MALWARE EN CCLEANER: Actualiza ya! [v5.33.6162]

Como si se tratase de una broma pesada, y probablemente lo sea, la última noticia relacionada con la seguridad informática trata sobre el hackeo de un programa diseñado para aumentar el rendimiento del ordenador y la seguridad en la navegación por internet. Se trata de CCleaner y una variente del mismo llamada CCleaner Cloud, esta permite el control remoto desde otros ordenadores.

El ataque de los hackers fue desactivado por la empresa y se piensa que no se han producido daños a los usuarios. Así que los que usen el programa en principio no deben tener nada que temer. El golpe parece perfecto por dos motivos: si los hackers querían crear la sensación de que ni un software de seguridad es seguro lo han logrado. Pero también, como es sabido por los expertos en seguridad informática, la psicología juega un importante papel en muchos ataques informáticos.

España, por cierto, está entre los países en los que este software es más popular si nos atenemos a este informe de una empresa de seguridad. En el comunicado que ha difundido Piriform, la empresa que produce Ccleaner, se explica que 2,27 millones de personas han podido descargar el malware. Se desconocen los objetivos de los atacantes.

La empresa recomienda la descarga e instalación de un parche para evitar hipotéticos problemas. En este post de su blog,Piriform realiza también una descripción técnica del ataque. Además, se recomienda a los usuarios de ambos programas que se mantengan informados sobre las novedades relacionadas con este suceso en el blog de Piriform.

Avast y Piriform han confirmado que la versión de 32 bits de Windows de CCleaner v5.33.6162 y CCleaner Cloud v1.07.3191 fueron afectados por el malware. Detectado el 13 de septiembre, la versión maliciosa de CCleaner contiene una carga útil de malware en varias etapas que roba datos de equipos infectados y los envía a los servidores de control y control remoto del atacante.

Además, los hackers desconocidos firmaron el ejecutable de instalación malintencionada (v5.33) utilizando una firma digital válida emitida a Piriform por Symantec y utilizaron Algoritmo de Generación de Dominio (DGA), de modo que si el servidor de los atacantes cayera, la DGA podría generar nuevos dominios para recibir y enviar información robada.

"Toda la información recopilada fue cifrada y codificada por base64 con un alfabeto personalizado", dice Paul Yung, VP de Productos de Piriform. "La información codificada fue posteriormente enviada a una dirección IP externa 216.126.xx (esta dirección fue codificada en la carga útil, y hemos enmascarado intencionalmente sus dos últimos octetos aquí) a través de una solicitud HTTPS POST".

No obstante, un vocero de Avast aseguró que el malware fue detectado antes de que pudiera hacer algún daño.

"La actualización a CCleaner 5.34 elimina el malware, que ya no puede hacer daño porque el servidor fue apagado por Avast. En el caso de CCleaner Cloud, el software se actualizó automáticamente", dijo.

Por su parte, la compañía aseguró que de los 2,27 millones de equipos afectados "solo 730.000" continúan utilizando la versión infectada.


El impacto del ataque podría ser severo dado que desde noviembre de 2016, CCLeaner ha reportado más de 2.000 millones de descargas y un ritmo de crecimiento de cinco millones de nuevos usuarios por semanas.

El software malicioso fue programado para recopilar un gran número de datos de usuario, incluyendo:

• Nombre de la computadora
• Lista de software instalado, incluyendo actualizaciones de Windows
• Lista de todos los procesos en ejecución
• Direcciones IP y MAC
• Información adicional como si el proceso se está ejecutando con privilegios de administrador y si se trata de un sistema de 64 bits.

Cómo eliminar malware de su PC

Según los investigadores de Talos, alrededor de 5 millones de personas descargan CCleaner (o Crap Cleaner) cada semana, lo que indica que más de 20 millones de personas podrían haber sido infectadas con la versión maliciosa de la aplicación.

"El impacto de este ataque podría ser grave dado el número extremadamente alto de sistemas posiblemente afectados.Cleaner afirma tener más de 2.000 millones de descargas en todo el mundo a partir de noviembre de 2016 y se informa que la adición de nuevos usuarios a un ritmo de 5 millones a la semana", dijo Talos .Sin embargo, Piriform estima que hasta el 3 por ciento de sus usuarios (hasta 2,27 millones de personas) fueron afectados por la instalación maliciosa. Se recomienda encarecidamente a los usuarios afectados que actualicen su software de CCleaner a la versión 5.34 o superior, con el fin de proteger sus equipos de ser comprometidos.

0-Day Windows, .NET [Actualiza tu equipo ya]

Microsoft ha publicado el parche de vulnerabilidades denominadas “Críticas” en total 82 vulnerabilidades/CVEs, siendo el siguiente el listado de productos actualizados con sus correcciones más importantes: 

<URL: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8696> 

• Internet Explorer, presentando un total de 7 vulnerabilidades corregidas relacionadas con ejecución remota de código. 

• Microsoft Edge, 29 vulnerabilidades corregidas, 20 de ellas críticas. 

• Microsoft Windows, con 38 vulnerabilidades corregidas, siendo las de mayor impacto, por ejecución remota de código, las que afectaban a los módulos NetBIOS (CVE-2017-0161), Win32k Graphics (CVE-2017-8682), Windows DHCP Server (CVE-2017-8686), Uniscribe (CVE-2017-8692), Microsoft Graphics Component (CVE-2017-8696), Windows Shell (CVE-2017-8699), Remote Desktop Virtual Host (CVE-2017-8714), Microsoft PDF (CVE-2017-8728, CVE-2017-8737) y el controlador Broadcom BCM43xx presente en las HoloLens (CVE-2017-9417).

Merece mención especial, la actualización de la pila Bluetooth, tras el reciente ataque BueBorne y la corrección de una vulnerabilidad de tipo Spoofing (CVE-2017-8628).

• Microsoft Office y Microsoft Office Services & Web Apps. Se han solucionado 14 vulnerabilidades, 10 de ellas críticas. 

• Skype for Business y Lync, ejecución de código, CVE-2017-8696.

• .NET Framework, quizás la vulnerabilidad más importante (CVE-2017-8759). 

• Xamarin.iOS, elevación de privilegios en Xamarin Studio para Mac (CVE-2017-8665) 

• ChakraCore, motor Javascript de Edge, una ejecución remota de código (CVE-2017-8658) 

• Microsoft Exchange Server, una vulnerabilidad de revelación de información (CVE-2017-11761) 

• Adobe Flash Player, dos vulnerabilidades por ejecuciones remota de código que afectaban al plugin (CVE-2017-11281, CVE-2017-11282). 

0-day en .NET Framework y distribución de FINSPY

En conjunción y de manera coordinada con la publicación de estos boletines, la firma de seguridad FireEye, ha hecho público el análisis de la vulnerabilidad presente en .NET Framework y que estaría siendo explotada por un grupo de atacantes, identificados por Microsoft como el grupo NEODYMIUM. Utilizarían este 0-day para la distribución de una variante del malware de espionaje conocido como FINSPY o FinFisher, mediante el envío de documentos Office (RTF, DOCX) especialmente manipulados.

La vulnerabilidad (CVE-2017-8759) estaría presente al procesar un objeto OLE embebido en el documento, en concreto un webservice WSDL a través de su moniker SOAP. Esto permitiría a un atacante remoto inyectar código arbitrario durante el proceso de parseo, elevar privilegios y como se ha demostrado, según los reportes de FireEye, ser explotado para ejecutar código remoto y controlar el sistema afectado.

Técnicamente, el problema residiría en el método PrintClientProxy y la incorrecta validación presente en la función "IsValidUrl" al recibir códigos CRLF. Esto provocaría la posterior ejecución de los comandos inyectados.

Debido a esto y a la sencillez de la vulnerabilidad, firmas como MDSec ya han mostrado públicamente como reproducir el exploit: https://www.mdsec.co.uk/2017/09/exploiting-cve-2017-8759-soap-wsdl-parser-code-injection/

"Recuerda que para la actualizacion de .NET, no olvides validar tus aplicativos o sistemas de información que utilizan/necesitan .NET evitando incidentes o fallas de los mismos."

Microsoft recomienda encarecidamente actualizar los sistemas o al menos actualizar Windows Defender Antivirus, que ya bloquea este tipo de exploit, identificado como Exploit:RTF/Fitipol.A, Behavior:Win32/Fitipol.A y Exploit:RTF/CVE-2017-8759.A.

Mas info: 

https://technet.microsoft.com/en-us/security/bulletins

http://thehackernews.com/2017/09/windows-zero-day-spyware.html

Saludos,

Recuerda compartir, y disfrutar.

Cumbre de contenidos digitales Colombia 4.0

Los ataques cibernéticos a los que esta expuesto el país, así como la implentación de un sistema estable de ciberseguridad, son parte de los temas que desarrollará este año Colombia 4.0.

Se trata de la cumbre de contenidos digitales más importante de Latinoamérica, que incluye invitados nacionales e internacionales de la talla de Nolan Bushnell, fundador de Atari.

Esta cumbre, que convoca el Ministerio de Tecnologías de la Información y las Comunicaciones (TIC), reunirá a representantes de la industria de contenidos y aplicaciones fdigitales, videojuegos, animación digital, desarrollo web, desarrollo móvil, TV pública, música, publicidad digital y monetización.

El evento, que se realizará del 20 al 23 de septiembre de 2017, además de hacer énfasis en la importacion de la ciberseguridad, este año desarrollará una amplia agenda académica, rueda de negocios y conferencias sobre temas relevantes para los sectores TIC y de contenidos digitales.

Mayor información: Colombia4.0