Google Play Protect, el "antivirus" de serie en Android que hasta ahora protege de forma estática a los usuarios, tendrá una versión en tiempo real. Un momento… Pero si hasta hace nada el malware no existía en Android. Existían las PHA, como mucho. ¿Qué ha pasado? Hilo¬ Ha pasado lo que tenía que pasar. Andrian Ludwig, lideró la seguridad de Android desde mayo de 2011 hasta diciembre de 2017. Durante ese periodo, negó sistemáticamente la existencia de malware (usaba eufemismos) en Android y aseguró que no es necesario protegerse.

Nunca dejará de sorprenderme el peso que tienen las técnicas “tradicionales” y los “viejos trucos” en los ataques más sofisticados. Por ejemplo, el grupo chino Flax Typhoon, que ha atacado organizaciones en Taiwán, utiliza una variante del reemplazo de las sticky keys. Hilo¬ Microsoft ha detallado el ataque de esta banda. En resumen, suelen entrar por ataques web explotando vulnerabilidades conocidas. Una vez en el servidor, instalan un web shell como “china chopper” para operar cómodamente y elevan con alguna variante de las técnicas “potato”.

¿Cuánto cuestionamos lo que todo el mundo hace? En 2009 se descubrió que una herramienta de seguridad indispensable en Windows desde 1997… no servía para nada. Reconocido por el propio autor @markrussinovich: “se asumió que otro sabría exactamente cuál era el problema”. Hilo¬ El SID (Security Identifier) es un código en Windows que define internamente a objetos y usuarios. Cuando alguien se autentica en Windows, la Local Security Authority Subsystem (Lsass.exe) crea una sesión de logon y un token resultado del SID de la cuenta + grupos + privilegios.

El fallo CVE-2023-23397 corregido este mes, es interesante. Microsoft lleva lidiando con los relay attacks, PassTheHash… 20 años. Y sigue. Esta vez la gracia es que se abusa de la posibilidad de que el atacante establezca el sonido de una alerta de correo en Outlook. Hilo¬ CVE-2023-23397 es el último ejemplo de un fallo recurrente desde los tiempos de Outlook Express. En resumen, un atacante envía una ruta UNC (del tipo \\1.2.3.4\) y el cliente sin pudor respondía con un intento de autenticación NTLM que capturaría y aprovecharía el atacante.

Si usas 7zip, puede que te interese activar esta opción "Propagate Zone. Id stream" en el menú. ¿Por qué? Porque así Windows te protege un poquito más, marcando con MOTW (mark of the web) no solo al ZIP descargado sino al archivo interno. Hilo¬ Casi todo lo que se baja con navegador (y otros programas) a un disco duro con NTFS viene marcado con un metadato que puedes quitar, pero no se recomienda. Se ve con el botón derecho, propiedades: ¿para qué sirve?

Ya estamos viendo ataques que parecen campañas de APT y que aprovechan el fallo CVE-2022-30190 (Follina). Son más sofisticados y combinan técnicas ya conocidas para pasar desapercibidos y otras muy similares al ataque original descubierto con esta vulnerabilidad. Hilo¬ El base64 de arriba es lo que se encuentra en esta página. 360qzone[.]com. El p.mp4 en realidad es un zip que contiene un archivo legítimo LogiMailApp.exe de Logitech y una DLL maliciosa logiMail.dll. Este ejecutable intentará cargar esa DLL desde el mismo directorio primero.

Si te sale esta pantalla al abrir un Word, cuidado. Una nueva fórmula de ejecutar código en documentos Office con tres características preocupantes: Sin necesidad de macros. Sin necesidad de adjuntar el documento al email o de que el documento sea malicioso de por sí. Hilo¬ Lo que se ha visto que están aprovechando atacantes es un Word que se trae un HTML de un servidor (ahí está la carga) que a su vez utiliza el protocolo MS-MSDT (Microsoft Diagnostic Troubleshooting ) para cargar código (en este caso PowerShell). (fuente ISC SANS).

Uno de los primeros “wipers” (malware que borra ficheros sin capacidad de recuperarlos) famosos en España, lo creó un melillense enamorado en 2001.
Mostraba además este mensaje:

41.239.149.113.518.225.191.911.272.214.491

veces en pantalla. Hilo¬ LittleDavinia se distribuía por correo y páginas web. La web descargaba automáticamente un documento LD.DOC gracias a una vulnerabilidad en la que un ActiveX que venía con Office 2000, estaba marcado por error como ”safe for scripting”. O sea, se podía invocar por JavaScript.

Se acumulan las vulns de elevación en el Kernel Linux. Por un lado tenemos “dirty pipe”, que lleva ahí desde 2020 y es trivial de explotar (y aun así, se necesitaron meses para comprender el fallo). Por otro, CVE-2022-0492 y CVE-2021-4034 que también permiten elevar. Hilo¬ Max Kellermann necesitó meses para entender por qué a un cliente de una distro se le corrompían ficheros. Después indagar, entendió cómo convertir un error en una elevación. Primero escribiendo desde una cuenta no privilegiada una clave en el fichero de claves SSH… de root.

Vaya melón se ha abierto con el fallo ProxyLogon en Exchange. Este mes la NSA no solo ha reportado más fallos graves en Exchange para su solución sino que se ha tomado la libertad de “limpiar” sistemas de terceros comprometidos… sin permiso del dueño. Veamos los detalles. Hilo¬ Este martes Microsoft ha corregido 114 vulnerabilidades. Entre ellos cuatro nuevos fallos de Exchange que han sido encontrados por la NSA. Muy graves, permite ejecución de código sin autenticación. Recuerdan a ProxyLogon por su facilidad y gravedad.

El malware para Android es siempre interesante. Incluso con sus limitaciones por las estrecheces del SO, consigue no solo hazañas sino colarse en Google Play cada poco. Esta nueva muestra intercepta las notificaciones de WhatsApp, las contesta y se propaga a esos contactos. Hilo¬ La muestra ha pasado las barreras de seguridad del market. La aplicación (un supuesto servicio falso para ver contenido de Netflix) se encargaba de esconderse como servicio una vez instalado. A partir de ahí se superpone sobre nuevas ventanas para intentar robar credenciales.

¿Estás oyendo las noticias del ataque SAD DNS y te cuesta entenderlo? Tranquilo, es complejo entenderlo bien. Pero voy a intentar explicar desde mi punto de vista la parte interesante del ataque más importante a Internet desde el fallo de Kamisnky en 2008. Otro punto para 2020. ¬ Para falsear una petición DNS y devolverle al cliente una mentira, el atacante debe saber el TxID (transaction ID) y el puerto origen UDP desde el que la víctima realiza la consulta al servidor principal. Con esto bombardea al resolvedor, que creerá recibir la respuesta original.

112 vulnerabilidades ha corregido Microsoft este martes. Pero la noticia es que ha remodelado por completo su página web en las que anuncia las vulnerabilidades y, ojo, que se ha adaptado a los estándares ofreciendo el valor CVSS de cada CVE. Pero... algo ha hecho mal ¬ Ha eliminado una explicación que siempre daba en cada fallo. Un pequeño párrafo en el que explicaba con un lenguaje natural cómo afectaba la vulnerabilidad, a qué componente, su gravedad, impacto y sus consecuencias. Algo que todos podían entender.

Cosas chulas que tiene Conti, el ransomware más rápido del Oeste. 32 hilos de CPU en paralelo, pero… ¿para qué? Interesante la diferencia entre el ransomware "doméstico" y el "industrial". Hilo ¬ Ha sido Carbon Black quien ha analizado una nueva versión de Conti, descubriendo nuevos niveles de sofisticación. Conti utiliza 32 hilos simultáneos de CPU. Esto permite que cifre muy rápido todo el disco duro que se le ponga por delante, o en remoto a "vecinos de red".

En estos días, Zoom se está sintiendo un poco Windows. Analizado por todos los frentes, diana de todos los ataques. En tres meses ha pasado de 10 millones de reuniones diarias a más de 200. Si te has perdido un poco en todos sus fallos y ataques aparecidos, hilo con resumen ¬. Por supuesto, aprovechar el tirón mediático para robar SEO. Check Point ha detectado en los últimos tiempos hasta 1700 dominios con la palabra “Zoom”. Al menos 70 maliciosos. Y también malware (ejecutables) que han renombrado también con esa palabra.

Lo que está pasando con el ataque a OpenPGP es verdaderamente grave, un desastre en palabras de los afectados que mantienen el protocolo. Robert J. Hansen, que ha comunicado el incidente, ha calificado literalmente de “hijo de puta” al atacante. Más información abajo: En la red de pares de certificados públicos, donde cualquiera puede encontrar la clave pública PGP de una persona, no se borra jamás nada, nunca. Esto se decidió así por diseño para resistir a los potenciales ataques de gobiernos que quisieran censurar.

El informe que hace el Office of Inspector General de la NASA, de su propio JET (Jet Propulsion Laboratory) es demoledor. Tras denunciar su seguridad en marzo, se publica el informe que habla de intrusiones durante un año y unas prácticas pésimas de seguridad. Hilo👇 El JPL ha sufrido 6 incidentes de seguridad en los últimos 10 años. Quizás el más grave se mantuvo de abril del 18 hasta hace poco. Se llegó a la red por una Raspberry Pi ahí conectada a una red sin monitorización, plana y compartida. Hay ataques en 2009, 2011, 2014, 2016 y 2017.