lunes, 23 de enero de 2017

Newsletter Criptored del mes de diciembre de 2016

Newsletter con las noticias y actividad del mes de diciembre de 2016 en Criptored. Estas noticias las podrá encontrar en el histórico de Criptored del mes de diciembre de 2106 en este enlace.

Actividad en el web de Criptored durante el mes de diciembre de 2016.
22/12/16: Criptored se va de vacaciones hasta el 9 de enero, feliz Navidad y próspero año 2017 (España).
22/12/16: Disponible el Newsletter de la revista Red Seguridad del mes de diciembre de 2016 (España).
22/12/16: Vídeo de la conferencia Criptografía y autenticación con dispositivos BCI Brain Computer Interfaces (España).
12/12/16: Publicada la versión beta del freeware RingRSA para prácticas de laboratorio de ataque cíclico a RSA (España).
07/12/16: Publicada la píldora formativa Thoth 41 ¿Cómo podemos atacar al algoritmo RSA? (España).
05/12/16: Vídeo recordatorio de los 25 años de la RECSI (España).
05/12/16: 15.895 accesos a los cursos del MOOC Crypt4you en noviembre de 2016 (España).
05/12/16: 8.627 visualizaciones de las píldoras del proyecto Thoth durante el mes de noviembre de 2016 (España).
05/12/16: 9.197 visualizaciones de las lecciones de la enciclopedia Intypedia durante el mes de noviembre de 2016 (España).
05/12/16: 38.467 accesos a Criptored y 30.689 descargas de documentos pdf, zip y mp3 en el mes de noviembre de 2016 (España).
05/12/16: Newsletter de la actividad de Criptored en el mes de noviembre de 2016 (España).

También puede encontrar estas y otras noticias de la actividad de Criptored en la sección Debates del grupo en LinkedIn en el siguiente enlace:



Dr. Jorge Ramió, Dr. Alfonso Muñoz

domingo, 22 de enero de 2017

Nuevas versiones de PHP corrigen múltiples vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.1, 7.0 y 5.6 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Son múltiples las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado CVE. Afectan a un gran número de componentes, que además del propio core, incluyen COM, DOM, EXIF, GD, GMP, Mysqli, Mysqlnd, PCRE, PDO_Firebird, Phar, Phpdbg, Reflection, Streams, SQLite3, Standard y Zlib.

Entre los problemas corregidos cabe señalar múltiples desbordamientos de entero, acceso de lectura y escritura ilegal, desreferencias de puntero nulo o usos de memoria después de liberarla.

Se recomienda actualizar a las nuevas versiones 7.1.1, 7.0.15 y 5.6.30 desde

Más información:

PHP 7 ChangeLog
Version 7.0.15
Version 7.1.1

PHP 5 ChangeLog
Version 5.6.30



Antonio Ropero
Twitter: @aropero


sábado, 21 de enero de 2017

Vulnerabilidad de Cross-Site Scripting en IBM iNotes

IBM ha confirmado una vulnerabilidad en IBM iNotes que podría permitir a atacantes remotos la realización de ataques de cross-site scripting.

IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión completa basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.

El problema corregido (con CVE-2016-5881) reside en una validación inadecuada de las entradas del usuario. Un atacante remoto podría explotar la vulnerabilidad mediante URLs específicamente creadas, lo que le permitiría ejecutar scripts en el navegador de la víctima. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima y los datos presentados recientemente.

Se ven afectadas las versions IBM iNotes 9.0 y 9.0.1 anterior a 9.0.1 Fix Pack 7 e IBM iNotes 8.5, 8.5.1, 8.5.2 y 8.5.3 anterior a 8.5.3 Fix Pack 6 Interim Fix 15

IBM ha publicado las actualizaciones necesarias en Domino e iNotes versiones 9.0.1 Fix Pack 7 y 8.5.3 Fix Pack 6 Interim Fix 15. Disponible desde:
Notes/Domino 9.0.1 Fix Packs
Interim Fixes para 8.5.3 Fix Pack 6 IBM Notes, IBM Domino e IBM iNotes
Notes/Domino 8.5.3 Fix Packs

Más información:

Security Bulletin: Fix Available for IBM iNotes Cross-site Scripting Vulnerability (CVE-2016-5881)




Antonio Ropero
Twitter: @aropero



viernes, 20 de enero de 2017

Ejecución remota de código en Apple GarageBand

Se ha anunciado una vulnerabilidad en GarageBand para OS X, el popular programa de composición musical de Apple, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

GarageBand es un estudio de grabación que incluye una biblioteca de sonidos con instrumentos, baterías de estudio virtuales y preajustes para voz y guitarra. El diseño de la interfaz hace que tocar, aprender, grabar, componer y compartir música sea sencillo.

Como hemos mencionado en múltiples ocasiones, el vector de ataque, la vulnerabilidad empleada para atacar un sistema puede residir en el lugar más insospechado. Siempre se centra toda la importancia en el sistema operativo, e incluso en productos de uso habitual y sobre los que se centran y conocen múltiples vulnerabilidades, navegadores, visualizadores de pdfs, Flash, etc. Pero es fácil tender a descuidar otro tipo de software como, en este caso, un programa para componer música.

El problema, con CVE-2017-2372, reside en el tratamiento de archivos de proyecto específicamente creados. De forma que cuando el usuario atacado abre el archivo provoca una corrupción de memoria, que permite la ejecución de código arbitrario en el sistema. El código se ejecutará con los privilegios del usuario afectado.

La vulnerabilidad, reportada por Tyler Bohan del equipo Cisco Talos, afecta a GarageBand para OS X Yosemite v10.10 (y posteriores). Apple ha publicado GarageBand 10.1.5 para solucionar el problema descrito.

Más información:

About the security content of GarageBand 10.1.5



Antonio Ropero

Twitter: @aropero

jueves, 19 de enero de 2017

Ejecución remota de código en productos Symantec

Symantec ha confirmado una vulnerabilidad en productos Norton y Symantec Endpoint Protection Cloud que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

La vulnerabilidad, con CVE-2016-6592, reside en el Norton Download Manager, un pequeño ejecutable descargado inicialmente cuando un usuario visita el portal de Nortonpara descargar una versión (de prueba o con licencia) de los productos de seguridad Norton o de la familia Norton. El problema se debe a un problema en la carga de librerías DLL, por un fallo en el Norton Download Manager al usar una ruta absoluta cuando carga las DLLs requeridas durante el proceso de inicio.

Esto podría permitir la ejecución sin autorización de una dll específicamente creada que sustituya una dll autorizada en la ruta de búsqueda del Norton Download Manager (habitualmente la carpeta de descargas del navegador del usuario).

Se ven afectados los productos:
  • Norton Family
  • Norton AntiVirus
  • Norton AntiVirus Basic
  • Norton Internet Security
  • Norton 360
  • Norton 360 Premier
  • Norton Security
  • Norton Security with Backup
  • Norton Security Standard
  • Norton Security Deluxe
  • Norton Security Premium
  • Symantec Endpoint Protection Cloud 


Norton Download Manager no se actualiza a través de Liveupdate. Los usuarios descargan Norton Download Manager durante la instalación inicial de algún producto Norton y habitualmente solo se ejecuta una vez para gestionar la descarga e instalación del producto seleccionado.
La solución para los usuarios afectados pasa por eliminar cualquier versión de Norton Download Manager 5.6 (o anterior) descargada. En caso necesario descargar la versión actualizada del software desde el portal Norton.

Más información:

Security Advisories Relating to Symantec Products - Norton Download Manager DLL Loading
  


Antonio Ropero

Twitter: @aropero

miércoles, 18 de enero de 2017

Oracle corrige 270 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica el primer boletín de seguridad del año. Contiene parches para 270 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:
  • Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
  • Oracle Secure Backup, versiones anteriores a 12.1.0.3
  • Spatial, versiones anteriores a 1.2
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
  • Oracle Outside In Technology, versiones 8.5.2 y 8.5.3
  • Oracle Tuxedo, versión 12.1.1
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Application Testing Suite, versiones 12.4.0.2, 12.5.0.2 y 12.5.0.3
  • Enterprise Manager Base Platform, versiones 12.1.0.5, 13.1 y 13.2
  • Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
  • Oracle Transportation Management, versiones 6.1 y 6.2
  • PeopleSoft Enterprise HCM ePerformance, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
  • JD Edwards EnterpriseOne Tools, versión 9.2.1.1
  • Siebel Applications, versión 16.1
  • Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.2
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Communications Indexing and Search Service, versiones anteriores a 1.0.5.28.0
  • Oracle Communications Network Charging and Control, versiones 4.4.1.5, 5.0.0.1, 5.0.0.2, 5.0.1.0 y 5.0.2.0
  • Oracle Communications Network Intelligence, versión 7.3.0.0
  • Oracle FLEXCUBE Core Banking, versiones 5.1.0, 5.2.0 y 11.5.0
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.0, 12.0.1, 12.0.2 y 12.0.3
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.0.2
  • Oracle FLEXCUBE Investor Servicing, versiones 12.0.1, 12.0.2, 12.0.4, 12.1.0 y 12.3.0
  • Oracle FLEXCUBE Private Banking, versiones 2.0.1, 2.2.0 y 12.0.1
  • Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0 y 12.2.0
  • MICROS Lucas, versiones 2.9.1, 2.9.2, 2.9.3, 2.9.4 y 2.9.5
  • Oracle Retail Allocation, versiones 12.0, 13.0, 13.1, 13.2, 13.3, 14.0 y 14.1
  • Oracle Retail Assortment Planning, versiones 14.1 y 15.0
  • Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2, 15.0 y 16.0
  • Oracle Retail Predictive Application Server, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1 y 15.0
  • Oracle Retail Price Management, versiones 13.1, 13.2, 14.0 y 14.1
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 y 16.2
  • Oracle Java SE, versiones 6u131, 7u121 y 8u112
  • Oracle Java SE Embedded, versión 8u111
  • Oracle JRockit, versión R28.3.12
  • Oracle VM Server for Sparc, versiones 3.2 y 3.4
  • Solaris, versión 11.3
  • Oracle VM VirtualBox, versiones anteriores a 5.0.32 y anteriores a 5.1.14
  • MySQL Cluster, versiones 7.2.26 y anteriores, 7.3.14 y anteriores y 7.4.12 y anteriores
  • MySQL Enterprise Monitor, versiones 3.1.3.7856 y anteriores, 3.1.4.7895 y anteriores, 3.1.5.7958 y anteriores, 3.2.1.1049 y anteriores, 3.2.4.1102 y anteriores y 3.3.0.1098 y anteriores
  • MySQL Server, versiones 5.5.53 y anteriores, 5.6.34 y anteriores y 5.7.16 y anteriores
 A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Cinco nuevas vulnerabilidades corregidas en Oracle Database Server (tres de ellas explotable remotamente sin autenticación), dos vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph.
       
  • Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 16 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Tuxedo, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Fusion Middleware, Oracle Outside In Technology y Oracle JDeveloper.
         
  • Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, seis de ellas explotables remotamente sin autenticación.
         
  • Dentro de Oracle Applications, 121 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, siete para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, tres para Oracle Siebel CRM y uno para Oracle Commerce.
         
  • Se incluyen también cuatro nuevos parches para Oracle Communications Applications, dos de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También soluciona 37 nuevas vulnerabilidades en Oracle Financial Services Applications (14 explotables remotamente).
         
  • Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Retail Applications, dos de ellas explotables remotamente sin autenticación.
          
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Primavera Products Suite, dos de ellas podrían explotarse de forma remota sin autenticación.
        
  • En lo referente a Oracle Java SE se incluyen 17 nuevos parches de seguridad, 16 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
        
  • Para la suite de productos Oracle Sun Systems se incluyen cuatro nuevas actualizaciones, tres de ellas afectan directamente a Solaris.
         
  • 27 nuevas vulnerabilidades afectan a MySQL Server (cinco de ellas podrían ser explotadas por un atacante remoto sin autenticar).
        
  • Esta actualización también contiene cuatro parches para Oracle Virtualización.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – January 2017

Más información:

Oracle Critical Patch Update Advisory - January 2017



Antonio Ropero
Twitter: @aropero



martes, 17 de enero de 2017

Vulnerabilidades en BlackBerry Enterprise Service

BlackBerry ha solucionado dos vulnerabilidades en su software BlackBerry Enterprise Service 12 (BES), que podrían permitir obtener información sensible o realizar ataques de falsificación.

BlackBerry Enterprise Service es un producto enfocado al mundo empresarial, se utiliza para la gestión multiplataforma (PC, Mac, iOS , Android y Blackberry OS) de todos los dispositivos, móviles y tablets.

La primera vulnerabilidad, con CVE-2016-3128, reside en un error en el núcleo de  BlackBerry Enterprise Service que podría emplearse para falsificar un dispositivo registrado y posteriormente acceder a otros parámetros de configuración restringidos para el dispositivo y enviar información especialmente restringida y especialmente diseñada.

Por otra parte, con CVE-2016-3130, un error relacionado con el núcleo de BlackBerry Enterprise Service y la Consola de Administración que podría aprovecharse para obtener las credenciales de usuarios mediante la escucha del tráfico de red entre la consola de administración y BES Core en un intento de autenticación.

Ambos problemas afectan a BES12 versión 12.5.2 y anteriores. Se recomienda la instalación de BlackBerry Unified Endpoint Manager (UEM) versión 12.6, disponible desde:

Más información:

BSRT-2017-001 Vulnerability in BES Core impacts BES12

BSRT-2017-002 Information disclosure vulnerability affects BES12



Antonio Ropero
Twitter: @aropero



lunes, 16 de enero de 2017

Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa tres nuevas vulnerabilidades que podrían ser aprovechadas por atacantes remotos para ejecutar código arbitrario, provocar denegaciones de servicio o reiniciar conexiones.

El primer problema, con CVE-2016-7117, reside en un uso de memoria después de liberarla en el subsistema de sockets recvmmsg del kernel, que podría permitir a un atacante remoto ejecutar código arbitrario. Un acceso a memoria fuera de límites en setsockopt() que podría permitir provocar condiciones de denegación de servicio o divulgación del contenido del heap (CVE-2016-4998). Por último, un uso de memoria después de liberarla en tcp_xmit_retransmit_queue y otras funciones tcp_*, que podría provocar el reinicio de una conexión (CVE-2016-6828).

También se han corregido otros siete fallos no relacionados directamente con problemas de seguridad.

Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:

Más información:

Important: kernel security and bug fix update


Antonio Ropero
Twitter: @aropero

domingo, 15 de enero de 2017

Actualización de seguridad para WordPress

Se ha publicado la versión 4.7.1 de WordPress destinada a solucionar ocho vulnerabilidades, que podrían permitir la ejecución de código remoto en PHPMailer, exposición de datos de usuario, cross-site scripting o CSRF.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

El primer problema corregido reside en la ejecución de código remoto en PHPMailer. Aunque no hay ningún problema específico que afecte a WordPress, o a los principales plugins, por precaución se ha actualizado PHPMailer en esta versión

La REST API expone datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. Una vulnerabilidad de Cross-Site Scripting (XSS) a través del nombre del plugin o la cabecera de la versión en update-core.php, también mediante la retirada del nombre del tema. Otras dos vulnerabilidades de Cross-Site Request Forgery (CSRF) al subir un archivo flash y en el modo de accesibilidad de la edición de widgets.

Por último, la publicación por correo electrónico revisa mail.example.com si no han cambiado los ajustes por defecto y seguridad criptográfica débil en la clave de activación de multisitio.

Además está versión contiene la corrección de otros 62 fallos (desde la versión 4.7) no relacionados directamente con problemas de seguridad.

Se recomienda la actualización de los sistemas a la versión 4.7.1 disponible desde:

Más información:

WordPress 4.7.1 Security and Maintenance Release

WordPress 4.7.1 Actualización de mantenimiento y seguridad



Antonio Ropero

Twitter: @aropero

sábado, 14 de enero de 2017

ZDI pagó dos millones de dólares por vulnerabilidades en el 2016

Zero Day Initiative (ZDI) publicó 674 avisos de seguridad durante el 2016, de estos 54 fueron publicados como 0-day. En total, ZDI pagó cerca de dos millones de dólares el pasado año.

ZDI ha publicado un interesante resumen de sus actividades durante el pasado año, en el que cabe destacar los 674 avisos publicados, ocho más que el 2015. El programa ZDI, que durante 2016 pasó de HPE a Trend Micro con la venta de TippingPoint, agradece y reconoce el trabajo de los investigadores colaboradores.

Entre los que destaca a un investigador, conocido simplemente como 'kdot', tanto por la complejidad de los problemas encontrados, como por la amplitud de los productos sobre los que informó. Ese investigador es responsable de 30 de los avisos publicados para Google Chrome, Adobe Reader, Microsoft PDF Library y Foxit Reader.

También reconoce el trabajo de los Laboratorios CloverSec, con 18 avisos diferentes en productos de Microsoft, Adobe, Oracle y AVG, entre otros. Otro investigador habitual de los últimos años, conocido como rgod, ha publicado 15 avisos en productos como Microsoft, Novell, Dell y CA durante 2016.

También incide en la dificultad de publicar un aviso, ya que no todos los reportes de estos investigadores son automáticamente aceptados. De hecho, cerca de un 43 por ciento de todos los avisos recibidos durante el pasado año fueron rechazados.

Las vulnerabilidades más destacables

ZDI también hace un repaso a las vulnerabilidades que consideran más destacables, señalando:

CVE-2016-3382 – Enviada por un investigador anónimo y parcheada por Microsoft en el boletín MS16-118. Una confusión de tipos para las últimas versiones de IE y Edge.
CVE-2016-0158 – Vulnerabilidad para Microsoft Edge reportada por lokihardt y corregida en el MS16-038.
CVE-2016-7272 – Ejecución de código al abrir una nueva ventana en Windows Explorer para todas las versiones de Windows. Descubierto por Giwan Go de STEALIEN y corregido en el MS16-146.
CVE-2016-1806 – Empleado por JungHoon Lee (lokihardt) durante la competición Pwn2Own de este año y solucionado por Apple en el Security Update 2016-003.
CVE-2016-7857 – Fallo para Adobe Flash reportado por bee13oy de CloverSec Labs corregido en noviembre.
CVE-2016-5161 – Vulnerabilidad de confusión de tipos en Chrome reportada por un investigador conocido como 62600BCA031B9EB5CB4A74ADDDD6771E, corregido por Google en octubre.

Los más afectados


El programa ZDI también agradece a los proveedores y fabricantes que corrigen las vulnerabilidades que les informan.

Como en el 2015 la compañía para la que más avisos se publicaron fue Adobe, con 149 de las 674 totales. De hecho, tanto en 2015 como en 2016, los productos de Adobe representaron el 22% de los avisos publicados.

Es curioso el caso del fabricante que ocupa el segundo puesto, los sistemas industriales Advantech con 112 avisos publicados, lo que representa un 17 por ciento. Sin embargo trata este caso como algo especial, debido a que todos ellos provienen del mismo investigador anónimo, que tampoco ha reportado vulnerabilidades para ningún otro fabricante.

Microsoft finalizó como tercer fabricante afectado, destacando los navegadores como principal objetivo. Con 77 avisos, Microsoft tiene un 11% de los avisos publicados, frente al 17 por ciento del 2015.

Más información:

The ZDI 2016 Retrospective



Antonio Ropero

Twitter: @aropero

viernes, 13 de enero de 2017

Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar cuatro vulnerabilidades consideradas de gravedad alta que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

La primera vulnerabilidad, con CVE-2016-9131, consiste en que una respuesta a una consulta RTYPEANY específicamente construida recibida por un servidor recursivo puede provocar la caída de named por un fallo de aserción. Afecta a versiones 9.4.0 a 9.6-ESV-R11-W1, 9.8.5 a 9.8.8, 9.9.3 a 9.9.9-P4, 9.9.9-S1 a 9.9.9-S6, 9.10.0 a 9.10.4-P4 y 9.11.0 a 9.11.0-P1.

Con CVE-2016-9147, un error en el tratamiento de una respuesta que contenga DNSSEC inconsistente puede provocar un fallo de aserción. Afecta a versiones 9.9.9-P4, 9.9.9-S6, 9.10.4-P4 y 9.11.0-P1. Con CVE-2016-9444, una respuesta construida de forma inusual que contenga un registro de recurso DS puede provocar un fallo de aserción con la consiguiente caída del servicio. Afecta a versiones 9.6-ESV-R9 a 9.6-ESV-R11-W1, 9.8.5 a 9.8.8, 9.9.3 a 9.9.9-P4, 9.9.9-S1 a 9.9.9-S6, 9.10.0 a 9.10.4-P4, 9.11.0 a 9.11.0-P1.

Por último, con CVE-2016-9778, un error en el tratamiento de determinadas consultas usando la característica nxdomain-redirect puede causar un fallo de aserción REQUIRE en db.c. Afecta a versiones 9.9.8-S1 a 9.9.8-S3, 9.9.9-S1 a 9.9.9-S6 y 9.11.0 a 9.11.0-P1.

Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P5, 9.10.4-P5, 9.11.0-P2 y 9.9.9-S7, disponibles en:

Más información:

CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c

CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure

CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure

CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion



Antonio Ropero
Twitter: @aropero


jueves, 12 de enero de 2017

Vulnerabilidades de ejecución de código en la librería GnuTLS

Se han anunciado cuatro vulnerabilidades en la librería GnuTLS que podrían permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

GnuTLS es una librería de comunicaciones segura que implementa, entre otros protocolos, SSL, TLS y DTLS. Aunque no es tan popular como la librería OpenSSL, GnuTLS también es ampliamente usada. Se incluye por defecto en diversas distribuciones Linux, incluyendo Red Hat, Ubuntu o Debian. Un gran número de productos Linux también dependen de ella para el soporte de SSL/TLS.

El primer problema, con CVE-2017-5334, reside en el tratamiento de certificados X.509 específicamente manipulados que contengan una extensión Proxy Certificate Information que provoca un error de doble liberación de memoria en gnutls_x509_ext_import_proxy() y ejecutar código arbitrario en el sistema afectado.

Por otra parte, otras tres vulnerabilidades residen en el tratamiento de certificados OpenPGP específicamente creados que podrían provocar desbordamientos de búfer y permitir la ejecución de código arbitrario en los sistemas afectados. (CVE-2017-5335 al CVE-2017-5337). Cabe señalar que GnuTLS recuerda que el uso de certificados OpenPGP se considera obsoleto. Por lo que no está recomendado el uso de este tipo de certificados.

Para corregir el problema se han publicado las versiones 3.3.26 y 3.5.8 de GnuTLS, disponibles desde:

Más información:

About Security Advisories
  


Antonio Ropero
Twitter: @aropero

miércoles, 11 de enero de 2017

Actualizaciones de seguridad para Adobe Flash Player, Acrobat y Reader

Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 13 vulnerabilidades en Flash Player y 29 en Adobe Acrobat y Reader.

Adobe Reader y Acrobat

Adobe dedica el primer boletín de seguridad del año a las actualizaciones para Adobe Reader y Acrobat (boletín APSB17-01). Se han solucionado 29 vulnerabilidades que afectan a las versiones 15.020.20042 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30244 (y anteriores) de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.18 (y anteriores) para Windows y Macintosh.

Esta actualización soluciona una confusión de tipos, 12 problemas de corrupción de memoria, siete vulnerabilidades de uso de memoria después de liberarla y ocho desbordamientos de búfer; todos ellos podrían permitir la ejecución de código. También se resuelve otro problema de salto de medidas de seguridad. Los CVE asociados son del CVE-2017-2939 al CVE-2017-2967.

Adobe ha publicado las versiones 11.0.19 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 15.023.20053 y Acrobat DC y Reader DC Classic 15.006.30279; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-02 que soluciona 13 vulnerabilidades.

Los problemas incluyen cinco vulnerabilidades de corrupción de memoria, cuatro desbordamientos de búfer y tres por uso de memoria después de liberarla; que podrían permitir la ejecución de código. Por otra parte, otro problema de salto de medidas de seguridad que podría permitir la obtención de información sensible. Los CVE asignados son CVE-2017-2925 al CVE-2017-2928 y CVE-2017-2930 al CVE-2017-2938.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
Flash Player Desktop Runtime 24.0.0.194
Flash Player para Linux 24.0.0.194
Igualmente se ha publicado la versión 24.0.0.194 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
Para actualizar Adobe Flash Player para Linux:

Más información:

Security updates available for Adobe Flash Player

Security Updates Available for Adobe Acrobat and Reader




Antonio Ropero

Twitter: @aropero

martes, 10 de enero de 2017

Microsoft publica cuatro boletines de seguridad y soluciona 15 vulnerabilidades

Este martes Microsoft ha publicado cuatro boletines de seguridad (del MS17-001 al MS17-044) correspondientes a su ciclo habitual de actualizaciones y que según anunció son los últimos boletines que publica como tales. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico" mientras que los dos restantes son "importantes". En total se han solucionado 15 vulnerabilidades, 12 de ellas en Flash Player.

Tal y como anunció el pasado mes de noviembre, el mes que viene Microsoft no publicará esta serie de boletines informativos. Por el contrario, a partir del mes que viene utilizará una nueva base de datos de actualizaciones de seguridad, que ha dado en llamar "Security Updates Guide". Esto es, las actualizaciones seguirán publicándose, cambia la forma en que los usuarios obtendremos la información de los nuevos parches disponibles y los problemas corregidos.

Los boletines publicados son los siguientes:

MS17-001: Boletín "crítico" que incluye la también habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se soluciona una vulnerabilidad de elevación de privilegios si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2017-0002).

MS17-002: Boletín "crítico" destinado a corregir una vulnerabilidad si se abre un archivo específicamente creado con Microsoft Office (CVE-2017-0003).

MS16-004: Actualización considerada "importante" destinada a corregir una vulnerabilidad (CVE-2017-0004) de denegación de servicio en la forma en que Local Security Authority Subsystem Service (LSASS) trata las peticiones de autenticación.

MS16-003: Como ya es habitual, Microsoft publica un boletín para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. Se trata de un boletín "crítico" que en esta ocasión soluciona 12 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-02 de Adobe (y que comentaremos con más detalle en una próxima una-al-día).

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Microsoft Security Bulletin Summary for January 2017

una-al-dia (11/11/2016) A partir de enero Microsoft no publicará más boletines de seguridad

Microsoft Security Bulletin MS17-001 - Important
Security Update for Microsoft Edge (3214288)

Microsoft Security Bulletin MS17-002 - Important
Security Update for Microsoft Office (3214291)

Microsoft Security Bulletin MS17-003 - Critical
Security Update for Adobe Flash Player (3214628)

Microsoft Security Bulletin MS17-004 - Important
Security Update for Local Security Authority Subsystem Service (3216771)


Antonio Ropero
Twitter: @aropero

lunes, 9 de enero de 2017

Cross-site scripting en Nessus

Tenable ha confirmado la corrección de una vulnerabilidad en Nessus que podría permitir a un atacante autenticado realizar ataques de cross-site scripting almacenados.

La vulnerabilidad, con CVE-2017-5179, reside en un error en el filtrado de código html facilitado por el usuario antes de mostrar la salida. Según ha confirmado Tenable el aviso original, de Asif Balasinor, cubría un XSS reflejado que se consideró que no tenía ningún riesgo ya que sólo podía ser activado por el usuario autenticado. Pero durante la evaluación del problema, el equipo de desarrollo descubrió un problema diferente que podía permitir XXS almacenados. Ambos problemas han sido solucionados, aunque consideran que sólo el XSS almacenado plantea un riesgo.

Se ven afectadas las versiones de Nessus 6.8.0, 6.8.1, 6.9.0, 6.9.1 y 6.9.2. Tenable ha publicado la versión Nessus 6.9.3 que corrige los problemas. La actualización está disponible desde el Portal de Soporte:

Más información:

[R1] Nessus 6.9.3 Fixes One Vulnerability


Antonio Ropero
Twitter: @aropero

domingo, 8 de enero de 2017

Informe Estudio de la Oferta de Certificaciones en Seguridad Informática

Se ha publicado en la red Criptored y para su libre descarga el informe Estudio de la Oferta de Certificaciones en Seguridad Informática. Un documento en pdf con 85 páginas realizado por Dña. María del Mar Martínez Contreras como su Trabajo Fin de Carrera en Ingeniería Informática en la Universidad Politécnica de Madrid.

Este trabajo de investigación forma parte del Proyecto MESI, Mapa de Enseñanza de la Seguridad de la Información. En la actualidad, las certificaciones son la mejor manera de demostrar una especialización en determinados campos de las Tecnologías de la Información (TI). En este ámbito, hay gran cantidad de certificaciones profesionales y las de seguridad son de las más numerosas y más solicitadas en el mercado laboral. Las certificaciones en seguridad informática son una estrategia utilizada por la industria para establecer un estándar de formación y habilidades requeridas.

Todo profesional de seguridad puede recurrir a certificaciones que avalen su conocimiento y experiencia, a nivel nacional e internacional. En este estudio se va a mostrar la oferta de certificaciones de seguridad del mercado y, además, se va a realizar una clasificación de dichas certificaciones, acorde con la especialidad en las que son demandadas. También se van a detallar datos estadísticos de profesionales certificados, oportunidades de trabajo y toda la información necesaria para las personas que deseen certificarse, como empresas y asociaciones que las proporcionan, tipos de exámenes, cuotas, requisitos que hay que cumplir y, una vez certificados, qué hay que hacer para mantener esas certificaciones.

Es decir, en este trabajo se dispone de toda la información que podría necesitar una persona que quiera certificarse en seguridad de la información para elegir qué certificación es la que más se ajusta a sus necesidades. Es importante destacar que este trabajo se va a centrar, sobre todo, en las certificaciones emitidas por las entidades (ISC)2 e ISACA, que son las que copan el mercado de la seguridad de la información, son de las más solicitadas y en las que mayor número de personas certificadas hay.


Jorge Ramió Aguirre
Coordinador de Criptored

sábado, 7 de enero de 2017

Vulnerabilidad grave en HPE Operations Orchestration

Se ha confirmado una vulnerabilidad en HPE Operations Orchestration, que podría permitir a un atacante lograr comprometer los sistemas afectados.

El problema, con CVE-2016-8519, afecta a todas las versiones de HPE Operations Orchestration anteriores a la v10.70 y podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados. Sin embargo HP no ha facilitado más información sobre el problema, que fue reportado por Jacob Baines de Tenable Network Security a través de Zero Day Initiative (ZDI) de Trend Micro.

Para evitar este problema Hewlett Packard Enterprise ha publicado la versión HPE Operations Orchestration v10.70 disponible desde:

Más información:

HPSBGN03688 rev.1 - HPE Operations Orchestration, Remote Code Execution


Antonio Ropero

Twitter: @aropero

viernes, 6 de enero de 2017

Google soluciona 95 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de enero en el que corrige un total de 95 vulnerabilidades, 29 de ellas calificadas como críticas.

Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-01-01 ("2017-01-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.

En este bloque se solucionan 23 vulnerabilidades, tan solo una de ellas se considera crítica y podría permitir la ejecución remota de código en MediaServer. Otras 14 de ellas son de gravedad alta y otras ocho de importancia moderada. Los problemas más graves se refieren a vulnerabilidades de ejecución remota de código en MediaServer, en Framesequence, Framework APIs, Audioserver, libnl o en el almacenamiento externo.

Por otra en el nivel de parches de seguridad 2017-01-05 ("2017-01-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan 72 fallos en subsistemas del kernel, controladores y componentes OEM. 28 de las vulnerabilidades están consideradas críticas, 27 de gravedad alta y 17 de riesgo medio. Cabe destacar que los componentes NVIDIA y Qualcomm son los más afectados.

Los problemas críticos se tratan principalmente de vulnerabilidades de elevación de privilegios, a través del subsistema de memoria del kernel, del sistema de archivos del kernel, del controlador MediaTek y 11 a través del controlador NVIDIA GPU. También hay otros 10 fallos en componentes Qualcomm.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse muchos meses desde su publicación por parte de Google. Por ello, como ya hemos comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles de Android.

Más información:

Android Security Bulletin—January 2017





Antonio Ropero
Twitter: @aropero


jueves, 5 de enero de 2017

Múltiples vulnerabilidades en productos Kaspersky

Se han anunciado múltiples vulnerabilidades en diferentes productos Kaspersky que podrían permitir a atacantes remotos evitar la validación de certificados o a usuarios locales obtener una llave SSL privada.

Se ven afectados los productos:
  • Kaspersky Anti-Virus 2016, 2017
  • Kaspersky Internet Security 2016, 2017
  • Kaspersky Total Security 2016, 2017
  • Kaspersky Small Office Security 4, 5
  • Kaspersky Fraud Prevention for Endpoints 6.0
  • Kaspersky Safe Kids for Windows 1.1
  • Kaspersky Endpoint Security for Mac

Los problemas fueron reportados por el conocido Tavis Ormandy de Google Project Zero. No es la primera vez que este investigador se centra en productos de seguridad, y más concretamente en Kaspersky. En esta ocasión el problema reside en la característica de inspección de tráfico SSL/TLS que los antivirus Kaspersky usan para detectar potenciales riesgos escondidos dentro de las conexiones cifradas.   
    
Ejemplo del fallo de validación
de certificados por Tavis Omandi
Un usuario local puede obtener una llave privada empleada para gestionar conexiones SSL y construir ataques contra las conexiones SSL iniciadas por el navegador del usuario atacado.

Cuando el usuario atacado confía explícitamente en un certificado SSL no válido para un determinado sitio, es posible que un usuario remoto pueda omitir las advertencias de validación de certificados de los sitios enumerados en los Subject Alternative Names del certificado SSL no válido original.

Por último, un usuario remoto que pueda realizar un ataque de hombre en el medio podría aprovechar un error en la caché del certificado SSL para acceder a conexiones SSL iniciadas por el navegador del usuario de destino para un sitio.

Kaspersky ha publicado actualizaciones para los siguientes productos:
Kaspersky Anti-Virus 2016, 2017
Kaspersky Internet Security 2016, 2017
Kaspersky Total Security 2016, 2017
Kaspersky Small Office Security 4, 5
Kaspersky Fraud Prevention for Endpoints 6.0
Kaspersky Endpoint Security for Mac
La corrección se incluyo a través de la autoactualización el pasado 28 de diciembre. Se recomienda actualizar los productos afectados.

Más información:

Kaspersky: SSL interception differentiates certificates with a 32bit hash

Advisory issued on 28th December, 2016




Antonio Ropero

Twitter: @aropero

miércoles, 4 de enero de 2017

Pazera, un troyano para entidades chilenas

Muchos están de vacaciones durante estas fiestas, sin embargo los creadores de malware no descansan. El "regalo" navideño viene en forma de un nuevo malware bancario especialmente dirigido a múltiples entidades Chilenas, que llega a través de un correo que suplanta la Policía chilena y en un fichero comprimido.

El correo que recibe el usuario se hace pasar por el PDI (Policía de Investigaciones de Chile), con un mensaje alarmante: 
"Atencion Ciudadano, Citacion para comparecimiento ante el tribunal de justicia. - ( 82495995797  )
Atencion!
Citacion para comparecimiento ante el tribunal de justicia de la comunidad de maipu, en Audiencia publica No.005481101-2017 el Dia 13/01/2017. Numero de proceso N. 58118026 - 2017
Para mas informacion vea el anexo online en el siguiente sitio.
datos sobre citacion:: Vea_Aqui_Su_citacion_2017.zip
Copyright Policia De Investigaciones de Chile -PDI,
Departamento de Tecnologia e Informacion –"

Formato del correo recibido

En un principio, el archivo comprimido incluido contiene un archivo JavaScript ofuscado, de manera que es complejo entender su funcionamiento. Tras observar con detenimiento se tiene una idea clara de su comportamiento.

Fragmento de código ofuscado del Downloader (JS)
Lo primero de todo, es que se conecta a distintos puntos para obtener los archivos necesarios, siendo en este caso un archivo comprimido de nombre aleatorio y protegido con contraseña. Paralelamente, se descarga un archivo binario que en principio no presenta maldad alguna, concretamente un portable de 7-Zip. Este extractor se utiliza para descomprimir el binario final utilizando la contraseña “pazera2012”.

Rutas de descarga de los archivos (Downloader)
Al desofuscar un poco el código, también podemos ver las rutas utilizadas para guardar el binario final.

A pesar de todo, desde que se subió el binario a VirusTotal, no cuenta con muchas detecciones:

Detecciones en VirusTotal de la muestra
El modus operandi de este malware o “pazera”, por llamarlo de alguna forma, es el de inyectarse en Internet Explorer para obtener las credenciales que busca. En este caso, observa constantemente el texto de los títulos de pestañas y de las URLs que visitamos hasta dar con uno de sus objetivos.  Podemos ver un ejemplo de lo que captura, en este caso se probó a buscar Santander Chile en Bing, sabiendo que Santander es una de las entidades afectadas, y vemos que la información es capturada por el malware...

Fragmento de capturas obtenidas por el Malware

Entre las entidades afectadas, se encuentran:
  • ScotiaBank
  • Banco Falabella (Chile)
  • Corpbanca
  • BBVA Chile
  • Santander Chile

Con todo esto, los accesos remotos a los que conecta son de origen brasileño, por lo que es muy posible que un atacante de dicho país esté detrás de esta campaña.

Ante este tipo de amenazas donde los antivirus no llegan a tiempo, la pauta a seguir es comprobar que el correo electrónico está realmente emitido por la entidad, y en caso de tener adjuntos evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para comprobar que el correo realmente esté emitido por ellos o tenga alguna relación.

  


Fernando Díaz