jueves, 31 de julio de 2014

Desmontan la seguridad de los USB

La mayoría de los usuarios se intercambian memorias USB sin problemas, aunque los profesionales de la seguridad conocemos los riesgos que puede acarrear y la cantidad de virus que suelen transmitirse a través de este medio. Pero se ha anunciado una nueva vulnerabilidad en el propio diseño de los USB podría permitir tomar el control de un sistema, incluso con todas las protecciones y medidas de seguridad posibles.

Los investigadores Karsten Nohl y Jakob Lell, han desarrollado una muestra de malware, bautizada como BadUSB, que muestra como la seguridad de los USB ha sido desmontada. Aunque tienen previsto mostrar todos sus descubrimientos en una conferencia en la próxima Black Hat USA, se ha realizado un adelanto a través de un artículo en la revista Wired.

Nohl y Lell han realizado ingeniería inversa sobre el firmware, tras lo que han conseguido instalar su malware en el propio firmware del USB, de esta forma puede pasar completamente inadvertido ante cualquier análisis o escaneo. El USB de esta forma podrá tomar el control del PC o dispositivo. Según afirman los dos investigares la solución no es sencilla, el tipo de problema que han encontrado es prácticamente imposible de contrarrestar a no ser que se bloquee el USB.

"Estos problemas no pueden ser parcheados,
estamos aprovechando la forma en
que están diseñados los USB
"

El principal descubrimiento reside en que el firmware USB, que existe en todos los dispositivos USB, puede ser reprogramado para ocultar algún código malicioso. El problema no solo se limita a memorias flash, "pendrives" o similares, en general cualquier dispositivo USB puede ser reprogramado: teclados, ratones, etc.

Uno de los problemas radica en que los dispositivos no tienen ningún tipo de firma de código, hash, o similar que permita comprobar que el firmware del dispositivo es el que debería ser y no se ha manipulado.


Más información:

Why the Security of USB Is Fundamentally Broken


Antonio Ropero
Twitter: @aropero

miércoles, 30 de julio de 2014

Una nueva vulnerabilidad en Android facilita la instalación de malware

Un fallo de diseño de Android podría permitir la instalación de cualquier aplicación sin necesidad de que el usuario de permisos especiales durante su instalación.

El problema, descubierto por la firma BlueBox Security, recibe el nombre de "Fake ID" debido a que permite al malware pasar credenciales falsas a Android, que falla al verificar cadenas de certificados de claves públicas de la firma criptográfica de la aplicación. En su lugar, Android otorga a la aplicación maliciosa todos los permisos de acceso de cualquier aplicación legítima.

Las aplicaciones Android deben estar firmadas para poder ser instaladas en el sistema, pero el certificado digital empleado para firmar no necesita estar emitido por una autoridad certificadora. Según la propia documentación de Android "es perfectamente admisible, y típico, que las aplicaciones Android usen certificados autofirmados".

Sin embargo, Android incluye incrustados en su código los certificados de diversos desarrolladores, para que las aplicaciones de estos desarrolladores tengan accesos y permisos especiales dentro del sistema operativo. Uno de estos certificados pertenece a Adobe, y permite a las aplicaciones firmadas o los certificados emitidos por ella inyectar código en otras aplicaciones Android. Este comportamiento puede deberse a que de esta forma se puede permitir a otras aplicaciones hacer uso del plug-in de Flash Player.

Sin embargo, un fallo en el proceso de validación de la cadena de certificados podría permitir a un atacante firmar una aplicación maliciosa con un certificado que parezca estar firmado por el certificado de Adobe incrustado, aunque no sea así. Siempre que el certificado de Adobe esté presente en la cadena de certificados de la aplicación, el sistema podrá tomar código de la aplicación e inyectarlo en otras aplicaciones instaladas. El código inyectado pasará a ser parte de las aplicaciones receptoras, heredando sus permisos, y con el mismo acceso a todos los datos de dichas aplicaciones.

El ataque afecta a las versiones de Android anteriores a la 4.4 (KitKat) y solo puede ser empleado sobre aplicaciones que usen el componente WebView, que se emplea para mostrar contenido web con el motor del navegador de Android.

BlueBox ha confirmado que notificó el problema a Google hace tres meses, y que se presentarán todos los detalles en una conferencia en la BlackHat USA 2014.

Google, por otra parte, ha confirmado que ya ha tomado medidas. Hace ya tiempo que dentro de Play Services se añadieron características y APIs que no requieren una actualización del firmware, por lo que para Google es un buen punto para evitar vulnerabilidades de este tipo. También se añadió la característica "Verificar aplicaciones" a Google Play Services como forma de escanear la aplicación antes de ser instalada. Google ha actualizado esta característica para comprobar que las aplicaciones no hacen uso de "Fake ID".

Más información:

Signing Your Applications

Android Fake ID Vulnerability Lets Malware Impersonate Trusted Applications, Puts All Android Users Since January 2010 At Risk

'Fake ID' and Android security [Updated]



Antonio Ropero
Twitter: @aropero

martes, 29 de julio de 2014

Múltiples vulnerabilidades en Moodle

Moodle ha publicado 13 nuevas alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde los habituales XSS hasta inyección de código. Se ven afectadas todas las ramas soportadas (2.7, 2.6, 2.5 y 2.4) y anteriores, ya fuera de mantenimiento de seguridad.

Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

12 de los 13 problemas anunciados son consideradas como serios, con CVE asociados del CVE-2014-3541 al CVE-2014-3553. Se incluyen diversas vulnerabilidades de Cross Site Scripting, XXE (XML External Entity) y de inyección de código.

Por otra parte un fallo en la autenticación Shibboleth podría permitir a un usuario tomar control sobre las sesiones de otros usuarios. Una vulnerabilidad podría permitir la obtención de nombres de usuario y cursos mediante la manipulación de "/user/edit.php" y otro problema en los foros podría permitir la escritura en grupos a los que no se tiene acceso.

Se han publicado las versiones 2.7.1, 2.6.4, 2.5.7 y 2.4.11 que solucionan todos los problemas y pueden descargarse desde su página oficial

Más información:

MSA-14-0020: Identity confusion in Shibboleth authentication

MSA-14-0021: Code injection in Repositories

MSA-14-0022: XML External Entity vulnerability in LTI module

MSA-14-0023: XML External Entity vulnerability in IMSCC and IMSCP

MSA-14-0024: Cross-site scripting vulnerability in profile field

MSA-14-0025: Remote code execution in Quiz

MSA-14-0026: Information leak in profile and notes pages

MSA-14-0027: Forum group posting issue

MSA-14-0028: Cross-site scripting possible in external badges

MSA-14-0029: Cross-site scripting vulnerability in exception dialogues

MSA-14-0030: Cross-site scripting through logs of failed logins

MSA-14-0031: Cross-site scripting though scheduled task error messages

MSA-14-0032: Cross-site scripting in advanced grading methods



Antonio Ropero

Twitter: @aropero

lunes, 28 de julio de 2014

Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización considerada importante del kernel de Red HatEnterprise Linux 6, 6.4 y 6.5 (cliente y servidor), que solventa dos nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para elevar sus privilegios en los sistemas afectados. 

El primero de los problemas corregidos, con CVE-2014-4699, reside en el subsistema ptrace y solo afecta a sistemas con CPU Intel. La segunda vulnerabilidad, con CVE-2014-4943, radica en la implementación PPP sobre L2TP en net/l2tp/l2tp_ppp.c. Ambos problemas podrían permitir a un usuario local elevar sus privilegios en el sistema.

Esta actualización está disponible desde Red Hat Network. Información sobre el uso de Red Hat Network para la instalación de la actualización está disponible en:

Más información:

Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2014-0925.html



Antonio Ropero
Twitter: @aropero

domingo, 27 de julio de 2014

Tercera y última lección "Algoritmos Cuánticos" en el MOOC Computación y Criptografía Cuántica de Crypt4you

Se ha publicado la tercera lección del curso de Computación y Criptografía Cuántica en el MOCC Crypt4you, de los autores Dra. Alfonsa García, Dr. Francisco García y Dr. Jesús García, pertenecientes al Grupo de Innovación Educativa GIEMATIC de la Universidad Politécnica de Madrid, España.

En esta última lección los autores nos presentan una introducción a los principales algoritmos que usan computación cuántica con los siguientes apartados:
Apartado 3.1. Introducción
Apartado 3.2. Primeros algoritmos cuánticos
Apartado 3.3. Búsqueda no estructurada. Algoritmo de Grover
Apartado 3.4. Transformada cuántica de Fourier
Apartado 3.5. Algoritmo de Shor
Apartado 3.6. Test de autoevaluación
Apartado 3.7. Referencias bibliográficas y enlaces de interés

Acceso directo a la Lección 3 "Algoritmos cuánticos":

Lecciones anteriores:
Acceso directo a la Lección 2. "Criptografía cuántica":
Lección 1. "Modelo de computación cuántica":

Acceso al MOOC Crypt4you:

Otros cursos gratuitos completos en el MOOC Crypt4you:
El Algoritmo RSA (Presentación y 10 lecciones)
Privacidad y Protección de Comunicaciones Digitales (Presentación y 7 lecciones)



Jorge Ramió, Alfonso Muñoz
Editores de Crypt4you

sábado, 26 de julio de 2014

Ejecución remota de código en HP Data Protector Express

Se han confirmado una vulnerabilidad grave en HP Data Protector Express, que podría permitir a un atacante remoto conseguir ejecutar código arbitrario en los sistemas afectados. 

La vulnerabilidad, con CVE-2014-2623, tiene una puntuación CVSS de 10, lo cual determina su alta gravedad. No se han ofrecido detalles sobre la causa del problema, salvo que puede permitir  a un atacante remoto la ejecución de código arbitrario.

Se ven afectadas las versiones HP Storage Data Protector v8.X para Windows 2003, 2008, 7 y 8.

HP ha proporcionado el siguiente procedimiento para evitar esta vulnerabilidad;
Activar los servicios "Encrypted Control Communications (ECC)" en el servidor y en todos los clientes. Para ello se debe ejecutar desde la línea de comando:
# omnicc -encryption -enable
Para identificar si ECC está activo se debe ejecutar:
# omnicc -encryption -status -all

Más información:

HPSBMU03072 SSRT101644 rev.2 - HP Data Protector, Remote Execution of Arbitrary Code




Antonio Ropero
Twitter: @aropero

viernes, 25 de julio de 2014

ZDI informa de vulnerabilidad 0-day en QuickTime

Zero Day Initiative (ZDI) ha publicado un aviso por una vulnerabilidad 0-day en QuickTime que podría permitir a atacantes remotos ejecutar código arbitrario en los sistemas afectados.

Quick Time es un software desarrollado por Apple que permite la visualización de varios formatos de imágenes y la reproducción de múltiples formatos de audio y vídeo.

Según ZDI se requiere la interacción del usuario para explotar exitosamente esta  vulnerabilidad, debido a que debe visitar una página maliciosa o abrir un archivo específicamente creado. El fallo, con CVE-2014-4979, reside en el tratamiento de átomos "mvhd" que facilitaría al atacante crear una corrupción de memoria controlable; lo que permitiría la ejecución de código arbitrario en el contexto del usuario.

ZDI reportó a Apple este problema el 20 de diciembre del año pasado, la compañía confirmó la existencia de la vulnerabilidad el mismo día. El 30 de mayo, ZDI informó a Apple que iba a proceder a la publicación de la información, ya que el 18 de junio finalizaba el periodo de 180 días desde el anuncio a la compañía. De esta forma se cumple la política de divulgación de información de la propia ZDI. El mismo 30 de junio. Apple ha confirmado que la actualización está programada para septiembre de este año.

Más información:

(0Day) Apple QuickTime 'mvhd' Atom Heap Memory Corruption Remote Code Execution Vulnerability





Antonio Ropero
Twitter: @aropero


jueves, 24 de julio de 2014

Vulnerabilidad en la interfaz web de Nessus

Se ha anunciado la corrección de una vulnerabilidad en Nessus 5.2.3 a 5.2.7 que podría permitir a un atacante remoto obtener información sensible.

La vulnerabilidad, con CVE-2014-4980, reside en una manipulación de parámetros en la interfaz web que podría permitir a un atacante recuperar información sensible destinada a usuarios autenticados. Un ataque exitoso podría permitir recuperar los siguientes datos, lo que podría facilitar la realización de ataques más avanzados:

Plugin Set, Server uuid, Web Server Version, Nessus UI Version, Nessus Type, Notifications, MSP, Capabilities, Multi Scanner, Multi User, Tags, Reset Password, Report Diff, Report Email Config, Report Email, PCI Upload, Plugin Rules, Plugin Set, Idle Timeout, Scanner Boot time, Server Version, Feed, and Status.

Como prueba de concepto se pueden seguir los siguientes pasos:
Navegar a http://sitiovulnerable/server/properties?token= y comprobar la información devuelta.
Navegar a http://sitiovulnerable/server/properties?token=1 y observar el nuevo contenido ofrecido destinado a sesiones autenticadas.

Tenable ha publicado la interfaz Web UI 2.3.5, disponible para Nessus 5.x que corrige este problema. En torno al 26 de junio se distribuyó esta actualización para todos los clientes como parte del feed de plugins.

Más información:

CVE-2014-4980 Parameter Tampering in Nessus Web UI – Remote Information Disclosure

[R2] Tenable Nessus Web UI /server/properties token Parameter Remote Information Disclosure



Antonio Ropero
Twitter: @aropero

miércoles, 23 de julio de 2014

Mozilla publica Firefox 31 y corrige 14 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 31 de Firefox, junto con 11 boletines de seguridad destinados a solucionar 14 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Firefox 31 destaca por mejorar considerablemente la estabilidad del navegador, e incluir importantes mejorar en la personalización. Otras novedades incluyen un campo de búsqueda al abrir una nueva pestaña, un nuevo verificador de certificados, la reproducción de archivos .ogg y .pdf (en Windows) si no se especifica otra aplicación, control parental, y múltiples mejoras para desarrolladores.

Una importante mejora, relacionada con la seguridad, es el bloqueo automático de descargas de malware, para lo que usa la API de Google de navegación segura. De esta forma se comprueban de forma automática todos los archivos que se descarguen, para evitar la descarga de archivos maliciosos. Pero siempre que tratamos con un analizador de malware, sabemos que estamos expuestos a falsos positivos. Por ejemplo, se sabe que en los últimos días Chrome, el navegador de Google ha bloqueado las descargas de uTorrent, el popular programa de descargas torrent. En cualquier caso, a través de la configuración Firefox permite desactivar la opción de bloqueo de descargas por malware.

Por otra parte, se han publicado 11 boletines de seguridad (tres de ellos considerados críticos y cinco importantes) que corrigen 14 nuevas vulnerabilidades en los diferentes productos Mozilla.

MFSA 2014-56: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1547 y CVE-2014-1548).

MFSA 2014-57: Soluciona una vulnerabilidad de gravedad alta por un desbordamiento de búfer en la reproducción de Web Audio (CVE-2014-1549).

MFSA 2014-58: Boletín de carácter alto, corrige un problema de uso después de liberar en Web Audio (CVE-2014-1550).

MFSA 2014-59: Soluciona una vulnerabilidad considerada crítica por un uso después de liberar en el tratamiento de determinadas fuentes en DirectWrite (CVE-2014-1551).

MFSA 2014-60: Corrige una vulnerabilidad de gravedad de gravedad baja que podría permitir la falsificación de eventos de personalización de la barra de herramientas (CVE-2014-1561).

MFSA 2014-61: Boletín de carácter alto por un uso después de liberar en eventos FireOnStateChange (CVE-2014-1555).

MFSA 2014-62: Soluciona un problema de impacto crítico, por una caída explotable en WebGL al usar la librería JavaScript Cesium (CVE-2014-1556).

MFSA 2014-63: Destinado a corregir una vulnerabilidad de gravedad alta por un uso después de liberar al manipular certificados en una cache confiable (CVE-2014-1544).

MFSA 2014-64: Soluciona una vulnerabilidad de importancia alta por una caída en la librería skia al escalar imágenes de gran calidad (CVE-2014-1557).

MFSA 2014-65: Soluciona tres vulnerabilidades de impacto moderado al tratar certificados con codificación de caracteres no estándar (CVE-2014-1558, CVE-2014-1559 y CVE-2014-1560).

MFSA 2014-66: Destinado a corregir una vulnerabilidad de carácter moderado que puede permitir que la sandbox IFRAME acceda a otros contenidos (CVE-2014-1552).

La nueva versión está disponible a través del sitio oficial de descargas

Más información:

First offered to Release channel users on July 22, 2014

Support of Prefer:Safe http header for parental control

Block malware from downloaded files

Support of Prefer:Safe http header for parental control

MFSA 2014-66 IFRAME sandbox same-origin access through redirect

MFSA 2014-65 Certificate parsing broken by non-standard character encoding

MFSA 2014-64 Crash in Skia library when scaling high quality images

MFSA 2014-63 Use-after-free while when manipulating certificates in the trusted cache

MFSA 2014-62 Exploitable WebGL crash with Cesium JavaScript library

MFSA 2014-61 Use-after-free with FireOnStateChange event

MFSA 2014-60 Toolbar dialog customization event spoofing

MFSA 2014-59 Use-after-free in DirectWrite font handling

MFSA 2014-58 Use-after-free in Web Audio due to incorrect control message ordering

MFSA 2014-57 Buffer overflow during Web Audio buffering for playback

MFSA 2014-56 Miscellaneous memory safety hazards (rv:31.0 / rv:24.7)


Antonio Ropero
Twitter: @aropero




martes, 22 de julio de 2014

Boletines de seguridad para phpMyAdmin

Se han publicado nuevas versiones de phpMyAdmin que subsanan errores de cross-site scripting (XSS) y salto de restricciones, calificadas de no críticas al ser necesario estar autenticado para explotarlas.

PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.

Tres vulnerabilidades de Cross-site scripting. Con CVE-2014-4954, un fallo al mostrar la página de la estructura de la base de datos localizado en la función 'PMA_getHtmlForActionLinks' del fichero 'libraries/structure.lib.php'. Afecta a 4.2.x.

Con CVE-2014-4955, un fallo al mostrar la página de triggers localizado en la función 'PMA_TRI_getRowForList' del fichero 'libraries/rte/rte_list.lib.php'. Afecta a 4.0.x, 4.1.x y 4.2.x. Y conCVE-2014-4986, múltiples errores en la construcción de mensajes de confirmación AJAX en 'js/functions.js'. Afecta a 4.0.x, 4.1.x y 4.2.x.

Por último, un salto derestricciones (CVE-2014-4987) por un error en 'server_user_groups.php' que permitiría saltar restricciones de seguridad y leer la lista de usuarios MySQL Afecta a 4.1.x y 4.2.x.

Las vulnerabilidades se han solucionado en las versiones 4.0.10.1, 4.1.14.2 y 4.2.6.

Más información:

PMASA-2014-4

PMASA-2014-5

PMASA-2014-6

PMASA-2014-7


Fernando Castillo

lunes, 21 de julio de 2014

Diversas vulnerabilidades en Apache HTTP Server

Se ha publicado la versión 2.4.10 del servidor web Apache destinada a solucionar cinco fallos de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario o causar denegación de servicio.

Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

Se describen las vulnerabilidades a continuación:

  • CVE-2014-0117: Existe un error en el manejo de cabeceras HTTP Connection en el módulo 'mod_proxy' que podría provocar una denegación de servicio en un proxy inverso.
        
  • CVE-2014-3523: Denegación de servicio debido a un fallo en la función 'winnt_accept' del módulo 'WinNT MPM' que podría generar el agotamiento de la memoria disponible.
      
  • CVE-2014-0226: Existe un error de condición de carrera en el módulo 'mod_status' que podría generar un desbordamiento de memoria basado en 'Heap', lo que permitiría ejecutar código arbitrario.
         
  • CVE-2014-0118: Fallo en la función 'deflate_in_filter' del módulo 'mod_deflate' a la hora de gestionar la descompresión de peticiones al servidor, que podría generar un agotamiento de recursos y provocar una denegación de servicio.
         
  • CVE-2014-0231: Denegación de servicio en el módulo 'mod_cgid' al no tener un mecanismo de timeout para scripts CGI.


Más información:

Apache HTTP Server 2.4.10 Released


Fernando Castillo


domingo, 20 de julio de 2014

Boletín de seguridad para Drupal

El equipo de seguridad de Drupal ha solucionado, en las ramas Drupal Core 6 y 7, varias vulnerabilidades clasificadas como críticas o moderadamente críticas; que podrían permitir a un atacante causar denegación de servicio, salto de restricciones y XSS.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

A continuación se describen los fallos:
  • Denegación de servicio en el sistema base
    La característica multisitio determina dinámicamente que fichero de configuración usar basándose en la cabecera HTTP Host. Debido a un fallo de validación de dicha cabecera se podría causar una denegación de servicio. También afecta a los sitios web que no tengan activa esa característica.
       
  • Salto de restricciones de seguridad en el módulo FileExiste un error en el módulo File al no comprobar los permisos cuando se adjunta un fichero previamente subido, pudiendo así obtener acceso a ficheros no permitidos. Afecta solo a Drupal 7.
        
  • Cross-site scripting en la API de formulariosVulnerabilidad de tipo XSS en la API de formularios al no verificar correctamente elementos de tipo 'select'.
        
  • Cross-site scripting en el sistema ajaxVulnerabilidad de tipo XSS no persistente en formularios que contengan un campo de tipo 'file' y un campo de tipo texto con ajax habilitado. Afecta solo a Drupal 7.

Está pendiente la asignación de CVEs.

Se recomienda actualizar a las versiones Drupal core 6.32 o Drupal core 7.29.

Más información:

SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities



Fernando Castillo

sábado, 19 de julio de 2014

Vulnerabilidades en el cliente Cisco WebEx Meetings

Cisco ha informado alertado de dos vulnerabilidades detectadas en los clientes de reproducción presente en algunas suites de la familia WebEx, que permitirían la ejecución remota de código o la descarga arbitraria de archivos.

WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

Los dos problemas anunciados se refieren a la funcionalidad de transferencia o intercambio de archivos entre clientes. La primera vulnerabilidad tiene asignado el CVE-2014-3310, podría permitir a un atacante remoto sin autenticar acceder a archivos arbitrarios de cualquier otro usuario que ejecute el cliente Cisco WebEx Meetings.

Un segundo problema, con CVE-2014-3311, consiste en un desbordamiento de búfer debido a que el cliente no verifica adecuadamente los límites de los datos transmitidos. Podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario en sistema de otro usuario que ejecute el cliente Cisco WebEx Meetings.

Estas vulnerabilidades están consideradas por Cisco como de gravedad baja o media, por lo que no ofrece actualizaciones gratuitas para estos problemas. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.

Más información:

Cisco WebEx Meetings Client Arbitrary File Download Vulnerability

Cisco WebEx Meetings Client Heap-Based Buffer Overflow Vulnerability



Antonio Ropero

Twitter: @aropero

viernes, 18 de julio de 2014

Inyección SQL en el gestor de foros vBulletin

El equipo de desarrollo de vBulletin ha publicado un aviso en el que alerta de una vulnerabilidad de inyección SQL.

vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.

Según confirma vBulletin, el problema afecta a las versiones 5.0.4, 5.0.5, 5.1.0, 5.1.1 y 5.1.2. El grupo Romanian Security Team (RST) ha publicado un vídeo en el que se muestra la vulnerabilidad y confirma el reporte a vBulletin, que ofrecerán todos los detalles tras la publicación del parche.

                       https://www.youtube.com/watch?v=C84Z2yCGKAE

La vulnerabilidad podría permitir a un usuario malicioso realizar ataques de inyección SQL sobre la base de datos, con todas las implicaciones que ello puedo llevar. Es decir, extraer toda la información y contenido de la base de datos, e incluso a partir de ahí comprometer todo el sistema.

Por ejemplo podemos recordar el caso del ataque a los foros de Ubuntu, donde al atacante le bastó conseguir una cuenta de moderador de los foros para obtener las cuentas de todos los usuarios y los hashes de sus contraseñas.

vBulletin también ha confirmado que como parte de su mantenimiento todos los Cloud Sites, también han sido actualizados.

Más información:

Security Patch Release for vBulletin 5.0.4, 5.0.5, 5.1.0, 5.1.1, and 5.1.2

una-al-dia (31/07/2013) Crónica del ataque a los foros de Ubuntu

[RST] vBulletin 5.1.2 SQL Injection


Antonio Ropero
Twitter: @aropero

jueves, 17 de julio de 2014

Google anuncia Chrome 36 y corrige 26 vulnerabilidades

Google sigue imparable con Chrome, su ritmo de actualizaciones es realmente notable. A finales de mayo publicaba Chrome 35, y ahora acaba de anunciar la nueva versión 36 del navegador. Se publica la versión 36.0.1985.125 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 26 nuevas vulnerabilidades. También se ha publicado la versión 35.0.1985.122 para dispositivos Android.

Según el aviso de Google se han incluido mejoras en el diseño del modo Incógnito, en las notificaciones,  una nueva alerta tras la recuperación de una caída del navegador , la inclusión en Linux de Chrome App Launcher y numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 26 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 26 vulnerabilidades, solo se facilita información de una de ellas.

La vulnerabilidad descrita está relacionada con el salto de la política de mismo origen en SVG (CVE-2014-3160). También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3162).

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update

Chrome for Android Update

una-al-dia (24/05/2014) Google anuncia nueva versión de Chrome y corrige 23 vulnerabilidades


Antonio Ropero
Twitter: @aropero



miércoles, 16 de julio de 2014

Discutida vulnerabilidad en Directorio Activo puede permitir el cambio de contraseña

La compañía de seguridad Aorato ha anunciado una vulnerabilidad en Directorio Activo  que podría permitir a un atacante cambiar la contraseña de un usuario y acceder a todos sus recursos. El problema, tal y como ha confirmado Microsoft, no es nuevo. Es algo que ya se sabía desde hace tiempo y que incluso ya existen medidas para evitar esta debilidad. 

Una vez más sale a la luz un problema ya conocido como algo novedoso. La vulnerabilidad según describe la compañía se centra en el protocolo de autenticación NTLM. Un protocolo conocido desde hace años por su debilidad, así que realmente el anuncio aporta pocas novedades.

NTLM es un protocolo de autenticación basado en un intercambio desafío-respuesta, usado por Microsoft desde hace muchos años. Sirve para autenticar a un ordenador que quiere, por ejemplo, acceder a una unidad compartida de una red en otro sistema, sin que la contraseña viaje en texto claro.

Desde Windows 2000 Microsoft recomienda el uso de Kerberos como protocolo de autenticación. Sin embargo se mantiene la compatibilidad con NTLM "por aquello" de la compatibilidad hacia atrás.

Aorato ha publicado una prueba de concepto en forma de ataque basado en la técnica "pass-the-hass", ya conocida desde hace años (fue publicada originalmente por Paul Ashton en 1997 ). Primeramente emplea una herramienta de pruebas de penetración (como Mimikatz o Windows Credential Editor) para conseguir el hash NTLM.

Mientras que habitualmente un hash NTLM solo podía emplearse para autenticarse en el sistema del usuario o en la red como el usuario víctima. Aorato dice que su ataque puede emplearse para bajar el nivel de autenticación de Kerberos. Es decir, hace que Kerberos pase de usar cifrados más seguros a degradar la creación de tickets usando RC4-HMAC y, atención, usando el hash NTLM como clave crear un ticket válido y hacerse pasar por el usuario en el directorio activo.

Aunque la configuración recomendada obliga a usar Kerberos en vez de NTLM, un atacante puede forzar al cliente a autenticarse en el Directorio Activo mediante RC4-HMAC, un protocolo de cifrado más débil (que de nuevo se mantiene para permitir la compatibilidad con sistemas antiguos). Con ello Kerberos acepta el hash NTLM y emite un nuevo ticket de autenticación.

Las debilidades de NTLM ya estaban reconocidas en un documento de Microsoft de 2012 (y revisado en 2014). En mayo y en julio, la compañía publicó actualizaciones para mejorar la protección y la administración de credenciales que incluía mejoras sobre la gestión de contraseñas Kerberos y NTLM (entre otras). Recientemente también publicó un aviso sobre las medidas necesarias par evitar el cambio de contraseñas en Kerberos mediante claves RC4. Recomendando el uso de tarjetas inteligentes, desactivar el soporte de RC4 para Kerberos en todos los controladores de dominio o implementar dominios Windows Server 2012 R3 y configurar los usuarios como miembros del grupo de Usuarios Protegidos.

Con todo esto el problema parece diluirse y ser mucho menor de lo que en principio pueda parecer. Para empezar el atacante debe tener acceso a la máquina de la víctima para conseguir el hash NTLM. De esta forma, este tipo de ataques estaría pensado para emplearse en combinación con otras vulnerabilidades o como parte de un ataque más avanzado. Como medidas para detectar este tipo de ataques se recomienda la monitorización del restablecimiento de contraseñas o el seguimiento de actividades habituales de los usuarios para la detección de actividades extrañas.

Por último, y por añadir otro componente a la información, según ha revelado The Wall Street Journal, la firma de Redmond está actualmente en conversaciones con Aorato para adquirirla por en torno a 148 millones de euros. Según la publicación el acuerdo puede cerrarse en los próximos dos meses. 

Más información:

Active Directory Vulnerability Disclosure: Weak encryption enables attacker to change a victim’s password without being logged

Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft, Version 2

NT "Pass the Hash" with Modified SMB Client Vulnerability

Aviso de seguridad de Microsoft: Actualización para mejorar la administración y protección de credenciales: 13 de mayo de 2014

Preventing Kerberos change password using RC4 secret keys

Microsoft in Talks to Buy Israeli Cybersecurity Firm Aorato

una-al-dia (28/04/2008) Mitos y leyendas: Las contraseñas en Windows IV (Redes)

una-al-dia (01/12/2008) ¿Es cierto que Microsoft ha corregido ahora una vulnerabilidad de hace siete años? (I)

una-al-dia (01/12/2008) ¿Es cierto que Microsoft ha corregido ahora una vulnerabilidad de hace siete años? (y II)

una-al-dia (31/08/2009) Mitos y leyendas: El Directorio Activo (V) (Métodos para la restauración de datos replicados)

una-al-dia (26/07/2009) Mitos y leyendas: El Directorio Activo (IV) (La consola de recuperación)

una-al-dia (11/07/2009) Mitos y leyendas: El Directorio Activo (III) (Última configuración buena conocida)

una-al-dia (06/07/2009) Mitos y leyendas: El Directorio Activo (II) (Instalación segura)

una-al-dia (25/06/2009) Mitos y leyendas: El Directorio Activo (I) (Conceptos)


Antonio Ropero
Twitter: @aropero




martes, 15 de julio de 2014

Oracle corrige 113 vulnerabilidades en su actualización de seguridad de julio

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de julio. Contiene parches para 113 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL. 

Los fallos se dan en varios componentes de los productos:
  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 11g Release 2, versiones 11.2.0.3 y 11.2.0.4
  • Oracle Database 12c Release 1, versión 12.1.0.1
  • Oracle Fusion Middleware 11g Release 1, versión 11.1.1.7
  • Oracle Fusion Middleware 12c Release 1, versión 12.1.2.0
  • Oracle Glassfish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle Traffic Director, versión 11.1.1.7.0
  • Oracle iPlanet Web Proxy Server, versión 4.0.24
  • Oracle iPlanet Web Server, versiones 6.1 y 7.0
  • Oracle WebCenter Portal, versiones 11.1.1.7.0 y 11.1.1.8.0
  • Oracle WebLogic Server, versiones 10.0.2.0, 10.3.6.0, 12.1.1.0 y 12.1.2.0
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.2.4.0 y 12.1.2.0.0
  • Oracle BI Publisher, versión 11.1.1.7
  • Oracle Glassfish Communications Server, versión 2.0
  • Oracle HTTP Server, versiones 11.1.1.7.0 y 12.1.2.0
  • Oracle Hyperion Essbase, versiones 11.1.2.2 y 11.1.2.3
  • Oracle Hyperion BI+, versiones 11.1.2.2 y 11.1.2.3
  • Oracle Hyperion Enterprise Performance Management Architect, versiones 11.1.2.2 y 11.1.2.3
  • Oracle Hyperion Common Admin, versiones 11.1.2.2, 11.1.2.3
  • Oracle Hyperion Analytic Provider Services, versiones 11.1.2.2 y 11.1.2.3
  • Oracle E-Business Suite Release 11i, versión 11.5.10.2
  • Oracle E-Business Suite Release 12i, versiones 12.0.6, 12.1.3, 12.2.2 y 12.2.3
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3, 6.3.1, 6.3.2, 6.3.3 y 6.3.4
  • Oracle Agile Product Collaboration, versión 9.3.3
  • Oracle PeopleSoft Enterprise ELS Enterprise Learning Management, versiones 9.1 y 9.2
  • Oracle PeopleSoft Enterprise PT PeopleTools, versiones 8.52 y 8.53
  • Oracle PeopleSoft Enterprise FIN Install, versiones 9.1 y 9.2
  • Oracle PeopleSoft Enterprise SCM Purchasing, versiones 9.1 y 9.2
  • Oracle Siebel Travel & Transportation, versiones 8.1.1 y 8.2.2
  • Oracle Siebel UI Framework, versiones 8.1.1 y 8.2.2
  • Oracle Siebel Core - Server OM Frwks, versiones 8.1.1 y 8.2.2
  • Oracle Siebel Core - EAI, versiones 8.1.1 y 8.2.2
  • Oracle Communications Messaging Server, versión 7.0.5.30.0
  • Oracle Retail Back Office, versiones 8.0, 12.0, 12.0.9IN, 13.0, 13.1, 13.2, 13.3, 13.4 y 14.0
  • Oracle Retail Central Office, versiones 8.0, 12.0, 12.0.9IN, 13.0, 13.1, 13.2, 13.3, 13.4 y 14.0
  • Oracle Retail Returns Management, versiones 2.0, 13.1, 13.2, 13.3, 13.4 y 14.0
  • Oracle Java SE, versiones 5.0u65, 6u75, 7u60 y 8u5
  • Oracle JRockit, versiones R27.8.2 y R28.3.2
  • Oracle Solaris, versiones 8, 9, 10 y 11.1
  • Oracle Secure Global Desktop, versiones prior to 4.63, 4.71, 5.0 y 5.1
  • Oracle VM VirtualBox, versiones prior to 3.2.24, 4.0.26, 4.1.34, 4.2.26 y 4.3.14
  • Oracle Virtual Desktop Infrastructure (VDI), versiones anteriores a 3.5.1
  • Sun Ray Software, versiones anteriores a 5.4.3
  • Oracle MySQL Server, versiones 5.5 y 5.6
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
  • Cinco nuevas vulnerabilidades corregidas en Oracle Database Server, una de ellas explotable de forma remota sin autenticación. Afecta a los componentes XML Parser, Network Layer y RDBMS Core.
  • Otras 29 vulnerabilidades afectan a Oracle Fusion Middleware. 27 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle GlassFish Server, Oracle Traffic Director, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle WebCenter Portal, Oracle WebLogic Server, Oracle JDeveloper, BI Publisher, GlassFish Communications Server, Oracle Fusion Middleware y Oracle HTTP Server. 
       
  • Siete actualizaciones afectan a Oracle Hyperion, dos de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Hyperion Essbase, Hyperion BI+, Hyperion Common Admin, Hyperion Analytic Provider Services y Hyperion Enterprise Performance Management Architect.    
  • Esta actualización contiene una nueva actualización de seguridad para Oracle Enterprise Manager Grid Control por una vulnerabilidad no explotable remotamente sin autenticación.
        
  • Dentro de Oracle Applications, cinco parches son para Oracle E-Business Suite, tres parches son para Oracle Supply Chain Products Suite, cinco para productos Oracle PeopleSoft y seis para Oracle Siebel CRM.
        
  • Igualmente dentro de Oracle Industry Applications se incluye un nuevo parche para Oracle Communications Applications y tres nuevos parches para Oracle Retail Applications.
        
  • En lo referente a Oracle Java SE se incluyen 20 nuevos parches de seguridad. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.
        
  • Cuatro de las vulnerabilidades afectan a Solaris (versiones 8, 9, 10 y 11.1).
       
  • 15 nuevas actualizaciones afectan a Oracle Virtualization.
         
  • 10 nuevas vulnerabilidades afectan a MySQL Server, ninguna sería explotable de forma remota sin autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - July 2014

Más información:

Oracle Critical Patch Update Advisory - July 2014


Antonio Ropero
Twitter: @aropero