Vulnerabilidad

All posts tagged Vulnerabilidad

1-1.jpg

Tu móvil podría estar siendo hackeado por una vulnerabilidad en Bluetooth

La ciberseguridad es un tema que ha dado mucho de qué hablar en los últimos meses, esto gracias al crecimiento acelerado en la comunidad de hackers. Estos han causado una gran cantidad de estragos a empresas grandes y pequeñas a nivel mundial, sin contar los robos de identidad de los que han sido víctimas millones de personas. Los fallos pueden hallarse en cualquier parte según demuestra un grupo de investigadores que recientemente encontró un hueco en las conexiones Bluetooth que les está permitiendo a los hackers interceptar la conexión entre dos dispositivos móviles.

En uno de los simposium de seguridad informática que ofrece USENIX cada año, un grupo de investigadores han descubierto la existencia de un hueco o punto ciego en donde los hackers están haciendo de las suyas. Ya actualmente sabemos de estos agujeros de conejos en diversas aplicaciones y sistemas de computación. Pues bien, ahora el turno fue para las conexiones de Bluetooth.

Al día de hoy, imaginamos que todas las personas han oído hablar y han usado dispositivos con conexión Bluetooth. Estas conexiones permiten que se pueda trasmitir voz y datos por medio de un sistema de radiofrecuencia muy segura siendo hasta ahora su máximo alcance de 100 metros y menor alcance 1 metro según el sistema de conectividad que poseas. Todos los datos que transmite un sistema Bluetooth lo hace a través de estas ondas de radio a baja potencia a una frecuencia de unos 2.4Ghz. Su uso, que en un principio comenzó para grandes industrias, científicos y médicos muy pronto pasaría a ser adoptado por el resto del mundo permitiendo así que todos tengamos al alcance al menos un dispositivo electrónico con este tipo de conectividad.

Es allí donde la gravedad de este descubrimiento toma forma, pues el agujero encontrado en la conexión de Bluetooth está permitiendo que los hackers tengan acceso a las conexiones entre dos o más dispositivos. Se trata de un ataque de máximo nivel que hace que sea sumamente sencillo descubrir contraseñas, entrar a la conexión y robar toda la información que los usuarios estén intentando compartir en ese momento. Dicho esto podemos afirmar que este error puede estar afectando el 100% de los dispositivos móviles a nivel mundial así como otros tipos de gadgets y coches inteligentes.

A esta vulnerabilidad la han denominado KNOB (Key Negotiacion of Bluetooth) y fue descubierta por investigadores del CISPA (Centro de Seguridad de TI, Privacidad y Responsabilidad) y se logró divulgar de forma masiva por personal calificado de empresas como Apple, Microsoft, Cisco e Intel.

En este momento Bluetooth SIG ha reconocido públicamente la existencia de esta vulnerabilidad y han aclarado que se encuentran trabajando en solucionar el problema. Sin embargo, también han indicado que se trata de un conflicto que tomara algo de tiempo solventar.

leer más
Diarleth G.Tu móvil podría estar siendo hackeado por una vulnerabilidad en Bluetooth
Steam-Games-Header-768x364.png

Vulnerabilidad de Steam expone a los jugadores de Windows

Un investigador reveló que la plataforma de juegos Steam tenía una vulnerabilidad grave que podía secuestrar el sistema de los usuarios. A pesar de que Valve, los creadores de Steam, pidieron que no se publicara esta información,  el investigador de todos modos lo hizo.

Steam, abastece a aproximadamente 90 millones de usuarios en todo el mundo, pero los principales afectados serían los usuarios de Windows, según el investigador Vasily Kravets. El especialista detalló que la falla al sistema de seguridad era bastante simple: Steam Client Service incluye una configuración que permite a cualquier usuario del grupo «Usuario» iniciar y detener el servicio. No parece ser un problema serio, sin embargo, con un examen más detallado se descubrieron algunos hallazgos “extraños”.

Las claves y subclaves de «Usuario» del cliente heredan conjuntos completos de permisos de lectura / escritura para la carpeta de instalación. Así que solo fue necesario tomar el control de una clave para lanzar un ataque de escalada de privilegios y crear un exploit. Con esto, es posible instalar cualquier tipo de programa de altos privilegios en una computadora Windows que tenga Steam instalado.

El 15 de junio, el investigador informó a la compañía a través de la plataforma de recompensas de errores HackerOne acerca de la vulnerabilidad. Adjuntó un archivo ejecutable de prueba de concepto (PoC) para completar su informe. No obstante, Steam de Valve rechazó el informe y no dio la recompensa argumentando que el ataque «requeriría la capacidad de colocar archivos en ubicaciones arbitrarias en el sistema de archivos del usuario».

Kravets impugnó la decisión y esta vez reenvió el informe al equipo de Seguridad de Steam, pero recibió la misma respuesta, solo que esta vez agregaron que para que se genere un ataque también se necesitaba acceso físico al dispositivo de un usuario.

Así que Kravets informó a HackerOne que luego del plazo establecido de 45 días divulgaría el informe acerca de la vulnerabilidad. HackerOne dijo al investigador que no tenía permitido hacerlo, pero el investigador publicó sus hallazgos de todos modos.

«Entonces, dos semanas después de mi mensaje, que fue enviado el 20 de julio, aparece una persona que me dice que mi informe fue marcado como no aplicable, cerraron la discusión y no me ofrecieron ninguna explicación«, dijo Kravets. «Además, no querían que revelara la vulnerabilidad. Al mismo tiempo, ni siquiera había una sola palabra de Valve«.

Cuando el informe se hizo público, Kravets recibió un mensaje que decía «Valve no va a arreglar algo que han determinado que es N/A [no aplicable]«. Y para sumar peso a la existencia de esta vulnerabilidad, más tarde Matt Nelson descubrió la misma falla y publicó un PoC en GitHub.

Here is a 0day in Steam. This bug has been publicly disclosed (https://t.co/yQxqJUi9P3), so I’m opening up my PoC. No blog post since @PsiDragon covered it nicely. https://t.co/it7wAZbnF2— Matt Nelson (@enigma0x3) August 7, 2019

En el marco de los informes, Steam Beta se actualizó con una solución para un «exploit de escalada de privilegios utilizando enlaces simbólicos en el Registro de Windows«. Sin embargo, no se ha pronunciado ni ha reconocido la vulnerabilidad.

Kravets por su parte va un poco más lejos y considera que la minería oculta en el juego es una estrategia pensada con alevosía. Considera que las amenazas de este juego seguirán ejecutándose sin que los usuarios cedan sus derechos.

leer más
Diarleth G.Vulnerabilidad de Steam expone a los jugadores de Windows
3.jpg

Aprende sobre el caso de violación de datos nativos en la nube

No existe rincón en el mundo digital en donde un pirata informático no pueda atacar. Estos delincuentes pueden ingresar a cualquier computadora personal, servidor, sitio web o lo que sea que esté conectado desde cualquier parte del mundo. Hay quienes creen que poner los datos en una nube es 100 % seguro, pero la verdad es que nada en este mundo lo es. Las violaciones de datos nativas de la nube con frecuencia tienen características distintas y siguen una progresión diferente a las violaciones de datos físicos. Lo que te traemos a continuación es un ejemplo que sucedió en la vida real, se trata de una violación de datos nativos en la nube, te diremos cómo ocurrió y cómo podría haberse evitado.

Violación de datos nativos en la nube

Esto le ocurrió a una aplicación de medios sociales para compartir fotos, con más de 20 millones de usuarios. Almacena más de 1PB de datos de usuario en Amazon Web Services (AWS), y en 2018, fue víctima de una violación masiva de datos que expuso a casi la totalidad de los registros de usuarios que tenían. Esta violación de datos nativos en la nube ocurrió de la siguiente manera.

violación de datos nativos en la nube

Paso 1) Comprometer a un usuario legítimo

En este incidente, el pirata informático utilizó un ataque de phishing para obtener las credenciales de un usuario administrativo en el entorno de la empresa.

Paso 2) Fortalecer el acceso

Seguidamente, el atacante se conectó al entorno de la nube de la empresa a través de una dirección IP registrada en un país extranjero y creó claves de acceso API con acceso administrativo completo.

Paso 3) Reconocimiento

Una vez dentro, el atacante solo deberá determinar qué permisos se otorgarán y qué acciones permitirá este rol.

Paso 4) Explotación

Una vez que se han determinado los permisos disponibles en la cuenta, el atacante puede proceder a explotarlos. Entre otras actividades, el atacante duplicó la base de datos del usuario maestro y la expuso al mundo exterior con permisos públicos.

Paso 5) Exfiltración

Ya con la información del cliente a la mano, el atacante copió los datos fuera de la red, obteniendo acceso a más de 20 millones de registros que contenían información personal del usuario.

Aunque cada incidente de violación de datos puede desarrollarse de manera diferente, una violación de datos nativos en la nube a menudo sigue una progresión típica de compromiso de cuenta legítima, reconocimiento de cuenta, escalada de privilegios, explotación de recursos y filtración de datos.

¿Qué se pudo haber hecho para evitar este ataque?

Primeramente, limitar los permisos. Con frecuencia, las cuentas de usuario en la nube tienen muchos permisos que no necesitan o nunca usan y esto es algo que aprovechan los piratas informáticos. Así que sería excelente limitar los permisos solo a lo que el usuario necesita para ayudar a garantizar que, incluso si la cuenta está comprometida, el daño que puede hacer un atacante sea limitado.

Seguidamente, estar alerta a las actividades sospechosas. Dado que las violaciones de datos nativos de la nube suelen tener una progresión común, existen ciertas actividades de la cuenta, como el escaneo de puertos, la invocación de API utilizadas anteriormente y la concesión de permisos públicos, que pueden identificarse.

Posteriormente, generar procedimientos de respuesta automática. La automatización de los mecanismos de respuesta puede ayudar a bloquear la actividad maliciosa en el momento en que se detecta y evitar que el pirata tenga éxito en su objetivo.

Finalmente, se deben proteger las credenciales de acceso. Siempre te debes asegurar que las credenciales de tu cuenta en la nube son tan fuertes como sea posible, es fundamental para garantizar que no caigan en las manos equivocadas. Cambiar las contraseñas periódicamente es la acción más segura que todo usuario debe realizar.

leer más
Diarleth G.Aprende sobre el caso de violación de datos nativos en la nube
2.jpg

Riesgo de vulnerabilidad en las aplicaciones móviles financieras

Existe una nueva modalidad que puede hacernos temblar si se usa para actos delictivos. Se trata de la ingeniería inversa. En el siguiente post te diremos cómo a través de esta ingeniería inversa se puede crear un alto grado de vulnerabilidad en las aplicaciones móviles financieras.

Vulnerabilidad en las aplicaciones móviles financieras

Un pirata informático invirtió 30 aplicaciones financieras móviles y encontró datos confidenciales ocultos en el código subyacente de casi todas las aplicaciones examinadas. Con esta información, un pirata informático podría, por ejemplo, recuperar las claves de la interfaz de programación de aplicaciones (API), usarlas para atacar a los servidores backend del proveedor y comprender los datos del usuario.

Las aplicaciones en cuestión fueron todas de Android y se seleccionaron en ocho sectores, incluyendo banca minorista, atención médica y seguros de automóviles. Arxan Technologies, la compañía detrás del experimento, realizó esta investigación a la que denominó In Plain Sight: La epidemia de vulnerabilidad en las aplicaciones móviles financieras. Y esto dijeron sobre el caso.

«Muchos de los hallazgos fueron impactantes por lo menos, Incluso descubrí que algunas instituciones financieras codificaban de forma segura las claves privadas, las claves API y los certificados privados, todo en el código real o almacenándolos en los subdirectorios de la aplicación». Dijo Alissa Knight, analista sénior de ciberseguridad de Aite Group, quien realizó la investigación.  En otros casos, Knight también comentó que encontró las URL que usan las aplicaciones para comunicarse, con lo que permitiría a un adversario dirigirse también a las API de los servidores backend.

La falta de protecciones binarias, le permitió encontrar once debilidades únicas, entre ellas; almacenamiento de datos inseguros, fuga de datos involuntaria, cifrado débil, confianza implícita de todos los certificados, archivos y directorios legibles, exposición de claves privadas, exposición de parámetros de bases de datos entre otros.

Como solución Knight recomienda acciones como la adopción del blindaje de la aplicación, la detección de manipulación indebida, el cifrado de datos en reposo y la protección de claves a través del cifrado de caja blanca.

«Los desarrolladores de aplicaciones necesitan algún tipo de capacidad de detección y respuesta, para que puedan comprender qué está sucediendo exactamente con esa aplicación y controlarla antes de que se convierta en una brecha», dijo Knight.

leer más
Diarleth G.Riesgo de vulnerabilidad en las aplicaciones móviles financieras
internet-explorer-logo.png

Falla de seguridad en Internet Explorer permite a los hackers robar archivos

Internet Explorer de Microsoft tiene una vieja y deficiente reputación en cuanto a seguridad, pero ahora es lo suficientemente malo como para que puedas ser atacado sólo por tenerlo instalado en tu PC.

El investigador de seguridad John Page ha revelado una vulnerabilidad sin parche en el manejo de los archivos MHT (formato de archivos web de IE) que los piratas informáticos pueden usar para espiar a los usuarios de Windows y robar sus datos locales.

Ya que Windows abre los archivos MHT utilizando por defecto IE, ni siquiera tienes que ejecutar el navegador para que esto sea un problema, todo lo que tienes que hacer es abrir un archivo adjunto enviado a través de chat o correo electrónico. La vulnerabilidad afecta a Windows 7, Windows 10 y Windows Server 2012 R2.

Esto no sería un problema si no fuera por la divulgación de la falla. El investigador publicó los detalles de la vulnerabilidad después de que, según informes, Microsoft rechazó lanzar una solución de seguridad urgente. En cambio, dijeron que «considerarían» una solución en una versión futura.

Después de la respuesta de Microsoft, el investigador dio a conocer detalles un código de prueba de concepto y una demostración de YouTube.

Si bien eso sugiere que un parche está en camino, deja a millones de usuarios potencialmente vulnerables a menos que desinstales Internet Explorer (instrucciones aquí, aquí, aquí (video) o aquí (en inglés)) o especifiquen otra aplicación que pueda abrir los archivos MHT.

leer más
Isaul CarballarFalla de seguridad en Internet Explorer permite a los hackers robar archivos

Google+ cierra tras vulnerabilidad en medio millón de cuentas

Google+ descubre vulnerabilidad en más de medio millón de cuentas afectadas, decidieron no revelarlo

  • La red social para individuos cerrará definitivamente por baja participación y fallas en seguridad.
  • Google no pudo verificar el mal uso de los datos de más de 500,000 cuentas.
  • Google mantendrá abierta una versión de Google+ para empresas.

Google ha anunciado que cerrará la versión para consumidores de Google+ debido a problemas de seguridad (distintos a los recientemente reportados en Facebook) así como la baja participación de los usuarios en su intento fallido del ‘Facebook’ de Google. Además, está anunciando la introducción de nuevos permisos de cuenta de Google más específicos, nuevos límites para aplicaciones de terceros que buscan permisos para acceder a los datos de los usuarios de Gmail y Android.

Ben Smith, miembro de Google y vicepresidente de ingeniería, mencionó que los “desafíos significativos para crear y mantener un Google+ exitoso que cumpla con las expectativas de los consumidores” así como el bajo uso y compromiso de los usuarios son la razón detrás de la decisión de cerrar Google+.

«El 90 por ciento de las sesiones de usuario de Google+ son menos de cinco segundos«, añadió.

Al mismo tiempo, Smith compartió detalles sobre una vulnerabilidad de seguridad que encontraron en una de las APIs de Google+, que podría haber permitido a aplicaciones de terceros acceder a campos privados en el perfil de los usuarios.

«Descubrimos e inmediatamente solucionamos este error en marzo de 2018. Creemos que ocurrió después del lanzamiento como resultado de la interacción de la API con un cambio posterior en el código de Google+«, dijo.

Como no encontraron pruebas de que ningún desarrollador estuviera al tanto de este error o abusara de la API, y era imposible saber cuántos o qué usuarios estaban potencialmente afectados, la Oficina de Protección de Datos y Privacidad de la compañía decidió no informar a los usuarios ni hacer pública la información al respecto, ya que, después de tomar en consideración todos los factores, sentían que no estaban obligados por ley.

Google indicó en su blog oficial que «…no podemos confirmar que usuarios fueron afectados por este error. Sin embargo, realizamos un análisis detallado durante las dos semanas previas a parchar el error y, a partir de ese análisis, detectamos los perfiles de hasta 500,000 cuentas de Google+ que se vieron potencialmente afectados. Nuestro análisis mostró que hasta 438 aplicaciones pueden haber utilizado esta API.»

Control de Daños

La publicación de Google se supo un día después de que el Wall Street Journal publicara un memorandum interno de Google. En dicho memorándum se habla sobre la no divulgación al público de dicho hallazgo, debido a que no se pudo comprobar el mal uso ni afectación de los usuarios.

«La incapacidad para evaluar y cuantificar a los usuarios afectados no está exenta de divulgación. Aunque una vulnerabilidad de seguridad en sí misma no activa automáticamente la obligación de divulgarlo, en este caso parece que Google tiene dudas razonables de que la falla podría haber sido explotada. Una aclaración adicional de Google y los detalles técnicos del incidente sin duda serían útiles para restablecer la confianza entre los usuarios actualmente abandonados en la oscuridad.», expresó Ilia Kolochenko, CEO de la empresa de seguridad web High-Tech Bridge.

«Es importante que los consumidores se den cuenta de que conectar aplicaciones mediante plataformas de redes sociales solo aumenta la cantidad de información importante que podría ser vulnerada, así como también incrementa los vectores de ataque que los hackers pueden aprovechar», agregó.

A diferencia de lo que otros medios señalaron, Google+ no fue hackeado. Incluso, Google+ seguirá existiendo como una red social corporativa con nuevas características diseñadas específicamente para empresas. Informó la empresa. Google anunció de forma simultánea el lanzamiento del proyecto ‘Project Strobe’ con el cual busca proteger la privacidad de los usuarios.

 

leer más
Isaul CarballarGoogle+ cierra tras vulnerabilidad en medio millón de cuentas