lunes, 22 de octubre de 2018

Riesgo de intrusiones en dispositivos D-Link

Hace unos días, Blazej Adamczyk reportó una serie de vulnerabilidades en los dispositivos D-Link que podrían permitir a un atacante hacerse con el control del router, incluso le permitiría ejecutar código directamente.
Extraído de Amazon.es

Los dispositivos afectados son: DWR-116, DWR-512, DWR-712, DWR-912, DWR-921 y DWR-111, aunque también podrían verse afectados otros con el mismo tipo de firmware.
  • CVE-2018-10822, posibilidad de leer archivos remotamente y de forma arbitraria vía /.. o // después de un "GET/uir" en una petición HTTP.
  • CVE-2018-10823, inyección de comandos.
  • CVE-2018-10824, contraseñas almacenadas en un archivo de texto plano.
El problema del directorio transversal (CVE-2018-10822) se debe a una reparación incompleta de la vulnerabilidad CVE-2017-6190, descubierta por Patryk Bogdan.

Combinando las vulnerabilidades CVE-2018-10822 y CVE-2018-10824, un atacante podría intentar obtener la contraseña del administrador en el caso de conocer la ubicación del archivo en el que está almacenada dicha clave.

Con una instrucción del tipo:



El atacante podría obtener un archivo binario de configuración que contiene el nombre de usuario y la contraseña del administrador así como otros datos de configuración del router. La falta de encriptación descrita por la CVE-2018-10824, unida a la vulnerabilidad del directorio transversal (CVE-2018-10822) que permite al atacante leer el archivo sin necesidad de identificación, suponen un riesgo grave.

La vulnerabilidad CVE-2018-10823 ha identificado la posibilidad de ejecutar código arbitrario por parte de un atacante que se haya identificado en el router. De modo que una vez que se haya identificado en el mismo, es suficiente con ejecutar un código del estilo de:



De modo que sería posible inyectar comandos a través de parámetros que no son correctamente validados en la vista "chkisg.htm" para hacerse con el control completo del dispositivo al obtener el archivo "passwd".

El equipo de D-Link fue informado el 9/5/18 confirmando que está trabajando en las actualizaciones necesarias.






Luciano Miguel Tobaria


Más información:
D-Link routers - full takeover
http://sploit.tech/2018/10/12/D-Link.html

domingo, 21 de octubre de 2018

GandCrab v5 evoluciona dificultando su desofuscación

GandCrab evoluciona asociándose con un servicio criptológico para ofuscar su código





El ransomware GandCrab apareció por primera vez en enero de este año y se ha ido actualizando muy rápidamente desde entonces, este mes ha llegado a su versión 5.0.2 mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones.

Para la versión 5 los desarrolladores de GandCrab cuentan con el servicio NTCrypt un servicio dedicado a la ofuscación de malware que permite evadir los antivirus.


Anuncio de asociación NTCrypt + GandCrab
Fuente: securingtomorrow.mcafee.com

Cómo todos los ransomware su objetivo principal es cifrar todos los archivos del sistema infectado y demandar una cantidad de cryptodivisas para poder recuperar los archivos (no hay garantía de que si se pague se recuperen los ficheros). 

La versión 5 viene con las siguientes características:

  • Eliminación de archivos.
  • Descubrimiento de información en el sistema objetivo.
  • Ejecución a través de API.
  • Ejecución a través de WMIC.
  • Detección de productos antimalware y de seguridad.
  • Modificación del registro.
  • Descubrimiento de los árboles de directorio para buscar archivos a cifrar.
  • Descubrir recursos compartidos en red para cifrarlos.
  • Enumeración de procesos para poder eliminar algunos concretos.
  • Creación de archivos.
  • Elevación de privilegio.


Esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta usar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local.

El otro exploit que ejecuta es una elevación de privilegios gracias a un objeto defectuoso en el token del proceso del sistema, cambiar este token permite al malware la ejecución del exploit y la escalada de privilegios en el sistema.

Hashes

  • e168e9e0f4f631bafc47ddf23c9848d7: Versión 5.0

  • 6884e3541834cc5310a3733f44b38910: DLL de la versión 5.0

  • 2d351d67eab01124b7189c02cff7595f: Versión 5.0.2

  • 41c673415dabbfa63905ff273bdc34e9: Versión 5.0.2

  • 1e8226f7b587d6cd7017f789a96c4a65: DLL  exploit de 32 bits

  • fb25dfd638b1b3ca042a9902902a5ff9: DLL  exploit de 64 bits

  • df1a09dd1cc2f303a8b3d5097e53400b: botnet relacionada con el malware (IP 
  • 92.63.197.48)






Mario Parra

Más información:

Fuente: