Vulnerabilidades en Kernel, Sitios de phishing indetectables y Netflix impide compartir cuentas

1. Vulnerabilidades en kernel de Linux de hace 15 años permiten obtener privilegios de root
2. Con la subida del Bitcoin un programador gastó $316 millones de dólares por 2 pizzas
3. Sitios de phishing evitan ser detectados con un interesante mecanismo 
4. Netflix limitará el compartir tu cuenta
5. Hackean más de 150,000 cámaras de seguridad
6. Filtran datos personales de miles de clientes de WeLeakInfo

Todo esto en el notihack del día de hoy!

Vulnerabilidades en kernel de Linux de hace 15 años permiten obtener privilegios de root

Tres vulnerabilidades encontradas en el subsistema iSCSI del kernel de Linux pueden permitir a los atacantes con privilegios de usuario normal obtener privilegios de root en sistemas Linux sin parches.

Es importante mencionar que estas vulnerabilidades sólo pueden explotarse localmente. Es decir que los atacantes tendrían que obtener acceso a dispositivos vulnerables explotando otra vulnerabilidad o utilizando un vector de ataque alternativo.

Investigadores descubrieron las vulnerabilidades de hace 15 años después de analizar las etapas iniciales de desarrollo del subsistema del kernel iSCSI.

iSCSI es la abreviatura de, Internet SCSI y es un estándar que permite el uso del protocolo SCSI sobre redes TCP/IP.

Según los investigadores, las vulnerabilidades afectan a todas las distribuciones de Linux, pero afortunadamente, el módulo vulnerable no se carga por defecto.

Sin embargo, dependiendo de la distribución de Linux a la que puedan apuntar los atacantes, el módulo se puede cargar y explotar para escalar privilegios.

Uno de los investigadores afirma que: “el kernel de Linux carga módulos cuando  detecta nuevo hardware o porque una función del kernel detecta que falta un módulo”

Según él, es más probable que se abuse de este último caso de carga automática implícita para que el atacante lo active fácilmente, lo que le permitiría aumentar la superficie de ataque del kernel.

Recordemos que en sistemas CentOS 8, RHEL 8 y Fedora, los usuarios sin privilegios pueden cargar automáticamente los módulos requeridos si el paquete rdma-core este instalado.

Lo alarmante es que las tres vulnerabilidades pueden conducir a la elevación local de privilegios, filtración de información y denegaciones de servicio.

Lo bueno de la situación es que los parches están disponibles en el kernel de Linux desde el 7 de marzo, por lo tanto, tu dispositivo no puede verse comprometido si tienes actualizado tu  kernel. 

Con la subida del Bitcoin un programador gastó $316 millones de dólares por 2 pizzas

El programador Laszlo Hanyecz se ha hecho muy conocido en los círculos de las criptomonedas tras aparecer en los titulares por haber cambiado 10,000 bitcoins por dos pizzas de Papa John’s el 22 de mayo del 2010. Ese día se conoce ahora como el “Bitcoin Pizza Day” y es el más célebre en el mundo de las criptomonedas.

Gracias al precio máximo histórico alcanzado el pasado sábado donde un bitcoin equivale a $60,000 dólares, el botín de Hanyecz tendría ahora un valor de $316 millones de dólares.

El Bitcoin, que cuenta con una capitalización de mercado de más de 1.1 trillones de dólares, se ha visto impulsado por el optimismo de compradores.

Joe Biden, presidente de Estados Unidos firmó el viernes pasado, un proyecto de ley de ayuda a la pandemia con un valor de 1.9 billones de dólares que permitirá entregar a millones de estadounidenses cheques de ayuda por valor de 1,400 dólares, lo que alimenta las esperanzas de que el boom del mercado continúe.

El precio del Bitcoin, que se disparó el sábado, ha aumentado un 1,000% en el último año. También se ha beneficiado del respaldo de grandes instituciones, como Mastercard y Tesla , tal como te lo hemos contado en notihacks anteriores.

Sin embargo, el Bitcoin no convence a todo el mundo. El famoso inversor Warren Buffett ha criticado repetidamente esta y otras criptomonedas calificándolas como “arriesgadas” y “sin valor”. 

En cuanto a Hanyecz, aparentemente no se ha arrepentido en los años transcurridos desde que compró las pizzas, a pesar de las frecuentes subidas de precio de la criptomoneda. El año pasado afirmó que: “el bitcoin es una forma de alimentar la codicia”.

Sitios de phishing evitan ser detectados con un interesante mecanismo

Sitios de phishing están usando JavaScript para evadir ser detectados, al verificar si un visitante está navegando por el sitio desde una máquina virtual o un dispositivo sin interfaz gráfica de usuario.

Empresas de ciberseguridad utilizan normalmente dispositivos sin interfaz gráfica de usuario o máquinas virtuales para determinar si un sitio está siendo utilizado para phishing.

Para evadir la detección, un novedoso kit de phishing utiliza JavaScript el cual verifica si un navegador se está ejecutando en una máquina virtual o sin un monitor adjunto. Si descubre algún signo de intento de análisis, muestra una página en blanco en lugar de mostrar la página de phishing. ¿Novedoso verdad?

El script fue descubierto por MalwareHunterTeam y verifica el ancho y alto de la pantalla del visitante utilizando la API de WebGL para consultar el motor de renderizado usado por el navegador.

Cuando realiza las comprobaciones, el script primero analiza si el navegador utiliza un procesador de software, como SwiftShader o VirtualBox.

El script también comprueba si la pantalla del visitante tiene una profundidad de color de menos de 24 bits o si la altura y el ancho de la pantalla son de menos de 100 píxeles.

Si detecta alguna de estas condiciones, la página de phishing muestra un mensaje en la consola del desarrollador del navegador y muestra una página vacía al visitante.

Sin embargo, si el navegador utiliza un motor de procesamiento de hardware normal y un tamaño de pantalla estándar, el script muestra la página de inicio del ataque de  phishing.

Es muy común que investigadores y empresas de seguridad fortalezcan sus máquinas virtuales para evadir la detección por parte del malware. Sin embargo, parece que ahora también tendrán que fortalecerlas contra los ataques de phishing.

Netflix limitará el compartir tu cuenta

Todos sabemos que muchas personas comparten los accesos de su cuenta de Netflix con: amigos, familiares o su pareja. 

Sin embargo, Netflix está pensando en tomar fuertes medidas contra esa práctica. 

El sitio GammaWire fue el primero en informar que algunos usuarios de Netflix están recibiendo una serie de notificaciones donde advierten que, si no vives con el propietario de la cuenta, necesitas tu propia cuenta para seguir disfrutando de Netflix.  

Posteriormente te pide que verifiques tu cuenta a través de un correo electrónico o un código enviado por mensaje de texto.

Por supuesto, si estás utilizando la cuenta de otra persona, no hay nada que te impida pedirle ese código a tu amigo o familiar pero, Eso se vuelve un poco más complicado si no tienes comunicación con el propietario de la cuenta.

Alternativamente, puedes optar por verificar más tarde. Esto elimina el mensaje y te permite continuar usando Netflix normalmente. 

Hasta el momento no está claro si la notificación se seguirá mostrando con más restricciones.

Si bien Netflix admite varios perfiles en una sola cuenta, estos están diseñados para personas en el mismo hogar. Sin embargo, es común que las personas compartan sus datos a otras personas como amigos o compañeros de trabajo o estudio.

No es una práctica ilegal, pero los términos de Netflix establecen que no debes compartir tu cuenta con personas fuera de tu casa.

Habrá que esperar si esta es una medida para restringir que las personas compartan su cuenta indiscriminadamente o una capa de seguridad adicional.

Hackean más de 150,000 cámaras de seguridad

Hackers vulneraron miles de cámaras de seguridad de Verkada, una startup de Silicon Valley que provee cámaras de seguridad a prisiones, hospitales, escuelas y departamentos de policía importantes empresas tecnológicas como Tesla y Cloudflare.

El incidente proporcionó acceso a las transmisiones en vivo de más de 150,000 cámaras de seguridad, algunas de las cuales utilizan tecnología de reconocimiento facial para identificar y rastrear a las personas en la pantalla.

Verkada es una empresa que proporciona servicios de cámaras de vigilancia a cientos de empresas en los Estados Unidos.  Sus clientes van desde hospitales hasta comisarías policiales, empresas de tecnología, gimnasios y muchas más. Incluso las propias oficinas de Verkada se vieron afectadas por la brecha de seguridad.

Un colectivo de hackers internacional se atribuyó el incidente. Uno de los hackers del grupo afirmó que la intención es mostrar cuán generalizada se ha vuelto la vigilancia, pero también mostrar lo  frágil que es la seguridad para esta infraestructura vital.

El colectivo también reveló cómo lograron acceder a la red de la empresa. Y para nuestra sorpresa no fue un exploit de día cero o un hackeo sofisticado. No, aunque  parezca increíble, el grupo accedió a la cuenta “Super Admin” de Verkada utilizando una combinación de nombre de usuario y contraseña que encontraron en Internet. A partir de ahí, fue cuestión de iniciar sesión y explorar.

Independientemente de cómo haya sucedido el incidente, no hay duda de que el hackeo de Varkada muestra los peligros para las empresas que utilizan cámaras de vigilancia.

Filtran datos personales de miles de clientes de WeLeakInfo

Un usuario de un popular foro de ciberdelincuentes está vendiendo una base de datos que contiene información altamente confidencial de más de 24,000 clientes del ahora desaparecido servicio ilegal en línea WeLeakInfo.

Antes de que fuera cerrado por el FBI en enero de 2020, WeLeakInfo era un sitio web que vendía acceso a información robada extraída de más de 10,000 filtraciones de datos. El sitio almacenaba más de 12 mil millones de credenciales.

El usuario del foro está vendiendo la información altamente confidencial de los antiguos clientes de WeLeakInfo, incluidos: nombres completos, direcciones IP, direcciones y números de teléfono. El autor de la publicación en el foro está vendiendo un archivo ZIP que contiene datos de pago de los clientes de WeLeakInfo que realizaron sus compras ilícitas a través de la pasarela de pago Stripe.

Afortunadamente para las personas que compraron datos ilícitos de WeLeakInfo a través de PayPal o Bitcoin, su información no está incluida en la filtración. En palabras del autor, “no deben preocuparse”.

La información que se encuentra en el archivo podría afectar a los antiguos usuarios del sitio web de diversas formas.

En primer lugar, los ciberdelincuentes podrían usar los datos para identificar a los usuarios y chantajearlos o extorsionarlos, o intentar vulnerar sus otras cuentas en línea a través de ingeniería social.

Por otra parte, esto también podría conllevar problemas legales a los usuarios del desaparecido sitio web.

Déjame aconsejarte que la próxima vez que veas un anuncio de “venta de datos” en algún lugar de la web, vale la pena tener en cuenta que no todos los servicios que puedes comprar en línea son legales: asegúrate siempre de no infringir la ley al comprar cualquier tipo de información o datos.

Por último, quiero mencionarte que si te preocupa que algún dato tuyo se ha visto expuesto en alguna filtración de datos puedes usar nuestro buscador de leaks en hackwise.mx para conocer si algún correo y contraseña  ha sido filtrado. 

Y ya para terminar con el notihack del día de hoy, los dejo con el dato curioso del día.

¿Sabías que?

El 19 de marzo de 1962, hace 59 años, nació Bernd Fix, un hacker alemán conocido por sus investigaciones sobre los virus. Descubrió un método para neutralizar el virus Vienna, convirtiéndose en el primer software antivirus documentado jamás escrito en 1987. Bernd, También creó varios virus de investigación; entre ellos el virus VP370 para mainframe de IBM. Además Fix, pertenece al Chaos Computer Club, la asociación de hackers más grande de Europa.