sábado, 31 de mayo de 2014

Publicada la tercera píldora formativa del proyecto Thoth ¿Desde cuándo existe la criptografía?

Se ha publicado la tercera píldora formativa del proyecto Thoth con el título ¿Desde cuándo existe la criptografía?, que junto a su documentación y podcast pueden encontrarse en la página web del proyecto. 

                           http://www.youtube.com/watch?v=jmvO3VoJeKg

En esta ocasión nos muestra como el conocimiento del uso de técnicas criptográficas por el ser humano para ocultar información, y mantener así a buen recaudo sus secretos, se remonta al siglo V antes de Cristo.

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los tres minutos), muy didácticos y sobre temas muy específicos.

Página web del proyecto Thoth:

En la web del proyecto Thoth encontrarás la documentación de esta píldora así como los enlaces a los vídeos y a la documentación de las píldoras anteriores:

Las siguientes píldoras a publicarse en los meses de junio y julio son:
Píldora 4: ¿Por qué hablamos de criptografía clásica y de criptografía moderna?
Píldora 5: ¿Qué es la triada CIA?


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth

viernes, 30 de mayo de 2014

Vulnerabilidades en Samba

Se han confirmado dos vulnerabilidades en Samba, que podrían permitir a un atacante obtener información sensible o  provocar condiciones de denegación de servicio.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Esta basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El primero de los problemas (con CVE-2014-0178) podría permitir a un atacante remoto autenticado obtener partes de la memoria del sistema sin inicializar mediante el envío de peticiones FSCTL_GET_SHADOW_COPY_DATA o FSCTL_SRV_ENUMERATE_SNAPSHOTS especialmente diseñadas. Afecta a sistemas Samba versiones 3.6.6 a 4.1.7 con el módulo shadow-copy VFS activado.

Por otra parte, con CVE-2014-0239, las versiones de Samba 4.0 (y superiores) tienen un fallo en el tratamiento del protocolo DNS en el servidor DNS interno. Al procesar la petición el servidor no comprueba la bandera "reply" de la cabecera DNS. Esto podría permitir a un atacante enviar un paquete de respuesta modificado para provocar que el servidor responda. Esto ocasiona una condición de denegación de servicio a través de un bucle de respuestas entre dos servidores vulnerables.

Se han publicado parches para solucionar estas vulnerabilidades en
Se publicarán las versiones 4.0.18 y 4.1.8 que incluirán las soluciones para estos problemas.

Más información:

Uninitialized memory exposure

Potential DOS in Samba internal DNS server
http://www.samba.org/samba/security/CVE-2014-0239

Antonio Ropero
Twitter: @aropero

jueves, 29 de mayo de 2014

Actualizaciones para Windows XP, ¿o mejor no?

Hace poco más de un mes que Microsoft dio por terminado el soporte de Windows XP. Sin embargo, recientemente se ha dado ha conocer una posible modificación del registro de Windows XP que podría "engañar" al sistema para que siguiera recibiendo actualizaciones hasta 2019. Pero… ¿es realmente una buena idea?

Desde que Microsoft dejó de ofrecer soporte a Windows XP el problema de mantener la seguridad en este tipo de sistemas ha preocupado a muchos usuarios. Hace poco se ha publicado una modificación del registro que podría permitir que Windows XP siga recibiendo actualizaciones gratuitas durante cinco años más, hasta 2019.

El "truco" hace uso de las actualizaciones para Windows Embedded Industry (anteriormente conocido como Windows Embedded POSReady). Este sistema está basado en Windows XP Service Pack 3, y las actualizaciones que se están publicando son esencialmente las mismas que se han publicado para XP.

Para aplicar el truco basta con grabar un archivo de texto, con extensión .reg, con las siguientes líneas:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady]
"Installed"=dword:00000001

Tras ello, bastará con ejecutarlo con un doble-click en Windows Explorer. Tras lo cual ya se habrá realizado la modificación y desde Windows Update se encontrarán múltiples actualizaciones disponibles.

Esta modificación solo servirá para sistemas 32 bits para sistemas 64 bits el procedimiento es algo más complejo aunque sigue siendo posible. En estos sistemas, cada una de las actualizaciones deben descargarse de forma manual y seguir los pasos indicados en:

La respuesta de Microsoft es clara:

"Recientemente hemos conocido un hack que supuestamente tiene como objetivo proporcionar actualizaciones de seguridad a los clientes de Windows XP. Las actualizaciones de seguridad que podrían instalarse están diseñadas para los clientes de Windows Embedded y Windows Server 2003 y no protegen totalmente a los clientes de Windows XP. Los clientes de Windows XP también corren un riesgo significativo de problemas de funcionalidad con sus máquinas si instalan estas actualizaciones, ya que están no están probadas frente a Windows XP. La mejor forma para los clientes de Windows XP de proteger sus sistemas es actualizar a un sistema operativo más moderno, como Windows 7 o Windows 8.1"

(en inglés):
"We recently became aware of a hack that purportedly aims to provide security updates to Windows XP customers. The security updates that could be installed are intended for Windows Embedded and Windows Server 2003 customers and do not fully protect Windows XP customers. Windows XP customers also run a significant risk of functionality issues with their machines if they install these updates, as they are not tested against Windows XP. The best way for Windows XP customers to protect their systems is to upgrade to a more modern operating system, like Windows 7 or Windows 8.1."

Está claro que a Microsoft no le ha gustado la publicación de esta modificación, puede dar lugar a la pérdida de un número significativo de usuarios de sus sistemas operativos más novedosos. Sin embargo tampoco está exenta de razón. Instalar cualquier actualización para un producto diferente del que ha estado diseñado, puede conllevar un determinado riesgo.

Por otra parte, no sería de extrañar que ya que Microsoft conoce esta modificación y sus efectos; ante la posibilidad de ver como usuarios con Windows XP instalan nuevas actualizaciones, Microsoft realice alguna acción para contrarrestar la modificación.

En cualquier caso, si un usuario con XP decide llevar a cabo el cambio del registro deberá prestar atención a las nuevas actualizaciones y sus efectos. Sin olvidar la realización de copias de seguridad, antes de cualquier actualización. De todas formas, para los usuarios de Windows XP, la seguridad ya se ha convertido en un riesgo.

Más información:

How to continue getting free security updates for Windows XP -- until 2019

Microsoft cautions against Windows XP hack

una-al-dia (07/04/2014) eXPira el Windows más longevo de Microsoft



Antonio Ropero
Twitter: @aropero


miércoles, 28 de mayo de 2014

Múltiples vulnerabilidades en productos Cisco NX-OS

Se han confirmado cuatro vulnerabilidades en dispositivos Cisco con sistema operativo Cisco NX-OS, que podrían permitir realizar ataques de denegación de servicio, escalada de privilegios o tomar el control del dispositivo.

Existen dos vulnerabilidades de escalada de privilegios que afectan a sistemas con múltiples VDC (Virtual Device Contexts). Los problemas están relacionados con la interfaz de administración SSH, y podrían permitir a un usuario remoto autenticado conseguir permisos de administrador. Estos problemas, con CVE-2013-1191 y CVE-2013-2200 solo afectan a dispositivos Cisco Nexus de la serie 7000.

Por otra parte, con CVE-2014-2201, un atacante remoto podría provocar condiciones de denegación de servicio mediante el envío de gran cantidad de datos específicamente manipulados al MTS (Message Transfer Service). Esta vulnerabilidad afecta a dispositivos Cisco Nexus de la serie 7000 y a dispositivos Cisco MDS 9000 Multilayer Switch/Director Family.

Por último, un SMTP remoto podría devolver datos específicamente manipulados para provocar un desbordamiento de búfer en la característica Smart Call Home y lograr la ejecución de código arbitrario en el dispositivo afectado. Este problema afecta a dispositivos Cisco Unified Computing Server Fabric Interconnect 6100 y 6200; Cisco Nexus 7000, 5000, 4000 y 3000 Series y Cisco 1000 Series Connected Grid Router.

Cisco ha publicado versiones actualizadas del software para todos los productos afectados.

Más información:

Multiple Vulnerabilities in Cisco NX-OS-Based Products




Antonio Ropero

Twitter: @aropero

martes, 27 de mayo de 2014

Adobe Shockwave incluye una versión de Flash sin actualizar desde hace 16 meses

Era algo que se sabía, hace dos años en Hispasec ya informamos sobre este tema, sin embargo nuevas pruebas evidencian la realidad, Shockwave sigue incluyendo versiones sin actualizar de Flash.

Shockwave es un plugin para navegadores que, aunque también de Adobe, no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.

Hace dos años el US-CERT alertó sobre tres graves vulnerabilidades en Adobe Shockwave que permitían la ejecución de código en el sistema con solo visitar una página web. Aunque Adobe había sido alertada sobre el problema en octubre de 2010, los problemas no quedarían solucionados hasta febrero de 2013.

El US-CERT ha revisado su anterior aviso, y lamentablemente ha comprobado que la última versión de Shockwave Player 12.1.1.151 incluye la versión 11.5.502.146 de Flash, que fue publicada el 8 de enero de 2013. ¡Hace 16 meses!

Esta versión de Flash contiene múltiples vulnerabilidades explotables, Brian Krebs contabiliza más de 20 actualizaciones de seguridad publicadas incluyendo numerosos 0-day. Según Krebs, Adobe ha confirmado que la próxima actualización de Shockwave Player incluirá una versión actualizada de Flash Player.

"Adobe spokeswoman Heather Edell confirmed that CERT’s information is correct, and that the next release of Shockwave Player will include the updated version of Flash Player."

El problema es grave y parece especialmente sorprendente, mucho más al tratarse de dos productos de la misma compañía. Por no decir que la versión incluida ya no está soportada, y la propia firma en sus últimas actualizaciones de Flash recomienda a todos los usuarios de la rama 11.7 de Flash, actualizar a la versión 13. La causa de este "desajuste" en las versiones puede estar debida a que, tal y como señala el aviso del US-CERT, Shockwave usa su propio motor en tiempo de ejecución de Flash; proporcionado por el archivo "Flash Asset.x32", en vez de emplear el propio motor del reproductor Flash.

El retraso en la publicación de actualizaciones de seguridad es más frecuente de lo que cabría desear. En un estudio que realizamos hace un tiempo, concluíamos que, mientras la vulnerabilidad permaneciese en secreto, los grandes fabricantes podían pasar hasta seis meses de media sin arreglarla. La semana pasada informamos de una vulnerabilidad sin corregir en Internet Explorer 8 durante más de 7 meses.

Se puede comprobar si un sistema tiene Shockwave instalado visitando el siguiente enlace:
Entre las medidas recomendadas, pasan por la desinstalación de Shockwave, para lo cual Adobe ofrece una utilidad en:
En caso de necesitar Shockwave por alguna razón, se recomienda el uso de EMET (Enhanced Mitigation Experience Toolkit), que podrá evitar muchas de las técnicas empleadas por los exploits más habituales. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad.

Más información:

una-al-dia (18/12/2012) Graves vulnerabilidades en Adobe Shockwave, necesitarán dos años para solucionarse

Vulnerability Note VU#323161
Adobe Shockwave player provides vulnerable Flash runtime

Why You Should Ditch Adobe Shockwave

una-al-dia (29/04/2014) Actualización de Adobe Flash Player para evitar un 0-day

una-al-dia (21/09/2009) Estudio comparativo: ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

una-al-dia (03/08/2011) Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades. RealNetworks, el que más. La media global son 6 meses

una-al-dia (22/05/2014) ZDI informa de 0day en Internet Explorer 8 existente desde hace 7 meses


Antonio Ropero
Twitter: @aropero

lunes, 26 de mayo de 2014

Otra intrusión, esta vez Spotify. Solo un usuario afectado

Tras la reciente comunicación de eBay sobre la intrusión en sus sistemas, en esta ocasión es Spotify la que ha anunciado un acceso no autorizado a sus sistemas y datos internos.

Spotify es un servicio de música digital que te da acceso a millones de canciones, permite la reproducción de música vía streaming en múltiples sistemas operativos.

En un comunicado de Oskar Stål, CTO (Chief Technical Officer ) de Spotify, ha reconocido la intrusión y el acceso a datos internos. Sin embargo, curiosamente también afirma que solo se han visto comprometidos los datos de un usuario, sin incluir contraseña ni ningún otro dato financiero o de pago. La compañía se ha comunicado con este usuario de forma individual.

"Our evidence shows that only one Spotify user’s data has been accessed and this did not include any password, financial or payment information. We have contacted this one individual."

Como medida de seguridad adicional, Spotify va a recomendar a los usuarios de Android la actualización de la aplicación. Si la aplicación sugiere al usuario la actualización, se deben seguir las instrucciones.  Además Spotify recuerda que no se deben instalar aplicaciones desde otros sitios que no sean Google Play, Amazon Appstore o la propia web del servicio https://m.spotify.com/. Igualmente tampoco hay recomendaciones para los usuarios de iOS y Windows Phone.

De igual forma, en los próximos días algunos usuarios deberán reintroducir su nombre y contraseña.

Como según ha indicado la propia compañía no se ha visto afectada la información personal de los usuarios no se recomienda el cambio de contraseña. Si bien, tampoco estaría de más recordar las medidas de seguridad habituales: como no emplear la misma contraseña en diferentes sitios, cambiar regularmente la "password", así como emplear caracteres y símbolos en la contraseña. Usar de la misma contraseña en múltiples servicios hace al usuario vulnerable ante otros ataques.

Como en otras ocasiones quedan preguntas en el aire, especialmente una: ¿Cómo es posible que solo se haya visto afectado un usuario?

Más información:

Important Notice to Our Users

una-al-dia (21/05/2014) Intrusión en eBay


Antonio Ropero

Twitter: @aropero

domingo, 25 de mayo de 2014

Sexta conferencia TASSI La amenaza del cibercrimen de D. Juan Salom disponible en YouTube

Se encuentra disponible en el canal YouTube de la UPM el vídeo de la sexta conferencia del X Ciclo de Conferencias UPM TASSI 2014, España, de título La amenaza del cibercrimen, a cargo de D. Juan Salom, Teniente Coronel de la Guardia Civil.


                         https://www.youtube.com/watch?v=WxxHp5ljhNQ

En la sección Conferencias TASSI del servidor web de Criptored encontrarás la presentación en pdf y el material sonoro utilizado por el ponente, así como todas las conferencias de este décimo y anteriores ciclos UPM TASSI.


Jorge Ramió
Coordinador TASSI

sábado, 24 de mayo de 2014

Google anuncia nueva versión de Chrome y corrige 23 vulnerabilidades

Google sigue imparable con Chrome, su ritmo de actualizaciones es realmente notable. Apenas un mes después de publicar Chrome 34, acaba de anunciar la nueva versión 35 del navegador. Se publica la versión 35.0.1916.114 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 23 nuevas vulnerabilidades. También se ha publicado la versión 35.0.1916.122 para dispositivos Android.

Según el aviso de Google se han incluido mejoras para desarrolladores, nuevas características JavaScript, soporte para Shadow DOM, nuevas aplicaciones y extensiones API y numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 23 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado 23 vulnerabilidades, se facilita información de 8 de ellas.

Las vulnerabilidades descritas están relacionadas con el uso después de liberar memoria en estilos (CVE-2014-1743), desbordamiento de entero en el sonido (CVE-2014-1744), uso después de liberar en SVG (CVE-2014-1745), lectura fuera de límites en filtros multimedia (CVE-2014-1746), UXSS con archivos MHTML locales (CVE-2014-1747) y falsificación de la interfaz de usuario (CVE-2014-1748).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-1749); y la corrección de un desbordamiento de entero en V8 (CVE-2014-3152).

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update

Chrome for Android Update

una-al-dia (11/04/2014) Google anuncia nueva versión de Chrome y corrige 31 vulnerabilidades


Antonio Ropero

Twitter: @aropero

viernes, 23 de mayo de 2014

Apple publica actualización para Safari y soluciona 22 vulnerabilidades

Apple ha publicado una actualización de seguridad para su navegador Safari (versiones 6.1.4 y 7.0.4) que solventa múltiples vulnerabilidades que podrían ser aprovechadas por un atacante remoto para lograr el compromiso de los sistemas afectados.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista. Esta actualización afecta a las versiones de Safari para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.3.

En total Apple ha corregido 22 vulnerabilidades. Todos los problemas están relacionados con WebKit, el motor de navegador de código abierto que es la base de Safari. 21 de ellas podrían llegar a permitir la ejecución remota de código arbitrario y otra que podría permitir a un sitio malicioso enviar mensajes a una ventana o frame conectado de forma que puede evitar la comprobación del origen.

Se recomienda actualizar a las versiones 6.1.4 o 7.0.4 de Safari para Mac OS X disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde:

Más información:

About the security content of Safari 6.1.4 and Safari 7.0.4


Antonio Ropero

Twitter: @aropero

jueves, 22 de mayo de 2014

ZDI informa de 0day en Internet Explorer 8 existente desde hace 7 meses

Zero Day Initiative ha publicado un aviso por una vulnerabilidad 0-day que podría permitir a atacantes remotos ejecutar código arbitrario en Internet Explorer 8. 

Según el aviso de ZDI se requiere la interacción del usuario para explotar la vulnerabilidad de tal forma que el usuario debe visitar una página maliciosa o abrir un archivo específicamente manipulado. El problema solo afecta a las instalaciones de Internet Explorer 8, que en la actualidad y a pesar de que ya tiene más de 5 años, aun tiene una cuota de en torno al 20% de los usuarios.

El fallo reside en un uso después de liberar en el tratamiento de objetos CMarkup. La asignación inicialmente se produce con CMarkup::CreateInitialMarkup. La liberación se realiza tras la ejecución de determinado código JavaScript seguida de una llamada a CollectGarbage. Mediante la manipulación de los elementos de un documento un atacante puede forzar que un puntero sea reutilizado tras ser liberado. Un atacante podría aprovechar esto para lograr la ejecución de código.

ZDI reportó a  Microsoft este problema el 11 de octubre del año pasado, Microsoft no confirmó la existencia de la vulnerabilidad hasta el 10 de febrero de este año. A primeros de mayo ZDI informó a Microsoft que iba a proceder a la publicación de la información, al haber transcurrido más de 180 días desde el anuncio a la compañía, cumpliendo de esta forma la política de divulgación de información de la propia ZDI.

La recomendación pasa por la actualización a un navegador más moderno y la instalación de EMET (Enhanced Mitigation Experience Toolkit). Esta herramienta combate las técnicas de evasión de DEP y ASLR y otros métodos de "exploiting" conocidos. EMET 3.0 y EMET 4.0 tienen soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad.

Más información:

(0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability


Antonio Ropero
Twitter: @aropero

miércoles, 21 de mayo de 2014

Intrusión en eBay

Esta vez le ha tocado a eBay, el gigante de las subastas online acaba de anunciar una intrusión en sus sistemas, por lo que recomienda a todos sus usuarios el cambio de contraseñas.

Este miércoles eBay ha reconocido que entre finales de febrero y principios de marzo (¡hace más de dos meses!), sufrieron una intrusión en sus sistemas y la base de datos de usuarios fue comprometida. Los datos afectados incluyen el nombre de los usuarios, contraseñas cifradas, dirección e-mail, dirección física, número de teléfono y fecha de nacimiento. Según confirman, la base de datos a la que lograron tener acceso los atacantes no contenía información financiera ni ningún otro tipo de información confidencial personal. No existe ninguna evidencia de acceso a datos como números de tarjetas de crédito, que se almacenan de forma separada de forma cifrada.

Según la nota publicada por eBay la intrusión se logró a través del compromiso de un pequeño número de credenciales de autenticación de empleados. Lo que permitió el acceso no autorizado a la red corporativa de eBay.

Como medida de seguridad, eBay recomienda el cambio de contraseñas a todos sus usuarios.

La compañía también ha confirmado que no hay evidencias de de acceso no autorizado o compromisos de información relativa a los usuarios de PayPal. Los datos de PayPal se guardan de forma separada en una red segura, y toda la información financiera de PayPal está cifrada.

Como ya hemos comentado en casos similares, la recomendación pasa siempre porque la compañía almacene las contraseñas en forma de hash usando una función sólida (sin problemas conocidos de seguridad) y aplicando buenas prácticas. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce como criptografía asimétrica. Sin embargo eBay afirma que sus contraseñas estaban cifradas.

Como en otras ocasiones quedan preguntas en el aire:¿Como "cifraban" las contraseñas? y como ya viene siendo habitual ¿Cuanto tardarán los datos de los usuarios en aparecer en pastebin?

Como medidas de seguridad recodar las ya habituales, como no emplear la misma contraseña en diferentes sitios, cambiar regularmente la "password", así como emplear caracteres y símbolos en la contraseña. Usar de la misma contraseña en múltiples servicios hace al usuario vulnerable ante otros ataques.

Más información:

eBay Inc. To Ask eBay Users To Change Passwords

una-al-dia (05/11/2013) Adobe, la tormenta después de la tormenta



Antonio Ropero

Twitter: @aropero

martes, 20 de mayo de 2014

Apple publica OS X Server 3.1.2 por vulnerabilidad en Ruby

Apple ha publicado la actualización OS X Server 3.1.2 para OS X Mavericks v10.9.3 o posterior que podría permitir la ejecución de código arbitrario.

El problema (con CVE-2013-4164) reside en un desbordamiento de búfer en Ruby cuando convierte una cadena a un valor en coma flotante. Un atacante podría enviar una petición específicamente construida al administrador de perfiles o a un script Ruby, que podría dar lugar a la ejecución remota de código.

Apple ha publicado la versión OS X Server 3.1.2 que soluciona este problema mediante una validación adicional de los valores en coma flotante.

Más información:

About the security content of OS X Server 3.1.2



Antonio Ropero
Twitter: @aropero

lunes, 19 de mayo de 2014

Actualización del kernel para SuSE Linux Enterprise 11

SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 11 Service Pack 3, está considerada importante y corrige tres vulnerabilidades.

Los problemas corregidos están relacionados con la función raw_cmd_copyin de drivers/block/floppy.c que podría permitir a usuarios locales elevar sus privilegios; con la función raw_cmd_copyout de drivers/block/floppy.c que podría permitir a usuarios locales obtener información sensible y con la función n_tty_write de drivers/tty/n_tty.c que podría permitir a usuarios locales provocar condiciones de denegación de servicio.

Los CVE asignados son: CVE-2014-01737, CVE-2014-01738 y CVE-2014-0196.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".

Más información:

Security update for Linux Kernel





Antonio Ropero
Twitter: @aropero



domingo, 18 de mayo de 2014

Elevación de privilegios a través de Apple iTunes

Apple ha publicado una actualización de iTunes para corregir una vulnerabilidad en iTunes (versiones posteriores a la 10.6.8) que podría permitir a un atacante local elevar sus privilegios en el sistema.

iTunes es una aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además permite sincronizar un iPod, iPad, iPhone o Apple TV.

El problema (con CVE-2014-1347) reside en que tras cada reinicio. Los permisos de las carpetas /Users y /Users/Shared quedan con escritura para todos los usuarios, permitiendo la modificación de estos directorios.

Apple ha publicado la versión 11.2.1 de iTunes que mejora la gestión de permisos y corrige este problema.

Más información:

About the security content of iTunes 11.2.1



Antonio Ropero

Twitter: @aropero

sábado, 17 de mayo de 2014

Primera lección Modelo de computación cuántica en el MOOC Computación y Criptografía Cuántica de Crypt4you

Se ha publicado la primera lección del nuevo curso de Computación y Criptografía Cuántica en el MOCC Crypt4you de los autores Dra. Alfonsa García, Dr. Francisco García y Dr. Jesús García, del Grupo de Innovación Educativa GIEMATIC de la Universidad Politécnica de Madrid, España.

Esta primera lección lleva por título Modelo de computación cuántica y en ella los autores nos presentan una introducción al modelo de computación cuántica, incluyendo la forma de representar la información, la forma de medir estados cuánticos y las principales puertas de computación cuántica, con los siguientes apartados:
Apartado 1.1. Introducción histórica.
Apartado 1.2. Representación de la información.
Apartado 1.3. Estados de 2-qubits. Entrelazamiento.
Apartado 1.4. Estados de n-qubits.
Apartado 1.5. Transformación de la información. Puertas cuánticas.
Apartado 1.6. Teorema de no cloning.
Apartado 1.7. Test de autoevaluación.
Apartado 1.8. Referencias bibliográficas y enlaces de interés.

El curso consta de dos lecciones más, Criptografía cuántica que se publicará el 16/06/2014 y Algoritmos cuánticos que se publicará el 16/07/2014.

Acceso al MOOC de Crypt4you:

Acceso directo a la primera lección del curso:
Lección 1. Modelo de computación cuántica

Otros cursos completos en el MOOC Crypt4you:
Privacidad y Protección de Comunicaciones Digitales (Presentación y 7 lecciones)
El Algoritmo RSA (Presentación y 10 lecciones)



Jorge Ramió, Alfonso Muñoz
Editores de Crypt4you

viernes, 16 de mayo de 2014

Actualización de seguridad para Google Chrome

El equipo de seguridad de Chrome ha publicado un boletín de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac, Linux y Chrome Frame) que se actualiza a la versión 34.0.1847.137 para corregir 3 nuevas vulnerabilidades.

Se corrigen un fallos por uso de memoria después de liberar en WebSockets (CVE-2014-1740) y en la función FrameSelection::updateAppearance de core/editing/FrameSelection.cpp. Y un desbordamiento de entero en rangos DOM (CVE-2014-1741).

Con esta versión también se incluye la actualización de Flash Player a la versión 13.0.0.214.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 4.500 dólares en recompensas a los descubridores de los problemas.

Más información:

Stable Channel Update

  

Antonio Ropero
Twitter: @aropero

jueves, 15 de mayo de 2014

Boletines de seguridad de Adobe: Vulnerabilidades en Illustrator, Flash, Reader y Acrobat

Adobe ha publicado tres boletines de seguridad, destinados a corregir vulnerabilidades en Illustrator, en Flash Player y en Reader y Acrobat. En total se han solucionado 18 vulnerablidades.

El primer boletín, APSB14-11, corrige una vulnerabilidades en Adobe Illustrator (CS6) en las plataformas Windows y Macintosh. El problema (con CVE-2014-0513) reside en un desbordamiento de búfer que podría permitir la ejecución remota de código. Adobe ha publicado las versiones actualizadas Illustrator 16.2.2 para Windows e Illustrator 16.2.2 para Macintosh.

El boletín APSB14-14, corrige seis vulnerabilidades en Adobe Flash Player en las plataformas Windows, Linux y Macintosh. El primer problema (con CVE-2014-0510) reside en un uso después de liberar memoria que podría permitir la ejecución de código. Un segundo fallo (CVE-2014-0516) se debe a una vulnerabilidad que podría permitir evitar la política de mismo origen. Y otras cuatro vulnerabilidades de salto de restricciones de seguridad (CVE-2014-0517, CVE-2014-0518, CVE-2014-0519, CVE-2014-0520).

Adobe ha publicado las versiones actualizadas Adobe Flash Player 13.0.0.214 para Windows, Macintosh y Flash Player instalado con los navegadores Google Chrome e Internet Explorer 10 y 11. Para Linus se ha publiblicado la versión Flash Player 11.2.202.359.

Por último, el boletín APSB14-15, corrige 11 vulnerabilidades en Adobe Reader y Acrobat. Los problemas se deben a desbordamientos de buffer, validación de entradas, implementación de las APIs Javascript, corrupción de memoria, uso después de liberar o de doble liberación y en la mayoría de los casos podrían permitir la ejecución de código. Adobe ha publicado las versiones actualizada Adobe Reader XI (11.0.07) y Adobe Reader X (10.1.10) para  Windows y Macintosh.

Se recomienda la actualización de los productos afectados a las versiones actualizadas.

Más información:

Security hotfix available for Adobe Illustrator (CS6)

Security updates available for Adobe Flash Player

Security Updates available for Adobe Reader and Acrobat



Antonio Ropero
Twitter: @aropero

miércoles, 14 de mayo de 2014

Virus de la Policía en Android: Técnicas usadas para bloquear el movil y como eliminarlo

Conocemos el Virus de la Policía que afecta a los ordenadores bloqueando la pantalla y pidiendo dinero para desbloquear el sistema, el comportamiento típico de cualquier "ransomware". Recientemente se ha descubierto una versión para Android. Vamos a mostrar las técnicas usadas por el atacante para forzar que el malware permanezca en primer plano y persista al reinicio del dispositivo. Por último, ofreceremos una forma para eliminarlo del dispositivo.

Si ejecutamos el Virus de la Policía en el emulador de Android, vemos una página web en la que nos pide dinero para desinstalar la aplicación. Al igual que ocurre con la versión de escritorio, sin pagar, es imposible de salir de la aplicación porque siempre vuelve al primer plano y no nos deja suficiente tiempo para desinstalarla a partir del menú "Ajustes" de Android.


Hemos usado "jd-gui" para decompilar la aplicación. Sin embargo, con la ofuscación y las técnicas de anti-decompilación, el decompilador no puede decompilar todas las partes del programa por lo que tenemos que usar Eclipse para depurar la aplicación. Es importante observar que las partes de código mostradas en esta entrada han sido convenientemente tratadas.

Para empezar, analizamos el archivo de configuración de la aplicación "AndroidManifest.xml", que contiene actividades, servicios, permisos usados, identificador de la aplicación (package name), etc. Vemos que el malware tiene el nombre de paquete "com.android". Con el filtro "MAIN", podemos comprobar que la actividad "MainActivity" es la primera que se ejecuta cuando el usuario ejecuta la aplicación. Después, se definen dos receptores "ScheduleLockReceiver" y "ScheduleUnlockReceiver" para ejecutarse en procesos diferentes por la etiqueta ":remote" (se explicarán más detalladamente). Por último el "BootstrapReceiver" es un clase que va a registrarse al evento "BOOT_COMPLETED" del móvil y que se llama durante la inicialización del móvil con la prioridad mas alta "999". De esta forma permite la persistencia al reinicio del móvil. Al tener la prioridad más alta, será una de las primeras clases llamadas durante la inicialización del móvil.


Mirando el código decompilado de la clase "MainActivity", vemos que lanza la actividad "LockActivity" llamando a la función "startActivity". En la actividad lanzada hemos encontrado la función "dispatchKeyEvent" que permite al atacante monitorizar y anular los botones del dispositivo (como HOME, BACK, y MENU) y así evitar que el usuario salga de la aplicación fácilmente.















Esa misma clase va a lanzar en segundo plano el servicio "LockService", que va a programar dos tareas "ScheduleLockReceiver" y "ScheduleUnlockReceiver" a través del "AlarmManager". La primera tarea se ejecuta cada 2 segundos mientras que la segunda tarea se lanza cada 600 segundos. Como la segunda tarea no está implicada directamente en el bloqueo de la pantalla, nos concentramos en la primera tarea.



Cada vez que la tarea se ejecuta, se ejecuta la función "onReceive" y lanza el servicio "LockService" pasando el parámetro "start.event.type" a 2.










Llamando al servicio, se llama a la función "dispatchEvent". Con el tipo de evento 2, fuerza la actividad a lanzarse de nuevo. Y así no permite a otra aplicación pasar al primer plano.





Desinstalar el Virus de la Policía en Android

Como no tenemos acceso a la pantalla, no podemos desinstalar manualmente la aplicación desde el menú "Ajustes/Aplicaciones". Sin embargo, Google proporciona una herramienta llamada "adb" usada por desarrolladores de aplicaciones Android para instalar y desinstalar aplicaciones, grabar logs, etc. Antes de desinstalar una aplicación, necesitamos conocer el nombre del paquete que la identifica. Esta información se encuentra en el archivo de configuración "AndroidManifest.xml". Podemos ver que en este caso el nombre de paquete del ransomware es "com.android".

La utilidad "adb" se encuentra incluida dentro del Android SDK disponible para descarga desde:

Una vez instalado (descomprimirlo) será necesario conectar el dispositivo infectado al ordenador, localizar la herramienta "adb" en la carpeta "/sdk/platform-tools/" y ejecutar el comando:
adb uninstall com.android
con lo que conseguiremos desinstalar el malware.

Más información:

El virus de la policía "evoluciona" e impide el acceso en modo seguro

Nuevas variantes del “virus de la policía”. Ahora para Android

Police Locker land on Android Devices

Java decompiler

Depurar malware Android con Eclipse

Android Debug Bridge

Hash del ransomware:
2e1ca3a9f46748e0e4aebdea1afe84f1015e3e7ce667a91e4cfabd0db8557cbf

una-al-dia (21/06/2011) Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico

una-al-dia (28/02/2012) Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)

una-al-dia (02/03/2012) El virus de la policía "evoluciona" e impide el acceso en modo seguro

una-al-dia (06/03/2012) Más información sobre el virus de la policía

una-al-dia (09/03/2012) El malware de la policía aprovecha un exploit de Java "in-the-wild" y el secreto su "éxito"

una-al-dia (18/03/2012) WhitePaper: Estudio técnico del troyano de la policía

una-al-dia (24/05/2012) Nuevas versiones del malware de la policía y cómo eludirlas




Laurent Delosières