XSS en Google (lo que faltaba!)

(Tomado de segu-info.com.ar) Después del alboroto sobre el agujero de seguridad de Skype, apareció un Cross Site Scripting (XSS) en GoogleUserContent.com que permite a un atacante crear un sitio de phishing que se aloja en Google.com, o al menos uno que se parece a él. En otras palabras, las víctimas podrían ser engañadas para ingresasr sus datos verdaderos de lala cuenta de Google, pensando que realmente están en Google.com.

De acuerdo con The Hacker News, la historia es un poco más complicada. Hace dos meses, Mohit Kumar descubrió una vulnerabilidad de XSS en el dominio de Google, redactó una prueba de concepto y la reportó a la empresa el 11 de septiembre.

Según Kumar, Google no se molestó por el tema y le informó que no era explotable. Por lo tanto tampoco le concedió su recompensa Kumar.

Para empeorar las cosas, ayer otro hacker búlgaro “Keeper” informó que la vulnerabilidad sigue activa, después de múltiples denuncias a Google. Los hackers crearon una página de phishing usando la falla de XSS persistente “para poder demostrar al mundo de que no se trata de un error menor”.
Así es como se ve la página falsa:

Esto es sólo una prueba de concepto, pero realmente parece una página de acceso legítimo de Google alojada en el dominio de Google.com, pero en realidad es un sitio de phishing que roba las credenciales de acceso. Si bien no se brindan detalles, queda claro que el dominio Google.com está siendo abusado.

Cristian de la Redacción de Segu-Info

Advertisements

Vulnerabilidad en Delicious permite propagar malware

(Tomado de segu-info.com.ar) En las últimas en Segu-Info horas hemos recibido varias denuncias que vinculan al conocido sitio Delicious a la propagación de malware:

Se trata de un correo que es propagado por spam:

Le pedimos que revise los siguientes datos: NOMBRE y EMPRESA, porque algo no esta bien y no podemos cargarlo en nuestro sistema para poder liberar el pago.

Le rogamos que verifique sus datos en la siguiente planilla para que la facturacion sea correcta.

Tiene disponible nuestro telefono para cualquier tipo de consulta que desee realizar 0800-606-0106

Atentamente, Delfina Taborda – Departamento de compras MSM Alimentos

Como es obvio ambos enlaces conducen a la descarga de malware pero lo curioso es que efectivamente uno de los enlaces apunta a una redirección abierta desde Delicious, lo cual podría hacer que sea más confiable para el usuario y también se evite la detección del correo por parte de los filtros antispam:

Ambos archivos comprimidos son un malware con una tasa de detección muy baja (3 de 44) por parte de los antivirus.
Desde Segu-Info, ya nos hemos comunicado con Delicious para que verifiquen si se está abusando de su plataforma para este tipo de acciones.

Actualización 1: el malware descargado hace referencia a los siguientes sitios web:

Además, se utiliza un PHP para realizar los envíos de spam a través de un servidor comprometido: http://www.saltours-%5BELIMINADO%5D.com/plan-your-holidays/__%5BELIMINADO%5D__UPLOAD__SpE__inc1.php

Finalmente, los bancos argentinos que son afectados por el troyano son Macro, Supervielle, Banco de Tucumán, Standar Bank y Credicoop.

Actualización 2: todos los correos falsos provienen de direcciones de correos verdaderas que aparentemente han sido vulnerados robando el usuario y contraseña a sus verdaderos dueños. De esta manera los delincuentes tienen acceso a un sinfin de oportunidades para seguir infectando personas.

A continuación una lista de empresas argentinas que hasta el momento hemos podido constatar que se han visto afectadas por esta modalidad:

  • @bravoenergy.com
  • @aparthotelcavis.com.ar
  • @lojack.com.ar
  • @bombicino.com.ar
  • @ecosan.com.ar
  • @uboldibiasoli.com.ar
  • @lascercanias.com.ar
  • @grupodepetris.com.ar
  • @atenta.com.ar
  • @iluminaciontheus.com
  • @villanueva.com.ar
  • @roias.com.ar
  • @eym-electromedicina.com.ar
  • @electropuerto.com.ar

Si Ud. recibio correo de algunas de ellas, verifique cualquier tipo de enlace antes de abrirlo.

¡Gracias a Ernesto por los datos proporcionados!

Cristian de la Redacción de Segu-Info

Presunto exploit 0 day para Adobe Reader en circulación

(Tomado de seguridad.unam.mx)

Adobe Reader logoLa empresa de seguridad con sede en Moscú, Group-IB, informó que las versiones actuales de Adobe Reader contienen una vulnerabilidad crítica que permite a los atacantes eludir el sandbox de la aplicación e inyectar un código malicioso en un sistema. Aparentemente, un exploit para el framework de ataque Black Hole ya está disponible para comprarlo en foros clandestinos, el costo aproximado es de $30 mil a $50 mil dólares.

En un video publicado en YouTube, Group-IB demuestra la vulnerabilidad utilizando la última versión de Reader 11.0); la serie de versiones 10, por tanto, son también vulnerables. Todo lo relacionado a características de protección de seguridad en Reader (incluso sandbox) puede observarse mientras están activas en el video, sin importar si el documento PDF específicamente diseñado para esto se ejecuta directamente en Reader o en un navegador a través del plug-in de Reader, no parece hacer una diferencia.

Group-IB no ha revelado el origen de la prueba de concepto de la demostración del exploit que se muestra en el video, ni revelado otro detalle sobre la falla, i públicamente ni con Adobe. Hablando con el blogger de seguridad, Brian Krebs, un portavoz de Adobe dijo que no han sido capaces de verificar las denuncias de Grupo-IB debido a la falta de información. La compañía dijo que planea tomar la iniciativa y “ponerse en contacto” con la empresa de seguridad.

Fuente: The H Security PG

Estados Unidos etiqueta a China como la más grande amenaza del ciberespacio

(Tomado de seguridad.unam.mx)

China usa cada vez más hackers para infiltrarse en servidores militares de Estados Unidos y otras áreas relacionadas a la defensa, de acuerdo con el informe del Congreso obtenido por Bloomberg.

China representa la mayor amenaza en el ciberespacio, con el incremento en el número de hackers que tienen como objetivo los servidores de la milicia Estadounidense y otras áreas de defensa, de acuerdo con el informe del Congreso obtenido por Bloomberg.

 

El informe, elaborado por la Comisión de Evaluación de Seguridad y Consejo de Economía Estados Unidos-China, determinó que la persistencia y los avances en las actividades hacking de China en el último año, representan una amenaza cada vez mayor para los sistemas de información y los usuarios.

El riesgo incluye intentos para impedir o perturbar a los satélites de comunicación e inteligencia de Estados Unidos, los sistemas de armas y los equipos de navegación, reportó Bloomberg, citando a un oficial anónimo de inteligencia de EUA.

Mientras que los ataques se consideran técnicas básicas, su gran cantidad de actividad maliciosa ha permitido que China se convirtiera en una amenaza. De acuerdo con el informe, las intrusiones son en gran parte diseñadas para obtener información en lugar de atacar los sistemas.

En el informe, que será publicado el 14 de noviembre, se hace un llamado al Congreso para implementar una manera de castigar y penalizar a las empresas que han cometido actos de espionaje industrial.

El comité de inteligencia realizó su propio informe de asesoramiento a empresas para evitar usar fabricantes chinos de telecomunicaciones como Huawei y ZTE. El comité expresó su preocupación sobre el papel del gobierno chino en las dos empresas, pero no ofreció más detalles.

Tanto Huawei como ZTE niegan cualquier influencia por parte del gobierno chino y rechazan las reclamaciones que suponen una amenaza de seguridad.

Fuente: CNET JB

Recomendaciones para infraestructuras críticas

(Tomado de segu-info.com.ar) La integración en las comunicaciones y los medios de tecnología ha aumentado en las actividades de las industrias, los gobiernos y los consumidores. Esta situación ha creado oportunidades sin precedentes para generar crecimiento económico y para los delincuentes. Por ejemplo, la Casa Blanca describe a la ciberseguridad como “uno de los desafíos más grandes y graves a nivel económico y nacional”.

En este contexto las infraestructuras críticas como la red eléctrica (grid), el suministro de agua, el transporte, el sistema financieroy los servicios de emergencia también se han beneficiado significativamente de la mayor integración de las TIC debido a la posibilidad de controlar los sistemas industriales.

La organización TIA ha publicado un documento “Securing the Network: Cybersecurity Recommendations for Critical Infrastructure and the Global Supply Chain”con la descripción de las medidas de seguridad que deberían llevar adelante este tipo de infraestructuras así como las recomendaciones para las mismas.

Stuxnet infectó la red de TI de Chevron (inglés)

(Tomado de wsj.com)

Stuxnet, a sophisticated computer virus created by the United States and Israel, to spy on and attack Iran’s nuclear enrichment facilities in Natanz also infected Chevron ’s network in 2010, shortly after it escaped from its intended target.

Chevron found Stuxnet in its systems after the malware was first reported in July 2010, said Mark Koelmel, general manager of the earth sciences department at Chevron. “I don’t think the U.S. government even realized how far it had spread,” he told CIO Journal. “I think the downside of what they did is going to be far worse than what they actually accomplished,” he said.

Vahid Salemi/AP Photo
An Iranian technician works at a uranium conversion facility just outside the city of Isfahan.

Chevron was not adversely affected by Stuxnet, says Chevron spokesman Morgan Crinklaw. “We make every effort to protect our data systems from those types of threats,” he said.

Chevron’s experience with Stuxnet appears to be the result of the unintentional (and perhaps, inevitable) release of malware upon a larger network, much like an experimental virus escaping from a medical lab. But many companies are also being specifically targeted, sometimes by less sophisticated actors attempting to retaliate against perceived U.S. cyber-aggression. Although they have fewer resources behind them, those guerrilla campaigns are nonetheless capable of doing real, physical damage to targeted plants.

Chevron is the first U.S. company to acknowledge that its systems were infected by Stuxnet, although most security experts believe the vast majority of hacking incidents go unreported for reasons of security or to avoid embarrassment.  The devices used in industrial equipment and targeted by Stuxnet are made by huge companies, including Siemens (whose devices were in use at Iran’s facility). Millions of these devices have been sold around the world, so potentially every industrial company that uses these devices, called programmable logic controllers, or PLCs, are at risk of being infected.

U.S. officials blame Iranian hackers with government ties for the so-called Shamoon virus that destroyed data on 30,000 computers belonging to Saudi Arabian Oil Co. in August. A Qatari natural gas company called Rasgas was also attacked in August. The Shamoon virus is likely the work of a single individual who lacked the sophistication of state-sponsored hackers, according to a Bloomberg report.

Aramco said it quickly recovered from the August attack, but expects more attacks in the future. Rasgas says the August attack had no impact on its operations.

“The real worry that a lot of us have been talking about for a year or so is that instead of just stealing information, [hackers are] gaining control of target systems so that they can cause kinetic impact,” said Ed Skoudis, an expert who teaches cybersecurity classes at SANS, an organization that trains cybersecurity experts and conducts information security research.

“All told, the Shamoon virus was probably the most destructive attack that the private sector has seen to date,” said U.S. Secretary of Defense Leon Panetta in an October 11 speech at a Business Executives for National Security dinner. The virus is an example of an escalation that has happened in the scale and speed of cyber attacks during the last few months.

Employees who have a deep understanding of cybersecurity and the company’s systems are the only defense against a virus like Stuxnet that often target vulnerabilities that haven’t yet been identified by security researchers or patched by the software vendor, says Alan Paller, founder of SANS. Those employees need to understand malware and techniques like deep packet inspection, and have a deep knowledge of what the network traffic should look like. “There are probably only 18-20 people in the country who have those fundamental skills,” he said.

Unleashing potent cyber weapons points to the larger problem of blowback, where “somebody could recover malware assets, tweak them and use them,” said SANS’ Skoudis. He said portions of the Stuxnet code have already been reused in financial cybercrime to steal credit cards and bank account information.

The tacit acknowledgement by U.S. government officials that they created Stuxnet makes U.S. companies an even bigger target, said Paller at SANS. He says hackers last summer went from stealing information to using cyber attacks to cause destruction. Stuxnet “opened Pandora’s box,” he said. “Whatever restraint might have been holding damaging attacks back are gone.”

In the end, companies are left to clean up the mess associated with viruses such as Stuxnet. “We’re finding it in our systems and so are other companies,” said Chevron’s Koelmel. “So now we have to deal with this.”

Write to rachael.king@wsj.com

El chat de Facebook puede ser utilizado para lanzar ataques DOS

(Tomado de softpedia.es) El investigador de seguridad Chris C. Russo afirma que ha descubierto una manera de utilizar el módulo de chat de Facebook para lanzar ataques de denegación de servicio (DOS) contra cualquier usuario, incluso si no es amigo con el atacante.

Russo revela que el ataque es similar a los que se lanzaban a través del servicio de mensajería de MSN. Una gran cantidad de paquetes se envían al destino, causando el bloqueo de su aplicación.

“El módulo de chat, que en este momento no puedo usar ya que parece que he sido bloqueado después de probarlo usando burp suit, no tiene ningún tipo de límite para la cantidad de caracteres que se pueden enviar”, explicó.

“He podido desconectar a tres usuarios de prueba diferentes (3 de 3) enviando mensajes lo suficientemente grandes. Uno de ellos informó que su tableta se reinició después de la recepción, y ya no pudo abrir la aplicación de Facebook, ya que el registro de chat permanecería allí y haría que la aplicación se bloquee de nuevo”, añadió.

Según el investigador, estos ataques DOS son posibles debido a un parámetro en facebook.com/ajax/mercury/send_messages.php.

Russo ha revelado que estos ataques pueden ser mitigados mediante el análisis de la longitud del parámetro defectuoso antes de enviar la información al usuario.

“Personalmente, creo que también debe haber algo mal con los tokens XSRF, porque me permitieron enviar varios paquetes con el mismo token extraído inicialmente, pero no pude enviar esta información por causa del mecanismo de prevención del baneo”, escribió Russo en la divulgación completa de seclist.org.

El paquete exacto que se debe enviar para causar la situación de DOS ha sido hecho público. El experto afirma que hizo pública la vulnerabilidad porque en el pasado, Facebook tardó 6 semanas en responder a sus notificaciones sólo para decirle que “no había ningún fallo en absoluto”.