Novas de seguridade para usuarios domésticos: semana do 04 de novembro / semana do 11 de novembro

Non che hai nada peor que ver como o traballo se acumula e que un non ten tempo de darlle saída. Finalmente, conseguimos sacar o boletín -estamos empeñados en facelo- pero neste caso acumula as historias relativas ás semanas do 4 de novembro e o 11 de novembro de 2019. Que aproveiten!

Actualizacións

O INCIBE anunciaba nunha alerta da actualizacion Joomla á versión 3.9.13, que resolve problemas do núcleo entre as versións 3.2.0 e 3.9.12

Tamén o INCIBE anunciaba noutra alerta da actualización de seguridade para Magento versiones 2.3.1 e 2.3.2 (esta última se non ten o parche de seguridade 2.3.2-p2 instalado) e versións non compatibles de Page Builder, e que resolve vulnerabilidades que permitirían a un atacante executar código malicioso de xeito remoto.

Google realizou varios anuncios de actualización de varios productos:

• ChromeOS na canle estable á versión 77.0.3865.120: [Máis información]
• Actualización Chrome para escritorio (78.0.3904.97) na canle estable: [Máis información]
• Chrome para Android (78.0.3904.96) na canle estable: [Máis información]

O patch Tuesday de Adobe para o mes de novembro trae actualizacións para os seguintes productos: Adobe Bridge CC, Adobe Media Encoder, Adobe Illustrator CC e Adobe Animate CC. Tódolos detalles en https://helpx.adobe.com/security.html

O patch tuesday de Microsoft para o mes de novembro aporta actualizacións para Microsoft Windows, Internet Explorer, Microsoft Edge (EdgeHTML-based), ChakraCore, Microsoft Office e Microsoft Office Services and Web Apps, Open Source Software, Microsoft Exchange Server, Visual Studio e Azure Stack. Toda a información en https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/164aa83e-499c-e911-a994-000d3a33c573

VMware informaba o 12 de novembro de actualizacións dos productos ESXi, Workstation, e Fusion que corrixen problemas de seguridade

Os usuarios de dispositivos con Android 8 (Oreo) e superior deberán comprobar que teñen descargada a actualización de outubro, e que resolve un fallo que permitía que as aplicacións de orixe descoñecido poderían ser instaladas usando NFC (near field communication) sen solicitar confirmación do usuario. Sen a citada actualización bastaría con que o "NFC Service" tivese activados os permisos para instalar apps descoñecidas para que o dispositivo puidese ser contaminado en proximidade dun teléfono ou unha terminal de pago maliciosos. [Maís información]

Ameazas

O INCIBE informaba nunha alerta o 8 de novembro dunha campaña de emails que tentaban suplantar ao Ministerio de Economía y Empresa que conteñen un axunto malicioso en formato Microsoft Word

FACUA informaba nun artigo dunha campaña de phishing por SMS que suplanta a Bankia e que axunta unha ligazón que redirixe ao usuario a unha web que solicita datos persoais para roubalos. Recoméndase que aqueles que seguiran as instruccións informen á entidade bancaria, cambien as credenciais de acceso á conta e fagan unha limpeza do teléfono con antivirus.

Trend Micro informaba nun artigo dunha evolución de Capesand, un kit para explotar vulnerabilidades: neste caso válese de vulnerabilidades antigas en Adobe Flash e Internet Explorer. O malware colócase nunha web e ao acceder a ela un usuario comproba se algún exploit é aplicable. En caso afirmativo, envía petición ao servidor de Capesand para servir o exploit axeitado que é devolto ao navegador do usuario, e que permite a instalación de troianos no equipo. Outro motivo para ter o noso software ben actualizado.

Un grupo de investigadores descobre que é capaz de enviar comandos de voz a dispositivos apuntando un laser ao micrófono destes. Segundo publica Wired nun artigo, por casualidade, Takeshi Sugawara descubriu que o laser interactuaba co micrófono do seu iPhone, amosándolle o resultado ao profesor Kevin Fu. Meses despois, eles dous en conxunto cun grupo de investigadores da Universidade de Michigan foron quen de interactuar mediante comandos de voz con distintos dispositivos empregando un laser. Entre os experimentos máis interesantes, varios nos que empregaron un laser semellante ao dun punteiro no que conseguían interactuar cun Google Home e un Amazon Echo Plus de primeira xeración a 110m nun pasillo, e a 75m a través dunha ventana. Indican que descoñecen todavía o por que da interacción entre o laser e o micrófono. Tamén que nos teléfonos móbiles e dispositivos que teñen restrinxido o envío de comandos mediante outros parámetros de seguridade ou a unha voz concreta dificultan o uso desta tecnoloxía. Sen embargo, os dispositivos domésticos como Google Home e Amazon Echo carecen de forma de discriminar a sinal dun laser doutra fonte de son, sendo susceptibles de seren manipulados deste xeito.

Comezan a explotarse as vulnerabilidades BlueKeep usando Metasploit. Un ataque en masa usando vulnerabilidade BlueKeep para infectar equipos con programas de minería de bitcoin foi detectado por Kevin Beaumont, que descubre que os sistemas de proba que habilitara para detectar este tipo de ataques tiveran un gran número de reinicios que se debían á execución dun programa de minería de criptomoedas instalados mediante a execución do exploit desenvolvido por Metasploit. O artigo foi actualizado varias veces, incluíndo nunha delas os resultados de Microsoft sobre a citada investigación, e que inclúen consellos ás empresas para protexerse. Entre eles, instalar o parche publicado por Microsoft e controlar os servizos de escritorio remoto que teñen a disposición.

Everis e a Cadena SER sufriron o 4 de novembro un ataque de ransomware que obrigou a desconectar a rede cos clientes e entre oficinas, e a enviar a empregados ás súas casas. No caso de Everis, o ransomware empregado foi BitPaymer. Entre os vectores de ataque empregados valórase tanto BlueKeep [Bleeping Computer] como o ransomware Ryuk [El Confidencial] Tanto o INCIBE como o CNI foron informados dos sucesos e colaboraron na mitigación dos mesmos. Dende a data do suceso non atopamos moita máis información respecto a como foi evolucionando a situación nin outras conclusións.

O banco estadounidense NCR Corp. bloqueou o acceso de duas aplicacións financieiras (Mint e QuickBooks Online) debido a que foron empregadas por cibercriminais para baleirar as contas dalgúns dos seus clientes. Polo que comentan dende Krebs On Security nun artigo, NCR Corp non obrigaba ás aplicacións a empregar un segundo factor de autenticación, feito que os atacantes empregaron para conectarse empregando símplemente usuarios en contrasinais. No caso de clientes que reutilizaban contrasinais que foron roubadas doutros servizos hackeados -e que como indicamos noutros boletíns son vendidos ao mellor postor-, ou de clientes que empregan contrasinais pouco seguras, a labor de acceso para os atacantes era máis sinxela. Se ben as aplicacións non tiñan capacidade para extraer ingresos das contas, sí permitían obter información que posteriormente podía ser empregada para apropiarse dos ingresos nelas. Agardamos que en Europa non se dean situacións semellantes: aparentemente, as restriccións iniciais impostas pola PSD2 parecen máis ríxidas e obrigan a que o acceso a información dependa como mínimo de dous factores.

FACUA publicaba nun artigo o 4 de novembro que Wallapop informara dun acceso indebido á súa plataforma. Sinalan que é probable que haxa usuarios que teñan que restablecer a súa contrasinal para acceder á súa conta. Por outra banda, indican que polo momento non teñen indicios de que se producira un roubo de datos dos usuarios

Roubo de datos en Trend Micro: informan nun comunicado de que un empleado roubou e vendeu datos da empresa e de clientes (nomes, direccións de email, teléfonos, números de tickets de soporte, e algúns números de teléfono), afectando ao redor de 68.000 clientes, fundamentalmente angloparlantes, aínda que salientan que ningún cliente empresarial foi afectado. Detectaron o problema cando clientes notificaron contactos telefónicos nos que suplantaban a Trend Micro. Informan que nunca fan chamadas que non foran solicitadas previamente polos clientes, e que en caso de que reciban chamadas sospeitosas, contacten coa empresa.

Trend Micro informa nun artigo de 49 aplicacións para Android en Google Play que ofrecendo utilidades ou xogos ocultan adware que amosa molestos anuncios a pantalla completa e consume recursos do dispositivo (batería, memoria, datos, ...)

The Guardian publicaba un artigo sobre un fallo en iOS que estaba a activar a cámara dos iPhone cando os usuarios empregaban a aplicación de Facebook nos seus dispositivos, xerando preocupación pola privacidade. Facebook rexeita que se trate dun intento de espiar aos usuarios, mentres que un experto consultado polo diario indica que se trata dun problema de pouca importancia. De non usar a cámara nesta aplicación, os máis suspicaces poden retirarlle permisos sobre a cámara mentres o problema non se solucione.

Wordfence informa nun artigo do malware WP-VCD, que ten por obxectivo a creadores de sitios de WordPress que buscan instalar temas e plugins de pago obtidos de sitios que os ofrecen de xeito gratuíto, aínda que contaminados con malware. O citado malware establece comunicación cun servidor externo. Polo momento, o malware adícase a contaminar o sitio infectado con enlaces empregados para SEO malicioso (promovendo sitios maliciosos) ou para facer malvertising (banners de anuncios maliciosos), e pode crear contas de administrador para permitir aos atacantes acceder ao sitio. Indican que dende agosto está a ser o malware de WordPress con maior incidencia.

Se és desenvolvedor de software, isto interésache: Snyk publicou o seu informe JavaScript frameworks security report 2019, onde resume indicacións de seguridade, vulnerabilidades, ... sobre as librerías máis populares javascript (Angular, React, jQuery, Vue.js) e Bootstrap

Malware

Bleeping Computer informa nun artigo dun novo tipo de ransomware denominado MegaCortex que cambia a contrasinal de Windows, cifra os arquivos, e amosa unha mensaxe na que ameaza con divulgar os contidos do equipo cifrado en caso de que non se pague o rescate. Aínda que os investigadores non poden garantir que os atacantes teñan capacidade, indican que en caso de infección se solicite aos atacantes unha proba de que están en posesión de arquivos comprometedores do equipo.

McAfee informa de xeito detallado sobre o ransomware Buran, que se vende como servizo solicitando o pago do 20% dos rescates ou un acordo mellor en caso de ter gran capacidade de infección. Resulta interesante para dar a ver a perspectiva de negocio que se lle da ao malware, que xera todo un mercado por mor das cantidades de diñeiro que se obtén ilícitamente deste xeito.

¿Non ten antivirus e precisa asesoramento para elixir un e instalalo? ¿Necesita facer unha limpeza do seu sistema? ¿Ten poucos coñecementos de informática e gustaríalle aprender máis para evitar riscos habituais? Contacte con nos e informarémolo do que podemos facer para axudalo.

Mencións

Apoiamos aos creadores: por iso, facemos referencia a tódolos elementos de terceiros que empregamos para realizar este artigo:

• Pixabay - Cyber Security Protection por TheDigitalArtist