ROPEMAKER Cambiar el contenido del Email ya enviado para uso malicioso.

 

Un Email puede ser cambiado después de ser enviado, según la última investigación de Mimecast’s denominado ROPEMAKER.

Un nuevo exploit ROPEMAKER que podría permitir a un atacante modificar un email legítimo para volverlo malicioso, incluso después de que este haya llegado a la bandeja de entrada.

Su descubridor ha sido Francisco Ribeiro, investigador de Mimecast dedicado a la seguridad de servicios de email y cloud.

A través de la explotación de Ropemaker, un atacante puede modificar de forma remota el contenido de un email enviado por él mismo, pudiendo por ejemplo sustituir una URL  por otra maliciosa.

El exploit puede ser ejecutado tras recibir el destinatario el email, después de superar todos los filtros de spam y seguridad y sin que el atacante necesite acceder directamente al ordenador de la víctima.

Correo en el buzón de la Víctima:

GodURL Email ROPEMAKER

Correo en el buzon de la Victima modificado sin intervención de la pc de manera remota:

BadURL Email ROPEMAKER

El origen de ROPEMAKER se encuentra en la intersección de las tecnologías de correo electrónico y Web, más específicamente hojas de estilo (CSS) utilizadas con HTML.

Si bien el uso de estas tecnologías Web ha hecho que el correo electrónico sea más atractivo y dinámico en relación con su predecesor basado en texto, esto también ha introducido un vector de ataque explotable para el correo electrónico .

Claramente, dar posibilidad a los atacantes del control remoto sobre cualquier aspecto de las aplicaciones o infraestructura es algo malo.

Esta capacidad de control remoto podría permitir a los malos actores dirigir a los usuarios  a sitios web maliciosos o otras consecuencias perjudiciales mediante una técnica que podría pasar por alto los controles de seguridad comunes y engañar incluso a los usuarios más seguros y experimentados.

ROPEMAKER podría ser apalancado en formas que son limitadas sólo por la creatividad de los actores de la amenaza, que la experiencia nos dice, es a menudo ilimitada.

Fuente: https://www.mimecast.com

#HackNic – Shadow77 

HTTPS el error de los usuarios en internet.

El error en HTTPS es que por creer que es seguro, debemos pensar que es 100% confiable. 

Primero para comenzar el tema hay que definir los protocolos de manera correcto:

  • HTTPHypertext Transfer Protocol o HTTP (en español protocolo de transferencia de hipertexto) es el protocolo de comunicación que permite las transferencias de información en la World Wide Web.Define la sintaxis y la semántica que utilizan los elementos de software de la arquitectura web (clientes, servidores, proxies) para comunicarse. HTTP es un protocolo sin estado, es decir, no guarda ninguna información sobre conexiones anteriores.
  • HTTPS: Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP.
  • SSL/TLS: Transport Layer Security (TLS; en español «seguridad de la capa de transporte») y su antecesor Secure Sockets Layer (SSL; en español «capa de puertos seguros») son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la contraparte con quien se están comunicando, y para intercambiar una llave simétrica. Esta sesión es luego usada para cifrar el flujo de datos entre las partes. Esto permite la confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para integridad y como un producto lateral, autenticación del mensaje.

Pero si es un protocolo seguro, donde falla?

El problema radica en la confianza que le da a los usuarios de que es un protocolo seguro, haciéndonos creer que por estar presente el sitio donde accedemos es seguro y legítimo.

Algo que los cibercriminales están aprovechando de manera muy acertada con los ataques de Phishing para hacer pasar una pagina engañosa, como una legítima.

 Let’s Encrypt y la disponibilidad del HTTPS

El objetivo de Let’s Encrypt y el protocolo ACME es hacer posible configurar un servidor HTTPS y obtener automáticamente un certificado confiable de navegador, sin ninguna intervención humana. Esto se logra ejecutando un agente de administración de certificados en el servidor web.

Para habilitar HTTPS en el sitio web,  se debe obtener un certificado de una autoridad de certificación (CA). Let’s Encrypt es una CA, lo hace utilizando un software que utiliza el protocolo ACME, que normalmente se ejecuta en su host.

Esto hace que la disponibilidad del protocolo HTTPS sea alcanzable casi por cualquier web sea o no legitima al uso que se le da.

El uso de Sub-Dominios o dominios modificados para engañar a usuarios

Si bien con Let’s Emcrypt necesitamos demostrar que somos dueños del dominio, la creación de subdominos o poner con más caracteres el dominó para engañar al usuario es algo común y ahora mas efectivo.

El usuario promedio no toma el tiempo necesario para verificar un dominio completo y tampoco verificar que el certificado que nos muestra el navegador del sitio sea el correspondiente al sitio que estamos accediendo.

Tomar conciencia en el uso de la navegación web y mantenerse informado.

Es necesario tener fuentes confiables de información para mantenernos a salvo de los cibercriminales, ya que con los conocimientos necesarios agregamos una capa de seguridad a los servicios que usamos.

Y ciertamente el protocolo https y la seguridad de las plataformas, aplicaciones web, diferentes tipos de medios web digitales que usamos, se mantienen seguras pero no hay que pensar que siempre lo estamos por que nada esta 100% seguro y nada es 100% impenetrable.

#HackNic – Shadow77

Samba una puerta abierta a los sistemas linux para ataques remotos.

Samba es una implementación libre del protocolo de archivos compartidos de Microsoft Windows.

Ahora bien últimamente solo se ha hablado de las recientes metidas de patas de Microsoft, con las vulnerabilidades que no dejan de salir a la luz de las pantallas de los Ciber-delincuentes, ahora es turno de sistemas Unix y Linux con Samba.

Pero en este caso tenemos el software open-source Samba (Re-implementación del protocolo de red SMB) que corre en la mayoría de los sistemas operativos como Windows, Linux, UNIX, IBM System 390 y OpenVMS.

Una vulnerabilidad critica que tiene 7 años de antigüedad, que permite al atacante tomar control de los sistemas linux y Unix de forma remota.

La vulnerabilidad de ejecución remota de código recién descubierto ( CVE-2.017-7.494 ) afecta a todas las versiones más recientes que Samba 3.5.0 que fue lanzado el 1 de marzo de 2010.

“Todas las versiones de Samba desde 3.5.0 en adelante son vulnerables a una vulnerabilidad de ejecución remota de código, permitiendo que un cliente malicioso para cargar una biblioteca compartida en un recurso compartido de escritura, y luego hacer que el servidor para cargar y ejecutar él,” Samba escribió en un asesor publicado el miércoles.

Según Shodan tendríamos un posible EternaBlue para Linux y Unix?.

De acuerdo con el motor de búsqueda de equipo Shodan, más de 485.000 ordenadores habilitados para Samba expuestos puerto 445 a través de Internet.

Y de acuerdo con los investigadores de Rapid7 , más de 104.000 endpoint expuestas a Internet parecían estar corriendo versiones vulnerables de Samba, de los cuales 92.000 están corriendo versiones no soportadas de Samba.

Ya que Samba es el protocolo SMB implementado en los sistemas Linux y UNIX, por lo que algunos expertos están diciendo que es “versión para Linux de EternalBlue ,” utilizado por el ransomware WannaCry.

Teniendo en cuenta el número de sistemas vulnerables y facilidad de explotar esta vulnerabilidad, podría ser explotado en gran escala con capacidades wormable.
Las redes domésticas con almacenamiento conectado en red (NAS) también podrían ser vulnerables a esta falla.

El código de explotación de lanzamiento! (Bonus: Metasploit Module)

Metasploit-samba

La falla en realidad residía en la forma de Samba maneja bibliotecas compartidas.

Un atacante remoto podría utilizar este módulo arbitrario de la vulnerabilidad Samba para cargar una biblioteca compartida a una parte grabable y luego hacer que el servidor cargue y ejecute el código malicioso.

La vulnerabilidad es super fácil de explotar. Sólo se requiere una línea de código para ejecutar código malicioso en el sistema afectado.

simple.create_pipe ( “/ ruta / a / target.so”)

Sin embargo, el exploit de Samba ya ha sido cargado a Metasploit , un marco de pruebas de penetración, permitiendo a los investigadores, así como los hackers para aprovecharse de este problema fácilmente.

Parche y mitigaciones

Los mantenedores de Samba tiene ya parcheado el tema en sus nuevas versiones y versiones de Samba 4.6.4 / 4.5.10 / 4.4.14 , y están instando a los que utilizan una versión vulnerable de la samba para instalar el parche tan pronto como sea posible.

Pero si no se puede actualizar a las últimas versiones de Samba de inmediato, se puede trabajar en torno a la vulnerabilidad al agregar la siguiente línea al archivo de configuración smb.conf Samba:

nt pipe support = no

Una vez añadido, reinicie el demonio SMB de la red (smbd) y ya está.

Este cambio va a evitar que los clientes accedan plenamente algunas máquinas de la red, así como desactivar algunas funciones que se esperan para los sistemas Windows conectados.

Mientras que los vendedores de distribución de Linux, incluyendo Red Hat y Ubuntu, ya se han publicado versiones parcheadas para sus usuarios.

El riesgo más grande es que parte de los consumidores de dispositivos NAS que podrían no estar actualizada la misma rapidez.

Craig Williams de Cisco, dijo que, dado el hecho de que la mayoría de los dispositivos NAS ejecutan Samba y tienen datos muy valiosos, la vulnerabilidad “tiene potencial para ser el primero a gran escala gusano ransomware para Linux”.

Actualizar:  mantenedores de Samba también han proporcionado los parches para las versiones anteriores y no soportadas de Samba.

Mientras tanto, Netgear publicó un aviso de seguridad de CVE-2.017 hasta 7494, diciendo que un gran número de sus routers y modelos de productos NAS se ven afectados por la falla debido a que utilizan Samba versión 3.5.0 o posterior.

Sin embargo, la compañía actualmente en libertad correcciones de firmware sólo para productos ReadyNAS ejecutan OS 6.x.

Fuente:http://thehackernews.com/

#HackNic – Shadow77