Category Archives: Vulnerabilidades

KRACK rompe la seguridad de WPA2, ¿La vulnerabilidad del año?

WPA2 es el protocolo de seguridad WIFI más utilizado alrededor del mundo para proteger redes inalámbricas con una contraseña. Este protocolo fue vulnerado el pasado 16 de Octubre por Mathy Vanhoef y le dio el nombre de KRACK al exploit en alusión de cómo vulnerar el protocolo. 

La buena parte de la noticia es que al menos por el momento, el protocolo WPA2 tiene una porción de seguridad física, cómo todos los protocolos de cifrado tiene 2 partes, por ello, el atacante tendrá que estar tan cerca de tu router como para que tenga cobertura de Wi-Fi. Es decir, tendría que ser tu vecino y tendría que saber usar las herramientas para ello. Por ello todavía el pánico no ha sido tan fuerte. También es importante destacar que la vulnerabilidad no afecta a otras capas de seguridad. Por lo que a pesar de que tus comunicaciones puedan ser monitoreadas si éstas utilizan https o son comunicaciones cifradas punto a punto cómo las de las versiones recientes de whatsapp no podrán ser leídas por el atacante.

Es importante tomar en cuenta esta debilidad a la hora de utilizar redes hogareñas (ya que rara vez el firmware de los enrutafores es actualizado) y redes wifi de lugares públicos. 

Es importante manterse al día de cómo se ha ido tratando este vulnerabilidad por cada fabricante en el siguiente enlace: Github 

Referencias

https://www.krackattacks.com/

http://www.bbc.com/news/av/technology-41641814/krack-wi-fi-security-flaw-explained

https://www.computerworld.com/article/3233198/microsoft-windows/microsoft-shuts-down-krack-with-sneaky-windows-update.html

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080

(14)

Petya otro ransomware que anda suelto

El pasado martes 27 de junio surgió en Europa otra ola de ataques de un ransomware similar a WannaCry, sin embargo, se considera que es una variante de Petya.A, Petya.D o PetrWrap. Todo parece indicar que Petya está utilizando un exploit llamado EternalBlue que también fue utilizada en los ataques de Wannacry.

Está vez los ataques se han centrado en Europa y ha puesto en riesgo grandes empresas de Europa del Este. 

(4)

Conficker otra vez!!!

Hace 8 años, el 21 de noviembre de 2008 Conficker dió un duro golpe y desde entonces anda suelto y no ha habido forma de eliminarlo completamente!.

Recordemos que Conficker se dirige a los equipos con sistema operativo Windows y compromete sus carpetas “home”. Alrededor de 190 países reportaron infecciones tanto en el entorno público cómo el privado. Conficker además de vulnerar diferentes versiones de windows se ha propagado utilizando diferentes métodos, inyecciones de código malicioso, phishing con adjuntos infectados y vulnerabilidades de parcheo que craquean las contraseñas de windows y las incluye en redes de embotellamiento. Se estima que hay alrededor de 11 millones de equipos infectados en la actualidad. En la Universidad las formas más comunes de infección han sido por el phishing y a través de las carpetas compartidas en la red.

Desde la DTES hemos indicado en varias ocasiones de los riesgos que se tienen al momento de compartir archivos de windows entre diferentes dependencias ya que una máquina infectada puede propagar el gusano de forma simultánea a muchas áreas de la Institución por lo que instamos a revisar esas carpetas compartidas y tratar en lo posible de no usar esta práctica de forma diaria.

Recientemente desde VenCERT hemos recibido notificaciones de equipos en la Universidad infectados con este molesto gusano por lo que les recomendamos descargar esta herramienta de ESET para eliminarlo.

 

(12)

Vulnerabilidades en Moodle

Moodle es una de las plataformas educativas de código abierto que permite a profesores, maestros y educadores crear y gestionar tanto usuarios como cursos de modalidad a distancia.

Moodle ha publicado 10 boletines de seguridad (del MSA-15-0037 al MSA-14-0046), y tienen asignados los identificadores CVE-2015-5331, CVE-2015-5332 y del CVE-2015-5335 al CVE-2015-5342.

“Dos de ellos son considerados como serios y el resto como de gravedad menor. Las vulnerabilidades podrían permitir ataques Cross Site Scripting (XSS), Cross-Site Request Forgery, eliminar o modificar respuestas incluso con cuestionarios cerrados, saltar controles de seguridad, crear ataques de denegación de servicio o permitir el envío de mensajes a usuarios que tengan bloqueada la recepción si no está entre sus contactos.” Indicó Antonio Ropero de Hispasec.

Las versiones 2.9.3, 2.8.9 y 2.7.11 son todas vulnerables, ya Moodle publicó las correcciones correspondientes y pueden descargarse en su página oficial:
http://download.moodle.org/

Más información:
https://moodle.org/security/
http://unaaldia.hispasec.com/2015/11/multiples-vulnerabilidades-en-moodle.html?m=1

(109)

Moose, el gusano al que le gustan las redes sociales

Moose

Un gusano que se aloja en módems, routers domésticos y otros computadores integrados están convirtiendo esos dispositivos en una red de proxy para el lanzamiento de cuentas masivas en redes sociales cómo: Instagram, Twitter y Vine, así como cuentas falsas en otras redes sociales.

El nuevo gusano también puede secuestrar servicios de DNS, robar las cookies no cifradas de medios sociales, como los utilizados por Instagram, y luego usar esas cookies para agregar “sigue” a cuentas fraudulentas. Esto permite al gusano para propagarse a los sistemas integrados en la red local que utilizan los sistemas operativos basados ​​en Linux.

El malware, conocido como “Moose” por Olivier Bilodeau y Thomas Dupuy de la firma de seguridad ESET Canadá, explota routers que disponen de conexiones de Internet a través de Telnet mediante la realización de ataques de fuerza bruta utilizando credenciales administrativas comunes o por omisión. Una vez conectado, el gusano se instala en el dispositivo de destino y comienza a crear las credenciales falsas.

Afortunadamente, Moose no tiene persistencia en un router u otro dispositivo informático integrado. Una vez que el router está apagado, se reinicia sin el malware. Pero si se deja mal configurado, routers que se restablecen podría ser re-infectados rápidamente por otros routers o dispositivos de la red local que han sido comprometidos.

Más información en:

http://arstechnica.com/security/2015/05/the-moose-is-loose-linux-based-worm-turns-routers-into-social-network-bots/

http://www.welivesecurity.com/2015/05/26/moose-router-worm/

(57)