Noticias Destacadas

Google corrige un fallo crítico con RCE en Android

La primera actualización de seguridad de Google de 2020 abordó siete errores de Android de alta y crítica severidad.

Google lanzó su primer Boletín de Seguridad de Android de 2020 parcheando un fallo crítico en su sistema operativo Android, que si se explota podría permitir a un atacante ejecutar código remotamente. En comparación con el recuento mensual del año pasado, el número de CVEs parcheados este mes fueron relativamente pocos.

La ejecución remota de código (RCE) fue una de las varias vulnerabilidades críticas y de alta gravedad que conformaron siete CVEs rastreados en total este mes. Qualcomm, cuyos chips se utilizan en dispositivos Android, también parcheó una mezcla de 29 vulnerabilidades de alta y media gravedad como parte del boletín de enero.

Google dijo que su vulnerabilidad crítica (CVE-2020-0002) existe en el marco de Android Media, que incluye soporte para la reproducción de una variedad de tipos de medios comunes, de modo que los usuarios puedan utilizar fácilmente audio, video e imágenes. Los sistemas operativos de Android 8.0, 8.1 y 9 están específicamente afectados por el fallo.

«El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el marco de Media que podría permitir a un atacante remoto que utilice un archivo especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado», según Google en el boletín.

También se corrigieron los fallos graves de elevación de privilegios (CVE-2020-0001, CVE-2020-0003) y el fallo de denegación de servicio (CVE-2020-0004) en el marco de Android, que «podría permitir a una aplicación local maliciosa eludir los requisitos de interacción del usuario para obtener acceso a permisos adicionales«.

Además, se descubrieron tres fallas de alta gravedad (CVE-2020-0006, CVE-2020-0007, CVE-2020-0008) en el sistema operativo Android que podrían «llevar a la divulgación de información remota sin necesidad de privilegios de ejecución adicionales».

Los detalles técnicos de cada uno de los CVEs son limitados, es decir, hasta que los teléfonos se parchean se reduce significativamente el riesgo de que esos errores sean explotados por hackers.

Se han parcheado 29 CVEs, todos de alta gravedad excepto uno crítico, relacionados con los componentes de Qualcomm que se utilizan en los dispositivos Android. El fallo de gravedad crítica existía en el «controlador rtlwifi» de Qualcomm Realtek (CVE-2019-17666) y podía conducir a la ejecución remota de código. El controlador «rtlwifi» es un componente de software que se utiliza para permitir que ciertos módulos Wi-Fi de Realtek, utilizados en dispositivos Linux, se comuniquen con el sistema operativo Linux.

Comunicaciones del fabricante

Los fabricantes de dispositivos Android suelen publicar sus propios parches para abordar las actualizaciones junto con el Boletín de seguridad de Google o después de él. Samsung dijo en un comunicado de mantenimiento de seguridad que está lanzando varios de los parches del boletín de seguridad de Android, incluido el CVE-2020-0002, para los principales modelos de Samsung.

Las correcciones para los dispositivos LG, Nokia y Pixel están por llegar, pero aún no han sido publicadas.

El boletín de seguridad es el primero del año para Google. En diciembre, la compañía publicó una actualización que elimina tres vulnerabilidades de gravedad crítica en su sistema operativo Android, una de las cuales podría resultar en una «denegación permanente de servicio» en los dispositivos móviles afectados si se explota. El Boletín de Seguridad de Android de diciembre de 2019 implementó correcciones para las vulnerabilidades críticas, de gravedad alta y media, relacionadas con 15 CVEs en total.

Para mayor información:
-Boletín de Google
https://source.android.com/security/bulletin/2020-01-01.html
-ThreadPost
https://threatpost.com/google-fixes-critical-android-rce-flaw/151605/

Resumen actualización de seguridad Microsoft Diciembre de 2019.

Microsoft corrige 38 vulnerabilidades de seguridad este mes de diciembre que van desde simples ataques de suplantación de identidad hasta la ejecución remota de código en varios productos, entre los que se incluyen End of Life Software, Microsoft Graphics Component, Microsoft Office, Microsoft Scripting Engine, Microsoft Windows, None, Skype Empresarial, SQL Server, Visual Studio, Windows Hyper-V, Kernel de Windows, Windows Media Player y Windows OLE.

Respecto a las vulnerabilidades de este mes de diciembre destacamos las siguientes:

CVE-2019-1468
Ejecución remota de código en la librería font de Windows que deriva de la incapacidad de gestionar ciertas fuentes embebidas. A través de una fuente maliciosa de una página web un atacante podría aprovechar esta vulnerabilidad.

CVE-2019-1471
Se trata de una vulnerabilidad de ejecución de código remoto en el hipervisor Hyper-V. En ocasiones Hyper-V falla al validar la entrada de un usuario autenticado en el sistema operativo virtualizado. Este fallo podría ser aprovechado ejecutando una aplicación diseñada a medida en el sistema operativo virtualizado, lo que permitiría ejecutar código arbitrario en el host.

Visual Studio
Hay varias vulnerabilidades que afectan a Git para Visual Studio (CVE-2019-1349, CVE-2019-1350, CVE-2019-1352, CVE-2019-1354, CVE-2019-1387).

Git para Visual Studio tiene un error de validación en la entrada recibida por el usuario que podría conducir a una vulnerabilidad de ejecución remota de código. Es importante señalar que para que este ataque sea efectivo, el atacante tiene que persuadir a su víctima para que clone un repositorio malicioso, o encadenarlo con otros ataques para conseguirlo.

CVE-2019-1458
Elevación de privilegios en el componente Win32k. A partir de una aplicación diseñada a medida y teniendo acceso previo al sistema con un usuario sin privilegios, se podría tomar el control total y ejecutar código arbitrario en modo kernel. Microsoft informa que este fallo ha sido ampliamente explotado.

CVE-2019-1469
Vulnerabilidad de fuga de información en Windows. Deriva de un comportamiento inesperado en Win32k, debido a que en ocasiones no es posible proporcionar información del núcleo. Un atacante podría aprovechar esta vulnerabilidad para obtener secciones de memoria no inicializada o memoria del núcleo y luego usarla para otros ataques.

CVE-2019-1485
Vulnerabilidad de ejecución remota de código en el motor VBscript. Un atacante podría aprovechar esta vulnerabilidad para corromper la memoria de un sistema afectado, lo que da como resultado la ejecución de código arbitrario en el contexto del usuario actual. Para desencadenar esta vulnerabilidad, la víctima debe visitar un sitio web malicioso especialmente diseñado desde el navegador Internet Explorer. El atacante también podría incrustar un ActiveX marcado como «seguro para la inicialización» en una aplicación o documento de Microsoft Office, ya que éste utiliza el motor de renderizado de Internet Explorer; y luego, convencer al usuario para que abra el archivo.

Es posible encontrar cada una de las vulnerabilidades y fallos parcheados este mes en la release note de diciembre y más información detallada en la Security Update Guide.

Más Información

Microsoft
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2019-Dec
https://portal.msrc.microsoft.com/en-us/security-guidance

Vulnerabilidad Zero-Day afecta a Dropbox.

Dropbox es sin duda una de las opciones más populares cuando hablamos de almacenamiento en la nube. Es una plataforma que cuenta con muchos usuarios en todo el mundo (más de 500 millones) y esto hace que cuando hay vulnerabilidades puedan verse afectados muchos usuarios. Eso es lo que ha ocurrido en esta ocasión con una vulnerabilidad Zero-Day que afecta a Windows, el que es el sistema operativo más utilizado en equipos de escritorio.

Esta vulnerabilidad, en caso de ser explotada, permitiría a un atacante obtener una escalada de privilegios hasta el sistema reservado. Se trata de un fallo que está presente en el servicio DropBoxUpdater, que es responsable de mantener actualizada la aplicación del cliente.

DropBoxUpdater es el componente del paquete de software de cliente de Dropbox. Este actualizador se instala como un servicio y mantiene tareas programadas ejecutándose con permisos del sistema.

Vulnerabilidad parchada

Esta vulnerabilidad fue descubierta en el mes de septiembre por un grupo de investigadores de seguridad. La compañía fue avisada del problema y respondieron que tendrían una solución para finales de octubre (un mes después). Quienes descubrieron el problema informaron de que al pasar 90 días lo harían público. Esto es lo que ha ocurrido.

Desde MicroPath han lanzado un micro parche con el objetivo de corregir esta vulnerabilidad. Se proporciona de forma gratuita y solo hay que instalarlo y registrarse en 0Patch para aplicarlo inmediatamente en la aplicación de Dropbox.

Como siempre decimos, es muy importante contar con las últimas versiones y parches disponibles. A veces podemos sufrir vulnerabilidades de este tipo que se solucionan mediante actualizaciones que pueden sacar los propios fabricantes y desarrolladores. En este caso se trata de un fallo que ha afectado a Dropbox y a los usuarios de Windows, pero puede ocurrir algo similar en cualquier otra aplicación o sistema.

Nuestro consejo es mantener siempre que sea posible las actualizaciones automáticas configuradas. De esta forma podremos tener siempre las últimas versiones instaladas en nuestros sistemas y poder corregir problemas que aparezcan. Pero igualmente es interesante estar alerta de posibles vulnerabilidades que aparezcan y parches que salgan. El objetivo es que nuestros sistemas y aplicaciones que utilicemos estén perfectamente actualizadas y no puedan sufrir ataques. Esto es algo que hay que aplicar sin importar el sistema operativo o tipo de dispositivo que estemos utilizando.

Referencias:
https://www.onlinecloudbackups.net/dropbox-hack-causes-68m-user-emails-passwords-leak/

https://www.redeszone.net/noticias/seguridad/vulnerabilidad-dropbox-usuarios-windows/amp/

Plundervolt la nueva vulnerabilidad que afecta a los procesadores Intel.

Un grupo de investigadores de ciberseguridad ha descubierto una nueva vulnerabilidad de seguridad que afecta a los procesadores Intel. Etiquetada como CVE-2019-11157, su nombre es Plundervolt, un acrónimo de las palabras illaje y «subvoltaje».

Software Guard Extensions (SGX) es una tecnología que Intel ha introducido en sus procesadores modernos con el fin de limitar las posibles vías de éxito de los ciberataques, sin embargo, científicos han descubierto una forma de explotar dicho mecanismo para filtrar claves criptográficas y provocar errores en la memoria que pueden llegar a ser muy peligrosos.

El ataque que permite filtrar las claves criptográficas a través de SGX ha recibido el nombre de Plundervolt (CVE-2019-11157), y parte de la suposición de que el atacante debe ejecutar software con altos privilegios sobre el sistema objetivo. Si bien esto en teoría tendría que limitar el radio de acción de los ataques, es precisamente contra este tipo de escenarios para el que Software Guard Extensions fue creado.

La tecnología mencionada es un conjunto de códigos de instrucciones enfocado en la seguridad que ha sido introducido en los procesadores Intel modernos, pudiendo también ser entendido como una región privada del procesador que usa el cifrado de memoria basado en hardware para aislar cálculos y datos confidenciales, haciendo que queden fuera del alcance de los procesos maliciosos que se ejecutan con altos privilegios.

Sin embargo, los científicos tras Plundervolt argumentan que las fluctuaciones en el voltaje de la corriente que alimenta al procesador pueden terminar corrompiendo el normal funcionamiento de SGX. Al aumentar o reducir el voltaje al que está funcionando el procesador, los descubridores del ataque consiguieron provocar fallos en SGX que abrieron la puerta al filtrado de las claves criptográficas, rompiendo así las garantías de integridad y pudiendo además inducir fallos en la memoria que podrían ser utilizados para llevar a cabo otros tipos de ataques.

Para mayor información:
https://www.muycomputer.com/2019/12/11/procesadores-intel-ataque-filtrar-claves-criptograficas/

Un fallo de Linux posibilita el secuestro de conexiones VPN cifradas

Se ha revelado una nueva vulnerabilidad grave que afecta a la mayoría de los sistemas operativos similares a Linux y Unix, incluidos FreeBSD, OpenBSD, macOS, iOS y Android, que podría permitir espiar y manipular las conexiones VPN encriptadas a los ‘atacantes adyacentes de red’.

La vulnerabilidad, rastreada como CVE-2019-14899, reside en la pila de redes de varios sistemas operativos y puede explotarse tanto en flujos TCP IPv4 como IPv6. Dado que la vulnerabilidad no depende de la tecnología VPN utilizada, el ataque funciona contra protocolos de red privada virtual ampliamente implementados como OpenVPN, WireGuard, IKEv2 / IPSec y más según confirmaron los investigadores.

Para explotar esta vulnerabilidad es suficiente con enviar al dispositivo de la víctima una serie de paquetes de red no solicitados y observar las respuestas (sin importar que estén encriptados siquiera), por lo que puede realizarse tanto controlando un punto de acceso como conectándose a la red de la víctima.

Aunque existan variaciones entre los distintos sistemas operativos afectados, la vulnerabilidad permite en todos ellos inyectar datos en el flujo TCP , secuestrar conexiones y determinar:

  • La dirección IP virtual de una víctima asignada por el servidor VPN,
  • La existencia de conexiones activa a un sitio web determinado,
  • Los números exactos de seq y ack contando los paquetes cifrados o examinando su tamaño.

Ya que al enviar un SYN-ACK a la IP virtual correcta, el dispositivo responde con un RST, mientras que si es enviado a una IP virtual incorrecta, no se recibe nada, es posible determinar la IP virtual de la víctima simplemente mediante el envío a su dispositivo de paquetes SYN-ACK a través de todo el espacio de la IP virtual.

Hasta la fecha, se ha confirmado que esta vulnerabilidad puede ser explotada con una gran cantidad de distribuciones Linux, especialmente en aquellas que usan la versión de systemd posterior al 28 de noviembre de 2018 (momento en el que se desactivó el filtrado de ruta inversa), por ejemplo:

  • Ubuntu 19.10 (systemd)
  • Fedora (systemd)
  • Debian 10.2 (systemd)
  • Arco 2019.05 (systemd)
  • Manjaro 18.1.1 (systemd)
  • Devuan (sysV init)
  • MX Linux 19 (Mepis + antiX)
  • Linux vacío (runit)
  • Slackware 14.2 (rc.d)
  • Deepin (rc.d)
  • FreeBSD (rc.d)
  • OpenBSD (rc.d)

La estrategia de mitigación propuesta por el equipo de investigación que descubrió la vulnerabilidad consiste en:

  • Activar el filtrado de ruta inversa,
  • Implementar el filtrado de direcciones de IP falsas (bogons), y
  • Cifrar el tamaño y el tiempo del paquete.

Para mayor información:

Kaspersky descubre campaña de malware dirigida al sector hotelero para robar datos de tarjetas de crédito

Una campaña de malware denominada RevengeHotels ha infectado con éxito los sistemas de recepción de más de 20 hoteles en varios países, con el objetivo de robarle los datos de la tarjeta de crédito a los clientes y poder hacer compras con ellas posteriormente.

La investigación ha sido llevada a cabo por Kaspersky Labs quienes han confirmado que los ataque se han llevado a cabo mayormente en Brasil, aunque también se han producido infecciones en Chile, Francia, Italia, España, Portugal, Turquía, Costa Rica, México y Bolivia.

Victimas por ciudad.

Además de los datos de la tarjeta de crédito, los troyanos recopilan información financiera transmitida a través de sitios de terceros como Booking.com. Lo más preocupante quizás sea el tiempo que este malware llevaba latente en algunos equipos, según hemos podido saber, había muestras que llevaban latentes desde 2015, aunque el pico de actividad se ha producido en el último año.

Los ciberdelincuentes aprovechaban la vulnerabilidad de Microsoft Office de 2017 identificada bajo el identificador CVE-2017-0199. Esta vulnerabilidad permite entre otros la ejecución de los siguientes RATs: RevengeRAT, NanocoreRAT, ProCC, 888 RAT y NjRAT, entre otros.

Una vez infectado, se utiliza una puerta trasera para tomar capturas de pantalla y recopilar datos del portapapeles, mientras que otro módulo, llamado ScreenBooking, captura la información de la tarjeta de crédito. Los datos se envían al servidor de control (C&C) del atacante a través de un túnel cifrado creado por los atacantes.

Lo dirigido que se encuentran este tipo de ataques hacia sectores específicos confirma la alta especialización por parte de los atacantes. Este dato unido a que el malware ha permanecido cerca de 4 años sin ser detectado, confirma los escasos niveles de seguridad que algunos sectores ofrecen, facilitando el trabajo a los ciberdelincuentes.

Para mayor información:
https://securelist.com/revengehotels/95229/


Los cibercriminales también aprovecharán el Black Friday.

La campaña del Black Friday 2019 está en todo lo alto, mañana se celebrará el «Viernes Negro» y el próximo lunes llegará el fin de fiesta con el Cyber Monday. Como en cualquier evento masivo, los ciberdelincuentes intentan aprovecharlo con todo tipo de ataques y además de intentar encontrar buenas ofertas, el consumidor tiene que cuidar también los aspectos de seguridad.

Gigantes como Amazon crearon una jornada concreta como equivalente on-line al Black Friday, que con la denominación de “Cyber Monday” se celebraba exclusivamente el lunes posterior. Hoy en día, el Black Friday ha perdido totalmente su esencia inicial, no se limita a un sólo día y tampoco a la tienda física, ya que el gran impulso del comercio electrónico ha difuminado la línea entre lo virtual y lo físico. En España y en general Europa, la compra por Internet arrasa en esta campaña de compras.

Los investigadores de Proofpoint observaron un aumento del 144% interanual en ataques utilizando correos fraudulentos en la industria del retail en 2018. Por ahí puede llegar gran parte del malware que se registra en el Black Friday 2019, ya que el correo electrónico sigue siendo el vector más utilizado por los cibercriminales y estas grandes campañas son un objetivo clave.

La firma de seguridad asegura que el 85 por ciento de los 20 principales comercios on-line en España no están bloqueando activamente la posibilidad de que correos fraudulentos lleguen a sus usuarios. Las tiendas on-line pueden estar exponiéndose y exponiendo a sus clientes a cibercriminales que buscan datos personales y financieros, por no implementar las prácticas más sencillas y efectivas de autenticación de email.

Se recomiendan una serie de consejos para compras on-line en el Black Friday 2019 que son extensivas a cualquier periodo de compra por Internet y como medidas de seguridad generales que deben tomar en cuenta para realizar compras en línea:

  1. Utiliza contraseñas robustas. No reutilices la misma contraseña en varios sitios. Se recomienda utilizar un gestor de contraseñas para mejorar tu experiencia online, a la vez que te mantienes seguro.
  2. Evita las Wi-Fis abiertas. Las redes Wi-Fi de acceso libre o gratuito no son seguras: los cibercriminales pueden hacerse con datos transferidos a través de redes WiFi desprotegidas, incluyendo números de tarjeta de crédito, contraseñas, información bancaria y más.
  3. Cuidado con las «Webs parecidas». Los atacantes crean páginas web parecidas que imitan las de marcas conocidas. Estas webs fraudulentas pueden vender productos falsificados, estar infectados con malware o robar dinero o credenciales.
  4. Evite los fraudes de phishing. Los ataques de phishing durante este periodo son muy comunes y de formas muy diferentes. Para evitar este tipo de fraude, examine cuidadosamente la dirección de correo electrónico del remitente. Asegúrese que el nombre del dominio coincide exactamente con el sitio web donde estés realizando la compra. Además, buscar errores ortográficos y gramaticales en un correo electrónico sospechoso también ayudará a detectar emails fraudulentos.
  5. No hagas clics en los enlaces. Se recomienda ir directamente a la página de la oferta anunciada escribiendo su dirección web directamente en tu navegador. Si se trata de códigos promocionales especiales, escríbelos y comprueba si son legítimos.
  6. Verifica antes de comprar. Los anuncios, webs y apps fraudulentas pueden ser difíciles de identificar. Cuando descargues una nueva app o visites una web no habitual, dedica algo de tiempo a leer reseñas sobre la misma, así como cualquier queja de los usuarios.
  7. Mantenga el software actualizado. Los dispositivos casi siempre requieren actualizaciones de software rutinarios. A menudo, estas actualizaciones incluyen parches de seguridad diseñados para protegerse de los delincuentes. Actualice sus dispositivos tan pronto como las actualizaciones estén disponibles.
  8. Utilice plataformas de pago seguras. Usar sistemas de pago fiables como Paypal o tarjetas prepago te ayudará a realizar transacciones online de forma más segura.

Se recuerda tomar estos consejos antes de realizar alguna compra en línea.

Oracle PAYDAY: vulnerabilidades críticas en Oracle E-Business Suite.

Onapsis ha revelado una nueva investigación de amenazas sobre una vulnerabilidad recientemente descubierta en Oracle E-Business Suite: Oracle PAYDAY.

El ataque, que ha sido bautizado como Oracle Payday, consiste en la explotación de dos vulnerabilidades de Oracle identificadas con los CVEs CVE-2019-2638 y CVE-2019 -2633, con una valoración CVSS de 9.9 sobre 10.

Estos fallos de seguridad disponen de parches desde el pasado mes de abril pero sin embargo más de la mitad de los clientes de Oracle EBS no han aplicado las soluciones en sus sistemas por lo que continuan siendo vulnerables, según revela el estudio de Onapsis.

Se detallan dos ejemplos de potenciales escenarios:

  • La manipulación del proceso de pago mediante una transferencia bancaria a través de un acceso no autenticado.
  • La creación e impresión de cheques bancarios aprobados, siendo posible además el borrado de los registros de actividad.
Además del informe, Onapsis ha publicado un vídeo en el cual se muestra el proceso.

Para mayor información:

Dato interesante: «En 2017, Oracle realizó una simulación: seleccionó una estructura financiera realista derivada de una gran empresa típica basada en la experiencia de más de 25 años. Esta simulación descubrió que era posible crear 1.000.000 de pagos por hora, a través de 7.000.000 líneas de factura importadas. Por lo tanto, las explotaciones exitosas de PayDay pueden pasar desapercibidas entre tantas transacciones.»

Fallo en WhatsApp permitía bloquear o ejecutar código en la aplicación

La vulnerabilidad de tipo buffer overflow era provocado al leer los metadatos de un vídeo MP4 enviado a través del programa.

Facebook, la empresa responsable de la popular aplicación de mensajería instantánea, ha lanzado una nueva versión de WhatsApp que resuelve una vulnerabilidad crítica que permitía tanto bloquear el programa (DoS) impidiendo su uso, como la ejecución remota de código (RCE) en el mismo.

Se desconoce si el fallo llegó a explotarse antes de ser parcheado o si fue la propia Facebook la que descubrió el error y lo arregló. Tampoco ha dado más detalles sobre la misma en el breve comunicado en el que informaba de la vulnerabilidad, que ha sido registrada con el identificador CVE-2019-11931.

La vulnerabilidad afecta tanto a las versiones empresariales como a las de consumo, siendo estas:

  • Las versiones de Android anteriores a 2.19.274
  • Las versiones para iOS anteriores a 2.19.100
  • WhatsApp Enterprise en sus versiones anteriores a 2.25.3
  • En Windows Phone todas las versiones, incluso la 2.18.368
  • WhatsApp Business para Android en versiones anteriores a 2.19.104
  • Versiones de WhatsApp Business para iOS anteriores a 2.19.100

Lo más que se sabe del error es que se trata de una vulnerabilidad de tipo buffer overflow durante el análisis de los metadatos de los vídeos MP4, siendo similar al que ya ocurrió en mayo de este año (CVE-2019-3568) y que fue explotado para difundir el spyware Pegasus entre los usuarios de iOS y Android.

A pesar de no haber dado detalles, ya parecen existir Pruebas de Concepto (PoC) para explotar esta vulnerabilidad.

Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, y el de nuestros clientes, recomienda lo siguiente:

  • Se urge a todos los usuarios de WhatsApp a actualizar a la última versión disponible para evitar ser víctimas de esta vulnerabilidad.

Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:

Fallo en el chipset de Qualcomm permite robar información privada en dispositivos android

Miles de millones de dispositivos smartphones y tablets Android que utilizan internamente el chipset Qualcomm son potencialmente vulnerables a un conjunto de vulnerabilidades que deja al descubierto información sensible del terminal.

La firma CheckPoint ha publicado un reporte en el que explican que los fallos encontrados podrían permitir a un atacante robar información sensible almacenada en una zona que se presupone la más protegida del terminal.

La vulnerabilidad reside en Qualcomm’s Secure Execution Enviroment (QSEE), una implementación de Trusted Execution Enviroment (TEE) basada en la tecnología ARM TrustZone.

También conocido como Qualcomm’s Secure World, QSEE es un área aislada dentro del mismo procesador que protege información sensible y provee un ambiente seguro separado de los demás datos (REE). Está preparado para ejecutar Trusted Applications.

Junto con otros datos, en la QSEE se guardan contraseñas, claves de cifrado privadas o información de la tarjeta de crédito o débito almacenada en el terminal. Por lo que no resultaría extraño que explotar este fallo se vuelva un objetivo para algunos desarrolladores de malware.

Al estar basado en el principio del menor privilegio, Módulos normales del sistema como drivers o aplicaciones no tienen acceso a áreas protegidas a menos que sea necesario, incluso teniendo privilegio de root.

Tal y como comenta el equipo de CheckPoint, para descubrir los fallos necesitaron aplicar ingeniería inversa el sistema de Qualcomm’s Secure World y realizar técnicas de fuzzing. Crearon una herramienta de fuzzing a medida y la testearon con dispositivos Samsung, LG y Motorola. Esto les llevó a encontrar cuatro vulnerabilidades en el código implementado por Samsung, una en Motorola y una en LG.

  • dxhdcp2 (LVE-SMP-190005)
  • sec_store (SVE-2019-13952)
  • authnr (SVE-2019-13949)
  • esecomm (SVE-2019-13950)
  • kmota (CVE-2019-10574)
  • tzpr25 (reconocido por Samsung)
  • prov (Motorola está trabajando en el parche)

Estas vulnerabilidades reportadas permitirían a un atacante, entre otras, realizar las siguientes acciones:

  • Ejecutar trusted apps en un entorno normal (Android OS).
  • Cargar una trusted app parcheada en Secure World (QSEE).
  • Eludir las restricciones de Chain Of Trust de Qualcomm.
  • Adaptar la trusted app para que corra en un dispositivo de otro vendedor.

Resumiendo, una vulnerabilidad en el componente TEE deja al dispositivo vulnerable a una amplia gama de amenazas de seguridad, entre las que se incluye la fuga de información protegida, rooteo del dispositivo, el desbloqueo del bootloader y la ejecución de APT indetectables.

Los investigadores de CheckPoint ya reportaron el fallo a las marcas afectadas. Qualcomm, Samsung y LG ya disponen de un parche para las vulnerabilidades que afectan a QSEE.

Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces: