miércoles, 30 de julio de 2014

Una nueva vulnerabilidad en Android facilita la instalación de malware

Un fallo de diseño de Android podría permitir la instalación de cualquier aplicación sin necesidad de que el usuario de permisos especiales durante su instalación.

El problema, descubierto por la firma BlueBox Security, recibe el nombre de "Fake ID" debido a que permite al malware pasar credenciales falsas a Android, que falla al verificar cadenas de certificados de claves públicas de la firma criptográfica de la aplicación. En su lugar, Android otorga a la aplicación maliciosa todos los permisos de acceso de cualquier aplicación legítima.

Las aplicaciones Android deben estar firmadas para poder ser instaladas en el sistema, pero el certificado digital empleado para firmar no necesita estar emitido por una autoridad certificadora. Según la propia documentación de Android "es perfectamente admisible, y típico, que las aplicaciones Android usen certificados autofirmados".

Sin embargo, Android incluye incrustados en su código los certificados de diversos desarrolladores, para que las aplicaciones de estos desarrolladores tengan accesos y permisos especiales dentro del sistema operativo. Uno de estos certificados pertenece a Adobe, y permite a las aplicaciones firmadas o los certificados emitidos por ella inyectar código en otras aplicaciones Android. Este comportamiento puede deberse a que de esta forma se puede permitir a otras aplicaciones hacer uso del plug-in de Flash Player.

Sin embargo, un fallo en el proceso de validación de la cadena de certificados podría permitir a un atacante firmar una aplicación maliciosa con un certificado que parezca estar firmado por el certificado de Adobe incrustado, aunque no sea así. Siempre que el certificado de Adobe esté presente en la cadena de certificados de la aplicación, el sistema podrá tomar código de la aplicación e inyectarlo en otras aplicaciones instaladas. El código inyectado pasará a ser parte de las aplicaciones receptoras, heredando sus permisos, y con el mismo acceso a todos los datos de dichas aplicaciones.

El ataque afecta a las versiones de Android anteriores a la 4.4 (KitKat) y solo puede ser empleado sobre aplicaciones que usen el componente WebView, que se emplea para mostrar contenido web con el motor del navegador de Android.

BlueBox ha confirmado que notificó el problema a Google hace tres meses, y que se presentarán todos los detalles en una conferencia en la BlackHat USA 2014.

Google, por otra parte, ha confirmado que ya ha tomado medidas. Hace ya tiempo que dentro de Play Services se añadieron características y APIs que no requieren una actualización del firmware, por lo que para Google es un buen punto para evitar vulnerabilidades de este tipo. También se añadió la característica "Verificar aplicaciones" a Google Play Services como forma de escanear la aplicación antes de ser instalada. Google ha actualizado esta característica para comprobar que las aplicaciones no hacen uso de "Fake ID".

Más información:

Signing Your Applications

Android Fake ID Vulnerability Lets Malware Impersonate Trusted Applications, Puts All Android Users Since January 2010 At Risk

'Fake ID' and Android security [Updated]



Antonio Ropero
Twitter: @aropero

martes, 29 de julio de 2014

Múltiples vulnerabilidades en Moodle

Moodle ha publicado 13 nuevas alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde los habituales XSS hasta inyección de código. Se ven afectadas todas las ramas soportadas (2.7, 2.6, 2.5 y 2.4) y anteriores, ya fuera de mantenimiento de seguridad.

Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

12 de los 13 problemas anunciados son consideradas como serios, con CVE asociados del CVE-2014-3541 al CVE-2014-3553. Se incluyen diversas vulnerabilidades de Cross Site Scripting, XXE (XML External Entity) y de inyección de código.

Por otra parte un fallo en la autenticación Shibboleth podría permitir a un usuario tomar control sobre las sesiones de otros usuarios. Una vulnerabilidad podría permitir la obtención de nombres de usuario y cursos mediante la manipulación de "/user/edit.php" y otro problema en los foros podría permitir la escritura en grupos a los que no se tiene acceso.

Se han publicado las versiones 2.7.1, 2.6.4, 2.5.7 y 2.4.11 que solucionan todos los problemas y pueden descargarse desde su página oficial

Más información:

MSA-14-0020: Identity confusion in Shibboleth authentication

MSA-14-0021: Code injection in Repositories

MSA-14-0022: XML External Entity vulnerability in LTI module

MSA-14-0023: XML External Entity vulnerability in IMSCC and IMSCP

MSA-14-0024: Cross-site scripting vulnerability in profile field

MSA-14-0025: Remote code execution in Quiz

MSA-14-0026: Information leak in profile and notes pages

MSA-14-0027: Forum group posting issue

MSA-14-0028: Cross-site scripting possible in external badges

MSA-14-0029: Cross-site scripting vulnerability in exception dialogues

MSA-14-0030: Cross-site scripting through logs of failed logins

MSA-14-0031: Cross-site scripting though scheduled task error messages

MSA-14-0032: Cross-site scripting in advanced grading methods



Antonio Ropero

Twitter: @aropero