Google parcheó un grave bug de ejecución de código en Chrome 85

Autora: Abeerah Hashim

Traducción: Leandro Di Dio

Fecha: 27/08/2020

Google ha publicado, recientemente, la versión estable de Chrome 85 con numerosas actualizaciones y una corrección grave de un bug. Explotar este bug podría permitir la ejecución de código remoto.

Bug de código de ejecución arreglado en Chrome 85

Según se informa, el investigador en seguridad de Cisco Talos, Marcin Towalski, descubrió una vulnerabilidad de alta severidad que afectaba al navegador Chrome.

Como describió en el blog, el bug existió en el componente WebGL del navegador. Esta fue una vulnerabilidad use-after-free de alta severidad, CVE-2020-6492, que podría permitir la ejecución de código remoto.

Al describir el bug, Cisco declaró:

Esta vulnerabilidad específicamente existe en ANGLE, una capa de compatibilidad entre OpenGL y Direct3D que Chrome usa en sistemas operativos Windows. Un atacante podría manipular el diseño de la memoria del navegador de manera tal que podría obtener el control del exploit use-after-free, el cual finalmente conduciría a la ejecución de código arbitrario.

Esta vulnerabilidad afectó a las versiones de Google Chrome 81.0.4044.138 (Stable), 84.0.4136.5 (Dev) y 84.0.4143.7 (Canary).

Y ahora, con Chorme 85, Google ha solucionado esta falla.

Otras actualizaciones Google Chrome 85

Junto a esta actualización de seguridad, Google también ha publicado numerosas optimizaciones con la nueva versión del navegador Chrome.

Destacando algunos detalles en una publicación en el blog, Max Christoff, director de ingeniería, mencionó que Chrome 85 será mucho más rápido. Esto es así porque tiene dos características importantes: Optimización guiada por perfiles (PGO) y Limitación de pestañas.

Brevemente, PGO permite cargar más rápidamente las páginas ya que esta técnica permite la ejecución rápida de partes específicas del código. Esto proviene de analizar las actividades de los usuarios de forma global, dando prioridad a las tareas más habituales.

Mientras que la Limitación de pestañas intercambia recursos entre las pestañas, otorgándole más poder a las pestañas en uso y extrayendo los recursos de los que están en segundo plano. Esto no solo incrementa la velocidad de carga de la página sino también tendrá un impacto positivo en las necesidades de ahorro de energía y memoria.

Una lista completa de actualizaciones y características de Chrome 85 se encuentra aquí

Fuente: Latest Hacking News

Gusano fileless planta un backdoor y crea una botnet P2P de minería de criptomonedas

Autor: Zeljka Zorz

Traducción: Leandro Di Dio

Fecha: 19/08/2020

Un gusano fileless (sin archivo) apodado FritzFrog ha sido encontrado infectando a dispositivos Linux, servidores corporativos, routers y dispositivos IdC (internet de las cosas) con servidores SSH en una botnet P2P cuyo objetivo aparente es minar criptomonedas.

Simultáneamente, sin embargo, el malware crea un backdoor en las maquinas infectadas, permitiendo a los atacantes acceder a los dispositivos en una fecha posterior, sin importar si la contraseña SSH ha sido cambiada.

"Al observar la cantidad de código dedicado a la minería, comparado a los módulos gusano ("cracker") y P2P, podemos decir con total seguridad que los atacantes están mucho más interesados en ganar acceso a servidores y luego obtener ganancias a través de Monero" Dijo el investigador principal de Guardicore Labs, Ophir Harpaz, a Help Net Security.

"Este control y acceso sobre Servidores SSH puede valer mucho más dinero que difundiendo un cryptominer. Adicionalmente, es posible que FritzFrog sea una infraestructura como servicio P2P, ya que es lo suficientemente robusto como para ejecutar cualquier archivo ejecutable o script en máquinas víctimas, este botnet puede ser vendido en la darknet y ser el genio en operaciones, cumpliendo cualquier deseo malicioso."

El objetivo del gusano

FritzFrog es un gusano de Internet SSH, modular, multiproceso y fileless que intenta crear una botnet P2P irrumpiendo en direcciones de IP publicas, ignorando los rangos conocidos guardados para las direcciones privadas.

La botnet tiene nodos en todo el mundo:

"Al interceptar a FritzFrog en la red P2P, hemos visto listas de objetivos que consisten en direcciones IP secuenciales, resultando en un escaneo muy sistemático de rangos de IP en Internet" explicó Harpaz.

Desde enero del 2020, tiene como objetivo a direcciones IP de oficinas gubernamentales, instituciones educativas, centros médicos, bancos y numerosas compañías de telecomunicaciones, y ya irrumpió con éxito en más de 500 servidores SSH.

Una obra avanzada de malware

Escrita en Golang, el malware parece ser creado por desarrolladores de software altamente calificados:

. Es fileless, ensambla y ejecuta payloads en memoria, opera sin directorios de trabajo, y también usa aproximación fileless cuando comparte e intercambia archivos entre nodos.

. Sus intentos de fuerza bruta son agresivos, basados en un diccionario extenso.

. Es eficiente. Cuando no hay dos nodos en la red, intenta "crackear" la maquina objetivo.

. Su protocolo P2P es propietario y fue escrito desde cero (es decir, no está basado en ninguna implementación existente).

Crea un backdoor en la forma de una llave pública SSH-RSA agregada al archivo authorized_keys. Con la llave secreta privada, los atacantes pueden acceder a la maquina comprometida cuando ellos quieran, sin necesidad de conocer la contraseña SSH.

Otras cosas que permiten que el malware vuele bajo el radar:

. Su proceso se ejecuta bajo los nombres ifconfig, nginx o libexec (este último se utiliza en Monero-mining)

. Une sus comandos P2P sobre el puerto SSH estándar ejecutando un cliente local netcat en las maquinas infectadas. Cualquier comando enviado sobre SSH es usado como entrada de netcat y transmitida al malware.

"Incluso con esta manera creativa de enviar comandos, el proceso permanece completamente automatizado y bajo el control del malware. Incluso después de crear este canal P2P al host recientemente infectado, el malware es el que sigue alimentando a la víctima con comandos" declaró Harpaz.

"Sin embargo, es muy probable que el manual, los comandos realizados por humanos sean enviados a otros pares en la red. Guardicore Labs ha desarrollado una herramienta que intercepta la red y es capaz de enviar y recibir comandos a pedido. El actor detrás de esta campaña puede hacer exactamente lo mismo, es muy probable que el operador tenga los medios para enviar comandos manualmente a ciertos nodos (o todos) de la red."

Chequear si tus dispositivos son parte de la botnet

Detectar una cryptominer en una máquina que ejecuta un servidor SSH no es prueba de que ha sido infectada, ya que el malware comprueba si la máquina puede gastar energía para minar y decide si puede hacerlo o si no.

Los administradores pueden usar un script de detección que busca los procesos fileless citados, evidencia de malware de escucha en el puerto 1234 y trafico TCP sobre el puerto 5555.

Mientras que un reinicio de la máquina/dispositivo infectado eliminará el malware de la memoria y finalizará el proceso del malware, dado que una víctima se "loggea" inmediatamente en la red P2P junto con sus credenciales de inicio de sesión, se volverá a infectar en poco tiempo.

En vez de eso, los administradores deberían:

. Finalizar los procesos maliciosos

. Cambiar la contraseña SSH por una más fuerte y usar una llave pública de autenticación.

. Eliminar la llave publica de FritzFrog desde el archivo authorized_keys para "cerrar" el backdoor

. Considerar cambiar el puerto SSH de los routers y dispositivos IdC o deshabilitarlos completamente si el servicio no es necesario.

Fuente: Help Net Security

Nuevo vector de ataque ReVoLTE le permite a los hackers controlar las llamadas telefónicas

Autor: Sudais Asif

Traducción: Leandro Di Dio

Fecha: 14/08/2020

El ataque ReVoLTE rompe el cifrado de las llamadas VoLTE.

Cada año vemos una amplia variedad de ataques sobre diferentes plataformas. Algunas utilizan los mismos viejos métodos mientras que otras usan nuevos vectores de ataque jamás vistos antes.

Descubriendo uno de estos últimos, un equipo de investigadores ha reportado recientemente una manera de evitar el cifrado de llamadas registradas haciendo uso del protocolo Voz sobre LTE (Voice over LTE).

Para poner las cosas en perspectiva, VoLTE es utilizado por una gran cantidad de personas a nivel mundial soportando más de 1200 dispositivos.

Apodado como ReVoLTE, la técnica explota una falla en la implementación, encontrada hoy, de LTE por operadores de redes móviles en vez de una falla de VoLTE en sí misma.

Hablando sobre la falla, esta se centra sobre el aparente re-uso de keystream (caracteres que son usados para encriptar mensajes) cuando dos llamadas sucesivas toman lugar "durante una conexión de radio activa" (cuando está conectada a la misma estación).

Ver video

Por lo tanto, supongamos que hago una llamada que los atacantes quieren espiar. En este escenario, tan pronto como finalizo mi llamada, el atacante podría hacer una segunda llamada, segundos después de la primera, que utilizaría el mismo keystream usado durante la primer llamada y por lo tanto concederle la oportunidad de conocer el keystream. Utilizando esta información recientemente obtenida, el atacante ahora podría descifrar mi primera llamada grabada.

Sin embargo, todo esto requiere de más de una computadora. Como explican los investigadores en el reporte PDF declarando que:

"El ataque consiste en dos fases principales: La fase de grabación en la cual el atacante registra la llamada de destino de la víctima, y la fase de llamada con una llamada posterior a la víctima. Para la primera fase, el atacante debe ser capaz de sniffear las transmisiones de la capa de radio en una dirección de enlace, lo cual es posible con un hardware de menos de 1,400 dólares."

"La segunda fase requiere de un teléfono comercial listo para usar (COTS) y saber el número de teléfono de la víctima junto con su ubicación actual" afirmaron los investigadores. "Un atacante necesita invertir menos de 7000 dólares para crear un instalador con la misma funcionalidad, eventualmente, la habilidad para descifrar el tráfico de bajada."

Otros factores humanos también están en juego, como el hecho de que si la víctima no responde la segunda llamada que inició el atacante, el ataque no funcionará.

Adicionalmente, la duración de la segunda llamada debería ser al menos tan larga como la primera de otra forma no será generado "suficiente material keystream" para los atacantes. Es por eso que tal vez, para ellos la ingeniería social es una parte crítica de la ciberseguridad.

Para concluir, es importante notar que el mismo problema fue explorado antes en un documento publicado en el 2018 por Muhammad Taqi Raza y Songwu Lu a pesar de lo cual estas empresas no le dieron importancia.

Actualmente, los proveedores de servicios han sido informados de la vulnerabilidad a través del programa de divulgación coordinada de vulnerabilidades (CVD) GSMA y la falla debería haber sido solucionada.

Sin embargo, tenemos buenas razones para creer que las compañías de celulares, en aquellas partes del mundo en donde no se le da mucha importancia a la privacidad, no llevarían a cabo parches rápidamente y, por lo tanto, es necesario que las comunidades de seguridad en esos países presionen a las empresas para que lo hagan.

Fuente: HackRead

Falla de seguridad en Android 8 y 9 podría exponer los mensajes directos de Twitter

Autora: Abeerah Hashim

Traducción: Leandro Di Dio

Fecha: 07/08/2020

Twitter ha alertado, recientemente, a los usuarios de Android sobre una vulnerabilidad. Como se reveló, existía una falla de seguridad en Android 8 y 9 que pudo exponer mensajes directos de Twitter. Twitter ha actualizado, subsecuentemente, la app de usuarios de Android con un parche.

Falla de seguridad podría exponer los mensajes directos de Twitter

Según se informa, Twitter ha manifestado a sus usuarios sobre una seria falla de seguridad en Android que podría exponer sus mensajes directos. Las noticias aparecieron online cuando Twitter mostraba alertas de usuarios potencialmente vulnerables.

Resultó que la vulnerabilidad básicamente afectaba al Android 8 y 9 en el nivel del Sistema Operativo. Aunque no estaba al alcance de Twitter, explotar el bug podía impactar en los usuarios de Twitter.

Explicando sobre como esto podría afectar a los usuarios de Twitter en Android, el gigante tecnológico detalló en sus noticias de seguridad

"Esta vulnerabilidad podría permitirle a un atacante, a través de una app maliciosa instalada en tu dispositivo, acceder a los datos privados de Twitter en tu dispositivo (como pueden ser los mensajes directos) aprovechando el sistema de permisos de Android que protege contra esto."

Aunque Twitter aseguró que la mayoría de los usuarios de Android (96%) están utilizando sus dispositivos parcheados, el 4% restante podría ser potencialmente vulnerable.

También, por precaución, mostraron alertas en la aplicación para usuarios vulnerables. Así es como se muestra la noticia.

Actualizar Twitter para Android

Seguido al descubrimiento de la vulnerables de Android, Twitter también actualizó su aplicación de Android para incluir una solución.

Aunque, no indicaron explícitamente cómo y cuándo detectaron la falla por primera vez.

Sin embargo, lo más importante aquí es que Twitter ha asegurado que no se explotará activamente la falla de seguridad. Como se indica:

"No tenemos evidencia de que esta vulnerabilidad haya sido utilizada por atacantes"

Sin embargo, aunque no pueden estar seguros, emplearon varias medidas de seguridad para eliminar cualquier riesgo. Eso incluye actualizar la app para prevenir que otras aplicaciones accedan a los datos de Twitter. Estas soluciones incluyen las que están más allá de la seguridad estándar del sistema operativo.

También, instan a todos los usuarios de Android a actualizar sus aplicaciones a las últimas versiones. Excluyendo de este exploit a los usuarios de iOS y la versión web de Twitter.

Fuente: Latest Hacking News

Investigadores Chinos muestran como hackearon remotamente un Mercedes-Benz

Autor: Eduard Kovacs

Traducción: Leandro Di Dio

Fecha: 07/08/2020

Un equipo de investigadores chinos describió el proceso de análisis que resultó en el descubrimiento de 19 vulnerabilidades en un Mercedes-Benz E-Class, incluyendo defectos que pueden ser explotados para hackear remotamente un auto.

La investigación fue realizada a comienzos del 2018 por Sky-Go, la unidad de ciberseguridad de vehículos del proveedor chino de soluciones de seguridad Qihoo 360. Los hallazgos fueron revelados, en agosto del año pasado, a Daimler, el cual pertenece a una marca de Mercedes-Benz. El fabricante de autos solucionó los agujeros de seguridad y en diciembre del 2019 anunció que había unido fuerzas con el equipo de Sky-Go en un esfuerzo para mejorar la seguridad de sus vehículos.

Representantes de Sky-Go y Daimler revelaron los hallazgos esta semana en la conferencia Black Hat Cybersecurity y publicaron una investigación detallada de los hallazgos. Sin embargo, alguna información no fue hecha pública para proteger la propiedad intelectual de Daimler y para prevenir ataques maliciosos.

Los investigadores realizaron sus análisis en un Mercedes-Benz E-Class real y demostraron como un hacker podría haber hackeado remotamente destrabando las puertas del auto y arrancando el motor. Los expertos estimaron que las vulnerabilidades podrían haber afectado a 2 millones de vehículos en China.

Sky-Go dijo que apuntó al E-Class, el cual el Mercedes describe como el salón de negocios más inteligente, por su sistema de infoentretenimiento, el cual posee la mayor cantidad de funcionalidades de conectividad.

Los investigadores desarmaron el panel central y analizaron la unidad central del auto, la unidad de control telemática (TCU) y el backend.

En el sistema de archivos de la TCU del vehículo, en el cual ganaron acceso obteniendo una shell interactiva con privilegios de root, descubrieron contraseñas y certificados para el servidor backend.

"El backend del auto es el núcleo de los autos conectados" dijeron los investigadores. "Mientras que se pueda acceder a los servicios del backend del auto de manera externa, significa que el backend del auto está en riesgo de ser atacado. Los vehículos que se conectan al backend de este automóvil están en peligro también."

Finalmente obtuvieron cierto acceso a los servidores backend después de analizar la tarjeta embebida SIM (eSIM) del vehículo, la cual es típicamente utilizada para proveer conectividad, identificar un auto y encriptar comunicaciones.

El problema era que los servidores backend no autenticaban peticiones (requests) desde la aplicación móvil "Mercedes me", la cual permite a los usuarios administrar el vehículo remotamente y controlar varias funciones. Una vez que ganaron acceso al backend, pudieron controlar cualquier auto en China, declararon los investigadores.

Un hacker podría haber explotado esta vulnerabilidad abriendo y cerrando las puertas, abriendo y cerrando el techo del vehículo, activando la bocina y las luces y, en algunos casos, incluso prendiendo el motor.

La mayoría de las 19 vulnerabilidades descubiertas por el equipo Sky-Go afectaron a la TCU y el backend, unas pocas encontradas en la unidad principal y otros componentes. A algunos de los defectos de la TCU se les han asignado identificadores CVE.

Fuente: Security Week

¡ESPERA NO TE RETIRES AUN¡ ANTES QUIERO ¡REGALARTE UN LIBRO!