Novedades

Google anuncia una nueva versión de su navegador Google Chrome 57. Se publica la versión 57.0.2987.98para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 36 nuevas vulnerabilidades.
Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 36 nuevas vulnerabilidades, solo se facilita información de 18 de ellas (nueve de gravedad alta y otras nueve de importancia media).
Se corrigen vulnerabilidades por corrupción de memoria en V8, desbordamiento de entero en libxslt, seguridad incorrecta en la interfaz de usuario en Omnibox, falsificación de direcciones en Omnibox, salto de la política de contenidos de seguridad en Blink, tratamiento incorrecto de cookies en Cast y un desbordamiento de heap en Skia. También escritura fuera de límites en PDFium y ChunkDemuxer y usos de memoria después de liberarla en ANGLE, PDFium y GuestView. Por último divulgación de información en V8, XSS y Blink. Se han asignado los CVE-2017-5029 al CVE-2017-5046.
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 38.000 dólares en recompensas a los descubridores de los problemas.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.
Vídeo con las novedades de Chrome 57:
Más información:
Stable Channel Updatehttps://chromereleases.googleblog.com/2017/03/stable-channel-update-for-desktop.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero

Son muchos los correos fraudulentos que pueden llegarnos al cabo del día: refiriéndose a falsas facturas, a recibos simulados, instándonos a descargar los datos necesarios para revisar la factura y la supuesta cantidad que "debemos". En las últimas campañas de envíos masivos de correos hemos detectado distribuciones de ransomware dirigidas a usuarios de habla hispana, sin embargo en esta ocasión los sensores de Hispasec han registrado múltiples correos que incluyen malware bancario dirigido a usuarios de entidades españolas. 

Este será el correo que recibiremos en nuestra bandeja de entrada, nos avisarán de una cuota a la que por supuesto no estamos suscritos y nos adjuntan dicha factura para que la paguemos. Evidentemente nada más lejos de la realidad. Al descomprimir el archivo adjunto nos encontramos ante un documento de Word.


El documento nada más abrirlo nos alerta de que se han deshabilitado las macros por seguridad, por lo que ya podemos comenzar a sospechar. Sin embargo, como suele ser habitual en estos ataques el documento nos avisa que para poder observar todo el contenido primero necesitará habilitarlas. Si las habilitas, puedes pasar a estar en un fuerte aprieto.
Analizamos la macro que contiene el documento:

Pero al estar ofuscada, no podemos obtener gran información. Tras desofuscar el contenido, podemos apreciar el punto de descarga del malware en cuestión, el cual utiliza un script de Powershell para descargarse y ejecutarse.


Una vez ejecutado, encontramos que se descarga un módulo de TOR según nuestra arquitectura y lo emplea para establecer las comunicaciones necesarias.
En nuestro departamento antifraude hemos detectado una última tanda de correos que afecta a diferentes entidades entre las que se encuentran las siguientes:

• Santander
• Targobank
• BBVA

Como siempre, las recomendaciones a seguir ante este tipo de amenazas es evitar abrir este tipo de correos maliciosos. Si sospechas de una factura que no deberías haber recibido, entonces puedes encontrarte ante una amenaza. Si crees que puede ser cierta la factura, asegúrate antes llamando al lugar en cuestión para confirmar que sea un e-mail benigno.
Por último, si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com.

Fernando Díazfdiaz@hispasec.com

A pesar de las informacionesprevias sobre la no publicación de boletines, este martes Microsoft ha publicado 18 boletines de seguridad (del MS17-006 al MS17-023) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft nueve de los boletines presentan un nivel de gravedad "crítico"mientras que los nueve restantes son "importantes". En total se han solucionado 135 vulnerabilidades (algunas de ellas en varios productos). Además se han corregido otras siete vulnerabilidades adicionales en Flash Player.
Hay que señalar que Microsoft ha corregido los problemas anunciados con anterioridad, incluyendo el fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio (CVE-2017-0016) y los reportados por Project Zero, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038) y de ejecución remota de código en los navegadores Internet Explorer y en Edge (CVE-2017-0037). Tras la ausencia de boletines el pasado mes de febrero se esperaban muchos boletines y vulnerabilidades corregidas. Las previsiones se han cumplido y los boletines publicados son los siguientes:
MS17-006: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 12 nuevas vulnerabilidades, tres de ellas se habían publicado con anterioridad. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2017-0008, CVE-2017-0009, CVE-2017-0012, CVE-2017-0018, CVE-2017-0033, CVE-2017-0037, CVE-2017-0040, CVE-2017-0049, CVE-2017-0059, CVE-2017-0130, CVE-2017-0149y CVE-2017-0154).
MS17-007: Boletín "crítico" que incluye la también habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan 32 vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2017-0009al CVE-2017-0012, CVE-2017-0015, CVE-2017-0017, CVE-2017-0023, CVE-2017-0032al CVE-2017-0035, CVE-2017-0037, CVE-2017-0065al CVE-2017-0071, CVE-2017-0094, CVE-2017-0131al CVE-2017-0138, CVE-2017-0140, CVE-2017-0141, CVE-2017-0150y CVE-2017-0151).  
MS17-008: Boletín considerado "crítico" que resuelve 11 vulnerabilidades en Windows Hyper-V. La más grave de ellas podría permitir la ejecución remota de código si un atacante autenticado en un sistema invitado ejecuta una aplicación específicamente creada que provoque la ejecución de código en el sistema Hyper-V anfitrión (CVE-2017-0021, CVE-2017-0051, CVE-2017-0074, CVE-2017-0075, CVE-2017-0076, CVE-2017-0095al CVE-2017-0099y CVE-2017-0109).
MS17-009: Actualización considerada "crítica" que resuelve una vulnerabilidad en la librería PDF, que podría permitir la ejecución remota de código si un usuario abre un documento PDF específicamente creado (CVE-2017-0023).
MS17-010: Boletín considerado "crítico" que resuelve seis vulnerabilidades (CVE-2017-0143al CVE-2017-0148) que podrían llegar a permitir la ejecución remota de código si un atacante autenticado envía paquetes específicamente creados a un servidor Microsoft Server Message Block 1.0 (SMBv1).
MS17-011: Actualización considerada "crítica" destinada a corregir 29 vulnerabilidades en Windows Uniscribe, la más grave podría permitir la ejecución remota de código si un usuario visita un sitio web específicamente creado o abre un documento manipulado (CVE-2017-0072, CVE-2017-0083al CVE-2017-0092, CVE-2017-0111al CVE-2017-0128).
MS17-012: Actualización considerada "crítica" destinada a corregir seis vulnerabilidades en diferentes componentes de Windows. La más grave podría permitir la ejecución remota de código arbitrario (CVE-2017-0007, CVE-2017-0016, CVE-2017-0039, CVE-2017-0057, CVE-2017-0100y CVE-2017-0104). Aquí se incluye la vulnerabilidad de denegación de servicio en el tratamiento de tráfico SMB; conocida con anterioridad y sobre la que ya hemos comentadoen diversas ocasiones.
MS17-013: Boletín "crítico" destinado a corregir 12 vulnerabilidades en Microsoft Graphics Component, las más graves podrían permitir la ejecución remota de código si se abre un documento o web específicamente creada. Afectan a Microsoft Windows, Microsoft Office, Skype for Business, Microsoft Lync y Microsoft Silverlight. (CVE-2017-0001, CVE-2017-0005, CVE-2017-0014, CVE-2017-0025, CVE-2017-0038, CVE-2017-0047, CVE-2017-0060al CVE-2017-0063, CVE-2017-0073y CVE-2017-0108). Esta actualización incluye la corrección de la vulnerabilidad reportada por Project Zero por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038).
MS17-014: Boletín "importante" que soluciona 12 vulnerabilidades, la más grave de ellas que podría permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2017-0006, CVE-2017-0019, CVE-2017-0020, CVE-2017-0027, CVE-2017-0029, CVE-2017-0030, CVE-2017-0031, CVE-2017-0052, CVE-2017-0053, CVE-2017-0105, CVE-2017-0107y CVE-2017-0129).   MS17-015: Destinado a corregir una vulnerabilidad (CVE-2017-0110) de gravedad "importante" en Microsoft Exchange Outlook Web Access (OWA). Podría permitir la ejecución remota de código en Exchange Server si un atacante envía un correo con un adjunto específicamente manipulado a un servidor Exchange vulnerable.
MS17-016: Resuelve una vulnerabilidad importante (CVE-2017-0055) en Microsoft Internet Information Services (IIS), que podría permitir la elevación de privilegios si un usuario pulsa una URL específicamente manipulada alojada en un servidor Microsoft IIS afectado.
MS17-017: Boletín considerado "importante" que resuelve cuatro vulnerabilidades en el kernel de Windows que podrían permitir la elevación de privilegios (CVE-2017-0050y CVE-2017-0101al CVE-2017-0103). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.
MS17-018: Boletín de carácter "importante" destinado a corregir ocho vulnerabilidades en el controlador modo kernel de Windows que podrían permitir la elevación de privilegios si un usuario ejecuta una aplicación específicamente creada. (CVE-2017-0024, CVE-2017-0026, CVE-2017-0056 y CVE-2017-0078 al CVE-2017-0082).
MS17-019: Resuelve una vulnerabilidad "importante" (CVE-2017-0043) de obtención de información en Active Directory Federation Services (ADFS). Afecta a Windows Server 2008, 2012 y 2016.
MS17-020: Destinado a corregir una vulnerabilidad (CVE-2017-0045) de gravedad "importante" de Cross-Site Request Forgery en Windows DVD Maker.
MS17-021: Boletín de carácter "importante" destinado a corregir una vulnerabilidad (CVE-2017-0042) de obtención de información si Windows DirectShow abre contenido multimedia específicamente creado. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.
MS17-022: Resuelve una vulnerabilidad "importante" (CVE-2017-0022) en Microsoft XML Core Services (MSXML) al tratar de forma inadecuada objetos en memoria. Un atacante podría verificar la existencia de archivos en el sistema. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.
MS17-023: Como ya es habitual, Microsoft publica un boletín para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. Se trata de un boletín "crítico" que en esta ocasión soluciona siete vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-07de Adobe (y que comentaremos con más detalle en una próxima una-al-día).
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Microsoft Security Bulletin Summary for March 2017 https://technet.microsoft.com/library/security/ms17-mar
una-al-dia (03/02/2017) Vulnerabilidad 0-day en Windowshttp://unaaldia.hispasec.com/2017/02/vulnerabilidad-0-day-en-windows.html
una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzohttp://unaaldia.hispasec.com/2017/02/microsoft-retrasa-sus-parches-de.html
una-al-dia (27/02/2017) Anunciada una nueva vulnerabilidad en los navegadores de Microsofthttp://unaaldia.hispasec.com/2017/02/anunciada-una-nueva-vulnerabilidad-en.html
Microsoft Security Bulletin MS17-006 - CriticalCumulative Security Update for Internet Explorer (4013073)https://technet.microsoft.com/library/security/MS17-006
Microsoft Security Bulletin MS17-007 - CriticalCumulative Security Update for Microsoft Edge (4013071)https://technet.microsoft.com/library/security/MS17-007
Microsoft Security Bulletin MS17-008 - CriticalSecurity Update for Windows Hyper-V (4013082)https://technet.microsoft.com/library/security/MS17-008
Microsoft Security Bulletin MS17-009 - CriticalSecurity Update for Microsoft Windows PDF Library (4010319)https://technet.microsoft.com/library/security/MS17-009
Microsoft Security Bulletin MS17-010 - CriticalSecurity Update for Microsoft Windows SMB Server (4013389)https://technet.microsoft.com/library/security/MS17-010
Microsoft Security Bulletin MS17-011 - CriticalSecurity Update for Microsoft Uniscribe (4013076)https://technet.microsoft.com/library/security/MS17-011
Microsoft Security Bulletin MS17-012 - CriticalSecurity Update for Microsoft Windows (4013078)https://technet.microsoft.com/library/security/MS17-012
Microsoft Security Bulletin MS17-013 - CriticalSecurity Update for Microsoft Graphics Component (4013075)https://technet.microsoft.com/library/security/MS17-013
Microsoft Security Bulletin MS17-014 - ImportantSecurity Update for Microsoft Office (4013241)https://technet.microsoft.com/library/security/MS17-014
Microsoft Security Bulletin MS17-015 - ImportantSecurity Update for Microsoft Exchange Server (4013242)https://technet.microsoft.com/library/security/MS17-015
Microsoft Security Bulletin MS17-016 - ImportantSecurity Update for Windows IIS (4013074)https://technet.microsoft.com/library/security/MS17-016
Microsoft Security Bulletin MS17-017 - ImportantSecurity Update for Windows Kernel (4013081)https://technet.microsoft.com/library/security/MS17-017
Microsoft Security Bulletin MS17-018 - ImportantSecurity Update for Windows Kernel-Mode Drivers (4013083)https://technet.microsoft.com/library/security/MS17-018
Microsoft Security Bulletin MS17-019 - ImportantSecurity Update for Active Directory Federation Services (4010320)https://technet.microsoft.com/library/security/MS17-019
Microsoft Security Bulletin MS17-020 - ImportantSecurity Update for Windows DVD Maker (3208223)https://technet.microsoft.com/library/security/MS17-020
Microsoft Security Bulletin MS17-021 - ImportantSecurity Update for Windows DirectShow (4010318)https://technet.microsoft.com/library/security/MS17-021
Microsoft Security Bulletin MS17-022 - ImportantSecurity Update for Microsoft XML Core Services (4010321)https://technet.microsoft.com/library/security/MS17-022
Microsoft Security Bulletin MS17-023 - CriticalSecurity Update for Adobe Flash Player (4014329)https://technet.microsoft.com/library/security/MS17-023



Antonio Roperoantonior@hispasec.com
Twitter: @aropero

El departamento antifraude de Hispasec está especializado en la detección y análisis de malware bancario, el destinado a vaciar las cuentas de los usuarios de la banca electrónica. En esta ocasión encontramos correos maliciosos cuyo contenido está dirigido a infectar a usuarios que pertenezcan al Banco de Bogotá. Como es habitual a través de ingeniería social, engañando al usuario mediante un correo electrónico en el que se notifica de un supuesto embargo y de la factura a abonar.
Por supuesto, el correo (que mostramos a continuación) no tiene ningún tipo de veracidad: 

Este e-mail incluye como adjunto un archivo comprimido .zip que a su vez contiene un ejecutable malicioso. Este ejecutable se corresponde con el del malware conocido como Remcos RAT. Se trata de una herramienta de control remoto a distancia ("Remote Administration Tool") usada, por supuesto, con fines maliciosos.
Está configurada para obtener las contraseñas de los usuarios del Banco de Bogotá, por lo que todos aquellos usuarios que hayan ejecutado la muestra pueden verse afectados.


En la imagen anterior, podemos observar que las comunicaciones con el atacante se realizan a través de microsoft2563.dynu.com:6600, ya sea para tomar control remoto del dispositivo infectado o para el envió de datos robados (Keylogger, por ejemplo).
Como siempre, la mejor recomendación ante este tipo de amenazas es evitar descargar o acceder a ninguna URL o adjunto de un e-mail que desconozcamos o del que sospechemos.



Fernando Díazfdiaz@hispasec.com

Google ha publicado el boletín de seguridad Androidcorrespondiente al mes de marzo en el que corrige un total de 107 vulnerabilidades, 35 de ellas calificadas como críticas.
Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-03-01 ("2017-03-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.
En este bloque se solucionan 36 vulnerabilidades, 11 de ellas se consideran críticas y podrían permitir la ejecución remota de código a través de OpenSSL y BoringSSL o de Mediaserver y de elevación de privilegios en el verificador de recuperacion. Otras 15 de ellas son de gravedad alta, nueve de importancia moderada y una de riesgo bajo.
Por otra parte en el nivel de parches de seguridad 2017-03-05 ("2017-03-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan un total de 71 fallos en subsistemas del kernel, controladores y componentes OEM. 24 de las vulnerabilidades están consideradas críticas, 32 de gravedad alta y 14 de riesgo medio y solo una de importancia baja. Cabe destacar que los componentes Qualcomm son los más afectados.
Los problemas críticos podrían permitir la elevación de privilegios a través del componentes MediaTek, del controlador GPU NVIDIA, del subsistema ION, del driver Wi-Fi Broadcom, del depurador FIQ del kernel, del controlador GPU Qualcomm, del subsistema de red del kernel; así como diferentes vulnerabilidades en componentes Qualcomm.
A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse muchos meses desde su publicación por parte de Google. Por ello, como ya hemos comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles de Android.
Más información:
Android Security Bulletin—March 2017http://source.android.com/security/bulletin/2017-03-01.html


Antonio Roperoantonior@hispasec.com
Twitter: @aropero

Mozilla ha anunciado la publicaciónde la versión 52 de Firefox, que además de incluir mejoras y novedades soluciona 28 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.8.
Mozilla acaba de publicar una nueva versión de su navegador que incorpora nuevas funcionalidades y mejoras. Cabe destacar el soporte de WebAssembly, un nuevo estándar de programación web que proporciona un mayor rendimiento a juegos, aplicaciones y bibliotecas de software sin necesidad de plugins. Se ha implementado la especificación Strict Secure Cookies, una política que prohíbe a los sitios web HTTP establecer cookies con el atributo 'secure'.
Firefox sigue mejorandola forma en que  el navegador informa a los usuarios de que se encuentran en un sitio web con conexión no cifrada. Se ha agregado una advertencia al usuario en las páginas HTTP no seguras que incluyan inicios de sesión. En estos casos Firefox muestra el mensaje "Esta conexión no es segura" cuando el usuario pulse en los campos de nombre de usuario y contraseña en páginas que no utilicen HTTPS.
El boletín MSFA-2017-05incluye las 28 vulnerabilidades corregidas. Según la propia clasificación de Mozilla siete están consideradas críticas, cuatro son de gravedad alta, 11 de moderada y las seis restantes de nivel bajo.
Las vulnerabilidades críticas residen en que a través de JIT-spray con asm.js puede permitir un salto de las protecciones ASLR y DEP que conllevan a posibles ataques de corrupción de memoria (CVE-2017-5400), una corrupción de memoria al tratar ErrorResult (CVE-2017-5401). También por usos de memoria después de liberarla al trabajar con eventos en objetos FontFace (CVE-2017-5402), al usar addRange al añadir a un objeto raíz incorrecto (CVE-2017-5403) o al tratar con rangos en selecciones (CVE-2017-5404). Así como problemas (CVE-2017-5399 y CVE-2017-5398) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.
También se ha publicadoFirefox ESR 45.8 (MSFA-2017-06) que soluciona 10 vulnerabilidades en esta versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.
La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/o desde la actualización del navegador en "Ayuda/Acerca de Firefox".
Firefox ESR está disponible desde: https://www.mozilla.org/en-US/firefox/organizations/
Más información:
Firefox NotesVersion 52.0https://www.mozilla.org/en-US/firefox/52.0/releasenotes/
Security vulnerabilities fixed in Firefox 52https://www.mozilla.org/en-US/security/advisories/mfsa2017-05/
Security vulnerabilities fixed in Firefox ESR 45.8https://www.mozilla.org/en-US/security/advisories/mfsa2017-06/
Communicating the Dangers of Non-Secure HTTPhttps://blog.mozilla.org/security/2017/01/20/communicating-the-dangers-of-non-secure-http/



Antonio Roperoantonior@hispasec.com
Twitter: @aropero

Se ha confirmadouna vulnerabilidad en el proyecto Apache Struts que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados. El problema se agrava por la existencia de una prueba de concepto pública que se está aprovechando en ataques de forma activa.
Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005.
En esta ocasión ha sido el equipo de Cisco Talos el que ha alertadode la existencia de ataques aprovechando esta vulnerabilidad de forma activa. El problema, considerado de gravedad alta (con CVE-2017-5638), es una ejecución remota de código que afecta al analizador Jakarta Multipart de Apache Struts. Si el valor de Content-Type no es válido se genera una excepción que se utiliza para mostrar un mensaje de error a un usuario, de esta forma el atacante puede modificar la cabecera Content-Header para inyectar comandos de sistema operativo en el servidor.
Se confirma la posibilidad de ejecución de comandos simples (como, whoami) de forma sencilla, pero también se pueden ejecutar comandos más sofisticados, incluyendo el despliegue de un ELF malicioso y su ejecución.
Uno de los ejemplos de la vulnerabilidad para ejecutar un simple comando Linux. Fuente: Cisco Talos
La forma más sencilla para evitar las vulnerabilidades es actualizar a Apache Struts versiones 2.3.32o 2.5.10.1; disponibles desde:http://struts.apache.org/download.html#struts-ga
Más información:
Content-Type: Malicious - New Apache Struts2 0-day Under Attackhttp://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html
Possible Remote Code Execution when performing file upload based on Jakarta Multipart parser.https://cwiki.apache.org/confluence/display/WW/S2-045


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Sin duda, Crypt0l0cker es uno de los ransomware (software que secuestra recursos de un sistema informático y pide un rescate por su liberación) más conocidos. Hoy hemos podido observar una nueva campaña masiva de correos con textos similares entre sí, pero firmados por diferentes personas.
El cuerpo del mensaje coincide entre los distintos mensajes, que contienen un fichero adjunto, y éste a su vez un documento de Office; específicamente Excel.


Hemos podido observar como durante las últimas horas, han circulado diferentes correos con cuerpos similares y firmados por distintas personas.


más #cryptolocker pic.twitter.com/ouaMJbcI6V— Fernando (@entdark_) 9 de marzo de 2017
El documento de Excel mencionado anteriormente, solicita al usuario habilitar las macros para que se pueda ejecutar el código malicioso en la máquina sin que el usuario se dé cuenta.


Observando la macro se encuentra un archivo que descarga remotamente y almacena en el sistema.


El resultado final, tras la ejecución completa de la tarea del atacante, es el que podemos ver a continuación... El clásico mensaje en el que se nos advierte del cifrado de los archivos más importantes y la necesidad de pagar para recuperar la información. De nuevo recordamos evitar cualquier tipo de pago, ya que incluso en la mayoría de las ocasiones suele ser totalmente inútil.


Tras esto, lo más recomendable es mantener las soluciones antivirus actualizadas y sobretodo no abrir mensajes adjuntos de usuarios que desconozcamos, o de cuyo contenido se sospeche. Si recibes correos similares, evita abrir los adjuntos.


Fernando Díazfdiaz@hispasec.com

Todo el mundo tenía y tiene constancia de que la CIA cuenta con un conjunto de herramientas avanzado, capaz de saltarse cualquier protección, sistema operativo o cifrado. Al fin de cuentas, para algo son la CIA. Acaba de publicarsedentro del famoso conjunto de documentos filtrados de WikiLeaks información sobre las herramientas empleadas por la agencia que viene a demostrar su posibilidad de romper la seguridad de cualquier sistema operativo o dispositivo.
WikiLeaks viene a mostrar que la CIA tiene capacidades para atacar casi cualquier dispositivo, incluidos televisores inteligentes, con su gama de herramientas de hacking, diseñadas para leer y extraer datos de una gran cantidad de dispositivos electrónicos.
Bajo el nombre en clave de "Vault 7" WikiLeaks muestra la que afirman es la mayor publicación de documentos confidenciales de la agencia. El primer lote filtrado de esta serie, bautizado como "Año cero" (Year Zero), comprende 8.761 documentos y archivos de una red aislada y de alta seguridad ubicada dentro del Centro de Ciber Inteligencia de la CIA en Langley (Virgina).
Estos documentos detallan cómo la agencia tenía capacidad para romper el cifrado de plataformas de mensajería como WhatsApp, Telegram y Signal. Esto se logra accediendo a los datos antes de que se aplique el cifrado en los dispositivos.
Este arsenal de herramientas incluye el malware empleado y docenas de exploits 0day contra un gran conjunto de productos de todo tipo, incluyendo desde iPhone, Android y Windows, hasta televisiones Samsung que podían convertirse en micrófonos al servicio de los espías.
WikiLeaks explica que recientemente la agencia perdió el control de su arsenal de hacking, incluyendo malware, virus, troyanos, exploits 0day, sistemas de control remoto de malware y documentación asociada. Cualquiera que disponga de toda esta información, que suma más de muchos cientos de millones de líneas de código, podría usarla para lanzar un ataque con las mismas capacidades que la propia CIA. Sin embargo, aclara que las notas publicadas no incluyen los códigos en sí, simplemente la información sobre cómo se cree que la CIA los está utilizando.
Wikileaks confirma que ha revisado cuidadosamente la divulgación incluida en "Año Cero" y que ha publicado la documentación relativa a la CIA, mientras que evita la distribución de "armas cibernéticas" hasta que se consiga un consenso sobre la naturaleza técnica y política del programa de la CIA y de qué forma deben analizarse, desarmarse y publicarse. "Wikileaks has carefully reviewed the "Year Zero" disclosure and published substantive CIA documentation while avoiding the distribution of 'armed' cyberweapons until a consensus emerges on the technical and political nature of the CIA's program and how such 'weapons' should analyzed, disarmed and published."En la presentación de WikiLeaks se realiza un breve análisis de los datos e informaciones filtradas, destacando varios apartados. Se señala que el malware y las herramientas de hacking de la CIA han sido desarrolladas por EDG (Engineering Development Group, Grupo de Desarrollo de Ingeniería), un grupo de desarrollo de software dentro del CCI (Centro para la Inteligencia Cibernética), un departamento perteneciente a la DDI (Dirección de Innovación Digital) de la CIA.
Este grupo ha sido el encargado del malware con objetivo iPhone, Android y Smart TVs. Desde octubre de 2014 la CIA también estaba estudiando la infección de los sistemas de control de vehículos utilizados por los coches y camiones modernos. También se destaca el malware para Windows, OSx, Linux o routers. Destacando el desarrollo de HIVE, una suite de malware multiplataforma y su centro de control (C2) asociado, capaz de cubrir Windows, Mac OS X, Solaris, Linux y otros dispositivos como routers.
Por otra parte se hace una especial relevancia en el gran número de exploits 0day (locales y remotos) desarrollados por la propia CIA, o conseguidos de GCHQ, la NSA, el FBI o comprados a contratistas especializados como Baitshop.
La cantidad de información, de archivos para analizar, es tan grande que llevará tiempo asimilar y descubrir todo lo que se esconde bajo esta nueva publicación de WikiLeaks. Con todo y con ello, las primeras reacciones no se han hecho esperar. Apple ha sido de las primeras que ha reaccionado y confirma que según sus análisis iniciales la mayoría de los problemas filtrados se encuentran parcheados en la última versión de iOS y continúan trabajando para corregir cualquier vulnerabilidad identificada.Here's Apple's statement on iOS-related stuff in the WikiLeaks CIA data dump. pic.twitter.com/QiAWx8ZXpT— John Paczkowski (@JohnPaczkowski) 8 de marzo de 2017
Cisco, por su parte, ha publicadouna entrada en su blog de seguridad en el que destaca principalmente el hecho de que WikiLeaks no ha publicado ninguna de las herramientas o exploits asociados al anuncio. Por lo que según Cisco, las acciones que pueden tomar son limitadas. Confirman que tienen una investigación en curso y un análisis centrado de las áreas de código a las que se alude en la divulgación. Hasta que se disponga de más información, todo indica que existe malware destinado a diferentes familias de dispositivos Cisco, incluyendo switches y routers. Pero por el momento las posibles acciones son limitadas, en el momento que el malware se publique Cisco procederá a su análisis y determinar su alcance.
Más información:
Vault 7: CIA Hacking Tools Revealedhttps://wikileaks.org/ciav7p1/index.html
The Wikileaks Vault 7 Leak – What We Know So Farhttp://blogs.cisco.com/security/the-wikileaks-vault-7-leak-what-we-know-so-far

Antonio Roperoantonior@hispasec.com
Twitter: @aropero

Se ha publicado la versión 4.7.3 de WordPress destinada a solucionar seis vulnerabilidades, que podrían permitir la realización de ataques de cross-site scripting y CSRF.
Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
Tres de las vulnerabilidades corregidas podrían permitir la realización de ataques de Cross-Site Scripting (XSS) a través de metadatos de archivos de medios, a través de la URL del vídeo en incrustados de YouTube o a través de nombres de términos de taxonomías. Un Cross-site request forgery (CSRF) en Publicar Esto, que lleva a un consumo excesivo de recursos del servidor.
Por otra parte, los caracteres de control pueden engañar a la validación de redirección de la URL y un último problema que podría dar lugar a que administradores borren archivos sin querer al usar la funcionalidad de borrado de plugins.
Además está versión contiene la corrección de otros 39 fallos (desde la versión 4.7.2) no relacionados directamente con problemas de seguridad.
Se recomienda la actualización de los sistemas a la versión 4.7.3 disponible desde: https://wordpress.org/download/ O bien desde el escritorio de WordPress, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.7.3.
Más información:
WordPress 4.7.3 Security and Maintenance Releasehttps://wordpress.org/news/2017/03/wordpress-4-7-3-security-and-maintenance-release/
WordPress 4.7.3: Actualización de seguridad y mantenimientohttps://es.wordpress.org/2017/03/06/wordpress-4-7-3-actualizacion-de-seguridad-y-mantenimiento/

Antonio Roperoantonior@hispasec.com
Twitter: @aropero

Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa cuatro nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio o elevar privilegios en el sistema.
El primer problema, con CVE-2016-8630, reside en una desreferencia de puntero nulo cuando el kernel de Linux está compilado con soporte de maquinas virtuales basadas en el Kernel (CONFIG_KVM). Podría permitir a atacantes remotos provocar condiciones de denegación de servicio.
Una condición de carrera que provoca un uso de memoria después de liberarla en la implementación de sockets raw en el subsistema de red del kernel de Linux al tratar la sincronización mientras se crea el búfer TPACKET_V3. Un usuario local capaz de abrir un socket raw podría utilizar esto para elevar sus privilegios en el sistema (CVE-2016-8655, Importante).
Por otra parte, con CVE-2016-9083, un fallo en la implementación VFIO del kernel de Linux. Un atacante que emita un ioctl puede crear una situación de corrupción de memoria y modificar la memoria fuera del área esperada. Esto puede permitir sobrescribir la memoria del kernel y alterar la ejecución del kernel.
Por último, con CVE-2016-9084, el uso de kzalloc con una multiplicación de enteros puede permitir un desbordamiento de entero en vfio_pci_intrs.c. En combinación con la vulnerabilidad anterior puede permitir a un atacante usar memoria sin asignar y provocar una condición de denegación de servicio.
Detalles sobre la aplicación de ésta actualización se encuentran disponibles en: https://access.redhat.com/articles/11258
Más información:
Important: kernel security, bug fix, and enhancement updatehttps://rhn.redhat.com/errata/RHSA-2017-0386.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Newsletter con las noticias y actividad del mes de febrero de 2107 en Criptored. Estas noticias las podrá encontrar en el histórico de Criptored del mes de febrero de 2107 en este enlace.http://www.criptored.upm.es/paginas/historico17.html#feb17
Actividad en el web de Criptored durante el mes de febrero de 2017:20/02/17: Publicada la píldora formativa Thoth 43 ¿Qué son y para qué sirven las funciones hash? (España)09/02/17: Primera llamada para el envío de trabajos al IX congreso CIBSI y IV taller TIBETS en la UBA Buenos Aires (Argentina)02/02/17: Hackathon de ciberseguridad del INCIBE en el congreso 4YFN/MWC de Barcelona (España)02/02/17: Primera llamada a la participación para las JNIC 2017 (España)02/02/17: Llamada al envío de trabajos para las XVII Jornadas Internacionales de Seguridad Informática (Colombia)01/02/17: Disponible el Newsletter de la revista Red Seguridad del mes de enero de 2017 (España)01/02/17: 30.000 descargas en un mes del informe MESI sobre certificaciones de seguridad (España)01/02/17: 14.803 accesos al MOOC Crypt4you en enero de 2017 (España)01/02/17: 6.032 visualizaciones de las píldoras del proyecto Thoth durante el mes de enero de 2017 (España)01/02/17: 8.019 visualizaciones de las lecciones de la enciclopedia Intypedia durante el mes de enero de 2017 (España)01/02/17: 38.620 accesos a Criptored y 82.892 descargas de documentos pdf, zip y mp3 en el mes de enero de 2017 (España)01/02/17: Newsletter de la actividad de Criptored en el mes de enero de 2017 (España)
También puede encontrar estas y otras noticias de la actividad de Criptored en la sección Debates del grupo en LinkedIn en el siguiente enlace: https://www.linkedin.com/grp/home?gid=8387069


Dr. Jorge Ramió, Dr. Alfonso Muñoz
twitter: http://twitter.com/#!/criptored

El Laboratorio Kaspersky ha publicado un informe centrado en las ciberamenazas financieras registradas por sus sistemas durante el pasado año 2016.https://securelist.com/analysis/publications/77623/financial-cyberthreats-in-2016/
El informe se divide claramente en los tres tipos de ataques principales de la actualidad: phishing, malware bancario y malware bancario para Android. Como aclaración hay que señalar que como ataques financieros se refieren a todos aquellos que tienen como objetivo un beneficio económico, en lo que incluyen ataques contra bancos, usuarios de banca, sistemas de pago, tiendas on-line y negocios con TPVs ampliamente utilizados.
Crecimiento de los ataques de
phishing financiero Según el informe de la compañía rusa la cantidad de ataques y de usuarios atacados comenzó a crecer de nuevo en 2016, tras dos años (2014 y 2015) de descenso.
En 2016, los ataques de phishing financiero han sido más frecuentes y han aumentado tanto en volumen como en profesionalización. Este tipo de fraude alcanzó casi la mitad (47,48%) de los ataques de phishing detectados, lo que significa un aumento de 13,14 puntos porcentuales respecto del año pasado.
De forma similar, en lo que se refiere al malware financiero durante el pasado año el laboratorio Kaspersky registró que el número de usuarios atacados con malware que buscaba datos económicos también volvió a incrementarse, tras descensos en los años 2014 and 2015.
En 2016 el número de usuarios atacados por troyanos bancarios creció en un 30.55%, de los cuales un 17.17% se trataba de usuarios corporativos. De esa cifra un 17.17% se trataba de usuarios corporativos. Según Kaspersky los países más afectados por el malware bancario fueron Rusia, Alemania, Japón, India, Vietnam y Estados Unidos.  La familia de malware más extendida sigue siendo el ya famoso Zbot (que atacó a un 44.08% de los usuarios), pero en 2016 la familia Gozi ha empezado a desafiar ese reinado con un fuerte incremento (17.22%).
Por último, el informe hace una mención especial a los troyanos bancarios para Android, como ya analizamos en múltiples ocasiones este tipo de fraude tuvo una especial repercusión e incremento durante el pasado año. Los laboratorios de Kaspersky describen un incremento exponencial desde mediados de año, con un incremento de hasta el 430% de usuarios que encontraron malware en su dispositivo Android. Los países más afectados por malware bancario para Android fueron Rusia, Australia y Ucrania. La firma responsabiliza de este incremento a dos familias de malware: Asacub y Svpeng, que afectaron a un gran número de usuarios, principalmente rusos.
Más información:
Financial cyberthreats in 2016https://securelist.com/analysis/publications/77623/financial-cyberthreats-in-2016/
una-al-dia (13/02/2015) Informe de Kaspersky sobre ciberamenazas financierashttp://unaaldia.hispasec.com/2015/02/informe-de-kaspersky-sobre.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Se ha confirmadouna vulnerabilidad en IBM DB2 (el popular gestor de base de datos de IBM), que bajo determinadas condiciones podría permitir a un atacante sin autenticar evitar los controles de acceso a una tabla. 
El problema, con CVE-2017-1150, puede permitir a un usuario adquirir privilegios incorrectamente en una tabla si ha sido creada con el mismo nombre que una tabla renombrada anteriormente. Durante una RENAME TABLE, un usuario mantiene privilegios en la tabla renombrada. Sin embargo, si se crea una nueva tabla con el nombre antiguo, el usuario también puede mantener incorrectamente sus privilegios en esa nueva tabla. El problema se debe a que la operación de cambio de nombre no actualiza la caché de autorización del usuario. El error se borrará cuando se desactive la base de datos o cuando se reinicie la instancia de DB2.
El problema afecta a versiones 10.1, 10.5 y 11.1 sobre sistemas Linux, HP, AIX, Solaris y Windows de los siguientes productos: IBM DB2 Express EditionIBM DB2 Workgroup Server EditionIBM DB2 Enterprise Server EditionIBM DB2 Advanced Enterprise Server EditionIBM DB2 Advanced Workgroup Server EditionIBM DB2 Direct Advanced EditionIBM DB2 Direct Standard EditionIBM DB2 Connect Application Server EditionIBM DB2 Connect Enterprise EditionIBM DB2 Connect Unlimited Edition for System iIBM DB2 Connect Unlimited Edition for System z
IBM ha publicado la versión 10.1 FP6 que soluciona el problema disponible desde Fix Central. http://www-01.ibm.com/support/docview.wss?uid=swg24043366También ha publicado los siguientes parches:Para 10.1 IT15485 http://www-01.ibm.com/support/docview.wss?uid=swg1IT15485Para 10.5IT19399 http://www-01.ibm.com/support/docview.wss?uid=swg1IT19399 Para 11.1.1IT19400 http://www-01.ibm.com/support/docview.wss?uid=swg1IT19400
Más información:
Security Bulletin: Information Disclosure vulnerability affects IBM® DB2® LUW (CVE-2017-1150)http://www-01.ibm.com/support/docview.wss?uid=swg21999515


Antonio Roperoantonior@hispasec.com
Twitter: @aropero

Cisco ha confirmadouna vulnerabilidad en el decodificador del protocolo Stream Control Transmission (SCTP) de los dispositivos Cisco NetFlow Generation Appliance que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio. 
Cisco NGA 3340El problema, con CVE-2017-3826, se debe a una validación incompleta de los paquetes SCTP que se monitorizan en el puerto datos del dispositivo. Un atacante podría aprovechar la vulnerabilidad mediante el envío de paquetes SCTP en una red afectada. Los paquetes direccionados a la IP del propio NGA no provocan el fallo. Un ataque con éxito podría provocar que el dispositivo deje de responder o su reinicio, con la consiguiente condición de denegación de servicio. Podrá ser necesaria la acción del administrador para recuperar el dispositivo mediante el comando reboot en la línea de comandos.
El problema afecta a los dispositivos Cisco NetFlow Generation Appliances 3140, 3240 y 3340. Cisco ha publicado la versión de software 1.1(1a) que soluciona la vulnerabilidad y que puede descargarse desde https://software.cisco.com/download/navigator.htmlEn Products > Cloud and Systems Management > Routing and Switching Management > NetFlow Generation 3000 Series Appliances.Cisco no ha publicado versión actualizada para NGA 3140 debido a que terminó su soporte en enero de 2014.
Más información:
Cisco NetFlow Generation Appliance Stream Control Transmission Protocol Denial of Service Vulnerabilityhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170301-nga


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Trend Micro ha publicadouna nueva versión de Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5, destinada a resolver diversas vulnerabilidades que podrían llegar a permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.  Un usuario remoto autenticado podría enviar una petición HTTP específicamente creada para modificar la contraseña de administrador y elevar privilegios en el sistema atacado. De forma similar mediante el envío de datos específicos un atacante autenticado podrá lograr la ejecución de comandos arbitrarios.
El sistema no filtra adecuadamente el código HTML antes de mostrar la entrada, lo que puede facilitar la realización de ataques de cross-site scripting. Trend Micro confirma que incluso se podrían consumar XSS almacenados, la modalidad más grave de este tipo de ataques.
Los cross-site scripting almacenados o persistentes sin duda resultan la modalidad más peligrosa de estos ataques. Igualmente se producen al no comprobar los datos de entrada en una web, normalmente formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la web legítima).
Se han asociado los CVE-2016-9269 y CVE-2016-9314 al CVE-2016-9316.
Trend Micro ha publicadola Versión 6.5 CP 1737 que soluciona los problemas.
Más información:
SECURITY BULLETIN: Trend Micro InterScan Web Security Virtual Appliance (IWSVA) 6.5 Multiple Vulnerabilitieshttps://success.trendmicro.com/solution/1116672
KL-001-2017-001 : Trendmicro InterScan Arbitrary File Writehttps://www.korelogic.com/Resources/Advisories/KL-001-2017-001.txt
KL-001-2017-002 : Trendmicro InterScan Privilege Escalation Vulnerability https://www.korelogic.com/Resources/Advisories/KL-001-2017-002.txt
KL-001-2017-003 : Trendmicro InterScan Remote Root Access Vulnerabilityhttps://www.korelogic.com/Resources/Advisories/KL-001-2017-003.txt


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Recientemente el Departamento Antifraude de Hispasec se ha encontrado con una muestra de malware que afecta a entidades colombianas, y que intenta afectar a los usuarios a través de un falso email de factura.

Si has recibido un e-mail como se muestra anteriormente, y además has ejecutado el binario que acompaña adjunto a este correo, entonces has caído en la infección de este troyano bancario.
Este malware, xe3u, cuenta con un "dropper" que comprueba que no se esté depurando el binario. Es éste el que descarga el binario malicioso, y realiza comprobaciones similares al "dropper" anteriormente mencionado. Una vez la victima está infectada, comienza a monitorizar los sitios web que el usuario visita, esperando a que entre en algún sitio de interés, esto es un banco. Además, de esta manera, evita atacar sobre sitios innecesarios para no levantar sospechas. Se comunica a través de un servidor IRC; que mantiene similitudes con el script por defecto que podemos encontrar a continuación:





























A pesar de ser similar a éste archivo de configuración, su principal uso en este caso no es el de organizar una botnet para hacer ataques de denegación de servicio sino para la transmisión y robo de credenciales. A continuación podemos observar como modifica el login una vez estamos infectados. En la primera captura, podemos ver un fallo legítimo, sin embargo en el segundo saca al usuario de la sesión sin estar autenticado.



El troyano detecta que el usuario ha entrado en la web del banco, y comienza a monitorear la actividad que ocurre dentro. Una vez el cliente se autentica, recibe un falso mensaje de error en el login, y será entonces cuando el troyano reciba el OK para poder transmitir las credenciales:


Una vez ha robado la información, la envía a través de IRC al atacante; que recibe los datos obtenidos durante el proceso de autenticación.


Entre las entidades afectadas, se encuentran:https://www.bancocorpbanca.com.cohttps://www.lifemiles.comwww.grupobancolombia.comwww.banco.colpatria.com.cohttps://www.avvillas.com.cohttps://www.bbva.com.cohttps://www.bancodebogota.comwww.bancoagrario.gov.cohttps://www.citibank.com.cohttps://www.bancopopular.com.co
Como se puede observar, las entidades afectadas son colombianas, por lo que se trata de un troyano bancario dirigido específicamente a este país. Como siempre recomendamos extremar la precaución ante este tipo de amenazas, además de contar con mecanismos de protección como antivirus. Sin embargo, lo más prudente es evitar abrir e-mails de dudosa procedencia o que no confiemos en quien lo envía.

Fernando Díazfdiaz@hispasec.com

Se le acumulan los problemas a Microsoft. Cuando aun seguimos a la espera de los parches para dos vulnerabilidades conocidas, Google ha dado a conocer una grave vulnerabilidad en los navegadores Internet Explorer y en Edge.
La vulnerabilidad, con CVE-2017-0037, reside en un error de confusión de tipos en HandleColumnBreakOnColumnSpanningElement() cuando se carga código html específicamente manipulado. El fallo podría permitir la ejecución remota de código arbitrario.
El pasado 25 de noviembre Ivan Fratric del equipo de Project Zero Google comunicó el problema a Microsoft. Y como es habitual, siguiendo su política de publicación 90 días después de su reporte a la firma responsable se hace público de forma automática.
Mientras tanto, y tras retrasarla publicación de actualizaciones este mes de febrero, seguimos a la espera del próximo 14 de marzo para que Microsoft ofrezca los necesarios parches. Cabe recordar que esta vulnerabilidad viene a sumarse a otras dos públicamente conocidas y aun sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado también por Project Zero, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038).
Más información:
Microsoft Edge and IE: Type confusion in HandleColumnBreakOnColumnSpanningElementhttps://bugs.chromium.org/p/project-zero/issues/detail?id=1011
una-al-dia (22/02/2017) Microsoft publica actualización, pero solo para Flashhttp://unaaldia.hispasec.com/2017/02/microsoft-publica-actualizacion-pero.html
una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzohttp://unaaldia.hispasec.com/2017/02/microsoft-retrasa-sus-parches-de.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero

La suite ofimática de código abierto LibreOfficese ha actualizadorecientemente para corregir una vulnerabilidad en Calc y Writer que podría permitir a un atacante obtener el contenido de cualquier archivo del sistema.
LibreOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).
El problema, con CVE-2017-3157, reside en un problema en el uso de objetos incrustados en Calc y Writer. Estos objetos pueden contener una vista previa de su contenido. Un atacante podrá crear un documento que incluya un objeto incrustado consistente en un enlace a un archivo existente en el sistema atacado. Al cargar la previsualización el objeto se actualizará para reflejar el contenido del archivo.
Si LibreOffice se emplea como un servicio online la vista previa de datos podrá empelarse para exponer detalles del entorno en que se ejecute la suite. En el caso de que Calc o Writer se usen como aplicación de escritorio estándar, la vista previa podría ocultarse en secciones ocultas que podrán ser recuperadas por el atacante si el documento se guarda y devuelve al remitente.
En las versiones corregidas de LibreOffice se ha ampliado la característica LinkUpdateMode para añadir controles adicionales a la actualización de vistas previas de objetos incrustados, así como su función anterior para controlar la actualización del contenido del objeto incrustado.
Esta vulnerabilidad se encuentra corregida en LibreOffice 5.1.6, 5.2.5 y 5.3.0 que se encuentran disponibles para su descarga desde la página oficial: http://es.libreoffice.org/descarga/
Más información:
CVE-2017-3157 Arbitrary file disclosure in Calc and Writerhttp://www.libreoffice.org/about-us/security/advisories/cve-2017-3157/


Antonio Roperoantonior@hispasec.com
Twitter: @aropero

Un grupo de investigadores ha anunciadoque han logrado desarrollar una técnica que hace práctico para elaborar dos archivos con la misma huella digital SHA-1. 
Por supuesto, como es habitual en los últimos años un descubrimiento de estas características necesitaba un nombre atractivo, una página web y un logo chulo: SHAttered http://shattered.io/
Hay que recordar que una función hash no cifra, sino que crea un resumen o "firma" de un conjunto de datos, que es pasado como parámetro a esta función. Así, nos es útil para verificar la integridad, por ejemplo, de un archivo. Tan solo tenemos que aplicar dicha función sobre el archivo recibido y verificar que el hash obtenido es el mismo que el anunciado por el emisor.
Un "hash" es una función criptográfica que produce una salida de longitud fija a partir de una entrada arbitrariamente larga. Un buen "hash" debe cumplir las siguientes propiedades:
a) El resultado final no debe dejar traslucir ninguna información sobre los datos originales.
b) Dado un resultado determinado, no hay otro sistema aparte de la fuerza bruta que genere datos de entrada capaces de producir dicho resultado.
c) Dados unos datos de entrada y su "hash", no debe haber un atajo (aparte de la fuerza bruta) para generar otros datos de entrada distintos y con el mismo "hash".
SHAttered
10 años después de la introducción del algoritmo SHA-1 como función hash, se ha anunciado la primera técnica práctica para generar una colisión. Esto es dado un "archivo A", generar otro "archivo B" que produzca el mismo hash que el del "archivo A".
Tras dos años de investigación y la colaboración del CWI Institute en Amsterdamy Google, este equipo de investigadores ha conseguido crear un método para generar colisiones. Como prueba del ataque, publican dos archivos PDF que tienen hash SHA-1 idénticos pero con contenido diferente (PDF 1 y PDF 2).
En la actualidad, muchas aplicaciones todavía dependen de SHA-1, a pesar de que fue oficialmente desaprobado por el NIST en 2011. Esperamos que esta demostración práctica aumentará la conciencia y convenza a la industria, de manera definitiva, a migrar a alternativas más seguras, como SHA-256 o superiores.

Por otra parte el propio SANS señalaque en la práctica poco han cambiado las cosas. El ataque sigue considerándose complicado y según el instituto, para muchas aplicaciones, SHA-1 seguirá siendo un nivel adecuado de protección. Sin embargo, presenta un riego alto en entornos y aplicaciones donde los niveles de confianza sean máximos, como: la banca, los contratos legales o las firmas digitales. Un uso muy común de SHA-1 es para la integridad de archives, incluso Git y muchos desarrolladores y compañías lo emplean con ese propósito.

La complejidad del ataque aún sigue siendo elevada, y requiere una gran potencia de cálculo. El ataque requirió más de 9,223,372,036,854,775,808 cálculos SHA1. Esto conlleva una potencia de procesamiento de unos 6.500 años para una sola CPU o 110 años de cálculos GPU. A pesar de ello, SHAttered es 100.000 veces más rápido que el ataque de fuerza bruta que se basa en la paradoja del cumpleaños y que requeriría 12 millones de años de cálculos GPU.
También desde VirusTotal confirman que ya han encontrado más ejemplos de colisiones SHA-1.more SHA1 collisions.https://t.co/qPegYnjLl6https://t.co/y33sExu610— Karl Hiramoto (@karlhiramoto) 24 de febrero de 2017
Como es habitual Google sigue su política de publicación de detalles sobre las vulnerabilidades, por lo que la información completa sobre el ataque no se publicará hasta dentro de 90 días. Esto da tiempo para que muchos empiecen a migrar a sistemas de hash más seguros como SHA-256.
Tras un muy superado MD5, Bruce Schneier ya nos avisaba 10 años atrás que la vida de SHA-1 no iba a ser muy larga. Incluso desde Hispasec, en una-al-día, mucho antes ya informábamosen varias ocasionesde los avances que se efectuaban al reducir la complejidad de romper este algoritmo. De hecho, desde hace unos pocos años se recomendaba no usarlo para la firma de certificados digitales hasta que, definitivamente, la industria optó por dar dejar de confiar en certificados SSL a partir del año pasado.
Más información:
SHAtteredhttp://shattered.io/
Announcing the first SHA1 collisionhttps://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
Practical collision attack against SHA-1https://isc.sans.edu/forums/diary/Practical+collision+attack+against+SHA1/22109/
una-al-dia (04/09/2005) Colisiones en MD-5 y SHA-1http://unaaldia.hispasec.com/2005/09/colisiones-en-md-5-y-sha-1.html
una-al-dia (14/06/2009) Se reduce la complejidad para provocar colisiones en SHA1
http://unaaldia.hispasec.com/2009/06/se-reduce-la-complejidad-para-provocar.htmlCryptanalysis of SHA-1https://www.schneier.com/blog/archives/2005/02/cryptanalysis_o.html
Gradually sunsetting SHA-1 https://security.googleblog.com/2014/09/gradually-sunsetting-sha-1.html
Antonio Roperoantonior@hispasec.comTwitter: @aropero