Vulnerabilidades
Mostrando entradas con la etiqueta Vulnerabilidades. Mostrar todas las entradas
Mostrando entradas con la etiqueta Vulnerabilidades. Mostrar todas las entradas

Vulnerabilidad permite hackear Linux: verifica tu distribución


Dos investigadores de la Universidad Politécnica de Valencia han descubierto una vulnerabilidad tan extraña como grave en la mayoría de sistemas Linux

Pulsar 28 veces la tecla “Retroceso” durante el login del gestor de arranque produce el desbordamiento de una variable que acaba dándote acceso al sistema.

El bug afecta al gestor de arranque Grub2 desde la versión 1.98 (diciembre de 2009) hasta la 2.02 (diciembre de 2015), común en la mayoría de distribuciones de Linux

La vulnerabilidad afecta a “un número incalculable de dispositivos”según los propios investigadores. Cualquier persona con acceso local podría entrar al sistema sin necesidad de contraseñas.

Si el sistema es vulnerable a este error, el atacante puede acceder a la consola de rescate Grub y realizar lo que se conoce como un “ataque de día cero”: robar los datos del usuario, instalar software malicioso, destruir el sistema... Hacer, básicamente, lo que le dé la gana con el ordenador.

¿Te afecta esta vulnerabilidad? Como explican los expertos Héctor Marcó e Ismael Ripoll, puedes comprobarlo tú mismo presionando 28 veces la tecla “Retroceso” (o Backspace) cuando Grub te pide el nombre de usuario. Si se abre la consola de rescate o el ordenador se reinicia, el error te afecta.

En ese caso, hay una solución de emergencia mientras Grub saca una actualización oficial. Los dos investigadores españoles han programado un parche que puedes instalar tú mismo con este código:

$ git clone git://git.savannah.gnu.org/grub.git grub.git $ cd grub.git $ wget http://hmarco.org/bugs/patches/0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch $ git apply 0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch

Los desarrolladores de UbuntuRed Hat y Debian también han publicado sus propios parches de emergencia. 

Fuente: gizmodo.com
Read More

Vulnerabilidad en PuTTY


Hola lectores y usuarios de Underc0de, hoy les comentaremos sobre  PuTTY, el conocido cliente (gratuito) para conectarnos vía SSH,  ya que  se ha descubierto una vulnerabilidad que compromete la seguridad, por lo que toca actualizar a la última versión.


Los amigos de RedesZone, nos cuentan que el fallo “permitiría una potencial corrupción de memoria por un desbordamiento de enteros al borrar caracteres, esto podría hacer que se borrasen todos los caracteres introducidos en el terminal cuando nos conectamos a un equipo remoto.

Para explotar esta vulnerabilidad en el emulador del terminal de PuTTY, un atacante debería ser capaz de insertar una secuencia de escape en flujo de datos del terminal.

Si por ejemplo nos conectamos a un servidor vía SSH, el atacante debería ser capaz de insertar esta secuencia antes que comience a cifrarse la comunicación. Por este motivo es muy probable que para explotar este fallo de seguridad, el atacante necesite tener acceso al servidor que se está conectando. A este fallo de seguridad se le ha asignado el identificador CVE-2015-5309”.

Por otra parte, y de acuerdo a la página Oficial de PuTTY  (en inglés) y donde describen con detalle las características de este fallo con bastante información sobre el tema, se señala   que las versiones afectadas son PuTTY, PuTTYtel y pTerm, y en el caso de  PuTTY y pTerm las versiones entre 0,54 y 0,65 inclusive.  

Por lo dicho, se recomienda actualizar a la beta de PuTTY 0.66 que corrige la vulnerabilidad.


 Descarga de PuTTY 0.66

Visítanos en Underc0de
Read More

Actualizad Joomla: vulnerabilidad que permite inyección de código SQL


Que se publique una actualización o parche de seguridad no quiere decir que la totalidad de los usuarios hagan uso de él. Esto ha pasado con un problema detectado hace unos días en Joomla, publicando los responsables una solución a este que sin embargo no ha sido adoptada por la mayoría y ahora los ciberdelincuentes están atacando los sitios web que hacen uso del CMS.
Tal y como suele suceder, tanto la parte encargada de descubrir el fallo como la parte implicada y que debe emitir una actualización se ponen de acuerdo para no publicar los detalles hasta que la actualización sesté disponible. Sin embargo, el problema ha sido doble, ya que antes de que se publicase algunos sitios web que utilizaban este gestor de contenidos ya registraron los primeros ataques aprovechando esta vulnerabilidad que permitía la inyección de código SQL y como consecuencia conseguir el control de éste.
Los expertos en seguridad han confirmado que fueron varios los sitios web afectados pero que algunos tenían configurado de forma correcta un firewall que de alguna forma neutralizó el ataque llevado a cabo.
Desde el CMS han hecho un llamamiento a los usuarios y webmasters que utilicen éste para que actualicen cuanto antes a esta nueva versión para hacer frente al problema de seguridad detectado y que está provocando más problemas de los pensados en un primer momento.

Tal y como se puede ver en el gráfico anterior, el número de ataques realizados se ha incrementado prácticamente de forma exponencial.

Muchos aún no han actualizado a la última versión de Joomla

Aunque el primer problema haya sido el apogeo de estos mucho antes de la publicación de la solución, ahora la mayor preocupación es que no se actualice a esta última versión. Y es que ya es bastante habitual encontrar que los CMS no posean la última versión publicada. Esto supone evidentemente un ahorro de tiempo para los administradores de páginas web, sin embargo, la posibilidad de que los fallos de seguridad existentes sean utilizados por ciberdelincuentes para robar información o hacerse con el control de la página es mucho más alta que manteniendo el CMS al día en lo referido a las actualizaciones.
Tras la gráfica que hemos podido ver con anterioridad, podemos observar que tras el descubrimiento de un fallo de estas características los webmasters disponen solo de 24 horas antes de que los criminales realicen ataques masivos contra los sitios web.
Fuente; redeszone.net
Vísitanos en Underc0de
Read More

Atentos: Vulnerabilidad crítica en Flash

Quizás eres uno de los muchos millones de personas que usan Adobe Flash en su computadora. Quizás estás al tanto de los muchos agujeros de seguridad que regularmente se encuentran en Flash y lo actualizaste debidamente esta semana cuando Adobe lanzó múltiples actualizaciones de seguridad, muchas de las cuales fueron categorizadas como críticas.
Quizás piensas que tu computadora está a salvo de atacantes que pudieran explotar fallas en Flash por un tiempo, ya que estás utilizando la última versión (19.0.0.207) del producto. Pero no es así.
Apenas unas horas después de lanzar su conjunto de parches regular, Adobe publicó otro boletín de seguridad advirtiendo sobre una vulnerabilidad crítica que está siendo explotada en forma activa por cibercriminales, para instalar malware en computadoras de sus blancos.
Una vulnerabilidad crítica (CVE-2015-7645) ha sido identificada en Adobe Flash Player 19.0.0.207 y versiones anteriores para Windows, Macintosh y Linux. La explotación exitosa podría causar un colapso y potencialmente permitir a un atacante tomar control del sistema afectado.
Adobe tiene conocimiento de un reporte de que un exploit para esta vulnerabilidad está siendo usado en ataques limitados y dirigidos. Adobe espera poner a disponibilidad una actualización la semana del 19 de octubre.

Se cree que el grupo que está explotando la falla es Pawn Storm, cuyos miembros secretos han estado realizando una sofisticada campaña de malware que tiene como blanco a organizaciones gubernamentales, militares y periodísticas de los Estados Unidos, Ucrania y alrededor de Europa.


La banda típicamente manda correos electrónicos cuidadosamente diseñados a sus víctimas elegidas, con documentos de Word tramposos adjuntos, o atrae a las más desprevenidas para que visiten sitios envenenados con exploit kits que apuntan a navegadores web desactualizados.
...
pawnTambién tiene los recursos para dejar al descubierto nuevas vulnerabilidades zero-day; así como esta falla en Flash, por ejemplo, se encontró este año que estaba explotando el primer zero-day en Java que se había descubierto en varios años.
Esto resultó en que muchas personas creyeran que Operation Pawn Storm es un ejemplo de cibercrimen apoyado por el Estado. Pero aunque no trabajes para un gobierno, la milicia, una organización de medios… aunque no seas un activista político que ha causado algo de revuelo… tiene sentido que mantengas tus sistemas protegidos y ejecutando la última versión de todo el software.
Desafortunadamente para los usuarios de computadoras, la vulnerabilidad está presente en la última versión de Adobe Flash Player, 19.0.0.207, así como en las anteriores para Windows y Macintosh. Perdón, amantes de Linux, también está en Flash 11.2.202.535 y anteriores para su plataforma.
Una medida que podrías tomar es considerar desinstalar por completo Flash de tu computadora. Esa es una decisión que muchos están empezando a tomar, pero sospecho que la mayoría no están del todo listos para hacerlo.

Con esta función habilitada, tu navegador no reproducirá contenido Flash potencialmente malicioso a menos que y hasta que le des permiso específico. En otras palabras, un archivo Flash con código malicioso no se ejecutará a menos que lo autorices, en vez de reproducirse en forma automática cuando visitas una página web.
Ten en cuenta que Flash también está integrado en Adobe AIR y Shockwave, y por lo tanto ambos pueden ser vulnerables a ataques. En el caso de Shockwave, ya casi no se usa, pero muchas personas todavía lo tienen acechando en sus computadoras. A menos que sepas que lo necesitas, mi recomendación es que lo desinstales.
A pesar de que tu computadora personal y red de trabajo no estén en la lista de objetivos de Pawn Storm, tarde o temprano vas a tener que solucionar el problema con Flash en todos tus equipos.
A pesar de que tu computadora personal y red de trabajo no estén en la lista de objetivos de Pawn Storm, tarde o temprano vas a tener que solucionar el problema con Flash en todos tus equipos.
Fuente: welivesecurity.com
Haz clic aquí para ver:  Como desinstalar Flash de los navegadores
Vísitanos en Underc0de
Read More

Vulnerabilidad en WhatsApp Web


Las vulnerabilidades afectan a todos los programas y el revuelo de su descubrimiento depende de la aplicación en cuestión. En este caso hablamos de un agujero de seguridad en la versión web de WhatsApp que permite instalar malware en el PC que ejecute este servicio.
WhatsApp Web permite utilizar la popular aplicación de mensajería desde un navegador de Internet. El servicio fue lanzado en un primer momento para los usuarios con smartphones Android, BlackBerry y Windows Phone y recientemente ha dado el salto a los usuarios de iPhone, después de los problemas iniciales de compatibilidad. El servicio web se ha ido actualizando progresivamente y cuenta con casi todas las funcionalidades que encontramos en la aplicación de móviles, replicando la experiencia en el navegador.
Sin embargo, no todo son buenas noticias para WhatsApp Web. La firma de seguridad CheckPoint afirma haber descubierto una vulnerabilidad que permite atacar al ordenador que ejecuta el servicio. Esto permitiría a los hackers tomar el control del equipo para instalar malware de forma remota o ejecutar código malicioso. Para ello, el atacante utilizaría una vCard, que contiene el número de teléfono y datos de la agenda, con el código malicioso incluido. Bastaría con abrir la vCard para que el PC quedara comprometido.
WhatsApp ha reconocido la existencia de esta vulnerabilidad y ha lanzado una actualización de seguridad para WhatsApp Web. Todos los usuarios deben comprobar que están ejecutando la versión v0.1.14481 o superior, ya que contiene el parche que evita que el ordenador en cuestión quede comprometido. Desde CheckPoint recomiendan también la limpieza de la caché del navegador.
Fuente:adslzone.net
Read More

QARK: herramienta para detectar vulnerabilidades

Desde su presentación oficial, algunos aficionados al mundo de la seguridad móvil hemos esperado pacientemente que esta herramienta fuese compartida para poner a prueba sus prometidas bondades. Estoy hablando de QARK, una utilidad para la identificación de vulnerabilidades en aplicaciones para Android que puede ser descargada gratuitamente desde el sitio de la aplicación en Github.

Sobre la herramienta…

La aplicación, cuyo nombre deriva de «Quick Android Review Kit», funciona escaneando de manera estática el código de aplicaciones basadas en Java para identificar fallas que puedan dar pie a una explotación futura o a la fuga de información, intentando fusionar comportamientos de Drozer y Metasploit. Por desgracia, solo se asegura su funcionamiento para plataformas Linux y Mac OS.
Entre sus virtudes –explican sus creadores– se encuentran la creación de reportes con los defectos encontrados detallando la severidad de la falla, su explicación y formas de explotación, y la generación automática de POC.
A través de este entorno de trabajo, un tester, auditor, investigador o programador podrá advertir vulnerabilidades en sus aplicaciones, como ser contenido inseguro dentro de componentes del tipo WebView, incorrecta validación de certificados, susceptibilidad al tapjacking, manejo inseguro de URL, mala gestión de intentos, de claves criptográficas o del almacenamiento en bases de datos que posibilite inyecciones SQL.
No obstante, los desarrolladores de QARK desaconsejan la no realización de auditorías manuales sobre el código de la aplicación. Mientras diversifiquemos la naturaleza de las herramientas y procesos que hacen a la evaluación del aplicativo, mayor será la probabilidad de identificar aquellas fallas que permanecen pasivamente en nuestros sistemas.

¡Manos a la obra!

La herramienta es muy fácil de utilizar. A través del parámetro -s (–source), el usuario puede determinar si el escaneo de vulnerabilidades se dará sobre un APK (asignando el valor 1) o una carpeta de código fuente (con el valor 2).
En el primer caso, será necesario además declarar la ruta al APK en concreto con el parámetro -p. En el segundo, se deberá indicar la ruta al archivo manifiesto (-m) y a la carpeta raíz del código (-c).
Otros parámetros opcionales son -e para la generación de un APK exploit-i para instalar el exploitantes producido en un dispositivo a través de ABD, -d para especificar los mensajes de depuración que se pretende recibir (10=Debug, 20=INFO, 30=Warning, 40=Error) y -r para indicar la ruta donde se espera que se almacenen los reportes generados.
Conocer estos parámetros es criterio suficiente para la correcta utilización de la aplicación; parte del resultado del análisis tras la ejecución de la herramienta se ilustra en la siguiente figura, donde vemos que se brinda además una breve explicación de cada potencial debilidad, característica que la vuelve sumamente útil para ser utilizada por desarrolladores que se inician en la seguridad.

Por su parte, el reporte se genera en formato HTML, permitiendo la exploración rápida de los resultados arrojados según la categoría de análisis a la que pertenece.


En resumen…

QARK permite el análisis rápido de vulnerabilidades, permitiendo identificar brechas comunes en las aplicaciones desde una perspectiva de auditoría de seguridad. Claro que no deja de invalidar la necesidad de un análisis manual del código que pueda revelar fallas más específicas.
Se trata de una herramienta extremadamente sencilla de utilizar, lo que la vuelve especialmente provechosa para desarrolladores de aplicaciones móviles que deseen entender cuáles son los puntos débiles existentes en sus creaciones con el objetivo de producir sistemas más robustos.
Sabemos que esta utilidad evolucionará en un futuro para adquirir nuevas funcionalidades. Solo resta esperar que nuevas versiones sean liberadas. En tanto, para saber más sobre esta aplicación puedes dirigirte a la presentación que la acompaña.
Fuente:welivesecurity.com
Read More

Vulnerabilidad 0-day en Mac OS X


Apenas unos días después de que Apple publicara importantes actualizaciones de seguridad para sus sistemas operativos, un adolescente italiano dio a conocer -sin antes dar tiempo de respuesta a la compañía- una vulnerabilidad 0-day en Mac OS X que podría otorgarle acceso root al atacante.
Luca Todesco publicó en Github los detalles de la falla y, según reporta SC Magazine, dijo que se trata de una elevación de privilegios que amenaza a usuarios de OS X Yosemite (10.10) y Mavericks (10.9), pero no tendría efecto en la nueva versión El Capitan, que se encuentra en beta.
La falla radica en la forma en que el sistema operativo de Apple maneja punteros nulos en programas, dejando abierta la posibilidad de que código malicioso evada las defensas del sistema. Un puntero nulo  es aquel que apunta a un dato no válido o a una dirección que no corresponde a ningún objeto del programa.
Pero, tal como señala el especialista en seguridad Grahan Cluley, colaborador de WeLiveSecurity, el ataque es viable si una víctima desprevenida descarga y acepta ejecutar este código malicioso en su computadora, por lo cual es posible de evitar. Sin embargo, sabemos que los cibercriminales continuamente mejoran sus técnicas de engaño y aplican la Ingeniería Social para que sea más difícil detectar una amenaza.
Por tal motivo, en este como en todos los casos, es de suma importancia estar alertas y prestar atención a lo que se descarga y ejecuta.

Críticas a una publicación precipitada

Luca Todesco recibió, luego de divulgar los detalles del 0-day en Mac OS X, muchas críticas por la forma en la que lo hizo: sin dar el correspondiente aviso y tiempo de respuesta a la compañía, en este caso Apple, para que pueda ocuparse del asunto y emitir un parche. Ya mucho se ha estado discutiendo sobre la responsabilidad que deben tener los investigadores al reportar vulnerabilidades, más aún luego de que Google dejara en claro, de la mano de Project Zero, que el proceso correcto es dar un plazo de al menos 90 días  al fabricante para que pueda resolver la falla.
Sucede que, sin todavía un parche disponible para remediar esta vulnerabilidad, los detalles proporcionados por Todesco facilitarían a un cibercriminal la tarea de comprometer el sistema de una víctima -aunque, afortundamente, no hay reportes de que se esté explotando activamente.
Entre tanto, Apple todavía no ha comentado nada sobre este asunto, que llega días después de que se corrigiera otra vulnerabilidad de elevación de privilegios que permitía acceso root, CVE-2015-3760.
Naturalmente, quedaremos a la espera de que Apple publique el parche correspondiente, el cual, una vez disponible, deberá ser instalado inmediatamente para evitar una posible infección.
Fuente: welivesecurity.com
Read More

Vulnerabilidad crítica en Internet Explorer


Tan solo una semana después de publicar sus boletines de seguridad mensuales, Microsoft se ha visto obligada a lanzar un parche de seguridad fuera de ciclo debido a una vulnerabilidad crítica en el navegador Internet Explorer, la cual estaba siendo explotada activamente por los ciberdelincuentes.
Descripción de la vulnerabilidad
Esta vulnerabilidad (con el identificador CVE-2015-2502) afecta a todas las versiones soportadas de Internet Explorer, que van de la 7 a la 11. Los usuarios del nuevo navegador Microsoft Edge no se verían afectados, según los datos publicados hasta el momento.
El fallo de seguridad estaría provocado por la forma en la que Internet Explorer almacena objetos en memoria. De esta forma, si un usuario visitase una página web especialmente diseñada o abriese un correo electrónico con contenido HTML malicioso, un atacante podría ejecutar código remotamente.
Este tipo de vulnerabilidades son consideradas de las más graves, ya que la intervención necesaria del usuario es mínima y tan solo se necesita que se visite una web o se abra un correo sin tener que descargar y ejecutar un archivo de forma manual.
Aunque Internet Explorer no sea nuestro navegador por defecto, es necesario que apliquemos este parche cuando antes, puesto que algunos de sus componentes pueden ser utilizados por ciertas aplicaciones como Microsoft Office.
Vectores de ataque
Los investigadores de la empresa Qualys, quienes descubrieron que esta vulnerabilidad estaba siendo explotada activamente, han identificado una serie de mecanismos usados por los ciberdelincuentes para aumentar el número de víctimas potenciales que acceden a webs maliciosas, y que incluyen:
  • Almacenar el exploit en sistemas de anuncios online, que son usadas posteriormente por webs legítimas (malvertising).
  • Obtener el control de webs legítimas como blogs aprovechando vulnerabilidades en el servidor que almacena estas webs o, simplemente, aprovechándose de contraseñas débiles.
  • Preparando sitios webs específicos para este tipo de ataques y manipulando los resultados de los motores de búsqueda (Black Hat SEO).
  • Envío de un enlace al sitio web malicioso usando el correo electrónico o programas de mensajería.
Mitigando el alcance de la vulnerabilidad
Una vez que esta vulnerabilidad ya se ha hecho pública, es de esperar que aquellos exploit kits que no la estuviesen utilizando la empiecen a integrar en base de datos y desarrollen exploits específicos para ella. Esto significa que es muy probable que veamos un incremento en el uso de esta vulnerabilidad durante las próximas semanas, por lo que resulta esencial actualizar cuanto antes.
Microsoft ha publicado el boletín de seguridad con el parche correspondiente y lo ha lanzado a través de su servicio Windows Update, por lo que la mayoría de usuarios deberían tenerlo ya disponible para su descarga.
En caso de que no se quiera instalar aún esta actualización, se puede usar el “Kit de herramientas de experiencia de mitigación mejorada” (EMET) para mitigar los posibles ataques que nos podamos encontrar.
Conclusión
Cada vez que Microsoft publica un boletín de seguridad fuera de su ciclo habitual es porque el riesgopara los usuarios es elevado, por lo que recomendamos instalarlo cuanto antes.
No obstante, si Microsoft cumple sus promesas, es más que probable que dentro de poco tiempo dejemos de esperar a ver publicadas estas actualizaciones de seguridad cada mes y se lancen tan pronto como estén disponibles, algo que ayudaría a reducir la ventana de exposición a ataques de millones de usuarios de todo el mundo.
Fuente: welivesecurity.com
Read More

Toca actualizar: Vulnerabilidad en Firefox


Mozilla ha avisado a través de su blog oficial de que se ha descubierto una vulnerabilidad en Firefox y que conviene actualizar el navegador lo antes posible a la nueva versión 39.0.3.
Ha sido un usuario el que ha advertido a la compañía de este grave problema de seguridad en Mozilla Firefox que ha podido comprometer los archivos de un gran número de usuarios.
Se trata de un exploit que se encargaba de robar archivos locales del ordenador del usuario y los subía a un servidor ucraniano sin que la víctima pueda apreciar este movimiento.
Este problema de seguridad en Mozilla Firefox se da tanto en JavaScript como en el visor de PDF del navegador, consiguiendo los archivos con bastante facilidad. Eso sí, cabe destacar que la página que insertaba la vulnerabilidad encontrada en Firefox era de origen ruso, por lo que es bastante probable que no sea demasiada la población hispanohablante que haya pasado por allí.
La misma Mozilla ha dicho a través de su web: "La vulnerabilidad no permite la ejecución de código arbitrario, sin embargo permite que el exploit se integre en JavaScript dentro del contexto de los archivos locales. Esto le daba la oportunidad de buscar y subir cualquier contenido local en nuestro ordenador".
El ataque es principalmente eficaz en Windows y Linux, aunque han informado de que la mayor vulnerabilidad de Firefox se da en el segundo sistema operativo, ya que incluye configuraciones globales y directorios de usuario.
"Si usas Firefox en Windows o Linux sería prudente que cambiaras cualquier contraseña o clave que encuentres entre tus archivos", han indicado desde Mozilla tras encontrar la vulnerabilidad en Firefox.
Parecer ser que los usuarios de Mac han tenido suerte y no se han visto expuestos en este ataque, aunque no pueden afirmarlo con total seguridad desde la compañía y también recomiendan la actualización del navegador a la versión 39.0.3.
Fuente: computerhoy.com
Read More

Vulnerabilidad en Android permite hackearlo con un MMS


Durante las últimas horas no han cesado de aparecer noticias hablando de la investigación de Joshua Drake, de la empresa Zimperium Mobile Security, quepodría suponer un grave riesgo de seguridad para la mayoría de smartphones con Android.

Este investigador ha descubierto varias vulnerabilidades en el reproductor de medios nativo de Android (Stagefright) que podrían provocar que un atacante escribiese código en el sistema o robase información del dispositivo.

Funcionamiento del ataque

El origen de este agujero de seguridad se oculta entre las miles de líneas de código que componen Android. Stagefright es una librería de medios que se encarga de gestionar varios formatos para que el usuario pueda ver vídeos o escuchar música en su smartphone.

Debido a que la gestión de estos medios tiene que ser rápida y consumir el mínimo de recursos posible, esta librería está desarrollada en el lenguaje C++, más propenso a las corrupciones de memorias que otros lenguajes más modernos como Java.

Para realizar este ataque, el investigador asegura que tan solo se necesita el número de teléfono de la víctima. Con este dato se puede enviar un mensaje MMS (con contenido multimedia) especialmente modificado e incluso, en algunos casos, se podría eliminar el mensaje antes de que el usuario lo viera, quedando solo la notificación de que ha sido recibido.

Si este ataque funciona tal y como lo ha descrito el investigador, estaríamos ante uno de los más peligrosos a los que se han enfrentado los usuarios de Android, puesto que no se requiere que la víctima haga nada como por ejemplo abrir un archivo adjunto a un mensaje, instalar una aplicación o pulsar sobre un enlace. Todo esto se realizaría de forma transparente para el usuario siempre que el teléfono tuviese cobertura.

El hecho de que la víctima no se dé cuenta de que está siendo el objetivo de un ataque supone que muchos podrían tener su smartphone comprometido y no darse cuenta de ello, algo que le permitiría al atacante obtener información muy importante del usuario objetivo.

En las siguientes capturas de pantalla vemos cómo funcionaría supuestamente este ataque en un Nexus 5 con Android Lollipop 5.1.1 instalado:



Versiones de Android afectadas

Según esta investigación, todas las versiones de Android a partir de Froyo (2.2) inclusive serían vulnerables, algo que supone, según algunos estudios, el 95 % de dispositivos o alrededor de 950 millones de usuarios en todo el mundo. Además, las versiones anteriores a Jelly Bean son las que tienen un riesgo mayor, puesto que no incorporan mitigaciones de exploits adecuadas.


Hay que tener en cuenta que Stagefright se compone en realidad de siete vulnerabilidades diferentes, que ya han sido reportadas y se les ha asignado su correspondiente CVE. Además, la empresa que ha publicado esta investigación avisó de la seriedad del problema a Google, lo que hizo que se prepararan y aplicaran parches en el código vulnerable en poco tiempo.

El problema reside en quién va a recibir estos parches. Los usuarios de dispositivos de Google como el smartphone Nexus 6, pueden estar seguros de que verán publicada esta actualización. Otros fabricantes puede que la lancen a sus dispositivos estrella más actuales, pero seguirá quedando una gran mayoría de usuarios sin actualizar debido a que ni los fabricantes ni las operadoras se van a molestar en lanzar esta actualización para aquellos dispositivos considerados obsoletos.

Mitigación del ataque

Parece ser que tan solo una actualización por parte del fabricante podría solucionar este grave problema, algo que ya hemos dicho es bastante improbable que se produzca para cientos de millones de usuarios de Android en sus smartphones.

Así pues, ¿qué solución nos queda? De momento, esperar. No olvidemos que este anuncio se ha producido la semana antes de que empiecen las conferencias de seguridad BlackHat y Defcon en Las Vegas, por lo que es lógico que se trate de ganar notoriedad para que asista el mayor número posible de gente a las charlas que el investigador dará en esa conferencia.

No obstante y de momento, la única información de la que disponemos es la proporcionada por la empresa en la que trabaja este investigador, por lo que deberíamos esperar a ver esta presentación antes de sacar nuestras propias conclusiones. No sería la primera vez que se presentase una vulnerabilidad como extremadamente crítica y luego se viese cómo su alcance se ve limitado a unos escenarios muy concretos.

Por eso recomendamos a los usuarios de Android que no se deshagan todavía de sus dispositivos y esperen a ver en qué consiste realmente este fallo de seguridad y cuáles son las posibilidades reales de sufrir un ataque de estas características.

Fuente: welivesecurity.com
Read More
Suscribirse a: Entradas (Atom)