lunes, 28 de febrero de 2011

Actualización de samba para Debian Linux

Debian ha publicado una actualización de samba que soluciona una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio.

Samba es una implementación del protocolo SMB/CIFS para sistemas Unix para poder compartir archivos e impresoras con sistemas Microsoft Windows o aquellos que también tengan instalado Samba.

La vulnerabilidad se debe a una falta de comprobación en los límites del valor asignado a los descriptores de archivo usados por la macro FD_SET. Esta falta de comprobación provoca una corrupción de la pila cuando son usados valores fuera de rango.

El fallo ha sido descubierto por Volker Lendecke de SerNet y tiene asignado el CVE-2011-0719. Se recomienda actualizar los paquetes samba.


David García
dgarcia@hispasec.com


Más información:

DSA 2175-1 samba security update
http://lists.debian.org/debian-security-announce/2011/msg00041.html

domingo, 27 de febrero de 2011

Elevación de privilegios en Microsoft Malware Protection Engine

Microsoft ha publicado una advertencia de seguridad para avisar a sus clientes sobre una vulnerabilidad en Microsoft Malware Protection Engine que podría permitir al atacante elevar sus privilegios. Los productos afectados son Windows Live OneCare, Microsoft Security Essentials, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Endpoint Protection 2010 y Microsoft Malicious Software Removal Tool.

Microsoft Malware Protection Engine, que se encuentra en la librería 'mpengine.dll', se encarga de proveer las funcionalidades de escaneo, detección y limpieza para software antivirus y antispyware de Microsoft.

La vulnerabilidad, a la que le ha sido asignado el cve CVE-2011-0037, podría permitir a un atacante local autenticado elevar sus privilegios si Microsoft Malware Protection Engine realiza un escaneo del sistema tras la creación de un registro especialmente manipulado, por parte de un usuario legítimo con la condición de que no sea anónimo. Tras una explotación exitosa de la vulnerabilidad, el atacante podría obtener los mismos permisos de usuario que la cuenta LocalSystem.

No es necesario llevar a cabo ninguna acción por parte de los administradores de los sistemas afectados para instalar la actualización, ya que los propios mecanismos de actualización de dichos los productos se encargan de ello, por lo que Microsoft no publicará ningún boletín de seguridad relacionado con esta vulnerabilidad.


Javier Rascón
jrascon@hispasec.com


Más información:

Microsoft Security Advisory (2491888)
Vulnerability in Microsoft Malware Protection Engine Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/advisory/2491888.mspx

sábado, 26 de febrero de 2011

Denegación de servicio en ISC BIND 9

ISC ha confirmado una vulnerabilidad que afecta a BIND y que podría permitir a un atacante remoto causar una denegación de servicio.

BIND (Berkeley Internet Name Domain) es el software para servidores de gestión del protocolo DNS más utilizado en Internet gracias a su alta compatibilidad con los estándares de este protocolo.

El CVE-2011-0414 recoge esta vulnerabilidad, que se encuentra cuando se procesan transferencias IXFR o actualizaciones DDNS. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio, mediante el envío de una consulta especialmente manipulada instantes después de haber procesado alguna de estas peticiones.

Las versiones afectadas por este problema son 9.7.1 y 9.7.2-P3, se recomienda actualizar a BIND 9.7.3. Tanto las versiones anteriores como BIND 9.8 no están afectadas.


Javier Rascón
jrascon@hispasec.com


Más información:


Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate
http://www.isc.org/software/bind/advisories/cve-2011-0414

viernes, 25 de febrero de 2011

Denegación de servicio en Cisco Firewall Services Module

Cisco ha anunciado una vulnerabilidad en su módulo FWSM (Firewall Services Module) versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x que permitiría la realización de ataques de denegación de servicio.

El FWSM es un módulo de firewall integrado en los switches Catalyst 6500 y routers Cisco 7600. El problema afecta las versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x sin parchear de Cisco FWSM Software si se encuentra activada la inspección SCCP (configuración por defecto). Cisco ASA 5500 Series Adaptive Security Appliances también se ve afectado por esta vulnerabilidad.

El problema reside en un error en la inspección de mensajes SCCP (Skinny Client Control Protocol) cuando el inspector de SCCP está habilitado que podría provocar el reinicio del dispositivo. Esto podría ser aprovechado por un atacante remoto para provocar causar una denegación de servicio a través de un paquete SCCP especialmente manipulado.

Cisco ha publicado una versión actualizada del software que corrige este problema y puede descargarse desde: http://www.cisco.com/cisco/software/navigator.html

En Products > Security > Firewall > Firewall Integrated Switch/Router Services > Cisco Catalyst 6500 Series Firewall Services Module > Firewall Services Module (FWSM) Software.
En cualquier caso se recomienda consultar la tablas de versiones vulnerables, actualizaciones y contramedidas, en los avisos publicados por Cisco.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Firewall Services Module Skinny Client
Control Protocol Inspection Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20110223-fwsm.shtml

Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances
http://www.cisco.com/warp/public/707/cisco-sa-20110223-asa.shtml.

jueves, 24 de febrero de 2011

Ejecución de código arbitrario en ClamAV

Se ha anunciado una vulnerabilidad en el antivirus ClamAV para las versiones anteriores a la 0.97, que podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.

ClamAV es un antivirus multiplataforma de código abierto. Entre sus objetivos, además de ser un motor para identificar malware en equipos en los que se instale, también está destinado a trabajar en servidores de correo electrónico para combatir la propagación virus, troyanos y otras amenazas a través del servicio de mensajería electrónica.

La vulnerabilidad, a la que le ha sido asignado el cve CVE-2011-1003, aparece en sistemas GNU/Linux. Está localizada en la función 'vba_read_project_strings' del fichero 'libclamav/vba_extract.c', donde después de liberarse un puntero éste no pasaba a apuntar a NULL. Por ello se podría incurrir en un fallo de doble liberación de memoria, que podría permitir a un atacante remoto causar una denegación de servicio y, potencialmente, ejecutar de código arbitrario a través de vectores que no han sido especificados.

La última versión del antivirus (actualmente la 0.97), que contiene el parche que soluciona dicho fallo, se encuentra en la página oficial de ClamAV.


Javier Rascón
jrascon@hispasec.com


Más información:

Bug 2486 - crash in VBA code
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=2486

miércoles, 23 de febrero de 2011

Lección 5 de intypedia: Seguridad perimetral

Se encuentra disponible en el servidor Web de intypedia la quinta lección de la Enciclopedia de la Seguridad de la Información con el título "Seguridad perimetral".
Esta quinta entrega "Seguridad perimetral" puede visitarse desde
http://www.criptored.upm.es/intypedia/video.php?id=introduccion-seguridad-perimetral&lang=es
está realizada por D. Alejandro Ramos Fraile, Team Manager de SIA Sistemas Informáticos Abiertos S.A., Security Consulting CISSP, CISA y editor del blog Security by Default http://www.securitybydefault.com/

El vídeo tiene una duración de 14:12 minutos y está formado por 4 escenas o capítulos:

Escena 1. Fundamentos de la seguridad perimetral. Introducción a los cortafuegos
Escena 2. Sistemas de detección de intrusos. IDS y Honeypots
Escena 3. Tráfico en la Red. Antivirus, antispam y VPN
Escena 4. Gestión unificada de amenazas. Conclusiones

La lección presenta un caso práctico de la adecuación de una red sin seguridad a otra securizada, monitorizada y controlada. Se realiza una introducción a algunos elementos básicos de esta nueva red como son los cortafuegos, sistemas de detección y prevención de intrusos, redes trampa con honeypots y análisis del tráfico característico en la red y su control.

El vídeo viene acompañado por los siguientes documentos en pdf que pueden descargarse desde el sitio Web de intypedia:
El guión de la lección.
Diapositivas de apoyo.
Ejercicios para autoevaluación.

En los próximos días estará disponible en el servidor Web de intypedia la versión en inglés de esta lección.

La siguiente entrega para el mes de marzo de 2011 de esta enciclopedia visual de la seguridad de la información es:
Lección 6: Introducción al Malware, del autor D. Bernardo Quintero de Hispasec Sistemas.


Jorge Ramió Aguirre
intypedia: http://www.intypedia.com/



martes, 22 de febrero de 2011

Actualización de Metasploit Framework

Se han publicado dos vulnerabilidades para Metasploit Framework en su versión 3.5.1 que pueden ser explotadas por atacantes locales para elevar sus privilegios.

Metasploit es un proyecto de código abierto destinado a la obtención de información de utilidad para pentesters, investigadores de seguridad y desarrolladores de firmas para Sistemas de Detección de Intrusiones. Su subproyecto más conocido y del cual tratamos en esta entrada es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota.

Los errores, descubiertos por Eduardo Prado, se encuentran en el instalador de la aplicación para Windows con instalaciones multi-usuario y cuentas con privilegios bajos. Dicho instalador utiliza permisos heredados inseguros del directorio de instalación de Metasploit, lo que permitiría a un usuario local elevar sus privilegios reemplazando archivos críticos por troyanos. Los fallos han sido corregidos en la versión 3.5.2, la cual arregla además 50 fallos y contiene 39 módulos nuevos. Los CVE asignados a estas dos vulnerabilidades son el CVE-2011-1056 y el CVE-2011-1057.

Quienes se encuentren interesados en obtener la última versión de este producto (actualmente 3.5.2) pueden dirigirse a: http://www.metasploit.com/framework/download/


Javier Rascón
jrascon@hispasec.com


Más información:

Metasploit Framework 3.5.2 Released!
http://blog.metasploit.com/2011/02/metasploit-framework-352-released.html

lunes, 21 de febrero de 2011

Publicado el Service Pack 1 para Windows 7

Microsoft ha publicado el Windows 7 SP1 (Service Pack 1), que ya se encuentra disponible para descarga directa o desde Windows Update.

Como es habitual en los Service Pack de Microsoft se incluyen todas las actualizaciones publicadas hasta la fecha y que ya habían sido publicadas a través de Windows Update.

Por otra parte, además incluye soporte cliente para RemoteFX y Dynamic Memory, que son nuevas características de virtualización incluidas en Windwos Server 2008 R2 SP1.

Según informa Microsoft, SP1 también aporta nuevas mejoras a Windows 7, como una mejor confiabilidad al conectar dispositivos de audio HDMI, imprimir mediante el visor de XPS y restaurar carpetas anteriores en el Explorador de Windows después de reiniciar.

Para los usuarios que solo requieren actualizar un ordenador, Microsoft recomienda realizarlo a través de Windows Update, en vez de descargar el instalador.


Antonio Ropero
antonior@hispasec.com


Más información:

Pasos a seguir antes de instalar el Service Pack 1 de Windows 7 desde el centro de descarga de Microsoft
http://support.microsoft.com/kb/2505743

Cómo instalar Windows 7 Service Pack 1 (SP1)
http://windows.microsoft.com/installwindows7sp1

Contenido del Service Pack 1 (SP1) de Windows 7
http://windows.microsoft.com/es-ES/windows7/whats-included-in-windows-7-service-pack-1-sp1

domingo, 20 de febrero de 2011

Actualización de seguridad para IDA Pro 5.7 y 6.0

Se han descubierto diversas vulnerabilidades en IDA Pro en sus versiones 5.7 y 6.0 que pueden ser explotadas por atacantes remotos para causar una denegación de servicio, e incluso ejecución de código si antes se consigue que la víctima cargue archivos especialmente manipulados.

IDA Pro es un desensamblador multiplataforma (Windows, Linux y Mac OS X) que soporta una gran variedad de formatos de archivos ejecutables y que posee infinidad de funcionalidades adquiridas a través de plugins, características que hacen que sea ampliamente utilizado en el mundo de la ingeniería inversa.

CVE-2011-1049: El error aparece al cargar archivos Mach-O de Mac OS X que podría permitir a un atacante remoto causar una denegación de servicio y, potencialmente, ejecutar código arbitrario a través de dichos archivos Mach-O especialmente manipulados.

CVE-2011-1050: Una vulnerabilidad no especificada debido a la inconsistencia del manejo de secuencias UTF-8 en la interfaz del usuario y al convertir cadenas con diferente codificación pueden causar un impacto que no ha sido especificado.

CVE-2011-1051: Un desbordamiento de entero en el cargador de archivos COFF/EPOC/EXPLOAD podría causar problemas en la asignación de memoria.

CVE-2011-1052: Un desbordamiento de entero en el cargador de archivos PSX/GEOS podría causar problemas en la asignación de memoria.

CVE-2011-1053: A través de un archivo Mach-O especialmente manipulado se podría causar una denegación de servicio al saltar una excepción por quedarse sin memoria.

CVE-2011-1054: Un error en el cargador de archivos PEF podría causar un impacto no especificado a través de archivos PEF especialmente manipulados.

Hex-Rays, la compañía que se encarga del desarrollo de dicha herramienta, ha facilitado un apartado en su página para acceder a los parches que solucionan estos fallos: https://www.hex-rays.com/vulnfix.shtml


Javier Rascón
jrascon@hispasec.com


Más información:

Cumulative fix of potentially critical bugs found in IDA Pro
https://www.hex-rays.com/vulnfix.shtml

sábado, 19 de febrero de 2011

Denegación de servicio en Oracle Solaris Express

Oracle ha anunciado una actualización de seguridad para Solaris 11 Express, para evitar una vulnerabilidad que podría permitir a un atacante provocar condiciones de denegación de servicio.

La vulnerabilidad reside en un error de validación de entradas en memcached cuando procesa datos introducidos por el usuario. Esto podría ser aprovechado por un atacante para causar la caída del demonio afectado con la consiguiente denegación de servicio.

Se recomienda actualizar Oracle Solaris 11 Express a snv_151a y aplicar el parche 6955181.


Antonio Ropero
antonior@hispasec.com


Más información:

Input Validation Vulnerability in Memcached
http://blogs.sun.com/security/entry/input_validation_vulnerability_in_memcached

viernes, 18 de febrero de 2011

Desbordamiento de búfer en Novell ZENworks

Se ha anunciado una vulnerabilidad en Novell ZENworks versiones 10 y 11, que podría permitir a un atacante remoto lograr el compromiso de los sistemas afectados.

Novell ZENworks es una solución que permite la gestión centralizada (desde una única consola) de los puestos finales, incluyendo servicios, activos, configuraciones, parches y seguridad.

El problema que se ha reportado a través de TippingPoint's Zero Day Initiative, reside en el servicio TFTPD (novell-tftp.exe). Este servicio funciona en el puerto UDP 69 y se ve afectado por un desbordamiento de búfer en el tratamiento de datos específicamente manipulados.

Novell ha publicado una actualización disponible en
http://www.novell.com/support/viewContent.do?externalId=7007896


Antonio Ropero
antonior@hispasec.com


Más información:

ZCM TFTPD Remote Code Execution Security Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7007896

jueves, 17 de febrero de 2011

Múltiples vulnerabilidades en Oracle Java SE y Java for Business

Se han anunciado hasta 21 vulnerabilidades diferentes en Oracle Java SE y Java for Business en las versiones 1.4.2_29, 5.0 Update 27, 6 Update 23; y anteriores que podrían llegar a permitir a un atacante remoto lograr el compromiso de los sistemas afectados.

Se ven afectados los componentes Deployment, Networking, Launcher, Install, Sound, Swing, JDBC, HotSpot, JAXP, 2D, XML Digital Signature, Java Language y el componente Security de JavaDB. Los fallos encontrados tienen diversos efectos, de forma que un atacante remoto podría provocar denegaciones de servicio, obtener información sensible, modificar la información de usuario o ejecutar código arbitrario.

Oracle ha publicado las actualizaciones necesarias para corregir estos problemas, que se encuentran disponibles para descarga desde el propio aviso de seguridad:
http://www.oracle.com/technetwork/topics/security/javacpufeb2011-304611.html


Antonio Ropero
antonior@hispasec.com


Más información:

Oracle Java SE and Java for Business Critical Patch Update Advisory
http://www.oracle.com/technetwork/topics/security/javacpufeb2011-304611.html

miércoles, 16 de febrero de 2011

Ejecución remota de código en Cisco Security Agent

Se ha descubierto una vulnerabilidad en diversas versiones de Cisco Security Agent que puede ser explotada por atacantes remotos para lograr la ejecución de código.

El problema afecta a las versiones de Cisco Security Agent 5.1, 5.2, y 6.0. Según anuncia Cisco reside concretamente en el Centro de administración (Management Center) de Cisco Security Agent y podría permitir modificar las reglas de seguridad, la configuración del sistema o realizar cualquier otra tarea administrativa.

Para explotar la vulnerabilidad el atacante deberá enviar paquetes específicamente modificados al interfaz de administración web (que por defecto se encuentra en el puerto 443).

Este problema queda corregido en el Cisco Security Agent versión 6.0.2.145 y posteriores, que puede descargarse desde:
http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278065206


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Management Center for Cisco Security Agent Remote Code Execution Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20110216-csa.shtml

martes, 15 de febrero de 2011

Publican una grave vulnerabilidad que afecta a entornos con Directorio Activo

Un tal Cupidon-3005 ha publicado un exploit que permite ejecutar código en servidores Windows 2003 desde un equipo en la misma red interna. No existe parche disponible. Como anécdota, el tal Cupidon-3005 (que en realidad, aunque no se ha pronunciado oficialmente, es un nuevo seudónimo de Laurent Gaffié para la ocasión) parece arremeter contra otros investigadores de seguridad en los comentarios del exploit.

El fallo se debe a un error al comprobar el tamaño de un búfer asignado a la cadena "Server Name" que podría provocar un desbordamiento de memoria intermedia basada en heap en el fichero mrxsmb.sys. Para llevar a cabo el ataque, se debe enviar un paquete de petición Browser Election al servidor SMB (de compartición de ficheros e impresoras) vulnerable. El exploit lo envía concretamente al puerto 138 sin necesidad de autenticación en un entorno de directorio activo.

Por ahora el exploit permite provocar una denegación de servicio, pero parece ser posible modificarlo para conseguir ejecución de código. Microsoft no ha publicado "advisory" oficial y por supuesto, no existe parche oficial disponible.

El autor, que se esconde bajo el seudónimo Cupidon-3005 (porque el exploit apareció el 14 de febrero), hace referencia en los comentarios del exploit a Winny Thomas, h07 y al propio Laurent Gaffié, que no es más que él mismo. Gaffié descubrió en septiembre de 2009 un método para provocar un pantallazo azul en Windows a través de SMB. Rubén Santamarta supo aprovecharlo para conseguir la ejecución de código.

Como anécdota, parece arremeter contra otros investigadores de seguridad en los comentarios de exploit.

* Contra Immunity: "So your 31337 con is the only place to get 0day? Here's some pre-auth / broadcast 0day free for all on FD with 0% conference whoring, and punks are welcome as well."

Immunity comercializa CANVAS, una plataforma de exploits. En un mensaje enviado a una lista de seguridad recientemente, invitaba a todos a participar en una conferencia en la que revelarían un 0day en SMB.

* Contra Rubén Santamarta: "Special Valentines Greetings: Ruben Santamarta, is your password still "hijodeputa"? You look even more like a dumb fuck than you used to."

En referencia a la revelación de la base de datos de rootkit.com, en la que aparecía su usuario con esa contraseña. Nos consta que Rubén ha aclarado el asunto con el implicado, que ha acabado disculpándose y arrepintiéndose por email.

* "Feel free to reuse this code without restrictions and ask Kingcope-Fag to perform his FTP FU on SMB, he might have more luck than MS."

Kingcope es un conocido investigador de vulnerabilidades. Su último descubrimiento fue un grave problema en el servidor FTP de IIS de Microsoft.

Finalmente se "despide" con "Happy St-Valentine Bitches, MSFT found that one loooooooong time ago....". Gaffié también está muy relacionado con MSRC (Microsoft Security Response Center ).


Sergio de los Santos
ssantos@hispasec.com


Más información:

MS Windows Server 2003 AD Pre-Auth BROWSER ELECTION Remote Heap Overflow
http://archives.neohapsis.com/archives/fulldisclosure/2011-02/0284.html

lunes, 14 de febrero de 2011

Participación de Hispasec en la XIV Convención Informática 2011

Hispasec participó con una charla sobre el panorama actual del malware en la XIV Convención y Feria Internacional Informática 2011 que tuvo lugar del 7 al 11 de febrero en La Habana, Cuba.

El contexto de la participación de Hispasec fue el del X Seminario Iberoamericano de la Seguridad en las Tecnologías de la Información, aunque la convención contenía multitud de congresos, entre los que destacamos el VIII Congreso Internacional de Informática en la Salud, el XIV Congreso de Informática en la Educación, el VII Congreso Internacional de Geomática, el III Simposio Internacional de Electrónica y Computación o el II Simposio Internacional de Electrónica y Computación. Es un evento con solera y que entre otros tiene el apoyo de entidades como la UNESCO, La International Telecommunication Union o la Organización Panamericana de la Salud.

Durante la convención, y gracias a la variedad de temáticas tratadas, se disfrutó de ponencias interesantes como "Interoperabilidad Geoespacial y la Web del Futuro" de Werner Kuhn (Director del Instituto de Geoinformática de la Universidad de Muenster, Alemania), "SoftComputing" del Dr. Jose Luis Verdegay (Delegado del Rector para las TICs de la Universidad de Granada, España), "Acceso al espacio: oportunidades de los satélites pequeños" del Dr. F.J. Mendieta (Director en el CICESE del proyecto SENSAT, México) o “Micro-NanoHerramientas para la manipulación y el estudio de células vivas” del Dr. José Antonio Plaza Plaza (Investigador del Instituto de Microelectrónica de Barcelona, España).

En el contexto del Seminario de Seguridad en las Tecnologías de la Información se pudieron disfrutar de charlas como la inaugural "Una mirada al comportamiento de la Seguridad de las Tecnologías de la Información durante el año 2010" de José Bidot (Director de Sergurmática, Cuba), o entre otras, las posteriores "Elementos de optimización en la continuidad del negocio" de Jorge Ramio (Coordinador de CriptoRed y Director de la Cátedra Applus+ de la UPM, España) , "Implementación en Software de Criptografía Asimétrica para Redes de Sensores Inalámbricos" de Julio César López Hernández (Profesor Asociado de la Universidad de Campiñas, Brasil), "Desafíos de Privacidad en Escenarios de Redes Inalámbricas de Sensores" de Javier López (Catedrático de la Universidad de Málaga, España). También hubo charlas relacionadas con la temática del malware y crimen online como "El extraño caso de Stuxnet" de Jorge Lodos (Director de Desarrollo de Segurmática, Cuba) o "Crimen organizado en Internet y su impacto a nivel global" de Jorge Mieres (Analista de malware en el Grupo Global de Investigación de Kaspersky Labs).

La charla con la que participó Hispasec, que inauguró la sesión del día 11, tenía como título "Escenario del malware desde la perspectiva de VirusTotal" y trataba sobre la evolución de las amenazas relacionadas con el malware desde que el servicio virustotal.com se hizo público, y el como se han ido desarrollando los acontecimientos y técnicas ofensivas y defensivas para llegar a la situación que se vive en la actualidad.


Julio Canto
jcanto@hispasec.com



domingo, 13 de febrero de 2011

El CNCCS presenta el "Informe sobre Malware en Smartphones"

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) presenta el primer Informe sobre Malware en Smartphones, en el que Hispasec ha participado de forma directa. El estudio pretende constituir una radiografía que refleje la situación actual de los smartphones en lo referente a seguridad, describiendo las principales amenazas a las que se enfrentan, así como las medidas existentes para mitigar los riesgos asociados. Los dispositivos móviles ya no son simples teléfonos y no pueden ni deben ser tratados como tal.

El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) es una organización privada que cuenta con los asociados: AEDEL, Amper, Bdigital, EIIEO, Eside Deusto, Hispasec, Indra, Informática 64, Isec Auditors, Kinamik, Optenet, Panda Security, S2grupo, Secuware, TB security y S21sec. Su misión es poner a disposición de las diversas organizaciones que operan en España, gubernamentales o no, el conocimiento y experiencia de sus miembros en asuntos relacionados con la ciberseguridad nacional o global; con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciar la innovación y el crecimiento económico.

Los dispositivos móviles han ido evolucionando hasta converger prácticamente en cuanto a funcionalidades con los ordenadores personales, hecho que se traduce en un notable incremento en la usabilidad de los móviles en cualquier ámbito. Pero como nota negativa debemos destacar un aumento en los riesgos que se asocian a los mismos.

La generalización de la oferta de tarifas planas para smartphones ha supuesto una popularización de estos dispositivos totalmente vertiginosa, pero el problema es que los usuarios no son conscientes de los peligros que entraña no tener protegido su terminal ni de la cantidad de información personal que se almacena en el mismo. Como consecuencia de esto, las mafias existentes han ampliado sus horizontes de actuación y han incluido este sector entre sus objetivos. Un objetivo de gran crecimiento y alta remuneración.

La limitada concienciación en lo referente a seguridad de los usuarios de estos dispositivos y el consecuente comportamiento pueden ser los factores de mayor riesgo para los smartphones a corto plazo. Es de gran importancia comprender que un dispositivo móvil de estas características ya no es un simple teléfono y no puede ni debe ser tratado como tal.

El CNCCS propone una serie de buenas prácticas para ayudarnos a proteger nuestros dispositivos móviles:

* Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.

* Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.

* Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.

* Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.

* Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.

* Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.

* Configurar el Bluetooth como oculto y con necesidad de contraseña.

* Realizar copias de seguridad periódicas.

* Cifrar la información sensible cuando sea posible.

* Utilizar software de cifrado para llamadas y SMS.

* Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.

* Al deshacerse del smartphone borrar toda la información contenida en el smartphone.

* En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.

* En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).

* Monitorizar el uso de recursos en el smartphone para detectar anomalías.

* Revisar facturas para detectar posibles usos fraudulentos.

* Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.

* Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer click en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.

* Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.

* Evitar el uso de redes Wi-fi que no ofrezcan confianza.

* Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa.

El informe completo puede descargarse desde:
http://www.hispasec.com/laboratorio/Malware%20en%20Smartphones%20CNCCS%20.pdf





sábado, 12 de febrero de 2011

Facebook y la (in)seguridad: Un resumen (y II)

Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha convertido en un punto de referencia en Internet. En los últimos meses, además, la seguridad en Facebook ha dado demasiados dolores de cabeza a la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la protección del portal. Veamos en esta entrega algunos problemas de seguridad recientes relacionados con Facebook:

* El 26 de enero la página de fans del propio creador de Facebook, Mark Zuckerberg, aparece con contenido ofensivo que, evidentemente, no ha creado él mismo. Se comienza a especular con el hecho de que su cuenta ha sido comprometida (bien su contraseña, bien su sesión...) pero finalmente se aclara oficialmente. Un fallo en la API que permite actualizar el contenido de estas páginas en Facbook, permitía escribir en cualquiera de ellas sin necesidad de conocer su contraseña. No se sabe desde cuándo era conocida esta vulnerabilidad, pero fue necesario que la cuenta del propio creador del portal se modificara para sacarlo a la luz. En realidad, que el fallo esté en la API deja en mucho mejor lugar la imagen del propio Zuckerberg de lo que en un principio se rumoreaba (se supone que Mark sabe de seguridad y cómo proteger sus cuentas), y un poco peor a los programadores del portal en general.

* Facebook y Twitter se están convirtiendo en plataforma preferida para difundir ataques, por encima incluso del correo tradicional. El correo basura se ha reducido un 75% en seis meses. El spam tradicional pierde efectividad porque cada vez hay mejores filtros en los servidores y clientes de correo, también porque el internauta se ha concienciado y no hace caso a los mensajes de publicidad que llegan a su buzón. Pero en realidad la basura se desplaza, no desaparece. Facebook y Twitter son el nuevo objetivo de los spammers, entornos que no se contabilizan en las estadísticas que reflejan el descenso del spam tradicional. Twitter, por ejemplo, reconoce que ha tenido picos de hasta el 11%, pero que lo ha reducido al 1%. Esto quiere decir que si mueve 300 millones de mensajes diarios, tres millones de ellos son basura. En Facebook más del 15% de los mensajes con enlaces que circulan son spam. En las redes sociales un gran porcentaje de la gente visita los enlaces (en teoría proviene de fuentes más confiables), mientras que por correo electrónico apenas consiguen ratios del 0,00001% de incautos. Así que para conseguir unos beneficios similares en las redes sociales los atacantes necesitan enviar mucha menos cantidad de mensajes.

* En los últimos tiempos, se han hecho públicos ciertos "trucos" que permitían a cualquier usuario obtener información de otros sin necesidad de que éstos confíen en él. Por ejemplo, muy recientemente se ha explicado públicamente cómo, con un simple cambio en la URL se puede acceder a los álbumes de fotos privados de cualquier usuario de Facebook. Otro problema ha sido el descubierto por Rui Wang y Zhou Li, que encontraron recientemente la fórmula para que cualquier página suplantase a otra con permisos para acceder a datos personales. De esta forma también se podía publicar enlaces fraudulentos en cualquier muro. Se notificó de manera coordinada a Facebook y lo solucionaron antes de que se hiciese público. Enlazamos a un vídeo demostración en el apartado de "Más información".

En resumen, estos fallos han mermado la confianza de los usuarios en Facebook, aunque aún no lo suficiente como para que abandonen la plataforma. En un reciente estudio sobre 1.200 internautas se les preguntó qué red social les parecía más peligrosa. Un 82% respondió que Facebook, un 8% que Twitter, otro 8% desconfiaba de Myspace y solo un 2% de Linkedin. En la misma encuesta realizada en 2010, solo el 60% pensaba que Facebook era tan peligrosa.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Facebook flaw allowed websites to steal users' personal data without consent
http://www.youtube.com/watch?v=chATOThshtY

El envío de 'spam' se reduce el 75% en seis meses
http://www.elpais.com/articulo/Pantallas/envio/spam/reduce/75/meses/elpepirtv/20110115elpepirtv_2/Tesç

Facebook defends security strategy
http://www.theregister.co.uk/2011/01/21/facebook_security_analysis/

Facebook's Mark Zuckerberg in fan page hack - on Facebook!
http://nakedsecurity.sophos.com/2011/01/26/facebooks-zuckerberg-in-fan-page-hack/

Facebook photo exploit allows you to view any albums of non-friends
http://www.neowin.net/news/facebook-photo-exploit-allows-you-to-view-any-albums-of-non-friends

viernes, 11 de febrero de 2011

Facebook y la (in)seguridad: Un resumen (I)

Facebook ha llegado a los 600 millones de usuarios y sin duda, se ha convertido en un punto de referencia en Internet. En los últimos meses, además, la seguridad en Facebook ha dado demasiados dolores de cabeza a la compañía que, muy tímidamente y a pequeños pasos, intenta mejorar la protección del portal.

El problema de Facebook ha sido, históricamente, la privacidad. Un punto de encuentro tan popular donde 600 millones de personas introducen tantos datos y fotografías requiere que sus usuarios confíen en el portal al máximo y además de unos mecanismos y una infraestructura adecuados que garantice su intimidad. Y Facebook está proporcionando esta seguridad... poco a poco. Como es habitual, han aprendido a base de ensayo y error, y cada error ha sido un pequeño golpe a su imagen. Aunque sí es cierto que no ha sido el centro de enormes escándalos y que goza de una salud envidiable, sí que se ha visto obligada a ponerse manos a la obra para mejorar la seguridad global de portal. El 26 de enero anunciaban mejoras en este aspecto, curiosamente, tras sufrir una serie de problemas y ataques. Repasemos algunos hitos interesantes.

El 26 de enero Alex Rice, responsable de seguridad de Facebook anunciaba dos mejoras importantes con respecto a la seguridad.

* La primera es el uso de conexión segura (SSL) no solo a la hora de introducir la clave, sino durante toda la sesión. Esto es una medida que llega muy tarde, y en respuesta directa a herramientas como Firesheep. Se trata de un plugin para Firefox aparecido en octubre de 2010 que aúna varias herramientas de forma muy cómoda. Pone la tarjeta de red del sistema en modo promiscuo (a "escuchar" todo el tráfico de red local no segmentada) y extrae automáticamente los datos que le interesan (la cookie de sesión) de ciertas páginas no protegidas (entre ellas Facebook) y permite que un usuario suplante la identidad de otros que naveguen en la misma red local. Esto ya se puede hacer con un sniffer, un proxy local, envenenamiento ARP, etc... pero Firesheep demostró lo fácil que puede resultar para cualquiera robar la sesión a través de un solo click. La solución es también sencilla: cifrar toda la información. Facebook ha reaccionado permitiendo que toda la sesión se base en SSL, pero de forma opcional, lo que todavía deja en manos del usuario la decisión de que su sesión permanezca protegida o no. Es una medida necesaria pero insuficiente.

Además existe Borogove, otro programa que facilita con mecanismos similares la obtención de conversaciones de chat dentro de Facebook. Aunque se supone que debería estar protegido por el cifrado, el sistema de chateo no funciona correctamente bajo el cifrado.

* Autenticación Social. Esto, en resumen, es eliminar el tradicional CAPTCHA y utilizar el reconocimiento de caras de amigos para demostrar que eres un ser humano. Troyanos como koobface han demostrado que los CAPTCHA no son infalibles. Recordemos que el troyano Koobface, "secuestraba" el sistema y pedía a la víctima la resolución de varios CAPTCHA de Gmail. Así conseguía crear cuentas fantasma automáticamente para poder difundirse mejor, entre otros objetivos. Usaba a sus víctimas como esclavos o "CAPTCHA brokers".

Estas dos nuevas medidas se añaden a un continuo esfuerzo en Facebook por demostrar que están comprometidos con la seguridad y la privacidad de los datos. Ya anunciaron mejoras en marzo de 2008 (introdujo la categoría "amigos de amigos"), en diciembre de 2009 (facilitó los controles para proteger la seguridad de las cuentas), etc...

En la siguiente entrega, veremos cuáles han sido los problemas de seguridad con los que se han enfrentado en los últimos tiempos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

A Continued Commitment to Security
http://blog.facebook.com/blog.php?post=486790652130

Sniffando conversaciones de Facebook con Borogove
http://www.securitybydefault.com/2011/01/sniffando-conversaciones-de-facebook.html

Firesheep
http://codebutler.com/firesheep

jueves, 10 de febrero de 2011

Aclaraciones sobre el filtrado del patrón de generación de claves WPA de Movistar y Jazztel (y II)

El pasado 4 de febrero se hizo público el algoritmo que genera las contraseñas por defecto de los routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y Jazztel a sus clientes para dar acceso a Internet. Mucho se ha especulado con el asunto. Hemos investigado sobre la filtración, acudiendo directamente a las fuentes, y queremos compartir algunos aspectos interesantes.

Me he puesto en contacto con Comtrend para contrastar la información, con los que he mantenido una interesante conversación telefónica. Desde ahí, me aseguran que seguridadwireless no ha sacado ni ha exigido a Comtrend ningún beneficio ni económico ni de ningún tipo por el descubrimiento.

Comtrend es una compañía cuyo departamento de investigación y desarrollo opera desde España, y el algoritmo generado ha sido diseñado por ellos mismos. Es importante destacar que desde Hispasec reconocemos que el algoritmo es robusto y correcto. Si bien se utiliza MD5 (no muy seguro hoy en día) creemos que la lógica del algoritmo no ha influido demasiado en su descubrimiento. Como todavía no sabemos los detalles de cómo ha sido descubierto, podemos especular que el punto débil puede ser en el hecho de que el algoritmo se ejecute en el mismo router cada vez que se inicializa su configuración (un comportamiento no exclusivo de Comtrend, casi todos los routers lo hacen de esta forma). Tanto desde Comtrend como desde seguridadwireless se niega explícitamente el filtrado de la información. Parece pues que el algoritmo fue consecuencia de ingeniería inversa avanzada.

¿Por qué no se ha publicado un firmware que solucione este fallo para los routers ya existentes? Hay que tener en cuenta que lógicamente tanto MoviStar como Jazztel son a su vez clientes muy importantes de Comtrend y parte de las decisiones técnicas son consensuadas. Desde Hispasec suponemos que no es una situación fácil para ninguno de los implicados. Las posibles actualizaciones de los routers que operan bajo MoviStar y Jazztel en España obligarían a la coordinación de todas las partes y además, a desplegar tanto un operativo técnico adecuado como una campaña de información sencilla para los usuarios "de a pie". Por si fuera poco, hay que tener en cuenta que los clientes que no han cambiado su clave, precisamente los más vulnerables, muy probablemente tampoco actualicen su firmware. Entendemos que es una situación delicada, tanto para MoviStar, Jazztel como para Comtrend y es por lo que todavía no existe un comunicado oficial de estos últimos. Deben pensar bien cuál es el siguiente paso para actuar responsablemente.

Contrastada la información de primera mano, creemos que desde ambas partes, tanto desde Comtrend como desde seguridadwireless, se ha actuado de buena fe y con las mejores intenciones aunque se hayan cometido algunos errores. No así la fuente anónima que publicó el algoritmo completo. En este caso concreto, la revelación tan temprana parece no haber beneficiado a nadie.

Queda esperar qué solución se propone en conjunto para que no sean los clientes finales los que se vean finalmente más afectados.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Aclaraciones oficiales sobre el filtrado del algoritmo de claves WPA de Movistar y Jazztel (I)
http://www.hispasec.com/unaaldia/4491

una-al-dia (05/02/2011) Las claves por defecto de los routers de Movistar y Jazztel, al descubierto
http://www.hispasec.com/unaaldia/4487

miércoles, 9 de febrero de 2011

Aclaraciones oficiales sobre el filtrado del algoritmo de claves WPA de Movistar y Jazztel (I)

El pasado 4 de febrero se hizo público el algoritmo que genera las contraseñas por defecto de los routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y Jazztel a sus clientes para dar acceso a Internet. Mucho se ha especulado con el asunto. Hemos investigado sobre la filtración, acudiendo directamente a las fuentes, y queremos compartir algunos aspectos interesantes.

El primero en ponerse en contacto conmigo fue el webmaster de elhacker.net, página "hermana" de seguridadadwireless.net. Me ha contado la versión oficial del portal.

"Seguridadwireless.net descubrió el algoritmo de generación de claves por defecto el 24 de noviembre de 2010 y notificó a través del correo electrónico al fabricante Comtrend el 1 de diciembre de 2010 sin respuesta alguna. Se volvió a contactar el día 8 también sin obtener respuesta. Finalmente el 15 de diciembre de 2010 se publica en seguridadwireless.net el fallo sin desvelar el algoritmo, facilitando sólo una interfaz web para generar la contraseña."

"Ese mismo día seguridadwireless.com retira todo lo publicado tras recibir una llamada de un responsable de la compañía Comtrend, que -y en esto insisten mucho desde seguridadwireless.net- de una manera totalmente cordial y educada pide retirar la interfaz y una reunión presencial. Pensando en la seguridad final de los usuarios Comtrend y representantes de seguridadwireless se reúnen en Madrid donde se firma un NDA (Non-disclosure agreement) y acuerdan silenciar el descubrimiento hasta contar con una solución"

"A partir de ahí, en diferentes foros, se critica a seguridadwireless por retirar la página, acusándolos de censura y de recibir todo tipo de presiones, incluso económicas. Nada más lejos de la realidad. SeguridadWireless explica que está trabajando de manera conjunta con Comtrend para solucionar el problema y que dada la gravedad del asunto cree que lo más conveniente es no publicar el fallo pese a las críticas. No se dan más explicaciones y varios usuarios disconformes con esta política deciden investigar por su cuenta el fallo con las pistas tomadas de lo publicado en seguridadwireless."

"Finalmente una fuente anónima publica el viernes 4 de febrero, sin estar todavía solucionado el problema, el código donde se puede ver el patrón con la cadena clave para descubrir la contraseña. Además en un primer momento, llama públicamente desde esa web "hijos de puta" a la comunidad de seguridadwireless. Desde seguridadwireless pensamos que es una irresponsabilidad actuar de esta manera, y no hace más que perjudicar al usuario final. Se acusa injustamente a seguridadwireless de no ayudar en el asunto cuando pensamos que hemos actuado ética y correctamente. Nuestro único fallo ha sido no explicar con claridad todos los detalles del entramado." Además, añade que "en breve se darán detalles técnicos (si se cree necesario e importante) de cómo exactamente seguridadwireless.net descubrió el fallo".

Una vez conocida esta versión, me he puesto en contacto con Comtrend para contrastar la información, con los que he mantenido una interesante conversación telefónica de la que hablaremos en la siguiente edición.


Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (05/02/2011) Las claves por defecto de los routers de Movistar y Jazztel, al descubierto
http://www.hispasec.com/unaaldia/4487

martes, 8 de febrero de 2011

Boletines de seguridad de Microsoft en febrero

Tal y como adelantamos, este martes Microsoft ha publicado doce boletines de seguridad (del MS11-003 y el MS11-014) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que los restantes se clasifican como "importantes". En total se han resuelto 22 vulnerabilidades.

Los boletines "críticos" son:

* MS11-003: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cuatro nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 6, 7 y 8.

* MS11-006: Se trata de una actualización destinada a solucionar una vulnerabilidad en el procesamiento de gráficos del shell de Windows que podría provocar la ejecución remota de código si un usuario visualiza una imagen miniatura (thumbnail) especialmente diseñada. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

* MS11-007: Actualización para corregir una vulnerabilidad en controlador Windows OpenType Compact Font Format (CFF) que podría permitir la ejecución remota de código si el usuario visualiza contenido con fuentes CFF especialmente manipuladas. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

Los boletines clasificados como "importantes" son:

* MS11-004: Actualización para corregir una vulnerabilidad en el servicio FTP de Microsoft Internet Information Services (IIS) que podría permitir la ejecución remota de código si un servidor ftp recibe un comando ftp específicamente creado. Afecta a Microsoft Windows Vista, Windows Server 2008 y Windows 7.

* MS11-005: Boletín destinado a corregir una vulnerabilidad de denegación de servicio en Active Directory bajo Windows Server 2003.

* MS11-008: Actualización que soluciona dos vulnerabilidades en Microsoft Visio que podrían permitir la denegación de servicio si un usuario abre un archivo de Visio especialmente diseñado.

* MS11-009: Actualización para corregir una vulnerabilidades en los motores de scripting de JScript y VBScript que podrían permitir la obtención de información sensible si un usuario accede a un sitio web especialmente creado. Afecta a Windows 7 y Windows Server 2008.

* MS11-010: Actualización destinada a solucionar una vulnerabilidad elevación de privilegios a través del subsistema de tiempo de ejecución de cliente-servidor de Windows (Client/Server Run-time Subsystem, CSRSS). Afecta a Windows XP y Windows Server 2003.

* MS11-011: Actualización para corregir dos vulnerabilidades de elevación de privilegios en el kernel de Windows. Afecta a Microsoft Windows XP, Vista y Windows Server 2003 y 2008.

* MS11-012: Actualización para corregir cinco vulnerabilidades de elevación de privilegios a través de los controladores en modo kernel de Windows. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, 7 y Windows Server 2008.

* MS11-013: Actualización para corregir dos vulnerabilidades en Windows relacionadas con Kerberos que podrían permitir la elevación de privilegios en Windows XP, Windows Server 2003, Windows 7 y Windows Server 2008.

* MS11-014 Boletín en el que se ofrece una actualización para evitar una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local (LSASS) que podría permitir la elevación de privilegios en Windows XP y Windows Server 2003.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de febrero de 2011
http://www.microsoft.com/spain/technet/security/bulletin/ms11-feb.mspx

Boletín de seguridad de Microsoft MS11-003 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (2482017)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-003.mspx

Boletín de seguridad de Microsoft MS11-004 - Importante
Una vulnerabilidad en el servicio FTP de Internet Information Services (IIS) podría permitir la ejecución remota de código (2489256)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-004.mspx

Boletín de seguridad de Microsoft MS11-005 - Importante
Una vulnerabilidad en Active Directory podría permitir la denegación de servicio (2478953)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-005.mspx

Boletín de seguridad de Microsoft MS11-006 - Crítico
Una vulnerabilidad en el procesamiento de gráficos del shell de Windows podría permitir la ejecución remota de código (2483185)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-006.mspx

Boletín de seguridad de Microsoft MS11-007 - Crítico
Una vulnerabilidad en el controlador de OpenType CFF (Compact Font Format) podría permitir la ejecución remota de código (2485376)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-007.mspx

Boletín de seguridad de Microsoft MS11-008 - Importante
Vulnerabilidades en Microsoft Visio podrían permitir la ejecución remota de código (2451879)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-008.mspx

Boletín de seguridad de Microsoft MS11-009 - Importante
Una vulnerabilidad en los motores de scripts de JScript y VBScript podría permitir la divulgación de información (2475792)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-009.mspx

Boletín de seguridad de Microsoft MS11-010 - Importante
Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2476687)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-010.mspx

Boletín de seguridad de Microsoft MS11-011 - Importante
Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (2393802)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-011.mspx

Boletín de seguridad de Microsoft MS11-012 - Importante
Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (2479628)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-012.mspx

Boletín de seguridad de Microsoft MS11-013 - Importante
Vulnerabilidades en Kerberos podrían permitir la elevación de privilegios (2496930)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-013.mspx

Boletín de seguridad de Microsoft MS11-014 - Importante
Una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la elevación local de privilegios (2478960)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-014.mspx

lunes, 7 de febrero de 2011

Actualización de seguridad del navegador Google Chrome

Google ha actualizado la versión Stable de su navegador Chrome a la versión 9.0.597.84 para todas las plataformas.

Se han corregido nueve vulnerabilidades, una de gravedad crítica, dos de gravedad alta y seis carácter bajo. Dos de ellas solo afectan a sistemas Mac OS.

En esta ocasión hacen un especial agradecimiento a la comunidad de Reddit por haber jugado al juego web Z-TYPE, que al parecer ha contribuido a encontrar un fallo en el manejador de audio de Chrome.

La nueva versión de Google Chrome puede ser actualizada desde el mismo navegador o desde la página web de Chrome.


Fernando Ramírez
framirez@hispasec.com


Más información:


Stable Channel Update
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update.html

domingo, 6 de febrero de 2011

Nuevos contenidos en la Red Temática CriptoRed (enero de 2011)

Breve resumen de las novedades producidas durante el mes de enero de 2011 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE ENERO DE 2011
* Introducción a las curvas elípticas, hiperelípticas y libcurve (Eduardo Ruiz Duarte, 32 páginas, México)
http://www.criptored.upm.es/guiateoria/gt_m736c.htm
* Normas ISO de Seguridad de la Información (Carlos Ormella Meyer, 4 páginas, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m327a.htm

2. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE ENERO DE 2011
* Lección 4: Introducción a la seguridad en redes telemáticas (Justo Carracedo Gallardo, 15.12 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=introduccion-seguridad-telematica&lang=es

3. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE ENERO DE 2011
* Informe de la Red de Sensores de INTECO del mes de diciembre de 2010 sobre virus y malware (España)
https://ersi.inteco.es/informes/informe_mensual_201012.pdf
* Informe Anual de 2010 de la Red de Sensores de INTECO sobre alertas de virus y malware (España)
https://ersi.inteco.es/informes/informe_anual_2010.pdf
* Anuario Una al día: 12 años de seguridad informática de Hispasec se reedita en formato papel por Informática64 (España).
http://www.hispasec.com/uad/index_html
* Informe del Quinto Día Internacional de la Seguridad de la Información DISI 2010 en el portal VirusProt (España)
http://www.virusprot.com/Seguridad-Informática/Noticias-Seguridad-Informática/articulo-DISI2010.html

4. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Febrero 7 al 11 de 2011: X Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
* Febrero 24 al de 2011: Jornadas de Seguridad 2011 del GSIC en la Facultad de Informática de la Universidade da Coruña (A Coruña- España)
* Marzo 2 al 5 de 2011: Rooted CON 2011 (Madrid - España)
* Marzo 11 al 13 de 2011: IADIS International Conference Information Systems 2011 (Ávila - España)
* Abril 12 al 14 de 2011: XXII Congreso español de Seguridad de la Información Securmática 2011 (Madrid - España)
* Mayo 16 de 2011: Workshop on Security for Grid and Cloud Computing (Anchorage - Alaska)
* Junio 7 al 10 de 2011: 9th International Conference on Applied Cryptography and Network Security ACNS '11 (Nerja, Málaga - España)
* Junio 8 al 10 de 2011: 4th International Conference on Computational Intelligence for Security in Information Systems CISIS '11 (Torremolinos, Málaga - España)
* Junio 8 al 11 de 2011: Eighth International Workshop on Security In Information Systems WOSIS-2011 (Beijing - China)
* Junio 15 al 17 de 2011: XI Jornada Nacional de Seguridad Informática ACIS 2011 (Bogotá - Colombia)
* Junio 15 al 18 de 2011: 6a Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2011 (Chaves - Portugal)
* Junio 21 de 2011: The First International Workshop on Information Systems Security Engineering - WISSE'11 Londres - Reino Unido)
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla - España)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
* Septiembre 15 al 16 de 2011: International Conference on Information Technologies InfoTech 2011 (Varma - Bulgaria)
* Noviembre 2 al 4 de 2011: VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Bucaramanga - Colombia)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

5. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE ENERO DE 2011
* Seminario gratuito Herramientas de cifrado para la empresa de hoy de SIC en Barcelona el 15/03/2011 y Madrid el 17/03/2011 (España)
* La AGPD invita a celebrar la quinta edición del Día de la Protección de Datos (España)
* Todas las ediciones del Congreso Iberoamericano de Seguridad Informática CIBSI en el servidor de CRIPTORED.
* Panel VI Seguridad y defensa frente a amenazas electrónicas y tecnológicas en III Jornadas de Estudios de Seguridad IUGM del 17 al 19 mayo de 2011 (España)
* Evento gratuito Community night of presentations and cutting edge infosec topics del SANS Institute en Madrid el 25 de enero (España).
* Curso SEC401 Security Essentials de SANS Institute del 3 de febrero al 4 de abril en Madrid (España)
* Estadísticas detalladas de accesos al servidor de CRIPTORED e intypedia durante 2010 para el seguimiento de descargas (España)
* VII Ciclo de Conferencias UPM TASSI en la Universidad Politécnica de Madrid (España)
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2011.htm#ene11

6. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 861
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 29.382 visitas, con 88.368 páginas solicitadas y 26,12
GigaBytes servidos en enero de 2011.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Estadísticas intypedia: 3.983 reproducciones en enero de 2011
http://www.criptored.upm.es/paginas/intypediamensual.htm

7. CIBSI 2011. Del 2 al 4 de noviembre de 2011 tenemos una cita en
Buracamanga, Colombia.
http://www.cibsi.upbbga.edu.co/


Jorge Ramió Aguirre
Director de CRIPTORED
http://www.criptored.upm.es/



sábado, 5 de febrero de 2011

Las claves por defecto de los routers de Movistar y Jazztel, al descubierto

Se ha hecho público el algoritmo que genera las contraseñas de los routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y Jazztel a sus clientes para dar acceso a Internet. A efectos prácticos, significa que si los clientes de Telefónica o Jazztel no han cambiado su contraseña Wi-Fi desde que recibieron el router, su cifrado es inútil. Actualmente, esto es más sencillo incluso que romper una clave WEP.

Hace algunos años, los routers que ofrecían los proveedores venían con cifrado WEP. WEP siempre ha sido un estándar sencillo de romper, por tanto, "colarse" en este tipo de redes Wi-Fi resultaba relativamente sencillo si su dueño no saltaba a WPA. No hace mucho, los routers comenzaron a ofrecerse con el estándar de cifrado WPA y una contraseña por defecto (escrita en el propio router). Esto supuso un gran avance porque, por el momento, al estándar WPA no se le conocen graves problemas de seguridad. El punto débil se encontraba pues en la generación de la clave por defecto. Se trata de un proceso automático, así que si se descubría este proceso de generación, se podrían conocer las contraseñas de todos los usuarios que utilizaran estos routers y no hubieran cambiado su contraseña.

Hace unas semanas hubo un tímido intento de divulgación del algoritmo, pero ha sido ahora cuando se ha hecho totalmente público. Se ha descubierto el mecanismo de generación de claves, basado en el BSSID y el ESSID del router (uno es lo que se conoce como el "nombre la red, habitualmente WLAN_XXX en routers de MoviStar) y otro la dirección MAC del router (escrita normalmente en su base). Estos dos datos son públicos cuando se usa Wi-Fi, por tanto, cualquiera puede calcular la clave.

El algoritmo combina estos dos valores, les concatena la cadena “bcgbghgg” al comienzo, calcula el hash MD5 y se queda con los 30 primeros caracteres. Los detalles pueden ser consultados, en diferentes lenguajes de programación en el apartado de más información. Incluso existen ya aplicaciones para Android que calculan la clave...

Todo apunta a que el algoritmo ha sido filtrado por alguien con acceso a esta información desde alguna de las empresas implicadas. La otra opción sería el haber realizado ingeniería inversa a una gran muestra de routers, y esto pensamos que es extremadamente complejo (aunque no imposible) por el hecho de que el algoritmo usa hashes criptográficos. Aunque utilizar MD5 no es lo más seguro hoy día, todavía requiere de una importante fuerza bruta el romperlo si tiene una especie de "sal" como la cadena fija indicada.

Por tanto, a partir de ahora el escenario es el siguiente: Un atacante esnifa una red Wi-Fi de un usuario cualquiera cifrada con el estándar WPA (por defecto). Obtiene el BSSID y ESSID (se transmiten en claro por la red). Con este sencillo algoritmo, descubre la clave que MoviStar o Jazztel han calculado por defecto. Se conecta a esa y red y una vez dentro podrá utilizar esa red como plataforma de ataques o intentar ataques internos a los equipos que estén conectados a ella. También esnifar su tráfico y ver los datos que no se transmitan por SSL o cifrados, como pueden ser contraseñas, conversaciones de chat... etc. Actualmente, esto es más sencillo incluso que romper una clave WEP.

Lo recomendado es (ya lo era incluso antes de conocerse este algoritmo) entrar en el router y cambiar la contraseña. Habitualmente, hay que introducir en el navegador la dirección 192.168.1.1, introducir la contraseña del router, buscar la configuración de seguridad de la red inalámbrica (WLAN) y modificar la contraseña WPA introduciendo una nueva de más de 16 caracteres que contenga números, letras y símbolos. Mejor aún, si el router los soporta, cambiar al estándar WPA2. El problema es que esto puede resultar una operación compleja para el usuario medio, que no quiere arriesgarse a modificar aspectos técnicos que no termina de asimilar. Será de ellos de los que se aprovechen los atacantes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Generador de claves para JAZZTEL_XXXX y WLAN_XXXX
http://kz.ath.cx/wlan/

viernes, 4 de febrero de 2011

Microsoft publicará 12 boletines el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad. En esta ocasión la mayoría de los boletines, diez de ellos, van dirigidos hacia Microsoft Windows, los otros dos restantes van dirigidos a Microsoft Office y Internet Explorer.

Microsoft ha catalogado tres de ellos como Críticos, y los otros nueve restantes como Importantes. La mayoría permitiría a un atacante llevar a cabo una elevación de privilegios o la ejecución de código arbitrario, también hay cabida para una denegación de servicio y revelación de información sensible.

Microsoft también publicará simultáneamente una actualización para la herramienta Microsoft Windows Malicious Software Removal Tool. Igualmente se publicarán parches no relacionados con la seguridad que corrigen fallos de programación y mejoras.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín, información detallada sobre los nuevos parches.


Fernando Ramírez
framirez@hispasec.com



jueves, 3 de febrero de 2011

Vídeo: Kit de creación de phishing "especial"

No es nada noticiosa la existencia de kits de creación de phishings y troyanos. Existen muchos. Este que presentamos se caracteriza por tener una interfaz "especial" que facilita la creación de páginas falsas de distintas entidades.

Habitualmente los kits de creación de phishings facilitan la gestión de tres partes:

* La réplica de la página web que pretende ser simulada. Esta consta a su vez de páginas HTML, JavaScript, etc que normalmente son colgadas en cualquier servidor y se debe incitar al usuario a visitarla. Es muy sencillo de obtener puesto que vale con "descargar" con algún programa la web legítima.

* La lógica del robo de contraseñas. Normalmente es un programa PHP que, o bien envía las contraseñas de formulario por correo electrónico, o bien las almacena en un archivo en el propio servidor y el atacante las obtendrá de ahí más adelante. Suelen ser apenas unas líneas de código muy sencillas. En el kit, lo deja todo preparado para que el usuario solo deba modificar la dirección a la que quiere que vayan a parar las contraseñas robadas.

* Un correo que, con cualquier excusa, invita al usuario a visitar la web simulada. Suele contener un logotipo y será enviado de forma masiva a miles de cuentas de correo. Se suelen utilizar programas específicos para el envío masivo de correos o programas también en PHP que se aprovechan del motor de correo de páginas de terceros.

Este kit recopila estos tres elementos para una buena cantidad de bancos y entidades de Internet: Desde Youtube, Gmail, o Facebook, hasta Banamex, Cajamadrid... pasando por eBay y MegaUpload.

Este ejemplar es, técnicamente, extremadamente sencillo, además de simplificar al usuario la tarea de creación de phishings. Pero el autor ha querido darle un punto de complejidad innecesario (y hasta ingenuo) para otorgarle una profesionalidad de la que carece.

Invitamos al lector a visualizar el vídeo alojado en YouTube (3:57 minutos)




Aun así, el caso puede servir para concienciar sobre lo sencillo que resulta para cualquiera obtener la infraestructura necesaria para montar una estafa de este tipo en Internet.


Sergio de los Santos
ssantos@hispasec.com



miércoles, 2 de febrero de 2011

Ejecución de código a través del módulo 'intarray' de PostgreSQL

La nueva versión de la base de datos PostgreSQL soluciona un problema en el módulo 'intarray', que afecta a las versiones 9.0.x y 8.x. Esta vulnerabilidad permite a un atacante remoto no autenticado, ejecutar código arbitrario con los permisos que esté corriendo la base de datos.

El fallo se encuentra localizado en el fichero 'contrib/intarray/_int_bool.c', en concreto en la función 'gettoken'. La implementación de esta función no controlaba correctamente el tamaño de los datos recibidos a través del parámetro 'state'. Cuando se copiaban los datos de 'state' sobre una variable local, se provocaba un desbordamiento de memoria intermedia basado en pila.

PostgreSQL es una base de datos relacional "Open Source", multiplataforma, publicada bajo licencia BSD y bastante popular en el mundo UNIX.

Se recomienda actualizar a PostgreSQL versión 9.0.3, 8.4.7, 8.3.14 o 8.2.20, disponibles desde: http://www.postgresql.org/download


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Security update 2011-02-01 released
http://www.postgresql.org/about/news.1289

CVE-2010-4015:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-4015

Diff:
http://git.postgresql.org/gitweb?p=postgresql.git;a=commitdiff;h=7ccb6dc2d3e266a551827bb99179708580f72431

martes, 1 de febrero de 2011

Ejecución de código en VLC a través de archivos MKV

Existe un error en el macro MKV_IS_ID usado para procesar ficheros MKV en VLC a la hora de filtrar ciertos valores. Esto podría causar un desbordamiento de memoria intermedia y permitir a un atacante remoto ejecutar código arbitrario si la víctima reproduce un fichero MKV especialmente manipulado en VLC.

Matroska es un contenedor multimedia estándar abierto. Se trata de un formato de fichero alternativo a los más populares AVI, MP4 o ASF. Los archivos de tipo Matroska tienen la extensión .MKV para vídeo (con subtítulos y audio), .MKA para archivos de audio y .MKS sólo para subtítulos. Es soportado por la mayoría de los reproductores actuales.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux.

El fallo será solucionado en la futura versión estable 1.1.7. Sin embargo, ha sido publicado un parche en el repositorio de VLC que permite al usuario compilar una versión no vulnerable. También, como contramedida, es posible renombrar los ficheros libmkv_plugin.* para impedir que VLC procese este tipo de archivos.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

VLC Security Advisory:
http://www.videolan.org/security/sa1102.html

Fix commit:
http://git.videolan.org/?p=vlc.git;a=commit;h=59491dcedffbf97612d2c572943b56ee4289dd07