sábado, 31 de agosto de 2019
viernes, 30 de agosto de 2019
jueves, 29 de agosto de 2019
Descubren vulnerabilidad crítica en el firewall de Check Point
Especialistas en seguridad de aplicaciones web reportan el hallazgo de una vulnerabilidad crítica en el software de Check Point que, de ser explotada, permitiría a un actor de amenazas realizar una escalada de privilegios para ejecutar código arbitrario como administrador. La compañía ya ha sido notificada y se encuentra trabajando para eliminar este riesgo de seguridad.
El equipo de expertos de la firma SafeBreach Labs encargado de este descubrimiento menciona que la vulnerabilidad fue detectada en el software Endpoint Security Initial Client, desarrollado para el sistema operativo Windows. Al parecer, la falla afecta a Endpoint Agent (CPDA.exe) y a Device Auxiliary Framework (IDAFServerHostService.exe).
Una vez que IDAFServerHostService.exe se inicia, el proceso firmado se ejecuta como NT AUTHORITY\SYSTEM. Después de que se ejecuta, el servicio intenta cargar la biblioteca atl110.dll, un archivo DLL faltante de diferentes directorios dentro de la variable del entorno PATH. Debido a la ausencia del DLL respectivo, un atacante puede escribir el archivo DLL faltante y ejecutar códigos arbitrarios. En la publicación de la prueba de concepto, los expertos en seguridad de aplicaciones web mencionaron: “Pudimos cargar un DLL arbitrario como usuario normal y ejecutar nuestro código dentro de un proceso firmado por Check Point como NT AUTHORITY\SYSTEM”.
Como si no fuese suficiente, después de la explotación, la vulnerabilidad podría permitir que un actor de amenazas cargue y ejecute código malicioso al esquivar la lista de entidades y procesos autorizados, además de garantizar que un mecanismo persistente de ejecución obtenga privilegios en el sistema objetivo.
Acorde a los expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS), los investigadores reportaron la vulnerabilidad a Check Point a principios de agosto; finalmente, la falla fue corregida hace un par de días a través del lanzamiento de una actualización. Check Point publicó una alerta de seguridad solicitando a sus usuarios implementar las actualizaciones. Se recomienda a los clientes verificar que si sistema cuente con la última actualización, Check Point Endpoint Security E81.30.
Además de este reporte, los expertos de SafeBreach Labs publicaron un informe acerca de una vulnerabilidad de escalada de privilegios en la herramienta de seguridad Bitdefender Antivirus Free 2020. Se espera que los desarrolladores de este antivirus lancen una actualización a la brevedad.
The post Descubren vulnerabilidad crítica en el firewall de Check Point appeared first on Noticias de seguridad informática.
Ver Fuente
miércoles, 28 de agosto de 2019
Escuelas de Virginia, nuevo objetivo de ataques de ransomware. ¿Las autoridades pagarán el rescate?
Los incidentes de ransomware no dejan de aparecer al tiempo que las víctimas enfrentan una encrucijada: tratar de recuperar sus archivos por sus propios medios, o negociar con los atacantes y pagar un rescate. En esta ocasión, expertos en servicios de ciberseguridad han detectado un nuevo ataque contra algunas escuelas públicas en el condado de New Kent, Virginia.
Al respecto, el superintendente Brian Nichols mencionó que “durante el incidente se cifraron los archivos ubicados en los discos duros de las computadoras del distrito escolar, por lo que por ahora no es posible para el sistema escolar acceder a esta información”. En pocas palabras, por ahora es imposible para el personal administrativo de estas escuelas realizar su trabajo de forma normal, y deberán trabajar a marchas forzadas para iniciar el año escolar según se ha previsto.
Es necesario recordar que un ataque de ransomware consiste en un programa malicioso que cifra los archivos de una computadora o sistema, exigiendo un rescate a cambio de restablecer el acceso normal a la información comprometida; generalmente, los hackers exigen que este pago se realice vía transferencias de criptomonedas como Bitcoin. Acorde a los expertos en servicios de ciberseguridad, normalmente el ransomware es desarrollado por grupos de cibercriminales sin afiliación a organizaciones políticas, aunque algunas de las variantes más peligrosas de este malware han sido desarrolladas por grupos de hackers respaldados por gobiernos de países como Rusia o Corea del Norte.
En declaraciones posteriores, el superintendente Nichols mencionó que el distrito escolar ha contratado los servicios de un grupo de expertos en servicios de seguridad externo. Además, afirmó que la investigación avanza de buena forma y se comprometió a seguir compartiendo actualizaciones sobre el incidente. “En la investigación también está colaborando el FBI y la Policía Federal; aunque la investigación no ha concluido, podemos asegurar que no hemos encontrado evidencias que demuestren el robo de información confidencial”, asegura Nichols.
Por ahora las autoridades estatales no tienen planeado modificar la fecha de inicio del año escolar, por lo que las escuelas de New Kent abrirán al igual que el resto de las escuelas públicas en Virginia, “trataremos que los sistemas de registro de los estudiantes estén listos para el primer día de clases”, agregó el superintendente. Hasta el momento se desconoce si las autoridades locales han considerado la posibilidad de pagar el rescate a los hackers, aunque esta medida es, por obvias razones, muy poco recomendable.
En los meses más recientes especialistas en servicios de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) han reportado al menos diez incidentes de ataque de ransomware contra los sistemas escolares en estados de E.U. como Florida, Iowa y Nueva York. No obstante, tal vez el caso con más impacto ocurrió en el estado de Louisiana, donde un grupo de actores de amenazas logró cifrar por completo el acceso a los sistemas de un distrito escolar entero. En una medida sin precedentes, el gobernador del estado declaró un estado de emergencia en todo el territorio, con lo que se consiguió la intervención de agencias de seguridad federales y la reestructuración de los sistemas informáticos en todo el distrito afectado.
The post Escuelas de Virginia, nuevo objetivo de ataques de ransomware. ¿Las autoridades pagarán el rescate? appeared first on Noticias de seguridad informática.
Ver Fuente
Imperva, compañía de soluciones de ciberseguridad, es hackeada; datos de miles de clientes son expuestos
A pesar de no ser la compañía más antigua en el ámbito de la ciberseguridad, Imperva se ha consolidado como uno de los líderes en este mercado, ofreciendo soluciones y asesoría para ayudar a otras compañías a proteger la seguridad de su información; no obstante, esto no la hace inmune a los ataques cibernéticos. Expertos en seguridad de aplicaciones web reportaron una brecha de datos en la compañía que ha comprometido una cantidad considerable de datos de los clientes de Imperva.
Establecida en California, E.U., Imperva es una compañía de software y servicios de ciberseguridad que brinda protección de datos empresariales y seguridad de aplicaciones web.
Para ser más específicos, la brecha de datos afecta a los usuarios de Coud WAF, la solución de firewall para aplicaciones en la nube ofrecida por la compañía. Este es un producto especializado en la mitigación de ataques de denegación de servicio (DoS) y además cuenta con otras características de protección de seguridad de aplicaciones web.
El incidente fue detectado hace aproximadamente una semana después de que la compañía recibiera algunos reportes sobre exposición de datos de algunos clientes de esta herramienta de seguridad, mencionaron los expertos en seguridad de aplicaciones web.
En un comunicado, el CEO de la compañía Chris Hylen mencionó que los datos expuestos debido a este incidente incluyen direcciones email de todos los usuarios de la herramienta que comenzaron a usarla desde septiembre de 2017, claves API, certificados SSL, entre otros datos.
“Después de detectar el incidente comenzó la implementación de nuestro protocolo de respuesta a incidentes de seguridad, además se realizará una investigación interna y agotaremos todos los recursos disponibles para recuperar la información comprometida”, menciona el comunicado. “Las autoridades reguladoras en materia de protección de datos a nivel internacional ya han sido informadas”, añade Hylen.
Los expertos en seguridad de aplicaciones web de la compañía aún no determinan qué métodos utilizaron los actores de amenazas para acceder y filtrar esta información, pues no está claro si alguna vulnerabilidad en sus servidores web fue explotada o si el personal de Imperva cometió algún descuido, configurando erróneamente la seguridad de alguna base de datos en Internet.
La compañía sigue investigando la brecha de datos, además, aseguran que los clientes potencialmente afectados por el incidente están siendo notificados. Otras medidas de seguridad serán anunciadas en breve. “Lamentamos profundamente los inconvenientes que este incidente ha ocasionado; seguiremos compartiendo actualizaciones en los próximos días acorde al avance de nuestra investigación. Estamos seguros de que esta mala experiencia nos ayudará a mejorar nuestras prácticas de seguridad y a prevenir incidentes similares en el futuro”, concluye el comunicado.
Mientras la investigación de la compañía concluye, especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los usuarios de la herramienta Cloud WAF restablecer las contraseñas de acceso a sus cuentas de Imperva, además de implementar otras capas de seguridad, como autenticación multi factor. Generar y cargar nuevos certificados SSL y restablecer sus claves API también son medidas recomendables.
The post Imperva, compañía de soluciones de ciberseguridad, es hackeada; datos de miles de clientes son expuestos appeared first on Noticias de seguridad informática.
Ver Fuente
martes, 27 de agosto de 2019
Nueva técnica de hacking para explotar antivirus y extraer datos de servidores
El equipo de expertos en seguridad de aplicaciones web de TokyoWesterns acaba de revelar un nuevo método de ataque que, de ser explotado, permitiría la extracción de información confidencial de cualquier servidor protegido con Windows Defender.
Este método de ataque, apodado “AV Oracle”, fue revelado durante un reciente evento de ciberseguridad y, según sus desarrolladores, se trata de una técnica especializada de falsificación de solicitudes en el lado del servidor que aprovecha los mecanismos de seguridad incluidos en Windows Defender por defecto. Windows Defender es la herramienta de seguridad antivirus preinstalada en los sistemas de Microsoft.
Esta clase de ataques (comúnmente conocidos como ataques SSRF) dependen del envío de paquetes de solicitudes especialmente diseñados para engañar a los servidores y obtener como respuesta información confidencial, inaccesible de otro modo para los actores de amenazas, aseguran los especialistas en seguridad de aplicaciones web.
Usualmente, los hackers recurren al uso de ataques SSRF para acceder a ciertos recursos, como archivos confidenciales y otros recursos, a los que sólo se puede acceder a través de una red local del servidor objetivo. En el método desarrollado por los investigadores se muestra un ataque contra una aplicación web ejecutada en un servidor protegido con Windows Defender.
La aplicación objetivo contenía algunas URL disponibles públicamente (cualquier usuario podría acceder a ellas), además de una URL accesible solamente para los administradores usando la dirección local “localhost” (en el mismo servidor); según los expertos, esta URL contenía la información confidencial del objetivo.
Posteriormente, los expertos en seguridad de aplicaciones web crearon un fragmento de código JavaScript especialmente diseñado para incrustarlo en la cadena de consulta de una de las URL disponibles públicamente. Esto provoca que algunas características de protección en Windows Defender analicen el fragmento de código buscando comandos maliciosos. Este análisis afecta las respuestas del servidor al cliente, por lo que un hacker podría hacer que Windows Defender filtre información confidencial almacenada en la aplicación web objetivo manipulando su script cuidadosamente.
Además, esta vulnerabilidad también podría ser clasificada como un exploit de la categoría XS-Search. En otras palabras, esta falla hace que el software antivirus pierda un valor secreto al almacenar un archivo que contiene un valor controlado por el atacante e información confidencial.
Acorde a especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) Windows Defender comenzaría a filtrar de forma involuntaria múltiples detalles sobre el sistema atacado a los atacantes. Al ser consultado acerca de esta falla, uno de los miembros del equipo que realizó esta investigación aseguró que este método de ataque podría ser funcional en otras soluciones de protección de endpoint, destacando este escenario requeriría que el antivirus atacado cuente con un componente para analizar código JavaScript, al igual que Windows Defender.
Por otra parte, al ser cuestionado acerca del potencial dañino del ataque AV Oracle en otros escenarios o contra otros objetivos, el especialista mencionó que la investigación aún no concluye, por lo que nuevas formas de explotar estas fallas podrían aparecer en breve, aunque sí menciona un potencial escenario: “Puede que este ataque también funcione contra la memoria caché de un navegador, por lo que AV Oracle afectaría a los servidores y a los usuarios”, advierte el experto.
The post Nueva técnica de hacking para explotar antivirus y extraer datos de servidores appeared first on Noticias de seguridad informática.
Ver Fuente