sábado, 30 de septiembre de 2017

Vulnerabilidad en Apple Quarantine permite ejecutar codigo arbitrario

Un investigador de wearesegment descubre una vulnerabilidad en OS X que permite bypassear Apple Quarantine y la ejecutar código arbitrario sin restricciones.


Ejecución de código remoto aprovechando la vulnerabilidad.

La caracteristica Quarantine esta diseñada con el fin de proteger a los usuarios de ataques y archivos maliciosos, introduciéndolos en una cuarentena en caso de ser sospechosos o peligrosos. Quarantine funciona estableciendo un atributo extendido para los archivos descargados y aquellos extraidos de archivos comprimidos. Este atributo comunica al sistema que abra o ejecute estos archivos en un entorno restringido. Por ejemplo, un archivo .html en cuarentena no permitirá cargar recursos. 


La vulnerabilidad esta presente en un archivo HTML que forma parte del núcleo de OS X y que es propenso a recibir ataques DOM XSS permitiendo la ejecución de código JavaScript arbitrario en un contexto sin restricciones. A continuación, podemos observar un video donde se muestra la vulnerabilidad en acción: 


El archivo vulnerable se puede encontrar en /System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html

De momento Apple no ha asignado CVE a esta vulnerabilidad y no se menciona en ningun changelog de la misma. La unica solución de momento es actualizar a OS X High Sierra o eliminar rhtmlPlayer.html

Fernando Díaz
fdiaz@hispasec.com
@entdark_

Más información:

Mac OS X Local Javascript Quarantine Bypass:

viernes, 29 de septiembre de 2017

Publicada la píldora formativa Thoth 48: ¿Cómo se oculta información con esteganografía?

Se ha publicado en el canal YouTube de la UPM la píldora formativa 48 del proyecto Thoth que lleva por título "¿Cómo se oculta información con esteganografía?"

El procedimiento para ocultar información utilizando una técnica esteganográfica, dependerá mucho del estegomedio elegido. Se entiende por estegomedio el recurso utilizado para ocultar información, por ejemplo, una imagen digital, un audio, un vídeo, un protocolo de comunicación, una página web, un texto, etc.




Independientemente del estegomedio utilizado, uno de los procedimientos comúnmente utilizados consiste en identificar información redundante. Información que puede ser modificada sin afectar al contenido del estegomedio.

Recuerda que todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, muy importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web del proyecto, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Se puede acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 47 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite, además, una búsqueda mediante los siguientes cinco filtros:

  1. Fundamentos de seguridad
  2. Criptografía clásica
  3. Historia de la criptografía
  4. Matemáticas en criptografía
  5. Criptografía moderna.

La próxima entrega del proyecto Thoth será en noviembre de 2017, con la píldora número 49 de título ¿Por qué pueden utilizarse las curvas elípticas para cifrar? y con guión hecho por los doctores Víctor Gayoso Martínez y Luis Hernández Encinas.


Dr. Jorge Ramió. Dr. Alfonso Muñoz
Directores Proyecto Thoth


jueves, 28 de septiembre de 2017

ZNIU: un malware para Android basado en Dirty COW

ZNIU es un malware que afecta a dispositivos Android basado en el famoso CVE-2016-5195, también conocido como "Dirty COW".




Ya hablamos en su momento de Dirty COW, una condición de carrera en el subsistema de memoria del kernel que permitiría elevar privilegios a 'root' en sistemas Linux. 

A pesar de que ya existen familias que explotan esta vulnerabilidad, es la primera vez que se han encontrado muestras de una que afecta a la plataforma Android. Los investigadores de Trend Micro, sus descubridores, la han bautizado como ZNIU.


Cómo infecta ZNIU

Para lograr la infección, ZNIU se camufla como una aplicación pornográfica o como un videojuego que la víctima descarga desde una página web maliciosa.

Una vez instalada la aplicación, ZNIU se comunica con el panel de control, desde donde descarga e implanta la última versión disponible del virus. Mientras tanto, el malware intenta escalar privilegios en el sistema a través de 'Dirty COW', con el objetivo de instalar una puerta trasera en el dispositivo para futuros ataques remotos.


Proceso de infección. Extraída de http://blog.trendmicro.com


Cuando ZNIU está instalado en nuestro sistema, el atacante se identifica como el propietario de nuestro móvil y nuestra línea de teléfono aprovechando toda la información recolectada de nuestro dispositivo. El objetivo será interceptar los servicios de "pago móvil" y transferir dinero a cuentas controladas por el atacante.


Petición de una transacción enviada por el malware. Extraída de http://blog.trendmicro.com

Hasta el momento, las muestras analizadas por Trend Micro parecen afectar sólo a operadoras de telefonía Chinas. Aunque todos los dispositivos infectados (más de 5.000 a lo largo de más de 40 países) disponen de una puerta trasera que podría ser utilizada para actualizar el virus y apuntar a operadoras de otros países.



Algunas muestras de ZNIU






Francisco Salido
fsalido@hispasec.com

Más información:







miércoles, 27 de septiembre de 2017

Exfiltración de información en redes aisladas

Las redes aisladas son aquellas que no están conectadas físicamente con otras redes a propósito, por motivos de seguridad. Ilustramos técnicas usadas para evadir esta medida de seguridad.


Extraída de progressny.com

Es una medida clásica en entornos críticos, de alta seguridad. Las redes aisladas (air-gapped networks) ponen en práctica un hecho evidente: No puedes introducir o extraer información de una red (o nodo de ésta) a través de otra red a la que se encuentre conectada, si no hay red a la que se encuentre conectada. A pesar de lo radical que resulta la medida (los problemas de comunicación que puede tener una red aislada), esto tampoco garantiza que no se introduzca o extraiga información de la red, sólo que no se puede hacer a través de otra red a la que se encuentre conectada. A continuación comentamos algunas formas curiosas en las que se ha violado la seguridad de redes aisladas.

Uno de los casos más sonados es el de Stuxnet (descubierto en 2010), una amenaza persistente avanzada en forma de troyano financiada y desarrollada conjuntamente por Estados Unidos e Israel, con el fin de atacar centrales nucleares iraníes y retrasar su programa nuclear. El objetivo era alterar los sistemas de control de las centrifugadoras usadas en el enriquecimiento de material radioactivo. El problema es que estos sistemas de control se hallaban en redes aisladas. En este caso, la forma de introducir código que alterase estos sistemas de control fue a través de un malware que se propagaba a través de las memorias USB. Una de éstas habría terminado en manos de algún técnico de mantenimiento de la planta...

Extraída de wonderhowto.com

El caso de Stuxnet es un caso de comprometer una red aislada desde fuera, pero... ¿qué pasa si quieres extraer información de al red aislada? Para ello, nos remontamos dos años atrás, a Fanny. Este malware ya fue detectado cuando salió, en 2008, pero se etiquetó como una versión común de malware que infectaba ordenadores a través de memorias USB. Pero la parte "divertida" de Fanny fue descubierta en 2014, cuando investigadores crearon una detección sobre el código de exploit de Stuxnet, y se encontraron con que detectaba un viejo troyano de 2008.

Aquí la historia se vuelve interesante, y es que Fanny ya usaba parte del código de exploit de Stuxnet (detectado en 2010) en 2008. Cuando investigaron más a fondo la funcionalidad de este troyano, descubrieron que estaba especializado en extraer información de las redes aisladas a través de memorias USB. Según iba infectando máquinas, iba almacenando datos interesantes en la memoria USB de forma oculta. Y en cuanto alcanzaba una máquina con conexión a Internet mandaba todos los datos robados a un servidor de control. A su vez, el servidor de control también podía mandar órdenes a las máquinas infectadas, que las introducirían de vuelta en la memoria USB para su ejecución en máquinas sin conexión a Internet...

Extraída de arstechnica.com

Si bien estos casos ya son dignos de Hollywood, todavía hay formas más originales de exfiltrar información en redes aisladas. Otro caso llamativo es el del mítico malware BadBIOS (mítico porque no hay pruebas concluyentes de su existencia). Entre otras funcionalidades, se le atribuía el poder de establecer comunicación entre máquinas infectadas a través de ultrasonidos, usando los altavoces y los micrófonos de las máquinas como emisores y receptores. Técnicamente es posible, que conste... De hecho, un reciente estudio llamativamente titulado aIR-Jumper demuestra que es posible hacer lo mismo con cámaras de vigilancia con visión infrarroja. En este caso, el emisor sería el conjunto de luces LED usadas para iluminar el punto a vigilar, y el receptor la misma cámara que puede captar la luz infrarroja.

Como hemos podido observar, la medida de aislar redes no es la panacea (nada lo es en seguridad informática). Es un requisito imprescindible en sistemas realmente críticos que se benefician poco o nada de estar conectados a otras redes. Pero tal y como se ve en algunos de los ejemplos dados en este artículo, no sirve de mucho sin buenas políticas de seguridad que regulen el verdadero punto flaco de los sistemas de información: Las personas que los manejan.

Carlos Ledesma
cledesma@hispasec.com


Más información:

Canal encubierto
https://es.wikipedia.org/wiki/Canal_encubierto

El grupo de espionaje Sednit ataca redes seguras aisladas
https://www.welivesecurity.com/la-es/2014/11/11/grupo-espionaje-sednit-ataca-redes-aisladas/

Spying on Keyboard Presses with a Software Defined Radio
https://www.rtl-sdr.com/spying-keyboard-presses-software-defined-radio/

Hear that? It's the sound of BadBIOS wannabe chatting over air gaps
http://www.theregister.co.uk/2013/12/05/airgap_chatting_malware/

martes, 26 de septiembre de 2017

540.000 registros de clientes expuestos en Internet

Nuevo leak. 540.000 registros de datos de clientes de una empresa han sido expuestos públicamente, durante un tiempo indeterminado, en Internet.



Los registros pertenecen a la empresa SVR Tracking, cuyo servicio principal es proveer de un sistema de seguimiento GPS y alertas de movimiento de vehículos. Este tipo de servicios suele ser instalado en flotas comerciales y como sistema de recuperación en caso de robo.

El problema fue descubierto por la empresa Kromtech Security Center, al encontrar un servidor caché al que se podía acceder sin contraseña, y en el que se encontraba el grueso de datos expuesto. Entre los datos estaban el nombre de usuario, contraseña, número de identificación del vehículo, IMEI del dispositivo GPS además de la localización física del dispositivo instalado en el coche.


Otro de los pecados cometidos por la empresa fue el tipo de almacenamiento de las contraseñas, en SHA-1, un algoritmo de hash ya superado; además ni tan siquiera se estaba generando una sal para dificultar ataques por tablas rainbow.

Imagen procedente de: https://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online

Cómo podemos aprender, no hace falta una vulnerabilidad crítica o un exploit next-gen para morder el polvo. Basta con no tener la más mínima idea de principios básicos de seguridad y desplegar un servidor con información crítica en Internet, sin control alguno, para facilitar el trabajo a un atacante. Dos fallos fundamentales, que podrían exponer a una empresa a sanciones y una grave pérdida en su reputación.



David García
dgarcia@hispasec.com
@dgn1729

Más información:


Auto Tracking Company Leaks Hundreds of Thousands of Records Online
https://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online