You are here

Noticias

Nueva versión 2.1 del software genRSA en Java: generación de claves RSA

Hispasec - 7 hours 37 min ago
Desde hoy se encuentra disponible para su libre descarga el software de laboratorio genRSA v2.1, realizado por D. Rodrigo Díaz Arroyo como su trabajo fin de grado en Ingeniería de Computadores en la Universidad Politécnica de Madrid, bajo la dirección del profesor Jorge Ramió Aguirre.
URL genRSA v2.1.




Se trata de un software de prácticas desarrollado en Java y JavaFX, que implementa toda la lógica de la aplicación gracias al uso de la clase BigInteger.

El software incluye manual de usuario y banco de pruebas, accesibles además desde la misma aplicación.

Diseñado para prácticas de laboratorio de criptografía con el algoritmo RSA, corresponde a una actualización completa del antiguo programa genRSA v1.0 del año 2004, a partir de hoy obsoleto, realizado por D. Juan Carlos Pérez García y que en sus 13 años de existencia ha superado las 26.000 descargas en la red.

Puede saber si su versión de genRSA v2.1 es la última actualización, observando en Acerca de (pestaña Ayuda) la zona inferior derecha de la pantalla. Esta viene indicada como año, mes y día, siendo la primera 20171018.

Entre las prestaciones de genRSA v2.1 se encuentran:

  • Generación manual y automática de claves de hasta 4.096 bits, en formato decimal y hexadecimal. - Opciones de guardar, abrir o borrar clave.
  • Indicación automática de separación por miles en números decimales.
  • Posibilidad de generar claves con primos de igual tamaño, diferentes tamaños y con primos seguros.
  • Indicación del tiempo requerido para generar la clave.
  • En generación de clave automática, elección de valor mínimo para la clave pública e, o bien el estándar F4.
  • Indicación del tamaño de bits de cada parámetro de la clave generada, incluidas las claves privadas parejas CPP.
  • Listado completo de las claves privadas parejas CPP.
  • Indicación de la cantidad de números no cifrables NNC.
  • Generación del log de números no cifrables NNC, indicando el porcentaje que se ha computado.
  • Opciones de cifrado y descifrado, así como firma y verificación de la firma.
  • Opción de cifrado y/o firma de textos, agrupando éstos en bloques de bytes según el tamaño del módulo.
  • Test de primalidad de Miller Rabin y de Fermat con hasta 300 iteraciones. 
  • Ataque por factorización Pollard Rho (óptimo: módulo 80 bits, tiempo < 10 segundos). 
  • Ataque por paradoja del cumpleaños (óptimo: módulo 50 bits, tiempo < 10 segundos). 
  • Ataque por cifrado cíclico (óptimo: módulo 36 bits, tiempo < 10 segundos). 

Otro software de prácticas de libre descarga desde Criptored que se ha actualizado recientemente es Criptoclásicos version 2.1, en su compilación 20170917 del 17 de septiembre de 2017: 

URL Criptoclásicos v2.1



Jorge Ramió y Alfonso Muñoz. 
Criptored




Categories: Seguridad

Filtrados más de 30 millones de documentos de identidad de ciudadanos sudafricanos

Hispasec - Thu, 19/10/2017 - 09:30
El pasado 17 de octubre, Troy Hunt, reconocido MVP de Microsoft y creador del servicio 'Have I been pwned?', recibió en su correo un dump de 27 gigabytes con información personal sobre más de 30 millones de ciudadanos sudafricanos.

El fichero, de nombre 'masterdeeds.sql' contenía información personal de todo tipo: documentos de identidad, vida laboral, estado civil y diversa información fiscal sobre ciudadanos sudafricanos.


Estructura de la bbdd filtradaHasta el momento se han conseguido extraer 2,257,930 direcciones de correo electrónico y más de 30 millones de documentos de identidad de ciudadanos vivos y ya fallecidos de Sudáfica.

No se sabe con certeza qué entidad es la responsable de esta fuga de información, pero tras un primer análisis de los datos, Hunt encuentra referencias a "TransUnion" y "Dracore Data Sciences" una importante empresa de agregación de datos sudafricana. Estas empresas se encargan de recopilar y almacenar información financiera y de otro tipo para su posterior procesado y explotación.

Entre los servicios que ofrece Dracore se encuentra "GoVault", que se anuncia como "La mina de oro de información sobre propietarios y compradores sudafricanos".


Tras conseguir contactar con los responsables del servicio, Dracore niega estar relacionada con el 'leak' y le pasa la pelota a Jigsaw, señalando que una de las IP proporcionadas corresponde a esta empresa inmobiliaria.

Mientras tanto, los 27 gigabytes de datos siguen estando disponibles en algún lugar de Internet. Esperamos que se tomen las medidas adecuadas para evitar que la información caiga en malas manos.




Francisco Salido
fsalido@hispasec.com
Más información:
What We Know So Far About South Africa's Largest Ever Data Breachhttps://www.iafrikan.com/2017/10/18/south-africas-govault-hacked-over-30-million-personal-records-leaked/
Is Dracore Data Sciences Responsible For South Africa's Largest Ever Data Leak?https://www.iafrikan.com/2017/10/18/dracore-data-sciences/


Categories: Seguridad

Adobe actualiza Flash Player para corregir un 0-day

Hispasec - Wed, 18/10/2017 - 09:30
Adobe ha publicado una nueva actualización para Adobe Flash Player, que soluciona el 0-day anunciado recientemente. Esta vulnerabilidad permite a un atacante tomar el control de los sistemas afectados.




Adobe confirma que una vulnerabilidad de confusión de tipos (con CVE-2017-11292) se está explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash Player versión 27.0.0.159 y anteriores. Concretamente, esta vulnerabilidad permitiría la ejecución de código arbitrario. Afecta a las versiones de Adobe Flash Player para Windows, Macintosh, Linux, y los navegadores Chrome, Internet Explorer y Edge. Cada uno de estos productos tiene una nueva versión que parchea esta vulnerabilidad, tal y como se puede observar en el boletín de Adobe.

Lo interesante de esta vulnerabilidad es que se está explotando en este momento por la APT nombrada por Kaspersky como BlackOasis (recordamos que una APT es básicamente un ataque informático avanzado y orquestado contra una entidad importante). De hecho, esta vulnerabilidad está reportada por ellos, tras encontrarse el exploit para esta vulnerabilidad en la investigación de la APT. El objetivo de esta APT es espiar a figuras políticas relacionadas con Oriente Medio (cargos de la ONU, bloggers, activistas políticos...), y para ello infecta a las víctimas con FinSpy, un malware diseñado para ser comprado por agencias gubernamentales y espiar a los objetivos.

Este tipo de amenazas, las APT, suelen contar con exploits 0-day para infectar a las víctimas. En este caso, era un objeto Flash con el exploit cargado usando ActiveX desde un documento de Microsoft Office.



Carlos Ledesma
cledesma@hispasec.com

Más información:
Security updates available for Flash Player | APSB17-32
https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

BlackOasis APT and new targeted attacks leveraging zero-day exploit
https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/
FinFisher ataca de nuevo, ahora con posible apoyo de ISP's
http://unaaldia.hispasec.com/2017/09/finfisher-ataca-de-nuevo-ahora-con.html
Categories: Seguridad

KRACKs: grave vulnerabilidad en el protocolo WPA2

Hispasec - Tue, 17/10/2017 - 09:30
El investigador en seguridad informática, Mathy Vanhoef perteneciente al grupo de investigación IMEC-DISTRINET de la universidad Belga KU Leuven, ha demostrado públicamente, cómo el protocolo WPA2/WPA (tanto Personal como Enterprise) es vulnerable a un nuevo tipo de ataque, provocando que se pueda comprometer la comunicación segura e incluso inyectar código, mediante un ataque MitM al mecanismo de autenticación. 
Logotipo de KRACK. Fuente krackattacks.comSegún Vanhoef (@vanhoefm), la vulnerabilidad residiría en el propio diseño del protocolo WPA2, no en la implementación que utilice el sistema operativo, estando de facto afectados, todos aquellos dispositivos o sistemas que tengan WIFI habilitado
Ahondando en la vulnerabilidad, ésta se basaría en la capacidad de forzar la reutilización del 'nonce' o número arbitrario de un solo uso, utilizado durante el inicio de autenticación de una comunicación cifrada entre el cliente (supplicant) y servidor (AP), generalmente mediante un vector de iniciación (IV). Esto ocurre durante el protocolo de autenticación 4-way handshake, cuando se negocian las claves compartidas y el Pairwise Master Key (PMK), para iniciar el cifrado de la comunicación (norma IEEE 802.11i). 
Con este nuevo método, denominado Key Reinstallation Attacks (KRACKs), el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key) según el escenario utilizado en su demostración para Android 6.0, como Linux, reenviando 'handshakes' especialmente modificados. 
KRACK Attacks: Bypassing WPA2 against Android and Linux
Mediante esta nueva técnica, los impactos pueden ser bastante graves, dado que se consigue modificar la comunicación segura e incluso inyectar código para, por ejemplo, modificar el tráfico y descargar aplicaciones maliciosas en el cliente (como un troyano o ransomware). 
Todo esto depende de la combinación de protocolos utilizados durante la comunicación: 
  • Si se usa AES-CCMP, un atacante podría responder y descrifrar los paquetes. 
  • Pero si se usa WPA-TKIP o GCMP, se podría incluso falsificar los mismos, siendo el ataque con mayor impacto

Este tipo de ataque se basa en diferentes técnicas y un conjunto de vulnerabilidades sobre el protocolo, por lo que ha recibido hasta 10 CVEs distintos (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088).

Por ahora, se han publicado parches para hostapd and wpa_supplicant bajo Linux, y se prevé que durante esta semana se vayan actualizando las demás implementaciones, pero debido al numeroso volumen de dispositivos WIFI, recomendamos encarecidamente aplicar los mismos en cuanto estén disponible ya que es la única medida viable por el momento.
José Mesa
@jsmesa

Más información:
Key Reinstallation Attacks: Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/

Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2
http://papers.mathyvanhoef.com/ccs2017.pdf

A man-in-the-middle vulnerability has been found in OpenBSD's wireless stack.
https://marc.info/?l=openbsd-announce&m=148839684520133&w=2

hostapd and wpa_supplicant Security Updates
https://w1.fi/security/2017-1/

Cryptographic nonce
https://en.wikipedia.org/wiki/Cryptographic_nonce
Categories: Seguridad

Vulnerabilidad de denegación de servicio en ImageMagick

Hispasec - Mon, 16/10/2017 - 10:00
Se ha reportado una vulnerabilidad en ImageMagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.


Como ya hemos comentado anteriormente, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.
En el problema reportado, con CVE- 2017-15281, debido a un error al ejecutar ‘./magick convert %file% /dev/null’ en determinados archivos podría causar un salto en memoria debido a valores no inicializados. Esto podría ser aprovechado por un atacante remoto para provocar una denegación de servicio (cierre de la aplicación) a través de archivos especialmente manipulados.
Este problema afecta a las versiones anteriores a la 7.0.7-6Se recomienda actualizar a versiones superiores.https://www.imagemagick.org/download/beta/ 

Juan Sánchezjasanchez@hispasec.com
Más información:
ImageMagickwww.imagemagick.org
Conditional Statement depends on uninitialized value #832https://github.com/ImageMagick/ImageMagick/issues/832
Categories: Seguridad

Multiples vulnerabilidades en JanTek JTC-200

Hispasec - Sun, 15/10/2017 - 10:00
Se han reportado dos vulnerabilidades en dispositivos JanTek JTC-200, un convertidor TCP/IP a RS-232/485/422, half/full duplex. Las vulnerabilidades están consideradas de gravedad alta y podrían permitir a un atacante remoto ejecutar código arbitrario en el dispositivo.





El dispositivo JTC-200 es un convertidor TCP/IP a RS-232/485/422, half/full duplex, que presenta soporte para TCP, IP, UDP server/cliente y ademas cuenta con una interfaz web de gestión. Es un dispositivo ampliamente utilizado en el sector industrial y de telecomunicaciones.

En el primer problema, con CVE-2016-5789, en el que debido a un error de validación, un atacante remoto con los mismos permisos que la víctima, podría inducir a la víctima con sesión activa la ejecución de peticiones maliciosas (CSRF).

Como hemos comentado en otras ocasiones, CSRF es una técnica que permitiría realizar peticiones HTTP sin una correcta validación. Por ejemplo, imaginemos que un usuario se encuentra validado en una página que necesita autenticación. Desde el navegador, visita otra web que esconde una petición HTTP hacia esa página que necesita validación. Esa petición HTTP, en forma de enlace, se carga por la víctima sin saberlo y realiza una acción sobre la página en la que se encuentra autenticada. Esto sería un fallo de CSRF por parte de la página que necesita autenticación, puesto que no valida correctamente que las peticiones provengan de su propio dominio. Para impedir esto, las páginas suelen introducir un sistema de control que impide que una petición desde otra web sea válida.

En el segundo problema, con CVE-2016-5791, en el que un atacante remoto podría valerse de un error de autenticacion para ejecutar código arbitrario a través de una shell de Busybox Linux accesible desde Telnet.

Las dos vulnerabilidades han sido reportadas por Karn Ganeshan y afectan a todas las versiones de JanTek JTC-200.

En la página web del fabricante este producto figura como discontinuado, de hecho para finales de este año se espera el lanzamiento del nuevo modelo JTC-300, desconocemos si por ahora se van a tomar medidas para paliar estas fallas de seguridad.

Desde el laboratorio técnico de Hispasec recomendamos tomar las siguientes medidas de seguridad:
  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet. 
  • Usar cortafuegos, y aislar la red local de posibles accesos no autorizados. 
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).


    Juan Sánchezjasanchez@hispasec.com


    Más información:

    JanTek JTC-200http://www.jantek.com.tw/en/product/73

    Advisory (ICSA-17-283-02)
    https://ics-cert.us-cert.gov/advisories/ICSA-17-283-02








    Categories: Seguridad

    Documentos de Corea del Sur hackeados, dejan en evidencia planes militares contra Corea del Norte

    Hispasec - Sat, 14/10/2017 - 10:00
    Cientos de documentos militares clasificados de Corea del Sur han sido comprometidos previsiblemente por Corea del Norte, según información de un medio local.



    El acceso no autorizado se produjo en Septiembre de 2016 y derivó en la extracción de 235 GB de información. Entre la información sustraída se encontraría un plan para el derrocamiento de Kim Jong-un, que detallaría operaciones combinadas entre Corea del Sur y Estados Unidos en una guerra a gran escala entre las dos Coreas.

    La filtración se ha producido dos meses después de que el nuevo ministro de defensa tomase posesión de su cargo y ya ha derivado en 26 detenciones por parte de las autoridades de Corea del Sur.

    Esta información se hace pública en un momento en que las tensiones entre Estados Unidos y Corea del Norte se encuentran en el peor momento de los últimos años y aunque no está confirmado que esta información esté en poder del gobierno norcoreano no hay que olvidar que a este país se le presupone una alta capacidad en ciberseguridad.



    Fernando Ramírez
    @fdrg21
    Más información:

    S.Korea's Military Can Afford No More Incompetence and Lies:
    http://english.chosun.com/site/data/html_dir/2017/10/11/2017101101537.html












    Categories: Seguridad

    Microsoft soluciona 62 vulnerabilidades en sus boletines de octubre

    Hispasec - Fri, 13/10/2017 - 09:30
    La compañía de Redmond soluciona más de 60 vulnerabilidades en su último boletín, de las cuales 25 son consideradas críticas. Los productos afectados son, entre otros, Internet Explorer, Edge, Office y Windows.

    De especial importancia es la vulnerabilidad identificada como CVE-2017-11826. Este fallo, que afecta a todas las versiones con soporte de Microsoft Office, es una vulnerabilidad zero-day que ha estado siendo explotada para distribuir malware, y que permite la ejecución remota de código arbitrario a través de un fallo de corrupción de memoria provocado, por ejemplo, por un fichero Office especialmente diseñado. 

    Descubierta y revelada publicamente por la empresa Qihoo 360, la vulnerabilidad vendría explotándose al menos desde septiembre según su reporte. 

    También en Office, la vulnerabilidad CVE-2017-11776 en Microsoft Outlook se encuentra en la forma en que se realiza el cifrado S/MIME. El fallo permite el envío de correos cifrados incluyendo también el mismo contenido en texto plano. Ha sido descubierto por investigadores en SEC Consult Vulnerability Lab.

    Otro importante fallo es el identificado como CVE-2017-11779. Este se aloja en el sistema DNS de Windows, concretamente en el fichero DNSAPI.dll, y viene dado por un error en el manejo de respuestas DNS. Un atacante podría usar un servidor DNS malicioso para enviar respuestas especialmente diseñadas que dispararan la vulnerabilidad, permitiendo ejecutar código arbitrario de forma remota. Afecta a Windows 8, 10, Server 2012 y 2016.

    Finalmente, un breve repaso al resto de las vulnerabilidades:

    • Hasta 18 vulnerabilidades han sido corregidas en Microsoft Scripting Engine (componente de Microsoft Edge y ChakraCore), siendo la mayoría causadas por un fallo de corrupción de memoria y situándose entre gravedad moderada y crítica. Todas permitirían la ejecución de código de forma remota.
    • Se corrigen cuatro vulnerabilidades (Tres de ejecución remota de código y una de revelación de información) en Internet Explorer en versiones desde la 9 a la 11.
    •  24 de las vulnerabilidades corregidas se encuentran en diversas versiones de Microsoft Windows, repartidas entre varios componentes. Entre ellas, cinco vulnerabilidades de revelación de información se encuentran en el Kernel de Windows y otras cuatro, de diverso impacto, en el servidor SMB. 
    • Se corrigen nueve fallos en Microsoft Office, incluyendo tres vulnerabilidades XSS en SharePoint y una elevación de privilegios en Skype for Business.



    Francisco Lópezflopez@hispasec.com@zisk0


    Más información:
    October 2017 Security Updates:
    https://portal.msrc.microsoft.com/en-us/security-guidance

    New Office 0day (CVE-2017-11826) Exploited in the Wild
    http://360coresec.blogspot.com.es/2017/10/new-office-0day-cve-2017-11826.html

    FAKE CRYPTO: MICROSOFT OUTLOOK S/MIME CLEARTEXT DISCLOSURE (CVE-2017-11776)
    https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html


    Categories: Seguridad

    Accenture deja expuestos cuatro servidores con información sensible sobre la compañía y sus clientes

    Hispasec - Thu, 12/10/2017 - 10:00
    El pasado 17 de septiembre, el director del departamento de investigación de ciberamenazas Chris Vickery, descubrió cuatro instancias de Amazon Web Services (AWS) expuestas sin ningún tipo de protección. Los servidores en la nube eran propiedad de Accenture, una importante empresa dedicada a dar servicios de consultoría y outsourcing tecnológico.

    Cualquiera que tuviera la dirección web de estos servidores tenía acceso a todo tipo de información relacionada con su plataforma en la nube: Accenture Cloud Platform. Credenciales, certificados, claves criptográficas y datos privados sobre sus clientes estuvieron al descubierto por una mala configuración de la plataforma de Amazon. 


    Las cuatro instancias de AWS estaban administradas por el usuario 'awsacp0175' y se correspondían con los subdominios:


    • acp-deployment, que contenía credenciales para servicios de uso interno, ficheros de configuración y un fichero en texto plano con la clave para acceder al administrador de 'Amazon Web Services'.
    • acpcollector, contenía información de mantenimiento, claves de la VPN y logs de eventos y operaciones realizadas por Accenture en los distintos servidores.
    Contenido de acpcollector (Fuente: https://www.upguard.com)
    • acp-software, contenía dumps de cientos de gigas con claves de acceso, correos electrónicos privados, registros sobre eventos e incidentes, IDs JSession y credenciales de acceso a las cuentas de Google y Azure de Accenture. Además se consiguieron recuperar alrededor de 40.000 contraseñas en texto plano de una copia de seguridad almacenada en esta misma máquina.
    • acp-ssl, utilizado como almacén de claves contenía credenciales y claves criptográficas que se suponen para desencriptar las comunicaciones entre Accenture y sus clientes.
    Clientes Accenture (Fuente: https://www.upguard.com)

    Aunque los servidores fueron asegurados al día siguiente de dar el aviso, la información expuesta, en malas manos podría haber sido utilizada para realizar otros ataques dirigidos hacia la propia compañía o a sus clientes. 

    Accenture sin embargo, defiende en un comunicado a eWEEK que ninguno de sus clientes está en riesgo y que la información expuesta no podría ser utilizada para acceder a sus sistemas.



    Francisco Salido
    fsalido@hispasec.com
    Más información:
    System Shock: How A Cloud Leak Exposed Accenture's Business
    https://www.upguard.com/breaches/cloud-leak-accenture

    UpGuard Reports Accenture Data Exposure, Debuts Risk Detection Service
    http://www.eweek.com/security/upguard-reports-accenture-data-exposure-debuts-risk-detection-service





    Categories: Seguridad

    ATMii, malware para robo en cajeros simple pero efectivo.

    Hispasec - Wed, 11/10/2017 - 09:30
    Mientras unos destruyen cajeros automáticos para robar efectivo, otros aprovechan metodos más sutiles para hacerlo. 

    Investigadores de Kaspersky recibieron en Abril de 2017 una muestra correspondiente a un malware cuyo objetivo era robar dinero de cajeros automáticos, de ahora en adelante ATM. 
    Este malware conocido como ATMii, requiere de acceso a un cajero ya sea a través de red o físicamente (vía USB). En caso de instalarse con éxito, los ladrones podrán sacar todo el dinero del cajero. 

    Se trata de un malware sencillo a la par que efectivo, compuesto por un ejecutable que hace de inyector y una DLL que cuenta con la funcionalidad del troyano. Debido a que el valor de la constante PROCESS_ALL_ACCESS difiere entre versiones de Windows, no se ejecuta en versiones XP a pesar de ser la más utilizada aún.

    A continuación, veremos la funcionalidad que posee la DLL.


    Fragmento de la función de escaneo de servicios.
    Los cajeros funcionan bajo la arquitectura XFS, por lo que primero el malware debe encontrar el servicio que se encargue de dispensar dinero. En caso de exito, la información se guardará en un log como podremos ver a continuación.


    Escritura a \\tLogs.log 

    Los atacantes necesitan saber el contenido de los cartuchos, por tanto implementan el comando info para obtener dicha información. 


    cmd_info
    El comando cmd_disp se utiliza para obtener el dinero del cajero. Los argumentos de la función son concretamente la cantidad y la moneda. La moneda se recoge en un struct y solo acepta aquellas recogidas en el. 


    Fragmento del desensamblado de cmd_disp_ex 
    Este malware es un ejemplo lo que los criminales son capaces de hacer con muy poco código. Como medidas cautelares, una gestión control de los dispositivos y politicas permitirian no ejecutar dispositivos USB o prevenir la ejecución de código no autorizado


    Fernando Díaz
    fdiaz@hispasec.com
    @entdark_
    Más información:
    ATMii: a small but effective ATM robber:https://securelist.com/atmii-a-small-but-effective-atm-robber/82707/
    https://es.wikipedia.org/wiki/XFS
    Categories: Seguridad

    Arrestado un acosador en Internet por los registros de VPN's que "no guardan registros"

    Hispasec - Tue, 10/10/2017 - 09:30
    El FBI ha arrestado a un hombre de Massachusetts por acosar en Internet a su compañera de piso. El acusado usaba herramientas para ocultar su identidad.





    Todos nos hemos topado alguna vez con publicidad de VPN's. Para el que no sepa lo que es, en lo que respecta al usuario final una VPN es un servicio que permite cambiar tu dirección IP. Te conectas a un servidor, y ese servidor da la cara por ti en Internet como intermediario. Entre otras cosas, muchos proveedores de VPN's prometen que no guardan registros sobre la actividad de sus usuarios (registros que suelen pedir las fuerzas de seguridad del estado en investigaciones criminales).

    A pesar de que el proveedor PureVPN era uno de éstos, ha colaborado con el FBI para arrestar al acusado, que usaba sus servicios. Y para ello, PureVPN le ha proporcionado al FBI los registros que prometía no guardar. Al acusado Ryan Lin se le acusa de múltiples delitos perpetrados aprovechándose de herramientas para ser anónimo en Internet. La víctima de los múltiples delitos es una mujer de 24 años, compañera de piso del acusado. Ayudándose de herramientas para ocultar su identidad en Internet (TorTextfreeProtonMail...), Ryan Lin habría cometido los siguientes delitos afectando a la víctima mencionada (y otros que no se mencionan):


    • Suplantar la cuenta de correo de la víctima y enviar a los amigos, compañeros de clase, profesores... de la víctima, un collage con fotos personales de ésta y contenido sexual no relacionado
    • La creación de cuentas en portales de Internet para adultos suplantando a la víctima, ofreciendo en su perfil la realización de BDSM, simulación de violaciones...
    • Suplantar la identidad de la víctima para enviar amenazas de bomba y de otros tipos a escuelas cercanas e individuos
    • Envío de comunicaciones amenazantes a la víctima y a su círculo cercano, amenazando con matarlos y violarlos
    • Abuso de la cuenta de la víctima en una página de cuidado de mascotas, con la cual dijo a los dueños de mascotas que cuidaba la víctima que había matado a sus mascotas
    • Revelar el hecho de que la víctima había sufrido un aborto, información que sólo se encontraba en el diario de ésta


    Lo que es noticia desde el punto de vista de la seguridad informática es, sin embargo, la polémica de proveedores de VPN's que prometen no guardar registros y sí lo hacen. En realidad, la mayoría de los proveedores que prometen eso especifican una serie de casos en los que no se cumple lo prometido (investigaciones judiciales entre otras). Como mínimo, los proveedores tienen que registrar el momento de conexión, desde qué IP, ancho de banda consumido... Todo esto para controlar el uso del servicio, sobre todo cuando se contratan paquetes con ancho de banda limitado, núméro máximo de conexiones simultáneas desde una misma cuenta....

    Lo cierto es que lo que suelen prometer estos proveedores no es que no vayan a guardar registros sobre los usuarios, sino sobre el tráfico que transcurre sobre el servicio contratado (las páginas a las que navegas, los correos que envías...). Y la información que se guarda es suficiente para identificar a un usuario que ha cometido un delito, en la mayoría de los casos. En este caso concreto, podemos imaginar que alguna de las webs a las que se habría conectado el acusado para suplantar a la víctima guardó la dirección IP desde la que se habría conectado. Como la IP registrada pertenece al proveedor de VPN y éste guardaba la IP real del acusado, cruzando la hora de conexión bastaría para saber la IP real. Lo último que quedaría es preguntar al proveedor de servicios de Internet que usa esa IP real por el dueño de la conexión a Internet.

    Irónicamente, el acusado criticaba en Twitter a otro proveedor de VPN no relacionado con el caso por sus declaraciones sobre no guardar registros. "No hay tal cosa como una VPN que no guarda registros", decía. "Si pueden limitar tus conexiones o sacar estadísticas del ancho de banda, están guardando registros". Conocido entre sus allegados como un "genio de los ordenadores", y dadas sus críticas en Twitter evidenciando su conocimiento del área, uno puede pensar que estaba deseando que lo pillasen...

    En resumen, hay que leerse la letra pequeña, y cuanto más conocimientos técnicos tengas para evaluar los servicios que usas, más protegido estarás... Si eres de los buenos, claro. Si eres de los malos, olvida lo que he dicho ;)


    Carlos Ledesma
    cledesma@hispasec.com
    Más información:
    Cyberstalking Suspect Arrested After VPN Providers Shared Logs With the FBI
    https://www.bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi/
    PureVPN Logs Helped FBI Net Alleged Cyberstalker
    https://torrentfreak.com/purevpn-logs-helped-fbi-net-alleged-cyberstalker-171009/
    FBI Arrests A Cyberstalker After Shady "No-Logs" VPN Provider Shared User Logs
    https://thehackernews.com/2017/10/no-logs-vpn-service-security_8.html
    PureVPN’s Privacy Policy
    https://www.purevpn.com/privacy-policy.php
    Categories: Seguridad

    Ejecución remota de comandos en Netgear ReadyNAS Surveillance

    Hispasec - Mon, 09/10/2017 - 09:30
    Se ha reportado una vulnerabilidad que podría permitir la ejecución remota de comandos en Netgear ReadyNAS Surveillance.



    ReadyNAS Surveillance es un software para sistemas de video vigilancia en red (Network Video Recorder o NVR por sus siglas) que se instala y aloja las grabaciones directamente en un dispositivo de almacenamiento ReadyNAS.

    La vulnerabilidad es debida a un error de falta de comprobación de parámetros introducidos por el usuario. Concretamente, el parámetro 'uploaddir' utilizado por la página 'upgrade_handle.php' de la interfaz del sistema. Esto podría permitir la ejecución de comandos en el sistema sin necesidad de autenticación.

    Para aprovechar la vulnerabilidad simplemente sería necesaria una petición como la siguiente:

    http://IP-ADDRESS/upgrade_handle.php?cmd=writeuploaddir&uploaddir=%27;COMMAND_TO_EXECUTE;%27


    Este error fue descubierto por el investigador Kacper Szure y reportado a Netgear a finales del mes de junio, quien aún no se ha pronunciado en cuanto a la corrección del mismo.



    Juan José Ruiz
    jruiz@hispasec.com

    Más información:
    Netgear ReadyNAS Surveillance Unauthenticated Remote Command Execution
    https://blogs.securiteam.com/index.php/archives/3409
    Categories: Seguridad

    Corregidas múltiples vulnerabilidades en Trend Micro OfficeScan

    Hispasec - Sun, 08/10/2017 - 09:30
    Se han hecho públicas ocho vulnerabilidades en Trend Micro OfficeScan11.0 y XG (12.0) que podrían causar diferentes impactos, desde la revelación de información hasta la ejecución de código remoto y elevación de privilegios.

    Trend Micro OfficeScan es un sistema de protección frente a amenazas para servidores de archivos, PC's, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad ‘in situ’ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.

    Los problemas de seguridad son los siguientes:

    CVE-2017-14083: La ruta al archivo ‘crypt.key’ utilizado en el proceso de cifrado se encuentra definida en ‘config.php’ y un atacante remoto no autenticado podría descargar dicho fichero a través de una petición simple:







    CVE-2017-14084: Las peticiones CURL usadas por la función ‘send’ en ‘HttpTalk.php’ establecen los parámetros de verificación ‘CURLOPT_SSL_VERIFYPEER’ y ‘CURLOPT_SSL_VERIFYHOST’ a falso, lo que podría permitir la realización de ataques MITM.

    CVE-2017-14085: Un atacante no autenticado podría revelar información sensible acerca de los dominios presentes en las redes, y las versiones y módulos de PHP a través de 'analyzeWF.php’.

    CVE-2017-14086: Una falta de validación permite la ejecución remota de procesos como ‘fcgiOfcDDA.exe’ o ‘cgiRqUpd.exe’ por parte de un atacante no autenticado que podrían aprovecharse para causar una denegación de servicio por elevado consumo de recursos (espacio en disco ocupado por los volcados o dumps generados) por múltiples ejecuciones o corrupción del INI.






    CVE-2017-14087: Existe un problema de inyección en las cabeceras de host al basarse en $_SERVER['HTTP_HOST'] (que puede ser falsificado por el cliente) en lugar de $_SERVER['SERVER_NAME'], por ejemplo en ‘db_controller.php’. Esto podría permitir generar enlaces arbitrarios que apunten a sitios web maliciosos al cachearse peticiones con cabeceras envenenadas.






    CVE-2017-14088: Un error de falta de validación al manejar ‘IOCTL 0x220008’ en ‘tmwfp.sys’ podría podría ser aprovechado por un atacante para elevar sus privilegios.

    CVE-2017-14089: Determinadas peticiones al ser procesadas en ‘cgiShowClientAdm.exe’ podrían causar problemas de corrupción de memoria.





    Adicionalmente existe una vulnerabilidad, sin identificador CVE asignado, debida a la posibilidad de realizar solicitudes HTTP arbitrarias en servidores internos o externos a través de ‘help_proxy.php’.






    Las vulnerabilidades has sido descubiertas por John Page (aka hyp3rlinx) de ApparitionSec, Leong Wai Meng y zer0b4by en colaboración con Zero Day InitiativeTrend Micro ha publicado las actualizaciones XG CP 1708 y 11.0 SP1 CP 6426 disponibles  respectivamente desde los siguientes enlaces:

    http://files.trendmicro.com/products/officescan/XG/patch1/osce_xg_win_en_criticalpatch_1708.exe 
    http://files.trendmicro.com/products/officescan/11.0_SP1/osce_11_sp1_patch1_win_en_criticalpatch_6426.exe




    Juan José Ruiz
    jruiz@hispasec.com

    Más información:
    SECURITY BULLETIN: Trend Micro OfficeScan Multiple Vulnerabilities
    https://success.trendmicro.com/solution/1118372

    CVE-2017-14083
    http://hyp3rlinx.altervista.org/advisories/CVE-2017-14083-TRENDMICRO-OFFICESCAN-XG-PRE-AUTH-REMOTE-ENCRYPTION-KEY-DISCLOSURE.txt

    CVE-2017-14084 - Trend Micro OfficeScan v11.0 and XG (12.0)* CURL (MITM)
    Remote Code Execution
    http://hyp3rlinx.altervista.org/advisories/CVE-2017-14084-TRENDMICRO-OFFICESCAN-XG-CURL-MITM-REMOTE-CODE-EXECUTION.txt

    CVE-2017-14085 - Trend Micro OfficeScan v11.0 and XG (12.0)*
    Unauthorized NT Domain / PHP Information Disclosures
    http://hyp3rlinx.altervista.org/advisories/CVE-2017-14085-TRENDMICRO-OFFICESCAN-XG-REMOTE-NT-DOMAIN-PHP-INFO-DISCLOSURE.txt

    CVE-2017-14086 - Trend Micro OfficeScan v11.0 and XG (12.0)*
    Unauthorized Start Remote Process Code Execution / DOS - INI Corruption
    http://hyp3rlinx.altervista.org/advisories/CVE-2017-14086-TRENDMICRO-OFFICESCAN-XG-PRE-AUTH-START-REMOTE-PROCESS-CODE-EXECUTION-MEM-CORRUPT.txt

    CVE-2017-14087
    http://hyp3rlinx.altervista.org/advisories/CVE-2017-14087-TRENDMICRO-OFFICESCAN-XG-HOST-HEADER-INJECTION.txt

    CVE-2017-14088 - Trend Micro OfficeScan tmwfp Memory Corruption
    Privilege Escalation Vulnerability
    http://zerodayinitiative.com/advisories/ZDI-17-828/
    http://zerodayinitiative.com/advisories/ZDI-17-829/

    CVE-2017-14089
    http://hyp3rlinx.altervista.org/advisories/CVE-2017-14089-TRENDMICRO-OFFICESCAN-XG-PRE-AUTH-REMOTE-MEMORY-CORRUPTION.txt

    Trend Micro OfficeScan v11.0 and XG (12.0)* Unauthorized Server Side
    Request Forgery
    http://hyp3rlinx.altervista.org/advisories/TRENDMICRO-OFFICESCAN-XG-SERVER-SIDE-REQUEST-FORGERY.txt
    Categories: Seguridad

    macOS High Sierra: Una pista de contraseña demasiado explícita...

    Hispasec - Sat, 07/10/2017 - 09:30
    La nueva versión de macOS, High Sierra, con apenas dos semanas de vida, fue lanzada con una vulnerabilidad en la utilidad de discos que muestra la contraseña de un volumen cifrado en la pista de la contraseña.


    'mypassword' es realmente la contraseña. Extraída de medium.com

    Apple lo ha vuelto a hacer. Esta vez afectando a volúmenes cifrados desde su utilidad de discos. Matheus Mariano, un desarrollador de software brasileño, se topó con esta ¿vulnerabilidad? cuando creaba un nuevo volumen cifrado en el nuevo sistema de ficheros APFS. La vulnerabilidad, CVE-2017-7149, es de lo más absurda: la contraseña que se especifica en la creación del volumen se muestra en la pista de contraseña, en vez de la pista de contraseña especificada.

    Afecta a los Mac's con SSD's, ya que si bien hay maneras de poner APFS a discos duros tradicionales, Apple parece que no se termina de decidir y pone y quita soporte a éstos. APFS fue desarrollado con los SSD's en mente, y enfocado al cifrado, lo que es irónico vista esta vulnerabilidad... Aunque realmente no es un fallo del sistema de archivos APFS, sino de la utilidad gráfica de disco que viene con el sistema operativo. Se puede utilizar la utilidad de disco en su versión de consola, que no presenta este fallo.

    Este tipo de vulnerabilidades da que pensar sobre los controles de calidad que pasa el software hoy día. Lo cierto es que es un fallo de programación tan simple que no deja lugar a elucubraciones sobre su origen: es seguramente un despiste en la programación de la interfaz gráfica. Uno puede imaginar que el programador tenía que extraer información de varias cajas de texto, entre ellas las de la contraseña y la pista de contraseña. Para no escribir varias veces casi la misma línea de código que extraería el texto de cada una de ellas, la copias varias veces y luego retocas cada una. Pero se te olvida cambiar la referencia de la pista de contraseña y la dejas apuntando a la contraseña...




    Apple ya ha publicado un documento de soporte para esta vulnerabilidad, donde expone que la solucion es básicamente reformatear el volumen (previa copia de seguridad) tras haber instalado la actualización que corrige la vulnerabilidad. Esta actualizacion, llamada macOS High Sierra 10.13 Supplemental Update, además corrige la vulnerabilidad CVE-2017-7150 también relacionada con la revelación de contraseñas, que ya cubrimos en su día aquí.


    Carlos Ledesma
    cledesma@hispasec.com
    Más información:
    New macOS High Sierra vulnerability exposes the password of an encrypted APFS container
    https://hackernoon.com/new-macos-high-sierra-vulnerability-exposes-the-password-of-an-encrypted-apfs-container-b4f2f5326e79

    Apple Support Document HT208168
    https://support.apple.com/en-us/HT208168

    macOS High Sierra 10.13 Supplemental Update
    https://support.apple.com/en-us/HT208165
    Categories: Seguridad

    Varias vulnerabilidades descubiertas en dnsmasq

    Hispasec - Fri, 06/10/2017 - 09:30
    El equipo de seguridad de Google ha descubierto varias vulnerabilidades en dnsmasq, algunas de las cuales podrían permitir la ejecución de código arbitrario de forma remota.

    dnsmasq provee tecnología de infraestructura de red como DNS y DHCP con soporte a IPv6. Gracias a su ligera implementación, es ideal para dispositivos con recursos limitados (por ejemplo routers y dispositivos IoT), aunque también puede encontrarse en la mayoría de las distribuciones Linux. También se usa en dispositivos Android, donde aporta funcionalidades para ejercer como punto de acceso Wi-Fi.


    Fuente de la imagen
    Ha sido precisamente el equipo de seguridad de Google quien ha descubierto y notificado un total de 7 vulnerabilidades que afectan a las funcionalidades de DNS y DHCP de dnsmasq en su versión 2.78. Según Simon Kelley, autor del software, algunas de estas vulnerabilidades están presentes desde "tiempos prehistóricos" y han pasado inadvertidas en varias auditorias de código previas.

    Las tres vulnerabilidades de mayor gravedad, con identificadores CVE-2017-14491, CVE-2017-14492 y CVE-2017-14493, permiten la ejecución de código remoto aprovechando diversos tipos de desbordamiento. Especial mención merece la vulnerabilidad CVE-2017-14491 que, aunque solucionada, sigue permitiendo un desbordamiento de 2 bytes. Anteriormente a la versión 2.76 era posible un desbordamiento sin restricciones. 

    La vulnerabilidad CVE-2017-14494, por su parte, produce una fuga de información que puede ser utilizada en combinación con CVE-2017-14493 para saltar el sistema ASLR y ejecutar código arbitrario de forma remota.

    Las tres vulnerabilidades restantes (CVE-2017-14495, CVE-2017-13704 y CVE-2017-14496) pueden ser aprovechadas para provocar una denegación de servicio. la tercera de ellas afecta los sistemas Android, y puede ser explotada por un atacante local o conectado al punto Wi-Fi del teléfono.

    El equipo de seguridad de Google ha publicado en su artículo diversas pruebas de concepto e instrucciones para que los propios usuarios comprueben si son vulnerables a estos fallos.

    Estas vulnerabilidades ya han sido solucionadas en la ultima versión de dnsmasq (2.78) disponible a través de su repositorio. Los usuarios de Android afectados también han recibido la actualización a través del boletín de seguridad de octubre.


    Francisco López
    @zisk0
    flopez@hispasec.com
    Más información:
    :https://security.googleblog.com/2017/10/behind-masq-yet-more-dns-and-dhcp.html





    Categories: Seguridad

    Try Catch Stack Overflow

    Hispasec - Thu, 05/10/2017 - 09:00
    Interesante estudio de varios investigadores del Virginia Tech, en el que ponen en entredicho la calidad del código que podemos encontrar en sitios como StackOverflow y similares, desde el punto de vista de la seguridad.



    Todo aquel que ha tenido que tirar alguna que otra línea de código (programar), se habrá encontrado en una situación en la que necesitaba la ayuda de alguien para soslayar un problema determinado. “¿Cómo implemento una conexión SSL?”, “¿Cómo hago para comprobar la validez de un certificado x.509?”, “¿Por qué no estudié gastronomía en vez de informática?”.
    A menudo, un golpe de buscador nos arroja un listado de recursos sobre los que indagar en la implementación que “encaje” en nuestro código y lo haga funcionar. Sobre esta suerte de mecanismo de consultoría exprés se ha abusado tanto que incluso algunos gestores han llegado a creer que programar se reduce a buscar un trozo de código y pegarlo en un editor de texto (naturalmente, el Notepad).
    Esa creencia, tanto por parte de la dilatada imaginación de algunos gestores como de la poca pericia de algunos junta-palabras-reservadas, hace que se construya una falsa concepción de lo que significa el sacro arte del diseño y programación de computadores digitales basados en la arquitectura Von Newmann (o en la Harvard). Es tan de chiste la cosa, que incluso existen librerías que atrapan una excepción y te buscan la traza en StackOverflow para que directamente copies la mejor respuesta. Verlo para creerlo.
    Imagen de: https://github.com/gautamkrishnar/tcso


    ¿Cuál es el problema?
    Basado en el estudio sobre las preguntas y respuestas dadas en torno al lenguaje y plataforma Java, los investigadores han encontrado multitud de errores en respuestas populares que contienen vulnerabilidades de seguridad. El problema, señalan, no se encuentra en las librerías usadas –que no deja de ser reutilización legítima de código-, sino en que estas no se usan de forma segura, dando lugar a la exposición de riesgo por falta de pericia en su uso.
    Hay ejemplos de todo tipo, como sugerir deshabilitar la protección contra ataques CSRF del framework Spring para resolver un problema en la autenticación o auténticas chapuzas glorificadas acerca de la implementación correcta de criptografía en la aplicación, como la generación de claves sin la entropía adecuada o uso de algoritmos ya desfasados y retirados desde hace mucho, mucho tiempo.
    No nos confundamos. StackOverflowes un recurso maravilloso para un programador; incluso debería tener su propia festividad en el calendario. En el puedes encontrar librerías, consejos, experiencias y algoritmos que jamás hubieses encontrado de no ser porque un colega ya lo ha hecho antes que tú. Lo que realmente sugieren en este estudio es que todo, absolutamente todo, ha de ser pasado por el filtro del sentido común y la capacidad crítica de cada uno. Herramientas que parecen inmunes ante el virus de la prisitis urgentia.
    Cuando ves una respuesta que tiene más de 10 años en la que se hace uso del hash MD5 para almacenar hashes de contraseñas, es evidente que no es la respuesta adecuada. Hemos de ser precavidos, levantar el pie del acelerador y observar con detenimiento tareas que son críticas y podrían devenir en quebraderos de cabeza en un futuro. No en vano, existe código escrito que no ha pasado a revisión en décadas, con vulnerabilidades que estaban allí y de las que nadie se percató.

    ¿Os acordáis del infame ‘gotofail’?


    David García
    dgarcia@hispasec.com
    @dgn1729

    Más información:

    Secure Coding Practices in Java: Challenges and Vulnerabilities:[PDF] https://arxiv.org/pdf/1709.09970.pdf





    Categories: Seguridad

    Mozilla publica Firefox 56 y corrige 18 nuevas vulnerabilidades

    Hispasec - Wed, 04/10/2017 - 10:00
    Mozilla ha anunciado la publicación de la versión 56 de Firefox, que además de incluir mejoras y novedades soluciona 18 graves vulnerabilidades en el navegador que podrían permitir a atacantes remotos ejecutar código arbitrario. También se ha publicado Firefox ESR 52.4.




    Mozilla acaba de publicar una nueva versión de su navegador que incorpora nuevas funcionalidades y mejoras. El boletín MFSA-2017-21 incluye las 18 vulnerabilidades corregidas. Según la propia clasificación de Mozilla dos están consideradas críticas, seis son de gravedad alta, ocho de moderada y las dos restantes de nivel bajo.

    Las vulnerabilidades críticas (CVE-2017-7811 y CVE-2017-7810) permitirían la ejecución remota de código a través de problemas de corrupción de la memoria

    Las vulnerabilidades de gravedad alta residen en usos de memoria tras ser liberada (CVE-2017-7793, CVE-2017-7818, CVE-2017-7819, CVE-2017-7805), la falsificación de la URL en la barra de direcciones en Android (CVE-2017-7817) y un desbordamiento de búfer en la librería gráfica ANGLE (CVE-2017-7824).

    Además se solucionan otras vulnerabilidades importantes que podrían permitir saltar la protección contra phishing y malware en URL de tipo blob y data (CVE-2017-7814) y realizar ataques de suplantación en páginas con iframes y la funcionalidad de Electrolysis desactivada (CVE-2017-7815).

    También se ha publicado Firefox ESR 52.4  (MFSA-2017-22); versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Esta actualización incluye la corrección de 9 vulnerabilidades.

    La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
    http://www.mozilla.org/es-ES/firefox/new/
    o desde la actualización del navegador en "Ayuda/Acerca de Firefox".

    Firefox ESR está disponible desde:
    https://www.mozilla.org/en-US/firefox/organizations/


    Francisco Salido
    fsalido@hispasec.com
    Más información:
    Firefox NotesVersion 56.0https://www.mozilla.org/en-US/firefox/56.0/releasenotes/
    Security vulnerabilities fixed in Firefox 56https://www.mozilla.org/en-US/security/advisories/mfsa2017-21/
    Security vulnerabilities fixed in Firefox ESR 52.4
    https://www.mozilla.org/en-US/security/advisories/mfsa2017-22/




    Categories: Seguridad

    Google forzará HSTS en los TLD con los que opere

    Hispasec - Tue, 03/10/2017 - 10:15
    Google avisó durante la semana pasada que obligaría a los 45 TLDs bajo su control a hacer uso de HSTS, aumentando de esta manera la seguridad en todos sus dominios.




    HSTS (HTTP Strict Transport Security) fuerza el uso de HTTPS en las conexiones a los servidores, un punto clave en la estrategia de cifrado web.

    Este protocolo es un mecanismo fundalmental de seguridad para la comunicación. No solo fuerza el protocolo HTTPS en todas las conexiones -incluso si el usuario utiliza HTTP-, sino que también previene otros ataques como el secuestro de cookies o el downgrade. Segun palabras del ingeniero de Google Ben Mcllwain, el uso de HSTS a nivel de TLD permite que los dominios sean seguros por defecto. 

    Google avisó que comenzaría a aplicar esta politica con los dominios pertenecientes a los TLD .foo y .dev. Por tanto, aquellos que registren con Google un TLD con HSTS implementado contarán con seguridad garantizada para su sitio web. Sólo necesitarán registrar un TLD seguro y un certificado SSL.

    El uso de HSTS es importante porque inutiliza ataques como Logjam y Poodle, los cuales permiten a atacantes experimentados degradar las conexiones SSL a estados más vulnerables. Por ejemplo, Logjam permite rebajar la seguridad del grado de exportación del certificado de 2048-bit a 512-bit, permitiendo a un atacante leer tráfico supuestamente seguro en dicha conexión. Por su parte, Poodle ataca implementaciones SSLv3 y permitiendo a los atacantes recuperar en texto plano las comunicaciones de red.

    Ya en agosto de 2016, Google forzó en su dominio HSTS para mantener a sus usuarios seguros incluso cuando hacian click sobre enlaces http. Esto permitió mejorar la seguridad no solo en el motor de búsqueda, sino también en servicios como Alerts, Analytics y Maps.

    Fernando Díaz
    fdiaz@hispasec.com
    Más información:
    Google to enforce HSTS on TLDs:https://threatpost.com/google-to-enforce-hsts-on-tlds-it-operates/128204/
    Categories: Seguridad

    El nuevo sistema operativo macOS 'High Sierra' se estrena con una grave vulnerabilidad

    Hispasec - Mon, 02/10/2017 - 09:30
    El fallo en cuestión permite a cualquier aplicación robar las contraseñas del 'keychain' sin conocimiento del usuario.



    El descubridor de esta brecha de seguridad ha sido el experto informático 'Patrick Wardle', el cuál asegura que no va revelar el funcionamiento del fallo hasta que la famosa marca lo corrija.

    'Patrick' trabajó como hacker de la NSA, y actualmente ocupa el puesto de Jefe de investigación de seguridad en la firma 'Synack'.

    En su Twitter explica que cualquier aplicación instalada en el sistema  puede acceder al llavero haciendo un 'bypass' sobre cualquier componente de seguridad que tenga nuestro equipo.

    Normalmente ninguna aplicación puede acceder al contenido del 'keychain' sin que el usuario introduzca la contraseña principal.

    Tweet de 'Patrick Wardle' mostrando las evidencias de la vulnerabilidad 
    El mismo investigador, aconseja a todo usuario de la marca, que hasta que el fallo no sea corregido, no se debe instalar ninguna aplicación que venga de fuentes desconocidas o que no este firmada. Recomienda el uso de 'Gatekeeper' para mantener un mayor control de estas aplicaciones que instalamos.Tweet recomendando el uso de 'Gatekeeper'
    'Wardle' además, ha subido una prueba de concepto del exploit demostrando como una aplicación maliciosa, firmada o sin firmar, permite al atacante robar todas las contraseñas del llavero de manera remota.



    Esperemos que Apple no tarde mucho en arreglar este fallo el cuál ha eclipsado en parte al resto de mejoras en seguridad que traía con el nuevo sistema.



    Daniel Púa
    @arrowc0de
    dpua@hispasec.com
    Más información:
    Perfil de Twitter de 'Patrick Wardle':https://twitter.com/patrickwardle?lang=es

    Análisis de la vulnerabilidad por MalwareBytes:
    https://blog.malwarebytes.com/cybercrime/2017/09/keychain-vulnerability-in-macos/









    Categories: Seguridad

    Vulnerabilidad en Apple Quarantine permite ejecutar codigo arbitrario

    Hispasec - Sat, 30/09/2017 - 11:15
    Un investigador de wearesegment descubre una vulnerabilidad en OS X que permite bypassear Apple Quarantine y la ejecutar código arbitrario sin restricciones.


    Ejecución de código remoto aprovechando la vulnerabilidad.
    La caracteristica Quarantine esta diseñada con el fin de proteger a los usuarios de ataques y archivos maliciosos, introduciéndolos en una cuarentena en caso de ser sospechosos o peligrosos. Quarantine funciona estableciendo un atributo extendido para los archivos descargados y aquellos extraidos de archivos comprimidos. Este atributo comunica al sistema que abra o ejecute estos archivos en un entorno restringido. Por ejemplo, un archivo .html en cuarentena no permitirá cargar recursos. 

    La vulnerabilidad esta presente en un archivo HTML que forma parte del núcleo de OS X y que es propenso a recibir ataques DOM XSS permitiendo la ejecución de código JavaScript arbitrario en un contexto sin restricciones. A continuación, podemos observar un video donde se muestra la vulnerabilidad en acción: 


    El archivo vulnerable se puede encontrar en /System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html

    De momento Apple no ha asignado CVE a esta vulnerabilidad y no se menciona en ningun changelog de la misma. La unica solución de momento es actualizar a OS X High Sierra o eliminar rhtmlPlayer.html

    Fernando Díaz
    fdiaz@hispasec.com
    @entdark_
    Más información:
    Mac OS X Local Javascript Quarantine Bypass:https://www.wearesegment.com/research/Mac-OS-X-Local-Javascript-Quarantine-Bypass.html
    Categories: Seguridad

    Pages

    Subscribe to Bytecoders aggregator