Hispasec @unaaldia

Actualización de seguridad para QuickTime

noreply@blogger.com (Hispasec) — Thu, 23 May 2013 21:56:00 +0000

Apple ha publicado una nueva versión de QuickTime (la 7.7.4), que solventa 12 problemas de seguridad en su versión para Windows.

Quick Time es un software desarrollado por Apple que permite la visualización de varios formatos de imágenes y la reproducción de múltiples formatos de audio y vídeo.

Las vulnerabilidades han sido catalogadas desde el CVE-2013-1015 hasta el CVE-2013-1022 y desde el CVE-2013-0986 hasta el CVE-2013-0989 (todos incluidos) que podrían permitir la ejecución de código en el equipo afectado y son las que se detallan a continuación.

En el procesamiento de los metadatos ha corregido un desbordamiento al procesar el metadato 'mvhd' y otros dos desbordamientos al procesar los metadatos 'dref' y 'enof'.

En el procesamiento de imágenes se ha corregido una corrupción de memoria y un desbordamiento de memoria al procesar los ficheros JPEG, una corrupción de memoria en el procesamiento de los ficheros QTIF, y un desbordamiento de memoria al procesar los ficheros FPX.

En el procesamiento de vídeos se han corregido tres desbordamientos, uno en los vídeos con codificación Sorenson, otro en la codificación H.264 y otro en la codificación H.263

También se ha corregido un último desbordamiento en el manejo de los ficheros MP3, y una corrupción de memoria al procesar los ficheros TeXML.

Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde http://www.apple.com/quicktime/download/

Más información:

About the security content of QuickTime 7.7.4

http://support.apple.com/kb/HT5770

Jose Ignacio Palacios Ortega

jipalacios@hispasec.com

Nueva versión de Google Chrome corrige 14 vulnerabilidades

noreply@blogger.com (Hispasec) — Wed, 22 May 2013 11:25:00 +0000

Google ha publicado una nueva versión de su navegador Chrome con la versión 27.0.1453.93, para todas las plataformas (Windows, Mac, Linux y Chrome Frame), que además de incluir nuevas funcionalidades y mejoras corrige 14 nuevas vulnerabilidades, 11 de ellas con un nivel de gravedad alto.

Según el aviso de Google, las páginas se cargan ahora un 5% más rápido de media, se ha incluido la API chrome.syncFileSystem y se han mejorado la clasificación de predicciones y la corrección gramatical, así como mejoras fundamentales para las predicciones Omnibox.

Las vulnerabilidades de gravedad alta residen en el uso de punteros después de ser liberados en SVG (CVE-2013-2837), en el cargador de medios (CVE-2013-2840 y CVE-2013-2846), en el tratamiento de recursos Pepper (CVE-2013-2841), en el tratamiento de widgets (CVE-2013-2842), en el tratamiento de voz (CVE-2013-2843), en resolución de estilos (CVE-2013-2844), en workers (CVE-2013-2847), problemas de seguridad en memoria en Web Audio (CVE-2013-2845), en el manejo del portapapeles (CVE-2013-2839) y otros fallos que pueden permitir la explotación (CVE-2013-2836).

De nivel medio una lectura fuera de límites en v8 (CVE-2013-2838), y una posible extracción de datos con XSS Auditor (CVE-2013-2848). Por último, de gravedad baja un posible cross site scripting al arrastrar y soltar o al copiar y pegar (CVE-2013-2849).

Google recuerda que parte de las vulnerabilidades solucionadas fueron detectadas a través de su proyecto público de detección de errores en memoria para aplicaciones escritas en C/C++: AddressSanitizer.

http://code.google.com/p/address-sanitizer/wiki/AddressSanitizer

Esta nueva versión, también incluye una versión actualizada de Adobe Flash 11.7.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía estas vulnerabilidades han supuesto un total de 14.633,7 dólares en recompensas a los descubridores de los problemas.

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2013/05/stable-channel-release.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Publicada la sexta conferencia TASSI "Del disco flexible a la nube: pasado, presente y futuro de la informática forense"

noreply@blogger.com (Hispasec) — Tue, 21 May 2013 16:04:00 +0000

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la sexta conferencia del IX Ciclo UPM TASSI 2013 con el título "Del disco flexible a la nube: pasado, presente y futuro de la informática forense", impartida en el Campus Sur de la UPM el 8 de mayo de 2013 por D. Javier Pagès, Director de Informática Forense S.L.

http://www.youtube.com/watch?v=LGcMDgWXJKQ

En la sección Conferencias TASSI del servidor web de Criptored encontrará la presentación en pdf utilizada por el ponente, así como todas las conferencias de este noveno y anteriores ciclos UPM TASSI.

http://www.criptored.upm.es/paginas/docencia.htm#TASSI2013

Jorge Ramió

Wireshark corrige nueve vulnerabilidades

noreply@blogger.com (Hispasec) — Mon, 20 May 2013 09:02:00 +0000

Se ha publicado nueve boletines de seguridad para Wireshark que alertan y corrigen otras tantas vulnerabilidades para este software.

Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Las nueve vulnerabilidades corregidas pueden ser aprovechadas para hacer que el software sufra una denegación de servicio, bien dejando de funcionar, bien consumiendo todos los recursos de la máquina.

En escenarios en los que se estén monitorizando ataques de red con Wireshark, estos fallos pueden permitir al potencial atacante neutralizar al software antes de lanzar el ataque real y así pasar desapercibido.

Como es habitual, estos fallos se pueden aprovechar por medio de dos vectores: mediante la inyección de un código especialmente manipulado en la interfaz en la que el software esté analizando el tráfico, o por medio de un fichero de captura de tráfico y que sea procesado por el programa.

Los disectores vulnerables son los siguientes: "GTPv2", "ASN.1 BER", "PPP CCP", "DCP ETSI", "MPEG DSM-CC", "Websocket", "MySQL" y "ETCH" en las versiones anteriores a 1.8.7 y 1.6.15.

Más información:

Wireshark Security Advisories

http://www.wireshark.org/security/

Jose Ignacio Palacios Ortega

jipalacios@hispasec.com

Denegación de servicio y potencial ejecución de código en Xen

noreply@blogger.com (Hispasec) — Sun, 19 May 2013 10:11:00 +0000

Se ha encontrado un fallo de seguridad en Xen que podría permitir a un atacante provocar una denegación de servicio o incluso ejecutar código en la máquina anfitriona.

Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles.

El error encontrado consiste en un fallo a la hora de filtrar parámetros en las llamadas a 'xc_vcpu_setaffinity' desde python. Si se asigna afinidad vcpu a máquinas virtuales de cierta forma, el fallo provocado podría ser aprovechado para causar un desbordamiento de buffer y corrupción de memoria.

Un atacante con acceso para configurar los parámetros de CPU en las máquinas virtuales podría explotar esta vulnerabilidad y causar una denegación de servicio, aunque no se descarta del todo la posibilidad de ejecución de código o elevación de privilegios.

Afecta a Xen 4.0 y posteriores, aunque solo a sistemas que usen libxc python bindings, aquellos que no usan python como xl o xapi, no son vulnerables.

Para subsanar el error, se recomienda aplicar el parche adjunto al boletín oficial de Xen.

Más información:

Xen Security Advisory 56 (CVE-2013-2072) - Buffer overflow in

xencontrol Python bindings affecting xend

http://lists.xen.org/archives/html/xen-announce/2013-05/msg00004.html

xsa56.patch

http://lists.xen.org/archives/html/xen-announce/2013-05/binV8eiX59nX8.bin

Fernando Castillo

fcastillo@hispasec.com

Publicada la quinta conferencia TASSI Seguridad en sistemas: "explotando vulnerabilidades" D. Alejandro Ramos

noreply@blogger.com (Hispasec) — Sat, 18 May 2013 10:45:00 +0000

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la quinta conferencia del IX Ciclo UPM TASSI 2013 con el título "Seguridad en sistemas: explotando vulnerabilidades", impartida en el Campus Sur de esta universidad el 17 de abril de 2013 por D. Alejandro Ramos, Security By Default.

http://www.youtube.com/watch?v=vKSMbOdW2p4

En la sección Conferencias TASSI del servidor web de Criptored encontrarás la presentación en pdf y otros documentos multimedia utilizados por el ponente, así como todas las conferencias de este noveno y anteriores ciclos UPM TASSI.

http://www.criptored.upm.es/paginas/docencia.htm#TASSI2013

Jorge Ramió

Boletines de seguridad de productos Mozilla corrigen 15 vulnerabilidades

noreply@blogger.com (Hispasec) — Fri, 17 May 2013 07:41:00 +0000

La Fundación Mozilla ha publicado ocho boletines de seguridad (tres críticos, cuatro altos, uno moderado) que en total corrigen 15 vulnerabilidades que afectan al navegador Firefox y al gestor de correo Thunderbird. Se detallan a continuación:

MFSA 2013-41: Corrige dos vulnerabilidades de corrupción de memoria que podrían permitir la ejecución de código (CVE-2013-0801 y CVE-2013-1669).
MFSA 2013-42: Corrige una vulnerabilidad en Chrome Object Wrappers (COW) que permitiría ataques cross-site scripting (CVE-2013-1670).
MFSA 2013-43: Corrige una vulnerabilidad full path disclosure en la entrada HTML (CVE-2013-1671).
MFSA 2013-44: Corrige una vulnerabilidad en Mozilla Maintenance Service que podría causar elevación de privilegios (CVE-2013-1672).
MFSA 2013-45: Corrige dos vulnerabilidades en Mozilla Updater que podrían causar elevación de privilegios (CVE-2013-1673 y CVE-2012-1942).
MFSA 2013-46: Corrige una vulnerabilidad use-after-free que podría permitir ejecutar código arbitrario (CVE-2013-1674).
MFSA 2013-47: Corrige una vulnerabilidad en funciones DOMSVGZoomEvent que permitiría revelar información sensible (CVE-2013-1675).
MFSA 2013-48: Corrige seis vulnerabilidades de lectura fuera de límites, escritura no válida y use-after-free que podrían causar ejecución de código arbitrario. Las funciones donde se encuentran los errores son las siguientes: 'SelectionIterator::GetNextSegment', 'gfxSkipCharsIterator::SetOffsets', '_cairo_xlib_surface_add_glyph', 'mozilla::plugins::child::_geturlnotify', 'nsFrameList::FirstChild', 'nsContentUtils::RemoveScriptBlocker'.

Se recomienda actualizar a Firefox 21.0 o Firefox ESR 17.0.6, Thunderbird 17.0.6 o Thunderbird ESR 17.0.6

Más información:

MFSA 2013-48 Memory corruption found using Address Sanitizer

http://www.mozilla.org/security/announce/2013/mfsa2013-48.html

MFSA 2013-47 Uninitialized functions in DOMSVGZoomEvent

http://www.mozilla.org/security/announce/2013/mfsa2013-47.html

MFSA 2013-46 Use-after-free with video and onresize event

http://www.mozilla.org/security/announce/2013/mfsa2013-46.html

MFSA 2013-45 Mozilla Updater fails to update some Windows Registry entries

http://www.mozilla.org/security/announce/2013/mfsa2013-45.html

MFSA 2013-44 Local privilege escalation through Mozilla Maintenance Service

http://www.mozilla.org/security/announce/2013/mfsa2013-44.html

MFSA 2013-43 File input control has access to full path

http://www.mozilla.org/security/announce/2013/mfsa2013-43.html

MFSA 2013-42 Privileged access for content level constructor

www.mozilla.org/security/announce/2013/mfsa2013-42.html

MFSA 2013-41 Miscellaneous memory safety hazards (rv:21.0 / rv:17.0.6)

http://www.mozilla.org/security/announce/2013/mfsa2013-41.html

Fernando Castillo

fcastillo@hispasec.com

Boletines de seguridad de Adobe para mayo

noreply@blogger.com (Hispasec) — Thu, 16 May 2013 11:26:00 +0000

Adobe ha publicado tres boletines de seguridad en los que ha corregido un total de 42 vulnerabilidades para los productos ColdFusion, Flash Player , Reader y Acrobat.

Los boletines se detallan a continuación:

APSB13-13: Corrige dos vulnerabilidades en Adobe ColdFusion, con CVE-2013-1389 que permite ejecución remota de código. Por otro lado, CVE-2013-3336 permite la descarga de archivos no autorizados a usuarios.
Afecta a ColdFusion 10, 9.0.2, 9.0.1 y 9.0 para Windows, Macintosh y UNIX.
APSB13-14: Corrige trece vulnerabilidades en Adobe Flash Player. Todas son corrupciones de memoria que podrían permitir la ejecución remota de código. Afecta a Adobe Flash Player 11.7.700.169 y anteriores para Windows y Macintosh, Adobe Flash Player 11.2.202.280 y anteriores para Linux, Adobe Flash Player 11.1.115.54 y anteriores para Android 4.x, Adobe Flash Player 11.1.111.50 y anteriores para Android 3.x y 2.x, Adobe AIR 3.7.0.1530 y anteriores para Windows y Macintosh, Adobe AIR 3.7.0.1660 anteriores para Android y por último, Adobe AIR 3.7.0.1530 SDK & Compiler y anteriores.
APSB13-15: Corrige un total de veintisiete vulnerabilidades en Adobe Reader y Acrobat. La mayoría se deben a desbordamiento de memoria intermedia, ya sea en pila o entero. Existen otras de salto de restricciones, use-after-free con elevación de privilegios y revelación de información sensible a través de Javascript API. Este fallo afecta a Adobe Reader y Acrobat XI (11.0.02) y anteriores para Windows y Macintosh, Adobe Reader y Acrobat X (10.1.6) y anteriores para Windows y Macintosh, Adobe Reader y Acrobat 9.5.4 y anteriores para Windows, Macintosh y Linux.

Se recomienda se actualicen los productos anteriormente mencionados a sus últimas versiones.

Más información:

Adobe Security Bulletins Posted

http://blogs.adobe.com/psirt/2013/05/adobe-security-bulletins-posted-7.html

APSB13-13 - Security update: Hotfix available for ColdFusion

http://www.adobe.com/support/security/bulletins/apsb13-13.html

APSB13-14 - Security updates available for Adobe Flash Player

http://www.adobe.com/support/security/bulletins/apsb13-14.html

APSB13-15 - Security updates available for Adobe Reader and Acrobat

http://www.adobe.com/support/security/bulletins/apsb13-15.html

Fernando Castillo

fcastillo@hispasec.com

Vulnerabilidad en el kernel Linux permite elevación de privilegios

noreply@blogger.com (Hispasec) — Wed, 15 May 2013 09:47:00 +0000

El pasado mes de abril, un mensaje en la lista del kernel Linux alertaba de un fallo de seguridad en la función 'sw_perf_event_destroy' de kernel/events/core.c. Su autor, Tommi Rantala, comentaba que lo había encontrado ejecutando una versión de Trinity modificada por él mismo. Se trata de una herramienta para emplear técnicas de fuzzing en las llamadas al sistema que proporciona el kernel Linux.

El fallo se encuentra en el subsistema 'perf' que permite obtener métricas de rendimiento del hardware. Al ejecutar un conjunto de llamadas con parámetros aleatorios, Rantala consiguió provocar un "kernel Oops" (una especie de excepción en el kernel). En la salida de registro de Trinity podían observarse las líneas que contenían la sospecha de un problema de seguridad:

[114607.069257] BUG: unable to handle kernel paging request at

0000000383c35328

[114607.070003] IP: [<ffffffff811a7200>] sw_perf_event_destroy+0x30/0x90

Básicamente, antes de la llamada a 'sw_perf_event_destroy' existe una llamada a 'perf_swevent_init', donde se inicializa un entero con signo al valor de event->attr.config, procedente del puntero a la estructura *event:

static int perf_swevent_init(struct perf_event *event)

{

int event_id = event->attr.config;

if (event->attr.type != PERF_TYPE_SOFTWARE)

return -ENOENT;

Posteriormente, se hace una llamada a 'sw_perf_event_destroy' y aquí ese valor entero con signo es tratado como un entero sin signo de 64 bits:

static void sw_perf_event_destroy(struct perf_event *event)

{

u64 event_id = event->attr.config;

WARN_ON(event->parent);

static_key_slow_dec(&perf_swevent_enabled[event_id]);

swevent_hlist_put(event);

}

Como en 'perf_swevent_init' el entero es tratado con signo, solo es comprobado en su límite superior, dejando abierta la posibilidad de que se introduzca un entero negativo que posteriormente en 'sw_perf_event_destroy', al ser "convertido" en u64, nos dará un entero positivo.

Debido a que el valor de event->attr.config es controlable por el usuario, cuando se efectua la llamada al sistema correspondiente mediante la estructura 'perf_event_attr', es posible mapear una zona de memoria y obtener el control de la misma haciendo que se apunte a esa dirección. Si se llega a ejecutar nuestra zona de memoria con un shellcode instalado allí, este se ejecutaría con permisos de root.

Petr Matousek da una explicación completa y de recomendable estudio en la lista de bugzilla de Red Hat.

El parche fue añadido al repositorio del kernel el mismo mes. Básicamente consiste en promover la variable 'event_id' al tipo 'u64', evitando así la falta de una comprobación apropiada:

static int perf_swevent_init(struct perf_event *event)

{

- int event_id = event->attr.config;

+ u64 event_id = event->attr.config;

if (event->attr.type != PERF_TYPE_SOFTWARE)

return -ENOENT;

El fallo fue reportado en abril, y pasó un poco de puntillas por la lista de desarrolladores, sin levantar demasiado revuelo. Pero parece que no pasó tan desapercibido para todo el mundo. Un poco más tarde, en mayo, un tercero hizo público un exploit para aprovechar la vulnerabilidad. Este hecho es el que realmente ha sacado a la luz que el fallo, es en realidad un grave problema de seguridad.

El CVE asignado es el CVE-2013-2094. Afectaría a todos los kernels (de 64 bits) desde la versión 2.6.37 a la 3.8.8 que hayan sido compilados con la opción CONFIG_PERF_EVENTS.

Más información:

Trinity

http://codemonkey.org.uk/projects/trinity/

Linux kernel oops

http://en.wikipedia.org/wiki/Linux_kernel_oops

Performance counter subsystem

https://perf.wiki.kernel.org/index.php/Main_Page

CVE-2013-2094 kernel: perf_swevent_enabled array out-of-bound access

https://bugzilla.redhat.com/show_bug.cgi?id=962792#c16

Commit del parche en el repositorio del kernel Linux

http://bit.ly/1833rsM

Exploit

http://fucksheep.org/~sd/warez/semtex.c

David García

dgarcia@hispasec.com

@dgn1729

Boletines de seguridad de Microsoft en mayo

noreply@blogger.com (Hispasec) — Tue, 14 May 2013 03:19:00 +0000

Este martes Microsoft ha publicado diez boletinesde seguridad (del MS13-037 al MS13-046) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico" y los ocho restantes son "importantes". En total se han resuelto 33 vulnerabilidades.

MS13-037: Actualización acumulativa para Microsoft Internet Explorer, considerada "crítica", que además soluciona 11 nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer desde la versión 6 a la 10.
MS13-038: Boletín considerado "crítico" resuelve una vulnerabilidad en Microsoft Internet Explorer. Afecta a Internet Explorer 8 y 9.
MS13-039: Este boletín está calificado como "importante" y soluciona una vulnerabilidad (con CVE-2013-1305) de denegación de servicio a través de http.sys. Afecta a Windows Server 2012, Windows 8 y Windows RT.
MS13-040: Destinado a corregir dos vulnerabilidades "importantes" en .NET Framework que podrían permitir la suplantación de identidad si una aplicación .NET recibe un archivo XML especialmente diseñado. Afecta a Windows XP, Vista, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows 7, Windows 8 y Windows RT.
MS13-041: Boletín de carácter "importante" (con CVE-2013-1302) destinado a corregir una vulnerabilidad en Microsoft Lync.
MS13-042: Corrige 11 vulnerabilidades en Microsoft Publisher que podrían permitir la ejecución remota de código.
MS13-043: Boletín "importante" que resuelve una vulnerabilidad de ejecución remota de código en Microsoft Office 2003 (concretamente a través de Microsoft Word).
MS13-044: Corrige una vulnerabilidad de divulgación de información en Microsoft Visio.
MS13-045: Corrige una vulnerabilidad de divulgación de información en Windows Essentials, si un usuario abre Windows Writer mediante una URL especialmente diseñada.
MS13-046: Destinado a corregir tres vulnerabilidades en los controladores modo kernel podrían permitir la elevación de privilegios. Afecta a Windows XP, Vista, Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows 7, Windows 8 y Windows RT.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Resumen del boletín de seguridad de Microsoft de mayo 2013

http://technet.microsoft.com/es-es/security/bulletin/ms13-may

Boletín de seguridad de Microsoft MS13-037 - Crítica

Actualización de seguridad acumulativa para Internet Explorer (2829530)

https://technet.microsoft.com/es-es/security/bulletin/ms13-037

Boletín de seguridad de Microsoft MS13-038 - Crítica

Actualización de seguridad para Internet Explorer (2847204)

https://technet.microsoft.com/es-es/security/bulletin/ms13-038

Boletín de seguridad de Microsoft MS13-039 - Importante

Una vulnerabilidad en HTTP.sys podría permitir la denegación de servicio (2829254)

https://technet.microsoft.com/es-es/security/bulletin/ms13-039

Boletín de seguridad de Microsoft MS13-040 - Importante

Vulnerabilidades en .NET Framework podrían permitir la suplantación de identidad (2836440)

https://technet.microsoft.com/es-es/security/bulletin/ms13-040

Boletín de seguridad de Microsoft MS13-041 - Importante

Una vulnerabilidad en Lync podría permitir la ejecución remota de código (2834695)

https://technet.microsoft.com/es-es/security/bulletin/ms13-041

Boletín de seguridad de Microsoft MS13-042 - Importante

Vulnerabilidades en Microsoft Publisher podrían permitir la ejecución remota de código (2830397)

https://technet.microsoft.com/es-es/security/bulletin/ms13-042

Boletín de seguridad de Microsoft MS13-043 - Importante

Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (2830399)

https://technet.microsoft.com/es-es/security/bulletin/ms13-043

Boletín de seguridad de Microsoft MS13-044 - Importante

Una vulnerabilidad en Microsoft Visio podría permitir la divulgación de información (2834692)

https://technet.microsoft.com/es-es/security/bulletin/ms13-044

Boletín de seguridad de Microsoft MS13-045 - Importante

Una vulnerabilidad en Windows Essentials podría permitir la divulgación de información (2813707)

https://technet.microsoft.com/es-es/security/bulletin/ms13-045

Boletín de seguridad de Microsoft MS13-046 - Importante

Vulnerabilidades en los controladores modo kernel podrían permitir la elevación de privilegios (2840221)

https://technet.microsoft.com/es-es/security/bulletin/ms13-046

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Conferencia UPM TASSI "Gobernando la seguridad hacia los objetivos corporativos" de D. Antonio Ramos

noreply@blogger.com (Hispasec) — Mon, 13 May 2013 16:35:00 +0000

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la cuarta conferencia del IX Ciclo UPM TASSI 2013 con el título "Gobernando la seguridad hacia los objetivos corporativos", de D. Antonio Ramos, Presidente de ISACA Madrid, Socio Director de n+1 Intelligence & Research y CEO de leet security, impartida en el Campus Sur de esta universidad el 4 de abril de 2013.

http://www.youtube.com/watch?v=7s6HRI8j--E

Puede descargar la presentación en pdf utilizada en la conferencia por D. Antonio Ramos, así como acceder a las demás conferencias de este noveno ciclo, desde el servidor web de Criptored.

http://www.criptored.upm.es/paginas/docencia.htm#TASSI2013

Jorge Ramió

Nuevos contenidos en la Red Temática CriptoRed (abril de 2013)

noreply@blogger.com (Hispasec) — Sun, 12 May 2013 13:00:00 +0000

Breve resumen de las novedades producidas durante el mes de abril de 2013 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS EN LA RED TEMATICA CRIPTORED EN EL MES DE ABRIL DE 2013

1.1. Papel de la explosión combinacional en ataques de fuerza bruta (Viviana López Ballesteros, Network Security Team S.A.S., Barranquilla, Colombia)

http://www.criptored.upm.es/guiateoria/gt_m906a.htm

1.2. IP versión 6 (Parte 01) - Sus componentes (Alejandro Corletti, DarFE, España)

http://www.criptored.upm.es/guiateoria/gt_m292t1.htm

1.3. IP versión 6 (Parte 02) - Direccionamiento (Alejandro Corletti, DarFE, España)

http://www.criptored.upm.es/guiateoria/gt_m292t2.htm

1.4. Curso Privacidad y Protección de Comunicaciones Digitales MOOC Crypt4you, Lección 0: Introducción al curso. Problemática en la privacidad de comunicaciones digitales (Alfonso Muñoz UPM y Jorge Ramió UC3M, España)

http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion0/leccion0.html

1.5. Curso Privacidad y Protección de Comunicaciones Digitales MOOC Crypt4you, Lección 1: Introducción al cifrado de la información. Herramienta GPG y OpenSSL (Eloi Sanfelix, Limited Entropy, España)

http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion1/leccion1.html

1.6. Curso Privacidad y Protección de Comunicaciones Digitales MOOC Crypt4you, Lección 2: Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva (Román Ramírez, Ferrovial, Rooted CON , España)

http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion2/leccion2.html

1.7. Vídeo conferencia Ciberdelincuencia: situación actual y evolución en ciclo UPM TASSI 2013 (Oscar de la Cruz, Grupo de Delitos Telemáticos Guardia Civil, España)

http://www.youtube.com/watch?v=aL571dPWChY

2. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE ABRIL DE 2013

2.1. Recursos para Conscientização em Segurança da Informação (Marcelo Lau, Data Security, Brasil)

http://www.datasecurity.com.br/index.php/conscientizacao

2.2. ¿Cómo desarrollar aplicaciones más seguras? (Julio César Ardita y Marcelo Stock, CYBSEC, Argentina, SEGURINFO Buenos Aires 2013)

http://www.cybsec.com/upload/Segurinfo2013_Seg_Desarrollo_Software_Ardita_Stock.pdf

2.3. MOBILE APPS Testing en el nuevo mundo (Gustavo Sorondo, CYBSEC, Argentina, SEGURINFO Buenos Aires 2013)

http://www.cybsec.com/upload/SEGURINFO_AR2013_Mobile_Apps.pdf

2.4. Workshop Seguridad en entornos virtuales (Iván Daniel Fiedoruk, CYBSEC, Argentina, SEGURINFO Buenos Aires 2013)

http://www.cybsec.com/upload/Segurinfo_AR2013_Workshop_Seguridad_en_entornos_virtuales.pdf

2.5. Todas las presentaciones de SEGURINGO Argentina 2013, Argentina

http://archivos.usuaria.org.ar/segurinfo2013/argentina/agendasgar13.html

2.6. La estrategia en seguridad de la información. Entendiendo permanentemente la inseguridad de la información (Jeimy Cano, Blog IT-Insecurity, Colombia)

http://insecurityit.blogspot.com.es/2013/04/la-estrategia-en-seguridad-de-la.html

2.7. Newsletter de la revista Red Seguridad del mes de abril de 2013 (España)

http://www.redseguridad.com/newsletter/preview/8465/45/0/seguridad/Seguridad

2.8. Presentaciones de ponentes de la Rooted CON 2013 (varios autores, España)

http://www.rootedcon.es/index.php/presentaciones-de-rooted-con-2013-disponibles/

2.9. Veintitrés ejercicios prácticos de seguridad (ENISA, Europa)

http://www.enisa.europa.eu/activities/cert/support/exercise

http://www.enisa.europa.eu/activities/activities/cert/background/cert-exercise-video

3. VII CONGRESO CIBSI Y II TALLER TIBETS PANAMA OCTUBRE 2013

32 trabajos recibidos para CIBSI: 12 de España, 5 de México, 5 de Argentina, 4 de Colombia, 2 de Portugal, 1 de Bolivia, 1 de Panamá, 1 de Cuba y 1 de Venezuela. 11 trabajos recibidos para TIBETS: 4 de Argentina, 2 de Colombia, 1 de España, 1 de Brasil, 1 de México, 1 de Uruguay y 1 de Honduras.

Web: http://www.cibsi.utp.ac.pa/

Twitter: https://twitter.com/utpCIBSI

4. RELACION CRONOLOGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS

4.01. Mayo 8 de 2013: Conferencia Del disco flexible a la nube: pasado, presente y futuro de la informática forense, IX Ciclo de Conferencias UPM TASSI (Madrid - España)

4.02. Mayo 22 de 2013: Conferencia Mundo hacking, IX Ciclo de Conferencias UPM TASSI (Madrid - España)

4.03. Junio 3 al 7 de 2013: 7th IFIP International Conference on Trust Management (Málaga - España)

4.04. Junio 18 de 2013: Third International Workshop on Information Systems Security Engineering (Valencia - España)

4.05. Junio 19 al 21 de 2013: XIII Jornadas Nacionales de Seguridad Informática (Bogotá - Colombia)

4.06. Julio 3 al 7 de 2013: Tenth International Workshop on Security In Information Systems WOSIS-2013 (Angers - Francia)

4.07. Julio 10 al 12 de 2013: XIX Jornadas sobre la Enseñanza Universitaria de la Informática JENUI 2013 (Castellón de la Plana - España)

4.08. Julio 10 al 12 de 2013: XI Conferencia Internacional Privacy, Security and Trust PST 2013 (Tarragona - España)

4.09. Agosto 12 al 16 de 2013: Primer Congreso Internacional de Seguridad Informática CSI 2013 (Pereira - Colombia)

4.10. Septiembre 12 al 13 de 2013: 8th International Workshop on Data Privacy Management (Royal Holloway - Reino Unido)

4.11. Septiembre 16 al 18 de 2013: 8th International Workshop on Critical Information Infrastructures Security (Amsterdam - Holanda)

4.12. Octubre 29 al 31 de 2013: VII Congreso Iberoamericano de Seguridad Informática CIBSI 2013 (Ciudad de Panamá - Panamá)

4.13. Octubre 29 al 31 de 2013: II segundo Taller Iberoamericano de Enseñanza e Innovación Educativa en SI TIBETS 2013 (Ciudad de Panamá - Panamá)

Más información en:

http://www.criptored.upm.es/paginas/eventos.htm#Congresos

5. FUE TAMBIEN NOTICIA EN LA RED TEMATICA EN EL MES DE ABRIL DE 2013

5.01. Quinta Sesión Anual Abierta de la Agencia Española de Protección de Datos en Madrid (España)

5.02. Conferencia Gobernando la seguridad hacia los objetivos corporativos de D. Antonio Ramos, Director ISACA Madrid en el ciclo UPM TASSI (España) 5.03. Dos entradas gratuitas a la VI Jornada de Seguridad en la Industria Financiera para miembros de Criptored (Argentina)

5.04. Tercer y último CFP para CIBSI y TIBETS con deadline ampliado hasta el martes 30 de abril de 2013 (Panamá)

5.05. Conferencia Seguridad en sistemas: explotando vulnerabilidades de D. Alejandro Ramos, editor de Security by Default, en el ciclo UPM TASSI (España)

5.06. Nuevo curso gratuito de Privacidad y Protección de Comunicaciones Digitales en el MOOC Crypt4you (España)

5.07. CFP para la octava edición del Data Privacy Management DPM 2013 en colaboración con ESORICS 2013 (Reino Unido)

5.08. Llamada a la participación en la V Encuesta Latinoamericana de Seguridad Informática (Colombia, Uruguay, Argentina, Perú)

5.09. OWASP busca estudiantes para trabajo de verano en proyectos de seguridad Google Summer of Code (España)

5.10. Curso de Peritaje Informático el 8 mayo de 2013 ofrecido por ISACA Capítulo Madrid (España)

5.11. Primer Congreso Internacional de Seguridad Informática CSI 2013 en Pereira (Colombia)

5.12. Curso de Auditoría del Control y Gestión de la Seguridad el 20 de mayo, ISACA Madrid (España)

5.13. Curso Definición, Implantación y Evaluación de un Plan de Continuidad de Negocio el 11 y 12 de junio, ISACA Madrid (España) Acceso al contenido de estas noticias:

http://www.criptored.upm.es/paginas/historico2013.htm#abr13

6. OTROS DATOS DE INTERES Y ESTADISTICAS DE LA RED TEMATICA

6.1. Número actual de miembros en la red: 933

http://www.criptored.upm.es/paginas/particulares.htm

6.2. Estadísticas Criptored: 48.200 visitas, con 148.874 páginas solicitadas y 53,36 Gigabytes servidos en abril de 2013, descargándose 27.902 archivos zip o pdf

http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

Redes sociales: 181 seguidores en facebook y 1.622 seguidores en twitter

6.3. Estadísticas Intypedia: 11.746 reproducciones de vídeos en abril de 2013

http://www.criptored.upm.es/paginas/intypediamensual.htm#estadisticasyoutubeacumuladas

Redes sociales: 1.340 seguidores en facebook y 904 seguidores en twitter

6.4. Estadísticas Crypt4you: 18.656 accesos en abril de 2013

http://www.criptored.upm.es/paginas/crypt4youmensual.htm#abril2013

Redes sociales: 739 seguidores en facebook y 458 seguidores en twitter

Jorge Ramió Aguirre

Director de Criptored

twitter: http://twitter.com/#!/criptored

Microsoft publicará diez boletines de seguridad el próximo martes

noreply@blogger.com (Hispasec) — Sat, 11 May 2013 13:00:00 +0000

Microsoft ha proporcionado un adelanto de los boletines de seguridad que se van a publicar el próximo día 14 de mayo. Un total de diez boletines que cubrirán 33 vulnerabilidades, dos de ellos tendrán un carácter crítico y los ocho restantes están marcados como importantes. Los dos boletines críticos corrigen fallos de seguridad que podrían permitir la ejecución de código arbitrario en Internet Explorer y Windows en general. Los ocho marcados como importantes afectan a Office, .NET, Windows y Server and Tools.

En este paquete se espera corregir el grave problema de seguridad que actualmente sufre Internet Explorer 8. La semana pasada Microsoft publicó un aviso de seguridad donde advertía a sus usuarios de la existencia de una vulnerabilidad 0-day en la versión 8 de Internet Explorer. El fallo puede ser explotado en cualquier versión del sistema operativo Windows que tenga instalado el navegador, desde XP hasta 2008 en todas sus versiones y arquitecturas. Ha sido descubierto mientras estaba siendo aprovechado por atacantes.

Aunque recientemente se ha publicado un FixIt, aún no existía parche. Parece que le ha dado tiempo a preparar una solución que será distribuida el martes.

Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Hispasec Sistemas informará puntualmente sobre los nuevos parches a través de este servicio de noticias, dando una información más detallada sobre los boletines de actualización de Microsoft.

Más información:

Microsoft publica aviso de seguridad sobre nuevo 0-day en Internet Explorer 8

http://unaaldia.hispasec.com/2013/05/microsoft-publica-aviso-de-seguridad.html

Microsoft Security Bulletin Advance Notification for April 2013

http://technet.microsoft.com/en-us/security/bulletin/ms13-apr

Laboratorio Hispasec

laboratorio@hispasec.com

El malware "potencial" de la App Store

noreply@blogger.com (Hispasec) — Fri, 10 May 2013 07:35:00 +0000

En los últimos días ha sido noticia la detección de un "potencial malware" en la App Store. Se supone que esto quiere decir que un juego legítimo podría ser un malware o tener un comportamiento malicioso en un momento dado. Esta definición, aunque extraña, esconde una serie de hechos interesantes.

En resumen, la situación era la siguiente. Un juego llamado "Simply Find It", muy reputado en la AppStore, fue detectado por el antivirus BitDefender para iOS como Trojan.JS.iframe.BKD. Otros antivirus para iOS, no sospechaban de ella. Se continuó explorando la aplicación y se encontró que el fichero de audio Payload/SpotDiffHD.app/day.mp3 contenía la referencia

iframe src=http://x.asom.cn

en su interior. Por lo que en realidad, la aplicación solo contenía un enlace a una URL históricamente conocida por repartir malware intentando infectar a los navegadores que la visitaban. La URL se encuentra desactivada desde hace tiempo y además se le conoce por alojar malware para Windows. ¿Qué hacía ahí esa URL, en una aplicación para iOS reputada y reconocida que, además, no hacía daño real al teléfono?

Preguntar a Apple, como de costumbre, no servía de mucho. Su oscurantismo en los métodos de "filtrado" en la AppStore es absoluto, y ni ellos ni el responsable del juego arrojaron luz en el asunto. Solo se podía especular sobre que el archivo mp3 sí que estaba o había estado infectado de alguna forma, pero no había sido analizado por Apple por no considerarse "ejecutable".

Especulaciones y conclusiones

Poco más se puede decir sobre esta "anécdota". El juego no representa amenaza alguna para los usuarios de iOS, y aunque se activase de nuevo la URL, puede que nunca lo sea. Pero hay más especulaciones y conclusiones que se pueden sacar.

La primera puede estar relacionada una vez más con los motores antivirus y sus detecciones. La voz de alarma la lanza un antivirus "demasiado" sensible. Esto es el mayor enemigo de los motores y en la que se juegan su reputación. Una tasa aceptable de falsos positivos es difícil de establecer, pero lo cierto es que los antivirus prefieren "dejar pasar" a que "deje de funcionar", o sea, una tasa de falsos positivos lo más baja posible, aun a costa de que se cuele malware. Pero, ¿se trata este caso concreto de un falso positivo? En realidad es posible que el fichero mp3 se encontrara alojado en un momento dado en un Windows infectado y se le incrustaran metadatos de alguna URL maliciosa. Una situación muy parecida se dio en 2008 con los plugins de Firefox (a un fichero HTML de una extensión se le añadió JavaScript malicioso durante el tiempo que se alojó en un Windows). Bitdefender avisó de que, al menos, algo raro había pasado, lo que puede ser correcto, pero desde luego para un usuario no técnico, la alerta no queda clara y puede provocar más confusión que beneficio. Esta lucha entre la simplificación para el usuario, la detección eficaz, y mantener a raya los falsos positivos, es el pan de cada día para la mayoría de casas antivirus... y dudamos de que ninguna haya encontrado la solución deseada aún.

Otra conclusión es la que venimos advirtiendo desde hace muchos años, por ejemplo, en esta una-al-día de 2008: "Hoy goodware, mañana no sé". En un modelo interconectado, el concepto de malware es difícil de definir, no en sus acciones (que pueden estar más o menos claras) sino en el tiempo. No es que se haya encontrado un "potencial malware" en la AppStore, es que cualquier aplicación cuya lógica se traslade al servidor puede cambiar su comportamiento en el sistema y ser goodware hoy, pero no sabemos cómo ni qué hará mañana. "La nube", la lógica en remoto, llegó al malware antes que a los titulares de los blogs. Con esto los creadores consiguen despistar a los analistas. Solo se activan ante eventos concretos, y desplazan el payload a una dirección URL o secuencias de comandos que esperan a través de cualquier protocolo. El archivo en sí puede ser de lo más inocente, excepto cuando recibe un estímulo adecuado. Si a esto unimos que para ahorrar recursos, tanto los laboratorios o motores en local no suelen analizar dos veces una muestra a menos que su hash, ubicación, etc. haya cambiado, tenemos que un malware puede pasar desapercibido mucho tiempo si tiene la paciencia necesaria... y precisamente paciencia y tiempo es de lo que disponen los creadores de malware profesional y dirigido (conocidos como APT) tipo FinFisher y otros que aún desconocemos. Si aguardas pacientemente a enviar los estímulos adecuados a tu muestra, puede que quede olvidada y catalogada como "inocente" durante un largo periodo.

En resumen, el malware "potencial" sí que existe, y en él caben infinidad de definiciones. En el caso concreto del juego para iOS, parece que ni siquiera podría llegar a ser técnicamente una amenaza, por lo que no resulta precisamente paradigmático para definir el gran problema, real, que sufren las casas hoy en día para catalogar el malware. Pero sí es un "aviso" perfecto de cómo, en un futuro, es más que probable que alguien consiga eludir el filtro del AppStore distribuyendo una aplicación inocente... pero solo "en principio".

Más información:

Hoy goodware, mañana no sé

http://unaaldia.hispasec.com/2008/05/goodware-manana-no-se.html

What’s a known source of malware doing in an iOS app? Ars investigates

http://arstechnica.com/security/2013/05/whats-a-known-source-of-malware-doing-in-an-ios-app-ars-investigates/

Un plugin de Firefox infectado con adware es distribuido desde el sitio oficial

http://unaaldia.hispasec.com/2008/05/un-plugin-de-firefox-infectado-con.html

iOS app contains potential malware

http://www.macworld.com/article/2037099/ios-app-contains-potential-malware.html

Sergio de los Santos

ssantos@hispasec.com

Twitter: @ssantosv

Ejecución de código arbitrario en servidores nginx

noreply@blogger.com (Hispasec) — Thu, 09 May 2013 11:26:00 +0000

Greg MacManus ha descubierto y publicado un grave fallo de seguridad (CVE-2013-2028) en nginx, cuando se procesan peticiones HTTP "por bloques" (chunked transfer) que puede permitir a un atacante ejecutar código arbitrario.

nginx es un servidor web, open source y desarrollado casi íntegramente en el lenguaje C, lo que le proporciona un alto rendimiento aprovechando al máximo los recursos del sistema. Una prueba de ello es que viene por defecto instalado en algunas distribuciones para Raspberry Pi. También puede realizar la función de servidor Proxy inverso para HTTP, SMTP, POP3 e IMAP.

El error descubierto produce un desbordamiento de memoria intermedia basada en pila que generaría en una denegación de servicio del servidor. Al ser un desbordamiento de memoria, se podría producir una ejecución de código arbitrario en el lado del servidor con los permisos del servidor nginx.

Para solucionar el error se han incluido una comprobación para que el ta tamaño no sea inferior a 0 al realizar esta petición, en el archivo 'src/http/ngx_http_parse.c'

+ if (ctx->size < 0 || ctx->length < 0) {

+ goto invalid;

+ }

El fallo se ha descubierto en las versiones 1.3.9 (de noviembre de 2012) y 1.4.0 y corregidos en la 1.5.0 y la 1.4.1 respectivamente.

Como contramedida si no se desea actualizar el servidor por alguna razón, se puede incluir este código en cada uno de los bloques "server" de la configuración:

if ($http_transfer_encoding ~* chunked) {

return 444;

}

que evita que se use el tipo de transferencia por bloques.

Se puede actualizar a las nuevas versiones desde su página de descargas.

Más información:

nginx download

http://nginx.org/en/download.html

nginx - patch.2013.chunked

http://nginx.org/download/patch.2013.chunked.txt

nginx security advisory (CVE-2013-2028)

http://mailman.nginx.org/pipermail/nginx-announce/2013/000112.html

Antonio Sánchez

asanchez@hispasec.com

Nueva versión de MediaWiki corrige dos vulnerabilidades

noreply@blogger.com (Hispasec) — Wed, 08 May 2013 08:52:00 +0000

Se han publicado nuevas versiones de MediaWiki para las ramas 1.20 y 1.19 que corrigen dos fallos de seguridad entre otros bugs. Estos podrían permitir a un atacante realizar ataques cross-site scripting y eludir restricciones de seguridad.

MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia.

En primer lugar, Jan Schejbalm, de Hatforce, ha descubierto un error en el filtro para ficheros Scalable Vector Graphics (SVG). Este tipo de archivos puede contener código en un lenguaje de scripting (por ejemplo, JavaScript), normalmente para generar animaciones, pero que también podría ser malicioso. Cuando un SVG se sube a MediaWiki, este filtro procesa su código para asegurarse de que no contiene código JavaScript.

Sin embargo, usando la codificación UTF-7 se puede eludir este filtro. MediaWiki aceptará el fichero como válido, y los navegadores interpretarán y ejecutarán el código dentro de ella sin problemas, tratándola como UTF-8. Esto podría dar lugar a ataques cross-site scripting. Se ha probado el problema tanto en Chrome como en Firefox. Aquí puede verse una prueba de concepto:

http://upload.wikimedia.org/wikipedia/test/archive/4/4f/20130415163012!Test-active.svg

La solución ha sido crear una lista blanca de codificaciones aceptadas, ya que después de un estudio, se ha comprobado que casi el 100% de los SVG en WikiMedia Commons tiene codificación utf-8 o iso-8859-1.

La segunda vulnerabilidad, encontrada por Ryan Lane, se debe a la falta de un método consistente para manejar el bloqueo de reseteo de contraseñas a través de las extensiones. Esto puede provocar que en algunos casos se pueda cambiar la contraseña aun habiendo bloqueado esta posibilidad. Si un atacante tuviera acceso al correo de la víctima, podría eludir la autenticación de doble factor.

Se ha asignado los identificadores CVE-2013-2031 y CVE-2013-2032, respectivamente. Las nuevas versiones 1.20.5 (rama actual) y 1.19.6 (LTS) ya incorporan la solución a estas vulnerabilidades. Pueden ser descargadas del sitio oficial de MediaWiki.

Más información:

MediaWiki Release notes

https://www.mediawiki.org/wiki/Release_notes/1.20

https://www.mediawiki.org/wiki/Release_notes/1.19

WikiMedia Bugzilla

https://bugzilla.wikimedia.org/show_bug.cgi?id=47304

https://bugzilla.wikimedia.org/show_bug.cgi?id=46590

Francisco López

flopez@hispasec.com

Graves vulnerabilidades en cámaras IP D-LInk y Vivotek

noreply@blogger.com (Hispasec) — Tue, 07 May 2013 20:49:00 +0000

La empresa Core Security ha publicado dos avisos de seguridad que describen varias vulnerabilidades en cámaras IP de los fabricantes D-Link y Vivotek. Los fallos encontrados son graves, con impacto potencial de ejecución de comandos arbitrarios, acceso a la imagen captada por la cámara en tiempo real y acceso a credenciales, entre otros. Todos son remotamente explotables.

Se han descubierto un total de diez vulnerabilidades graves, que se reparten equitativamente entre ambos fabricantes. Para D-Link, se ha comprobado que a través de simples peticiones HTTP GET se puede acceder a la imagen captada por la cámara, tanto en modo normal como ASCII, que devuelve una imagen que refleja los niveles de luminosidad.

También usando una petición GET se pueden inyectar comandos en el sistema Linux subyacente. La interfaz de administración web filtra aquellos comandos introducidos que contienen espacios. Sin embargo, cuando un comando contiene el carácter &, reemplaza este por un espacio, dejando la puerta abierta a que se introduzcan comandos de la forma 'uname&-a;cat&/etc/passwd'.

Se puede además realizar un salto en el proceso de autenticación en el Real Time Streaming Protocol (RTSP) debido a varios fallos en la implementación. Pero esto no sería necesario, ya que se ha descubierto además que estas cámaras incluyen unas credenciales por defecto que permiten a cualquier persona acceder a la imagen de vídeo captada por la cámara usando cualquier usuario y la cadena '?*' como contraseña.

Las cámaras Vivotek analizadas no salen mejor paradas. En principio, sufren dos escapes de información al hacer peticiones GET. Uno de ellos se localiza en la página que muestra parámetros de configuración. Entre estos parámetros se encuentras credenciales de acceso FTP, SMTP y claves WEP y WPA... que el dispositivo almacena en claro. El segundo escape utiliza un ataque de directorio transversal para acceder al volcado de memoria, donde se pueden encontrar credenciales validas de usuario.

Además, la cámara sufre un desbordamiento de memoria intermedia que puede permitir la ejecución de código arbitrario y un salto de credenciales (similar al de las cámaras D-Link) usando peticiones de DESCRIBE del protocolo RTSP. Por ultimo, se puede inyectar código arbitrario a través del fichero binario farseer.out.

Los modelos y firmwares afectados son varios, y se puede encontrar un lista detallada en las referencias. CORE recomienda no exponer la cámara a la red, y realizar filtrado de tráfico para detectar comunicaciones RTSP y HTTP sospechosas hacia el dispositivo. Sobre la solución a estas vulnerabilidades, mientras que D-Link ya ha puesto a disposición de los usuarios un parche que las soluciona, Vivotek no ha hecho declaraciones y no se ha anunciado solución.

Más información:

Vivotek IP Cameras Multiple Vulnerabilities

http://www.coresecurity.com/advisories/vivotek-ip-cameras-multiple-vulnerabilities

D-Link IP Cameras Multiple Vulnerabilities

http://www.coresecurity.com/advisories/d-link-ip-cameras-multiple-vulnerabilities#ref1

Francisco López

flopez@hispasec.com

Dos vulnerabilidades en routers Huawei permiten ejecución de código arbitrario

noreply@blogger.com (Hispasec) — Mon, 06 May 2013 12:21:00 +0000

Roberto Paleari ha descubierto dos vulnerabilidades en los routers Huawei AR1220 con las que se puede ejecutar código arbitrario a través de un desbordamiento de la pila.

Los fallos han sido descubiertos en el servicio SNMPv3. Este es un protocolo de gestión de dispositivos, que es su versión 3 incorpora más medidas de seguridad que en las anteriores, como por ejemplo el control de usuarios, que las anteriores no implementaban.

La primera de las vulnerabilidades se puede explotar con la configuración por defecto de SNMPv3. El error existe en el decodificador del paquetes de este servicio. Cuando el sistema recibe un paquete SNMP, este lo carga en memoria. Si el paquete está especialmente manipulado y ocupa más del tamaño estándar, se produce el desbordamiento de memoria en el router y la posibilidad de ejecutar código arbitrario en él.

La segunda de las vulnerabilidades se encuentra relacionada con la forma de manejar la depuración de paquetes, por eso sólo se puede explotar estando el modo de depuración activado. Se trataría también de un desbordamiento de memoria intermedia basado en pila y se podría permitir una ejecución de código arbitrario.

Ambas vulnerabilidades se encuentra en los routers de las series AR 150, AR 200, AR 1200, AR 2200 y AR 3200.

Más información:

Huawei-SA-20130425-02 - Security Advisory-Overflow Vulnerabilities in SNMPv3

http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-260601.htm

Huawei-SA-20130313-01 - Security Advisory-Stack Overflow Vulnerabilities in SNMPv3 debugging mode

http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-260626.htm

Multiple buffer overflows on Huawei SNMPv3 service

http://blog.emaze.net/2013/05/multiple-buffer-overflows-on-huawei.html

Antonio Sánchez

asanchez@hispasec.com

Microsoft publica aviso de seguridad sobre nuevo 0-day en Internet Explorer 8

noreply@blogger.com (Hispasec) — Sun, 05 May 2013 12:47:00 +0000

La vulnerabilidad permite ejecutar código arbitrario remoto en el contexto del usuario que ejecute IE 8, y se puede explotar en cualquier sistema operativo que lo tenga instalado. Ha sido utilizada para un reciente ataque contra el departamento de trabajo norteamericano.

Microsoft ha publicado un aviso de seguridad donde advierte a sus usuarios de la existencia de una vulnerabilidad 0-day en la versión 8 de Internet Explorer. El fallo puede ser explotado en cualquier versión del sistema operativo Windows que tenga instalado el navegador, desde XP hasta 2008 en todas sus versiones y arquitecturas. El fallo ha sido descubierto mientras estaba siendo aprovechado por atacantes.

Tiene un impacto de ejecución de código arbitrario de manera remota. Se le ha asignado el identificador CVE-2013-1347.

No existe parche oficial y no existe otra mitigación que la de evitar el uso del navegador hasta que sea solucionada. Teniendo en cuenta que la próxima publicación de parches será el día 14 de mayo y la gravedad de la vulnerabilidad, Microsoft no rechaza publicar parches fuera de ciclo.

Esta vulnerabilidad ha sido descubierta a raíz de un reciente ataque a una web pública del departamento de trabajo norteamericano. Se comprometió una base de datos sobre substancias toxicas y niveles de toxicidad de ciertas instalaciones nucleares del departamento de energía. Los trabajadores del departamento de trabajo la usan habitualmente para sus labores. Alguien pudo acceder al servidor y subió código que aprovecha esta vulnerabilidad y recopila información de los equipos de aquellos que accedían al sitio. Por tanto, se comprometió una web oficial para poder atacar a otros usuarios de un departamento diferente.

http://www.sem.dol.gov/

En un principio, todos los investigadores pensaron que se trataba de una vulnerabilidad en el navegador parcheada a principios de año. Poco después se confirmo que, incluso en sistemas parcheados, era posible la ejecución de código.

Durante el ataque, se descargaba una versión modificada de la herramienta de control remoto (RAT) Poison Ivy, poco detectada por antivirus y además con sus cabeceras PE modificadas para pasar desapercibido.

El exploit ya está disponible en Metasploit, por lo que cualquiera puede estudiarlo y aprovecharlo para cualquier fin. Se espera que los exploits kits lo incluyan pronto en sus repositorios y, por tanto, sus ataques sean aún más eficaces.

Más información:

Department of Labor IE 0-day Exploit (CVE-2013-1347) Now Available at

Metasploit

https://community.rapid7.com/community/metasploit/blog/2013/05/05/department-of-labor-ie-0day-now-available-at-metasploit

Microsoft Security Advisory (2847140)

Vulnerability in Internet Explorer Could Allow Remote Code Execution

http://technet.microsoft.com/en-us/security/advisory/2847140

IE Zero Day is Used in DoL Watering Hole Attack

http://www.fireeye.com/blog/technical/cyber-exploits/2013/05/ie-zero-day-is-used-in-dol-watering-hole-attack.html

K.I.A. – US Dept. Labor Watering Hole Pushing Poison Ivy Via IE8 Zero-Day

http://www.invincea.com/2013/05/k-i-a-us-dol-website-pushing-poison-ivy-cve-2012-4792/

http://www.invincea.com/2013/05/part-2-us-dept-labor-watering-hole-pushing-poison-ivy-via-ie8-zero-day/

Francisco López

flopez@hispasec.com

Se pone en marcha en España el Centro de Ciberseguridad Industrial (CCI)

noreply@blogger.com (Hispasec) — Sat, 04 May 2013 07:27:00 +0000

Es conocido que la mayoría de los servicios esenciales y nuestro tejido empresarial depende para el normal desarrollo de su actividad de las TIC. Pero no es tan conocido que todos esos servicios esenciales dependen a su vez en mayor medida de los Sistemas Industriales. Son estos últimos los que controlan las torres de refrigeración, los generadores eléctricos que proporcionan la energía necesaria o los sistemas de extinción de incendios, entre otros muchos aspectos. Los sistemas industriales son la base de las principales Infraestructuras Críticas y Servicios Esenciales de nuestras naciones y por tanto, su seguridad recae finalmente en ellos. Esto ha hecho que se hayan convertido en objetivos de actos de ciber-terrorismo e incluso de ciber-guerra, suponiendo el caldo de cultivo adecuado para la aparición de auténticas "ciber-armas" cuyo objetivo es explotar sus vulnerabilidades existentes.

Nuestra sociedad y economía es por tanto, vulnerable y el primer paso debe ser que todas las organizaciones y actores tomen conciencia de ello. De la mano de tres profesionales respetados por sus conocimientos y experiencia -Samuel Linares, Ignacio Paredes y José Valiente-, y tras analizar el mercado de la Ciberseguridad Industrial, sus actores y las necesidades de nuestro país, los casos de éxito y fracaso de otros países de Europa y Estados Unidos, el próximo mes de junio se pone en marcha oficialmente en España el Centro de Ciberseguridad Industrial (CCI).

Se trata del primer centro de estas características que nace desde la industria y sin subvenciones, independiente y sin ánimo de lucro. Su misión será impulsar y contribuir a la mejora de la Ciberseguridad Industrial en España y Latinoamérica, entendiendo por Ciberseguridad Industrial "el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías".

El Centro arranca con el apoyo de una gran parte del sector (usuarios, consultoras, ingenierías, organismos e instituciones, por no citar a la mayoría de profesionales de la industria a los que les han presentado la idea), por lo que darán cabida a todo tipo de actores (cualquier persona interesada puede ponerse en contacto con la institución a través de: info@cci-es.org).

Para ello, se plantean varias categorías de membresía: para los "Miembros Básicos" (se incluyen aquí también los miembros individuales), será gratuita, favoreciendo la máxima representatividad de la industria en el CCI y la "universalidad" del mismo. Otra opción es la de los "Miembros Activos", que tendrán una cuota anual, dependiendo su carácter de: usuarios finales (400 euros), proveedores (500 euros) y ámbito académico (300 euros) y la opción de "Subscripción Anual" (1350 euros), que permitirá a los "Miembros Activos" recibir todos los documentos y entregables que se generen sin coste adicional, además de acceder sin coste a todos los eventos que organice el Centro (incluyendo el Congreso Iberoamericano anual).

El Centro de Ciberseguridad Industrial (www.cci-es.org) aspira a convertirse en el punto independiente de encuentro de los organismos, privados y públicos, y profesionales relacionados con las prácticas y tecnologías de la Ciberseguridad Industrial, así como en la referencia hispanohablante para el intercambio de conocimiento, experiencias y la dinamización de los sectores involucrados en este ámbito. Para ello, se crearán Grupos de trabajo sectoriales y temáticos, centrados en los aspectos de ciberseguridad de un área industrial determinada o en una cuestión concreta. Previsiblemente, se comenzará con los sectores de Energía, Químico, Agua y Transporte, siempre supeditado a la demanda de los miembros.

Hoja de ruta en marcha

En estos momentos está comenzando a crecer y el próximo 1 de junio comenzará su actividad al 100% de rendimiento. Es el primer centro de estas características que nace desde la industria y sin subvenciones por delante. Tras haber presentado el centro a algunos usuarios finales, consultoras, fabricantes e ingenierías, además de por supuesto a algunos organismos relevantes en este ámbito del gobierno español, cuentan ya con el apoyo de buena parte de la industria. Desde el Centro, creen que es la única forma de dinamizar el mercado de forma adecuada, y les gustaría contar con la mayor representatividad del mercado, por lo que desde ya invitan a todos a su participación en el Centro.

Organizarán 5 eventos en 2013: 4 eventos de "La Voz de la Industria" en los meses de Junio, Septiembre, Noviembre y Diciembre y el "Congreso Iberoamericano de Ciberseguridad Industrial" que tendrá lugar en Octubre de este año.

A lo largo de 2013 el CCI tiene previsto generar cinco documentos, entre los que se pueden destacar el Mapa de Ruta de la Ciberseguridad Industrial en España, el Estado de la Ciberseguridad Industrial en España o la plantilla de Requisitos de Ciberseguridad para Proveedores de Servicios, entre otros.

Todos aquellos miembros y patrocinadores que se subscriban antes del 31 de mayo, serán considerados patrocinadores y miembros fundadores y podrán utilizar esta denominación en todos sus materiales. El éxito de la iniciativa depende evidentemente de la participación de la industria en la misma. Por su parte, aseguran que están poniendo todo su conocimiento, tiempo, experiencia y alma en conseguir que el Centro salga adelante y sea lo que están predicando.

Desde el Centro aseguran:

"Es momento de liderar desde el ejemplo ("leading by doing") y es lo que tenemos la oportunidad de hacer todos nosotros. En lugar de quedar esperando a que algo cambie, cambiémoslo. Nosotros hemos puesto la semilla, la cuidaremos, regaremos y trataremos con mimo, pero necesitamos vuestra agua, vuestro sol y vuestro calor para que crezca y se convierta en ese árbol saludable y frondoso. Gracias desde ya por vuestra ayuda"

Samuel Linares

info@cci-es.org

IBM Notes ejecuta applets Java y código JavaScript sin advertir al usuario

noreply@blogger.com (Hispasec) — Fri, 03 May 2013 09:07:00 +0000

IBM ha publicado un boletín de seguridad donde advierte de un fallo en su programa de correo Notes en sus versión 8, 8.5 y 9. El fallo permite cargar contenido Java y JavaScript remoto en los e-mails que se lean o previsualicen.

IBM ha publicado un boletín deseguridad sobre IBM Notes que cubre dos vulnerabilidades recientemente encontradas en el popular cliente de correo. La publicación ha sido coordinada junto al descubridor de los fallos, Alexander Klink, de la firma alemana n.runs, que a su vez ha publicado en la lista Full Disclosure los detalles técnicos.

Al abrir o previsualizar un correo en formato HTML, IBM Notes no filtra las etiquetas <applet>. En principio, este comportamiento ya conlleva una posible revelación de información, puesto que al cargar el contenido se genera una petición HTTP que quedaría registrada en el servidor remoto.

Si además tenemos en cuenta la cantidad de fallos de seguridad que permiten saltar la sandbox en Java, esto podría significar la ejecución de código remoto con tan solo previsualizar un e-mail. De hecho, la versión estudiada (8.5.3 FP3) viene acompañada de IBM Java 6 SR12. Tal y como dice Klink en su publicación, hay 20 vulnerabilidades en esta versión de Java con un CVSS de 10 que no han sido solucionadas y pueden permitir la ejecución de código remoto.

A pesar del alto riesgo potencial, en el boletín oficial de IBM ha dado a las vulnerabilidades una nota CVSS de solo 4.3, considerando que solo afecta parcialmente a la integridad del sistema. Probablemente se han basado en el hecho de la ejecución de los applets en sí, y no han ido más allá considerando el riesgo potencial que conlleva este problema en una máquina virtual con tantos fallos de seguridad.

Klink ha puesto a disposición del público una dirección de correo. Al escribir un email a esta cuenta, se recibe un mensaje automático de prueba que carga un applet Java remoto para comprobar si el sistema es vulnerable. La dirección se puede encontrar en su aviso.

Como remedio temporal, tanto Klink como IBM recomiendan desactivar la carga de contenido Java y JavaScript, ya sea a través de las preferencias de Notes o editando el fichero notes.ini de la siguiente forma:

EnableJavaApplets=0

EnableLiveConnect=0

EnableJavaScript=0

IBM advierte que esta configuración puede afectar a contenido Java o JavaScript en los plugins de Notes.

Ya existe un parche para las versiones de Notes para Windows, mientras que los parches para Mac y sistemas Linux aun están en desarrollo.

Más información:

Security Bulletin: IBM Notes accepts Java applet and JavaScript tags

inside HTML emails (CVE-2013-0127, CVE-2013-0538)

http://www-01.ibm.com/support/docview.wss?uid=swg21633819

n.runs-SA-2013.005 - IBM Lotus Notes - arbitrary code execution

http://seclists.org/fulldisclosure/2013/Apr/262

Francisco López

flopez@hispasec.com

Segunda lección en el MOOC Crypt4you Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva, de Román Ramírez

noreply@blogger.com (Hispasec) — Thu, 02 May 2013 08:48:00 +0000

Dentro del curso gratuito de Privacidad y Protección de Comunicaciones Digitales que se encuentra en el MOOC Crypt4you, se publica con fecha 29/04/2013 la Lección 2 "Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva" del experto invitado Román Ramírez, Responsable de Seguridad en Arquitecturas, Sistemas y Servicios en la empresa Ferrovial y fundador del congreso de seguridad Rooted CON.

Más de alguna vez te habrás preguntado: ¿qué sucedería si se me pierde el ordenador portátil en un taxi, en el aeropuerto, etc.? Son lugares bastante más comunes de lo que imaginas para olvidarse éstos y otros dispositivos electrónicos. ¿Y si ese ordenador es el de mi trabajo donde hay datos de clientes e incluso algún informe confidencial que debía custodiar? Pues entonces ya sabes que tienes un grave problema. En esta lección, Román Ramírez nos enseña cómo proteger la información que te interesa se mantenga confidencial y ocultarla de ojos y oídos no autorizados, analizará y comparará diversos programas y opciones de cifrado. Comprobarás además que proteger tu información no es algo tan difícil, que está al alcance de todos y que sólo requiere de un poco de disciplina y sentido común.

Lección 2: Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva

Apartado 1. Introducción al cifrado: ¿por qué quiero cifrar?

Apartado 2. ¿Qué es el cifrado de disco? Ventajas y desventajas

Apartado 3. Funcionamiento del cifrado de disco

Apartado 4. ¿Puedo usar el cifrado legalmente?

Apartado 5. Herramientas de cifrado de disco

Apartado 6. Un breve paseo por herramientas comerciales de cifrado

Apartado 7. TrueCrypt: una herramienta gratuita

Apartado 8. Conclusiones y resumen de puntos clave

Apartado 9. Anexo: Ejemplo de uso de TrueCrypt con volúmenes ocultos

Accesos directos:

MOOC Crypt4you

Cursos:

Privacidad y protección de comunicaciones digitales (actual)

El algoritmo RSA (ya completo)

http://www.crypt4you.com

Lección 2 del curso Privacidad y protección de comunicaciones digitales:

Cifrado de discos: proteger tu privacidad de forma sencilla y efectiva

http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion2/leccion2.html

Se recuerda que el formato del MOOC Crypt4you es dinámico y, por tanto, el contenido de las lecciones puede experimentar cambios, siendo posible la inclusión de nuevas lecciones o bien la reordenación de las mismas dentro del índice publicado.

La siguiente lección del curso será "Comunicaciones seguras mediante mensajería instantánea" del experto invitado Luis Delgado.

Jorge Ramió, Alfonso Muñoz

Editores de Crypt4you

El cliente para liga de videojuegos de ESEA, mina Bitcoins sin consentimiento del usuario

noreply@blogger.com (Hispasec) — Wed, 01 May 2013 09:54:00 +0000

Desde hace unos días, los usuarios de la liga de videojuegos ESEA han venido notando como sus equipos consumían gran cantidad de recursos a pesar de no estar ejecutando ningún programa. La razón es que en el cliente necesario para jugar, se ha incluido código que mina Bitcoins cuando el equipo está inactivo. La "broma", según los administradores, ha recaudado más de 3.000 dólares a costa de los usuarios.

La ESEA (E-Sports EntertainmentAssociation) es una comunidad de videojuegos estadounidense que entre otras actividades, realiza ligas de juegos como Counter Strike, League of Legends o Team Fortress 2 con premios en metálico. Los miembros de la comunidad pagan mensualmente por el acceso, y para jugar en sus servidores es necesario instalar un cliente que, según el sitio oficial "combate el uso de trucos y otras interrupciones del servicio".

Aunque el sistema anti-trucos de ESEA es popular por su fiabilidad, la última versión incorporaba una funcionalidad que no había sido anunciada a los usuarios: A los diez minutos de inactividad, el equipo comenzaba a minar Bitcoins.

El cliente de ESEA hace uso del entorno OpenCL (ATI) y CUDA (Nvidia) en lo que se suele llamar un "OpenCL miner", para ejecutar código que resuelve los hash de Bitcoin usando las unidades de proceso gráfico (GPUS) de los equipos de los usuarios. Puesto que las GPUs son más eficientes a la hora de minar Bitcoins, los equipos de jugadores de PC tienden a poseer GPUs de gama media-alta, y el programa se encuentra instalado en miles de usuarios, el negocio les resulta rentable.

Hace unos días, se empezaron a dar casos de jugadores cuyos antivirus detectaban procesos lanzados por el cliente de ESEA, y otros notaron que sus equipos comenzaron a utilizar gran cantidad de recursos estando inactivos. Finalmente, uno de los usuarios publicó un volcado de memoria de eseaclient.exe para encontrar esto:

OpenCLdevices:

2. [0] GeForce GT 630M

4. No devices specified, using all GPU devices

6. 30/04/2013 19:04:26, started OpenCL miner on platform 0, device 0

(GeForce GT 630M)

7. 30/04/2013 19:04:26, Setting server (macncheese.bigworker3 @

stratum2.bitcoin.cz:3333)

8. stratum2.bitcoin.cz:3333 30/04/2013 19:04:26, checking for stratum...

9. stratum2.bitcoin.cz:3333 30/04/2013 19:04:26, no response to getwork,

using as stratum

10. stratum2.bitcoin.cz:3333 30/04/2013 19:04:31, 0:0:GeForce GT 630M

[0.489 MH/s (~0 MH/s)] [Rej: 0/0 (0.00%)]

Ante la evidencia, los administradores de ESEA se han visto obligados a realizar declaraciones al respecto. En primer lugar, lpkane confirmaba en los foros que se había añadido el cliente para minar Bitcoins como una "prueba de concepto" para el "April fools day" (similar al día de los inocentes en algunos países) y que debido un fallo se había activado en todos los clientes. Sin embargo, 10 horas después, una nota del co-fundador de la comunidad afirmaba que había sido una funcionalidad que se estudió, se canceló, y que algunos trabajadores habían añadido al código por su cuenta.

En resumen, en dos semanas se consiguió minar el equivalente a 3.713,55 dólares en Bitcoins sin más gastos para ESEA que el de su credibilidad y unas horas de programación, dinero que se va a donar a asociaciones. Sin embargo, no hay plan para reembolsar a los usuarios el consumo eléctrico y el hardware dañado por la "broma".

Para más información y ampliación del incidente, se pueden visitar los hilos de Reddit:

http://www.reddit.com/r/Games/comments/1dglil/popular_competitive_gaming_league_esea_admins/

http://www.reddit.com/r/GlobalOffensive/comments/1dgad2/esea_client_basically_a_virus/

Más información:

BitCoin: fabricando dinero digital ¿a costa de terceros?

http://unaaldia.hispasec.com/2011/06/bitcoin-fabricando-dinero-digital-costa.html

https://en.bitcoin.it/wiki/OpenCL_miner

Bitcoin part 1

http://play.esea.net/index.php?s=forums&d=topic&id=492134

WARNING YOU ARE BEING MINED

http://play.esea.net/index.php?s=forums&d=topic&id=492102

Bitcoin Fiasco

http://play.esea.net/index.php?s=news&d=comments&id=12692

Francisco López

flopez@hispasec.com

Salto de pantalla de bloqueo en Android a través de Viber

noreply@blogger.com (Hispasec) — Tue, 30 Apr 2013 19:23:00 +0000

La aplicación de mensajería y VoIP Viber, añade un método (de los que han aparecido en los smartphones en los últimos meses) para eludir la pantalla de bloqueo, esta vez solo para sistemas Android. El fallo es provocado por un mal control del bloqueo de la pantalla. Viber Media ya ha publicado una nueva versión que lo soluciona.

Viber es una aplicación de mensajería y VoIP para smartphones que permite realizar llamadas utilizando la red WiFi o 3G. También permite compartir con otros usuarios imágenes, vídeo, audio e información de posicionamiento. Existen versiones para iOS, Android, Windows Phone (incluida la versión 8) y Symbian, entre otros. La red de Viber alcanzó 175 millones de usuarios entre todos los sistemas el pasado febrero.

La firma de seguridad vietnamita Bkav ha descubierto un fallo en el manejo del bloqueo de pantalla realizado por Viber. Este fallo puede permitir a un atacante que tenga acceso físico al dispositivo eludir la pantalla de bloqueo y así tener acceso total al sistema.

Para ello, solo es necesario saber el contacto de la víctima y que esta tenga Viber instalado en su terminal. Así, se pueden enviar mensajes a través de la mensajería de la aplicación al dispositivo, hacer aparecer el teclado y, a través de distintos pasos dependientes del terminal, desbloquearlo sin necesidad de conocer la combinación de seguridad.

El fallo se debe a un mal uso de los permisos de la aplicación. Existe un permiso que permite a las aplicaciones desactivar el bloqueo (por ejemplo, para responder a una llamada entrante). Viber hace uso de este permiso, pero parece fallar en el control del bloqueo cuando se realizan estas acciones.

Bkav ha publicado una serie de vídeos donde demuestran la explotación del fallo. Por ejemplo, para Google Nexus 4 y HTC Sensation XE:

http://www.youtube.com/watch?&v=JQhNMJpAlto

http://www.youtube.com/watch?v=gSB1MvGFfB4

Viber Media ya ha puesto a disposición de los usuarios la versión 2.7, que soluciona este problema. Sin embargo, esta actualización no está disponible a través de Google Play, por lo que los usuarios del servicio deberán descargar el paquete de la aplicación directamente desde el enlace que se ha proporcionado a tal efecto.

(http://helpme.viber.com/index.php?/Knowledgebase/Article/View/409/60/viber-unlocks-screen).

Para mayor seguridad en el futuro, es posible desactivar el comportamiento predeterminado de ventana emergente para los mensajes a través de las opciones de la aplicación.

Más información:

Critical flaw in Viber allows full access to Android Smartphones,

bypassing lock screen

http://www.bkav.com/top-news/-/view_content/content/46264/critical-flaw-in-viber-allows-full-access-to-android-smartphones-bypassing-lock-screen

Francisco López

flopez@hispasec.com

Múltiples vulnerabilidades en el proyecto grid BOINC

noreply@blogger.com (Hispasec) — Mon, 29 Apr 2013 08:15:00 +0000

El proyecto BOINC ha actualizado recientemente sus versiones cliente y servidor para corregir múltiples vulnerabilidades que podrían afectar a los usuarios de la red y sus proyectos.

BOINC (Berkeley Open Infrastructure for Network Computing) es una red global de computación voluntaria, creada por la universidad de Berkeley y utilizada ampliamente por millones de usuarios para disponer de redes de ordenadores dedicados al análisis de datos que requieran una gran potencia de cómputo, relacionados generalmente con proyectos transcendentales como médicos (análisis del genoma, DNA@Home), meteorológicos (Climateprediction.net) o incluso astronómicos como el conocido SETI.

La red distribuida (grid) necesita de un cliente para acceder y poder disponer de la potencia de cómputo del ordenador conectado en ese momento así como un servidor que gestione y distribuya las peticiones de cómputo en cada momento.

Las vulnerabilidades que se han solucionado son las siguientes:

Diversos desbordamientos de memoria intermedia basada en pila en el parser XML (CVE-2013-2298), tanto en la versión cliente como servidor v7.x, y en la gestión de elementos file_signature, afectando esta vez sólo a las v6.10.58 y v6.12.34.
Varias inyecciones SQL, en la parte servidor del planificador (boinc_db.cpp), y en el apartado web team_search.php vulnerable a través del parámetro type.

Las vulnerabilidades así como otras funcionalidades han sido corregidas en las nuevas versiones 7.0.64/7.0.65 disponibles al público desde:

http://boinc.berkeley.edu/download.php

Más información:

Multiple vulnerabilities in BOINC

http://seclists.org/oss-sec/2013/q2/214

Proyectos que usan BOINC:

http://es.wikipedia.org/wiki/Anexo:Proyectos_que_usan_BOINC

José Mesa Orihuela

jmesa@hispasec.com