sábado, 17 de marzo de 2012

Mozilla publica 8 boletines de seguridad para Firefox, Thunderbird y SeaMonkey



Mozilla, publicó hace unos días un total de 8 boletines de seguridad que solucionan doce vulnerabilidades que afectan a sus productos Firefox, Thunderbird y SeaMonkey.

De estos boletines, cinco solucionan vulnerabilidades consideradas críticas y el resto vulnerabilidades consideradas moderadas.

Las correcciones vienen implementadas en las siguientes versiones: Firefox 11.0, Firefox ESR 10.0.3, Firefox 3.6.28, Thunderbird 11.0, Thunderbird ESR 10.0.3, Thunderbird 3.1.20 y SeaMonkey 2.8, las cuales pueden ser descargadas desde la página web de Mozilla.

Como suele suceder en estos casos, los tipos de vulnerabilidades incluyen: escalada de privilegios, cross-site scripting, etc...

Podéis obtener más información en inglés, pinchando en el nombre asignado a cada boletín:

Apple corrige 81 vulnerabilidades en iOS 5.1

Todos aquellos usuarios Apple, habrán notado en los últimos días que sus teléfonos o tabletas les han advertido de una nueva actualización del Sistema Operativo que llevaban instalado y cuya descarga era de 177Mb: la versión iOS 5.1 y que afecta a iPhone 3GS, 4, 4S, iPod Touch, iPad e iPad2.

En total, en estos 177Mb encontramos nada más y nada menos que ¡¡81 actualizaciones de seguridad!!, vulnerabilidades o fallos que seguridad de los más diversos: denegaciones de servicio, ejecución de código arbitrario, revelación de información sensible del usuario a un atacante remoto en el caso de entrar a una página web especialmente manipulada, etc...

Por tanto, si tienes alguno de los sistemas de Apple, que funcionen bajo iOS 5 y todavía no te has actualizado, mi recomendación es que lo hagas a la mayor brevedad posible... o puedes hacer como recomendaban los chicos de Blackberry en el artículo anterior: limitar el uso del navegador.
Aunque en este caso, quizás también deberías limitar el uso del teléfono, en especial de las funciones relacionadas con acceso por VPN, Siri, etc...

Grave vulnerabilidad en Blackberry a través de WebKit

En esta ocasión, me hago "eco" una vez más de una noticia publicada recientemente por los chicos de hispasec, en la que se informa de una grave vulnerabilidad en los dispositivos Blackberry que usan WebKit como motor del navegador y que se mostró en la conferencia de seguridad RSA celebrada a finales de febrero en San Francisco.

Desde Blackberry se ha confirmado que el fallo se produce en las gamas 6 y 7 de Blackberry OS y en Blackberry PlayBook, siendo especialmente grave en este último caso, ya que a diferencia de lo que ocurre en BlackBerry OS, en PlayBook, Webkit es usado por muchas aplicaciones, quedando de esta forma todas ellas expuestas ante un ataque: por ejemplo, el lector de correo a través de un email en formato HTML.

Los modelos que se han visto afectados son: Blackberry PlayBook, Blackberry Bold 9650, 9700, 9780, 9790, 9900 y 9930. Blackberry Curve 9300 (3G), 9330 (3G), 9350, 9360, 9370 y 9380, Blackberry Pearl 9100 (3G) Series. Blackberry Torch 9800, 9810, 9850 y 9860.

Sin embargo, a día de hoy, no se ha ofrecido una corrección efectiva de la vulnerabilidad, aunque sí varios consejos a administradores de los Servidores Empresariales BlackBerry para que puedan forzar que todo el tráfico del navegador en la organización, se realice mediante el uso del servicio de conexión MDS de Blackberry para restringir el acceso mediante el navegador solamente a sitios confiables.

El malware de la policía aprovecha un exploit de Java


Tras muchos días sin poder escribir en el blog, voy a intentar durante este fin de semana recoger las noticias más importantes relacionadas con la seguridad durante estos días, empezando por el famoso "virus de la policía" y cuya foto aparece en la imágen (recogida de hispasec.com), fuente por otra parte, de esta noticia.

Este malware está consiguiendo muchísima notoriedad en los medios de comunicación debido al uso de los cuerpos de seguridad de los diferentes estados para asustar a los usuarios infectados.

Desde hispasec, han realizado una profunda investigación sobre la raíz del problema, confirmando finalmente que se está usando una vulnerabilidad en Java para conseguir ejecutar código.

Esta vulnerabilidad, que desencadena todo el proceso, se está utilizando ampliamente en kits de explotación de vulnerabilidades.

Para detener el ataque, los antivirus podrían haber detectado en primera instancia el intento de infección y en segunda el ejecutable en sí. En ambos estadios del ataque, los niveles de detección de firmas han resultado insuficientes.

Por tanto, en estos momentos, actualizar los sistemas (en especial Java) es extremadamente importante para protegerse.

miércoles, 15 de febrero de 2012

Microsoft publica 9 boletines de seguridad

Este Martes se publicaron 9 boletines de seguridad por parte de Microsoft, concretamente los que van desde el MS12-008 al MS12-016, de los cuales han sido calificados como de gravedad "crítica" y el resto como "importantes", solucionando 21 vulnerabilidades.

MS12-008: Boletín "crítico" corrige dos vulnerabilidades en los controladores en modo kernel de Windows que puede permitir la ejecución remota de código. Afecta a Windows XP, 2003 Server, Vista, 2008 Server y Windows 7.

MS12-009: Presenta un nivel de gravedad "importante" y la vulnerabilidad que resuelve afecta a Windows XP, Windows 7 y Windows Server 2003 y 2008.

MS12-010: Actualización acumulativa de IE que soluciona cuatro vulnerabilidades que pueden permitir la ejecución de código arbitrario de forma remota, afectando a IE 6,7,8 y 9.

MS12-011: Soluciona tres vulnerabilidades en Microsoft Sharepoint y Microsoft Sharepoint Foundation Este boletín ha sido valorado como "importante". 

MS12-012: Boletín "importante" que resuelve una vulnerabilidad en el panel de control. Afecta a Windows Server 2008.

MS12-013: Boletín "crítico". Corrige también una vulnerabilidad de ejecución de código remota si un usuario abre un archivo multimedia específicamente creado. Afecta a Vista, 7 y 2008.

MS12-014: Corrige una vulnerabilidad en el códec Indeo. Presenta un nivel de gravedad "importante" y afecta a todos los sistemas Windows.

MS12-015: Boletín "importante" que resuelve cinco vulnerabilidades en Microsoft Office.

MS12-016: Valorado como "crítico", este boletín soluciona dos vulnerabilidades en Microsoft .NET  Framework y Microsoft Silverlight.

Podéis consultar más acerca de estos boletines en TechNet.  





Usan la imágen de la Agencia Tributaria para una campaña de phising


El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha alertado sobre una serie de correos electrónicos que se están enviando falseando la imágen de la Agencia Tributaria, incluidos colores, logotipo, etc...

En el correo, se le pide a los usuarios una serie de datos para realizarle una falsa devolución de impuestos.

Entre los datos que piden está el número de cuenta (obviamente para poder hacer el ingreso de la devolución) que además pueden usar para sustraer dinero al usuario sin consentimiento de este.

Por tanto, ¡¡mucho cuidado!!. Si os llega un correo con el logotipo de la Agencia Tributaria y del Gobierno de España, pidiendo vuestros datos para una supuesta devolución de impuestos, ni caso.

martes, 14 de febrero de 2012

Google Wallet: un riesgo para la seguridad

Si ayer hablaba de otro problema (uno más) con Android, hoy sale a la luz desde Security Magazine que investigadores de seguridad han encontrado un problema de seguridad en la plataforma de pago móvil Google Wallet, la cual está disponible para teléfonos vendidos por Sprint Nextel Corp.

Los servicios de pago móviles que permiten a los usuarios pagar mediante el empleo de un teléfono y un terminal en lugar de usar tarjetas de crédito, ha sido aplicado desde hace tiempo en Japón y otros países, pero está empezando a aplicarse en los Estados Unidos.

La vulnerabilidad fue identificada por Joshua Rubin, un ingeniero senior de una firma de seguridad de Greenwood Village, Colorado, quien ha desarrollado una aplicación que permite crackear los 4 dígitos del PIN que se necesita para lanzar Google Wallet, tal y como se puede apreciar en este vídeo: bit.ly/zgO2L6.

Google ha dicho que están trabajando en una solución y que recomiendan que mientras tanto, no se use Google Wallet en dispositivos "rooted". 



lunes, 13 de febrero de 2012

Detectan más malware para Android


Desde CSO Spain, me llega la noticia de que se ha vuelto a detectar un nuevo malware para Android (y ya van...).

El malware, llamado Android.Bmaster ha sido localizado en una tienda de aplicaciones china, y parece ser que ha atacado a miles de usuarios. 

Todo esto, a pesar de que Google creó Bouncer un mecanismo de control para Android Market, el cual ha logrado que la descarga de malware desde la tienda de aplicaciones oficial de Google descienda un 40%. Pero... estamos hablando de una tienda de aplicaciones para Android China, por lo que no está bajo la supervisión de Google y por lo tanto no está tampoco bajo la supervisión de Bouncer.

Parecer ser que existe una aplicación que permite configurar distintos aspectos de los teléfonos que está infectando a cientos de miles de dispositivos, creando una botnet con los mismos, pudiendo controlarlos y enviar mensajes y llamadas a servicios de tarificación especial. 

Esto puede suponer, según Infosecurity, entre 10.000 y 30.000 dispositivos infectados al día, de forma que al año pueden recaudar varios millones de dólares con esta pŕactica.

Además, a pesar de que ha salido a la luz ahora, el malware está actuando desde Septiembre, lo que les ha podido suponer muchos miles de dólares.

Quizás sería el momento de que Google  tomara ejemplo de Apple y centralizar todas sus aplicaciones en un único sitio (la tienda oficial) y así intentar acotar este tipo de problemas que ya le está suponiendo muchísimos problemas y quebraderos de cabeza.


KPN cierra ¡¡2 millones de cuentas de correo!!

Leo en CIO, que la empresa holandesa KPN ha vuelto a sufrir un ciberataque de gravedad,por lo que ha tenido que cerrar nada menos que ¡¡2 millones de cuentas de correo electrónico!!, al descubrir que se han publicado datos de, por el momento, 539 usuarios holandeses en internet, por lo que han tomado esa medida como precaución, pues no se descarta que los atacantes hayan podido acceder a datos de otros usuarios. 

Ya es la segunda vez que KPN sufre un ataque de este tipo en poco tiempo, ya que al parecer, sufrió el primero de ellos en Enero de este año, por lo que desde la compañía no se descarta que ambos pudieran estar relacionados. 


miércoles, 8 de febrero de 2012

Vulnerabilidad muy grave en BIND 9.x


BIND 9.x es el servidor DNS más usado en Internet. Con eso está dicho todo y es la principal razón por la que la vulnerabilidad descubierta por Haixin Duan (un profesor de la Universidad de Tsinghua en Beijing China) es especialmente crítica.

De hecho, el propio ISC (Internet Systems Consortium) encargado de mantener BIND ha calificado la vulnerabilidad como de gravedad Alta. 

¿En qué consiste el problema?.

Básicamente el problema reside en la política de actualización de la caché en todas las versiones de BIND 9 que evita la revocación definitiva de un nombre de dominio. Esto permite que un dominio siga resolviendo, incluso después de haber sido eliminado de los registros de servidores superiores de los que hereda el DNS y después de haber expirado su TTL.

¿Por qué es un problema?

Supongamos que tenemos un dominio usado por un software malicioso en exclusiva para descargar un componente, almacenar datos sustraídos de forma fraudulenta, etc.... 
Tras salir a la luz el uso de dicho dominio y ponerlo en conocimiento del registrante, este lo elimina, pero mientras tanto, la resolución de dicho dominio se ha propagado por otros servidores DNS de internet en todo el mundo. 
Este fallo, lo que permite es, que aunque el dominio haya sido eliminado, seguiría estando accesible y por tanto podría seguir siendo usado por el software malicioso.

Actualmente, está siendo investigando por ISC y de momento no tiene solución. Esperemos que se encuentre pronto. 

lunes, 6 de febrero de 2012

¡¡¡¡¡¡¡Verisign Hackeada!!!!!!!!


La agencia Reuters informa que Verisign, la empresa emisora de certificados que asegura más de la mitad de las webs del mundo, fue hackeada repetidamente en el año 2.010, precisamente el año en el que Verisign vendió sus servicios SSL y los servicios MPKI a Symantec.

De hecho, los ataques ocurrieron en la sede que la compañía tiene en Reston, Virginia, la cual es ni más ni menos que la última responsable de la integridad de las direcciones web acabadas en .com, .net y .gov. ¡Casi nada!.

Lo peor de todo, no es que fuera atacada, sino que lo fue en más de una ocasión y ni siquiera a estas alturas se conoce hasta donde pudieron llegar los hackers o qué tipo de información o de códigos pudieron ser comprometidos. 

Si a eso le añadimos que los responsables de la seguridad IT de VeriSign no informaron de estos ataques hasta  Septiembre de 2.011 la cosa es realmente seria, ya que no sabemos si los certificados emitidos por esta empresa durante ese año han podido ser comprometidos. 

Poco después de ser informada la dirección de la compañía, esta puso en conocimiento de la Security Exchange Comission (SEC), el organismo norteamericano que está siendo quien dirige la investigación.

Si realmente la gravedad del asunto es la que se presupone, todas aquellas páginas web personales o empresariales (principalmente estas últimas) que emplean sus certificados SSL podrían ver comprometidos sus datos. Empresas como KPN, Diginotar...

Los ejecutivos de Verisign afirman que "no creen que los ataques hayan afectado a los servidores que soportan su red DNS", quienes procesan alrededor de unos 50.000 millones de consultas diarias.

También han afirmado que "no hay nada que indique que los sistemas afectados en 2.010 esté relacionada con los sistemas de producción SSL".

Sin embargo, ¿qué pasaría si realmente sí se hubiesen visto afectados sus sistemas de producción SSL o estuviera comprometido el sistema de seguridad RSA Escurrid?. Pues, que por ejemplo, se podría emitir un certificado en nombre del Bank of America o de Google válido y que sería aceptado por bueno por cualquier navegador del mundo.

Una muy, pero muy mala noticia para el campo de la seguridad informática. 

viernes, 3 de febrero de 2012

Ciertos móviles HTC envían la clave WiFi en texto claro

Una nueva vulnerabilidad crítica (CVE-2011-4872)en algunos terminales de HTC con Android permitiría la revelación de información sensible y credenciales de las redes WiFis (802.1X) que se almacenan en el móvil, tal y como informan desde hispasec.
La vulnerabilidad afectaría a nueve terminales:

- Desire HD (Versiones FRG83D, GRI40)
- Desire S (Versión GRI40)
- Sensation Z710e (Versión GRI40)
- Glacier (Versión FRG83)
- EVO 3D (Versión GRI40)
- Droid Incredible (Versión FRF91)
- Thunderbolt 4G (Versión FRG83D)
- Sensation 4G (Versión GRI40)
- Evo 4G (Versión GRI40)

El problema, daría lugar a que se pudiera acceder a todas las configuraciones almacenadas y las contraseñas en texto claro a través de las aplicaciones especialmente manipuladas para transmitir estos datos de forma remota. 

HTC y Google, afirman que actualmente no hay aplicaciones que estén aprovechando esta vulnerabilidad y que están trabajando conjuntamente para resolver un problema del que fueron notificados de forma privada en Septiembre de 2.011. 

Esperemos que tras cuatro meses sin dar con una solución a esta vulnerabilidad, encuentren la solución pronto, ahora que la vulnerabilidad ha sido dada a conocer y no volvamos a tener más noticias de que se retiran nuevas aplicaciones del Android Market porque HTC y Google han tardado tanto tiempo en resolver esta vulnerabilidad.

martes, 31 de enero de 2012

2011 el año más activo en malware para MAC


Intego, ha sacado su informe del año 2.011 sobre seguridad en Mac, que se puede descargar en Inglés desde aquí.
En él, afirma que a pesar de que los ataques contra el sistema operativo de Apple y sus equipos Mac no son ni de lejos tan frecuentes como los que sufre Windows, ya no es inmune al malware y deben empezar a tener más cuidado y prestar atención a las amenazas que puedan ir apareciendo (especialmente a las relacionadas con la ingeniería social).

Intego, divide el año en dos partes: antes del día 2 de Mayo y después de esta fecha. Ese día Intego descubrió el falso antivirus MacDefender, el cual usaba sofisticados engaños de ingeniería social que se han mostrado efectivos en la plataforma Windows para engañar a usuarios Mac que, evidentemente, se encontraron indefensos ante esta situación. Además, fue creado en Java, con la clara intención de llegar a todas las plataformas posibles como Linux y Windows además de Mac.

Poco tiempo después y mientras iban apareciendo diversas variantes, Apple confirmaba que estaba recibiendo miles de llamadas de usuarios que, al igual que en el ataque expuesto en el post anterior, fueron convencidos para que instalaran el software malicioso. 

Intego ha descubierto además, una herramienta diseñada para arrancar Macs y usarlos para realizar ataques DDoS.  

Todo esto hace indicar que el auge de los sistemas operativos de Apple (iOS, Mac OS X) y de Google (Android) han conseguido llamar la atención de todos aquellos programadores que se dedican a crear software malicioso y que esto puede ser solamente el principio.

¿Estarán preparados los usuarios de Mac para el más que presumible incremento de ataques destinados a sus "exclusivos" equipos durante los próximos años y a los que hasta ahora habían sido poco menos que inmunes al sufrir solamente ataques "básicos" que no les hacían daño?. ¿Influirá eso en su decisión de comprar Mac o serán fieles a su diseño, su exclusividad y su excelente rendimiento a pesar de no ser ya "invulnerables"?

Otro Malware para Android afecta a 5 millones de dispositivos


Hace varios días salta la noticia de que un nuevo malware de Android podría haber afectado a más de 5 millones de dispositivos. 
Desde Symantec, ofrecen un informe en el que dicen que el malware, bautizado como Android.Counterclank, ha sido localizado en el Android Market en las siguientes aplicaciones:

PublisherMalicious App TitleCategory
iApps7 IncCounter Elite ForceArcade & Action
iApps7 IncCounter Strike Ground ForceArcade & Action
iApps7 IncCounterStrike Hit EnemyArcade & Action
iApps7 IncHeart Live WallpaperEntertainment
iApps7 IncHit Counter TerroristArcade & Action
iApps7 IncStripper Touch girlEntertainment
Ogre GamesBalloon GameSports Games
Ogre GamesDeal & Be MillionaireSports Games
Ogre GamesWild ManArcade & Action
redmicappsPretty women lingerie puzzlePhotography
redmicappsSexy Girls Photo GameLifestyle
redmicappsSexy Girls PuzzleBrain & Puzzle
redmicappsSexy Women PuzzleBrain & Puzzle

El malware, es una modificación menor de Android.Tonclank, que requiere de la colaboración del usuario (autorizando todos los privilegios que requieren las aplicaciones para instalarse), parece ser que recoge gran cantidad de información que luego envía a un servidor remoto como copias de bookmarks o datos del fabricante del teléfono (IMEI, Dirección MAC, IMSI, Número de serie de la SIM) tal y como se puede ver en la siguiente imagen.



¿Cómo es posible que haya llegado tan lejos teniendo tantas elevaciones de privilegios en los dispositivos que deben ser aceptadas por los usuarios?. Pues por eso mismo, el mejor aliado de este malware han sido los propios usuarios de Android, que no se han parado a leer los permisos que se le solicitan, simplemente aceptaron todos los mensajes. 

Con las nuevas tecnologías implementadas a los teléfonos móviles, estos han dejado de ser móviles para convertirse en pequeños ordenadores y como tales están expuestos a todos esos programadores que se dedican a querer estafar a la gente mediante la elaboración de programas maliciosos. 

Por eso, se debería de instruir a los usuarios (por parte de las operadoras, de los fabricantes...), concienciar a todas aquellas personas que usan / usamos este tipo de dispositivos, de que hoy en día el malware no afecta solamente a los PCs de sobremesa o portátiles con sistemas operativos Microsoft Windows, sino que cada vez más están afectando a sistemas operativos que están aumentando su presencia en dispositivos móviles como Android o iOS. Y, sobretodo, que antes de aceptar esas peticiones de elevación de privilegios, se debe leer lo que piden y valorar los riesgos que puede representar aceptar esas elevaciones.

miércoles, 25 de enero de 2012

Brecha de seguridad en Linux permite escalar privilegios

Nuevamente desde CSO Spain, me llega la noticia de que una brecha de seguridad que se introdujo en el código del kernel de Linux en Marzo de 2.011 y que afecta a las versiones 2.6.39 y posteriores está siendo parcheada ahora por los distribuidores de Linux, por lo que cualquier distribución Linux con estas versiones de kernel es o podría ser vulnerable.

Concretamente, el fallo de la vulnerabilidad CVE-2012-0056 lo que permite es escalar privilegios a un atacante y acceder a la ruta del sistema.

Linus Torvalds había desarrollado el parche para esta vulnerabilidad el pasado día 17 de Enero, pero... antes de que los distribuidores Linux pudieran aplicar el parche ya habían aparecido exploits que se aprovechaban de esta vulnerabilidad.

Ubuntu y Red Hat ya han liberado el parche para corregir dicha vulnerabilidad, ¿tardarán mucho más el resto de distribuidores Linux en sacar el parche?. Ya veremos.

Eso sí, es muy importante que se actualicen inmediatamente aquellos sistemas que se basen en las versiones de kernel 2.6.39 o superiores y que cuenten ya con el parche a disposición de los usuarios.

¿Un Megaupload de Anonymous?... Va a ser que no


Desde CSO Spain, hoy llegaba la noticia de que desde una web usaban el nombre de Anonymous para crear un portal que podría estafar y comprometer datos de los usuarios.

Dentro de la noticia, se decía que Anonyupload adopta la denominación de Anonymous, en lo que parece un intento de que la gente confíe en la web, donen su dinero y usen los servicios que ofrecen en esta web. Sin embargo Anonymous ha negado su vinculación con dicho portal web y varias empresas de seguridad ya han alertado sobre la potencial peligrosidad de este sitio. 

Sin embargo, al entrar en la web aparece lo que se puede ver en esta captura de pantalla:


Donde dice claramente, que esta web es 100% Libre, sin anuncios, 100% Anónimo.

También dice que defienden una internet libre, apoyan a Antonymous, pero no son miembros de Anonymous.

Algo que nuevamente repiten en el recuadro que se ve abajo: No somos miembros de Anonymous, pero defendemos el anonimato.

¿Quizás el error de la web es haberse nombrado como AnonyUpload?.¿La han nombrado sus creadores así con el fin de intentar captar la atención de la gente asociando el nombre de la web con el del grupo de piratas informáticos Anonymous?.¿Es realmente una estafa y solamente pretenden engañar a la gente?.¿Han modificado su portada porque le han llegado noticias de que se está planteando que solamente intentan estafar a la gente y se defienden así?.¿Se han querido aprovechar también del cierre de MegaUpload para crear una web que se asocie de alguna manera tanto con Anonymous como con MegaUpload para cometer una estafa a gran escala?.

Sinceramente, no huele demasiado bien, pero tampoco se puede asegurar al 100% de que la web sea una estafa, aunque lo mejor será al menos durante un tiempo, ir viendo si la web sigue adelante, si hay o no casos de malware, spam o cualquier otro tipo de denuncia asociado a esta web o si por el contrario se convierte en una más de las web de descargas que todavía quedan activas y que quieren captar una parte del pastel que ha dejado libre Megaupload.

Seguiremos atentos a las noticias relacionadas con este sitio web.

viernes, 20 de enero de 2012

Symantec admite casi 6 años después un ataque

Ayer, día 19 de Enero de 2.012 y que será recordado por haberse producido el cierre de Megaupload por parte del FBI, así como todas las páginas Mega-algo asociadas, sale también una noticia bastante curiosa:  Symantec admite que sufrió un ataque en 2006 en el que unos piratas accedieron a parte del código de su producto estrella: Norton, así como a otros tres productos más (según informan desde CSO Spain).

La semana pasada Symantec lo confirmaba en su página de Facebook, aunque en un principio afirmaba que el ataque lo habría sufrido una compañía colaboradora y que los piratas no habían accedido directamente a los servidores de la compañía.

No obstante, una semana más tarde, Symantec confirma que tras investigar lo sucedido que efectivamente el ataque se había producido a sus propios servidores y no había sido descubierto hasta ahora, cuando los piratas han publicado parte del código de Norton.

Eso sí, el código fuente robado es de la versión del producto de 2.006, por lo que podría no tener especial incidencia en la actualidad, aunque desde la compañía han informado que están investigando a fondo el alcance del ataque y la información sustraída para ver qué acciones deben llevar a cabo y en caso de ser necesario elaborar un producto que mitigue las posibles consecuencias derivadas de un uso malicioso de este código e intentar evitar que pueda ser usado para anular el antivirus y provocar diversos ataques a los sistemas que tengan instalados sus productos.



jueves, 19 de enero de 2012

Ataques a las bolsas de valores de Arabia Saudí y Abu Dhabi



Al parecer, un grupo de hackers israelíes que se hacen llamar IDF-Team, ha lanzado un ataque contra las páginas web de la bolsa de valores de Arabia Saudí y Abu Dhabi. Todo apunta a que este ataque es la respuesta al que un grupo de hackers de Arabia Saudí lanzara contra la web de la bolsa de Tel Aviv, la compañía aérea El Al y diferentes bancos de Israel, entre ellos el banco Leumi y que fue calificada de una ciberofensiva contra su estado por parte del Gobierno Israelí.

Desde Arabia Saudí, se asegura que los ataques no tuvieron éxito, ya que las web están operativas. Mientras, desde Israel, afirman que aunque efectivamente ahora las webs están operativas, estas estuvieron fuera de servicio durante varias horas.

Y este no es el primer conflicto que se mantiene entre hackers de estas nacionalidades, ya que la raíz del problema parece estar en la publicación por parte de hackers saudís de datos de tarjetas de crédito de ciudadanos israelíes en internet. La respuesta no se hizo esperar y pocas horas más tarde, un hacker israelí, que se hace llamar Hannibal publicó unas 30.000 direcciones de correo electrónico y contraseñas de usuarios de Facebook de origen saudí.

Además, parece que el conflicto no se quedará aquí, ya que IDF-Team ya ha advertido que van a continuar con sus ataques y que próximamente paralizaran estos sitios web durante varias semanas.

Mientras, el anteriormente mencionado Annibal, dice estar dispuesto a publicar los datos de 10 millones de cuentas bancarias y 4 millones de datos de tarjetas de crédito árabes, si el primer ministro israelí declara una ciber-guerra.

Así pues... parece seguro que el conflicto no se quedará aquí y que seguirá evolucionando. Veremos a ver en qué queda todo esto y las repercusiones finales de algo que ha empezado en la red. ¿Se quedará en la red o evolucionará a un nivel mayor fuera de ella?.

Vulnerabilidad en el DHCP del Internet Systems Consortium


El DHCP (Dynamic Host Configuration Protocol) de ICS, la implementación de software libre más usada en el mundo de DHCP ha sido actualizado a la versión 4.2.3-P2, tras detectar una vulnerabilidad que provoca una denegación de servicio. 

El problema se presenta concretamente, en la funcionalidad de registros cuando trabaja conjuntamente con direcciones IPv6 y DNS dinámicos (DDNS), pues las versiones anteriores de ISC DHCP no manejan correctamente la estructura de concesiones de DHCPv6, lo que podría provocar que un atacante causara una denegación de servicios mediante el uso de paquetes especialmente manipulados relacionados con la actualización del estado de la concesión de direcciones.

DHCP (Dynamic Host Configuration Protocol o Protocolo de configuración dinámica de hosts) es un protocolo de red que permite a los clientes de una red obtener sus parámetros de configuración de forma automática (IP, DNS, Puerta de enlace, etc...) y fue introducido por Microsoft en su servidor Windows NT 3.5 en el año 1.994.

Más tarde, en 1.997, ISC publicó la versión ISC DHCP 1.0.0 para Unix.

miércoles, 18 de enero de 2012

Web de T-Mobile Hackeada

Un grupo de hackers, probablemente asociados con Anonymous, ha publicado información personal de alrededor de 80 empleados de la compañía T-Mobile, aparentemente explotando algunos fallos de seguridad de la web.

El grupo, que se hace llamar TeaMp0isoN, ha publicado en la web Pastebin nombres, correos electrónicos, números de teléfono y contraseñas de los empleados tras un ataque realizado la semana pasada a T-Mobile.
TeaMp0isoN dice que las contraseñas "parecían ser proporcionadas a los usuarios de forma manual por un administrador que contaba con el mismo grupo de contraseñas".

Al parecer, ha sido mediante la técnica de SQL Injection (a los sitios t-mobile.com y newsroom.t-mobile.com) como han obtenido la información y la razón del ataque, según ha dicho uno de los miembros del grupo, ha sido por apoyar la ley "Big Brother Patrior Act", así como que "son corruptos" y "querían demostrar el tipo de seguridad que tenían". 

Mientras, desde la compañia, han asegurado que sus clientes no se han visto afectados de manera alguna por el ataque. 

Lo más triste del caso es que esas contraseñas son, tal y como se puede apreciar en la página web de Pastebin, bastante fáciles de averiguar con un ataque de "fuerza bruta" en un corto espacio de tiempo (112112 - la más extendida -, o pass son dos de las contraseñas que tenían los usuarios) y si me apuráis sin tan siquiera con un ataque de "fuerza bruta", por lo menos la de pass

Algo totalmente inaceptable para una compañía de la importancia de T-Mobile. ¿No os parece?. 

Y menos aún, cuando la persona al cargo de la seguridad corporativa de T-Mobile los dos últimos años (William Boni), es miembro del Security for Business Innovation Council y considerado como uno de los "16 mejores o más brillantes expertos en seguridad del mundo" según reza al principio de la página de RSA que se puede ver en el enlace anterior.

Sin lugar a duda, parte de su equipo no puede entrar dentro de esa categoría en la que a él se le incluye.

Oracle saca actualizaciones para más de 70 vulnerabilidades


Oracle ha sacado hoy actualizaciones para múltiples vulnerabilidades (más de 70) que afectan a una gran variedad de productos y la recomendación de que se actualicen los productos afectados a la mayor brevedad posible.

También informa que las actualizaciones de los productos Oracle Database, Oracle Fusion Middleware, Oracle Enterprise Manager Base Platform (formerly "Oracle Enterprise Manager Grid Control"), Oracle E-Business Suite Applications, JD Edwards EnterpriseOne, JD Edwards OneWorld Tools, PeopleSoft Enterprise Portal Applications, PeopleSoft Enterprise PeopleTools, Siebel Enterprise, Oracle Industry Applications and Oracle VM son acumulativas, es decir, que incluyen todos los parches anteriores.

Tanto la lista de productos afectados, como los parches y las recomendaciones antes de realizar la instalación de los mismos, pueden verse en esta web.

El número de vulnerabilidades resueltas supera las 70 y tienen los siguientes identificadores:

CVE-2011-2262, CVE-2011-2271, CVE-2011-2317, CVE-2011-2321, CVE-2011-2324, CVE-2011-2325, CVE-2011-2326, CVE-2011-3192, CVE-2011-3509, CVE-2011-2514, CVE-2011-3524, CVE-2011-3531, CVE-2011-3564, CVE-2011-3565, CVE-2011-3566, CVE-2011-3568, CVE-2011-3569, CVE-2011-3570, CVE-2011-3571, CVE-2011-3573, CVE-2011-3574, CVE-2011-4516, CVE-2011-4517, CVE-2011-5035, CVE-2012-0072, CVE-2012-0073, CVE-2012-0074, CVE-2012-0075, CVE-2012-0076, CVE-2012-0077, CVE-2012-0078, CVE-2012-0079, CVE-2012-0080, CVE-2012-0081, CVE-2012-0082, CVE-2012-0083, CVE-2012-0084, CVE-2012-0085, CVE-2012-0087, CVE-2012-0088, CVE-2012-0089, CVE-2012-0091, CVE-2012-0094, CVE-2012-0096, CVE-2012-0097, CVE-2012-0098, CVE-2012-0099, CVE-2012-0100, CVE-2012-0101, CVE-2012-0102, CVE-2012-0103, CVE-2012-0104, CVE-2012-0105, CVE-2012-0109, CVE-2012-0110, CVE-2012-0111, CVE-2012-0112, CVE-2012-0113, CVE-2012-0114, CVE-2012-0115, CVE-2012-0116, CVE-2012-0117, CVE-2012-0118, CVE-2012-0119, CVE-2012-0120, CVE-2012-0485, CVE-2012-0486, CVE-2012-0487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0490, CVE-2012-0491, CVE-2012-0492, CVE-2012-0493, CVE-2012-0494, CVE-2012-0495 y CVE-2012-0496.

Podéis obtener más información pinchando en cada una ellas. 


martes, 17 de enero de 2012

Whatsapp otra vez en la App Store de Apple


Tras cuatro días retirada de la App Store de Apple (tal y como confirmaba en su twitter el día 13 de Enero - ver la imágen del final del artículo -), WhatsApp ha vuelto hoy, con una nueva actualización, se supone que con los cambios y/o actualizaciones necesarios para ser considerada por Apple como segura.

Teniendo en cuenta que esta aplicación fue retirada por Apple debido a los numerosos fallos de seguridad y que se había enviado una actualización (Supongo que es la 2.6.9.1272, ya que es la que se acaba de instalar en mi teléfono) que estaba a la espera de ser aprobada y que hoy ya se ha instalado la nueva versión, hemos de suponer que ya han sido solucionados estos problemas graves de seguridad que presentaba la aplicación (podéis obtener más información sobre la retirada de la aplicación en el blog de seguridadapple, de los chicos de Informatica64):

- No cifra los mensajes.
- Es posible cambiar el estado de cualquier persona que use WhatsApp.
- Se podía realizar un ataque de fuerza bruta al código de registro de teléfonos y evitarlo.


Lo extraño del caso es que, mientras que confirmaron que no estaba disponible temporalmente en iTunes a través de su cuenta de twitter y que estaban a la espera de que Apple publicara la nueva versión de la aplicación, todavía no han dicho nada sobre que Apple ya la hubiera aprobado y estuviera disponible para su actualización desde la App Store.

Tampoco he encontrado nada, de momento, sobre las nuevas características o actualizaciones que incluye la nueva versión, pero confío en que se hayan corregido las graves vulnerabilidades que se han mencionado anteriormente.


Wikipedia dejará mañana "off-line" su versión inglesa como protesta contra la SOPA y la PIPA



Wikipedia, apagará mañana su versión inglesa durante 24 horas como protesta contra la controvertida Ley Stop Online Piracy Act (iniciativa del Congreso de los Estados Unidos en contra de la piratería) y la Protect IP Act (que se debate en el Senado Norteamericano).

De momento, no se tiene confirmación 100% segura de si otros grandes gigantes de la industria tecnológica como Google, Facebook, Twitter, LinkedIN, Yahoo!, Amazon, eBayBloomberg,  integrantes todos ellos de la plataforma Netcoalition.com seguirán su ejemplo mañana o durante los próximos días, aunque todo parece indicar que así será.

No tengo muy claro qué consecuencias traerá el paro de Wikipedia, pero es fácil imaginar que no será ni la millonésima parte de las que traería este "apagón" si se unieran Google, Facebook... así como alguna/s de las empresas que hemos dicho anteriormente. ¿Un día entero sin poder buscar información en Google en Estados Unidos, o sin poder conectarse cualquier usuario Norteamericano (particular o empresa) a su Facebook o su Twitter?... Los gritos podrían oirse hasta en España. :)

Esperemos a ver qué pasa mañana y las consecuencias de la medida adoptada por Wikipedia: ¿Servirán de algo?. ¿Tomarán ejemplo las autoridades españolas para cambiar o eliminar directamente la famosa "Ley Sinde" (que parece ser similar, o al menos bastante parecida, a la SOPA norteamericana)?¿Habrá alguna empresa española lo suficientemente valiente como para adoptar una medida similar contra la Ley Sinde?.

La esperanza es lo último que se pierde...

Fallos de seguridad en Mambo CMS

Nuevamente desde Hispasec, que como ya he dicho en varias ocasiones, es bajo mi punto de vista una de las mejores empresas españolas relacionadas con la seguridad IT (junto con Informatica64 y otras), llega la noticia de que se han descubierto múltiples vulnerabilidades en el Sistema de Gestión de Contenidos Mambo. Concretamente en su versión 4.6.5 (aunque no se descarta que también se encuentren en versiones anteriores del CMS).

La persona que ha detectado dichas vulnerabilidades ha sido Larry Cashdollar y se puede consultar la publicación en Inglés de estos fallos en esta web.

Los fallos encontrados son los siguientes:

- Método empleado para almacenar las contraseñas: Mambo almacena las contraseñas de la base de datos MySQL en formato texto en la ruta raíz de la web, por lo que puede ser leído por cualquier usuario queda acceda de forma local al equipo.
Además, Mambo también almacena el hash de la contraseña de administrador en el fichero configuration.php y recomienda los permisos 644 para este archivo. Sin embargo, con el fin de obtener una mayor seguridad, los permisos deberían ser 600 (chmod 600 configuration.php) y el propietario del fichero debería ser sobre el que corre el servidor (p.ej: chown wwwrun:www configuration.php)

- No es necesario autenticarse para poder iniciar el proceso de subida de ficheros: Esta vulnerabilidad podría ocasionar una denegación de servicios. Y, aunque el fichero no será almacenado, sí que estaremos consumiendo recursos y ancho de banda del sistema.

- Revelación de ruta a través del error que aparece al acceder a ciertos ficheros incluidos en la distribución. Concretamente,  los scripts php que fallan son los siguientes:


http://<target ip>/mambots/editors/mostlyce/jscripts/tiny_mce/imagemanager/thumbs.php
& editorFrame.php  editor.php  images.php  manager.php are all busted and return

Warning: require(/var/wwwmambots/editors/mostlyce/jscripts/tiny_mce/auth_check.php) [function.require]: failed to open stream: No such file or directory in /var/www/mambots/editors/mostlyce/jscripts/tiny_mce/imagemanager/editorFrame.php on line 4

Fatal error: require() [function.require]: Failed opening required '/var/wwwmambots/editors/mostlyce/jscripts/tiny_mce/auth_check.php' (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/mambots/editors/mostlyce/jscripts/tiny_mce/imagemanager/editorFrame.php on line 4

lunes, 16 de enero de 2012

Grave vulnerabilidad en HP Diagnostics Server sin solución


El pasado 12 de Enero, Zero Day Initiative, publicó una vulnerabilidad en HP Diagnostics Server (magentservice.exe) que permitiría la ejecución remota de código.

La publicación, se hizo sin que por parte de HP hubiera una solución a la misma, aunque ya han dicho que intentarán tenerla "próximamente", a pesar de que esta vulnerabilidad se le comunicó a HP por parte de Zero Day el pasado 3 de Julio de 2.011 y a día de hoy HP sigue sin sacar una solución al problema.

La vulnerabilidad, permitiría a un atacante la ejecución de código arbitrario en instalaciones vulnerables de HP Diagnostics Server, sin necesidad de autenticación.

El fallo se produce por cómo HP Diagnostics server maneja los paquetes entrantes con 0x00000000 como primer valor de 32bits. El proceso magentservice.exe escucha en el puerto 23472 por defecto. Tomaría el primer dword, lo decrementaría en uno y lo usaría como un valor de tamaño a copiar dentro del búfer de la pila. El resultado basado en el desbordamiento del búfer de la pila, daría como resultado una ejecución remota de código bajo el sistema del usuario.

La recomendación dada, de momento mientras HP saca una solución al problema, pasaría por habilitar un acceso restringido al puerto 23472, limitando se acceso solamente a aquellos equipos en los que se confíe.

Grave vulnerabilidad en McAfee SaaS


El pasado 12 de Enero, desde Zero Day Initiative, informan de una vulnerabilidad reportada a McAfee el 1 de Abril de 2.011 y cuya solución sigue sin estar disponible en la fecha de publicación por parte de Zero Day Initiative: ¡¡más de 9 meses sin darle solución!!.

Esta vulnerabilidad, que afecta al producto Security-as-a-Service de McAfee, permite a atacantes remotos la ejecución de código arbitrario en instalaciones de McAfee Security-as-a-Service vulnerables. La interacción por parte del usuario es necesaria para explotar esta vulnerabilidad en la que el objetivo (el usuario de la aplicación) debe visitar una página manipulada o bien abrir un fichero.

El fallo afecta a la librería myCIOScn.dll. Dentro de esta librería, MyCioScan.Scan.ShowReport() acepta comandos que son pasados a una función que simplemente los ejecuta sin necesidad de autenticación, lo que puede ser aprovechado por un atacante para ejecutar código arbitrario dentro del contexto del navegador.

La vulnerabilidad, como se ha comentado anteriormente, fue puesta en conocimiento de McAfee el 1 de Abril de 2.011, por lo que tras pasar más de 180 días desde que se comunicó a McAfee y siguiendo la política de Zero Day Initiative, se ha publicado sin que, por el momento, exista una solución al problema.

Sin embargo, para mitigar el problema mientras McAfee saca un parche definitivo, podemos modificar DWORD de la siguiente clave de registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7
con el valor 0x00000400.

Esto impide la ejecución de controles ActiveX en Internet Explorer.Para más información podéis visitar: http://support.microsoft.com/kb/240797 


domingo, 15 de enero de 2012

Un fallo podría comprometer la seguridad de routers y puntos de acceso


Nos remontamos al 27 de Diciembre y me hago eco de una vulnerabilidad detectada en el estándar Wi-Fi Protected Setup que podría poner en peligro el PIN de millones de routers Wi-Fi y puntos de acceso e informada por US-CERT.

WPS (Wi-Fi Protected Setup) es un estándar incluido en routers y puntos de acceso WiFi que permite a los usuarios la creación de redes inalámbricas seguras y que implementan dispositivos de las marcas: D-Link, Netgear, Cisco Linksys, Belkin, Buffalo, Technicolor, TP-Link y ZyXEL.

Concretamente, el problema consiste en que el número de intentos que necesitaría un atacante de "fuerza bruta" para determinar la clave de un router o punto de acceso se vería reducido considerablemente, tanto es así que existen herramientas disponibles que aprovechando esta vulnerabilidad podrían recuperar un PIN WPS entre 4 y 10 horas solamente, según informan desde US-CERT

Si deseáis más detalles técnicos de esta vulnerabilidad, podéis consultarlos (en inglés), en la web: http://www.kb.cert.org/vuls/id/723755

La solución pasa por actualizar el firmware del equipo (podéis acceder a más información y el acceso a las posibles actualizaciones pinchando arriba en los nombres de la marca correspondiente a vuestro equipo).

Cross-Site Scripting en Cisco Guard Appliance y Blade

El pasado 2 de Enero, Cisco publica una alerta de seguridad para confirmar una vulnerabilidad que han localizado en su producto Cisco Guard y que podría permitir a un usuario remoto realizar ataques Cross-Site Scripting, enviando a un cliente web de este producto a un sitio web malicioso.

Los productos vulnerables son:

- Cisco Guard Appliance 3.x
- Cisco Guard Blade 4.x
- Cisco Guard Appliance 5.0(3)
- Cisco Guard Appliance 5.1(5)

La solución a esta vulnerabilidad ha sido resuelta en la versión 5.1(6) del código Cisco Anomaly Guard y se recomienda la actualización a esta versión, aunque también se recomienda antes de realizar la actualización consultar la web: http://www.cisco.com/go/psirt

Varias vulnerabilidades en Bugzilla


El pasado 2 de Enero, se anunciaron varias vulnerabilidades en Bugzilla que podrían permitir evadir restricciones de seguridad, realizar ataques de Cross-Site Request Forgery (CSRF) y ataques de Cross-Site Scripting (XSS), según informan desde Hispasec.

Bugzilla es una herramienta de código abierto para el seguimiento de errores en proyectos de software y que es bastante usada en entornos corporativos.
Además, también permite determinar prioridad, severidad de los mismos, agregar comentarios y propuestas de solución, designar los responsables para cada uno de ellos, etc... 

Las vulnerabilidades, concretamente son las siguientes:

- CVE-2011-3657: La falta de comprobación de los parámetros de entrada que se pasan a "chart.cgi" cuando el modo "debug" está habilitado, podría ser explotada por un atacante remoto para llevar a cabo ataques Cross-Site Scripting (XSS).

- CVE-2011-3667: Existe un error que podría ser aprovechado para crear una cuenta de usuario no autorizada, evadiendo las restricciones de seguridad implementadas. El error se debe a que el método "User.offer_account_by_email" no tiene en cuenta el valor "user_can_create_account" del método de autenticación antes de enviar emails para la creación de cuentas nuevas.

- CVE-2011-3668 y CVE-2011-3669: Una vulnerabilidad de falta de comprobación de permisos al crear informes de errores en "post_bug.cgi" y adjuntar archivos en "attachment.cgi" podría permitir a un atacante remotod crear informes de errores y adjuntar archivos no deseados a través de un ataque Cross-Site Request Forgery (CSRF).

- Por último, determinadas entradas que se pasan a "report.cgi" al cambiar el nombre real no son correctamente verificadas antes de utilizarlas, lo que podría provocar que un atacante remoto pudiera insertar código HTML arbitrario y código script.

Las soluciones a estas vulnerabilidades están disponibles para su descarga en la web de bugzilla, concretamente las versiones: 3.4.13, 3.6.7, 4.0.3 y 4.2rc1.

domingo, 1 de enero de 2012

Una vulnerabilidad podría permitir dejar sin servicio a la mayoría de servicios web


Leo el 30 de Diciembre del año pasado (que lejos parece dicho así y eso que hace solamente 2 días... :P) en hispasec, que han descubierto una vulnerabilidad que afecta a casi todas las plataformas de servicios web actuales y que podría permitir la realización de ataques DoS (Denegación de Servicio).
Dicha vulnerabilidad fue presentada por dos investigadores en una conferencia en el congreso Chaos Communication Congress, organizado por el Chaos Computer Club y que se puede ver en YouTube en el enlace: http://www.youtube.com/watch?v=R2Cq3CLI6H8.

El alcance de la vulnerabilidad es tal, que prácticamente es más sencillo decir los lenguajes que no se ven afectados: Perl y CRuby 1.9 que los que sí lo están:

- Microsoft .NET Framework 1.x, 2.x, 3.x y 4.x
- PHP 5.3.x
- Ruby 1.8.x
- Rubinius 1.x
- Rack 1.x
- Oracle GlassFish Server 3.x
- Apache Tomcat 5.x, 6.x y 7.x
- Apache Geronimo 2.x
- Google V8
- Jetty 6.x y 7.x
- Plone 4.x
- JRuby 1.x

Uffffff... casi nada. 

El caso es que parece que el problema es idéntico a uno que ya se descubrió en 2.003 y que afectaba a Perl y por eso no se ve afectado ahora: ya lo tenía solventado desde hace ¡¡8 años!!.

Dado que el problema, además, viene dado porque básicamente todas las plataformas almacenan en tablas hash (una tabla que asocia llaves o claves con valores) los parámetros de las peticiones web, ¿cómo no se les ocurrió al resto de lenguajes cuando surgió el problema en Perl en 2.003 mirar "internamente" a ver si ellos también podrían estar afectados por el mismo fallo?. Quizás porque la gente ve "la paja en el ojo ajeno y no ve la viga en el propio"

El caso es que ahora nos encontramos con este problema que, al parecer, está ya solucionado en la mayoría de los lenguajes mediante la publicación de actualizaciones y parches que lo corrigen

Microsoft, por ejemplo, ha publicado un boletín de seguridad que corrige esta vulnerabilidad y tres más.
Ruby ha sacado la actualización 1.8.7-p357.
PHP 5 se actualiza a través de los repositorios SVN.
Rack se actualiza a través de los repositorios GIT.
Apache Tomcat ha actualizado a las versiones 5.5.35, 6.0.35 y 7.0.23.
JRuby ha actualizado a la versión 1.6.5.1

En fin, que como no podía ser menos, el año 2.011 se despide entre fallos de seguridad. 
Esperemos que este nuevo año que empieza hoy comience un poquito mejor en todos los sentidos para todos: salud, trabajo, amor... y menos fallos de seguridad. 

¡¡FELIZ AÑO!!