miércoles, 31 de agosto de 2016

Dropbox ¿hackeado?

Durante esta semana un número no concreto de usuarios de Dropbox han recibido una notificación del servicio indicando que deberán cambiar su contraseña. Una medida que la compañía ha establecido como "medida preventiva".

¿Ha sido Dropbox hackeado?

Esta noticia y la suspicacia han hecho que se dé la voz de alarma de manera prematura, alertando de una posible brecha en Dropbox. La razón de este alboroto, al margen de las notificaciones recibidas por los usuarios, ha sido la publicación en ciertos sitios de los detalles de más de 60 millones de cuentas.

La causa probable es que los detalles de esas cuentas son el resultado de un filtrado del incidente ocurrido a mediados de 2012 y del que trascendieron pocos detalles.

De manera oficial, según el blog de Dropbox, la versión de lo ocurrido entonces se basa en tres hechos:

  • Algunos usuarios de Dropbox notificaron a la empresa que estaban recibiendo spam en cuentas de correo que usaban exclusivamente para operar con Dropbox.
          
  • Que de una investigación interna, Dropbox, encontró que en un "número reducido" de cuentas se había producido un inicio de sesión y que las credenciales usadas habrían sido "robadas de otros sitios web" y reutilizadas para abrir sesiones en Dropbox.
         
  • Admitieron que las credenciales de un empleado de Dropbox habían sido comprometidas y usadas. En dicha cuenta los atacantes pudieron obtener un documento de un proyecto que contenía cuentas de correo de usuarios de Dropbox.

A la luz del gran número de cuentas (recordemos, más de 60 millones) y de las explicaciones recibidas entonces hay detalles que como poco resultan curiosos de contrastar.

El más notable sin duda es que 60 millones de cuentas no es un número reducido, incluso para un servicio que pueda tener varios órdenes más de usuarios. Otro detalle llamativo es que no solo es información de la cuenta, correo electrónico, etc. Los archivos contienen hashes, incluso pueden derivarse dos tipos de hashes, los producidos por bcrypt y SHA-1, lo que hace pensar que hubo un cambio en la forma en que almacenaban los hashes anterior a la extracción.

Admitir que Dropbox ha sido hackeada no es posible, pero que la filtración fue muchísimo más grave que la admitida entonces es evidente.


¿Qué hacemos?

En la entrada del blog de Dropbox indican que si el usuario no ha cambiado de contraseña desde el 2012 (que ya de por sí es una mala práctica) ha de hacerlo.

Adicionalmente avisan de otro mal conocido dentro de las malas prácticas: reutilizar esa misma contraseña en sitios diferentes. Justo a la inversa de la declaración que hicieron en 2012, en la que se referían a que ciertas cuentas habían experimentado un inicio de sesión no legítimo usando credenciales "robadas de otros sitios".

Por supuesto otro consejo que dan, y secundamos desde aquí, es la activación del segundo factor de autenticación, algo que debería ser un opt-out en vez de lo contrario en todo servicio que implemente este mecanismo.

Si necesitas saber si tu cuenta de Dropbox estaba incluida en la filtración puedes consultarlo en sitios como: https://haveibeenpwned.com/

Más información:

Security update and new features

Resetting passwords to keep your files safe

Dropbox Forces Password Resets After User Credentials Exposed

Hackers Stole Account Details for Over 60 Million Dropbox Users



David García
Twitter: @dgn1729

martes, 30 de agosto de 2016

Vulnerabilidades en Kaspersky Internet Security Suite

El equipo de seguridad de Cisco Talos ha anunciado cuatro vulnerabilidades en Internet Security Suite de Kaspersky que podrían permitir a un atacante provocar denegaciones de servicio o fugas de memoria.

Los dos primeros problemas residen en la forma en que el driver KLIF intercepta las llamadas NtUserCreateWindowEx y NtAdjustTokenPrivileges a la Windows API. En ambos casos una aplicación maliciosa podrá efectuar llamadas maliciosas a la API con parámetros incorrectos. Lo que podría provocar que el controlador intente acceder a memoria no accesible lo que causaría una caída del sistema. Se han asignado los identificadores CVE-2016-4304 y CVE-2016-4305.

Otra denegación de servicio, con CVE-2016-4307, reside en el controlador KL1 de Kaspersky. Un usuario malicioso puede enviar una llamada IOCTL especialmente creada a driver KL1, que en determinadas condiciones esto provoca una lectura de memoria fuera de la asignación del búfer. Esto provoca una violación de acceso a memoria y la consiguiente caída del sistema.

Por último, con CVE-2016-4306, una llamada IOCTL específicamente creada se puede utilizar para filtrar el contenido de la memoria del kernel al entorno de usuario a través de una implementación débil del servicio KlDiskCtl del controlador kldisk.sys.

Un atacante podría aprovechar esto para obtener información de seguridad relevante y combinar este conocimiento con otras vulnerabilidades para explotar el sistema local. Por ejemplo, para evitar la funcionalidad de seguridad ASLR ("Address Space Layout Randomization").

Las vulnerabilidades afectan a las versiones 2016 de Kaspersky Internet Security, Kaspersky Anti-Virus y Kaspersky Total Security (16.0.0.614), versión del driver KLIF 10.0.0.1532. Se han corregido en las versiones Kaspersky Internet Security 2017, Kaspersky Anti-Virus 2017 y Kaspersky Total Security 2017 (17.0.0.611). Los usuarios deben actualizar a las nuevas versiones de los respectivos productos a través del procedimiento de actualización de cada producto.

Más información:

Vulnerability Spotlight: Kernel Information Leak & Multiple DOS Issues Within Kaspersky Internet Security Suite

Advisory issued on 25th August, 2016

TALOS-2016-0166 / CVE-2016-4304
Kaspersky Internet Security KLIF Driver NtUserCreateWindowEx_HANDLER Denial of Service

TALOS-2016-0167 / CVE-2016-4305
Kaspersky Internet Security KLIF Driver NtAdjustTokenPrivileges_HANDLER Denial of Service

TALOS-2016-0168 / CVE-2016-4306
Kaspersky Internet Security KLDISK Driver Multiple Kernel Memory Disclosure Vulnerabilities

TALOS-2016-0169 / CVE-2016-4307
Kaspersky Internet Security KL1 Driver Signal Handler Denial of Service



Antonio Ropero
Twitter: @aropero