Agujero de seguridad en núcleo de Windows permite eludir el UAC

noviembre 30, 2010 § 1 comentario

Una vulnerabilidad de aumento de privilegios en el núcleo de Windows puede ser explotada para eludir el mecanismo de seguridad de Microsoft UAC (user account control – control de cuenta de usuario), según advierte un investigador de seguridad.

Ya se ha publicado en la web el código de una explotación como prueba de concepto (PoC). Microsoft dice que está investigando el asunto.

Chester Wisniewski, Asesor Senior de Seguridad Sophos Canadá dice:

La explotación permite que la aplicación eleve sus privilegios a los de “System” y en Vista y Windows 7 también puede eludir el control UAC.

Este boletín de Secunia describe el problema:

Se ha descubierto una vulnerabilidad en Microsoft Windows, la cual puede ser explotada por usuarios maliciosos en forma local para provocar un DoS) (denegación de servicios) u obtener privilegios mayores.

La vulnerabilidad es provocada por un error en win32k.sys cuando procesa la función “GreEnableEUDC()”. Esta puede ser explotada para desbordar el buffer “EntryContext” especificado en el parámetro “QueryTable” de la función “RtlQueryRegistryValues()” mediante, por ejemplo, un valor del registro “SystemDefaultEUDCFont” preparado especialmente.

La explotación exitosa permite la ejecución arbitraria de código en el kernel.

La prueba de concepto, que fue publicada por poco tiempo en un sitio de educativo de programación y luego retirada, elude el mecanismo de seguridad UAC de Windows pero la severidad es reducida un poco porque el atacante debe combinar dos vulnerabilidades de seguridad (y explotarlas) para lanzar un ataque exitoso.

La vulnerabilidad por si misma no permite la ejecución remota de código, pero permite que cuentas que no son administrador ejecuten código como si lo fueran

La falla parece afectar a todas las versiones de Windows, desde XP hasta los recientes Windows Server 2008 R2 y Windows 7.

Traducción: Raúl y Cristian – Segu-Info
Fuentes: Zero Day y Naked Security Sophos

Anuncios

El Pentágono adoptará nuevas medidas de seguridad para frenar las filtraciones

noviembre 30, 2010 § 2 comentarios

El Pentágono ha tildado de “imprudentes” la última filtración de Wikileaks, en la que han salido a la luz documentos clasificados de Departamento de Estado de Estados Unidos, y anunció que tomará medidas para reforzar la seguridad de las redes militares de EEUU.
En un comunicado emitido pocos minutos antes de que ‘Le Monde’ y el ‘New York Times’ revelasen el contenido de los documentos, el Pentágono condenó “la divulgación irresponsable de la información clasificada obtenida ilegalmente”.

A raíz de las revelaciones anteriores de Wikileaks sobre Afganistán e Irak, el secretario de Defensa, Robert Gates, pidió el 12 de agosto que se efectuara una auditoría para determinar cómo se han producido esas filtraciones, aseguró Bryan Whitman, uno de los portavoces del Pentágono. “Una serie de recomendaciones sugeridas en esta auditoria se están aplicando para que estas filtraciones no se repitan”, añadió Whitman.

Ahora será imposible copiar en CD-ROM o en un dispositivo USB la información guardada en un ordenador del Departamento de Defensa. Esta será una de las principales medidas de protección “para reducir los riesgos futuros y evitar que un miembro del personal pueda transferir los datos clasificados en nuestros sistemas”, explicó el portavoz del Pentágono.

Vigilancia doble en los ordenadores

Cuando los datos deban ser transferidos a equipos que no estén protegidos, esta acción será efectuada por dos personas a la vez para “reducir el riesgo de divulgación no autorizada de información clasificada“, aclaró.

Wikileaks no ha revelado quién le ha facilitado los documentos, las sospechas se centraron en Bradley Manning, un especialista en inteligencia en el Ejército de EEUU, detenido en mayo.
Otro procedimiento permitirá rastrear a cualquier usuario cuando el sistama detecte actividades “sospechosas, inusuales o anormales”. La tecnología utilizada será similar a la que se usa para rastrear el fraude en la tarjeta de crédito. También se realizarán inspecciones sobre el terreno.
“Ahora es mucho más difícil para una persona que se comprometa a acceder y distribuir información fuera de los canales autorizados”, concluyó Whitman.

Advertencias de EEUU

Por su parte, la Casa Blanca ha condenado la “peligrosa acción” de Wikileaks y ha afirmado que podría poner en peligro vidas y dañar las relaciones con países amigos de EEUU.
Previamente a la publicación, el departamento de Estado norteamericano había advertido en una carta al fundador de Wikileaks, Julian Assange, que nuevas revelaciones de la plataforma podrían poner en peligro numerosas vidas, en un intento por detener las publicaciones anunciadas por la web.

De hecho, la secretaria de Estado norteamericana, Hillary Clinton, advirtió a los gobiernos de Francia, Alemania y Reino Unido, entre otros, de posibles revelaciones comprometedoras.
Los esfuerzos de Hilary Clinton y los embajadores de EEUU en todo el mundo durante la jornada de este domingo han supuesto un intento de justificación con los países envueltos en este escándalo diplomático.
Desde la Casa Blanca han condenado “de forma enérgica” la filtración de unos documentos “sensibles a la seguridad nacional”. Mientras tanto, los cinco medios que cuentan con las informaciones filtradas por Wikileaks continúan publicando el contenido de los cables que se intercambiaron diplomáticos y miembros de los servicios de inteligencia de EEUU.

El Gobierno estadounidense ya había advertido anteriormente del peligro que suponían para vidas humanas otras publicaciones de documentos sobre la guerra de Afganistán e Irak por parte de la web.

Fuente: El Mundo

Felíz Día de la Seguridad de la Información

noviembre 30, 2010 § 1 comentario

El día internacional de la seguridad informática, el 30 de noviembre, tiene un especial valor en los tiempos actuales en cuanto a la información del usuario se refiere. Con Internet nos encontramos en un momento en el que la información privada de los usuarios cada vez tiende a ser más pública, un momento en el que los niveles de información alcanzan límites históricos y en el que la sociedad en general se ha dado cuenta del poder de Internet y la información que circula.

La seguridad de la información, tan en peligro en la era informática, en todo caso no es una cuestión ni mucho menos reciente. Las alusiones en la Historia a la protección de la información son muy numerosos. Como casos más conocidos están la ‘máquina enigma’ de la II Guerra mundial o la defensa de archivos estatales en cualquier país. Pero, ¿cuándo aparece la preocupación por la seguridad de la información en la informática o en Internet?

La respuesta puede ser que desde el principio ha sido un tema que los creadores han tenido en cuenta, pero no es hasta 1980 cuando se fundamentan sus bases. En este año, James P. Anderson escribe un documento titulado ‘Computer Security Threat Monitoring and Surveillance’. Lo más interesante de este documento es que James Anderson da una definición de los principales agentes de las amenazas informáticas.

Entre sus definiciones se encuentran términos base de la seguridad informática como Ataque o Vulnerabilidad. En la definición de Vulnerabilidad hace referencia a “una falla conocida o su sospecha, tanto en hardware como en el diseño de software, o la operación de un sistema que se expone a la penetración de su información con exposición accidental”. En cuanto al Ataque, lo define como “una formulación especifica o ejecución de un plan para levar a cabo una amenaza”.

El documento relaciona estos términos en un contexto informático y de transmisión de datos. Estas definiciones serán algunos de los pilares para lo que hoy conocemos como seguridad informática. A partir de aquí el desarrollo de medidas de defensa de la información en la informática se ha desarrollado casi al mismo tiempo que la creación de amenazas. Los términos virus y antivirus ya forman parte de nuestro lenguaje común, se han convertido en algo cotidiano de nuestra sociedad.

Como hecho curioso en la historia de la seguridad de la información informática, uno de los primeros ataques en este sentido se le atribuye al ex-presidente Ronald Reagan. Supuestamente el antiguo presidente de EEUU habría vendido a la URSS una serie de equipos que contenían un software para controlar distintos aspectos. Se trataría de uno de los primeros ataques, que hoy queda en la historia como una anécdota de la seguridad informática.

Fuente: Portal TIC

¿Qué dice Wikileaks de Cristina de Kirchner y de otros presidentes?

noviembre 29, 2010 § 2 comentarios

La nueva entrega revela comunicaciones internas de los diplomáticos de EE.UU. y entre ellos se destaca el pedido del estado de salud y mental de CRISTINA FERNANDEZ DE KIRCHNER en el llamado Cable Gate.

La inminente publicación de documentos oficiales de EE UU conseguidos por Wikileaks abre un nuevo desafío a la diplomacia de Washington. Según analistas consultados, la nueva entrega de Wikileaks ofrecerá una mirada descarnada de las comunicaciones del Departamento de Estado norteamericano con sus 297 embajadas, consulados y misiones en el extranjero que comúnmente se conocen como cables, en realidad telegramas que se usan para hacer llegar instrucciones oficiales e informes entre Washington y sus legaciones y viceversa. Muchas de esas comunicaciones se hacen hoy a través del correo electrónico. Los telegramas o cables que salen del Departamento de Estado son firmados por el responsable de la diplomacia estadounidense y cuando se envían desde una embajada o consulado lo hace el embajador o un funcionario de alto rango.

“La vida de muchas personas puede estar en riesgo”. Lo ha dicho el jefe del Estado Mayor Conjunto estadounidense, almirante Mike Mullen. ¿La razón de la advertencia? Wikileaks abre un nuevo capítulo con la inminente publicación de 250.000 cables de la diplomacia estadounidense que expondrían a la luz negociaciones de EE UU con otros países; planes de los servicios de espionaje y otros asuntos confidenciales de alto riesgo. “Espero que los autores de esto en algún momento piensen en la responsabilidad que tienen por las vidas que están poniendo en peligro”, asegura Mullen. Wikileaks, la organización sin ánimo de lucro fundada por Julian Assange para ofrecer al mundo lo que no se cuenta porque el poder lo esconde, aseguró a principios de esta semana que estaba muy cerca de dar a conocer la documentación. El tema y el momento en el que se haría no fueron precisados, pero todo apunta a la inmediatez y tiene a EE UU y sus socios políticos en el punto de mira después de que el Departamento de Estado alertara a sus aliados de que la nueva filtración podría dañar seriamente sus relaciones.

La secretaria de Estado norteamericana, Hillary Clinton, ha contactado personalmente con los Gobiernos extranjeros que probablemente resulten afectados. Entre ellos se encuentran Reino Unido, Israel, Australia, Noruega, China, Dinamarca y Canadá. El portavoz del Departamento de Estado, Philip Crowley, tuvo que confirmar que las legaciones estadounidenses en el mundo ya estaban en la labor de advertir a sus socios internacionales. Según ha informado The Washington Post, la correspondencia diplomática demostraría, por ejemplo, que algunos socios de EE UU han tomado en ocasiones medidas que contradicen sus políticas oficiales.

El diario The New York Times, que ha formado parte del reducido número de publicaciones a las que Wikileaks ha entregado previamente material filtrado, podría haber informado ya a la Casa Blanca sobre lo que contienen los documentos que obran en su poder, según la página web de Assange. A través de su perfil de Twitter, Wikileaks informa que ha sufrido una “intensa presión durante meses” por la próxima publicación de documentos secretos y ha afirmado que el Pentágono está “hiperventilando de nuevo ante el temor de que tenga que rendir cuentas”.

El Gobierno británico, por su parte, preguntó a los directores de periódicos si publicarán documentos comprometedores. Downing Street aseguró que no se censurará la difusión, pero recordó a los directores que los diarios deben tener en consideración las operaciones militares del Reino Unido.

No es la primera vez que Wikileaks pone contra las cuerdas al Gobierno de EE UU. El pasado julio publicó 77.000 documentos militares estadounidenses clasificados sobre la guerra en Afganistán. En octubre expuso las sombras de la guerra en Irak publicando unos 400.000 informes de incidentes, escritos entre 2004 a 2009 por soldados estadounidenses. Actos de tortura y decenas de miles de civiles muertos componían gran parte de las páginas.

Wikileaks no ha revelado el origen de las masivas filtraciones de documentos del Ejército estadounidense. Sin embargo, Bradley Manning, un especialista de los servicios secretos dentro del ejército, fue detenido en mayo después de que Wikileaks difundiera un vídeo mostrando el ataque aéreo de un helicóptero estadounidense en Bagdad en 2007, durante el cual murieron civiles.

Fuente: El País y Cable Gate de Wikileaks

Uso de SMS Spoofing desde SET (Social Engineering Toolkit)

noviembre 29, 2010 § Deja un comentario

Aprovechando la publicación de los vídeos de la NcN, para aquellos que estén interesados, comentamos que durante la charla se realizó una demostración del uso de la funcionalidad de “SMS Spoofing” que se ha añadido a la versión 1.0 de Social Engineering Toolkit (SET). Por cierto, aprovechamos tambén para agradecer a Dave Keneddy la “acogida” de la aportación al framework de SET. Ha sido un auténtico placer poder colaborar con este proyecto.

En este post nos gustaría acabar de repasar las diferentes opciones disponibles des de la funcionalidad de “SMS Spoofing”. La release de SET ofrece:

  • El envío de SMS (spoofeables) a través de diferentes proveedores.
  • Una primera base de datos de plantillas SMS.
  • La creación de nuevas plantillas para ataques de SMS spoofing.

Más información:

Contenido completo en Test Purposes

Denegación de servicio en OpenSSL

noviembre 29, 2010 § Deja un comentario

Se ha detectado una vulnerabilidad en OpenSSL, el conocido y utilizado sistema de seguridad de transporte de comunicaciones en red de código abierto, mediante la cual un usuario remoto podría causar una denegación de servicio en el sistema afectado, ejecutando código arbitrario mediante el envío de datos especialmente manipulados y creados para comprometer la seguridad. Las versiones de OpenSSL que soporten TLS estan afectadas por este fallo, con lo que se recomienda la actualización inmediata.

En este enlace tenéis mas información al respecto, tanto de versiones afectadas, parches que solucionan el problema y nuevas versiones que solucionan esta grave vulnerabilidad.

Fuente: Dabo Web

Seguridad en el desarrollo de software

noviembre 29, 2010 § Deja un comentario

Recientemente tuvimos una discusión interesante en los foros de la “Cloud Security Alliance” (CSA) sobre el tema de seguridad en los aplicativos.

Al principio el tema propuesto no había generado mucha polémica y la gente se limitaba a repetir recetas tradicionales de seguridad para responder a la pregunta de cómo debemos proteger los aplicativos en la nube.

Pero bastó con que uno de los compañeros colocará un retador mensaje que atentara contra las más arraigadas prácticas para que ardiera Troya. El mensaje era de una sola línea: “Security + Development = Fail”.

La oleada de respuestas no se hizo esperar, tanto a favor como en contra. A continuación muestro una reflexión sobre varios de los argumentos expuestos en este debate; al final les comento sobre mi postura dentro del debate.

Contenido completo en Candado Digital

¿Dónde estoy?

Actualmente estás viendo los archivos para noviembre, 2010 en Seguridad Informática.