Archivo

Archive for 29 agosto 2012

Grave vulnerabilidad sin parche en Java está siendo aprovechada por atacantes

agosto 29, 2012 Deja un comentario
Se ha descubierto una vulnerabilidad en Java para la que no existe parche, que está siendo aprovechada por atacantes y cuyo código es público. Es el peor escenario posible.
Todavía no se sabe mucho sobre la vulnerabilidad, puesto que no ha dado tiempo a realizar un estudio exhaustivo, pero lo divulgado por ahora nos sitúa en el peor escenario posible.
FireEye descubría un servidor con un .jar que aprovechaba una vulnerabilidad. Por tanto, alguien la conoce y está aprovechando el fallo. A través de un dominio de tercer nivel dinámico (aa24.net) y un servidor de correo web de una compañía china (que probablemente haya sido atacada), se está (todavía) distribuyendo malware gracias a ese fallo en Java.
A través de un índice en la carpeta “meeting” del servidor, muy ofuscado con Javascript, el malware que se está distribuyendo es este:
y

El problema afecta a la última versión de Java en su rama 7, hasta su “update 6“. No afecta a la rama 6, que todavía se mantiene pero que se encuentra en periodo de “extinción“. Funciona sobre los principales navegadores e incluso con EMET activo.

A pesar de que los investigadores que lo descubrieron no ofrecieron detalles, un tercero ha publicado una prueba de concepto para explotar el fallo, con lo que se abría la puerta a que cualquiera pudiera explotarla. El código es sencillo, limpio, funcional y fiable. Compilar y lanzar. Poco después, se ha introducido como módulo en Metasploit. Esto licencia a que cualquier atacante pueda comenzar a distribuir su propio malware (muy probablemente durante los próximos días se pueda ver en Blackhole, el kit de explotación de moda entre los atacantes). Si, como ya hemos mencionado en más de una ocasión, una máquina virtual de Java no actualizada es lo que más aprovechan los creadores de malware para distribuir sus muestras, esta vulnerabilidad permite “abrir el mercado” también entre los actualizados.
Extracto del código del .Jar
En ausencia de un parche eficaz, no existe una forma sencilla de mitigar el problema. Lo más recomendable es deshabilitar Java del navegador. No se sabe cuándo solucionará Oracle el problema. Su ciclo cuatrimestral de actualizaciones, sugiere que hasta el 16 de octubre puede que no parcheen el gravísimo problema. Desde luego, Oracle no suele publicar parches fuera de ciclo. En contadas ocasiones lo ha hecho con su base de datos, su producto estrella. Pero menos aún con Java desde que le pertenece.
En abril de 2010 Tavis Ormandy y Rubén Santamarta descubrieron un grave fallo de seguridad en JRE. A Ormandy le dijeron desde Oracle que no lo consideraban tan grave como para publicar nada antes del periodo establecido. Una semana después, publicaban un parche fuera de ciclo (Java 6 Update 20), que no acreditaba la corrección de la vulnerabilidad. Tuvieron que comprobar que, simplemente, el fallo dejaba de darse, pero no había confirmación oficial.
Hace algunas semanas escribíamos en una-al-día, un titular que (obviamente tomándonos ciertas licencias) afirmaba “Si no actualizas Java, estás infectado“. Pretendía llamar la atención sobre el hecho de que una enorme parte de los atacantes estaban aprovechando de forma masiva fallos muy recientes en Java y que la manera más eficaz de defenderse era actualizar. Lo estamos viviendo día a día en el laboratorio. Ahora podemos añadir que, incluso si se está actualizado y con medidas extra de seguridad como EMET, se corre el riesgo de que un atacante ejecute código en el sistema.
Más información:
Zero-Day Season is Not Over Yet
Java 7 0-Day vulnerability information and mitigation.
Java Deployment Toolkit Performs Insufficient Validation of Parameters
[0DAY] JAVA Web Start Arbitrary command-line injection – “-XXaltjvm” arbitrary dll loading
Sun About Face: Out-of-Cycle Java Update Patches Critical Flaw
Sergio de los Santos
Twitter: @ssantosv
Fuente: Hispasec
Anuncios

Sistema operativo de misión crítica Rugged vulnerable

agosto 29, 2012 Deja un comentario

El Departamento de Seguridad Nacional estadounidense ha lanzado una alerta tras el descubrimiento de Justin W. Clarke, un investigador de seguridad, de una grave vulnerabilidad en el sistema operativo Rugged OS utilizado en dispositivos de redes de misión crítica de la compañía canadiense RuggedCom.

La vulnerabilidad consiste en la identificación en Rugged OS de la clave privada RSA para la comunicación SSL entre un cliente y un dispositivo RuggedCom. Esta clave privada permitiría a un atacante interceptar el tráfico de red y acceder a los dispositivos. Dispositivos que no son cualquiera ya que están destinados a una amplia gama de infraestructuras críticas, incluidas líneas de ferrocarril, sistemas de control de tráfico, subestaciones eléctricas o instalaciones militares.

Es la segunda vez en cuatro meses que se descubren vulnerabilidades en estos sistemas y en abril, el mismo investigador descubrió una puerta trasera en el sistema operativo de Rugged que permitía acceder a los dispositivos con un nombre de usuario tan simple como ‘factory’ y una contraseña fácilmente revelada escribiendo únicamente la dirección MAC del equipo en cuestión en un script simple en Perl.

El investigador había descubierto una gravísima vulnerabilidad en el hardware-software de la compañía canadiense RuggedCom, que gestiona una amplia gama de infraestructuras críticas, incluidas líneas de ferrocarril, sistemas de control de tráfico, subestaciones eléctricas o instalaciones militares.

Fuente: Muy Seguridad I, II

Segu-Info

Es posible obtener el PasswordHint de Windows #Metasploit

agosto 29, 2012 Deja un comentario

El investigador Jonathan Claudius de SpiderLabs ha descubierto una vulnerabilidad en los sistemas operativos cliente de Microsoft Windows 8 y Windows 7 que facilita la obtención de la contraseña de administrador para inicios de sesión y control del sistema.

El investigador explica que la vulnerabilidad reside en la función ‘indicio’ o ‘sugerencia’ de contraseñas, útil para el usuario si olvida la contraseña pero también para un atacante.

Estas sugerencias de contraseñas de Windows XP, 7 y 8 se almacenan en el registro del sistema operativo y aunque están en un formato cifrado parece que se pueden convertir fácilmente en un formato legible:

HKLM\SAM\SAM\Domains\Account\Users\\UserPasswordHint

El investigador ha escrito un script que automatiza el ataque y lo ha publicado en Metasploit (clic para agrandar).

Si normalmente para romper las contraseñas de inicio de sesión de Windows se necesita acceso físico al equipo, este tipo de exploit (combinado con otras herramientas) permitiría acceder remotamente a estas ‘sugerencias’ de contraseñas y tras obtenerla inicios de sesión remoto.

La recomendación (hasta que Microsoft confirme y parchee en su caso la vulnerabilidad) sería dejar en blanco la sugerencia de contraseña. No hace falta recordar que 2012 es el año de robo de contraseñas y por ello obligatorio contar con una contraseña robusta.

Fuente: Muy Seguridad Segu-Info

5 de fallas de seguridad de tu sitio web que puedes solucionar ¡ya!

agosto 29, 2012 Deja un comentario

La página web de una empresa suele ser un objetivo prioritario para los atacantes informáticos. Los criminales cibernéticos pueden utilizar las vulnerabilidades en los sitios para tener acceso a la información confidencial de la empresa o bien, pueden apropiarse de los sitios legítimos para propagar malware a las máquinas de los visitantes.

La buena noticia: A medida que la conciencia de las amenazas está aumentando, los sitios web son cada vez más seguro, según un estudio de 7.000 sitios web [PDF] controlados por WhiteHat Security. El año pasado un promedio de 230 vulnerabilidades de seguridad se encontraban en cada sitio de estudio. En el informe de este año, ese número cayó a 79, una disminución del 66%. Eso ha sido un declive constante visto por WhiteHat desde el año 2007.

Las organizaciones también están cada vez mejor en cuanto a los problemas de mitigación, ya que las vulnerabilidades se solventaron en un promedio de 38 días, que es una gran mejora sobre los 116 días que les tomaba un año antes.
Pero sólo porque las empresas han mejorado en seguridad de sus sitios web, esto no significa que los hackers han abandonado, sol que acaban de cambiar sus enfoques. Por ejemplo, muchos hackers están utilizando más los ataques especializados y destinados a empresas específicas en lugar de la automatización del proceso y no en busca de vulnerabilidades comunes en miles de sitios a la vez.
Cuando los hackers atacar un sitio, ¿cuáles son las vulnerabilidades que tienen más probabilidades de ver? Estos fueron las 10 principales vulnerabilidades encontradas en los sitios web estudiados:

  • Cross-site scripting (55% de los sitios son vulnerables a este tipo de ataque por cierto período de tiempo)
  • Filtración de información (53%)
  • Contenido de suplantación de identidad (36%)
  • Autorización insuficiente (21%)
  • Cross-site request forgery (19%)
  • Ataques de fuerza bruta (16%)
  • Predecibles localización de recursos (12%)
  • Inyección SQL (11%)
  • Sesión fijación (10%)
  • Expiración de sesión insuficiente (10%)

¿Qué hay detrás de esas vulnerabilidades y lo que lleva a los atacantes intentan encontrar y explotarlas? Aquí están cinco de las razones más comunes de los sitios web que son aprovechados por los ataques

1. Falta de actualizaciones de seguridad

Al igual que con muchos tipos de defectos de seguridad, las vulnerabilidades en sitios web a menudo comienzan con aplicaciones que no están parcheados y se mantiene hasta la fecha. Un estudio reciente encontró que la explotación de software obsoleto era método más común que los hackers utilizan para atacar sitios web.

2. Reabren las vulnerabilidades

Las vulnerabilidades encontradas existen por varias razones, como por ejemplo un mal código o configuraciones incorrectas. Y en algunos casos, cuando esos problemas se solucionan, se repiten de nuevo más tarde. De hecho, el 20% de las vulnerabilidades descubiertas por WhiteHat se solucionaron pero volvieron abrirse más adelante en algún momento. Eso pasó por una variedad de razones, tales como que se corrige el problema del código, pero luego se sobrescriben durante una actualización de software o si hay una actualización restaura una configuración vulnerable que se había reparado previamente.

3. La falta de cortafuegos

Uno de los puntos del informe de WhiteHat señala que muchas de las vulnerabilidades más comunes se pueden mitigar mediante el uso de un firewall de aplicaciones web (WAF). Como un firewall de red, protege el sitio web de los ataques maliciosos y los monitores de entrada y salida de tráfico. El informe estima que esta tecnología podría solucionar el 71% de las vulnerabilidades.

4. Procedimientos de inicio de sesión defectuosos

Algunas de las vulnerabilidades en la lista de los 10 son causados por la inseguridad en los procedimientos de inicio de sesión, incluidos los de inicio de sesión en las sesiones con defecto de expiración, como se muestra por el último elemento de la lista. En otro ejemplo, estuvieron presentes muchas vulnerabilidades de fuerza bruta debido a que el sitio web de registro en la página reveló que el nombre de usuario o contraseña eran correctos o incorrectos. Dado que muchos sitios utilizan direcciones de correo electrónico como nombres de usuario, los spammers pueden utilizar estos sitios para extraer direcciones de correo electrónico válidas.

5. La falta de conocimiento acerca de las vulnerabilidades

Mientras que las organizaciones en el estudio eran los clientes del servicio de monitoreo de WhiteHat y por tanto conocía sus problemas, muchas vulnerabilidades pasan completamente inadvertidos para los propietarios de los sitios web y los administradores. De hecho, más de la mitad de los administradores web no saben cuándo sus sitios son atacados, según una encuesta reciente de la empresa de seguridad Commtouch.

Para protegerse contra las vulnerabilidades, WhiteHat recomienda a las organizaciones hacer una lista de todos sus sitios y darles prioridad sobre la base de la importancia que tienen para el negocio de la compañía
A continuación, se debe probar estos sitios periódicamente para asegurarse de que las vulnerabilidades son solucionadas y detectar las nuevas cuando aparezcan.

Fuente: Blog de Carlos Solis (Whitehat en Inglés) Segu-Info

Nueva versión de Dropbox con doble autenticación (BETA)

agosto 29, 2012 Deja un comentario

Cada vez más servicios la incluyen como opción para los usuarios, y el último ha sido Dropbox en una versión experimental.

El funcionamiento es muy parecido al de Google. Para activar la verificación en dos pasos, tendréis que escanear un código QR con vuestro móvil y una aplicación TOTP (Google Authenticator para Android, iPhone y Blackberry o Authenticator para Windows Phone 7). Dropbox os pedirá el código de verificación que os dará la aplicación móvil: una vez que lo introduzcáis, ya estará todo listo. Si no tenéis un smartphone, también tenéis la opción de recibir los códigos por SMS.

A partir de entonces, cada vez que queráis vincular un nuevo dispositivo con Dropbox tendréis que introducir no sólo vuestra contraseña sino también el código de verificación que os dará vuestro móvil. De esta forma, será mucho más difícil que alguien consiga acceso a vuestra cuenta.

Dropbox también está preparado por si perdéis el acceso a los códigos de autenticación: antes de activar la verificación, os dará un código de 16 dígitos de emergencia para recuperar el acceso a vuestra cuenta.

La verificación en dos pasos estará disponible para todos los usuarios dentro de algunos días, pero si queréis probarla hay una versión experimental de Dropbox con la verificación en dos pasos, junto con un enlace para activar la opción en vuestra cuenta. Yo he probado estas versiones experimentales y no me han dado ningún problema ni dificultad, pero recomendaría esperar a que Dropbox actualice automáticamente todas las versiones para evitar posibles problemas.

Fuente: Segu-Info

 

Categorías:Noticias, Privacidad Etiquetas:

Ataques a la criptografía cuántica a través de la relatividad

agosto 29, 2012 Deja un comentario

En un artículo aparecido en 2009 en Physical Review Letters se explica un método por el cual se pueden romper los sistemas criptográficos basados en los principios de la mecánica cuántica. Dicho método se basa en permitir que el flujo de datos interactúe con un estado cuántico que viaja hacia atrás en el tiempo. Es decir, se usa la teoría general de la relatividad para alterar un sistema cuántico.

Para que un sistema criptográfico sea seguro la clave está en que el código que sirve para cifrar el mensaje no sea conocido más que por el emisor y el receptor del mensaje y que dicho código no sea fácilmente deducible. Para garantizar la seguridad, sin embargo, sería necesario además que se detectase a cualquier persona extraña que intentase tener conocimiento del mensaje, no digamos ya de la clave. Esta garantía es la que da la criptografía cuántica.

Fuente: Segu-Info

Categorías:Noticias, Pentesting Etiquetas: ,

Nuevos satélites de la NASA tendrán smartphones Android como “cerebros”

agosto 28, 2012 Deja un comentario

La agencia espacial se propone lanzar una línea de pequeños satélites llamados “PhoneSats” que son más baratos de fabricar y más fáciles de construir que los que se ha producido en el pasado.

Para lograr esto, los ingenieros están utilizando teléfonos inteligentes Android no modificados – uno tendrpa un prototipo de HTC Nexus One, y el otro un Nexus Samsung S – para realizar muchas de las funciones clave de un satélite.

Como explica la NASA en su sitio web, estos smartphones off-the-shelf “ofrecen una amplia gama de capacidades necesarias para los sistemas de satélites, incluyendo procesadores rápidos, versátiles sistemas operativos, múltiples sensores en miniatura, cámaras de alta resolución, receptores GPS y varias radios”.

“Este enfoque permite a los ingenieros ver qué capacidades tecnologías comerciales pueden proporcionar, en lugar de intentar soluciones de tecnología de diseño personalizado para satisfacer las necesidades de ajuste”, añade la NASA.

El costo total de la construcción de uno de estos satélites prototipo cuesta sólo 3.500 dólares. Se espera poner en marcha tres de estos dispositivos a bordo del primer vuelo del cohete Antares a finales de este año.

Más detalles en: IntelDig

Categorías:Mobiles, Noticias Etiquetas: ,