El servicio de VoD Crunchyroll es vulnerado para la distribución de malware

November 5, 2017, 1:30 am

≫ Next: Vulnerabiidad en Tor Browser permite obtener las IPs reales de los usuarios

≪ Previous: Actualización de seguridad Cisco Firepower 4100 Series NGFW y Firepower 9300 Security Appliance

El sitio web Crunchyroll.com, equivalente a Netflix especializado en animación, distribuyó malware a los usuarios a través de un software de seguimiento de series modificado para alojar contenido malicioso.

Crunchyroll mostrando la descarga drive-by del sofware malicioso

El pasado sábado 4 de noviembre el sitio web Crunchyroll, el cual se encuentra en el puesto 245 del ranking de Alexa para EEUU, fue vulnerado al menos desde las 12 de la mañana (UTC+1, hora peninsular en España), momento en que empezó a distribuir un fichero llamado 'CrunchyViewer.exe' con contenido malicioso.

Una vez descargado y ejecutado, nos encontramos ante una aplicación llamada Taiga, un seguidor de series de código abierto. Esta aplicación ha sido modificada para ejecutar software malicioso (más información en la incidencia https://github.com/erengy/taiga/issues/489). Al ejecutarla, a pesar de parecer una aplicación normal, en segundo plano se creará el archivo svchost.exe(que obtiene de los recursos, en base64) en %APPDATA% y posteriormente se ejecutará.

Creación del archivo svchost.exe

Ejecución del svchost.exe malicioso

Este archivo %APPDATA%/svchost.exe creará una entrada de registro para ejecutarse tras iniciar el sistema. Una vez instalada, contactará con un servidor remoto alojado en OVH, especificamente a la dirección 145.239.41[.]131:6969, desde el cual descargará un shellcode y lo ejecutará en caso de estar disponible.

Creación de clave de registro para persistencia

En el momento en que se detectó el malware, VirusTotal sólo mostraba 2 detecciones para el mismo, llegando en el momento de escribir estas líneas a 4 detecciones. Tras su instalación, este troyano pasa a ejecutarse con el inicio del sistema gracias a la clave de registro 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Java
C:\Users\user\AppData\Roaming\svchost.exe'. Si crees que puedes estar infectado, comprueba si existe dicha clave, y elimínala de ser así.

El ataque fue parado a cerca de las 14:00, momento en que el servidor desde el que se descargaba el programa, y en el que residía la página fraudulenta, fue desconectado. Crunchyroll no ha dado detalles del ataque, pero existe la posibilidad de que los servidores originales del portal no se hubiesen visto comprometidos. La web utiliza el servicio de proxy inverso Cloudflare para mejorar su servicio, pudiendo ser la cuenta de éste la que haya sido comprometida. Esta opción resulta bastante convincente, ya que el troyano residía en una máquina de un pequeño hosting de Países Bajos, en vez de en los propios servidores de Crunchyroll.

Este caso sorprende al no tratarse de un caso de ataque arbitrario, sino dirigido especialmente a la audiencia del sitio web. La página fue modificada especialmente con este motivo, al igual que la forma de infección. Aunque no hay de momento una estimación del número de usuarios que pudieron instalar el programa, al ser una página de gran afluencia, contar con pocas detecciones por parte de los antivirus en el momento de instalación, y tratarse de un servicio con apps para otros sistemas, es posible que el número de afectados sea bastante alto.

Fernando Díaz
@entdark_
fdiaz@hispasec.com

Más información:

@entdark_ en Twitter:
https://twitter.com/entdark_/status/926778851807637504

@Crunchyroll en Twitter:
https://twitter.com/Crunchyroll/status/926849277430718464

↧

Vulnerabiidad en Tor Browser permite obtener las IPs reales de los usuarios

November 6, 2017, 12:30 am

≫ Next: Apple parchea KRACK entre otras vulnerabilidades en sus últimos boletines

≪ Previous: El servicio de VoD Crunchyroll es vulnerado para la distribución de malware

El investigador italiano Filippo Cavallarin, CEO de "We Are Segment", detecta esta vulnerabilidad en el navegador del proyector Tor, precisamente orientado a procurar la navegación anónima.

Como viene siendo habitual en los últimos tiempos, la vulnerabilidad ya tiene nombre propio: TorMoil, aprovechando el juego de palabras con el termino inglés "turmoil", que tiene acepciones como "confusión" o "desorden". Nada bueno en cualquier caso.

La vulnerabilidad radica en un fallo de Mozilla Firefox, navegador en el que Tor Browser está basado. Concretamente, se proviene de un bug en el manejo de URLs que utilizan el esquema 'file://', usado comúnmente para identificar ficheros dentro de nuestro propio sistema.

Al acceder a un sitio especialmente diseñado con este tipo de URLs el sistema operativo dejará de usar la conexión a través de la red Tor para conectarse directamente al sitio remoto, provocando la revelación de la IP real del usuario al mismo.

El fallo afecta a las versiones 7.0.8 y anteriores de Tor Browser en sistemas macOS y Linux. La versión de Windows no está afectada por esta vulnerabilidad. Según los desarrolladores, no hay evidencias que indiquen que este error haya sido explotado hasta el momento.

Tor Project ha lanzado la versión 7.0.9 del navegador que añade una contramedida temporal mientras se soluciona el problema. Como consecuencia, las URLs file:// han dejado de funcionar al introducirlas en la barra de direcciones y pulsar sobre los enlaces resultantes, comportamiento que se mantendrá hasta la salida del parche definitivo.

Francisco López

flopez@hispasec.com

@zisk0

Más información:

The TorMoil Bug – Tor Browser Critical Security Vulnerability
https://www.wearesegment.com/news/the-tormoil-bug-torbrowser-critical-security-vulnerability/

Tor Browser 7.0.9 is released
https://blog.torproject.org/tor-browser-709-released

↧

Apple parchea KRACK entre otras vulnerabilidades en sus últimos boletines

November 7, 2017, 12:30 am

≫ Next: Google corrige también la vulnerabilidad KRACK en sus boletines de Android

≪ Previous: Vulnerabiidad en Tor Browser permite obtener las IPs reales de los usuarios

Apple ha publicado siete boletines de seguridad que solucionan fallos para sus productos iOS, watchOS, macOS, tvOS, Safari y iTunes y iCloud para Windows. En total se corrigen 238 fallos de seguridad entre los que se encuentra KRACK.

Apple ha aprovechado el día de Halloween para lanzar su nueva actualización de seguridad que da solución a KRACK, una grave vulnerabilidad en WPA/WPA2 de la que ya hablamos en esta entrada. El fallo ha sido corregido de todos los dispositivos de Apple con soporte, entre los que se encuentran iOS, macOS High Sierra, tvOS y watchOS. De esta manera, la empresa de Cupertino se ha adelantado a Google en ofrecer una solución a este grave fallo. Se espera un parche en Android el día 6 de noviembre, si todo va según lo esperado.

El sistema que más cambios ha recibido ha sido macOS Sierra 10.13.1, con 148 fallos solucionados. La mayoría de los errores pertenecen a tcpdump, con 90 de los fallos. El resto de componentes afectados, entre los que se encuentran Audio, CFString, fsck_msdos, ImageIO, libarchive, Open Scripting Architecture, Quick Look, QuickTime, HFS, Remote Management y Sandbox, permitían la ejecución de código aleatorio y acceso a memoria restringida. Este último, Sandbox, hacía posible además la ejecución con privilegios del sistema. Otros 12 errores pertenecen a Apache, y otros 11 al Kernel, siendo la mayoría de lectura de áreas de memoria restringida y de ejecución de código arbitrario. APFS vuelve a estar en el ojo de mira, permitiendo además de ejecución aleatoria de código, el descifrado de disco con un conector manipulado ( CVE-2017-13786 ).

iOS 11.1 soluciona 23 errores, de los cuales 14 afectan a WebKit, y habiendo sido la mayoría descubiertos por Ivan Fratric de Google Project Zero. Estos errores permitían la ejecución de código arbitrario en el procesado de una web especialmente manipulada. Estos mismos errores, se vuelven a ver en Safari, tvOS, y iCloud y iTunes para Windows. El resto de componentes afectados han sido CoreText, Kernel, Messages, Siri, StreamingZip y UIKit. En su mayoría son errores que afectan a la privacidad del usuario. Destaca el fallo en el kernel ( CVE-2017-13799 ), que permite la ejecución de código arbitrario con los permisos del kernel, y que afecta también a macOS Sierra, tvOS y watchOS. El fallo en StreamingZip permitiría además acceder a zonas restringidas del sistema de archivos.

watchOS 4.1 sólo ha tenido que parchear 4 fallos, que pertenecen a CoreText, Kernel, StreamingZip y Wi-Fi; siendo este último KRACK, del que hablamos al principio. Estos mismos fallos pueden verse en tvOS y iOS. Además, salvo el de CoreText, los otros 3 también están en macOS. tvOS 11.1 tiene los mismos 4 errores parcheados, además de los 14 de WebKit de los que se habló en el apartado anterior.

Safari 11.0.1, iTunes 12.7.1 para Windows y iCloud para Windows 7.1, poseen los 3 los mismos 14 fallos de WebKit, al encontrarse todos basados en este. Ni iTunes ni iCloud tienen fallos adicionales, siendo Safari el único que cuenta con parches para el mismo, con los CVE-2017-13790 y CVE-2017-13789, que permitían hacer spoofing a la barra de direcciones.

Juan José Oyague

joyague@hispasec.com

Más información:

Security content of macOS High Sierra 10.13.1
https://support.apple.com/es-es/HT208221

About the security content of iOS 11.1
https://support.apple.com/es-es/HT208222

Acerca del contenido de seguridad de watchOS 4.1
https://support.apple.com/es-es/HT208220

Acerca del contenido de seguridad de tvOS 11.1
https://support.apple.com/es-es/HT208219

About the security content of Safari 11.0.1
https://support.apple.com/es-es/HT208223

Acerca del contenido de seguridad de iTunes 12.7.1 para Windows
https://support.apple.com/es-es/HT208224

Acerca del contenido de seguridad de iCloud para Windows
https://support.apple.com/es-es/HT208225

↧

Google corrige también la vulnerabilidad KRACK en sus boletines de Android

November 8, 2017, 1:30 am

≫ Next: Actualización de seguridad de la librería OpenSSL

≪ Previous: Apple parchea KRACK entre otras vulnerabilidades en sus últimos boletines

Si hace unos días Apple solucionaba entre una gran cantidad de parches, la importante vulnerabilidad en el protocolo WPA2, KRACKS, Google ha hecho lo mismo en su plataforma Android, publicando un nuevo boletín de seguridad y facilitando un numeroso conjunto de parches que corrigen hasta 31 vulnerabilidades distintas, nueve de ellas de nivel crítico.

Para facilitar la tarea de despliegue de los mismos entre los diferentes partners, Google ha publicado 3 boletines conjuntos.

En concreto, el boletín 2017-11-01 se centra en las vulnerabilidades corregidas en Framework, Media Framework y System, ya que 6 de ellas permitirían la ejecución remota de código.

En cambio, en el 2017-11-05 se corrigen aquellas presentes en los componentes del Kernel, MediaTek, Nvidia y sobre todo Qualcomm, apartado que adolece de las vulnerabilidades más críticas, relacionadas con el módulo WLAN y que han recibido 3 CVEs (CVE-2017-11013, CVE-2017-11014, CVE-2017-11015) por ejecución remota de código.
Estas vulnerabilidades fueron reportadas y analizadas en su blog por el investigador y desarrollador Scott Bauer (@scottybauer1), centradas en el controlador WiFi qcacld de Qualcomm/Atheros, y afectando a los dispositivos Pixel y Nexus 5x.

En un extenso desarrollo, Bauer alerta de un total de 8 vulnerabilidades, centrándose sobre todo en la vulnerabilidad más importante (CVE-2017-11013) de ejecución remota de código, pero explica que otras dos vulnerabilidades remotas quedan todavía por ser corregidas (Bug #7 y Bug #8), aunque están planificadas por Google.

Finalmente, en el boletín 2017-11-06 se solucionan hasta 9 vulnerabilidades de elevación de privilegios, relacionadas con el ataque KRACKs y que, en el caso de Android, el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key).

Estas actualizaciones están ya disponibles en todos los dispositivos Android de Google compatibles, así como en las diferentes actualizaciones de los fabricantes mediante OTA. Como siempre, recomendamos encarecidamente aplicar las mismas en cuanto estén disponibles.

José Mesa
@jsmesa

Más información:

Android Security Bulletin—November 2017
https://source.android.com/security/bulletin/2017-11-01

Please Stop Naming Vulnerabilities: Exploring 6 Previously Unknown Remote Kernel Bugs Affecting Android Phones
https://pleasestopnamingvulnerabilities.com/

↧

Actualización de seguridad de la librería OpenSSL

November 9, 2017, 1:00 am

≫ Next: Ejecución de código remoto y denegación de servicio en Asterisk

≪ Previous: Google corrige también la vulnerabilidad KRACK en sus boletines de Android

OpenSSL ha publicado una actualización de la popular librería, en la que se han corregido dos vulnerabilidades, una lectura de memoria fuera de límites y un fallo de acarreo que podría facilitar la obtención de la clave privada.

El fallo de propagación de acarreo ocurre en el procedimiento x86_64 Montgomery. Este fallo solo afecta a procesadores que soportan las extensiones BMI1, BMI2 y ADX, por ejemplo, los procesadores Intel Broadwell y posteriores o los AMD Ryzen.

Aunque se cree que pueda afectar al material criptográfico y poner en riesgo la integridad de la clave privada, se necesitaría una gran cantidad de recursos computacionales y un escenario con ciertos condicionantes que dificultan efectuar un ataque práctico. Este fallo posee el CVE-2017-3736.

El error de lectura fuera de límites, de un solo byte, ocurre al procesar la extensión IPAdressFamily en un certificado X.509 especialmente manipulado. Posee el CVE-2017-3735. Como dato curioso, ha estado presente en las librerías OpenSSL desde el año 2006.

Ambos fallos han sido hallados por el equipo del proyecto OOS-Fuzz patrocinado por Google.

Se ha de actualizar a las versiones de OpenSSL 1.1.0g y 1.0.2m de sus respectivas ramas.

Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.

Más información:

OpenSSL Security Advisory

https://www.openssl.org/news/secadv/20171102.txt

↧

Ejecución de código remoto y denegación de servicio en Asterisk

November 10, 2017, 12:30 am

≫ Next: Nueva víctima del ataque R.O.C.A.: el DNIe español

≪ Previous: Actualización de seguridad de la librería OpenSSL

Asterisk ha publicado dos actualizaciones de seguridad para solucionar dos vulnerabilidades que podrían permitir a atacantes en la misma red local causar una denegación de servicio o ejecutar código arbitrario en los sistemas afectados.

Asteriskes una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asteriskes ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

La primera vulnerabilidad, explicada en el boletín AST-2017-010, permite a un atacante en la misma red local ejecutar código remoto. El fallo se da por no comprobar el tamaño de una cadena de texto que recibe la centralita, concretamente de la cadena de texto que contiene el usuario al que se llama. Cuando la centralita crea el CDR (call detail record, un registro que contiene información de llamada como los usuarios, la duración...) y copia esta cadena de texto que proviene de fuera, puede exceder el tamaño máximo y desbordar la memoria, el famoso buffer overflow. En este caso, esto se puede explotar hasta ejecutar código arbitrario si la cadena se diseña especialmente. La solución consiste básicamente en comprobar que no se excede el tamaño básico al copiar la cadena de texto.

La segunda vulnerabilidad, descrita en el boletín AST-2017-011, podría permitir a un atacante en red local causar una denegación de servicio. El fallo se produce cuando una llamada se rechaza antes de establecerse. Cuando esto ocurre, cierta parte de la memoria de la centralita no se libera (cuando debería hacerlo, ya que es memoria temporal con información de la llamada cancelada). Al ser posible realizarlo sin límite, se podría llegar a quedar sin memoria la centralita si se realiza demasiadas veces el proceso de llamada y su cancelación. La solución pasa por liberar la memoria correctamente.

Ambas vulnerabilidades afectan a Asterisk Open Source en sus ramas 13, 14 y 15 y a Certified Asterisk en su versión 13.13 (aunque la primera vulnerabilidad sólo afecta a la rama 13 de Asterisk Open Source a partir de la versión 13.5.0). Actualizar a las últimas versiones de cada rama soluciona estos problemas.

Carlos Ledesma

cledesma@hispasec.com

Más información:

Buffer overflow in CDR's set user

http://downloads.asterisk.org/pub/security/AST-2017-010.html

Memory/File Descriptor/RTP leak in pjsip session resource

http://downloads.asterisk.org/pub/security/AST-2017-011.html

↧

Nueva víctima del ataque R.O.C.A.: el DNIe español

November 10, 2017, 11:00 pm

≫ Next: Fallo de seguridad en un ‘wallet’ de Ethereum pone en riesgo cerca de 150 millones de dólares de esta criptomoneda

≪ Previous: Ejecución de código remoto y denegación de servicio en Asterisk

El DNI electrónico español también se ve afectado por la vulnerabilidad de la librería de claves RSA y el ataque R.O.C.A.

Hispasec.com

La Dirección General de Policía a través de la página oficial del DNI electrónico ha publicado un comunicado que alerta de un problema de seguridad relacionado con los certificados electrónicos del DNIe. El Organismo de Certificación español y la Dirección General de la Policía se encuentran trabajando en un análisis de la viabilidad del ataque R.O.C.A. y en la modificación de las funcionalidades del DNIe para corregir el actual problema y "garantizar la máxima seguridad y confidencialidad en la utilización de la autenticación y firma electrónica en España".

Debido a la vulnerabilidad R.O.C.A. de la que hablábamos anteriormente se puede obtener o inferir la clave RSA privada a partir de la correspondiente clave pública.

El DNIe utiliza un certificado digital con clave RSA de 2048 bits lo que supondría que para obtener la clave privada, en el peor de los casos y según el ejemplo que se comentaba en la anterior noticia, se necesitarían unos pocos días de cómputo. Se debe considerar que las instancias Amazon AWS C4 hacen uso de hasta 36 CPUs virtuales basadas en procesadores Intel Xeon, y que otros tipo de instancias basadas en GPU podrían mejorar tanto los tiempos como los costes derivados del ataque.

Por el momento se ha desactivado la funcionalidad de certificado digital en los DNIe. Estos podrán ser actualizados por los titulares en las Oficinas de Documentación cuando esté disponible la solución, aunque no se ha establecido ninguna fecha estimada.

Los documentos nacionales de identidad cuyos certificados podrían verse afectados por la vulnerabilidad son aquellos cuyo número de soporte es posterior al ASG160.000 (dicho dato aparece en el campo "Número de Soporte" de los nuevos y en el campo "IDESP" de los DNIe de los anteriores; ver imágenes para mayor información), que fueron expedidos a partir del mes de Abril de 2015.

Número de soporte en las distintas versiones del DNIe. Fuente: dnielectronico.es

Juan José Ruiz
jruiz@hispasec.com

Más información:

Portal DNIe:

https://www.dnielectronico.es/PortalDNIe/

ROCA: descubierta grave vulnerabilidad en la librería de claves RSA Infineon:

http://unaaldia.hispasec.com/2017/10/roca-descubierta-grave-vulnerabilidad.html

↧

Fallo de seguridad en un ‘wallet’ de Ethereum pone en riesgo cerca de 150 millones de dólares de esta criptomoneda

November 12, 2017, 3:23 am

≫ Next: Nueva campaña de vales regalo que recolecta tu tarjeta de crédito

≪ Previous: Nueva víctima del ataque R.O.C.A.: el DNIe español

Un fallo en el ‘wallet’ Parity Wallet, puede haber provocado la pérdida de 600 mil Ethereum. Parity Wallet es un conocido ‘wallet’ creado por Gavin Wood co-fundador de Ethereum.

Esta misma empresa tuvo también un fallo de seguridad el pasado 19 de julio, que provocó el robo de 150,000 ETH o el equivalente del momento, 30 millones de dolares. Lo grave es que al parecer el fallo ha sido provocado por el código introducido para solucionar el fallo del 19 de julio. Una situación bastante bochornosa que pone en peligro la confianza de los usuarios en esta empresa de gestión de carteras.

La vulnerabilidad descubierta, permite a un atacante remoto borrar el contenido de una cartera, este fallo que solo afecta a las carteras ‘multi-sig’, este tipo de carteras permiten el consentimiento de más de una parte, lo que minimiza el número de carteras expuestas.

En estos momentos estamos viendo no solo caer la cotización de esta moneda sino como empresas relacionadas con el blockchain pueden haberse visto afectadas de forma indirecta, como es el caso de Polkadot.

Los usuarios pueden comprobar si su cartera está bloqueada accediendo al siguiente enlace.

Fernando Ramírez
@fdrg21

Más información:

Aviso de seguridad oficial:
https://paritytech.io/blog/security-alert.html

Aviso de seguridad de la vulnerabilidad del 19 de julio de 2017:
https://paritytech.io/blog/security-alert-high-2.html

↧

Nueva campaña de vales regalo que recolecta tu tarjeta de crédito

November 13, 2017, 1:34 am

≫ Next: Las apps que abusen de los servicios de accesibilidad serán eliminadas de Google Play.

≪ Previous: Fallo de seguridad en un ‘wallet’ de Ethereum pone en riesgo cerca de 150 millones de dólares de esta criptomoneda

Durante estas últimas semanas, hemos detectado numerosos correos de spam publicitando una nueva campaña fraudulenta, que está afectando a gran cantidad de firmas españolas y extranjeras, utilizándolas como señuelo para recolectar los datos privados de los visitantes, e incluso, para estafarlos recabando sus datos bancarios.

Ejemplo del spam recibido.

Esta nueva campaña se está propagando sobre todo por email, y dadas las fechas en las que nos encontramos, donde se planifican compras próximas al 11.11, Black-friday o Navidad, está afectando a numerosos usuarios. Por el momento este es el listado de firmas que están siendo utilizadas de manera fraudulenta como señuelo: El Corte Inglés, IKEA, Aldi, Spar, Peugeout, Leroy Merlin, H&M, Primark, Carrefour, Vueling, Amazon, Dyson, Thermomix, Nespresso, Apple, Nivea, Booking.com y RyanAir entre otros.

Falsa campaña de El Corte Inglés

Falsa campaña de Amazon

Falsa campaña de Carrefour

Falsa campaña IKEA

El modus operandi sigue siendo el habitual: se recolectan datos privados del usuario (nombre, dirección, fecha de nacimiento, móvil) y se le ofrece un supuesto premio por rellenar la encuesta. Además, y para incrementar el volumen de suscripciones, se ofrecen falsos formularios de afiliación a seguros (como DKV, MetLife, Adeslas...), páginas de formación (Educaweb), información financiera (iAhorro) e incluso de organizaciones benéficas u ONGs (ONU - ACNUR)

Suscripción a seguros

Suscripciones a servicios de terceros.

En verdad se nos está subscribiendo a campañas de spam masivo y nuestros datos terminarán formando parte de grandes bases de datos, con objetivo de ser revendidas a terceros.
Como particularidad de esta campaña, se está ofertando un supuesto lote de premios que intenta como objetivo final, obtener los datos bancarios del usuario (tarjeta de crédito, CVV y fecha caducidad) por lo que supone una estafa muy peligrosa para el visitante.

Segundo reclamo para recabar datos bancarios.

Formulario para capturar la tarjeta de crédito, CVV y caducidad.

Como en otras ocasiones en las que hemos alertado de estas actividades fraudulentas, recomendamos encarecidamente ser precavidos y no rellenar ningún tipo de dato privado en cualquiera de estas u otras campañas, y aplicar el sentido común.

Recordar también que desde Hispasec, y gracias al servicio Antifraude, ofrecemos un servicio integral de detección y desactivación de este tipo de amenazas para evitar el abuso de marca en Internet.

José Mesa Orihuela

@jsmesa

Más información:

Campaña de "boletos" fraudulentos afecta a Iberia y Ryanair

http://unaaldia.hispasec.com/2017/09/campana-de-boletos-fraudulentos-afecta.html

Campaña internacional de fraude por Whatsapp a diferentes supermercados

http://laboratorio.blogs.hispasec.com/2015/08/campana-internacional-de-fraude-por.html

↧

Las apps que abusen de los servicios de accesibilidad serán eliminadas de Google Play.

November 14, 2017, 12:30 am

≫ Next: ¿Quieres jugar a un juego? Demuestra tus habilidades en seguridad con Una-al-mes

≪ Previous: Nueva campaña de vales regalo que recolecta tu tarjeta de crédito

En un comunicado enviado a los desarrolladores de Android, se ha informado de la intención de eliminar de la Play Store todas aquellas aplicaciones que abusen los servicios de accesibilidad de Android.

Esta API permite a los dearrolladores crear aplicaciones para usuarios con discapacidades. Esto permite a la aplicación hacer accesos programaticos a determinadas acciones que en otras circusntancias habrían requerido alguna intervención física por parte del usuario.
Por ejemplo, estos servicios permiten a los usuarios escuchar un listado de los elementos en pantalla para asi poder decidir cual escoger. Sin embargo, también incluyen otras caracteristicas que pueden simular pulsaciones y puede utilizarse para fines maliciosos

Esta caracteristica permite a los atacantes desarrollar aplicaciones que abusen dichos servicios, como por ejemplo llevar al usuario a autorizar permisos que intencionalmente no concederían. También permitiria realizar ataques con overlays que, bien situados, podrían espiar las pulsaciones del usuario.
Ataques como Toast Overlay emplea este tipo de técnicas, y la colección de ataques vía overlay de Cloak&Dagger necesitan en gran medida abusar de los métodos de dicha API.

Es por esto que, Google ha emitido un comunicado en el cual especifica que todas aquellas aplicaciones que hagan uso de los servicios de accesibilidad sin estar realmente orientados a ello seran eliminadas de la Play Store. Aquellas aplicaciones legítimas que hagan uso de esta funcionalidad como los gestores de contraseñas o aquellas que modifiquen el mapping de algunas 'teclas' se verán afectadas por esta nueva política.

A pesar de todo, los atacantes siguen teniendo acceso a aquellos lugares donde Google Play no puede imponer su política, como los markets de terceros y sitios web de distribución de APKs. Estas vías suelen utilizarse por los atacantes para infectar a una gran mayoría de víctimas, aunque a pesar de todo algunos artefactos maliciosos logran eludir los controles de la Play Store.

Fernando Díaz
fdiaz@hispasec.com

Más información:

Google will remove Play Store apps that use Accessibility Services:

http://en.miui.com/thread-1087928-1-1.html

↧

¿Quieres jugar a un juego? Demuestra tus habilidades en seguridad con Una-al-mes

November 15, 2017, 12:30 am

≫ Next: Seguridad, caos y movimiento infinito

≪ Previous: Las apps que abusen de los servicios de accesibilidad serán eliminadas de Google Play.

El proyecto se basa en una serie de retos al más puro estilo 'Capture the flag' donde se pondrán a prueba vuestros conocimientos en las distintas categorías comunes en este tipo de juegos.

Las pruebas serán lanzadas los días 15 de cada mes y estarán accesibles durante 7 días. Cuando resolváis el reto, debeis enviar un correo a la dirección unaalmes@hispasec.com con el 'write-up' y su 'flag' correspondiente.

Al finalizar los 7 días, se creará una entrada en la web con la resolución del reto y los tres primeros participantes en haberlo resuelto. Acordaos de incluir vuestro nombre completo y enlace al perfil de Twitter si queréis que este también sea publicado.

Cualquier duda/consulta sobre la prueba o la iniciativa llevada a cabo, también debe ser transmitida al correo especificado anteriormente. Los coordinadores del proyecto, Mario Parra y Daniel Púa, estarán encargados de responderos a los mensajes.

En las misiones os pondréis en la piel de Rick, un espía contratado por una serie de inversores anónimos para realizar actividades delictivas.

El enlace al primer reto, lo tendréis en el apartado "Más información" de esta misma página.

Destacar que el formato de la 'flag' será el siguiente: UAM{...}.

¡Mucha suerte con la misión!

Daniel Púa
@arrowcode_
dpua@hispasec.com

Más información:

Acceso al primer reto:

http://34.253.233.243/mission1.php

Capture the Flag:
https://es.wikipedia.org/wiki/Capturar_la_bandera

↧

Seguridad, caos y movimiento infinito

November 16, 2017, 12:30 am

≫ Next: De la LOPD al RGPD

≪ Previous: ¿Quieres jugar a un juego? Demuestra tus habilidades en seguridad con Una-al-mes

Estás leyendo esto por la misma razón que el que lo escribió: la seguridad. Probablemente, ambos, nos dedicamos a trabajar en esta materia o al menos es algo que te preocupa o quizás sobre la que tienes interés. Es tan importante que, si le preguntamos al mismísimo Abraham Maslow, este nos indicaría apuntando con el dedo y de forma amable, que esta se encuentra en la segunda planta de su famosa pirámide“Justo ahí caballero, suba por la sección de alimentación, que la de eliminar los desechos está en obras. De nada, buenos días, adiós, adiós…”.

Si intentásemos atrapar el concepto “seguridad”, probablemente saldrían volando miles de definiciones, algunas más acertadas que otras y otras más certeras que algunas. Según la Real Academia de la Lengua, esto es la seguridad:

No muy inspiradora ¿verdad? No me atrevo a recurrir a los filósofos, puesto que hay tantas escuelas y doctrinas que terminaríamos retorciendo el concepto tanto como para terminar enredados como una lámina de Escher. Como podemos ver, un término tan sencillo puede complicarse tanto que es casi imposible dar una descripción que lo atornille a nuestras mentes. ¿Por qué? Quizás porque la seguridad es compleja, engañosa.

Cuando crees tenerlo todo bajo control hay un detalle que saltaste por alto, una milésima de segundo que pensaste qué “la probabilidad de que ocurriera era muy pequeña”. Es como esa partida de ajedrez que jugaste y perdiste por aquel pérfido alfil que salió, por sorpresa, cuando moviste a la caballería. “Ah, cuando parecía que todo estaba ganado, un mal movimiento y el desastre lo reduce todo a una nube de escombros”.

Frank Bird decía que antes de que ocurriese un accidente grave le precedía un reguero de incidentes de menor categoría. Esos pequeños “Bah, tampoco es para tanto, lo tenemos controlado”, al final terminaban siendo un gran y solo motivo para lamentarse. La falsa percepción de control sobre el devenir, los acontecimientos, que deriva en un daño irreversible, una pérdida que no devolverán las lamentaciones. Pero mientras dura, esa sensación de control es un reconfortante remanso de paz…

Si quisiéramos categorizar a la seguridad bajo la teoría de sistemas complejos, apuesto, sin formalidades previas, que entraría de lleno dentro de los sistemas caóticos. La misma solución no funciona dos veces, el mismo cortafuego que usa tu vecino no es el que te protege mejor a ti. Si en el mundillo de la ingeniería del software Brooks ya anticipó que “no hay balas de plata”, en seguridad estamos en condiciones de afirmar con rotundidad un concepto otras veces repetido: “Si hay algo seguro es que no hay nada seguro”. No suena tan potente como el clásico, pero es con lo que tenemos que vivir día a día.

Pretender aplicar soluciones genéricas, desprovistas de enfoque, ausentes de una dirección concreta y bajo el precepto de “a otros le funciona” es el equivalente a recetar un calmante para intentar curar la estulticia congénita. No existe “la solución”. No existe “el producto”. Ni tan siquiera existe “el proceso”. No hay Unguentum Armarium. ¿Qué tenemos entonces? ¿Cómo resolvemos el problema?

Primero, asumir que no existe el riesgo cero. Segundo, asumir que algo va a ocurrir cuando el riesgo no es cero. Sí, es así de fácil. Es una carrera imposible, la suma infinita de Aquiles, una paradoja perversa. No existe una meta, siempre perseguimos una finalidad que es un espejismo. No terminamos un día y decimos “ya es seguro, recoge y vámonos”. No existe una muralla sin grietas y no hay una grieta que mañana no se convierta en una brecha. Todo es un proceso: descubrir, analizar el riesgo, valorar su minoración, prepararnos para el impacto y tener un plan de contención de los daños y por último…vuelta a empezar de nuevo.

Desde Hispasec estamos cambiando la forma en la que planteamos la seguridad a nuestros clientes. No creemos en balas de plata. Asumimos que el mundo es complejo, lleno de detalles, matices. Que no es solo poseer un sentido de adaptación y anticipación, sino que debemos ofrecer una mimetización con las necesidades concretas, analizadas, detalladas y estudiadas. No queremos ser un recurso genérico, una alternancia necesaria o sucumbir a la maquinización sistemática; a la fiebre del bajo costo y sensación de deja-vú.

Creemos que acercarnos y escuchar es el principio adecuado. Tenemos armas para combatir el riesgo, pero es necesario medir, cuantificar, valorar, sopesar, etc. El traje debe ser hecho a medida, no valen arreglos de sastre con prisas. Esa es la idea: escuchar, escuchar y escuchar. Hay una necesidad y necesita ser comprendida, encaminada a una solución óptima y satisfactoria, y eso no puede alcanzarse haciendo lo mismo que hacemos siempre. No podemos pretender avanzar y hacer progresar las cosas si siempre andamos el mismo camino.

Si algo nos han enseñado años de auditoría, diálogo abierto y manos tendidas es que el único actor cómodo con la generalización es el riesgo. Un auténtico depredador sigiloso, paciente, acechante. Haz dos veces lo mismo, a la tercera estará esperando que muevas la pieza equivocada sobre el tablero para asestarte un certero jaque. Entonces te acordarás de Bird, Brooks, Winslow y de toda la caballería…

David García
@dgn1729

↧

De la LOPD al RGPD

November 17, 2017, 2:00 am

≫ Next: JOLTandBLEED: grave vulnerabilidad en productos Oracle Tuxedo y PeopleSoft

≪ Previous: Seguridad, caos y movimiento infinito

El 12 de septiembre de 2005, se publicaba la entrada titulada “Seguridad informática y protección de datos”. Hoy, 12 años más tarde y a seis meses de su fecha de aplicación, hablamos del Reglamento General de Protección de Datos y vamos a tratar de señalar qué ha cambiado desde entonces y qué implica su aplicación, tanto para la empresa responsable del tratamiento de los datos de carácter personal (o encargado del mismo por parte de un responsable) como para el ciudadano (titular de los mismos).

El RGPD es un Reglamento Europeo que entró en vigor el 25 de mayo de 2016, es una legislación europea, de aplicación directa en todos los países de la UE, al contrario que la LOPD (Ley orgánica de protección de datos), legislación española que responde a la transposición de la directiva europea 95/46.

Además del RGPD, tendremos como compañera de este a la “nueva” LOPD (aprobada en el Consejo de Ministros del pasado viernes 10 de noviembre), que podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite, por lo que será necesario acudir a la LOPD y al RGPD para conocer las obligaciones y derechos que nos afectan.

El RGPD no sólo es de aplicación a todo responsable o encargado establecido en la UE, sino que lo es también a empresas establecidas fuera de la Unión que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea. Es decir que el RGPD pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

El RGPD en las empresas.

Vamos a desarrollar fundamentalmente los aspectos que pueden ser del interés de las empresas, en su papel de responsables y/o encargados de tratamiento. El RGPD contiene también novedades importantes, que entran en el apartado de los Derechos del titular de los datos, y que, por tanto, suponen obligaciones para los responsables y encargados de tratamiento.

Como comentario general, diríamos que el nuevo escenario es más flexible y exige, por tanto, más atención para las empresas. Frente a unas formas de pensar “tabuladas” (como han sido los conocidos niveles básico, medio y alto de medidas de seguridad detallados en el reglamento de desarrollo de la “vieja” LOPD), se imponen formas de pensar más abiertas, en las que aparecen conceptos como el enfoque a riesgos, la evaluación de impacto o la protección de datos desde el diseño.

Como idea fundamental, el RGPD obedece al principio de responsabilidad proactiva que requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo para, a partir de este conocimiento, determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

Comenzando por el principio, en la obtención de datos de carácter personal, aparece uno de los cambios importantes del RGPD en relación a la LOPD: la forma de obtener el consentimiento del interesado para el tratamiento de sus datos, que exige que sea libre, informado, específico e inequívoco, lo que deja sin valor el consentimiento tácito hasta ahora permitido. Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

Además de la nueva forma de obtener el consentimiento, las empresas deben informar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre la base legal para el tratamiento de los datos, los períodos de retención de los mismos y otros aspectos. Adicionalmente se debe informar sobre la forma de ejercicio de sus derechos al titular de los datos, teniendo en cuenta que se han añadido derechos como el de portabilidad, que obliga a las empresas a proporcionar al interesado la información que se tiene de él en un formato estructurado, de uso común y lectura informatizada.

Como decíamos, las medidas de seguridad a aplicar a los tratamientos de datos no se establecen ya en función de unos niveles básico, medio y alto. En el RGPD se define que los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de los tipos de tratamiento, la naturaleza de los datos o el número de interesados afectados.

Tampoco el Documento de Seguridad, exigido en el reglamento de desarrollo de la LOPD y en el que se establecen los niveles de seguridad básico, medio y alto está ya en el RGPD. No obstante, se deberá disponer de un registro de actividades de tratamiento, que deberá contener información sobre finalidades del tratamiento, categorías de datos personales tratados, sistemas de tratamiento y medidas de seguridad aplicadas.

El RGPD introduce otro aspecto también nuevo en la protección de datos desde el diseño, que exige que se analice en términos de protección de datos, desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.

Como hemos comentado, las medidas de seguridad que se deberán tener en cuenta no se relacionan en el RGPD con el tipo de datos personales que se tratan, como ocurría en la LOPD. En su lugar, se establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo. Para ello, los responsables podrán llevar a cabo una evaluación de impacto sobre la protección de datos con carácter previo a la puesta en marcha de aquellos tratamientos, que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

Por último, analizamos una de las novedades más importantes del RGPD, mediante la cual la posición de las empresas se pretende que sea más proactiva y de mayor responsabilidad en todo lo relativo a la protección de datos de carácter personal. El RGPD establece para ello la figura del Delegado de Protección de Datos (DPD) que será obligatoria en algunos casos.

Autoridades y organismos públicos.
Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

Y otros que se enumeran en el borrador de la nueva LOPD.

El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD desempeña su tarea.

Es importante tener en cuenta, en relación con la obligación de nombrar un DPD (cuando sea exigible) que:

Se permite nombrar un solo DPD para un grupo empresarial.
Se permite que el DPD mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios.
Está permitido que el DPD desarrolle sus funciones a tiempo completo o parcial.
Para definir las funciones del DPD se deberá atender a lo establecido en el RGPD.

Este último aspecto del RGPD analizado ya permite prever un crecimiento importante en la prestación de servicios de “outsourcing” del rol del DPD por las organizaciones, públicas y privadas, por la dificultad de incorporar a profesionales del perfil requerido y por la facilidad que supone la posibilidad de acudir a un contrato de servicios.

En este sentido, es importante señalar la AEPD promueve un sistema de certificación de profesionales de protección de datos como herramienta de evaluación de candidatos a DPD.Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados y en las que se tienen en cuenta tanto la formación acreditada como la experiencia en labores relacionadas con la protección de datos de carácter personal.

Juan Carlos López
AIDCON CONSULTING

Más información:

Reglamento General de Protección de Datos
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf

Anteproyecto de Ley Orgánica de Protección de Datos
http://www.mjusticia.gob.es/cs/Satellite/Portal/1292428461386?blobheader=application%2Fpdf&blobheadername1=Content-Disposition&blobheadervalue1=attachment%3B+filename%3DAPLO_Proteccion_Datos_Caracter_Personal_Texto.PDF

Guía del Reglamento General de Protección de Datos para responsables de tratamiento
https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

↧

JOLTandBLEED: grave vulnerabilidad en productos Oracle Tuxedo y PeopleSoft

November 18, 2017, 2:02 am

≫ Next: Vulnerabilidad en Ikarus Antivirus

≪ Previous: De la LOPD al RGPD

Los investigadores de ERPScan han demostrado públicamente, como una nueva vulnerabilidad afectaría gravemente a varios productos del fabricante Oracle, en concreto la línea Tuxedo y PeopleSoft.

La vulnerabilidad se presentaría en el servidor Java Jolt, integrado en Oracle Tuxedo, servidor de aplicaciones y componente central de muchos productos de la firma. Este nuevo tipo de ataque, que ha recibido la máxima puntuación (10.0 y 9.9) y diferentes CVEs (CVE-2017-10272, CVE-2017-10267, CVE-2017-10278, CVE-2017-10266 y CVE-2017-10269), permitiría a un atacante remoto comprometer el sistema totalmente, revelando información sensible.

Técnicamente, el error es debido a una incorrecta gestión de las comunicaciones en el Jolt Handler (JSH) que permitiría a un atacante enviar paquetes especialmente manipulados para provocar una fuga de datos en el servidor Jolt y recuperar las credenciales de usuario, como se puede ver en el siguiente vídeo publicado:

El ataque, denominado JOLTandBLEED, se asemeja a otro importante ataque, Heartblead, ya que siguen mecanismos similares a la hora de revelar información sensible del servidor.

Por su parte, Oracle ha publicado urgentemente parches para PeopleoSoft y Tuxedo:

Oracle PeopleSoft Campus Solutions
Oracle PeopleSoft Human Capital Management
Oracle PeopleSoft Financial Management
Oracle PeopleSoft Supply Chain Management
Oracle Tuxedo, versiones 11.1.1, 12.1.1, 12.1.3, 12.2.2

José Mesa
@jsmesa

Más información:

Oracle Security Alert Advisory - CVE-2017-10269:

http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10269-4021872.html

PEOPLESOFT JOLTANDBLEED VULNERABILITY:

https://erpscan.com/press-center/blog/peoplesoft-joltandbleed/

↧

Vulnerabilidad en Ikarus Antivirus

November 19, 2017, 1:00 am

≫ Next: Vulnerabilidad en Schneider Electric’s software

≪ Previous: JOLTandBLEED: grave vulnerabilidad en productos Oracle Tuxedo y PeopleSoft

Se ha reportado una vulnerabilidad en Ikarus antivirus de gravedad alta, en la que un atacante remoto podría elevar privilegios dentro del sistema y potencialmente escribir código arbitrario.

Ikarus incorpora una amplia gama de productos de seguridad tanto para usuarios domésticos como para protección de redes empresariales complejas. Cuenta con soporte gratuito, asesoramiento profesional y sus soluciones antivirus se centran en la detección y eliminación de troyanos, virus, spyware y todo tipo de malware.

En el problema reportado, con CVE-2017-14961, es debido a un error de validación de determinados valores de entradas en el driver 'ntguard.sys'. Esto podría ser aprovechado por el atacante malicioso, para elevar privilegios dentro del sistema y leer/escribir código arbitrario a través de entradas especialmente manipuladas.

Este problema fue detectado por el analista de seguridad Parvez Anwar y afecta a las versiones 'Windows' de diferentes productos antivirus Ikarus.

El fabricante ha proporcionado una herramienta para poder comprobar que versiones son las afectadas:
http://www.ikarussecurity.com/fileadmin/download/IKSA20170002_w32.exe

Se recomienda actualizar a versiones superiores.

Juan Sánchez

jasanchez@hispasec.com

Más información:

Ikarus Security
https://www.ikarussecurity.com/

Vulnerability in windows antivirus products (IK-SA-2017-0002)

https://www.ikarussecurity.com/about-ikarus/security-blog/vulnerability-in-windows-antivirus-products-ik-sa-2017-0002/

↧

Vulnerabilidad en Schneider Electric’s software

November 20, 2017, 1:00 am

≫ Next: OWASP publica la edición 2017 de su Top-10 Web Application Security Risks

≪ Previous: Vulnerabilidad en Ikarus Antivirus

Se ha descubierto una vulnerabilidad en InduSoft Web Studio y InTouch Machine Edition de Schneider Electric’s, reportada por Aaron Portnoy. Esta vulnerabilidad de gravedad alta, permitiría a un atacante remoto ejecutar código arbitrario.

Indusoft Web Studio es una colección de herramientas de desarrollo de HMI, sistemas SCADA y componentes integrados. InTouch Machine Edition permite crear aplicaciones HMI de manera intuitiva y segura para su uso en dispositivos inteligentes y en una amplia gama de dispositivos embebidos de bajo nivel.

La vulnerabilidad con CVE-2017-14024, se debe a un error en la subscripción de etiquetas en clientes HMI que podría causar un desbordamiento de memoria intermedia basada en pila. Esto podría ser aprovechado por un atacante remoto no autenticado para ejecutar código arbitrario con permisos de usuario a través de paquetes especialmente manipulados.

Afecta a las versiones:

InduSoft Web Studio v8.0 SP2 Patch 1 y versiones anteriores.
InTouch Machine Edition v8.0 SP2 Patch 1 y versiones anteriores.

Se recomienda actualizar a versiones superiores.

Desde el laboratorio técnico de Hispasec recomendamos tomar las siguientes medidas de seguridad:

Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).

Juan Sánchez
jasanchez@hispasec.com

Más información:

Security Bulletin LFSEC00000124

http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000124/

Schneider Electric

www.schneider-electric.com

↧

OWASP publica la edición 2017 de su Top-10 Web Application Security Risks

November 21, 2017, 1:36 am

≫ Next: Echando un vistazo al heap overflow de procmail

≪ Previous: Vulnerabilidad en Schneider Electric’s software

Cuatro años después de la última edición, la revisión del ranking OWASP que clasifica los riesgos a los que se enfrentan las aplicaciones se actualiza, incluyendo problemas derivados en las últimas tendencias en arquitecturas web.

El "Open Web Application Security Project" (OWASP) tiene como objetivo ofrecer una metodología, de libre acceso y utilización, que pueda ser utilizada como material de referencia por parte de los arquitectos de software, desarrolladores, fabricantes y profesionales de la seguridad involucrados en el diseño, desarrollo, despliegue y verificación de la seguridad de las aplicaciones y servicios web.

Entre los diversos proyectos orientados a este fin se encuentra el OWASP Top 10. Se trata de un documento orientado a la concienciación que establece un ranking de los mayores riesgos de seguridad a los que hacen frente las aplicaciones web. Esta clasificación nace del consenso de múltiples expertos en seguridad en aplicaciones web, y es actualizada cada 3 o 4 años desde 2003.

Como documento orientado a la concienciación, el objetivo principal del Top 10 es educar a los desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones; sobre las consecuencias de las vulnerabilidades de seguridad más importantes en aplicaciones web. Provee técnicas básicas sobre cómo protegerse en estas áreas de alto riesgo y también provee orientación sobre los pasos a seguir.

Las novedades introducidas en esta edición en cuanto a la elaboración del listado son el peso que han tenido los comentarios de la comunidad, a partir de los cuales se han incluido dos de las entradas, y la gran cantidad de información recogida a través de las decenas de profesionales y empresas colaboradoras, que obtuvieron datos de más de 100.000 aplicaciones web y APIs.

Cambios en la clasificación entre la edición 2013 y 2017. Tomado de OWASP.

La larga sombra de los microservicios

Desde la publicación del anterior Top 10, allá por noviembre de 2013, el paisaje de Internet ha cambiado bastante. Por un lado la proliferación de las arquitecturas basadas en microservicios ha aumentado la superficie de exposición y permite que código antiguo esté expuesto a Internet, cuando anteriormente se situaba detrás de una gran aplicación monolítica. Asimismo, las llamadas entre las APIs que exponen los microservicios también introducen la necesidad de autenticación entre los mismos.

A esto se une la hegemonía de JavaScript como el lenguaje de la web: por supuesto en el lado del cliente a través de los diversos frameworks disponibles, como Angular o React, pero también en la parte del servidor, donde poco a poco Node.js va reclamando un lugar propio.

Por tanto no es de extrañar que algunas de las nuevas entradas estén bastante relacionadas con este nuevo escenario. Por ejemplo, la entrada "A4 - Entidades Externas XML", que afecta a sistemas que utilizan SOAP para comunicarse, o "A8 - Deserialización insegura", que podría permitir en última instancia la ejecución remota de código y que puede encontrarse en servicios web, brokers de mensajería y autenticación en APIs. Por otro lado, y también elegido con el respaldo de la comunidad, se han introducido en el puesto 10 riesgos derivados del "registro y motorización insuficiente", no como vulnerabilidad, si no como causa principal de una respuesta deficiente a incidentes de seguridad .

El cambio de entorno también ha provocado algunas salidas del ranking. El puesto 10 de 2013, "Redirecciones no válidas" ha desaparecido del ranking (ocupa ahora el puesto 25) al aparecer sólo en el 1% de los datos analizados. Por otro lado, las vulnerabilidades de tipo Cross Site Request Forgery, el puesto 8 en 2013, ahora solo se da en menos del 5% de las aplicaciones web estudiadas, principalmente debido a que los frameworks actuales incluyen protección contra CSRF de serie.

Pero hay cosas que nunca cambian

Por ejemplo, los puestos más altos del ranking. Perenne desde 2010, permanece en el primer puesto la inyección de código: SQL, NoSQL, sistema operativo, y en general cualquier entrada que permita llegar comandos maliciosos directamente al interprete.

Igualmente, desde 2010 tenemos en segunda posición "Autenticación defectuosa", categoría que engloba los riesgos relacionados con ataques de fuerza bruta, credenciales por defecto, gestión defectuosa de las sesiones y otros muchos problemas de alto riesgo relacionados con la autenticación ante las aplicaciones.

También siguen siendo relevantes el Cross Site Scripting (aunque su presencia decrece y baja al puesto 7) y la exposición de datos sensibles, donde ocurre al contrario: Desde el sexto puesto sube al tercero.

Top 10 2017 con datos de vectores de ataque, debilidad e impacto. Tomado de OWASP.

El Top 10 de OWASP es desde hace años el estándar de facto para el desarrollo seguro de aplicaciones, y es de revisión obligada cuando se realizan auditorías de seguridad. Por ello, el documento publicado no solo ofrece el listado, sino además una completa guía de detección y actuación sobre los riesgos identificados y pasos a seguir para desarrolladores, analistas de seguridad y organizaciones.

Francisco López

flopez@hispasec.com

@zisk0

Más información:

OWASP Top 10 - 2017:

https://www.owasp.org/images/0/0a/OWASP_Top_10_2017_GM_%28en%29.pdf

↧

Echando un vistazo al heap overflow de procmail

November 22, 2017, 12:30 am

≫ Next: Publicadas dos vulnerabilidades en Samba, con posible ejecución remota de código

≪ Previous: OWASP publica la edición 2017 de su Top-10 Web Application Security Risks

Se ha corregido una vulnerabilidad en procmail que podría causar una denegación de servicio y potencialmente ejecutar código arbitrario de forma remota.

procmail, es un agente de correo que es usado para filtrar los mensajes entrantes, tanto por motivos de SPAM como por, simplemente, enviar los correos al buzón de acuerdo a una reglas predeterminadas y programadas por el usuario mediante su propio lenguaje de programación.

El fallo ha sido encontrado por Jakub Wilk y se trata de un desbordamiento de memoria basada en montículo (Heap-based overflow). El error está localizado en la función loadbuf del archivo fuente formisc.c.

Como podemos observar, en el parche:

diff --git a/src/formisc.c b/src/formisc.c
index d91b227..6c7594b 100644
--- a/src/formisc.c
+++ b/src/formisc.c
@@ -103,7 +103,7 @@ void loadsaved(sp)const struct saved*const sp;      /* load some saved text */
 }
            /* append to buf */
 void loadbuf(text,len)const char*const text;const size_t len;
-{ if(buffilled+len>buflen)     /* buf can't hold the text */
+{ while(buffilled+len>buflen)     /* buf can't hold the text */
      buf=realloc(buf,buflen+=Bsize);
   tmemmove(buf+buffilled,text,len);buffilled+=len;
 }

Si leemos el código, la función posee dos parámetros, text y len, que suponemos es un puntero a una zona de memoria (const char*) con el texto a almacenar y su tamaño (size_t). La función compara el tamaño del bufé que ya posee, buffilled, más el tamaño del texto que le llega, len, y si es superior a la capacidad del bufé, entonces procede a ampliarlo.

El problema está en que cuando utiliza la función estándar realloc, hace lo siguiente:

buf = realloc(buf, buflen += Bsize)

Es decir, le está diciendo, mueve buf a un bloque de memoria más grande (o amplía el que posee) y hazlo con el siguiente tamaño: buflen, el tamaño que ya tenía, más Bsize. ¿Qué valor posee Bsize? Pues exactamente: 128.

¿Pero qué ocurre si buffilled + len sigue siendo mayor de buflen + 128? Que podemos, potencialmente, sobreescribir con nuestro contenido depositado en text, estructuras organizativas de la zona de memoria conocida como montículo.

De ahí que el parche (que es precisamente eso, un parche) transforme una bifurcación en un bucle. Del if pasamos a un while que no cesa de requerir memoria hasta que la condición de tamaño no sea la adecuada.

Algo, computacionalmente muy discutible, ya que vamos a llamar a realloc tantas veces como (buffilled+len) / buflen+128). Si len es bastante grande, podemos estar dando varias vueltas en círculo hasta que alcancemos el tamaño de memoria correcto. Pero bueno, ¿es un parche, no?

Como nota curiosa, procmail dejó de ser mantenido en 2001, pero esto no ha supuesto que deje de usarse, de hecho sigue estando presente en muchas instalaciones de correo. Así que como siempre, recomendamos encarecidamente que se actualicen las versiones de procmail inferiores a la 3.22.

David García

@dgn1729

Más información:

formail: CVE-2017-16844: heap-based buffer overflow in loadbuf()

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=876511

↧

Publicadas dos vulnerabilidades en Samba, con posible ejecución remota de código

November 23, 2017, 12:30 am

≫ Next: Ejecución remota de código en el editor Atom

≪ Previous: Echando un vistazo al heap overflow de procmail

Se han confirmado dos vulnerabilidades en las versiones de Samba posteriores a las versiones 3.6.0 y 4.0.0, que podrían permitir a un atacante remoto revelar información sensible y ejecutar código arbitrario

Samba es un software libre que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet utilizando el protocolo SMB de MicrosoftWindows. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2.

La primera vulnerabilidad, etiquetada con CVE-2017-15275, permite a un atacante remoto obtener trozos de memoria del proceso Samba corriendo en el servidor objetivo. Esto se debe al uso que se le da a la memoria por parte de una función relacionada con la respuesta a mensajes SMB. Particularmente, se reserva memoria de más, para que haya de sobra para construir la respuesta. El problema es que si no se usa toda la memoria reservada para la respuesta, el resto de memoria no utilizada se incluye en la respuesta. Y al reservar memoria, no se inicializa a ningún valor, con lo que esa memoria no utilizada contendría antiguos trozos de memoria que podrían contener información sensible (como hashes de contraseñas).

La segunda vulnerabilidad, con identificador CVE-2017-14746, podría permitir a un atacante remoto ejecutar código arbitrario en el servidor objetivo, con los mismos permisos que el proceso Samba. Esto se debe a que existe un fallo de programación que permite el uso de memoria previamente liberada. Desde el boletín oficial se presume que este fallo se puede usar para comprometer el servidor, seguramente porque este tipo de fallo de programación se suelen poder explotar para ejecutar código arbitrario.

Respecto a la primera vulnerabilidad, si bien no permite comprometer directamente el servidor, sí podría permitirlo indirectamente al revelar información de acceso en la respuesta (tal y como comenta el boletín oficial). Y respecto a la segunda, desde Hispasectememos que sea finalmente explotable y permita ejecutar código remoto con pocas restricciones. Esto podría permitir el desarrollo de gusanos, al estilo WannaCry, cuyas consecuencias todos conocemos...

Se han publicado parches para las versiones 4.5.14, 4.7.2 y 4.6.10, que solucionan estas vulnerabilidades, en http://www.samba.org/samba/security/

Carlos Ledesma
cledesma@hispasec.com

Más información:

Samba - Security Announcement Archive: CVE-2017-15275
https://www.samba.org/samba/security/CVE-2017-15275.html

Samba - Security Announcement Archive: CVE-2017-14746
https://www.samba.org/samba/security/CVE-2017-14746.html

Un ransomware ataca a múltiples compañías
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

A wormable code-execution bug has lurked in Samba for 7 years. Patch now!
https://arstechnica.com/information-technology/2017/05/a-wormable-code-execution-bug-has-lurked-in-samba-for-7-years-patch-now/

↧

Ejecución remota de código en el editor Atom

November 24, 2017, 12:43 am

≫ Next: Mirai infecta miles de dispositivos ZyXEL en Argentina

≪ Previous: Publicadas dos vulnerabilidades en Samba, con posible ejecución remota de código

El investigador Lukas Reschke (@LukasReschke), ha publicado un reciente análisis de seguridad sobre Atom, el editor de texto y código para desarrolladores creado por Github. En el mismo, se revelan graves vulnerabilidades que pueden provocar ejecución remota de código.

Dado que el editor Atom está basado en Electron, un popular framework de desarrollo de aplicaciones, muchas de las vulnerabilidades que afectan a éste, también son heredables a los desarrollos derivados de su uso.
Si a eso le añadimos incorrectas políticas de seguridad, en la incorporación de "parsers" o librerías complementarias para mostrar contenido, como es el caso de las utilizadas por Atom para procesar Markdown, la combinación de estas incidencias puede provocar una cadena de vulnerabilidades de mayor impacto.

Vulnerabilidad en el parser Markdown

Según el estudio realizado por Reschke, el componente encargado de procesar documentos HTML, permitiría ejecutar código Javascript al cargar ficheros Markdown (.md, .markdown). La función encargada de evitarlo puede ser fácilmente evadida, utilizando ficheros locales mediante el URI file://, saltándose así las políticas CSP (Políticas de Seguridad de Contenido) y ejecutando código Javascript (XSS).

Investigando la posibilidad de simplificar y saltar restricciones utilizando esta vulnerabilidad, descubrió que en la carpeta /Applications/Atom.app/Contents, existían documentos vulnerables que permitirían ir más allá y provocar la ejecución de ficheros locales.

Un simple fichero Markdown con un iframe al documento HTML "test-apart-ctx.html" :

<iframe src="file:///Applications/Atom.app/Contents/Resources/app/apm/node_modules/clone/test-apart-ctx.html?foo&%77%69%6e%64%6f%77%2e%74%6f%70%2e%72%65%71%75%69%72%65%28%27%63%68%69%6c%64%5f%70%72%6f%63%65%73%73%27%29%2e%65%78%65%63%46%69%6c%65%28%27%2f%41%70%70%6c%69%63%61%74%69%6f%6e%73%2f%43%61%6c%63%75%6c%61%74%6f%72%2e%61%70%70%2f%43%6f%6e%74%65%6e%74%73%2f%4d%61%63%4f%53%2f%43%61%6c%63%75%6c%61%74%6f%72%27%2c%66%75%6e%63%74%69%6f%6e%28%29%7b%7d%29%3b%0a"></iframe>

permitiría ejecutar código arbitrario de manera local, como se puede ver en la imagen:

Ejecución de la calculadora, mediante un Markdown especialmente manipulado. Fuente: statuscode.ch

Por tanto, sería fácil modificar este comportamiento para utilizarlo en la distribución de ficheros Markdown maliciosos como por ejemplo, alguna variante de troyano.

Repositorios externos maliciosos

Yendo más allá en sus pruebas y buscando una manera remota de explotar esta vulnerabilidad, pudo observar que el parser Markdown carga contenido externo gracias al módulo "Packages".

Un atacante remoto sólo tendría que crear y distribuir en los repositorios paquetes maliciosos que se asemejaran a los más descargados por los usuarios, y conseguiría ejecutar código sin tener siquiera que instalar el paquete, ya que una característica principal de este apartado es la previsualición de información sobre el paquete seleccionado, momento en el cual se ejecutaría el código malicioso.

La distribución de paquetes fraudulentos en repositorios no es algo novedoso ni baladí, ya que éste comportamiento se pudo ver hace pocos meses en las incidencias sufridas por Python y PyPI.

GitHub ha mitigado el efecto de esta vulnerabilidad, eliminando los HTML innecesarios de la aplicación y utilizando una nueva librería (DOMPurify) para evadir este tipo de ataques.

José Mesa

@jsmesa

Más información:

From Markdown to RCE in Atom:

https://statuscode.ch/2017/11/from-markdown-to-rce-in-atom/

↧