Ejecución remota de comandos en productos Trend Micro

Una vez más sale a la luz una vulnerabilidad reportada por Project Zero de Google. En esta ocasión diversos productos Trend Micro se ven afectador por un sencillo problema que podría permitir la ejecución remota de comandos arbitrarios.

Tavis Ormandy, el conocido investigador de Google, ha descubierto un stub remoto de depuración de Node.js en los productos Trend Micro Maximum Security, Premium Security y Password Manager. El propio Tavis ha calificado el fallo como ridículo.

Un stub es una clase que implementa la interfaz remota de forma que cualquiera puede utilizarla como si se tratara de una local. Básicamente se trata de un servidor que implementa ciertos métodos sobre los cuales se puede ejecutar código Javascript. Este tipo de sistema es usado en labores de depuración pero, tal y como suele ser habitual en este tipo de funcionalidad, su explotación suele ser trivial mientras que su impacto puede llegar a ser crítico si este servicio llega a publicarse en producción.

De forma que para explotar el fallo basta con realizar algo similar:

http://localhost:Puerto/json/new/?javascript:require('child_process').spawnSync('calc.exe')
Basta un sencillo bucle para encontrar el puerto en el que el stub se encuentra a la escucha.

TrendMicro accidentally left a remote debugging server running on all customer machines ¯\_(ツ)_/¯ #oops https://t.co/bPLFOrTLBl

— Tavis Ormandy (@taviso) 30 de marzo de 2016

El problema se reportó a Trend Micro el 22 de marzo, que reaccionó rápidamente y publicó un parche temporal el día 30. Según el investigador, en determinadas circunstancias, aun con el parche provisional instalado, podría seguir siendo vulnerable. De todas formas, dada la gravedad del problema, Trend Micro ha publicado ya versiones actualizadas y trabaja en una versión definitiva.

No es la primera vez que Tavis Ormandy centra sus descubrimientos en productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos.

El pasado septiembre, el investigador también avisó de fuertes evidencias de la existencia de un mercado negro muy activo en vulnerabilidades en productos de seguridad. Por esta razón consideraba que los fabricantes de productos de seguridad tienen la responsabilidad de mantener los más altos estándares de desarrollo seguro para minimizar el posible daño potencial causado por su software.

Más información:

TrendMicro: A remote debugger stub is listening in default install

https://bugs.chromium.org/p/project-zero/issues/detail?id=773

una-al-dia (08/09/2015) Polémicos anuncios de vulnerabilidades en productos Kaspersky y FireEye

http://unaaldia.hispasec.com/2015/09/polemicos-anuncios-de-vulnerabilidades.html

una-al-dia (29/09/2015) Múltiples vulnerabilidades en productos Kaspersky

http://unaaldia.hispasec.com/2015/09/multiples-vulnerabilidades-en-productos.html

Analysis and Exploitation of an ESET Vulnerability

http://googleprojectzero.blogspot.com.es/2015/06/analysis-and-exploitation-of-eset.html

Sophail: Applied attacks against Sophos Antivirus

https://lock.cmpxchg8b.com/sophailv2.pdf

Kaspersky: Mo Unpackers, Mo Problems.

http://googleprojectzero.blogspot.com.es/2015/09/kaspersky-mo-unpackers-mo-problems.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Petya, un nuevo ransomware que impide el acceso al disco duro

Investigadores de G-Data han informado de un nuevo malware, más concretamente un ransomware, que bajo el nombre de Petya impide el acceso al disco duro y pide un rescate de más de 300 euros.

Todos recordamos el ya famoso "Virus de la policía", claro ejemplo de ransomware, un tipo de malware que secuestra recursos de un sistema informático y pide un rescate por su liberación.

Para llevar a cabo la infección, los estafadores utilizan correos específicamente diseñados en los que se incluye un enlace a un alojamiento en Dropbox, que simula ser un falso currículum. A diferencia de otras ocasiones en que se han empleado vulnerabilidades para lograr la infección del sistema, en esta ocasión los atacantes recurren al medio más clásico y sencillo, la ingeniería social. El archivo descargado en realidad es un ejecutable ("Bewerbungsmappe-gepackt.exe") que inicia la descarga e instalación del troyano en el sistema.

Una vez instalado Petya sobrescribe el MBR (Master Boot Record) del disco duro reemplazándolo con un cargador malicioso y provoca el reinicio del ordenador. El MBR es la parte del sistema que indica al ordenador como debe arrancar el sistema operativo. Con ello Windows se reinicia con el cargador del ransomware, que muestra una pantalla que simula ser un chkdsk. Sin embargo durante este falso Chkdsk lo que realiza es el cifrado de la Master File Table (MFT).

Esto es, Petya no llega a cifrar todo el disco duro como tal, lo cual llevaría demasiado tiempo, pero una vez que la MFT queda cifrada (o corrompida) el sistema no puede saber donde se alojan los archivos, por lo que quedan totalmente inaccesibles.

Tras ello, como suele ser habitual en este tipo de malware se muestra un aviso bastante alarmante. Ya que en vez del habitual arranque de Windows se muestra una pantalla de color rojo con una calavera blanca en ASCCI.

Ahora al ransomware solo le queda mostrar una pantalla en la que se ofrecen las instrucciones para realizar la compra de una clave que permita recuperar los datos.

Vídeo en el que se muestra la actuación de Petya:

https://www.youtube.com/watch?v=yfCt35RTR-U

También hay que señalar que una vez que el MBR queda modificado por Petya, también se impide el reinicio en Modo Seguro.

Acto seguido, el usuario recibe instrucciones explícitas sobre cómo hacer el pago, al igual que cualquier crypto-ransomware que esté circulando en la actualidad: una lista de demandas, un enlace a Tor Project y cómo llegar a la página de pago a través de él, y un código de descifrado personal.

Las instrucciones para el pago se encuentran en una web de la red Tor, donde se informa que el afectado deberá pagar 0,90294 Bitcoins (unos 320 euros) para obtener la supuesta clave que permita recuperar la información del disco duro.

Hasta el momento todos los análisis realizados no se ha conseguido un método para recuperar la información, por lo que como siempre la mejor medida de seguridad es la precaución.

Según ha confirmado Trend Micro Dropbox fue informada de los archivos maliciosos alojados en su servicio y la compañía ya los ha eliminado. A pesar de ello, hay que tener presente que los atacantes podrán emplear cualquier otro alojamiento o medio para el envío del archivo malicioso.

Más información:

Petya Ransomware skips the Files and Encrypts your Hard Drive Instead

http://www.bleepingcomputer.com/news/security/petya-ransomware-skips-the-files-and-encrypts-your-hard-drive-instead/

Ransomware Petya encrypts hard drives

https://blog.gdatasoftware.com/2016/03/28213-ransomware-petya-encrypts-hard-drives

PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers

http://blog.trendmicro.com/trendlabs-security-intelligence/petya-crypto-ransomware-overwrites-mbr-lock-users-computers/

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Google corrige vulnerabilidades críticas en Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 49.0.2623.108) para todas las plataformas (Windows, Mac y Linux) para corregir cinco nuevas vulnerabilidades de gravedad alta, incluido el problema descubierto en el Pwn2Own.

En esta ocasión se han corregido cinco vulnerabilidades, una lectura fuera de límites en V8 y por uso después de liberar en Navigation y en Extensions. También se soluciona la vulnerabilidad que se anunció en el Pwn2Own, debida a un desbordamiento de búfer en libANGLE.Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 18.000 dólares en recompensas a los descubridores de los problemas.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Así como múltiples vulnerabilidades en V8 en la rama 4.9 (actualmente 4.9.385.33). Los CVE asociados a las vulnerabilidades van del CVE-2016-1646 al CVE-2016-1650.

Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2016/03/stable-channel-update_24.html

una-al-dia (18/03/2016) Safari, Edge, Flash y Chrome caen en el Pwn2Own 2016

http://unaaldia.hispasec.com/2016/03/safari-edge-flash-y-chrome-caen-en-el.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Actualización de Java por vulnerabilidad grave

Oracle ha publicado una actualización de la plataforma Java SE (Standard Edition) destinada a solucionar una nueva vulnerabilidad.

El problema, con CVE-2016-0636, afecta a Java cuando se ejecuta en navegadores. La vulnerabilidad no es aplicable a otras implementaciones Java habituales en servidores o aplicaciones de escritorio, que cargan y ejecutan código fiable.

Se ven afectados Oracle Java SE 7 Update 97 y Java SE 8 Update 73 y 74 para Windows, Solaris, Linux y Mac OS X. La vulnerabilidad podría explotarse en remoto y sin necesidad de autenticación. El fallo reside en el componente Hotspot y bastaría con que un usuario con una versión de Java afectada visite una web específicamente creada.

Los usuarios de Oracle Java SE pueden descargar la última versión desde

http://java.com.

Los usuarios de la plataforma Windows pueden usar las actualizaciones automáticas para obtener la última actualización.

Más información

Oracle Security Alert for CVE-2016-0636

http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Disponible en YouTube la conferencia "Montando un Escenario de Hacking IPv6 por 3 €" de Rafael Sánchez de Eleven Paths en XII Ciclo UPM TASSI 2016

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la segunda conferencia del XII Ciclo UPM TASSI 2016, "Temas Avanzados en Seguridad y Sociedad de la Información", de título "Montando un Escenario de Hacking IPv6 por 3 €", presentada el 18 de febrero de 2016 en el Campus Sur de la Universidad Politécnica de Madrid por D. Rafael Sánchez Gómez, Analista de Seguridad en Eleven Paths. 

Rafael Sánchez posee las certificaciones CISM y CISA; tiene el Grado en Ingeniería de Sistemas de Información. Es responsable técnico de proyectos de Seguridad de Red dentro del Área GCTO de Telefónica. Miembro del comité de OWASP Madrid. Especialista en Seguridad de Red. Es ponente invitado en congresos de Seguridad Informática tales como Navaja Negra, Cybercamp o Mundo Hacker Day.

En esta ponencia se expone cómo montar un escenario de pruebas de seguridad sobre en redes IPv6 nativas. Se realiza un análisis de los aspectos más destacables del protocolo IPv6 desde un punto de vista de la seguridad y se muestra cómo cualquier interesado en seguridad puede utilizar servidores VPS de bajo coste para hacer pruebas de seguridad en redes IPv6. Queda mucho por investigar en seguridad sobre el sucesor de IPv4 y se invita a los interesados en seguridad a asumir el reto.

https://www.youtube.com/watch?v=gbKPLvyu6dY

Todas las conferencias TASSI y documentación:

http://www.criptored.upm.es/multimedia/multimedia.html

Dr. Jorge Ramió; Dr. Alfonso Muñoz

Conferencias TASSI 

Publicada la píldora formativa Thoth 34 "¿Cómo ciframos en flujo con A5, RC4 y en modo CTR?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 34 del proyecto Thoth, tercera píldora de la serie sobre cifrado en flujo. La píldora de 34 lleva por título "¿Cómo ciframos en flujo con A5, RC4 y en modo CTR?"

El algoritmo A5 propuesto en 1994 por GSMA, permite cifrar bit a bit una conversación telefónica inalámbrica GSM entre un teléfono móvil y la estación base. Al no hacerse público el código fuente, las versiones del algoritmo, incluso la más robusta A5/1, se enfrentan a varios ataques, sucumbiendo por primera vez en diciembre de 1999. RC4 es un algoritmo de cifra en flujo byte a byte diseñado por Ron Rivest en 1987, de uso habitual en el protocolo SSL/TLS pero que ha caído en desgracia a comienzos del año 2015. Y, finalmente, el modo de cifra contador CTR es similar al denominado OFB, realimentación por bloques de salida, dado que convierte un cifrador de bloques en un cifrador de flujo, pero más eficiente.

Píldora 34 "¿Cómo ciframos en flujo con A5, RC4 y en modo CTR?"

https://www.youtube.com/watch?v=WZfttmgqqeM

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Se puede acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de todas las anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda de vídeos mediante los siguientes filtros: Fundamentos de seguridad, Criptografía clásica, Historia de la criptografía, Matemáticas en criptografía, Criptografía moderna.

Web: http://www.criptored.upm.es/thoth/index.php

Recuerda que tus comentarios en YouTube son muy bien recibidos, importantes y además necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth en abril de 2016 será la píldora 35 con el título "¿Cómo funciona el algoritmo RC4?", cuarta y última píldora de este bloque dedicado a la cifra en flujo.

Jorge Ramió, Alfonso Muñoz

Directores Proyecto Thoth

Vulnerabilidades en Symantec Endpoint Protection

Symantec ha confirmado tres vulnerabilidades en Symantec Endpoint Protection que podrían permitir realizar ataques de inyección SQL, Cross-Site Request Forgery o evitar restricciones de seguridad.

Endpoint Protection es una suite de seguridad que engloba protección antivirus y cortafuegos corporativo. Ofrece seguridad tanto para servidores, estaciones de trabajo o entornos virtuales. Es un producto multiplataforma que cuenta con una consola para su administración de forma remota.

La consola de administración de Symantec Endpoint Protection Manager (SEPM) es vulnerable a un ataque de cross-site request forgery debido a unas comprobaciones de seguridad insuficientes. En este caso un atacante con permisos menores podría conseguir elevar sus privilegios en la administración SEPM.

Otra vulnerabilidad en la consola SEPM (Symantec Endpoint Protection Manager) se debe a que no se tratan adecuadamente las entradas SQL. Lo que podría permitir a un usuario autenticado realizar un ataque de inyección SQL.

Por último, el driver sysplant se carga como parte del componente ADC (Application and Device Control) de un cliente SEP si ADC está instalado y activo en el cliente. Este controlador no realiza las validaciones suficientes o protege contra entradas externas, lo que podría permitir ejecutar código arbitrario en el sistema cliente con los privilegios de usuario autenticado.

Se han asignado los CVE-2015-8152 al CVE-2015-8154. Se ven afectadas las versiones Symantec Endpoint Protection Manager y cliente 12.1. Symantec ha publicado Endpoint Protection (SEP) 12.1-RU6-MP4 que soluciona los problemas y que se encuentra disponible desde Symantec File Connect.

https://symantec.flexnetoperations.com/

Más información:

Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Multiple Security Issues

https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160317_00

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Grave vulnerabilidad de Linux afecta a dispositivos Android

Google ha confirmado la detección de una aplicación disponible de forma pública que aprovechando una vulnerabilidad permitía obtener permisos de "root" en dispositivos Android.

Google ha publicado un aviso de seguridad en el que informa de una vulnerabilidad no parcheada de elevación de privilegios en el kernel de algunos dispositivos Android. La compañía confirma que tras la detección de este fallo de seguridad se ha bloqueado la instalación de aplicaciones que permitan "rootear" dispositivos mediante el uso de esta vulnerabilidad. Tanto desde Google Play como desde fuera de Google Play (mediante  Verify Apps) y ha actualizado sus sistemas para detectar aplicaciones que usen esta vulnerabilidad concreta.

El problema ya era conocido en el kernel de Linux, e incluso fue corregido en abril de 2014, sin embargo no se le asignó un CVE (CVE-2015-1805) con un parche de seguridad hasta febrero de 2015. Ha sido en febrero de este año, cuando C0RE Team notificó a Google que el problema podía explotarse en Android y se desarrolló un parche para incluirse en las actualizaciones periódicas de Android.

El 15 de marzo, Google recibió un aviso de Zimperium (los mismos que descubrieron Stagefright) de que la vulnerabilidad había sido aprovechada en un Nexus 5. Tras lo que Google pudo confirmar la existencia de aplicaciones disponibles públicamente, para proporcionar permisos de "root" en Nexus 5 y 6. Según confirma Google, no se han detectado aplicaciones que puedan considerarse maliciosas que aprovechen esta vulnerabilidad.

Se ven afectados todos los dispositivos Android con versiones de kernel 3.4, 3.10 y 3.14. Dispositivos Android con versiones del kernel 3.18 o superior no son vulnerables. Google ha calificado este problema como de gravedad crítica dada la posibilidad de realizar una escalada de privilegios local y permitir la ejecución de código arbitrario que daría lugar a un compromiso total y permanente del dispositivo afectado.

Para proporcionar una capa final de defensa para este problema, se ha proporcionado a los fabricantes un parche para este problema. Google ha desarrollado actualizaciones para sus dispositivos Nexus y se ha publicado el código fuente de los parches en el repositorio Android Open Source Project (AOSP).

Más información:

Android Security Advisory—2016-03-18

https://source.android.com/security/advisory/2016-03-18.html

C0RE Team

http://c0reteam.org/

Zimperium

https://www.zimperium.com/

una-al-dia (28/07/2015) Drake y el codiciado tesoro del androide

http://unaaldia.hispasec.com/2015/07/drake-y-el-codiciado-tesoro-del-androide.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Múltiples vulnerabilidades en Moodle

Moodle ha publicado 10 alertas de seguridad en las que se corrigen vulnerabilidades con diversos efectos, desde los habituales XSS hasta saltos de restricciones. Se ven afectadas todas las ramas soportadas 2.7, 2.8, 2.9, 3.0, y anteriores versiones ya fuera de soporte.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado un total de 10 boletines de seguridad (del MSA-16-0003 al MSA-16-0012) que corrigen otras tantas vulnerabilidades de carácter leve. Estos errores de seguridad podrían permitir ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), revelación de información, elusión de restricciones, y obtención de permisos adicionales.

Los identificadores asignados a las vulnerabilidades comprenden del CVE-2016-2151 al CVE-2016-2159 y CVE-2016-2190.

Las versiones 2.7.13, 2.8.11, 2.9.5 y 3.0.3 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde el sitio oficial de Moodle.

http://download.moodle.org/

Más información:

Moodle downloads

http://download.moodle.org/

MSA-16-0003: Incorrect capability check when displaying users emails in

Participants list

https://moodle.org/mod/forum/discuss.php?d=330173

MSA-16-0004: XSS from profile fields from external db

https://moodle.org/mod/forum/discuss.php?d=330174

MSA-16-0005: Reflected XSS in mod_data advanced search

https://moodle.org/mod/forum/discuss.php?d=330175

MSA-16-0006: Hidden courses are shown to students in Event Monitor

https://moodle.org/mod/forum/discuss.php?d=330176

MSA-16-0007: Non-Editing Instructor role can edit exclude checkbox in

Single View

https://moodle.org/mod/forum/discuss.php?d=330177

MSA-16-0008: External function get_calendar_events return events that

pertains to hidden activities

https://moodle.org/mod/forum/discuss.php?d=330178

MSA-16-0009: CSRF in Assignment plugin management page

https://moodle.org/mod/forum/discuss.php?d=330179

MSA-16-0010: Enumeration of category details possible without authentication

https://moodle.org/mod/forum/discuss.php?d=330180

MSA-16-0011: Add no referrer to links with _blank target attribute

https://moodle.org/mod/forum/discuss.php?d=330181

MSA-16-0012: External function mod_assign_save_submission does not check

due dates

https://moodle.org/mod/forum/discuss.php?d=330182

Juan José Ruiz

jruiz@hispasec.com

Apple publica actualizaciones para múltiples productos: OS X Server, OS X El Capitan, Safari, iOS …

Apple ha publicado actualizaciones para sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.4) y Security Update 2016-002, Safari 9.1, iOS 9.3, OS X Server 5.1, Xcode 7.3, tvOS 9.2 y watchOS 2.2. En total se solucionan 173 nuevas vulnerabilidades.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado OS X El Capitan v10.11.4 y Security Update 2016-002 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 a v10.11.3; destinado a corregir 59 vulnerabilidades, la mayoría de ellas podrían llegar a permitir la ejecución de código arbitrario. Afectan a componentes importantes como AppleRAID, Bluetooth, FontParser, HTTPProtocol, Graphics Driver, IOGraphics, IOUSBFamily, Kernel, libxml2, OpenSSH, OpenSSL, QuickTime, Security, o Wi-Fi.

También ha publicado la versión OS X Server v5.1 (para OS X Yosemite 10.10.5 y posteriores). Se han solucionado cuatro vulnerabilidades que afectan a los componentes Server App, Web Server y Wiki Server. Con identificadores CVE-2016-1774, CVE-2016-1776, CVE-2016-1777 y CVE-2016-1787.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.1 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.x. Se solucionan 12 vulnerabilidades relacionadas principalmente con problemas en WebKit (el motor de navegador de código abierto que es la base de Safari). Otros componentes afectados son libxml2, Safari Downloads, Safari Top Sites. Con identificadores CVE-2009-2197, CVE-2016-1762, CVE-2016-1771, CVE-2016-1772, CVE-2016-1778, CVE-2016-1779 , CVE-2016-1781 al CVE-2016-1786.

Por otra parte, iOS se actualiza a la versión 9.3 que incluye mejoras no relacionadas directamente con la seguridad y soluciona 38 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes AppleUSBNetworking, FontParser, HTTPProtocol, IOHIDFamily, Kernel, libxml2, Messages, Profiles, Security, TrueTypeScaler, WebKit, WebKit History y WebKit Page Loading.

De forma similar, Apple publica WatchOS 2.2, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 34 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario.

Apple también ha publicado Xcode 7.3, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en otool y dos vulnerabilidades en subversión (que se actualiza a la versión 1.7.22).

Por último, también ha publicado tvOS 9.2, el sistema operativo para Apple TV (de cuarta generación), que no solo incluye novedades y mejoras sino que además soluciona un total de 23 vulnerabilidades.

Más información:

About the security content of OS X El Capitan v10.11.4 and Security Update 2016-002

https://support.apple.com/es-es/HT206167

About the security content of OS X Server 5.1

https://support.apple.com/es-es/HT206173

About the security content of Safari 9.1

https://support.apple.com/es-es/HT206171

About the security content of iOS 9.3

https://support.apple.com/es-es/HT206166

About the security content of watchOS 2.2

https://support.apple.com/es-es/HT206168

About the security content of Xcode 7.3

https://support.apple.com/es-es/HT206172

About the security content of tvOS 9.2

https://support.apple.com/es-es/HT206169

                                                                                                  

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Cross-site scripting en productos VMware vRealize

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en VMware vRealize Automation y vRealize Business Advanced y Enterprise, que podrían permitir realizar ataques de cross-site scripting almacenados.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Los problemas afectan a VMware vRealize Automation 6.x anteriores a 6.2.4 (CVE-2015-2344) y a VMware vRealize Business Advanced y Enterprise 8.x anteriores a 8.2.5 (CVE-2016-2075). En ambos casos se trata de la modalidad más grave de ataques cross-site scripting y la explotación podría dar lugar al compromiso de la estación de trabajo cliente de usuario vRA o vRB.

Los cross-site scripting almacenados o persistentes sin duda resultan la modalidad más peligrosa de estos ataques. Igualmente  se producen al no comprobar los datos de entrada en  una web, normalmente formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la web legítima).

Se han publicado las siguientes actualizaciones para corregir el problema en todas las versiones afectadas:

VMware vRealize Automation 6.2.4

https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_automation/6_2

VMware vRealize Business Advanced and Enterprise 8.2.5

https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_business/8_2

Más información:

VMSA-2016-0003

VMware vRealize Automation and vRealize Business Advanced and Enterprise address Cross-Site Scripting (XSS) issues

http://www.vmware.com/security/advisories/VMSA-2016-0003.html

                                                                                                  

Antonio Ropero

antonior@hispasec.com
Twitter: @aropero

Mozilla corrige vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado la nueva versión de Thunderbird 38.7, su popular cliente de correo, en la que corrigen 24 vulnerabilidades. Se agrupan en 10 boletines (seis de nivel crítico, tres clasificados de gravedad alta y uno de baja).

Dado que Thunderbird 38 contiene código subyacente que se basa en el de Firefox 38 ESR (versión de soporte extendido), los problemas corregidos también fueron solucionados en Firefox 38.7 ESR (publicado la semana pasada).

Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1952 y CVE-2016-1953) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Por usos después de liberar en el tratamiento de cadenas HTML5 (CVE-2016-1960), en SetBody (CVE-2016-1961), y durante transformaciones XML (CVE-2016-1964). También por un desbordamiento de búfer al decodificar ASN.1 en NSS (CVE-2016-1950). Por último, 14 vulnerabilidades en el tratamiento de fuentes en la librería Graphite 2 en la versión 1.3.5 (CVE-2016-1977 y CVE-2016-2790 al CVE-2016-2802).

Además, también se han corregido otras vulnerabilidades de gravedad alta como una sobreescritura local de archivos y escalada de privilegios a través de informes CSP, corrupción de memoria con plugins NPAPI maliciosos y un uso después de liberar mientras se procesan llaves codificadas DER en las librerías Network Security Services (NSS).

La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:

https://www.mozilla.org/thunderbird/

o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.

Más información:

Thunderbird Notes

Version 38.7.0

https://www.mozilla.org/en-US/thunderbird/38.7.0/releasenotes/

Fixed in Thunderbird 38.7

https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/#thunderbird38.7

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Nuevo malware para iOS puede infectar dispositivos sin jailbreak

Palo Alto Networks ha anunciado el descubrimiento de una nueva familia de malware capaz de infectar dispositivos iOS sin jailbreak, a la que han bautizado como "AceDeceiver".

La novedad de AceDeceiver reside en que para lograr su ejecución reside en que en vez de aprovechar el uso de certificados corporativos como otras muestras de malware para iOS de los últimos años, aprovecha un fallo en el diseño del DRM de Apple. Incluso aunque Apple haya eliminado AceDeceiver de la App Store este sigue reproduciéndose gracias a un nuevo vector de ataque.

Según los investigadores de Palo Alto Networks es el primero que abusa de un fallo de diseño en FairPlay, el sistema DRM de protección de Apple. Fairplay es la tecnología de gestión de derechos digitales creada por Apple, para evitar que las pistas de audio protegidas sean reproducidas en sistemas sin autorización.

El fallo descubierto permite instalar aplicaciones maliciosas en dispositivos iOS independientemente de si tienen o no tienen jailbreak. La técnica, conocida desde 2013 como "FairPlay Man-In-The-Middle (MITM)", se ha aprovechado para instalar aplicaciones iOS "pirateadas", pero esta es la primera vez en que se detecta su uso para propagar malware.

Apple permite a los usuarios comprar y descargar aplicaciones iOS desde la App Store a través del cliente iTunes del ordenador. Después se puede usar el ordenador para instalar las aplicaciones en el dispositivo iOS. Para probar que la aplicación fue realmente comprada, los dispositivos iOS solicitan un código de autorización para cada aplicación instalada.

Procedimiento de ataque FairPlay MITM. Fuente: Palo Alto Networks 

En un ataque FairPlay MITM los atacantes compran una aplicación en la App Store pero interceptan y graban el código de autorización. Además a través de un programa para PC que simula el comportamiento del cliente iTunes, engaña al dispositivo iOS para que crea que la aplicación fue realmente comprada. Por lo tanto, el usuario puede instalar aplicaciones que en realidad nunca pagó, pero el creador del software puede instalar aplicaciones potencialmente maliciosas sin conocimiento del usuario.

Según el informe publicado por Palo Alto Networks hasta el momento han encontrado tres aplicaciones iOS diferentes de la familia AceDeceiver en la App Store oficial entre julio de 2015 y febrero de 2016; todas ellas decían ser aplicaciones de fondos de pantalla (wallpaper). Igualmente, según señalan por el momento AceDeceiver solo muestra comportamientos maliciosos cuando el usuario se localiza en China. Si bien el atacante podría cambiar esto en cualquier momento de una forma sencilla.

A finales de febrero, tras el aviso de Palo Alto Networks, Apple eliminó estas aplicaciones de la App Store. Sin embargo, el ataque sigue siendo viable ya que FairPlay MITM solo require que estas aplicaciones hayan estado disponibles una vez en la tienda. Mientras que el atacante haya podido obtener una copia de la autorización de Apple, el ataque no requiere la disponibilidad actual en la tienda de aplicaciones para su propagación.

AceDeceiver muestra otra nueva forma en que los atacantes intentan evitar las medidas de seguridad de los sistemas iOS para instalas aplicaciones maliciosas, especialmente en dispositivos sin jailbroken. Por el momento parece que estamos libres de este malware, aunque todo puede cambiar de un día para otro.

Más información:

AceDeceiver: First iOS Trojan Exploiting Apple DRM Design Flaws to Infect Any iOS Device

http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-design-flaws-to-infect-any-ios-device/

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Safari, Edge, Flash y Chrome caen en el Pwn2Own 2016

Los días 16 y 17 de marzo se ha celebrado una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Como en ediciones anteriores en esta ocasión las víctimas han sido Apple Safari, Microsoft Edge, Adobe Flash y Google Chrome.

Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares en diferentes sistemas operativos, así como en los plugins más atacados: en esta ocasión Flash ha sido el centro de los ataques. Pwn2Own 2016 se ha celebrado en la ciudad canadiense de Vancouver, organizado por Hewlett Packard Enterprise, Zero Day Initiative (ZDI) y Trend Micro.

El primer día se realizaron seis intentos de ataque, cuatro exitosos, uno de forma parcial y otro fallido. En total 15 nuevas vulnerabilidades y 282.500 dólares en premios. Empezó con JungHoon Lee (lokihardt), ya conocido en estos eventos, atacando Apple Safari mediante una combinación de cuatro fallos diferentes, incluyendo desde  un uso después de liberar en el navegador hasta un desbordamiento de búfer para elevar sus privilegios a root.

Siguió el equipo 360Vulcan, también habitual en ediciones anteriores, con un ataque a Adobe Flash. Fueron capaces de emplear una confusión de tipos en Flash y un fallo en el kernel de Windows para escalar del modo usuario a SYSTEM. Estos exploits supusieron 80.000 dólares al equipo.

Tencent Security Team Shield atacaron Apple Safari junto con una escalada de privilegios a root con ello. Objetivo cumplido mediante un uso después de liberar en el navegador y otro uso después de liberar en un proceso con privilegios, lo que les sirvió para conseguir 40.000 dólares.

De nuevo en escena el equipo 360Vulcan para atacar a Google Chrome. En esta ocasión el objetivo solo se logró de forma parcial. El acceso fuera de límites en Chrome empleado ya era conocido por Google, pero este fallo junto con tres usos después liberar les sirvieron para conseguir otros 52.500 dólares.

El equipo Tencent Security Team Sniper atacó en esta ocasión a Adobe Flash. Mediante una combinación de fallos, que empezaba en un acceso fuera de límites en Flash seguido de una fuga de información en el kernel de Windows que permitía un uso después de liberar para lograr la ejecución de código con permisos del sistema. Esta cadena de fallos les reportó 50.000 dólares.

Para finalizar el primer día, Tencent Xuanwu Lab intentó conseguir una elevación a privilegios de sistema en su ataque a Adobe Flash. Sin embargo, tras de los 15 minutos permitidos no consiguió un ataque exitoso.

Vídeo resumen del primen día

El segundo día fue igualmente productivo con cinco intentos, tres exitosos y dos fallidos participantes contra siete productos, que consiguieron 177.500 dólares en premios. Lo entre los dos días que hace un total de 460.000 dólares en premios.

El equipo Tencent Security Team Sniper comenzó el segundo día atacando Apple Safari. Primero con un uso después de liberar en el navegador seguido de una acceso fuera de límites en el kernel para elevar los privilegios a root. Esta combinación les aportó otros 40.000 dólares.

De la mano de JungHoon Lee (lokihardt), le llegó el turno a Edge, el nuevo navegador de Microsoft, que demostró una ejecución de código en el contexto del sistema mediante una vulnerabilidad de variable no inicializada en Microsoft Edge y una escalada de directorios en Microsoft Windows. Lo que le supuso otros 85.000 dólares.

El ataque de JungHoon sobre Google Chrome no tuvo éxito, al igual que el intento de Tencent Security Team Shield sobre Adobe Flash. Ambos investigadores ya habían mostrado, con éxito, sus habilidades anteriormente, sin embargo en esta ocasión no lograron su objetivo. Tal y como señalan los organizadores, estos intentos fallidos demuestran la dificultad de crear una cadena de exploits exitosos capaces de comprometer el software actual.

Para acabar la competición de este año, Tencent Security Team Sniper lograron un ataque exitoso contra Microsoft Edge en tan solo dos minutos. Emplearon una vulnerabilidad de acceso fuera de límites en el navegador combinada con un desbordamiento de búfer en el kernel de Windows para conseguir permisos de sistema. Lo que les sirvió para conseguir otros 52.500 dólares y el título de "Master of PWN 2016".

Vídeo resumen del segundo día:

Los resultados finales de este Pwn2Own son impresionantes:

• 21 nuevas vulnerabilidades en total
• 6 vulnerabilidades en Windows
• 5 vulnerabilidades en Apple OS X
• 4 vulnerabilidades en Adobe Flash
• 3 vulnerabilidades en Apple Safari
• 2 vulnerabilidades en Microsoft Edge
• 1 vulnerabilidad en Google Chrome
• 460.000 dólares en premios.

Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas. Sin duda en breve empezaremos a ver las actualizaciones para corregir estos problemas.

Más información:

Pwn2Own 2016 Has Begun

http://blog.trendmicro.com/pwn2own-2016-begun/

Pwn2Own 2016: The lineup and schedule

http://community.hpe.com/t5/Security-Research/Pwn2Own-2016-The-lineup-and-schedule/ba-p/6841867

Pwn2Own: Day 1 Recap

http://blog.trendmicro.com/pwn2own-day-1-recap/

Pwn2Own 2016: Closing out the first day

http://community.hpe.com/t5/Security-Research/Pwn2Own-2016-Closing-out-the-first-day/ba-p/6842359

Pwn2Own: Day 2 and Event Wrap-Up

http://blog.trendmicro.com/pwn2own-day-2-event-wrap/

Pwn2Own 2016: Day two – crowning the Master of Pwn

http://community.hpe.com/t5/Security-Research/Pwn2Own-2016-Day-two-crowning-the-Master-of-Pwn/ba-p/6842863

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Corregidas dos vulnerabilidades graves en Git

Se ha informado de dos vulnerabilidades que posibilitan la ejecución de código remoto y que afectan a todas las versiones de Git, tanto cliente como servidor, anteriores a la 2.7.1. También se ven afectadas las versiones compatibles, como GitHub, Bitbucket o Gitlab.

Git es un software de control de versiones diseñado por Linus Torvalds, diseñado para la confiabilidad del mantenimiento de versiones de aplicaciones cuando estas tienen un gran número de archivos de código fuente. En la actualidad proyectos de relevancia usan Git para el mantenimiento de sus versiones, como el grupo de programación del núcleo Linux.

El primer problema, con CVE-2016-2315, podría permitir a un usuario remoto autenticado enviar un repositorio específicamente manipulado para provocar un desbordamiento de búfer y ejecutar código arbitrario en los sistemas afectados. De forma similar, y relacionado con el anterior, un desbordamiento de entero (con CVE-2016-2324) por el que un usuario autenticado que envíe o clone un repositorio específicamente manipulado podría ejecutar código arbitrario en los sistemas afectados.

Para hacer un push a un repositorio Git remoto es necesario tener permiso de escritura, para lo que en general se requiere de algún tipo de autenticación o autorización. Sin embargo, en servicios tipo Bitbucket o Github en los que se puede crear o clonar un repositorio sin la aprobación del administrador, estos problemas pueden ser mayores ya que cualquiera podría intentar explotar la vulnerabilidad. Hay que señalar que en dichos servicios el problema ya está corregido, pero en otros de similares características (especialmente los auto-hospedados) podrían ser vulnerables.

Estos problemas fueron corregidos en la versión 2.7.1 de Git, publicada en febrero, si bien no se han conocido hasta ahora (ni los desarrolladores de Git informaron de ello en su momento).

Más información:

Remote Code Execution in all git versions (client + server) < 2.7.1: CVE-2016-2324, CVE-2016‑2315

https://ma.ttias.be/remote-code-execution-git-versions-client-server-2-7-1-cve-2016-2324-cve-2016-2315/

server and client side remote code execution through a buffer overflow in all git versions before 2.7.1 (unpublished ᴄᴠᴇ-2016-2324 and ᴄᴠᴇ‑2016‑2315)

http://seclists.org/oss-sec/2016/q1/645

http://seclists.org/oss-sec/2016/q1/653

Git v2.7.1 Release Notes

https://raw.githubusercontent.com/git/git/master/Documentation/RelNotes/2.7.1.txt

Git

https://git-scm.com/

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Dos vulnerabilidades en Samba

Se han confirmado dos vulnerabilidades en las versiones actuales de Samba, que podrían permitir a un atacante provocar condiciones de denegación de servicio en el servidor DNS interno o permitir la sobreescritura de ACLs.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El primero de los problemas (con CVE-2015-7560) puede permitir a un cliente malicioso sin autenticar puede usar extensiones SMB1 UNIX para crear un enlace simbólico a un archivo o directorio, y entonces emplear llamadas no-UNIX SMB1 para sobreescribir contenidos de la ACL en el archivo o directorio vinculado. Afecta a todas las versiones de Samba desde la 3.2.0 a 4.4.0rc3.

Por otra parte (con CVE-2016-0771) cuando Samba se despliega como un AD DC (Active Directory Domain Controller) y se utiliza el servidor DNS interno, es vulnerable a una lectura fuera de límites durante el tratamiento de registros DNS TXT provocada por usuarios con permisos para modificar los registros DNS. Un cliente malicioso podrá subir un registro DNS TXT especialmente construido para provocar condiciones de denegación de servicio. Afecta a las versiones de Samba 4.0.0 a 4.4.0rc3.

Se han publicado parches para solucionar estas vulnerabilidades en

http://www.samba.org/samba/security/

Adicionalmente, se han publicado las versiones Samba 4.4.0rc4, 4.3.6, 4.2.9 y 4.1.23 que corrigen los problemas.

Más información:

Incorrect ACL get/set allowed on symlink path

https://www.samba.org/samba/security/CVE-2015-7560.html

Out-of-bounds read in internal DNS server

https://www.samba.org/samba/security/CVE-2016-0771.html

Antonio Ropero

antonior@hispasec.com
Twitter: @aropero