martes, 28 de febrero de 2017

Botnet IRC ataca a entidades colombianas.

Recientemente el Departamento Antifraude de Hispasec se ha encontrado con una muestra de malware que afecta a entidades colombianas, y que intenta afectar a los usuarios a través de un falso email de factura.


Si has recibido un e-mail como se muestra anteriormente, y además has ejecutado el binario que acompaña adjunto a este correo, entonces has caído en la infección de este troyano bancario.

Este malware, xe3u, cuenta con un "dropper" que comprueba que no se esté depurando el binario. Es éste el que descarga el binario malicioso, y realiza comprobaciones similares al "dropper" anteriormente mencionado. Una vez la victima está infectada, comienza a monitorizar los sitios web que el usuario visita, esperando a que entre en algún sitio de interés, esto es un banco. Además, de esta manera, evita atacar sobre sitios innecesarios para no levantar sospechas. Se comunica a través de un servidor IRC; que mantiene similitudes con el script por defecto que podemos encontrar a continuación:






























A pesar de ser similar a éste archivo de configuración, su principal uso en este caso no es el de organizar una botnet para hacer ataques de denegación de servicio sino para la transmisión y robo de credenciales. A continuación podemos observar como modifica el login una vez estamos infectados. En la primera captura, podemos ver un fallo legítimo, sin embargo en el segundo saca al usuario de la sesión sin estar autenticado.




El troyano detecta que el usuario ha entrado en la web del banco, y comienza a monitorear la actividad que ocurre dentro. Una vez el cliente se autentica, recibe un falso mensaje de error en el login, y será entonces cuando el troyano reciba el OK para poder transmitir las credenciales:



Una vez ha robado la información, la envía a través de IRC al atacante; que recibe los datos obtenidos durante el proceso de autenticación.



Entre las entidades afectadas, se encuentran:

Como se puede observar, las entidades afectadas son colombianas, por lo que se trata de un troyano bancario dirigido específicamente a este país. Como siempre recomendamos extremar la precaución ante este tipo de amenazas, además de contar con mecanismos de protección como antivirus. Sin embargo, lo más prudente es evitar abrir e-mails de dudosa procedencia o que no confiemos en quien lo envía.


Fernando Díaz

lunes, 27 de febrero de 2017

Anunciada una nueva vulnerabilidad en los navegadores de Microsoft

Se le acumulan los problemas a Microsoft. Cuando aun seguimos a la espera de los parches para dos vulnerabilidades conocidas, Google ha dado a conocer una grave vulnerabilidad en los navegadores Internet Explorer y en Edge.

La vulnerabilidad, con CVE-2017-0037, reside en un error de confusión de tipos en HandleColumnBreakOnColumnSpanningElement() cuando se carga código html específicamente manipulado. El fallo podría permitir la ejecución remota de código arbitrario.

El pasado 25 de noviembre Ivan Fratric del equipo de Project Zero Google comunicó el problema a Microsoft. Y como es habitual, siguiendo su política de publicación 90 días después de su reporte a la firma responsable se hace público de forma automática.

Mientras tanto, y tras retrasar la publicación de actualizaciones este mes de febrero, seguimos a la espera del próximo 14 de marzo para que Microsoft ofrezca los necesarios parches. Cabe recordar que esta vulnerabilidad viene a sumarse a otras dos públicamente conocidas y aun sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado también por Project Zero, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038).

Más información:

Microsoft Edge and IE: Type confusion in HandleColumnBreakOnColumnSpanningElement

una-al-dia (22/02/2017) Microsoft publica actualización, pero solo para Flash

una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzo


Antonio Ropero
Twitter: @aropero

domingo, 26 de febrero de 2017

Corregida una vulnerabilidad en LibreOffice

La suite ofimática de código abierto LibreOffice se ha actualizado recientemente para corregir una vulnerabilidad en Calc y Writer que podría permitir a un atacante obtener el contenido de cualquier archivo del sistema.

LibreOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

El problema, con CVE-2017-3157, reside en un problema en el uso de objetos incrustados en Calc y Writer. Estos objetos pueden contener una vista previa de su contenido. Un atacante podrá crear un documento que incluya un objeto incrustado consistente en un enlace a un archivo existente en el sistema atacado. Al cargar la previsualización el objeto se actualizará para reflejar el contenido del archivo.

Si LibreOffice se emplea como un servicio online la vista previa de datos podrá empelarse para exponer detalles del entorno en que se ejecute la suite. En el caso de que Calc o Writer se usen como aplicación de escritorio estándar, la vista previa podría ocultarse en secciones ocultas que podrán ser recuperadas por el atacante si el documento se guarda y devuelve al remitente.

En las versiones corregidas de LibreOffice se ha ampliado la característica LinkUpdateMode para añadir controles adicionales a la actualización de vistas previas de objetos incrustados, así como su función anterior para controlar la actualización del contenido del objeto incrustado.

Esta vulnerabilidad se encuentra corregida en LibreOffice 5.1.6, 5.2.5 y 5.3.0 que se encuentran disponibles para su descarga desde la página oficial:

Más información:

CVE-2017-3157 Arbitrary file disclosure in Calc and Writer



Antonio Ropero

Twitter: @aropero

sábado, 25 de febrero de 2017

Demostración práctica de colisión en SHA-1

Un grupo de investigadores ha anunciado que han logrado desarrollar una técnica que hace práctico para elaborar dos archivos con la misma huella digital SHA-1. 

Por supuesto, como es habitual en los últimos años un descubrimiento de estas características necesitaba un nombre atractivo, una página web y un logo chulo: SHAttered http://shattered.io/

Hay que recordar que una función hash no cifra, sino que crea un resumen o "firma" de un conjunto de datos, que es pasado como parámetro a esta función. Así, nos es útil para verificar la integridad, por ejemplo, de un archivo. Tan solo tenemos que aplicar dicha función sobre el archivo recibido y verificar que el hash obtenido es el mismo que el anunciado por el emisor.

Un "hash" es una función criptográfica que produce una salida de longitud fija a partir de una entrada arbitrariamente larga. Un buen "hash" debe cumplir las siguientes propiedades:

a) El resultado final no debe dejar traslucir ninguna información sobre los datos originales.

b) Dado un resultado determinado, no hay otro sistema aparte de la fuerza bruta que genere datos de entrada capaces de producir dicho resultado.

c) Dados unos datos de entrada y su "hash", no debe haber un atajo (aparte de la fuerza bruta) para generar otros datos de entrada distintos y con el mismo "hash".

SHAttered

10 años después de la introducción del algoritmo SHA-1 como función hash, se ha anunciado la primera técnica práctica para generar una colisión. Esto es dado un "archivo A", generar otro "archivo B" que produzca el mismo hash que el del "archivo A".

Tras dos años de investigación y la colaboración del CWI Institute en Amsterdam y Google, este equipo de investigadores ha conseguido crear un método para generar colisiones. Como prueba del ataque, publican dos archivos PDF que tienen hash SHA-1 idénticos pero con contenido diferente (PDF 1 y PDF 2).

En la actualidad, muchas aplicaciones todavía dependen de SHA-1, a pesar de que fue oficialmente desaprobado por el NIST en 2011. Esperamos que esta demostración práctica aumentará la conciencia y convenza a la industria, de manera definitiva, a migrar a alternativas más seguras, como SHA-256 o superiores.

Por otra parte el propio SANS señala que en la práctica poco han cambiado las cosas. El ataque sigue considerándose complicado y según el instituto, para muchas aplicaciones, SHA-1 seguirá siendo un nivel adecuado de protección. Sin embargo, presenta un riego alto en entornos y aplicaciones donde los niveles de confianza sean máximos, como: la banca, los contratos legales o las firmas digitales. Un uso muy común de SHA-1 es para la integridad de archives, incluso Git y muchos desarrolladores y compañías lo emplean con ese propósito.


La complejidad del ataque aún sigue siendo elevada, y requiere una gran potencia de cálculo. El ataque requirió más de 9,223,372,036,854,775,808 cálculos SHA1. Esto conlleva una potencia de procesamiento de unos 6.500 años para una sola CPU o 110 años de cálculos GPU. A pesar de ello, SHAttered es 100.000 veces más rápido que el ataque de fuerza bruta que se basa en la paradoja del cumpleaños y que requeriría 12 millones de años de cálculos GPU.

También desde VirusTotal confirman que ya han encontrado más ejemplos de colisiones SHA-1.

Como es habitual Google sigue su política de publicación de detalles sobre las vulnerabilidades, por lo que la información completa sobre el ataque no se publicará hasta dentro de 90 días. Esto da tiempo para que muchos empiecen a migrar a sistemas de hash más seguros como SHA-256.

Tras un muy superado MD5, Bruce Schneier ya nos avisaba 10 años atrás que la vida de SHA-1 no iba a ser muy larga. Incluso desde Hispasec, en una-al-día, mucho antes ya informábamos en varias ocasiones de los avances que se efectuaban al reducir la complejidad de romper este algoritmo. De hecho, desde hace unos pocos años se recomendaba no usarlo para la firma de certificados digitales hasta que, definitivamente, la industria optó por dar dejar de confiar en certificados SSL a partir del año pasado.

Más información:

SHAttered

Announcing the first SHA1 collision

Practical collision attack against SHA-1

Antonio Ropero
Twitter: @aropero

viernes, 24 de febrero de 2017

Apple publica actualización para Logic Pro X

La semana pasada Apple publicó una actualización de seguridad para GarageBand (su popular programa de composición musical) para OS X, destinada a solucionar un fallo que podía permitir la ejecución remota de código. Acaba de ofrecer una actualización para resolver ese mismo problema en Logic Pro X.

Logic Pro X es un completo estudio de grabación profesional para Mac que ofrece todo lo necesario para generar todo tipo de producciones musicales. Permite edición de audio, edición MIDI, mezclas, edición de partituras, plug-ins, etc.

La actualización está destinada a corregir la vulnerabilidad con CVE-2017-2374, la misma reportada por Tyler Bohan del equipo Cisco Talos, que reside en una escritura fuera de límites al tratar archivos de proyecto de Garage Band específicamente creados. El formato de archivos afectado es .band.

Sin duda al tratarse de un producto de similares características, con tratamiento de los archivos afectados, para el que se encontró la vulnerabilidad inicialmente, el equipo de seguridad de Apple siguió investigando y comprobó que también afectaba a este producto.

Apple ha publicado la versión de Logic Pro X 10.3.1 disponible para OS X El Capitan v10.11 (y posteriores)

Más información:

Logic Pro X

Logic Pro X 10.3.1

una-al-dia (15/02/2017) Apple publica una nueva actualización de seguridad para GarageBand

About the security content of GarageBand 10.1.6

TALOS-2017-0275
Apple GarageBand Out of Bounds Write Code Execution Vulnerability

TALOS-2017-0262
Apple GarageBand Out of Bounds Write Code Execution Vulnerability

Antonio Ropero

Twitter: @aropero

jueves, 23 de febrero de 2017

Vulnerabilidad en el kernel de Linux desde hace más de 11 años

Se ha anunciado la existencia de una vulnerabilidad en el kernel de Linux que podría permitir a usuarios locales obtener privilegios de root y que todo indica que existíadesde hace más de 11 años. Las principales distribuciones ya disponen de actualizaciones.

El fallo, al que se le ha asignado el CVE-2017-6074, reside en una doble liberación de memoria, fue descubierto por Andrey Konovalov, ingeniero de software de Google, mediante syzkaller, un fuzzer (un tipo de analizador) Linux de código abierto desarrollado por la propia firma.

Concretamente, la vulnerabilidad se encuentra en la implementación del protocolo DCCP (Datagram Congestion Control Protocol) desde la primera versión en soportarlo, la 2.6.14 (que data de octubre de 2005). Y que según describe el propio investigador podría aprovecharse para conseguir la ejecución de código kernel desde un proceso sin privilegios.

Para que un sistema sea vulnerable, el kernel debe estar compilado con la opción CONFIG_IP_DCCP. Actualmente, muchas de las distribuciones incluyen esta opción activa por defecto.

El problema se reportó a los desarrolladores del kernel el pasado 15 de febrero, dos días después ya existía un parche y se notificó a las distribuciones, la mayoría de las cuales ya disponen de actualizaciones.

Red Hat Enterprise Linux 6
Ubuntu Linux 12.04 LTS
Red Hat Enterprise Linux 7
Ubuntu Linux 16.10
Red Hat Enterprise Linux 7
Ubuntu Linux 14.04 LTS
Ubuntu Linux 16.04 LTS
Oracle Linux 6
Oracle Linux 6 y 7.

Más información:

Linux kernel: CVE-2017-6074: DCCP double-free vulnerability (local root)

syzkaller

dccp: fix freeing skb too early for IPV6_RECVPKTINFO

miércoles, 22 de febrero de 2017

Microsoft publica actualización, pero solo para Flash

Una semana después de informar que este mes no habría actualizaciones de seguridad, Microsoft ha publicado un boletín (el MS17-005) para solucionar únicamente las vulnerabilidades relativas a Flash Player.

Aunque Microsoft había anunciado que no publicaría más boletines en el formato habitual, una semana después de la fecha esperada ha sorprendido con el ya habitual boletín en el que se resuelven las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico.

Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-04 de Adobe (y que se publicó y analizó hace una semana en una-al-día).

Resulta un poco extraño la publicación de este único boletín, aun más cuando existen dos vulnerabilidades públicamente conocidas y aún sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado por Project Zero de Google, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038). Todo indica, que tendremos que seguir esperando hasta el próximo 14 de marzo (segundo martes del mes).

En cualquier caso, esta actualización puede descargarse a través de Windows Update o desde Microsoft Update Catalog donde se incluyen las direcciones de descarga directa de cada parche. También se instalará a través de las actualizaciones automáticas en caso de estar programadas.

Más información:

Microsoft Security Bulletin Summary for February 2017

Microsoft Security Bulletin MS17-005 - Critical
Security Update for Adobe Flash Player (4010250)

una-al-dia (14/02/2017) Actualizaciones de seguridad para Adobe Flash Player, Digital Editions y Campaign

una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzo


Antonio Ropero

Twitter: @aropero

martes, 21 de febrero de 2017

Más de 1.100 ransomwares en Android en el último mes

Todos nos hemos topado con la palabra ransomware alguna vez, ya que es algo que da que hablar constantemente. Para aquellos que no lo conocen, se trata de un tipo de malware que se encarga de secuestrar un dispositivo con un método característico: cifrando los archivos con una clave secreta. Una extorsión que obliga al usuario a pagar un rescate económico para desbloquearlo; habitualmente mediante una criptomoneda. Incluso pagando el rescate existen casos en los que no puede recuperarse la información, ya que o nunca llegan a proporcionar la clave una vez hecho el pago o esta es inservible.

A pesar de ello, no se le muestra suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor el objetivo habitual, posiblemente por razones estrictamente achacables al retorno de inversión. En este breve estudio, veremos si deberíamos, o no, preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como se está consolidando como una plataforma lucrativa para los creadores de ransomware.

Haciendo uso de una recolección de datos de seis meses, podemos observar como éste último muestra un aumento muy significativo. A pesar de fluctuar en los distintos meses, podemos apreciar un incremento en este tipo de malware en Android, e incluso como hemos podido llegar a ver este ha afectado a las versiones de Android TV, unos dispositivos muy particulares para los que se debe reorientar la programación del malware para aprovechar las características de este tipo de sistemas o adaptar los vectores de infección.



De entre todas las muestras recolectadas durante los últimos seis meses en Koodous, confirmadas como ransomware, se ha efectuado una clasificación mediante un algoritmo de agrupamiento. Así, se pueden observar cinco grandes grupos basados en la extracción de particularidades en su comportamiento. Estas muestras se nos pueden presentar de distintas formas, ya sea con diferentes iconos, nombres de paquete o nombres de aplicación, sin embargo, poseen un cuerpo de características comunes muy significativo.




Estamos por tanto frente a un auge de esta familia de malware en Android. Es de esperar un crecimiento tanto vertical en el número de detecciones e infecciones exitosas como de una ramificación grupal en base a su "modus operandi", debido a la evolución de este tipo de malware o a nuevos grupos de creadores de malware que progresivamente van adaptándose a la plataforma móvil Android.

¿Cómo evitamos este tipo de malware? Ya hemos advertido muchas veces desde Una-al-día que no existen balas de plata. Todo está expuesto y todos estamos expuestos al comportamiento dañino de un código que termina haciendo aquello que menos esperamos cuando aceptamos su instalación. De nuevo, las medidas son los principios básicos: sentido común como nuestra mejor defensa y una red de seguridad si nos falla nuestro ojo clínico, nuestra propuesta: Koodous, un antivirus ideado por y para la comunidad.



Fernando Díaz

lunes, 20 de febrero de 2017

Newsletter Criptored del mes de enero de 2017

Newsletter con las noticias y actividad del mes de enero de 2107 en Criptored. Estas noticias las podrá encontrar en el histórico de Criptored del mes de enero de 2107 en este enlace.

Actividad en el web de Criptored durante el mes de enero de 2017.
26/01/17: Primera edición del Máster Cybersecurity Manager de Tecnofor (España)
26/01/17: European Network for Cybersecurity PhD Winter School 2017 en Trento (Italia)
24/01/17: Abierto el registro para la RootedCON 2017 a celebrarse en Madrid del 2 al 4 de marzo de 2017 (España)
23/01/17: Vídeo de la conferencia Tecnologías Cuánticas del Dr. Juan Ignacio Cirac en I4S (España)
18/01/17: IV Jornadas de Seguridad y Ciberdefensa de la Universidad de Alcalá CiberSeg17 (España)
16/01/17: CFP para el Workshop de la Red de Matemáticas en la Sociedad de la Información - MATSI 2017 (España)
16/01/17: Publicada la solución al quinto Criptoreto El alienígena (España)
11/01/17: Cuarta edición del curso on-line del COIT sobre cumplimiento normativo de SGSI (España)
10/01/17: Publicada la píldora formativa Thoth 42 ¿Cómo funciona el algoritmo de Elgamal? (España)
09/01/17: 201.415 reproducciones en el año 2016 del material multimedia generado por Criptored (España)
09/01/17: 13.866 accesos al MOOC Crypt4you en diciembre de 2016 (España)
09/01/17: 5.926 visualizaciones de las píldoras del proyecto Thoth durante el mes de diciembre de 2016 (España)
09/01/17: 5.537 visualizaciones de las lecciones de la enciclopedia Intypedia durante el mes de diciembre de 2016 (España)
09/01/17: 35.111 accesos a Criptored y 17.880 descargas de documentos pdf, zip y mp3 en el mes de diciembre de 2016 y resumen anual (España)
09/01/17: Newsletter de la actividad de Criptored en el mes de diciembre de 2016 (España)

También puede encontrar estas y otras noticias de la actividad de Criptored en la sección Debates del grupo en LinkedIn en el siguiente enlace:



Dr. Jorge Ramió, Dr. Alfonso Muñoz

domingo, 19 de febrero de 2017

Cross-Site scripting en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir una vulnerabilidad en IBM WebSphere Application Server que podría permitir la realización ataques de Cross-Site Scripting.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El problema (con CVE-2017-1121) podría permitir a un atacante remoto realizar ataques de cross-site scripting debido a una validación inadecuada de las entradas del usuario en la Consola de Administración. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador y permitir la obtención de credenciales.

Se ven afectadas las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5 y 9.0.

IBM ha publicado el Interim Fix PI73367 para solucionar esta vulnerabilidad.

Más información:

Security Bulletin: Potential Cross-site scripting vulnerability in WebSphere Application Server (CVE-2017-1121)




Antonio Ropero

Twitter: @aropero

sábado, 18 de febrero de 2017

Elevación de privilegios en la maquina anfitriona en Xen

Se ha anunciado un problema de seguridad en Xen que podría permitir a un administrador de un sistema huésped conseguir información sensible o privilegios elevados en la máquina anfitriona.

Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles.

El problema anunciado, con CVE-2017-2615, reside en un acceso a memoria fuera de límites en qemu en la emulación de tarjetas de vídeo Cirrus, que podría permitir a usuarios administradores en el sistema invitado obtener información sensible de la memoria o conseguir privilegios elevados en el sistema anfitrión.

Se ven afectados los sistemas Xen que se ejecutan en x86 con invitados HVM, con el proceso qemu ejecutándose en dom0. Sólo los invitados que dispongan de la tarjeta de video emulada "Cirrus" pueden aprovechar la vulnerabilidad. La tarjeta de vídeo emulada no predeterminada "stdvga" no es vulnerable. Los sistemas ARM no son vulnerable, así como los que solo usan invitados PV.

Se han publicado las siguientes actualizaciones:
Para mainline qemu, qemu-xen master,4.8

Para qemu-xen 4.4, 4.5, 4.6, 4.7

Para qemu-xen-traditional

Más información:

Xen Security Advisory CVE-2017-2615 / XSA-208
oob access in cirrus bitblt copy


Antonio Ropero

Twitter: @aropero

viernes, 17 de febrero de 2017

Denegación de servicio en OpenSSL

El proyecto OpenSSL ha anunciado la publicación de una nueva versión de OpenSSL destinada a corregir una vulnerabilidad, calificada de gravedad alta, que podría permitir la realización de ataques de denegación de servicio.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

La vulnerabilidad, con CVE-2017-3733, reside en que si durante una renegociación se encuentra la extensión Encrypt-Then-Mac pero esta no estaba en la negociación original (o viceversa) se puede provocar una denegación de servicio (dependiendo de la suite de cifrado). Se ven afectados tanto clientes como servidores.

OpenSSL ha publicado la versión 1.1.0e disponible desde
No afecta a versiones OpenSSL 1.0.2.

Se recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.

Más información:

OpenSSL Security Advisory [16 Feb 2017]
Encrypt-Then-Mac renegotiation crash (CVE-2017-3733)



Antonio Ropero
Twitter: @aropero


jueves, 16 de febrero de 2017

Microsoft retrasa sus parches de febrero hasta el 14 de marzo

En una decisión sin precedentes, Microsoft ha anunciado que la publicación del paquete de actualizaciones planificadas para este pasado martes 14 de febrero se retrasa hasta el próximo 14 de marzo (segundo martes del mes). Problemas de última hora sin confirmar han obligado a la compañía a tomar esta drástica medida.

Se esperaban las actualizaciones de Microsoft de este segundo martes de mes con mayor inquietud que otros meses. Ya era conocido el cambio de modelo de anuncio y distribución de las actualizaciones lo que hacía que a la habitual curiosidad de todos los meses por saber los problemas corregidos se juntara la expectación por comprobar esos cambios de forma efectiva.

Sin actualizaciones en febrero
Pero con cierta sorpresa el pasado día 14, segundo martes de febrero, no se publicaba ninguna nueva actualización. Ya sabíamos que no habría boletines, pero la Security Update Guide, base de datos donde debían recogerse los nuevos parches, tampoco reflejaba ninguna novedad.

Posteriormente Microsoft publicaba un escueto comunicado en el informaba de que un problema de última hora podría afectar a algunos clientes y sin posibilidad de resolverlo a tiempo para ofrecer las actualizaciones planificadas. Por lo que tras considerar todas las opciones decidían retrasar los parches de este mes.

"After considering all options, we made the decision to delay this month’s updates. We apologize for any inconvenience caused by this change to the existing plan."

Pero ese "problema" del que no han ofrecido más detalles debe ser mucho más complicado de resolver de lo esperado inicialmente. Ya que finalmente en un añadido, aun más escueto, a la anterior información Microsoft comunicaba su decisión de retrasar todas las actualizaciones de febrero hasta el 14 de marzo.

"UPDATE: 2/15/17: We will deliver updates
as part of the planned March Update Tuesday,
March 14, 2017.
"

No está claro cuál es ese problema de última hora, pero muchos creen que tiene algo que ver con las actualizaciones acumulativas, esto es la inclusión de todos los parches publicados en uno solo. Anteriormente en el modelo de actualizaciones independientes en caso de un problema con uno de los parches éste podía ser excluido fácilmente de la publicación mensual sin afectar al resto de boletines. Recordamos muchos meses en los que "curiosamente" había un salto en la numeración de los boletines. Ahora se especula que el sacar uno de los parches de todo un paquete conjunto puede ser mucho más problemático que anteriormente.

En cualquier caso seguimos desconociendo las causas de este retraso y todo son especulaciones.

Problemas pendientes de resolver

Lo que sí es cierto que en esta ocasión además Microsoft ya tiene un problema conocido en el tratamiento de tráfico SMB y con exploit público, que puede permitir provocar denegaciones de servicio.

Además, Microsoft también deberá incluir la solución a una vulnerabilidad de gravedad media, anunciada por Mateusz Jurczyk de Project Zero de Google, y antiguo compañero de Hispasec, debido a una lectura fuera de límites en gdi32.dll. Este fallo, con CVE-2017-0038, fue reportado a Microsoft el pasado 16 de noviembre por lo que según la política de este grupo se darán a conocer todos los detalles el miércoles 15 de marzo, 90 días después de su anuncio y justo un día después de la ya esperada próxima publicación de parches de Microsoft.

Más información:

February 2017 security update release

Windows gdi32.dll heap-based out-of-bounds reads / memory disclosure in EMR_SETDIBITSTODEVICE and possibly other records

una-al-dia (11/11/2016) A partir de enero Microsoft no publicará más boletines de seguridad

Furthering our commitment to security updates

una-al-dia (03/02/2017) Vulnerabilidad 0-day en Windows

Microsoft Windows SMB Tree Connect Response memory corruption vulnerability

Prueba de concepto SMBv3 Tree Connect

Windows SMBv3 Denial of Service Proof of Concept (0 Day Exploit)


Antonio Ropero
Twitter: @aropero



miércoles, 15 de febrero de 2017

Apple publica una nueva actualización de seguridad para GarageBand

Hace menos de un mes Apple publicó una actualización de seguridad para GarageBand (su popular programa de composición musical) para OS X, destinada a solucionar un fallo que podía permitir la ejecución remota de código. Lamentablemente el problema no quedó totalmente solucionado, y se hace necesaria una nueva actualización.

GarageBand es un estudio de grabación que incluye una biblioteca de sonidos con instrumentos, baterías de estudio virtuales y preajustes para voz y guitarra. El diseño de la interfaz hace que tocar, aprender, grabar, componer y compartir música sea sencillo.

De nuevo es Tyler Bohan del equipo Cisco Talos el que reporta el problema, que reside en una escritura fuera de límites al tratar archivos de proyecto específicamente creados y que da lugar a condiciones explotables. También confirman que la vulnerabilidad es resultado de una corrección incompleta del fallo anterior.

"This vulnerability is the result
of an incomplete fix of bug id
TALOS-2016-0262 / CVE-2017-2372.
"

Afecta a GarageBand para OS X Yosemite v10.10 (y posteriores). Apple ha publicado GarageBand 10.1.6 para solucionar el problema descrito.

Como ya hemos mencionado en múltiples ocasiones, el vector de ataque, la vulnerabilidad empleada para atacar un sistema puede residir en el lugar más insospechado. Siempre se centra toda la importancia en el sistema operativo, e incluso en productos de uso habitual y sobre los que se centran y conocen múltiples vulnerabilidades, navegadores, visualizadores de pdfs, Flash, etc. Pero es fácil tender a descuidar otro tipo de software como, en este caso, un programa para componer música.

Más información:

About the security content of GarageBand 10.1.6

About the security content of GarageBand 10.1.5

una-al-dia (20/01/2017) Ejecución remota de código en Apple GarageBand

TALOS-2017-0275
Apple GarageBand Out of Bounds Write Code Execution Vulnerability

TALOS-2017-0262
Apple GarageBand Out of Bounds Write Code Execution Vulnerability



Antonio Ropero
Twitter: @aropero

martes, 14 de febrero de 2017

Actualizaciones de seguridad para Adobe Flash Player, Digital Editions y Campaign

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 13 vulnerabilidades en Flash Player, nueve en Digital Editions y dos en Adobe Campaign.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-04 que soluciona 13 vulnerabilidades.

Los problemas incluyen cuatro vulnerabilidades de corrupción de memoria, tres desbordamientos de búfer, una vulnerabilidad de confusión de tipos, un desbordamiento de entero y cuatro por uso de memoria después de liberarla; todas ellas podrían permitir la ejecución de código. Los CVE asignados son CVE-2017-2982, CVE-2017-2984 al CVE-2017-2988 y CVE-2017-2990 al CVE-2017-2996.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 24.0.0.221
  • Flash Player para Linux 24.0.0.221

Igualmente se ha publicado la versión 24.0.0.221 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
Para actualizar Adobe Flash Player para Linux:

Adobe Digital Editions

También se han solucionado nueve vulnerabilidades en Adobe Digital Editions (ADE), un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks.

Se han solucionado nueve vulnerabilidades de de desbordamiento de búfer, aunque solo una de ellas podría permitir la ejecución remota de código. Los CVE asignados son CVE-2017-2973 al CVE-2017-2981.

Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.4 desde:
Para Windows y Macintosh:
Para Android:

Adobe Campaign

Por último, Adobe ha publicado una actualización para Adobe Campaign v6.11 para Windows y Linux. Está destinado a solucionar una vulnerabilidad de impacto moderado, que podría permitir a un usuario autenticado con acceso a la consola de cliente subir un archivo malicioso y ejecutarlo (CVE-2017-2968). También se resuelve otro problema de validación de entradas que podría emplearse para realizar ataques de cross-site scripting (CVE-2017-2969).

Se recomienda actualizar a 16.8 Build 8757 y versiones posteriores.

Más información:

Security updates available for Adobe Flash Player

Security update available for Adobe Digital Editions

Security update available for Adobe Campaign



Antonio Ropero
Twitter: @aropero


lunes, 13 de febrero de 2017

Vulnerabilidades en Nitro Pro 10

Se han reportado tres vulnerabilidades en Nitro Pro 10, consideradas de gravedad alta, que podrían permitir a un atacante remoto ejecutar código arbitrario dentro del sistema y provocar condiciones de denegación de servicio. 

Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.

Las dos primeras vulnerabilidades (CVE-2016-8709 y CVE-2016-8713) se deben a un error en la librería 'npdf.dll' que podría causar una escritura en memoria fuera de límites o corrupción de memoria. Un atacante remoto podría valerse de archivos PDF especialmente manipulados para provocar una denegación de servicio dentro del sistema.

En la vulnerabilidad con CVE-2016-8711 un atacante remoto podría también aprovechar un error en la misma librería para ejecutar código arbitrario a través también de archivos PDF especialmente manipulados. Las vulnerabilidades han sido reportadas por Piotr Bania de Cisco Talos.

Afectan a la versión Nitro Pro 10.5.9.9 y posiblemente versiones anteriores. Se recomienda actualizar a versiones superiores.

Más información:

Nitro Pro PDF Handling Code Execution Vulnerability

Nitro Pro



Juan Sánchez