Exploit 0-day para Office

noviembre 6, 2013 § Deja un comentario

Microsoft ha emitido una advertencia porque se ha encontrado que atacantes han estado usando una vulnerabilidad 0-day para lanzar ataques contra objetivos determinados. La vulnerabilidad en un componente gráfico de Office permite ejecución remota de código y ha sido identificada como CVE-2013-3906.

Según la firma, el ataque ha sido distribuido por correo mediante documentos de Microsoft Word y en gran parte ha sido dirigido a equipos pertenecientes a empresas con sede en el Oriente Medio y Asia del sur.

Utilizando ingeniería social se distribuye un email que contiene un adjunto con una imagen TIFF mal formada y que permite explotar la vulnerabilidad.

De acuerdo a Microsoft, desde Office 2003 a 2013 podrían ser vulnerables. En la advertencia de seguridad publicada, Microsoft pone a disposición una herramienta tipo Fix-it como solución temporal para el fallo y además recomiendan instalar EMET para mitigar la explotación del la vulnerabilidad (imagen).

Cristian de la Redacción de Segu-Info

Backdoor en routers Wireless chinos

octubre 21, 2013 § 1 comentario

La semana pasada Craig Heffner, especialista en hacking de dispositivo de networking y que ha encontrado numerosos backdoors routers D-Link, ha hallado una nueva puerta trasera en dispositivos Tenda.

Recientemente publicó un paper titulado “De China, con amor”, donde expone una “puerta trasera” en equipos Tenda Technology (www.tenda.cn). Al desempacar la actualización del software, encontró que el fabricante utiliza el binario del servidor web GoAhead pero que ha sido modificado sustancialmente.

Estos routers están protegidos con clave de cifrado estándar Wi-Fi Protected Setup (WPS) y WPA, pero envían un un paquete UDP especial con una cadena “w302r_mfg” que un atacante podría utilizar para conectarse al dispositivo en forma remota.

Los routers contienen un componente de HTTPd y la función MfgThread() genera un servicio tipo backdoor que escucha mensajes entrantes y si dicho mensaje corresponde a una cadena específica, un atacante remoto podría ejecutar comandos arbitrarios con privilegios de root.

Un atacante sólo necesita ejecutar el siguiente comando telnet en el puerto UDP 7329, para ganar acceso root:

echo -ne "w302r_mfg\x00x/bin/busybox telnetd" | nc -q 5 -u 7329 192.168.0.1

Algunos de los routers vulnerables son W302R y W330R y otras marcar y modelos como Medialink MWN-WAPR150N. Todos usan la misma cadena “w302r_mfg”.

Además, se ha publicado un script de Nmap NSE para probar los routers: tenda-backdoor.nse

Fuente: The Hacker News

Módulo de Metasploit para MS13-069 – CVE-2013-3205

septiembre 24, 2013 § Deja un comentario

EL Boletín de seguridad de Microsoft MS13-069 (CVE-2013-3205), que fuera marcado como crítico, es una actualización de seguridad acumulativa para Internet Explorer (2870699), lanzado el pasado martes 10 de septiembre.

Esta actualización de seguridad resuelve diez vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un atacante que aprovechara la más grave de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Se recomienda actualizar urgentemente porque ya existe un exploit público e incluso Metasploit ha lanzado el módulo MS13-069 Microsoft Internet Explorer CCaret Use-After-Free para aprovecharla en IE 8 sobre Windows XP SP3.

Esta actualización de seguridad se considera crítica para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9 e Internet Explorer 10 en clientes Windows y moderada para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9 e Internet Explorer 10 en servidores Windows

Fuentes: Microsoft y Metasploit

Fix para 0-Day de Internet Explorer

septiembre 18, 2013 § Deja un comentario

Microsoft ha lanzado el Security Advisory 2887505 sobre un vulnerabilidad 0-Day que afecta a Internet Explorer 8 y 9, aunque el problema podría afectar a todas las versiones compatible. Actualización: todas las versiones son vulnerables.

Este problema podría permitir la ejecución remota de código si un usuario ingresa a un sitio web con contenido malicioso dirigido específicamente a los navegadores mencionados.

El exploit detectado por Microsoft está implementado totalmente en Javascript (no depende de Java, Flash, etc.) pero sí depende de una DLL de Office que no fue compilada con ASLR habilitado (Address Space Layout Randomization). El propósito de esta DLL en el contexto del exploit es evitar ASLR mediante código ejecutable en una dirección en memoria conocida.

Debido a que se han reportado ataques In-the-Wild, Microsoft está trabajando para desarrollar una actualización y se recomienda instalar algunas de las siguientes soluciones provisionales de mitigación:

  • Instalar Fix it “CVE-2013-3893 MSHTML Shim Workaround”, que impide la explotación de la vulnerabilidad. Lamentablemente este Fix sólo está disponible para versiones de 32bits.
  • Establecer a “Alto” los valores de los controles de “ActiveX y Active Scripting” en estas zonas de Internet e Intranet local.
  • Configurar Internet Explorer para que pregunte antes de ejecutar controles ActiveX o deshabilitar la secuencias de comandos ActiveX en las zonas Internet e intranet local.
  • Instalar la herramienta gratuita EMET 4.0 (Enhanced Mitigation Experience Toolkit) para mitigar la vulnerabilidad.

Cristian de la Redacción de Segu-Info

    Vulnerabilidad en WebView de Android permite instalar malware

    septiembre 17, 2013 § Deja un comentario

    WebView es un componente esencial en Android e iOS y permite a las aplicaciones mostrar el contenido de los recursos en línea y simplifica la tarea de realizar una solicitud de red, parsear los datos y mostrarlos.

    Un experto de seguridad de AVG ha encontrado una vulnerabilidad crítica en la función WebView de Android, que permitiría a un atacante instalar software malicioso, enviar mensajes de texto y realizar cualquier otra tarea sobre el dispositivo.

    WebView utiliza una serie de APIs que pueden interactuar con los contenidos de la web dentro de WebView, lo cual permite al usuario ver una aplicación web como parte de una aplicación Android ordinaria. Los usuarios pueden ser infectados al hacer clic en un enlace en una aplicación vulnerable y utilizando un navegador que tenga Java habilitado. Para explotar la vulnerabilidad, el atacante puede engañar a los usuarios para que haga clic en un vínculo malicioso en una aplicación WebView vulnerable y ejecutar el JavaScript malicioso en la misma página web.En el blog de AVG han publicado una PoC del ataque.

    Todas las aplicaciones que se ejecutan en Android 4.1 o anterior son vulnerables y se recomienda a los usuarios actualizar a Android 4.2 o superior y descargar aplicaciones sólo desde Google Play.

    Fuente: HackerNews

    Para Linux permítame sugerirle el exploit…

    septiembre 6, 2013 § Deja un comentario

    ¡Linux Exploit Suggester es un sencillo Script en Perl que, basándose en la versión del kernel, identifica rápidamente las vulnerabilidades conocidas y sugiere exploits para conseguir root en una prueba de intrusión legítima.

    # wget https://github.com/PenturaLabs/Linux_Exploit_Suggester/raw/master/Linux_Exploit_Suggester.pl

    # uname -r
    3.7-trunk-686-pae

    # perl ./Linux_Exploit_Suggester.pl

    Kernel local: 3.7.

    Searching among 63 exploits...

    Possible Exploits:
    [+] msr (3.7.0)
        CVE-2013-0268
        Source: http://www.exploit-db.com/exploits/27297/

    Fuente: Hackplayers

    Prevenir Ataques 0-Day [Infografía]

    agosto 31, 2013 § 1 comentario

    Las exposiciones desconocidas y las explotaciones de 0-Day son los vectores principales de ataque en los ambientes de red actuales debido principalmente a que tienen la habilidad de evitar la detección de malware tradicional – dificultándole a las organizaciones mantenerse actualizadas con el volumen abrupto de amenazas (click en la imagen para agrandar).

    Los criminales lanzan constantemente ataques nuevos distribuyendo miles de nuevas variantes de malware cada día. Las soluciones antivirus tradicionales no son suficientes cuando se trata de lidiar con amenazas desconocidas.

    Las organizaciones pueden confiar en que los empleados están conscientes de la seguridad cuando procesan datos corporativos en sus dispositivos personales – y muchos empleados lo están. Pero éstos generalmente se enfocan en laborar más eficientemente y en hacer su trabajo, no en si sus acciones pueden crear un riesgo de seguridad. Gran parte del tiempo no existen malas intenciones por parte del empleado y los datos permanecen en las manos adecuadas.

    Fuente: One Digital

    ¿Dónde estoy?

    Actualmente estás explorando la categoría exploit en Seguridad Informática.