26/11/2014

Actualizacióon crítica de Flash Player (Parchea!)


Adobe ha lanzado una actualización urgente fuera de ciclo para una vulnerabilidad crítica de ejecución remota de código en su popular reproductor Flash Player. La vulnerabilidad está siendo actualmente explotada in-the-wild.

La vulnerabilidad crítica (CVE 2014-8439) en Flash Player para Windows, Mac y Linux fue mitigada originalmente hace más de un mes en la versión del 14 de octubre de 2014, pero un investigador francés de Kafeine encontró un exploit activo en los Angler Exploit Kit y Nuclear Exploit Kit después de que Adobe publicara el parche.

Según F-Secure, a vulnerabilidad permite a un atacante ejecutar código arbitrario debido a una debilidad en la forma en que se maneja un puntero sin referencia a memoria. Un atacante podría crear un archivo Flash especialmente diseñado para activar la vulnerabilidad, que conduciría a la ejecución del código del atacante con el fin de tomar el control del sistema de la víctima.

En su boletín APSB14-26, Adobe clasificó la vulnerabilidad como crítica y por eso recomendados actualizar a la brevedad a Flash versión 15.0.0.239 en sistemas Windows, Mac OS X y Linux... o bien dejar de utilizar Flash Player.

Microsoft lanzará pronto actualizaciones de seguridad para Internet Explorer 10 y 11 y Google hará lo mismo para que Chrome. Para conocer su versión de Flash Player actual, visite esta página.

Cristian de la Redacción de Segu-Info

Shuabang botnet: BlackHat App Store Optimization (BlackASO) en Google Play

ElevenPaths ha detectado apps maliciosas alojadas en Google Play (que ya han sido retiradas por la propia Google), destinadas en un principio posiblemente al Shuabang, o BlackASO (Black Hat App Store Optimization). Las apps maliciosas vinculaban cuentas falsas con el dispositivo real de la víctima, consiguiendo así cuentas muy creíbles. Con estas cuentas, el atacante enviaba tareas a las víctimas para que descargasen nuevas aplicaciones (aunque no se hacían efectivas en el dispositivo de la víctima). La cuenta del usuario permanece a salvo, no así sus datos personales sobre el teléfono. Describimos en el siguiente informe los detalles del curioso ataque.

Shuabang

El Shuabang o BlackASO (Black Hat App Store Optimization) es toda una industria en China, y desarrolla su actividad desde hace años. El objetivo del Shuabang es crear una infraestructura que permita valorar o inflar artificialmente las descargas de apps para posicionar mejor los programas en los mercados. La infraestructura precisa fundamentalmente cuentas de Google o iOS con las que falsear las acciones, de manera que parezcan que provienen de usuarios reales. Este "servicio" de posicionamiento se suele vender a terceros. En general, empresas que dicen dedicarse a mejorar el posicionamiento pero que se "abstraen" de los métodos empleados para conseguirlo.
Para realizar este fraude, el atacante necesita principalmente cuentas de Google activas, asociadas a dispositivos reales, y que no parezcan sospechosas para Google, pues de lo contrario las eliminará rápidamente. Para ello, utilizan diferentes técnicas. La más habitual es la contratación manual de usuarios, que crearán cuentas en el market y valorarán las apps que se les pida. Con estas apps maliciosas, sin embargo, han ideado un sistema por el que, a partir de un conjunto de cuentas falsas, las distribuye y asocia a diferentes dispositivos, de forma que se reaprovecha y automatiza al máximo el número de teléfonos distintos asociados a una cuenta.

Además, permite enviar tareas a los dispositivos para que, bajo las cuentas falsas, simulen la descarga de apps y así las posicionen más alto en los mercados. Estas apps detectadas para realizar Shuabang tienen un potencial por encima de la media, puesto que demuestran un profundo conocimiento del funcionamiento concreto de los protocolos de autenticación con Google. Antes de entrar en detalle, veamos cómo funcionan las cuentas en Google.

Un informe completo de la amenaza en formato PDF está disponible desde esta dirección [PDF]

Contenido completo en fuente original ElevenPath

Cómo proteger las cámaras IP hogareñas

Aunque el espionaje a través de las webcams es un asunto conocido y repetido desde hace años, la publicación por una página web rusa de grabaciones y transmisiones de miles de cámaras IP, de circuitos de vigilancia comerciales, de instalaciones caseras o de webcams instaladas en equipos informáticos, ha tenido amplia repercusión mediática tras la alerta por parte de las autoridades británicas de telecomunicaciones y protección de datos.
Las transmisiones y grabaciones alcanzan al mercado corporativo, locales comerciales de todo tipo o cajeros automáticos y cajas registradoras y también al mercado de consumo, dormitorios privados y estancias de bebés, entre otros.

Podríamos pensar que esta invasión a la privacidad se ha producido por un exploit programado aprovechando una vulnerabilidad en el firmware de los equipos, el software de control o como el que vimos por un error de Flash Player en Chrome, pero nada más lejos de la realidad.

Simplemente estaban al alcance de cualquiera ya que eran equipos cuya contraseña de acceso no había sido modificada y conservaban los valores por defecto que implementan los fabricantes y que son ampliamente conocidos en Internet. En otros casos, incluso, estaban totalmente abiertas sin autenticación de ningún tipo.

Modelos de Panasonic, Foscam o Linksys se encuentran entre los dispositivos vulnerables aunque esto es solo la punta del iceberg y la responsabilidad se extiende a la industria en general y no solo a los fabricantes de cámaras IP o webcams porque el -mal- hábito de poner el mismo usuario y contraseña por defecto es extensible a routers, smart tv y otros productos electrónicos conectados.

La actualización del firmware y del último software del fabricante es otra de las medidas a realizar por el usuario, cuidando en extremo, la instalación de software adicional de terceros. Bloquear el acceso remoto y apagar cámaras IP y webcams cuando no sean utilizadas es otra medida recomendable a realizar por el usuario.

Consejos

  • Desconectar el acceso remoto de la cámara siempre que no lo necesiten.
  • Actualizar el firmware de la cámara
  • Asegurarse de que se ha cambiado la contraseña que la cámara trae por defecto por uno "más solida" y fácil de recordar. "Incluso mejor, usar una frase como contraseña, como por ejemplo 84LoveEatingPizzaWatchingFootball!".
  • Cerciorarse de que se han aplicado y se están utilizando todos los ajustes para seguridad que provee el fabricante.
  • Instalar una VPN y conectarse a la misma antes de a la cámara web.
Es imposible asegurar al 100% un dispositivo conectado pero no lo pongamos tan fácil. La forma real de asegurarlas en realizar una conexión VPN hacia el hogar y desde allí conectarse a la cámara web.

Fuente: BBC y Muy Seguridad

Posible fuga de datos masiva en Sony Pictures Entertainment

En las últimas horas se ha conocido, a falta de confirmación oficial, que Sony Pictures, la división de cine de Sony, habría sufrido una intrusión en su red interna que habría obligado a sus empleados a desconectar los equipos e incluso detener la actividad laboral.
Aunque ya han pasado 3 años desde la guerra que mantuvo Sony con Geohot, Lulzsec y centenares de anonymous, parece que le siguen apareciendo cadáveres en los armarios. En este caso, uno realmente grande, ya que según informó "el amigo de un empleado" de la compañía, los trabajadores veían una imagen en pantalla con una terrible amenaza.

Tras ello, los empleados recibieron instrucciones para apagar los ordenadores, no acceder a las redes corporativas ni al correo electrónico, así como desactivar las redes Wi-Fi en todos los dispositivos móviles. A muchos de ellos les ordenaron que se fueran a casa. Los atacantes habrían tomado el control de algunas de las cuentas de Twitter de Sony Pictures, aunque ya habrían sido recuperadas por la compañía.

Mediante una nota en Reddit se da a conocer lo que parece una escandalosa intrusión en la compañía Sony Pictures Entertainment realizada por un grupo autodenominado #GOP o "Guardians of Peace" y en la que reclaman que se cumplan sus requisitos o publicarán sus secretos. Como prueba, publican dos ficheros, "list1.txt" y "list2.txt", con la información que han robado.

Aun no se conocen muchos más detalles, salvo que a los empleados se les ha solicitado apagar sus equipos, desactivar la wifi de sus móviles y, a algunos de ellos, volver a casa.

Según el aviso GOP o Guardians of Peace (Guardianes de la paz), como se autodenominan el grupo de atacantes detrás de la intrusión. Han dejado un archivo ZIP de más de 200 megas que incluyen dos listas con detalles del nombre de archivos que habrían sido borrados, dos archivos en formato texto de cerca de un Giga de tamaño entre los dos.

Si el listado de ficheros es real (y lo parece), Sony Pictures tendrá un problema muy muy serio, ya que contiene miles de archivos que, por el nombre, parecen muy comprometedores. Personalmente me parece imposible que esta cantidad de información vea la luz, si lo hace, seguro que supone el cierre de la compañía.

También se ha visto en Twitter alguna cuenta hackeada.

Como decía, en los listados de archivos hay cosas muy interesantes y ahora voy a poner unos cuantos ejemplos que me han llamado la atención. A tener en cuenta que en total hay más de 37.937.159 de ficheros y que muchos de ellos llevan el día, mes y el año en el título, por lo que parece que son realmente actuales, por ejemplo:
list2.txt:LBL_2014-11-27_LBL BLACK FRIDAY PROMO_v1.xlsb
list1.txt:Bill Backup 2014-11-01.xls
list1.txt:Closer - Icarus Prods tolling 2014-11-20.pdf

Como sé que os gustan los detalles y aquí no estamos para repetir lo que se lee en todas partes, vamos a ver un poco de sangre.

Sony y su preocupación por la piratería (pequeño ejemplo):
list1.txt:Netflix Is Killing BitTorrent in The US _ TorrentFreak.pdf
list1.txt:Torrent Spy Damages List.xls
list1.txt:Article- Hollywood Studios Fuming Over BitTorrent, Cinedigm 'Deal With the Devil'-TheWrap-4-24-13.doc
list1.txt:Article-File-Sharers Will Not Be Held Liable For Piracy, Russia Says-Torrentfreak-4-8-13.doc
list1.txt:Article- Operator of Germany's Torrent.to Gets Prison Sentence Amid Piracy Crackdown-THR-5-6-13.doc
list1.txt:Article-France Set To Dump 3 Strikes Anti-Piracy Law But Automated Fines Will Live On-TorrentFreak-5-14-13.doc
list1.txt:MASTER TORRENT STATS SHEET_021712.xlsx

Las listas contienen los archivos supuestamente robados de los ordenadores de la red de Sony. Uno de los archivos contiene más de 18 millones de entradas y otro con más de 19 millones. Casi 38 millones de archivos en total, que incluyen hojas de cálculo, documentos (doc y pdf), archivos de texto, contraseñas, bases de datos, imágenes, claves privadas, etc…

Según el grupo estas listas contendrían todos los archivos sustraídos. La lista es real, puede ser descargada por cualquiera. Si se confirma, será mucho material robado, una cantidad masiva de datos y documentación sensible que perjudicaría seriamente a Sony. Hasta el momento no hay ninguna comunicación oficial por parte de la compañía. Por otra parte, tampoco han faltado voces que dudan sobre la realidad del ataque. Seguramente en los próximos días habrá más información sobre el transcurso de las investigaciones.

Fuente: Hispasec y SbD

25/11/2014

86% de los Wordpress vulnerables a ataques masivos (Parchea!)

La empresa finlandesa Klikky Oy ha descubierto un error en WordPress 3.X (3.0 a 3.9.2) que se están utilizando para lanzar una gran variedad de ataques basadas en scripts maliciosos.
Basado en estadísticas sobre el uso actual de WordPress, la vulnerabilidad podría afectar hasta un 86% por ciento de los sitios basados en WordPress (aproximadamente 10 millones de sitios).

La vulnerabilidad, descubierta por Jouko Pynnonen, permite a un atacante crear un comentario en un blog e incluir código JavaScript persistente y malicioso en él. En los sitios que permiten comentarios sin autenticación -ajuste predeterminado de WordPress- esto permite a cualquiera dejar scripts maliciosos en los comentarios.

La vulnerabilidad se encuentra en la forma en que se evalúan las regular expression de los tags HTML/JS admitidos en los comentarios HTML/JS en wp-includes/formatting.php.


Klikky Oy desarrolló una prueba de concepto del ataque y fue capaz de secuestrar la sesión del administrador de un sitio cualquiera de WordPress, crear una nueva cuenta administrativa, cambiar la contraseña administrativa actual y ejecutar código malicioso PHP en el servidor. Eso significa que un atacante podría bloquear el administrador existente del sitio y secuestrar la instalación de WordPress con fines maliciosos.

La versión actual de WordPress 4.x, lanzada en septiembre, no es vulnerable al ataque.¡Actualiza!

Cristian de la Redacción de Segu-Info

Regin: APT de espionaje en Rusia y Arabia Saudí

Symantec ha revelado un nuevo programa de espionaje informático muy sofisticado que ha estado infiltrado en ordenadores de Arabia Saudí, Rusia y otros países por lo menos desde 2008. Bautizado como Regin, este sypware ha provocado numerosas infecciones entre los años 2008 y 2011, tras lo cual se retiró. Una nueva versión reapareció en 2013 desplegando capacidades diferentes para distintos objetivos.
La compañía de seguridad ha especificado que los desarrolladores de Regin han hecho un gran esfuerzo porque el programa sea muy poco visible, permitiendo que se utilizara en campañas de espionaje duran varios años. Lo ha conseguido a través de varias características ocultas, incluyendo capacidades antiforenses, un sistema de archivos virtual cifrado hecho a medida y otras funciones de cifrado.

Tal y como explican en The Wall Street Jornal, el spyware se ha dirigido a empresas privadas, entidades gubernamentales, institutos de investigación y empresas de telecomunicaciones. Estas últimas fueron el blanco de una forma diseñada para acceder a llamadas a través de su infraestructura. La mayoría de las personas y organizaciones afectadas estaban en Rusia y Arabia Saudí.

Por su complejidad y forma, este software es similar al virus informático Stuxnet, que ex funcionarios estadounidenses han declarado que fue creado por Estados Unidos para atacar las instalaciones nucleares de Irán.

Fuente: Muy Seguridad

PayPal tardó 18 meses en corregir una vulnerabilidad de ejecución de código remota

La vulnerabilidad de ejecución de código arbitrario había sido reportada hace 18 meses por Benjamin Kunz Mejri y afectaba a la API y al sitio oficial PayPal.

La explotación exitosa de la vulnerabilidad permitía ejecutar código arbitrario y no autorizado para inyectar una Shell mediante el método POST, solicitar la descarga de un path/archivo no autorizado y comprometer la aplicación o los componentes del sitio.

Esa vulnerabilidad se encontraba en el portal de la API de desarrolladores pero Kunz Mejr también encontró otras vulnerabilidades y parámetros vulnerables. Los atacantes, con una cuenta de usuario válida, podrían subir scripts y ejecutar código remotamente para acceder a las configuraciones y a los archivos de servidor web. Mejr publicó una PoC que mediante un POST a la API de Paypal, podía inyectar código.
La vulnerabilidad fue notificada el 23 de abril de 2013 y solucionada el 25 de octubre pasado (18 meses después) y Mejr fue recompensando a través del programa de recompensas de eBay.

Fuente: The Register

PoC para MS14-064 que permite la ejecución remota de código en IE (no parcheados)

Si sois de este mundillo seguro que tenéis presente que hace muy poco Microsoft publicó un parche de seguridad para solucionar una vulnerabilidad presente en Internet Explorer 3.0, es decir hace 19 años, y que se ha ido heredando por todas las versiones posteriores de este navegador hasta que el 11 de noviembre de 2014 se publicó el boletín MS14-064 que la solucionaba.

Catalogada como CVE-2014-6332 tiene una puntuación de 9,3 sobre 10 en el CVSS (Common Vulnerability Scoring System), permite la ejecución de código remoto sin autorización del usuario y es incluso capaz de evadir el sandbox EPM (Enhanced Protected Mode) en IE11 y las protecciones de EMET.

El bug es causado por el incorrecto manejo del motor de VBScript del navegador al redimensionar arrays. VBScript.dll contiene un método de evaluación en tiempo de ejecución que mediante OleAut32.dll llama a la función SafeArrayRedim() para cambiar el tamaño del array. Sin embargo, si se produce un error, el tamaño no se resetea antes de regresar a la función de llamada, VBScript!CScriptRuntime::Run()

En VBScript, la explotación de este bug podría haberse evitado quitando el "On Error Resume Next" del código cuando la biblioteca OLEAUT32 devuelve un error. Como no es así es posible provocar un desbordamiento.

Además, ésto puede explotarse fácilmente gracias al denominado "Godmode", un flag que permite al navegador ejecutar VBScript sin restricciones como si fuera un Shell Local por lo que no es necesario preparar un Payload y protecciones como DEP, ASLR y CFI no son aplicables.

Pues bien, recientemente el investigador chino Yuange1975 ha publicado una PoC que permite escribir fácilmente código VBScript para comprometer equipos no parcheados. Aquí puede verse el código para probarlo, si bien un buen antivirus/malware debería detectarlo.
Forsec también ha publicado el exploit correspondiente para Metasploit (ms14_064_ie_olerce.rb).

Fuente: Hackplayers

24/11/2014

Siete enlaces para saber que sabe Google de tí

Seguro te ha pasado que buscaste accesorios para tu bicicleta, y luego de un rato, misteriosamente aparece una publicidad relacionada a bicicletas dentro del sitio que visitas.

Esto tiene una lógica y es bastante evidente: toda acción que realizas en Internet queda registrada en las máquinas de Google, una empresa que administra gran parte de los servicios que utilizas a diario.

Hacia dónde te mueves, tus rutas, tus intereses, tus gustos y mucho más. A continuación te dejamos siete enlaces que te mostrarán cuáles son las cosas que Google sabe sobre ti, para qué las usa y cómo puedes tomar control de ellas:

1. Panel de Administración General

Este panel permite administrar todas las cuentas de Google, sus servicios, aplicaciones y dispositivos. Es el centro neurálgico de todas las operaciones realizadas por el usuario en Google. Ingresa desde https://www.google.com/settings/dashboard

2. Cuánto te conoce Google (Anuncios)

Tengas o no una cuenta en Google Plus, la empresa tiene un perfil básico que auna tus conductas de navegación en Internet: sabe qué edad tienes, cuál es tu género y algunos de tus gustos, en función de las búsquedas que realizas a diario en el buscador.

Esa información usualmente es utilizada para mostrarte publicidad y anuncios personalizados mientras navegas en distintos sitios: ¿qué es lo que exactamente saben sobre ti? Ingresa a https://www.google.com/ads/preferences/

3. Dónde te mueves

Si no lo sabías, quizá esto te sorprenda: Google conoce también cada paso que has dado, literalmente. Si utilizas Android, a través de tu dispositivo móvil, Google ha "trackeado" tus trayectos que realizas día a día. ¿Cómo ver qué lugares has recorrido? Ingresa a https://maps.google.com/locationhistory

4. Archivo de búsqueda

El buscador más importante del mundo no podía no tener esta opción: cada búsqueda que has realizado y cada click que has hecho en sus anuncios. Para revisar tu registro ingresa a https://history.google.com

5.Dispositivos que se han logueado a tu cuenta

Si sospechas que alguien ha estado usando tu cuenta, Google lleva el registrado de los dispositivos en los que tienes conectada tu cuenta. Así, a través de la dirección IP, podrías localizar qué equipo y desde dónde se está iniciando sesión: https://security.google.com/settings/security/activity

6. Qué aplicaciones pueden ver tus datos

Google tiene la opción para desplegarte en una lista todas las aplicaciones que utilizan tu cuenta de correo electrónico como acceso. De esta manera, puedes regular quiénes y cuánto pueden ver de tus datos personales: https://security.google.com/settings/security/permissions
Además desde aquí también se pueden ver las aplicaciones conectadas a tu cuenta y revocar cualquier tipo de acceso extraño o antiguo: https://security.google.com/settings/security/apppasswords

7. Exportar tus datos

Finalmente, Google te permite bajar tus datos e información consolidada. Dígase: marcadores de Chrome, e-mails, contactos, archivos de Google Drive, tu información de perfil, tus videos subidos a YouTube, fotos y más: https://www.google.com/takeout

Fuente: 24Horas y WSJ

Análisis de Vulnerabilidades Web y los falsos positivos

En el Análisis de Vulnerabilidades es muy frecuente que se realicen varios test/scanner con diferentes herramientas para llevar a cabo una eliminación de falsos positivos (especialmente durante Auditorias de Seguridad a aplicación WEB). Una vez tienes el resultado, se verifican manualmente los resultados con objeto de ofrecer un informe con el mínimo número de falsos positivos posibles.

En un CSIRT (Computer Security Incident Response Team), una de sus funciones es el descubrimiento y análisis de vulnerabilidades; Fue durante un análisis rutinario donde ocurrio algo curioso que paso a comentar a continuación.

Durante la revisión manual de un análisis de vulnerabilidades a una página WEB encontré discrepancia entre varias herramientas, en particular entre el resultado obtenido con w3af y Vega, donde una herramienta (VEGA) informaba de una posible vulnerabilidad XSS, mientras que otra ni si quiera lo mencionaba.

En la verificación manual, el típico [script]alert(1);[/script], tampoco mostraba ninguna constancia de la existencia de dicha vulnerabilidad XSS, probando algunas de las variantes, encontré al final una sentencia que confirmaría la existencia de la vulnerabilidad:

Fue entonces, cuando decidí buscar información sobre la precisión que tenia la herramienta w3af en el análisis de vulnerabilidades y encontré un proyecto Open Source (WAVSEP) que se encarga precisamente de evaluar herramientas de seguridad, aplicando varias pruebas sobre entornos vulnerables.
El ultimo informe WAVSEP 2013/2014, se analizan múltiples herramientas de seguridad tanto comerciales como open source; y si accedéis a la página web con el brenchmark (score board), encontrareis un completo análisis de cada herramienta con la precisión, falsos positivos, etc ordenado por tipo de ataque (XSS, SQLi, ..).

Curiosamente, w3af no sale muy bien parado en éste análisis, y si además, puedo confirmar que no detecto una vulnerabilidad del tipo XSS, lo que me lleva a descartar la herramienta y buscar otra que sea open source. En la puntuación del benchmark, VEGA (la herramienta que había utilizado y que ha detectado dicha vulnerabilidad XSS), obtiene muy buen resultado (0% falsos positivos en XSS Reflected), si a esto le unimos que w3af obtenía también algunos otros falsos positivos.

Fue el momento de examinar con algo de más detenimiento el benchmark y encontré Wapiti, una herramienta de línea de comando escrita en python, múltiples formatos de salida y que además obtiene mejor puntuación en el brechmark que w3af.

Realice un test de la herramienta en la misma página web, ejecutando solamente el motor de XSS, y lo detecto a la primera. Además la herramienta tiene un modulo de detección de XSS persistentes, lo que lo hace aún más interesante.

Fuente: Seguridad para todos