Actualización de Firefox para mitigar su reciente zero-day

empresa ciberseguridad

Durante el pasado martes la empresa desarrolladora de Firefox ha emitido un comunicado relacionado a una nueva vulnerabilidad crítica. Si bien hasta el momento no se ha publicado una prueba de concepto que explique detalles de la misma, podría ser cuestión de tiempo hasta que esto ocurra.

Mozilla, que tampoco compartió muchos detalles acerca de la falla, declaró que es una vulnerabilidad que puede ocurrir al manipular objetos de JavaScript debido a problemas en la instrucción Array.pop, lo cual puede desencadenar ejecución de código. Adicionalmente, se expresó tranquilidad a los clientes de Firefox para Android, iOS y Amazon Fire TV, ya que no se ven afectados por la falla.

¿PRÓXIMOS PASOS?

La vulnerabilidad ha sido parcheada en Firefox 67.0.3 y Firefox ESR 60.7.1 para Windows, macOS y Linux. Desde Yappó Security recomendamos avanzar con la actualización a fin de prevenir futuros incidentes.

Empleado de Redbanc víctima de ingeniería social en LinkedIn

Redbanc es una empresa de Chile que presta servicios de procesamiento de transacciones a los principales bancos de ese país, cumpliendo un rol sumamente importante en el sector económico.

Durante los últimos meses, se ha revelado que un trabajador del sector informático de la compañía fue víctima de un ataque de ingeniería social al recibir una propuesta laboral a través de la red social LinkedIn.

Esta información llegó a las manos del senador Felipe Harbour quien le ha reclamado un comunicado oficial a la empresa mediante Twitter.

“Me informan que a fines de diciembre @redbanc sufrió ataque informático a su red de interconexión bancaria. Sería bueno que la empresa transparentara magnitud, riesgos y medidas de control de tal ataque.” – Felipe Harboe (@felipeharboe) 8 de enero de 2019

Los atacantes simularon ser reclutadores que buscaban talentos para desempeñarse como desarrolladores. Una vez que la víctima se puso en contacto con ellos, pactaron una video-llamada vía Skype. Durante la reunión, los atacantes le enviaron un archivo denominado ‘ApplicationPDF.exe’ el cual la victima debía completar para finalizar la postulación. Esto último término ocurriendo, dentro de la red corporativa.

De no ser por los sistemas de seguridad implementados por la compañía, los atacantes hubieran podido acceder a la red interna y perjudicar a la entidad de múltiples maneras. Robo de información de clientes (PII), robo de información de tarjetas de crédito (PCI), denegación de servicio, deterioro de la imagen corporativa, pudieron ser algunas consecuencias si este ataque se realizaba con éxito.

 

¿Cómo es posible que los propios empleados de IT caigan en esta trampa?

Los cibercriminales utilizando una forma de ingeniería social conocida como phishing, que en este caso involucra un engaño por medio de acciones en redes sociales los cuales son difíciles de detectar para cualquier persona. Este tipo de ataques no requieren de grandes conocimientos técnicos (no se lleva a cabo un penetration test, al menos en la primera etapa).

Por más de que el empleado se desempeñe en el área de IT, tiene las mismas necesidades y debilidades que cualquier persona (aspiraciones, actuar con confianza, etc.). Se requiere de un clima de concientización en seguridad a nivel corporativo para disminuir la probabilidad de ocurrencia ante esta amenaza.

Exponen más de 772 millones de cuentas de correo.

Recientemente, se ha publicado en internet una extensa colección de direcciones de correo y contraseñas denominada como Collection #1. Su nombre hace referencia a los más de 87GB de información que posee, con un total de 2,692,818,238 filas.

Esta colección es una recopilación de todas las credenciales que han sido reveladas en los últimos tiempos a causa de brechas de seguridad que los atacantes han logrado explotar en varias plataformas web (Adobe, LinkedIn, Dropbox y un centenar de sitios más).

El especialista en ciberseguridad Troy Hunt, quien dirige de hace tiempo el sitio Have I Been Pwned (https://haveibeenpwned.com), ha logrado descargar esta colección durante el breve tiempo que estuvo alojada en MEGA. Troy, luego de una exhaustiva depuración, logró añadir estos datos en su sitio a fin de que cualquier persona tenga la posibilidad de consultar si su dirección de correo electrónico se encuentra en este listado.

¿Cómo funciona?

Simplemente se debe ingresar la cuenta de correo a consultar.

El sitio también te brinda la posibilidad de conocer cuáles fueron las plataformas que han sido vulneradas y mediante la cual ha sido posible extraer la información de tu cuenta.

Recomendaciones:

  • Cambie la contraseña de todas las plataformas que usted considere importante.
  • No utilice contraseñas similares a las anteriores ni siga algún tipo patrón (por ejemplo, si su contraseña es Password190, no utilice Password191).
  • Utilice doble factor de autenticación cada vez que sea posible.

Vulnerabilidades detectadas en Adobe Reader y Acrobat permiten ejecución de código

En noticias y circunstancias acontecidas en los últimos días, agencias de seguridad informáticas, así como también el CCN-CERT, estableció nuevas alertas específicamente para los programas de Adobe Acrobat y Adobe Reader. Estas vulnerabilidades han sido categorizadas con severidad Crítica ya que se puede obtener control del sistema mediante escalamiento de privilegios a través de la inyección de código arbitrario, sin restricción en algunos sistemas operativos.

La primera vulnerabilidad que se destaca, publicada mediante el CVE-2018-16011, tiene la característica de ser tipo use after free, el cual autoriza el funcionamiento de código arbitrario en sistemas como Mac o Windows, en la sesiones de usuario que estén presentes.

La segunda vulnerabilidad (publicada bajo el CVE-2018-19725) es del tipo security bypass deja que el código atacante obtenga los privilegios de manera escalable, de acuerdo a la ruptura de sus barreras de seguridad.  

Los ataques se emplean por medio de la apertura de archivos PDF, en una versión vulnerable del sistema. Esto provoca un error en el sistema anfitrión, originando puertas de entrada para aplicar comandos e inyección de malware  de manera remota.

Los analistas de Adobe han categorizado esta vulnerabilidad como categoría prioritaria de nivel 2, nivel correspondiente a severidad crítica y, por lo tanto, deben ser solventadas lo más rápido posible ya que existe un alto nivel de riesgo además de que pueden ser explotadas con rapidez.

Las versiones afectadas son Acrobat and Reader DC 2015 version 2015.006.30461 y anteriores, 2017 version 2017.011.30110 y anteriores, versión Continuous 2019.010.20064 y anteriores, tanto para Mac como para Windows.

Organizaciones como CCN-CERT recomienda hacer la descarga rápidamente de actualizaciones que han sido publicadas por Adobe recientemente.Una forma de actualizar es la de abrir las aplicaciones e ir hasta la pestaña de Ayuda y buscar la opción de comprobar las actualizaciones. Otra opción es la de activar las actualizaciones automáticas de Adobe durante la instalación de cualquiera de sus productos.

Cajeros automáticos vulnerables por ataque Fast Cash

Las Agencias Estadounidenses, el US-CERT (Equipo de Preparación para Emergencias Informáticas), el  DHS (Departamento de Seguridad Nacional) y el FBI, han emitido una alerta, mencionando que piratas informáticos han comprometido la seguridad de las aplicaciones en diferentes servidores bancarios.

La alerta ha sido denominada como: TA18-275A, Hidden Cobra-Campaña FastCash. Esta alerta es el resultado específicamente de investigaciones analíticas del DHS, la Tesoreria y la Oficina Federal de Investigaciones del FBI, trabajando de manera conjunta con socios del gobierno.

Los ciberdelincuentes, que han sido llamados como los Hidden Cobra supuestamente apoyados por el gobierno de Corea del Norte, han roto la seguridad de los servicios de pago y las transacciones en los medios electrónicos de los bancos.

Se estima que sus principales objetivos son los continentes asiáticos y africanos según los expertos del US-CERT.

Se presume que a finales del año 2016, los piratas del Hidden Cobra han utilizado técnicas de FASTCash para establecerse en las entidades bancarias de Asia y África. El gobierno de EE.UU menciona que aún no han confirmado ninguna falla o incidente relacionada con FASTCash, que afecte a las instituciones dentro de ese país.

Según mencionan varios socios del gobierno, los actores del grupo Hidden Cobra han perpetrado decenas de millones de dólares sustrayendo el efectivo simultáneamente de cajeros automatizados en más de 31 países a nivel mundial.

¿En qué consiste el ataque ?

Este grupo de cibercriminales ponen su atención en los sistemas de las entidades financieras para permitir retiros de dinero en cajeros automáticos en las zonas fronterizas de los países.

Se presume que los ataques han sido iniciados desde ordenadores de empleados, a través de la apertura de correos electrónicos bajo el concepto conocido como phishing

Los analistas del US-CERT establecieron un conjunto de medidas para tratar de mitigar y reducir el incidente relacionado con diversos sistemas de pagos a minoristas de las instituciones:

  • Aislar la Infraestructura del sistema de pago.
  • Separar lógicamente los entornos operativos.
  • Establecer métodos de cifrados en tránsito.
  • Monitoreo.

 

 

Se clausurará la red social Google+ por exponer datos confidenciales

Se denomina como Bug a una falla recurrente y espontánea durante la ejecución de un determinado  software o hardware. De vez en cuando los ‘bugs’ son iniciados por conflictos en los procesos encadenados para hacer funcionar una aplicación.

En las grandes compañías informáticas continuamente, se están probando y desarrollando aplicaciones que optimizan o mejoran el funcionamiento interno de otras aplicaciones, las cuales son persistentemente probadas antes de su lanzamiento, al mismo tiempo que son verificadas las posibles fallas que puedan presentarse.

La explotación de vulnerabilidades en grandes corporaciones parece estar a la moda en estos últimos meses. Inicialmente el incidente ocurrido a la filial de Marriott Internacional donde se revelaron datos de 510 millones de clientes, luego salio la compañía Quora mencionado que fueron comprometidos datos de 105 millones de usuarios.

En esta semana el titán de información Google develó que había sido víctima de la lista de incidentes informáticos ocurridos durante fines de 2018.

En una alerta se informó, que su distintiva red social conocida como Google+ había exhibido datos pertenecientes a poco mas de 510.000 usuarios, por salida inesperada de un bug en sus sistemas.

Según los anuncios, la vulnerabilidad se encontró presente al momento de generar la actualización correspondiente al mes de noviembre de la API (Interfaz de Programación de Aplicaciones) de Google conocida como “People:get”.

Durante los últimos 7 días, esta API no funcionó como se esperaba, lo que dejo expuestos datos pertenecientes a 53 millones de usuarios como nombres, apellidos, correos, edad, sexo, ocupación entre otros,  ya que la misma estaba programada para gestionar solicitudes de información relacionada con datos básicos de los usuarios por parte de los desarrolladores, quienes a su vez se percataron del bug vulnerable mientras realizan comprobaciones de rutina.

Esta eventual falla, ocasionó que Google apresura la clausura de la red social para abril de 2019 cuando estaba prevista para  agosto.

En el informe oficial Google establece que la falla  no fue explotada por ningún agente interno ni externo en el desarrollo de aplicaciones. Google como compañía confirma que la vulnerabilidad no expuso ningún tipo de información frágil o sensible, como contraseñas o datos de carácter financiero.

Es de saber que las grandes corporaciones informáticas poseen un grupo de especialistas informáticos ocupados y enfocados en monitorear, analizar, resolver y responder por las fallas o bugs que se presenten a la hora de manejar grandes e importantes volúmenes de datos y por consiguiente se detectarán si hay la existencia de fallas que exponen deliberadamente la información, mucho antes de que haga pública.

Mayor Seguridad en extensiones de Google Chrome

Google en un esfuerzo adicional por mantener un internet más seguro ha decidido publicar una serie de medidas de seguridad éste lunes que son bastante convenientes y una de ellas está directamente relacionada con su navegador Chrome, nos referimos a las “extensiones”.

Las extensiones o complementos son tremendamente populares, ya sea porque agregan funcionalidades o permiten ahorrar tiempo en consulta de información y aceleran procesos, es por ello que son un objetivo común para los ciberdelincuentes que han encontrado un nicho para explotar vulnerabilidades e implementar código malicioso.

Un aspecto que no ha quedado muy claro en las extensiones es la falta de transparencia en el código y esto se ha traducido en extensiones “infectadas” que pueden tomar ventaja de los recursos del equipo desde minar criptomonedas en segundo plano hasta lograr convencer a los usuarios a instalar o actualizar extensiones con código malicioso. Para detener esto, Google a través de James Wagner que es el gerente de producto de las extensiones de Chrome ha comunicado que: “La tienda web de Chrome no permitirá extensiones con código ofuscado” en un post en el Chromium Blog y ha tomado efecto inmediato.

Para tomar dimensiones correctas, en agosto del 2018 el navegador demostró tener una gran ventaja en el mercado de usuarios de escritorio con el 67.66%, en segundo lugar, se encuentra Mozilla Firefox con solo el 10.96% mientras que el resto de la partida se la quedan Internet Explorer con el 6.97%, Safari con el 5.13% y Microsoft Edge con el 4.24% respectivamente.

Existen alrededor de 180,000 extensiones disponibles en la Chrome Web Store y un sinfín más que hasta la fecha pueden ser descargadas desde otros sitios y no directamente de la tienda de Chrome permitiendo a los usuarios instalarlas poniéndolos en riesgo, por ello hace poco se deshabilitaron las instalaciones en línea para las extensiones existentes, lo que significa que si tienes extensiones instaladas en Chrome desde sitios web de terceros, te redirigirá automáticamente a la Chrome Web Store para completar la instalación, siendo esto una especie de candado que genera confianza y seguridad del origen.

Y es que ocurre que la mayoría de los desarrolladores prestan poca o nula atención a la seguridad a la hora de crear una extensión e implementarla.

Con la próxima actualización de Google Chrome 70 se vienen los siguientes cambios:

  • Control del usuario para permisos: Los usuarios podrán controlar como y cuando la extensión de Chrome controlará los datos, restringir el acceso en una lista personalizada de sitios y hasta configurarlas para que sea necesario un clic para brindar acceso a la página web.
  • Cambios en el proceso de revisión de extensiones: Aquellas extensiones que soliciten permisos avanzados serán sujetas a una revisión adicional para cumplimentar las nuevas políticas, así como un análisis detallado a aquellas extensiones que utilizan código alojado remotamente con monitoreo continuo.
  • Legibilidad del código: Chrome Web Store ya no permite extensiones con código ofuscado. Esta nueva política se aplica de manera inmediata a todas las nuevas versiones o extensiones para su aprobación en la tienda. En caso de que una extensión lo tuviese el desarrollador tendrá hasta 90 días para removerlo.

Y para Google Chrome 71, que saldrá en enero del 2019:

  • Identificación en dos pasos (two-factor verification): Esto aplicará para las cuentas de desarrollador de la Chrome Web Store debido a los múltiples ataques de tipo phishing que buscan robar cuentas para actualizar extensiones con código malicioso.
  • Cambios en Manifest v3: Google dará a conocer la nueva versión de este regulador para extensiones (manifest.json) el cual proveerá mayor seguridad, privacidad y promete mejorar el rendimiento.

Recomendamos tener activadas las actualizaciones automáticas del navegador para obtener estos beneficios de seguridad.