Archivo

Archive for the ‘Exploits’ Category

Prevenir Ataques 0-Day [Infografía]

agosto 30, 2013 Los comentarios están cerrados

Las exposiciones desconocidas y las explotaciones de 0-Day son los vectores principales de ataque en los ambientes de red actuales debido principalmente a que tienen la habilidad de evitar la detección de malware tradicional – dificultándole a las organizaciones mantenerse actualizadas con el volumen abrupto de amenazas

Los criminales lanzan constantemente ataques nuevos distribuyendo miles de nuevas variantes de malware cada día. Las soluciones antivirus tradicionales no son suficientes cuando se trata de lidiar con amenazas desconocidas. Leer más…

Categorías:Exploits, Noticias, Vulnerabilidades Etiquetas: ,

¿Tienes Java 6 instalado? (Actualiza!)

agosto 29, 2013 Los comentarios están cerrados

Oracle dio por finalizado el soporte público para Java versión 6 el pasado febrero. Las versiones públicas de Java poseen un soporte de tres años. Pasado ese tiempo solo los clientes que tengan una licencia comercial del producto podrán tener acceso a los parches críticos, periodo que se extiende cinco años adicionales.

¿Cual es el problema? Java 6 aun se encuentra instalado en millones de sistemas, no tiene soporte y existe una vulnerabilidad con exploit publicado que se está usando activamente para infectar equipos.

Leer más…

Advierten acerca de un exploit de Joomla

agosto 12, 2013 Deja un comentario

jommla-logoLos investigadores de seguridad de ‘Verasafe’ han identificado un ataque de ‘día cero’ que puede tomar el control completo de los sitios web de Joomla.

Una actualización para la vulnerabilidad aprovechada en el ataque fue lanzada a finales de julio, así que se recomienda que los usuarios actualicen sus instalaciones lo antes posible para protegerse.

Leer más…

Microsoft saca herramienta anti-exploit para administradores de IT

agosto 21, 2012 Deja un comentario

Microsoft dió a conocer una nueva herramienta para ayudar a los administradores de TI a actualizar con mitigaciones anti-exploits del tipo ASLR (Aleatorización del Esquema de Espacio de Direccionamiento) y DEP (Prevención de Ejecución de Datos) en versiones de Windows más antiguas.

La herramienta, llamada Kit de Herramientas de Experiencia de Mitigación Mejorada (Enhanced Mitigation Experience Toolkit – EMET) funciona aplicando las tecnologías de mitigación de seguridad a aplicaciónes arbitrarias para bloqueo contra la explotación a través de vectores comunes de ataque.

Además de implementar ASLR y DEP en versiónes más antiguas de sistema operativo Windows, Microsoft dice que EMET también agregará mitigaciones anti-explotación a los programas existentes de terceros que actualmente no eligen las mitigaciones.

“Esto ayuda a proteger contra la explotación exitosa de vulnerabilidades sin solución disponible,” dice Mike Reavey, un director en Microsoft’s Security Response Center (MSRC).

ASLR y DEP, los cuales sirven como bloqueos de defensa en profundidad durante los ataques de malware, están habilitados por defecto en las versiones más nuevas de Windows.

EMET soporta tanto aplicaciones de 32 bits como de 64 bits y activa mecanismos de protección específicos en binarios compilados. Agrega las siguientes mitigaciones a aplicaciones que no las soportan nativamente:

* Protección de sobre escritura de manejo estructurado de errores (Structured Error Handling Overwrite Protection – SEHOP) que impide la explotación de sobre escritura del Manejo Estructurado de Excepciones (SEH) mediante la realización de validaciones de cadenas SEH.
* La Prevención de Ejecución Dinámica de Datos que marca porciones de la memoria del proceso como no ejecutable, dificultando la explotación de vulnerabilidades de corrupción de memoria.
* La asignación de página NULA que asigna la primera página de memoria antes de la inicialización del programa y bloquea a los atacantes de poder aprovecharse de las referencias NULAS en modo usuario.
* La Asignación de Rociado de memoria Heap que pre-asigna direcciones de memoria para bloquear ataques comunes que llenan la memoria heap del proceso con contenido manipulado especialmente.
* La aleatorización mandatoria del esquema de espacio de direcciones (ASLR) tanto como los módulos que no soportan ASLR en Windows Vista, Windows Server 2008 y Windows 7.
* La tabla de exportación de direcciones (EAT) que usa puntos de parada para filtrar el acceso a la EAT de kernel32.dll y ntdll.dll, bloquea el acceso si el puntero de intrucciones no está dentro del módulo, e interrumpe los shellcodes metasploit comunes actualmente.

Video de explicación

Descargalo!

Traducción: Raúl Batista – Segu-Info
Autor: Ryan Naraine

Fuente: b1nary0

FinFisher, un anti-malware ‘legal’ convertido en troyano de ataque

agosto 15, 2012 Deja un comentario

FinFisher FinFisher, un anti malware legal convertido en troyano de ataque

FinFisher es un desarrollo comercial de la compañía británica Gamma Internationl Gmbh destinada en principio a uso de agencias gubernamentales y que ha sido analizada por la compañía de seguridad Rapid 7, revelando que FinFisher va mucho más allá de lo que podríamos considerar un anti-malware y además de un completo spyware para actividades ‘legales’ de inteligencia y vigilancia, puede convertirse en un potente troyano de ataque.

FinFisher pasa por alto las soluciones antivirus comunes supervisando secretamente toda la actividad de los ordenadores objetivo, activando las webcam, registrando todo lo que se escribe con un keylogger o grabando las conversaciones de servicios como Skype.

También accede a los datos de las unidades de almacenamiento registros de correo electrónico o chats comunicándose en secreto con servidores remotos. Es capaz de realizar un estudio forense en vivo, dispone de filtros para grabar únicamente información importante y ataca a sistemas Windows, Mac OS X y Linux indistintamente.

En la misma web de Gamma explican que “FinFisher permite acceder a los sistemas objetivo y conseguir un acceso total a la información que contienen, con la posibilidad de controlar sus funciones, capturando comunicaciones y datos cifrados. La agencia gubernamental que las utilice podrá instalar software de forma remota en los sistemas objetivo.

Si el uso de estas herramientas ‘legales’ por agencias gubernamentales ya son discutidas por organizaciones como PrivacyInternational ante la falta de control alguno sobre ellas, el análisis de Rapid7 muestra la peligrosidad de que caiga en terceras manos ya que se ha descubierto copias en Bahrein utilizadas contra activistas y que pueden ya estar en cualquier parte del mundo, como un troyano de ataque con potencial máximo que puede hacer casi de todo controlando totalmente los ordenadores infectados.

Fuente: MuySeguridad

 

Un “tweet” desencadenó el ataque de hoy a la red Twitter

agosto 12, 2012 Deja un comentario

21/09/10 – 17:54

Los hackers escribieron código informático y lo introdujeron en el sistema a través de un breve mensaje de menos de 140 caracteres. Demostraron, de este modo, que los filtros de la red social pueden fallar.

Los hackers escribieron código informático y lo introdujeron en el sistema a través de un breve mensaje de menos de 140 caracteres. Demostraron, de este modo, que los filtros de la red social pueden fallar.

Un breve tweet, un mensaje de menos de 140 caracteres. Sólo eso necesitaron los hackers hoy para poner en vilo a Twitter, una de las redes sociales del momento.

Claro, no era un mensaje cualquiera. Se trataba de código de informática (conocido en la jerga como “exploit”) con el que buscaron demostrar la vulnerabilidad del sistema, informó a Clarín Ignacio Sbampato, de la empresa de seguridad informática Eset Latinoamérica. En este caso, aprovecharon un error en la programación de Twitter y lograron que la “infección” se propagara viralmente, a la velocidad que adquiere el mundo interconectado.

“El error estaba en el acortador de URL t.co, que es de Twitter. Es uno de los tantos servicios que acortan las direcciones electrónicas largas para que entren en un mensaje de solo 140 caracteres. Esto usaron para generar el exploit. El usuario veía el mensaje con link, pero allí estaba escondido el exploit que modificaba la programación del sitio”, agrega Francisco Amato, de Infobyte Security Research.

“Se trató de un ataque XSS (Cross-site scripting). Los atacantes no ingresaron al sitio de Twitter pero pudieron introducir código en la parte pública del servidor, que es lo que todos vemos –explica Sbampato–. Pudieron vencer los filtros de Twitter e introducir ese código a través de un exploit de menos de 140 caracteres. Tuvieron que aprovechar al máximo ese breve espacio”.

 

Tres versiones

El exploit afectó sólo al servicio de Twitter en la Web y no a las aplicaciones relacionadas que corren tanto en la computadora como en los teléfonos celulares.

En rigor, se trató de tres versiones del exploit que lograron distintos efectos. Uno de ellos lograba que, con solo situar el mouse sobre cualquier mensaje, éste se retuiteara automáticamente. Otro era una especie de spam, que redirigía al usuario a un sitio pornográfico. Y el tercero cambiaba los colores de la plataforma.

Los especialistas creen que el de los colores fue el primero, y que con ese exploit los hackers estaban probando su efectividad. Y que los otros dos vinieron después, como una forma de darle visibilidad a su creación.

Los hackers suelen hacer este tipo de ataques con frecuencia con el objetivo de mostrar las vulnerabilidades de los sistemas y, eventualmente, ofrecer las soluciones. “Así funciona el mercado de las vulnerabilidades. Están probando todo el tiempo. Y acá mostraron un error en Twitter. La opinión general es que esto nació como algo inofensivo, pero luego tomó viralidad”, dice Sbampato.

Amato cree que pudo haber existido la intención de tomar computadoras para armar “redes zombies” (conocidas en la jerga como “botnets”). “Cuando el enlace te enviaba a un sitio pornográfico, en realidad podría tratarse de un sitio que explota la vulnerabilidad del navegador y toma control de tu PC. El final podría haber sido una botnet, pero no lo sabemos”, dice.

Para Sbampato problemas de este tipo van a seguir ocurriendo, a medida que los hackers consigan vulnerar el filtro de Twitter, como el de cualquier otro servicio web. “Siempre que tenés un sitio que acepta usuarios estás propenso a que esto suceda. Lo mismo con los formularios web”.

Sbampato cuenta que Twitter tomó la decisión de arreglar la cuestión sin “apagar” el sitio, y ese fue el motivo por el cual el problema demoró más de dos horas en solucionarse. “Desde el punto de vista de la seguridad, tenían que haber dado de baja el servicio. Nosotros siempre decimos, que servicio que anda mal se para. Pero en este caso, decidieron seguir adelante”.

 

Recomendaciones

Aunque sin dudas fue muy molesto para los usuarios, el ataque de hoy a Twitter no significó un peligro para la privacidad de los datos que se manejan en esa red social. Por eso, los especialistas no creen que sea necesario cambiar la contraseña de Twitter. “Aunque siempre es bueno ir cambiandola, te quedás más tranquilo”, puntualiza Sbampato.

Claudio Avin, de la Cámara Argentina de Internet (CABASE) dice que esta es una buena ocasión para que la gente recuerde que “nunca la contraseña en redes sociales y otros servicios web debe ser la misma que la que se usa en cuentas bancarias o cajeros automáticos, porque nunca estarán bien protegidas”.

Amato, por su parte, recomienda a los usuarios de Firefox que instalen el plug in No Script, que detecta y avisa cuando hay un ataque XSS.

Mientras que Sbampato aconseja darle un vistazo a la cuenta de Twitter @safety, que –dice—tiene buena información sobre seguridad y en un lenguaje accesible a las personas no especializadas. Aunque, claro, en inglés.

 

En Twitter: @RickyBraginski

Fuente: Clarín