martes, 31 de marzo de 2015

Mozilla publica Firefox 37 y corrige 17 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 37 de Firefox, junto con 13 boletines de seguridad destinados a solucionar 17 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Hace poco más de un mes que Mozilla publicó la versión 36 de su navegador. Ahora acaba de publicar una nueva versión que, entre otras novedades y mejoras, añade protección contra la suplantación de sitios a través OneCRL, reporte de errores de certificados SSL y se desactivan las versiones inseguras de TLS.

Por otra parte, se han publicado 13 boletines de seguridad (del MSFA-2015-30 al MSFA-2015-42). Cuatro de ellos están considerados críticos, dos importantes, cinco moderados y dos de gravedad baja. En total se corrigen 17 nuevas vulnerabilidades en los diferentes productos Mozilla.

Las vulnerabilidades críticas residen en dos errores de confusión de tipos que darían lugar a un uso de memoria después de liberarla  (CVE-2015-0803 y CVE-2015-0804). Otros dos problemas de corrupción de memoria durante la generación de gráficos 2D por problemas en Off Main Thread Compositing. Un uso de memoria después de liberarla en el tratamiento de determinados archivos MP3 con el plugin Fluendo MP3 para GStreamer en Linux (CVE-2015-0813) y diversos problemas de corrupción de memoria en el motor del navegador (CVE-2015-0814 y CVE-2015-0815).

Otras vulnerabilidades corregidas residen en un salto de la política de mismo origen, una falsificación del cursor con Flash ý contenido html (solo afecta en plataformas OS X), una lectura fuera de límites en la librería de gestión de color QCMS, documentos cargados a través de "resource:" pueden cargar páginas privilegiadas o posibles ataques de envenenamiento DNS en Android por una debilidad en el generador de números pseudoaleatorios

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

Firefox Notes
Version 37.0

Mozilla Foundation Security Advisories

una-al-dia (24/02/2015) Mozilla publica Firefox 36 y corrige 18 nuevas vulnerabilidades




Antonio Ropero
Twitter: @aropero


lunes, 30 de marzo de 2015

Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa dos nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio o elevar sus privilegios en el sistema.

El subsistema Infiniband del kernel de Linux no limpia adecuadamente los parámetros de entrada. Un usuario local con acceso a /dev/infiniband/uverbsX podrá provocar una denegación de servicio o elevar sus privilegios en el sistema (CVE-2014-8159).

Por otra parte existe una vulnerabilidad de uso después de liberar memoria en la implementación SCTP del kernel de Linux en el tratamiento del recuento de referencias a la clave de autenticación durante colisiones INIT. Un atacante remoto podría provocar una denegación de servicio o elevar sus privilegios en el sistema (CVE-2015-1421).

Además se han solucionado otros fallos de menor importancia y se han incluido algunas mejoras. Ésta actualización está disponible desde Red Hat Network.

Más información:

Important: kernel security and bug fix update


Antonio Ropero

Twitter: @aropero

domingo, 29 de marzo de 2015

Cuarta edición del curso online de Especialización en Seguridad Informática para la Ciberdefensa en Criptored

Del 4 de mayo al 4 de junio de 2015, Criptored con la colaboración de la empresa Eventos Creativos, impartirán vía WebEx la cuarta edición del curso Especialización en Seguridad Informática para la Ciberdefensa, bajo la dirección los doctores Alfonso Muñoz y Jorge Ramió, editores de Criptored. En esta edición Javier Rascón, de Hispasec, participará como profesor en uno de los módulos.

El curso está orientado a Responsables de seguridad, Cuerpos y fuerzas de seguridad del Estado, Agencias militares, Ingenieros de sistemas o similar y Estudiantes de tecnologías de la información.

Con una duración de 40 horas y un formato consistente en 5 módulos con 20 lecciones de dos horas cada una, impartidas los días lunes, martes, miércoles y jueves de 16:00 a 18:00 horas (hora española), los profesores invitados a esta cuarta edición son David Barroso, Chema Alonso, Alejandro Ramos, José Luis Verdeguer, Javier Rascón, Sergio de los Santos, Pedro Sánchez, Antonio Guzmán, Alfonso Muñoz, Raúl Siles, David Pérez, José Picó y Pablo González.

Los módulos del curso son:

Módulo 1: Ciberguerra y Ciberarmas: Malware dirigido, 0 days y RATs. (2 horas)

  •  Profesor D. David Barroso (11Paths)

Módulo 2: Atacando infraestructuras. OSINT y explotación (12 horas)

  • Técnicas y herramientas OSINT (2 horas). Profesor Dr. Chema Alonso (11Paths)
  • Intrusión en redes y sistemas. Metasploit Framework (4 horas). Profesor D. Alejandro Ramos (SecurityBydefault)
  • Vulneración de mecanismos de identificación y autenticación (2 horas). Profesor D. Alejandro Ramos (SecurityBydefault)
  • Intrusión en redes VoIP (2 horas). Profesor D. José Luis Verdeguer (ZoonSuite)
  • Evasión de medidas de protección en Windows (2 horas). Profesor D. Javier Rascón (Hispasec)

Módulo 3. Protección de infraestructuras. Contramedidas (12 horas)

  • Fortificación de sistemas Windows. Contramedidas (2 horas). Profesor D. Sergio de los Santos (11Paths)
  • Análisis forense en sistemas Windows. Detectando intrusiones (6 horas). Profesor D. Pedro Sánchez (conexioninversa)
  • Protección de infraestructuras críticas. Sistemas SCADA (2 horas). Profesor Dr. Antonio Guzmán (11Paths)
  • Protección de datos y comunicaciones. Criptografía/Esteganografía (2 horas). Profesor Dr. Alfonso Muñoz (Criptored)

Módulo 4: Protección de comunicaciones en redes móviles (8 horas)
* Protección de comunicaciones en redes móviles: Bluetooth y Wifi (6 horas). Profesor D. Raúl Siles (Dinosec)
* Protección de comunicaciones en redes móviles: GSM, GPRS, 3G (2 horas). Profesor D. David Pérez y D. José Picó (Layakk)

Módulo 5: Seguridad en aplicaciones móviles (6 horas)

  • Riesgos de seguridad con dispositivos móviles: IOS y Android (4 horas). Profesor D. Pablo González (FluProject)
  • Malware en aplicaciones Android. Peligros y contramedidas (2 horas). Profesor D. Sergio de los Santos (11Paths)

La matrícula incluye en el precio 4 libros de la editorial 0xWORD como documentación y material de apoyo al contratar un curso completo. Gastos de envío en península incluidos. Gastos de envío para fuera de España (véase los descuentos en función de su proveedor local). Para inscripciones en grupo se entregará un único pack, no uno por persona.

1. Protección de comunicaciones digitales. De la cifra clásica al algoritmo RSA. Alfonso Muñoz y Jorge Ramió.
2. Máxima Seguridad en Windows: Secretos técnicos. Sergio de los Santos.
3. Pentesting con Kali. Pablo González, Germán Sánchez y José Miguel Soriano.
4. PowerShell: La navaja suiza de los administradores de sistemas. Pablo González y Rubén Alonso.

PRECIOS (*)

Importante: exento de IVA para residentes en Canarias o Latinoamérica
Curso completo en formato individual: 680 € + 21% IVA
Curso completo en formato grupo (máximo 5 asistentes): 980 € + 21% IVA
Coste por módulos en formato individual

  • Curso por módulos de 2 horas 50 € + 21% de IVA
  • Curso por módulos de 4 horas 100 € + 21% de IVA
  • Curso por módulos de 6 horas 150 € + 21% de IVA
  • Curso por módulos de 8 horas 200 € + 21% IVA
  • Curso por módulos de 12 horas 300 € + 21% IVA
Coste por módulos en formato grupo (máximo 5 personas)

  • Curso por módulos de 2 horas 75 € + 21% de IVA
  • Curso por módulos de 4 horas 150 € + 21% de IVA
  • Curso por módulos de 6 horas 250 € + 21% de IVA
  • Curso por módulos de 8 horas 300 € + 21% de IVA
  • Curso por módulos de 12 horas 450 € + 21% IVA

(*) Precios detallados sin contemplar gastos derivados de las transferencias bancarias o transacciones por PayPal o tarjeta de crédito que irán por cuenta del alumno. Todos los gastos ocasionados y derivados del abono del curso irán a cargo del solicitante, en ningún caso la empresa abonará dichos gastos, de ser cargados en la cuenta bancaria de Eventos Creativos la transferencia será devuelta y la reserva del curso cancelada.

INSCRIPCIONES Y MÁS INFORMACIÓN EN EVENTOS CREATIVOS:

Sitio web:

Cuarta edición curso Ciberdefensa:

Dr. Jorge Ramió Aguirre

sábado, 28 de marzo de 2015

Cisco soluciona 16 vulnerabilidades en IOS e IOS-XE

Cisco ha publicado su paquete bianual de alertas de seguridad para el software Cisco IOS. En esta ocasión la firma distribuye siete avisos que solucionan un total de 16 vulnerabilidades en sus routers y switches.

El primero de los boletines publicados, y posiblemente el de mayor gravedad, hace referencia a tres vulnerabilidades en la característica Autonomic Networking Infrastructure (ANI) del software Cisco IOS e IOS XE. Los problemas podrían permitir, a un atacante remoto sin autenticar, provocar condiciones de denegación de servicio o conseguir un control limitado del dispositivo.
Afecta a los siguientes dispositivos Cisco IOS con soporte ANI:
Cisco Aggregation Services Routers Series ASR 901, 901S y 903
Cisco Ethernet Access Switches Series ME 3600, 3600X y 3800X

Otra alerta reside en una vulnerabilidad en el subsistema de rutado y reenvío virtual (VRF o Virtual Routing and Forwarding) del software Cisco IOS, que podría permitir a atacantes remotos sin autenticar provocar condiciones de denegación de servicio. Se ven afectados los dispositivos con determinadas configuraciones cuando uno o más interfaces físicos están asignados a un interfaz VRF.

Una vulnerabilidad en el módulo de entrada TCP de Cisco IOS e IOS-XE podría permitir a atacantes remotos sin autenticar provocar una fuga de memoria o un reinicio del dispositivo afectado. Afecta a dispositivos con Cisco IOS o Cisco IOS XE.

Dos vulnerabilidades residen en el subsistema de intercambio de llaves IKE (Internet Key Exchange o IKE) versión 2. Afecta a dispositivos con Cisco IOS o Cisco IOS XE con IKEv1 o ISAKMP activo. Tres vulnerabilidades residen en la implementación en Cisco IOS de la característica Common Industrial Protocol (CIP) al tratar paquetes CIP específicamente manipulados. Afecta al software Cisco IOS si CIP está habilitado en una interfaz.

Por último, cinco vulnerabilidades diferentes afectan al software Cisco IOS XE en routers Cisco ASR 1000 Series, Cisco 4400 Series y Cisco Cloud Services Routers (CSR) 1000v Series. Los problemas residen en la funcionalidad high-speed logging (HSL), en el componente AppNav, en el análisis IPv6, en Layer 4 Redirect (L4R) y en el tratamiento de Common Flow Table (CFT).  

Los CVEs asignados a las vulnerabilidades van del CVE-2015-0635 al CVE-2015-0650. Todas las vulnerabilidades podrían permitir a atacantes remotos sin autenticar provocar condiciones de denegación de servicio.

Al igual que otros fabricantes Cisco realiza publicaciones conjuntas de las actualizaciones de sus productos Cisco IOS de forma periódica. Estas se realizan el cuarto miércoles de los meses de abril y septiembre de cada año.

Cisco ha publicado actualizaciones gratuitas para corregir todas las vulnerabilidades.

Más información:

Cisco Event Response: March 2015 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication

Multiple Vulnerabilities in Cisco IOS and IOS XE Software Autonomic Networking Infrastructure

Cisco IOS Software Virtual Routing and Forwarding ICMP Queue Wedge Vulnerability

Cisco IOS Software and IOS XE Software Internet Key Exchange Version 2 Denial of Service Vulnerabilities

Multiple Vulnerabilities in Cisco IOS Software Common Industrial Protocol

Cisco IOS and IOS XE Software mDNS Gateway Denial of Service Vulnerability

Cisco IOS Software and IOS XE Software TCP Packet Memory Leak Vulnerability

Multiple Vulnerabilities in Cisco IOS XE Software for Cisco ASR 1000 Series, Cisco ISR 4400 Series, and Cisco Cloud Services 1000v Series Routers



Antonio Ropero
Twitter: @aropero



viernes, 27 de marzo de 2015

Flashback

Según un reciente informe muchas aplicaciones Flex siguen siendo vulnerables a una vulnerabilidad de hace tres años, independientemente del nivel de actualización del reproductor Flash.

Flex es un SDK (software development kit) para el desarrollo de aplicaciones RIA (Rich Internet Application o "aplicaciones de Internet enriquecidas") basadas en la plataforma Adobe Flash. Flex, aunque en la actualidad es un proyecto Open Source de Apache (Apache Flex), hasta el 2011 era un producto de Adobe (Adobe Flex), que fue donado a la Apache Software Foundation.

Los investigadores Luca Carettoni (de LinkedIn) y Mauro Gentile (de Minded Security) han descubierto que muchas aplicaciones Flex publicadas en Internet en la actualidad siguen siendo vulnerables a una vulnerabilidad del 2011. El problema (con CVE-2011-2461), fue parcheado por Adobe en su momento, a través de la actualización apsb11-25 que también fue comentada por Hispasec en una-al-dia. El fallo podría permitir a un atacante evitar la política de mismo origen y realizar ataques de Cross-Site Request Forgery.

Aunque el fallo fue corregido en su momento por Adobe, no bastaba con actualizar Flex. Tal y como explicaba el aviso de Adobe, todos los archivos compilados con alguna versión vulnerable de Flex necesitaban ser recompilados (o parcheados) con una versión actualizada para evitar la vulnerabilidad. Si el archivo SWF está compilado con una versión vulnerable de Flex SDK, un atacante podrá utilizar esta vulnerabilidad ante los últimos navegadores web y Flash actualizados.

Durante los meses de octubre y diciembre de 2014, los investigadores analizaron múltiples dominios buscando SWFs vulnerables. Sorprendentemente encontraron que muchos aun alojan archivos SWF afectados, incluyendo sitios como Google, Yahoo! o incluso la propia Adobe.

Luca (@_ikki) y Mauro (@sneak_) han desarrollado una aplicación Java, ParrotNG, que permite identificar los archivos SWF vulnerables. La herramienta se encuentra disponible desde
https://github.com/ikkisoft/ParrotNG/releases

Los investigadores advierten que aun hay muchos sitios que alojan aplicaciones SWF vulnerables y recomiendan recompilarlas con la última versión de Apache Flex SDK, parchearlas con la utilidad oficial de Adobe (disponible aquí) o directamente eliminarlas si no se usan.

Más información:

The old is new, again. CVE-2011-2461 is back!

Presentación "The old is new, again. CVE-2011-2461 is back!"

una-al-dia (30/11/2011) Actualización de seguridad para Adobe Flex SDK
http://unaaldia.hispasec.com/2011/11/actualizacion-de-seguridad-para-adobe.html



Antonio Ropero
Twitter: @aropero



jueves, 26 de marzo de 2015

La mitad de los dispositivos Android afectados por una vulnerabilidad

Investigadores de Palo Alto Networks han publicado una alerta en la que informan de una vulnerabilidad en Android que podría permitir la instalación de aplicaciones maliciosas sin conocimiento del usuario.

La vulnerabilidad se ha bautizado como "Android Installer Hijacking" (Secuestro del Instalador Android). Básicamente el problema reside en que durante el proceso de instalación un atacante puede modificar o reemplazar una aplicación legítima con malware sin el conocimiento del usuario. Esto solo afecta a aplicaciones descargadas desde repositorios alternativos o cualquier otra fuente diferente a "Google Play". La aplicación maliciosa podría conseguir acceso total al dispositivo comprometido.

El problema afecta a todos los sistemas Android anteriores a la versión 4.3 y a algunas distribuciones de Android 4.3, un parque que se estima en torno a un 49,5 por ciento de los dispositivos Android actuales.

Como se sabe, Android soporta la posibilidad de instalar aplicaciones descargadas desde la propia tienda de Google o bien desde cualquier otra fuente alternativa. Google Play descarga los paquetes de instalación Android (APKs) a un espacio protegido del sistema de archivos. Sin embargo al descargar desde terceras partes (repositorios alternativos o cualquier otra fuente) los archivos APK se almacenan en una carpeta no protegida (p.ej. /sdcard/) y desde esa localización se instalan directamente. Para completar la instalación siempre se emplea una aplicación del sistema llamada "PackageInstaller".

El problema reside en una vulnerabilidad de "Time of Check to Time of Use" (TOCTOU) en el "PackageInstaller". Este tipo de vulnerabilidades se da cuando se produce un cambio entre el momento en que se realiza una comprobación ("Time of Check") y el momento en que se usa esa comprobación ("Time of Use"). Esto se traduce en que "PackageInstaller" no verifica el archivo APK entre el momento en que se muestran al usuario los permisos necesarios y después de haber aceptado la instalación, por lo que en ese momento se puede reemplazar la aplicación que se está instalando.

La vulnerabilidad de secuestro del instalador afecta a archivos APK descargados en un espacio no protegido porque cualquier otra aplicación puede acceder a dicho espacio, algo que no ocurre en el espacio protegido de la Play Store.

Diferentes escenarios

Se pueden dar varios escenarios para explotar la vulnerabilidad, se puede emplear una aplicación aparentemente benigna, que no requiera permisos especiales, para comprometer otras aplicaciones en el futuro. Por ejemplo si la víctima instala una "App X" aparentemente legítima (que ni siquiera requiere ningún tipo de permisos especiales). Posteriormente, la víctima instala una tienda de aplicaciones totalmente legítima (como la tienda de aplicaciones de Amazon) que permite instalar archivos APK desde el sistema de archivos local. Cada vez que se instalan archivos desde esta tienda se lanza una vista de "PackageInstallerActivity". Sí el usuario intenta descargar una "App Y" desde esta tienda, la "App X" detectará que se lanza la vista de "PackageInstallerActivity" y comprueba si la "App Y" se encuentra en un espacio público (p.ej. en /sdcard) en cuyo caso, mientras el usuario visualiza la pantalla de permisos, la "App X" podría sobreescribir la "App Y". Si el usuario acepta la instalación, se instalará la "App Y" comprometida con el malware y los permisos que el atacante necesite.

También se puede emplear la vulnerabilidad para enmascarar los permisos que la aplicación requiere realmente. La víctima instalará la "App X" aparentemente legítima. Mientras la usa se promociona una "App Y" legitima para su instalación. Si el usuario instala la aplicación se iniciará la vista "PackageInstallerActivity" que no requerirá ningún permiso especial. Y al igual que en el ejemplo anterior mientras el usuario visualiza la pantalla de permisos la "App X" podría sobreescribir la "App Y" con malware. Si el usuario acepta la instalación, se instalará la "App Y" comprometida con el malware ignorando los permisos solicitados.

Recomendaciones

Palo Alto Networks ha publicado un escáner en Google Play para comprobar si la vulnerabilidad puede afectar al dispositivo. Se encuentra disponible desde:
Además ofrece el código del escáner en:

Como es habitual se aconseja a todos los usuarios descargar las aplicaciones de Android desde el repositorio oficial de Google (https://play.google.com/store).

Desde la Android Open Source Project (AOSP) de Google se ha confirmado la publicación de parches para este problema para la distribución Android 4.3 y posteriores. La actualización está disponible desde
El equipo de seguridad de Android también confirma que no han detectado ataques intentando aprovechar esta vulnerabilidad.

Como siempre el problema está en el tempo que los fabricantes se toman para implantar y distribuir las actualizaciones del sistema operativo a sus usuarios.

Amazon, por su parte, también ha solucionado el problema en su tienda de aplicaciones, que puede actualizarse desde www.amazon.com/getappstore

Más información:

Android Installer Hijacking Vulnerability Could Expose Android Users to Malware

una-al-dia (19/02/2014) Android, a vueltas con el problema de los parches que nunca llegan



Antonio Ropero
Twitter: @aropero


miércoles, 25 de marzo de 2015

Certificados fraudulentos, suma y sigue

Apenas ha pasado una semana desde que Microsoft anunciara la emisión de un certificado fraudulento, cuando se ha detectado otro que en esta ocasión pretende legitimar páginas falsas de google.com (entre otras). Una entidad de confianza ha firmado un certificado falso, lo que permite que se suplanten las páginas del buscador o que el tráfico cifrado en realidad sea visto por un tercero.


Lo que ha ocurrido (otra vez y ya hemos perdido la cuenta) es que se han emitido certificados falsos por una autoridad certificadora intermedia. En esa ocasión Google cree que la implicada pertenece a una empresa egipcia llamada MCS Holdings, que ha sido firmado a su vez, por una CA de primer nivel o raíz: CNNIC (China Internet Network Information Center). 

Google detalla que CNNIC les explicó que habían contratado con MCS Holdings con la condición de que esta compañía solo emitiera certificados para dominios que tuvieran registrados. Si embargo, en vez de mantener la clave en un módulo de seguridad hardware (HSM), MCS lo instaló en un proxy man-in-the-middle. Estos sistemas son comúnmente empleados por las empresas para interceptar el tráfico de sus empleados para monitorizarlo o por cualquier otra necesidad. Los ordenadores de los empleados normalmente tienen que ser configurados para confiar en el proxy. Sin embargo, en este caso, al proxy se le dio toda la autoridad de una entidad de certificación pública, lo cual es una violación grave del sistema de certificaciones. Según declara Google esta situación es similar al fallo de ANSSI en 2013.

En este caso los dominios afectados son:
  •     *.google.com
  •     *.google.com.eg
  •     *.g.doubleclick.net
  •     *.gstatic.com
  •     www.google.com
  •     www.gmail.com
  •     *.googleapis.com

CNNIC está incluido en todos los almacenes de certificados raíz, por lo que la mayoría de navegadores y sistemas operativos confiará en los certificados fraudulentos sin embargo gracias al "pinning" de certificados Chrome sobre Windows, OS X o Linux; ChromeOS y Firefox 33 (y superiores) evitarán aceptar estos certificados falsos.

"Certificate pinning" es una interesante opción en la que el certificado lleva especificado en quien se ha de confiar para validar el certificado, desechando certificados, aun siendo válidos, de otras CAs aunque estas estén en nuestro almacén.

Microsoft ha publicado la actualización correspondiente para la revocación de certificados en toda la familia Windows, mediante el KB 3050995 disponible a través de Windows Update o los canales oficiales de descarga.

Por otra parte, Microsoft advierte que los certificados revocados se actualizan automáticamente en sistemas Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, así como para los dispositivos Windows Phone 8 y Windows Phone 8.1 para estos sistemas operativos los usuarios no necesitarán llevar a cabo ninguna acción.

También para sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 se recomienda la instalación del actualizador automático de certificados revocados que evitará la necesidad de realizar cualquier acción, ya que los sistemas se actualizarán automáticamente de igual forma.

Google al igual que Mozilla y Microsoft han emitido alertas y han revocado y bloqueado el uso de estos certificados. Una vez más se evidencia el riego que plantea el uso de los certificados y la cadena de autoridades de certificación y la confianza de los navegadores. Cuando no se trata de un certificado robado, es una seguridad inadecuada o un error humano, pero en los últimos años este tipo de problemas son cada vez más frecuentes de lo que cabría desear.

Más información:

Maintaining digital certificate security

Revoking Trust in one CNNIC Intermediate Certificate

Microsoft Security Advisory 3050995
Improperly Issued Digital Certificates Could Allow Spoofing

Documento informativo sobre seguridad de Microsoft: certificados digitales emitidos de forma incorrecta podrían permitir la suplantación

una-al-dia (17/03/2015) Un nuevo certificado fraudulento, esta vez de Microsoft

una-al-dia (10/12/2013) Nuevos certificados fraudulentos para dominios de Google



Antonio Ropero
Twitter: @aropero


martes, 24 de marzo de 2015

Apple publica actualización de seguridad para OS X Yosemite

Apple ha publicado la actualización "Security Update 2015-003" para su sistemas operativo OS X Yosemite 10.10.2, que soluciona dos problemas de seguridad considerados críticos.

Los problemas corregidos residen en iCloudKeychain (CVE-2015-1065) debido a múltiples desbordamientos de búfer y IOSurface (CVE-2015-1061) debido a una confusión de tipos en el tratamiento de objetos serializados. Ambos problemas podrían permitir la ejecución de código arbitrario.

Esta actualización también incluye el Security Update 2015-002 publicado hace dos semanas.

Se puede emplear "Software Update" para comprobar las últimas actualizaciones disponibles empleando la "Mac App Store". O descargándola desde:

Más información:

About Security Update 2015-003
This document describes the security content of Security Update 2015-003.

una-al-dia (10/03/2015) Actualización de productos Apple incluye iOS y OS X


Antonio Ropero

Twitter: @aropero

lunes, 23 de marzo de 2015

Mozilla corrige las vulnerabilidades del Pwn2Own

Mozilla ha publicado dos boletines de seguridad (del MFSA 2015-28 y MFSA 2015-29) que corrigen las dos vulnerabilidades críticas que afectan a su navegador web Firefox (y la suite SeaMonkey) anunciadas en el concurso Pwn2Own.

El boletín MFSA 2015-28 está destinado a solucionar una vulnerabilidad (CVE-2015-0818) reportada por Mariusz Mlynski que podría permitir a un atacante ejecutar scripts en un contexto privilegiado. Un fallo en el tratamiento del formato SVG podría permitir evitar la protección de la política de mismo origen.

Por otra parte, el MFSA 2015-28 soluciona la vulnerabilidad (CVE-2015-0817) reportada por ilxu1a consistente en un fallo en la implementación de la comprobación de límites de arrays tipados en la compilación en tiempo de ejecución de Javascript y la administración de la comprobación de límites en el acceso al heap. Esto podría dar lugar a una vulnerabilidad de lectura y escritura fuera de límites que permitía la ejecución de código.

Las versiones de los productos de Mozilla que solucionan estas vulnerabilidades son Firefox 36.0.4, Firefox ESR 31.5.3 y SeaMonkey 2.33.1. Se encuentran disponibles para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

Privilege escalation through SVG navigation

Code execution through incorrect JavaScript bounds checking elimination

una-al-dia (21/03/2015) Internet Explorer, Firefox, Chrome y Safari caen en el Pwn2Own 2015



Antonio Ropero
Twitter: @aropero


domingo, 22 de marzo de 2015

Cientos de aplicaciones iOS y Android vulnerables a ataques FREAK

Un estudio realizado por FireEye revela que cientos de aplicaciones iOS y Android siguen siendo vulnerables ante la vulnerabilidad FREAK.

El ataque FREAK puede permitir a un atacante interceptar las comunicaciones https entre cliente y servidor y obligarlos a renegociar la conexión segura y hacer que ambos usen un cifrado débil, y de esa forma capturar dicho tráfico y descifrarlo. Para que un ataque FREAK tenga éxito, tanto cliente como servidor han de aceptar y ofrecer respectivamente un conjunto de cifrados RSA_EXPORT.

Para llevar a cabo el estudio, FireEye ha analizado aplicaciones populares para iOS y Android con más de un millón de descargas: 10.985 para el sistema operativo de Google y 14.079 para la de Apple. Las aplicaciones analizadas incluyen tiendas online, de foto y video, redes sociales, productividad, finanzas o médicas.

Para la plataforma del robot verde el estudio desvela que 1.228 aplicaciones de las analizadas (un 11,2%) son vulnerables a ataques FREAK porque usan una librería OpenSSL vulnerable al conectar a servidores HTTPS vulnerables. También distingue que 664 de ellas usan la librería OpenSSL incluida en Android mientras que las otras 564 incluyen su propia compilación de la librería OpenSSL. Estas 1.228 aplicaciones se han descargado 6.300 millones de veces.

Por la otra parte, para la plataforma de la manzana 771 de las aplicaciones analizadas (un 5,5%) se conectan a servidores HTTPS vulnerables. Estas aplicaciones resultan vulnerables a ataques FREAK en versiones de iOS inferiores a la 8.2, sin embargo señalan que 7 de las 771 apps incluyen su propia versión vulnerable de OpenSSL y aun con iOS 8.2 seguirían siendo vulnerables.

Un atacante podría lanzar un ataque FREAK mediante técnicas de hombre en el medio ("man-in-the-middle") para interceptar y modificar el tráfico entre la aplicación móvil y el servidor. Para ello, el atacante puede emplear técnicas bien conocidas, como suplantación ARP ("ARP spoofing") o secuestro DNS ("DNS hijacking"). Tampoco es necesario romper el cifrado en tiempo real, el atacante podrá grabar el tráfico de red con cifrado débil, para descifrarlo posteriormente con tranquilidad. El atacante podría acceder a cualquier información enviada entre la aplicación y el servidor, como credenciales de acceso, datos de tarjetas de crédito o información sensible de cualquier tipo.

Más información:

FREAK Out on Mobile

una-al-dia (03/03/2015) FREAK, un nuevo ataque a SSL/TLS


Antonio Ropero

Twitter: @aropero

sábado, 21 de marzo de 2015

Internet Explorer, Firefox, Chrome y Safari caen en el Pwn2Own 2015

Los días 18 y 19 de marzo se ha celebrado una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Al igual que el año pasado Internet Explorer, Firefox, Chrome y Safari, no se libraron de los ataques y mostraron su cara más débil. Adobe Flash y Reader tampoco salieron indemnes.

Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares en diferentes sistemas operativos, así como en los plugins más atacados: Adobe Reader, Flash y Java. Pwn2Own, que se celebra en la ciudad canadiense de Vancouver, está organizado por Zero Day Initiative ZDI, una compañía de HP que se encarga de poner en contacto a investigadores de seguridad y compañías de software para garantizar una publicación coordinada de vulnerabilidades.

El primer día empezó con los equipos Team509 y KeenTeam explotando Adobe Flash a través de un desbordamiento de búfer que permitía la ejecución remota de código. Luego elevaron sus privilegios mediante una vulnerabilidad en las fuentes TrueType. Recibieron 60.000 dólares por la vulnerabilidad en Flash, y otros 25.000 $ por la escalada de privilegios.

Nicolas Joly atacó Flash con éxito mediante una vulnerabilidad de ejecución remota de código por uso después de liberar memoria y fuga de la sandbox. Fue galardonado con 30.000 dólares por este descubrimiento. El mismo investigador mostró otro ataque contra Adobe Reader mediante un desbordamiento de búfer y un desbordamiento de entero, por lo que consiguió otros 60.000 dólares. A continuación los equipos KeenTeam y Tencent PCMgr mostraron otra nueva vulnerabilidad en Adobe Reader que les permitió conseguir otros 55.000 dólares.

Llegó el turno de los navegadores, con Mariusz Mlynski atacando Mozilla Firefox mediante una vulnerabilidad de orígenes cruzados seguida de escalada de privilegios en el navegador, todo en menos de un segundo. Recibió 30.000 dólares por el bug de Firefox y otros 25.000 $ por la escalada de privilegios.

Para terminar el primer día, el equipo 360Vulcan aprovechó una vulnerabilidad de memoria sin inicializar en Microsoft Internet Explorer 11 64-bits para lograr la ejecución de código y 32.500 dólares.

En resumen el primer día se presentaron tres bugs en Adobe Reader, tres en Adobe Flash, tres del sistema operativo Windows, dos en Internet Explorer 11 y dos en Mozilla Firefox. En total se pagaron 317.500 dólares en recompensas.

Vídeo resumen del primen día
El segundo día fue igualmente productivo con siete participantes contra siete productos, que consiguieron 235.000 dólares en premios. Lo que hace un total de 552.500 dólares en premios.

El investigador ilxu1a comenzó el segundo día atacando Mozilla Firefox con una vulnerabilidad de lectura y escritura fuera de límites que permitía la ejecución de código y que le reportó 15.000 dólares.

JungHoon Lee (lokihardt) report tres vulnerabilidades, la primera en Internet Explorer 11 64 bits por la que evadió todos los mecanismos de defensa con una fuga de la sandbox mediante una inyección Javascript. Fue recompensado con 65.000 dólares. También demostró un desbordamiento de búfer que afectaba a Google Chrome (incluida la versión beta), después empleó una fuga de información y una condición de carrera en dos controladores kernel de Windows para conseguir acceso a nivel de sistema. Con ello consiguió el mayor pago individual de toda la competición 110.000 dólares divididos en 75.000 por el bug de Chrome, otros 25.000 por la escalada de privilegios y otros 10.000 de Google por el ataque a la versión beta. Por último también atacó exitosamente Apple Safari con una vulnerabilidad de uso después de liberar memoria y evitando la sandbox para lograr la ejecución de código, lo que le reportó otros 50.000 $. Según lo califica HP algo totalmente sorprendente tratándose de un investigador individual.

Para acabar la competición de este año, ilxu1a, intentó un ataque contra Google Chrome, pero se quedó sin tiempo antes de conseguir que su código fuera funcional.

Vídeo resumen del segundo día:
Los resultados finales de este Pwn2Own son impresionantes:

  • 5 vulnerabilidades en Windows
  • 4 vulnerabilidades en Internet Explorer 11
  • 3 vulnerabilidades en Mozilla Firefox
  • 3 vulnerabilidades en Adobe Reader
  • 3 vulnerabilidades en Adobe Flash
  • 2 vulnerabilidades en Apple Safari
  • 1 vulnerabilidad en Google Chrome
  • 552.500 dólares en premios

Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas.

Más información:

Pwn2Own 2015: The lineup

Pwn2Own 2015: Day One results

Pwn2Own 2015: Day Two results


Antonio Ropero
Twitter: @aropero


viernes, 20 de marzo de 2015

OpenSSL soluciona 13 vulnerabilidades

El proyecto OpenSSL ha publicado un boletín en el que corrige 13 nuevas vulnerabilidades, dos de ellas calificadas de impacto bajo y otras 10 como moderado, pero una está valorada como de gravedad alta. Aunque no todas las versiones de OpenSSL están afectadas por todas las vulnerabilidades.

La vulnerabilidad considerada de gravedad alta (CVE-2015-0291) puede permitir denegaciones de servicio si un cliente se conecta a un servidor de OpenSSL 1.0.2 y renegocia con un algoritmo de firma digital inválido, lo que provoca una referencia a un puntero nulo.

Por otra parte, también se ha recalificado la gravedad de la vulnerabilidad FREAK, que previamente había sido clasificada como de gravedad baja, ahora pasa a considerarse como de gravedad alta. Esto es debido a que se ha comprobado que es mucho más habitual de lo que inicialmente se pensaba.

Con gravedad moderada se han anunciado vulnerabilidades en la funcionalidad "multiblock", en las rutinas de verificación de firmas si se usa ASN.1 con algoritmo RSA PSS y parámetros inválidos, al reutilizar estructuras en el tratamiento ASN.1, en el tratamiento de PKCS#7, en el tratamiento de datos codificados en base64, al procesar mensajes SSLv2 CLIENT-MASTER-KEY específicamente creados y en las funciones "DTLSv1_listen" y "ASN1_TYPE_cmp".

OpenSSL ha publicado las versiones 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf disponibles desde
También se recuerda por parte de OpenSSL que las versiones 1.0.0 y 0.9.8 acaban su soporte a finales de año.

Más información:

OpenSSL Security Advisory [19 Mar 2015]

FREAK, un nuevo ataque a SSL/TLS



Antonio Ropero
Twitter: @aropero

jueves, 19 de marzo de 2015

Apple publica actualización de Safari que soluciona 17 vulnerabilidades

Apple ha publicado una actualización de seguridad para su navegador Safari (versiones 8.0.4, 7.1.4 y 6.2.4) para OS X que solventa 17 nuevas vulnerabilidades que podrían ser aprovechadas por un atacante remoto para provocar denegaciones de servicio, lograr el compromiso de los sistemas afectados o construir ataques de phishing.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista.

Todas las vulnerabilidades están relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Una vulnerabilidad (con CVE-2015-1084) consiste en una inconsistencia en la interfaz de usuario que podría permitir falsear la URL y con ello facilitar la realización de ataques de phishing.

Por último, las 16 vulnerabilidades restantes están relacionadas con problemas de corrupción de memoria en WebKit y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada. Los CVE asociados a estas vulnerabilidades van del CVE-2015-1068 al CVE-2015-1083.

Se recomienda actualizar a las versiones 8.0.4, 7.1.4 o 6.2.4 de Safari disponibles a través de la opción "Actualización de Software" del menú Apple.

Más información:

About the security content of Safari 8.0.4, Safari 7.1.4, and Safari 6.2.4


Antonio Ropero
Twitter: @aropero


miércoles, 18 de marzo de 2015

Microsoft publica EMET 5.2

EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) es una gran utilidad para mitigar la explotación de vulnerabilidades mediante la inclusión de capas de protección adicionales. Microsoft ha anunciado la publicación de la nueva versión EMET 5.2 que mejora determinadas mitigaciones.

En una-al-día hemos mencionadofrecuentemente EMET como contramedida para gran parte de las vulnerabilidades que se anuncian, especialmente indicado y recomendado para las de 0-day. EMET 5.2 es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad.

Básicamente, EMET es un programa para forzar el uso de DEP y ASLR en todos los procesos y programas, pero además previene de las técnicas habitualmente empleadas por los exploits para eludir estas medidas.

Las DLLs nativas de EMET se han compilado con Control Flow Guard (Guardia de Control de Flujo o CFG). CFG es una nueva característica introducida en Visual Studio 2015 (y soportada por Windows 8.1 y Windows 10) que ayuda a detectar y detener intentos de secuestro de código. Las DLLs nativas de EMET (EMET.DLL) se inyectan en los procesos de la aplicación protegida por EMET. Microsoft ha compilado EMET con CFG y recomienda a los desarrolladores de terceras partes que recompilen sus aplicaciones para que tomen beneficios de esta tecnología.

Se ha mejorado la configuración para la mitigación ASR (Attack Surface Reduction) para detener intentos de ejecutar VBScripts maliciosos cuando se cargan en la Zona de Internet de Internet Explorer. Esto mitigaría los intentos de explotar la técnica conocida como "VBScript God Mode" observada en ataques recientes.

Por último, ahora EMET incluye soporte completo de alertas e informes desde Modern Internet Explorer, o Desktop IE, con el modo Enhanced Protected Mode activado.

Hay que señalar que nada más publicar EMET 5.2, los usuarios empezaron a reportar problemas al usar EMET 5.2 con Internet Explorer 11 en Windows 8.1. Un problema en la comprobación de "certificate pinning" volvía a IE 11 inestable e incluso llegaba a cerrarse al navegar. Microsoft ya ha publicado una actualización que soluciona este problema.

EMET 5.2 está disponible para descarga desde:

Más información:

EMET 5.2 is available

Visual Studio 2015 Preview: Work-in-Progress Security Feature

una-al-dia (16/11/2014) Microsoft publica EMET 5.1


Antonio Ropero

Twitter: @aropero

martes, 17 de marzo de 2015

Un nuevo certificado fraudulento, esta vez de Microsoft

Ha vuelto a pasar, Microsoft ha publicado una actualización para eliminar un nuevo certificado fraudulento empleado para crear ataques de "hombre en el medio" (man-in-the-middle) contra los servicios Live de Microsoft. 

Una vez más (y ya van...) se ha detectado la emisión de un nuevo certificado fraudulento. En este caso se ha visto afectado el dominio live.fi, correspondiente al servicio Live de Microsoft para Finlandia. Los atacantes consiguieron emitir un certificado válido para dicho dominio gracias a una cuenta de correo mal configurada que servía para su administración. De esta forma, los atacantes pudieron solicitar la emisión de un nuevo certificado para el dominio live.fi que quedaría en su posesión.

En esta ocasión la entidad emisora afectada ha sido Comodo, que podemos recordar no es la primera vez que se ve envuelta en problemas similares. Si bien solo ha sido necesario revocar un certificado final destinado a suplantar el dominio.

Microsoft ha publicado la actualización correspondiente para la revocación de certificados en toda la familia Windows, mediante el KB 2917500 disponible a través de Windows Update o los canales oficiales de descarga.

Por otra parte, Microsoft advierte que los certificados revocados se actualizan automáticamente en sistemas Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, así como para los dispositivos Windows Phone 8 y Windows Phone 8.1 para estos sistemas operativos los usuarios no necesitarán llevar a cabo ninguna acción.

También para sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 se recomienda la instalación del actualizador automático de certificados revocados que evitará la necesidad de realizar cualquier acción, ya que los sistemas se actualizarán automáticamente de igual forma.

Más información:

Microsoft Security Advisory 3046310
Improperly Issued Digital Certificates Could Allow Spoofing

Aviso de seguridad de Microsoft: Los certificados digitales no emitidos correctamente podrían permitir la suplantación de identidad

Hay un actualizador automático de certificados revocados disponible para Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2
http://support.microsoft.com/es-es/kb/2677070

una-al-dia (25/03/2011) Más sobre los certificados fraudulentos. ¿Qué debe hacer el usuario?



Antonio Ropero
Twitter: @aropero