domingo, 31 de agosto de 2014

Nuevos contenidos en la Red Temática CriptoRed (agosto de 2014)

Breve resumen de las novedades producidas durante el mes de agosto de 2014 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

APARTADO 1. ESPECIALIZACIÓN CRIPTORED
Tercera edición del curso online de Especialización en Seguridad Informática y Ciberdefensa
Del 20 de octubre al 20 de noviembre de 2014
Módulo 1: Incidentes de ciberguerra, ciberespionaje y operaciones militares (2 horas)
Módulo 2: Ciberarmas: Malware dirigido, 0 days y RATs  (2 horas)
Módulo 3: OSINT y ataques dirigidos APTS (14 horas)
Módulo 4. Gestión de claves. Ataques y recomendaciones (4 horas)
Módulo 5. Detección y fuga de información (6 horas)
Módulo 6: Protección de comunicaciones en redes móviles. WIFI, Bluetooth, GSM, GPRS, 3G (8 horas)
Módulo 7: Riesgos de seguridad con dispositivos móviles. IOS, Android y BlackBerry (4 horas)

APARTADO 2. RELACION CRONOLOGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS
2.1. Septiembre 2 al 5 de 2014: XIII Reunión Española sobre Criptología y Seguridad de la Información RECSI 2014 (Alicante - España)
2.2. Septiembre 15 al 20 de 2014: Primeras Jornadas de Ciberseguridad Clickaseguro (Valdepeñas - España)
2.3. Octubre 2 al 4 de 2014: IV Congreso de Seguridad Navaja Negra (Albacete - España)
2.4. Octubre 13 al 15 de 2014: 9th International Conference on Critical Information Infrastructures Security CRITIS 2014 (Limassol - Chipre)
2.5. Octubre 31 a noviembre 1 de 2014: 11a edición congreso NoConName (Barcelona - España)
2.6. Noviembre 8 al 9 de 2014: Congreso Seguridad Sin Importancia SSI 2014 (Santiago de Compostela - España)
2.7. Febrero 9 al 11 de 2015: 1st International Conference on Information Systems Security and Privacy ICISSP 2015 (Angers - Francia)
Más información en:

APARTADO 3. TAMBIEN FUE NOTICIA EN LA RED TEMATICA EN EL MES DE AGOSTO DE 2014
3.1. La Agencia Española de Protección de Datos convoca los premios Protección de Datos 2014 (España)
3.2. Décima primera edición del congreso NoConName en Barcelona (España)
3.3. Novedades en los ponentes invitados al congreso Seguridad Sin Importancia SSI 2014 (España)
3.4. Convocatoria de los Trofeos de la Seguridad TIC de la revista Red Seguridad en su novena edición (España)
3.5. APTs: durmiendo con el enemigo, en nuevo seminario Respuestas SIC (España)
3.6. Tercer curso online de Especialización en Seguridad Informática y Ciberdefensa en Criptored (España)
Acceso al contenido de estas noticias:

APARTADO 4. OTROS DATOS DE INTERES Y ESTADISTICAS DE LA RED TEMATICA EN EL MES DE AGOSTO DE 2014
4.1. Número actual de miembros en la red: 977
4.2. Universidades y centros de investigación representados: 252 (23 países)
4.3. Estadísticas Criptored:
35.409 visitas, con 98.653 páginas solicitadas, 82,09 Gigabytes servidos en agosto de 2014
Documentos zip y pdf descargados en el mes de julio: 27.000
Visitas al web acumuladas en el año 2014: 331.451
Redes sociales Criptored: 281 seguidores en facebook y 1.951 seguidores en twitter
4.4. Estadísticas Intypedia:
6.770 reproducciones de sus lecciones en agosto de 2014
Reproducciones acumuladas: 426.945
4.5. Estadísticas Thoth:
503 reproducciones en agosto de 2014
Reproducciones acumuladas: 6.188
Redes sociales Intypedia Thoth: 1.665 seguidores en facebook y 969 seguidores en twitter
4.6. Estadísticas Crypt4you:
12.895 accesos en agosto de 2014
Accesos acumulados: 385.322
Redes sociales Crypt4you: 1.112 seguidores en facebook y 659 seguidores en twitter



Jorge Ramió Aguirre
Director de Criptored

sábado, 30 de agosto de 2014

Cross-site scripting en múltiples productos F5

La firma SEC Consult ha anunciado una vulnerabilidad de cross-site scripting en múltiples productos F5.

F5 Networks es una compañía americana, con sede en en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.

El problema, con CVE-2014-4023, reside en que las entradas pasadas a tmui/dashboard/echo.jsp de la utilidad de configuración ("Configuration Utility") no son debidamente limpiadas antes de ser mostradas. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los productos afectados pertenecen principalmente a la gama de productos BIG-IP, junto con el Enterprise Manager. Concretamente se han confirmado como vulnerables los productos y versiones siguientes:
BIG-IP LTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP AAM 11.4.0 a 11.5.1 
BIG-IP AFM 11.3.0 a 11.5.1
BIG-IP Analytics 11.0.0 a 11.5.1
BIG-IP APM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP ASM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Edge Gateway 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP GTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Link Controller 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP PEM 11.3.0 a 11.5.1
BIG-IP PSM 11.0.0 a 11.4.1 y 10.1.0 a 10.2.4
BIG-IP WebAccelerator 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP WOM 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
Enterprise Manager 3.0.0 a 3.1.1 y 2.1.0 a 2.3.0

F5 Networks ha publicado versiones actualizadas para la mayoría de los productos afectados.

Más información:

sol15532: XSS vulnerability in echo.jsp CVE-2014-4023

Reflected Cross-Site Scripting


Antonio Ropero
Twitter: @aropero

viernes, 29 de agosto de 2014

Denegación de servicio en Squid

Se ha solucionado una vulnerabilidad de denegación de servicio en SQUID versiones 3.x (hasta 3.2.12) y 3.4 (hasta 3.4.6). 

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

El problema reside en la validación incorrecta de las entradas en el tratamiento de peticiones de tipo Range. Un atacante remoto podría aprovechar este problema para provocar condiciones de denegación de servicio.

Los problemas están solucionados en las versiones Squid 3.3.13 y 3.4.7, o se puede también aplicar los parches disponibles desde:
Squid 3.0:
Squid 3.1:
Squid 3.2:
Squid 3.3:
Squid 3.4:

Como contramedida se pueden añadir en el archivo squid.conf y antes de cualquier línea http_access allow, las siguientes líneas de control de acceso:
 
 acl validRange req_header Range \
  ^bytes=([0-9]+\-[0-9]*|\-[0-9]+)(,([0-9]+\-[0-9]*|\-[0-9]+))*$
 
 acl validRange req_header Request-Range \
  ^bytes=([0-9]+\-[0-9]*|\-[0-9]+)(,([0-9]+\-[0-9]*|\-[0-9]+))*$
 
 http_access deny !validRange

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2014:2






Antonio Ropero
Twitter: @aropero


jueves, 28 de agosto de 2014

Estudio del Algoritmo de Generación de Dominios de Murofet, una variante de Zeus

Cada vez es más frecuente que los troyanos empleen un gran número de dominios para tratar de ocultar sus acciones: desde puntos de descarga, puntos de envió de instrucciones, etc. Para el malware es importante dificultar a los investigadores la localización de los sitios desde donde operan, de forma que cuanto más diversificados estén, mejor. Para generar un gran número de dominios de forma controlada se emplean los algoritmos de generación de dominios o Domain Generation Algorithm (DGA).

Para el atacante es importante controlar los dominios que se generan cada día para poder registrarlos previamente. De ahí la importancia que tiene para los investigadores conocer y controlar de que forma funcionan estos algoritmos. El Domain Generation Algorithm (DGA) fue usado por las variantes de Zeus como Murofet. Otras familias han usado DGAs como Conficker, BankPatch, etc. En el caso del Murofet (descrito como variante de Zeus), el DGA se usa para contactar con un sistema infectado y enviar  un ejecutable destinado a robar datos bancarios.

En esta entrada, analizamos el algoritmo DGA usado por un troyano de la familia Murofet (SHA256 99370d5162c2d9e165892af3bde7c6de8c44ec5945ed0a1ddb6b827b876931d0).

Cuando el malware se lanza empieza a generar los dominios. Para ilustrar el funcionamiento, tomamos el ejemplo de 3 dominios generados "whvqwshpulytfvx.biz", "rtqispmsdmrqcn.info", y "rtqispmsdmrqcn.org". Cuando los dominios resuelven a una dirección IP, el malware hace una petición HTTP al dominio generado. Aquí, el malware recoge un ejecutable desde el último ordenador, lo comprueba y lo ejecuta. Estos dominios fueron generados el 27 de Agosto 2014, y aquí la fecha toma especial importancia.



El algoritmo DGA se compone de dos partes. La primera parte va a inicializar el algoritmo mientras que la segunda parte va a construir el dominio. La fecha sirve para inicializar el algoritmo. En otras palabras, el algoritmo genera dominios diferentes de un día para otro. Cada día, Murofet genera 800 dominios diferentes. La ventaja principal de usar este sistema es la de aumentar la dificultad de recoger las infraestructuras con un sistema automatizado, de esta forma el proceso de obtener el ejecutable puede tardar horas, días, o meses. La otra ventaja que vemos es que a priori no se puede ver que el ordenador de la victima esta infectado por un troyano bancario, ya que la parte responsable de robar los datos bancarios todavía no fue descargada.

El algoritmo DGA genera un nuevo dominio a cada iteracion llamando la funcion "get_domain". El dominio se genera en base a dos parámetros que son la semilla (seed) y el contador (counter).
def DGA ():
        seed = GetSystemTime()
        for counter in range(0x320):
              domain = get_domain(seed[0:7], counter)
La semilla ("seed") resulta de la llamada a la función API de Windows "GetSystemTime" para inicializarse. La API de Windows lo guarda en una estructura SYSTEMTIME mientras que nosotros para más comodidad, lo guardamos en una lista que  llamamos "seed". Los dos primeros índices corresponden al año (2014 =  0x07*0x100 + 0xDE), el tercero al mes, el quinto al día de la semana, el séptimo al día, y el resto a los segundos y milisegundos. En la API de Windows, enero corresponde a 1, febrero a 2, etc. El domingo corresponde a 0, lunes a 1, etc. El día depende del mes y varia entre 1 y 28, 30 o 31. Abajo es el ejemplo de un seed:
Seed = [0xDE, 0x07, wMonth, 0x00, wDayOfWeek, 0x00, wDay, 0x00, 0x0F, 0x00, 0x31,
0x00, 0x33, 0x00, 0xD1, 0x03]
En la función "get_domain", la primera parte define una lista "data_to_hash" que esta inicializada con la semilla y el contador y luego se hace un XOR con los  bytes 0xB1, 0xA4, 0xD7, etc. Finalmente, se realiza el "hash" de esta lista con el algoritmo MD5 y el "hash" resultante se usa para generar el dominio.
def get_domain(seed, counter):
    //Primera parte
    data_to_hash = [0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0, 0x0]

    data_to_hash[0] = (seed[0] + 0x30) & 0xff
    data_to_hash[1] = seed[2] & 0xff
    data_to_hash[2] = seed[6] & 0xff
    data_to_hash[3] = 0x00
    data_to_hash[4] = counter & 0xfe
    data_to_hash[5] = (counter >> 8) & 0xff

    data_to_hash[0] = (data_to_hash[0] ^ 0xB1) & 0xff
    data_to_hash[1] = (data_to_hash[1] ^ 0xA4) & 0xff
    data_to_hash[2] = (data_to_hash[2] ^ 0xD7) & 0xff
    data_to_hash[3] = (data_to_hash[3] ^ 0xD6) & 0xff
    data_to_hash[4] = (data_to_hash[4] ^ 0xB1) & 0xff
    data_to_hash[5] = (data_to_hash[5] ^ 0xA4) & 0xff
    data_to_hash[6] = (data_to_hash[6] ^ 0xD7) & 0xff
    data_to_hash[7] = (data_to_hash[7] ^ 0xD6) & 0xff

    hash_md5 = hashlib.md5(array.array('B', data_to_hash).tostring()).hexdigest()
    bytes_array = array.array('B', hash_md5.decode("hex"))
En la segunda parte, el algoritmo itera todos los bytes del "hash" con los cuales construye el nombre del dominio. Pone el límite de 0x7a que corresponde a la ultima letra del alfabeto (z)  y añade un offset 0x 61 (letra a) para solo generar letras. La extensión del dominio esta basada sobre el valor del contador. El DGA distingue 5 casos: la extensión “.org”, “.com”, “.net”, “.info”, o “.biz”. Concatenando el nombre y la extensión, conseguimos el dominio.

//Segunda parte
   #Generate the name
    for byte in bytes_array:
        al = (byte & 0xF) + (byte>>4) + 0x61
        if al <= 0x7A:
            name = "%s%c" % (name, chr(al))

    #Generate the extension
    if (counter % 5 != 0):
        if (counter & 0x3 != 0):
            if (counter % 3 == 0):
                extension = ".org"
            else:
                if (counter & 0x1 == 0x1):
                    extension = ".com"
                else:
                    extension = ".net"
        else:
            extension = ".info"
    else:
        extension = ".biz"

    domain = "%s%s" % (name, extension)
    return domain
Ejecutando el script Python, sobre el año 2014 entero, hemos notado que un dominio (epmmxkoszqyown.org) aloja un servidor nginx/1.6.0 activo, pero no pudimos recoger ningún ejecutable. Es la maquina de una victima, es decir sin instrumentación del algoritmo, la victima podría haberse infectado el día 14 de Agosto 2014.

Más información:

Domain Name Generator for Murofet,

ZeuS Gets More Sophisticated Using P2P Techniques,

W32/Murofet-A,



Laurent Delosières



miércoles, 27 de agosto de 2014

Microsoft vuelve a publicar la actualización MS14-045

El pasado 15 de agosto Microsoft eliminó, y hasta recomendó la desinstalación del parche MS14-045 (publicado dentro del conjunto de boletines de seguridad de agosto). Ahora publica una nueva versión de esta actualización, con todos los problemas que motivaron su retirada ya corregidos.

Microsoft retiró la actualización MS14-045 del "Download Center" y recomendó a todos los usuarios desinstalar este parche. Todo indicaba que muchos usuarios habían sufrido la "pantalla azul de la muerte" tras la instalación de la actualización MS14-045.

Microsoft republica el boletín MS14-045 con lo que reemplaza la actualización 2982791 con la 2993651 para todas las versiones soportadas de Windows. De esta forma, según afirma Microsoft, esta nueva actualización soluciona todos los problemas que motivaron la retirada de la original.

Microsoft recomienda a todos los usuarios instalar la actualización 2993651, que reemplaza a la caducada 2982791. Igualmente recomienda a los usuarios que aun no hayan desinstalado la actualización original, hacerlo antes de aplicar la nueva.
  
Este boletín está calificado como "importante" y soluciona tres vulnerabilidades (CVE-2014-0318, CVE-2014-1819 y CVE-2014-4064) en los controladores modo kernel que podrían permitir a un usuario elevar sus privilegios en el sistema. Afecta a sistemas Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.

Más información:

una-al-dia (17/08/2014) Microsoft recomienda desinstalar la actualización MS14-045

MS14-045: Description of the security update for kernel-mode drivers: August 12, 2014

Microsoft Security Bulletin MS14-045 - Important
Vulnerabilities in Kernel-Mode Drivers Could Allow Elevation of Privilege (2984615)

una-al-dia (12/08/2014) Boletines de seguridad de Microsoft de agosto


Antonio Ropero

Twitter: @aropero

martes, 26 de agosto de 2014

Google publica Chrome 37 y corrige 50 vulnerabilidades

Google sigue imparable con Chrome, su ritmo de actualizaciones es realmente notable. A mediados de julio publicaba Chrome 36, y poco más de un mes después anuncia la nueva versión 37 del navegador. Se publica la versión 37.0.2062.94 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 50 nuevas vulnerabilidades.

Según el aviso de Google se ha mejorado el aspecto de las fuentes en Windows con el soporte de DirectWrite, se ha renovado el gestor de contraseñas, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 50 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 50 vulnerabilidades, solo se facilita información de nueve de ellas.

Una combinación de fallos en V8, IPC, sync, y extensiones podría permitir la ejecución remota de código fuera de la sandbox (CVE-2014-3176 y CVE-2014-3177). Vulnerabilidades por uso después de liberar memoria en SVG (CVE-2014-3168), en DOM (CVE-2014-3169) y en bindings (CVE-2014-3171).

Otras vulnerabilidades permiten la falsificación de cuadro de diálogo de permisos (CVE-2014-3170), unproblema relacionado con la depuración de extensiones (CVE-2014-3172) y fallos por memoria sin inicializar en WebGL (CVE-2014-3173) y en WebAudio (CVE-2014-3174).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3175). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 51.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update

una-al-dia (17/07/2014) Google anuncia lanza Chrome 36 y corrige 26 vulnerabilidades


Antonio Ropero
Twitter: @aropero

lunes, 25 de agosto de 2014

Diversas vulnerabilidades en HP Service Manager

Se han anunciado cuatro vulnerabilidades en HP Service Manager (versiones v7.21, v9.21, v9.30, v9.31, v9.32 y v9.33) que podrían permitir a atacantes remotos conseguir elevar sus privilegios, modificar datos, provocar denegaciones de servicio y construir ataques de Cross-Site Scripting y Cross-Site Request Forgery.

HP Service Manager es la solución de HP para la gestión de servicios de tecnologías de la información que permite implementar los procesos necesarios para cada área de la organización. Tiene la capacidad de manejar y automatizar los servicios y cumplir con el estándar ITILv3.

El primero de los problemas, reside en que el cliente Mobility Web Client y en SRC (Service Request Catalog) debido a que no filtran adecuadamente el código hrml introducido por el usuario antes de mostrarlo (CVE-2013-6222). Esto podría permitir a un usuario remoto construir ataques de cross-site scripting.

Otro problema se presenta en WebTier y podría permitir a un atacante remoto elevar sus privilegios (CVE-2014-2632). Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Service Manager Server (CVE-2014-2633). Una última vulnerabilidad podría permitir a un atacante remoto conseguir acceder al servidor Service Manager para modificar datos o provocar denegaciones de servicio (CVE-2014-2634).

HP ha publicado actualizaciones par alas distintas plaformas afectadas, disponibles desde:

Más información:

HPSBMU03079 rev.1 - HP Service Manager, Multiple Vulnerabilities



Antonio Ropero
Twitter: @aropero


domingo, 24 de agosto de 2014

Vulnerabilidades en OpenOffice

Se han anunciado dos vulnerabilidades en OpenOffice que podrían permitir la inyeccion de comandos y la exposición de datos.

OpenOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

La primera vulnerabilidad, identificada como CVE-2014-3524, podría permitir la inyección de comandos al cargar hojas de cálculo Calc específicamente creadas. Otro problema, con CVE-2014-3575, reside en la forma en que se genera la previsualización OLE de documentos específicamente creados. La exposición de datos es posible si un documento actualizado se distribuye a otros usuarios.

Estas vulnerabilidades están corregidas en OpenOffice 4.1.1. Se encuentra disponible para su descarga desde la página oficial.

Más información:

OpenOffice Calc Command Injection Vulnerability

OpenOffice Targeted Data Exposure Using Crafted OLE Objects



Antonio Ropero
Twitter: @aropero


sábado, 23 de agosto de 2014

Escalada de directorios en Cisco WebEx MeetMeNow

Ciscoha informado alertado de una vulnerabilidad detectada en servidores Cisco WebEx MeetMeNow, que permitiría obtener el contenido de cualquier archivo del sistema.

WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas. MeetMeNow forma parte de la familia de productos Cisco WebEx aunque actualmente se ha sustituido por Cisco WebEx Meetings.

El problema anunciado, con CVE-2014-3340, reside en un archivo PHP del servidor Cisco WebEx MeetMeNow que no filtra adecuadamente los datos introducidos por el usuario y permite acceder a cualquier archivo del sistema.

Cisco no ofrece actualización para este problema. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.

Más información:

Cisco WebEx MeetMeNow Server Directory Traversal Vulnerability




Antonio Ropero
Twitter: @aropero

viernes, 22 de agosto de 2014

Un atacante remoto puede borrar todos los datos del reloj Pebble

Se ha detectado una vulnerabilidad que puede permitir a un atacante remoto borrar todos los datos del "smartwatch" (reloj inteligente) Pebble.

Pebble Smartwatch, desarrollado el año pasado por Pebble Technology Corporation, es un smartwatch que puede conectarse con un móvil iOS o Android y interactuar con el reloj como si se operara con el móvil. De esta forma se pueden recibir y realizar llamadas, sms, mensajes de Factbook, whatsapp, etc. Su lanzamiento se realizó a través de una campaña de financiación masiva ("crowdfunding") en Kickstarter. Apenas dos horas después lanzar la campaña ya había recaudado más de 100.000 dólares y sumó un total de más de 10 millones de dólares entre 70.000 suscriptores. El año pasado vendió más de 400.00 unidades.

El problema, anunciado por Hemanth Joseph, afecta a todos los Pebble (probado con la última versión del firmware v2.4.1) y puede ser explotado de forma remota por cualquiera sin conocimiento técnico y puede permitir el borrado de todos los datos almacenados en el reloj, configuración, aplicaciones, mensajes, notas, etc.

Para cada mensaje que recibe el reloj de Whatsapp, Facebook Messenger o aplicaciones similares Pebble emite una alerta con el mensaje completo mostrado en la pantalla. El problema reside en que no existe un límite para mostrar estos mensajes. Incluso si el mensaje es muy largo (más de 100 palabras) Pebble mostrará el mensaje completo en la pantalla, evidentemente demasiado pequeña para mostrar un mensaje de gran tamaño. Tras esto, es fácil pensar en un bloqueo del reloj se se le obliga a mostrar un gran número de mensajes seguidos.

Con un envío masivo de 1.500 mensajes de Whatsapp en 5 segundos la pantalla se llena de líneas,  tras lo que el dispositivo se apaga automáticamente y sorprendentemente procede a restaurar los datos de fábrica ("Factory Reset"). Sin ninguna interacción por el usuario. Evidentemente una vez que se restauran los datos de fábrica se pierde toda la información que se mantenía en el reloj, incluyendo datos, aplicaciones, configuraciones, etc.

El mismo efecto se consigue bajando el número de mensajes a 300 en 5 segundos. Cualquier persona con el Facebook, el número de móvil, correo o cualquier datos similar podrá borrar todos los datos del reloj con este sencillo ataque. Sin pensar que el ataque repetido con una determinada frecuencia puede convertir el reloj en algo totalmente inútil.

Esta vulnerabilidad da una muestra de la importancia de la seguridad en los dispositivos "wearables" (relojes, pulseras, gafas, ropa y otros objetos inteligentes… ). Sin duda según se popularicen cada vez aparecerán más vulnerabilidades nuevas y incluso nuevos tipos de problemas, que abrirán un nuevo camino a la investigación y desarrollo.

Más información:

DoSing Pebble SmartWatch And Thus Deleting All Data Remotely

Pebble sold 400,000 smartwatches last year, on track to double revenues in 2014

Pebble




Antonio Ropero
Twitter: @aropero


jueves, 21 de agosto de 2014

Elevación de privilegios en productos ESET y Panda

Se han anunciado dos vulnerabilidades de elevación de privilegios en los productos de seguridad ESET Smart Security y ESET Endpoint Security para Windows XP (versiones 5 a 7) y en Panda Security 2014.

El primero de los problemas, con CVE-2014-4973, afecta a los productos ESET Smart Security y ESET Endpoint Security para Windows XP (versiones 5 a 7) y concretamente reside en el controlador modo kernel EpFwNdis.sys (ESET Personal Firewall NDIS) Build 1183 (20140214) y anteriores. Puede permitir a un usuario sin privilegios ejecutar código como SYSTEM mediante una llamada IOCTL específicamente creada. Se ha solucionado en las versiones 6 y 7 (Firewall Module Build 1212 (20140609)).

Por otra parte, los productos Panda 2014 también se ven afectados por una escalada de privilegios en el controlador modo kernel PavTPK.sys. Una vulnerabilidad (CVE-2014-5307) de desbordamiento de búfer puede permitir a un atacante ejecutar código como system a través de una petición IOCTL. Se ha publicado el Hotfix hft131306s24_r1 que soluciona la vulnerabilidad.

Más información:

Privilege Escalation In ESET Products For Windows

Privilege Escalation in Panda Security




Antonio Ropero

Twitter: @aropero

miércoles, 20 de agosto de 2014

Múltiples vulnerabilidades en IBM WebSphere Application Server e IBM HTTP Server

Se han anunciado múltiples vulnerabilidades en IBM WebSphere Application Server (versiones 7, 8, 8.5 y 8.5.5) y en IBM http Server que podrían permitir a un atacante remoto obtener información sensible, evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Existen tres vulnerabilidades de fuga de información en WebSphere Application Server por páginas de error al cargar URLs específicamente construidas (CVE-2014-3022), por el tratamiento inadecuado de respuestas SOAP (CVE-2014-0965) y por fallos al restringir el acceso a recursos localizados dentro de la aplicación web (CVE-2014-3083).

Por otra parte el servidor de aplicaciones de IBM también se ve afectado por un problema de evasión de restricciones de seguridad (CVE-2014-3070) por una creación de cuenta inadecuada con el Virtual Member Manager SPI Admin Task addFileRegistryAccount. Y una denegación de servicio en WebSphere Application Server en Windows con Load Balancer para IPv4 Dispatcher (CVE-2014-4764).

Otras dos vulnerabilidades afectan a IBM HTTP Server, una denegación de servicio al registrar determinadas cookies en el registro (CVE-2014-0098) y otro problema en el tratamiento de determinados mensajes SSL que podrían provocar un incremento del consumo de CPU (CVE-2014-0963).  

Dada la diversidad de versiones y productos afectados se recomienda consultar el boletín de IBM en:

Más información:

Security Bulletin: Potential Security Vulnerabilities fixed in IBM WebSphere Application Server 8.5.5.3
  


Antonio Ropero

Twitter: @aropero

martes, 19 de agosto de 2014

Denegación de servicio en Monkey Web Server

Se ha anunciado una vulnerabilidad de denegación de servicio en el servidor web Monkey Web Server versiones anteriores a 1.5.3.

Monkey Web Server es, como su nombre indica, un servidor web muy ligero y rápido y que además es software libre. Es muy útil y usado en pequeños sistemas como RaspberryPi o incluso móviles con software modificado, ya soporta procesadores ARM, x86 y x64.

Monkey Web Server cuenta con una tabla de descriptores de fichero (FDT) que es utilizada para compartir descriptores de fichero abiertos entre varios hilos y diferentes virtual hosts. Esto hace que la memoria usada para estos descriptores, en promedio, sea menor. En la configuración por defecto esta característica está activada.

Al realizar una petición que genere algún error personalizado, se abre el correspondiente archivo de disco para dicho error. Si un atacante solicita muchas páginas de error distintas, se abrirán un gran número de descriptores de fichero en la tabla FDT, hasta que el proceso alcance el límite de descriptores de fichero impuesto por el sistema operativo (que viene definido por el parámetro del sistema 'ulimit'). A partir de entonces, cualquier petición que requiera la apertura de un archivo quedará bloqueada y generará un error 403 hasta que el servidor web se reinicie.

La vulnerabilidad tiene asignado el CVE-2014-5336 y queda solucionada en la versión 1.5.3.

Más información:

Monkey HTTP Server v1.5.3 - Release notes:

GitHub - Request: new request session flag to mark those files opened
by FDT:



Antonio Sánchez

lunes, 18 de agosto de 2014

Vulnerabilidad en Ruby on Rails

Se han publicado las versiones 4.0.9 y 4.1.5 de Ruby on Rails, que corrigen una vulnerabilidad que podría permitir a atacantes remotos asignar atributos arbitrarios en modelos.

Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).

La vulnerabilidad reside en la funcionalidad create_with de Active Record, implementada incorrectamente evita completamente la protección de parámetros. Las aplicaciones que pasen valores controlados por el usuario a create_with podrían permitir a un atacante asignar atributos arbitrarios en modelos.

Más información:

Rails 4.0.9 and 4.1.5 have been released!



Antonio Ropero
Twitter: @aropero

domingo, 17 de agosto de 2014

Microsoft recomienda desinstalar la actualización MS14-045

Microsoft ha eliminado uno de los últimos parches publicados dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes (del que ya efectuamos un resumen). En concreto parece ser que muchos usuarios han sufrido la "pantalla azul de la muerte" tras la instalación de la actualización MS14-045.

Microsoft ha retirado la actualización MS14-045 del "Download Center" y recomienda a todos los usuarios desinstalar este parche. Este boletín estaba calificado como "importante" y solucionaba tres vulnerabilidades en los controladores modo kernel que podrían permitir a un usuario elevar sus privilegios en el sistema. Afectaba a sistemas Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.

Todo indica que la "pantalla azul de la muerte" se debe a un tratamiento incorrecto de las fuentes de Windows, y como el problema se produce durante el arranque se puede entrar en un bucle de reinicios. El código de error que ofrece es:
"0x50 PAGE_FAULT_IN_NONPAGED_AREA".

El error solo se presenta en circunstancias muy específicas, es necesario tener una o más fuentes OTF (OpenType Font) instaladas en directorios no estándar, que se graban en el registro.

Microsoft ha publicado una contramedida disponible en

Más información:

MS14-045: Description of the security update for kernel-mode drivers: August 12, 2014
Microsoft Security Bulletin MS14-045 - Important
Vulnerabilities in Kernel-Mode Drivers Could Allow Elevation of Privilege (2984615)

una-al-dia (12/08/2014) Boletines de seguridad de Microsoft de agosto



Antonio Ropero
Twitter: @aropero

sábado, 16 de agosto de 2014

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS14-051) de una actualización acumulativa para Internet Explorer versiones de la 6 a 11, que además solventa 26 nuevas vulnerabilidades.

Finalmente, al contrario de lo que se había adelantado y ante la presión de muchos usuarios, Microsoft ha decidido posponer el bloqueo de Java en el navegador. Aunque la función y las Políticas de grupo relacionadas están ya disponibles, Microsoft ha confirmado que esperará al próximo martes de actualizaciones (el 9 de septiembre) para bloquear los controles ActiveX anticuados.

Por el momento, los usuarios pueden utilizar la nueva función de registro para evaluar los controles ActiveX en su entorno e implementar Políticas de Grupo para bloquear los ActiveX, desactivar el bloqueo en dominios concretos o desactivar la característica completamente en función de sus necesidades.

De las 26 vulnerabilidades corregidas, 24 residen en un acceso incorrecto de objetos en memoria por parte del navegador. Estos problemas podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario.

Por otra parte, las dos vulnerabilidades restantes podrían permitir la elevación de privilegios en Internet Explorer, debido a que el navegador no valida adecuadamente los permisos en determinadas situaciones, lo que podría permitir que un script se ejecute con privilegios elevados.

Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:

Más información:

Boletín de seguridad de Microsoft MS14-051 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (2976627)

Internet Explorer begins blocking out-of-date ActiveX controls

Out-of-date ActiveX Control Blocking


Antonio Ropero
Twitter: @aropero