jueves, 30 de abril de 2015

TeslaDecrypt, descifra archivos cifrados por ciertas versiones de TeslaCrypt

El grupo de investigación de amenazas online Talos (de Cisco) ha publicado un estudio sobre el ransomware TeslaCrypt, en el que destaca la posibilidad de descifrar los archivos cifrados por éste sin la necesidad de pagar el rescate en algunas de sus versiones.

TeslaCrypt es un ransomware (software que secuestra recursos de un sistema informático y pide un rescate por su liberación) que afecta a plataformas Windows, aparentemente derivado del famoso CryptoLocker. Además de los objetivos habituales (fotos, vídeos, documentos...), TeslaCrypt se caracteriza por tener como objetivos adicionales partidas guardadas de videojuegos y archivos relacionados con iTunes.

Las versiones más modernas de ransomware suelen implementar una infraestructura de clave pública, que les permite evitar que la clave de descifrado de los archivos resida en algún momento en el sistema infectado. Con lo que irremediablemente sería necesario pagar a los atacantes para obtener la clave, lo que no se recomienda por no tener garantía de que se vaya a obtener efectivamente. O confiar en la posibilidad de que las bases de datos con las claves privadas (las necesarias para descifrar los archivos) sean recuperadas por alguna operación contra la infraestructura usada por el ransomware y las ponga a disposición de los infectados (como ya ocurrió en la Operación Tovar contra CryptoLocker).

TeslaCrypt, afortunadamente, en algunas versiones no usa este tipo de cifrado. A pesar de anunciar en el mensaje que aparece tras la infección que usa el criptosistema RSA (de clave pública, o asimétrico), tras un análisis en profundidad, los investigadores de Talos han descubierto que usa el criptosistema AES (asimétrico). Concretamente, lo que hace es generar una clave maestra partir de diversa información del sistema operativo (por ejemplo, información sobre la memoria física, procesos en ejecución...) y números aleatorios resultantes de llamadas a la API Windows Crypto. Esta clave se almacena en un fichero llamado 'key.dat', presente en la carpeta 'Application Data' perteneciente al usuario, y se usa para cifrar los archivos. Además, se envía esta clave a servidores en control de los atacantes. Al usar un criptosistema simétrico, la misma clave usada para cifrar es usada para descifrar, y esto es lo que aprovecha TeslaDecrypt, la herramienta desarrollada por Talos para descifrar los archivos.

Por desgracia, otras versiones de TeslaCrypt (presumiblemente las más nuevas), generan una clave de recuperación derivada de la clave maestra que almacenan en un fichero llamado 'RECOVERY_KEY.TXT' en la carpeta de documentos del usuario, y eliminan la clave maestra del fichero 'key.dat'. Uno de los investigadores de Talos, Andrea Allievi, está trabajando en un algoritmo que permita recuperar la clave maestra a partir de la clave de recuperación, pero no puede asegurar que esto sea posible (dependerá del criptosistema usado y si su implementación contiene alguna vulnerabilidad), y recomienda estar pendiente del blog de Talos para futuras actualizaciones.

TeslaDecrypt, la herramienta que proporcionan los investigadores de Talos para descifrar los archivos cifrados en el caso de que la clave maestra no haya sido eliminada, puede ser encontrada en la siguiente URL:

Sus instrucciones de uso, una versión en Python y el código fuente del binario se pueden encontrar en el blog oficial de Talos. Se recomienda hacer una copia de seguridad de los archivos encriptados antes de ejecutar la herramienta.

Más información:

Threat Spotlight: TeslaCrypt – Decrypt It Yourself

There's now a decryption tool for TeslaCrypt ransomware

TeslaCrypt: Video game Safety 101

Cryptolocker victims to get files back for free



Carlos Ledesma

miércoles, 29 de abril de 2015

Corregida vulnerabilidad en OpenOffice y LibreOffice

Las suites ofimáticas de código abierto, LibreOffice y OpenOffice, se han actualizado recientemente para corregir una vulnerabilidad de ejecución remota de código.

Apache OpenOffice y LibreOffice son suites ofimáticas de código abierto y gratuitas. Ambas cuentan con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

La vulnerabilidad (con CVE-2015-1774) afecta a documentos HWP, y está causada por un desbordamiento de búfer en el tratamiento del filtro HWP. Este problema podría permitir realizar denegaciones de servicio y lograr ejecutar código arbitrario a través de documentos HWP especialmente manipulados. Se ven afectadas todas las versiones de OpenOffice (versiones 4.1.1 y anteriores) y Libreoffice (versiones anteriores a 4.3.7/4.4.2).

La extensión HWP hace referencia a un tipo concreto de documentos creados con el procesador de textos coreano Hangul Word Processor, con capacidad de escribir y guardar documentos en el idioma coreano. Esto podría limitar las posibilidades de ataques fuera de este país, pero bien por desconocimiento o por un uso de la ingeniería social un atacante podría conseguir que alguien llegue a abrir un archivo malicioso.

Para corregir estas vulnerabilidades, se han publicado Apache OpenOffice 4.1.1, y LibreOffice 4.3.7/4.4.2 que se encuentran disponibles para su descarga desde las páginas oficiales:

Más información:

CVE-2015-1774 Out of bounds write in HWP file filter

OpenOffice HWP Filter Remote Code Execution and Denial of Service Vulnerability


Antonio Ropero

Twitter: @aropero

martes, 28 de abril de 2015

Denegación de servicio remota en Dovecot

Hanno Böck, un periodista freelance especializado en seguridad informática, ha descubierto una vulnerabilidad en el servidor de correo Dovecot. Concretamente, se ven afectados los servicios "imap-login" y "pop3-login", usados para manejar inicios de sesión en conexiones IMAP y POP3 respectivamente.

Dovecot es un proyecto open source que pone especial énfasis en la seguridad, tanto en el diseño como en la implementación, y de acuerdo con openemailsurvey.org, está presente en 2.9 millones de servidores de correo a nivel mundial, representando un 57% del total (datos de julio de 2014). El autor principal, Timo Sirainen, lleva desde 2006 ofreciendo una recompensa de 1.000 euros de su propio bolsillo a la primera persona que reporte un fallo de seguridad.

Un atacante remoto podría causar una denegación de servicio, ya que estos servicios podrían dejar de funcionar, si, por ejemplo, un cliente intenta conectar especificando que sólo soporta SSLv3 y el servidor está configurado para no permitir conexiones SSLv3.

Esta vulnerabilidad se debe al manejo incorrecto de un error cuando se inicia la negociación de una conexión TLS, que lleva a intentar terminar la negociación antes de haberla empezado. Esto ocasiona que las llamadas subyacentes a la librería OpenSSL provoquen un estado inválido que desemboca en la terminación del proceso servidor. Se le ha asignado el CVE-2015-3420 por parte de MITRE, y existe un parche provisional disponible en http://dovecot.org/tmp/diff

Más información:

Dovecot

CVE request: Dovecot remote DoS on TLS connections

[patch] TLS Handshake failures can crash imap-login

Login processes

[Dovecot] 1.0 beta1 released


Carlos Ledesma



lunes, 27 de abril de 2015

Armas involuntarias para guerras digitales

A mediados del pasado mes de marzo, diversas organizaciones experimentaron un ataque distribuido de denegación de servicio. Esto, desde luego, no es noticia, es algo que ocurre con una frecuencia diaria, por diferentes motivos, sobre objetivos dispares y usando técnicas que sabríamos reconocer al instante conociendo ciertos detalles. Este ataque en concreto, se diferencia en la infraestructura usada como apoyo para generar el tráfico de ataque. Un uso orquestado de recursos con una precisión y capacidad de maniobra fuera del alcance del perfil atacante al que estamos acostumbrados. Veamos que hay detrás del apodado recientemente "Gran cañón de China".

Martes, 17 de marzo. Los administradores del sitio greatfire.org reciben un tráfico de 2.600 millones de visitas. Cae el sitio principal y todos los espejos que mantiene la organización a lo largo de Internet. Según ellos mismos, los servicios alojados en la nube de Amazon les generan un cargo de 30.000 dólares cada día. Algo insostenible para una organización sin ánimo de lucro, creada para evadir la censura impuesta en China a ciertos sitios y servicios de Internet que son agregados a su lista negra.

Despliegue del Gran Cañón en los ataques de GitHub y GreatFire.org
Fuente: https://citizenlab.org/2015/04/chinas-great-cannon/
Jueves, 26 de marzo. Cae github.com. En una breve entrada en el blog corporativo github comunica que está recibiendo "el mayor ataque distribuido de denegación de servicio en la historia de github.com". En la entrada ya señalan que, conjuntamente a los vectores conocidos, observan "una sofisticada técnica que usa el navegador web de usuarios de manera inadvertida" para generar tráfico masivo sobre sus servidores. Según github.com el ataque es una "invitación" para que retiren cierto contenido, sin señalar el qué y a quien le resulta molesto. El equipo de seguridad Google sugiere que el contenido podría ser este: https://github.com/greatfire. Es evidente la relación con el primer ataque.

Cómo fabricar un ejército de un millón de máquinas

Tradicionalmente se ha recurrido a la infección de sistemas de escritorio, servidores comprometidos o sitios web a los que se les ha añadido código javascript malicioso. En cualquier caso, el paso previo para añadir un elemento a la incauta red de trasvase de tráfico involuntario era recurrir a la intrusión o infección masiva de sistemas. Todas esas molestias pueden ser evitadas si dispones de la infraestructura adecuada.

En los ataques observados, los navegadores de los usuarios cargaban código javascript que aparentemente procedía de baidu.com, el mayor buscador chino y uno de los sitios con mayor tráfico de toda la red. No era necesario visitar baidu.com, bastaba hacerlo a cualquier sitio web, dentro o fuera de China, que hiciese uso del sistema de análisis de visitas de Baidu, quien por cierto niega completa y rotundamente cualquier responsabilidad en los ataques. ¿Entonces como llegó ese contenido a los navegadores de los usuarios?

Gigante en el medio

De sobra conocido, el gran cortafuegos chino nace en 1998, bajo el nombre en código de "Escudo dorado", entrando en estado operacional en 2003. Este descomunal proyecto permite al gobierno chino "desconectar" selectivamente aquellos sitios o servicios que son considerados subversivos o contrarios a la moralidad. Para dicha tarea es necesario contar con una infraestructura controlada y supervisada. Pensemos en la dificultad para establecer este tipo de controles en una empresa de tamaño mediano y después hagamos los cálculos para hacer lo mismo en el país más poblado del mundo.

Todos y cada uno de los datagramas IP que entran o salen de China son examinados por el escudo dorado. Aquellos que son marcados como contenido subversivo o de origen sospechoso son manipulados para cerrar la conexión de inmediato, las peticiones DNS son controladas para redirigir los dominios prohibidos y todo el texto no cifrado es sistemáticamente analizado en busca de elementos problemáticos. Solo el cifrado (y no en todos los casos) permite abrir una pequeña brecha para evadir la censura.

Según el estudio técnico publicado por Citizenlab, esa misma tecnología de inspección de paquetes fue usada para insertar el contenido malicioso, que era devuelto a los clientes que solicitaban ciertos recursos a Baidu, durante la ventana de ataque. Denominan a dicha infraestructura el "Gran cañón de China" y la asocian directamente al "Gran cortafuegos chino", luego por definición están señalando al gobierno chino como responsable de los ataques dirigidos.

El esquema de ataque se reducía a observar el tráfico, detectar si el recurso se estaba pidiendo a un dominio controlado por Baidu e inyectar un script malicioso de manera aleatoria al tráfico saliente de los servidores hacia el cliente. Estos últimos, se encargaron de generar miles de millones de visitas a los sitios afectados.

El código del script contenía URL pertenecientes a la infraestructura de Amazon, usada por GreatFire. Posteriormente dichas URLs fueron sustituidas por las atacadas a Github: github.com/greatfire y github.com/cn-nytimes.


¿Y el tráfico cifrado?

Podríamos pensar que si establecemos un canal seguro entre nuestro cliente y cualquier recurso, en este caso cualquier subdominio de baidu.com, nos va a proteger ante la inyección de contenido en el canal, evitando la manipulación. ¿Nos va a proteger el cifrado?

La siguiente captura de pantalla pertenece al repositorio de certificados de la última versión de Firefox, lo mismo ocurre para el llavero del sistema operativo. Esta captura y estos enlaces podrán despejar cualquier duda ante la pregunta. Tráfico cifrado no significa que sea seguro, simplemente significa que está…cifrado.


Más información:

A Javascript-based DDoS Attack as seen by Safe Browsing

China’s Great Cannon

Distrusting New CNNIC Certificates

Maintaining digital certificate security

Evidence shows CNNIC and CAC behind MITM attacks



David García
Twitter: @dgn1729


domingo, 26 de abril de 2015

Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa nueve nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio, elevar sus privilegios en el sistema o descubrir información.

Varios problemas corregidos podrían permitir a un atacante elevar sus privilegios en el sistema como un fallo en la forma en que seunshare, una utilidad para ejecutar programas bajo un contexto de seguridad diferente, usa la funcionalidad capng_lock de la librería libcap. Una escalada de privilegios por un error por un uso después de liberar memoria en la implementación SCTP del kernel Linux y un desbordamiento de búfer en el controlador TechnoTrend/Hauppauge DEC USB.

Por otra parte problemas de denegación de servicio por un fallo en la implementación KVM, por un acceso de memoria fuera de límites en syscall de los subsistemas perf yftrace, por el tratamiento de condiciones OOM (out of memory) del controlador de recursos de memoria (memcg) y una condición de carrera en que el subsistema de gestión de llaves realiza la recolección de basura.

Y por último una fuga de información en la implementación del sistema de archivos ISO9660 al acceder a una imagen con registros RockRidge Extension Reference (ER).

Los CVE asociados son: CVE-2014-3215, CVE-2015-1421, CVE-2014-3690, CVE-2014-7825, CVE-2014-7826, CVE-2014-8171, CVE-2014-9529, CVE-2014-8884 y CVE-2014-9584.

Además se han solucionado otros fallos de menor importancia y se han incluido algunas mejoras.
Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:

Más información:

Important: kernel security and bug fix update




Antonio Ropero
Twitter: @aropero


sábado, 25 de abril de 2015

Actualización por vulnerabilidades en IBM WebSphere Portal

IBM ha publicado una actualización para corregir dos vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting o de denegación de servicio.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

Una vulnerabilidad, con CVE-2014-1866, que podría permitir a un atacante provocar una denegación de servicio debido a una validación inadecuada de peticiones específicamente construidas, que llegarían a consumir todos los recursos de memoria.

Por otra parte, con CVE-2015-1908, una vulnerabilidad de cross-site scripting por un error de validación de entradas que podría permitir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los problemas afectan a WebSphere Portal 8.5, 8.0, 7 y 6.1. IBM ha publicado las actualizaciones PI37356 y PI37661 para evitar estos problemas.
Se recomienda consultar el aviso de IBM para determinar el proceso de actualización en función de la versión afectada:

Más información:

Security Bulletin: Fixes available for Security Vulnerabilities in IBM WebSphere Portal (CVE-2015-1886; CVE-2015-1908)



Antonio Ropero
Twitter: @aropero




viernes, 24 de abril de 2015

Denegación de servicio en iOS al conectar a una WiFi

En la Conferencia RSA 2015, se ha presentado una nueva vulnerabilidad en iOS 8 que puede forzar al reinicio continuo de los iPhone e iPad al conectar con una WiFi maliciosa.

Yair Amit y Adi Sharabani de la firma Skysekure, han presentado el fallo bautizado como "No iOS Zone". Un error que reside en el tratamiento de certificados SSL específicamente creados, de forma que se puede provocar la caída de cualquier aplicación que use este tipo de comunicación. Como la mayoría de las aplicaciones de la App Store emplean este tipo de comunicación, la superficie de ataque es muy amplia. Sabíamos que cualquier retraso en parchear la vulnerabilidad podría llevar a un impacto

Sin embargo el impacto va mucho más lejos, ya que también afecta al sistema operativo iOS subyacente. Bajo ciertas condiciones es posible conseguir que los dispositivos entren en un ciclo de reinicios continuo, haciéndolos totalmente inusables. Incluso aunque el usuario quiera desactivar el uso de la WiFi una vez iniciado el ciclo de reinicios es totalmente imposible, solo queda salir de la zona Wifi atacante.

El video muestra como un iPhone entra en el ciclo de reinicio, quedando totalmente inutilizado.


Según los investigadores, el problema fue reportado a Apple, que está trabajando en su corrección. Parece ser que la actualización a iOS 8.3 corrige algunos de los problemas encontrados, aunque no ofrece una solución total, por lo que no han ofrecido más detalles técnicos.

Como siempre una la principal recomendación pasa por evitar el uso de zonas WiFi desconocidas. Incluso en aquellos sitios que nos ofrecen "WiFi Gratis", no sabemos quién puede estar detrás de esas WiFis. Después de todo, una denegación de servicio, es el menor problema que se puede sufrir al usar una WiFi desconocida.

Más información:

"No iOS Zone" – A New Vulnerability Allows DoS Attacks on iOS Devices

Mobile Vulnerabilities: From Data Breach to Complete Shutdown

una-al-dia (09/04/2015) La actualización 8.3 de Apple iOS soluciona casi 60 vulnerabilidades



Antonio Ropero
Twitter: @aropero


jueves, 23 de abril de 2015

Actualización crítica para WordPress

Se ha publicado la versión 4.1.2 de WordPress que soluciona cuatro vulnerabilidades, una de las cuales podría permitir comprometer el sitio web.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

El problema más grave, que afecta a versiones 4.1.1 (y anteriores), reside en un cross-site scripting considerado crítico que podría permitir a usuarios anónimos comprometer la web.

En WordPress 4.1 (y posteriores) se pueden subir archivos con nombres inválidos o inseguros. En WordPress 3.9 (y posteriores), una vulnerabilidad de cross-site scripting que podría emplearse como parte de un ataque de ingeniería social. Por último, también se ha detectado que algunos plugins son vulnerables a una vulnerabilidad de inyección SQL.

También se han realizado cuatro cambios destinados a asegurar los sistemas. Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.1.2 disponible desde:
O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.1.2.

Más información:

WordPress 4.1.2 Security Release




Antonio Ropero
Twitter: @aropero


miércoles, 22 de abril de 2015

Publicados los 4 primeros vídeos de las conferencias UPM TASSI 2015

En el canal YouTube de la UPM se han publicado los cuatro primeros vídeos del XI Ciclo de Conferencias UPM TASSI 2015.

Las conferencias publicadas en YouTube son:

Conferencia 1:  ULTRA: Enigma y Fish, presentada el 19 de febrero de 2015 por D. Román Ceano, Director Gerente de Vector3:

Conferencia 2: Memorias de un perito informático forense, presentada el 26 de febrero de 2015 por D. Lorenzo Martínez, Director de Securízame:

https://www.youtube.com/watch?v=XnI2YjasA2I

Conferencia 3: Hispasec. 16 años de seguridad informática, presentada el 5 de marzo de 2015 por D. Antonio Ropero, Director de Hispasec:

Conferencia 4: eCrime evolution, presentada el 12 de marzo de 2015 por D. Marc Rivero de CyberSOC Deloitte y D. Dani Creus de Kaspersky Lab:

https://www.youtube.com/watch?v=JsrOOg7adUk

Puede descargar las presentaciones en PDF de estas conferencias desde la sección Conferencias TASSI 2015 de Criptored:

La entrega de la segunda mitad de conferencias del ciclo a realizarse en mayo de 2015, contempla:
Conferencia 5: Protección de las comunicaciones críticas por fibra óptica, de D. José María Marín y D. Fernando Barbero (FiberNet)
Conferencia 6: Malware en Android y Google Play, de D. Sergio de los Santos (ElevenPaths)
Conferencia 7: Offensive forensics, de D. Pedro Sánchez (Conexión Inversa)
Conferencia 8: Seguridad en redes móviles GSM, GPRS, 3G, 4G, de D. José Picó y D. David Pérez (Layakk)


Jorge Ramió Aguirre
Coordinador conferencias TASSI

martes, 21 de abril de 2015

Mozilla publica actualización para Firefox

La Fundación Mozilla ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad de gravedad alta que afecta al navegador Firefox 37.

En el boletín MFSA 2015-45 se publica una actualización para evitar una condición de carrera cuando la inicialización de un plugin falla, lo que lleva a una vulnerabilidad potencialmente explotable de uso después de liberar memoria.

Se ha publicado la versión 37.0.2 de Firefox que se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

MFSA 2015-45 Memory corruption during failed plugin initialization



Antonio Ropero
Twitter: @aropero

lunes, 20 de abril de 2015

Operación Muñeca Rusa, una nueva campaña de ataques dirigidos

Los laboratorios FireEye han anunciado la detección de una nueva campaña de ataques dirigidos que hacía uso de dos vulnerabilidades 0-day en Adobe Flash y Windows. En esta ocasión el ataque se ha bautizado como Operación Muñeca Rusa ("Operation RussianDoll").

Los investigadores de FireEye detectaron un patrón de ataques que comenzó el 13 de abril. A través de correlacionar indicadores técnicos y las infraestructuras de comando y control todo indica que detrás de este nuevo APT se encuentra el grupo ruso APT28. El objetivo del grupo era encontrar información gubernamental, militar y de organizaciones de seguridad que pudieran beneficiar al gobierno ruso.

Adobe solucionó de forma independiente la vulnerabilidad en Flash (CVE-2015- 3043) a través del boletín APSB15-06. Por otra parte Microsoft fue informada de la vulnerabilidad que se utilizaba en este ataque, una elevación local de privilegios en Windows (con CVE-2015-1701). Se confirma que Microsoft está trabajando en una solución para evitar este fallo. Y aunque todavía no existe un parche disponible para este problema, la actualización de Adobe Flash hace que el exploit que se utilizaba quedara inutilizado.

El exploit funcionaba en varios pasos:
1.  El usuario pulsaba en un enlace a un sitio web controlado por el atacante
2.  Una página HTML/JS lanzaba el exploit Flash
3.  El exploit Flash intenta ejecutar código Shell a través de CVE-2015-3043
4.  El código Shell descarga y ejecuta su payload
5.  El payload explota la elevación local de privilegios (CVE-2015-1701) para obtener el token de System

La página lanzadora en HTML/JS disponía de dos archives Flash en función de la plataforma del usuario atacado (Windows 32 bits o 64bits). Tanto el HTML/JS como el exploit Flash no disponían de ninguna ofuscación (salvo la utilización de nombres de variables en el Flash). Los atacantes se basaron en gran medida en el módulo de Metasploit CVE-2014-0515, que está bien documentado. En vez de usar ROP construye un vtable falsa para un objeto FileReference que se ha modificado para cada llamada a una API de Windows. A continuación el payload explotaba una vulnerabilidad en el kernel de Windows que permitía elevar privilegios si detectaba que se ejecutaba con permisos limitados.

Para el exploit Flash de CVE-2015- 3043, la principal diferencia entre el módulo de Metasploit CVE-2014-0515 y éste nuevo reside en que anteriormente se aprovechaba  una vulnerabilidad en el tratamiento Shader de Flash. Mientras que la nueva vulnerabilidad CVE-2015-3043 aprovecha un fallo en el procesamiento FLV de Flash. El archivo FLV malicioso está incrustado dentro de AS3 en dos "chunks", y se vuelve a montar en tiempo de ejecución. La vulnerabilidad reside en un desbordamiento de búfer en Adobe Flash Player (versiones inferiores a 17.0.0.134) al tratar objetos FLV mal construidos.

Por otra parte el exploit CVE-2015-1701 ejecuta una devolución de llamada en el espacio de usuario. Esto coge estructuras EPROCESS del proceso actual y del proceso System, y copia datos desde el token System en el token del proceso actual. Al finalizar, el payload continúa la ejecución con los privilegios del proceso System. Microsoft está trabajando en una actualización para esta vulnerabilidad, que se ha confirmado que no afecta a Windows 8.

Más información:

Operation RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia’s APT28 in Highly-Targeted Attack

una-al-dia (15/04/2015) Actualizaciones de seguridad de Adobe para Flash Player, ColdFusion y Flex

Security updates available for Adobe Flash Player



Antonio Ropero
Twitter: @aropero


domingo, 19 de abril de 2015

MS15-034, aplícate el parche

Uno de los parches publicados por Microsoft el pasado martes, el MS15-034, está generando bastante expectación, sobre todo por las consecuencias que podría acarrear su explotación en caso de que se encuentre la forma de llegar hasta ella. Si esto último se confirma, podríamos estar frente a un serio problema, veremos porqué.

El fallo se encuentra en "HTTP.sys". Este componente implementa el conocido protocolo de capa de aplicación HTTP para cualquier componente del sistema o aplicación que consuma u ofrezca recursos web. El error se produce, según el propio boletín de Microsoft, al procesar una cabecera HTTP especialmente manipulada.

Respecto a la cabecera, las pruebas de concepto y exploits que han ido apareciendo se basan en la cabecera "Range". Esta cabecera permite a un cliente generar una petición sobre un recurso especificando un rango de bytes concreto. Esto optimiza el tráfico al permitir que un cliente disponga de un "trozo" de un recurso cuya transmisión ha sido infructuosa o simplemente disponer de recursos de gran tamaño en porciones adaptadas al criterio o capacidad del cliente.

Una vulnerabilidad similar (CVE-2011-3192) afectó al servidor web Apache cuando se especificaban varios rangos solapados en la misma petición. La explotación, al igual que en esta ocasión, era trivial, y a diferencia de esta, fue usada para tirar bastantes servidores antes de que se publicará un parche.

Volviendo al componente, HTTP.sys no es una biblioteca de funciones al uso. Estamos hablando de un dispositivo del kernel de Windows, corre en su espacio y sus permisos están asociados a System. Antes de que las peticiones HTTP sean procesadas por un servidor son recibidas y tratadas por HTTP.sys, algo que permite elevar el rendimiento al efectuar el cacheo de peticiones directamente en espacio del kernel. Precisamente una contramedida oficial pasa por la desactivación del cacheo de peticiones en IIS7, aunque Microsoft ya avisa que esto podría causar un deterioro perceptible del rendimiento del servidor.

Algo que venimos observando es que se le está atribuyendo la vulnerabilidad a Microsoft IIS en exclusiva, el servidor dominante en sistemas Windows. Por supuesto es el servidor web en el que todos estamos pensando cuando hablamos de explotación, pero no podemos descartar otros servidores o servicios que se apoyen en HTTP.sys.

Con todo esto podemos deducir que el impacto que podría tener una ejecución remota de código arbitrario, a través de un servidor web publicado en Internet con una simple petición HTTP, podría ser desastrosa. HTTP.sys ya tuvo en 2013 (MS13-039) un fallo que causaba una denegación de servicio, se calificó entonces de importante. Recordemos que Microsoft cataloga esta vulnerabilidad de crítica.

Los sistemas operativos afectados son Windows 7, 2008 R2, Windows 8 y 8.1, 2012 y 2012 R2. Es posible que esta vulnerabilidad afecte a sistemas que ya no tienen soporte oficial, Microsoft no se ha pronunciado al respecto. La vulnerabilidad tiene el CVE-2015-1635.
La prueba de concepto para evaluar la afectación de un sistema puede lograrse a través de cualquier script o programa que genere una petición HTTP con una cabecera Range en particular:

Range: bytes=0-18446744073709551615

Con la herramienta de línea de comandos 'curl' por ejemplo:

curl -v  dirección-ip-a-probar/ -H "Host: cualquiervalor" -H "Range: bytes=0-18446744073709551615"

Los próximos días, quizás semanas, nos dirán si todo se queda en una denegación de servicio o estamos frente a una amenaza bastante seria.

Más información:

Microsoft Security Bulletin MS15-034 - Critical
Vulnerability in HTTP.sys Could Allow Remote Code Execution (3042553)

una-al-dia (15/04/2015) Microsoft publica 11 boletines de seguridad

una-al-dia (25/08/2011) Denegación de servicio en Apache a través de Range header

una-al-dia (14/05/2013) Boletines de seguridad de Microsoft en mayo

Boletín de seguridad de Microsoft MS13-039 - Importante
Una vulnerabilidad en HTTP.sys podría permitir la denegación de servicio (2829254)



David García
Twitter: @dgn1729

sábado, 18 de abril de 2015

Vulnerabilidades descubiertas en Lenovo ThinkServer *50-SERIES

Lenovo ha reportado tres vulnerabilidades que afectan a productos de la familia Lenovo ThinkServer *50-SERIES. Estos problemas permitirían a atacantes remotos causar ataques 'Man-in-the-Middle', conseguir privilegios y en casos concretos provocar una denegación de servicio.

Los productos de la familia Lenovo ThinkServer *50-SERIES son servidores de torre especialmente dedicadas para bases de datos pequeñas, tareas de virtualización y aplicaciones típicas de oficinas. Con un diseño reducido y silencioso, estos servidores están fabricados para soportar condiciones extremas, cumpliendo los requisitos de fiabilidad de los estándares más exigentes.

Se ven afectados los productos ThinkServer RD350, RD450, RD550, RD650 y TD350. La primera de las vulnerabilidades, con CVE-2015-3322, se debe a un cifrado muy débil de las contraseñas de usuario y administrador de la BIOS. Esto puede ser aprovechado por un atacante para descifrar dichas contraseñas a través de vectores no especificados. Se recomienda actualizar la BIOS a la versión (V1.26.0) disponible desde: http://support.lenovo.com/us/en/product_security/ts_bios_pw

La siguiente vulnerabilidad, con CVE-2015-3323, reside en el software ThinkServer System Manager (TSM). Un atacante remoto podría causar una denegación de servicio a través del envío de paquetes HTTP especialmente manipulados.

Por último, el CVE-2015-3324, en la que un atacante remoto podría realizar un ataque 'Man-in-the-Middle' también en el componente ThinkServer System Manager (TSM). Esto podría ser debido a un error de validación de certificados de servidor durante el establecimiento de sesiones remotas KVM cifradas.
Para estas dos últimas vulnerabilidades se recomienda actualizar (TSM) a la versión TSM v1.27.7347. Disponible desde:

Más información:

Lenovo Product Security Advisories

ThinkServer *50-series BIOS Password Encryption Weakness

Multiple ThinkServer System Manager (TSM) *50-series Security Weaknesses



Juan Sánchez

viernes, 17 de abril de 2015

Google publica Chrome 42 y corrige 45 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 42. Se publica la versión 42.0.2311.90 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 45 nuevas vulnerabilidades.

Según el aviso de Google entre las mejoras se incluyen nuevas APIs de extensiones, de aplicaciones y de plataforma web (Web Platform), incluyendo API Push. También numerosos cambios en la estabilidad y rendimiento. Se ha deshabilitado el soporte para plugins NPAPI (como Netscape, Java y Silverlight).

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 45 nuevas vulnerabilidades, solo se facilita información de 12 de ellas (cuatro de gravedad alta y las ocho restantes de importancia media).

Las vulnerabilidades descritas están relacionadas con lecturas fuera de límites en WebGL y en Blink, escritura fuera de límites en Skia. También se solucionan vulnerabilidades por uso después de liberar memoria en IPC y en PDFium. Salto de políticas de orígenes cruzados en el analizador HTML y en Blink. Una vulnerabilidad de Tapjacking, una confusión de tipos en v8 y salto HSTS (HTTP Strict Transport Security) en WebSockets. Por último otras vulnerabilidades en OpenSearch y un salto de las medidas de SafeBrowsing. Los CVE asignados van del CVE-2015-1235 al CVE-2015-1238, CVE-2015-1240 al CVE-2015-1242 y CVE-2015-1244 al CVE-2015-1247.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1249). Así como múltiples vulnerabilidades en V8 en la rama de 4.2 (actualmente 4.2.77.14).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 52.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Cabe señalar, que en el aviso de Google también se destaca que Chrome 42, no podía ser de otra forma, es la respuesta al sentido de la vida, el universo y todo lo demás.

Más información:

Stable Channel Update




Antonio Ropero

Twitter: @aropero

jueves, 16 de abril de 2015

Oracle corrige 98 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de abril. Contiene parches para 98 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database Server, versiones 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Access Manager, versiones 11.1.1.5 y 11.1.1.7
  • Oracle Exalogic Infrastructure, versiones 1.x y 2.x
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle GoldenGate Monitor, versiones 11.1.2.1.0
  • Oracle iPlanet Web Proxy Server, versiones 4.0
  • Oracle iPlanet Web Server, versiones 6.1 y 7.0
  • Oracle OpenSSO, versiones 3.0-04
  • Oracle Outside In Technology, versiones 8.4.1, 8.5.0 y 8.5.1
  • Oracle WebCenter Portal, versiones 11.1.1.8.0
  • Oracle WebCenter Sites, versiones 7.6.2, 11.1.1.6.1 y 11.1.1.8.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.1.0, 12.1.2.0 y 12.1.3.0
  • Oracle Hyperion BI+, versiones 11.1.2.2 y 11.1.2.3
  • Oracle Hyperion Smart View para Office, versiones 11.1.2.x
  • Enterprise Manager Base Platform, versiones MOS 12.1.0.5, MOS 12.1.0.6
  • Application Management Pack para Oracle E-Business Suite, versiones AMP 121020 y AMP 121030
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.3 y 12.2.4
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0
  • Oracle Demand Planning, versiones 11.5.10, 12.0, 12.1 y 12.2
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5 y 6.3.6
  • PeopleSoft Enterprise PeopleTools, versiones 8.53 y 8.54
  • PeopleSoft Enterprise Portal Interaction Hub, versiones 9.1.0
  • PeopleSoft Enterprise SCM Strategic Sourcing, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Technology, versiones 9.1
  • Siebel Applications, versiones 8.1 y 8.2
  • Oracle Commerce Guided Search/Oracle Commerce Experience Manager, versiones 3.x y 11.x
  • Oracle Commerce Platform, versiones 9.4, 10.0 y 10.2
  • Oracle Retail Back Office, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Central Office, versiones 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Argus Safety, versiones 8.0
  • Oracle Knowledge, versiones 8.2.3.10.1 y 8.4.7.2
  • Oracle Java FX, versiones 2.2.76
  • Oracle Java SE, versiones 5.0u81, 6u91, 7u76 y 8u40
  • Oracle JRockit, versiones R28.3.5
  • Cisco MDS Fiber Channel Switch, versiones 5.2 y 6.2
  • Oracle VM Server para SPARC, versiones 3.1 y 3.2
  • Solaris, versiones 10 y 11.2
  • MySQL Connectors, versiones 5.1.34 y anteriores
  • MySQL Enterprise Monitor, versiones 2.3.19 (y anteriores) y 3.0.18 (y anteriores)
  • MySQL Server, versiones 5.5.42 (y anteriores) y 5.6.23 (y anteriores)
  • MySQL Utilities, versiones 1.5.1 y anteriores
  • SQL Trace Analyzer, versiones anteriores a 12.1.11


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Cuatro nuevas vulnerabilidades corregidas en Oracle Database Server. Afectan a los componentes Java VM, XDB - XML Database, Core RDBMS y XDK and XDB - XML Database.
         
  • Otras 17 vulnerabilidades afectan a Oracle Fusion Middleware. 12 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle Access Manager, Oracle WebLogic Server, Oracle GoldenGate Monitor, Oracle Exalogic Infrastructure, Oracle WebCenter Sites, Oracle WebLogic Server, Oracle GlassFish Server, Oracle WebCenter Portal, Oracle OpenSSO y Oracle Outside In Technology.     
  • Dos actualizaciones afectan a Oracle Hyperion, una de ellas podría ser explotada por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Hyperion Smart View for Office y Oracle Hyperion BI+.
         
  • Esta actualización contiene una nueva actualización de seguridad para Oracle Enterprise Manager Grid Control por una vulnerabilidad explotable remotamente sin autenticación.
         
  • Dentro de Oracle Applications, cuatro parches son para Oracle E-Business Suite, siete parches son para la suite de productos Oracle Supply Chain, seis para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, uno para Oracle Siebel CRM y dos para la plataforma Oracle Commerce.
         
  • Igualmente dentro de Oracle Industry Applications se incluye un nuevo parche para aplicaciones Oracle Health Sciences y dos nuevos parches para aplicaciones Oracle Retail.
         
  • También hay una nueva actualización para Oracle Right Now Service Cloud y otra a Oracle Support Tools.
         
  • En lo referente a Oracle Java SE se incluyen 14 nuevos parches de seguridad. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 8 nuevas actualizaciones, cinco de ellas afectan a Solaris, también afectan a Cisco MDS Fiber Channel Switch y a Oracle VM Server para SPARC.
         
  • 26 nuevas vulnerabilidades afectan a MySQL Server, cuatro de ellas explotables de forma remota sin autenticación.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - April 2015

Más información:

Oracle Critical Patch Update Advisory - April 2015


Antonio Ropero

Twitter: @aropero

miércoles, 15 de abril de 2015

Actualizaciones de seguridad de Adobe para Flash Player, ColdFusion y Flex

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 24 vulnerabilidades en Flash Player, ColdFusión y Flex.

Flash Player

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 17.0.0.134 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.277 (y versiones 13.x anteriores) y Adobe Flash Player 11.2.202.451 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB15-06, resuelve un total de 22 vulnerabilidades, para una de las cuales (CVE-2015-3043) Adobe reconoce la existencia de un exploit público en la actualidad.

La mayoría de las vulnerabilidades podrían permitir la ejecución remota de código arbitrario, incluyendo un desbordamiento de búfer, 11 errores de corrupción de memoria, un error de confusión de tipos, cuatro vulnerabilidades de uso después de liberar y una de doble liberación. También se solucionan dos vulnerabilidades de fuga de memoria que podrían permitir evitar la protección ASLR y por último un salto de medidas de seguridad podría permitir la obtención de información sensible.

Los CVE asociados comprenden del CVE-2015-0346 al CVE-2015-0360 y del CVE-2015-3038 al CVE-2015-3044.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 17.0.0.169
  • Flash Player Extended Support Release 13.0.0.281
  • Flash Player para Linux 11.2.202.457

Igualmente se ha publicado la versión 17.0.0.169 de Flash Player para Internet Explorer y Chrome.

ColdFusion

También se han publicado actualizaciones para ColdFusion versiones 11 y 10. Estos parches están destinados a corregir un problema de validación de entradas que podría emplearse para realizar ataques de cross-site scripting (CVE-2015-0345).

Se recomienda a los usuarios actualicen sus productos con las actualizaciones proporcionadas por Adobe:
ColdFusion 11 (Update 5):
ColdFusion 10 (Update 16):

Adobe Flex

Por último se ha identificado una vulnerabilidad importante (CVE-2015-1773) en la salida JavaScript de la herramienta ASDoc disponible en Adobe Flex 4 (y versiones anteriores). Este problema podría permitir a la realización de ataques de Cross-Site Scripting.

Adobe recomienda seguir los siguientes pasos:
  1 - Descargar el archivo index.html disponible desde
        http://s.apache.org/O1l
  2 - Aplicar modificaciones en el archivo index.html existente (p.ej. actualizar el título de la página)
  3 - Implementar los resultados en el sitio web

Mas información:

Security updates available for Adobe Flash Player

Security Update: Hotfixes available for ColdFusion

Security vulnerability in output of Adobe Flex ASdoc Tool


Antonio Ropero
Twitter: @aropero