Operación Liberpy

En los últimos meses Hispasec ha colaborado con ESET en desmantelar una
botnet dedicada al robo de información, que en el 98% de los casos
afectaba a usuarios latinoamericanos.

La Operación Liberpy abarca un período de más de 8 meses de actividades
de una botnet en Latinoamérica, sus acciones, campañas de propagación,
técnicas de persistencia y los pasos que se han llevado a cabo para
desmantelarla.

Todo empezó con el descubrimiento de Liberpy, una familia de
"keyloggers" que una vez instalado en un sistema envía un reporte de
todo lo que el usuario teclea y de los movimientos del ratón a un
servidor controlado por los atacantes. De esta forma el malware
conseguía robar credenciales, cuentas bancarias y otra información
directamente desde las máquinas de los usuarios.

Tras un análisis más profundo sobre el malware, se pudo descubrir que se
trataba de una serie de scripts en Python compilados con Pyinstalller
(herramienta para convertir scripts en archivos ejecutables, en parte
similar a py2exe). Así se pudo descubrir que Liberpy, además de actuar
como keylogger, también tenía características de bot y de gusano.

Hispasec colaboró con la compañía de antivirus ESET para lograr realizar
un Sinkhole de la botnet, lo que permitió en primera instancia,
dimensionar parte de su tamaño y además, coordinar el cese de las
operaciones de estos cibercriminales.

Con una idea más clara del uso de esta familia de malware, los sitios
desde los cuales se propagó y hacia dónde enviaba la información
teníamos todos los datos necesarios para intentar desmantelar esta
botnet, y así desactivar las acciones de estos cibercriminales en la
región. De esta forma, junto con ESET coordinamos y planificamos las
acciones a seguir para el reporte y baja de las URLs en cuestión.

Tags: 

Bug en Whatsapp

WhatsApp ha actualizado el cliente web de su popular aplicación de
mensajería debido a una grave vulnerabilidad que podría permitir a
atacantes remotos la instalación de cualquier tipo de malware o archivo
malicioso.

El problema, descubierto por Check Point, podría permitir a un atacante
ejecutar código arbitrario en el sistema de la víctima. Para aprovechar
la vulnerabilidad, el atacante tan solo debe enviar, a través del
cliente web de WhatsApp, una vCard aparentemente inocente pero con el
código malicioso incluido. Una vez que el usuario abre el archivo, se
revela como un ejecutable que puede permitir el compromiso total del
sistema. Lo único que necesita conocer el atacante es el número de
teléfono asociado a la cuenta.

El cliente web de WhatsApp permite usar WhatsApp en un ordenador,
replicando el contenido de la conversación establecida en el smartphone
en el navegador. Se estima que más de 200 millones de usuarios hacen uso
de esta aplicación.

El 21 de agosto de 2015 Check Point comunicó el problema a WhatsApp, que
comprobó y reconoció la vulnerabilidad. Pocos días después (el 27 de
agosto) implementó la solución en su cliente web (en todas las versiones
superiores a 0.1.4481).

WhatsApp Web permite visualizar cualquier tipo de archivo multimedia que
pueda enviarse a través de la aplicación móvil. Esto incluye imágenes,
vídeos, archivos de audio o tarjetas vCard.

La vulnerabilidad reside en un tratamiento inadecuado de las tarjetas
vCard, utilizadas habitualmente para compartir la información de un
contacto. En cualquier caso la tarjeta recibida parece totalmente
normal, como cualquier otra tarjeta de contacto, sin embargo una vez que
el usuario descargue el archivo el código malicioso se ejecutará en el
sistema de la víctima.

El informe de Check Point, altamente instructivo, primero muestra como
interceptando y manipulando peticiones XMPP (Extensible Messaging and
Presence Protocol) a los servidores WhatsApp, era posible controlar la
extensión de la tarjeta de contacto. En primer lugar consiguió cambiar
la extensión a .bat. Para ejecutar código malicioso el atacante
simplemente debía inyectar un comando en el atributo "nombre" de la
vCard, separado por el carácter "&". Al abrirlo, Windows ejecutaba todas
las líneas del archivo, incluyendo los comandos inyectados.

Pero aun consiguieron llevar su investigación más lejos, examinaron los
protocolos empleados por WhatsApp y comprobaron que usa una versión
adaptada del estándar XMPP. Tal y como describen se sorprendieron al
descubrir que WhatsApp fallaba al realizar cualquier tipo de validación
sobre el formato de la vCard o los contenidos del archivo. Lo que les
permitió incluir un archivo .exe en la petición.

"We were surprised to find that WhatsApp fails to perform any validation
on the vCard format or the contents of the file, and indeed when we
crafted an exe file into this request, the WhatsApp web client happily
let us download the PE file in all its glory."

Tags: 

Update Drupal

El equipo de seguridad de Drupal ha solucionado varias vulnerabilidades
en Drupal 6 y 7 que podrían ser aprovechadas por atacantes para provocar
condiciones de cross-site scripting, cross-site request forgery, revelar
información sensible o realizar ataques de inyección SQL.

Drupal es un CMF (Content Management Framework) modular multipropósito y
muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la
publicación de artículos, imágenes, y otro tipo de archivos con
servicios añadidos como foros, encuestas, votaciones, blogs y
administración de usuarios y permisos.

El primero de los problemas reside en un cross-site scripting en la
función Drupal.ajax() en Drupal 7, otra vulnerabilidad de cross-site
scripting afecta a la funcionalidad de autocompletado en formularios en
Drupal 6 y 7. También se ha corregido un cross-site request forgery en
la API de formularios de Drupal 6 y 7, que podría permitir a un usuario
subir archivos al sitio bajo la cuenta de otro usuario.

Una vulnerabilidad en Drupal 6 y 7 podría permitir a usuarios sin
permisos de acceso a contenidos ver los títulos de los nodos a los que
no tenga acceso, incluso podría acceder a ellos si se encuentras
añadidos al menú del sitio.
Por último, una inyección SQL en Drupal 7 en el sistema de filtrado de
comentarios, podría permitir a usuarios inyectar código SQL malicioso en
los comentarios,

Afectan a las versiones 6.x anteriores a 6.37 y 7.x anteriores a 7.39,
se recomienda la actualización a las versiones Drupal core 6.37 o Drupal
core 7.39.
https://www.drupal.org/drupal-6.37-release-notes
https://www.drupal.org/drupal-7.39-release-notes

Tags: 

Es Android es seguro?

Hace algunos días, la firma de seguridad Zimperium reveló el
descubrimiento de un fallo en el sistema de Android, llamado
Stagefright, que permitía a un atacante remoto ejecutar código mediante
un MMS malicioso. La vulnerabilidad se encuentra en un proceso con
permisos "system" que podría permitir a un atacante tomar el control del
dispositivo (permitiría escuchar comunicaciones, robar datos, etc.).
Esto nos hace pensar qué ocurre con las aplicaciones que descargamos.

Para averiguarlo hemos analizado una de las aplicaciones más famosas,
que cuenta con más de 1.000 millones de descargas: Facebook. Es una gran
sorpresa descubrir la gran cantidad de librerías nativas usadas por esta
aplicación, 67 en total. Para optimizar el tiempo de ejecución, todo el
código que se encarga de comprimir imágenes, cifrar las comunicaciones,
etc. está desarrollado a bajo nivel. Sin embargo, codificar a bajo nivel
aumenta la superficie de ataque. Entre otras dificultades el código
nativo requiere una serie de habilidades que no se encuentran en el
común de los desarrolladores. Siendo la gestión de la memoria la
principal característica y fuente irremediable de problemas de seguridad
y estabilidad de los programas.

Librerías nativas de Facebook:
http://3.bp.blogspot.com/-PMvTmtf8VDQ/VdL_u5JP_tI/AAAAAAAAEgc/uJqanHziNz...

Para encontrar posibles librerías vulnerables, nos hemos centrado en
librerías que usan código libre como libpng, libevent, libjpegturbo,
SQLite, etc. Con la ayuda de las bases de datos del MITRE y CVEDetails,
hemos podido encontrar las vulnerabilidades que afectan a estas
librerías desde el año 2012. ¿Por qué el 2012? Porque el compilador con
que se compilaron esas librerías data de ese mismo año. Solo tomamos en
cuenta las vulnerabilidades que podrían permitir ejecutar código
arbitrario.

* libevent (versión obsoleta 1.4.14b-stable): afectada por el
CVE-2014-6272 que podría permitir un desbordamiento de búfer basado en
heap. Sin embargo, Facebook nunca llama a las funciones perjudicadas por
esa vulnerabilidad, así que esta vulnerabilidad no se puede explotar.

* JPEGturbo (versión por lo menos de 2013): se encontró un importante
fallo (CVE-2012-2806) en la versión de 2012, pero fue corregido el mismo
año, así que esta librería tampoco está afectada.

* SQLite no tiene ninguna vulnerabilidad que permita a un atacante
comprometer el sistema (según CVEDetails).

* libPNG (versión obsoleta 1.6.10, del 6 de marzo de 2014): tiene
el CVE-2015-0973 que podría permitir a un atacante provocar un
desbordamiento de búfer, que según MITRE conllevaría una denegación
de servicio o a la ejecución de código arbitrario.
http://4.bp.blogspot.com/-aOZEbK7m_eQ/VdMBI4VhHqI/AAAAAAAAEgo/PPDltnkfi6...

* Facebook también usa otras librerías como libwebp, libsjni, libglog,
etc. pero no se encontró ninguna vulnerabilidad en las versiones
empleadas de todas ellas.

Finalmente, hemos constatado que Facebook usa librerías obsoletas, como
libPNG (versión 1.6.10) que podría permitir a un atacante remoto
ejecutar código arbitrario. Y con ello leer SMS, contactos, etc. (todos
los permisos de Facebook).

Aunque en algunos casos la corrupción de memoria pueda llevar al
compromiso del sistema, Android tiene protecciones para hacer la
explotación más difícil. Podemos destacar medidas como la randomización
de las posiciones de las librerías en la memoria (ASLR), el sandboxing
(con una mejora gracias a la integración de SELinux), protección contra
la ejecución de la pila, etc.

Esto con una aplicación sobradamente conocida y depurada, y con un
fuerte respaldo detrás como la aplicación de Facebook. ¿Qué puede
ocurrir con otras aplicaciones?

Tags: 

Es la nube segura?

El tiempo estaba despejado pero cuando los investigadores iniciaron su
conferencia las nubes se volvieron de un color negruzco. Más que nubes,
nubarrones. Se avecinaba una tormenta. Un atacante podría acceder a los
archivos de servicios en la nube como Dropbox, Google Drive o OneDrive
sin necesidad de la contraseña del usuario.

Los investigadores de la firma Imperva, mostraron en la conferencia
Black Hat lo que han bautizado como ataques "man in the cloud" (hombre
en la nube). Estos ataques MITC podrían permitir a un atacante obtener
todos los archivos almacenados en servicios basados en la nube, o
infectarlos con malware, sin conocimiento del usuario.

Este ataque se diferencia de los ya conocidos de hombre en el medio, en
los que se interfiere la comunicación entre dos servidores o usuarios,
ya que en esta ocasión se aprovecha una vulnerabilidad en el diseño del
sistema de sincronización de archivos ofrecido por diversos servicios de
este tipo, como Dropbox, OneDrive o Google Drive.

Sin usar ningún exploit, simplemente con una sencilla reconfiguración de
los servicios se puede conseguir una herramienta de ataque devastadora y
difícilmente detectable.

El ataque reside en conseguir el token de contraseña, un pequeño archivo
que para mayor comodidad se localiza en el dispositivo del usuario, para
evitar tener que introducir la contraseña cada vez que el servicio
quiera sincronizarse. Una vez que se consigue el token, para lo que
puede emplearse cualquier otro tipo de ataque (p.ej. phishing o
drive-by), se puede emplear para engañar a un nuevo equipo y convertir
al atacante en el dueño de la cuenta. A partir de aquí ya está todo
hecho, el atacante podrá acceder y robar los archivos del usuario,
añadir malware en la nube del usuario, emplear la cuenta de ese usuario
para otros ataques…

El token de autenticación se almacena en el sistema del usuario en el
registro o en un archivo. Después de la autenticación, no se necesitan
más credenciales explícitas (o almacenadas) para acceder a la cuenta del
usuario. Además este token de sincronización es independiente de la
máquina, puede utilizarse el mismo en máquinas diferentes.

La siguiente tabla muestra los tokens y las localizaciones para las
diferentes aplicaciones evaluadas por los investigadores:
http://4.bp.blogspot.com/-Ubyr0buA_so/VcTvF9n21vI/AAAAAAAAEcs/BtcLsDnziG...

Incluso se puede ir aun más lejos, el atacante podrá actuar como el
dueño de la cuenta, si modifica la contraseña impedirá al usuario
legítimo acceder a su cuenta, quedando bajo el control total del
atacante.

Esperemos que se cumpla el dicho de que "Después de la tormenta siempre
llega la calma".

Fuente:http://unaaldia.hispasec.com/2015/08/nubes-tormentosas-archivos-robados....

Tags: 

Páginas