Fecha de publicación: 16/10/2017 |
Importancia: Crítica |
Recursos afectados
Dispositivos que utilizan redes inalámbricas a través del protocolo WPA2, tanto puntos de acceso y routers como clientes wifi, como teléfonos móviles o equipos portátiles. Actualmente se han confirmado los siguientes dispositivos como vulnerables: Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys entre otros. Para ampliar información puede ponerse en contacto con su proveedor. Nota: A medida que se conozcan versiones y sistemas operativos afectados se completará esta información. |
Descripción
Se ha descubierto una importante vulnerabilidad en el protocolo de cifrado de comunicaciones inalámbricas WPA2. Según los detalles publicados, esta vulnerabilidad permite que en algunos casos un atacante pueda capturar y descifrar el tráfico de una red WiFi que utilice cifrado WPA2. Aunque la vulnerabildad no permite descubrir la contraseña utilizada, si es posible capturar y descifrar todo el tráfico a partir de un fallo en el proceso de intercambio de claves de cifrado utilizadas en la comunicación entre el punto de acceso y los clientes de la red. |
Solución
Aún no se conoce una solución para esta vulnerabilidad. Nota: Las actualizaciones con los diferentes parches se irán publicando por los distintos fabricantes de dispositivos y sistemas operativos, y se completará esta información a medida que se conozcan. Las recomendaciones para mitigar esta vulnerabilidad son las siguientes:
|
Detalle
La vulnerabilidad descubierta en el protocolo WPA2 se produce en el proceso de intercambio de claves (handshake) entre el punto de acceso y el cliente. Este proceso de intercambio de claves tiene 4 pasos. En el paso 3 del mismo es donde se puede producir un ataque, forzando a los clientes a reinstalar la clave ya intercambiada y permitiendo a partir de esa nueva reinstalación reiniciar los parámetros asociados (números de paquetes trasmitidos, vectores de inicialización (nonce) paquetes enviados o reenviados, etc.). Estos ataques se producen debido a la posibilidad de volver a utilizar la misma clave con valores nonce que ya se utilizaron en otro momento de la comunicación, facilitando de esta manera que un mensaje con un contenido conocido vuelva a ser enviado y ser utilizado para descifrar mensajes con el mismo valor. Al reiniciar estos parámetros, el protocolo de cifrado puede verse comprometido y ser atacado descifrando la comunicación, reenviando paquetes, etc. Esta vulnerabilidad se ha demostrado utilizando un conjunto de técnicas que han sido denomidadas como key reinstallation attacks (KRACKs). Se ha publicado un vídeo con una prueba de concepto de esta vulnerabilidad: |
Referencias Key Reinstallation Attacks vanhoefm/krackattacks Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 |
Dos semanas después de wannacry, y los parches para el resto…..
mayo 30th, 2017 | Posted by in Alertas - (0 Comments)Han pasado casi dos semanas desde que el programa de rescate de WannaCry comenzó a propagarse, infectó casi 300.000 computadoras en más de 150 países en tan sólo 72 horas. Aunque Microsoft publicó los parches para las vulnerabilidades de SMB de WannaCry, la compañía aún no lanzó los parches para las otras tres herramientas de hacking publicadas por NSA, denominadas “EnglishmanDentist”, “EsteemAudit” y “ExplodingCan”.
Se ha confirmado una grave vulnerabilidad en Samba (todas las versiones superiores a 3.5.0), que podría permitir a un atacante remoto ejecutar código arbitrario desde un compartido en el que se pueda escribir.
Samba permite que los sistemas operativos que no sean Windows, como GNU / Linux o Mac OS X, compartan carpetas compartidas de red, archivos e impresoras con el sistema operativo Windows.
TA17-132A: Indicators Associated With WannaCry Ransomware
mayo 15th, 2017 | Posted by in Alertas | Análisis Forense / Vulnerabilidades | Publicaciones - (0 Comments)Original release date: May 12, 2017 | Last revised: May 15, 2017
Systems Affected
Microsoft Windows operating systems
Overview
According to numerous open-source reports, a widespread ransomware campaign is affecting various organizations with reports of tens of thousands of infections in as many as 74 countries, including the United States, United Kingdom, Spain, Russia, Taiwan, France, and Japan. The software can run in as many as 27 different languages.
The latest version of this ransomware variant, known as WannaCry, WCry, or Wanna Decryptor, was discovered the morning of May 12, 2017, by an independent security researcher and has spread rapidly over several hours, with initial reports beginning around 4:00 AM EDT, May 12, 2017. Open-source reporting indicates a requested ransom of .1781 bitcoins, roughly $300 U.S.
This Alert is the result of efforts between the Department of Homeland Security (DHS) National Cybersecurity and Communications Integration Center (NCCIC) and the Federal Bureau of Investigation (FBI) to highlight known cyber threats. DHS and the FBI continue to pursue related information of threats to federal, state, and local government systems and as such, further releases of technical information may be forthcoming. (más…)
Alerta ante multivirus ‘Rex Linux’: ransomware, ataques DDoS y minería bitcoin
agosto 25th, 2016 | Posted by in Alertas - (0 Comments)Conforme avanza la tecnología informática y los sistemas de seguridad, también hay adelantos en la confección de software malicioso y sus métodos de ataque. Es una carrera casi infinita cuyos competidores no se detienen y buscan nuevas formas para ganarla.
La semana pasada se descubrió que un troyano altamente contagioso convertía equipos con Linux en mineros de bitcoins, una novedad en el mundo de las criptomonedas y en el de ataques informáticos. Hoy, se informa sobre un nuevo troyano llamado Rex Linux que posee la facultad de realizar ataques de denegación de servicio (DDoS), ejecutarse como un ransomware y convertir el equipo en un minero de bitcoins. (más…)
Investigadores de la empresa Nightwatch Cybersecurity han descubierto una forma de hacer que se cuelguen navegadores como Chrome o Firefox, tanto en sus versiones móviles como en versiones de ordenador. Para ello, utilizan las sugerencias de búsqueda que ofrecen estos navegadores, tanto en la propia barra de dirección URL, o en un apartado a la derecha de ésta.
Este fallo ha sido encontrado en la versión de escritorio y móvil de Firefox y Chrome, entre otros navegadores menores como el navegador AOSP De Android. Internet Explorer y Edge no están afectados, y Safari tampoco (a pesar de que un fallo similar fue descubierto y arreglado a principios de año, afecantdo a iOS y OS X). (más…)
Chrome: Cada día lo “siento” más vulnerable…
noviembre 26th, 2015 | Posted by in Alertas - (0 Comments)Vulnerabilidad en SAMBA permite la ejecución de código remoto – aplicar parches
marzo 3rd, 2015 | Posted by in Actualizaciones | Alertas - (0 Comments)Se ha anunciado una vulnerabilidad en las versiones de Samba 3.5.0 a 4.2.0rc4 que podría permitir a un atacante ejecutar código arbitrario.
Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System). (más…)
Vulnerabilidad crítica en Internet Explorer permite el salteo de la seguridad
febrero 6th, 2015 | Posted by in Alertas - (0 Comments)Esta nueva vulnerabilidad permite a los atacantes omitir la Same-Origin Policy (SOP), un mecanismo fundamental de seguridad en todos los navegadores. Esta vulnerabilidad permite lanzar ataques de phishing altamente creíbles o secuestrar las cuentas de usuarios en cualquier sitio Web. SOP es un mecanismo de seguridad que existe en todos los navegadores para evitar que el código de una página web se cargue en un iframe en un sitio diferente y para evitar manipular el contenido de otro sitio. (más…)
Google expone tres vulnerabilidades críticas 0-Day en Mac OS X
enero 27th, 2015 | Posted by in Alertas - (0 Comments)Después de exponer tres vulnerabilidades críticas 0-Day en Microsoft Windows, el programa de investigación Google Project Zero ha revelado la existencia de tres vulnerabilidades 0-Day en Mac OS X de Apple.
Lo publicado expone suficiente información como que para un atacante experimentado pueda explotar la vulnerabilidad.
El primer bug, OS X networkd ‘effective_audit_token’ XPC type confusion sandbox escape, permite que un atacante pueda pasar comandos arbitrarios al demonio “networkd” del sistema operativo OS X, porque no comprueba correctamente las entradas. (más…)