Vulnerabilidad NSACrypt corregida para Windows 10 via parche

Vulnerabilidad NSACrypt corregida para Windows 10 via pa

La Agencia de Seguridad Nacional de EEUU ha descubierto recientemente una vulnerabilidad crítica en Windows 10, que permitiría hacer spoofing (suplantación) en el servicio de criptografía (CryptoAPI).

Con el sobrenombre de NSACrypt, este fallo en la seguridad afecta a Crypt32.dll y permite la ejecución remota de código con fines maliciosos, afectando a la forma en que Windows certifica la confianza en el código.

Este fallo y otros ha quedado solventado en los parches de seguridad de Microsoft para Enero 2020, pero puedes seguir leyendo para entender mejor la problemática.

NSACrypt, vulnerabilidad que afecta a Windows 10

La NSA ha publicado un informe sobre la vulnerabilidad, con el ID CVE-2020-0601 y que afecta a cualquier versión de Windows 10. Además afecta a versiones Windows Server 2016 y 2019.

Las conexiones HTTPS, archivos de email cifrados y firmados así como el código ejecutado en Windows son algunos ejemplos de procesos que son validados mediante CryptoAPI y que podría verse alterados por un atacante.

Si tiene éxito:

[..]el usuario no tendrá manera de saber si el archivo era malicioso, dado que la firma digital del mismo aparecerá como si fuera procedente de un editor de confianza.

¿Medidas de protección?

Dado que no existe un workaround para este tipo de vulnerabilidad, la NSA recomienda:

Instalar todos los parches publicados por Microsoft en Enero 2020 lo antes posible. […] Si en la empresa no es posible utilizar el despliegue automatizado de parches, al menos debería priorizarse el parcheo de los endpoints para proporcionar un nivel de seguridad en los equipos que más dependan de estos servicios.

Desde Microsoft se publicó un boletín extra el pasado día 14 de Enero. Esta vulnerabilidad es catalogada como «importante» y afecta al modo usuario (usermode). No se ha visto implicada en ningún ataque activo hasta la fecha.

Otras menciones destacables en cuanto a parches de seguridad de Microsoft son:

  • CVE-2020-0609
  • CVE-2020-0610

Se trata de dos bugs que permitirían ejecución remota de código y que afectan a los servicios de RDP Gateway, que no requieren interacción de usuario.

Av-Comparatives prueba antivirus corporativos frente a APTs

El laboratorio austriaco Av-Comparatives acaba de publicar su renovado informe Advanced Threat Protection (Enhanced Real-World Test) dentro de los productos antivirus Endpoint (para empresas).

Este tipo de test pone a prueba la capacidad de respuesta de laboratorios antivirus líderes para proteger tus activos, entre los que destacan Avast, Bitdefender, ESET, FireEye, CrowdStrike o Kaspersky, entre muchos.

APT significa Advanced Persistent Threat (amenaza persistente avanzada). Este tipo de ataques dirigidos suelen realizarlos grupos muy organizados o incluso gobiernos, en la sombra, para atacar objetivos importantes.

Mejores antivirus para empresas según su detección de APTs

Las APT son una amenaza creciente, se trata de malwares o conjuntos de ellos que están diseñados cuidadosamente para evadir la detección de la seguridad existente. 

Por eso Av-Comparatives ha decidido renovar este tipo de escenario de prueba y emitir un veredicto sobre cuáles son los mejores productos actualmente en la empresa.

Este tipo de amenaza se enfoca tanto a consumidor final como, en mayor medida, a las empresas, por eso se ha testeado bajo las condiciones «real world» o mundo real, donde los APT intentarán escapar del cerco que les tenderán estos antivirus.

Para hacerlo más interesante y menos «cocinado», Av-Comparatives ha empleado técnicas de infiltración avanzadas que se pueden ver en el mundo real, las que utilizan los hackers, vamos. Ejem, los hackers «malos».

Pruebas antimalware de Av-Comparatives

Así pues, se ha intentado implantar amenazas que funcionan en una o varias fases, con mayor o menor ofuscación (ocultación, podríamos abreviar), usado LOLbins (Living Off Land Binaries), esto es, aplicaciones del propio sistema operativo, como podría ser el intérprete de comandos Powershell.

El «Test mejorado de mundo real» incluye malware fileless (se reaprovechan binarios y código del propio sistema, como si engañasen a tus glóbulos blancos para atacar zonas determinadas de tu cuerpo) y se intenta comprobar si una amenaza consigue evadir un antivirus y llegar a establecer contacto con su C2 o servidor de control remoto.

Metodología

Los test de Av-Comparatives hacen uso en parte de las pautas definidas en MITRE ATT&CK, pero no son iguales. Dicho estándar evalúa los sistemas de respuesta en situaciones donde los fabricantes monitorizan activamente los ataques a medida que tienen lugar (testeo de equipo rojo/azul).

Por otro lado, los test empleados por el laboratorio se enfocan a determinar cómo de bien es capaz de proteger un producto de seguridad nuestro sistema, en una situación cotidiana. La cuestión es simplemente si nos ha protegido, no cual de sus módulos ha sido el responsable de frustrar al malhechor.

Resultados

Se han probado estos productos:

  • Avast
  • Bitdefender
  • CrowdStrike
  • ESET
  • FireEye
  • Kaspersky
  • Sophos

La mayoría de ellos (3)han conseguido una puntuación de 15, el máximo posible. Estos son Bitdefender, ESET y Kaspersky.

Informe de Av-Comparatives sobre la eficacia de los antivirus frente a diferentes APTs

El resto de productos consigue menos puntos, aunque Avast queda cerca de la cabeza con 14 puntos.

  • La marca verde significa que no se materializó la amenaza, escenario ideal.
  • La marca amarilla indica que no se mostró alerta, pero no se estableció contacto C2 y el sistema se considera protegido.
  • La marca roja indica un compromiso del sistema efectivo.

Pulsa aquí, si quieres enterarte de las mejores ofertas de los antivirus más galardonados

Descarga aquí el informe

Una empresa despide a 300 empleados en navidad a causa del ransomware

El regalo de Navidad para unas 300 personas empleadas en una compañía de telemarketing de Arkansas ha sido bastante agrio. Resulta que justo antes de las fiestas la empresa ha tenido que despedirlos a todos por culpa de un ciberataque perpetrado con ransomware.

Una empresa despide a 300 empleados en navidad a causa del ra

El ransomware cuesta el puesto de trabajo a 300 personas

La empresa The Heritage Company con sede en Sherwood fue alcanzada por el ransomware en Octubre de 2019 y, según su CEO ha comunicado en una carta, no han podido recuperar los sistemas informáticos.

Apreciados empleados de The Heritage Company,

Sé que todos vosotros estáis furiosos, confundidos y heridos por los recientes acontecimientos. Por favor tened en mente que estoy tan devastado como vosotros, especialmente ocurriendo todo en esta época del año.

Sabed que nunca habríamos llegado a este extremo de no habernos visto obligados. Ahora es momento de ser honestos y transparentes sobre lo que sucede realmente para que sepáis la verdad, directamente de mi, especialmente dado que algunos de vosotros tenéis información confusa y es están dando informaciones en redes sociales que intentan dañar nuestra imagen.

Por desgracia, hace unos dos meses nuestros servidores fueron atacados por un software malicioso que básicamente nos ha secuestrado la información y hemos tenido que pagar a los delincuentes simplemente para recuperar el acceso a nuestros servidores y ponerlos en funcionamiento. Desde entonces, nuestro departamento de IT ha estado haciendo todo lo posible para devolver la funcionalidad a los sistemas, pero aún tienen un largo recorrido por delante. Además, desde entonces, he hecho lo posible por mantener las puertas abiertas, incluso pagando de mi bolsillo los gastos de la empresa para mantenernos en el negocio hasta conseguir la recuperación de los equipos. […]

Esta es una parte de la carta, que continúa diciendo que las pérdidas se calculan en cientos de miles de dólares y que la empresa necesita darles un «descanso» temporal a los empleados porque no es capaz de afrontar tantas pérdidas.

Lo peor es que no parece que sea a corto plazo, pues unas semanas después, ya en Navidad, la empresa felicitaba así a sus empleados:

Hola Equipo Heritage:

Hemos estado trabajando de forma incansable durante las pasadas dos semanas para reorganizarnos, en un esfuerzo por recuperarnos del ciber-incidente. Aunque hemos hecho progresos, aún queda mucho por hacer.

Con esto en mente, no os impediremos buscar un nuevo empleo. Por favor, cuidaos y cuidad a vuestros seres queridos. Feliz año nuevo.

Un ataque de ransomware no debería en principio ser suficiente para tumbar a toda una empresa, pero en este caso todo apunta a que faltaron controles preventivos como copias de seguridad y un plan de respuesta ante incidentes apropiado.

Tomad buena nota de esto, más vale prevenir e invertir un poquito en ciberseguridad, que lamentarlo luego.

Proveedor de TI de California forzado a pagar un ransom

Proveedor de TI de California forzado a pagar un ransom

El ransomware es la ciber-amenaza por excelencia desde hace más de 2 años, no hay día prácticamente que no ocupe páginas en los diarios. Hoy, nos hacemos eco de lo que ha tenido que pagar una empresa a los cibercriminales.

El proveedor de servicios de tecnologías de la información Synoptek da apoyo a más de 1100 clientes en diferentes areas como administraciones locales gubernamentales, sector de la Salud, fábricas, software y otros.

Synoptek es forzada a pagar en una infección por ransomware

Según ha informado el experto Brian Krebs, los sistemas informáticos de esta empresa resultaron afectados por un ataque de ransomware recientemente (23 de Diciembre), que afectó gravemente a las operaciones de muchos clientes.

Una vez comprometida la compañía, los atacantes utilizaron una herramienta de administración remota (RAT) para instalar el mismo ransomware en los PC de los clientes.

Al haberse producido un gran daño a sus propios clientes, Synoptek se ha visto forzada a pagar el rescate por sus sistemas e información.

El ransom en cuestión es conocido como Sodinokibi. Los operadores del mismo han comenzado a aumentar la presión sobre sus víctimas para procurar que algunos al menos paguen.

Los delincuentes usan cualquier método para cobrar

Un método usado es copiar los datos del usuario antes de destruirlos. Con estos datos en la mano, los atacantes amenazan habitualmente con publicarlos en linea, en caso de que las víctimas decidan no hacer el pago.

Otro método es enfocarse en proveedores de servicio que dependen en gran medida de sus clientes para tomar decisiones, toda vez que los clientes descontentos en redes sociales es algo bastante poco apetecible.

Los operadores del ransomware Sodinokibi/rEvil han realizado con este yav arios ataques en EEUU durante 2019, incluyendo PercSoft y otra empresa del sector tecnológico llamada Complete Technology Solutions.

Fuente: Bitdefender

La mitad de los empleados utilizan casi la misma contraseña cuando son forzados a cambiarla

La mitad de los empleados utilizan casi la misma contraseña cuando son forzados a cambiarla

Todos deberíamos saber que significa credential stuffing, además de tener en cuenta que la reutilización de contraseñas es una práctica muy peligrosa a medio plazo.

Muchos usuarios de equipos informáticos cometen el error de confiar una y otra vez en la misma contraseña para proteger recursos muy diferentes. No se dan cuenta de que si un sitio queda afectado, esos datos podrían dar acceso a su vez a otros recursos que los hackers hayan probado.

Los atacantes ni siquiera precisan hacer esto de forma manual (probar decenas o cientos de cuentas) sino que usan técnicas de credential stuffing para buscar automáticamente en bases de datos de credenciales hackeadas, hasta que consiguen una combinación ganadora.

49% de empleados repite casi la misma contraseña en cada cambio

Por eso resulta importante asegurarnos de que nuestras credenciales son únicas y por supuesto de que son resistentes a técnicas de fuerza bruta o «adivinación».

Eso sí, no es suficiente con modificar uno o dos dígitos de la contraseña cuando nos toque cambiarla, incluso si era muy buena en su día. Una encuesta reciente realizada a 200 personas presenta conclusiones preocupantes.

Por ejemplo, el 72% de los usuarios admiten que han reutilizado las mismas contraseñas en su vida personal, pero además existe un 49% que ha admitido simplemente intoducir un cambio menor en las contraseñas de su empresa, cuando toca modificarlas.

Peor aún, muchos usuarios están claramente confiando en su limitada memoria humana para recordar las contraseñas (un 42% en la oficina, un 35% en su vida personal) en lugar de recurrir a otro sistema con mayor fiabilidad.

Como el usuario medio se empeña en recordar sus contraseñas -parece ser que el uso de un gestor de contraseñas aún no gusta a muchos- los cambios introducidos en las mismas son mínimos. Lógico.

Según esta encuesta (no es muy representativa en cuanto a número, pero tenemos una visión aproximada) el olvido de las  contraseñas supone un gran problema para los usuarios.

Nada menos que el 78% se vio obligado a restablecer alguna contraseña en los últimos 90 días, en cuentas personales. En el lugar de trabajo, esta cifra desciende al 57%, pero también es llamativa.

Quien escribe estas líneas posee aproximadamente 500 contraseñas únicas con formatos absolutamente demenciales y que serían imposibles de recordar por su complejidad. Eso sí, en alguna ocasión os hemos dado pautas para crear contraseñas seguras y poder recordarlas.

Conclusiones

La primera conclusión clara es que esto no debería sorprendernos. Cuando se fuerza a un usuario a cambiar contraseñas, por muy concienciado que pensemos que esté con la seguridad, es de esperar este tipo de porcentajes.

La segunda conclusión quizá no sea tan evidente para todo el mundo. Es inútil (ya lo ha dicho el propio NIST no hace tanto tiempo) cambiar contraseñas si no hay indicios de compromiso, es algo que deberíamos superar ya. Estamos haciendo trabajar inútilmente al usuario.

Fuente: Graham Cluley

El ransomware Snatch reinicia el equipo en modo seguro para desactivar tu antivirus

ransomware

Los creadores de malware y amenazas varias no paran de renovarse, en un ciclo que nunca acaba. Se esfuerzan mucho por pasar desapercibidos una vez que entran en el sistema, ya que eso les garantiza una mayor persistencia.

El reciente ransomware Snatch reinicia el PC una vez infectado, para que tu antivirus no tenga posibilidad de intervenir posteriormente.

El Modo seguro de Windows es un método de acceso de emergencia que se usa para recuperarlo y hacer dianósticos cuando se producen fallos. ¿Por qué interesa el modo seguro a este ransomware?

El ransomware Snatch se aprovecha del Modo Seguro de Windows

Lo que pasa es que el Modo Seguro se encarga de impedir que cualquier aplicación pueda interferir con el funcionamiento mínimo del sistema, así que solo se carga el esqueleto de Windows con servicios básicos. Esto evita por supuesto cualquier programa de seguridad como puede ser tu antivirus.

Los investigadores de Sophos han elaborado un vídeo demostrativo donde se puede ver como opera el ransomware.

El ransomware se instala a sí mismo como un servicio de Windows con el nombre SuperBackupMan. El servicio tiene la descripción que sigue: «Este servicio realiza copias de seguridad a diario».

Pretenden camuflarlo en el listado de servicios, aunque no hay tiempo de mirar mucho. La clave de registro se establece inmediatamente antes de que el equipo se reinicie. Esta clave de registro se emplea para que durante el reinicio en modo seguro el ransomware arranque con Windows.

Los expertos de Sophos han encontrado evidencias de algunos ataques en diferentes países contra empresas, todos ellos han presentado a posteriori algún equipo con servicio RDP (Escritorio Remoto) expuesto a internet.

Lo preocupante es que los responsables de Snatch están expandiendo la amenaza, no sólo con fines lucrativos, sino que además pretenden evadir datos de la red afectada, con intención de continuar más adelante con nuevas demandas de dinero.

Recomendaciones para salvarnos de este ransomware

Su recomendación además de parchear y ejecutar antivirus fiables y actualizados, es la siguiente:

Sophos recomienda a las empresas de cualquier tamaño evitar a toda costa la exposición de servicios como RDP a internet directamente. Aquellas empresas que deseen permitir este tipo de acceso deberían emplear una VPN para permitir la entrada a esos recursos, de forma que no puedan ser alcanzados por cualquiera sin las correspondientes credenciales VPN.

Y tienen toda la razón.

Microsoft halla 44 millones de cuentas comprometidas, entre sus usuarios

MIcrosoft AD Azure leaks

El equipo de investigación de incidentes relativos a identidades ha compartido un alarmante hallazgo: nada menos que 44 millones de cuentas de usuario de Microsoft han sido comprometidas en 3 meses de escaneo de las mismas, entre Enero de 2019 y Marzo de 2019.

El equipo de seguridad ha verificado decenas de millones de credenciales de usuario recientemente, para saber si están utilizando credenciales vulneradas (cuentas hackeadas).

44 millones de cuentas de Microsoft usan contraseñas comprometidas

El resultado es alarmante: más de 44 millones de cuentas de Azure Active Directory junto con cuentas de servicio de Microsoft fueron expuestas.

Se han empleado diferentes fuentes de información, por ejemplo bases de datos públicas y entidades gubernamentales. En total se han comprobado 3 billones de cuentas, con lo que solo el 1,5% habría sido hackeadas. Así lo explica Microsoft.

Para las credenciales comprometidas que tenían coincidencia, hemos forzado un restablecimiento de contraseña. Del lado de consumidor eso es todo lo necesario. En el lado de la empresa, Microsoft ha elevado la alerta a los administradores para que puedan forzar estos cambios.

Existen múltiples motivos para haber encontrado lo que se ha encontrado, simplemente porque Microsoft fuerce un restablecimiento de contraseña, no quiere decir que esto nunca vuelva a suceder.

Los nombres de usuario y contraseñas no paran de filtrarse en nuevos «leaks», mucha gente no suele enterarse siquiera del hecho de que debería cambiar su contraseña.

Mejor prevenir…

Te recomendamos estar siempre atento a síntomas extraños como puede ser recibir respuestas a correos no enviados, solicitudes de restablecimiento no iniciadas por ti, y por supuesto avisos de inicio de sesión desconocidos.

Además, es recomendable seguir una buena práctica obligatoria hoy en día, que consiste en establecer un segundo factor de autenticación, para lo cual te recomendamos visitar la web 2factorauth.org.

Fuente: Hot for Security (Bitdefender)

Hallada nueva vulnerabilidad en Android que permite a un atacante robar información

Android vulnerabilidad

Un grupo de investigadores de seguridad han descubierto una vulnerabilidad en Android que está siendo utilizada sin control, de nombre Strandhogg, permitiendo alos atacantes obtener información sensible y privada sobre las víctimas, sin provocar sospechas.

Dicha vulnerabilidad ha sido descubierta por la firma Promon, y hace posible que el malware imite la apariencia de cualquier app del teléfono. El usuario podría acabar facilitando sus credenciales en apps de banca online, mensajería o muchas otras, sin darse cuenta.

Vulnerabilidad en Android, explotada para imitar apps legítimas

Muchos fallos de seguridad presentes en Android están en un nivel teórico (de diseño) sin llegar a ser explotadas en el mundo real (como dicen los ingleses, in the wild) y normalmente Google se da prisa en corregir estos fallos.

Lo que pasa con Strandhogg es que Google no se ha dado la prisa habitual y no ha tomado ninguna acción para solventar la vulnerabilidad, a pesar de estar bien informada.

Strandhogg permite a aplicaciones maliciosas (por ejemplo aquellas que se cuelan en en la Play Store) copiar la interfaz gráfica de apps oficiales.

Los usuarios pensarán entonces que, esa aplicación que parece ser de ING Bank, es segura e introducirán su usuario/contraseña, para comprobar posteriormente con horror que los datos no iban al servidor de ING.

Detalles de la amenaza

Existen pocos indicadores que hagan sospechar al usuario que algo no va bien, a lo que no contribuye en absoluto que estas apps estén disponibles en la propia Google Play Store, como hemos dicho, en ciertos casos. En su análisis de la amenaza, también comentan que:

Esta muestra de malware no reside en la tienda de Google, pero fue instalado después gracias a varios dropper / descargadores hostiles distribuidos en la tienda de Google.

Estas apps contaminadas podrían difundirse a miles de usuarios en corto espacio de tiempo. Google ha eliminado las apps contaminadas hasta la fecha, pero aún no ha lanzado parche para remediar el problema.

Toda versión de Android está afectada. Las versiones Android 6.0 en adelante permiten que los permisos se recuperen del sistema.

Las víctimas no pueden realmente saber si la vulnerabilidad ha sido explotada en su sistema, pero tenemos algunos indicadores de compromiso. Echa un vistazo:

  • Una aplicación solicita login incluso si ya hemos proporcionado credenciales
  • El popup de los permisos que aparece no muestra nombre de app
  • La app requiere permisos que normalmente no debería pedir
  • La interfaz contiene errores de composición o elementos no familiares
  • Algnos botones no funcionan bien
  • El botón «atrás» de Android no funciona como debería.

Parece que Google manipula los resultados de búsqueda más de lo esperado

Hasta qué punto manipula Google sus resultados de búsqueda

Desde hace dos semanas está en curso una investigación contra Google por sus prácticas en lo que se denomina Google Search, su motor de búsqueda. Sin embargo recientes informaciones añadirían más leña a ese fuego.

Porque parece que (y esto seguro que más de uno ya lo pensaba) el gigantede la información «retoca» los resultados de su motor de búsqueda -el más popular del mundo- para favorecer a las empresas más grandes (pagan más) frente a las más pequeñas, entre otros «tweaks» que se traen entre manos.

¿Hasta qué punto manipula Google sus resultados de búsqueda?

La investigación publicada por The Wall Street Journal está basada en más de 100 entrevistas, además de que teóricamente miembros del periódico han realizado investigaciones propias.

Estos nuevos titulares dan más munición a los críticos que cuentan cómo Google favorece que se cuelen determinadas tendencias políticas, favoreciéndolas, además de ofrecer un mejor posicionamiento a empresas poderosas, frente a aquellas que son menos fuertes.

Entre los hallazgos, incluso si afirman que «no utilizamos curación (selección) humana para recopilar o colocar los resultados en una página.» el periódico acusa a la empresa de hacer justamente eso. 

Parece según estas informaciones que Google estaría sucumbiendo a grupos de presión: gobiernos, negocios, lobbys, etcétera. Afirman que en al menos una ocasión han alterado los resultados para favorecer a eBay, un negocio íntimamente ligado a los intereses de Google sobre anuncios (ads).

Otros hallazgos presentados contra Google

Para finalizar la relación de «travesuras» (que podrían llegar a convertirse en delitos) supuestamente cometidas por Google, podemos citar:

Los resultados de autocompletar de Google a veces son «sanitizados» de forma exclusiva, no siendo práctica en la competencia.

Los ingenieros de la empresa en ciertas ocasiones hacen cambios en información de búsqueda que es enviada a los paneles de Google knowledge. Allí los ingenieros no tienen tantas ataduras a la hora de actuar según los compromisos establecidos en las políticas.

Los fundadores de la empresa (Larry Page y Sergey Brin) han chocado en ocasiones sobre la gestión de contenido relacionado con odio y como combatir el spam. En una ocasión Brin, hijo de padres judíos, decidió permitir la indexación de contenido antisemita en los resultados de búsqueda, mientras Page comentó con un ejecutivo de Google que Brin iba a arruinar a la empresa por hacer semejante cosa.

La respuesta de Google al artículo original la citamos aquí en parte:

Este artículo contiene un número de anécdotas viejas o incompletas, muchas de las cuales dan una imagen sesgada de nuestra visión y construcción de Search. Nos tomamos de forma muy responsable la inclusión de cambios, incluyendo una rigurosa evaluación antes de su publicación, algo que comenzamos a hacer hace una década.

Está por verse hasta qué punto estas nuevas suspicacias y acusaciones contra Google tienen fundamento, pero la sola sospecha ya ha levantado bastante revuelo, en una era donde parece que disfrutar de privacidad es una utopía.

Vulnerabilidad CVE-2019-11931 en WhatsApp podría servir para instalar spyware

Vulnerabilidad CVE-2019-11931 en WhatsApp podría servir para instalar spyware

El popular servicio de mensajería de WhatsApp vuelve a ocupar portadas debido esta vez a una vulnerabilidad recientemente descubierta que podría usarse por un ciberdelincuente para instalar spyware remotamente.

Según diversos sitios especializados -como The Hacker News- WhasApp ha corregido recientemente un fallo de seguridad importante con identificador CVE-2019-11931.

Nueva vulnerabilidad hallada en WhatsApp

No es otra cosa que un buffer overflow (desbordamiento de búfer) provocado por la forma en que la app gestiona el contenido de archivos MP4.

Un ataque de tipo stack buffer overflow podría lanzarse en WhatsApp si se envía un archivo MP4 específicamente modificado a un usuario de la aplicación. El fallo está presente en el «parseo» de los metadatos elementales del flujo de un archivo con extensión mp4, pudiendo ocasionar un DoS o RCE.

Así lo explican en el boletín publicado estos días. 

Esto afecta a las versiones Android anteriores a 2.19.274, versiones iOS anteriores a 2.19.100, versiones de cliente corporativo antes de la 2.25.3, versiones Windows Phone previas (e incluyendo) a la 2.18.368, Business for Android anteriores a  la 2.19.104 y Business for iOS previas a la 2.19.100.

El fallo podría ocasionar una condición DoS que un atacante remoto podría usar para ejecutar código remoto en el dispositivo.

Ya en Octubre, un experto descubrió dos vulnerabilidades en WhatsApp for Android y demostró la forma de atacar remotamente el dispositivo vulnerable. Facebook reaccionó lanzando la versión de software 2.19.244.

En Mayo, Facebook parcheó un fallo de seguridad crítico en WhatsApp conocido como CVE-2019-3568, que ya ha sido responsable de instalar spyware en decenas de dispositivos móviles.

La vulnerabilidad Día Cero CVE-2019-3568 es de tipo buffer overflow y afecta al conjunto de funciones VOIP. Dicho fallo podría explotarse por parte de un atacante remoto para ejecutar código arbitrario, siempre que se envíe un paquete de tipo SRTCP modificado al dispositivo móvil.

En cuanto a este último posible ataque (CVE-2019-11931) no está claro por el momento si ha sido utilizado en ciberataques.