sábado, 6 de febrero de 2016

Microsoft publica EMET 5.5

EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) es una gran utilidad para mitigar la explotación de vulnerabilidades mediante la inclusión de capas de protección adicionales. Microsoft ha anunciado la publicación de la nueva versión EMET 5.5 que incluye soporte para Windows 10 y mejora algunas mitigaciones.

En una-al-día hemos mencionado frecuentemente EMET como contramedida para gran parte de las vulnerabilidades que se anuncian, especialmente indicado y recomendado para las de 0-day. EMET 5.5 es un programa de Microsoft gratuito (solo disponible en lenguaje ingles), sencillo de manejar y de gran utilidad.

Básicamente, EMET es un programa para forzar el uso de DEP y ASLR en todos los procesos y programas, pero además previene de las técnicas habitualmente empleadas por los exploits para eludir estas medidas.

EMET se publicó en 2009 como una herramienta independiente para ayudar a las empresas a mejorar la protección de los clientes Windows, a través de una interfaz para gestionar mitigaciones de seguridad además de proporcionar funciones destinadas a detener vectores de ataque conocidos empleados frecuentemente por el malware. Desde entonces, Microsoft ha realizado mejoras en la seguridad del navegador y el núcleo del sistema operativo.

Con Windows 10 la firma de Redmond ha implementado muchas características y mitigaciones que pueden hacer que EMET sea innecesario en dispositivos con este sistema. Las características de Windows 10 que proporcionan mitigaciones equivalentes (o mejores) que EMET incluyen Device Guard, Control Flow Guard (CFG) y AppLocker.

Sin embargo, EMET es más útil para proteger aplicaciones heredadas, y para proporcionar una protección Control Flow Guard (CFG) para el software de terceras partes que no se hayan recompilado utilizando CFG. Por ello, EMET 5.5 ofrece compatibilidad con Windows 10.

De forma similar, debido a las tecnologías empleadas para proteger el navegador Microsoft Edge (incluyendo la sandbox, compilación y técnicas de gestión de memoria), las mitigaciones de EMET 5.5 no se aplican a Edge.

La nueva versión 5.5 también incluye la configuración mejorada de varias mitigaciones a través de Group Policy Object (GPO) y varias mejoras en el rendimiento de pseudo-mitigaciones EAF/EAF+. También se ha mejorado la escritura de las medidas de mitigación en el registro, lo que hace más sencillo aprovechar las herramientas existentes para la gestión de las mitigaciones EMET a través de GPO.

EMET 5.5 está disponible para descarga desde:

Más información:

EMET 5.5 is available

Device Guard overview

CFG. Visual Studio 2015 Preview: Work-in-Progress Security Feature

Información técnica de AppLocker

Microsoft Edge: Building a safer browser

una-al-dia (01/08/2014) Microsoft publica EMET 5.0

una-al-dia (16/11/2014) Microsoft publica EMET 5.1

una-al-dia (18/03/2015) Microsoft publica EMET 5.2

                                                                                                  
Antonio Ropero
Twitter: @aropero

viernes, 5 de febrero de 2016

Boletines de seguridad para Asterisk

El proyecto Asterisk ha publicado recientemente tres boletines de seguridad que solucionan errores que podrían causar revelación de información y denegación de servicio. Todos ellos de forma remota y con exploits conocidos.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

En el primer boletín AST-2016-001, se encuentra afectado el servidor HTTP al tener una configuración por defecto que permite la vulnerabilidad BEAST si TLS se encuentra activado. Por lo que podría realizarse un ataque de hombre en el medio y llevar al descifrado de las comunicaciones.

El segundo boletín AST-2016-002, soluciona un agotamiento de descriptores de ficheros relacionado con el valor timert1 en el fichero sip.conf. Al configurar un valor mayor a 1245 podría causar un desbordamiento de enteros retransmitiendo largos tiempos de espera, estos tiempos de espera agotarían los descriptores de ficheros y causarían denegación de servicio.

El último boletín AST-2016-003, arregla también un fallo que podría causar denegación de servicio debido a errores de acceso a memoria. Si se pierde un paquete UDPTL se pone en marcha el mecanismo de corrección de errores de paquetes de redundancia, paquetes de redundancia con un tamaño cero causarían el uso de un búfer no inicializado.

Se ven afectadas las versiones 1.8.x, 11.x, 12.x, 13.x de Asterisk Open Source y 1.8.28, 11.6, 13.1 de Certified Asterisk. Es necesario actualizar a 11.21.1, 13.7.1 de Asterisk Open Source y 11.6-cert12, 13.1-cert3 de Certified Asterisk por los cauces oficiales.

Más información:

AST-2016-003: Remote crash vulnerability when receiving UDPTL FAX data

AST-2016-002: File descriptor exhaustion in chan_sip

AST-2016-001: BEAST vulnerability in HTTP server



Fernando Castillo