- http://www.darkreading.com/database_security/security/client/showArticle.jhtml?articleID=220300592&subSection=End+user/client+security
- http://www.scmagazineus.com/URLZone-touted-as-most-sophisticated-banking-trojan-yet/article/151096/
- http://news.cnet.com/8301-27080_3-10363836-245.html?part=rss&subj=news&tag=2547-1009_3-0-20
- http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/
lunes, 5 de octubre de 2009
URLZone Trojan
New, sophisticated malware is making it harder to detect some fraudulent online bank transactions. The URLZone Trojan horse program communicates with a command server to find out precisely how much money to take from the accounts it is plundering to evade detection and where to send the money; the Trojan also alters users' online bank statements so the fraudulent transactions do not show up. The Trojan exploits a vulnerability in Firefox, Opera, Internet Explorer 6, IE 7, and IE 8.
Unlicensed Copies of Microsoft windows will not able to install Security Essentials Antivirus
Microsoft Security Essentials Not Available to Pirates.
Users running unlicensed or improperly licensed copies of Microsoft Windows will not be able to install the company's newly-released Security Essentials antivirus software. To install the software, users will be required to validate their copies of Windows operating systems.
Microsoft does allow users running pirated copies of Windows to download Internet Explorer 8 (IE 8), touted as the company's most secure browser yet. Microsoft also allows patches to be downloaded to pirated copies of Windows through Windows Update. There are other free anti-virus alternatives available, but the patches are available only from Microsoft.
Users running unlicensed or improperly licensed copies of Microsoft Windows will not be able to install the company's newly-released Security Essentials antivirus software. To install the software, users will be required to validate their copies of Windows operating systems.
Microsoft does allow users running pirated copies of Windows to download Internet Explorer 8 (IE 8), touted as the company's most secure browser yet. Microsoft also allows patches to be downloaded to pirated copies of Windows through Windows Update. There are other free anti-virus alternatives available, but the patches are available only from Microsoft.
Malware purveyors have managed to break FaceBook captcha
Malware purveyors have managed to break the Facebook CAPTCHA (completely automated public Turing test to tell computers and humans apart), allowing them to automate the creation of Facebook pages. The malicious pages are being used to send links to malicious websites that promote scareware. The pages all have the same photograph, but have different user names. Facebook is taking steps to identify the rogue pages and disable them.
martes, 25 de agosto de 2009
Hotmail. Attach Feature Temporary Suspended
Microsoft Suspends Hotmail Attach-Photo Feature
Microsoft has temporarily suspended the Attach-Photo feature in Hotmail because of security issues. The problem lies in the way the feature interacts with Internet Explorer (IE). Hotmail users can still attach photos to their messages through other methods. Attach-Photo was disabled in late July; Microsoft plans to restore the feature by the end of September. Users complained because they were not notified that the feature would be removed.
http://www.theregister.co.uk/2009/08/21/hotmail_attach_photo_pulled/
http://www.computerworld.com/s/article/9136958/Microsoft_Hotmail_users_angry_over_pulled_photo_feature?source=rss_news
Microsoft has temporarily suspended the Attach-Photo feature in Hotmail because of security issues. The problem lies in the way the feature interacts with Internet Explorer (IE). Hotmail users can still attach photos to their messages through other methods. Attach-Photo was disabled in late July; Microsoft plans to restore the feature by the end of September. Users complained because they were not notified that the feature would be removed.
http://www.theregister.co.uk/2009/08/21/hotmail_attach_photo_pulled/
http://www.computerworld.com/s/article/9136958/Microsoft_Hotmail_users_angry_over_pulled_photo_feature?source=rss_news
Organized Criminals Trageting US Firms
Cyber Criminals Targeting Smaller US Firms; Get Millions
Organized cyber-gangs in Eastern Europe are increasingly preying on small and mid-size companies in the United States, setting off a multimillion-dollar online crime wave that has begun to worry the nation's largest financial institutions.
The attacks are amazingly simple and the amount of money taken is large. The firms do not know how to protect themselves. In some cases where credit card theft has occurred, they have had to shut down because they lost the ability to process credit cards. Small businesses are being affected greatly by poor security practices. It isn't a risk issue. It is a survival one.
http://www.washingtonpost.com/wp-dyn/content/article/2009/08/24/AR2009082402272.html?hpid=topnews
Organized cyber-gangs in Eastern Europe are increasingly preying on small and mid-size companies in the United States, setting off a multimillion-dollar online crime wave that has begun to worry the nation's largest financial institutions.
The attacks are amazingly simple and the amount of money taken is large. The firms do not know how to protect themselves. In some cases where credit card theft has occurred, they have had to shut down because they lost the ability to process credit cards. Small businesses are being affected greatly by poor security practices. It isn't a risk issue. It is a survival one.
http://www.washingtonpost.com/wp-dyn/content/article/2009/08/24/AR2009082402272.html?hpid=topnews
miércoles, 12 de agosto de 2009
Twitter and Facebook, Attack Spam Campaing
The denial-of-service attacks that hobbled Twitter and Facebook last week were not conducted through botnets, but instead were the result of a spam campaign aimed at a taking out accounts that belong to a pro-Republic of Georgia blogger. The social networking and blogging sites suffered deteriorating service as spam recipients clicked on links that pointed to accounts belonging to the blogger known as Cyxymu. The links pointed to Cyxymu's accounts on YouTube and LiveJournal as well. The blogger has written an open letter asking Russian President Dmitry Medvedev to launch an investigation to find the culprits.
http://www.theregister.co.uk/2009/08/07/twitter_attack_theory/
http://www.computerworld.com/s/article/9136379/Security_researchers_zero_in_on_Twitter_hackers
http://www.theregister.co.uk/2009/08/10/cyxymu_letter_to_medvedev/
http://news.bbc.co.uk/2/hi/technology/8194395.stm
http://voices.washingtonpost.com/securityfix/2009/08/twitter_facebook_google_attack.html
http://www.theregister.co.uk/2009/08/07/twitter_attack_theory/
http://www.computerworld.com/s/article/9136379/Security_researchers_zero_in_on_Twitter_hackers
http://www.theregister.co.uk/2009/08/10/cyxymu_letter_to_medvedev/
http://news.bbc.co.uk/2/hi/technology/8194395.stm
http://voices.washingtonpost.com/securityfix/2009/08/twitter_facebook_google_attack.html
Secrets, Invisible Cookies
Researchers from the University of California, Berkeley have reported that more than half of the Internet's websites are using Adobe Flash cookies to track users' behavior and interests, but these cookies are mentioned in just four privacy policies, though other suites mention the use of "tracking technology." Flash cookies differ from regular cookies because they are unaffected by browser privacy controls. Flash cookies are even being used to re-establish cookies for users after those users delete the more familiar cookies. The researchers' report was submitted earlier this week as a comment on the deferral government's proposal to re-establish the use of cookies on federal websites. For more information, see
http://www.wired.com/epicenter/2009/08/you-deleted-your-cookies-think-again/
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862
http://www.wired.com/epicenter/2009/08/you-deleted-your-cookies-think-again/
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862
martes, 11 de agosto de 2009
Revision del Libro IPv6 Security por Scott , Vyncke
Revision del libro "IPv6 Security "
IPv6 Security , por Scott Hogg y Eric Vyncke es un libro para lo que yo estaba esperando; en otros libros tales como IPv6 Essentials, 2 Ed, Running Ipv6 , IPv6 Networks Administration, son buenos, pero necesitaba mas informacion acerca de la seguridad en IPv6; este librolo cubre. Les recomiendo la lectura de este material
IPv6 Security , por Scott Hogg y Eric Vyncke es un libro para lo que yo estaba esperando; en otros libros tales como IPv6 Essentials, 2 Ed, Running Ipv6 , IPv6 Networks Administration, son buenos, pero necesitaba mas informacion acerca de la seguridad en IPv6; este librolo cubre. Les recomiendo la lectura de este material
Denegacion de Servicio a traves de paquetes SIP en Asterisk
Se ha confirmado la existencia de una vulnerabilidad en Asterisk, que podría permitir a un atacante remoto provocar una denegación de servicio en los sistemas vulnerables.
Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El problema reside en el tratamiento de paquetes SIP específicamente creados, que podría provocar el consumo de toda la memoria disponible para la red SIP con la consiguiente caída del servicio. Aunque la vulnerabilidad se presenta en múltiples versiones de Asterisk, solo es potencialmente explotable en las versiones 1.6.1 y superiores, ya que esas versiones son las primeras que han permitido superar los paquetes SIP de 1.500 bytes.
El problema se encuentra solucionado en las versiones 1.2.34, 1.4.26.1, 1.6.0.12 y 1.6.1.4.
Para la descarga de la correción:
Asterisk Project Security Advisory - AST-2009-005
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2009-005.html
Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El problema reside en el tratamiento de paquetes SIP específicamente creados, que podría provocar el consumo de toda la memoria disponible para la red SIP con la consiguiente caída del servicio. Aunque la vulnerabilidad se presenta en múltiples versiones de Asterisk, solo es potencialmente explotable en las versiones 1.6.1 y superiores, ya que esas versiones son las primeras que han permitido superar los paquetes SIP de 1.500 bytes.
El problema se encuentra solucionado en las versiones 1.2.34, 1.4.26.1, 1.6.0.12 y 1.6.1.4.
Para la descarga de la correción:
Asterisk Project Security Advisory - AST-2009-005
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2009-005.html
jueves, 23 de julio de 2009
Acrobat and Flash Player Zero-Day Vuln
A Security Advisory has been posted in regards to the Adobe Reader, Acrobat and Flash Player issue discussed in the Adobe PSIRT blog on July 21 ("Potential Adobe Reader, Acrobat, and Flash Player issue", CVE-2009-1862). A critical vulnerability exists in the current versions of Flash Player (v9.0.159.0 and v10.0.22.87) for Windows, Macintosh and Linux operating systems, and the authplay.dll component that ships with Adobe Reader and Acrobat v9.x for Windows, Macintosh and UNIX operating systems. This vulnerability (CVE-2009-1862) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that this vulnerability is being actively exploited in the wild via limited, targeted attacks against Adobe Reader v9 on Windows.
We are in the process of developing a fix for the issue, and expect to provide an update for Flash Player v9 and v10 for Windows, Macintosh, and Linux by July 30, 2009 (the date for Flash Player v9 and v10 for Solaris is still pending). We expect to provide an update for Adobe Reader and Acrobat v9.1.2 for Windows, Macintosh, and UNIX by July 31, 2009.
Deleting, renaming, or removing access to the authplay.dll file that ships with Adobe Reader and Acrobat v9.x mitigates the threat for those products, but users will experience a non-exploitable crash or error message when opening a PDF that contains SWF content. Depending on the product, the authplay.dll that ships with Adobe Reader and Acrobat 9.x for Windows is typically located at C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll or C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll. Windows Vista users should consider enabling UAC (User Access Control) to mitigate the impact of a potential exploit. Flash Player users should exercise caution in browsing untrusted websites. Adobe is in contact with Antivirus and Security vendors regarding the issue and recommend users keep their anti-virus definitions up to date.
We will continue to provide updates on this issue via the Security Advisory section of the Adobe web site, as well as the Adobe PSIRT blog.
This posting is provided "AS IS" with no warranties and confers no rights.
We are in the process of developing a fix for the issue, and expect to provide an update for Flash Player v9 and v10 for Windows, Macintosh, and Linux by July 30, 2009 (the date for Flash Player v9 and v10 for Solaris is still pending). We expect to provide an update for Adobe Reader and Acrobat v9.1.2 for Windows, Macintosh, and UNIX by July 31, 2009.
Deleting, renaming, or removing access to the authplay.dll file that ships with Adobe Reader and Acrobat v9.x mitigates the threat for those products, but users will experience a non-exploitable crash or error message when opening a PDF that contains SWF content. Depending on the product, the authplay.dll that ships with Adobe Reader and Acrobat 9.x for Windows is typically located at C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll or C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll. Windows Vista users should consider enabling UAC (User Access Control) to mitigate the impact of a potential exploit. Flash Player users should exercise caution in browsing untrusted websites. Adobe is in contact with Antivirus and Security vendors regarding the issue and recommend users keep their anti-virus definitions up to date.
We will continue to provide updates on this issue via the Security Advisory section of the Adobe web site, as well as the Adobe PSIRT blog.
This posting is provided "AS IS" with no warranties and confers no rights.
martes, 21 de julio de 2009
JavaScript DOM Flaw Affects Most Browsers
A security flaw in JavaScript's Document Object Model (DOM) affects most major web browsers. The flaw could be exploited to allocate large portions of memory, which could crash the applications. The flaw affects all tested versions of Internet Explorer (IE) as well as older versions of Opera, Chrome, Safari and Firefox, although the newer versions of most browsers, with the exception of IE, have been patched against the vulnerability.
More info, read:
http://www.theregister.co.uk/2009/07/17/universal_browser_crash_bug/
http://www.h-online.com/security/DOM-flaw-can-crash-many-browsers--/news/113779
http://www.g-sec.lu/one-bug-to-rule-them-all.html
More info, read:
http://www.theregister.co.uk/2009/07/17/universal_browser_crash_bug/
http://www.h-online.com/security/DOM-flaw-can-crash-many-browsers--/news/113779
http://www.g-sec.lu/one-bug-to-rule-them-all.html
Adobe distribuye una versión vulnerable de Adobe Reader Oficial
Desde la página oficial de Adobe "Get Reader" los usuarios pueden descargar la última versión 9.1 del lector de PDF. El problema es que esta versión tiene 14 fallos de seguridad. Están solucionados, y existe versión que los corrige, pero Adobe confía (sin advertirlo explícitamente) en que sean los propios usuarios los que, tras la descarga, actualicen manualmente el lector.
Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así.
Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable.
Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente. Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema.
Esta actitud solo sería "permisible" cuando el parche no está convenientemente probado. Esto es, que no introduzca errores de inestabilidad, que solucione todos los vectores por los que una vulnerabilidad puede ser aprovechada, que no exija recompilación, etc. Esto ocurrió, por ejemplo, con la penúltima vulnerabilidad en Firefox. Aunque el problema estaba localizado e incluso existían versiones en desarrollo no vulnerables, Firefox ofreció durante días la versión vulnerable en su página oficial hasta que integró la solución en una nueva versión. Pero cuando el parche está más que aprobado, e incluso ya integrado en nuevas versiones, no hay excusas para retrasar su aplicación.
No se entiende esta política de Adobe, que anda despistado intentando implantar nuevas políticas de seguridad, pero parece que debe todavía aprender mucho al respecto.
Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así.
Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable.
Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente. Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema.
Esta actitud solo sería "permisible" cuando el parche no está convenientemente probado. Esto es, que no introduzca errores de inestabilidad, que solucione todos los vectores por los que una vulnerabilidad puede ser aprovechada, que no exija recompilación, etc. Esto ocurrió, por ejemplo, con la penúltima vulnerabilidad en Firefox. Aunque el problema estaba localizado e incluso existían versiones en desarrollo no vulnerables, Firefox ofreció durante días la versión vulnerable en su página oficial hasta que integró la solución en una nueva versión. Pero cuando el parche está más que aprobado, e incluso ya integrado en nuevas versiones, no hay excusas para retrasar su aplicación.
No se entiende esta política de Adobe, que anda despistado intentando implantar nuevas políticas de seguridad, pero parece que debe todavía aprender mucho al respecto.
martes, 14 de julio de 2009
Zero-Day Flwa in Office Web Components ActiveX Control
Microsoft Warns of Zero-Day Flaw in Office Web Components ActiveX Control
Just one day before its scheduled security release, Microsoft has issued an advisory warning of attacks that exploit an arbitrary code execution vulnerability in the Spreadsheet ActiveX control in Microsoft Office Web Components. Attackers could use the attack to gain user rights equal
to those of the local user. The flaw affects numerous Microsoft products. The advisory includes instructions for setting the kill bit for the control in the registry.
http://isc.sans.org/diary.html?storyid=6778
http://www.microsoft.com/technet/security/advisory/973472.mspx
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://www.eweek.com/c/a/Security/Microsoft-Warns-of-New-Attack-as-Patch-Tuesday-Nears-854317/
http://www.scmagazineus.com/Another-ActiveX-zero-day-bug-from-Microsoft/article/139939/
http://www.h-online.com/security/Microsoft-warns-of-vulnerability-in-Office-Web-Component--/news/113752
http://voices.washingtonpost.com/securityfix/2009/07/microsoft_newly_discovered_ms.html
http://www.computerworld.com/s/article/9135471/Microsoft_admits_new_ActiveX_zero_day_bug?source=rss_security
Just one day before its scheduled security release, Microsoft has issued an advisory warning of attacks that exploit an arbitrary code execution vulnerability in the Spreadsheet ActiveX control in Microsoft Office Web Components. Attackers could use the attack to gain user rights equal
to those of the local user. The flaw affects numerous Microsoft products. The advisory includes instructions for setting the kill bit for the control in the registry.
http://isc.sans.org/diary.html?storyid=6778
http://www.microsoft.com/technet/security/advisory/973472.mspx
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://www.eweek.com/c/a/Security/Microsoft-Warns-of-New-Attack-as-Patch-Tuesday-Nears-854317/
http://www.scmagazineus.com/Another-ActiveX-zero-day-bug-from-Microsoft/article/139939/
http://www.h-online.com/security/Microsoft-warns-of-vulnerability-in-Office-Web-Component--/news/113752
http://voices.washingtonpost.com/securityfix/2009/07/microsoft_newly_discovered_ms.html
http://www.computerworld.com/s/article/9135471/Microsoft_admits_new_ActiveX_zero_day_bug?source=rss_security
Mozilla Firefox 3.5 en aprietos - Vulnerabilidad Publica
Ofrecemos este boletín con carácter de urgencia. Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de
código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de
código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
0 Day en Microsoft Oficce Web Component
Por sorpresa, Microsoft ha publicado que se están detectando ataques contra Microsoft Office Web Components a través de Internet Explorer que permiten la ejecución de código. Este es el tercer "0 day" de Microsoft (todos con ActiveX) en mes y medio.
Microsoft Office Web Components es una colección de controles COMs (Component Object Model) que se usa para publicar contenido de Office en en la web a través de Internet Explorer. En pocas palabras, un ActiveX.
En él, existe un fallo que permite a un atacante ejecutar código arbitrario si la víctima visita una web especialmente manipulada. El software afectado es el siguiente:
* Microsoft Office XP Service Pack 3
* Microsoft Office 2003 Service Pack 3
* Microsoft Office XP Web Components Service Pack 3
* Microsoft Office 2003 Web Components Service Pack 3
* Microsoft Office 2003 Web Components para Microsoft Office 2007 Service Pack 1
* Microsoft ISA Server 2004 Standard Edition Service Pack 3
* Microsoft I ISA Server 2004 Enterprise Edition Service Pack 3
* Microsoft ISA Server 2006
* ISA Server 2006 Supportability Update
* Microsoft ISA Server 2006 Service Pack 1
* Microsoft Office Small Business Accounting 2006
Con esto, Microsoft acumula tres "0 day" sin solución. Se supone que hoy, en su ciclo habitual de actualizaciones, al menos solucionará uno de ellos. No se recordaba una actividad parecida desde el verano de 2006. Entonces, los atacantes se cebaron en Office. En aquel momento se popularizaron las amenazas directas y personalizadas contra compañías que recibían este intento de infección. Se trataba de ataques perpetrados especialmente contra ellos. Se descubrieron una media de dos vulnerabilidades por mes durante julio y agosto en Word, Excel o PowerPoint. Además, se detectaron siempre los ataques muy poco tiempo después del segundo martes de cada mes, con lo que normalmente fue necesario esperar casi todo un mes para que Microsoft cumpliese su siguiente ciclo de actualizaciones y poder estar protegido. Se observó entonces un claro cambio de tendencia en la forma en la que aparecieron estos problemas, unida a una obsesiva y oportunista fijación contra este software de Microsoft.
Para mitigar el problema en Microsoft Office Web Component se recomienda activar el kill bit del control ActiveX para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
Microsoft Office Web Components es una colección de controles COMs (Component Object Model) que se usa para publicar contenido de Office en en la web a través de Internet Explorer. En pocas palabras, un ActiveX.
En él, existe un fallo que permite a un atacante ejecutar código arbitrario si la víctima visita una web especialmente manipulada. El software afectado es el siguiente:
* Microsoft Office XP Service Pack 3
* Microsoft Office 2003 Service Pack 3
* Microsoft Office XP Web Components Service Pack 3
* Microsoft Office 2003 Web Components Service Pack 3
* Microsoft Office 2003 Web Components para Microsoft Office 2007 Service Pack 1
* Microsoft ISA Server 2004 Standard Edition Service Pack 3
* Microsoft I ISA Server 2004 Enterprise Edition Service Pack 3
* Microsoft ISA Server 2006
* ISA Server 2006 Supportability Update
* Microsoft ISA Server 2006 Service Pack 1
* Microsoft Office Small Business Accounting 2006
Con esto, Microsoft acumula tres "0 day" sin solución. Se supone que hoy, en su ciclo habitual de actualizaciones, al menos solucionará uno de ellos. No se recordaba una actividad parecida desde el verano de 2006. Entonces, los atacantes se cebaron en Office. En aquel momento se popularizaron las amenazas directas y personalizadas contra compañías que recibían este intento de infección. Se trataba de ataques perpetrados especialmente contra ellos. Se descubrieron una media de dos vulnerabilidades por mes durante julio y agosto en Word, Excel o PowerPoint. Además, se detectaron siempre los ataques muy poco tiempo después del segundo martes de cada mes, con lo que normalmente fue necesario esperar casi todo un mes para que Microsoft cumpliese su siguiente ciclo de actualizaciones y poder estar protegido. Se observó entonces un claro cambio de tendencia en la forma en la que aparecieron estos problemas, unida a una obsesiva y oportunista fijación contra este software de Microsoft.
Para mitigar el problema en Microsoft Office Web Component se recomienda activar el kill bit del control ActiveX para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
lunes, 13 de julio de 2009
Antivirus de Pago VS Gratuitos
David Hall, jefe de producto de Symantec, ha realizado declaraciones en
contra de las soluciones antivirus gratuitas. "No son suficientes para
mantener al usuario seguro". Si bien lleva razón en que los antivirus
por sí solos no son suficientes para asegurar a nadie, no es relevante
el hecho de que sean gratuitos o no. La declaración viene después de
que Microsoft lance su propio antivirus gratuito Security Essentials.
Según este ejecutivo de Symantec, los antivirus gratuitos no pueden
mantener el nivel de las suites como las que ofrece Symantec. "Si hoy
en día sólo confías en antivirus gratuitos para protegerte, no estás
obteniendo la protección que necesitas para mantenerte limpio y evitar
el robo de identidad". "Microsoft Security Essentials es una versión
'incompleta' de OneCare [producto de pago de Microsoft]... y los
usuarios no necesitan 'menos' protección, necesitan 'más'".
Obviamente el comentario proviene de alguien cuya misión es elevar las
ventas de su producto Symantec, pero no es oportuno desprestigiar
tecnología ajena para conseguirlo. Hall también reconoce lo obvio: "los
antivirus deberían ser considerados la última defensa" pero de sus
opiniones sobre los productos "gratuitos" (que considera versiones
inferiores), se puede concluir que un usuario, por el hecho de haber
comprado un antivirus, está más y mejor protegido.
¿Qué diferencia hay entre un antivirus gratuito y uno de pago?
Existen diferencias además de en el precio, pero no suelen estar en el
motor antivirus. La mayoría de los motores (tecnología de detección y
base de firmas) son compartidos entre las versiones gratuitas y las de
pago. Lo que suelen añadir las versiones de pago son capas adicionales
de protección, que pueden ser más o menos útiles para el usuario. Si nos
restringimos a la detección por motores, hoy en día, el usuario corre el
mismo riesgo de infección con un producto de pago que con uno gratuito.
En este sentido, los antivirus han perdido la batalla ante el malware,
todos por igual. Una tecnología de detección más cara no la hace
necesariamente mejor. Se paga por servicios adicionales añadidos al
motor antivirus.
El mensaje, o el titular que puede extraerse de las declaraciones de
Hall por tanto es erróneo (sobre todo el desafortunado "usar antivirus
gratuitos es peligroso"). Los antivirus gratuitos no son necesariamente
peor que los de pago, a nivel de detección. Este matiz es muy
importante. A mediados de esta década, cuando el problema del malware
fue patente, las casas antivirus accedieron a añadir nuevas capas de
protección en sus productos: cortafuegos, análisis de comportamiento,
antiphishing, antirootkit, protección de identidad, antispam... Un
producto de pago ofrece más capas de protección, y esto sin duda más
beneficioso para el usuario. Como los antivirus gratuitos suelen
prescindir de estas capas y centrarse en el "antivirus", el razonamiento
de Hall es que los antivirus gratuitos no son lo que necesita un
usuario. No hay que olvidar tampoco, que los antivirus gratuitos no
suelen ofrecer soporte.
¿Qué necesita entonces un usuario?
El caso es que en parte Hall lleva razón. El antivirus es necesario,
pero no lo más importante hoy en día para evitar el malware, y por eso
las capas adicionales son necesarias. Pero la detección de los antivirus
gratuitos es igual de pobre que la de los de pago. El hecho de añadir
tecnología de protección adicional, como cortafuegos, antispam, etc, en
forma de suites de pago, mejora la seguridad, y es el usuario el que
debe decidir qué necesita y si está dispuesto a pagar por esa protección
extra. Por supuesto, siempre teniendo en cuenta que ninguna tecnología
protege al usuario por completo: al igual que con la detección, también
los antivirus tienen serios y numerosos problemas para reconocer las
conexiones salientes no legítimas (en sus cortafuegos), para clasificar
el spam (en sus sistemas antispam), para catalogar el phishing (en sus
sistemas antiphishing) y para ofrecer ayuda útil y real a un usuario (en
sus “call centers” de soporte). El problema del malware supera a todos
en todos los aspectos.
Además, Hall también dice que las casas antivirus que ofrecen productos
gratuitos no poseen los recursos para lidiar con las amenazas de
seguridad. Esto es incompleto. Las casas antivirus con productos
exclusivamente de pago tampoco disponen de esos recursos hoy en día.
Nadie los tiene.
Conclusión
En definitiva, la realidad es que si un usuario necesita un antivirus (y
solo un antivirus) puede optar por las soluciones gratuitas porque son
igual de efectivas que el resto. Siempre podrá complementarla con otros
productos específicos de otros fabricantes que completen su seguridad.
Si quiere una suite integrada con soporte, sin duda la elección está en
los productos de pago, y en ellos encontrará un excelente escudo contra
muchas amenazas. Pero siempre deberá tener en cuenta que los antivirus
no son la solución definitiva. Hoy en día los consejos contra el
malware, por orden de importancia, podrían ser:
* No usar Windows como administrador.
* Actualizar con los parches de seguridad, tanto de programas como del
sistema operativo.
* Mantenerse informado.
Y sí, también un antivirus, un antispam, una barra antiphishing, un
antirootkit... gratuitos o no.
contra de las soluciones antivirus gratuitas. "No son suficientes para
mantener al usuario seguro". Si bien lleva razón en que los antivirus
por sí solos no son suficientes para asegurar a nadie, no es relevante
el hecho de que sean gratuitos o no. La declaración viene después de
que Microsoft lance su propio antivirus gratuito Security Essentials.
Según este ejecutivo de Symantec, los antivirus gratuitos no pueden
mantener el nivel de las suites como las que ofrece Symantec. "Si hoy
en día sólo confías en antivirus gratuitos para protegerte, no estás
obteniendo la protección que necesitas para mantenerte limpio y evitar
el robo de identidad". "Microsoft Security Essentials es una versión
'incompleta' de OneCare [producto de pago de Microsoft]... y los
usuarios no necesitan 'menos' protección, necesitan 'más'".
Obviamente el comentario proviene de alguien cuya misión es elevar las
ventas de su producto Symantec, pero no es oportuno desprestigiar
tecnología ajena para conseguirlo. Hall también reconoce lo obvio: "los
antivirus deberían ser considerados la última defensa" pero de sus
opiniones sobre los productos "gratuitos" (que considera versiones
inferiores), se puede concluir que un usuario, por el hecho de haber
comprado un antivirus, está más y mejor protegido.
¿Qué diferencia hay entre un antivirus gratuito y uno de pago?
Existen diferencias además de en el precio, pero no suelen estar en el
motor antivirus. La mayoría de los motores (tecnología de detección y
base de firmas) son compartidos entre las versiones gratuitas y las de
pago. Lo que suelen añadir las versiones de pago son capas adicionales
de protección, que pueden ser más o menos útiles para el usuario. Si nos
restringimos a la detección por motores, hoy en día, el usuario corre el
mismo riesgo de infección con un producto de pago que con uno gratuito.
En este sentido, los antivirus han perdido la batalla ante el malware,
todos por igual. Una tecnología de detección más cara no la hace
necesariamente mejor. Se paga por servicios adicionales añadidos al
motor antivirus.
El mensaje, o el titular que puede extraerse de las declaraciones de
Hall por tanto es erróneo (sobre todo el desafortunado "usar antivirus
gratuitos es peligroso"). Los antivirus gratuitos no son necesariamente
peor que los de pago, a nivel de detección. Este matiz es muy
importante. A mediados de esta década, cuando el problema del malware
fue patente, las casas antivirus accedieron a añadir nuevas capas de
protección en sus productos: cortafuegos, análisis de comportamiento,
antiphishing, antirootkit, protección de identidad, antispam... Un
producto de pago ofrece más capas de protección, y esto sin duda más
beneficioso para el usuario. Como los antivirus gratuitos suelen
prescindir de estas capas y centrarse en el "antivirus", el razonamiento
de Hall es que los antivirus gratuitos no son lo que necesita un
usuario. No hay que olvidar tampoco, que los antivirus gratuitos no
suelen ofrecer soporte.
¿Qué necesita entonces un usuario?
El caso es que en parte Hall lleva razón. El antivirus es necesario,
pero no lo más importante hoy en día para evitar el malware, y por eso
las capas adicionales son necesarias. Pero la detección de los antivirus
gratuitos es igual de pobre que la de los de pago. El hecho de añadir
tecnología de protección adicional, como cortafuegos, antispam, etc, en
forma de suites de pago, mejora la seguridad, y es el usuario el que
debe decidir qué necesita y si está dispuesto a pagar por esa protección
extra. Por supuesto, siempre teniendo en cuenta que ninguna tecnología
protege al usuario por completo: al igual que con la detección, también
los antivirus tienen serios y numerosos problemas para reconocer las
conexiones salientes no legítimas (en sus cortafuegos), para clasificar
el spam (en sus sistemas antispam), para catalogar el phishing (en sus
sistemas antiphishing) y para ofrecer ayuda útil y real a un usuario (en
sus “call centers” de soporte). El problema del malware supera a todos
en todos los aspectos.
Además, Hall también dice que las casas antivirus que ofrecen productos
gratuitos no poseen los recursos para lidiar con las amenazas de
seguridad. Esto es incompleto. Las casas antivirus con productos
exclusivamente de pago tampoco disponen de esos recursos hoy en día.
Nadie los tiene.
Conclusión
En definitiva, la realidad es que si un usuario necesita un antivirus (y
solo un antivirus) puede optar por las soluciones gratuitas porque son
igual de efectivas que el resto. Siempre podrá complementarla con otros
productos específicos de otros fabricantes que completen su seguridad.
Si quiere una suite integrada con soporte, sin duda la elección está en
los productos de pago, y en ellos encontrará un excelente escudo contra
muchas amenazas. Pero siempre deberá tener en cuenta que los antivirus
no son la solución definitiva. Hoy en día los consejos contra el
malware, por orden de importancia, podrían ser:
* No usar Windows como administrador.
* Actualizar con los parches de seguridad, tanto de programas como del
sistema operativo.
* Mantenerse informado.
Y sí, también un antivirus, un antispam, una barra antiphishing, un
antirootkit... gratuitos o no.
viernes, 5 de junio de 2009
Microsoft patches Junio 2009
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Las actualizaciones afectan a Office en general, Internet Explorer, Windows y Excel y Word en particular
Si en mayo se publicó una sola actualización para PowerPoint (que solucionaba 14 vulnerabilidades), este mes Microsoft prevé publicar diez actualizaciones el martes 9 de junio. Seis boletines son críticos, tres importantes y uno moderado. De los siete boletines dedicados a Windows, las versiones de 2000 y XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por cuatro de estos siete boletines, cosa que viene siendo habitual. Vista se ha desarrollado casi desde sus inicios dentro de un marco mucho más volcado en la seguridad dentro de Microsoft, y parece que el esfuerzo se va notando.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
Después de un mes de relativa "calma", con un solo boletín para PowerPoint (aunque cargado de correcciones), Microsoft prepara un martes colmado de actualizaciones. Una vez más, parece que no le ha dado tiempo a preparar un parche para la grave vulnerabilidad en DirectX descubierta a finales de mayo cuando ya estaba siendo aprovechada.
Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
Si en mayo se publicó una sola actualización para PowerPoint (que solucionaba 14 vulnerabilidades), este mes Microsoft prevé publicar diez actualizaciones el martes 9 de junio. Seis boletines son críticos, tres importantes y uno moderado. De los siete boletines dedicados a Windows, las versiones de 2000 y XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por cuatro de estos siete boletines, cosa que viene siendo habitual. Vista se ha desarrollado casi desde sus inicios dentro de un marco mucho más volcado en la seguridad dentro de Microsoft, y parece que el esfuerzo se va notando.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
Después de un mes de relativa "calma", con un solo boletín para PowerPoint (aunque cargado de correcciones), Microsoft prepara un martes colmado de actualizaciones. Una vez más, parece que no le ha dado tiempo a preparar un parche para la grave vulnerabilidad en DirectX descubierta a finales de mayo cuando ya estaba siendo aprovechada.
Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
lunes, 25 de mayo de 2009
Escalada de directorios a través de TFTP en CiscoWorks
Escalada de directorios a través de TFTP en CiscoWorks
CiscoWorks Common Services se ve afectado por una vulnerabilidad que podría permitir a un atacante remoto sin autenticar acceder a diversos archivos del sistema.
CiscoWorks Common Services representa un conjunto común de servicios de administración compartidos por las aplicaciones CiscoWorks. CiscoWorks es una familia de productos basados en estándares de Internet para la administración de redes y dispositivos. Son muchos los productos CiscoWorks que usan y dependen de Common Services.
Cisco ha publicado una actualización para corregir una vulnerabilidad (de la que no ha especificado detalles) en TFTP, del conjunto de servicios de CiscoWorks Common Services. El fallo podría permitir a un atacante remoto no autenticado efectuar un ataque de escalada de directorios y obtener o modificar información sensible y potencialmente causar una denegación de servicio.
La vulnerabilidad solo afecta a CiscoWorks sobre plataformas Microsoft Windows.
Cisco ha publicado la actualización cwcs3.x-win-CSCsx07107-0.zip disponible desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cw2000-cd-one
CiscoWorks Common Services se ve afectado por una vulnerabilidad que podría permitir a un atacante remoto sin autenticar acceder a diversos archivos del sistema.
CiscoWorks Common Services representa un conjunto común de servicios de administración compartidos por las aplicaciones CiscoWorks. CiscoWorks es una familia de productos basados en estándares de Internet para la administración de redes y dispositivos. Son muchos los productos CiscoWorks que usan y dependen de Common Services.
Cisco ha publicado una actualización para corregir una vulnerabilidad (de la que no ha especificado detalles) en TFTP, del conjunto de servicios de CiscoWorks Common Services. El fallo podría permitir a un atacante remoto no autenticado efectuar un ataque de escalada de directorios y obtener o modificar información sensible y potencialmente causar una denegación de servicio.
La vulnerabilidad solo afecta a CiscoWorks sobre plataformas Microsoft Windows.
Cisco ha publicado la actualización cwcs3.x-win-CSCsx07107-0.zip disponible desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cw2000-cd-one
Gumblar en los medios y en "Google" particular
Gumblar es un espécimen de origen chino que llevaba cierto tiempo circulando, se detectó y comenzó a seguir desde finales de marzo. Los medios se han fijado en él (siempre recordando que la noticia origen es de una casa antivirus) por el preocupante y rápido aumento de infectados que se ha contabilizado en las últimas semanas. Ha llegando a doblar el número de victimas semanalmente; también se le atribuye el 42 por ciento de las nuevas infecciones detectadas en sitios web.
El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.
La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.
En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.
Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en virusTotal.com.
El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.
El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.
La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.
En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.
Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en virusTotal.com.
El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.
viernes, 22 de mayo de 2009
Java Flaw Still Unpatched in OS X
Java Flaw Still Unpatched in OS X
In December 2008, Sun Microsystems warned of a flaw in its Java virtual machine that could be exploited to execute code on vulnerable computers.
Although the problem has been addressed in Windows and major Linux distributions, Apple has not issued a fix for the vulnerability, despite having recently issued a major security upgrade. The flaw is being actively exploited, and attack code that specifically targets the flaw in Mac OS X has been posted in an attempt to draw attention to the unpatched vulnerability. Mac users are urged to disable Java applets in their browsers until a fix is made available.
Mac users too often assume that their machines are not vulnerable to attacks, but reality dictates otherwise. News of this latest security flaw is yet another indication that Mac OS X is by no means invincible to attacks.
Apple's reliance on third party / open source software, and it's inability to release timely patches in sync with other vendors is a big threat currently only mitigated by the obscurity of the platform.
A modern day software company just can't afford to wait months to release a patch for a publicly known vulnerability. Microsoft learned this lesson the hard way.
In December 2008, Sun Microsystems warned of a flaw in its Java virtual machine that could be exploited to execute code on vulnerable computers.
Although the problem has been addressed in Windows and major Linux distributions, Apple has not issued a fix for the vulnerability, despite having recently issued a major security upgrade. The flaw is being actively exploited, and attack code that specifically targets the flaw in Mac OS X has been posted in an attempt to draw attention to the unpatched vulnerability. Mac users are urged to disable Java applets in their browsers until a fix is made available.
Mac users too often assume that their machines are not vulnerable to attacks, but reality dictates otherwise. News of this latest security flaw is yet another indication that Mac OS X is by no means invincible to attacks.
Apple's reliance on third party / open source software, and it's inability to release timely patches in sync with other vendors is a big threat currently only mitigated by the obscurity of the platform.
A modern day software company just can't afford to wait months to release a patch for a publicly known vulnerability. Microsoft learned this lesson the hard way.
IIS WEbDAV Vulnerabilidad. Preguntas y Respuestas
Preguntas acerca de la vulnerabilidad en IIS WebDAV (authentication bypass)
No. OWA no es afectado por esta vulnerabilidad. Exchange 2007 es soportada por el protocolo WebDAV. Sin embargo solamente lee/escribe a/desde el almacenamiento Exchange. No interactua con el sistema de archivos directamente.
$telnet 80
OPTIONS / HTTP/1.1
Host:
Accept:*/*
(ENTER)
(Un ENTER mas)
Si se obtiene una respuesta HTTP tal como las sigueientes lineas, el servidor esta ejecutando WebDAV.
HTTP/1.1 200 OK
Date: Wed, 20 May 2009 00:52:58 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL:
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIN
D, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
Cache-Control: private
Para evaluar la existencia de WebDAV, use la logica siguiente:
* Una respuesta de estatus 2xx a la solicitud OPTIONS hecha al directorio raiz.
* La respuesta contiene la cabecera DAV con valor 1,2
* La respuesta contiene la cabecera MS-Author-Via con ul valor de DAV
* La respuesta NO contiene la cabecera X-MSDAVEXT. La existencia de esta cabecera indica que es DAv SharePoint.
Para probar un servidor que solo acepta conexiones HTTPS, usar una herramienta (wfetch).
Es SharePoint vulnerable a la evasion de autentificacion (authenticate bypass)
No. SharePoint no comparte ( share :)) esta vulnerabilidad. El equipo sharePoint no usa el mismo codigo que el IIS. ( No, quizas no comparte el mismo codigo, pero tendra "secretitos" guardados celosamente). Su servidor DAV va de la mano con almacenamiento SQL, con con el file system.Outlook Web Access ( OWA ) es vulnerable a la evasion de autentificacion
No. OWA no es afectado por esta vulnerabilidad. Exchange 2007 es soportada por el protocolo WebDAV. Sin embargo solamente lee/escribe a/desde el almacenamiento Exchange. No interactua con el sistema de archivos directamente.
Como puedo encontrar servidores IIS en mi entorno ejecutando WebDAV
Se puede utilizar el IIS Maneger para rapidamente identificar que servidor esta ejecutando WebDAv. Si se quiere saber de manera remota, se puede hacer una peticion HTTP directamente:$telnet
OPTIONS / HTTP/1.1
Host:
Accept:*/*
(ENTER)
(Un ENTER mas)
Si se obtiene una respuesta HTTP tal como las sigueientes lineas, el servidor esta ejecutando WebDAV.
HTTP/1.1 200 OK
Date: Wed, 20 May 2009 00:52:58 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL:
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIN
D, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
Cache-Control: private
Para evaluar la existencia de WebDAV, use la logica siguiente:
* Una respuesta de estatus 2xx a la solicitud OPTIONS hecha al directorio raiz.
* La respuesta contiene la cabecera DAV con valor 1,2
* La respuesta contiene la cabecera MS-Author-Via con ul valor de DAV
* La respuesta NO contiene la cabecera X-MSDAVEXT. La existencia de esta cabecera indica que es DAv SharePoint.
Para probar un servidor que solo acepta conexiones HTTPS, usar una herramienta (wfetch).
miércoles, 20 de mayo de 2009
Password Bypass Bug in Microsoft IIS Version 6.0
Password Bypass Bug in Microsoft IIS Version 6.0
A WebDAV vulnerability in Microsoft's Internet Information Server 6.0 (IIS) enables attackers to gain access to password-protected files and directories controlled by the web server. Attackers can also use the exploit to upload and download files to the server. The attack exploits a flaw in the processing of Unicode characters added to a web address.
WebDAV is not enabled by default on IIS 6.0. Web administrators are urged to temporarily disable WebDAV until the issue is addressed. A spokesperson from Microsoft said "We're currently unaware of any attacks trying to use the claimed vulnerability or of customer impact," but the US-CERT team are reporting "active exploitation" of the bug.
A WebDAV vulnerability in Microsoft's Internet Information Server 6.0 (IIS) enables attackers to gain access to password-protected files and directories controlled by the web server. Attackers can also use the exploit to upload and download files to the server. The attack exploits a flaw in the processing of Unicode characters added to a web address.
WebDAV is not enabled by default on IIS 6.0. Web administrators are urged to temporarily disable WebDAV until the issue is addressed. A spokesperson from Microsoft said "We're currently unaware of any attacks trying to use the claimed vulnerability or of customer impact," but the US-CERT team are reporting "active exploitation" of the bug.
jueves, 14 de mayo de 2009
Adobe Redader and Acrobat JavaScript Vulnerabilities
Adobe has released Security Bulletin APSB09-06, which describes Adobe Reader and Acrobat updates for two JavaScript vulnerabilities that could allow a remote attacker to execute arbitrary code.
Adobe has released updates to address this issue. Users are encouraged to read Adobe Security Bulletin APSB09-06 and update vulnerable versions of Adobe Reader and Acrobat. According to APSB09-06, these vulnerabilities are addressed in versions 9.1.1, 8.1.5, and 7.1.2 of Adobe Reader and Acrobat.
Preventing PDF documents from opening inside a web browser reduces attack surface. If this workaround is applied to updated versions of the Adobe Reader and Acrobat, it may protect against future vulnerabilities. To prevent PDF documents from automatically being opened in a web browser with Adobe Reader:
To disable the vulnerable getAnnots() method, rename or remove the Annots.api file. This will disable some Annotation functionality, however annotations can still be viewed. This does not protect against the customDictionaryOpen() vulnerability. On Windows, Annots.api is typically located here:
http://www.adobe.com/support/security/bulletins/apsb09-06.html
I. Description
Adobe Security Bulletin APSB09-06 announces updates for two JavaScript vulnerabilities that affect Adobe Reader and Acrobat.- A vulnerability in the getAnnots() method (CVE-2009-1492) affects Adobe Reader and Acrobat for Microsoft Windows, Apple Mac OS X, and UNIX.
- A vulnerability in the customDictionaryOpen() method(CVE-2009-1493) appears to only affect Adobe Reader for UNIX.
Further details are available in Vulnerability Note VU#970180.
An attacker could exploit these vulnerabilities by convincing a user to open a specially crafted Adobe Portable Document Format (PDF) file. Acrobat integrates with popular web browsers, and visiting a website is usually sufficient to cause Reader or Acrobat to open a PDF file.II. Impact
By convincing a victim to open a specially crafted PDF file, a remote, unauthenticated attacker may be able to execute arbitrary code.III. Solution
UpdateAdobe has released updates to address this issue. Users are encouraged to read Adobe Security Bulletin APSB09-06 and update vulnerable versions of Adobe Reader and Acrobat. According to APSB09-06, these vulnerabilities are addressed in versions 9.1.1, 8.1.5, and 7.1.2 of Adobe Reader and Acrobat.
Disable JavaScript in Adobe Reader and Acrobat
Disabling JavaScript prevents these vulnerabilities from being exploited and reduces attack surface. If this workaround is applied to updated versions of the Adobe Reader and Acrobat, it may protect against future vulnerabilities.To disable JavaScript in Adobe Reader:
Open Adobe Acrobat Reader.- Open the Edit menu.
- Choose the Preferences... option.
- Choose the JavaScript section.
- Uncheck the Enable Acrobat JavaScript check box.
Prevent Internet Explorer from automatically opening PDF documents
The installer for Adobe Reader and Acrobat configures Internet Explorer to automatically open PDF files without any user interaction. This behavior can be reverted to the safer option of prompting the user by importing the following as a .REG file:Disable the display of PDF documents in the web browser
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\AcroExch.Document.7]"EditFlags"=hex:00,00,00,00
Preventing PDF documents from opening inside a web browser reduces attack surface. If this workaround is applied to updated versions of the Adobe Reader and Acrobat, it may protect against future vulnerabilities. To prevent PDF documents from automatically being opened in a web browser with Adobe Reader:
- Open Adobe Acrobat Reader.
- Open the Edit menu.
- Choose the preferences option.
- Choose the Internet section.
- Un-check the "Display PDF in browser" check box.
To disable the vulnerable getAnnots() method, rename or remove the Annots.api file. This will disable some Annotation functionality, however annotations can still be viewed. This does not protect against the customDictionaryOpen() vulnerability. On Windows, Annots.api is typically located here:
"%ProgramFiles%\Adobe\Reader 9.0\Reader\plug_ins"Example location on GNU/Linux:
Do not access PDF documents from untrusted sources
/opt/Adobe/Reader8/Reader/intellinux/plug_ins/Annots.api
Do not open unfamiliar or unexpected PDF documents, particularly those hosted on web sites or delivered as email attachments. Please see Cyber Security Tip ST04-010.
http://www.adobe.com/support/security/bulletins/apsb09-06.html
miércoles, 13 de mayo de 2009
Microsoft corrige 14 vulnerabilidades en PowerPoint
Microsoft corrige 14 vulnerabilidades en PowerPoint
Tal y como adelantamos, este martes Microsoft ha publicado sólo un boletín de seguridad (el MS09-017) correspondientes a su ciclo habitual de actualizaciones. Esta actualización que corrige un total de 14 vulnerabilidades presenta, según la propia clasificación de Microsoft, un nivel de gravedad "crítico".
Las vulnerabilidades corregidas afectan a diversas versiones de PowerPoint de Microsoft Office (XP, 2000, 2002, 2003 y 2007), Office para Mac y el visor de archivos PowerPoint (PowerPoint Viewer 2003 y 2007). Entre las vulnerabilidades corregidas se incluye el problema ya comentado anteriormente que venía siendo explotado de forma activa desde primeros de abril.
Todos los problemas corregidos pueden permitir la ejecución remota de código al abrir un archivo PowerPoint maliciosamente construido. El problema se agravaba al ser PowerPoint un formato de archivo sobre el que la gente tiende a confiar, y que se usa con frecuencia para el intercambio de presentaciones de todo tipo entre usuarios (desde presentaciones profesionales hasta totalmente intrascendentes), lo que podría permitir la rápida infección debido precisamente a estos factores.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o desde el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
Tal y como adelantamos, este martes Microsoft ha publicado sólo un boletín de seguridad (el MS09-017) correspondientes a su ciclo habitual de actualizaciones. Esta actualización que corrige un total de 14 vulnerabilidades presenta, según la propia clasificación de Microsoft, un nivel de gravedad "crítico".
Las vulnerabilidades corregidas afectan a diversas versiones de PowerPoint de Microsoft Office (XP, 2000, 2002, 2003 y 2007), Office para Mac y el visor de archivos PowerPoint (PowerPoint Viewer 2003 y 2007). Entre las vulnerabilidades corregidas se incluye el problema ya comentado anteriormente que venía siendo explotado de forma activa desde primeros de abril.
Todos los problemas corregidos pueden permitir la ejecución remota de código al abrir un archivo PowerPoint maliciosamente construido. El problema se agravaba al ser PowerPoint un formato de archivo sobre el que la gente tiende a confiar, y que se usa con frecuencia para el intercambio de presentaciones de todo tipo entre usuarios (desde presentaciones profesionales hasta totalmente intrascendentes), lo que podría permitir la rápida infección debido precisamente a estos factores.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o desde el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
Microsoft to Test Windows 7 Update Process
Microsoft to Test Windows 7 Update Process on May 12
Microsoft plans to test the update process for Windows 7 on Tuesday, May 12 by sending out phony patches to PCs running the newest release candidate. As many as 10 updates will be issued; none will contain fixes or new features. Microsoft ran a similar test for Windows 7 update capabilities in February. Users who do not wish to receive the test updates can change the appropriate settings in their Windows Update control panel.
Microsoft plans to test the update process for Windows 7 on Tuesday, May 12 by sending out phony patches to PCs running the newest release candidate. As many as 10 updates will be issued; none will contain fixes or new features. Microsoft ran a similar test for Windows 7 update capabilities in February. Users who do not wish to receive the test updates can change the appropriate settings in their Windows Update control panel.
Vulnerability in Windows 7 Release Candidate
Vulnerability in Windows 7 Release Candidate
A flaw has been found in the most recent Windows 7 Release Candidate; Microsoft has issued a hotfix for the vulnerability. The flaw affects the 32-bit (x86) English-language version of Windows 7 build 7100. The problem is that "the folder that is created as the root folder of the system drive is missing entries in its security descriptor." This could cause "applications that reference folders under the root" to fail to install or uninstall successfully and "applications that reference these folders may fail."
Knowledge Base : http://support.microsoft.com/kb/970789
A flaw has been found in the most recent Windows 7 Release Candidate; Microsoft has issued a hotfix for the vulnerability. The flaw affects the 32-bit (x86) English-language version of Windows 7 build 7100. The problem is that "the folder that is created as the root folder of the system drive is missing entries in its security descriptor." This could cause "applications that reference folders under the root" to fail to install or uninstall successfully and "applications that reference these folders may fail."
Knowledge Base : http://support.microsoft.com/kb/970789
lunes, 11 de mayo de 2009
Advanced Microsoft Excel Repair Software - DATANUMEN
Advanced Excel Repair(AER) is a powerful tool to repair corrupt Excel files. It will scan the Excel files and recover your data in them as much as possible, so to minimize the loss in file corruption.
Visit. Datanumen Official Site
- Support to fix Excel xls and xlw files in Excel version 3, 4, 5, 95, 97, 2000, XP, 2003 formats.
- Support to repair Excel files on corrupted medias, such as floppy disks, Zip disks, CDROMs, etc.
- Support to recover formulas in Excel files.
- Support to repair a batch of Excel files.
- Support integration with Windows Explorer, so you can repair xls file with the context menu of Windows Explorer easily.
- Support drag & drop operation.
- Support command line parameters.
Visit. Datanumen Official Site
Correccion de dos vulnerabilidades en google chrome
Google ha publicado una actualización de su navegador Google Chrome, para corregir dos vulnerabilidades que podrían llegar a permitir a un atacante remoto la ejecución de código arbitrario.
El primero de los problemas reside en un error de validación de entrada en el proceso del navegador. Un usuario remoto podría crear código HTML de forma que al ser cargado por el navegador provocaría un desbordamiento de búfer en InitSkBitmapFromData() y ejecutar código arbitrario en el sistema atacado.
El segundo de los problemas corregidos permitiría a un usuario remoto crear una imagen o un archivo canvas de forma específica para que al ser cargado por el navegador provoque un desbordamiento de búfer y la ejecución de código arbitrario dentro de la sandbox de Google Chrome.
Se recomienda comprobar que el navegador está actualizado a la última versión disponible.
El primero de los problemas reside en un error de validación de entrada en el proceso del navegador. Un usuario remoto podría crear código HTML de forma que al ser cargado por el navegador provocaría un desbordamiento de búfer en InitSkBitmapFromData() y ejecutar código arbitrario en el sistema atacado.
El segundo de los problemas corregidos permitiría a un usuario remoto crear una imagen o un archivo canvas de forma específica para que al ser cargado por el navegador provoque un desbordamiento de búfer y la ejecución de código arbitrario dentro de la sandbox de Google Chrome.
Se recomienda comprobar que el navegador está actualizado a la última versión disponible.
sábado, 9 de mayo de 2009
Google Updates Chrome Twice in One Week
Google Updates Chrome Twice in One Week
Google released two updates for its Chrome browser in two days. The first update addresses two security flaws. The first, described as
critical, is an input validation error in the bitmap data processing in the rendering process. It could be exploited to execute arbitrary code.
The second flaw is an integer multiplication checking bug in the Skia 2D graphics library that could be exploited to crash a browser tab or
execute code in the browser's sandbox. Chrome 1.0.154.64, which was released on Tuesday, May 5, reportedly caused crashes during startup for
some users; that issue was addressed in Chrome 1.0.154.65, released on Thursday, May 7.
Google released two updates for its Chrome browser in two days. The first update addresses two security flaws. The first, described as
critical, is an input validation error in the bitmap data processing in the rendering process. It could be exploited to execute arbitrary code.
The second flaw is an integer multiplication checking bug in the Skia 2D graphics library that could be exploited to crash a browser tab or
execute code in the browser's sandbox. Chrome 1.0.154.64, which was released on Tuesday, May 5, reportedly caused crashes during startup for
some users; that issue was addressed in Chrome 1.0.154.65, released on Thursday, May 7.
Microsoft Will Offer Fix for PowerPoint Vulnerability on May 12
Microsoft Will Offer Fix for PowerPoint Vulnerability on May 12
Microsoft's will release just one security bulletin on Tuesday, May 12.
The critical update will address a remote code execution vulnerability
in PowerPoint. Microsoft acknowledged the flaw in early April when it
issued an advisory warning that it was being used in "limited and
targeted attacks." The vulnerability affects PowerPoint 2000, 2002,
2003 and 2007. The small security release is good news for PC users,
as the same day, Adobe plans to will release security updates for Reader
and Acrobat.
Microsoft's will release just one security bulletin on Tuesday, May 12.
The critical update will address a remote code execution vulnerability
in PowerPoint. Microsoft acknowledged the flaw in early April when it
issued an advisory warning that it was being used in "limited and
targeted attacks." The vulnerability affects PowerPoint 2000, 2002,
2003 and 2007. The small security release is good news for PC users,
as the same day, Adobe plans to will release security updates for Reader
and Acrobat.
Windows 7 Release Candidate Has Disappointments and Improvements
Windows 7 Release Candidate Has Disappointments and Improvements
----------------------------
Microsoft's Windows 7 release candidate, which was made available earlier this week, is already disappointing some for not implementing certain changes that would improve security. There was hope that with Windows 7, Microsoft might change its long-standing practice of hiding file type extensions in Explorer, but the newest release still hides the extensions. The problem is that attackers can trick the system into displaying a file called, for example, name.txt.exe as a .txt file, which users would perceive as being safer than an .exe file. On a brighter note, the Windows 7 version of AutoPlay does not automatically run applications on external data devices except for CD/DVD players.
----------------------------
Microsoft's Windows 7 release candidate, which was made available earlier this week, is already disappointing some for not implementing certain changes that would improve security. There was hope that with Windows 7, Microsoft might change its long-standing practice of hiding file type extensions in Explorer, but the newest release still hides the extensions. The problem is that attackers can trick the system into displaying a file called, for example, name.txt.exe as a .txt file, which users would perceive as being safer than an .exe file. On a brighter note, the Windows 7 version of AutoPlay does not automatically run applications on external data devices except for CD/DVD players.
miércoles, 6 de mayo de 2009
Windows 7 Release Candidate... Troyano Incluido
La version pirata de windows 7 Release candidate contiene un trojan.
Los reportes indican que una version pirata de Windows 7 Release Candidate
disponible en sitios de intercambio ( fileshare, rapidshare) contiene malware.
El malware ha sido identificado por un usuario como "Falder Trojan", el cual
planta scareware en la PC donde se instale y usa un rootkit para evadir la
deteccion por soluciones antivirus. Microsoft esta planeando liberar
en Windows 7 Release Candidate el Martes 5 de Mayo. Tambien en este año,
copias pirata de iwork 09 de Apple se le encontro un malware que toma control
de la Mac.
Los reportes indican que una version pirata de Windows 7 Release Candidate
disponible en sitios de intercambio ( fileshare, rapidshare) contiene malware.
El malware ha sido identificado por un usuario como "Falder Trojan", el cual
planta scareware en la PC donde se instale y usa un rootkit para evadir la
deteccion por soluciones antivirus. Microsoft esta planeando liberar
en Windows 7 Release Candidate el Martes 5 de Mayo. Tambien en este año,
copias pirata de iwork 09 de Apple se le encontro un malware que toma control
de la Mac.
sábado, 21 de marzo de 2009
Blue Pill de Joanna Rutkowska - InvisibleThings
Joanna Rutkowska presentó a mediados de 2006 su Blue Pill, causando un gran revuelo. Rutkowska, experta en rootkits, aprovechó una (por entonces) nueva funcionalidad de los procesadores AMD para crear un rootkit indetectable en cualquier sistema operativo. En esta ocasión su equipo del Invisible Things Lab lo ha vuelto a hacer, esta vez aprovechando una funcionalidad de Intel.
Rutkowska creó en 2006 una prueba de concepto que demostró que todo sistema operativo que usase AMD con tecnología SVM/Pacifca (destinada a optimizar la virtualización a bajo nivel desde el procesador) heredaba un serio problema: cualquier software podía asumir un rol llamado "hypervisor". Este concepto se refiere a un nivel de control más alto incluso que el de supervisor, que es el nivel al que corre el sistema operativo.
Las arquitecturas de procesadores modernos utilizan el concepto de Ring (anillo) para especificar capas de seguridad desde las que se tienen distintos permisos de acceso a los recursos. El kernel y los drivers de sistema, están en el Ring0, el modo de ejecución de mayor privilegio para poder trabajar a bajo nivel con el hardware. Trabajar a tan bajo nivel implica que se tiene total control sobre la máquina y por tanto, una mayor responsabilidad (un fallo da al traste con el sistema operativo, por ejemplo, los famosos pantallazos azules suelen suceder por una mala instrucción de un controlador). El resto de programas corren en el Ring3 (los otros dos, aunque soportadas por las CPU, no se usan normalmente). El Ring3 un espacio en el que un fallo no resultaría tan crítico, porque no pueden acceder al hardware directamente, deben hacerlo a través de llamadas a sistema. MS-DOS, por ejemplo, carecía de este concepto. Todo corría bajo privilegios de Ring0, de ahí la inestabilidad general del sistema operativo ante cualquier fallo de cualquier programa.
Con la llegada de la virtualización, se define una capa con incluso más privilegios que el Ring0, el hypervisor. Por ejemplo, Vmware debe correr a un nivel hypervisor, mayor incluso que el sistema operativo que aloja, para poder ejecutar código en el entorno del Ring0 sin molestar al resto de sistemas operativos virtuales que puede alojar una máquina. Una especie de "paso atrás" que controla todo lo que tiene delante, el Ring -1 hundido en las raíces del sistema.
Rutkowska y su equipo acaban de publicar el documento técnico "Attacking SMM Memory via Intel CPU Cache Poisoning". System Management Mode (SMM) se refiere a un modo de operación más privilegiado en las arquitecturas x86. El SMM podría considerarse el Ring -2. SMM se ejecuta en la zona de memoria conocida como SMRAM. Se supone que el controlador de memoria solo debe permitir al firmware (la BIOS) acceder a esa zona de memoria. Una vez que la BIOS carga en esa parte el SMM, sólo el código que esté en ese "anillo" debería poder acceder a él. Lo que han descubierto es cómo acceder a esa zona, bajar dos niveles desde el Ring 0 (a través de un driver en el sistema Windows, o incluso siendo root en Linux) y ejecutar código con los privilegios de SMM. Con todo ese poder, una vez más y como ya demostró con Blue Pill, se puede crear un rootkit indetectable. Literalmente, el sistema operativo e incluso los drivers, todo, podría estar bajo el control de un atacante y hacer creer una total "mentira" al sistema basada en una ejecución de código capaz de controlar al más bajo nivel el sistema.
El mérito no es solo de Rutkowska, Loic Duflot, paralela e independiente, ha descubierto lo mismo. La investigadora también menciona como curiosidad que hace varios años, los propios empleados de Intel ya conocían el problema y que incluso estas debilidades fueron documentadas. De hecho, los detalles del fallo eran accesibles a través de Google. La propia Rutkowska se sorprende de que solo ellos y Loic Duflot hayan creado exploits para aprovechar este problema. Aprovechar el fallo es en la práctica aparentemente sencillo. Se deben modificar los registros MTRR para marcar como "escribible" la región donde está la SMRAM y transferir la ejecución al código SMM. Básicamente se trata de machacar esa memoria y ejecutar ese código. En Linux, en la práctica, el usuario root puede hacerlo modificando /proc/mtrr y en Windows a través de un driver.
Las placas Intel DQ35 son vulnerables, aunque no las DQ45. Intel ampliará su documentación sobre las placas con contramedidas para evitar el ataque.
Este modo de incrustarse en las raíces del sistema, aunque elaborado e ingenioso, es complicado que se lleve a la práctica fuera de un laboratorio.martes, 3 de febrero de 2009
Internet Explorer 8 y su ClickJacking
Microsoft, Internet Explorer 8, Windows Vista, Windows XP.
Si bien el nuevo navegador de Microsoft, el Internet Explorer 8, promete grandes cambios en cuanto a (in)seguridad se refiere. Uno de estos cambios, sin embargo no es muy bien criticado por algunos. Porque?.
1.- Esta característica está deshabilitada por default.
2.- Desde el punto de vista de desarrollo, la pagina web tiene que estar habilitada para tags especiales. Si, pero estos tags solo trabajan con IE8, y aquí está el problema.
3.- Y la más fuerte de todas, como hacer que el usuario deje de hacer "clicks" en cualquier lugar de la página?. Si áun cunado esta es visible, existen muchos métodos para engañarlo.
De nuevo, todo lo que va en mejora de la seguridad es bienvenida, pero... podrán cambiar/concientizar al usuario final.
IE8 proporciona a los sitios una forma para explicitamente deshabiltar los frames, pero no es del todo bueno desde el punto de vista del diseñador. Peor aún, como conoce un usuario que una determinada página está habilitada para para usar esta nueva herramienta?.
Por último, ya que la protección del IE8 es limitada y el número de usuarios no es tan grande aún (si considerable), hay muy poco incentivo por parte de los desarrolladores web para implementar estas nuevas caracteristicas propuestas por Microsoft.
Si bien el nuevo navegador de Microsoft, el Internet Explorer 8, promete grandes cambios en cuanto a (in)seguridad se refiere. Uno de estos cambios, sin embargo no es muy bien criticado por algunos. Porque?.
1.- Esta característica está deshabilitada por default.
2.- Desde el punto de vista de desarrollo, la pagina web tiene que estar habilitada para tags especiales. Si, pero estos tags solo trabajan con IE8, y aquí está el problema.
3.- Y la más fuerte de todas, como hacer que el usuario deje de hacer "clicks" en cualquier lugar de la página?. Si áun cunado esta es visible, existen muchos métodos para engañarlo.
De nuevo, todo lo que va en mejora de la seguridad es bienvenida, pero... podrán cambiar/concientizar al usuario final.
IE8 proporciona a los sitios una forma para explicitamente deshabiltar los frames, pero no es del todo bueno desde el punto de vista del diseñador. Peor aún, como conoce un usuario que una determinada página está habilitada para para usar esta nueva herramienta?.
Por último, ya que la protección del IE8 es limitada y el número de usuarios no es tan grande aún (si considerable), hay muy poco incentivo por parte de los desarrolladores web para implementar estas nuevas caracteristicas propuestas por Microsoft.
jueves, 22 de enero de 2009
Aero Theme en Windows 7
Existe una version Beta de Windows 7, Sistema Operativo más reciente de Microsoft, basado en el Kernel de Windows 2008 Server, lista para descargarse desde la página de www.microsoft.com.
Lamentablemente no cumplo con los requerimientos de hardware necesarios para que me funcione el theme Aero (1 GB de memoria), por los tanto opté por habilitarlo desde el registro.
Para esto es necesario editar el registro ( Ejecutar -> regedit)
1.- Navegar hasta la siguiente clave [HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM]
2.- En el panel derecho,crear las siguientes entradas de tipo DWORD.
UseMachineCheck = DWORD -> 0
Blur = DWORD -> 0
Animations = DWORD -> 0
3.- Cerrar el regedit.
--- Opcional ----------------------------------------------
4.- Abrir la Consola (cmd) con privilegios administrativos. Es decir, si esta como un usuario del Grupo de Invitados.
4a.- Reiniciar el servicio uxsms. En la linea de comandos:
net stop uxsms
net start uxsms
-----------------------------------------------------------
5.- Reiniciar el servicio uxsms a través de Herramientas Administrativas.
6.- Habilitar Aero ( Escitorio -> click derecho -> Personalizar -> Colores de Windows)
Este hack solamente funciona en instalaciones diferentes al Wmware Player. Enjoy!.
Lamentablemente no cumplo con los requerimientos de hardware necesarios para que me funcione el theme Aero (1 GB de memoria), por los tanto opté por habilitarlo desde el registro.
Para esto es necesario editar el registro ( Ejecutar -> regedit)
1.- Navegar hasta la siguiente clave [HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM]
2.- En el panel derecho,crear las siguientes entradas de tipo DWORD.
UseMachineCheck = DWORD -> 0
Blur = DWORD -> 0
Animations = DWORD -> 0
3.- Cerrar el regedit.
--- Opcional ----------------------------------------------
4.- Abrir la Consola (cmd) con privilegios administrativos. Es decir, si esta como un usuario del Grupo de Invitados.
4a.- Reiniciar el servicio uxsms. En la linea de comandos:
net stop uxsms
net start uxsms
-----------------------------------------------------------
5.- Reiniciar el servicio uxsms a través de Herramientas Administrativas.
6.- Habilitar Aero ( Escitorio -> click derecho -> Personalizar -> Colores de Windows)
Este hack solamente funciona en instalaciones diferentes al Wmware Player. Enjoy!.
Windows XP Home a Profesional - Como Cambiarlo?
En horas pasadas me vi en la necesidad de crear un CD de recuperación para Windows XP, lamentablente solo la versión HOME tenía instalada. ¿Como convertir la version Home a Profesional?. Ya que varias de las herramientas solo están en la versión profesional. He aquí el procedimiento.
1. Copiar el directorio raiz y el i386 del CD de Windows XP a una ubicación del disco duro (para ejemplo usaremos c:\winxpcd)
2.- Extraer el sector de arranque del CD cd Windows XP. IsoBuster, entre otros, funciona.
3.- Iniciar el editor de registro (regedit). Ejecutar -: regedit
4.- Seleccionar la clave HKEY_LOCAL_MACHINE
5.- Archivo -> Cargar hive y seleccionar el archivo setupreg.hiv ubicado en el directorio c:\winxpcd\i386. También puede hacerse desde la ubicacion i386 del CD.
6.- Navegar hasta la siguiente clave del registro:
[HKEY_LOCAL_MACHINE\HomeKey\ControlSet001\Services\setupdd]
7.- Editar la clave DEFAULT y cambiar los siguientes valores:
01 -> 00
02 -> 00
8.- Cambiar el valor de HOMEKEY con cualquier otro cosa.
9.- Seleccione HOMEKEY y elija Archivo -> Unload Hive.
10. Salir del regedit. Listo!.
NOta. Todo lo que haga esta bajo su responsabilidad y no se garantiza el procedimiento. Asegúrese de hacer sus respaldos correspondientes o bien probar con una instalación de laboratorio. Una vez conseguido el objetivo puede hacer disco de restauración, recuperación.
1. Copiar el directorio raiz y el i386 del CD de Windows XP a una ubicación del disco duro (para ejemplo usaremos c:\winxpcd)
2.- Extraer el sector de arranque del CD cd Windows XP. IsoBuster, entre otros, funciona.
3.- Iniciar el editor de registro (regedit). Ejecutar -: regedit
4.- Seleccionar la clave HKEY_LOCAL_MACHINE
5.- Archivo -> Cargar hive y seleccionar el archivo setupreg.hiv ubicado en el directorio c:\winxpcd\i386. También puede hacerse desde la ubicacion i386 del CD.
6.- Navegar hasta la siguiente clave del registro:
[HKEY_LOCAL_MACHINE\HomeKey\ControlSet001\Services\setupdd]
7.- Editar la clave DEFAULT y cambiar los siguientes valores:
01 -> 00
02 -> 00
8.- Cambiar el valor de HOMEKEY con cualquier otro cosa.
9.- Seleccione HOMEKEY y elija Archivo -> Unload Hive.
10. Salir del regedit. Listo!.
NOta. Todo lo que haga esta bajo su responsabilidad y no se garantiza el procedimiento. Asegúrese de hacer sus respaldos correspondientes o bien probar con una instalación de laboratorio. Una vez conseguido el objetivo puede hacer disco de restauración, recuperación.
Enable or Disable Autorun
Overview
Disabling AutoRun on Microsoft Windows systems can help prevent the spread of malicious code. However, Microsoft's guidelines for disabling AutoRun are not fully effective, which could be considered a vulnerability.
I. Description
Microsoft Windows includes an AutoRun feature, which can automatically run code when removable devices are connected to the computer. AutoRun (and the closely related AutoPlay) can unexpectedly cause arbitrary code execution in the following situations:
* A removable device is connected to a computer. This includes, but
is not limited to, inserting a CD or DVD, connecting a USB or
Firewire device, or mapping a network drive. This connection can
result in code execution without any additional user interaction.
* A user clicks the drive icon for a removable device in Windows
Explorer. Rather than exploring the drive's contents, this action
can cause code execution.
* The user selects an option from the AutoPlay dialog that is
displayed when a removable device is connected. Malicious
software, such as W32.Downadup, is using AutoRun to
spread. Disabling AutoRun, as specified in the CERT/CC
Vulnerability Analysis blog, is an effective way of helping to
prevent the spread of malicious code.
The Autorun and NoDriveTypeAutorun registry values are both
ineffective for fully disabling AutoRun capabilities on Microsoft
Windows systems. Setting the Autorun registry value to 0 will not
prevent newly connected devices from automatically running code
specified in the Autorun.inf file. It will, however, disable Media
Change Notification (MCN) messages, which may prevent Windows from
detecting when a CD or DVD is changed. According to Microsoft,
setting the NoDriveTypeAutorun registry value to 0xFF "disables
Autoplay on all types of drives." Even with this value set, Windows
may execute arbitrary code when the user clicks the icon for the
device in Windows Explorer.
II. Impact
By placing an Autorun.inf file on a device, an attacker may be able
to automatically execute arbitrary code when the device is
connected to a Windows system. Code execution may also take place
when the user attempts to browse to the software location with
Windows Explorer.
III. Solution
Disable AutoRun in Microsoft Windows
To effectively disable AutoRun in Microsoft Windows, import the
following registry value:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
To import this value, perform the following steps:
* Copy the text
* Paste the text into Windows Notepad
* Save the file as autorun.reg
* Navigate to the file location
* Double-click the file to import it into the Windows registry
Microsoft Windows can also cache the AutoRun information from
mounted devices in the MountPoints2 registry key. We recommend
restarting Windows after making the registry change so that any
cached mount points are reinitialized in a way that ignores the
Autorun.inf file. Alternatively, the following registry key may be
deleted:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Once these changes have been made, all of the AutoRun code
execution scenarios described above will be mitigated because
Windows will no longer parse Autorun.inf files to determine which
actions to take. Further details are available in the
CERT/CC Vulnerability Analysis blog. Thanks to Nick Brown and Emin
Atac for providing the workaround.
Disabling AutoRun on Microsoft Windows systems can help prevent the spread of malicious code. However, Microsoft's guidelines for disabling AutoRun are not fully effective, which could be considered a vulnerability.
I. Description
Microsoft Windows includes an AutoRun feature, which can automatically run code when removable devices are connected to the computer. AutoRun (and the closely related AutoPlay) can unexpectedly cause arbitrary code execution in the following situations:
* A removable device is connected to a computer. This includes, but
is not limited to, inserting a CD or DVD, connecting a USB or
Firewire device, or mapping a network drive. This connection can
result in code execution without any additional user interaction.
* A user clicks the drive icon for a removable device in Windows
Explorer. Rather than exploring the drive's contents, this action
can cause code execution.
* The user selects an option from the AutoPlay dialog that is
displayed when a removable device is connected. Malicious
software, such as W32.Downadup, is using AutoRun to
spread. Disabling AutoRun, as specified in the CERT/CC
Vulnerability Analysis blog, is an effective way of helping to
prevent the spread of malicious code.
The Autorun and NoDriveTypeAutorun registry values are both
ineffective for fully disabling AutoRun capabilities on Microsoft
Windows systems. Setting the Autorun registry value to 0 will not
prevent newly connected devices from automatically running code
specified in the Autorun.inf file. It will, however, disable Media
Change Notification (MCN) messages, which may prevent Windows from
detecting when a CD or DVD is changed. According to Microsoft,
setting the NoDriveTypeAutorun registry value to 0xFF "disables
Autoplay on all types of drives." Even with this value set, Windows
may execute arbitrary code when the user clicks the icon for the
device in Windows Explorer.
II. Impact
By placing an Autorun.inf file on a device, an attacker may be able
to automatically execute arbitrary code when the device is
connected to a Windows system. Code execution may also take place
when the user attempts to browse to the software location with
Windows Explorer.
III. Solution
Disable AutoRun in Microsoft Windows
To effectively disable AutoRun in Microsoft Windows, import the
following registry value:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
To import this value, perform the following steps:
* Copy the text
* Paste the text into Windows Notepad
* Save the file as autorun.reg
* Navigate to the file location
* Double-click the file to import it into the Windows registry
Microsoft Windows can also cache the AutoRun information from
mounted devices in the MountPoints2 registry key. We recommend
restarting Windows after making the registry change so that any
cached mount points are reinitialized in a way that ignores the
Autorun.inf file. Alternatively, the following registry key may be
deleted:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Once these changes have been made, all of the AutoRun code
execution scenarios described above will be mitigated because
Windows will no longer parse Autorun.inf files to determine which
actions to take. Further details are available in the
CERT/CC Vulnerability Analysis blog. Thanks to Nick Brown and Emin
Atac for providing the workaround.
viernes, 9 de enero de 2009
Windows-XP-Vista-Hacks-Tricks
Hi everyone. This blog primarily post Windows Vista/2008/XP/2000 tricks, hacks, and notes.
For example, we explain the boot sequence process, how to custom an installation, how to protect again virus, malware, Trojan, spyware, rootkits.
For example, we explain the boot sequence process, how to custom an installation, how to protect again virus, malware, Trojan, spyware, rootkits.
Suscribirse a:
Entradas (Atom)
