Sarid Harper de la empresa danesa CSIS Security Group descubrió una vulnerabilidad que puso en conocimiento de Microsoft a través de sus canales oficiales.
La falla se debe a un error en el manejo de los email que contienen archivos adjuntos que carecen de extensión. Un atacante puede provocar una denegación de servicio a través del envío de un archivo especialmente manipulado, siempre y cuando, el usuario abra el archivo a través del panel de lectura de la aplicación.
El problema afecta a la versión de Outlook 2007 SP2, aunque no se descarta que afecte a un mayor número de versiones.
Para mitigar la vulnerabilidad Microsoft sugiere desactivar el panel de lectura: http://office.microsoft.com/en-us/outlook-help/make-changes-to-the-reading-preview-pane-HA010118503.aspx?CTT=1#_Toc267389729
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4418
martes, 30 de noviembre de 2010
lunes, 29 de noviembre de 2010
Actualización del kernel para Debian Linux 5.x
Debian ha publicado una actualización del kernel 2.6.x, que soluciona un total de 31 CVE. Las vulnerabilidades pueden permitir a un atacante llegar a elevar privilegios, causar una denegación de servicio u obtener información sensible.
Esta es la octava actualización del kernel en lo que va de año y la que incluye un mayor número de correcciones.
Se recomienda actualizar a través de las herramientas automáticas apt-get.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4417
Esta es la octava actualización del kernel en lo que va de año y la que incluye un mayor número de correcciones.
Se recomienda actualizar a través de las herramientas automáticas apt-get.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4417
Falla de seguridad en Android 2.2
Se ha descubierto una falla de seguridad en el sistema operativo para teléfonos Android 2.2 que permite a un atacante obtener cualquier archivo del usuario almacenado en el teléfono si la víctima.
La falla, descubierto por Thomas Cannon, reside en que el navegador, al visitar una página web, puede tener acceso a cualquier archivo del usuario siempre que conozca su ruta exacta. Por ejemplo para obtener fotografías realizadas por el dispositivo, puesto que el nombre de archivo consta de un número incrementado secuencialmente. El atacante no puede acceder a archivos de sistema porque el navegador corre dentro de una sandbox.
Para aprovechar esta falla, la víctima debe visitar un enlace. Éste, a través de JavaScript, podría obtener el archivo deseado y subirlo al servidor del atacante, por ejemplo. El descubridor ha eliminado de su blog (a petición de Google) los detalles técnicos del problema, pero básicamente describe que la falla se da por una combinación de factores:
* El navegador de Android no pide permiso al usuario a la hora de descargar un fichero HTML. Se almacena automáticamente.
* Con JavaScript, es posible lanzar una vez descargado ese fichero y el navegador lo procesa.
* En ese contexto, Android ejecutará el JavaScript sin pedir permiso al usuario y además será capaz de acceder a ficheros del usuario.
Se recomienda a usuarios con Android 2.2 en sus teléfonos (Google Nexus One, Samsung Galaxy Tab, HTC Desire?) que deshabiliten JavaScript o utilicen un navegador alternativo como Opera. Este último confirma con el usuario antes de descargar un archivo.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4416
La falla, descubierto por Thomas Cannon, reside en que el navegador, al visitar una página web, puede tener acceso a cualquier archivo del usuario siempre que conozca su ruta exacta. Por ejemplo para obtener fotografías realizadas por el dispositivo, puesto que el nombre de archivo consta de un número incrementado secuencialmente. El atacante no puede acceder a archivos de sistema porque el navegador corre dentro de una sandbox.
Para aprovechar esta falla, la víctima debe visitar un enlace. Éste, a través de JavaScript, podría obtener el archivo deseado y subirlo al servidor del atacante, por ejemplo. El descubridor ha eliminado de su blog (a petición de Google) los detalles técnicos del problema, pero básicamente describe que la falla se da por una combinación de factores:
* El navegador de Android no pide permiso al usuario a la hora de descargar un fichero HTML. Se almacena automáticamente.
* Con JavaScript, es posible lanzar una vez descargado ese fichero y el navegador lo procesa.
* En ese contexto, Android ejecutará el JavaScript sin pedir permiso al usuario y además será capaz de acceder a ficheros del usuario.
Se recomienda a usuarios con Android 2.2 en sus teléfonos (Google Nexus One, Samsung Galaxy Tab, HTC Desire?) que deshabiliten JavaScript o utilicen un navegador alternativo como Opera. Este último confirma con el usuario antes de descargar un archivo.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4416
jueves, 25 de noviembre de 2010
0 day: Elevación de privilegios en Windows
Han públicado un nuevo 0 day en Windows que permite a un usuario local obtener privilegios de SYSTEM eludiendo cualquier control de usuario.
Los detalles técnicos se hicieron públicos, así como el código fuente y el programa necesarios para aprovechar la falla. El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa algunos valores del registro. En concreto, el exploit manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.
Esto significa que el atacante debe crear una clave en el registro donde un usuario que no es administrador tiene privilegios para hacerlo. Luego intenta leerla, provoca la falla en el driver y obtiene los privilegios. La prueba de concepto utiliza esta clave:
HKEY_USERS\[SID DEL USUARIO]\EUDC
La prueba de concepto funciona perfectamente en Windows Vista, 7 y 2008 totalmente parcheados. Tanto si el usuario pertenece al grupo de usuarios como al de administradores se pondrán privilegios sin ningún tipo de advertencia por parte de Windows y por supuesto, sin necesidad de conocer la contraseña.
En XP la prueba de concepto no funciona pero es posible que la vulnerabilidad también le afecte. La prueba de concepto no es detectada por ningún motor en estos momentos:
http://www.virustotal.com/file-scan/report.html?id=59260532fe33547420613b0aa7b001aed3f565201e50f91558a16cf7465775f6-1290672402
Para que esta falla sea aprovechada por un atacante o malware, primero se debe acceder al sistema por cualquier otro medio y encontrarse con que no puede realizar los cambios que desea a causa de los permisos. Realmente, este no suele ser un impedimento para el malware masivo. Sí que es posible que esta falla sea usada en ataques dirigidos, donde los usuarios de escritorio suelen tener privilegios limitados en el dominio.
Ya son dos problemas de elevación de privilegios que Microsoft debe arreglar. La falla anterior fue descubierta en el cuerpo del famoso troyano Stuxnet. A través del programador de tareas, el malware era capaz de elevar privilegios en el equipo infectado. Hace algunos días los detalles de esta vulnerabilidad también se hicieron públicos.
El equipo de seguridad de Microsoft ha declarado en su twitter que está investigando el asunto. Un método para prevenir el problema hasta que exista parche oficial es limitar los permisos del usuario en la rama
HKEY_USERS\[SID DEL USUARIO]\EUDC
En el registro se debe negar el permiso de escritura a los usuarios que no son administradores. Gráficamente, es sencillo localizar el SID del usuario, botón derecho sobre la rama del registro y denegar.
Para automatizar el proceso, se aconseja (aunque puede tener efectos secundarios, hágalo bajo su responsabilidad) utilizar subinacl.exe, una herramienta oficial de Microsoft descargable desde:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b
Una vez instalada, localizar el SID del usuario que normalmente termina en 1000 y el nombre de máquina y usuario con el comando:
whoami /user:
INFORMACIÓN DE USUARIO
----------------------
Nombre de usuario SID
==============================================
ordenador\usuario S-1-5-21-123456789-12345677889-123445678990-1000
y ejecutar:
subinacl.exe /subkeyreg "HKEY_USERS\
S-1-5-21-123456789-12345677889-123445678990-1000\EUDC /deny=
ordenador\usuario=w
Esto evitará que el usuario pueda escribir en esa rama y por tanto la prueba de concepto no funcionará.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4415
Los detalles técnicos se hicieron públicos, así como el código fuente y el programa necesarios para aprovechar la falla. El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa algunos valores del registro. En concreto, el exploit manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.
Esto significa que el atacante debe crear una clave en el registro donde un usuario que no es administrador tiene privilegios para hacerlo. Luego intenta leerla, provoca la falla en el driver y obtiene los privilegios. La prueba de concepto utiliza esta clave:
HKEY_USERS\[SID DEL USUARIO]\EUDC
La prueba de concepto funciona perfectamente en Windows Vista, 7 y 2008 totalmente parcheados. Tanto si el usuario pertenece al grupo de usuarios como al de administradores se pondrán privilegios sin ningún tipo de advertencia por parte de Windows y por supuesto, sin necesidad de conocer la contraseña.
En XP la prueba de concepto no funciona pero es posible que la vulnerabilidad también le afecte. La prueba de concepto no es detectada por ningún motor en estos momentos:
http://www.virustotal.com/file-scan/report.html?id=59260532fe33547420613b0aa7b001aed3f565201e50f91558a16cf7465775f6-1290672402
Para que esta falla sea aprovechada por un atacante o malware, primero se debe acceder al sistema por cualquier otro medio y encontrarse con que no puede realizar los cambios que desea a causa de los permisos. Realmente, este no suele ser un impedimento para el malware masivo. Sí que es posible que esta falla sea usada en ataques dirigidos, donde los usuarios de escritorio suelen tener privilegios limitados en el dominio.
Ya son dos problemas de elevación de privilegios que Microsoft debe arreglar. La falla anterior fue descubierta en el cuerpo del famoso troyano Stuxnet. A través del programador de tareas, el malware era capaz de elevar privilegios en el equipo infectado. Hace algunos días los detalles de esta vulnerabilidad también se hicieron públicos.
El equipo de seguridad de Microsoft ha declarado en su twitter que está investigando el asunto. Un método para prevenir el problema hasta que exista parche oficial es limitar los permisos del usuario en la rama
HKEY_USERS\[SID DEL USUARIO]\EUDC
En el registro se debe negar el permiso de escritura a los usuarios que no son administradores. Gráficamente, es sencillo localizar el SID del usuario, botón derecho sobre la rama del registro y denegar.
Para automatizar el proceso, se aconseja (aunque puede tener efectos secundarios, hágalo bajo su responsabilidad) utilizar subinacl.exe, una herramienta oficial de Microsoft descargable desde:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b
Una vez instalada, localizar el SID del usuario que normalmente termina en 1000 y el nombre de máquina y usuario con el comando:
whoami /user:
INFORMACIÓN DE USUARIO
----------------------
Nombre de usuario SID
==============================================
ordenador\usuario S-1-5-21-123456789-12345677889-123445678990-1000
y ejecutar:
subinacl.exe /subkeyreg "HKEY_USERS\
S-1-5-21-123456789-12345677889-123445678990-1000\EUDC /deny=
ordenador\usuario=w
Esto evitará que el usuario pueda escribir en esa rama y por tanto la prueba de concepto no funcionará.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4415
Congreso de Seguridad en Cómputo en México
Del 24 de noviembre al 1 de diciembre se celebrará en México el "Congreso Seguridad en Cómputo 2010". Este evento está organizado por la Universidad Nacional Autónoma de México a través de la Subdirección de Seguridad de la Información/UNAM-CERT de la Dirección General de Cómputo y de Tecnologías de Información y Comunicación.
El Congreso Seguridad en Cómputo 2010 está dividido en dos fases: capacitación especializada en seguridad de la información y un ciclo de conferencias, impartidas por reconocidos expertos en la materia. La capacitación o líneas de especialización se llevará a cabo del 24 al 29 de noviembre de 2010 y tendrán como sede el Centro de Extensión Tlatelolco. Por otra parte, el ciclo de conferencias tendrá lugar los días 30 de noviembre y 1 de diciembre de 2010 en el Palacio de la Escuela de Medicina.
En las líneas de especialización se cuentan cursos como: "Administración y seguridad en Windows", "Cómputo forense y legislación relacionada", "Técnicas de intrusión y PenTest", "Detección de intrusos y tecnología honeypots" y por último una serie de diferentes talleres.
La parte de conferencias, contará en un primer día con las siguientes exposiciones:
"La seguridad de la información en los procesos de la organización" por David Treviño, "El papel de la industria en la seguridad en Internet" por Julio César Vega, "Combate a los delitos electrónicos en la Policía Federal" por Eduardo Espina García, "Los diez peores errores en seguridad de la información cometidos por la alta dirección de la empresa" por Jesús Torrecillas, "Ocultamiento y persistencia de la información" por Luis Miguel Murguía, "Los nuevos retos del cómputo forense en América Latina" por Andrés Velázquez, "Implementación de seguridad en Bases de Datos" por Johnny Villalobos, "Panel: La protección de datos personales en Internet" con Ivonne Muñoz Torres y Juan Carlos Carrillo.
El miércoles 1 de diciembre, se impartirán las siguientes conferencias:
"Vulnerabilidades en módems 2010" por Pedro Joaquín, "Panel: El cómputo forense en la investigación de delitos" con Fausto Estrella y Andrés Velázquez, "Malware Fails" por Tillman Werner y Felix Leder, "Telescopio de seguridad informática" por el UNAM-CERT, "The cloud: exposures, education, jogging" por Raffael Marty, un Panel con Jesús Torrecillas y Fausto Estrella, "La divulgación de los datos personales por medio de Internet: sus consecuencias sociales, informáticas y jurídicas" por David Alfredo Domínguez Pérez y María Natalia Pérez Rul, "Regulation-Deregulation: How compliance regulation get made" por Michael Dahn, "What if…?" por Tillman Werner y Felix Leder y un último Panel "Perspectiva de amenazas de seguridad 2011" por Raffael Marty, Michael Dahn y David Treviño.
Más información sobre los cursos, conferencias y conferenciantes, costos, becas para estudiantes y registro, en la página del evento: http://congreso.seguridad.unam.mx/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4414
El Congreso Seguridad en Cómputo 2010 está dividido en dos fases: capacitación especializada en seguridad de la información y un ciclo de conferencias, impartidas por reconocidos expertos en la materia. La capacitación o líneas de especialización se llevará a cabo del 24 al 29 de noviembre de 2010 y tendrán como sede el Centro de Extensión Tlatelolco. Por otra parte, el ciclo de conferencias tendrá lugar los días 30 de noviembre y 1 de diciembre de 2010 en el Palacio de la Escuela de Medicina.
En las líneas de especialización se cuentan cursos como: "Administración y seguridad en Windows", "Cómputo forense y legislación relacionada", "Técnicas de intrusión y PenTest", "Detección de intrusos y tecnología honeypots" y por último una serie de diferentes talleres.
La parte de conferencias, contará en un primer día con las siguientes exposiciones:
"La seguridad de la información en los procesos de la organización" por David Treviño, "El papel de la industria en la seguridad en Internet" por Julio César Vega, "Combate a los delitos electrónicos en la Policía Federal" por Eduardo Espina García, "Los diez peores errores en seguridad de la información cometidos por la alta dirección de la empresa" por Jesús Torrecillas, "Ocultamiento y persistencia de la información" por Luis Miguel Murguía, "Los nuevos retos del cómputo forense en América Latina" por Andrés Velázquez, "Implementación de seguridad en Bases de Datos" por Johnny Villalobos, "Panel: La protección de datos personales en Internet" con Ivonne Muñoz Torres y Juan Carlos Carrillo.
El miércoles 1 de diciembre, se impartirán las siguientes conferencias:
"Vulnerabilidades en módems 2010" por Pedro Joaquín, "Panel: El cómputo forense en la investigación de delitos" con Fausto Estrella y Andrés Velázquez, "Malware Fails" por Tillman Werner y Felix Leder, "Telescopio de seguridad informática" por el UNAM-CERT, "The cloud: exposures, education, jogging" por Raffael Marty, un Panel con Jesús Torrecillas y Fausto Estrella, "La divulgación de los datos personales por medio de Internet: sus consecuencias sociales, informáticas y jurídicas" por David Alfredo Domínguez Pérez y María Natalia Pérez Rul, "Regulation-Deregulation: How compliance regulation get made" por Michael Dahn, "What if…?" por Tillman Werner y Felix Leder y un último Panel "Perspectiva de amenazas de seguridad 2011" por Raffael Marty, Michael Dahn y David Treviño.
Más información sobre los cursos, conferencias y conferenciantes, costos, becas para estudiantes y registro, en la página del evento: http://congreso.seguridad.unam.mx/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4414
miércoles, 24 de noviembre de 2010
Actualización de seguridad de Safari
Apple publicó una actualización de seguridad para su navegador Safari que solventan múltiples vulnerabilidades que pueden ser aprovechadas por un atacante para lograr el compromiso de los sistemas afectados.
Safari es un navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista. Durante los últimos meses se ha ofrecido la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple.
Se corrigieron un total de 27 vulnerabilidades, relacionadas con WebKit y que podrían permitir obtener información sensible, modificar el historial, falsificar la URL de la barra de direcciones o incluso lograr la ejecución de código arbitrario.
Se recomienda actualizar a la versión 4.1.3 o 5.0.3 de Safari para OS X o Windows disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde: http://www.apple.com/safari/download/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4413
Safari es un navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista. Durante los últimos meses se ha ofrecido la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple.
Se corrigieron un total de 27 vulnerabilidades, relacionadas con WebKit y que podrían permitir obtener información sensible, modificar el historial, falsificar la URL de la barra de direcciones o incluso lograr la ejecución de código arbitrario.
Se recomienda actualizar a la versión 4.1.3 o 5.0.3 de Safari para OS X o Windows disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde: http://www.apple.com/safari/download/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4413
martes, 23 de noviembre de 2010
Adobe publica la versión X de Reader
Adobe ha publicado una nueva versión de Reader. Se trata de una completa renovación con novedades en el apartado de seguridad.
Reader ha sido el blanco de investigadores sobre seguridad y de los creadores de malware desde que hace unos años. Desde entonces a Adobe le han llovido las críticas, algunas incluso declarando desahuciado al propio formato pdf.
La característica principal es el modo protegido o más concretamente, la adición de una sandbox que aislará a Reader del sistema, impidiendo o limitando el impacto de un ataque en caso de explotación.
El equipo de Adobe lleva trabajando varios meses en este modelo conjuntamente con los equipos de Microsoft Office y Google Chrome entre otros. Equipos con experiencia en la implementación de este modelo en sus respectivos productos.
El modo protegido vendrá activado por defecto y causará que Reader se ejecute en un entorno de mínimos privilegios. Cualquier acción potencialmente peligrosa será conducida a través de un proceso denominado 'Broker' con la capacidad de filtrarlas. La sandbox no impedirá la explotación de vulnerabilidades pero mitigará sus efectos como línea defensiva.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4412
Reader ha sido el blanco de investigadores sobre seguridad y de los creadores de malware desde que hace unos años. Desde entonces a Adobe le han llovido las críticas, algunas incluso declarando desahuciado al propio formato pdf.
La característica principal es el modo protegido o más concretamente, la adición de una sandbox que aislará a Reader del sistema, impidiendo o limitando el impacto de un ataque en caso de explotación.
El equipo de Adobe lleva trabajando varios meses en este modelo conjuntamente con los equipos de Microsoft Office y Google Chrome entre otros. Equipos con experiencia en la implementación de este modelo en sus respectivos productos.
El modo protegido vendrá activado por defecto y causará que Reader se ejecute en un entorno de mínimos privilegios. Cualquier acción potencialmente peligrosa será conducida a través de un proceso denominado 'Broker' con la capacidad de filtrarlas. La sandbox no impedirá la explotación de vulnerabilidades pero mitigará sus efectos como línea defensiva.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4412
Dos vulnerabilidades en Wireshark
Se han anunciado dos vulnerabilidades en Wireshark 1.4.0 a 1.4.1 y 1.2.0 a 1.2.12.
Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es alta ya que soporta una gran cantidad de protocolos y es fácil de manejar. Además Wireshark es software libre y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Windows.
El primero de los problemas se encuentra en un desbordamiento de búfer en el disector LDSS al procesar líneas de resumen muy largas, esto puede ser aprovechado por un atacante para ejecutar código arbitrario. La segunda vulnerabilidad es una denegación de servicio debida a un bucle infinito en el disector ZigBee ZCL.
Se recomienda actualizar a Wireshark 1.4.2 o 1.2.13 desde: http://www.wireshark.org/download.html
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4411
Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es alta ya que soporta una gran cantidad de protocolos y es fácil de manejar. Además Wireshark es software libre y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Windows.
El primero de los problemas se encuentra en un desbordamiento de búfer en el disector LDSS al procesar líneas de resumen muy largas, esto puede ser aprovechado por un atacante para ejecutar código arbitrario. La segunda vulnerabilidad es una denegación de servicio debida a un bucle infinito en el disector ZigBee ZCL.
Se recomienda actualizar a Wireshark 1.4.2 o 1.2.13 desde: http://www.wireshark.org/download.html
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4411
viernes, 19 de noviembre de 2010
Chrome: el navegador con mayor número de vulnerabilidades graves en 2010
La compañía Bit9 ha contado el número de vulnerabilidades graves en doce programas muy populares destinados al usuario. El navegador con menor número de fallas registradas en 2010 es Opera con 6, seguido de Internet Explorer con 32 y Firefox con 51.
Bit9 se limitó a buscar en la base de datos pública de NIST (http://nvd.nist.gov) el número de vulnerabilidades graves archivadas para cada software. Ha contado las publicadas entre el 1 de enero y el 21 de octubre de 2010. Consideran graves las vulnerabilidades cuyo valor estándar CVSS (Common Vulnerability Scoring System) es mayor que 7.
El resultado de este conteo es el siguiente:
* Google Chrome (76 vulnerabilidades graves)
* Apple Safari (60 vulnerabilidades graves)
* Microsoft Office (57 vulnerabilidades graves)
* Adobe Reader y Acrobat (54 vulnerabilidades graves)
* Mozilla Firefox (51 vulnerabilidades graves)
* Sun Java Development Kit (36 vulnerabilidades graves)
* Adobe Shockwave Player (35 vulnerabilidades graves)
* Microsoft Internet Explorer (32 vulnerabilidades graves)
* RealNetworks RealPlayer (14 vulnerabilidades graves)
* Apple WebKit (9 vulnerabilidades graves)
* Adobe Flash Player (8 vulnerabilidades graves)
* Apple QuickTime (6 vulnerabilidades graves)
y Opera (6 vulnerabilidades graves)
Hispasec realizó las mismas búsquedas en la base de datos y comprobaron que efectivamente son correctos. Teniendo en cuenta que el NIST es una de las fuentes más serias y completas sobre vulnerabilidades confirmadas, los datos pueden considerarse fiables.
El estudio se queda ahí y no pretende ir mucho más allá. Evaluar la seguridad integral de un producto involucraría muchas otras variables. Desde la velocidad de parcheo hasta el nivel de explotación de las vulnerabilidades, pasando por lo "hipotético" de una explotación real de estas vulnerabilidades. Tampoco tenemos que olvidar que en teoría nada impide a Microsoft, por ejemplo, ocultar vulnerabilidades y solucionarlas de forma "silenciosa". En la práctica, se piensa que no es una circunstancia habitual, dado el interés de los atacantes en descubrir fallas ocultas.
Aunque los resultados del informe le sean favorables Internet Explorer es el más atacado. Ciñéndose a los números, es el navegador de entre Safari, Firefox y Chrome con menor número de fallas graves. Pero esta "peculiaridad" no luce demasiado cuando sus fallas son las más explotadas, deseadas y aprovechados por atacantes; lo mismo pasa con Adobe. Poco importa que en este estudio ocupe el cuarto puesto en número de vulnerabilidades, la cuestión es que durante los dos últimos años ha sido muy atacado y ha gestionado muy mal su seguridad: En cuestión de inseguridad "global", es el primero.
Probablemente este estudio de Bit9 será interpretado a gusto del "usuario" en "beneficio" propio, esto es, adaptándolo a las pasiones generales fuera del ámbito puramente técnico. En este sentido, existe un ejemplo reciente de cómo algunos han malinterpretado un estudio realizado por Hispasec que también se limitaba a comparar la capacidad de los navegadores para detectar URLs fraudulentos. El título original de la noticia "Firefox el navegador más seguro contra el fraude" fue rápidamente truncado en miles de páginas por "Firefox, el navegador más seguro según Hispasec", que desde luego, no es el mensaje original. Sería como titular esta noticia "Internet Explorer es el navegador más seguro después de Opera".
Este estudio de Bit9 viene a recordar que es posible que si en algún momento Firefox o Chrome superan la cuota de uso de Internet Explorer, los atacantes tendrán más fallas de donde elegir para explotar vulnerabilidades en su propio beneficio.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4409
Bit9 se limitó a buscar en la base de datos pública de NIST (http://nvd.nist.gov) el número de vulnerabilidades graves archivadas para cada software. Ha contado las publicadas entre el 1 de enero y el 21 de octubre de 2010. Consideran graves las vulnerabilidades cuyo valor estándar CVSS (Common Vulnerability Scoring System) es mayor que 7.
El resultado de este conteo es el siguiente:
* Google Chrome (76 vulnerabilidades graves)
* Apple Safari (60 vulnerabilidades graves)
* Microsoft Office (57 vulnerabilidades graves)
* Adobe Reader y Acrobat (54 vulnerabilidades graves)
* Mozilla Firefox (51 vulnerabilidades graves)
* Sun Java Development Kit (36 vulnerabilidades graves)
* Adobe Shockwave Player (35 vulnerabilidades graves)
* Microsoft Internet Explorer (32 vulnerabilidades graves)
* RealNetworks RealPlayer (14 vulnerabilidades graves)
* Apple WebKit (9 vulnerabilidades graves)
* Adobe Flash Player (8 vulnerabilidades graves)
* Apple QuickTime (6 vulnerabilidades graves)
y Opera (6 vulnerabilidades graves)
Hispasec realizó las mismas búsquedas en la base de datos y comprobaron que efectivamente son correctos. Teniendo en cuenta que el NIST es una de las fuentes más serias y completas sobre vulnerabilidades confirmadas, los datos pueden considerarse fiables.
El estudio se queda ahí y no pretende ir mucho más allá. Evaluar la seguridad integral de un producto involucraría muchas otras variables. Desde la velocidad de parcheo hasta el nivel de explotación de las vulnerabilidades, pasando por lo "hipotético" de una explotación real de estas vulnerabilidades. Tampoco tenemos que olvidar que en teoría nada impide a Microsoft, por ejemplo, ocultar vulnerabilidades y solucionarlas de forma "silenciosa". En la práctica, se piensa que no es una circunstancia habitual, dado el interés de los atacantes en descubrir fallas ocultas.
Aunque los resultados del informe le sean favorables Internet Explorer es el más atacado. Ciñéndose a los números, es el navegador de entre Safari, Firefox y Chrome con menor número de fallas graves. Pero esta "peculiaridad" no luce demasiado cuando sus fallas son las más explotadas, deseadas y aprovechados por atacantes; lo mismo pasa con Adobe. Poco importa que en este estudio ocupe el cuarto puesto en número de vulnerabilidades, la cuestión es que durante los dos últimos años ha sido muy atacado y ha gestionado muy mal su seguridad: En cuestión de inseguridad "global", es el primero.
Probablemente este estudio de Bit9 será interpretado a gusto del "usuario" en "beneficio" propio, esto es, adaptándolo a las pasiones generales fuera del ámbito puramente técnico. En este sentido, existe un ejemplo reciente de cómo algunos han malinterpretado un estudio realizado por Hispasec que también se limitaba a comparar la capacidad de los navegadores para detectar URLs fraudulentos. El título original de la noticia "Firefox el navegador más seguro contra el fraude" fue rápidamente truncado en miles de páginas por "Firefox, el navegador más seguro según Hispasec", que desde luego, no es el mensaje original. Sería como titular esta noticia "Internet Explorer es el navegador más seguro después de Opera".
Este estudio de Bit9 viene a recordar que es posible que si en algún momento Firefox o Chrome superan la cuota de uso de Internet Explorer, los atacantes tendrán más fallas de donde elegir para explotar vulnerabilidades en su propio beneficio.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4409
Actualizaciones para Adobe Reader y Acrobat
Se ha publicado una actualización para corregir dos vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas, que permiten a un atacante ejecutar código con los permisos con los que se lance la aplicación afectada.
Las versiones que se ven afectadas son Adobe Reader 9.4 para Windows, Macintosh y UNIX; y Adobe Acrobat 9.4 para Windows y Macintosh.
Las vulnerabilidades corregidas se basan en dos problemas diferentes de corrupción de memoria que pueden dar lugar a la ejecución de código arbitrario.
Adobe recomienda a los usuarios la actualización a las versiones recientemente publicadas empleando la opción de actualización automática o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/ o http://get.adobe.com/es/reader/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4408
Las versiones que se ven afectadas son Adobe Reader 9.4 para Windows, Macintosh y UNIX; y Adobe Acrobat 9.4 para Windows y Macintosh.
Las vulnerabilidades corregidas se basan en dos problemas diferentes de corrupción de memoria que pueden dar lugar a la ejecución de código arbitrario.
Adobe recomienda a los usuarios la actualización a las versiones recientemente publicadas empleando la opción de actualización automática o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/ o http://get.adobe.com/es/reader/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4408
jueves, 18 de noviembre de 2010
Así funciona SpyEye II
Tras el video publicado por Hispasec anteriormente, explican sus funciones más llamativas.
* Algo curioso de SpyEye es su panel de control y los métodos para robar datos y realizar fraudes. El más llamativo sin duda es "Create task for Billings". Este método permite hacer que los datos de tarjetas de crédito robados sean usados directamente para realizar compras en los lugares que el atacante elige cada cierto tiempo y utilizando los datos robados de las víctimas. Así, el atacante recibe un beneficio directo y el delito es más difícil de ser rastreado.
* Create Task for Loader permite al atacante indicarle a los zombies que carguen alguna página y cuántas veces deben hacerlo. Si se configura los zombis para que visiten anuncios o banners publicitarios, el atacante obtendrá un beneficio directo. También puede ser utilizado para que descarguen malware.
* Virtest. Es una página europea que permite a los usuarios registrados analizar un binario por varios motores antivirus. Con este plugin el binario puede ser enviado cómodamente desde el panel de control de SpyEye.
* FTP backconnect y Socks5: Permite conectarse a cualquier zombi para subir archivos, por ejemplo o usarlo como proxy.
* La opción "settings" del panel de recopilación de datos permite configurar una cuenta de correo donde los datos serán comprimidos, enviados y borrados cada cierto tiempo. En caso de caída del C&C, el atacante cuenta con este respaldo.
En resumen, SpyEye es muy cómodo para los atacantes. Se diferencia de Zeus fundamentalmente en que se centra mucho más en la comodidad para aprovecharse de los datos robados. Zeus simplemente recopilaba datos, y dejaba a la imaginación del atacante cómo utilizarlos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4407
* Algo curioso de SpyEye es su panel de control y los métodos para robar datos y realizar fraudes. El más llamativo sin duda es "Create task for Billings". Este método permite hacer que los datos de tarjetas de crédito robados sean usados directamente para realizar compras en los lugares que el atacante elige cada cierto tiempo y utilizando los datos robados de las víctimas. Así, el atacante recibe un beneficio directo y el delito es más difícil de ser rastreado.
* Create Task for Loader permite al atacante indicarle a los zombies que carguen alguna página y cuántas veces deben hacerlo. Si se configura los zombis para que visiten anuncios o banners publicitarios, el atacante obtendrá un beneficio directo. También puede ser utilizado para que descarguen malware.
* Virtest. Es una página europea que permite a los usuarios registrados analizar un binario por varios motores antivirus. Con este plugin el binario puede ser enviado cómodamente desde el panel de control de SpyEye.
* FTP backconnect y Socks5: Permite conectarse a cualquier zombi para subir archivos, por ejemplo o usarlo como proxy.
* La opción "settings" del panel de recopilación de datos permite configurar una cuenta de correo donde los datos serán comprimidos, enviados y borrados cada cierto tiempo. En caso de caída del C&C, el atacante cuenta con este respaldo.
En resumen, SpyEye es muy cómodo para los atacantes. Se diferencia de Zeus fundamentalmente en que se centra mucho más en la comodidad para aprovecharse de los datos robados. Zeus simplemente recopilaba datos, y dejaba a la imaginación del atacante cómo utilizarlos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4407
Video: Así funciona SpyEye (I)
SpyEye es el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Esto trata de un troyano bancario 2.0 que se consigue en los entornos "underground" y que permite a un atacante crear una botnet y recopilar datos sensibles de sus víctimas. Hispasec ha grabado un video para demostrar lo sencillo que sería para un atacante crear este troyano.
Zeus (Zbot) lleva mucho tiempo siendo de los troyanos bancarios más presentes en los equipos infectados. Impuso una revolución por su facilidad de uso y eficacia. Las botnets controladas por él se cuentan por cientos de miles. La atención que le han dado los medios parece haber hecho mella y ha llegado el momento en el que otros desarrolladores tomen el testigo y creen una herramienta "rival". SpyEye es el digno sucesor de Zeus, en sus primeras versiones parecían competir entre ellos pero los últimos rumores sugieren que los creadores originales de Zeus dejarán de mantener a su criatura y colaborarán con SpyEye para mejorarlo y potenciarlo.
Hispasec ha grabado un video que mostrará lo sencillo que resultaría crear una botnet y recopilar datos para alguien que se hiciese con el kit de creación de SpyEye.
Estos kits constan de dos partes. Un programa que crea el troyano en sí, y una web que recopilará datos y desde donde se enviará la información a los zombis de las botnets. Para crear el C&C solo es necesario tener un servidor web, un MySQL, crear las tablas con los archivos del kit y alojar los archivos PHP que también proporciona el kit.
Invitamos al lector a visualizar el vídeo alojado en YouTube (4:32 minutos).
http://www.youtube.com/watch?v=IJzcguH76Wg
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4406
Zeus (Zbot) lleva mucho tiempo siendo de los troyanos bancarios más presentes en los equipos infectados. Impuso una revolución por su facilidad de uso y eficacia. Las botnets controladas por él se cuentan por cientos de miles. La atención que le han dado los medios parece haber hecho mella y ha llegado el momento en el que otros desarrolladores tomen el testigo y creen una herramienta "rival". SpyEye es el digno sucesor de Zeus, en sus primeras versiones parecían competir entre ellos pero los últimos rumores sugieren que los creadores originales de Zeus dejarán de mantener a su criatura y colaborarán con SpyEye para mejorarlo y potenciarlo.
Hispasec ha grabado un video que mostrará lo sencillo que resultaría crear una botnet y recopilar datos para alguien que se hiciese con el kit de creación de SpyEye.
Estos kits constan de dos partes. Un programa que crea el troyano en sí, y una web que recopilará datos y desde donde se enviará la información a los zombis de las botnets. Para crear el C&C solo es necesario tener un servidor web, un MySQL, crear las tablas con los archivos del kit y alojar los archivos PHP que también proporciona el kit.
Invitamos al lector a visualizar el vídeo alojado en YouTube (4:32 minutos).
http://www.youtube.com/watch?v=IJzcguH76Wg
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4406
Suscribirse a:
Entradas (Atom)