RSS exploits

El ya muy conocido grupo The Shadow Brokers vuelve a las andadas con sus filtraciones. Estos hackers se hicieron un nombre cuando afirmaron haber sido los primeros en acceder a los archivos de la NSA y a partir de ahí comenzaron a liberar las herramientas que encontraron algunas veces con intenciones de cobrar y otras sin más remedio que regalarlas.

Esta vez nos traen una herramienta llamada UNITEDRAKE que sirve para tomar control total de un ordenador con Windows de forma remota. Se trata de un "sistema de colección remota completamente extensible" creado por la NSA y que han publicado para los suscriptores de su servicio de pago mensual.

WannaCry ya lleva un tiempo dando a medios de todo el mundo titulares sin parar. De su irrupción destacó lo rápido que logró extenderse por todas partes. Sin embargo, lo que más llamaba la atención era que hacía uso de dos exploits de la NSA, EternalBlue y DoublePulsar. Este hecho conectaba al ransomware directamente con Shadow Brokers.

Ahora y según hemos podido saber gracias a Fossbytes, investigadores de seguridad de la empresa RiskSense han conseguido portar EternalBlue a Windows 10. La idea es que los hackers éticos puedan investigar cómo se comporta este malware en la última iteración del sistema operativo de Microsoft.

Hace un par de semanas les hablamos de como una nueva serie de herramientas supuestamente vinculadas con la NSA habían sido liberadas por los Shadow Brokers. El grupo se ha hecho bastante famoso luego de afirmar haber hackeado a la NSA por primera vez, intentar vender sus herramientas de espionaje, y luego liberar una gran cantidad de estos.

Entre los exploits liberados por los Shadow Brokers a mediados de abril se encontraban varios usadas para comprometer Windows XP, Windows Server 2003, Windows 7, Windows 8 y Windows 2012. Y, aunque Microsoft afirmó haber solucionado la mayoría de la vulnerabilidades, varios grupos de investigadores han encontrado que decenas de miles de ordenadores con Windows podrían haber sido infectados con una puerta trasera de la NSA altamente avanzada, una que fue liberada en los archivos del 14 de abril.

El pasado mes de agosto la NSA era hackeada por parte de un grupo conocido como Shadow Brokers. En el ataque se robó una gran colección del software espía de la agencia, que los crackers pusieron a la venta en la Dark Web. Sin embargo, la cifra que pedían era desorbitada: nada más y nada menos que un millón de bitcoins. A pesar de que los crackers intentaron dar validez a su publicación, nadie se fiaba. No hubo compradores, lo que llevó a un descenso del precio.

Como por ahora no parece haber nadie decidido a apoderarse de los exploits, el pasado viernes liberaban en GitHub el código de varias herramientas para hackear Windows y sistemas bancarios. Todo este asunto lleva tiempo planteando muchas dudas, pero ahora hay una en especial flotando en el ambiente: ¿por qué es importante que se haya liberado el código? Eso es algo que en Recode han intentado responder.

En estos últimos días hemos vivido una auténtica locura con Vault 7, el portal donde WikiLeaks ha publicado la mayor filtración sobre la CIA de la historia. Por ahora sabemos que quizá no debemos confiar en nuestros dispositivos, ya que Android e iOS entre otros han sido hackeados.

En la lista de empresas que han recibido las atenciones de los hackers de la agencia de inteligencia encontramos a Apple, Samsung o Microsoft. También se ha señalado a Linux como objetivo, algo que no ha sorprendido a la Linux Foundation según se ha publicado en BetaNews.

Hackear páginas y blogs para insertar códigos maliciosos suele ser un método común para redireccionar a los usuarios a kits de exploits y comprometer la seguridad de sus equipos. Pero con unos administradores cada vez más concienciados de la importancia de revisar sus plugins, los atacantes están teniendo que inventar nuevas y originales maneras de engañarles.

Los investigadores de seguridad de Malwarebytes han descubierto uno de estos métodos, que pasa por valerse de los clásicos plugins sociales para blogs. Concretamente camuflando el código malicioso en forma de URL normal, de manera que los administradores no verán nada extraño al revisarlo, aunque se cargará igualmente en los navegadores de los usuarios.

El 2015 no podría haber empezado peor para Adobe Flash y todos sus usuarios, ya que en lo que llevamos de año ya se las han tenido que ver con varios exploits que se han estado aprovechando de diferentes vulnerabilidades de día-cero, que es como se conocen a las nuevas vulnerabilidades de las que los atacantes se aprovechan antes de que los usuarios o fabricantes sepan de su existencia.

Aunque Adobe ya ha puesto remedio a las últimas vulnerabilidades, el no parar continua y esta misma semana se ha descubierto una nueva que actúa mediante las descargas propuestas por diferentes banners de publicidad presentes en páginas de renombre como Dailymotion.com, NYdailynews.com o Tagged.com.

Metasploit Framework es toda una plataforma pensada para el desarrollo de herramientas de seguridad. Se utiliza, principalmente, para la realización de tests de intrusión en redes o en servidores. Esto permite conocer las deficiencias de seguridad de estos sistemas y poder solucionarlos antes de que los descubran otros atacantes con intenciones algo más oscuras.

Pero la plataforma no viene sola, sino que en el fichero a descargar se incluyen más de 150 exploits distintos, más de 100 payloads,... es decir, viene preparada para funcionar desde el primer momento, aunque eso sí, nos ofrece la posibilidad de desarrollar nuestros propios módulos para ampliarlo.

Está escrito en Ruby y es multiplataforma, estando disponible para Linux, BSD, Mac OS X y Windows con Cygwin, además de ser totalmente gratuito.

Ah, todo esto lo cuento porque ha aparecido la versión 3.0, totalmente reescrita desde cero y en la que ha habido grandes cambios, especialmente en su estructura interna. En su página web tienen la descripción de todos los cambios y un montón de ejemplos en vídeo de qué se puede hacer con esta herramienta.

Vía | Caballe. Enlace | Metasploit Framework.