Noticias de Seguridad a nivel mundial: boletín nº 118
Vulnerabilidad en WhatsApp permite instalar spyware en teléfonos con solo realizar una llamada WhatsApp reveló la existencia de una vulnerabilidad crítica en la aplicación que permite instalar el conocido spyware Pegasus en dispositivos Android e iOS con solo realizar una llamada al número de teléfono que se busca comprometer. La vulnerabilidad ya fue reparada y la compañía lanzó un parche con la última actualización. De acuerdo a la información revelada el 13 de mayo, Facebook, propietario de WhatsApp, anunció oficialmente la existencia de una vulnerabilidad (CVE-2019-3568) de buffer overflow (o desbordamiento de búfer) en WhatsApp VOIP que permiten la ejecución remota de código en el dispositivo de la víctima cuando se logra enviarle al número de teléfono elegido como blanco de ataque paquetes de SRTP especialmente diseñados. En este sentido, para explotar el fallo el atacante solo necesita llamar a un dispositivo vulnerable. Además, la víctima ni siquiera necesita aceptar la llamada para que su equipo sea comprometido e incluso la llamada desaparece del registro, explicó Financial Times. Continúa navegando en https://www.welivesecurity.com/. 50.000 empresas que ejecutan software de SAP vulnerables a ataques Los investigadores afirman que hasta 50.000 empresas que han adoptado soluciones SAP pueden ser susceptibles a ataques cibernéticos debido a nuevas vulnerabilidades que apuntan a fallas de configuración en el software. Según el equipo de seguridad cibernética de los laboratorios de investigación Onapsis, los ataques denominados 10KBlaze que apuntan a dos componentes técnicos del software SAP se han lanzado recientemente y pueden llevar al "compromiso total" de las aplicaciones SAP. Las herramientas "10KBlaze" también podrían usarse para crear nuevos usuarios con privilegios arbitrarios, para realizar funciones comerciales como crear nuevos proveedores o pedidos de compra, en otras palabras, cometer fraude financiero y obtener acceso a las bases de datos de SAP o interrumpir operaciones de negocios. Sin ninguna forma de autenticación, los atacantes remotos solo necesitan algunos conocimientos técnicos y conectividad de red al sistema vulnerable para realizar un ataque. Todos los sistemas SAP NetWeaver Application Server (AS) y S / 4HANA, ya que utilizan una Lista de control de acceso en Gateway y un Servidor de mensajes, pueden estar en riesgo. Continúa navegando en https://www.zdnet.com/article/. Hackers están explotando vulnerabilidad en Microsoft Sharepoint Una auditoría de seguridad informática reveló que actores de amenazas están explotando activamente una vulnerabilidad de ejecución remota de código en algunas versiones de SharePoint Server para instalar la herramienta de hacking conocida como The China Copper. A pesar de que la vulnerabilidad ya había sido corregida, no todas las implementaciones de SharePoint habían sido actualizadas. La vulnerabilidad, identificada como CVE-2019-0604, afecta a todas las versiones desde SharePoint 2010 hasta SharePoint 2019; Microsoft corrigió la falla en febrero y lanzó parches de actualización en marzo y abril. “Después de la auditoría de seguridad informática descubrimos que un hacker que trate de explotar esta vulnerabilidad podría ejecutar código arbitrario en el grupo de aplicaciones de SharePoint”, mencionaron los especialistas. Según los reportes, para explotar esta vulnerabilidad un atacante necesita de un paquete de aplicaciones de SharePoint especialmente diseñado. Para explotar esta vulnerabilidad, los actores de amenazas emplearon la herramienta de hacking The China Chopper para acceder de forma remota a los servidores comprometidos para enviar comandos y administrar archivos en los servidores de las víctimas. Continúa navegando en https://noticiasseguridad.com/vulnerabilidades/. Morpheus, el procesador “imposible de hackear” Expertos del diplomado en seguridad en redes del IICS reportan el lanzamiento de una nueva arquitectura de procesador de computadora que podría redefinir la forma en la que un sistema se defiende contra las amenazas cibernéticas, dejando en el pasado el modelo de trabajo de actualizaciones y correcciones periódicas. Este nuevo chip, llamado Morpheus, bloquea potenciales ciber ataques empleando cifrado y organizando aleatoriamente los bits clave de su propio código unas 20 veces por segundo, sobrepasando por mucho la velocidad de cualquier hacker o herramienta de hacking conocida. “El enfoque actual para corregir fallas de seguridad ya debería ser considerado obsoleto”, mencionan los especialistas del diplomado en seguridad en redes. “Nuevo código es desarrollado día a día, mientras esto siga sucediendo, siempre habrá nuevas fallas y vulnerabilidades”, añadieron. Con Morpheus, aunque los hackers descubran vulnerabilidades, la información necesaria para explotar estas fallas habrá desaparecido del sistema objetivo en cuestión de segundos. El primer prototipo de este procesador se defendió de forma exitosa contra todas las variantes de ataque de flujo conocidas; esta es una de las técnicas de ciberataque más peligrosas y utilizadas por los hackers. Esta tecnología podría usarse para múltiples propósitos, desde laptops, PCs de escritorio e incluso dispositivos de Internet de las Cosas (IoT), que requieren de más y mejores medidas de seguridad cada día. Continúa navegando en https://noticiasseguridad.com/ Filtración de código fuente confidencial de Samsung Una auditoría de seguridad informática ha revelado que una gran cantidad de información confidencial se ha expuesto al público de forma indebida en GitLab; acorde a los expertos, entre la información comprometida se encuentran código fuente, credenciales de acceso y claves confidenciales para varios proyectos privados. Una de las implementaciones comprometidas ha sido usada por personal de Samsung para trabajar en el código de algunos proyectos de la compañía, como Samsung SmartThings. Después de la auditoría de seguridad informática, se descubrieron decenas de proyectos de codificación interna de Samsung expuestos en GitLab debido a una configuración de seguridad errónea (no estaban protegidos con contraseña). Esto quiere decir que cualquiera podía acceder a ellos e incluso descargar el código fuente de SmartThings, la plataforma para smarthome desarrollada por Samsung y los certificados privados para la implementación de SmartThings en iOS y Android. Acorde a los expertos, muchas de las carpetas expuestas almacenaban registros y datos analíticos para los servicios de SmartThings y Bixby de Samsung, al igual que los tokens privados de GitLab de varios empleados almacenados en texto simple. Continúa navegando en https://noticiasseguridad.com/. Si estás interesado en noticias de ciberseguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 65 Noticias Seguridad en Comunidad Movistar Empresas
Detectada campaña de phishing que suplanta a Movistar Se ha detectado una campaña tipo phishing, a través de correo electrónico, que suplanta a la web de correo Movistar. Desde el equipo de seguridad de Telefónica se ha reportado su retirada. Mediante técnicas de ingeniería social, el email intenta confundir al usuario para que pulse en el enlace y redirigirle a una página web maliciosa que suplanta a la de Movistar, con el objetivo de capturar las credenciales del usuario (dirección de correo electrónico y contraseña). Fuente: comunidad.movistar.es RedDrop, un nuevo spyware para Android que graba todo lo que dices delante de tu smartphone Una firma de seguridad británica daba a conocer RedDrop, un nuevo software espía para Android capaz de grabar todo lo que se dice delante de nuestro smartphone y subirlo a distintos servidores de almacenamiento, principalmente Google Drive y Dropbox. Grabar las conversaciones no es la única finalidad de este malware. Además de esto, también se encarga de suscribir a las víctimas a servicios SMS Premium y a robar otro tipo de archivos almacenados dentro del dispositivo, como fotos, vídeos e incluso los contactos de la agenda, sin que el usuario pueda ser consciente de ello. Fuente : redeszone.net El Incibe alerta de un fallo de seguridad en uTorrent que infecta ordenadores El Instituto Nacional de Ciberseguridad (INCIBE) ha descubierto un fallo de seguridad en las versiones de escritorio Windows y web del software de descargas uTorrent que permite a los atacantes descargar y ejecutar código remoto para infectar o tomar el control de un ordenador. Únicamente es necesario que el usuario acceda a cualquier página web que los cibercriminales hayan diseñado para verse afectado por esta vulnerabilidad, ha informado este jueves el INCIBE en un comunicado. Se trata de un problema de "DNS rebinding", que permite transformar el equipo atacante en un "proxy" de red. Esto significa que todas las conexiones pasaran en primer lugar por el atacante, pudiendo este ver y manipular todos los datos que recibe y ofreciendo la posibilidad de realizar descargas de software malicioso, ejecutar código remoto y revisar el historial de navegación. Fuente: 20minutos.es Apple traslada datos de iCloud y claves de cifrado para usuarios chinos a China Apple finalmente acordó abrir un nuevo centro de datos chino el próximo mes para cumplir con la última ley de protección de datos controvertida del país. Apple ahora moverá las claves criptográficas de sus usuarios chinos de iCloud en centros de datos administrados por una empresa estatal llamada Cloud Big Data Industrial Development Co, a pesar de las preocupaciones de los activistas de derechos humanos. En 2017, China aprobó una Ley de seguridad cibernética que requiere que los "operadores de infraestructura de información crítica" almacenen los datos de los usuarios chinos dentro de las fronteras del país, lo que probablemente forzó a Apple a asociarse con el nuevo centro de datos chino. Esta es la primera vez que Apple va a almacenar las claves de cifrado necesarias para desbloquear las cuentas de iCloud de sus usuarios fuera de los Estados Unidos. Fuente: Thehackernews.com Cellebrite crea un método para desbloquear cualquier iOS y otros modelos Después de que Apple rechazó ayudar a acceder a los datos de desbloqueo del iPhone 5c, se dijo que el FBI pagó un millón de dólares a una empresa privada para hacerlo. Ahora, parece que la agencia federal ya no tendrá que luchar contra Apple porque la empresa israelí Cellebrite afirma que ha creado un método capaz de desbloquear cualquier iPhone en el mercado, incluyendo el último iPhone X. Desde el año 1999, Cellebrite proporciona herramientas digitales forenses y software para teléfonos móviles a sus clientes, que también incluye el gobierno de los Estados Unidos. Uno de sus productos principales es el Universal Forensic Extraction Device (UFED) que está diseñado para ayudar a los investigadores a extraer todas las contraseñas de teléfonos móviles. Fuente: blog.seg-info.com.ar Los piratas informáticos pueden añadir una firma digital al malware, aunque les sale demasiado caro En los últimos meses hemos podido ver cómo una gran cantidad de malware ha empezado a incluir firmas digitales legítimas, así como certificados SSL empresariales en páginas web maliciosas, con el fin de poder engañar incluso a las medidas de seguridad más avanzadas para pasar desapercibidas y poder poner en peligro la seguridad de los usuarios. Fuente: redeszone.net El falso software ionCube llega a cientos de sitios Cientos de sitios web han sido infectados con malware que se hace pasar por legítimos archivos codificados como ionCube, advierte SiteLock. Los archivos maliciosos se descubrieron inicialmente en los directorios centrales de un sitio de WordPress, presentando patrones de nombres generalmente asociados con el malware, a saber, "diff98.php" y "wrgcduzk.php". Debido a que los archivos ofuscados aparecen como si hubieran sido codificados con ionCube, los investigadores llamaron a la amenaza ionCube malware. ionCube es una antigua y poderosa tecnología de ofuscación de PHP que se puede utilizar para codificar archivos PHP basados en texto para ocultar la propiedad intelectual. Debido a los costos de licencia, ionCube generalmente no se usa con fines maliciosos. Fuente: securityweek.com Así te hackean la tostadora para minar criptomonedas Las criptomonedas han protagonizado una de las revoluciones económicas con más atención de los últimos años. Desde los que las defienden a ultranza hasta a aquellos que las califican una y otra vez de peligrosa burbuja, todos tienen razones de peso para defender su opinión. Lo que es incuestionable es que una de sus características, el anonimato del dueño de las divisas digitales, las hace también muy codiciadas para aquellos que están al margen de la ley. El atractivo que han encontrado en ellas los inversores lo han hallado también los piratas informáticos, que han desarrollado sistemas para minar criptomonedas, pues es así como se crean. Sin embargo, dado que muchas de ellas son finitas, se hace cada vez más necesario una mayor potencia energética para completar el proceso. Para conseguirlo, los hackers están valiéndose de los dispositivos conectados, nacidos al amparo del Internet de las Cosas, con algunos tan diversos como una webcam, una tostadora o un termostato. El sistema que utilizan es similar al de los famosos ataques de denegación de servicio, o Ddos. Fuente: elindependiente.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana! ÁngelesBoletín nº 60 Noticias Seguridad en Comunidad Movistar Empresas
* Ransomware SamSam ataca organismos públicos y hospitales Expertos en seguridad informan que un número importante de instituciones (sobre todo estadounidenses) se han visto afectadas por este ransomware, bautizando con el nombre SamSam. De nuevo, los ciberdelincuentes centran sus esfuerzos en entidades públicas. Parece que el negocio de los usuarios particulares ha quedado olvidado, o al menos en un segundo plano. Para estos parece que ha quedado reservado el minado de criptomonedas, algo menos “dañino” y que el final produce más beneficios. Volviendo con la amenaza que nos ocupa, parece que algunos hospitales habrían pagado incluso el rescate solicitado por recuperar el acceso a los datos afectados, incluso disponiendo de una copia de seguridad que permitiría recuperar una cantidad importante de la información afectada. Expertos en seguridad ya hablan de una campaña del ransomware SamSam activa y que se prolongará durante las próximas semanas. Encontrarás toda la información en este artículo. * Spyware Skygofree Llamado así por los expertos de Kaspersky Lab, el spyware se ha utilizado desde el 2014 para atacar Smartphones, robar chats de WhatsApp, grabar conversaciones y espiar los mensajes de texto de las víctimas, así como también llamadas telefónicas, audios, eventos de agenda y ubicación geográfica de dispositivos . El malware generalmente se propaga a través de sitios web comprometidos que imitan a los operadores móviles más conocidos, incluidas las empresas británicas Three y Vodafone. Si bien el código interno del malware ha cambiado a lo largo de los años, los investigadores dicen que se puede utilizar para dar a los hackers control remoto total del dispositivo infectado.Tienes toda la información en este artículo. * Una nueva variante de Satori Botnet ataca a plataformas de Ethereum ENISA ha publicado dos nuevos informes, los cuales recogen las herramientas y metodologías para apoyar la cooperación entre los equipos de respuesta ante incidentes de seguridad informática (CSIRT nacionales o gubernamentales) y las autoridades policiales, por un lado; y los aspectos legales y organizativos para mejorar la cooperación entre ambas instituciones, por otro. Estos documentos abordan los aspectos técnicos, legales y organizativos de la cooperación entre los CSIRT y las autoridades policiales, con recomendaciones para ayudarlos a cooperar más estrechamente en la lucha contra el ciberdelito. Según los datos recopilados en ellos, se confirma que los CSIRT y las autoridades policiales a menudo intercambian información durante la gestión de la investigación de incidentes, tanto formal como informalmente, y que la confianza es el factor clave de éxito en esa cooperación. Más información aquí. * Skyfall y Solace, los dos primeros ataques informáticos basados en Meltdown y Spectre Vulnerabilidades, registradas como CVE-2017-5175, CVE-2017-5753 y CVE-2017-5754, suponen un grave riesgo para la seguridad de los sistemas, sin embargo, son vulnerabilidades teóricas ya que, aunque demostradas, no se habían conseguido explotar, hasta ahora. Siguiendo a Spectre con nombres de películas de James Bond, hace algunas horas ha aparecido una nueva página web en la que se habla de Skyfall y Solace, dos nuevos ataques informáticos, de los que aún no se ha revelado información por motivos de seguridad, que se explotan a través de las vulnerabilidades de los procesadores de Intel, AMD y ARM. Como podemos ver en dicha página web, la información sobre estos ataques informáticos está bajo embargo, por lo que, de momento, no se sabe nada al respecto. Si quieres acceder a la noticia completa pulsa en este enlace. * Se descubre en Rusia un fraude masivo que implicaba a los surtidores de gasolina Las fuerzas de la ley de Rusia han detectado un fraude masivo que consistía en una alteración de lo que se pagaba en las gasolineras. El asunto ha implicado a decenas de empleados que instalaron programas maliciosos en los surtidores para que introdujeran en los vehículos menos combustible del que luego pagaba los clientes. En la estafa masiva, los empleados desviaron el coste entre un 3 y un 7 por ciento. El Servicio Federal de Seguridad (SFS) de Rusia encontró los programas maliciosos a partir de una serie de clientes que se quejaron de haber perdido combustible sin que hubiese una razón técnica detrás (insinuando un robo). En los casos más extremos se detectó un peso un 7% inferior al teóricamente repostado. El SFS ha reconocido que los programas maliciosos introducidos en los surtidores eran difíciles de detectar, aunque a partir de los clientes que denunciaron la posible estafa empezaron a tirar del hilo hasta llegar a su creador: el hacker Denis Zayev. Las autoridades también han comentado que los surtidores fraudulentos estaban muy extendidos en la zona sur del país. Má información aquí. * Microsoft suspende los parches de Meltdown y Spectre porque dejan de arrancar Desde el pasado 4 de enero, un hilo dentro del foro oficial de Microsoft se ha ido llenando de quejas de usuarios con equipos con procesadores AMD. Tras instalar las actualizaciones de seguridad contra las vulnerabilidades Meltdown y Spectre, sus ordenadores no arrancaban. Al encenderse se cuelgan y muestran el logo de Windows sin pasar de esa pantalla, apareciendo más tarde el error 0x800f0845. Entre los usuarios ha reinado el desconcierto estos días, al no saber si podían estar sufriendo incompatibilidades similares a las provocadas por algunos antivirus, llegando a mostrar pantallazos azules, hasta que Microsoft se ha pronunciado en una nota aclaratoria. Más información aquí. * El malware Fruitfly ha espiado a usuarios de Mac durante 13 años Las autoridades estadounidenses han presentado cargos sobre un hombre de 28 años oriundo de Ohio, acusado de haber creado e instalado spyware en miles de computadoras durante 13 años. Phillip R. Durachinsky, de North Royalton (Ohio), está acusado de haber utilizado malware de Mac, conocido como Fruitfly, para controlar de forma remota las computadoras de sus víctimas, cargar y acceder a archivos, tomar capturas de pantalla, cargar las pulsaciones en el teclado, y espiar a través de cámaras web. Más info en este enlace. * Not Mining: Buscador de webs que minan criptomonedas Con el auge actual de las criptomonedas ha llegado un nuevo problema para todos los que navegamos la web: el uso no autorizado de nuestros recursos para minar las divisas digitales. Hemos visto una enorme cantidad de amenazas y métodos diferentes: ya sean páginas web, malware, extensiones, incluso redes WiFi públicas. Varias soluciones han aparecido mientras tanto, extensiones como NoCoin ofrecen una barrera protectora, algo que navegadores como Opera ya están implementando por defecto. Pero es una iniciativa creada por dos españoles la que busca abordar el problema de otra manera, ofreciendo su propio buscador de webs que minan criptomonedas: NotMining. NotMINING está en sus etapas iniciales de vida. Es un proyecto de José C. García Gamero, y Adam K. Martín, dos estudiantes españoles de administración de sistemas informáticos en red. Además de la web con el buscador, cuentan con una extensión para Chrome y un complemento para Firefox. La diferencia entre algo como NoCoin o la función del navegador Opera, es que NotMining busca directamente el código en la web analizada, sin listas negras de dominio, con lo cual afirman que la posibilidad de que haya un falso positivo o un falso negativo es menor. Accede a la información completa aquí. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
