lunes, 29 de noviembre de 2010
0 day: Elevación de privilegios en Microsoft Windows
12:44 | 
Publicado por
Tony Orozco |
Se ha públicado un nuevo 0 day en Microsoft Windows que permite a un usuario local obtener privilegios de SYSTEM (control total sobre el sistema) eludiendo cualquier control de usuario.
Los detalles técnicos se han hecho públicos, así como el código fuente y el programa necesarios para aprovechar el fallo. El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa ciertos valores del registro. En concreto, el exploit manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.
Esto quiere decir que el atacante debe crear una clave en el registro donde un usuario no administrador tiene privilegios para hacerlo. Luego intenta leerla, provoca el fallo en el driver y obtiene los privilegios.
La prueba de concepto utiliza esta clave:
HKEY_USERS\[SID DEL USUARIO]\EUDC
La prueba de concepto funciona perfectamente en Windows Vista, 7 y 2008 totalmente parcheados. Tanto si el usuario pertenece al grupo de usuarios como al de administradores (incluso con la protección UAC activa), se obtendrán privilegios sin ningún tipo de advertencia por parte de Windows y por supuesto, sin necesidad de conocer la contraseña.
En Windows XP, la prueba de concepto no funciona (no existe por defecto esa rama del registro) pero es posible que la vulnerabilidad también le afecte. La prueba de concepto no es detectada por ningún motor en estos momentos:
VirusTotal - Free Online Virus, Malware and URL Scanner
Para que este fallo fuese aprovechado por un atacante o malware, primero debería acceder al sistema por cualquier otro medio y encontrarse con que no puede realizar los cambios que desea a causa de los permisos. Realmente, este no suele ser un impedimento para el malware masivo (puesto que el usuario medio suele o bien obviar el UAC o bien deshabilitarlo o bien en XP pertenecer al grupo de administradores). Sí que es posible que este fallo sea usado en ataques dirigidos o entornos profesionales, donde los usuarios de escritorio suelen tener privilegios limitados en el dominio.
Con este fallo, ya son dos problemas de elevación de privilegios que Microsoft debe arreglar. El fallo anterior fue descubierto en el cuerpo del famoso troyano Stuxnet. A través del programador de tareas, el
malware era capaz de elevar privilegios en el equipo infectado. Hace algunos días los detalles de esta vulnerabilidad también se hicieron públicos.
El equipo de seguridad de Microsoft ha declarado en su twitter que está investigando el asunto. Un método para prevenir el problema hasta que exista parche oficial es limitar los permisos del usuario en la rama
HKEY_USERS\[SID DEL USUARIO]\EUDC
En el registro, se debe negar el permiso de escritura a los usuarios no administradores. Gráficamente, es sencillo (localizar el SID del usuario, botón derecho sobre la rama del registro y denegar).
Para automatizar el proceso, aconsejamos (aunque puede tener efectos secundarios, hágalo bajo su responsabilidad) utilizar subinacl.exe, una herramienta oficial de Microsoft descargable desde:
Download details: SubInACL (SubInACL.exe)
Una vez instalada, localizar el SID del usuario (normalmente terminará en 1000) y el nombre de máquina y usuario con el comando:
whoami /user:
INFORMACIÓN DE USUARIO
----------------------
Nombre de usuario SID
==============================================
ordenador\usuario S-1-5-21-123456789-12345677889-123445678990-1000
y ejecutar:
subinacl.exe /subkeyreg "HKEY_USERS\ S-1-5-21-123456789-12345677889-123445678990-1000\EUDC /deny= ordenador\usuario=w
Esto evitará que el usuario pueda escribir en esa rama y por tanto la prueba de concepto no funcionará. Repetir para el resto de usuarios en el equipo si los hubiera.
Más información:
POC:
http://www.exploit-db.com/sploits/uacpoc.zip
We 're investigating public PoC for a local EoP vuln requiring an account on the target system
Security Response (msftsecresponse) on Twitter
Los detalles técnicos se han hecho públicos, así como el código fuente y el programa necesarios para aprovechar el fallo. El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa ciertos valores del registro. En concreto, el exploit manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.
Esto quiere decir que el atacante debe crear una clave en el registro donde un usuario no administrador tiene privilegios para hacerlo. Luego intenta leerla, provoca el fallo en el driver y obtiene los privilegios.
La prueba de concepto utiliza esta clave:
HKEY_USERS\[SID DEL USUARIO]\EUDC
La prueba de concepto funciona perfectamente en Windows Vista, 7 y 2008 totalmente parcheados. Tanto si el usuario pertenece al grupo de usuarios como al de administradores (incluso con la protección UAC activa), se obtendrán privilegios sin ningún tipo de advertencia por parte de Windows y por supuesto, sin necesidad de conocer la contraseña.
En Windows XP, la prueba de concepto no funciona (no existe por defecto esa rama del registro) pero es posible que la vulnerabilidad también le afecte. La prueba de concepto no es detectada por ningún motor en estos momentos:
VirusTotal - Free Online Virus, Malware and URL Scanner
Para que este fallo fuese aprovechado por un atacante o malware, primero debería acceder al sistema por cualquier otro medio y encontrarse con que no puede realizar los cambios que desea a causa de los permisos. Realmente, este no suele ser un impedimento para el malware masivo (puesto que el usuario medio suele o bien obviar el UAC o bien deshabilitarlo o bien en XP pertenecer al grupo de administradores). Sí que es posible que este fallo sea usado en ataques dirigidos o entornos profesionales, donde los usuarios de escritorio suelen tener privilegios limitados en el dominio.
Con este fallo, ya son dos problemas de elevación de privilegios que Microsoft debe arreglar. El fallo anterior fue descubierto en el cuerpo del famoso troyano Stuxnet. A través del programador de tareas, el
malware era capaz de elevar privilegios en el equipo infectado. Hace algunos días los detalles de esta vulnerabilidad también se hicieron públicos.
El equipo de seguridad de Microsoft ha declarado en su twitter que está investigando el asunto. Un método para prevenir el problema hasta que exista parche oficial es limitar los permisos del usuario en la rama
HKEY_USERS\[SID DEL USUARIO]\EUDC
En el registro, se debe negar el permiso de escritura a los usuarios no administradores. Gráficamente, es sencillo (localizar el SID del usuario, botón derecho sobre la rama del registro y denegar).
Para automatizar el proceso, aconsejamos (aunque puede tener efectos secundarios, hágalo bajo su responsabilidad) utilizar subinacl.exe, una herramienta oficial de Microsoft descargable desde:
Download details: SubInACL (SubInACL.exe)
Una vez instalada, localizar el SID del usuario (normalmente terminará en 1000) y el nombre de máquina y usuario con el comando:
whoami /user:
INFORMACIÓN DE USUARIO
----------------------
Nombre de usuario SID
==============================================
ordenador\usuario S-1-5-21-123456789-12345677889-123445678990-1000
y ejecutar:
subinacl.exe /subkeyreg "HKEY_USERS\ S-1-5-21-123456789-12345677889-123445678990-1000\EUDC /deny= ordenador\usuario=w
Esto evitará que el usuario pueda escribir en esa rama y por tanto la prueba de concepto no funcionará. Repetir para el resto de usuarios en el equipo si los hubiera.
Más información:
POC:
http://www.exploit-db.com/sploits/uacpoc.zip
We 're investigating public PoC for a local EoP vuln requiring an account on the target system
Security Response (msftsecresponse) on Twitter
Etiquetas:
Se han anunciado dos vulnerabilidades en Wireshark versiones 1.4.0 a 1.4.1 y 1.2.0 a 1.2.12.
Se han anunciado dos vulnerabilidades en Wireshark versiones 1.4.0 a 1.4.1 y 1.2.0 a 1.2.12.
Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.
El primero de los problemas, reside en un desbordamiento de búfer en el disector LDSS al procesar líneas de resumen de gran longitud, un atacante podría aprovechar este problema para ejecutar código arbitrario. La segunda vulnerabilidad es una denegación de servicio debida a un bucle infinito en el disector ZigBee ZCL.
Se recomienda actualizar a Wireshark 1.4.2 o 1.2.13 desde:
Wireshark Download
Más información:
LDSS vulnerability in Wireshark® version 1.2.0
Wireshark wnpa-sec-2010-13
LDSS and ZigBee ZCL vulnerabilities in Wireshark® version 1.4.0
Wireshark wnpa-sec-2010-14
lunes, 15 de noviembre de 2010
0-day en el navegador Mozilla Firefox explotado activamente
Se ha detectado la explotación activa de una vulnerabilidad desconocida que afecta al navegador Mozilla Firefox en las versiones 3.5 y 3.6.
El 0-day fue descubierto por el equipo de Trend-Micro, el cual informó que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denominado "JS_NINDYA.A", con objeto de propagar malware.
El script determina si va a explotar o no la vulnerabilidad a través de la lectura del campo User-agent, del cual extrae la información sobre el navegador y versión, además del sistema operativo. En caso de explotarla
exitosamente procede a descargar el troyano BKDR_NINDYA.A al ordenador de la víctima.
Dicho script explota la mencionada vulnerabilidad y aunque afecta al navegador Firefox en las versiones 3.5 y 3.6, tan solo intenta su explotación en la versión 3.6 sobre Windows en versiones anteriores a Vista.
Mozilla está trabajando en una solución para esta vulnerabilidad, por lo que en breve podría estar disponible una nueva versión del navegador. Recomiendan, mientras tanto, el uso de la extensión NoScript para mitigar el riesgo de exposición hasta que la solución vea la luz.
Más información:
El 0-day fue descubierto por el equipo de Trend-Micro, el cual informó que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denominado "JS_NINDYA.A", con objeto de propagar malware.
El script determina si va a explotar o no la vulnerabilidad a través de la lectura del campo User-agent, del cual extrae la información sobre el navegador y versión, además del sistema operativo. En caso de explotarla
exitosamente procede a descargar el troyano BKDR_NINDYA.A al ordenador de la víctima.
Dicho script explota la mencionada vulnerabilidad y aunque afecta al navegador Firefox en las versiones 3.5 y 3.6, tan solo intenta su explotación en la versión 3.6 sobre Windows en versiones anteriores a Vista.
Mozilla está trabajando en una solución para esta vulnerabilidad, por lo que en breve podría estar disponible una nueva versión del navegador. Recomiendan, mientras tanto, el uso de la extensión NoScript para mitigar el riesgo de exposición hasta que la solución vea la luz.
Más información:
Actualización de seguridad para Apple Mac OS X, no soluciona un grave fallo
NOTICIA IMPORTANTE PARA TODOS LOS QUE POSEEMOS UN MAC O UN HIBRIDO
Actualización de seguridad para Apple Mac OS X, no soluciona un grave fallo y "rompe" algunos sistemas cifrados
Apple ha lanzado recientemente la versión 10.6.5 de su sistema operativo Mac OS X junto con una nueva actualización de seguridad. Se ven afectados las versiones Mac OS X 10.6.x y 10.5.8 y se resuelven un total de 134 vulnerabilidades. Deja sin parchear un grave fallo de seguridad y sin arrancar algunos sistemas cifrados.
Esta es la séptima actualización del año (con el código 2010-007). Los componentes y software afectados son: AFP Server, Apache mod_perl, Apache, AppKit, ATS, CFNetwork, CoreGraphics, CoreText, CUPS, Directory Services, diskdev_cmds, Disk Images, el plug-in Flash Player, gzip, Image Capture, ImageIO, Image RAW, Kernel, MySQL, neon, Networking, OpenLDAP, OpenSSL, Password Server, PHP, Printing, python, QuickLook, QuickTime, Safari RSS, Time Machine, Wiki Server, X11 y xar.
Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
Apple - Support - Downloads
Hay que tener en cuenta que para la versión 10.5, se ha dejado sin parchear un grave fallo de seguridad que permite la ejecución de código. Core Security, harta de que Apple le prometa que va a solucionar el fallo pero no sea parcheado, ha hecho públicos los detalles. La versión 10.6 no es vulnerable.
Por otro lado, aunque ya se ha proporcionado una solución oficial, los usuarios de la opción de cifrado completo de disco de la utilidad de seguridad PGP de Symantec se han llevado una "sorpresa" al actualizar a
la versión 10.6.5. Todos los equipos que tenían el disco cifrado, tras aplicar la actualización de seguridad que Apple 10.6.5 no eran capaces de arrancar.
Más información:
Si tienes cifrado el disco con PGP no actualices a 10.6.5Seguridad Apple: Si tienes cifrado el disco con PGP no actualices a 10.6.5
Mac OS X security flaw publicized after Apple fails to patchMac OS X security flaw publicized after Apple fails to patch | ZDNet
APPLE-SA-2010-11-10-1 Mac OS X v10.6.5 and Security Update 2010-007APPLE-SA-2010-11-10-1 Mac OS X v10.6.5 and Security Update 2010-007
Más de 350 fallos en el Kernel de Android
Recientemente ha sido publicado el informe "Coverity Scan 2010 Open Source Integrity Report"; este informe es desarrollado por la empresa Coverity y el departamento de seguridad nacional de los EE.UU. y vienen desarrollando esta labor desde 2006. Este informe se realiza sobre programas de código abierto y este año le ha tocado el turno al kernel de Android.
Este estudio ha sido realizado sobre el kernel 2.6.32 de Android (Froyo), en concreto sobre un terminal "HTC Droid Incredible", el estudio matiza que alguno de los fallos puede que no afecten a todas las versiones del kernel de Android; dada la fragmentación existente en Android. Esto es causado debido a que algunas de las piezas del sistema dependen directamente de los fabricantes del Hardware.
Esta investigación ha descubierto 359 fallos de seguridad, 88 de ellos han sido clasificados como de alto riesgo y 271 como riesgo medio. Para detectar los errores se ha empleado un analizador de código estático, y como en toda auditoría estática de código se detectaron 46 falsos positivos durante la investigación de los posibles errores.
Como riesgo elevado se han reportado errores de corrupción de memoria, acceso ilegal a memoria, pérdida de recursos y errores al inicializar variables. Estos errores permiten ejecutar código arbitrario o el acceso
al GPS sin autenticación, entre otros posibles impactos.
Entre los problemas de riesgo medio encontramos errores de implementación de API, errores en el control de flujo, en los manejadores o referencias a punteros a nulos. Estos fallos causan una denegación de servicio haciendo que el terminal se quede bloqueado.
Los componentes donde se han encontrado los fallos han sido, por número de errores: Fs, especificaciones de Android, Net, Drivers, Kernel y Arch entre otros. Destacar que la mayoría de fallos críticos se encuentran en las especificaciones de Android.
Los detalles de cada vulnerabilidad no han sido publicados, dado el impacto de estos y serán publicadas cuando estén disponibles los parches. Alguno de estos fallos puede que afecte a versiones inferiores
de Android.
Más información:
Coverity Release:
Suscribirse a:
Entradas (Atom)
About Me
- Tony Orozco
- Mmmm, pues bien soy honesto a veces demasiado, sencillo, sincero, amo la vida y la vivo a cada instante y al limite