viernes, 31 de agosto de 2012

Actualización de IBM WebSphere Application Server permitía el acceso como administrador


IBMha publicado una actualización para una vulnerabilidad en WebSphere Application Server, que fue introducida con un parche anterior y que puede permitir el acceso a la aplicación como administrador.

La vulnerabilidad (con CVE-2012-3325) reside en un error al validar las credenciales de usuario, y podría ser aprovechada por un atacante para conseguir acceso administrativo no autorizado a la aplicación.

La vulnerabilidad se introdujo con el Interim Fix para PM44303 (o cualquier Fix Pack que contuviera PM44303), fechada en octubre de 2011. Esta actualización estaba destinada a corregir un problema en el tratamiento de cookies en el proceso de autenticación.

La vulnerabilidad se presenta en las versiones 6.1.0.43, 7.0.0.21 hasta 7.0.0.23, 8.0.0.2 hasta 8.0.0.4, y 8.5.0.0 (solo Full Profile). El problema no se presenta en las versions 6.0.2, 6.1.0.0 hasta 6.1.0.41, 7.0.0.0 hasta 7.0.0.19, 8.0.0.0 hasta 8.0.0.1 y 8.5.0.0 (solo Liberty Profile).

IBM recomienda aplicar el Interim Fix PM71296 o un Fix Pack que lo contenga

Más información:

Potential security exposure with IBM WebSphere Application Server after installing PM44303

PM44303: LTPA COOKIE NOT RETURNED ON CLIENT REQUEST THAT SUCCESSFULLY AUTHENTICATES, BUT FAILS AUTHORIZATION TO A WEB REQUEST.




Antonio Ropero
Twitter: @aropero


jueves, 30 de agosto de 2012

Actualización de seguridad para Google Chrome


Google ha actualizado la rama estable de su navegador Chrome con la versión 21.0.1180.89, para todas las plataformas (Windows, Mac, Linux y Chrome Frame), corrigiendo ocho nuevas vulnerabilidades, tres de ellas con un nivel de gravedad alto.


  • Con gravedad baja una caída del navegador con SPDY (CVE-2012-2867) y problemas de poca gravedad en la gestión de memoria en XPath (CVE-2012-2870).
      
  • Clasificadas como de gravedad media: Una lectura fuera de límites en los saltos de línea (CVE-2012-2865), una condición de carrera con workers y XHR (con CVE-2012-2868) y un cross-site scripting en SSL (CVE-2012-2872).
        
  • Por último tres vulnerabilidades de gravedad alta: en run-ins (CVE-2012-2866), un problema en el uso de un buffer en la carga de URLS (CVE-2012-2869) y un fallo en transformaciones en XSL (CVE-2012-2871).


Google recuerda además, que parte de las vulnerabilidades solucionadas fueron detectadas a través de su proyecto público de detección de errores en memoria para aplicaciones escritas en C/C++:  AddressSanitizer.

Además la actualización incluye otras correcciones en complementos y funcionalidades, como Pepper Flash, con el micrófono, una regresión en "devtools", en Mini Ninjas y cambios de colores rojo/verde aleatorios en ciertas páginas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía estas vulnerabilidades han supuesto un total de 3.500 dólares en recompensas a los descubridores de los problemas.

Más información:

Stable Channel Update




Antonio Ropero
Twitter: @aropero




miércoles, 29 de agosto de 2012

Se publican 11 vulnerabilidades en productos de HP después de 8 meses sin respuesta


Se han dado a conocer seis vulnerabilidades sin parche en el software HP SiteScope, y otras en HP LeftHand Virtual SAN Appliance, HP Operations Agent, HP Intelligent Management Center, HP iNode Management Center y HP Diagnostics Server. Todas se han dado a conocer por Zero Day Initiative después de 8 meses sin respuesta por parte de HP.

El software de HP afectado, principalmente, está orientado a grandes empresas. Por ejemplo HP SiteScope supervisa las infraestructuras y aplicaciones de TI de forma remota sin la necesidad de instalación de software en los servidores destino. Ofrecen en general soluciones para una gestión centralizada de eventos de red, diagnóstico y almacenamiento.

Las vulnerabilidades no tienen CVE asignado. En el caso del producto más afectado, HP SiteScope, residen principalmente en que el software permite la realización de llamadas SOAP sin autenticar al servicio SiteScope.

Las vulnerabilidades se han dado a conocer entre el 22 y el 29 de agosto. La compañía fue avisada de una parte en octubre, de otra en noviembre y de la mayoría el 22 de diciembre de 2011. Sin respuesta, ZDI ha publicado las vulnerabilidades, la mayoría de máxima gravedad.

Zero Day Initiative (ZDI), la organización que ha gestionado la vulnerabilidad impuso una política en la compañía en agosto de 2010: los fabricantes disponen de 180 días (seis meses) para corregir los errores reportados de forma privada. De lo contrario se harán públicos. Más de ocho meses después del primer contacto (no se ha especificado el porqué de esta demora adicional), las vulnerabilidades han salido a la luz sin parche oficial.

Como demostró un estudio propio hace un año, la media para solucionar una vulnerabilidad reportada de forma privada es de 6 meses en los grandes fabricantes. HP, con una media de 215,65 días, se situaba entre el tercer y cuarto puesto de los que más tardaban en corregir. Traspasar el límite de los seis meses en software ubicado en compañías importantes, es un error global de gestión de seguridad, y un problema para sus clientes.


Más información:

ZDI-12-162

ZDI-12-163

ZDI-12-164

ZDI-12-165

ZDI-12-166

ZDI-12-178

ZDI-12-177

ZDI-12-176

ZDI-12-175

ZDI-12-174

ZDI-12-173



Sergio de los Santos
Twitter: @ssantosv


martes, 28 de agosto de 2012

Mozilla corrige 30 vulnerabilidades en la última versión de Firefox, Thunderbird y Seamonkey


En sus últimas versiones (la 15 para Thunderbird y Firefox y la 2.12 para Seamonkey), la fundación Mozilla ha corregido 31 vulnerabilidades repartidas en 16 boletines para sus productos. Además, en esta versión introduce las actualizaciones "silenciosas", al más puro estilo Chrome y Flash.

La fundación Mozilla acaba depublicar 16 boletines numerados de MFSA 2012-57 al MFSA 2012-72 que cubren 31 vulnerabilidades. Una de ellas para Firefox para Android, y el resto de las 30 para Firefox principalmente, puesto que Thunderbird y Seamonkey no se ven afectados por todas.

Siete boletines son de carácter crítico (ejecución remota), seis alto, y otros tres de moderado. Por supuesto, las vulnerabilidades son de todo tipo: desde las que permiten ejecución de código hasta las que facilitan ataques de cross site scripting.

La última actualización de Mozilla ocurrió el 17 de julio, y fueron 15 boletines que corregían alrededor de 20 vulnerabilidades. Tenemos que remontarnos hasta el 13 de abril de 2006 para superar este número de boletines. En aquella ocasión fueron 19 (MFSA 2006-09 a MFSA 2006-29) pero no cubrían tantas vulnerabilidades. Agrupar CVEs en un único boletín es una práctica que los fabricantes vienen haciendo de un tiempo a esta parte.


Por otro lado, con esta actualización Firefox introduce la actualización silenciosa en Windows. Esta es una técnica popularizada por Chrome, que deja de contar con la aprobación del usuario para actualizar el navegador. Por defecto Chrome realizará su mantenimiento sin esperar confirmación o consentimiento alguno por parte del usuario. Esto ha permitido el éxito de Chrome, que cuenta con el parque "más nuevo" de usuarios, puesto que la inmensa mayoría se encuentran actualizados y, por tanto, son mucho menos vulnerables. Plagiando el método, Adobe introdujo un sistema de actualización automática sin contar con el usuario hace unos meses. Firefox, si bien se lleva anunciando un tiempo, lo introduce en su versión 15. Oficialmente, se hace para "evitar que el usuario tenga que hacer click en UAC".



Si se desea, puede ser deshabilitado. En las opciones avanzadas, se puede desactivar la funcionalidad, que no es más que un servicio de Windows corriendo bajo privilegios de SYSTEM.


Más información:

Mozilla Foundation Security Advisories


Sergio de los Santos
Twitter: @ssantosv

lunes, 27 de agosto de 2012

Grave vulnerabilidad sin parche en Java está siendo aprovechada por atacantes


Se ha descubierto una vulnerabilidad en Java para la que no existe parche, que está siendo aprovechada por atacantes y cuyo código es público. Es el peor escenario posible.

Todavía no se sabe mucho sobre la vulnerabilidad, puesto que no ha dado tiempo a realizar un estudio exhaustivo, pero lo divulgado por ahora nos sitúa en el peor escenario posible.

FireEye descubría un servidor con un .jar que aprovechaba una vulnerabilidad. Por tanto, alguien la conoce y está aprovechando el fallo. A través de un dominio de tercer nivel dinámico (aa24.net) y un servidor de correo web de una compañía china (que probablemente haya sido atacada), se está (todavía) distribuyendo malware gracias a ese fallo en Java.



A través de un índice en la carpeta "meeting" del servidor, muy ofuscado con Javascript, el malware que se está distribuyendo es este:


y


El problema afecta a la última versión de Java en su rama 7, hasta su "update 6". No afecta a la rama 6, que todavía se mantiene pero que se encuentra en periodo de "extinción". Funciona sobre los principales navegadores e incluso con EMET activo.

A pesar de que los investigadores que lo descubrieron no ofrecieron detalles, un tercero ha publicado una prueba de concepto para explotar el fallo, con lo que se abría la puerta a que cualquiera pudiera explotarla. El código es sencillo, limpio, funcional y fiable. Compilar y lanzar. Poco después, se ha introducido como módulo en Metasploit. Esto licencia a que cualquier atacante pueda comenzar a distribuir su propio malware (muy probablemente durante los próximos días se pueda ver en Blackhole, el kit de explotación de moda entre los atacantes). Si, como ya hemos mencionado en más de una ocasión, una máquina virtual de Java no actualizada es lo que más aprovechan los creadores de malware para distribuir sus muestras, esta vulnerabilidad permite "abrir el mercado" también entre los actualizados.

Extracto del código del .Jar


En ausencia de un parche eficaz, no existe una forma sencilla de mitigar el problema. Lo más recomendable es deshabilitar Java del navegador. No se sabe cuándo solucionará Oracle el problema. Su ciclo cuatrimestral de actualizaciones, sugiere que hasta el 16 de octubre puede que no parcheen el gravísimo problema. Desde luego, Oracle no suele publicar parches fuera de ciclo. En contadas ocasiones lo ha hecho con su base de datos, su producto estrella. Pero menos aún con Java desde que le pertenece.

En abril de 2010 Tavis Ormandy y Rubén Santamarta descubrieron un grave fallo de seguridad en JRE. A Ormandy le dijeron desde Oracle que no lo consideraban tan grave como para publicar nada antes del periodo establecido. Una semana después, publicaban un parche fuera de ciclo (Java 6 Update 20), que no acreditaba la corrección de la vulnerabilidad. Tuvieron que comprobar que, simplemente, el fallo dejaba de darse, pero no había confirmación oficial.

Hace algunas semanas escribíamos en una-al-día, un titular que (obviamente tomándonos ciertas licencias) afirmaba "Si no actualizas Java, estás infectado". Pretendía llamar la atención sobre el hecho de que una enorme parte de los atacantes estaban aprovechando de forma masiva fallos muy recientes en Java y que la manera más eficaz de defenderse era actualizar. Lo estamos viviendo día a día en el laboratorio. Ahora podemos añadir que, incluso si se está actualizado y con medidas extra de seguridad como EMET, se corre el riesgo de que un atacante ejecute código en el sistema.

Más información:

Zero-Day Season is Not Over Yet

Java 7 0-Day vulnerability information and mitigation.

Java Deployment Toolkit Performs Insufficient Validation of Parameters

[0DAY] JAVA Web Start Arbitrary command-line injection - "-XXaltjvm" arbitrary dll loading

Sun About Face: Out-of-Cycle Java Update Patches Critical Flaw



Sergio de los Santos
Twitter: @ssantosv

domingo, 26 de agosto de 2012

Las "pistas" de las contraseñas en Windows, al descubierto


De nuevo, se ha creado algo de confusión con una supuesta vulnerabilidad en Windows que permitía "conocer las contraseñas" del usuario. Lo cierto es que no es para tanto, y que lo único que se ha automatizado es un método para sacar en texto claro los indicios de contraseñas de Windows.

Jonathan Claudio de SpiderLab, detectó una entrada en el registro en Windows 7 y 8 (que se puede ver con los privilegios de SYSTEM). Se llama UserPasswordHint y está en:

HKLM\SAM\SAM\Domains\Account\Users\<clavedeusuario>\UserPasswordHint

Esta clave almacena la frase de indicio de contraseña que Windows muestra al usuario, por si se le ha olvidado y necesita "una pista". La frase que se usa para inspirar al usuario, está "codificada" (que no cifrada), y el sencillo método de descodificación, es lo que principalmente, ha descubierto Claudio.


En realidad, es una codificación muy sencilla. De hecho, por ejemplo, en mi equipo personal la "pista" para adivinar la contraseña es "a" (por supuesto, algo que está lejos de dar alguna pista). Si se lanza el registro con permisos de SYSTEM (abajo en la imagen se observa el comando) y se navega hacia la rama del registro correspondiente, se comprueba que la codificación es "00 61", lo que inmediatamente lleva al valor hexadecimal de la letra "a" minúscula. La decodificación, por tanto, es trivial.


Además, la pista está diseñada para ser pública. Cualquiera con acceso físico puede observarla si se "equivoca" una vez al introducir la contraseña.


Por tanto, el valor de lo que ha descubierto SpiderLabs es más una "curiosidad" que una debilidad real, pero que tiene utilidad. Lo que ha descubierto permite a un atacante remoto, conocer esa "pista". Por supuesto, este atacante ya habrá obtenido acceso al sistema ejecutando código para poder extraer la información. Lo relevante, es que si esa pista es real y además el atacante obtiene los hashes de las contraseñas, quizás le permita acotar el diccionario y conocer las contraseñas de manera más sencilla. O incluso, si la pista es lo suficientemente explícita, no sea necesario crackear nada. Con ese objetivo, se ha añadido a mestasploit el módulo que permite volcar los hashes de las contraseñas y las pistas.
Así que parece que en realidad no es una vulnerabilidad grave, sino una pequeña facilidad para los atacantes que quieran conocer las contraseñas de víctimas sobre las que ya tienen todo el poder.

En definitiva, utilizar pistas para recordar la contraseña es una mala idea, igual que utilizar el recordatorio de contraseñas de los correos y, en general, cualquier ventaja que se le pueda dar a un usuario que quiera atacar un sistema protegido por contraseña.


Más información:

All Your Password Hints Are Belong to Us


Sergio de los Santos
Twitter: @ssantosv

sábado, 25 de agosto de 2012

Apple Remote Desktop no cifraba el tráfico aunque así estuviese marcado


Se ha confirmado la existencia de una vulnerabilidad en Apple Remote Desktop. Podría permitir a usuarios maliciosos acceder a información sensible.

Apple Remote Desktop es una herramienta para la gestión remota de equipos Mac, diseñada para la gestión de equipos en red. Es compatible con VNC y permite usarse como "visor" para otros servidores que funcionen como servidor VNC.

El problema (con CVE-2012-0681) se da porque, aun conectando a un servidor VNC de un tercero con la opción "Encrypt all network data" (cifrar todos los datos de red) activada, la información se envía sin cifrar. El programa tampoco alerta sobre el hecho de que los datos no serán cifrados.

Para evitar esto, se debe crear un túnel SSH para la conexión VNC. El problema fue introducido en la versión 3.5.2, de junio de este año, y se ha mantenido hasta la 3.6. Se recomienda la actualización a la versión 3.6.1.

Más información:

About the security content of Apple Remote Desktop 3.6.1


Antonio Ropero
Twitter: @aropero

viernes, 24 de agosto de 2012

Grave fallo (otra vez) en dispositivos RuggedCom, usado para controlar sistemas críticos


Por segunda vez en lo que va de año, el investigador Justin W. Clarke, ha publicado una grave vulnerabilidad en RuggedOS, sistema operativo de los dispositivos del fabricante RuggedCom. En esta ocasión, Clarke ha descubierto que la clave privada RSA, utilizada para cifrar el tráfico mediante SSL, se encuentra incrustada en el propio firmware.

RuggedCom es una empresa muy popular que comercializa equipos de comunicación "para entornos duros". "Nuestros productos dan lo mejor de sí, cuando su entorno es el peor". Es usado para todo tipo de comunicaciones críticas, tales como el control del tráfico, estaciones eléctricas, sistemas militares y plantas industriales. Entre ellos, varias herramientas para sistemas SCADA.

En una conferencia en Los Ángeles la semana pasada, Clarke reveló que la clave privada RSA se encuentra almacenada "tal cual" en el firmware del propio dispositivo. Esto significa que cualquier persona podría extraerla si tuviera acceso físico y el dispositivo necesario. Clarke consiguió su primer dispositivo a través de eBay. Con esa clave, se puede descifrar todo el tráfico cifrado con SSL y por el que se comunica el dispositivo. Un atacante solo tendría que "escuchar" la conversación (capturar el tráfico) y verla en texto claro. Supone el compromiso de las comunicaciones con cualquier dispositivo de la marca, puesto que todos comparten la misma clave privada.

No es la primera vez que la empresa canadiense, subsidiaria de Siemens, comete un gravísimo error. En abril el propio Clarke hizo público un fallo gravísimo en este software. Existe una cuenta (llamada "factory") de acceso al sistema RuggedOS no documentada y que no se podía deshabilitar. Esta puerta trasera se incluía en la mayoría de los dispositivos desde su salida de fábrica y permitía a un atacante remoto acceder a aquellos vulnerables con sólo conocer su dirección MAC, que es la semilla que se utiliza para generar la dinámicamente la contraseña.

Este fallo, más propio de dispositivos caseros (de hecho, recuerda a los problemas que han sufrido usuarios de ADSL no hace tanto), fue comunicado por Clark en abril de 2011 a la empresa. Cansado de que no lo arreglaran, lo hizo público en abril de 2012. En junio lo solucionaron.

En esta ocasión, tras ver la respuesta del fabricante en el pasado, Clarke ha elegido no notificar previamente y directamente hacer público el fallo de seguridad, tanto en la conferencia mencionada como a través de un boletín del ISC-CERT.

RuggedCom confirma que está investigando el problema y publicará información actualizada tan pronto le sea posible.

Mas información:

ICS-ALERT-12-234-01—KEY MANAGEMENT ERRORS IN RUGGEDCOM’S RUGGED OPERATING SYSTEM

RuggedCom - Backdoor Accounts in my SCADA network? You don't say...

Latest news on ROS Device Security Issue



Francisco López

Sergio de los Santos
Twitter: @ssantosv

jueves, 23 de agosto de 2012

Dos vulnerabilidades en el servidor web Apache


Se han anunciado dos vulnerabilidades en el servidor web Apache que podrían permitir a un atacante remoto obtener información sensible o crear condiciones de cross-site scripting.

El primero de los problemas (con CVE-2012-2687) reside en mod_negotiation, debido a que no filtra adecuadamente el código HTML introducido por el usuario en nombres de archivos de una lista de variables. En webs donde se permite a usuarios remotos subir archivos a un sitio con MultiViews habilitado, un atacante puede provocar la ejecución de código script arbitrario. El fallo fue reportado al equipo de Apache el 31 de mayo, se dio a conocer el 13 de junio, y ha sido reparado en esta versión del día 21.

Por otra parte, mod_proxy_ajp y mod_proxy_http no cierran adecuadamente las conexiones (CVE-2012-3502), lo que permitiría a un atacante remoto obtener la respuesta destinada a una conexión diferente. El fallo se conoció el 16 de agosto y ha sido corregido el día 21.

Apache ha publicado la versión 2.4.3 destinada a corregir estos problemas, que puede descargarse desde: http://httpd.apache.org/download.cgi

Más información:

Apache httpd 2.4 vulnerabilities

Changes with Apache 2.4.3


Antonio Ropero
Twitter: @aropero

miércoles, 22 de agosto de 2012

Nueva actualización fuera de ciclo para Adobe Flash Player


Adobe ha publicado una nueva actualización fuera de ciclo para Adobe Flash Player para corregir seis nuevas vulnerabilidades que afectan al popular reproductor. Estas vulnerabilidades podrían permitir a un atacante tomar el control de los sistemas afectados. Esta es la segunda actualización en una semana.

Tras publicar el boletín APSB12-18 el día 14 de agosto, que corregía una vulnerabilidad grave que estaba siendo aprovechada por atacantes, Adobe publica el APSB12-19 el día 21. Este boletín corrige seis vulnerabilidades. Los problemas afectan a las versiones Adobe Flash Player 11.3.300.271 (y anteriores) para plataformas Windows, Macintosh y Linux; Adobe Flash Player 11.1.115.11 (y versiones anteriores) para Android 4.x, y Adobe Flash Player 11.1.111.10 (y anteriores) para Android 3.x y 2.x.

Esta actualización, resuelve cuatro problemas (CVE-2012-4163, CVE-2012-4164, CVE-2012-4165 y CVE-2012-4166) de corrupción de memoria que podrían permitir la ejecución de código. Otro problema de desbordamiento de entero (CVE-2012-4167) que igualmente podría facilitar la ejecución de código arbitrario y por último una vulnerabilidad de dominios cruzados (CVE-2012-4168) que podría permitir la fuga de información sensible.
 
Este boletín se publica fuera del ciclo habitual de actualizaciones de Adobe. Los usuarios que tengan activado el actualizador automático (introducido en la versión Adobe Flash Player 11.2) serán actualizados automáticamente.

Las últimas versiones disponibles para su descarga desde la página oficial son:

  • Adobe Flash Player para Windows y Macintosh deben actualizar a la versión 11.4.402.265.
       
  • Adobe Flash Player para Linux deben actualizar a la versión 11.2.202.238.
      
  • Flash Player instalado con Google Chrome se actualizará automáticamente a la última versión de Google Chrome, que incluye Adobe Flash Player 11.3.31.230 para Windows y Linux, y Flash Player 11.4.402.265 para Macintosh.
       
  • Adobe Flash Player en dispositivos Android 4.x deben actualizar a la versión 11.1.115.17.
        
  • Adobe Flash Player en Android 3.x y anteriores deben actualizar a la 11.1.111.16.
        
  • Adobe AIR para Windows y Macintosh deben actualizar a la 3.4.0.2540.
        
  • Adobe AIR 3.3.0.3690 SDK (incluye AIR para iOS) debe actualizarse a la 3.4.0.2540 SDK.
        
  • Adobe AIR para Android debe actualizar a 3.4.0.2540.

Más información:

Security update available for Adobe Flash Player
 

Antonio Ropero
Twitter: @aropero


martes, 21 de agosto de 2012

Ejecución de código arbitrario en McAfee SmartFilter


Se ha publicado una vulnerabilidad en McAfee SmartFilter que podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario con los permisos del usuario "SYSTEM".

McAfee SmartFilter es una herramienta de monitorización y filtrado del uso de la red. Es una solución en empresas para filtrar la navegación según categorías o reputación y evitar además amenazas de malware.

Andrea Micalizzi, también conocido por su nick "rgod", descubrió en noviembre del pasado año una vulnerabilidad en el servidor de administración de McAfee SmartFilter, que ahora se ha publicado a través de ZDI al estar disponible la solución. El error se debe a que el proceso "SFAdminSrv.exe" deja expuestos varios componentes "RMI" (método remoto de invocación) en los siguientes puertos TCP, cuyas peticiones no son autenticadas:

  • 1098: rmiactivation
  • 1099: rmiregistry
  • 4444: JBoss RMI HTTPInvoker

De esta forma un atacante remoto podría aprovechar estas peticiones para crear instancias de clases arbitrarias, subir archivos, y ejecutar código arbitrario con los privilegios del usuario "SYSTEM" en el servidor de administración de McAfee SmartFilter.

La vulnerabilidad, aunque no ha recibido identificador CVE, ha sido valorada con la máxima gravedad debido a su facilidad  de explotación y su impacto (CVSS: 10).

Afecta a las versiones de McAfee SmartFilter Administration anteriores a la 4.2.1. El parche 4.2.1.01 que corrige esta vulnerabilidad se encuentra disponible para su descarga en lapágina oficial de McAfee.

Más información:

McAfee Security Bulletin - McAfee SmartFilter Administration 4.2.1 and earlier - Unauthenticated access to JBOSS RMI interface

McAfee SmartFilter Administration Server SFAdminSrv.exe JBoss RMI Remote Code Execution Vulnerabilty


Juan José Ruiz


lunes, 20 de agosto de 2012

PostgreSQL "soluciona" grave vulnerabilidad remota a través de XML/XSLT


El motor de bases de datos PostgreSQL ha "corregido" recientemente dos vulnerabilidades en los procesadores de documentos XML/XSLT, que permitirían a un atacante remoto autenticado en la base de datos tener acceso a ficheros del sistema y alterarlos. Finalmente ha decidido desactivar estas funciones en el parche, puesto que no ha dado con una solución mejor.
 
La vulnerabilidad se encontraría en un fallo en las políticas de seguridad de las librerías libxslt y libxml2 que permitirían la importación de manera insegura de DTDs (Definición de Tipo de Documento) externos.

En el caso de libxslt, el fallo está en la función xmlparse(). Un atacante podría llegar a leer ficheros a los que el usuario local "postgres" tenga acceso (CVE-2012-3488). Entre estos ficheros está pg_hba.conf (configuración de acceso de usuario) o .pgpass (clave de usuario), lo que la hacen especialmente grave.

En el caso de libxml2, la función xslt_process() permitiría la subida de ficheros al propio servidor (CVE-2012-3489). Este módulo es opcional. Los usuarios pueden usar XML2 en vez del XML "incrustado" porque soporta XSLT.

Debido a la gravedad de estos fallos, en el parche se ha bloqueado la importación externa de DTDs de manera global, funcionalidad que al quedar desactivada en PostgreSQL podría afectar a diversas aplicaciones. La función xslt_process() para importar documentos o esquemas externos también ha quedado desactivada como medida de seguridad y no volverá a activarse, igualmente ocurre con xmlparse(), hasta que se consiga un método más seguro de ejecución.

Esta vulnerabilidad es similar a las sufridas por LibreOffice (ataque XXE a través de RDF/XML - (CVE-2012-0037), Webkit (CVE-2011-1774), XMLsec (CVE-2011-1425) y PHP5 (CVE-2012-0057).

De hecho, aclaran que si finalmente han tardado tanto (como confiesan "...We've been sitting on both of these patches for an embarassingly long time...") en solucionar esto fallo, es porque han intentado hacerlo sin desactivar la funcionalidad... pero no ha sido posible.

Se recomienda urgentemente actualizar las versiones afectadas por las actualizaciones oficiales disponibles (9.1.5, 9.0.9, 8.4.13 y 8.3.20) a través de: http://www.postgresql.org/download/

Más información:

Security Update 2012-08-17 released

Today's Security Update: XML vulnerabilities


José Mesa Orihuela


domingo, 19 de agosto de 2012

Shamoon: un malware que destruye los datos y el sistema

La firma israelí Seculert y Symantec, han detectado un malware con un objetivo final llamativo: la destrucción de datos (y del sistema) de una red interna.

El malware destructivo dejó de ser común hace muchos años. En primer lugar porque el que pasa desapercibido y roba datos es mucho más lucrativo, y en segundo lugar porque, ante la conectividad actual, se prefiere aprovechar a la víctima para esparcirse. Destruirla sería un error. Además, una máquina inservible llama la atención... y permite que se detecte antes el malware.

Por tanto, no es común observar especímenes cuya finalidad sea la destrucción de datos, además con objetivos concretos. Shamonn (o W32.Disttrack), se han centrado en sitios de abastecimiento energético de determinados países, como Arabia Saudita. Veamos algunas curiosidades de este malware.

  • Infecta máquinas en la red interna a través de el recurso compartido admin$. Para ello debe ser administrador en un dominio, por ejemplo. No se conoce cómo llega al sistema en primera instancia.
       
  • Utiliza una de las máquinas como proxy, a la que el resto mandarán los nombres de los archivos recolectados. De esta forma permite llegar a diferentes rincones de la red, por si estas no tuvieran salida a Internet definida.
        
  • Cuatro horas después de la infección, se procede a recolectar los nombres y eliminar los ficheros. El algoritmo que sigue para determinar qué archivos serán destruidos es el siguiente:

 
Aquí se observan varias curiosidades.

La intención de este script es recopilar en f1.inf y f2.inf los nombres de los ficheros que serán borrados. El primer comando, "dir" con las opciones "/s /b /a:-D", devolverá los nombres y la ruta completa del directorio en cuestión, sin fechas. Quedará un listado de rutas a archivos. De lo que devuelva este comando, le interesa (filtra con el findstr) las palabras "downloads", "documents", "picture", "video"... Como estas palabras se encontrarán en la ruta que devuelve el "dir", prácticamente devolverá una lista con todos los documentos, vídeos, fotos, etc. que se encuentren en esa ruta. De todos los usuarios de la máquina. Los listará todos en los ficheros f1.inf y f2.inf.

Luego busca en drivers y en config de system32. Estos son ficheros fundamentales para Windows, por lo que al listarlos en f1.inf y f2.inf, dejarán el sistema inservible. Nótese que en los dos últimos comandos, también son borrados estos mismos ficheros con la lista de nombres.

El malware sobrescribirá con una imagen todos estos ficheros, de forma que quedarán irrecuperables. El fichero con los nombres de los archivos borrados es enviados a un centro de control externo.

Por si fuera poco, utiliza un driver legítimo para acceder en modo usuario al MBR y eliminarlo. El malware descarga dinámicamente varios ficheros, por lo que no se puede estar completamente seguro de que esta sea toda su función... pero eso parece.

Según Virustotal, las muestras de W32.Disttrack poseen ya un amplio grado de detección por firmas (29/42 en el momento de escribir este artículo):


Este tipo de ataques estarían realizando "denegaciones de servicio" a los puntos energéticos de los países atacados. No se sabe la procedencia exacta del malware (aunque determinados grupos los han revindicado como acción en contra de empresas con intereses comunes con Israel o EEUU) pero se confirma que han sido numerosos los ataques en toda Arabia Saudita (caso de las petroleras Aramco o Arabian Gulf, de las más importantes de la región), dejando sus equipos inservibles.

Parece claro que la intención es la pura destrucción, puesto que no busca archivos específicos sino que indiscriminadamente pretende destruir la información de los usuarios en redes internas, además del sistema operativo. Tiene sentido pues que se trate más bien de un asunto de represalias activistas que un episodio de espionaje industrial o robo de información.

También casa con el hecho de que buena parte del código esté "inspirado" en Wiper, un malware encontrado en abril también en Oriente Medio. Es probable que los atacantes hayan copiado el código. El original necesitaba ciertos patrones para borrar el disco, mientras este lo hace de forma indiscriminada.

Más información:

Shamoon the Wiper - Copycats at Work

The Shamoon Attacks

Shamoon, a two-stage targeted attack

Saudi Aramco hacked; company confirms disruption

Disttrack Sabotage Malware Wipes Data At Unnamed Middle East Energy
Organization


José Mesa Orihuela

Sergio de los Santos
ssantos@hispasec.com
@ssantosv

sábado, 18 de agosto de 2012

FinFisher: un Malware-as-a-service de uso ‘legal’ para gobiernos

FinFisher es un controvertido software de la firma británica Gamma International utilizado para espiar y monitorizar remotamente a cualquier usuario o institución que se necesite y que al parecer está siendo utilizada por cuerpos gubernamentales con fines inciertos.

Objetivos

Existe una amplia información de tipo comercial filtrada sobre el producto a través de Wikileaks, pero públicamente no se ha hecho anuncio ni se conoce su manera exacta de distribución o capacidades técnicas reales. Aunque se comercializa a través de la compañía Gamma Group, esta alega que no sabe si ese software detectado es realmente el suyo, o ha sido modificado de alguna manera. Admite que es utilizado por los gobiernos para espiar pedófilos, terroristas o al crimen organizado, pero niega ciertos comportamientos detectados en las muestras que han salido a la luz.

Vídeo promocional filtrado:

La  mejor manera de denominar a FinFisher es como una suite de servicios de malware dedicados al espionaje industrial o gubernamental, ofrecido de manera "legal" pero no a todo el público. Que se sepa, hay indicios del uso de esta herramienta desde el año 2011, relacionada sobre todo con objetivos árabes tales como Egipto, Baréin, Turkmenistan, Etiopía, Dubái... muy similares a los atacados por otras herramientas "no legales" como Flame, Stutnet, Duqu o el recientemente descubierto Gauss.

La diferencia, aparte de posibles conjeturas sobre la creación de las mencionadas herramientas por los gobiernos institucionales de EEUU o China, es que FinFisher es una software creado en Reino Unido y que puede ser utilizada por cualquier gobierno o corporación previo pago de sus servicios. Funciona en el modo "Malware-as-a-service" (MaaS), en el que no es necesario tener grandes conocimientos ni infraestructuras para poder manejar los datos recopilados por la herramienta. Las capacidades y funcionalidades se "alquilan" como si de un servicio se tratara.

Este concepto se ha visto en el mundo del malware desde hace años. Tuvo su explosión con Zeus en 2006. El malware (además de permitir la creación del troyano con las características deseadas) permitía definir usuarios sin privilegios que se conectarían al panel simplemente para recopilar datos durante un tiempo determinado. En definitiva, estaba pensado para poder alquilar la botnet durante un tiempo. Con FinFisher, este concepto se ha profesionalizado.

Características

Técnicamente y según la información disponible, FinFisher proporciona diferentes módulos encargados de la monitorización y espionaje de distintas partes del sistema infectado: interceptación de conversaciones (Skype, Messenger), capturas de pantalla, recolección de datos introducidos por el usuario, etc.. apuntando todo ello al módulo denominado 'FinSpy'. Según diferentes fuentes, se distribuiría mediante técnicas de descarga simulando actualizaciones oficiales de software (se habla de iTunes en algunos casos) o mediante adjuntos infectados en emails, utilizando técnicas de enmascaramiento de extensiones (como la técnica de aprovechar el carácter Unicode "Right to Left").

En Virustotal, se identifican varias muestras como FinSpy.A y FinSpy.B, con un alto ratio de detección. Por ejemplo esta muestra se subió como proceso inyectado a Firefox.exe:

Centrándonos en uno de los análisis realizados (por Morgan Marquis-Boire, ingeniero de seguridad de Google), se confirma que son utilizadas por los propios gobiernos para el espionaje y control de diferentes organizaciones, aunque en realidad, cualquiera que se mueva en los círculos adecuados y haya pagado por este software, podrá realizar las acciones que considere oportunas sobre quien desee. Se sabe que se ha intentado infectar a activistas de Baréin.

En nuestro laboratorio hemos podido confirmar que se conecta a la matriz oficial de Gamma en Alemania (https://www.gamma-international.de/GGI/Home/index.php) y a un dominio gratuito de dynDNS (https://ff-demo.blogdns.org/) desde donde ser realizan funciones de control.


Más información:

Company Denies Role in Recently Uncovered Spyware

Trojan-Spy:W32/FinSpy.A

Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma

Finfisher: Governmental IT Intrusion and Remote Monitoring Solutions

FinFisher Report

Finfisher, the case of a cyber espionage tool found everywhere




José Mesa Orihuela