Quantcast
Channel: Una Al Día
Viewing all 3787 articles
Browse latest View live

Actualizaciones de seguridad para Telerik UI ASP.NET AJAX

September 6, 2017, 1:00 am
$
0
0
Se han publicado dos parches para Telerik UI ASP.NET AJAX que solucionan dos graves vulnerabilidades relacionadas con la subida de archivos al servidor y la ejecución de código remoto.




Para los que no lo conozcan, Telerik UI ASP.NET AJAX es una colección de componentes que facilitan el desarrollo de interfaces de usuario Web y móvil. Su uso está ampliamente extendido y ha sido adoptado en numerosos equipos de desarrollo de importantes empresas y organizaciones, como Microsoft, Philips, IBM o Sony entre otros.

Interfaz desarrollada con Telerik UI

Las vulnerabilidades afectan a todas las versiones de 'Telerik.Web.UI.dll' anteriores a la 2017.2.711.

La primera vulnerabilidad, identificada como CVE-2017-11357 afecta al componente RadAsyncUpload, que permite subir archivos al servidor al no validar correctamente las entradas de usuario.

La segunda vulnerabilidad, identificada como CVE-2017-11317 se debe a que 'Telerik.Web.UI' emplea un cifrado demasiado débil para encriptar los datos que recibe RadAsyncUpload, lo que podría ser explotado para subir ficheros arbitrarios y potencialmente ejecutar código remoto.

Se recomienda actualizar cuanto antes a la versión R2 2017 SP2 (2017.2.711) o posterior de Telerik UI para ASP.NET AJAX.



Francisco Salido

Más información

ASP.NET AJAX Insecure Direct Object Reference
http://www.telerik.com/support/kb/aspnet-ajax/upload-(async)/details/insecure-direct-object-reference

ASP.NET AJAX Unrestricted File Upload
http://www.telerik.com/support/kb/aspnet-ajax/upload-(async)/details/unrestricted-file-upload
Search

La brecha en Taringa expone a 28 millones de usuarios

September 7, 2017, 1:00 am
$
0
0



Hace un mes el portal Taringaavisaba a sus usuarios que sus servidores se habían visto comprometidos, y con ellos la base de datos y el código fuente de la página. Ahora, LeakBase ha tenido acceso a los datos robados, entre los que se encuentran emails, nombres de usuario y hashes md5 de 28.722.877 usuarios.

Taringa se encuentra entre los portales más importantes de habla hispana, ocupando según Alexa el puesto número 12 de sitios más visitados de Argentina (su país de origen).

Al momento de escribir estas líneas, LeakBase ya ha obtenido el 93.79% de las contraseñas (casi 27 millones), y tras contactar el portal PentestingExperts con algunos de los afectados por email, se ha podido dar validez a la filtración. A la gravedad del asunto, hay que sumarle que las claves estén almacenadas con forma hash md5, el cual se considera inseguro desde 2012.

Cabe recordar, que es insuficiente proteger las claves usando una función hash como md5, debiéndose utilizar medidas adicionales como las que añade Bcrypt, como un salt. Si no, nos estaremos arriesgando a que las claves sean fácilmente derivables, o incluso a poder encontrarlas en bases de datos de hashes.




De las claves obtenidas y por la información facilitada por LeakBase, podemos concluir:

  • Cerca de la mitad han sido utilizadas por más de una persona (15.320.524 claves únicas).
  • La clave 123456789 es la más utilizada con diferencia (casi el doble que la segunda más utilizada, 123456)
  • Las longitudes más populares son 6 (29.82%) y 8 (20.2%).
  • El 44.98% utiliza minúsculas y números, el 29.89% sólo minúsculas, y el 16.81% sólo números.
  • Destacar también, que la tercera clave más usada fue el propio nombre del sitio, y que el 0.37% de las contraseñas contenían la palabra taringa.
Taringa entre las medidas adoptadas ya está avisando a sus clientes por email, y está obligando a reestablecer las claves a los usuarios afectados (que son, todos). No obstante, si tenéis cuenta en Taringa, y utilizáis la misma clave en otros sitios, os recomendamos cambiarla inmediatamente.


Juan José Oyague
joyague@hispasec.com

Nuevas versiones de seguridad de Django

September 8, 2017, 1:00 am
$
0
0

La Django Software Foundation ha publicado nuevas versiones de seguridad de las ramas Django 1.11 y 1.10, que soluciona una vulnerabilidad de cross-site scripting.



Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.


La vulnerabilidad, identificada con el identificador CVE-2017-12794, se produce sólo cuando se tiene el modo debug activado (DEBUG = True) y podría permitir a un atacante remoto llevar a cabo ataques de cross-site scripting contra la página de retorno de error 500 que devuelve el framework.


Django Software Foundation ha publicado las versiones Django 1.11.5 y 1.10.8 de Django que soluciona la vulnerabilidad. Las actualizaciones están disponibles desde la página oficial de Django.

Django 1.11.5
https://www.djangoproject.com/m/releases/1.11/Django-1.11.5.tar.gz
Django 1.10.8
https://www.djangoproject.com/m/releases/1.10/Django-1.10.8.tar.gz



También se encuentran disponibles los parches en github o a través del aviso publicado:
https://www.djangoproject.com/weblog/2017/sep/05/security-releases/


Más información:
Django security releases issued: 1.11.5 and 1.10.8
Fernando Ramírez
framirez@hispasec.com


MongoDB, el nuevo filón del Ransomware

September 9, 2017, 12:00 am
$
0
0
Es posible que el Ransomware afecte a cientos de miles de usuarios de "a pie" o incluso cifre carpetas compartidas de redes corporativas donde la pérdida de ciertos archivos podría suponer una sobredosis de ibuprofeno a los sysadmins. Pero eso, económicamente, podemos suponer que no reporta un gran beneficio al filibusterismo digital. 

El lucro está realmente donde se encuentran los dineros, los cuartos, la pasta, el peculio, en definitiva, la riqueza. ¿Porqué cifrar las fotos del último verano o los informes TPS cuando puedes paralizar el departamento de ventas de una multinacional? ¿y donde de encuentra el corazón de todo ese andamiaje digital que sustenta el aparato de negocio? Las Bases de Datos amigo, las bases de datos. Ahí es donde tenemos el tesoro de la corona, años enteros de amasamiento binario, transacciones, datos, cifras, etc, etc, etc.

Así que, con la cantinela de costumbre, se traza el rumbo, se izan las velas y se dan guiñas a la crujía hasta enfocar un buen puerto abierto y tranquilo, ahí tenemos un 27017. Abrimos los cartapacios y consultamos las cartas: MongoDB. Ahora toca cargar las piezas con un buen amasijo de contraseñas por defecto y "bum", tras unas pocas andanas la plaza se rinde y capitula. Victoria fácil y desmeritoria. A los pies, gigas y gigas de petróleo eléctrico, el botín es nuestro.

No hace falta ni cifrar. Ahora se extrae la base de datos cuidadosamente, trozo a trozo. Luego se borra por completo y se deja una nota de rescate: 1000 maravedíes a cambio de esta fabulosa fortuna. Suyo, el cybercrooker de turno. No pasa mucho tiempo cuando empiezan a sonar los timbres de los teléfonos del departamento técnico. No pasa mucho tiempo más cuando después de un reseteo la cosa sigue sin funcionar. Algo falla, los datos ya no están ahí.

Bases de datos secuestradas asomando en Shodan


Estos ataques se vienen produciendo desde enero de este año, cuando se reportó el secuestro progresivo de miles de bases de datos. No solo MongoDB, por supuesto, pero era significativo su porcentaje, que alcanzaba hasta un 56% del total de secuestros a manos de varios grupos organizados. Nada de zero-days, ni sofisticadas APT, palos y piedras: basta con probar un juego de contraseñas y clack, acceso permitido. Incluso algunas instalaciones ni tan siquiera poseían contraseña.

Poco a poco, los grupos organizados dieron cuenta de este nuevo filón y se fueron sumando a la fiesta, soltando automatismos que iban escudriñando la red en busca de objetivos. Una auténtica cadena de producción, donde todo es un proceso, desde la infección o ataque al propio pago. Podríamos hablar ya de un perfecto RaaS (Ransomware as a Service), la industrialización del pecado por omisión o desidia de algunas organizaciones, que movidos por la fiebre del low-cost reducen la planificación y despliegue al mínimo imprescindible.

Un trabajo que merece la pena atender, es el de los investigadores Víctor GeversNiall Merrigan y Dylan Kats. Se han dedicado a recopilar información sobre los ataques, transacciones, grupos involucrados, campañas, etc. Toda la información está disponible públicamente en una hoja de cálculo. En ella puede observarse una curiosa anotación "These are actors that have been found deleting databases without exfiltrating the data first. This means that they are unable to produce data even if ransom is paid". Es decir, que incluso pagando no hay datos de vuelta; algo que se observa con toda variante de Ransomware.



En este sentido, otro de los puntos reseñables en los datos acumulados es que los delincuentes "hacen caja". Si observamos las transacciones en bitcoins vemos flujos de pequeñas cantidades que han sido abonadas en un intento, muchas veces en vano, de recuperar los datos sustraídos. Esto podría haber hecho que los ataques repunten y que últimamente se observe una nueva oleada de secuestros.

Con el Internet de las cosas que parecen no importarnos lo más mínimo se han creado lucrativas botnets para extorsionar mediante denegaciones de servicio selectivas. Se han levantado granjas clandestinas de criptominado y ahora tenemos servicios publicados a la ligera, con datos valiosos protegidos por contraseñas (donde las hay) triviales. 

Justo aquí, en este bloque, tradicionalmente hemos puesto una serie de medidas para paliar semejantes agujeros. ¿Pero vale la pena el esfuerzo? ¿De verdad le interesa la seguridad a alguien que deja expuesto los datos del negocio a una distancia de 8 caracteres? Yo asumo que no. El mal rato dura lo que tardan los datos en reconstruirse o los seguros en responder o incluso puede que ese golpe termine por cargarse el negocio y apaga y vámonos, quien sabe. 

MongoDB ha publicado una guía de prácticas seguras y una checklist preciosa, algo es algo. Un solo administrador competente echa una mañana en bastionizar con esos documentos una instalación de MongoDB, pero claro eso ya sale caro, ya no es low-cost, ni un veterano ni una mañana en "perder" el tiempo arreglando algo que "funciona"...




David García
dgarcia@hispasec.com




Más información

Massive Wave of MongoDB Ransom Attacks Makes 26,000 New Victims

How to Avoid a Malicious Attack That Ransoms Your Data







Cross site Scripting persistente en CodeMeter

September 10, 2017, 1:21 am
$
0
0
Se ha encontrado una vulnerabilidad en Wiby CodeMeter,  que podría ser aprovechada para provocar ataques XSS de tipo persistente. La vulnerabilidad ha sido descubierta por Benjamin Kunz Mejri de Evolution Security GmbH.


CodeMeter es una solución de seguridad para editores de software y fabricantes de dispositivos inteligentes, combinando la protección, seguridad y emisión de licencias para software. Es ampliamente utilizado en el sector industrial, siendo sus variantes compatibles con un gran número de controladores, dispositivos y ordenadores: desde microcontroladores sencillos o dispositivos móviles e incluso controladores lógicos programables (PLC), además de ordenadores personales y servidores.

Como hemos comentado en otros boletines, un ataque Cross-Site Scripting o XSS se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código JavaScript.

Dentro del XSS existen dos tipos, el persistente y el no persistente. Con el XSS no persistente se consigue que, mediante una URL especialmente modificada, en la web afectada se obtenga otro resultado.

El otro tipo, y el que afecta al error comentado en este boletín, es el XSS persistente, que puede resultar bastante más peligroso. Este tipo de ataques se producen igualmente al no comprobar los datos de entrada en una web, normalmente formularios y quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, esta cargará ese código.

El problema, con CVE-2017-13754, se debería a un error de validación de entrada en el campo ‘server Name’ de las herramientas avanzadas del módulo ‘time server’. Los archivos afectados por este problema son `ChangeConfiguration.html` (donde se inyecta el payload),` time_server_list.html` y `certified_time.html` (en estos dos, donde se ejecuta el problema). Este error podría ser aprovechado por un atacante remoto inyectar código web malicioso a través de Scripts especialmente manipulados.

Este problema afecta a las versiones anteriores a la 6.50b.
Se recomienda actualizar a versiones superiores.

Más información:

Wibu CodeMeter
http://www.wibu.com/es/codemeter.html

Wibu Systems CodeMeter 6.50 - Persistent XSS Vulnerability
https://www.vulnerability-lab.com/get_content.php?id=2074


Juan Sánchez
jasanchez @ hispasec.com

BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación

September 12, 2017, 9:30 am
$
0
0

La empresa Californiana de seguridad para dispositivos IoT Armis ha descubierto un total de 8 vulnerabilidades bautizadas todas ellas bajo el nombre de BlueBorne. Todas ellas afectan a la implementación del protocolo Bluetooth de, al menos los sistemas operativos Android, IOS, Linux y Windows, y podrían permitir a un atacante infectar un dispositivo de forma remota y que esta infección se propague a otros dispositivos, con el único requisito de que tengan el modo visible activado y sin necesidad de autorización ni autenticación.



Las vulnerabilidades han sido identificadas con los siguientes CVEs:
  • CVE-2017-0781 CVE-2017-0782, CVE-2017-0783 y CVE-2017-0785 para dispositivos Android.
  • CVE-2017-1000251 y CVE-2017-1000250 para Linux
  • CVE-2017-8628 en Windows. 
Lo más preocupante de BlueBorne es la facilidad de propagación y la cantidad de dispositivos potencialmente vulnerables. Estaríamos hablando de que un dispositivo infectado podría utilizar su conectividad Bluetooth para dotar al malware de funciones de gusano e infectar a todos los dispositivos con los que se vaya cruzando. Esto, unido a la dificultad de actualización que ofrecen algunos dispositivos dotados de Bluetooth, podría provocar un impacto pocas veces visto. Hay que tener en cuenta que Bluetooth lleva implantandose en dispositivos desde hace más de 10 años, y muchos de ellos están descontinuados y no tienen soporte.

La empresa ha compartido pruebas de concepto para las plataformas Linux, Windows y Android:

Linux

Windows

Android

Los descubridores publicarán en breve una aplicación Android a través de Google Play para que los usuarios puedan comprobar si son vulnerables a esta vulnerabilidad. Mientras tanto, la idea más sensata es desconectar el Bluetooth de nuestros dispositivos.

Más información:


Fernando Ramírez
framirez@hispasec.com

Una-al-día cambia de formato, pero no su contenido

September 13, 2017, 8:57 am
$
0
0
Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces. Paralelamente, el boletín ha ido cambiando con los tiempos, aunque la mayoría de las veces este hecho ha sido transparente para los suscriptores. El sistema manual, casi artesano, de redacción, firmado y envío de las noticias utilizado al principio ha ido dando paso a soluciones más adecuadas a los tiempos.



En este afán de mejora continua, a partir de esta semana una-al-día cambiará de formato. Como siempre, seguiremos estando cada mañana en vuestra bandeja de correo, pero un par de diferencias:
  • La primera, y quizá la más notable, es que el formato por defecto de los correos será HTML. Por supuesto, la opción de recibirlo en texto plano seguirá disponible para los suscriptores. Para cambiarlo, solo hay que acceder a la configuración de la suscripción en el enlace dentro del mismo correo y marcar el formato preferido.
  • Existen ya bastantes sistemas, como SPF y DKIM, que aseguran la autenticidad del mensaje y del servidor que lo envía, y que llevan implementados bastante tiempo en nuestra infraestructura. A partir de ahora nos remitimos a estos sistemas para sustituir la firma PGP de las noticias.
  • Adicionalmente lanzamos un nuevo newsletter en el que hablaremos de la actualidad en seguridad desde un enfoque más corporativo. Os podéis suscribir en este enlace.
Cambiamos el formato, pero no el contenido. Seguiremos hablando de seguridad con el mismo espíritu de divulgación y servicio público como empezamos. Y como siempre, cualquier sugerencia o crítica constructiva es bienvenida.

Apache Struts y los peligros de la teletransportación

September 14, 2017, 1:41 am
$
0
0
Si alguna vez has visto algún episodio o película de Star Trek, te habrás fijado en algo muy característico, icónico, de la franquicia desde sus inicios: El uso de un teletransportador para la mayoría de los viajes entre la Enterprise y los muchos de sus inhóspitos destinos. Ahora, en nuestro tiempo, ese recurso no sería ni trending topic, pero en los años sesenta, chico, en los años sesenta ver a un vulcaniano con sus orejas puntiagudas emerger de la nada en medio de un festival de luces estroboscópicas era una auténtica revolución. Allí no había ni mota de polvo y de pronto, zas, aparecía un tipo con todos sus átomos en su sitio, tricorder incluido, un paseito cuántico sin importancia; con vistas al universo.

Curiosamente, ese "truco" de escena les sirvió para recortar presupuesto, puesto que de ese modo se ahorraban las secuencias de despegue-aterrizaje de una hipotética lanzadera o método similar. Evidentemente, hacía falta hipotecar nuestra imaginación para no romper la suspensión de la incredulidad, o ensanchar nuestra cintura científica para pasar por alto el quebrantamiento de varias leyes de la física. Pero oiga, ¿no resulta atrevido pensar en un sistema que  descomponga la materia, la haga viajar a la velocidad de la luz y la vuelva a recomponer sin riesgo alguno en el otro extremo?




Pues bien, eso es lo que hace la serialización de objetos. Descomponer un objeto en un extremo, transmitir esos datos y recomponerlos en el destino. La magia de la computación distribuida. Solo que de momento tenemos un problemilla: no es tan segura como el teletransportador del Enterprise y en vez de recomponer un objeto seguro y fiable se nos puede colar una bomba de resina de Trilithium con pinta de inocente objeto que transporta de forma diligente las preferencias del usuario.

Eso es lo que ha pasado últimamente con una vulnerabilidad en el framework Struts de la fundación Apache. Se trata de un conocido proyecto muy usado en aplicaciones web para J2EE. O de otra forma, un framework que usa la mayoría de grandes empresas en sus desarrollos bajo la plataforma y lenguaje Java. Aunque Struts tiene ya sus años (fue pionero en este ámbito), y no tiene el tirón que tuvo en su día, todavía se sigue usando en muchas instalaciones, algunas de ellas gestionando recursos bastante valiosos para estas empresas. 

Tal es el caso que nos ocupa, el de Equifax, una empresa de valoración de crédito que ha sido atacada supuestamente usando la mencionada vulnerabilidad. Hasta 143 millones de registros podrían haber sido extraídos de sus archivos y bases de datos por un grupo atacante. En un ambiente en el que la gestión de este incidente ha sido muy discutida, la fundación Apache ha emitido un comunicado explicando algo que se puede resumir en una sola frase: "si usas software y ha salido un parche de seguridad, PARCHEA, YA!". Evidente, pero que por desgracia hay que repetir continuamente. 

La vulnerabilidad ha sido descubierta por Man Yue Mo, de la empresa lgtm. El fallo estaba en la clase ContentTypeHandler, un interfaz muy básica pero potente que permite serializar y deserializar objetos desde el objeto raíz de la API de Java, el objeto Object. Esto permite a cualquier clase que herede una implementación de dicha interfaz poseer la funcionalidad para usar serialización (en palabras trekkies, de usar el teletransportador).  Para que nos entendamos, un cliente contacta con un servidor y le dice "te voy a enviar un objeto serializado en formato XML", el servidor lo recibe, interpreta el XML del cliente a través de una instancia del objeto XStreamHandler...y como este hereda de ContentTypeHandler...no se detiene a comprobar si el XML donde yace el objeto inerte contiene o no un método peligroso. 

Como curiosidad, se ha dicho que el bug tiene o puede tener 8 años de antigüedad, pero esto es relativo y no debería ocasionar sorpresa. Ahora mismo hay cientos de bugs peligrosos que están ahí, esperando a ser descubiertos, el problema no es no verlos, sino quien los ve y que hace con él. En una imagen:



Si nos fijamos en la línea de tiempo del investigador, las fechas coinciden:



Vemos los cambios realizados a nivel de API, coincidiendo con el estilo, filosofía y formas Java: añadiendo una capa (más) de abstracción:




Y como ahora, con la nueva llamada a la API se comprueban ciertos permisos que deben figurar para serializar objetos con una mejora en la seguridad (vamos a omitir decir, de manera completamente segura):




Huelga decir que a las pocas horas de hacerse pública la vulnerabilidad comenzaron a salir exploits y pruebas de concepto, incluyendo, como no, un módulo para metasploit. Si se quiere tener una visión técnica más directa sobre cómo se arquitecta un exploit para esta vulnerabilidad podemos leer el código de este repositorio de GitHub, donde se ha publicado un exploit stand-alone para explotar el fallo por Mazin Ahmed. Ojo, no recomendamos que ejecutes este o cualquier exploit. 

Por ejemplo, vemos cómo en dicho exploit se nos pide el comando que queremos ejecutar en el sistema remoto. Este irá codificado en XML, con la etiqueta que describe su tipo, "string":


A su vez, más adelante, el comando va incrustado en una plantilla que sirve para describir completamente el objeto a serializar (siempre será el mismo, solo cambia el comando):


Hay algo más, ya por curiosidad, no lo comenta pero como post-explotación, tras asegurarse de que es explotable utiliza partes de ysoserial, un framework que ha crecido recopilando vulnerabilidades de este tipo, serialización, en el ámbito de la plataforma Java, por ejemplo:


Es una codificación base64, luego:



Interesantísima forma de explotación, aunque viene a rubricar de nuevo uno de los principios universales de la seguridad informática: jamás dar por bueno lo que llega del usuario. Ni aunque sea un vulcaniano de orejas puntiagudas y buenas intenciones.




David García
dgarcia@hispasec.com


Más información

Remote code execution vulnerability in Apache Struts (CVE-2017-9805)
https://lgtm.com/blog/apache_struts_CVE-2017-9805



Search

Grave vulnerabilidad remota en .NET corregida en los últimos boletines de Microsoft

September 15, 2017, 3:00 am
$
0
0
Como viene siendo habitual, Microsoft ha publicado su boletín mensual de actualizaciones de seguridad, y entre ellas, se ha corregido un importante 0-day para la plataforma .NET Framework, que estaba siendo explotado en una nueva campaña de malware, relacionada con el grupo NEODYMIUM y la distribución de FINSPY



Boletín de septiembre 

Microsoft ha corregido este mes en un boletín bastante numeroso, 82 vulnerabilidades/CVEs, siendo el siguiente el listado de productos actualizados con sus correciones más importantes: 
  • Internet Explorer, presentando un total de 7 vulnerabilidades corregidas relacionadas con ejecución remota de código. 
  • Microsoft Edge, 29 vulnerabilidades corregidas, 20 de ellas críticas. 
  • Microsoft Windows, con 38 vulnerabilidades corregidas, siendo las de mayor impacto, por ejecución remota de código, las que afectaban a los módulos NetBIOS (CVE-2017-0161), Win32k Graphics (CVE-2017-8682), Windows DHCP Server (CVE-2017-8686), Uniscribe (CVE-2017-8692), Microsoft Graphics Component (CVE-2017-8696), Windows Shell (CVE-2017-8699),  Remote Desktop Virtual Host (CVE-2017-8714),  Microsoft PDF (CVE-2017-8728, CVE-2017-8737) y el controlador Broadcom BCM43xx presente en las HoloLens (CVE-2017-9417).
    Merece mención especial, la actualización de la pila Bluetooth, tras el reciente ataque BueBorne y la corrección de una vulnerabilidad de tipo Spoofing (CVE-2017-8628)
  • Microsoft Office y Microsoft Office Services & Web Apps. Se han solucionado 14 vulnerabilidades, 10 de ellas críticas. 
  • Skype for Business y Lync, ejecución de código, CVE-2017-8696.
  • .NET Framework, quizás la vulnerabilidad más importante (CVE-2017-8759) y que desgranaremos más adelante. 
  • Xamarin.iOS, elevación de privilegios en Xamarin Studio para Mac (CVE-2017-8665
  • ChakraCore, motor Javascript de Edge, una ejecución remota de código (CVE-2017-8658
  • Microsoft Exchange Server, una vulnerabilidad de revelación de información (CVE-2017-11761
  • Adobe Flash Player, dos vulnerabilidades por ejecuciones remota de código que afectaban al plugin (CVE-2017-11281, CVE-2017-11282). 


0-day en .NET Framework  y distribución de FINSPY

En conjunción y de manera coordinada con la publicación de estos boletines, la firma de seguridad FireEye, ha hecho público el análisis de la vulnerabilidad presente en .NET Framework y que estaría siendo explotada por un grupo de atacantes, identificados por Microsoft como el grupo NEODYMIUM. Utilizarían este 0-day para la distribución de una variante del malware de espionaje conocido como FINSPY o FinFisher, mediante el envío de documentos Office (RTF, DOCX) especialmente manipulados.

La vulnerabilidad (CVE-2017-8759) estaría presente al procesar un objeto OLE embebido en el documento, en concreto un webservice WSDL a través de su moniker SOAP. Esto permitiría a un atacante remoto inyectar código arbitrario durante el proceso de parseo, elevar privilegios y como se ha demostrado, según los reportes de FireEye, ser explotado para ejecutar código remoto y controlar el sistema afectado.

Técnicamente, el problema residiría en el método PrintClientProxy y la incorrecta validación presente en la función "IsValidUrl" al recibir códigos CRLF. Esto provocaría la posterior ejecución de los comandos inyectados.

Debido a esto y a la sencillez de la vulnerabilidad, firmas como MDSec ya han mostrado públicamente como reproducir el exploit:


Desde la propia Microsoft se recomienda encarecidamente actualizar los sistemas o al menos actualizar Windows Defender Antivirus, que ya bloquea este tipo de exploit, identificado como Exploit:RTF/Fitipol.A, Behavior:Win32/Fitipol.A y Exploit:RTF/CVE-2017-8759.A. También los usuarios de Windows 10 y como nueva capa de seguridad añadida, se verán protegidos mediante Windows Defender Exploit Guard (sustituto de EMET), disponible en la próxima actualización Fall Creators Update.


Más información: 

September 2017 Security Updates 

Security Update Guide 

FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY 

Exploit for CVE-2017-8759 detected and neutralized 

Exploiting CVE-2017-8759: SOAP WSDL Parser Code Injection 

José Mesa Orihuela
@jsmesa

Ejecución de código remoto en Microsoft Edge

September 16, 2017, 7:06 am
$
0
0

Microsoft ha publicado una vulnerabilidad en Microsoft Edge que permite ejecutar código remoto a través de una página web especialmente manipulada.






ChakraCore, el núcleo de Chakra, el motor de JavaScript presente en Microsoft Edge, se ha visto afectado por una vulnerabilidad en la forma en la que maneja ciertos objetos en memoria. Según una observación superficial del trozo de código afectado antes y después de corregir la vulnerabilidad, ésta parece ser provocada por un manejo incorrecto de los ámbitos (partes del código en los que cada una de las variables existe). Esto provocaría un error de inicialización no esperada, afectando a memoria que no debería.

Cuando se produce un fallo de escritura inesperada en memoria, existe el riesgo de que se ejecute código fuera del flujo original, produciéndose el fenómeno de weird machine. Si el fallo de escritura se provoca a propósito y es construido cuidadosamente, en algunos casos se puede ejecutar código proporcionado por el atacante. Esta es la base de la mayoría de las vulnerabilidades modernas de explotación de memoria.

El escenario de explotación es clásico: Una página web especialmente diseñada para explotar la vulnerabilidad, y el atacante sólo tendría que apañárselas para que la víctima la visitase. Por el momento, la vulnerabilidad está corregida en el repositorio de código GitHub, pero no hay indicios de que esté incorporada esta corrección en una versión pública.



Carlos Ledesma



Más información


CVE-2017-11767 | Scripting Engine Memory Corruption Vulnerability

CVE-2017-11767 | Do not instantiate param scope if only the function expression symbol is captured

'Display Widgets' Backdoor: Cuando el río suena, agua lleva.

September 17, 2017, 7:56 am
$
0
0
‘Display Widgets’ ha sido el plugin en el cual se ha encontrado una backdoor. Lo raro de este caso, es que ha sido necesario reportar hasta cuatro veces esta vulnerabilidad para que, finalmente, se haya producido la eliminación total del plugin en los repositorios oficiales de Wordpress. 

Una backdoor o puerta trasera es el nombre que se le ha puesto al código existente en un software que permite que la máquina que aloja este código sea accesible remotamente por parte de los desarrolladores, permitiendo un control total o casi total en la máquina afectada.

‘Display Widgets’ es un plugin de Wordpress desarrollado por Stephanie Well para facilitar el control a los dueños del blog, permitiendo el control de cómo y cuándo se muestran los widgets en el sitio web. Al ser un plugin de esta plataforma tan exitosa, ha permitido que esta infección haya podido superar las 200000 infecciones en poco más de 2 meses. Pero, ¿qué es lo que ha pasado para tener este alcance?

Todo comienza cuando la desarrolladora del plugin cambia su enfoque de negocio y decide monetizar este plugin con una versión premium, vendiendo el código de su versión libre a otro desarrollador, el cual al mes ya publicó una versión actualizada la 2.6.0.

Esta primera versión recibe su primera queja del SEO David Law, advirtiendo de que este plugin no cumplía las reglas de publicación de Wordpress, puesto que descargaba 38MB's de servidores de terceros. Y no sólo eso, sino que el código descargado contenía código para monitorizar tráfico del usuario obteniendo información como IP, navegador y sitios visitados, y que después esta información era enviada a estos servidores de terceros.

Aunque Wordpress eliminó este plugin de los repositorios oficiales, el plugin no tardó en estar activo de nuevo. Una semana tardó el desarrollador en publicar la versión 2.6.1. Esta vez el plugin no descargaba esos 38MB, sino que esta vez el plugin tenía este contenido en su interior, y además, este plugin (geolocation.php) contenía una backdoor, lo cual permitía a servidores externos conectarse a este plugin y publicar o crear nuevas entradas. Y como no, David Law que aún tenía la vista en este plugin, volvió a reportarlo, y en cuestión de un día, el plugin fue eliminado de nuevo.

En otro tercer intento de este desarrollador, el día 6 de julio publicó su tercera actualización, que aparentemente era inocua, pero 17 días después Wordpress volvía a recibir noticias de este plugin. Éste había cambiado su comportamiento, y esta vez insertaba comentarios de spam en el sitio web que no eran mostrados desde la interfaz de administración. Comentarios que eran sacados desde la IP 52.173.202.113. IP que respondía a los dominios ‘stopspam.io’, ‘w-p.io’, ‘geoip2.io’ y ‘maxmind.io’. Con esta información el equipo de Wordpress volvió a eliminar el plugin.

Ante otro intento de seguir con el proceso de infección, el 2 de septiembre el desarrollador volvió a publicar una versión, y al última, la versión 2.6.3, la cual duró 5 días tras nuevas quejas de los usuarios.

Actualmente el plugin no está disponible en los repositorios oficiales de Wordpress, pero son muchos investigadores los que se han quejado sobre el método de publicación de estas herramientas, ya que son muchos los investigadores que no ven con buenos ojos que una herramienta que ha sido eliminada varias veces por estos motivos, pueda ser subida de nuevo en muy poco tiempo y sin apenas control. 


Más información

Wordfence
https://www.wordfence.com/blog/2017/09/display-widgets-malware/

BleepingComputer
https://www.bleepingcomputer.com/news/security/backdoor-found-in-wordpress-plugin-with-more-than-200-000-installations/


Jose Ignacio Palacios

Cómo mantenerse a salvo de BlueBorne si no tenemos actualización

September 18, 2017, 7:43 am
$
0
0
BlueBorne es el conjunto de vulnerabilidades publicadas el pasado día 12 de septiembre por la empresa de seguridad Armis, que hizo una publicación responsable de las vulnerabilidades encontradas en la implementación Bluetooth, poniendose en contacto previamente con los sistemas operativos más importantes.





Windows y Linux han publicado actualizaciones para esta vulnerabilidad, Apple ha comunicado que la vulnerabilidad no afecta a las últimas versiones de su sistema. El caso de Android es el más delicado, debido a que aunque la versión oficial ya se encuentre corregida, falta que los fabricantes la incorporen y la distribuyan entre los terminales afectados. Este escenario, nada halagüeño, crea bastante preocupación debido a la pasividad de la mayoría de los fabricantes en el proceso de actualización de sus terminales.


Para comprobar si su móvil Android es vulnerable, la propia empresa Armis hizo público una aplicación en Google Play para comprobarlo. Esta aplicación no sólo comprueba si su terminal es vulnerable, sino que comprueba también en todos los terminales con Bluetooth a los que tenga alcance. En el caso de que Armis estuviese guardando esta información, estaría generando una formidable base de datos sobre dispositivos vulnerables que sería interesante que compartiesen. De esta forma, fabricantes y comunidad podrían sacar parches que corrijan, o al menos mitiguen cuando no sea posible corregir la vulnerabilidad.


Mientras tanto, millones de dispositivos siguen siendo vulnerables a la espera de un exploit, que sin ser aún público, podría estar siendo aprovechado en estos momentos. Quién sabe si alguien está programando un ransomware con autopropagación, al ser un nuevo vector que da acceso a los ciberdelincuentes a dispositivos en los que aún no hemos visto este tipo de amenazas (como es el caso de relojes inteligentes, SmartTV's, etc).


Desde Hispasec, como no podría ser de otro modo, recomendamos a todos los usuarios que actualicen y en caso de no tener actualización, desactiven el Bluetooth a espera de noticias de su fabricante.

Más información:


BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación
http://unaaldia.hispasec.com/2017/09/blueborne-una-vulnerabilidad-en.html

BlueBorne Technical White Paper
http://go.armis.com/hubfs/BlueBorne%20Technical%20White%20Paper.pdf

Google Play - BlueBorne Vulnerability Scanner by Armis
https://play.google.com/store/apps/details?id=com.armis.blueborne_detector




Fernando Ramírez
framirez@hispasec.com






RedAlert2.0, nuevo troyano bancario en Android

September 19, 2017, 3:41 am
$
0
0

En foros underground se ha estado cocinando un nuevo troyano bancario, bautizado como RedAlert 2.0 por el creador. A diferencia de otros bots anteriores, no utiliza como base de código otros troyanos que acostumbraban a tomar códigos filtrados para su desarrollo. Entidades españolas como Bankia o BBVA se ven afectadas.




RedAlert cuenta con características comunes al resto de troyanos bancarios en Android como Overlay (superposición de un falso login), control sobre los SMS y extracción de los contactos. 

Como principal novedad, los equipos de respuesta de incidente de las entidades bancarias pueden verse afectados por este troyano. Los SOC internos suelen localizar a los clientes por vía telefónica para avisarles de la infección. Este troyano monitoriza y bloquea las llamadas que provienen de entidades bancarias para evitar el contacto.

Otra particularidad es que utiliza Twitter como método para conseguir nuevos centros de control en caso de que su servidor por defecto sea neutralizado. 

Vector de infección utilizado por RedAlert

Utiliza un vector de infección típico utilizado por el Malware en Android para evitar tener que evadir los controles de la Google Play Store: se hace uso de un servidor comprometido o registrado con fines maliciosos que, al visitarlo, contiene una falsa alerta de actualización para dispositivos Android. Los usuarios se descargan así automáticamente el APK y lo ejecutan. Una vez ejecutado, se solicitan permisos de administrador de dispositivo y se comprueba la hora UTC via timeapi.org

Esquema de comunicaciones de RedAlert

Una vez tiene todo lo necesario para proceder a comunicarse con el servidor de control, comienza a enviar datos al servidor remoto:

  • Modelo.
  • Versión de Android.
  • Idioma del teléfono.
  • IMEI del dispositivo infectado. 

Estas comunicaciones utilizan codificación BASE64, por lo que son sencillas de visualizar. Consecuentemente, se envía información sobre si se consiguió el permiso de administrador en el dispositivo junto con un array con el contenido de SMS al servidor remoto. Finalmente, cuenta con el comando UCS utilizado para recibir instrucciones, y puede introducirse cualquiera de los comandos incluidos en el listado ilustrado en el esquema de comunicaciones. 

La metodología de robo de credenciales a las víctimas es similar al resto de troyanos en Android actuales. Sin embargo, a partir de las versiones Android 5.0 en adelante se hace uso de Android toolbox, que encapsula la funcionalidad de los comandos mas comunes en Linux en un único binario, como por ejemplo 'ls' o 'ps'

Fragmento de codigo correspondiente a la llamada de `toolbox ps -p -P -x -c`

Como comentabamos anteriormente, es destacable que a pesar de que hace uso de métodos utilizados por otros troyanos bancarios no es una evolución de código anterior. Se trata de un troyano que se ha programado completamente desde cero y cuenta con actualizaciones constantes. Este tipo de troyanos de momento se encuentran en markets no oficiales y en otras páginas con el fin de infectar usuarios.

De momento todas estas muestras se pueden detectar con Koodous Antivirus, y se pueden localizar muestras mediante el tag #RedAlert en Koodous o en el siguiente enlace.

Más información:
* https://clientsidedetection.com/new_android_trojan_targeting_over_60_banks_and_social_apps.html
* https://github.com/virqdroid/Android_Malware/tree/master/Red_Alert_2


Fernando Díaz
fdiaz@hispasec.com
@entdark_


Vulnerabilidad de denegación de servicio en ImageMagick

September 18, 2017, 3:08 am
$
0
0
Se ha reportado una vulnerabilidad en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.


Como hemos explicado en anteriores boletines, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.

En el problema reportado, con CVE-2017-14505, debido a un error en la función 'DrawGetStrokeDashArray' en 'wand/drawing-wand.c' al manejar determinados arrays nulos podría causar una desreferencia a puntero nulo en la función 'AcquireQuantumMemory' en  'MagickCore/memory.c'.

Un atacante remoto podría valerse de este error para provocar denegaciones de servicios a través de archivos de imágenes especialmente manipulados.


Este problema afecta a las versiones anteriores a la 7.0.7-1. Se recomienda actualizar a versiones superiores. https://www.imagemagick.org/download/beta/

Juan Sánchez
jasanchez@hispasec.com

Más información:

Null Pointer Dereference triggered by malformed Image File
https://github.com/ImageMagick/ImageMagick/issues/716

Imagemagick
https://www.imagemagick.org/script/index.php



¿Es OptionsBleed el nuevo HeartBleed?

September 20, 2017, 12:30 am
$
0
0
El investigador independiente Hanno Böck ha descubierto una vulnerabilidad en los servidores web Apache que permite el filtrado de fragmentos de memoria arbitrarios. Un comportamiento que nos recuerda a HeartBleed, famosa vulnerabilidad en OpenSSL de 2014.


Imagen tomada de The Fuzzing Project

Precisamente por este parecido la vulnerabilidad ha sido bautizada como OptionsBleed, también en honor al método OPTIONS de HTTP. Este es utilizado por un cliente web para recibir información sobre los métodos soportados por el servidor. Una petición OPTIONS normal debería devolver una respuesta de la forma:


Respuesta de una petición OPTIONS.

Pero, durante una investigación sobre los sitios con mayor posición de Alexa, Böck descubrió algunas respuestas a OPTIONS bastante peculiares. Los métodos se repetían, aparecían vacíos, y en algunas cabeceras se devolvía algo parecido a una fuga de memoria:


Respuesta OPTIONS de un servidor vulnerable.

Este comportamiento le hizo sospechar. Aunque no conocía el software especifico que devolvía estas respuestas, encontró fugas con fragmentos de configuraciones que parecían pertenecer a servidores Apache, y se puso en contacto con el equipo de desarrollo, que finalmente confirmaron la vulnerabilidad. 

Este error ha sido identificado como CVE-2017-9798 y ya existen parches para la mayoría de las versiones de Apache Web Server en Linux.


Teoría y práctica


Explotar OptionsBleed en teoría es sencillo: solo hay que realizar una petición OPTIONS al servidor para disparar la vulnerabilidad. En la práctica, la vulnerabilidad no es determinista, es decir, no devuelve siempre el mismo resultado dados los mismos datos de entrada. Por ello su reproducción es difícil.

Se sabe con seguridad que la vulnerabilidad es causada por un fallo en la implementación de la directiva Limit. Los métodos disponibles en el servidor (aquellos que la respuesta de OPTIONS comunica) se pueden establecer a nivel global en la configuración. Usando Limit, además, se puede limitar su uso por recurso, usando un fichero .htaccess.


Sintaxis de una directiva Limit.

El problema ocurre cuando establecemos una directiva Limit sobre un método que no hemos registrado en la configuración global. Es más, en general cualquier método no valido sobre el que se define esta directiva directiva en un fichero .htaccess provoca la fuga de información.

Aun localizado el problema, se deben dar ciertas condiciones para su explotación, y los detalles son bastante vagos. Según Böck en el FAQ de la vulnerabilidad:

Debido a su naturaleza, el fallo no aparece de forma determinista. Parece que solo se da en servidores ocupados. A veces aparece tras varias peticiones.

OptionsBleed no es HeartBleed


Más allá del parecido en el comportamiento, hay varias diferencias que hacen a OptionsBleed bastante menos peligroso que HeartBleed, la famosa vulnerabilidad en OpenSSL aparecida en 2014 con la que se le está comparando.

Por un lado, la superficie de exposición es menor. OptionsBleed solo afecta a servidores Apache Web Server. Por su parte HeartBleed afectaba a todo servidor con versiones de OpenSSL vulnerables, sin distinción entre web, email, o VPN. 

Además, es necesario tener una cierta configuración y que el servidor se encuentre en condiciones específicas para la explotación. Hay que tener en cuenta que en el estudio se ha conseguido explotar la vulnerabilidad en solo 466 servidores entre el Top 1 millón de Alexa. Además, de ser explotada, OptionsBleed devuelve un fragmento de menor longitud que HeartBleed.

Sin embargo, tiene un riesgo añadido: en servidores Apache compartidos, un usuario puede incluir un fichero .htaccess manipulado para facilitar deliberadamente la explotación y descubrir secretos del resto de usuarios.

Pero hay algo que sí tiene en común: pasaron desapercibidos durante bastante tiempo.



Francisco López
@zisk0
flopez@hispasec.com

Más información:



OpenSSL afectada por una vulnerabilidad apodada HeartBleed





Search

Múltiples vulnerabilidades en Samba

September 21, 2017, 12:30 am
$
0
0
Se han confirmado tres vulnerabilidades en las versiones de Samba anteriores a la 4.4.16, 4.5.14 y 4.6.8, que podrían permitir a un atacante remoto secuestrar una conexión samba y acceder a información sensible a través de ataques de hombre en el medio.




Samba es un software libre que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet utilizando el protocolo de Microsoft Windows. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

La primera vulnerabilidad, etiquetada con CVE-2017-12150, permitiría a un atacante remoto realizar ataques 'man in the middle' y obtener información sensible aprovechando que algunos mensajes 'SMB' se transmiten sin firmar:
  • En el cliente samba, cuando se utiliza el parámetro '-e' para cifrar la conexión con el servidor, no se asegura la negociación de la firma para los comandos 'smb2mount -e', 'smbcacls -e' y 'smbcquotas -e'. Este fallo tiene relación con la vulnerabilidad CVE-2015-5296, corregida de forma incompleta en las versiones de Samba posteriores a la 3.2.0 y 4.3.2.
  • El componente 'samba.samba3.libsmb_samba_internal' para la librería de Python no tiene en cuenta la opción 'client signing' del fichero de configuración 'smb.conf' y envía los mensajes sin firmar.
  • La librería 'libgpo' tampoco fuerza la firma cuando hace una consulta de las políticas de grupo.
  • Las herramientas 'smbclient', 'smbcacls' y 'smbcquotas'permiten conexiones anónimas en caso de fallo cuando se utiliza el parámetro '--use-ccache'.

El siguiente fallo (CVE-2017-12151) permitiría a un atacante remoto leer y alterar documentos a través de un ataque 'man in the middle' debido a que no se mantiene el cifrado cuando se realizan redirecciones 'DFS' (en un sistema de archivos distribuido) con conexiones de tipo 'SMB3'. Este error se ha corregido en las versiones 4.6.8, 4.5.14 y 4.4.16 de Samba.

La útima vulnerabilidad corregida (CVE-2017-12163) permitiría a un cliente con permisos de escritura volcar el contenido de la memoria del servidor en un fichero o en una impresora. Esto es debido a que no se comprueba correctamente el rango de datos que envía el cliente, lo que podría provocar que el servidor completara la operación de escritura con datos almacenados en la memoria. Estos fallos han sido corregidos en las versiones de Samba posteriores a la 4.6.8, 4.5.14 y 4.4.16.

Se han publicado parches para solucionar estas vulnerabilidades en
http://www.samba.org/samba/security/


Francisco Salido
fsalido@hispasec.com

Más información:

SMB1/2/3 connections may not require signing where they should
https://www.samba.org/samba/security/CVE-2017-12150.html

SMB3 connections don't keep encryption across DFS redirects
https://www.samba.org/samba/security/CVE-2017-12151.html

Server memory information leak over SMB1
https://www.samba.org/samba/security/CVE-2017-12163.html


Minería de criptomoneda en la plataforma “The Pirate Bay”

September 23, 2017, 12:30 am
$
0
0
La popular plataforma se ha visto envuelta en una nueva polémica: el uso de JavaScript para minar cryptomonedas “Monero” con ayuda de la CPU de los usuarios que visitan esta plataforma, pero sin su conocimiento ni consentimiento.

Desde los últimos años las “criptomonedas” han adquirido un papel importante. No entraremos en detalle sobre las criptomonedas y/o sobre lo que es “The Pirate Bay”. En Internet podemos encontrar muchísima información sobre esto.

Hay que decir que los gastos que conlleva administrar una plataforma como TPB son muy altos, así que no es de extrañar que se usen métodos como insertar publicidad para que así cubran los gastos derivados de la plataforma.

Lo interesante de la noticia es que han implementado el sistema de minería sin que los usuarios fuesen conscientes de ello. La plataforma que ha posibilitado esta minería es Coin-Hive. Con un sencillo fichero JavaScript se puede hacer que el visitante de la web también aporte al proyecto cediendo CPU para la minería en cada visita al sitio web.

La web de Coin-Hive nos muestra una pequeña demo de su sistema donde podremos ver cuantos hashes hemos calculado. En 30 segundos (el tiempo mínimo estimado que pasa un usuario en The Pirate Bay) hemos calculado alrededor de 600 hashes.

Captura de The Pirate Bay con el código JavaScript de minado


Hemos probado a entrar en los distintos portales de The Pirate Bay, haciendo uso de un simple comando de Linux vemos como sube nuestra carga de procesamiento, tanto que los cuatro núcleos están en el 90% aproximadamente.

Carga de un equipo común durante el proceso de minado

El fichero JavaScript contiene

Código JavaScript de minado

Desde la organización han comunicado que estaban haciendo una prueba para saber si es un método viable de financiación. De cualquier modo no sabremos si se han estado aprovechando de esto durante más tiempo.

Este nuevo sistema de financiación para webs gratuitas, con su debido control, podría llegar a ser menos molesto que las publicidad a la que estamos acostumbrados. Sin embargo, The Pirate Bay lo ha implementado sin ningún anuncio, advertencia ni consentimiento previo del usuario, lo cual debería ser requisito indispensable para el uso de esta tecnología.


Mario Parra
mparra@hispasec.com

Más información:

Una-al-día:






FinFisher ataca de nuevo, ahora con posible apoyo de ISP's

September 24, 2017, 12:30 am
$
0
0
FinFisher (o FinSpy) es un spyware diseñado para ser usado por gobiernos para llevar a cabo labores de vigilancia. Esta última campaña parece apoyarse en los proveedores de servicio, según el último aviso de la firma antivirus ESET.




FinFisher no es un spyware especial. Al menos en el sentido técnico. Captura en directo de webcams, micrófonos, pulsaciones de teclado, extracción de archivos...No tiene funcionalidades extravagantes que otros spywares no tengan. Lo que llama la atención de FinFisher sobre los demás es lo controvertido de sus métodos de distribución. Métodos como spearphishing (phishing dirigido, en este caso para introducir un troyano), instalación manual en dispositivos accesibles físicamente, exploits 0-day y ataques watering hole (se compromete una web confiable para infectar a visitantes específicos).

Esta vez la particularidad viene debida a que, según la investigación llevada a cabo por ESET, seha detectado la distribución de nuevas variantes de FinSpy a nivel del proveedor de servicio de Internet (ISP) utilizado por el usuario, a diferencia de los anteriores métodos comentados. 

Se pudo determinar que aquellos usuarios que buscaban, por ejemplo, aplicaciones de mensajería segura como Threema, o de cifrado de volúmenes o ficheros, como TrueCrypt, eran internamente redirigidos mediante redirecciones de tipo 307 a descargas de esta variante de spyware. Por tanto, se estaba realizando un Man-In-The-Middle a un nivel mucho más bajo de lo habitual.

Esta capacidad de despliegue, sólo posible para determinados países y sus operadores, reafirma y parece validar los datos aportados por una reciente revelación en Wikileaks, sobre FinFly ISP, o la distribución de FinFisher mediante ISPs cooperantes que introducen este comportamiento en su servicio.

Descripción del servicio FinFLY ISP


Carlos Ledesma
cledesma@hispasec.com


Más información:
New FinFisher surveillance campaigns: Internet providers involved?





NVIDIA corrige multiples vulnerabilidades en sus productos

September 22, 2017, 7:00 am
$
0
0
La empresa de hardware ha publicado un boletín donde describe ocho vulnerabilidades presentes en sus productos. Algunas de ellas permiten la denegación de servicio o la escalada de privilegios.



Tres de las vulnerabilidades (CVE-2017-6269, CVE-2017-6268 y CVE-2017-6277) se encuentran en la capa de modo kernel para 'DxgkDdiEscape', situada en el fichero 'nvlddmkm.sys', y están relacionadas con el paso de valores al controlador sin validación previa. Esto podría ser aprovechado para realizar una denegación de servicio o una elevación de privilegios, y por ello son calificadas con severidad alta.

Existe una cuarta vulnerabilidad (CVE-2017-6272) con la misma severidad, causa e impacto, aunque no relacionada con 'DxgkDdiEscape'.

Las cuatro vulnerabilidades restantes son de severidad media. Dos de ellas, con identificadores CVE-2017-6270 y CVE-2017-6271, se encuentran en la capa de modo kernel para 'DxgkDdiCreateAllocation'. Al no validarse los datos introducidos para una división, se puede provocar una división entre cero y denegación de servicio.

Las dos últimas también pueden desembocar en denegación de servicio, y son causadas por controles de acceso incorrectos (CVE-2017-6266) y una incorrecta inicialización de valores internos, que puede dar lugar a un bucle infinito (CVE-2017-6267).

Las vulnerabilidades afectan a los productos Geforce, NVS, Quadro y Tesla tanto en sistemas Windows como Linux. Las actualizaciones ya están disponibles para los tres primeros en las versiones 385.69 para Windows y 384.90 para Linux, mientras que para el producto Tesla se publicarán en la semana del 25 de septiembre. Las actualizaciones también estarán disponibles a través de GeForce Experience.


Francisco López
@zisk0
flopez@hispasec.com

Más información:
Security Bulletin: NVIDIA GPU contains multiple vulnerabilities in the kernel mode layer handler:





Inyección SQL en plugin "Responsive Image Gallery" de Wordpress

September 25, 2017, 12:30 am
$
0
0
Recientemente se ha descubierto una vulnerabilidad SQL Injection en el plugin de Wordpress Responsive Image Gallery”. Este plugin es una combinación entre collagePlus jQuery y Photobox.


La vulnerabilidad se encuentra en el fichero “gallery_class.php” y gallery_theme.php”.

Código vulnerable en gallery_class.php
Código vulnerable en gallery_theme.php

Cuando se ejecuta la consulta SQL el parámetro $id no está filtrado. Dado esto, podemos introducir cualquier cadena. Para explotar esta vulnerabilidad se necesita el uso de HTTP v1.

Se pueden realizar dos tipos de ataques en este plugin: Union SQL Injection y Blind SQL Injection.


PoC de Union SQL Injection

PoC de Blind SQL Injection

La versión afectada es la 1.1.8. Para solucionar la vulnerabilidad se debe actualizar a la versión 1.2.1, disponible a través de https://downloads.wordpress.org/plugin/gallery-album.1.2.1.zip)


Mario Parra
mparra@hispasec.com
Más información:
Responsive Image Gallery, Gallery Album
https://wordpress.org/plugins/gallery-album/#developers







Viewing all 3787 articles
Browse latest View live
Search