App Used by Israel's Ruling Party Leaked Personal Data of All 6.5 Million Voters

Por Mohit Kumar em 11/02/20 no site The Hacker News

An election campaigning website operated by Likud―the ruling political party of Israeli Prime Minister Benjamin Netanyahu―inadvertently exposed personal information of all 6.5 million eligible Israeli voters on the Internet, just three weeks before the country is going to have a legislative election.

In Israel, all political parties receive personal details of voters before the election, which they can't share with any third party and are responsible for protecting the privacy of their citizens and erasing it after the elections are over.

Reportedly, Likud shared the entire voter registry with Feed-b, a software development company, who then uploaded it a website (elector.co.il) designed to promote the voting management app called 'Elector.'

According to Ran Bar-Zik, a web security researcher who disclosed the issue, the voters' data was not leaked using any security vulnerability in the Elector app; instead, the incident occurred due to negligence by the software company who leaked the username and password for the administrative panel through an unprotected API endpoint that was listed in the public source code of its homepage, as shown.

"Someone visiting the Elector website on a standard browser like Google's Chrome could right-click their mouse on the page and select 'View page source.' The revealed source code for the website contained a link to the 'get-admins-users' page, which the prospective hacker simply had to visit in order to find, out in the open, the passwords of "admin" users — those with authorization to manage the database." Israeli media explained.

The exposed database includes the full names, identity card numbers, addresses, and gender of 6,453,254 voters in Israel, as well as the phone numbers, father's name, mother's name, and other personal details of some of them.

Through the affected Elector website is down for many users at the time of writing, some media reports confirm the software company has now patched the issue but can't ensure how many people have since then been able to download the voters' database.

The Israeli Justice Ministry's Privacy Protection Authority (PPA) said it was investigating the incident.

Amazon's Ring Video Doorbell Lets Attackers Steal Your Wi-Fi Password

Por Mohit Kumar em 047/11/2019 no site The Hacker News

Security researchers at Bitdefender have discovered a high-severity security vulnerability in Amazon's Ring Video Doorbell Pro devices that could allow nearby attackers to steal your WiFi password and launch a variety of cyberattacks using MitM against other devices connected to the same network.

In case you don't own one of these, Amazon's Ring Video Doorbell is a smart wireless home security doorbell camera that lets you see, hear and speak to anyone on your property from anywhere in the World.

The smart doorbell needs to be connected to your WiFi network, allowing you to remotely access the device from a smartphone app to perform all tasks wirelessly.

While setting up the device for the very first time and share your WiFi password with it, you need to enable the configuration mode from the doorbell.

Entering into the configuration mode turns on a built-in, unprotected wireless access point, allowing the RING smartphone app installed on your device to automatically connect to the doorbell.

However, researchers told The Hacker News that besides using an access point with no password, the initial communication between the Ring app and the doorbell, i.e., when you share your home's WiFi password with the doorbell, is performed insecurely through plain HTTP.

Thus, a nearby attacker can simply connect to the same unprotected wireless access point, while the setup in the process, and steal your WiFi password using a man-in-the-middle attack.

Since this attack can only be performed during the "one-time initial configuration" of the device, you might be wondering how an attacker can leverage this loophole after the device has already been configured.
Researchers suggested that by continuously sending de-authentication messages to the device, an attacker can trick the user into believing that the device is malfunctioning, forcing him to re-configure it.

"Attackers can trigger the reconfiguration of the Ring Video Doorbell Pro. One way to do this is to continuously send deauthentication packets, so that the device is dropped from the wireless network. At this point, the App loses connectivity and tells the user to reconfigure the device," the researchers told The Hacker News.

"The live view button becomes greyed out and, when clicked, the app will suggest restarting the router or pressing the setup button twice on the doorbell. Pressing the button twice will trigger the device to try to reconnect to the network – an action that will fail. The last resort is to try and reconfigure the device," Bitdefender said in a blog post.

Once the owner enters into the configuration mode to re-share WiFi credentials, the attacker sniffing the traffic would capture the password in plaintext, as shown in the screenshot.

Once in possession of a user's WiFi password, an attacker can launch various network-based attacks, including:

• Interact with all devices within the household network;
• Intercept network traffic and run man-in-the-middle attacks
• Access all local storage (NAS, for example) and subsequently access private photos, videos and other types of information,
• Exploit all vulnerabilities existing in the devices connected to the local network and get full access to each device; that may lead to reading emails and private conversations,
• Get access to security cameras and steal video recordings.

Bitdefender discovered this vulnerability in Ring Video Doorbell Pro devices in June this year and responsibly reported it to Amazon, but got no update from the company.

When requested for an update in late July, the vendor closed the vulnerability report in August and marked it as a duplicate without saying whether a third party already reported this issue.

However, after some communication with the vendor, an automatic fix for the vulnerability was partially issued on 5th September.

"However, to be on the safe side Ring Video Doorbell Pro users should make sure they have the latest update installed. If so, they're safe."

A similar security vulnerability was discovered and patched in the Ring Video Doorbell devices in early 2016 that was also exposing the owner's WiFi network password to attackers.

Have something to say about this article? Comment below or share it with us on Facebook, Twitter or our LinkedIn Group.

New Malware Uses Windows BITS Service to Stealthy Exfiltrate Data

Mohit Kumar in 09/09/2019 - The Hackers News

Cybersecurity researchers have discovered a new computer virus associated with the Stealth Falcon state-sponsored cyber espionage group that abuses a built-in component of the Microsoft Windows operating system to stealthily exfiltrate stolen data to attacker-controlled server.

Active since 2012, Stealth Falcon is a sophisticated hacking group known for targeting journalists, activists, and dissidents with spyware in the Middle East, primarily in the United Arab Emirates (UAE).

Dubbed Win32/StealthFalcon, named after the hacking group, the malware communicates and sends collected data to its remote command-and-control (C&C) servers using Windows Background Intelligent Transfer Service (BITS).

BITS is a communication protocol in Windows that takes unused network bandwidth to facilitate asynchronous, prioritized, and throttled transfer of files between machines in the foreground or background, without impacting the network experience.

BITS is commonly used by software updaters, including downloading files from the Microsoft servers or peers to install updates on Windows 10, messengers, and other applications designed to operate in the background.

According to security researchers at cyber-security firm ESET, since BITS tasks are more likely permitted by host-based firewalls and the functionality automatically adjusts the data transfer rate, it allows malware to stealthily operate in the background without raising any red flags.

"Compared with traditional communication via API functions, the BITS mechanism is exposed through a COM interface and thus harder for a security product to detect," the researchers say in a report published today.

"The transfer resumes automatically after being interrupted for reasons like a network outage, the user logging out, or a system reboot."

Besides this, instead of exfiltrating the collected data in plain text, the malware first creates an encrypted copy of it and then uploads the copy to the C&C server via BITS protocol.

After successfully exfiltrating the stolen data, the malware automatically deletes all log and collected files after rewriting them with random data in order to prevent forensic analysis and recovery of the deleted data.

As explained in the report, Win32/StealthFalcon backdoor has not only been designed to steal data from the compromised systems but can also be used by attackers to further deploy more malicious tools and update its configuration by sending commands through C&C server.

"The Win32/StealthFalcon backdoor, which appears to have been created in 2015, allows the attacker to control the compromised computer remotely. We have seen a small number of targets in UAE, Saudi Arabia, Thailand, and the Netherlands; in the latter case, the target was a diplomatic mission of a Middle Eastern country," the researchers say.

According to the researchers, this newly discovered malware shares its C&C servers and code base with a PowerShell-based backdoor attributed to the Stealth Falcon group and tracked by the Citizen Lab in 2016.

Telegram Sofre Poderoso Ataque DDoS Da China Durante Protestos De Hong Kong

Por Mohit Kumar em 13/06/19 no site The Hacker News

O Telegram, um dos mais populares aplicativos de mensagens criptografadas, ficou brevemente offline ontem para centenas de milhares de usuários em todo o mundo depois que um poderoso ataque de negação de serviço distribuído (DDoS) atingiu seus servidores.

O fundador do telegrama, Pavel Durov, revelou mais tarde que o ataque estava principalmente vindo dos endereços IP localizados na China, sugerindo que o governo chinês poderia estar por trás disso para sabotar os manifestantes de Hong Kong.

Desde a semana passada, milhões de pessoas em Hong Kong estão lutando contra seus líderes políticos por causa das emendas propostas a uma lei de extradição que permitiria que uma pessoa detida em Hong Kong fosse julgada em outro lugar, inclusive na China continental.

Muitas pessoas a veem como uma ameaça fundamental às liberdades cívicas do território e ao estado de direito.

Muitas pessoas em Hong Kong estão atualmente usando o serviço de mensagens criptografadas do Telegram para se comunicar sem serem espionadas, organizar o protesto e alertar umas às outras sobre as atividades no local.

De acordo com a Telegram, a empresa recebeu " GADZILLIONS de pedidos de lixo " que impedem seus servidores de processar solicitações legítimas, e o ataque "tamanho de ator de estado" foi rastreado até os endereços IP na China.

"Endereços IP vindos principalmente da China. Historicamente, todos os DDoS do tamanho de atores estaduais (200-400 Gb / s de lixo) que nós experimentamos coincidiram no tempo com protestos em Hong Kong (coordenados em @ telegram). Este caso não foi uma exceção, "O fundador do telegrama, Pavel Durov, twittou .

Embora seja evidente que um ataque DDoS não tenha nada a ver com a segurança dos dados armazenados nos servidores de destino; em vez disso, pretende levar um serviço offline, a empresa ainda garantiu que os dados do usuário são seguros.

No entanto, não é a primeira vez que o serviço Telegram é usado com força usando um ataque DDoS durante a agitação política para perturbar os ativistas.

Microsoft lança patches para uma falha crítica no Wormable e outros 78 problemas

Por Mohit Kumar em 14 de maio de 2019 no site The Hacker News. - traduzido por Google Translate

É o Patch Tuesday - o dia em que a Microsoft lança atualizações mensais de segurança para o seu software.

A Microsoft possui atualizações de software para resolver um total de 79 vulnerabilidades listadas no CVE em seus sistemas operacionais Windows e outros produtos, incluindo uma falha crítica que pode propagar malwares de um computador para outro, sem exigir interação dos usuários.

De 79 vulnerabilidades, 18 problemas foram classificados como críticos e permanecem importantes na gravidade. Duas das vulnerabilidades abordadas este mês pela gigante de tecnologia são listadas como publicamente conhecidas, das quais uma está listada como sendo sob ataque ativo no momento do lançamento.

As atualizações de segurança de maio de 2019 corrigem falhas no sistema operacional Windows, Internet Explorer, Edge, Microsoft Office e Microsoft Office Services e Web Apps, ChakraCore, .NET Framework e ASP.NET, Skype para Android, servidor DevOps do Azure e o Gerenciador de Pacotes NuGet .

Vulnerabilidade de RDP do Wormable Crítico

A vulnerabilidade da wormable ( CVE-2019-0708 ) reside nos Serviços de Área de Trabalho Remota - anteriormente conhecidos como Serviços de Terminal - que podem ser explorados remotamente enviando solicitações especialmente criadas sobre o protocolo RDP para um sistema de destino.

A vulnerabilidade pode ser explorada para espalhar malwares wormable de maneira semelhante ao malware WannaCry espalhado pelo mundo em 2017.

"Esta vulnerabilidade é pré-autenticação e não requer interação do usuário. Um invasor que explora com sucesso esta vulnerabilidade pode executar código arbitrário no sistema de destino", disse a Microsoft em um comunicado detalhando a vulnerabilidade da Wormable.

"Embora não tenhamos observado a exploração desta vulnerabilidade, é altamente provável que os agentes maliciosos gravem uma exploração para esta vulnerabilidade e a incorporem em seu malware."

Surpreendentemente, além de lançar patches para sistemas suportados, incluindo Windows 7, Windows Server 2008 R2 e Windows Server 2008, a Microsoft também lançou separadamente correções para versões fora de suporte do Windows, incluindo o Windows 2003 eo Windows XP, para resolver esse problema crítico.

Como solução alternativa, a Microsoft recomendou que os usuários do Windows Server bloqueiem a porta TCP 3389 e habilitem a Autenticação no Nível de Rede para impedir que qualquer invasor não autenticado explore essa falha do Wormable.

Outras vulnerabilidades críticas e importantes

Outra falha grave é uma vulnerabilidade importante do Elevation of Privilege ( CVE-2019-0863 ) no Windows que existe no modo como o Windows Error Reporting (WER) lida com arquivos. A falha é listada como publicamente conhecida e já está sendo ativamente explorada em ataques limitados contra alvos específicos.

A exploração bem-sucedida da falha pode permitir que um invasor remoto com privilégios baixos execute códigos arbitrários no modo kernel com privilégios de administrador, permitindo que instalem programas, exibam, alterem ou excluam dados ou criem novas contas com privilégios de administrador.

Outra vulnerabilidade divulgada publicamente afeta o aplicativo Skype for Android. A vulnerabilidade (CVE-2019-0932) pode permitir que um invasor ouça a conversa dos usuários do Skype sem o conhecimento deles.

Para explorar com êxito esta vulnerabilidade, tudo o que o invasor precisa é chamar um telefone Android com o Skype para Android instalado que também esteja emparelhado com um dispositivo Bluetooth.

Todas as vulnerabilidades críticas listadas este mês impactam principalmente várias versões do sistema operacional Windows 10 e edições do Servidor e residem principalmente no Chakra Scripting Engine, com algumas residindo também na Interface de Dispositivo Gráfico do Windows (GDI), Internet Explorer, Edge, Word, Serviços de Área de Trabalho Remota, e o servidor DHCP do Windows.

Muitas vulnerabilidades com classificação importante também levam a ataques de execução remota de código, enquanto outras permitem a elevação de privilégios, divulgação de informações, desvio de segurança, falsificação de adulteração e ataques de negação de serviço.

Os usuários e administradores de sistema são altamente recomendados para aplicar os mais recentes patches de segurança o quanto antes, para evitar que os cibercriminosos e hackers controlem seus computadores.

Para instalar as atualizações de segurança mais recentes, você pode acessar Configurações → Atualização e segurança → Windows Update → Verificar atualizações no seu computador ou instalar as atualizações manualmente.

A Adobe também lançou hoje atualizações de segurança para corrigir 87 vulnerabilidades de segurança em vários de seus produtos. Os usuários do software da Adobe afetado para Windows, macOS, Linux e Chrome OS são aconselhados a atualizar seus pacotes de software para as versões mais recentes.

Falhas de software pré-instaladas expõem a maioria dos computadores da Dell a redes de hackers remotas

Por Mohit Kumar em 02/05/2019 no site The Hacker News - traduzido por Google Translate.

Se você usa um computador Dell, tenha cuidado - os hackers podem comprometer seu sistema remotamente.

Bill Demirkapi, um pesquisador de segurança independente de 17 anos, descobriu uma vulnerabilidade crítica de execução remota de código no utilitário Dell SupportAssist que vem pré-instalado na maioria dos computadores Dell .

O Dell SupportAssist , anteriormente conhecido como Dell System Detect , verifica a integridade do hardware e do software do seu computador.

O utilitário foi projetado para interagir com o site de suporte da Dell e detectar automaticamente a etiqueta de serviço ou o código de serviço expresso do seu produto Dell, verificar os drivers de dispositivos existentes e instalar atualizações de drivers ausentes ou disponíveis, além de realizar testes de diagnóstico de hardware.

Se você estiver se perguntando como funciona, o Dell SupportAssist em segundo plano executará um servidor da Web localmente no sistema do usuário, na porta 8884, 8883, 8886 ou 8885, e aceitará vários comandos como parâmetros de URL para executar algumas tarefas predefinidas no o computador, como coletar informações detalhadas do sistema ou baixar um software do servidor remoto e instalá-lo no sistema.

Embora o serviço da Web local tenha sido protegido usando o cabeçalho de resposta "Access-Control-Allow-Origin" e tenha algumas validações que o restringem a aceitar comandos apenas do site "dell.com" ou de seus subdomínios, Demirkapi explicou maneiras de contornar esses proteções em um post publicado na quarta-feira.

Como mostrado no vídeo, Demirkapi demonstrou [ código PoC ] como hackers remotos poderiam ter facilmente baixado e instalado malwares de um servidor remoto em computadores afetados da Dell para assumir o controle total sobre eles.

"Um invasor não autenticado, compartilhando a camada de acesso à rede com o sistema vulnerável, pode comprometer o sistema vulnerável enganando o usuário vítima para baixar e executar arquivos executáveis ​​arbitrários via cliente SupportAssist de sites hospedados pelo atacante", informou a Dell em comunicado .

A vulnerabilidade de execução remota de código, identificada como CVE-2019-3719, afeta as versões do Dell SupportAssist Client anteriores à versão 3.2.0.90.

Antes de publicar os detalhes da vulnerabilidade em público, o pesquisador relatou suas descobertas com responsabilidade à equipe de segurança da Dell, que agora lançou uma versão atualizada do software afetado para resolver o problema.

Além desse problema, a Dell também corrigiu uma vulnerabilidade de validação de origem imprópria (CVE-2019-3718) no software SupportAssist que poderia permitir que um invasor remoto não autenticado tentasse ataques de CSRF nos sistemas dos usuários.

Os usuários da Dell são aconselhados a instalar o Dell SupportAssist 3.2.0.90 ou posterior atualizado ou simplesmente desinstalar completamente o aplicativo, se não for necessário, antes que os hackers tentem explorar as deficiências para assumir o controle total sobre seus sistemas de computador.

Botnet Electrum de crescimento rápido infecta mais de 152.000 usuários; Rouba US $ 4,6 milhões

Mohit Kumar em 30/04/2019 no site The Hacker News - Tradução Google Translate

Um ataque contra as carteiras eletrônicas da Bitcoin cresceu e se tornou mais forte, com os atacantes mirando toda a infraestrutura da bolsa com uma botnet de mais de 152.000 usuários infectados, elevando a quantidade de fundos de usuários roubados para US $ 4,6 milhões.

A Electrum vem enfrentando ataques cibernéticos desde dezembro do ano passado, quando uma equipe de cibercriminosos explorou uma fraqueza na infraestrutura da Electrum para enganar os usuários de carteiras a fazerem o download das versões maliciosas do software.

Resumidamente, os invasores adicionaram alguns servidores maliciosos à rede de pares Electrum, que foram projetados para exibir um erro de propósito para legitimar os aplicativos da carteira Electrum, instando-os a baixar uma atualização de software de carteira maliciosa de um repositório não oficial do GitHub.

O ataque de phishing eventualmente permitiu que os atacantes roubassem fundos da carteira (quase 250 Bitcoins, o equivalente a cerca de US $ 937.000 na época) e assumissem o controle total sobre os sistemas infectados.

Para combater isso, os desenvolvedores por trás da Electrum exploraram a mesma técnica que os invasores, a fim de incentivar os usuários a fazer o download da última versão corrigida do aplicativo de carteira.

"Clientes da Electrum com mais de 3,3 não podem mais se conectar a servidores públicos. Nós começamos a explorar a vulnerabilidade do DOS nesses clientes, para forçar seus usuários a atualizar e evitar a exposição a mensagens de phishing. Usuários do Linux Tail devem baixar nosso Appimage". Os desenvolvedores da Electrum twittaram em março.

Em resposta a isso, os invasores iniciaram os servidores legítimos DDoSing Electrum na tentativa de enganar os clientes mais antigos para que se conectassem aos nós maliciosos, enquanto os nós legítimos se tornavam sobrecarregados.

De acordo com um post publicado pela equipe de pesquisa do Malwarebytes Labs, o número de máquinas infectadas que baixaram o software malicioso do cliente e participam de forma contrária nos ataques DDoS chegou a 152.000, menos de 100.000 na semana passada.

Os invasores por trás dessas campanhas basicamente distribuem um malware de botnet, apelidado de " ElectrumDoSMiner ", aproveitando principalmente o kit de exploração RIG, o Smoke Loader e um novo carregador BeamWinHTTP, antes não documentado.

"Existem centenas de binários maliciosos que recuperam o ElectrumDoSMiner", observam os pesquisadores. "Supomos que provavelmente existem muito mais vetores de infecção além dos três que descobrimos até agora."

De acordo com os pesquisadores, a maior concentração dos bots DDoS da Electrum está supostamente localizada na região Ásia-Pacífico (APAC), Brasil e Peru, com a rede de bots crescendo continuamente.

"O número de vítimas que fazem parte deste botnet está em constante mudança. Acreditamos que algumas máquinas são limpas, novas são infectadas e se juntam a outras para executar ataques DoS. O Malwarebytes detecta e remove infecções do ElectrumDoSMiner em mais de 2.000 terminais diariamente ", dizem os pesquisadores.

Como as versões atualizadas do Electrum não são vulneráveis ​​aos ataques de phishing, os usuários são aconselhados a atualizar seus aplicativos de carteira para a versão mais recente ( 3.3.4 ) fazendo o download do site oficial do electrum.org.

Enquanto isso, os usuários de aplicativos de carteira Electrum são aconselhados a desativar o recurso de conexão automática e selecionar seu servidor manualmente para evitar ataques DDoS.