Microsoft publicará cinco boletines de seguridad el próximo martes
junio 8, 2013 § Dejar un comentario
Como de costumbre, Microsoft ha dado un adelanto de los boletines que serán publicados el próximo martes 11 de junio en su ciclo de actualizaciones. Serán cinco boletines y afectarán a Internet Explorer, Microsoft Windows y Microsoft Office con diferentes impactos.
En esta ocasión solo uno de los boletines ha sido calificado como crítico. Soluciona fallos que podría permitir la ejecución de código remoto y afecta a Internet Explorer en versiones desde la 6 hasta la 10, dependiendo del sistema operativo. El resto de boletines ha sido marcado como importante.
El segundo tratará vulnerabilidades que podrían revelar información sensible para Microsoft Windows en las versiones XP, 2003, Vista, 2008 Server, 7 y 8, pero solo en arquitecturas de 32 bits.
Los boletines tercero y cuarto afectan también al sistema operativo Windows, esta vez en sus versiones Vista, Server 2008 (también R2), 7, 8, Server 2012 y RT. Solucionarán problemas que pueden dar lugar a la denegación de servicio y elevación de privilegios, respectivamente.
Finalmente, una última actualización tratará vulnerabilidades que podrían desembocar en la ejecución de código remoto, esta vez en Office 2003 y 2011 para Mac.
No se sabe si estos boletines corregirán el problema de elevación de privilegios dado a conocer hace poco por Tavis Ormandy y del que existe ya prueba de concepto.
Junto con estos boletines, Microsoft también actualizará su herramienta “Microsoft Windows Malicious Software Removal Tool”, disponible desde Windows Update, Microsoft Update, Windows Server Update Services y su centro de descargas.
Fuente: Hispasec
Drupal resetea contraseñas después de exposición de usuarios (cambia la tuya!)
junio 4, 2013 § Dejar un comentario
Drupal, el CMS de código abierto, tuvo que ha restablecer todas sus contraseñas después de que atacantes desconocidos obtuvieron acceso a los datos de cuentas de sus usuarios, incluyendo nombres de usuario, direcciones de correo electrónico, países, y hash de las contraseñas.
La organización informó que los sitios que ejecutan Drupal -que representan alrededor del 2% de los sitios web en todo el mundo- incluyendo sitios como la Casa Blanca, The Economist y Examiner no se vieron afectados sino sólo aquellas cuentas de usuarios almacenados en Drupal.org y groups.drupal.org.
“Este acceso se realizó a través del software de otros fabricantes instalados en la misma infraestructura de los servidores Drupal.org, y no fue el resultado de una vulnerabilidad en sí Drupal. El hack involucra una vulnerabilidad conocida y luego se publicará cuando sea apropiado”.
Aquellos usuarios que quieran cambiar su contraseña deben hacerlo desde aquí.
Cristian de la Redacción de Segu-Info
Ejecución de comandos en Apache Web Server
mayo 30, 2013 § Dejar un comentario
Apache ha corregido un fallo de seguridad que podría permitir a un atacante ejecutar comandos si los inyecta previamente en los logs (lo que se consigue simplemente realizando peticiones HTTP especialmente manipuladas).
El fallo se encuentra en el módulo mod_rewrite del servidor web Apache, que no filtra ciertos caracteres y por tanto podría permitir la ejecución de código arbitrario de forma remota si un atacante deja comandos en los logs y luego son interpretados en consola.
mod_rewrite es un módulo del servidor web Apache que permite reescribir las URL solicitadas sobre la marcha basándose en reglas. Dichas reglas de reescritura pueden ser invocadas desde los ficheros ‘httpd.conf’ de forma global o ‘.htaccess’ en cada directorio. mod_rewrite es ampliamente utilizado para crear direcciones URL alternativas para las páginas dinámicas de forma que resulten más legibles, fáciles de recordar por los usuarios, y también mejor indexadas por los motores de búsqueda o buscadores.
Joe Orton ha descubierto que la función ‘do_rewritelog’, localizada en el fichero ‘modules/mappers/mod_rewrite.c’, no filtra adecuadamente los caracteres no imprimibles cuando escribe los datos en el archivo de registro (logs). Si se usa la directiva RewriteLog, un atacante remoto podría aprovechar este fallo para ejecutar comandos arbitrarios a través de peticiones HTTP especialmente manipuladas. Por ejemplo, que contengan una secuencia de escape para un terminal si los archivos de logs son mostrados.
La vulnerabilidad, identificada como CVE-2013-1862, afecta a la versión del servidor Apache 2.2.24, aunque también podrían estar comprometidas versiones anteriores. En la versión 2.2.25 ha sido corregida.
Fuente: Hispasec
Vulnerabilidad en Ruby on Rails, permite crear Botnet (Actualiza!)
mayo 29, 2013 § Dejar un comentario
Se ha descubierto que se está usando una vulnerabilidad de Ruby on Rails (CVE-2013-0156, de cinco meses de antiguedad, para construir una red de bots de servidores comprometidos.
Los desarrolladores que todavía no han actualizado Ruby on Rails harían bien en asegurar el framework de desarrollo web ahora para evitar formar parte de los servidores comprometidos que se están usando para propagar el malware.
El exploit ha estado a disposición del público desde que la vulnerabilidad se divulgó en enero en Github y Metasploit, sin embargo, la vulnerabilidad no había sido explotada a gran escala hasta ahora.
“Parece posible que esta botnet podría ser utilizada para realizar ataques de DDoS pero sería compatible con cualquier objetivo particular, más allá de comprometer hosts vulnerables” dijo el investigador Jeff Jarmoc.
El exploit establece una comunicación IRC con la IP 188.190.124.XXX y se une a un canal llamado #rails. El código está configurado para ejecutarse sólo una vez en un huésped infectado.
“La funcionalidad es limitada, pero incluye la posibilidad de descargar y ejecutar archivos. No se realiza ninguna autenticación, por lo que cualquiera podría secuestrar estos robots con bastante facilidad para unirse al servidor de IRC y emitir los comandos apropiados”
Un parche para el framework Ruby on Rails fue emitido el 08 de enero y se insta a los usuarios a actualizar a las versiones 3.2.11, 3.1.10, 3.0.19 y 2.3.15, los cuales ya no son vulnerables. La advertencia emitida en enero, dice que la vulnerabilidad permite a los atacantes eludir los sistemas de autenticación, inyectar comandos SQL, inyectar y ejecutar código.
Cristian de la Redacción de Segu-Info
Vulnerabilidades en Windows 7/8, OSX, SmartPhones y Navegadores
mayo 28, 2013 § Dejar un comentario
Los datos a continuación han sido extraídos desde Secunia y el NIST.
Muchos pueden creer que no es importante estos datos, pero sinceramente al menos para mí, no como aficionado a la materia sino como usuario diario de estos software es de suma importancia, lo suficiente muchas veces como para ver si uso el software correcto, o a la hora de aconsejar a otros sobre que productos decantarse. Es algo que siempre me ha sorprendido enormemente, cualquier persona se escandaliza si ve una pantalla de publicidad con un mensaje extraño, pero nadie se escandaliza cuando le dicen que su dispositivo o su equipo se encuentra en serias deficiencia en cuanto a seguridad, y que cualquier Hacker inteligente podría tomar el control de su dispositivo. Cuando intentas contarle esto a las personas te miran raro, o te dicen eso de: “Total para lo que tengo…”. En cambio, es cuando a esa persona le sucede algo por culpa de ello, es ya siempre tarde, y no son uno ni dos ni tres los casos al año, raro es el mes que no leo en mi correo o por cualquier otro medio alguien que tiene un problema, y no precisamente por que el navegador no deja de reenviarle a webs pornográficas.
Es por todo ello, que el principal problema de seguridad que existe a día de hoy es la ignorancia, el creer que nadie puede estar interesado en nuestros datos (cuando son oro puro para muchos), el creer por pura fe lo que le dicen otros, que posiblemente tienen aun más problemas que él, aunque no lo sepa. La mejor forma de enseñar, no es con miedo, no es con críticas baratas, es simplemente mostrando datos, enseñando que hay, que no hay, y que cada cual sea por tanto quien saque sus propias conclusiones.
Bien, el objetivo de este post es ver el número de fallos de seguridad (vulnerabilidades) acumulado durante este año pasado 2012 en sistemas operativos de escritorio, de dispositivos portátiles y de navegadores web. Eso no quiere decir que no existan otros problemas de seguridad ni mucho menos, los datos que puedo mostrar son datos PÚBLICOS que cualquiera puede tener acceso, en concreto mis datos recogidos son simplemente los CVE registrados. CVE son los reportes (un identificador) que asigna un organismo internacional a vulnerabilidades/fallos de seguridad. Hay que tener en cuenta ciertas cosas a la hora de interpretar los datos
Primero, un CVE no implica de modo alguno que un hacker podría hacerse con el control total de tu dispositivo a través de él, un CVE es un problema potencial de seguridad que puede ser explotado con fines malignos o no, y que por supuesto su peligrosidad varía enormemente en relación con el tipo de fallo descubierto. De este modo, tenemos problemas de seguridad menos peligrosos como los que “simplemente” exponen datos de nuestro sistema o datos sensibles al exterior sin nuestro consentimiento, pasando por fallos de seguridad que permiten el Spoofing, el Cracking, escaladas de privilegios, ataques de denegación de servicio… y por supuesto hasta llegar al peor de los males, como es el acceso al sistema, que son vulnerabilidades que se pueden aprovechar para la ejecución de código remoto (digamos, el santo grial siempre del Hacker).
Segundo, hacer una tabla con el número de fallos de seguridad sin tener en cuenta otros datos sería totalmente demagogo, hay que entender muchas veces como se recogen dichos datos, si puede existir una explicación “decente” a dichos números… de lo contrario entraríamos de nuevo en escribir artículos partidistas en los que el redactor siempre haría que ganasen unos y otros en función de sus intereses. Aquí no se trata de ganar o perder, se trata de exponer datos y explicar lo que puede explicarse con las razones que puedan darse. A partir de ahí, cada cual tendrá que pensar un poco por si mismo y sacar sus conclusiones, no creerse los datos expuestos y fijarse simplemente en una tabla de datos.
Informe de Inteligencia de Seguridad de Microsoft (SIR 14)
mayo 24, 2013 § Dejar un comentario
El volumen 14 del Microsoft Security Intelligence Report (SIRv14) [PDF] presenta en detalle perspectivas acerca de las vulnerabilidades de software, amenazas de código malicioso y software posiblemente no deseado en programas de software de Microsoft y de terceros. Microsoft ha elaborado estas perspectivas basándose en detallados análisis de tendencias realizados en los últimos años, haciendo hincapié en la segunda mitad de 2012.
Las denuncias de vulnerabilidad del sector descendieron un 7,8% desde el 1S12, principalmente por la reducción de las denuncias de vulnerabilidad de las aplicaciones. A pesar de este descenso, las denuncias de vulnerabilidad crecieron un 20% en el 2S12 con respecto al 2S11, un año antes. Las vulnerabilidades de alta gravedad representaron el 30,9% de las denuncias totales del 2S12, frente al 38% del período anterior.
Fuente: Microsoft
Nueva vulnerabilidad 0-Day para Windows
mayo 23, 2013 § Dejar un comentario
Tavis Ormandy, el investigador de Google conocido por el descubrimiento de una serie de vulnerabilidades en Windows, Java y Flash Player y, sobre todo por su su actitud combativa con respecto a la política de “divulgación responsable“, ha estado trabajando en la explotación de una vulnerailidad 0-Day Windows y ha pedido ayuda en la lista de correo Full Disclosure.
Él ha estado trabajando en la vulnerabilidad durante meses y ahora tiene un exploit funcional sobre todas las versiones de Windows.
Según Computerworld, Gregg Keizer de Microsoft ha confirmado el problema, y en la actualidad lo están investigándolo. Por suerte, no está siendo explotada activamente hasta el momento.
Según Secunia, se trata de una vulnerabilidad de elevación de privilegios que permitiría ejecutar código arbitrario en el sistema o un DoS, y afecta a todos Windows, incluídos 7 y 8. Aclaran que la vulnerabilidad sólo puede ser aprovechada por atacantes que tienen acceso físico a la máquina.
Cristian de la Redacción de Segu-Info
Nueva vulnerabilidad CSRF en LinkedIn
mayo 20, 2013 § Dejar un comentario
Vicente Aguilera, socio fundador de ISecAuditors, ha publicado una interesante PoC sobre una nueva vulnerabilidad CSRF (Cross Site Request Forgery) en LinkedIn que podría permitir a un atacante acceder a la información de cualquier contacto sin el conocimiento/consentimiento del usuario afectado.
Los pasos son los siguientes:
- Visita LinkedIn.com y accede con el perfil que desees usar
- Haz clic en añadir conexiones
- Añade cualquier dirección de correo electrónico
- Usa un proxy como WebScarab o Burp
- Borra los parámetros que no son usados/validados
- csrfToken
- sourceAlias
- Usa el método HTTP GET en lugar de POST
- Finalmente puedes ver el vídeo completo del PoC en el nuevo canal de ISecAuditors en Youtube.
Fuente: HackPlayers
PunkSPIDER: búsqueda masiva de vulnerabilidades en aplicaciones web
mayo 18, 2013 § Dejar un comentario
Alejandro Caceres, CTO de Hyperion Gray, presentó en la conferencia ShmooCon 2013 un interesante proyecto llamado PunkSPIDER. Se trata de una arquitectura basada en clusters Apache Hadoop para un escaner distribuido capaz de realizar miles de escaneos de vulnerabilidades web al día y poner a disposición de cualquiera sus resultados. Es decir, PunkSPIDER es un gran motor global de búsqueda de vulnerabilidades en aplicaciones web.
El objetivo de este proyecto es llamar la atención acerca de la pobre seguridad de las aplicaciones web en general. Con sólo escribir la URL puede ayudar a cualquier organización a conocer si su portal público tiene vulnerabilidades críticas que necesitan ser corregidas de inmediato.
Por supuesto, PunkSPIDER puede generar también cierta controversia porque, como muchas herramientas, puede ser utilizada para fines maliciosos, es decir, para conocer y explotar vulnerabilidades de aplicaciones web ajenas. Si bien recordemos que los escaneos son bastante automatizados y generalistas y cualquier atacante podría hacerlos previamente de forma similar en las fases previas a la intrusión.
Puedes descargar el código fuente, donar en Kickstarter y/o contactar con punkspider@hyperiongray.com si deseas colaborar con el proyecto.
Fuente: HackPlayers
Vulnerabilidad, exploit, y actualización para el kernel Linux
mayo 16, 2013 § Dejar un comentario
El pasado mes de abril, un mensaje en la lista del kernel Linux alertaba de un fallo de seguridad en la función ‘sw_perf_event_destroy’ de kernel/events/core.c. Su autor, Tommi Rantala, comentaba que lo había encontrado ejecutando una versión de Trinity modificada por él mismo. Se trata de una herramienta para emplear técnicas de fuzzing en las llamadas al sistema que proporciona el kernel Linux. The H Open cuentan que la vulnerabilidad que afecta al kernel Linux, de la versión 2.6.37 a la 3.8.9.
El fallo se encuentra en el subsistema ‘perf’ que permite obtener métricas de rendimiento del hardware. Al ejecutar un conjunto de llamadas con parámetros aleatorios, Rantala consiguió provocar un “kernel Oops” (una especie de excepción en el kernel). En la salida de registro de Trinity podían observarse las líneas que contenían la sospecha de un problema de seguridad:
Petr Matousek da una explicación completa y de recomendable estudio en la lista de bugzilla de Red Hat. El parche fue añadido al repositorio del kernel el mismo mes.
El fallo fue reportado en abril, y pasó un poco de puntillas por la lista de desarrolladores, sin levantar demasiado revuelo. Pero parece que no pasó tan desapercibido para todo el mundo. Un poco más tarde, en mayo, un tercero hizo público un exploit para aprovechar la vulnerabilidad. Este hecho es el que realmente ha sacado a la luz que el fallo, es en realidad un grave problema de seguridad.
El CVE asignado es el CVE-2013-2094. Afectaría a todos los kernels (de 64 bits) desde la versión 2.6.37 a la 3.8.8 que hayan sido compilados con la opción CONFIG_PERF_EVENTS.
Ubuntu también ha lanzado una actualización para cerrar esta vulnerabilidad en Ubuntu 13.04, 12.10 y 12.04 LTS, mientras que Debian mantiene el parche en su repositorio de seguridad, a la espera de liberarlo para todos los usuarios de la recién lanzada Debian 7.
Fuente: Hispasec
