Facebook permite ver la lista de amigos "privada"

noviembre 25, 2013 § Deja un comentario

Irene Abezgauz, un investigador de seguridad del Centro de investigación de Quotium ha encontrado una vulnerabilidad en Facebook que permite ver la lista de amigos de los usuarios, aunque el usuario haya establecido esa información como privada.

El exploit abusa de la función de “Personas que tal vez conozcas” en Facebook, que sugiere nuevos amigosen base a conexiones mutuas y otros criterios como la educación o el trabajo.

¡Este hack es muy sencillo! Lo que se tendría que hacer es crear un perfil falso de Facebook y luego enviar una solicitud de amistad a su objetivo. Incluso si el usuario objetivo nunca acepta la solicitud, el atacante puede ver la lista de amigos de esa persona a través de la función de “gente que tal vez conozcas“.

Facebook dice que “un atacante no tienen forma de saber si los amigos sugeridos representan o no la lista completa del usuario. Puede ver cientos de sugerencias y no saber cuales son los reales, sólo es un 80%”.
Por el momento, Facebook no ha reconocido el hallazgo. Entonces, ¿para qué establecer dicha lista como privada?

Fuente: HackerNews

Google soluciona vulnerabilidad crítica en el proceso de recuperación de contraseña

noviembre 23, 2013 § Deja un comentario

La compañía de Internet ha corregido una vulnerabilidad grave en su servicio de correo electrónico Gmail. En concreto, del proceso de recuperación de la contraseña, uno de los procesos más típicos en los que suelen centrarse los ataques de los cibercriminales. Un investigador privado encontró el modo de crear un ataque de phishing capaz de engañar al usuario y robar la contraseña de la cuenta. El gran problema de este ataque estriba en que en uno de los pasos del engaño el usuario visita una página web con el cifrado HTTPS y que es legítima de Google.

El problema, descubierto por Oren Hafif, ya ha sido corregido por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido). Oren describe extensamente en su blog su investigación, la forma de llevar a cabo un ataque exitoso y ha realizado un vídeo de cómo funciona el proceso.

El agujero en cuestión permitiría a un cibercriminal realizar un ataque dirigido contra un usuario, con solo contar con el correo electrónico de la víctima. Para llevar a cabo esta amenaza, el cibercriminal envía un correo electrónico directamente al usuario a través de una dirección que parezca legítima. En el mismo el atacante se presenta como si en realidad formara parte del servicio técnico de Gmail y le explica que lleva mucho tiempo utilizando la misma contraseña. Finalmente, le insta a confirmar que es el dueño de la cuenta de Google si pincha en un enlace incluido dentro del mensaje. El problema en este punto es que la página a la que dirige el enlace es realmente una web legítima de la compañía del buscador, que además usa el protocolo seguro HTTPS.

La página en cuestión se ha tomado (o “robado”) del proceso de recuperación de contraseña de Gmail y muestra un mensaje en el que se confirma que el usuario es legítimo y que cuenta con un botón para “resetear la contraseña”. Cuando la víctima pincha sobre el botón se le pregunta por la última contraseña conocida del usuario. Y esta información llega directamente al cibercrminal, que ahora puede entrar en el correo del usuario, cambiar la contraseña y pasar a controlar la cuenta. O simplemente espiar los correos de la víctima sin que éste se dé cuenta. Además del correo, el cibercriminal también podría alcanzar otras cuentas de servicios que se han unido a la dirección de correo de Gmail para resetear la contraseña y tener acceso a ellas, tanto dentro de Google (por ejemplo cuentas de YouTube que se hayan actualizado o el sistema de almacenamiento online Google Drive) como externos a la compañía.

La buena noticia sobre este agujero es que Google ha actuado muy rápido, ya que en menos de dos semanas ha lanzado un parche que corrige la vulnerabilidad y que impide que se pueda aprovechar esta página legítima con el protocolo HTTPS a a la hora de intentar ataques de phishing. Quien encontró la vulnerabilidad informó del agujero de forma privada a Google y solo ahora ha publicado la información sobre el ataque. Además, ha anunciado que recibirá una compensación económica de la compañía estadounidense, que desde hace tiempo ha desplegado un programa para premiar a aquellos informáticos que sean capaces de encontrar vulnerabilidades en sus diferentes productos.

Fuente: Tu experto

9 de cada 10 apps móviles son vulnerables a ataques

noviembre 23, 2013 § Deja un comentario

Ofrecer acceso a fuentes de información privada o carecer de las medidas de seguridad adecuadas frente a los ataques son algunas de las vulnerabilidades a las que, según un estudio de HP, están expuestas la gran mayoría de las aplicaciones móviles disponibles.

HP dio a conocer los resultados de un estudio que, tras analizar más de 2 mil 100 aplicaciones móviles de más de 600 empresas, determina que las aplicaciones móviles representan una amenaza a la seguridad real. De hecho, nueve de cada diez aplicaciones móviles presentan vulnerabilidades.

De acuerdo con el estudio, 97% de las aplicaciones móviles probadas daban acceso a al menos una fuente de información privada de un dispositivo, incluyendo listas de contactos personales y páginas web de redes sociales, mientras que 86% de esas aplicaciones no contaban con medidas de seguridad adecuadas para protegerlas de los ataques más habituales. Por otra parte, 75% de las aplicaciones no utilizaban técnicas de cifrado adecuadas para almacenar los datos en los dispositivos móviles, y 18% de las aplicaciones envían los nombres de usuario y las contraseñas a través de HTTP. Del 82% restante, 18% implementa incorrectamente SSL / HTTPS.

“Mientras que los dispositivos móviles son cada vez más críticos para el negocio, también se están convirtiendo en los principales objetivos de ataque, con aplicaciones vulnerables proporcionando acceso a datos sensibles”, asegura Mike Armistead, vicepresidente y director general de productos de seguridad para empresas Fortify en HP . “Las aplicaciones móviles son ahora la primera línea de defensa contra el enemigo y las organizaciones deberá estar preparadas para evaluar, asegurar y proteger estas aplicaciones para evitar daños por ataques”.

Fuente: CIO

Las empresas no saben que sus sitios son vulnerables [Symantec]

noviembre 16, 2013 § Deja un comentario

La empresa Symantec ha publicado dos libros blancos de seguridad correspondientes a “guías sobre protección de sitios web” y “cómo funciona el software malicioso”.

La guía sobre protección de sitios web [PDF] dice que en el año 2012, Symantec realizó análisis de vulnerabilidades en más de 1.400 sitios web al día y, en más de la mitad de ellos, se encontraron vulnerabilidades sin resolver que alguien podría aprovechar para llevar a cabo un ataque. De hecho, la cuarta parte de los sitios web vulnerables ya estaban infectados con código dañino (malware) que podría llegar a provocar infecciones en los equipos de los visitantes o motivar la inclusión del sitio web en una lista negra. Estas cifras demuestran que millones de sitios web legítimos corren a diario el riesgo de sufrir un grave ataque y caer en manos de los cibercriminales.

Sin embargo, según este estudio de Symantec [PDF] confirma que las vulnerabilidades y su desconocimiento en las empresas, un tercio de los encuestados dan por sentado que sus sitios web son muy seguros, aunque nunca los han analizado para detectar posibles vulnerabilidades o infecciones.

Cristian de la Redacción de Segu-Info

Microsoft y Facebook crean nuevo Bug Bounty

noviembre 14, 2013 § Deja un comentario

Facebook y Microsoft ofrecen una recompensa de hasta $5.000 dólares para aquellos “hackers buenos” que encuentren un agujero de seguridad en la World Wide Web.

Aunque el fabricante de Windows ya ofrece sus propios premios en dinero para quien encuentre una falla de seguridad, una recompensa multiempresa es una idea novedosa.

La iniciativa llamada “Bug Bounty” (recompensa por fallas), que patrocinan ambas empresas, reta a los interesados a encontrar fallas en plataformas web críticas como OpenSSL, PHP, Perl y Apache. Incluso, se convoca a hackear el propio internet; es decir, encontrar un error que afecte a una amplica gama de productos y usuarios.

“Si el público es demostrablemente más seguro, como resultado de su contribución a la seguridad en internet, nos gustaría ser los primeros en reconocer su trabajo y decir ‘gracias’ con algo de dinero para usted o su organización sin fines de lucro favorita”, explica la página de The Internet Bug Bounty.

La recompensa varía dependiendo de la plataforma que se haya hackeado. Encontrar una falla en Apache podría generar alrededor de $500 dólares, mientras que encontrar hackear todo el internet puede sumar hasta $5.000 dólares. Un panel de especialistas de Microsoft, Facebook y Google serán los jueces de los proyectos inscriptos en la iniciativa.

Fuente: bSecure

#Macrumors "pierde" 860.000 cuentas (con MD5)

noviembre 13, 2013 § 1 Comentario

El foro del sitio de noticias, información y rumores sobre MAC, MacRumors ha sido atacado y se han comprometido 860.106 cuentas de usuarios, los cuales eran mantenidos en una versión sin actualizar de vBulletin.

Los mensajes de correo electrónico y los hash MD5 de las contraseñas fueron potencialmente comprometidos por lo que se sugiere a los usuarios cambiar sus contraseñas inmediatamente en Macrumors y en todos los otros lugares donde la hayan utilizado.

Utilizar MD5 con o sin sal es un medio insuficiente para proteger contraseñas almacenadas. Incluso en 2012, el autor original del algoritmo de hash MD5 ha declarado públicamente que ya no se considera seguro para usar en sitios web comerciales.

El propietario de Macrumors , Arnold Kim, se disculpó por la intrusión y dijo que esto ocurrió porque se obtuvo acceso a una cuenta de moderador, que luego permitió escalar privilegios con el objetivo de robar las credenciales de inicio de sesión de los usuarios. Al parecer, se utilizó un método similar al utilizado en los foros de Ubuntu en julio, donde los atacantes habían accedido a la base de datos de 1,82 millones de miembros registrados.

Aún no hay novedades de si la base comprometida esté circulando en Internet.

Actualización: los atacantes han dejado un post en Macrumors con la descripción de lo que hicieron y cómo lo hicieron.

Cristian de la Redacción de Segu-Info

Responsible full disclosure… por ambas partes

noviembre 13, 2013 § Deja un comentario

La revelación responsable de vulnerabilidades es un viejo debate, pero no necesariamente zanjado. Vamos a observarlo desde el punto de vista del sistema vulnerable o afectado, no desde el investigador (que es al que normalmente se le exigen las responsabilidades). Si se practica la revelación responsable, este adjetivo debe aplicarse tanto al que lo detecta, como al afectado.

La anécdota

En ElevenPaths, alertamos hace algunas semanas sobre un pequeño fallo en la web de Cisco, en concreto de su servicio Meraki de redes a través de la nube. En una ruta concreta se divulgaba información quizás sensible.

Entre otros, se observa el nombre de usuario ssh, el servidor SVN, rutas a la red interna, y otros nombres de usuarios SVN. Quizás no se encuentren actualizados los datos y su impacto sea mínimo, pero es una información que definitivamente no debería estar ahí.

Cisco determina en su programa, bajo estas condiciones, las normas para alertar sobre fallos de seguridad:

We take these reports seriously and will respond swiftly to fix verifiable security issues. [...] Any Cisco Meraki web service that handles reasonably sensitive user data is intended to be in scope. This includes virtually all the content under *.meraki.com. [...] It is difficult to provide a definitive list of bugs that will qualify for a reward: any bug that substantially affects the confidentiality or integrity of user data is likely to be in scope for the program.

La revelación de información se les notificó a principios de noviembre. Dos días después la respuesta de Meraki fue peor de lo esperado:

I have looked into your report and, unfortunately, this was first reported to us on 9/23/13, with a resolution still pending from our engineers.

Esto implica que se alegaba que un tercero lo había descubierto previamente y lo que es peor, que el problema les era conocido desde hacía al menos cinco semanas y aún no lo habían (y no lo han) resuelto. Simplemente se trata eliminar una página de un servidor o protegerla con contraseña.

Contenido completo en fuente original ElevenPath

Microsoft publicó ocho boletines

noviembre 13, 2013 § Deja un comentario

Como cada mes, ayer martes Microsoft ha publicado sus boletines mensuales. En esta ocasión se trata de ocho boletines (del MS13-088 al MS12-095) que corrigen múltiples vulnerabilidades en diversos sistemas.

De estos boletines, tres han sido calificados como críticos, todos ellos corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código. Entre estos se incluye un boletín para Internet Exlorer. El resto de boletines críticos afectan a los sistemas operativos de Microsoft.

Los otros cinco boletines son de nivel importante y están relacionados con problemas de ejecución remota de código, revelación de información y denegación de servicio. Afectan a Microsoft Office y a los propios sistemas operativos Windows. Aunque en la información publicada no se concreta, cabe esperar que el boletín dedicado a Office y que corrige una ejecución remota de código solucione el 0-day del que informamos recientemente.

Microsoft además ha publicado los siguientes documentos informativos sobre seguridad:

Fuente: Hispasec

Vulnerabilidad Zero-Day en Intenet Explorer

noviembre 11, 2013 § Deja un comentario

FireEye Labs ha descubierto un exploit que aprovecha una vulnerabilidad 0-day en Internet Explorer de acceso a memoria para lograr la ejecución de código. Hasta ahora la vulnerabilidad ha sido confirmada en IE 7, 8, 9 y 10 y según Microsoft, la vulnerabilidad puede ser mitigada utilizando EMET 4.0.

Un 0day en productos de Microsoft es relativamente normal. De hecho, con este, son dos los que han sido encontrados en la última semana (particularmente prolífica en este aspecto). Al margen de la eterna discusión y las soluciones no adoptadas aún (con EMET, no hay peligro en ninguno de los dos casos), este 0-day es muy especial no tanto por el fallo, sino por la forma de explotación. Una vez encontrada una vulnerabilidad, el atacante puede explotarla de varias formas. En este caso, han elegido un par de métodos muy interesantes, y nada habituales.

FireEye proporcionó información adicional sobre el exploit y sobre el troyano utilizado para infectar los equipos vulnerados Trojan.APT.9002 (o una variante Hydraq/McRAT), conocido también por la Operation DeputyDog, contra sitios japoneses y también usando en la Operación Aurora original. Además, han publicado una lista de MD5 y dominios que han estado actuando desde el momento del descubrimiento.

Fuente: ISC y Hispasec

Nuevo fallo del tipo “Master Key” afecta a Android 4.4 y anteriores

noviembre 6, 2013 § Deja un comentario

A principios de julio de este año, fue publicado un fallo en la verificación de firmas de Android que permitía evitar la comprobación de firma.

BlueBox, la empresa que descubrió el fallo, anunció que daría detalles en la BlackHat 2013. Pero poco después del comunicado la comunidad se interesó por el asunto y prácticamente le quitaron el caramelo de las manos publicando pruebas de concepto en las cuales se demostraba la manera de aprovechar el fallo, llamado “Master Key”; debido a que gracias a él permite, incluir código arbitrario en cualquier APK firmado por un desarrollador sin alterar la firma.

Días después, el grupo chino Android Security Squad publicó un nuevo ataque parecido a “Master Key”, pero en el que se podía inyectar código compilado arbitrario en el archivo “classes.dex” de otra aplicación. Para ello se aprovechaba un espacio entre la cabecera y los datos y nuevamente sin alterar la firma del paquete. Aunque este error se limitaba a archivos “classes.dex” inferiores a 64K.

Jay Freeman, más conocido por su trabajo al frente de Cydia (gestor de aplicaciones para sistemas iOS con jailbreak), ha publicado un nuevo método del tipo “Master Key” aprovechando un fallo en la última versión de Android, la 4.4.

Freeman examinó un parche incluido en el código liberado de la versión 4.4 de Android y comprobó como existía la posibilidad de inyectar clases compiladas en un archivo “classes.dex” de un tercero. El método es similar al encontrado por el grupo chino, es decir, se basa de nuevo en la inyección de clases dentro de las secciones que componen el archivo comprimido en formato ZIP.

Aunque este fallo podría ser usado por un atacante para inyectar código sin romper la firma de un paquete legítimo, Freeman lo orienta más a la capacidad para realizar un “rooteo” del dispositivo.

Con este tipo de vector son ya tres los fallos encontrados (al menos publicados) que pueden ser usados para la misma finalidad. De nuevo la implementación y manejo de los archivos comprimidos en el proceso de verificación de firmas son la fuente de problemas para el sistema operativo móvil de Google.

Esto último, unido a la desesperante tardanza de algunos operadores en liberar parches para los sistemas de sus clientes, hacen que la ventana de exposición se convierta en un largo e interminable pasillo. Eso siempre y cuando se tenga la suerte de que el sistema siga estando soportado.

Fuente: Hispasec

¿Dónde estoy?

Actualmente estás explorando la categoría Vulnerabilidades en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 106 seguidores