Asides

Aside

Las tarjetas bancarias de chip también pueden clonarse mediante ataques “pre-play”.

El sistema CHIP & PIN (EMV) de las tarjetas de pago empleado por la mayoría de bancos Europeos, Asiáticos y de America Latina es definitivamente más seguro que la banda magnética, pero esto no significa que no tenga fallos.

Como sabemos, es posible comprometer la seguridad de una tarjeta en cajeros automáticos o puntos de venta mediante lectores y cámaras ocultas que graban la información y registran los números a medida que son introducidos por el usuario, pero también hay otras maneras de hacerlo…

Recientemente, el equipo de investigadores de la Universidad de Cambridge ha descubierto un fallo en la forma en la que los algoritmos generan un número único para cada transacción que se implementa, que posibilita que un atacante pueda autorizar transacciones ilegales sin tener que clonar las tarjetas de los clientes.

El numero único (UN) parece consistir en un valor fijo de 17 bits y los primeros 15 bits son simplemente un contador que se incrementa cada pocos milisegundos repitiendo el ciclo cada 3 minutos“, descubrieron.

Nos preguntamos si el “número impredecible” generado por un cajero automático (ATM) es de hecho predecible, lo que puede crear la oportunidad de un ataque en el que un criminal con acceso temporal a una tarjeta (por ejemplo en una tienda bajo control de la mafia) se pueden calcular los códigos de autorización necesarios para sacar dinero del cajero automático en algún momento en un futuro gracias a que el valor del UN se ha predecido“.

Su investigación los llevó a concluir que el número en cuestión es predecible y que ese ataque “pre-play”, aunque no es tan fácil de ejecutar y posee ciertas limitaciones, es posible y viable en la práctica a través de una serie de implementaciones que incluyen infectar con malware a los cajeros automáticos (ATM), suministrar ataques en cadena, corte del terminal, modificación del UN en red y la cooperación de un comerciante de una tienda.

Ciertos bancos, dispositivos de pago y los principales proveedores de tarjetas de crédito han sido informados de la vulnerabilidad, pero la mayoría se negó a comentar oficialmente nada sobre los resultados.

Hemos recibido algunas respuestas informales: el alcance y la magnitud del problema fue una sorpresa para algunos, mientras que otros indicaron que ya estaban sospechando de la seguridad de los números impredecibles o incluso dijeron que otros ya habían sido explícitamente conscientes del problema durante años. Si estas afirmaciones son ciertas, son una prueba más de que los bancos suprimen sistemáticamente la información acerca de las vulnerabilidades conocidas, mientras que a las víctimas de fraude se les continúa negando reembolsos“, señalan los investigadores en el paper (PDF)de 2012 que detalla el fallo y los ataques.

Encontramos fallos que son utilizados ampliamente en cajeros automáticos de los principales fabricantes. Ahora podemos explicar al menos parte del creciente número de fraudes en los que se les negó a las víctimas reembolsos por parte de los bancos que afirman que las tarjetas EMV no se pueden clonar y que un cliente involucrado en un robo puede ser causa de un error o de complicidad“.

Fuente: Chip and PIN payment card system vulnerable to “pre-play” attacks
Ver también: Pre-Play Vulnerability Allows Chip-and-PIN Payment Card Cloning
Paper actualizado en 2014, Symposium de IEEE 2014 sobre seguridad y privacidad en San José, California: http://www.cl.cam.ac.uk/~sjm217/papers/oakland14chipandskim.pdf

Aside

Soluciones de Trend Micro en contra de la vunerabilidad de IE (CVE-2014-1776)

Anteriormente en este blog dedicamos una entrada a la nueva vulnerabilidad de día cero que se presentó hace algunos días para IE 6-11. Trend Micro libera este día las recomendaciones y las soluciones que presentan para aquellos que manejen estos productos. Se recomienda se apliquen especialmente para Windows XP debido al fin del soporte:

Details
Just recently, Microsoft released Security Advisory 2963983 which describes a new zero-day vulnerability found in Internet Explorer (CVE-2014-1776). This remote code execution vulnerability allows an attacker to run code on a victim system if the user visits a website under the control of the attacker. While attacks are only known against three IE versions (IE 9-11), the underlying flaw exists in all versions of IE in use today (from IE 6 all the way to IE 11).

Read more here:

http://blog.trendmicro.com/trendlabs-security-intelligence/internet-explorer-zero-day-hits-all-versions-in-use/

Who is Affected

Internet Explorer 6 to Internet Explorer 11 on All Windows Platforms.

__________________________________________________________________________________

Recommended Action

Trend Micro provides multiple layer solutions to against this vulnerability.

File Detection: Trend Micro has updated its heuristic code in OPR 10.763.00 specifically around CVE-2014-1776 and will continue to update and improve the detection as more samples and information become available.

Behavior Monitoring: Trend Micro has a heuristic feature in behavior monitoring module and available in following products which can detect the file download through exploit attack.

–       OfficeScan 10.6 SP3 and later

–       Worry-Free 9

–       Titanium Antivirus+ 2013 and later

Meanwhile, there is also a rule (101404.0.0) released for Browser Exploit Solution to cover this vulnerability. This solution is available in following products.

–       OfficeScan 11

–       Worry-Free 9

–       Titanium Antivirus+ 2011 and later

Network Detection:

For customers using Deep Security and OfficeScan Intrusion Defense Firewall (IDF), we have released following rules to cover this Vulnerability.

–  1006030 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776).

There is also a rule that restricts the use of the VML tag

–   1001082 – Generic VML File Blocker

 For customers using Deep Discovery Inspector, we will release a rule – HTTP_CVE-2014-1776_IE_EXPLOIT to cover this vulnerability (NCIP 1.12083.00 and NCCP 1.12053.00)

 

Protection with ATSE:

For customers using product with Advanced Threat Scan Engine, ATSE 9.755-1107 has released to include heuristics rules to cover file using in the exploit.

–       HEUR_SWFHS.A

–       HEUR_SWFJIT.B

Current products which can use Advanced Threat Scan Engine (ATSE) includes:

–       ScanMail for Microsoft Exchange 10.0 SP2 and later

–       ScanMail for Lotus Domino 5.5

–       InterScan Web Security Virtual Appliance 6.0

–       InterScan Messaging Security Virtual Appliance 8.2 and later

–       InterScan Messaging Security Suite for Windows 7.5

–       Deep Discovery Advisor 3.0

Note: Trend Micro will continue to update and improve above solutions as more samples and information become available.

 

Fuente: Trend Micro