sábado, 31 de diciembre de 2011

Resumen de seguridad de 2011 (y IV)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2011 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Octubre 2011:

* Microsoft publica ocho boletines destinados a solucionar 23 vulnerabilidades. Por su parte, Apple corrige 75 vulnerabilidades en OS X y 98 en iOS.

* A través de las redes sociales, consiguen recavar información para obtener la contraseña del correo de Scarlett Johansson, se publican unas fotos en las que puede verse a la actriz desnuda.

* Se da a conocer un nuevo malware, que bajo el nombre de Duqu puede considerarse descendiente de Stuxnet, igualmente está orientado a infectar sistemas industriales.

Noviembre 2011:

* Se confirma que Duqu contiene un 0-day para sistemas Windows, basado en el tratamiento de fuentes incrustadas. Microsoft ofrece contramedidas para bloquear el acceso a la librería "t2embed.dll" y de esta forma evitar posibles ataques hasta la publicación definitiva del parche.

* Microsoft publica cuatro boletines destinados a corregir otras tantas vulnerabilidades. La fundación Mozilla publica actualizaciones para corregir nueve vulnerabilidades en Mozilla Firefox y Thunderbird

* Adobe anuncia el final del desarrollo de Flash Player para dispositivos móviles y resuelve 11 vulnerabilidades en dicho producto.

* Investigadores de la Universidad de Columbia descubren una vulnerabilidad que afecta a impresoras HP LaserJet y que podría permitir a un atacante remoto modificar el firmware de los dispositivos afectados.

Diciembre 2011:

* Se conoce una nueva vulnerabilidad 0-day afecta a Adobe Reader y Acrobat. Dos semanas más tarde Adobe publica la actualización necesaria.

* En los boletines correspondientes a su ciclo habitual de actualizaciones, Microsoft publica 13 boletines, para solucionar 19 vulnerabilidades, entre las que se incluye el 0-day empleado por el troyano Duqu.

* Se anuncian tres vulnerabilidades en WhatsApp que podrían afectar a la integridad y confidencialidad de los datos y mensajes de los usuarios de esta popular aplicación. 

* Una vulnerabilidad que afecta a la gran mayoría de las plataformas de desarrollo web podría permitir la realización de ataques de denegación de servicio. Microsoft se ve obligada a publicar un último boletín de urgencia para cubrir esta y otras 3 vulnerabilidades más en .Net Framework. El resto de plataformas de desarrollo también publican actualizaciones.


Más información:

una-al-dia (11/10/2011) Resumen de boletines de Microsoft en octubre

una-al-dia (12/10/2011) Actualización de OS X (75 vulnerabilidades) y iOS (98 fallos)

una-al-dia (14/10/2011) El culo de Scarlett y el eslabón más débil (I)

una-al-dia (15/10/2011) El culo de Scarlett y el eslabón más débil (y II)

una-al-dia (19/10/2011) Duqu, ¿el nuevo malware descendiente de Stuxnet?

una-al-dia (02/11/2011) Duqu, más información y algunas dudas

una-al-dia (04/11/2011) Microsoft da detalles sobre el 0 day que aprovecha Duqu: Cómo protegerse

una-al-dia (10/11/2011) Resumen de boletines de Microsoft en noviembre

una-al-dia (11/11/2011) Múltiples vulnerabilidades en Mozilla Firefox y Thunderbird

una-al-dia (13/11/2011) Múltiples vulnerabilidades en Adobe Flash Player y su fin en los móviles

una-al-dia (05/12/2011) Adobe avisa de vulnerabilidad "0-day" en Adobe Reader y Acrobat

una-al-dia (19/12/2011) Actualizaciones de seguridad para Adobe Reader y Acrobat

una-al-dia (13/12/2011) Microsoft cierra el año con 13 boletines de seguridad

una-al-dia (14/12/2011) Actualización del kernel de Windows contra la vulnerabilidad del troyano Duqu

una-al-dia (26/12/2011) Vulnerabilidades en WhatsApp

una-al-dia (30/12/2011) Una vulnerabilidad podría pe rmitir dejar sin servicio a la mayoría de servicios web


Antonio Ropero
Twitter: @aropero

viernes, 30 de diciembre de 2011

Una vulnerabilidad podría permitir dejar sin servicio a la mayoría de servicios web

Una vulnerabilidad que afecta a la gran mayoría de las plataformas de servicios web actuales podría permitir la realización de ataques de denegación de servicio.

La vulnerabilidad fue presentada por dos investigadores en una conferencia en el ya mítico congreso Chaos Communication Congress, organizado por el Chaos Computer Club.

La conferencia completa:


El problema afecta a una larga lista de tecnologías de desarrollo web, incluyendo PHP, ASP.NET, Java, Python, Ruby, Apache Tomcat, Apache Geronimo, Jetty o  Glassfish. Concretamente versiones:
Básicamente es más fácil decir a los lenguajes que no afecta: Perl y CRuby 1.9. 

La base de la vulnerabilidad reside en que prácticamente todos los lenguajes almacenan en tablas hash los valores de los parámetros de las peticiones web. Pero las funciones hash empleadas se ven afectadas por colisiones. Por lo que es fácil generar peticiones con parámetros que tengan el mismo hash. De forma que cuando el servidor inserta los valores en la tabla hash se ve obligado a realizar un gran número de operaciones. Lo que, con un número adecuado de parámetros, provoca la denegación de servicio.

Este problema no es nuevo, básicamente es idéntico a otro ya conocido desde 2003, que afectaba a Perl. Motivo por el que este lenguaje ya incorpora la adecuada solución, que pasa por aleatorizar la clave empleada para calcular el hash. De esta forma, el atacante no podrá precalcular parámetros con hashes que provoquen colisiones. Otra forma de evitar el fallo, mucho más sencilla, pasa por limitar el número de parámetros procesados en cada petición.

Para tener una idea del alcance problema, en un sistema con Intel Core i7 sobre una aplicación PHP, bastarían 500k de datos POST para ocupar un minuto de tiempo de cálculo de CPU. De tal forma que bastaría con una conexión de entre 70 a 100 kbits/s para mantener ocupada una CPU de este tipo.

Los principales lenguajes ya han publicado actualizaciones y parches que corrigen esta vulnerabilidad, que pueden ser descargadas desde la página oficial de cada uno de ellos.

Microsoft, por ejemplo, ha publicado un boletín de urgencia para corregir esta vulnerabilidad en Microsoft .NET Framework (si bien este problema no es considerado crítico), y además solucionar otras tres vulnerabilidades (una de ellas crítica).

Apache Tomcat ha implementado una contramedida para evitar los efectos de un posible ataque, para lo que proporciona la nueva opción "maxParameterCount" que limita el número de parámetros procesados en cada petición. Por defecto está fijado a 10.000, suficientemente alto para soportar cualquier aplicación y suficientemente bajo para mitigar los efectos del DoS. Esta contramedida está disponible en las ramas 7.0.23 (en adelante) y 6.0.35 (en adelante).

En PHP una contramedida pasa por limitar el tiempo de CPU de generación de una respuesta mediante "max_input_time".
Otras actualizaciones:
  • Ruby: actualización a la versión 1.8.7-p357.
  • PHP 5: corregido a través de repositorios SVN.
  • Rack: corregido a través de repositorio GIT.
  • Apache Tomcat: actualización a las versiones 5.5.35, 6.0.35, y 7.0.23.
  • JRuby: actualización a la versión 1.6.5.1.
Más información:

#2011-003 multiple implementations denial-of-service via hash algorithm collision

Efficient Denial of ServiceAttacks on Web ApplicationPlatforms

Microsoft Security Bulletin MS11-100 – Critical
Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)

[SECURITY] Apache Tomcat and the hashtable collision DoS vulnerability

Denial of Service through hash tablemulti-collisions

Denial of Service via Algorithmic Complexity Attacks

CCC Event blog – 28C3


Antonio Ropero
Twitter: @aropero


jueves, 29 de diciembre de 2011

Resumen de seguridad de 2011 (III)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2011 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Julio 2011: 

Agosto 2011:

Septiembre 2011:

Más información:

una-al-dia (05/07/2011) Grave fallo de seguridad en OpenSSH de FreeBSD, descubierto siete años después

una-al-dia (08/07/2011) Primer workshop del proyecto SysSec

una-al-dia (13/07/2011) Boletines de seguridad de Microsoft de julio

una-al-dia (20/07/2011) Apple corrige 57 vulnerabilidades en Safari

una-al-dia (22/07/2011) Parches Críticos de julio para múltiples productos Oracle

una-al-dia (24/07/2011) Contraseña por defecto para manipular las baterías de los MacBook

una-al-dia (03/08/2011) Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades. RealNetworks, el que más. La media global son 6 meses

una-al-dia (24/08/2011) El cifrado AES, ¿está roto o no?

una-al-dia (30/08/2011) Se detecta otro certificado falso de Google

una-al-dia (01/09/2011) Servidores de Kernel.org comprometidos durante más de dos semanas

una-al-dia (07/09/2011) DigiNotar: La tercera revocación masiva en 10 años

una-al-dia (15/09/2011) Libro: "Máxima Seguridad en Windows: Secretos Técnicos" de Sergio de los Santos



Antonio Ropero
Twitter: @aropero

miércoles, 28 de diciembre de 2011

Resumen de seguridad de 2011 (II)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2011 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Abril 2011: 

Mayo 2011:


Junio 2011:


Más información:

una-al-dia (04/04/2011) El ataque a la RSA se produjo a través de un 0 day en Flash

una-al-dia (06/04/2011) LizaMoon, otro ataque de inyección SQL masivo

una-al-dia (08/04/2011) Microsoft publicará 17 boletines el próximo martes

una-al-dia (27/04/2011) Grupo de parches de abril para múltiples productos Oracle

una-al-dia (26/04/2011) Sony reconoce una intrusión en PlayStation Network

una-al-dia (29/04/2011) Práctico: Cómo funciona el almacenamiento de datos de localización del iPhone

una-al-dia (15/05/2011) Piden investigar a Dropbox por mentir en su cláusula de seguridad

una-al-dia (17/05/2011) Robo de credenciales en Android

una-al-dia (26/05/2011) Libro-PDF: Esquema Nacional de Seguridad con Tecnología Microsoft

una-al-dia (13/06/2011) Hispasec participa en el IV Curso de Verano de Seguridad y Auditoría Informática en la UEM

una-al-dia (14/06/2011) Boletines de seguridad de Microsoft en junio

una-al-dia (17/06/2011) Múltiples vulnerabilidades en Productos Adobe

una-al-dia (16/06/2011) BitCoin: fabricando dinero digital ¿a costa de terceros?

una-al-dia (23/06/2011) BitCoin: pronósticos cumplidos

Antonio Ropero
Twitter: @aropero


martes, 27 de diciembre de 2011

Resumen de seguridad de 2011 (I)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2011 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2011: 
  • La fundación Mozilla comunica la publicación por error una parte importante de los datos de usuarios registrados en addons.mozilla.org, concretamente el identificador de usuario y hash MD5 de las contraseña de 44.000 de sus usuarios.

  • El anuario de Hispasec "Una al día: 12 años de seguridad informática" se amplía y reedita en papel de la mano de Informática64.

  • El New York Times confirma lo que parecía ser un rumor a voces: Stuxnet, el famoso gusano que durante el 2010 sorprendió por su complejidad y profesionalidad, fue financiado por el gobierno de Estados Unidos de América e Israel, y su objetivo eran las centrales nucleares de Irán.

  • Sourceforge, la popular incubadora de software libre, confirma una serie de ataques dirigidos específicamente contra ellos que concluyen el compromiso de varios servidores. Sourceforge se ve obligada a apagar diversos servidores para intentar contrarrestar el ataque. 

Febrero 2011:
Marzo 2011:
Más información:

una-al-dia (04/01/2011) Mozilla publica accidentalmente nombres y contraseñas de 44.000 usuarios

una-al-dia (07/01/2011) Informática64 reedita en papel el anuario "Una al día: 12 años de seguridad informática"

una-al-dia (15/01/2011) Según el New York Times, Stuxnet fue creado por el gobierno de Estados Unidos e Israel

una-al-dia (28/01/2011) Servidores de Sourceforge comprometidos por atacantes

una-al-dia (05/02/2011) Las claves por defecto de los routers de Movistar y Jazztel, al descubierto

una-al-dia (09/02/2011) Aclaraciones oficiales sobre el filtrado del algoritmo de claves WPA de Movistar y Jazztel (I y II)

una-al-dia (08/02/2011) Boletines de seguridad de Microsoft en febrero

una-al-dia (17/02/2011) Múltiples vulnerabilidades en Oracle Java SE y Java for Business

una-al-dia (14/02/2011) Participación de Hispasec en la XIV Convención Informática 2011

una-al-dia (21/02/2011) Publicado el Service Pack 1 para Windows 7

una-al-dia (04/03/2011) AutoRun en Windows: Se acerca el fin de esta funcionalidad (I y II)

una-al-dia (12/03/2011) "Cae" un nuevo router de MoviStar y publican cómo descubrieron las claves WPA por defecto del anterior

una-al-dia (24/03/2011) Certificados fraudulentos en Windows, Chrome y Firefox. Un problema mucho más inquietante de lo que parece

una-al-dia (25/03/2011) Más sobre los certificados fraudulentos. ¿Qué debe hacer el usuario?

una-al-dia (28/03/2011) Atacan el sitio web de MySQL a través de una inyección SQL


Antonio Ropero
Twitter: @aropero

lunes, 26 de diciembre de 2011

Vulnerabilidades en WhatsApp

Se han anunciado tres vulnerabilidades en WhatsApp que podrían afectar a la integridad y confidencialidad de los datos y mensajes de los usuarios de esta aplicación.

WhatsApp Messenger, o simplemente WhatsApp como se conoce comúnmente, es un cliente de mensajería instantánea disponible para múltiples plataformas móviles como por ejemplo iOS, Android, BlackBerry OS, y Symbian. Permite el envío de mensajes de texto, imágenes, audio y videos, aunque su característica principal es que no es necesario crear un nombre de usuario y compartirlo con los demás contactos sino que utiliza el propio número de teléfono como ID y busca automáticamente en la agenda a otros contactos que utilicen este programa.

Las vulnerabilidades que han sido reveladas son las siguientes: 
  • Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.
  • La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.
  • El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.
Estas vulnerabilidades no tienen asignado ningún identificador CVE.

La empresa desarrolladora ha impuesto, como medida de protección ante la segunda vulnerabilidad, una limitación de 10 intentos para introducir el código enviado. Sin embargo no se ha pronunciado al respecto de las otras dos vulnerabilidades.

Más información:

SEC Consult SA-20111219-1 :: Multiple vulnerabilities in WhatsApp


Juan José Ruiz

domingo, 25 de diciembre de 2011

Falsificación de certificado en el navegador de Android

Se ha anunciado una nueva vulnerabilidad que afecta al navegador por defecto de Android.

Android es un sistema operativo basado en Linux y pensado especialmente para dispositivos móviles que desde 2005 está desarrollado por Google. Actualmente posee una gran cuota de mercado en este tipo de dispositivos debido, en gran medida, a la disponibilidad libre de su código y a la gran variedad de aplicaciones gratuitas disponibles.

Este fallo permite a un atacante crear una web que en las propiedades contenga el certificado de otra. El fallo consiste en crear un iframe a una web segura. Cuando el usuario intenta visualizar las propiedades de la web fraudulenta verá el certificado de la web contenida en el iframe.

Este fallo ha sido confirmado para las versiones 2.3.3, pero podría afectar a otras versiones.

Más información:

Certificate Spoofing in Google Chrome for Android

Certificate Spoofing in Google Chrome for Android


Víctor Antonio Torre

sábado, 24 de diciembre de 2011

Múltiples vulnerabilidades en productos Websense

Se han anunciado múltiples vulnerabilidades en productos Websense, que podrían permitir a un atacante construir ataques de cross-site scripting, evitar restricciones de seguridad e incluso ejecutar código arbitrario en los sistemas afectados.

Tres de los problemas están relacionados con la interfaz web de administración de informes. El primero de ellos reside en un error no detallado que podría permitir eludir el mecanismo de autenticación. Otros dos de los problemas residen en el tratamiento de las entradas, que no son debidamente limpiadas y pueden permitir realizar ataques de cross-site scripting, con la consiguiente ejecución de código script arbitrario.

Por ultimo, existe un error del que no se han facilitado detalles que podría dar lugar a la ejecución de código arbitrario.

Los problemas afectan a los siguientes productos: Websense Web Security Gateway, versión 7.6, Websense Web Security versión 7.6 y Websense Web Filter versión 7.6.

Se recomienda aplicar el Hotfix 12 para la version 7.6.2 o el Hotfix 24 para la version 7.6.0, disponibles desde:

Más información:

NGS00138 Patch Notification: Websense Triton 7.6 - Authentication bypass in report management UI

NGS00137 Patch Notification: Websense Triton 7.6 - Reflected XSS in report management UI

NGS00140 Patch Notification: Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM

NGS00141 Patch Notification: Websense Triton 7.6 - Stored XSS in report management UI




Antonio Ropero
Twitter: @aropero




viernes, 23 de diciembre de 2011

Denegación de servicio en IBM Lotus Domino

Se ha anunciado una vulnerabilidad en IBM Lotus Domino 8, que podría permitir a un atacante provocar condiciones de denegación de servicio (DoS).

La vulnerabilidad, con CVE-2011-1393, reside en un error al procesar determinadas operaciones Notes RPC relacionadas con la autenticación, y podría provocar la caída del servidor Domino a través de paquetes específicamente creados.

La vulnerabilidad se ha confirmado en las versiones 8.0.x, 8.5, 8.5.1 y 8.5.2 Fix Pack 3 y anteriores. Se recomienda actualizar a la versión 8.5.2 Fix Pack 4 o 8.5.3.

Más información:

Security Advisory: Lotus Domino Denial of Service Vulnerability during Notes authentication processing (CVE-2011-1393)

Lotus Domino Server RPC denial of service


Antonio Ropero
Twitter: @aropero

jueves, 22 de diciembre de 2011

Elevación de privilegios a través de drivers de NVIDIA 3D

Jeong Wook Oh, un investigador de Microsoft Malware Protection Center (MMPC) ha descubierto una vulnerabilidad en los controladores NVIDIA Stereoscopic 3D (versiones 7.17.12.7536 y anteriores).

Estos drivers permiten acceder a contenido 3D con tarjetas gráficas y monitores compatibles, para proporcionar una experiencia 3D en ordenadores con estas características.

El fallo, con CVE-2011-4784, se produce al no filtrar adecuadamente los comandos recibidos. Un atacante local podría aprovechar esto para enviar comandos especialmente diseñados que se ejecutarían con permisos del sistema.

Recomendamos descargar la última versión de los controladores, que solucionan este error, desde: http://www.nvidia.com/Download/index.aspx

Más información:

Microsoft Vulnerability Research Advisory:


Víctor Antonio Torre



miércoles, 21 de diciembre de 2011

La fundación Mozilla publica siete boletines de seguridad para sus productos

La Fundación Mozilla cierra el año publicando siete boletines de seguridad (del MFSA2011-53 al MFSA2011-59) para solucionar múltiples vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). 

Según la propia clasificación de la fundación Mozilla, cinco de los boletines han sido clasificados con un impacto "crítico", uno de ellos con gravedad "alta" y un último como "moderado".

Los boletines publicados son: 
  • MFSA 2011-53: Boletín crítico, que corrige múltiples problemas de seguridad de la memoria en el motor del navegador empleado por Firefox, Thunderbird y SeaMonkey (CVE-2011-3647).

  • MFSA 2011-54: Considerado crítico. Resuelve una caída en la librería de expresiones regulares YARR (CVE-2011-3661).

  • MFSA 2011-55: Boletín de carácter crítico, destinado a resolver un fallo (CVE-2011-3658) en la implementación SVG de Mozilla.

  • MFSA 2011-56: Boletín destinado a evitar una vulnerabilidad de gravedad moderada (con CVE-2011-3663), debido a la posibilidad de detectar pulsaciones de teclas a través de animaciones SVG, incluso con JavaScript desactivado.

  • MFSA 2011-57: Vulnerabilidad de gravedad alta, con CVE-2011-3664, por una caída cuando un "plugin" se elimina a sí mismo en Mac OS X.

  • MFSA 2011-58: Boletín de gravedad crítica, con CVE-2011-3665, por una caída al escalar vídeo a grandes tamaños,

  • MFSA 2011-59: Vulnerabilidad crítica, con CVE-2011-3666, debido a que en sistemas Mac los .jar no se tratan como ejecutables en Firefox 3.6.
Los problemas se han corregido en Firefox 9.0, Thunderbird 9.0 y SeaMonkey 2.6, disponibles desde: http://www.mozilla.org/

Más información:

MFSA 2011-53 Miscellaneous memory safety hazards (rv:9.0)

MFSA 2011-54 Potentially exploitable crash in the YARR regular expression library

MFSA 2011-55 nsSVGValue out-of-bounds access

MFSA 2011-56 Key detection without JavaScript via SVG animation

MFSA 2011-57 Crash when plugin removes itself on Mac OS X

MFSA 2011-58 Crash scaling <video> to extreme sizes

MFSA 2011-59 .jar not treated as executable in Firefox 3.6 on Mac


Antonio Ropero
Twitter: @aropero