Archivo

Posts Tagged ‘Vulnerabilidades’

Una vulnerabilidad permite eliminar fotos de Facebook

agosto 24, 2013 Los comentarios están cerrados

facebook-accountEn los últimos meses, Facebook se ha tomado en serio la seguridad de su red social, ofreciendo interesantes recompensas a los usuarios que reporten fallos de seguridad a la red social pudiendo corregirlos antes de que sean explotados por los piratas.

El último fallo reportado a la red social ha sido una vulnerabilidad crítica que permitía a cualquier usuario con conocimientos poder eliminar cualquier fotografía de la red social sin la intervención de ningún empleado de Facebook. Leer más…

Google Chrome 29 incluye 25 correcciones de seguridad

agosto 21, 2013 Deja un comentario

chrome-passwordGoogle acaba de lanzar Chrome 29. Además de las mejoras de funcionamiento, la última versión incluye 25 correcciones de seguridad.

Las correcciones fueron diseñadas para 5 vulnerabilidades de alto riesgo identificadas por Krystian Bigaj, Alex Chapman y cloudfuzzer.

Las brechas de seguridad se refieren a la desinfección incompleta de ruta en la manipulación de archivos, un desbordamiento de enteros en ANGLE, un uso después de liberación en XSLT, un uso después de liberación en un análisis de documentos y un uso después de liberación en un elemento multimedia.

Christian Jaeger ha sido acreditado para la identificación de una fuga de información de bajo impacto mediante permisos sobredimensionados en archivos de memoria compartida.

Además, Google también descubrió una amplia gama de errores relacionadas con las auditorías internas y otras iniciativas.

Los investigadores han sido recompensados con 6.174 dólares (4.600 euros) por sus descubrimientos.

Puede descargar Google Chrome desde aquí.

Fuente: softpedia

Unas 718 mil amenazas conocidas afectan a dispositivos con Android

agosto 10, 2013 Los comentarios están cerrados

Unas 718 mil amenazas conocidas afectan a dispositivos con Android

android-portadaEl número de aplicaciones maliciosas para Android asciende a 718.000, según el Informe de Amenazas de Trend Micro del segundo trimestre de 2013.

Las amenazas a la banca online también han aumentado, y afectan especialmente a Estados Unidos, Brasil, Australia y Francia.

Este estudio comprende la investigación trimestral realizada por el Equipo de Analistas de Amenazas de Trend Micro, que documenta los peligros de la ciberseguridad de cada trimestre combinado con el análisis para evaluar y anticipar los ataques emergentes.

Los dispositivos Android están en la mira de los hackers a medida que las amenazas proliferan y la base de usuarios con poca conciencia de seguridad se extiende.

En Security Roundup Report se muestra cómo el número de aplicaciones maliciosas y de alto riesgo para Android ha crecido hasta las 718.000 en el segundo trimestre del año.

El ritmo de crecimiento de estas aplicaciones maliciosas es tan grande que podría superar el millón para finales de este año, predijo Trend Micro.

El malware para PC tardó una década en acumular esta cifra.

“La naturaleza fracturada de la red Android hace muy difícil que los parches lleguen a todos los usuarios en un período de tiempo eficaz. En algunos casos, los usuarios nunca conseguirán los parches, por lo que los fabricantes dejan a sus clientes en riesgo de ataque“, apunta el vicepresidente de Tecnología y Soluciones de Trend Micro, JD Sherry, citado por la agencia Europa Press.

Fuente: yahoo noticias

Microsoft publicará 6 boletines de seguridad el próximo martes

noviembre 11, 2012 Deja un comentario
microsoftMicrosoft ha publicado un avance de los boletines de seguridad que publicará el próximo martes. Serán un total de seis boletines que solucionarán 13 vulnerabilidades. Es la primera vez que se publicarán parches oficiales para Windows 8 y Server 2012 dentro del ciclo de actualización.

Un pequeño resumen de lo que se publicará (que siguiendo su nomenclatura habitual, abarcará desde el boletín MS12-071 hasta el MS12-076): Leer más…

Paypal publicación de un grave agujero de seguridad

noviembre 9, 2012 Los comentarios están cerrados
Supuse que una empresa como Paypal iba a estar bien auditada (…) Estaba equivocado“. Es un extracto del artículo con el que Neil Smith hace público un grave fallo de seguridad, ya solucionado, en la empresa de transferencias. En él, además relata los diversos problemas por los que pasó en el proceso de reporte de bugs enmarcado en la iniciativa de Paypal, que fueron el detonante para la publicación.
Los programas de recompensa por vulnerabilidades o “bug bounty” se están imponiendo como una solución para controlar la publicación de vulnerabilidades en aplicaciones de escritorio o web. Básicamente, la empresa paga por los fallos encontrados bajo ciertas condiciones (como que sean originales o explotables remotamente) y por supuesto, que no se hagan públicos hasta que se hayan solucionado.
Aunque con ellos ambas partes se benefician en cierto modo, esta modalidad también cuenta con detractores. Argumentan que es un acto de irresponsabilidad conocer un fallo y no publicarlo, dejando expuestos a los usuarios. Sea como fuere, lo cierto es que varias grandes empresas tienen su programa: Mozilla, Google, Facebook… y desde finales de junio, Paypal, en el que se enroló Neil Smith.
Cómo descubrió la cadena de fallos
El agujero de seguridad descubierto por Smith encadena varios fallos en los sistemas de la filial de eBay. En primer lugar Shodan, un buscador de sistemas expuestos en Internet, le mostró que los servidores de staging de la “Administrative Tool” de Paypal son accesibles públicamente. “Staging” es el estado de desarrollo de sitios web inmediatamente anterior a producción. El entorno en el que se encuentran estos sistemas debe parecerse lo máximo posible al que alcanzarán en producción, y en ocasiones incluso acceden a réplicas de los datos reales. A Smith no le pareció descabellado pensar que este fuera el caso.
Las Administrative Tools de Paypal englobaban un conjunto de herramientas para vendedores que dan acceso a las transacciones realizadas (tanto pagos como ventas) para la elaboración de libros de cuentas y reconciliación financiera. Incluyen registros de transacciones, información extendida de cada una de estas, y diversas herramientas de notificación tanto para vendedores como clientes, además de información de la cuenta de Paypal. Actualmente, estas herramientas se ofrecen como productos separados dentro del apartado Reports and Information del x.commerce Paypal Development Network. Sin embargo, Smith no conocía esta información al descubrir los servidores. No sabía realmente a qué tenía acceso potencialmente.
Tras diversas pruebas en las conexiones a estos servidores, Smith pudo autenticarse en el panel de administración, utilizando para ello varios usuarios (parece que escogidos al azar). Había un simple problema de validación, que permitía eludir la autenticación a través de peticiones POST manipuladas.
Sin embargo, estas cuentas utilizadas no poseían privilegios para ver este panel. Intentando varios tipos de conexión, llegó a averiguar la dirección IP interna de la base de datos a la que se conecta el panel.
Llegado aquí, Smith no podía avanzar más. Aunque podía tener acceso a los servidores internos de las Administrative Tools, no sabía qué información se iba a encontrar allí. Y acceder directamente a la base de datos o al panel no era una solución, ya que ver datos reales de usuarios podría violar las condiciones del “bug bunty“.
Al no poder avanzar, buscó en Google el titulo de la página a la que había accedido. Para su sorpresa, había varias capturas del supuesto panel, procedentes de procesos judiciales, como la siguiente:
Misterio resuelto. Las capturas indexadas por Google revelaban lo que encontraría si avanzaba más en su investigación del panel y se conectaba directamente. Encontró una forma de comprobar la gravedad del fallo, sin violar las condiciones del “bug bunty” (sin acceder a datos reales). Se trataba de un agujero que le permitía conocer información casi completa de los usuarios de Paypal: cuentas bancarias, correos, movimientos, incluso límites de gasto en tarjetas.
Se hizo público antes de ser corregido
La segunda parte del artículo revela las dificultades que tuvo para que, primero, Paypal reconociera el fallo y posteriormente, para que le pagara por su investigación.
Con una clave pública de PGP de Paypal caducada para reportar los fallos, y tras un mes sin apenas noticias después del reporte, el departamento de seguridad de Paypal calificó su descubrimiento como “inválido. Cuando Smith les preguntó si, ya que era inválido, podía publicarlo, Paypal se apresuró a impedírselo. Al parecer el encargado de la revisión no había conseguido reproducirlo, pero se iba a recalificar y seguir estudiando. Recibiría el pago por el fallo siempre y cuando no lo publicara.
Cuando le llegó el pago, resultó que lo habían calificado como una “simple” vulnerabilidad cross-site scripting. Smith, bastante enfadado, decidió entonces hacerlo público por su cuenta a través de su blog.
Según scmagazine, el final ha sido, sin embargo, feliz. Paypal ha pagado sus deudas y ahora mismo Smith se encuentra con ellos trabajando en otros muchos problemas encontrados en estos sistemas de” staging“. Aunque no se ha hecho público si el agujero de seguridad daba acceso a toda la información de las cuentas, el investigador contó a un medio que había tenido acceso a todo tipo de datos investigando la red, pero no podía hacerlo público al tratarse de fallos que se están solucionando en este momento.
Para terminar, en palabras del propio Smith:

Have I ever come across very large amounts of customer data while combing through the PayPal QA netblock (what you are referring to: CC’s, Bank #’s, etc.)? Yes. Lots of it. Shocking amounts of it,

Lo que deja entrever que esta investigación era sólo la punta del iceberg, y que en esos servidores se podría encontrar muchos más datos. El agujero se encuentra ya solucionado, y ahora mismo no se puede acceder a la página de autenticación en esos servidores.
Más información:
PayPal Bug Bounty – a lesson in not being a fuckup.
PayPal security holes expose customer card data, personal details
Fuente: Hispasec

Los productos Microsoft ya no aparecen en el Top10 de inseguros [Kaspersky]

noviembre 9, 2012 Los comentarios están cerrados

Los productos de Microsoft ya no figuran en la lista de Kaspersky de los 10 más inseguros debido a sus vulnerabilidades. La política de actualizaciones automáticas llevada a cabo por la compañía en las últimas versiones de sus sistemas operativos están dando sus frutos.

En la lista de Kaspersky, Oracle Java ocupa el primer y segundo lugar, con advertencias de “Altamente crítico” y “Extremadamente crítico” respectivamente. Encontramos después a Adobe Flash en las posiciones tercera y cuarta. Otro producto de Adobe, Acrobat y su Reader, ocupa la quinta plaza.

La sexta y séptima posición están ocupadas por productos de Apple, QuickTime y iTunes, con vulnerabilidades calificadas como altamente críticas. La octava posición está ocupada por Winamp. Cierran la lista productos de Adobe nuevamente: Adobe Shockwave Player y el reproductor de Adobe Flash.

Hace unos años Microsoft habría terminado la lista, pero a partir del lanzamiento de Windows Vista, la compañía cambió su política con las actualizaciones automáticas. Windows 7 se basa en eso y en Windows 8 se ha dado un paso más. También es cierto que la compañía de seguridad VUPEN ha encontrado la primera vulnerabilidad 0-day en Windows 8 e Internet Explorer 10.

Destacar del informe de Kaspersky que el 28% de ataques a dispositivos móviles fueron dirigidos contra Android 2.3.6. En el tercer trimestre del año, el 56% de exploits aprovecharon vulnerabilidades de Java y, atentos: 91,9 millones de URLs sirven código maligno, con un incremento del 3% respecto del segundo trimestre.

Viendo estas cifras, dan ganas de no tener Java en el equipo, salvo que sea absolutamente imprescindible. Ya que no se puede evitar que haya por ahí personajes empeñados en amargar la vida del usuario, es muy importante disponer siempre del software más actualizado.

Fuente: Genbeta | Segu-Info

Nuevo Ataque Wireless

septiembre 28, 2012 Deja un comentario

wifi-hackingHace algunos días se descubrió una nueva técnica para atacar Redes Inalámbricas, que permite a un agente malicioso accesarlas, aunque se encuentren protegidas por mecanismos de seguridad como encriptación WEP y WPA.

Se considera de muy Alto Riesgo, porque facilita labores de Espionaje hacia Comunicaciones Empresariales en Redes marca Cisco, Belkin, Buffalo, D-Link, Linksys, Netgear, Technicolor, TP-Link y ZyXEL.

La técnica permite obtener el PIN secreto de la Red y la llave de encriptación WEP o WPA, atacando la funcionalidad WPS (Wi-Fi Protected Setup). Además, como efecto secundario, puede generar condiciones Denial of Service.

IDENTIFICANDO EMPRESAS VULNERABLES
Podemos detectar Redes vulnerables con las herramientas de Wardriving que describimos en el Curso Master Hacking. Usando Inssider, por ejemplo, la columna “Vendor” nos permite conocer rápidamente el fabricante del Access Point. Si aparece alguna de las marcas identificadas como vulnerables (en este ejemplo, “Cisco-Linksys”), es muy probable que el ataque tenga éxito:

image

 

ATAQUE
Por el momento, las únicas herramientas de ataque disponibles son Reaver y Wpscrack (ambas gratuitas, pero requieren instalarse en un sistema Linux). Al realizar pruebas, me pareció que Reaver es la más fácil de usar. El único parámetro que requiere es la dirección MAC del Access Point (que se puede obtener con Inssider, en la columna “MAC Address”).

El procedimiento de ataque es el siguiente:

1. Desactivar la tarjeta inalámbrica local en el equipo donde se va a lanzar el ataque:
ifconfig wlan0 down

2. Configurar la tarjeta en modo monitor:
iwconfig wlan0 mode monitor

3. Activar la tarjeta inalámbrica local:
ifconfig wlan0 up

4. Ejecutar el ataque:
reaver -i wlan0 -b 11:22:33:44:55:66

En la instrucción anterior, se sustituye 11:22:33:44:55:66 por la dirección MAC real del Access Point que desea atacar. La siguiente figura ilustra la prueba que realicé esta semana sobre una Red Linksys:

reaver2

Como puede observar, el ataque fue exitoso. En este caso, me tomó apenas una hora y veinte minutos obtener tanto el PIN como la contraseña encriptada WPA.

Debido a que se trata de un ataque por “Fuerza Bruta”, en ocasiones puede tomar más tiempo (se tienen reportes que puede tomar hasta diez horas, dependiendo de la Red).

Es muy importante que Audite su Red Empresarial para determinar si está en Riesgo. Pero recuerde que esta técnica puede ocasionar condiciones Denial of Service, por lo que es recomendable efectuarla en horario no laboral, para evitar afectar la Productividad de sus Empleados.

Increíblemente, desactivar WPS en el Access Point NO SOLUCIONA el problema. Varios Investigadores han reportado que los equipos de algunos fabricantes siguen vulnerables aún con WPS apagado.

Por supuesto, en Villacorp & Asociados ya incluimos Demos reales de este ataque en nuestro Curso exclusivo Master Hacking: Security Expert. También, nuestros Servicios Profesionales de Consultoría en Seguridad 2012 ya incluyen revisiones completas de infraestructuras Wireless Empresariales, así como técnicas efectivas para blindar a su Empresa contra este ataque.

 

COMENTARIOS
Las marcas de Modems inalámbricos que instala Telmex a sus clientes Empresariales y Residenciales no fueron probadas por los Investigadores que descubrieron este nuevo ataque. Sin embargo, por ser los más usados en México, Villacorp & Asociados ha realizado una Investigación Especial sobre una gran cantidad de redes Infinitum para determinar si son vulnerables.

Por la naturaleza confidencial de la Investigación, en nuestro Curso Master Hacking divulgaremos los resultados obtenidos, así como técnicas adecuadas para protegerse.

Fuente: villacorp.com

Grave vulnerabilidad sin parche en Java está siendo aprovechada por atacantes

agosto 29, 2012 Deja un comentario
Se ha descubierto una vulnerabilidad en Java para la que no existe parche, que está siendo aprovechada por atacantes y cuyo código es público. Es el peor escenario posible.
Todavía no se sabe mucho sobre la vulnerabilidad, puesto que no ha dado tiempo a realizar un estudio exhaustivo, pero lo divulgado por ahora nos sitúa en el peor escenario posible.
FireEye descubría un servidor con un .jar que aprovechaba una vulnerabilidad. Por tanto, alguien la conoce y está aprovechando el fallo. A través de un dominio de tercer nivel dinámico (aa24.net) y un servidor de correo web de una compañía china (que probablemente haya sido atacada), se está (todavía) distribuyendo malware gracias a ese fallo en Java.
A través de un índice en la carpeta “meeting” del servidor, muy ofuscado con Javascript, el malware que se está distribuyendo es este:
y

El problema afecta a la última versión de Java en su rama 7, hasta su “update 6“. No afecta a la rama 6, que todavía se mantiene pero que se encuentra en periodo de “extinción“. Funciona sobre los principales navegadores e incluso con EMET activo.

A pesar de que los investigadores que lo descubrieron no ofrecieron detalles, un tercero ha publicado una prueba de concepto para explotar el fallo, con lo que se abría la puerta a que cualquiera pudiera explotarla. El código es sencillo, limpio, funcional y fiable. Compilar y lanzar. Poco después, se ha introducido como módulo en Metasploit. Esto licencia a que cualquier atacante pueda comenzar a distribuir su propio malware (muy probablemente durante los próximos días se pueda ver en Blackhole, el kit de explotación de moda entre los atacantes). Si, como ya hemos mencionado en más de una ocasión, una máquina virtual de Java no actualizada es lo que más aprovechan los creadores de malware para distribuir sus muestras, esta vulnerabilidad permite “abrir el mercado” también entre los actualizados.
Extracto del código del .Jar
En ausencia de un parche eficaz, no existe una forma sencilla de mitigar el problema. Lo más recomendable es deshabilitar Java del navegador. No se sabe cuándo solucionará Oracle el problema. Su ciclo cuatrimestral de actualizaciones, sugiere que hasta el 16 de octubre puede que no parcheen el gravísimo problema. Desde luego, Oracle no suele publicar parches fuera de ciclo. En contadas ocasiones lo ha hecho con su base de datos, su producto estrella. Pero menos aún con Java desde que le pertenece.
En abril de 2010 Tavis Ormandy y Rubén Santamarta descubrieron un grave fallo de seguridad en JRE. A Ormandy le dijeron desde Oracle que no lo consideraban tan grave como para publicar nada antes del periodo establecido. Una semana después, publicaban un parche fuera de ciclo (Java 6 Update 20), que no acreditaba la corrección de la vulnerabilidad. Tuvieron que comprobar que, simplemente, el fallo dejaba de darse, pero no había confirmación oficial.
Hace algunas semanas escribíamos en una-al-día, un titular que (obviamente tomándonos ciertas licencias) afirmaba “Si no actualizas Java, estás infectado“. Pretendía llamar la atención sobre el hecho de que una enorme parte de los atacantes estaban aprovechando de forma masiva fallos muy recientes en Java y que la manera más eficaz de defenderse era actualizar. Lo estamos viviendo día a día en el laboratorio. Ahora podemos añadir que, incluso si se está actualizado y con medidas extra de seguridad como EMET, se corre el riesgo de que un atacante ejecute código en el sistema.
Más información:
Zero-Day Season is Not Over Yet
Java 7 0-Day vulnerability information and mitigation.
Java Deployment Toolkit Performs Insufficient Validation of Parameters
[0DAY] JAVA Web Start Arbitrary command-line injection – “-XXaltjvm” arbitrary dll loading
Sun About Face: Out-of-Cycle Java Update Patches Critical Flaw
Sergio de los Santos
Twitter: @ssantosv
Fuente: Hispasec

Sistema operativo de misión crítica Rugged vulnerable

agosto 29, 2012 Deja un comentario

El Departamento de Seguridad Nacional estadounidense ha lanzado una alerta tras el descubrimiento de Justin W. Clarke, un investigador de seguridad, de una grave vulnerabilidad en el sistema operativo Rugged OS utilizado en dispositivos de redes de misión crítica de la compañía canadiense RuggedCom.

La vulnerabilidad consiste en la identificación en Rugged OS de la clave privada RSA para la comunicación SSL entre un cliente y un dispositivo RuggedCom. Esta clave privada permitiría a un atacante interceptar el tráfico de red y acceder a los dispositivos. Dispositivos que no son cualquiera ya que están destinados a una amplia gama de infraestructuras críticas, incluidas líneas de ferrocarril, sistemas de control de tráfico, subestaciones eléctricas o instalaciones militares.

Es la segunda vez en cuatro meses que se descubren vulnerabilidades en estos sistemas y en abril, el mismo investigador descubrió una puerta trasera en el sistema operativo de Rugged que permitía acceder a los dispositivos con un nombre de usuario tan simple como ‘factory’ y una contraseña fácilmente revelada escribiendo únicamente la dirección MAC del equipo en cuestión en un script simple en Perl.

El investigador había descubierto una gravísima vulnerabilidad en el hardware-software de la compañía canadiense RuggedCom, que gestiona una amplia gama de infraestructuras críticas, incluidas líneas de ferrocarril, sistemas de control de tráfico, subestaciones eléctricas o instalaciones militares.

Fuente: Muy Seguridad I, II

Segu-Info

Es posible obtener el PasswordHint de Windows #Metasploit

agosto 29, 2012 Deja un comentario

El investigador Jonathan Claudius de SpiderLabs ha descubierto una vulnerabilidad en los sistemas operativos cliente de Microsoft Windows 8 y Windows 7 que facilita la obtención de la contraseña de administrador para inicios de sesión y control del sistema.

El investigador explica que la vulnerabilidad reside en la función ‘indicio’ o ‘sugerencia’ de contraseñas, útil para el usuario si olvida la contraseña pero también para un atacante.

Estas sugerencias de contraseñas de Windows XP, 7 y 8 se almacenan en el registro del sistema operativo y aunque están en un formato cifrado parece que se pueden convertir fácilmente en un formato legible:

HKLM\SAM\SAM\Domains\Account\Users\\UserPasswordHint

El investigador ha escrito un script que automatiza el ataque y lo ha publicado en Metasploit (clic para agrandar).

Si normalmente para romper las contraseñas de inicio de sesión de Windows se necesita acceso físico al equipo, este tipo de exploit (combinado con otras herramientas) permitiría acceder remotamente a estas ‘sugerencias’ de contraseñas y tras obtenerla inicios de sesión remoto.

La recomendación (hasta que Microsoft confirme y parchee en su caso la vulnerabilidad) sería dejar en blanco la sugerencia de contraseña. No hace falta recordar que 2012 es el año de robo de contraseñas y por ello obligatorio contar con una contraseña robusta.

Fuente: Muy Seguridad Segu-Info