Múltiples vulnerabilidades en productos Kaspersky
A través del enlace anterior accedemos a la noticia que trata de las vulnerabilidades de los productos Kaspersky debido a desbordamientos de bufer y del tratamiento de archivos comprimidos lo que permite ejecutar codigo arbitrario con permisos del sistema. Kansperky ya trabaja en su solución y ha resuelto las vulnerabilidades al tratar archivos Android DEX y documentos Microsoft CHM al descomprimir formatos UPX y Yoda Protector.
Debido a que los productos antivirus interceptan el tráfico de red y el sistema de archivos, bastaba con visitar un sitio web o recibir un archivo de correo para explotar la vulnerabilidad. Sin llegar a ser necesario abrir o leer el correo malicioso.Archivos robados en los servicios en la nube
Desde el enlace anterior accedemos a una nopticia que trata de las vulmnerabilidades de los servicios en la nube. un atacante podría acceder aa Dropbox, Google Drive o One Drive sin necesidad de introducir siquiera la contraseña del usuario.
Estos ataques se han bautizado como "man in the cloud" (hombre en la nube). Permiten al atacante obtener acceso a los archivos e infectarlos son malware sin conocimientos del usuario legítimo. Incluso el atacante podrá actuar como el dueño de la cuenta, si modifica la contraseña impedirá al usuario legítimo acceder a su cuenta, quedando bajo el control total del atacante.
Este ataque se diferencia de los ya conocidos de hombre en el medio, en los que se interfiere la comunicación entre dos servidores o usuarios, ya que en esta ocasión se aprovecha una vulnerabilidad en el diseño del sistema de sincronización de archivos ofrecido por diversos servicios de este tipo, como Dropbox, Box, OneDrive o Google Drive. Sin usar ningún exploit, simplemente con una sencilla reconfiguración de los servicios se puede conseguir una herramienta de ataque devastadora y difícilmente detectable.
El ataque reside en conseguir el token de contraseña, un pequeño archivo que para mayor comodidad se localiza en el dispositivo del usuario, para evitar tener que introducir la contraseña cada vez que el servicio quiera sincronizarse. Una vez que se consigue el token, para lo que puede emplearse cualquier otro tipo de ataque (p.ej. phishing o drive-by), se puede emplear para engañar a un nuevo equipo y convertir al atacante en el dueño de la cuenta. A partir de aquí ya está todo hecho, el atacante podrá acceder y robar los archivos del usuario, añadir malware en la nube del usuario, emplear la cuenta de ese usuario para otros ataques…
El token de autenticación se almacena en el sistema del usuario en el registro o en un archivo. Después de la autenticación, no se necesitan más credenciales explícitas (o almacenadas) para acceder a la cuenta del usuario. Además este token de sincronización es independiente de la máquina, puede utilizarse el mismo en máquinas diferentes.
No hay comentarios:
Publicar un comentario