Boletín semanal nº 34 Noticias Seguridad en Comunidad Movistar Empresas
* El perímetro de seguridad ha desaparecido, el phishing está triunfando y el ransomware está desenfrenado Los usuarios hacen cosas sin tener en cuenta la importancia de la seguridad, los administradores de TI también, y los criminales son cada vez más inteligentes. Las respuestas se limitan a lo elemental y a la adopción de nuevas tecnologías como la inteligencia artificial y el aislamiento. Algo anda totalmente mal con la ciberseguridad. Han sido dos décadas de inversión en hardware, software y servicios de seguridad, ¿y qué tienen que mostrar las empresas y los gobiernos? lo que hemos visto sido una continua sucesión de brechas de seguridad. https://diarioti.com/el-perimetro-de-seguridad-ha-desaparecido-el-phishing-esta-triunfando-y-el-ransomware-es-desenfrenado-una-perspectiva-realista-sobre-ciberseguridad/104011 * El 30% del malware es `0-day´, indetectable por antivirus tradicionales La firma de seguridad capturó 18,7 millones de variantes de malware en el cuarto trimestre de 2016. Algunos de los clientes contaban con un antivirus tradicional basado en firmas y con el nuevo servicio de prevención de malware APT Blocker de la compañía. El antivirus tradicional capturó 8.956.040 variantes de malware, mientras que el nuevo sistema basado en el comportamiento capturó además otras 3.863.078 variantes de software malicioso que los antivirus legacy no detectaron. APT Blocker ejecuta aplicaciones potencialmente peligrosas en una sandbox en la nube y realiza análisis de comportamiento para detectar el malware. http://cso.computerworld.es/cibercrimen/el-30-del-malware-es-0day-indetectable-por-antivirus-tradicionales * Nueva versión de iOS para evitar grave vulnerabilidad en el chip WiFi Apple publicó un conjunto de actualizaciones para múltiples productos, incluyendo la nueva versión iOS 10.3 para sus dispositivos móviles (iPad, iPhone, iPod...). Ahora publica la versión 10.3.1 destinada a solucionar una grave vulnerabilidad en el chip WiFi. http://unaaldia.hispasec.com/2017/04/nueva-version-de-ios-para-evitar-grave.html * Hallan 40 vulnerabilidades zero-day en los televisores Samsung con Tizen El investigador en seguridad Amihai Neiderman ha descubierto que Tizen, el sistema operativo de Samsung incluido en sus televisores inteligentes, relojes inteligentes y en algunos de sus smartphones de bajo coste, contiene al menos 40 vulnerabilidades zero-day que dejan totalmente comprometida su seguridad y en consecuencia la confiabilidad que pueda depositar el usuario. http://muyseguridad.net/2017/04/05/40-zero-day-televisores-samsung-tizen/ * El Touch ID no es tan seguro como parece según unos investigadores de Nueva York En las simulaciones llevadas a cabo, los investigadores fueron capaces de desarrollar un conjunto de "MasterPrints" artificiales que podrían coincidir con impresiones reales similares a las utilizadas por los dispositivos hasta en un 65% del tiempo. Los investigadores no probaron estos datos con dispositivos reales, por lo que otros expertos han indicado que en condiciones reales la tasa de acierto sería menor. Sin embargo, las conclusiones plantean un escenario lleno de preguntas sobre la eficacia de la seguridad de huellas digitales en este tipo de dispositivos. http://www.seguridadapple.com/2017/04/el-touch-id-no-es-tan-seguro-como.html * La asombrosa historia de los reclusos que construyeron dos ordenadores dentro de una prisión Tan asombroso como increíble que incluso daría para guión de película o al menos serie de televisión. Y es que se acaba de descubrir que dentro de la Institución Correccional de Marion, en Ohio, una prisión de baja seguridad con capacidad para 2.500 reclusos, un par de presos construyó dos ordenadores con todo y conexión a internet, lo que les permitió seguir delinquiendo aún tras las rejas. https://www.xataka.com/seguridad/la-asombrosa-historia-de-los-reclusos-que-construyeron-dos-ordenadores-dentro-de-una-prision * MouseJack o cómo comprometer un ordenador "secuestrando" un ratón inalámbrico Hoy vamos a ver una de esas vulnerabilidades que llaman la atención por su originalidad y cuya repercusión incluso deriva en la creación de una página web con su nombre: http://www.mousejack.com/. Se trata de MouseJack descubierta hace más o menos un año por el equipo de Bastille y es una clase de vulnerabilidades que afecta a la gran mayoría de los teclados y ratones inalámbricos, no Bluetooth. Estos periféricos están 'conectados' al ordenador usando un transceptor de radio, comúnmente un pequeño dongle USB. Dado que la conexión es inalámbrica y los movimientos del ratón y las pulsaciones de teclas se envían por aire, es posible comprometer el PC de una víctima mediante la transmisión de señales de radio especialmente diseñadas utilizando un dispositivo que cuesta tan sólo unos 15€ aproximadamente. http://www.hackplayers.com/2017/04/mousejack-o-como-comprometer-un-raton-wifi.html * Nuevos exploits para todas las versiones de Windows publicados por #ShadowBrokers El grupo ShadowBrokers lanzó un nuevo conjunto de herramientas de hacking para Windows que presuntamente fueron robadas a la NSA y funcionan contra casi todas las versiones de Windows, desde Windows 2000 y XP hasta Windows 7 y 8, y sus variantes para servidor Windows Server 2000, 2003, 2008, 2008 R2 y 2012 (excepto Windows 10 y Windows Server 2016). Estos exploits podrían dar a casi cualquier persona con conocimientos técnicos la capacidad de ingresar a millones servidores Windows. "De las tres explotaciones restantes: EnglishmanDentist, EsteemAudit y ExplodingCan, ninguna se reproduce en las plataformas soportadas, lo que significa que los clientes que ejecutan Windows 7 y versiones más recientes de Windows o Exchange 2010 y versiones más recientes de Exchange no están en riesgo" dijo Microsoft. http://blog.segu-info.com.ar/2017/04/nuevos-exploits-para-todas-las.html * Monero, la alternativa a Bitcoin que se ha convertido en la divisa de los criminales Se trata de la criptodivisa que más creció en 2016, aunque lo hizo gracias a su popularidad en la internet oscura. A pesar de existir desde el año 2014, ha sido ahora cuando el uso de Monero en los mercados ilegales de armas y drogas de la 'deep web' han hecho despegar a esta moneda virtual, tristemente convertida en la divisa favorita de los delincuentes a causa de su total anonimato. “A pesar de que Bitcoin se empezase a usar en la ‘deep web’, porque no es necesario dar tu nombre y apellidos para tener un monedero de bitcoines, lo cierto es que no fue diseñada para eso. Sin embargo, Monero sí”, explica Alberto Gómez Toribio, director de tecnología de la ‘startup’ especializada en criptodivisas Clluc. En concreto, la principal diferencia entre una moneda y otra es que la creada en 2014 hace que las transacciones sean totalmente opacas: no hay forma alguna de conocer cuánto dinero se mueve o en qué dirección lo hace. http://www.eldiario.es/hojaderouter/internet/monero-criptomoneda-mercado_negro-criminalidad_0_610688987.htmlNoticias de Seguridad a nivel mundial: boletín nº 110
Formjacking: la nueva amenaza que hace temblar a las tiendas on-line Se llama Formjacking y es la nueva amenaza silenciosa que ya está comprometiendo la seguridad de cientos de tiendas on-line de todo el mundo. Según el nuevo informe anual sobre amenazas informáticas publicado por Symantec, esta técnica se ha convertido en una nueva mina de oro para los cibercriminales, ya que les permite enriquecerse rápidamente sin demasiado esfuerzo. ¿Pero en qué consiste exactamente? El formjacking pasa por trasladar el concepto de cajero manipulado, al mundo virtual. Frente a la manipulación física de un cajero clásico, en el mundo on-line los ciberdelincuentes inyectan código malicioso en una tienda on-line para robar los detalles de las tarjetas de pago de los compradores. Entre los afectados por esta técnica, la compañía de seguridad destaca los casos de multinacionales como British Airways o TicketMaster, si bien asegura, son las tiendas más pequeñas las más expuestas a este tipo de ataques. De hecho Symantec afirma que de media, 4.800 sitios web únicos se ven comprometidos por código de formjacking cada mes. La empresa asegura que bloqueó más de 3,7 millones de ataques sobre puntos finales en 2018. Más información en https://www.muyseguridad.net/ GHIDRA, la herramienta gratuita de la NSA, ya tiene un bug GHIDRA v.9.0 es la nueva herramienta de análisis y reversing de binarios gratuita, publicada estos días en la conferencia RSA y creada por la NSA. En cierta manera compite por el mercado de la conocida IDA. Ghidra funciona sobre Windows, Mac y Linux. Instalar este framework es tan simple como descomprimir el archivo ZIP de la descarga en nuestro equipo. El único requisito para el correcto funcionamiento del software es tener instalada la versión 11 de Java Development Kit o superior. La curiosidad es que a pocos minutos de ser publicada, Matthew Hickey ha encontrado un grave problema de seguridad. Establece el JDWP en modo debug y se pone a la escucha en el puerto 18001 de todas las interfaces. JDWP (Java Debug Wire Protocol) permite ejecutar código arbitrario en el sistema, por lo que, al quedar accesible en cualquier red el sistema queda expuesto. Arreglarlo es sencillo, modificando en la línea que lanza JDWP, el asterisco por 127.0.0.1 en el script que lo lanza. Más información en https://www.theregister.co.uk/ Nueva vulnerabilidad afecta a todas las CPUs Intel, no se puede parchear y no afecta a AMD Después de que Spectre y Meltdown estrenara una larga lista de vulnerabilidades de seguridad en las CPUs de Intel, hoy seguimos sumando para bingo con Spoiler, la última vulnerabilidad descubierta por el Instituto Politécnico de Worcester y la Universidad de Lübeck, que afecta a todas las CPU de Intel, desde las CPU Intel Core de 1ª Generación, que llegaron a mediados de 2006, hasta las más recientes, que incluye la 9ª Generación. Intel Spectre Next Generation Spectre NG 0. Según el informe, el Instituto Politécnico de Worcester y la Universidad de Lübeck ha descubierto un nuevo fallo en la microarquitectura que revela información critica acerca del mapeo de páginas físicas en procesos del espacio de usuarios. “El agujero de seguridad puede ser explotado por un conjunto limitado de instrucciones, que es visible en todas las generaciones de Intel a partir de la primera generación de procesadores Intel Core, independientemente del sistema operativo empleado y también funciona desde máquinas virtuales y entornos de espacio aislado. Más información en https://elchapuzasinformatico.com/ Zero-Day en Google Chrome permite la ejecución remota de código La vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y Linux, habría estado siendo aprovechada por atacantes. Clement Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución arbitraria de código en la máquina de la víctima, para así tomar su control. Aunque no se han revelado detalles, según Google el fallo habría estado siendo aprovechado por atacantes. Desde Google han decidido restringir los detalles de la vulnerabilidad hasta que la mayoría de usuarios hayan actualizado; lo único que se conoce de momento de este fallo de corrupción de memoria, es que se produce tras intentar acceder a memoria que ya ha sido liberada ("use-after-free"), y que afecta al componente API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona desde la máquina del usuario. Debido a la alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y MacOS, normalmente estas actualizaciones se encuentran activadas por defecto. Más información en https://unaaldia.hispasec.com/ Desconectados a nivel mundial: Facebook e Instagram estuvieron caídos y WhatsApp tuvo problemas En un miércoles de terror para las comunicaciones y el uso de las redes sociales, WhatsApp se sumó a las fallas de Facebook e Instagram:vusuarios de todo el mundo reportaron problemas con el servicio de mensajería durante 10 horas. Más información en https://tn.com.ar/tecno/f5. App de identificador de llamadas expone información de millones de usuarios La filtración de datos se relaciona con la deficiente seguridad de una implementación de MongoDB. La app de identificador de llamadas Dalil, desarrollada en Arabia Saudita, ha estado filtrando la información de sus usuarios a causa de su implementación de MongoDB, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Más de 5 millones de registros han permanecido expuestos en línea por alrededor de diez días. La base de datos fue descubierta por un equipo de expertos en seguridad en redes; los expertos trataron de contactar a la compañía sobre el incidente, aunque esta tarea se ha complicado. “Esta app es usada principalmente por habitantes de Arabia Saudita, Egipto, Palestina e Israel. El motivo de la exposición es que la implementación de MongoDB no contaba con una contraseña”, mencionan los expertos en seguridad en redes. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Fuerte incremento de los ataques dirigidos
Se ha detectado, desde el Security Cyberoperations Center de Telefónica, un fuerte incremento de los ataques dirigidos a empresas utilizando el correo electrónico. El contenido malicioso de estos ataques es, cómo no, Ransomware. El mecanismo es similar en todos los casos: se recibe, en varias de las direcciones de correo electrónico de la empresa, un correo electrónico con asuntos que en muchos casos tienen que ver con la actividad concreta de la empresa, un cuerpo de mensaje bastante bien diseñado, en español o en inglés, y en todos los casos, un adjunto que puede ser de diversos tipos: PDF, DOC, XLS... El contenido de estos adjuntos siempre es malicioso y tiene como objeto descargar un programa de Ransomware, ejecutarlo en el equipo y bloquearlo, para posteriormente solicitar un rescate económico. Hay varias características en esta nueva oleada de ataques que recomiendan estar alerta: El ataque se envía desde direcciones reales registradas en servicios de correo habituales, como Gmail. Los correos están escritos en un castellano o inglés bastante correcto, y con una maquetación bastante buena. El contenido incluye ganchos bastante realistas, que en muchos casos tienen relación con la actividad de la empresa: facturas pendientes, pagos recibidos, información de proyectos supuestamente relacionados con la empresa, recepción de un paquete de mensajería, etc... Los destinatarios son direcciones reales de la empresa, suelen recibirse los mismos correos en varios buzones distintos de la misma empresa. Cambian rápidamente: cada día crean un nuevo gancho, con nueva maquetación y con una versión distinta del Ransomware, y lo envían a diversas direcciones de la empresa. Dadas las características de estos ataques por oleadas, los sistemas de filtrado de correo habituales no siempre son capaces de detectarlos y bloquearlos. La rapidez con la que mutan los ataques, con nuevas versiones cada día, y empleando direcciones de correo válidas y envíos de volumen reducido, hacen que los motores antispam no los detecten. Tampoco los motores antimalware basados en firmas que incorporan estos servicios de filtrado son capaces de detectar estas amenazas zero-day, especialmente cuando todavía no ha sido identificado el ataque e incorporado a los ficheros de firmas. Además de las recomendaciones habituales (extremar la prudencia y no abrir ningún correo electrónico de fuentes desconocidas, especialmente si lleva adjuntos que no estás esperando), se recomienda especialmente la contratación de algún sistema avanzado de protección del correo electrónico. Telefónica ofrece a las empresas, el servicio Tráfico Limpio de Correo, con Protección contra amenazas avanzadas (ATP en sus siglas en inglés) que incorpora motores avanzados, capaces de detectar estos ataques. Se basa en tecnología de sandboxing de última generación que evita las técnicas evasivas habituales en los ataques con Ransomware, y con inspección de código a bajo nivel. Si necesitas más información, no dudes en ponerte en contacto con nosotros o con tu comercial ¡y te ayudaremos!Boletín semanal nº 14 Noticias Seguridad
* Blockchain La Agencia de Proyectos de Investigación Avanzados de Defensa (DARPA) de los Estados Unidos de América estaría evaluando el potencial del uso de Blockchain para resguardar información clave en varios sistemas operativos. El hecho de utilizar Blockchain se reduce básicamente a un concepto conocido como “integridad de la información”, que es básicamente cuando es posible identificar cuándo un sistema o un pedazo de información ha sido visto o modificado. http://www.diariobitcoin.com/index.php/2016/10/12/el-ejercito-de-estados-unidos-esta-investigando-la-tecnologia-blockchain * Rowhammer hacking de RAM dinámica Puede que hayáis escuchado hablar de Rowhamer.js, un agujero de seguridad que muchos describen como irreparable. Se trata de un fallo encontrado en la forma de trabajar en la memoria. Es decir, es el primer ataque que, con software, es capaz de explotar un fallo en el hardware. Esto significa que no existe un código que reparar, porque el problema está en las piezas. Es un ataque muy listo y aterrador, pero también complicado de lanzar. Y es, en parte, culpa de nuestro deseo por conseguir dispositivos más rápidos. http://www.elandroidelibre.com/2016/10/rowhammer-fallo-seguridad-android.html * WhatsApp Video Calling para Android Ahora parece que WhatsApp está lanzando una característica para las nuevas versiones beta de su aplicación para Android: video llamada. La nueva versión beta 2.16.318 de WhatsApp ofrece la posibilidad a los usuarios de realizar videollamadas gratuitas, aunque no está claro, en este momento, si la función de videollamada de WhatsApp proporciona cifrado de extremo a extremo. * Actualización de Adobe Flash Player Esta actualización, publicada bajo el boletín APSB16-36 resuelve la vulnerabilidad con CVE-2016-7855, que según informa Adobe se está empleando actualmente en ataques dirigidos contra usuarios con Windows versiones 7, 8.1 y 10. El problema reside en un uso de memoria después de liberarla que podría permitir la ejecución remota de código. http://unaaldia.hispasec.com/2016/10/actualizacion-de-adobe-flash-player.html * Secuestrar casi cualquier drone a medio vuelo con un minúsculo gadget El investigador de seguridad Jonathan Andersson ha ideado un pequeño hardware, llamado Icarus, que puede secuestrar una variedad de drones populares a medio vuelo, permitiendo que los atacantes bloqueen al dueño y le den un control total sobre el dispositivo. Andersson, que es el gerente de la división TippingPoint DVLab de Trend Micro, demostró este nuevo truco en la conferencia de seguridad PacSec de este año en Tokio, Japón. * Técnica de inyección de código puede atacar potencialmente todas las versiones de Windows Los expertos de seguridad de EnSilo han detectado una nueva vulnerabilidad que afecta por igual a todas las versiones de Windows, y de la que no nos podemos proteger, que ellos han denominado como AtomBombing. Este fallo de seguridad ha recibido este nombre debido a que se explota a través de las Atom Tables y Async Procedure Calls (APC) del sistema operativo para facilitar el almacenamiento y el acceso a los datos entre aplicaciones. https://www.helpnetsecurity.com/2016/10/28/code-injection-windows-atombombing/ * Google revela un Zero-Day de Windows crítico ¡todos los usuarios de Windows sean vulnerables¡ Es una vulnerabilidad de escalamiento de privilegios locales que existe en el kernel del sistema operativo Windows. Si se explota, la falla puede utilizarse para escapar de la protección de la Sandbox y ejecutar código malicioso en el sistema comprometido. El defecto "puede ser activado a través del sistema win32k.sys llamar NtSetWindowLongPtr () para el índice GWLP_ID en un identificador de ventana con GWL_STYLE establece en WS_CHILD," Neel Mehta, de Google y Billy Leonard dijo en un blog. * Hacker adolescente arrestado por interrumpir el servicio 911 con ataque DDoS Meetkumar Hiteshbhai Desai descubrió una vulnerabilidad de iOS que podría ser explotado para manipular dispositivos, incluyendo activar ventanas emergentes, correo electrónico abierto, y el abuso de las funciones del teléfono, de acuerdo con un comunicado de prensa de la Unidad de Delitos Cibernéticos de la Oficina del Sheriff del Condado de Maricopa. Con el fin de demostrar el defecto, Desai supuestamente creado varios exploits y publicó un enlace a uno de sus hazañas de JavaScript en su cuenta de Twitter y otros sitios web. Para más información sobre todas estas noticias, puedes acceder a la web The Hacker News.
