en el teléfono (cámara, internet, micrófono, alarmas, entre otros) solo revisando el código fuente y detallando el anuncio del juguete me di cuenta de su verdadero funcionamiento. Lo primero que me pareció raro es que pedía permisos de Internet, pero no hacia conexiones a servidores propios, lo que me causo curiosidad, me puse a revisar un poco más y me di cuenta que el permiso de Internet se usaba para el modulo de publicidad (admob) y de estadísticas del framework de desarrollo (unity), lo que me generó la pregunta ¿qué hacen con los datos recolectados por estos sistemas?, encontraría la respuesta literalmente en la palma de mi mano, presionando el botón “privacy policy” de la misma aplicación, donde a grandes rasgos nos dicen que van a recolectar información de nuestros hijos de diferentes formas, la podrán compartir con terceros dentro y fuera de los estados unidos y que podrán cambiar las políticas de privacidad cuando quieran. https://www.dragonjar.org/auditando-la-seguridad-de-los-juguetes-inteligentes.xhtmlBoletín semanal nº 12 Noticias Seguridad
* DROPBOX al desnudo: Los riesgos del intercambio de archivo en empresas Nuevamente Dropbox está en las noticias como una de las principales preocupaciones de inseguridad informática. A pesar de que la violación de datos en cuestión data de 2012, la empresa no se había percatado de la magnitud del problema, el robo de contraseñas de 68 millones de clientes. http://www.netmedia.mx/b-secure/dropbox-al-desnudo-los-riesgos-del-intercambio-de-archivo-en-empresas/ * Spotify investiga la posible infección con ‘malware’ de su versión gratuita Se recomienda, en primer lugar, no ejecutarlo o, como medida adicional, desinstalarlo del ordenador y ejecutar algún antivirus o antimalware para eliminarlo del aparato. Los usuarios han detectado un software malicioso que se podría estar expandiendo a través de la publicidad http://tecnologia.elpais.com/tecnologia/2016/10/05/actualidad/1475687384_392685.html * Yahoo Desactiva el reenvío automático de correo electrónico Yahoo! ha desactivado el reenvío de correo electrónico automática, una característica que permite a sus usuarios enviar una copia de los correos electrónicos entrantes de una cuenta a otra. La compañía se ha enfrentado a un montón de malas noticias en cuanto a su servicio de correo electrónico en la últimas semanas. El mes pasado, la empresa admitió una masiva violación de datos 2014 que expuso detalles de la cuenta de más de 500 millones de usuarios de Yahoo. Si esto no fue suficiente para que los usuarios abandonan el servicio, otra sorprendente revelación llegó la semana pasada que la empresa escanea los correos electrónicos de cientos de millones de sus usuarios, a petición de un servicio de inteligencia de Estados Unidos el año pasado. http://thehackernews.com/2016/10/yahoo-email-auto-forwarding.html * Nuevo malware en JavaScript apaga el ordenador cuando se cierra Recientemente, un grupo de investigadores de seguridad han detectado un nuevo malware escrito en este lenguaje de programación que se encarga automáticamente de cambiar la página de inicio del navegador (para cargarse automáticamente con tan solo abrir el navegador) y, además, cuenta con una serie de funciones que, en caso de intentar cerrar el proceso del malware, este apaga el ordenador por completo. http://www.redeszone.net/2016/10/10/nuevo-malware-javascript-apaga-ordenador-cuando-se-cierra/ * Troyano bancario de Android solicita selfie para conseguir tu Identificación Mientras que algunas compañías de tarjetas de pago Mastercard como han cambiado a autofotos como una alternativa a las contraseñas al verificar identificaciones de los pagos en línea, los hackers ya han comenzado a tomar ventaja de este nuevo métodos de verificación de seguridad. Los investigadores han descubierto un nuevo troyano bancario androide que se hace pasar sobre todo como complemento de vídeo, como reproductor de Flash, aplicación pornográficos, o códec de vídeo, y le pide a las víctimas enviar una autofoto. http://thehackernews.com/2016/10/android-banking-trojan.html * Los ciberdelincuentes están propagando malware a través de software de cifrado falso En los últimos años, los usuarios de Internet en todo el mundo están cada vez más conscientes de los problemas de privacidad y seguridad en línea, debido a la supervisión y vigilancia de masas por las agencias gubernamentales, por lo que adoptan el software y los servicios de cifrado. Pero resulta que los hackers están tomando ventaja de esta oportunidad mediante la creación y distribución de versiones falsas de herramientas de cifrado con el fin de infectar el mayor número posible de víctimas. Kaspersky Lab ha puesto de manifiesto un grupo avanzado amenaza persistente (APT), apodado StrongPity, que se ha puesto mucho esfuerzo en la orientación de los usuarios del software diseñado para la encriptación de datos y comunicaciones. http://thehackernews.com/2016/10/best-encryption-tools.html
