domingo, 30 de abril de 2017

Vulnerabilidad de Cross-Site Scripting en Fortinet FortiMail

Se ha confirmado una vulnerabilidad en Fortinet FortiMail que podría permitir a un atacante remoto sin autenticar construir ataques de cross-site scripting.

FortiMail es una solución de gateway de correo que proporciona una respuesta unificada a ataques entrantes. Se ofrece como hardware, dispositivo virtual o servicio basado en la nube. Entre sus características se incluyen antispam, antiphishing, anti-malware, sandboxing, prevención de fuga de datos, cifrado basado en identidades y archivo de mensajes.

Como es habitual en este tipo de ataques el problema (con CVE-2017-3125) reside en un filtrado inadecuado de los datos antes de ser devueltos al usuario. Lo que podría facilitar a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script en el contexto de seguridad del navegador de la víctima autenticada en FortiMail.

Al igual que todo este tipo de ataques podría permitir acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

La vulnerabilidad fue reportada por Ebrahim Hegazy

Se ven afectadas las versiones FortiMail 5.0.0 a 5.2.9 y 5.3.0 a 5.3.8. Fortinet ha publicado la versión FortiMail 5.3.9 destinada a corregir la vulnerabilidad.

Más información:

Unauthenticated XSS (Cross Site Scripting) in FortiMail

Fortimail


Antonio Ropero
Twitter: @aropero

sábado, 29 de abril de 2017

Corregidas dos vulnerabilidades en Trend Micro OfficeScan

Se han anunciado dos vulnerabilidades en Trend Micro OfficeScan 11.0 y XG (12.0) que podrían permitir a un atacante remoto construir ataques de cross-site scripting o de elevación de privilegios.  

Trend Micro OfficeScan ofrece protección frente a amenazas en servidores de archivos, PCs, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad in situ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.

El primer problema reside en una página web de alerta que se muestra cuando determinados sitios son bloqueados y que puede permitir a un atacante remoto construir ataques de cross-site scripting.

Por otra parte, bajo determinadas circunstancias durante operaciones en la consola web se pueden filtrar las contraseñas cifradas de cuentas de usuarios, lo que podría permitir una potencial elevación de privilegios.

Trend Micro ha publicado las actualizaciones XG CP 1352 y 11.0 SP1 CP 6325 disponibles desde:

Más información:

SECURITY BULLETIN: Trend Micro OfficeScan (11, XG) Multiple Vulnerabilities



Antonio Ropero

Twitter: @aropero

viernes, 28 de abril de 2017

Actualización de seguridad para Adobe ColdFusion

Adobe ha publicado un boletín de seguridad para anunciar la actualización necesaria para solucionar dos vulnerabilidades importantes en Cold Fusion, un cross-site scripting y una deserialziación en Java.

En el boletín de seguridad APSB17-14 de Adobe, se recoge una actualización para ColdFusion versiones 2016 (Update 3 y anteriores), 11 (Update 11 y anteriores) y 10 (Update 22 y anteriores). Este parche está destinado a corregir una vulnerabilidad de validación de entradas que podría permitir la construcción de ataques cross-site scripting (CVE-2017-3008). Esta actualización también incluye una versión actualizada de Apache BlazeDS para mitigar una deserialización en Java (CVE-2017-3066).

Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:
ColdFusion 2016 (Update 4):
ColdFusion 11 (Update 12):
ColdFusion 10 (Update 23):

Más información:

Security Update: Hotfixes available for ColdFusion




Antonio Ropero
Twitter: @aropero

jueves, 27 de abril de 2017

Actualización para vulnerabilidad en IBM Domino anunciada por el Shadow Group

IBM ha publicado actualizaciones destinadas a solucionar una grave vulnerabilidad de desbordamiento de búfer en IBM Domino; que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados y que estaba incluida dentro de la última publicación del grupo Shadow Brokers.

Se trata de una vulnerabilidad (con CVE-2017-1274) de desbordamiento de búfer basado en pila al tratar nombres de buzón en el servicio IMAP de IBM Domino. Al especificar un nombre de buzón de gran tamaño el atacante puede provocar el desbordamiento de búfer. Como los comandos IMAP que hacen referencia al nombre de buzón se emplean tras la autenticación, la vulnerabilidad solo parece explotable por atacantes remotos autenticados.

El exploit fue públicamente expuesto dentro de la última distribución de los Shadow Brokers bajo el nombre de "EMPHASISMINE". Este exploit hace uso del comando IMAP EXAMINE, aunque otros comandos IMAP también pueden verse afectados. Se ven afectadas las versiones IBM Domino 9.0.1, 9.0, 8.5.3, 8.5.2 y 8.5.1.

https://github.com/misterch0c/shadowbroker/




IBM ha publicado las siguientes actualizaciones:
IBM Domino 9.0.1 FP8 IF2
IBM Domino 8.5.3 FP6 IF17

Más información:

Security Bulletin: IBM Domino server IMAP EXAMINE command stack buffer overflow (CVE-2017-1274)

IBM Lotus Domino server mailbox name stack buffer overflow

una-al-dia (17/04/2017) The Shadow Group: No se vayan todavía, aun hay más

shadowbroker


Antonio Ropero

Twitter: @aropero

miércoles, 26 de abril de 2017

Vulnerabilidad en Microsoft Edge permite robar cookies y contraseñas

Se ha anunciado una vulnerabilidad en Microsoft Edge que podría evitar las políticas de mismo origen del navegador (SOP, Some Origin Policy); lo que podría permitir construir un ataque para conseguir las contraseñas y cookies de servicios en los que el usuario se encuentre autenticado.

¡Oh!¡No!
¡Me han robado el Twitter!
El aviso viene de la mano del investigador argentino Manuel Caballero, que en una extensa entrada en su blog detalla cómo llevar a cabo el ataque. El problema se basa en un salto de las políticas de mismo origen de Microsoft Edge, aunque en este caso se abusa de las etiquetas data/meta junto con el hecho de que páginas sin dominio (como about:blank) tienen libre acceso a las páginas con dominio.

No es la primera vez que Caballero encuentra y reporta una vulnerabilidad de este tipo, aunque Microsoft ya las había parcheado hace tres meses. En esta ocasión el investigador vuelve a conseguir evitar las medidas de seguridad impuestas. En su informe muestra como un atacante consigue ejecutar código engañando al usuario para que pulse sobre una URL específicamente construida.

Como prueba de concepto el investigador ha creado una curiosa y divertida demostración en la que interviene una cuenta creada a nombre de Charles Darwin y otra a cargo de su rival Alfred Russel Wallace. Se puede ver cómo mientras Darwin pulsa en un enlace enviado por su archienemigo, éste se hace con su cuenta de Twitter, puede enviar un tweet como el conocido naturalista y hasta conseguir su contraseña.


Hay que señalar que el ataque también hace uso del administrador de contraseñas de Edge. Por eso, una vez más se puede recomendar evitar los administradores de contraseñas de los navegadores que pueden ser susceptibles a ataques de este tipo y provocar el robo de contraseñas.

Por el momento no hay solución. Esperemos que el 9 de mayo, fecha prevista para las siguientes actualizaciones de Microsoft, se incluya la corrección de este problema y Charles Darwin (y todos los usuarios de Edge) puedan utilizar sus servicios on-line con tranquilidad.

Más información:

SOP bypass / UXSS – Tweeting like Charles Darwin (Edge)



Antonio Ropero
Twitter: @aropero

martes, 25 de abril de 2017

Corregida vulnerabilidad crítica en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se soluciona una vulnerabilidad que podría permitir a un atacante evitar los controles de acceso.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.

Se ven afectadas las versiones 8.x anteriores a 8.2.8 y 8.3.1. Se recomienda la actualización a las versiones Drupal 8.2.8 o 8.3.1.

Cabe señalar, que aunque Drupal no proporciona actualizaciones de seguridad para versiones menores no soportadas, dada la gravedad del problema han proporcionado una versión 8.2.x. De esta forma todos los sitios que no han tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.

Más información:

Drupal Core - Critical - Access Bypass - SA-CORE-2017-002





Antonio Ropero

Twitter: @aropero

lunes, 24 de abril de 2017

Actualización de seguridad para cURL y libcurl

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl y en la propia herramienta curl, que podría permitir a un atacante evitar controles de seguridad.

cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El problema, con CVE-2017-7468, reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado del cliente ha cambiado. Esto es inaceptable, ya que por especificación un servidor puede omitir la comprobación de certificado de cliente en la reanudación y, en su lugar, puede utilizar la identidad antigua establecida por el certificado anterior (o por ningún certificado).
Se trata de una regresión y es idéntico a la vulnerabilidad (CVE-2016-5419) que ya fue solucionada en agosto de 2016, pero afecta a diferentes versiones.

Se ven afectadas las versiones libcurl 7.52.0 hasta la 7.53.1 (incluidas).

Se ha publicado la versión 7.54.0 que soluciona esta vulnerabilidad y otros problemas no relacionados con la seguridad.
Disponible desde:
También se ha publicado un parche para evitar la vulnerabilidad:

Más Información:

cURL and libcurl

TLS session resumption client cert bypass (again)

una-al-dia (08/08/2016) Actualización de seguridad para cURL y libcurl


Antonio Ropero
Twitter: @aropero



domingo, 23 de abril de 2017

Google publica Chrome 58 y corrige 29 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 58. Se publica la versión 58.0.3029.81 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 29 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 29 nuevas vulnerabilidades, solo se facilita información de 12 de ellas (tres de gravedad alta, ocho de importancia media y una considerada como baja).

Se corrigen vulnerabilidades por uso de memoria después de liberarla en Print Preview, Chrome Apps y Blink, confusión de tipos en PDFium y Blink, falsificaciones de direcciones en Omnibox, desbordamiento de heap en Skia, interfaz de usuario incorrecta en Blink, tratamiento de firmas incorrecto en Networking y salto de las políticas de orígenes cruzados en Blink. Se han asignado los CVE-2017-5057 al CVE-2017-5069.

Cabe señalar que entre los problemas corregidos se encuentra el fallo en el tratamiento de caracteres representados en formato Punycode, que permitía la realización de ataques de phishing con caracteres Unicode y que describimos recientemente. Y por la que un dominio como www.xn--80ak6aa92e.com se mostraba como www.аррӏе.com.

¡Ahora sí!

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 14.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Vídeo con las novedades de Chrome 58:

Más información:

Stable Channel Update

una-al-dia (18/04/2017) Phishing con caracteres Unicode



Antonio Ropero
Twitter: @aropero




sábado, 22 de abril de 2017

Actualizaciones de Wireshark corrigen múltiples vulnerabilidades

Wireshark Foundation ha publicado las versiones 2.0.12 y 2.2.6 que incluyen la corrección de 10 vulnerabilidades que podrían provocar condiciones de denegación de servicio.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

En esta ocasión la fundación Wireshark ha publicado diez boletines de seguridad (del wnpa-sec-2017-12 al wnpa-sec-2017-21) todos ellos afectan a todas las versiones de las ramas 2.2 y 2.0.

Como es habitual, las vulnerabilidades corregidas residen en denegaciones de servicio por fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. La lista de los disectores y protocolos afectados incluyen IMAP (CVE-2017-7703), WBMXL (CVE-2017-7702), RPCoRDMA (CVE-2017-7705), BGP (CVE-2017-7701), DOF (CVE-2017-7704), PacketBB, SLSK, SIGCOMP y WSP. También se ha solucionado un bucle infinito en el analizador de archivos NetScaler (CVE-2017-7700).

De igual forma se han solucionado múltiples problemas no relacionados directamente con vulnerabilidades de seguridad y actualizado el soporte de diferentes protocolos.

Las vulnerabilidades mencionadas se han solucionado en las versiones 2.0.11 y 2.2.5 disponibles para descarga desde la página oficial del proyecto.

Más información:

Wireshark 2.0.12 is now available

Wireshark 2.2.6 Release Notes

wnpa-sec-2017-12 - IMAP dissector crash

wnpa-sec-2017-13 - WBMXL dissector infinite loop

wnpa-sec-2017-14 - NetScaler file parser infinite loop

wnpa-sec-2017-15 - RPCoRDMA dissector infinite loop

wnpa-sec-2017-16 - BGP dissector infinite loop

wnpa-sec-2017-17 - DOF dissector infinite loop

wnpa-sec-2017-18 - PacketBB dissector crash

wnpa-sec-2017-19 - SLSK dissector long loop

wnpa-sec-2017-20 - SIGCOMP dissector infinite loop

wnpa-sec-2017-21 - WSP dissector infinite loop




Antonio Ropero
Twitter: @aropero


viernes, 21 de abril de 2017

Mozilla publica Firefox 53 y corrige 39 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 53 de Firefox, que además de incluir mejoras y novedades soluciona 39 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.9 y Firefox ESR 52.1.

Mozilla acaba de publicar una nueva versión de su navegador que incorpora nuevas funcionalidades y mejoras. El boletín MSFA-2017-10 incluye las 39 vulnerabilidades corregidas. Según la propia clasificación de Mozilla ocho están consideradas críticas, 20 son de gravedad alta, siete de moderada y las cuatro restantes de nivel bajo.

Las vulnerabilidades críticas residen en un uso de memoria después de liberar durante el tratamiento de transacciones en el editor (CVE-2017-5433), escrituras fuera de límites en Graphite 2 con fuentes maliciosas (CVE-2017-5436) y al codificar en Base64 en NSS (CVE-2017-5461), un desbordamiento de búfer en WebGL (CVE-2017-5459) y confusion de origen al recargar data:text/html URL (CVE-2017-5466). Así como problemas (CVE-2017-5399 y CVE-2017-5398) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.

También se han publicado Firefox ESR 45.9 (MSFA-2017-11) y Firefox ESR 52.1 (MSFA-2017-12) que solucionan 25 y 32 vulnerabilidades respectivamente en estas versiones de soporte extendido especialmente destinadas a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
o desde la actualización del navegador en "Ayuda/Acerca de Firefox".

Firefox ESR está disponible desde:

Más información:

Firefox Notes
Version 53.0

Security vulnerabilities fixed in Firefox 53

Security vulnerabilities fixed in Firefox ESR 45.9

Security vulnerabilities fixed in Firefox ESR 52.1




Antonio Ropero
Twitter: @aropero



jueves, 20 de abril de 2017

Oracle corrige 299 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 299 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
  • Oracle Database Server
  • Oracle Secure Backup
  • Oracle Berkeley DB
  • Oracle Fusion Middleware
  • Oracle Hyperion
  • Oracle Enterprise Manager Grid Control
  • Oracle E-Business Suite
  • Oracle Supply Chain Products Suite
  • Oracle PeopleSoft Products
  • Oracle JD Edwards Products
  • Oracle Siebel CRM
  • Oracle Commerce
  • Oracle Communications Applications
  • Oracle Financial Services Applications
  • Oracle Health Sciences Applications
  • Oracle Hospitality Applications
  • Oracle Insurance Applications
  • Oracle Retail Applications
  • Oracle Utilities Applications
  • Oracle Primavera Products Suite
  • Oracle Java SE
  • Oracle Sun Systems Products Suite
  • Oracle Virtualization
  • Oracle MySQL
  • Oracle Support Tools


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Dos nuevas vulnerabilidades corregidas en Oracle Database Server y otra en Oracle Secure Backup (explotable remotamente sin autenticación).
          
  • Para la suite de productos Oracle Sun Systems se incluyen 21 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
         
  • 39 nuevas vulnerabilidades afectan a MySQL Server (11 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
         
  • 14 nuevos parches para Oracle Berkeley DB (ninguna de estas vulnerabilidades es exploitable remotamente sin autenticación).
         
  • Otras 31 vulnerabilidades afectan a Oracle Fusion Middleware. 20 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle API Gateway, Oracle Fusion Middleware MapViewer, Oracle GlassFish Server, Oracle Identity Manager, Oracle Service Bus, Oracle Social Network, Oracle WebCenter Content, Oracle WebCenter Sites y Oracle WebLogic Server.     
  • Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, ambas explotables remotamente sin autenticación.
          
  • Dentro de Oracle Applications, 11 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, 16 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, uno para Oracle Siebel CRM y tres para Oracle Commerce.
         
  • Se incluyen también 11 nuevos parches para Oracle Communications Applications, nueve de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También se solucionan 47 nuevas vulnerabilidades en Oracle Financial Services Applications (25 explotables remotamente).
          
  • Una vulnerabilidad exploitable remotamente sin autenticación en Oracle Health Sciences Applications y otras seis en Oracle Hospitality Applications (solo una exploitable remotamente).
          
  • Una actualización para Oracle Insurance Applications y 39 para Oracle Retail Applications, 32 de ellas explotables remotamente sin autenticación.
         
  • También se incluyen siete nuevos parches de seguridad para Oracle Utilities Applications (todas explotables remotamente sin autenticación) y siete para la suite de productos Oracle Primavera, cuatro de ellas podrían explotarse de forma remota sin autenticación.
          
  • En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Esta actualización también contiene 15 parches para Oracle Virtualización, 13 para Oracle Support Tools y uno para Oracle Hyperion.


Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial en:
Oracle Critical Patch Update Advisory – April 2017

Más información:

Oracle Critical Patch Update Advisory - April 2017




Antonio Ropero

Twitter: @aropero

miércoles, 19 de abril de 2017

Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar tres vulnerabilidades (una considerada de gravedad alta y dos de importancia media) que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

La vulnerabilidad de gravedad alta, con CVE-2017-3137, consiste en que se asume de forma errónea el orden de los registros en una respuesta que contenga registros de recursos CNAME o DNAME. Esto podría dar lugar a un fallo de aserción con la finalización de named al procesar una respuesta en la que los registros se encuentran en un orden inusual. Afecta a versiones 9.9.9-P6, 9.9.10b1a 9.9.10rc1, 9.10.4-P6, 9.10.5b1a 9.10.5rc1, 9.11.0-P3, 9.11.1b1-a 9.11.1rc1 y 9.9.9-S8.

Por otra parte, con CVE-2017-3136, una consulta con un conjunto específico de caracteres podría provocar un fallo de aserción y la caída de un servidor que use DNS64. Afecta a versiones 9.8.0 a 9.8.8-P1, 9.9.0 a 9.9.9-P6, 9.9.10b1 a 9.9.10rc1, 9.10.0 a 9.10.4-P6, 9.10.5b1 a 9.10.5rc1, 9.11.0 a 9.11.0-P3, 9.11.1b1 a 9.11.1rc1 y 9.9.3-S1 a 9.9.9-S8.

Por último, con CVE-2017-3138, un cambio en una característica reciente introdujo una regresión que ha creado una situación bajo la que algunas versiones de named pueden provocar un fallo de aserción si reciben una cadena de comando nula. Afecta a versiones 9.9.9 a 9.9.9-P7, 9.9.10b1 a 9.9.10rc2, 9.10.4 a 9.10.4-P7, 9.10.5b1 a 9.10.5rc2, 9.11.0 a 9.11.0-P4, 9.11.1b1 a 9.11.1rc2, 9.9.9-S1 a 9.9.9-S9.

Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5 y 9.9.9-S10, disponibles en:

Más información:

CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME

CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"

CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel



Antonio Ropero
Twitter: @aropero


martes, 18 de abril de 2017

Phishing con caracteres Unicode

Se ha confirmado un problema en Chrome y Firefox que podría permitir la realización de ataques de phishing mediante el uso de caracteres Unicode. Conocidos como ataques homográficos, representan un problema que los navegadores intentan evitar, pero se ha descubierto una forma para evitar los controles actuales. Se puede visitar https://www.аррӏе.com/ para entender las implicaciones.

¿A qué cuela?
Con el uso de Punycode se pueden representar caracteres Unicode mediante el subconjunto de caracteres ASCII empleado para los nombres en Internet. De esta forma se pueden registrar dominios que hagan uso de caracteres no permitidos, por ejemplo podríamos registrar un dominio como España.com que quedaría como xn--espaa-rta.com. Evidentemente no es muy empleado porque para temas como el SEO, promoción y marca, no es muy eficiente. Queda raro que haya que escribir algo como xn--espaa-rta.com.

Ahora bien, las implicaciones en el mundo de la seguridad que pueden representar estos dominios son grandes, ya que muchos caracteres Unicode pueden ser difíciles de distinguir de los caracteres ASCII normales. De esta forma, es posible registrar dominios como "xn--pple-43d.com", equivalente a "аpple.com" por el uso de la a en cirílico "а" (U+0430) en vez de la "a" en ASCII (U+0041). Este tipo de ataques son conocidos como homográficos.
Los navegadores modernos tienen mecanismos para evitar o limitar este tipo de ataques. En Chrome y Firefox la forma Unicode se esconde si un dominio contiene caracteres de varios lenguajes diferentes. De esta forma, por ejemplo el dominio "xn--pple-43d.com" aparecerá como tal (en vez de "аpple.com") al contar con caracteres de dos lenguajes, de esta forma se evita la confusión con el dominio real.

Pero el sistema de protección ante ataques homográficos falla si todos los caracteres son sustituidos con un carácter similar del mismo lenguaje. El dominio "аррӏе.com" registrado como "xn--80ak6aa92e.com" evita el filtro al emplear únicamente caracteres cirílicos. Esta forma de evitar la protección afecta a Chrome y Firefox, mientras que Internet Explorer, Microsoft Edge y Safari se libran del problema.

El desarrollador Xudong Zheng (@Xudong_Zheng) reportó el fallo a Chrome y Firefox el 20 de enero de 2017 y confirma que ha quedado corregido en la rama de Chrome 59, aunque finalmente se incluirá en Chrome 58 que estará disponible en torno a la semana que viene. Por ahora sigue sin corregir en Firefox ya que no han decidido si está dentro de su alcance.

Como contramedida en Firefox se puede configurar desde about:config y asignar network.IDN_show_punycode a true. Esto fuerza a Firefox a mostrar siempre los dominios IDN en su forma Punycode, lo que permite identificar los dominios maliciosos.

Más información:

Phishing with Unicode Domains

Punycode

Registrar un dominio con ñ

Phishing with Unicode Domains (Reddit)



Antonio Ropero
Twitter: @aropero

lunes, 17 de abril de 2017

The Shadow Group: No se vayan todavía, aun hay más

Cuando parecía que una buena parte del mundo quería disfrutar de la Semana Santa, llegan los chicos de The Shadow Brokers y vuelven a levantar la alfombra para sacar más material escondido del famoso arsenal de la NSA. Mucha gente tuvo que ponerse a barrer a toda prisa.

Nos ponemos en antecedentes, en octubre de 2016 un grupo autodenominado "TheShadowBrokers" publica en pastebin una información controvertida: sacan a subasta las herramientas de hackeo de la NSA. Y como prueba liberan 250 Mb de exploits, documentos y scripts que hicieron saltar las alarmas y dieron mucho que hablar.

¡Otra vez los de Shadow Group!
El tiempo pasó y parecía que ya nadie se acordaba de ellos, pero hace menos de una semana que volvieron a la carga y en vista de que su subasta no tuvo mucho éxito, más bien ninguno, pues van y publican un artículo poniendo verde a Trump y al final desvelan la contraseña para descifrar el resto del material filtrado.  Y otra vez hicieron temblar los cimientos de un buen número de compañías.

Entre el material desvelado podíamos encontrar enumeradores de servicios RPC, recolectores de información SNMP, implementaciones del algoritmo de cifrado DES, exploits para Solaris, servidores FTP, aplicaciones web, etc. Muchas ganzúas para cerraduras desprotegidas.

Ni una semana había pasado, y cuando nadie esperaba nada nuevo de este grupo, van y hacen un nuevo anuncio en el que vuelven a hacer que más de uno, y de dos, administradores, departamentos de comunicación y técnicos de seguridad se tengan que dar una carrera durante el fin de semana.

En especial debieron temblar los cimientos de algún edificio en Redmond, sobre todo al ver como una buena parte de los exploits afectaban directamente a determinadas versiones de Windows.



Una colección de 23 exploits y 6 utilidades, algunos descritos como 0-day y con nombres tan atractivos como "EARLYSHOVEL", "EASYBEE", "ETERNALROMANCE",  "ENGLISHMANSDENTIST", "ETERNALBLUE" ,  o "ETERNALCHAMPION". ¿Quién no se resiste ante tales nombres?

Viendo algunas descripciones las taquicardias estaban aseguradas. Una nueva remesa de ganzúas que incluye ejecuciones remotas de código con privilegios de SYSTEM o root, exploits 0-day, para plataformas Red Hat, Samba, Linux, IBM Lotus Domino, Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2…

Véase una completa tabla con todas las vulnerabilidades filtradas que ayuda a entender el impacto en los diferentes sistemas operativos, gracias a Efrain Torres (@etlow) de Metasploit.



La información filtrada también iba más lejos el grupo daba a entender que la NSA también había espiado el sistema de mensajería financiera SWIFT, empleado para la comunicación interbancaria. Bajo la carpeta SWIFT se encuentran presentaciones, evidencias, credenciales y muestras de la arquitectura interna de EastNets, uno de los mayores servicios SWIFT en Oriente Medio.



Aquí es donde más gente se pone a correr, hay que dar una respuesta rápida, SWIFT publica un comunicado en el que vienen a negar el compromiso de la red.
"Los informes de un supuesto compromiso de la red de servicios de EastNets (ENSB) por hackers son totalmente falsos e infundados. La unidad de seguridad interna de la red EastNets ha realizado una comprobación completa de sus servidores y no encontró ningún compromiso de hackers ni vulnerabilidades."

¿Supuesto compromiso? Son rumores, son rumores. Falso e infundado.

Microsoft, por su parte tampoco iba a ser menos, después del temblor en los cimientos de Redmond, debió ponerse mucha gente en actividad. Rápidamente el equipo MSRC (Microsoft Security Response Center) publicaba un comunicado. En las primeras líneas ya revelaban sus conclusiones: "nuestros ingenieros han investigado los exploits publicados y la mayoría ya están parchados". A partir de aquí ya nos podemos imaginar todo lo que sigue.


Incluso publicaban una tabla con la lista de los parches publicados:
Nombre
Solución
"EternalBlue"
 Corregido en MS17-010
"EmeraldThread"
 Corregido en MS10-061
"EternalChampion"
 Corregido en CVE-2017-0146 & CVE-2017-0147
"ErraticGopher"
 Corregido antes de la publicación de Windows Vista
"EsikmoRoll"
 Corregido en MS14-068
"EternalRomance" 
 Corregido en MS17-010
"EducatedScholar"
 Corregido en MS09-050
"EternalSynergy"
 Corregido en MS17-010
"EclipsedWing"
 Corregido en MS08-067

Según Microsoft el resto de exploits no afectan a versiones de Windows soportadas. Pero ya lo decíamos anteriormente encontrarás dragones, más que en Juego de Tronos.

Después de esta nueva sorpresa de los Shadow Brokers no nos extrañaría que en breve den a conocer nuevas entregas con más material, que sin duda seguirá convulsionando el mundo de la seguridad y provocando carreras en más de un departamento.

Como curiosidad, por si alguien se pregunta si las muestras se habían enviado a VirusTotal antes de su publicación…

Más información:

una-al-dia (19/08/2016) A la venta el arsenal del Equation Group

una-al-dia (10/04/2017) The Shadow Group libera el resto del arsenal robado a la NSA

una-al-dia (20/08/2016) Dispositivos Cisco afectados por el arsenal de Equation Group

una-al-dia (22/08/2016) Antiguos dispositivos Fortinet afectados por un exploit de Equation

No credibility to the online claim of a compromise of EastNets customer information on its SWIFT service bureau

Protecting customers and evaluating risk



Antonio Ropero
Twitter: @aropero

domingo, 16 de abril de 2017

Publicada la píldora formativa Thoth 43 "¿Qué son y para qué sirven las funciones hash?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 43 del proyecto Thoth que lleva por título "¿Qué son y para qué sirven las funciones hash?"

Las funciones hash, del inglés picadillo, son algoritmos que al aplicarlos sobre archivos o textos, entregan un resumen de x bits. Un número que, a modo de huella digital, representa a dichos documentos de forma supuestamente única. A diferencia de la popular familia de aplicaciones tipo zip para la compresión de archivos, las funciones hash entregan siempre un resumen con número fijo de bits, independientemente del tamaño de ese archivo. Es menester indicar que, al carecer de claves, las funciones hash no son algoritmos de cifra. En seguridad informática y en criptografía, las funciones hash juegan un papel muy importante. Entre sus aplicaciones más comunes, se encuentran la autenticación de usuarios y la adaptación del tamaño de los documentos para la firma digital.

"¿Qué son y para qué sirven las funciones hash?"

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Puedes acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 40 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda mediante los siguientes cinco filtros:
1) Fundamentos de seguridad
2) Criptografía clásica
3) Historia de la criptografía
4) Matemáticas en criptografía
5) Criptografía moderna

Como siempre, quedamos a la espera de tus comentarios en YouTube, muy importantes y necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth