domingo, 31 de julio de 2011

Contraseña por defecto en Cisco TelePresence Recording Server

Cisco ha confirmado una vulnerabilidad en Cisco TelePresence Recording Server 1.7.2.0 que podría permitir a un atacante remoto conseguir acceso de root en los sistemas afectados.

El problema reside en la existencia de cuenta administrative activa por defecto y que tiene una contraseña común. Un atacante remoto podría conseguir acceso de root y realizar cambios de configuración.

El problema afecta a la versión 1.7.2.0, mientras que Cisco TelePresence Recording Server con versiones de software 1.7.0 y 1.7.1 no están afectados.

Cisco ha publicado la version Cisco TelePresence Recording Server Software Release 1.7.2.1 que corrige el problema.

No es la primera vez que Cisco se ve afectado por un problema de este tipo. Anteriormente, Cisco NetFlow Collection Engine y Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Cisco Security Advisory: Cisco TelePresence Recording Server Default Credentials for Root Account Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20110729-tp.shtml

una-al-dia (13/10/2006) Contraseña por defecto en Cisco Wireless Location Appliances
http://www.hispasec.com/unaaldia/2911

una-al-dia (26/04/2007) Credenciales por defecto en Cisco NetFlow Collection Engine
http://www.hispasec.com/unaaldia/3098

sábado, 30 de julio de 2011

Denegación de servicio en Wireshark

Se han anunciado una vulnerabilidad de denegación de servicio en Wireshark versión 1.6.1 y anteriores.

Wireshark (aún conocido en algunos entornos como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

El problema, reside en el disector IKEv1que podría entrar en un bucle infinito y permitir a un atacante remoto causar una denegación de servicio a través de paquetes IKE especialmente manipulados.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Wireshark IKE Packet Processing Error Lets Remote Users Deny Service
http://www.securitytracker.com/id/1025875

viernes, 29 de julio de 2011

Denegación de servicio en HP Data Protector

HP ha publicado una actualización para evitar una vulnerabilidad de denegación de servicio, explotable de forma remota, en HP Data Protector.

El fallo afecta a las versiones 6.0, 6.10 y 611 de HP Data Protector, bajo plataformas Windows 32bit (2000, 2003, XP, 2008 y Vista), HP-UX, Linux y Solaris. La vulnerabilidad, con CVE-2011-2399, reside en el demonio Media Management Daemon (mmd) y podría permitir a un atacante remoto provocar condiciones de denegación de servicio.

HP ha publicado actualizaciones para corregir esta vulnerabilidad. Dada la diversidad de sistemas y versiones afectados se recomienda consultar el parche correspondiente en el boletín de HP: http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02940981


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

HPSBMU02669 SSRT100346 rev.3 - HP Data Protector Media Management Daemon (mmd), Remote Denial of Service (DoS)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02940981

jueves, 28 de julio de 2011

Fallo de validación de certificados en iOS

Apple ha publicado en dos semanas otra nueva versión de iOS. En la primera corregía el fallo que permitía el jailbreak del dispositivo desde jailbreak.me, y en esta segunda actualización, un grave fallo de seguridad en la implementación de SSL conocido desde hace 9 años.

Las versiones 4.3.5 y 4.2.10 de iOS solucionan un fallo en el manejo de los certificados X.509 usados durante el cifrado SSL. Esto puede permitir que páginas que no son válidas pasen como tales, sin que el navegador avise de que existe algún error en la cadena de certificación. El problema ha sido descubierto por Gregor Kopf de Recurity Labs y Paul Kehrer de Trustwave's SpiderLabs.

Cuando un usuario se conecta a una página a través de https, el navegador recibe e intenta validar el certificado del servidor. Este certificado viene firmado por autoridades que lo acreditan para el dominio al que pertenecen. En esta cadena de validación, normalmente existen agentes intermediarios en los que se confía. El fallo que cometía Apple era no validar que estos emisores intermediarios pudiesen realmente emitir certificados. Técnicamente, se trata de comprobar el valor "Restricciones básicas" del certificado.

No se validaba que el emisor de certificados intermedios tuviese en realidad el poder de emitir certificados. Así, cualquiera con un certificado válido podía convertirse en emisor intermedio de cualquier otro certificado para dominios conocidos. Por ejemplo, cualquiera con un certificado emitido por Verisign podría a su vez crear un certificado para paypal.com, montar una página falsa en ese dominio y Safari lo daría como válido. O sea, el navegador comprobaría que la cadena es válida, pero no que ese intermediario no debería poder emitir y firmar certificados para otros. Se trata de una especie de "man in the middle" en la cadena de certificación. Para completar el escenario del engaño, el atacante debería además redirigir a la víctima a una página falsa alojada en otro punto.

Lo más grave es que esto no es nuevo. En 2002 se descubrió que Internet Explorer, Outlook y la mayoría de aplicaciones que usaban la cryptoAPI de Windows cometían el mismo error y ya fue subsanado entonces.

Los descubridores han creado una web para la ocasión. https://issl.recurity.com/. Si se visita sin que el navegador lance una advertencia (cosa que ocurrirá con todos los iOS no parcheados) es que se es vulnerable.



Se observa un certificado final que hace de intermediario. Cualquier navegador en cualquier sistema operativo debería dar el certificado como inválido... pero en iIOS vulnerables aparecerá como página perfectamente segura.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

About the security content of iOS 4.3.5 Software Update for iPhone
http://support.apple.com/kb/HT4824

miércoles, 27 de julio de 2011

La evolución del "antivirus" de Mac OS X

Richard Gaywood ha escrito un artículo muy interesante sobre cómo ha evolucionado el fichero de firmas del "antivirus" integrado en Mac OS X durante los últimas semanas. Vamos a intentar sacar conclusiones de él.

xProtect se introdujo en septiembre de 2009. Se trata de un rudimentario sistema "antivirus". Tan rudimentario que cuando apareció solo reconocía dos familias que solían atacar al sistema operativo de Apple y solo comprobaba ciertas descargas. Según nuestros registros, la evolución de las firmas ha sido la siguiente:

* Septiembre 2009: OSX.RSPlug.A, OSX.Iservice

* Junio 2010: OSX.HellRTS

* Marzo 2011: OSX.OpinionSpy

* Mayo-junio 2011: OSX.MacDefender.A, OSX.MacDefender.B,
OSX.MacDefender.CDE, OSX.MacDefender.F, OSX.MacDefender.G,
OSX.MacDefender.HI, OSX.MacDefender.J, OSX.MacDefender.K,
OSX.MacDefender.L, OSX.MacDefender.M, OSX.MacDefender.N, OSX.MacDefender.O

Lo que ha hecho Richard Gaywood es recopilar en un gráfico la evolución de esas gráficas desde mayo de 2011. Con este resultado.






Del gráfico se desprende que Apple tuvo que trabajar duro durante la explosión de MacDefender, emitiendo nuevas firmas casi a diario, puesto que los atacantes creaban variantes rápidamente y conseguían eludir xProtect. Se detectan dos bajadas en el número de firmas. Esto es porque en Apple encontraron una forma de detectar más variantes con menos firmas, no porque se "eliminaran" y bajase el nivel de protección. Desde el 18 de junio, no se ha actualizado el fichero de firmas. En ese momento se detectan 15 variantes de MacDefender con 12 firmas diferentes, más las firmas para el resto de malware más "antiguo".

En nuestra base de datos de VirusTotal, se detecta también una importante bajada estos días de muestras detectadas como MacDefender, con lo que se puede decir que ha vuelto a la "calma" tras la oleada sufrida en mayo y junio. Parece que los atacantes han lanzado una campaña concreta durante unos meses y la ofensiva ha terminado. Teniendo en cuenta los recursos invertidos, ha supuesto una de las campañas más agresivas contra Mac.

La pregunta es por qué la han dado por terminada una campaña que puso en jaque a Apple (y sobre todo, a su departamento de ayuda telefónica). ¿Quizás los atacantes no han conseguido su objetivo? ¿Ha supuesto una apuesta en recursos que no han terminado de compensar con las ganancias? ¿Cambiarán su estrategia? Estaremos atentos.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Mac malware 'explosion' missing in action
http://www.tuaw.com/2011/07/21/mac-malware-explosion-missing-in-action/

Malware para Mac. Vamos a contar mentiras (I)
http://www.hispasec.com/unaaldia/4599

1 Malware para Mac. Vamos a contar mentiras (II)
http://www.hispasec.com/unaaldia/4600

Malware para Mac. Vamos a contar mentiras (y III)
http://www.hispasec.com/unaaldia/4617

martes, 26 de julio de 2011

Salto de restricciones en administración web de CA ARCserve D2D

Se ha anunciado una vulnerabilidad en CA ARCserve D2D (confirmada en la versión r15 Build 575), que podría permitir a usuarios maliciosos obtener acceso de administrador a la interfaz web de gestión.

CA ARCserve D2D es una solución de realización de copias de seguridad basada en disco que permite que la protección y recuperación rápida de los datos, tanto si se encuentran en servidores físicos como virtuales.

La vulnerabilidad se debe a que el servlet "homepageServlet" no autentica determinadas peticiones Google Web Toolkit (GWT) RPC. Un atacante podría emplear este problema para enviar peticiones http post para descubrir las credenciales del administrador, con lo que podría acceder a la administración del sistema de copias de seguridad.

Se recomienda restringir el acceso a la interfaz web de administración (TCP port 8014) a sistemas de confianza.


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

CA ARCserve D2D r15 GWT RPC Request Auth Bypass /
Credentials Disclosure and Commands Execution PoC
http://retrogod.altervista.org/9sg_ca_d2dii.html

lunes, 25 de julio de 2011

Nueva versión de Foxit Reader corrige dos graves vulnerabilidades

Foxit ha corregido dos vulnerabilidades Foxit Reader que podrían permitir a un atacante la ejecución de código arbitrario.

Foxit es un lector de PDF de la compañía Foxit Software, gratuito en su versión Reader y con versión de pago que permite modificar PDFs. Supone una alternativa más ligera y menos "atacada" al lector de Adobe.

La primera vulnerabilidad, reportada por Dmitriy Pletnev de Secunia, está provocada por una falta de comprobación de límites que lleva a un desbordamiento de memoria basado en heap.

La segunda vulnerabilidad, reportada por Rob Kraus de Security Consulting Services (SCS), se trata del conocido "DLL hijacking" que ha afectado a tantas aplicaciones desde hace unos meses. Igualmente permite la ejecución de código si la víctima abre un archivo PDF desde una unidad remota.

Los dos problemas han sido corregidos en la versión 5.0.2.0718. La compañía tuvo conocimiento de forma privada de estos errores el 11 y el 20 de junio respectivamente. Se recomienda actualizar con la mayor brevedad a aquellos usuarios que utilicen esta aplicación.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Jose Ignacio Palacios Ortega
jipalacios@hispasec.com


Más información:

Building the Most Secure PDF Reader
http://www.foxitsoftware.com/Secure_PDF_Reader/security_bulletins.php

domingo, 24 de julio de 2011

Contraseña por defecto para manipular las baterías de los MacBook

El investigador de seguridad Charlie Miller ha descubierto una vulnerabilidad en las baterías de los portátiles de la marca Apple. Los modelos analizados y que han resultado vulnerables son los MacBook, MacBookPro y MacBook Air. Este descubrimiento permite el control total del firmware de las baterías. Tanto los detalles completos de la vulnerabilidad como el parche para solucionarlo, serán mostrados en agosto, en la conferencia de seguridad Black Hat.

Actualmente, la gran mayoría de las baterías de los dispositivos móviles poseen un firmware utilizado para tareas de monitorización de su estado. Entre los usos de este software se encuentra la obtención del nivel de carga de la batería, temperatura o la detención del proceso de carga cuando la batería se encuentra totalmente completa, entre otros muchos.

El fallo se encuentra en que la protección del firmware de estas baterías se basa en una contraseña que siempre es la misma. Una vez obtenida esta clave, el control del firmware de la batería es total: lectura y modificación de valores, configuración y firmware. El descubrimiento de las contraseñas, se realizó mediante el análisis de una actualización de Apple realizada en 2009 que solucionaba un problema con las baterías.

¿Qué implicaciones conlleva esta vulnerabilidad? Ya que el control de la batería se puede realizar desde el propio equipo, esto podría ser utilizado por un atacante que consiga ejecutar código de manera remota en la máquina o por cualquier malware. El impacto puede ir desde una denegación de servicio debido a una configuración que agote la batería de una forma más rápida, hasta la implantación persistente de cualquier malware, de forma que éste sobreviva a la completa reinstalación del sistema operativo. Para que un ataque como éste último llegase a surtir efecto, sería necesario encontrar una vulnerabilidad en la interfaz presente entre la batería y el sistema operativo. Según Miller, esto no será una gran barrera, ya que opina que este vector no ha sido suficientemente considerado como explotable.

El descubridor ya ha enviado su investigación a Apple y Texas Instrumens (fabricante de las baterías afectadas), y publicará una herramienta para modificar la contraseña por defecto por otra aleatoria. Ha tenido que aclarar en su twitter numerosas veces, que no es posible hacer explotar las baterías con la técnica descubierta, tal y como han especulado varios medios.

Este tipo de ataque recuerda mucho a las baterías Pandora, en las cuales se cargaba un firmware especialmente creado para liberar la consola portátil PSP, y así poder ejecutar aplicaciones no firmadas, entre otras muchas posibilidades.


Javier Rascón
jrascon@hispasec.com


Más información:

Apple Laptops Vulnerable To Hack That Kills Or Corrupts Batteries
http://blogs.forbes.com/andygreenberg/2011/07/22/apple-laptops-vulnerable-to-hack-that-kills-or-corrupts-batteries

sábado, 23 de julio de 2011

Elevación de privilegios en OTRS

Existe una vulnerabilidad en le interfaz iPhoneHandle de OTRS que podría permitir a un atacante elevar sus privilegios.

OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Un de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.

La vulnerabilidad descubierta se encuentra en el paquete iPhoneHandler, necesario para dar acceso a aquellos que deseen utilizar la aplicación de iPhone para gestionar sus tickets. Para poder llevar a cabo la escalada de privilegios es necesario poseer credenciales de autenticación válidos en la plataforma. No han trascendido grandes detalles de la vulnerabilidad ni de cómo explotarla, a excepción de que se trata de una falta de comprobaciones de seguridad en el módulo mencionado. Un atacante que consiguiese explotar esta vulnerabilidad, podría leer y modificar cualquier objeto presente en el núcleo de OTRS.

Las versiones afectadas van desde la 0.9.x hasta la 0.9.6 inclusive, y desde la 1.0.x a la 1.0.2 incluida de la interfaz iPhoneHandler. La corrección del fallo está disponible en las versiones 0.9.7 y 1.0.3 de iPhoneHandle.


Javier Rascón
jrascon@hispasec.com


Más información:

OTRS Security Advisory 2011-02
http://otrs.org/advisory/OSA-2011-02-en/

viernes, 22 de julio de 2011

Parches Críticos de julio para múltiples productos Oracle

Como viene siendo habitual, cada 3 meses Oracle emite su Critical Patch Update con la corrección de diversas vulnerabilidades que afectan a sus productos. En esta ocasión, se solventan 78 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

Los fallos se dan en varios componentes de los productos:

* Oracle Database 11g Release 2, versiones 11.2.0.1, 11.2.0.2
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
* Oracle Database 10g Release 1, versión 10.1.0.5
* Oracle Secure Backup, versión 10.3.0.3
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0,
11.1.1.4.0, 11.1.1.5.0
* Oracle Application Server 10g Release 3, versión 10.1.3.5.0
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0
* Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.1, 11.1.1.3
* Oracle Identity Management 10g, versiones 10.1.4.0.1, 10.1.4.3
* Oracle JRockit, versiones R27.6.9 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.1.3 y anteriores (JDK/JRE 5, 6)
* Oracle Outside In Technology, versiones 8.3.2.0, 8.3.5.0
* Oracle Enterprise Manager 10g Grid Control Release 1, versión 10.1.0.6
* Oracle Enterprise Manager 10g Grid Control Release 2, versión 10.2.0.5
* Oracle Enterprise Manager 11g Grid Control Release 1, versión 11.1.0.1
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Agile Technology Platform, versiones 9.3.0.3, 9.3.1.1
* Oracle PeopleSoft Enterprise FIN, versión 9.0, 9.1
* Oracle PeopleSoft Enterprise FMS, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise FSCM, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise SCM, versiones 9.0, 9.1
* Oracle PeopleSoft Enterprise PeopleTools, versiones 8.49, 8.50, 8.51
* Oracle Sun Product Suite

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

* 16 nuevas vulnerabilidades corregidas en Oracle Database. Cinco de los problemas corregidos son explotables remotamente sin autenticación.

* En Oracle Secure Backup aparecen tres parches, todo ellos podrían permitir explotar el sistema atacado sin autenticación alguna.

* Otras siete vulnerabilidades afectan a Oracle Fusion Middleware. Dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes de Oracle Fusion Middleware products incluyen Oracle Database, por lo que también se ven afectados por las vulnerabilidades aparecidas en esta último producto.

* 18 parches afectan a Oracle Enterprise Manager Grid Control. En esta ocasión, 14 de estos parches solucionan vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar. En este caso también, el componente incluye Oracle Database y Oracle Fusion Middleware, y por lo tanto, las vulnerabilidades de ambos.

* 14 nuevas vulnerabilidades afectan a Oracle Applications divididas en: una en Oracle E-Business Suite, otra en Oracle Supply Chain Products Suite y 12 en Oracle PeopleSoft Products.

* 23 parches afectan a la suite de productos Oracle Sun. Nueve de estas nuevas vulnerabilidades permitían comprometer los sistemas no parcheados sin necesidad de autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory - July 2011
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html


Javier Rascón
jrascon@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - July 2011
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html

jueves, 21 de julio de 2011

Vulnerabilidades en la interfaz web de dispositivos Cisco SA500 Series Security Appliance

Los dispositivos Cisco SA 500 Series Security Appliances se ven afectados por dos vulnerabilidades en su interfaz web de administración. Los problemas podrían llegar a permitir a un usuario no autenticado conseguir privilegios de root en el dispositivo.

El primero de los problemas reside en una inyección SQL en el formulario de login de la interfaz web. Un atacante remoto sin autenticar podrá llegar a inyectar y ejecutar comandos SQL, que podrían permitirle obtener los nombres de usuario y contraseñas de las cuentas del dispositivo.

Un segundo problema podría permitir a un usuario remoto autenticado en la interfaz web inyectar comandos arbitrarios en el sistema operativo del dispositivo. De esta forma, mediante la inyección de comandos específicos en diversos formularios, el atacante podría conseguir acceso de root.

Estos problemas afectan a los dispositivos Cisco SA520, Cisco SA520W y Cisco SA540. Cisco ha publicado la actualización 2.1.19, que puede obtenerse desde:
http://www.cisco.com/cisco/software/navigator.html


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

Cisco Security Advisory: Cisco SA 500 Series Security Appliances Web Management Interface Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20110720-sa500.shtml

miércoles, 20 de julio de 2011

Apple corrige 57 vulnerabilidades en Safari

Apple ha publicado una actualización de seguridad para su navegador Safari (versiones 5.1 y 5.0.6 para Windows) que solventa múltiples vulnerabilidades que podrían ser aprovechadas por un atacante remoto para lograr el compromiso de los sistemas afectados.

Esta actualización corrige un total de 57 vulnerabilidades, 47 de ellas podrían permitir a un atacante remoto ejecutar código arbitrario.

Una de las vulnerabilidades corregidas, permitía mostrar en la barra de direcciones una URL diferente a la que en realidad estaba siendo visitada. Curiosamente, el navegador Google Chrome también se vio afectado por este problema en marzo. El CVE de la vulnerabilidad es CVE-2011-1107.

El lector de PDF con el que cuenta Safari, no se libra tampoco de los parches. A través de la vulnerabilidad CVE-2011-0202, que permitía provocar una denegación del servicio y, potencialmente, ejecutar código arbitrario a través de un fichero PDF con una fuente especialmente manipulada.

El resto de las vulnerabilidades podrían hacer que el navegador dejase de funcionar, dar lugar a ataques de cross site scripting, o revelación de información sensible, como posiciones de la memoria del heap (CVE-2011-0195) o información de la libreta de direcciones (CVE-2011-0217).

Se recomienda a los usuarios actualizar inmediatamente a esta nueva versión desde http://www.apple.com/safari/download/.


Javier Rascón
jrascon@hispasec.com


Más información:

About the security content of Safari 5.1 and Safari 5.0.6
http://support.apple.com/kb/HT4808

martes, 19 de julio de 2011

Google alerta de la presencia de malware en el ordenador. ¿Es una buena idea?

Google alertará desde su página de resultados de la posible infección del equipo que está siendo víctima de un secuestro del buscador. ¿Es una buena idea?

El ingeniero de Google, Matt Cutts, ha anunciado que Google acaba de activar una funcionalidad que se encarga de alertar a los usuarios del buscador de la posible presencia de software malintencionado en su equipo. Existe malware que se encarga de redirigir las búsquedas a Google a través de un proxy que controlan los atacantes. Así, modifican el resultado de sus búsquedas. Todas las páginas encontradas suelen pertenecer a atacantes con diferentes motivaciones: malware, juego online, etc. Google intenta ayudar a estos usuarios.

Cuando en los sistemas infectados se realiza una búsqueda, si Google detecta que han llegado a su página a través de uno de esos proxies intermedios, alertará al usuario con un mensaje.

"Tu sistema parece estar infectado con software que intercepta la conexión a Google y otros buscadores. Aprende cómo solucionarlo."

Junto con un enlace que lleva a unas simples instrucciones sobre cómo intentar limpiar el malware del sistema. Lógicamente, no se trata, ni mucho menos, de un servicio anti-virus online que detecte cualquier virus presente en el ordenador. Google, simplemente, advierte de que le ha llegado una petición "extraña" desde ese sistema. Google probablemente detectará ciertas características de las cabeceras HTTP
que le llegan de esos proxies conocidos y en función de algunos parámetros, devolverá ese mensaje al usuario.

Este es un buen gesto por parte de Google para intentar alertar a los usuarios. Unido a su política de advertir a través de un mensaje y un bloqueo previo de páginas que considera peligrosas, eleva la seguridad global en la red. Sin embargo, los puntos débiles de esta política, parecen ser dos:

* Los proxies de los atacantes pueden modificar su comportamiento en cualquier momento para dejar de ser detectados por Google. Si son detectados por cabeceras HTTP, solo tienen que modificarlas. Si son detectados por IP, solo tienen que cambiar de servidor... por tanto, será un sistema que, para que sea útil, deberá estar en constante actualización o puede que llegue un momento en el que simplemente sea indetectable por parte de Google.

* Mucho malware y "scareware" envía al usuario mensajes falsos de ese tipo: "¡Tu ordenador está infectado! ¡Debes limpiarlo ahora! ¡Necesitas este programa para conseguirlo!". Una regla básica de seguridad es ignorar este tipo de consejos, que solo llevan a la infección. El hecho de que Google lance un mensaje parecido pero legítimo puede confundir al usuario. Así que el tono empleado por Google debe ser cuidadoso y diferenciarse del de los atacantes (mucho más apremiante). Incluso, puede suponer un problema mayor: los atacantes podrán simplemente clonar a partir de ahora la página con el mensaje de Google y aprovechar la confianza del usuario en la marca.

En cualquier caso, es un buen movimiento por parte de Google. Cualquier iniciativa tiene siempre sus posibles desventajas, pero si esto impidiera su desarrollo, nunca se tomarían medidas positivas contra el malware.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Javier Rascón
jrascon@hispasec.com


Más información:

Using data to protect people from malware
http://googleblog.blogspot.com/2011/07/using-data-to-protect-people-from.html

lunes, 18 de julio de 2011

Sobreescritura de archivos en Check Point Multi-Domain Management / Provider-1

Check Point ha confirmado una vulnerabilidad en Check Point Multi-Domain Management / Provider-1, que podría permitir a un atacante local sobreescribir archivos.

La vulnerabilidad, que afecta a las versions NGX R65, R70, R71 y R75, reside en un error del que no se han facilitado detalles y que podría permitir a un usuario local sin privilegios sobreescribir cualquier archivo y por ejemplo cambiar la configuración del servidor.

CheckPoint ha publicado actualizaciones para evitar este problema disponibles desde la página del aviso:
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk63565


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

File overwrite vulnerability in Multi-Domain Management / Provider-1 script
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk63565

domingo, 17 de julio de 2011

SandBox para Android

El aumento de aplicaciones maliciosas que han ido apareciendo para Android, (no solo en "markets" alternativos, sino también en el oficial) ha motivado la creación de la primera sandbox para Android.

Una sandbox permite recrear un escenario virtual seguro donde analizar las aplicaciones de forma dinámica, pudiendo detectar las acciones que realiza a distintos niveles y registrándolas para un análisis más en profundidad. Existen desde hace mucho para PC. Organizaciones públicas y privadas permiten el envío de un fichero y se devuelve un informe de su actividad.

La virtualización ha permitido facilitar mucho el proceso, aunque también los atacantes han sabido aprovecharse de esta circunstancia. Buena parte del malware de PC actual sabe detectar si se encuentra en un entorno virtual o en una sandbox y puede o bien no ejecutarse o bien modificar su comportamiento. Con esto dificultan su estudio.

Aunque ya existían algunas sandbox privadas para Android, el proyecto HoneyNet supone la primera sandbox gratuita por todo el que quiera montar su propio laboratorio en casa. La versión actual es alfa, lo que implica que, aunque inmadura, es funcional.

DroidBox, como ha sido bautizada, hace uso de TaintDroid, un proyecto para la monitorización en tiempo real creado por varias universidades estadounidenses e Intel. Por ahora, DrodiBox crea un informe tras la ejecución de una aplicación que devuelve la siguiente información:

* Operaciones de lectura y escritura de ficheros.
* La actividad de las API criptográficas.
* Conexiones de redes abiertas.
* Salida de tráfico.
* Fuga de información a través de ficheros SMS, o redes.
* Intentos de envío de SMS.
* Llamadas realizadas.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

HoneyNet :
http://www.honeynet.org/node/744

Google Code:
http://code.google.com/p/droidbox/

Project Web:
http://www.honeynet.org/gsoc/slot5

TaintDroid:
http://www.appanalysis.org/

sábado, 16 de julio de 2011

Disponible la Lección 9 de intypedia Introducción al protocolo SSL

En el servidor Web de intypedia se encuentra disponible la Lección 9 de la Enciclopedia de la Seguridad de la Información con el título "Introducción al protocolo SSL", cuyo autor es el Dr. Alfonso Muñoz Muñoz del Grupo de Investigación T>SIC de la UPM y que verá destacado como último vídeo en esa página Web:
http://www.intypedia.com/?lang=es

En ella Bernardo y Alicia explican los orígenes de este protocolo, cuáles son sus fortalezas y debilidades. Se muestran en detalle los pasos que siguen cliente y servidor para establecer una conexión segura y se entregan algunas recomendaciones básicas para una navegación segura.

La lección tiene una duración de 17:24 minutos y está formada por 4 escenas o capítulos:
Escena 1. Orígenes de SSL. Ataques a la identidad e integridad de los datos.
Escena 2. Funcionamiento de SSL. SSL Handshake Protocol.
Escena 3. Aplicaciones del protocolo SSL. Comercio electrónico y VPNs.
Escena 4. Seguridad del protocolo SSL.

El vídeo viene acompañado por 3 documentos en pdf que pueden descargarse desde el sitio Web de intypedia: el guión de la lección, las diapositivas de apoyo y los ejercicios para autoevaluación.

En los próximos días estará disponible en el servidor Web de intypedia la versión en inglés de esta novena lección.
http://www.intypedia.com/?lang=en

La siguiente entrega de la enciclopedia visual de la seguridad de la información será en septiembre de 2011 con la Lección 10, Ataques al protocolo SSL, de los autores Luciano Bello y Alfonso Muñoz.


Jorge Ramió Aguirre
intypedia: http://www.intypedia.com/
twitter: @intypedia



viernes, 15 de julio de 2011

Cross-site scripting en Skype

Levent Kayan (noptrix), ha reportado una vulnerabilidad de cross-site scripting permanente en Skype que afecta a las versiones anteriores a 5.3.0.120 y las plataformas Windows XP, Vista, 7 y Mac OS X.

Skype es un el cliente de VoIP muy popular, recientemente adquirido por Microsoft. Cuenta con millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o teléfonos. Además está disponible para distintas plataformas Windows, Linux y Mac OS X.

Como todos los cross-site scripting, el error está causado por una falta de validación de los datos introducidos en la entrada del perfil "Mobile phone". Esto permite a un atacante remoto obtener el identificador de sesión de la víctima y por tanto, secuestrar su identidad. El descubridor no descarta que otros campos sufran el mismo problema.

Levent Kayan ha publicado una prueba de concepto que demuestra la vulnerabilidad, utilizando un iframe y la función onload de JavaScript. Afirma que avisará a Skype del problema, por tanto no existe parche oficial disponible.


José Ignacio Palacios
jipalacios@hispasec.com


Más información:

Original Advisory
http://www.noptrix.net/advisories/skype_xss.txt

jueves, 14 de julio de 2011

Vulnerabilidades en SquirrelMail

Se han reportado tres vulnerabilidades en SquirrelMail que afectan a las versiones 1.4.21 y anteriores. Un atacante remoto podría aprovechar estas vulnerabilidades para ejecutar ataques cross-site scripting o eludir restricciones de seguridad.

Las vulnerabilidades son las siguientes:

CVE-2011-2023: Vulnerabilidad localizada en el fichero "functions/mime.php" al procesar los parámetros de entrada con tags de estilo y que podría permitir a un atacante remoto ejecutar código HTML arbitrario y sctipts con los privilegios del usuario que lance el navegador.

CVE-2010-4554: Vulnerabilidad causada por no validar correctamente una petición HTTP. Esto podría ser aprovechada por un atacante remoto para obtener información sensible a través de una página especialmente manipulada.

CVE-2010-4555: Vulnerabilidad localizada en el fichero "functions/options.php" al no procesar correctamente las entradas en una lista despegable. Podría ser aprovechado por un atacante remoto para inyectar código.

El corrector ortográfico de SquirrelMail tampoco procesa adecuadamente el carácter ">" a la hora de devolver un texto al usuario, pudiendo devolver un código HTML erróneo que podría ser aprovechado por un atacante remoto para realizar un ataque cross-site scripting.

Las vulnerabilidades han sido corregidas en la versión 1.4.22 y puede ser descargada desde la página oficial
http://www.squirrelmail.org/download.php.


José Ignacio Palacios Ortega
jipalacios@hispasec.com


Más información:

SquirrelMail Security Advisories
http://www.squirrelmail.org/security/issue/2011-07-10
http://www.squirrelmail.org/security/issue/2011-07-11
http://www.squirrelmail.org/security/issue/2011-07-12

miércoles, 13 de julio de 2011

Boletines de seguridad de Microsoft de julio

Este martes Microsoft, según su ciclo habitual de actualizaciones, ha publicado cuatro boletines de seguridad de (del MS11-053 al MS11-056) que corrigen un total de 22 vulnerabilidades (cinco de ellas reportadas por Matthew Jurczyk (j00ru) de Hispasec Sistemas y VirusTotal) que afectan a sus sistemas operativos y a Office, en particular a Microsoft Visio. Microsoft ha calificado al boletín MS11-053 con un nivel de gravedad "crítico", y con un nivel de gravedad "importante" a los tres boletines restantes.

Los boletines son los siguientes:

* MS11-053: Corrige una vulnerabilidad en la pila del bluetooth en la forma en la que los objetos acceden a memoria, cuando no han sido inicializados correctamente o han sido borrados. Esta vulnerabilidad, calificada con el CVE CVE-2011-1265, podría ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de paquetes bluetooth especialmente manipulados.

* MS11-054: Corrige 15 vulnerabilidades (desde el CVE CVE-2011-1874 hasta el CVE CVE-2011-1888) en kernel que podrían permitir a un atacante elevar privilegios.

Nueve de estas vulnerabilidades son causadas por una administración incorrecta de los objetos, a los que se acceden después de ser eliminados. Cinco son causadas por una referencia de puntero nulo, debido al incorrecto seguimiento de algunos objetos del kernel y otra vulnerabilidad es causada por el procesado incorrecto de los parámetros de entrada.

Estas vulnerabilidades han sido reportadas por Tarjei Mandt de la compañía antivirus Norman.

* MS11-055: Corrige una vulnerabilidad en Microsoft Visio a la hora de cargar librerías externas. Calificada con el CVE CVE-2010-3148, podría ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una librería de enlace dinámico (DLL) especialmente manipulado (DLL hijacking).

* MS11-056: Corrige cinco vulnerabilidades (desde el CVE CVE-2011-1281 hasta el CVE CVE-2011-1284 y CVE-2011-1870) en el subsistema Run-time Client/Server (CSRSS), causadas por distintos errores: desbordamiento de memoria intermedia, índice de array erróneo y desbordamiento de enteros. Estas vulnerabilidades podrían ser aprovechadas por un atacante para elevar privilegios.

Estas vulnerabilidades han sido reportadas por Matthew Jurczyk (j00ru) de Hispasec Sistemas y VirusTotal.

Debido a la gravedad de las vulnerabilidades desde Hispasec recomendamos actualizar el sistema con la mayor brevedad posible. Los parches de seguridad pueden ser descargadas a través de Windows Update o desde las direcciones específicas de cada boletín de seguridad.


Jose Ignacio Palacios Ortega
jipalacios@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de julio de 2011
http://www.microsoft.com/spain/technet/security/bulletin/ms11-jul.mspx

Microsoft Security Bulletin MS11-053 - Critical
Vulnerability in Bluetooth Stack Could Allow Remote Code Execution (2566220)
http://www.microsoft.com/technet/security/Bulletin/MS11-053.mspx

Microsoft Security Bulletin MS11-054 - Important
Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2555917)
http://www.microsoft.com/technet/security/Bulletin/MS11-054.mspx

Microsoft Security Bulletin MS11-055 - Important
Vulnerability in Microsoft Visio Could Allow Remote Code Execution (2560847)
http://www.microsoft.com/technet/security/Bulletin/MS11-055.mspx

Microsoft Security Bulletin MS11-056 - Important
Vulnerabilities in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (2507938)
http://www.microsoft.com/technet/security/Bulletin/MS11-056.mspx

martes, 12 de julio de 2011

Sobre las botnets indestructibles. ¿De verdad que lo son? (y II)

En estos días hemos leído en los medios todo tipo información sobre una botnet indestructible que supuestamente ha dejado a todos los expertos del mundo "con la boca abierta" (frase que han empleado en muchos artículos). En este caso concreto, qué significa eso de indestructible, porque puede llegar a confundir y asustar al usuario: ¿significa que no podré eliminarlo nunca de mi sistema? ¿Significa que nadie podrá eliminar nunca la botnet? Vamos a intentar aclarar por qué se ha llegado a esta conclusión, y si es cierta o no.

Eliminar competencia.

Esto es bastante antiguo. Ya en 2004, Netsky, Bagle y MyDoom protagonizaron una divertida guerra mediática, cuando cada uno intentaba eliminar al anterior en los equipos infectados. A otro nivel mucho más serio, cuando apareció SpyEye, ofrecía una opción para eliminar Zbot de los sistemas infectados. TDL contiene instrucciones para eliminar malware concreto como Gbot, Clishmic, Optima, etc. No porque supongan competencia, sino para pasar inadvertida. Elimina malware menos sofisticado a la hora de esconderse que podría levantar sospechas y llevar a la víctima a que se preocupara de "limpiar a fondo" su sistema o abandonarlo por completo.

Conexión P2P

Una conexión P2P para comunicarse permite que no haya un único punto de fallo. Al no estar centralizada la comunicación, es más complicado "echar abajo" la botnet, puesto que todos los nodos funcionan como puntos de comunicación. Se conocen botnets que usan P2P desde hace más de tres años. Sin embargo, usaban protocolos P2P propios. La novedad de TDL es que usa la red P2P pública KAD, que no es tan fácil cerrar ni controlar. Esto sí es interesante. Los atacantes ponen en la red pública de intercambio un fichero cifrado llamado ktzerules, donde se almacenan los comandos. El funcionamiento es parecido a una red P2P normal: el troyano descarga una lista de nodos, se conecta, y distribuye el archivo con los comandos. Los clientes que lo reciben, los descifran y ejecutan.

Esto sí es una novedad interesante, y otra de las razones por lo que se la ha llamado "indestructible". Efectivamente, complica muchísimo el poder "echar abajo" la red. Pero existirían algunas formas que harían que dejase de funcionar, al menos temporalmente.

El problema de este tipo de "botnet descentralizada" no es nuevo. Ya se da con los dominios dinámicos, otro método que viene complicando el asunto de la perdurabilidad de las botnets desde hace tiempo. Durante muchos años, el malware no ha confiado en un solo punto de control para recibir órdenes, puesto que es consciente de que, si cae, perdería el control. Por tanto, se utiliza un sistema que, si bien no lo hace indestructible, complica mucho echar abajo una red. El malware se dedica a calcular nombres de domino casi aleatorios (resultado de un algoritmo que solo el programador conoce) cada día, y se conecta a todos ellos buscando órdenes. Los atacantes registran solo unos pocos dominios cada vez (puesto que cuesta dinero) y a menos que se haga ingeniería inversa del algoritmo, no se pueden predecir. La única protección sería conocer el algoritmo, comprar todos los dominios antes que los atacantes y bloquearlos. Estamos ante una forma sofisticada de resistencia con la que convivimos desde hace tiempo.

Otra forma simple de hacer que una red de botnets sea compleja de destruir es simplemente registrando los servidores en ISP rusos llamados "bulletproof", o sea, a prueba de bombas. Están comprados por las mafias y cooperan con ellas para mantener el servidor operativo todo el tiempo que sea posible al margen de la ley.

Otras características

TDL parece funcionar solo fuera de Rusia (país de origen). También, sus creadores fueron los primeros en crear un driver para los sistemas de 64 bits en 2010, y así poder infectar máquinas de esta arquitectura a nivel de rootkit.

Conclusión: ¿Indestructible?

Este ha sido el adjetivo más utilizado para describirla. Pero nada es tan tajante hoy en día. Se podría atacar desde varios frentes que serían muy eficaces en combinación. Para empezar, se tendría que haber dejado claro desde qué punto se supone que es indestructible. Desde el punto de vista del usuario (erradicarlo de su sistema) es relativamente sencillo eliminarlo. Desde el punto de vista global de la botnet, habría que estudiar cómo desactivar su infraestructura, pero no es un problema nuevo. Desde cualquier punto de vista, y en todo caso, se puede combatir en varios frentes: desde afinar las firmas de los antivirus (si Windows lo introduce eficazmente en su MSRT podría darle un buen varapalo), hasta intervenir la red KAD para bloquear el nombre que actualmente utiliza ("ktzerules"), pasando por mejorar los sistemas antivirus para evitar que se escriba en la MBR o facilitar su restauración... etc.

En definitiva, por supuesto que TDL ha elevado el nivel de complejidad, pero no es ningún descubrimiento que haya aparecido de la nada. Introduce novedades interesantes, pero hay que entender que es una evolución lógica que aglutina "lo mejor de cada casa" en cuestión de malware. Analizado fríamente, ofrece pocos problemas nuevos a los que no se hayan enfrentado antes los analistas, solo que todos juntos a la vez (que no es poco). En resumen, ante este tipo de noticias, hay que plantearse seriamente qué es relevante y qué es ruido innecesario.




Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Sobre las botnets indestructibles. ¿De verdad que lo son? (I)
http://www.hispasec.com/unaaldia/4643

TDL4 ? Top Bot
http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot

lunes, 11 de julio de 2011

Sobre las botnets indestructibles. ¿De verdad que lo son? (I)

En estos días hemos leído en los medios todo tipo información sobre una botnet indestructible que supuestamente ha dejado a todos los expertos del mundo "con la boca abierta" (frase que han empleado en muchos artículos). En este caso concreto, ¿qué significa eso de indestructible?, porque puede llegar a confundir y asustar al usuario: ¿significa que no podré eliminarlo nunca de mi sistema? ¿Significa que nadie podrá eliminar nunca la botnet? Vamos a intentar aclarar por qué se ha llegado a esta conclusión, y si es cierta o no.

Kaspersky ha hecho sonar la alarma. TDL4 era la evolución de TDL (nacida en 2007). Esta nueva versión contaba con 4.5 millones de sistemas infectados, y dispone de recursos muy avanzados para permanecer en el sistema infectado. Cabe destacar que se trata de una botnet destinada a crear fraudes por "click" en publicidad. Sus principales características que destacaba el artículo son:

Nueva con ... ¡4.5 millones de víctimas!

Parece que ya se sabía que la versión 4 estaba activa desde mediados de 2010. ¿4.5 millones de zombis es mucho? Desde el artículo de abuse.ch, llamado How big is big? Se especula sobre la dimensión de ciertas botnets. La verdad es que TDL es de las más grandes, llegando a captar 90.000 direcciones IPs únicas infectadas en 24 horas. Realmente, hoy en día lo complicado no es infectar sistemas o conseguir un gran número de víctimas, sino capitalizar esa legión y sacar buen partido de ella. Conficker, un gusano de finales de 2009 del que realmente no se sabía muy bien qué objetivo perseguía, consiguió 15 millones de sistemas infectados. La botnet Mariposa, destapada por Panda a mediados de 2010 (y operada desde España), consiguió 13 millones.

Comunicación cifrada entre servidor de control de la botnet y el cliente infectado

Con este método, el troyano consigue eludir los IDS y otros métodos para bloquear el tráfico de red que genera el malware. Estas características ya las usaba Zbot desde 2007. El atacante, a la hora de configurar la botnet, elige una contraseña con la que se cifra el tráfico de red. Es como establecer conexiones SSL entre víctima y sistema de control del atacante. Realmente, no es novedad.

Explotar al máximo el beneficio: Vender la versión previa

Los creadores vendieron a finales del año pasado el código fuente de la versión 3 de la botnet TDL a otros atacantes. ¿Por qué? Porque la versión 4 ya la tenían desarrollada, y era lo suficientemente diferente a su versión previa para no tener que preocuparse. Esto ya ocurrió también con Zeus. Se puso a la venta al mejor postor a principios de año el código fuente de la versión 2, y se abandonó el proyecto. Esto ocurría justo cuando se rumoreaba que los creadores de Zeus se unían a los de Spyeye.

Infectar a nivel de MBR

Esta es una de las características por las que se le ha apodado como "indestructible". Este dato es bastante inexacto. Master Boot Record es el primer sector del disco duro. Ahí es donde acude el ordenador a conocer la tabla de particiones y saber con qué sistema operativo arrancar. El MBR está compuesto por la Master Partition Table y el Master Boot Code. La primera contiene la descripción de las hasta cuatro particiones primarias que puede contener un disco y cuál está activa. El segundo (440 bytes) es el código al que acude la BIOS cuando ya sabe en qué disco físico buscar el sistema operativo. Este código localizará la partición de arranque en su tabla de particiones, y si la encuentra, su sector se cargará en la conocida dirección de memoria 0000:7C00 para lanzar por fin el "kernel loader" (en el caso de Windows, el NTLDR). Modificando estos valores, el malware toma el control, y el sistema operativo arrancará bajo las condiciones que imponga el malware. O sea, le ataca desde el nivel más bajo y efectivo.

Malware a nivel de MBR se conoce desde hace tiempo. Si nos centramos en botnets, la familia Sinowal de 2007, ya usaba infección por MBR para sobrevivir al formateo del ordenador.

¿Indestructible por esto? Lo hace mucho más complicado, es cierto, pero no tanto. Sin ir más lejos, Kasperksy ofrece herramientas gratuitas para limpiar este malware totalmente. O cualquier herramienta que permita crear particiones podría eliminar la referencia en el MBR.

Seguiremos en la siguiente entrega estudiando las características de esta botnet.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

TDL4 ? Top Bot
http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot

domingo, 10 de julio de 2011

Robo de credenciales GSSAPI en libcurl

Existe un fallo de seguridad en la librería libcurl que podría permitir a un atacante suplantar a la víctima en servidores que utilicen la autenticación GSSAPI.

cURL es una herramienta de línea de comandos ampliamente utilizada para transferir archivos con sintaxis URL, soportando una amplia variedad de protocolos, como FTP, FTPS, HTTP, HTTPS, TFTP, SCP, SFTP, Telnet, DICT, FILE y LDAP . Generic Security Services Application Program Interface (GSSAPI) es un estándar para facilitar la integración entre diferentes servicios de seguridad. Por ejemplo, GSSAPI permite que las diferentes implementaciones del estándar de autenticación Kerberos puedan ser compatibles entre sí.

El problema se producía al utilizar la autenticación GSSAPI. Automáticamente, mientras se llevaban a cabo los mecanismos de negociación GSS cliente-servidor y sin que el usuario lo requiriese, ofrecía al servidor una copia de los credenciales de seguridad del cliente. De esta forma, un servidor de un atacante que recibiese estos credenciales, podría utilizar esta información para hacerse pasar por el cliente que inició la conexión en servidores que utilicen la autenticación GSSAPI. El CVE asignado a esta vulnerabilidad es CVE-2011-2192.


Javier Rascón
jrascon@hispasec.com


Más información:

cURL Security Advisory
http://curl.haxx.se/docs/adv_20110623.html

sábado, 9 de julio de 2011

Google bloquea dominos .co.cc en sus resultados

Matt Cutts, jefe del equipo antispam de Google, ha señalado que en los resultados del buscador no aparecerán páginas pertenecientes al subdominio co.cc, debido a la la gran cantidad de sitios registrados con una "baja calidad" de contenidos y que son utilizados para el envío de spam o como fuente de malware.

De esta manera dejan de indexarse en Google cerca de 11 millones y medio de dominios, que curiosamente suman más que la cantidad de dominios .org y .uk juntos. La medida no ha afectado a los sitios alojados bajo el dominio de primer nivel .cc (dominio de las Islas Cocos en Australia).

Según el último reporte del Anti-Phishing Working Group, en la segunda mitad de 2010, los 5.000 ataques detectados desde sitios .co.cc representan el 40% de los ataques provenientes de subdominios. Estos resultados han hecho que el porcentaje total de ataques provenientes de dominios .cc, ascienda a un 7.3% del total, por detrás de .com y por delante de .net. Este subdominio no "oficial" pertenece a una firma coreana (http://co.cc) que ofrece subdominios de segundo nivel de forma gratuita.

Aunque desde hace mucho tiempo existen los dominios de tercer nivel gratuitos, el caso de .co.cc es especial. Mientras el resto mantienen una política más o menos estricta contra el uso indebido de sus servicios, .co.cc ofrece además precios muy "asequibles" para su versión de pago. La mínima cantidad permitida que puede adquirirse son dos dominios, de forma totalmente gratuita. Pero también se pueden comprar hasta 15.000 dominios a 1.000 dólares, lo que saldría a menos de 5 céntimos de euro el dominio; todo esto con su servicio de DNS incluido. Esta facilidad para obtener un dominio es la que ha alentado la utilización indiscriminada de este subdominio para usos no tan legítimos, ya que en caso de denuncia y cierre del sitio, la pérdida de un dominio no supone una importante pérdida.

Desde el laboratorio de Hispasec, en análisis realizados sobre muestras enviadas a VirusTotal, también se ha podido observar en los últimos meses un importante aumento en la cantidad de malware que utiliza dominios .co.cc como infraestructuras necesarias para su funcionamiento.


Javier Rascón
jrascon@hispasec.com

viernes, 8 de julio de 2011

Primer workshop del proyecto SysSec

Este pasado miércoles 6 de julio tuvo lugar en el campus de la Universidad de Vrije en Amsterdam el primer workshop de SysSec, una red de excelencia del campo de la seguridad de sistemas. El evento atrajo a más de 50 investigadores tanto del ámbito europeo como del norteamericano.

El proyecto SysSec, financiado por la Unión Europea, tiene como meta la creación de un centro virtual de excelencia que consolide la comunidad de investigadores en seguridad de sistemas en el ámbito europeo. Incluye iniciativas como promocionar la educación en ese aspecto dentro del contexto universitario, la creación de grupos de trabajo que investiguen las amenazas presentes y futuras, el desarrollo de planes de investigación en dicho área y la creación de planes conjuntos para la realización de investigaciones colaborativas de alto nivel.

Hispasec participa, junto a otras empresas como Symantec, Google o ThalesRaytheonSystems, como miembro del grupo consultivo industrial de esta iniciativa, ayudando a enfocar algunos esfuerzos en direcciones que pensamos pueden ser útiles para su utilización aplicada.

El evento estaba mayormente orientado a ver que "se cuece" en temas de investigación en distintas universidades y empresas, y contó con charlas muy interesantes como 'Unidad en la diversidad: técnicas inspiradas en la filogenética para la ingeniería inversa y la detección de familias de malware' de Wei Ming Khoo de la Universidad de Cambridge, 'Detectando controles de acceso insuficientes en aplicaciones web' de George Noseevich de la Universidad Lomonosov de Moscú, 'Ataques I/O en arquitecturas basadas en Intel PC' de Fernand Lone Sang de la Universidad de Tolouse, o 'Moviendo las infraestructuras maliciosas a la nube', de Georgios Kontaxis de la fundación FORTH, entre otras.

También se explicaron por parte de varios de los ponentes, tanto del lado académico como industrial, diversos planes de investigación puntera en el campo, como seguridad en dispositivos móviles, redes P2P, redes inalámbricas industriales, etc.


Julio Canto
jcanto@hispasec.com
Twitter: @jcanto


Más información:

SysSec: Managing Threats and Vulnerabilities in the Future Internet
http://www.syssec-project.eu/

1st SysSec Workshop
http://www.syssec-project.eu/events/1st-syssec-workshop/

SysSec en twitter:
http://twitter.com/#!/syssecproject

jueves, 7 de julio de 2011

Novedades en VirusTotal: VTExplorer

Después de presentar los plugins VTzilla y VTChromizer, presentamos VTExplorer. Es una extensión para el navegador Internet Explorer (versión 6 en adelante) que permite analizar enlaces con tan sólo un click derecho de ratón y escanear ficheros si ya han sido previamente analizados.

VTExplorer tiene tres funcionalidades muy sencillas.

* Analizar URLs en Virustotal. El programa añade al menú contextual del navegador la opción "Send URL to Virustotal". Si se pulsa sobre el botón derecho sobre una URL en una web, enviará la dirección a virustotal.com para comprobar qué información tiene sobre ellas el escáner de URLs, que actualmente cuenta con 16 motores.






En el caso de que se haga con un enlace a un ejecutable, una vez abierto el análisis de URL, es posible consultar qué información existe en la base de datos de Virustotal sobre el binario. Esto se consigue
simplemente visitando el enlace "View downloaded file análisis".





* Analizar URLs en texto plano en Virustotal. Si las URLs que se quieren analizar no son "visitables" (no tienen "ancla") es posible simplemente seleccionar la URL en Internet Explorer y, con el botón derecho,
seleccionar "Send URL to Virustotal".





* Analizar la URL actual. Un icono en la barra de herramientas del navegador permite enviar a Virustotal la URL actual que está siendo visitada.




Si una vez instalado no aparece el icono, se deben configurar los complementos desde la personalización de la barra de herramientas.




La herramienta es sumamente sencilla. Consta de un pequeño código en JavaScript, y de unos cambios en el registro. La herramienta necesita tanto privilegios de usuario normal (se ejecuta bajo los privilegios de quien lanza el instalador) además de privilegios de administrador para poder instalar la extensión. Es por ello que el instalador pide elevar privilegios (si es que se lanza como usuario raso).

La extensión no es ninguna panacea como no lo es ninguna herramienta. Tal y como sucede en casi cualquier ámbito de la seguridad informática existen múltiples formas de mermar su utilidad, algunas de ellas triviales. Por ejemplo, los enlaces se pueden implementar con JavaScript, de tal forma que el menú contextual de VTExplorer no aparezca al pulsar con el botón derecho porque no se reconozca un "anchor" HTML con atributo "href".

Con esta extensión, más las existentes de Chrome, Mozilla y la extraoficial de Opera (programada por un tercero) cubrimos varios de los navegadores más usados.

La extensión puede descargarse desde:

http://www.virustotal.com/advanced.html#browser-addons


En el apartado de Internet Explorer.


Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv


Más información:

Extensión de VirusTotal para Opera 11
http://blog.hispasec.com/laboratorio/369

miércoles, 6 de julio de 2011

Vulnerabilidades en IBM Tivoli Storage Manager

IBM ha actualizaciones para evitar una vulnerabilidad en los clientes Windwos y AIX de IBM Tivoli Storage Manager (TSM) Windows Journal Based Backup (JBB), y otras dos vulnerabilidades en el cliente Windows TSM.

Tivoli Storage Manager, es un producto de IBM para la gestión de almacenamiento que automatiza las funciones de restauración y copia de seguridad, y permite centralizar las operaciones de gestión de backups.

El primer problema reside en un desbordamiento de búfer en la función Journal Based Backup (JBB) de Windows x32, Windows x64 y AIX, que podría permitir a un atacante local ejecutar código arbitrario.

Otra vulnerabilidad de desbordamiento de búfer, podría permitir a un atacante local provocar la caída del cliente o ejecutar código arbitrario. Se presenta en el cliente de backup de archivos tratando Flujos Alternativos de Datos (alternate data streams).

Por ultimo, se ha corregido un problema en el cliente Windows de TSM que puede efectuar copias de seguridad incorrectas de archivos EFS cifrados que tengan Flujos Alternativos de Datos (alternate data streams).

Se ven afectadas las versiones 6.2.0.0 a 6.2.1.3, 6.1.0.0 a 6.1.3.5, 5.5.0.0 a 5.5.2.12 y 5.4.0.0 a 5.4.3.3. IBM ha publicado versiones actualizadas de los clientes, por lo que se recomienda actualizar según el aviso oficial publicado en
https://www-304.ibm.com/support/docview.wss?uid=swg21457604


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

Potential Security and Data Loss Issues with TSM Windows and AIX JBB clients - June 2011
https://www-304.ibm.com/support/docview.wss?uid=swg21457604

martes, 5 de julio de 2011

Grave fallo de seguridad en OpenSSH de FreeBSD, descubierto siete años después

Kingcope ha vuelto a hacer públicos todos los detalles de un grave fallo de seguridad en OpenSSH de FreeBSD 4, que permite ejecución remota de código. Ha creado un exploit capaz de aprovechar el fallo, y que devuelve una shell al equipo remoto sin necesidad de autenticación. El fallo se encuentra en auth2-pam-freebsd.c, un archivo de hace siete años.

El problema es grave, puesto que permite a un atacante que pueda acceder al SSH de una máquina FreeBSD, ejecutar código como root sin necesidad de autenticarse. El fallo se da en, al menos en FreeBSD 4.9 y 4.11, puesto que estas versiones vienen con OpenSSH 3.5p1 por defecto. Actualmente FreeBSD mantiene solo dos ramas, la 7 y la 8. La rama 4 se descontinuó en 2007 y el fichero problemático desapareció de FreeBSD a partir de la versión 5.2.1.

El problema está en la función pam_thread, a la hora de procesar nombres de usuario muy largos. Tanto SSH versión 1 como SSH versión 2. En versiones más modernas de FreeBSD 5.2.1, ni siquiera existe el archivo afectado auth2-pam-freebsd.c. Kingcope no ha podido determinar aún si el problema está en este OpenSSH de FreeBSD o en la propia librería PAM del sistema operativo.

Durante las pruebas, Kingcope comprobó que si lanzaba el demonio SSH desde consola como root, y proporcionaba un nombre de usuario de más de 100 caracteres de longitud, el demonio moría y se sobrescribía el registro EIP, con lo que se puede llegar a controlar por completo el flujo de instrucciones.

Kingcope (Nikolaos Rangos) suele descubrir importantes vulnerabilidades en FreeBSD y otro software popular. A finales de 2009 encontró un problema de elevación de privilegios FreeBSD. En septiembre de ese mismo año, publicó un exploit funcional que permitía a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tuviera el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permitía provocar una denegación de servicio. También en mayo de 2009, descubrió un grave fallo en WebDAV de IIS.


Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv


Más información:

OpenSSH 3.5p1 Remote Root Exploit for FreeBSD
http://packetstormsecurity.org/files/view/102683/ssh_preauth_freebsd.txt

01/09/2009 Vulnerabilidad en el FTP de Microsoft IIS 5 permite ejecución de código
www.hispasec.com/unaaldia/3965

30/11/2009 Elevación de privilegios en FreeBSD
www.hispasec.com/unaaldia/4055

lunes, 4 de julio de 2011

Nuevos contenidos en la Red Temática CriptoRed (junio de 2011)

Breve resumen de las novedades producidas durante el mes de junio de 2011 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS EN LA RED EN EL MES DE JUNIO DE 2011
* Ciber-terrorismo: Definición de políticas de seguridad para proteger infraestructuras críticas frente ataques ciber-terroristas, Juan José Penide Blanco, Carlos Díez Molina, Mikel Arias y Javier Perojo Gascón, PDF 134 páginas.
http://www.criptored.upm.es/guiateoria/gt_m876a.htm
* Aclarando dudas sobre RSA, Jorge Ramió, PPTX 26 diapositivas.
http://www.criptored.upm.es/guiateoria/gt_m001z.htm

2. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE JUNIO DE 2011
* Lección 8: Protocolo de reparto de secretos (Luis Hernández Encinas, CSIC, 13:54 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=reparto-secretos&lang=es
* Lesson 8: Secret sharing protocol (Luis Hernández Encinas, CSIC, 14:46 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=shared-secrets&lang=en

3. NUEVOS VÍDEOS DEL CICLO DE CONFERENCIAS UPM TASSI 2011 EN EL MES DE JUNIO DE 2011
* Ciberamenazas. Escenario 2010. Tendencias 2011, Javier Candau, CCN, 01:42:30 horas.
Vídeo: http://www.youtube.com/watch?v=IoflddERLb8
Diapositivas:
http://www.criptored.upm.es/descarga/Amenazas_y_vulnerabilid_2011_V3_entrega.pdf
* Los dispositivos móviles y la seguridad. ¿Cometiendo los mismos errores?, VII Ciclo de Conferencias UPM TASSI 2011, David Barroso, S21sec e-crime, 01:51:49 horas.
Vídeo: http://www.youtube.com/watch?v=zg8rUph-rVI
Diapositivas: http://www.criptored.upm.es/descarga/Seguridad_en_moviles.pdf
* Elementos criptográficos para el Esquema Nacional de Seguridad, Jorge Dávila, FI UPM, 01:37:01 horas.
Vídeo: http://www.youtube.com/watch?v=JzDeBMh0aKg
Diapositivas: http://www.criptored.upm.es/descarga/CriptoENS_v07.pdf
* Infraestructura de seguridad en la nube - Microsoft, Jose Parada, Microsoft España, 01:24:19 horas.
Vídeo: http://www.youtube.com/watch?v=H5vIb4YGerE
Diapositivas:
http://www.criptored.upm.es/descarga/Infraestructuras_de_seguridad_en_la_Nube.pdf
* Seguridad de la información. Perfiles del futuro, VII Ciclo de Conferencias UPM TASSI 2011, José de la Peña Muñoz, Revista SIC, 01:48:15 horas.
Vídeo: http://www.youtube.com/watch?v=p2hpZHU6aZA
Diapositivas:
http://www.criptored.upm.es/descarga/JOSE_DE_LA_PENA_MUNOZ-VII_CICLO_CONFERENCIAS_UPM-TASSI.pdf

4. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE JUNIO DE 2011
* Informe de la Red de Sensores del mes de mayo de 2011 sobre virus y malware (INTECO, España)
https://ersi.inteco.es/informes/informe_mensual_201105.pdf
* Amenazas Persistentes Avanzadas. La inseguridad de la información como fuente de inteligencia estratégica para los intrusos, Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2011/06/amenazas-persistentes-avanzadas-la.html
* Esquema Nacional de Seguridad con Tecnología Microsoft (Juan Luis García Rambla, Chema Alonso)
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-59-70-ENS/2262.esquema_5F00_nacional_5F00_seguridad_5F00_ok.pdf

5. RELACIÓN DE CONGRESOS, SEMINARIOS Y CONFERENCIAS POR ORDEN CRONOLÓGICO DE CELEBRACIÓN
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla - España)
* Agosto 29 a septiembre 2 de 2011: 3er Workshop de Seguridad Informática (Córdoba - Argentina)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
* Septiembre 15 al 16 de 2011: International Conference on Information Technologies InfoTech 2011 (Varna - Bulgaria)
* Septiembre 15 al 16 de 2011: 4th SETOP International Workshop on Autonomous and Spontaneous Security (Lovaina - Bélgica)
* Septiembre 15 al 16 de 2011: 6th DPM International Workshop on Data Privacy Management ((Lovaina - Bélgica)
* Septiembre 16 al 17 de 2011: VIII edición Congreso No cON Name 2011 (Barcelona - España)
* Octubre 17 al 21 de 2011: First International Workshop on Rational, Secure and Private Ad-Hoc Networks RASEP '11 (Creta - Grecia)
* Octubre 26 al 28 de 2011: 17th International Congress on Computer Science Research CIICC'11 (Morelia - México)
* Noviembre 2 al 4 de 2011: VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Bucaramanga - Colombia)
* Noviembre 7 al 11 de 2011: Workshop sobre Seguridad de la Información e Inteligencia Artificial en la Internet de las Cosas SIIAIC (La Laguna - España)
* Noviembre 7 al 11 de 2011: XXIII Encuentro Chileno de Computación ECC2011 (Talca - Chile)
* Noviembre 7 al 11 de 2011: 30th International Conference of the Chilean Computer Science Society SCCC2011 (Talca - Chile)
* Noviembre 17 al 18 de 2011: Jornadas de Criptografía Spanish Cryptography Days SCD2011 (Murcia - España)
* Noviembre 28 a diciembre 2 de 2011: Workshop on Computational Security 2011 en el Centre de Recerca Matemàtica (Bellaterra - España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

6. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE JUNIO DE 2011
* Primer Taller Iberoamericano de Enseñanza e Innovación Educativa en Seguridad de la Información TIBETS 2011 (Colombia).
* 23 papers de 8 países seleccionados por el Comité de Programa para ser presentados en CIBSI 2011 (Colombia)
* Definido el programa del congreso No cON Name 2011 a celebrarse del 16 al 17 de septiembre en Barcelona (España)
* Curso de Fundamentos de CobiT del 12 al 16 de julio por el Capítulo ISACA-126 de Bogotá (Colombia)
Acceso al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2011.htm#jun11

7. OTROS DATOS DE INTERÉS EN LA RED TEMÁTICA
* Número actual de miembros en la red: 882
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas criptored: 33.563 visitas, con 104.993 páginas solicitadas y 31,24 Gigabytes servidos en junio de 2011, descargándose 19.146 archivos zip o pdf
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Estadísticas intypedia: 9.793 reproducciones en junio de 2011
http://www.criptored.upm.es/paginas/intypediamensual.htm

8. VI Congreso de la Red Temática: CIBSI 2011
Buracamanga, Colombia, del 2 al 4 de noviembre
Primer Taller Iberoamericano de Enseñanza e Innovación Educativa en Seguridad de la Información TIBETS 2011
http://www.cibsi.upbbga.edu.co/


Jorge Ramió Aguirre
Coordinador de Criptored
Twitter: http://twitter.com/#!/criptored



domingo, 3 de julio de 2011

Versión de Vsftp troyanizada disponible desde la fuente oficial

Chris Evans, desarrollador del software, informaba a través de su blog de que la versión de su software vsftp 2.3.4 contenía una puerta trasera que podría permitir tomar el control de la máquina que hubiese instalado la versión troyanizada del servidor.

Vsftp es un popular servidor FTP, con licencia GPL para sistemas UNIX.

El fallo fue notificado por Mathias Kresin, un usuario que fue el primero en advertir del problema y podría llevar activo desde el pasado mes de febrero de 2011, fecha en la que se dió a conocer la versión 2.3.4.

El código añadido al servidor oficial ejecuta una consola en el puerto 6200 al identificar la cadena ":)" en el campo usuario de la conexión FTP. El código, que no se encuentra ofuscado ni cifrado, es fácilmente identificable mediante una herramienta de comparación de ficheros tipo "diff".

Para saber si se tiene la versión troyanizada instalada, el autor ha publicado la firma GPG del software para validar su autenticidad, y también ha movido el software a Google App Engine.

Este caso no viene sino a engordar la lista de software de cierta relevancia troyanizado, el pasado año tuvo cierta relevancia el caso de UnrealIRCd que llevaba troyanizado 8 meses hasta que fue descubierto (http://www.hispasec.com/unaaldia/4250), o el caso de phpMyFAQ (http://www.hispasec.com/unaaldia/4437) a finales de 2010.


Fernando Ramírez
framirez@hispasec.com


Más información:


Diff del código troyanizado:
http://pastebin.com/AetT9sS5

Blog del autor:
http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoored.html

Firma GPG de la versión 2.3.4:
https://security.appspot.com/downloads/vsftpd-2.3.4.tar.gz.asc

sábado, 2 de julio de 2011

Libro: Hacking con buscadores: Google, Bing & Shodan

En verano se suelen recomendar libros interesantes porque se supone que tenemos más tiempo libre. Aunque en mi caso esté siempre ocupado independientemente de la climatología, he encontrado un hueco para leer este libro de Enrique Rando y no he podido más que recomendarlo.

Enrique Rando es director de informática de la delegación de empleo de la Junta de Andalucía en Málaga. La seguridad es su hobby y su pasión, y eso se nota en el trabajo que ha realizado sobre buscadores y que ha editado Informatica64 en su colección. Es una de esas personas que habla bajito para no molestar, muy alejado del autobombo y con actitud siempre dialogante. Sin sentar cátedra. Hemos coincidido en charlas y ponencias. Tiene una especial forma de expresar las ideas; con claridad, respeto y calma. Podrías oírlo durante horas.

En el libro "Hacking con buscadores: Google, Bing & Shodan", da un repaso a decenas de técnicas de búsqueda que pueden permitir a un profesional realizar tests de intrusión, o a una empresa a saber qué "olvida por ahí" en su web o incluso qué dicen de ella. El libro está escrito de forma muy comprensible, y va directo al grano. Nada de grandes divagaciones, ejemplos absurdos, tópicos o capturas de pantalla prescindibles. Sus 250 páginas están llenas de contenido y material interesante.

Creía que le estaba sacando todo el partido a Google, hasta que leí las 10 primeras páginas del libro. Descubrí cuánto desconocía. Si creías que con algunos dorks típicos estabas aprovechando todo lo que ofrece Google, o si no sabías de la existencia de Shodan, este es tu libro.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Hacking con Buscadores: Google, Bing & Shodan
http://www.informatica64.com/libros.aspx?id=hackingBuscadores

viernes, 1 de julio de 2011

Android Class Loading Hijacking

Mario Ballano, investigador de Symantec, ha publicado una nueva técnica que podría ser utilizada por otros programas para "secuestrar" privilegios de otras aplicaciones en Android.

En verano de 2010, HD Moore destapó un problema de seguridad en decenas de aplicaciones de terceros cuando eran ejecutadas sobre Windows. Aunque la raíz del problema era, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft publicó un aviso de seguridad con instrucciones para mitigar el fallo. El problema estaba en múltiples aplicaciones de terceros (y propias) para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a "encontrar" primero las librerías de los atacantes y ejecutarlas. Al principio Moore identificó unas cuarenta aplicaciones, pero poco a poco el número comenzó a crecer. El DLL Hijacking obligó a la actualización de cientos de aplicaciones y otras tantas que nunca fueron corregidas.

La técnica descubierta en Android es similar a este "DLL Hijacking" y tampoco es un problema específico del sistema operativo, sino de si la aplicación gestiona incorrectamente la procedencia de sus dependencias. Así, para aprovecharla, sería necesario encontrar una aplicación vulnerable instalada en el teléfono y hacer que cargue librerías o plugins del atacante en vez de los suyos legítimos. Para ello, primero estas librerías deben estar localizadas en un punto donde todos puedan escribir para que sean reemplazadas. Por ejemplo, la tarjeta SD del teléfono.

Android ofrece dos clases, DexClassLoader y PathClassLoader para cargar código dinámicamente. La primera API optimiza un código y devuelve el resultado en la variable dexOutputDir, que muchos desarrolladores e incluso documentación de Android, definen como la tarjeta SD. En ella puede escribir cualquiera. Así que un atacante simplemente tendría que reemplazar ese código, y la aplicación lo cargaría creyendo que es el suyo. El atacante heredaría sus permisos.

PathClassLoader tiene un problema parecido con su parámetro libPath. Android irá a buscar librerías de sistema donde diga este valor, y muchos programadores lo establecen a la ruta de la tarjeta SD. Sin embargo esto no funcionará en ningún caso, puesto que se monta por defecto con permisos de no ejecución. Lo curioso es que se han encontrado varias aplicaciones en el Marketplace que lo intentan.

Lo ideal entonces, es que el desarrollador se preocupe de que todos los archivos son emplazados y cargados desde lugares seguros, (nunca la tarjeta SD). Desde Symantec han contactado con Google para que al menos, en la documentación oficial, se mencione este potencial problema.


Victor Antonio Torre
vtorre@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Android Class Loading Hijacking
http://www.symantec.com/connect/blogs/android-class-loading-hijacking

DexClassLoader Overview:
http://developer.android.com/reference/dalvik/system/DexClassLoader.html