lunes, 31 de marzo de 2014

Nuevos contenidos en la Red Temática CriptoRed (marzo de 2014)

Breve resumen de las novedades producidas durante el mes de marzo de 2014 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. DOCUMENTOS PUBLICADOS EN LA RED TEMÁTICA EN EL MES DE MARZO DE 2013
1.1. RSA cumple 36 años y se le ha caducado el carné joven, Rooted CON 2014, artículo y diapositivas (Jorge Ramió, Universidad Politécnica de Madrid, España)
1.2. Actualización a marzo de 2014 del documento Normas ISO de Seguridad de la Información (Carlos Ormella, Universidad del Museo Social, Argentina)
1.3. LegionRSA, software para ataque distribuido a RSA mediante paradoja del cumpleaños (Roberto Ruiz, Jorge Ramió, Universidad Politécnica de Madrid, España)
1.4. Latch. Protección de identidades digitales, vídeo en YouTube del X Ciclo de Conferencias UPM TASSI 2014 (Antonio Guzmán, ElevenPaths, España)
1.5. Latch. Protección de identidades digitales, presentación usada en la conferencia (Antonio Guzmán, ElevenPaths, España)
1.6. Posibilidades del voto telemático en la democracia digital, vídeo en YouTube del X Ciclo de Conferencias UPM TASSI 2014 (Justo Carracedo, Universidad Politécnica de Madrid, España)
1.7. Posibilidades del voto telemático en la democracia digital, presentación usada en la conferencia (Justo Carracedo, Universidad Politécnica de Madrid, España)

2. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE MARZO DE 2014
2.1. Artículo Gestión de la Inseguridad de la información. De una mentalidad táctico-operativa a una estratégico-defensiva en el blog IT-Insecurity (Jeimy Cano - Blog IT-Insecurity, Colombia)
http://insecurityit.blogspot.com.es/2014/03/gestion-de-la-inseguridad-de-la.html
3. RELACION CRONOLOGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS
3.1. Abril 3 de abril de 2014: Protección de comunicaciones en dispositivos móviles, Conferencia UPM TASSI (Madrid - España)
3.2. Abril 3 al 5 de 2014: 10th International Conference on Web Information Systems and Technologies WEBIST 2014 (Barcelona - España)
3.3. Abril 4 de 2014: HighSecCON  (Madrid . España)
3.4. Abril 23 al 25 de 2014: evoRISK Computational Intelligence for Risk Management, Security and Defence Applications (Granada - España)
3.5. Abril 24 de abril de 2014: Ethical hacking: afrontando una auditoría interna, Conferencia UPM TASSI (Madrid - España)
3.6. Abril 27 de 2014: 11th International Workshop on Security In Information Systems WOSIS-2014 ( Lisboa - Portugal)
3.7. Abril 22 al 24 de 2014: Congreso Español de Seguridad de la Información Securmática (Madrid - España)
3.8. Mayo 8 de 2014: Técnicas de ocultación de información: esteganografía y canales encubiertos, Conferencia UPM TASSI (Madrid - España)
3.9. Mayo 22 de 2014: La amenaza del cibercrimen, Conferencia UPM TASSI (Madrid - España)
3.10. Mayo 28 al 29 de 2014: Security Forum 2014 en Barcelona (Barcelona - España)
3.11. Junio 16 al 17 de 2014: XIV Jornada Internacional de Seguridad Informática 2014 (Bogotá - Colombia)
3.12. Junio 25 al 27 de 2014: 7th International Conference on Computational Intelligence in Security for Information Systems CISIS 2014 (Bilbao - España)
3.13. Julio 12 al 16b de 2014: Workshop on Genetic and Evolutionary Computation in Defense, Security, and Risk Management SEC DEF (Vancouver - Canadá)
3.14. Septiembre 2 al 5 de 2014: XIII Reunión Española sobre Criptología y Seguridad de la Información RECSI 2014 (Alicante - España)
3.15. Octubre 13 al 15 de 2014: 9th International Conference on Critical Information Infrastructures Security CRITIS 2014 (Limassol - Chipre)
Más información en:

4. FUE TAMBIEN NOTICIA EN LA RED TEMATICA EN EL MES DE MARZO DE 2014
4.1. Inovemenmt Spain lanza el desafío O-ISM3 (España)
4.2. Conferencia gratuita Posibilidades del voto telemático en la democracia digital del Dr. Justo Carracedo de la UPM en ciclo UPM TASSI 2014 (España)
4.3. Cinco plazas para expertos en ciberseguridad convocadas por la Universidad de León y el INTECO (España)
4.4. Ciberseguridad basada en la nube en seminario Respuestas SIC (España)
4.5. Nuevo Magíster en Seguridad Informática y Protección de la Información en la UCEN en Santiago de Chile (Chile)
4.6. Conferencia gratuita Bitcoin: moneda y mercados de D. Jonás Andradas de GMV en ciclo UPM TASSI 2014 (España)
4.7. Última llamada para el envío de trabajo a la XIII RECSI con ampliación del plazo al 7 de abril (España)
4.8. Segunda edición de Security Forum 2014 en Barcelona el 28 y 29 de mayo (España)
4.9. Protección de comunicaciones en dispositivos móviles de Raúl Siles cuarta conferencia en ciclo UPM TASSI (España)
4.10. Tercera edición del evento gratuito HighSecCON en la Universidad Autónoma de Madrid (España)
4.11. Edición 25 del Congreso Español de Seguridad de la Información Securmática de la Revista SIC (España)
Acceso al contenido de estas noticias:

5. OTROS DATOS DE INTERES Y ESTADISTICAS DE LA RED TEMATICA EN EL MES DE MARZO DE 2014
5.1. Número actual de miembros en la red: 965
5.2. Universidades y centros de investigación representados: 251 (22 países)
5.3. Estadísticas Criptored: 44.076 visitas, con 101.551 páginas solicitadas y 93,94 Gigabytes servidos en marzo de 2014
Visitas acumuladas en el año 2014: 125.843. Documentos zip y pdf descargados en este mes: 34.035
Redes sociales Criptored: 246 seguidores en facebook y 1.872 seguidores en twitter
5.4. Estadísticas Intypedia: 11.034 reproducciones de sus vídeos en marzo de 2014. Reproducciones acumuladas: 383.119
Redes sociales Intypedia: 1.570 seguidores en facebook y 931 seguidores en twitter
5.5. Estadísticas Crypt4you:  13.462 accesos en marzo de 2014. Accesos acumulados: 312.529
Redes sociales Crypt4you: 1.030 seguidores en facebook y 628 seguidores en twitter



Jorge Ramió Aguirre
Director de Criptored

domingo, 30 de marzo de 2014

Actualización del kernel para SuSE Linux Enterprise 11

SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 11 Service Pack 3 considerada importante. Se han corrido 6 vulnerabilidades y 28 correcciones y se ha actualizado el kernel a la versión 3.0.101.

Los problemas corregidos están relacionados con el uso de UDP Fragmentation Offload (UFO), el microcódigo en procesadores AMD, la inicialización de determinadas estructuras de datos, la función l2tp_ip_recvmsg en net/l2tp/l2tp_ip.c, la función pn_recvmsg en net/phonet/datagram.c y la función cifs_iovec_write en fs/cifs/file.c. Además se han corregido otros 28 problemas no relacionados directamente con fallos de seguridad.

Los CVE asignados son: CVE-2013-4470, CVE-2013-6885, CVE-2013-7263, CVE-2013-7264, CVE-2013-7265 y CVE-2014-0069.

En todos los casos los problemas podrían permitir evitar restricciones de seguridad, obtener información sensible, elevar los privilegios del usuario, realizar ataques de denegación de servicio y otros impactos no especificados.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".

Más información:

[security-announce] SUSE-SU-2014:0459-1: important: Security update for Linux Kernel



Antonio Ropero

Twitter: @aropero

sábado, 29 de marzo de 2014

Descubierta una vulnerabilidad en Artweaver

Se ha reportado una vulnerabilidad en Artweaver versiones free y plus, descubierta por Kaveh Ghaemmaghami. Esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario.

Artweaver es un completo software de pintura con un amplio conjunto de herramientas y pinceles predefinidos para pintar de forma creativa o simplemente experimentar. Artweaver es recomendado tanto para principiantes como para usuarios avanzados.

La vulnerabilidad, con identificador CVE-2013-3481, se debe a un error de límites al procesar imágenes JPG que podría causar un desbordamiento de memoria intermedia basada en pila. Esto podría ser aprovechado por un atacante remoto para causar una ejecución de código arbitrario a través de ficheros de imágenes JPG especialmente manipulados.

Esta vulnerabilidad se ha reportado en la versión 3.1.4, aunque no se descarta que afecte a versiones anteriores. Se recomienda actualizar a la version 3.1.5 o superior.

Más información:

Artweaver Plus 3.1.5 is available

Artweaver Free 3.1.5 is available



Juan Sánchez


viernes, 28 de marzo de 2014

Vulnerabilidad Cross-Frame Scripting en RSA Authentication Manager

Se ha anunciado una vulnerabilidad en RSA Authentication Manager (versión 7.1 en todas las plataformas, incluyendo Appliance 3.0) que podría permitir a un atacante la construcción de ataques de cross-frame scripting.

RSA Authentication Manager es un software de control de acceso para proteger los recursos y datos confidenciales en la empresa y en la nube, sin importar el dispositivo utilizado (desde dispositivos internos de la red empresarial o mediante móviles).

El problema (con CVE-2014-0623) reside en que la Consola Self-Service no filtra adecuadamente el código HTML introducido por el usuario antes de mostrar la entrada. Un usuario remoto puede construir ataques cross-frame scripting para obtener información de los usuarios atacados.

Los ataques de Cross-Frame Scripting (XFS) no dejan de ser un método para explotar los ya conocidos Cross-Site Scripting (XSS). En un atacante XFS, el atacante aprovecha un fallo específico en un navegador para acceder a datos privados de un tercer sitio web. El atacante induce al usuario a acceder a una página web controlada por él; la página del atacante carga una página de un tercero en un frame HTML; y entonces mediante la ejecución de JavaScript en la página del atacante puede robar datos de la página del tercero.

RSA ha publicado la actualización 7.1 SP4 P32 disponible desde:

Más información:

ESA-2014-015: RSA® Authentication Manager Cross Frame Scripting Vulnerability





Antonio Ropero
Twitter: @aropero


jueves, 27 de marzo de 2014

Vulnerabilidad en Router Virtual Access GW6110a

El CERT (Computer Emergengcy Response Team) de la Carnegie Mellon University ha anunciado una vulnerabilidad (VU#213046, reportada por James Premo) en los routers Virtual Access GW6110a. Esta vulnerabilidad podría permitir a un atacante sin autenticar elevar privilegios de seguridad.

Virtual Access son especialistas en migrado de antiguas redes TDM a redes IP y Ethernet actuales. Con una amplia presencia a nivel mundial, llevan produciendo y enviando equipos de telecomunicaciones a los clientes de todo el mundo desde 1996.

La vulnerabilidad, con identificador CVE-2014-0343, se debe a un error no especificado por el cual un atacante (no autenticado) en una red adyacente podría elevar privilegios de seguridad y conseguir acceder a configuraciones de administración a través de variables JavaScript especialmente manipuladas.

Afectan a las siguientes versiones:
  • Usuarios de la rama de software 9.00 se les aconseja actualizar a la versión 9.09.27 o superior.
  • Usuarios de la rama de software 9.50 se les aconseja actualizar a la versión 9.50.21  o superior.
  • Usuarios de la rama de software 10.00 se les aconseja actualizar a la versión 10.00.21 o superior.


Más información:

Virtual Access GW6110A router privilege escalation vulnerability


Juan Sánchez



miércoles, 26 de marzo de 2014

Vulnerabilidad Cross-Site Request Forgery en routers D-Link DIR-600L

Se ha anunciado una vulnerabilidad en los routers D-Link DIR-600L, que podría permitir la realización de ataques de cross-site request forgery.

La aplicación web del router puede permitir a los usuarios realizar determinadas acciones mediante peticiones http sin las adecuadas validaciones. Esto podría permitir la realización de ataques del tipo cross-site request forgery, que podría permitir por ejemplo el cambio de credenciales administrativas cuando un usuario autenticado visite una página web especialmente creada.

Este tipo de vulnerabilidad permite a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. Su mecanismo es sencillo, pero entender como funciona y su impacto no lo es y mucho menos para profesionales ajenos al mundo de la seguridad. El problema reside en que en muchas ocasiones se tiende a infravalorar la peligrosidad de este tipo de fallos.

Se ha publicado una prueba de concepto del problema, disponible en:
Esquema de funcionamiento de ataques Cross-Site Request Forgery (CSRF)

Más información:

Dlink DIR-600L Hardware Version AX Firmware Version 1.00 - CSRF Vulnerability




Antonio Ropero
Twitter: @aropero


martes, 25 de marzo de 2014

¿Matará la industria el "Full Disclosure"?

El tema del "full disclosure", o divulgación total en materia de seguridad informática, vuelve a ser noticia. En esta ocasión por un hecho que no deja de causar una cierta tristeza a los que ya llevamos mucho tiempo en este sector: La legendaria lista "full disclosure" ha anunciado su cierre definitivo.

El "full disclosure" es un tema reincidente y que de vez en cuando vuelve a retomarse. En esta misma lista ha sido tratado en diversas ocasiones. Ya en el 2002 Bernardo Quintero escribió en este mismo espacio un artículo llamado "La trastienda del full disclosure" donde se reflexionaba sobre este tema. En aquel momento se hablaba del asunto a raíz de las numerosas vulnerabilidades que Guninski encontraba cada poco en Internet Explorer.

Años después, en el 2010, Sergio de los Santos retomó el tema a causa de Tavis Ormandy, un investigador privado que también trabaja para Google. El problema en esa ocasión surgió porque cinco días después de haber comunicado una vulnerabilidad a Microsoft hizo públicos todos los detalles del fallo (prueba de concepto incluida) en el "Centro de soporte y ayuda de Windows".

"Full Disclosure" ha sido una lista que con su nombre ya dejaba claro su objetivo: la divulgación completa de vulnerabilidades. Un tema siempre controvertido para el que ésta lista ha sido todo un referente para investigadores, desarrolladores y toda la industria de la seguridad en general. Pero el pasado 19 de marzo John Cartwright, creador y administrador de la lista, anunció el cierre definitivo de la misma.

Lo más grave ha llegado a través de la declaración del propio Cartwright en su último mensaje. Como era de esperar la lista, se ha visto sometida a múltiples presiones e incidencias y ataques, incluyendo "trols", inundaciones, pornografía, informaciones falsas o denegaciones de servicio. Pero nada de esto realmente llegó a afectar a la integridad de la lista.

Todo parece indicar que el cierre de la lista proviene de parte de las presiones recibidas por alguien de la propia "comunidad".

"I never imagined that request might come from a researcher within the 'community' itself (and I use that word loosely in modern times). But today, having spent a fair amount of time dealing with complaints from a particular individual (who shall remain nameless) I realised that I'm done."("Nunca imagine que la petición vendría de un desarrollador de la propia 'comunidad' (y uso esta palabra vagamente en los tiempos modernos). Pero hoy, tras pasar una gran cantidad de tiempo en tratar con las quejas de un individuo en particular (que permanecerá sin nombrar) he hecho lo que estoy haciendo.")

Cartwirght también descarga sobre el estado actual del mundo de la seguridad informática, así como la falta de comunidad y de honor entre "hackers".

"There is no honour amongst hackers any more. There is no real community."
("No hay honor entre hackers. No hay una comunidad real.")

"The entire security game is becoming more and more regulated. This is all a sign of things to come, and a reflection on the sad state of an industry that should never have become an industry."
("Todo el juego de la seguridad está cada vez más y más regulado. Esto es un signo de las cosas que están por llegar, y una reflexión sobre el triste estado de una industria que nunca debería haberse convertido en industria.")

"Full Disclosure" vs Comunicación Responsable

Como otras veces hemos comentado, ambas visiones mantienen posiciones diametralmente opuestas. Por un lado el "Full Disclosure" ha sido (y es) de gran importancia para el desarrollo de la seguridad, el intercambio de información entre desarrolladores ha ayudado al avance de la seguridad. Seguramente si no hubiera sido por el Full Disclosure, y el disponer de toda la información sobre un fallo, muchos no se hubieran llegado  a dar cuenta de la importancia de las mejoras en seguridad.

Por otra parte también es conveniente reseñar el auge de la comunicación responsable. Esta forma de reporte de problemas ha tomado una mayor importancia, sin duda gracias a la concienciación de las empresas en la resolución de los fallos comunicados. Otras iniciativas como ZDI y concursos como Pwn2Own (y similares) que ofrecen importantes premios económicos por la comunicación responsable han contribuido a la subida de ésta frente al "Full Disclosure".

En cualquier caso la pérdida de un medio de comunicación, sea cual sea, siempre es una noticia triste. Y aunque la lista "Full Disclosure" haya cerrado no significa el fin de la divulgación total de vulnerabilidades en listas públicas. Por fortuna aun quedan listas y blogs totalmente independientes, tanto en inglés como en español donde los investigadores independientes pueden reportar de forma total sus descubrimientos. 

Más información:

Administrivia: The End

una-al-dia (04/04/2002) La trastienda del "full disclosure"

una-al-dia (05/07/2010) Las repercusiones del "full disclosure" (I)

una-al-dia (06/07/2010) Las repercusiones del "full disclosure" (y II)



Antonio Ropero
Twitter: @aropero

lunes, 24 de marzo de 2014

Microsoft publica una alerta por una vulnerabilidad 0-day en Word

Microsoft ha publicado un boletín de urgencia en el que alerta de una vulnerabilidad en Microsoft Word. Según informa, en la actualidad se están produciendo ataques dirigidos contra Word 2010 (aunque el problema afecta a todas las versiones soportadas de Word).

La vulnerabilidad (con CVE-2014-1761) puede permitir la ejecución remota de código si el usuario abre un archivo RTF con una versión afectada de Word, o previsualiza o abre un mensaje de correo RTF específicamente creado con Microsoft Outlook mientras se usa Word como visor de correo (configuración por defecto en Outlook 2007, 2010 y 2013).

Microsoft ha publicado una corrección temporal en forma de "Fix it" que bloquea el ataque. Hay que señalar que este parche no corrige la vulnerabilidad sino que aplica cambios que impiden la apertura de contenido RTF en Word. Como otras contramedidas Microsoft recomienda la lectura de correo electrónico en Outlook en texto plano o usar la política Microsoft Office File Block para evitar la apertura de archivos RTF en Microsoft Word.

También se recomienda la instalación de EMET (Enhanced Mitigation Experience Toolkit). Esta herramienta combate las técnicas de evasión de DEP y ASLR y otros métodos de "exploiting" conocidos. EMET 3.0 y EMET 4.0 tienen soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. En el aviso de seguridad de Microsoft se explican detalladamente los pasos para su adecuada configuración.

Más información:

Microsoft Security Advisory (2953095)
Vulnerability in Microsoft Word Could Allow Remote Code Execution


Antonio Ropero

domingo, 23 de marzo de 2014

Denegación de servicio en Kaspersky Internet Security

Se ha anunciado una vulnerabilidad en Kaspersky Internet Security que podría permitir a un usuario la realización de ataques de denegación de servicio.

El problema reside en el análisis de determinados archivos manipulados, que pueden provocar la caída del antivirus por el elevado consumo de recursos de CPU, además se hace imposible el cierre del proceso y el reinicio de la interfaz de Kaspersky.

Existe disponible una prueba de concepto.

Más información:

Kaspersky 14.0.0.4651 RegExp Remote Denial of Service PoC2 *youtube




Antonio Ropero

Twitter: @aropero

sábado, 22 de marzo de 2014

Vulnerabilidades en diversos productos Cisco

Cisco ha publicado varios boletines para informar de diferentes vulnerabilidades en múltiples productos de toda su familia. Se ven afectados los Hosted Collaboration Solution (HCS), Cisco WebEx Business Suite, Cisco ASA, Cisco Catalyst 6500 Supervisor Engine 2T (Sup2T) y Cisco AsyncOS Software.

El más grave de los problemas (con CVE-2014-2119) afecta al software Cisco AsyncOS para ESA (Email Security Appliance) y a Cisco Content Security Management Appliance (SMA) y podría permitir a atacantes remotos autenticados ejecutar código arbitrario con privilegios de root. Cisco ha publicado actualizaciones gratuitas para solucionar este problema.

Por otra parte otros dos problemas afectan a Hosted Collaboration Solution (HCS), el primero debido a un tratamiento inadecuado de paquetes en el código java en Cisco Hosted Collaboration Solution (HCS) que podría permitir a atacantes remotos sin autenticar cerrar los puertos TCP usados por el sistema (CVE-2014-2121). Y un segundo en la interfaz gráfica del servidor Impact que podría provocar la fuga de memoria (CVE-2014-2122). Ambas vulnerabilidades pueden llevar a una denegación de servicio.

Una vulnerabilidad en Cisco WebEx Business Suite podría permitir a atacantes remotos sin autenticar obtener información sensible transmitida en parámetros GET de las peticiones URL (CVE-2014-0708).

Los dispositivos Cisco ASA se ven afectados por una vulnerabilidad (CVE-2014-2120) en la página de login de WebVPN que podría permitir a un atacante remoto realizar ataques de cross-site scripting.

Una vulnerabilidad causada por el tratamiento inadecuado del tráfico multicast por el Sup2T en los dispositivos Cisco Catalyst 6500 Supervisor Engine 2T (Sup2T) podría permitir a un atacante remoto provocar denegaciones de servicio (CVE-2014-2124).

Estas últimas vulnerabilidades están consideradas de gravedad media o baja, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas, ya que Cisco no ofrece actualizaciones gratuitas para los problemas considerados de gravedad baja a media.

Más información:

Cisco AsyncOS Software Code Execution Vulnerability

Cisco Hosted Collaboration Solution Denial of Service Vulnerability

Cisco Hosted Collaboration Solution Memory Leak Vulnerability

Cisco WebEx Business Suite HTTP GET Parameters Include Sensitive Information

Cisco Adaptive Security Appliance WebVPN Login Page Cross-Site Scripting Vulnerability



Antonio Ropero

Twitter: @aropero

viernes, 21 de marzo de 2014

Dos vulnerabilidades en el servidor web Apache

Se han anunciado dos vulnerabilidades en el servidor web Apache que  podrían permitir a un atacante remoto provocar condiciones de denegación de servicio. 

Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

El primero de los problemas (con CVE-2014-0098) reside en mod_log_config al tratar cookies truncadas. Por otra parte, un problema (con CVE-2013-6438) en el tratamiento de XML en mod_dav al calcular de forma incorrecta el final de una cadena al eliminar espacios iniciales y situar un carácter NUL fuera del búfer.

Apache ha publicado la versión 2.4.9 destinada a corregir estos problemas, que puede descargarse desde:

Más información:

Apache httpd 2.4 vulnerabilities

Changes with Apache 2.4.9




Antonio Ropero
Twitter: @aropero

jueves, 20 de marzo de 2014

Mejoras de seguridad en la versión 8 de Java

Oracle acaba de publicar una nueva versión mayor de su lenguaje y entorno de ejecución Java. Esta versión trae nuevas características interesantes desde el punto de vista de la programación como la adición de las tan esperadas expresiones lambda. Vamos a repasar las mejoras de seguridad que se han añadido o mejorado en esta nueva versión.

Por defecto, los clientes Java que sean programados con JSSE (Java Secure Socket Extension) dispondrán de las versiones TLS 1.1 y 1.2.

Se ha añadido un nuevo método "doPrivilege", de la clase "AccessController", para que se puedan evaluar un subconjunto del total de privilegios de un proceso. Esto va a permitir que si un proceso necesita consultar si tiene permisos para cierta acción, este pueda buscar, entre la jerarquía de invocaciones, si tiene ese permiso concedido y parará la búsqueda en el momento en que encuentre una invocación que le dota de ese privilegio concreto.

Se han añadido nuevos algoritmos para cifrados basados en contraseña. PBEWithSHA256AndAES_128 y PBEWithSHA512AndAES_256. Anteriormente se estaban usando combinaciones débiles de algoritmos de cifrado (RC4, RC2) con claves de longitud muy cortas (40 bits).

Se ha habilitado la extensión SNI (Server Name Indication), parte de TLS. Esta opción permite al cliente conocer a que nombre de host se está conectando cuando comienza el handshake. En la práctica, esto permite a un servidor con una sola IP publicar varios sitios webs con dominios y certificados digitales diferentes. Ahora pueden programarse clientes Java que soporten dicha funcionalidad.

Ahora se soportarán los cifrados AEAD (Authenticated Encryption with Associated Data) y GCM (Galois Counter Mode) en el proveedor de criptografía de Java, SunJCE. Esto está incluido, básicamente, por ser requerimiento por el gobierno estadounidense en materia seguridad para aplicaciones construidas por terceros.

Se ha añadido una nueva opción "--importpassword" en el gestor de llaves de Java para permitir almacenar contraseñas de manera segura.

Se ha añadido la función hash SHA-224, parte de la familia SHA2.

Se ha mejorado el soporte para la suite B criptográfica de la NSA. Básicamente por la misma razón comercial que el soporte AEAD.

Se ha mejorado la generación de números pseudoaleatorios para permitir la generación de números con un alto valor entrópico en caso de ser necesarios.

Se ha añadido una nueva clase, PKIXRevocationChecker, para comprobar la revocación de certificados seguros.

Para la plataforma Java en Windows 64 bits, se añade el soporte para PKCS11. Una familia de estándares necesarios para implementar infraestructura de clave pública. Por ejemplo, el DNI electrónico.

Se mejorado sustancialmente el soporte a Kerberos empleando nuevos tipos de rcache, se ha eliminado el soporte a cifrados débiles, nuevos protocolos y otras mejoras.

Los servidores SASL creados permiten tener un nombre nulo para posibilitar a los clientes designar cualquier nombre de servidor antes de la negociación y obtener posteriormente uno concreto en forma de propiedad.

Se ha mejorado el soporte JNI en los sistemas Mac OSX.

Se mejora el soporte para claves efímeras más robustas en el algoritmo de intercambio de llaves Diffie-Hellman.

Ahora es posible indicar una suite criptográfica por defecto y preferente por el servidor Java usando el método 'setUseCipherSuitesOrder' de la clase 'SSLParameters'. Hasta ahora simplemente se usaba aquella que fuera preferencia del cliente.

Más información

JDK 8 Security Enhancements



David García

Twitter: @dgn1729

miércoles, 19 de marzo de 2014

Mozilla pública 18 boletines de seguridad y corrige las vulnerabilidades del Pwn2Own

Mozillaha publicado 18 boletines de seguridad (del MFSA 2014-15 al MFSA 2014-32) que corrigen vulnerabilidades que afectan a su navegador web Firefox, al gestor de correo Thunderbird y la suite SeaMonkey. En total se han corregido 20 vulnerabilidades, entre las que se incluyen cinco anunciadas en el concurso Pwn2Own.

Teniendo en cuenta el propio criterio de Mozilla cinco de los boletines tienen un nivel de gravedad "critico", tres de nivel "alto", siete de nivel "moderado" y finalmente otros tres de nivel "bajo".

Los boletines críticos son:

  • MFSA 2014-29: Boletín destinado a solucionar dos vulnerabilidades presentadas en el Pwn2Own que usadas de forma combinada (CVE-2014-1510 y CVE-2014-1511) podrían permitir a un atacante cargar una URL JavaScript que se ejecutaría con todos los privilegios del navegador, lo que podría permitir la ejecución de código arbitrario.
        
  • MFSA 2014-30: También procedente del Pwn2Own, una vulnerabilidad al usar memoria liberada en TypeObject (CVE-2014-1512).
        
  • MFSA 2014-31: Este boletín también soluciona una vulnerabilidad anunciada en el Pwn2Own que puede permitir la ejecución de código arbitrario debido a lecturas y escrituras fuera de límites en el montón JavaScript (CVE-2014-1513).
        
  • MFSA 2014-32: Con este boletín boletín Mozilla termina de corregir los problemas  presentados en el Pwn2Own, en esta ocasión se trata de una escritura fuera de los límites de memoria, que puede permitir la ejecución de código arbitrario (CVE-2014-1514).
        
  • MFSA 2014-15: En este boletín se solucionan problemas de seguridad (englobados en los CVE CVE-2014-1493 y CVE-2014-1494) en el motor del navegador usado por Firefox y otros productos Mozilla.

Otros problemas de menor gravedad están relacionados con múltiples causas, como el tratamiento de filtros SVG, de fuentes PDF, de MathML, de WebGL o de archivos WAV entre otros. Podrían permitir denegaciones de servicio, fugas de información, realizar ataques cross-site scripting, escaladas de directorios,

Las versiones de los productos de Mozilla que solucionan todas las vulnerabilidades anteriormente expuestas son las siguientes: Firefox 28, Firefox ESR 24.4, Thunderbird 24.4 y Seamonkey 2.25. Se encuentran disponibles para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

Mozilla Foundation Security Advisories


Antonio Ropero
Twitter: @aropero

martes, 18 de marzo de 2014

Actualización de seguridad para Shockwave Player

Adobe ha publicado un nuevo boletín de seguridad (APSB14-10) para solucionar una vulnerabilidad crítica en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.

La vulnerabilidad (con CVE-2014-0505) está relacionada con un problema de corrupción de memoria que podría permitir a un atacante la ejecución remota de código arbitrario. El problema afecta las versiones de Adobe Shockwave Player 12.0.9.149 y anteriores para plataformas Windows y Macintosh.

Adobe recomienda actualizar a la versión 12.1.0.150 de Shockwave Player, disponible desde:

Más información:

Security update available for Adobe Shockwave Player


Antonio Ropero

Twitter: @aropero

lunes, 17 de marzo de 2014

Google Chrome corrige las vulnerabilidades del Pwn2Own

El equipo de seguridad de Chrome ha reaccionado rápido ante los problemas descubiertos en el Pwn2Own que comentamos ayer. El navegador se actualiza a la versión 33.0.1750.152 para Mac y Linux y la 33.0.1750.154 para Windows para corregir cuatro nuevas vulnerabilidades.

Las dos primeras vulnerabilidades fueron presentadas por VUPEN, y fueron premiadas con 100.000 dólares de recompensa. Consisten en un uso después de liberar memoria en enlaces Blink (con CVE-2014-1713) y una vulnerabilidad en el portapaples de Windows (con CVE-2014-1714), la combinación de ambas permite la ejecución de código fuera de la sandbox.

Por otra parte de un participante anónimo una corrupción de memoria en V8 (con CVE-2014-1705) y una vulnerabilidad de escalada de directorios (con CVE-2014-1715). Igualmente la combinación de ambas permite la ejecución de código fuera de la sandbox. Estos problemas fueron recompensados con 60.000 dólares.

Es destacable el comentario de Google en el boletín, reconociendo el éxito del Pwn2Own asegurando que realizarán cambios adicionales y medidas más duras en un futuro cercano. También señalan que "ambas presentaciones son obras de arte y merecen un mayor reconocimiento". También tienen previsto realizar informes técnicos sobre ambas presentaciones en el futuro.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update
  
una-al-dia (16/03/2014) Los principales navegadores caen en el Pwn2Own 2014
  

Antonio Ropero
Twitter: @aropero

domingo, 16 de marzo de 2014

Los principales navegadores caen en el Pwn2Own 2014

Los días 12 y 13 de marzo se celebró una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Internet Explorer, Firefox, Chrome y Safari, no se libraron de los ataques y mostraron su cara más débil.

Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares en diferentes sistemas operativos, así como en los plugins más atacados: Adobe Reader, Flash y Java. Pwn2Own, que se celebra en la ciudad canadiense de Vancouver, está patrocinado por la empresa Zero Day Initiative ZDI de HP, una compañía que se encarga de poner en contacto a investigadores de seguridad y compañías de software para garantizar una publicación coordinada de vulnerabilidades.

El primer día se cerró con cinco intentos exitosos contra otros tantos productos diferentes, que se llevaron 400.000 dólares en premios más otros 82.000 en donaciones a la Cruz Roja Canadiense en el evento Pwn4Fun.

En el Pwn4Fun, Google mostró un exploit contra Apple Safari que conseguía lanzar la Calculadora como root en Mac OS X. Mientras que ZDI presentó un exploit de múltiples fases, que incluía una fuga de la "sandbox", contra Microsoft Internet Explorer, que conseguía ejecutar la Calculadora Científica (con permisos intermedios).



En el Pwn2Own propiamente dicho, Jüri Aedla consiguió la ejecución de código en Mozilla Firefox a través de una lectura/escritura fuera de límites. Mariusz  Mlynski, mostró dos vulnerabilidades, también contra Mozilla Firefox, la primera permitía la escalada de privilegios mientras que la segunda permitía evitar las medidas de seguridad del navegador.

Por otra parte, el Equipo VUPEN consiguió cuatro ataques exitosos, tres de ellos con resultado final de ejecución de código. El primero contra Adobe Flash, por un uso después de liberar memoria con un salto de la "sandbox" de Internet Explorer. Contra Adobe Reader un desbordamiento de búfer junto con un escape de la "sandbox" PDF y contra Firefox un uso después de liberar memoria. Por ultimo, un escape de la "sandbox" de Microsoft Internet Explorer.

El segundo día fue igualmente productivo con siete participantes contra cinco productos, que consiguieron 450.000 dólares en premios. Lo que hace un total de 850.000 dólares en premios.  

Un participante anónimo presentó una vulnerabilidad de lectura/escritura arbitraria contra Google Chrome que permitía evitar la "sandbox" y lograr la ejecución de código. Sebastian Apelt y Andreas Schmidt presentaron una vulnerabilidad en el kernel y dos de uso después de librar memoria contra Internet Explorer, que conseguían ejecutar la Calculadora con permisos del sistema.

Por otra parte Liang Chen de Keen Team, mostró un desbordamiento de búfer junto con un escape de la "sandbox" que afectaba a Apple Safari. George Hotz, presentó un ataque contra Mozilla Firefox, con lectura/escritura fuera de límites. Por el Equipo VUPEN contra Google Chrome un uso después de liberar que afectaba tanto a Blink como a WebKit junto con un escape de la "sandbox" y por último de Zeguang Zhou de team509 y Liang Chen del Keen Team un desbordamiento de búfer contra Adobe Flash que permitía escapar de la "sandbox". Todos estos problemas permitían la ejecución de código.

Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas.

Más información:

Pwn2Own

Pwn2Own results for Wednesday (Day One)

Pwn2Own results for Thursday (Day Two)


Antonio Ropero
Twitter: @aropero

sábado, 15 de marzo de 2014

Boletines de seguridad para Asterisk

Asterisk ha publicado cuatro boletines de seguridad (del AST-2014-001 al AST-2014-004) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los problemas (AST-2014-001) reside en un desbordamiento de búfer en el tratamiento de peticiones http con un gran número de cabeceras Cookie (CVE-2014-2286). En el boletín AST-2014-002 se trata una vulnerabilidad (con CVE-2014-2287) reside en el tratamiento de peticiones SIP INVITE manipuladas para consumir todos los descriptores de archivos. Este problema solo afecta a sistemas con chan_sip configurados con "session-timers" a "originate" o "accept".

Estos problemas afectan a Asterisk Open Source 1.8.x en adelante y las ramas 11.x y 12.x; así como a Certified Asterisk 1.8.x y 11.x. Se han publicado las versiones Asterisk Open Source 1.8.26.1, 11.8.1 y 12.1.1; Certified Asterisk 1.8.15-cert5 y 11.6-cert2 que solucionan dichos problemas.

Por otra parte, dos vulnerabilidades en el controlador del canal PJSIP, la primera (con CVE-2014-2288) tratada en el boletín AST-2014-003 afecta a toda la rama 12.x y queda corregida en la versión 12.1.1. Mientras que el problema tratado en el boletín AST-2014-004, con CVE-2014-2289, ya quedó corregido en rediseño del módulo res_pjsip_pubsub en Asterisk 12.1.0.

Más información:

Stack Overflow in HTTP Processing of Cookie Headers.

Denial of Service Through File Descriptor Exhaustion with chan_sip Session-Timers

Remote Crash Vulnerability in PJSIP channel driver

Remote Crash Vulnerability in PJSIP Channel Driver Subscription Handling


Antonio Ropero
Twitter: @aropero


viernes, 14 de marzo de 2014

Apple actualiza el informe sobre seguridad en iOS (y II)

Proseguimos revisando las mejoras presentadas por Apple en la actualización del documento que detalla las medidas de seguridad de iOS 7.

AirDrop

AirDrop
AirDrop es una característica cómoda para intercambiar archivos entre usuarios cuyos terminales estén cerca físicamente. Se apoya en BTLE (Bluetooth Low-Energy) y en la creación de una conexión de pares sobre WiFi.

Cuando un usuario habilita AirDrop se crea una identidad en RSA de 2048 bits que es almacenada en el dispositivo. Igualmente, se crea un hash a partir del correo electrónico y número de teléfono del Apple ID del usuario. Cuando un usuario quiere compartir un archivo a través de AirDrop su dispositivo emite una señal sobre BTLE que es respondida por dispositivos con AirDrop activado emitiendo una versión acortada de su propio hash.

El emisor original compara estos hash con los hashes de sus contactos en la agenda y crea una conexión WiFi para preparar el envío. Es importante señalar que si tenemos activado AirDrop revisemos que modo de compartición tenemos establecido ya que existe un modo en el cual podemos compartir con todo el mundo.

Destacar que la comunicación se establece entre pares a través de la antena WiFi de los dispositivos, independientemente de si están conectados a un punto de acceso. La comunicación una vez emparejados por el protocolo Bonjour se efectúa de manera cifrada por TLS.

Servicios de Internet

Se incluye un nuevo apartado en el que se describen las medidas de seguridad implementadas para los servicios de Internet iMessages, FaceTime, Siri e iCloud.

iMessages funciona sobre una implementación de clave pública en la que son generadas dos pares de llaves cuando el usuario inicia sesión en la aplicación, una clave RSA de 1280 bits y otra, ECDSA de 256 bits para firma. Las llaves privadas son almacenadas en el anillo local del sistema mientras que las públicas son subidas a los servidores de directorio de Apple donde son asociadas al número de teléfono o correo electrónico del usuario. El intercambio de mensajes se efectúa de manera cifrada usando AES-128 como CTR, los mensajes se envían firmados con la clave privada del usuario.

FaceTime utiliza el mismo esquema de iMessages solo que se usa SIP para que los clientes puedan autenticarse mutuamente y establecer una conexión directa entre los dispositivos. En el inicio de la sesión comparten una clave privada para cifrar todas las comunicaciones, se usa un cifrado AES-256 sobre el protocolo de streaming SRTP.

Siri
Sobre Siri, Apple admite que envía información del tipo lista de canciones, artistas y listas de reproducción, lista de recordatorios y clase de relación entre los contactos de la agenda y el usuario. La comunicación se establece sobre HTTPS. Cuando el usuario inicia Siri el dispositivo envía el nombre y apellido del usuario junto su localización geográfica para activar los servicios de localización de tiendas, previsión meteorológica, etc. Apple indica que dicha información es descartada después de 10 minutos, no obstante no explica si esa información "descartada" es borrada o es reutilizada internamente.

Sobre los mensajes de voz del usuario, Apple almacena dichos mensajes (la voz del usuario) durante 6 meses para, según Apple, mejorar el reconocimiento de la voz del usuario.

iCloud, el servicio de nube de Apple es descrito con bastante detalle. iCloud solo sincroniza los datos del terminal cuando éste está bloqueado, conectado a corriente y existe una conexión WiFi activa. Los datos viajan cifrados y son almacenados en dicha forma en los servidores del servicio.

El resto de mejoras incluyen pequeñas adiciones o actualizaciones sobre el documento anterior. Se trata de un documento que los usuarios preocupados por la seguridad van a agradecer en parte por la escasa información que la compañía suele ofrecer en ciertas cuestiones. Más allá del usuario, el documento parece estar diseñado para la evaluación de la integración del sistema en ambientes corporativos, lugar que todavía no tiene un claro ganador.

Más información:

Apple actualiza el informe sobre seguridad en iOS (I)

iOS Security
February 2014

una-al-dia (07/06/2012) Apple explica la seguridad de iOS


David García