GOOGLE CHROME FUE EL PROGRAMA CON MÁS VULNERABILIDADES EN 2014

La firma de seguridad Secunia se dedica a buscar las vulnerabilidades que tienen los diferentes programas de PC. Hace unos días, la organización publicó el reporte de 2014, en el cual muestran cuales son los programas más vulnerables del mercado. Durante el año pasado, Secunia registró 15.435 problemas en 3.870 diferentes aplicaciones. Esto representa un incremento de 18% en vulnerabilidades y 18% en programas frente a las cifras del año pasado. Y apenas lean la lista, se van a sorprender.

El programa con más vulnerabilidades de 2014 fue Google Chrome. El navegador de internet de Google, que constantemente hace concursos para encontrar huecos de seguridad, fue el programa más vulnerable de 2014. La firma de investigación encontró que el navegador de Google tuvo 504 vulnerabilidades. En el segundo lugar de esta lista se encuentra Solaris, un programa empresarial de Oracle. Secunia registró 483 diferentes huecos de seguridad en 2014 en él. La distribución Gentoo de Linux ocupó el tercer lugar con 350 huecos de seguridad.

Otros de los participantes en esta sospechosa lista es OS X con 147 vulnerabilidades, y Windows 8 con 105.

De acuerdo con ZDNet, solo dos programas de Microsoft entraron en los primeros 20 programas. El mayor fabricante fue IBM que obtuvo ocho entradas. Tivoli Endpoint Manager fue el peor programa de IBM con 258 vulnerabilidades. Cabe mencionar que muchas de las fallas de seguridad se comparten entre los diferentes programas, lo que explica la presencia de varios programas de ‘Big Blue’.

Es importante mencionar que el hecho de tener muchas vulnerabilidades no quiere decir que un programa sea inseguro. El hecho de descubrir todas las vulnerabilidades es que la empresa está activamente buscando los huecos y lanzando los parches rápidamente. Eso indica hay que tener los programas actualizados.

La investigación asegura que las empresas de tecnología están mucho más juiciosas que antes a la hora de arreglar sus programas. Secunia dice que de las 16.435 vulnerabilidades, “el 83% fueron parchadas el mismo día fue fueron descubiertas”.

COMO ELIMINAR EL VIRUS DEL ACCESO DIRECTO

El  virus del acceso directo reemplaza todas tus carpetas por accesos directos, inpidiéndote acceder a su contenido. Afortunadamente, es muy fácil acabar con él.

Conectas un pendrive al PC, te preparas para ver sus archivos y... ¡sorpresa! las carpetas ya no están. Han sido reemplazadas todas por accesos directos que aparantemente no van a ninguna parte. ¿Qué hacer?

¿De dónde sale este virus?

El conocido como "virus del acceso directo" puede en verdad ser una de las muchas variantes. En realidad es un script VBS que has ejecutado, probablemente por estar incluido de forma malintencionada en otro programa.

Es el caso de la variante conocida como Mugen.vbs, que alguien incluyó en un paquete con el juego Mugen Saint Seiya.

Este juego de Caballeros del Zodíaco venía con sorpresa

¿Qué hace exactamente el virus del acceso directo?

Las buenas noticias son que el virus del acceso directo, o Mugen.vbs, no borra nada. En su lugar, hace algo más curioso: marca las carpetas contenidas como ocultas y de sistema, además de crear accesos directos que se llaman igual.

Carpetas originales (ocultas) y los accesos directos, creados por el virus

Estos accesos directos por supuesto no abrirán su carpeta, sino que ejecutarán el virus,infectando potencialmente la máquina en la que estás trabajando.

Con un concepto tan simple ha logrado extenderse rápidamente.

¿Cómo eliminarlo?

Si has sido infectado, lo primero es cambiar la configuración del Explorador de archivos paratener más claro qué es qué. Concretamente, en el menú Herramientas > Opciones de carpeta del Explorador de archivos, pestaña Ver.

Marca Mostrar archivos, carpetas y unidades ocultos y desmarca Ocultar archivos protegidos del sistema operativo y Ocultar las extensiones de archivo para tipos de archivo conocidos.

Tras hacer esto, ¿puedes localizar el archivo con extensión VBS en la memoria USB? Si es así, bórralo. Es posible que Windows no te deje hacerlo si está en uso. Unlocker es una utilidad pensada especialmente para eliminar estos archivos rebeldes.

También puedes Detener el proceso Wscript.exe (Microsoft Windows Based Script Host) en el Administrador de tareas. No es malicioso, es simplemente el motor de scripts que usa el virus para funcionar.

Si no estás seguro de dónde se esconde el archivo VBS, prueba enUsers\AppData\tu.usuario\AppData\Roaming. ¿Tampoco está aquí? Entonces haz clic derecho en uno de los accesos directos falsos que ha creado y elige Propiedades. En el apartado Destino generalmente tendrás una pista de dónde está el archivo vbs, justo después de "start".

Borrar el archivo VBS te asegurará que no vas a volver a infectarte tan pronto como le des sin querer a un acceso directo, pero no arregla el estropicio que el virus ha creado. Lo deberás hacer manualmente o mediante un archivo BAT.

Selecciona todos los accesos directos falsos en el Explorador y bórralos (truco: haz clic en el primero y después en el último mientras pulsas Shift).

Por último, selecciona todas las carpetas reales ocultas y haz clic derecho para elegirPropiedades. Desmarca ambas casillas, Oculto y Sólo lectura, y pulsa Aceptar.

Con este proceso devolverás las carpetas a su estado original, pero algunas personas prefieran hacer este proceso automáticamente mediante un archivo BAT. Si es tu caso, crea un nuevo documento de texto con el siguiente contenido:

taskkill /IM wscript.exe

del /f /q *.vbs

attrib /d /s -r -h -s *.*

del /f /s /q *.lnk

Graba el documento con extensión .BAT, cópialo a la raiz de tu memoria USB y ábrelo.

Funciona de la siguiente manera: primero, cierra el proceso Windows Script, para a continuación borrar cualquier archivo VBS. Después elimina los atributos de archivo oculto o de sistema de todos los archivos en esa carpeta y subcarpetas, para a continuación borrar los accesos directos.

Ten en cuenta que este archivo BAT puede causar algunos estragos en tu PC si lo ejecutas en la raíz de tu unidad del sistema, ya que eliminará todos los accesos directos, incluidos los del Escritorio y Menú inicio. Por tanto, sólo te recomiendo usarlo en tu memoria USB o en una carpeta concreta.

Adiós, virus del acceso directo

APPS MAGICAS PARA HACKEAR FACEBOOK

Conseguir la contraseña de Facebook de una cuenta es una de las peticiones más usuales que se suele recibir de la gente que busca solucionar sus problemas invadiendo la intimidad de las personas cercanas. Hay una gran demanda para este tipo de servicios, y por ende aparece la oferta de este tipo de servicios por medio de muchas maneras, casi todas con el fin de engañar al que busca hackear Facebook. Desde engaños al uso de "págame y ya me pongo yo a conseguirte la contraseña que yo hago unos troyanos superfuertes", hasta las típicas falsas apps mágicas que se comercializan para espiar WhatsApp en las que supuestamente pones un número de teléfono y al instante te da las conversaciones que de la otra persona. 

Figura 1: Apps mágicas para hackear Facebook

Estas apps mágicas para espiar son algo muy utilizado en el mundo del fraude online, y en casos como las apps mágicas para WhatsApp han generado auténticos negocios como hemos visto en el pasado. Hoy yo venía a hablaros de una de esas apps mágicas para hackear. En concreto de una App mágica para Hackear Facebook que me encontré ayer jugando con nuestra plataforma Path 5.

Figura 2: FaceHack, una app para robar passwords de Facebook con 0days de SQL Injection y Brute Force

La encontré mientras buscaba apps hablaran de SQL Injection y me llamó poderosamente la atención.  "¿Una app para hackear Facebook que está relacionada con SQL Injection? Esto hay que verlo". Tal y como se puede ver en la imagen de arriba, el crespón negro indica que la app fue retirada de Google Playhace varios meses, pero lo bueno de Path 5 es que nos hace el archivado automático de todas las apps y todas las versiones, así que podría jugar con ella. 

Figura 3: Descripción, descargas e información de FaceHack en Google Play

El asunto del SQL Injection aparecía en la descripción, donde los autores presumen de que son unos tipos son unos mega hax0RDs con capacidades superiores a las que tienen los ingenieros de seguridad de Facebook y todos los investigadores que participan en el Bug Bounty y son capacidades de sacar las passwords usando Fuerza Bruta y bugs de SQL Injection que solo ellos tienen. Tiene gracia, pero ya que vas a meter una trola a alguien, que sea a lo grande, ¿no?. De hecho no será la primera vez que alguna gran empresa como Apple se come ataques de Brute Force en sus servidores o bugs de SQL Injection en sitios de renombre.

Aún así, publicar un par de 0days de Facebook en una app en Google Play no parece lo más inteligente para un hax0RD del nivel de estos autores, así que la trola canta muchísimo, así que decidí descargarla y darle un vistazo. Primero una descompresión del APK, luego una extracción del código con dex2jar para sacar los ficheros .class y luego usando JAD y Show My Code a leer un poco el código de laapp y para ver la magia.

Al extraer el código se podía ver que la parte del ataque SQL Injection la tenían en una rama completamente a parte, así que me fui a ver qué hacían por allí. La función que más me gustó fue esta de DoSomeTasks para tener entretenido al usuario de la app.

Figura 4: Función para hacer cosas

Esta función se llamaba de vez en cuando con algunos retardos de tiempo para que se viera lo duro y cansado que era el trabajo de esta pobre app tratando de sacar la contraseña de la víctima.

Figura 5: Retardos de tiempo periódicos en la app

Eso sí, la contraseña la saca, y la saca con emoción. Al estilo que buscan los periodistas cuando graban un reportaje para la tele. Visualizando la tensión poco a poco por pantalla. Primero intentando conectar una vez con mucha dificultad.

Figura 6: Tensión, se está intentando conectar a...¿a qué?

Lugo intentándolo otra vez, para al final conseguirlo y poder sacar por pantalla lapassword de la víctima que esta app mágica va a sacar para el atacante.

Figura 7: Se conecta a la segunda... y ¿obtiene una password? ¿De dónde?

Cuando sale la contraseña, se la saca de una variable que se llama Str. What? Str?¿De dónde ha salido ese Str con una password? Había que encontrar ese Str, así que a buscar la variable por todo el programa. Y ahí está, es mágico.

Figura 8: Sacando la password como los magos de la tele

Como se puede ver, lo único que hace es tirar un dado y sacar una contraseñaRandom para mostrársela al usuario y listo. ¡Eso sí es magia! Alguno podrá pensar que esto es una locura, pero... ¿no hacen esto los magos todos los días en los programas de consultorio de magia en la tele y son legales y pagan sus impuestos? Eso sí, por pantalla tiran comandos SQL para que se vea el SQL Injection.

Figura 9: Ahí está el SQL Injection... ¡escéptico!

Lo cierto es que el ataque de Brute Force era similar, así que fui a capón en busca de la variable Str para ver cómo lo hacía en la otra rama del ataque, para ver que era exactamente el mismo juego de magia e imaginación.

Figura 10: El Str del Brute Force y las funciones de publicidad e Mobile Core

¿Y todo por qué? Pues para monetizar el uso de la app con publicidad de Mobile Core, que no olvidéis que en la descripción de esta app se puede ver que tenía ya más de 10.000 descargas de usuarios que buscaban robar passwords de otros.

Figura 11: El mismo truco en versión desktop para Windows

Por supuesto, el truco este de la app mágica para hackear Faceook existe también en versión escritorio, e incluso hay un vídeo demostrativo de FaceHacker 2014 que demuestra como se obtienen las passwords. Unos crack de los efectos especiales en vídeo.

UNA ACTUALIZACIÓN DE WINDOWS 7 ERRÓNEA HACE QUE EL EQUIPO SE REINICIE SIN PARAR

No sucede siempre pero si de manera más habitual de lo que sería deseable. Una de las últimas actualizaciones liberadas por Microsoftno funciona correctamente y provoca que el ordenador se reinicie constantemente sin parar hasta que el usuario lo interrumpe manualmente. Se recomienda a los usuarios que no instalen por el momento este parche.

Microsoft, cumpliendo con la tradición, liberó hasta 14 parches de seguridad el pasado martes con el objetivo de corregir diversas vulnerabilidad y agujeros de sus sistemas operativos. Hasta aquí ningún problema pero la realidad es que una de estas actualizaciones está causando problemas en los usuarios de Windows 7 y Windows Server 2008 R2. En nombre del parche es KB3033929 y según explica Microsoft, mejora el soporte para SHA-2.

Aunque los detalles son confusos en estos momentos, son muchos los usuarios que están manifestando su malestar con esta actualización tanto en redes sociales como en los foros de soporte de la compañía de Redmond. Al parecer, falla su instalación y el equipo empieza reiniciarse sin parar hasta que el usuario interviene y detiene el proceso de forma manual.

Por ello, lo más recomendable es ocultar esta actualización y no aplicarla hasta que Microsoft proporcione más detalles al respecto. Esto se consigue accediendo al Panel de Control, Programas y características, Ver actualizaciones instaladas y allí buscaremos KB3033929. Una vez localizada la actualización, pulsaremos botón derecho y la ocultaremos.

No es la primera vez

Por desgracia, estamos demasiado acostumbrados a leer y sufrir con algunas actualizaciones para los sistemas operativos Windows. Sin ir más lejos, en el mes de diciembre una actualización de Windows 7 impedía instalar software firmado y un poco antes, durante el verano, se multiplicaron los problemas con la actualización de agosto de Windows 8.1. Desde Redmond deben ser conscientes de las molestias causadas a usuarios y del daño a la imagen de sus sistemas.