martes, 17 de octubre de 2017

KRACKs: grave vulnerabilidad en el protocolo WPA2

El investigador en seguridad informática, Mathy Vanhoef perteneciente al grupo de investigación IMEC-DISTRINET de la universidad Belga KU Leuven, ha demostrado públicamente, cómo el protocolo WPA2/WPA (tanto Personal como Enterprise) es vulnerable a un nuevo tipo de ataque, provocando que se pueda comprometer la comunicación segura e incluso inyectar código, mediante un ataque MitM al mecanismo de autenticación. 

Logotipo de KRACK. Fuente krackattacks.com
Según Vanhoef (@vanhoefm), la vulnerabilidad residiría en el propio diseño del protocolo WPA2, no en la implementación que utilice el sistema operativo, estando de facto afectados, todos aquellos dispositivos o sistemas que tengan WIFI habilitado

Ahondando en la vulnerabilidad, ésta se basaría en la capacidad de forzar la reutilización del 'nonce' o número arbitrario de un solo uso, utilizado durante el inicio de autenticación de una comunicación cifrada entre el cliente (supplicant) y servidor (AP), generalmente mediante un vector de iniciación (IV). Esto ocurre durante el protocolo de autenticación 4-way handshake, cuando se negocian las claves compartidas y el Pairwise Master Key (PMK), para iniciar el cifrado de la comunicación (norma IEEE 802.11i). 

Con este nuevo método, denominado Key Reinstallation Attacks (KRACKs), el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key) según el escenario utilizado en su demostración para Android 6.0, como Linux, reenviando 'handshakes' especialmente modificados. 

KRACK Attacks: Bypassing WPA2 against Android and Linux

Mediante esta nueva técnica, los impactos pueden ser bastante graves, dado que se consigue modificar la comunicación segura e incluso inyectar código para, por ejemplo, modificar el tráfico y descargar aplicaciones maliciosas en el cliente (como un troyano o ransomware). 

Todo esto depende de la combinación de protocolos utilizados durante la comunicación: 

  • Si se usa AES-CCMP, un atacante podría responder y descrifrar los paquetes. 
  • Pero si se usa WPA-TKIP o GCMP, se podría incluso falsificar los mismos, siendo el ataque con mayor impacto

Este tipo de ataque se basa en diferentes técnicas y un conjunto de vulnerabilidades sobre el protocolo, por lo que ha recibido hasta 10 CVEs distintos (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088).

Por ahora, se han publicado parches para hostapd and wpa_supplicant bajo Linux, y se prevé que durante esta semana se vayan actualizando las demás implementaciones, pero debido al numeroso volumen de dispositivos WIFI, recomendamos encarecidamente aplicar los mismos en cuanto estén disponible ya que es la única medida viable por el momento.

José Mesa
@jsmesa


Más información:

Key Reinstallation Attacks: Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/

Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2
http://papers.mathyvanhoef.com/ccs2017.pdf

A man-in-the-middle vulnerability has been found in OpenBSD's wireless stack.
https://marc.info/?l=openbsd-announce&m=148839684520133&w=2

hostapd and wpa_supplicant Security Updates
https://w1.fi/security/2017-1/

Cryptographic nonce
https://en.wikipedia.org/wiki/Cryptographic_nonce

lunes, 16 de octubre de 2017

Vulnerabilidad de denegación de servicio en ImageMagick

Se ha reportado una vulnerabilidad en ImageMagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.



Como ya hemos comentado anteriormente, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.

En el problema reportado, con CVE- 2017-15281, debido a un error al ejecutar ‘./magick convert %file% /dev/null’ en determinados archivos podría causar un salto en memoria debido a valores no inicializados. Esto podría ser aprovechado por un atacante remoto para provocar una denegación de servicio (cierre de la aplicación) a través de archivos especialmente manipulados.

Este problema afecta a las versiones anteriores a la 7.0.7-6
Se recomienda actualizar a versiones superiores.


Juan Sánchez

Más información:

ImageMagick

Conditional Statement depends on uninitialized value #832

domingo, 15 de octubre de 2017

Multiples vulnerabilidades en JanTek JTC-200

Se han reportado dos vulnerabilidades en dispositivos JanTek JTC-200, un convertidor TCP/IP a RS-232/485/422, half/full duplex. Las vulnerabilidades están consideradas de gravedad alta y podrían permitir a un atacante remoto ejecutar código arbitrario en el dispositivo.





El dispositivo JTC-200 es un convertidor TCP/IP a RS-232/485/422, half/full duplex, que presenta soporte para TCP, IP, UDP server/cliente y ademas cuenta con una interfaz web de gestión. Es un dispositivo ampliamente utilizado en el sector industrial y de telecomunicaciones.

En el primer problema, con CVE-2016-5789, en el que debido a un error de validación, un atacante remoto con los mismos permisos que la víctima, podría inducir a la víctima con sesión activa la ejecución de peticiones maliciosas (CSRF).

Como hemos comentado en otras ocasiones, CSRF es una técnica que permitiría realizar peticiones HTTP sin una correcta validación. Por ejemplo, imaginemos que un usuario se encuentra validado en una página que necesita autenticación. Desde el navegador, visita otra web que esconde una petición HTTP hacia esa página que necesita validación. Esa petición HTTP, en forma de enlace, se carga por la víctima sin saberlo y realiza una acción sobre la página en la que se encuentra autenticada. Esto sería un fallo de CSRF por parte de la página que necesita autenticación, puesto que no valida correctamente que las peticiones provengan de su propio dominio. Para impedir esto, las páginas suelen introducir un sistema de control que impide que una petición desde otra web sea válida.

En el segundo problema, con CVE-2016-5791, en el que un atacante remoto podría valerse de un error de autenticacion para ejecutar código arbitrario a través de una shell de Busybox Linux accesible desde Telnet.

Las dos vulnerabilidades han sido reportadas por Karn Ganeshan y afectan a todas las versiones de JanTek JTC-200.

En la página web del fabricante este producto figura como discontinuado, de hecho para finales de este año se espera el lanzamiento del nuevo modelo JTC-300, desconocemos si por ahora se van a tomar medidas para paliar estas fallas de seguridad.

Desde el laboratorio técnico de Hispasec recomendamos tomar las siguientes medidas de seguridad:

  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet. 
  • Usar cortafuegos, y aislar la red local de posibles accesos no autorizados. 
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).


Juan Sánchez



Más información:

JanTek JTC-200







sábado, 14 de octubre de 2017

Documentos de Corea del Sur hackeados, dejan en evidencia planes militares contra Corea del Norte

Cientos de documentos militares clasificados de Corea del Sur han sido comprometidos previsiblemente por Corea del Norte, según información de un medio local.



El acceso no autorizado se produjo en Septiembre de 2016 y derivó en la extracción de 235 GB de información. Entre la información sustraída se encontraría un plan para el derrocamiento de Kim Jong-un, que detallaría operaciones combinadas entre Corea del Sur y Estados Unidos en una guerra a gran escala entre las dos Coreas.

La filtración se ha producido dos meses después de que el nuevo ministro de defensa tomase posesión de su cargo y ya ha derivado en 26 detenciones por parte de las autoridades de Corea del Sur.

Esta información se hace pública en un momento en que las tensiones entre Estados Unidos y Corea del Norte se encuentran en el peor momento de los últimos años y aunque no está confirmado que esta información esté en poder del gobierno norcoreano no hay que olvidar que a este país se le presupone una alta capacidad en ciberseguridad.



Fernando Ramírez
@fdrg21

Más información:

S.Korea's Military Can Afford No More Incompetence and Lies:













viernes, 13 de octubre de 2017

Microsoft soluciona 62 vulnerabilidades en sus boletines de octubre

La compañía de Redmond soluciona más de 60 vulnerabilidades en su último boletín, de las cuales 25 son consideradas críticas. Los productos afectados son, entre otros, Internet Explorer, Edge, Office y Windows.

De especial importancia es la vulnerabilidad identificada como CVE-2017-11826. Este fallo, que afecta a todas las versiones con soporte de Microsoft Office, es una vulnerabilidad zero-day que ha estado siendo explotada para distribuir malware, y que permite la ejecución remota de código arbitrario a través de un fallo de corrupción de memoria provocado, por ejemplo, por un fichero Office especialmente diseñado. 

Descubierta y revelada publicamente por la empresa Qihoo 360, la vulnerabilidad vendría explotándose al menos desde septiembre según su reporte. 

También en Office, la vulnerabilidad CVE-2017-11776 en Microsoft Outlook se encuentra en la forma en que se realiza el cifrado S/MIME. El fallo permite el envío de correos cifrados incluyendo también el mismo contenido en texto plano. Ha sido descubierto por investigadores en SEC Consult Vulnerability Lab.

Otro importante fallo es el identificado como CVE-2017-11779. Este se aloja en el sistema DNS de Windows, concretamente en el fichero DNSAPI.dll, y viene dado por un error en el manejo de respuestas DNS. Un atacante podría usar un servidor DNS malicioso para enviar respuestas especialmente diseñadas que dispararan la vulnerabilidad, permitiendo ejecutar código arbitrario de forma remota. Afecta a Windows 8, 10, Server 2012 y 2016.

Finalmente, un breve repaso al resto de las vulnerabilidades:

  • Hasta 18 vulnerabilidades han sido corregidas en Microsoft Scripting Engine (componente de Microsoft Edge y ChakraCore), siendo la mayoría causadas por un fallo de corrupción de memoria y situándose entre gravedad moderada y crítica. Todas permitirían la ejecución de código de forma remota.
  • Se corrigen cuatro vulnerabilidades (Tres de ejecución remota de código y una de revelación de información) en Internet Explorer en versiones desde la 9 a la 11.
  •  24 de las vulnerabilidades corregidas se encuentran en diversas versiones de Microsoft Windows, repartidas entre varios componentes. Entre ellas, cinco vulnerabilidades de revelación de información se encuentran en el Kernel de Windows y otras cuatro, de diverso impacto, en el servidor SMB. 
  • Se corrigen nueve fallos en Microsoft Office, incluyendo tres vulnerabilidades XSS en SharePoint y una elevación de privilegios en Skype for Business.



Francisco López

Más información:

October 2017 Security Updates:
https://portal.msrc.microsoft.com/en-us/security-guidance


New Office 0day (CVE-2017-11826) Exploited in the Wild
http://360coresec.blogspot.com.es/2017/10/new-office-0day-cve-2017-11826.html


FAKE CRYPTO: MICROSOFT OUTLOOK S/MIME CLEARTEXT DISCLOSURE (CVE-2017-11776)
https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html



jueves, 12 de octubre de 2017

Accenture deja expuestos cuatro servidores con información sensible sobre la compañía y sus clientes

El pasado 17 de septiembre, el director del departamento de investigación de ciberamenazas Chris Vickery, descubrió cuatro instancias de Amazon Web Services (AWS) expuestas sin ningún tipo de protección. Los servidores en la nube eran propiedad de Accenture, una importante empresa dedicada a dar servicios de consultoría y outsourcing tecnológico.

Cualquiera que tuviera la dirección web de estos servidores tenía acceso a todo tipo de información relacionada con su plataforma en la nube: Accenture Cloud Platform. Credenciales, certificados, claves criptográficas y datos privados sobre sus clientes estuvieron al descubierto por una mala configuración de la plataforma de Amazon. 


Las cuatro instancias de AWS estaban administradas por el usuario 'awsacp0175' y se correspondían con los subdominios:


  • acp-deployment, que contenía credenciales para servicios de uso interno, ficheros de configuración y un fichero en texto plano con la clave para acceder al administrador de 'Amazon Web Services'.
  • acpcollector, contenía información de mantenimiento, claves de la VPN y logs de eventos y operaciones realizadas por Accenture en los distintos servidores.
Contenido de acpcollector (Fuente: https://www.upguard.com)

  • acp-softwarecontenía dumps de cientos de gigas con claves de acceso, correos electrónicos privados, registros sobre eventos e incidentes, IDs JSession y credenciales de acceso a las cuentas de Google y Azure de Accenture. Además se consiguieron recuperar alrededor de 40.000 contraseñas en texto plano de una copia de seguridad almacenada en esta misma máquina.
  • acp-ssl, utilizado como almacén de claves contenía credenciales y claves criptográficas que se suponen para desencriptar las comunicaciones entre Accenture y sus clientes.
Clientes Accenture (Fuente: https://www.upguard.com)


Aunque los servidores fueron asegurados al día siguiente de dar el aviso, la información expuesta, en malas manos podría haber sido utilizada para realizar otros ataques dirigidos hacia la propia compañía o a sus clientes. 

Accenture sin embargo, defiende en un comunicado a eWEEK que ninguno de sus clientes está en riesgo y que la información expuesta no podría ser utilizada para acceder a sus sistemas.



Francisco Salido
fsalido@hispasec.com

Más información:

System Shock: How A Cloud Leak Exposed Accenture's Business
https://www.upguard.com/breaches/cloud-leak-accenture

UpGuard Reports Accenture Data Exposure, Debuts Risk Detection Service
http://www.eweek.com/security/upguard-reports-accenture-data-exposure-debuts-risk-detection-service






miércoles, 11 de octubre de 2017

ATMii, malware para robo en cajeros simple pero efectivo.

Mientras unos destruyen cajeros automáticos para robar efectivo, otros aprovechan metodos más sutiles para hacerlo. 

Investigadores de Kaspersky recibieron en Abril de 2017 una muestra correspondiente a un malware cuyo objetivo era robar dinero de cajeros automáticos, de ahora en adelante ATM. 
Este malware conocido como ATMii, requiere de acceso a un cajero ya sea a través de red o físicamente (vía USB). En caso de instalarse con éxito, los ladrones podrán sacar todo el dinero del cajero. 

Se trata de un malware sencillo a la par que efectivo, compuesto por un ejecutable que hace de inyector y una DLL que cuenta con la funcionalidad del troyano. Debido a que el valor de la constante PROCESS_ALL_ACCESS difiere entre versiones de Windows, no se ejecuta en versiones XP a pesar de ser la más utilizada aún.

A continuación, veremos la funcionalidad que posee la DLL.


Fragmento de la función de escaneo de servicios.

Los cajeros funcionan bajo la arquitectura XFS, por lo que primero el malware debe encontrar el servicio que se encargue de dispensar dinero. En caso de exito, la información se guardará en un log como podremos ver a continuación.


Escritura a \\tLogs.log 


Los atacantes necesitan saber el contenido de los cartuchos, por tanto implementan el comando info para obtener dicha información. 


cmd_info

El comando cmd_disp se utiliza para obtener el dinero del cajero. Los argumentos de la función son concretamente la cantidad y la moneda. La moneda se recoge en un struct y solo acepta aquellas recogidas en el. 


Fragmento del desensamblado de cmd_disp_ex 

Este malware es un ejemplo de lo que los criminales son capaces de hacer con muy poco código. Como medidas cautelares, una gestión control de los dispositivos y politicas permitirian no ejecutar dispositivos USB o prevenir la ejecución de código no autorizado


Fernando Díaz
fdiaz@hispasec.com
@entdark_

Más información:

ATMii: a small but effective ATM robber:

martes, 10 de octubre de 2017

Arrestado un acosador en Internet por los registros de VPN's que "no guardan registros"

El FBI ha arrestado a un hombre de Massachusetts por acosar en Internet a su compañera de piso. El acusado usaba herramientas para ocultar su identidad.





Todos nos hemos topado alguna vez con publicidad de VPN's. Para el que no sepa lo que es, en lo que respecta al usuario final una VPN es un servicio que permite cambiar tu dirección IP. Te conectas a un servidor, y ese servidor da la cara por ti en Internet como intermediario. Entre otras cosas, muchos proveedores de VPN's prometen que no guardan registros sobre la actividad de sus usuarios (registros que suelen pedir las fuerzas de seguridad del estado en investigaciones criminales).

A pesar de que el proveedor PureVPN era uno de éstos, ha colaborado con el FBI para arrestar al acusado, que usaba sus servicios. Y para ello, PureVPN le ha proporcionado al FBI los registros que prometía no guardar. Al acusado Ryan Lin se le acusa de múltiples delitos perpetrados aprovechándose de herramientas para ser anónimo en Internet. La víctima de los múltiples delitos es una mujer de 24 años, compañera de piso del acusado. Ayudándose de herramientas para ocultar su identidad en Internet (
TorTextfreeProtonMail...), Ryan Lin habría cometido los siguientes delitos afectando a la víctima mencionada (y otros que no se mencionan):


  • Suplantar la cuenta de correo de la víctima y enviar a los amigos, compañeros de clase, profesores... de la víctima, un collage con fotos personales de ésta y contenido sexual no relacionado
  • La creación de cuentas en portales de Internet para adultos suplantando a la víctima, ofreciendo en su perfil la realización de BDSM, simulación de violaciones...
  • Suplantar la identidad de la víctima para enviar amenazas de bomba y de otros tipos a escuelas cercanas e individuos
  • Envío de comunicaciones amenazantes a la víctima y a su círculo cercano, amenazando con matarlos y violarlos
  • Abuso de la cuenta de la víctima en una página de cuidado de mascotas, con la cual dijo a los dueños de mascotas que cuidaba la víctima que había matado a sus mascotas
  • Revelar el hecho de que la víctima había sufrido un aborto, información que sólo se encontraba en el diario de ésta


Lo que es noticia desde el punto de vista de la seguridad informática es, sin embargo, la polémica de proveedores de VPN's que prometen no guardar registros y sí lo hacen. En realidad, la mayoría de los proveedores que prometen eso especifican una serie de casos en los que no se cumple lo prometido (investigaciones judiciales entre otras). Como mínimo, los proveedores tienen que registrar el momento de conexión, desde qué IP, ancho de banda consumido... Todo esto para controlar el uso del servicio, sobre todo cuando se contratan paquetes con ancho de banda limitado, núméro máximo de conexiones simultáneas desde una misma cuenta....

Lo cierto es que lo que suelen prometer estos proveedores no es que no vayan a guardar registros sobre los usuarios, sino sobre el tráfico que transcurre sobre el servicio contratado (las páginas a las que navegas, los correos que envías...). Y la información que se guarda es suficiente para identificar a un usuario que ha cometido un delito, en la mayoría de los casos. En este caso concreto, podemos imaginar que alguna de las webs a las que se habría conectado el acusado para suplantar a la víctima guardó la dirección IP desde la que se habría conectado. Como la IP registrada pertenece al proveedor de VPN y éste guardaba la IP real del acusado, cruzando la hora de conexión bastaría para saber la IP real. Lo último que quedaría es preguntar al proveedor de servicios de Internet que usa esa IP real por el dueño de la conexión a Internet.

Irónicamente, el acusado criticaba en Twitter a otro proveedor de VPN no relacionado con el caso por sus declaraciones sobre no guardar registros. "No hay tal cosa como una VPN que no guarda registros", decía. "Si pueden limitar tus conexiones o sacar estadísticas del ancho de banda, están guardando registros". Conocido entre sus allegados como un "genio de los ordenadores", y dadas sus críticas en Twitter evidenciando su conocimiento del área, uno puede pensar que estaba deseando que lo pillasen...

En resumen, hay que leerse la letra pequeña, y cuanto más conocimientos técnicos tengas para evaluar los servicios que usas, más protegido estarás... Si eres de los buenos, claro. Si eres de los malos, olvida lo que he dicho ;)


Carlos Ledesma
cledesma@hispasec.com

Más información:

Cyberstalking Suspect Arrested After VPN Providers Shared Logs With the FBI
https://www.bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi/

FBI Arrests A Cyberstalker After Shady "No-Logs" VPN Provider Shared User Logs
https://thehackernews.com/2017/10/no-logs-vpn-service-security_8.html

lunes, 9 de octubre de 2017

Ejecución remota de comandos en Netgear ReadyNAS Surveillance

Se ha reportado una vulnerabilidad que podría permitir la ejecución remota de comandos en Netgear ReadyNAS Surveillance.



ReadyNAS Surveillance es un software para sistemas de video vigilancia en red (Network Video Recorder o NVR por sus siglas) que se instala y aloja las grabaciones directamente en un dispositivo de almacenamiento ReadyNAS.

La vulnerabilidad es debida a un error de falta de comprobación de parámetros introducidos por el usuario. Concretamente, el parámetro 'uploaddir' utilizado por la página 'upgrade_handle.php' de la interfaz del sistema. Esto podría permitir la ejecución de comandos en el sistema sin necesidad de autenticación.

Para aprovechar la vulnerabilidad simplemente sería necesaria una petición como la siguiente:

http://IP-ADDRESS/upgrade_handle.php?cmd=writeuploaddir&uploaddir=%27;COMMAND_TO_EXECUTE;%27


Este error fue descubierto por el investigador Kacper Szure y reportado a Netgear a finales del mes de junio, quien aún no se ha pronunciado en cuanto a la corrección del mismo.




Juan José Ruiz
jruiz@hispasec.com


Más información:

Netgear ReadyNAS Surveillance Unauthenticated Remote Command Execution
https://blogs.securiteam.com/index.php/archives/3409

domingo, 8 de octubre de 2017

Corregidas múltiples vulnerabilidades en Trend Micro OfficeScan

Se han hecho públicas ocho vulnerabilidades en Trend Micro OfficeScan11.0 y XG (12.0) que podrían causar diferentes impactos, desde la revelación de información hasta la ejecución de código remoto y elevación de privilegios.

Trend Micro OfficeScan es un sistema de protección frente a amenazas para servidores de archivos, PC's, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad ‘in situ’ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.

Los problemas de seguridad son los siguientes:

CVE-2017-14083: La ruta al archivo ‘crypt.key’ utilizado en el proceso de cifrado se encuentra definida en ‘config.php’ y un atacante remoto no autenticado podría descargar dicho fichero a través de una petición simple:








CVE-2017-14084: Las peticiones CURL usadas por la función ‘send’ en ‘HttpTalk.php’ establecen los parámetros de verificación ‘CURLOPT_SSL_VERIFYPEER’ y ‘CURLOPT_SSL_VERIFYHOST’ a falso, lo que podría permitir la realización de ataques MITM.

CVE-2017-14085: Un atacante no autenticado podría revelar información sensible acerca de los dominios presentes en las redes, y las versiones y módulos de PHP a través de 'analyzeWF.php’.

CVE-2017-14086: Una falta de validación permite la ejecución remota de procesos como ‘fcgiOfcDDA.exe’ o ‘cgiRqUpd.exe’ por parte de un atacante no autenticado que podrían aprovecharse para causar una denegación de servicio por elevado consumo de recursos (espacio en disco ocupado por los volcados o dumps generados) por múltiples ejecuciones o corrupción del INI.







CVE-2017-14087: Existe un problema de inyección en las cabeceras de host al basarse en $_SERVER['HTTP_HOST'] (que puede ser falsificado por el cliente) en lugar de $_SERVER['SERVER_NAME'], por ejemplo en ‘db_controller.php’. Esto podría permitir generar enlaces arbitrarios que apunten a sitios web maliciosos al cachearse peticiones con cabeceras envenenadas.






CVE-2017-14088: Un error de falta de validación al manejar ‘IOCTL 0x220008’ en ‘tmwfp.sys’ podría podría ser aprovechado por un atacante para elevar sus privilegios.

CVE-2017-14089: Determinadas peticiones al ser procesadas en ‘cgiShowClientAdm.exe’ podrían causar problemas de corrupción de memoria.





Adicionalmente existe una vulnerabilidad, sin identificador CVE asignado, debida a la posibilidad de realizar solicitudes HTTP arbitrarias en servidores internos o externos a través de ‘help_proxy.php’.






Las vulnerabilidades has sido descubiertas por John Page (aka hyp3rlinxde ApparitionSec, Leong Wai Meng y zer0b4by en colaboración con Zero Day InitiativeTrend Micro ha publicado las actualizaciones XG CP 1708 y 11.0 SP1 CP 6426 disponibles  respectivamente desde los siguientes enlaces:

http://files.trendmicro.com/products/officescan/XG/patch1/osce_xg_win_en_criticalpatch_1708.exe 
http://files.trendmicro.com/products/officescan/11.0_SP1/osce_11_sp1_patch1_win_en_criticalpatch_6426.exe




Juan José Ruiz
jruiz@hispasec.com


Más información:

SECURITY BULLETIN: Trend Micro OfficeScan Multiple Vulnerabilities
https://success.trendmicro.com/solution/1118372

CVE-2017-14083
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14083-TRENDMICRO-OFFICESCAN-XG-PRE-AUTH-REMOTE-ENCRYPTION-KEY-DISCLOSURE.txt

CVE-2017-14084 - Trend Micro OfficeScan v11.0 and XG (12.0)* CURL (MITM)
Remote Code Execution
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14084-TRENDMICRO-OFFICESCAN-XG-CURL-MITM-REMOTE-CODE-EXECUTION.txt

CVE-2017-14085 - Trend Micro OfficeScan v11.0 and XG (12.0)*
Unauthorized NT Domain / PHP Information Disclosures
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14085-TRENDMICRO-OFFICESCAN-XG-REMOTE-NT-DOMAIN-PHP-INFO-DISCLOSURE.txt

CVE-2017-14086 - Trend Micro OfficeScan v11.0 and XG (12.0)*
Unauthorized Start Remote Process Code Execution / DOS - INI Corruption
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14086-TRENDMICRO-OFFICESCAN-XG-PRE-AUTH-START-REMOTE-PROCESS-CODE-EXECUTION-MEM-CORRUPT.txt

CVE-2017-14087
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14087-TRENDMICRO-OFFICESCAN-XG-HOST-HEADER-INJECTION.txt

CVE-2017-14088 - Trend Micro OfficeScan tmwfp Memory Corruption
Privilege Escalation Vulnerability
http://zerodayinitiative.com/advisories/ZDI-17-828/
http://zerodayinitiative.com/advisories/ZDI-17-829/

CVE-2017-14089
http://hyp3rlinx.altervista.org/advisories/CVE-2017-14089-TRENDMICRO-OFFICESCAN-XG-PRE-AUTH-REMOTE-MEMORY-CORRUPTION.txt

Trend Micro OfficeScan v11.0 and XG (12.0)* Unauthorized Server Side
Request Forgery
http://hyp3rlinx.altervista.org/advisories/TRENDMICRO-OFFICESCAN-XG-SERVER-SIDE-REQUEST-FORGERY.txt