martes, 25 de septiembre de 2012

Fallo de seguridad en el Internet Explorer de Microsoft



Hola a todos,

  El pasado 18 de Septiembre se hizo público un grave agujero en las versiones activas de Internet Explorer, para todas las versiones de sistemas operativos. Normalmente cuando se descubre una  vulnerabilidad se dá un tiempo al fabricante para que la solucione, si se hace pública sin que exista parche se habla de un "Zero-Day" como es el caso. Lo que indica que es un grave el riesgo de seguridad. Ademas se sabe que está siendo utilizada.


  Lo primero de todo, siempre que recibáis un aviso de este tipo, debéis analizar cual es la fuente y contrastarla con otras antes de tomar ninguna actuación.
  http://tecnologia.elpais.com/tecnologia/2012/09/18/actualidad/1347955876_102489.html
  http://www.elmundo.es/elmundo/2012/09/20/navegante/1348127917.html

  Podéis encontrar información detallada en estas páginas, en el texto del final del blog de Hispasec, a los que por cierto felicito por su reciente asociación con Google, en las páginas oficiales tipo
https://www.osi.es/es/actualidad/avisos/2012/09/fallo-de-seguridad-en-el-navegador-internet-explorer o en el propio Microsoft.

  En muchas de ellas se recomendaba cambiar a otro explorador como Firefox o Chrome mientras Microsoft la solucionaba. Lo que no tiene en cuenta esta recomendación es la incapacidad de muchos usuarios para hacer esto, los costes que puede suponer para las empresas con gran cantidad de equipos y usuarios, donde no solo se debe sopesar el coste de distribución e instalación sino también el de formación y uso del nuevo navegador, que no tendrá una curva plana, sus incompatibilidades y el soporte a incidencias. De hecho basta cambiar a alguno de estos navegadores un rato y veremos que algunas de las paginas que habitualmente usamos no funcionan, o no lo hacen del todo. OJO, no quiero decir que el de Microsoft sea mejor, sino que no hay una solución perfecta.

  En cualquier caso Microsoft dice haber resuelto el problema y ha publicado un parche acumulativo fuera de sus circuitos habituales de todos los martes. Es muy recomendable que aquellos que sigáis usando este navegador lo apliquéis. Para ello usar la página http://windowsupdate.microsoft.com/ o http://support.microsoft.com/kb/2744842. Podéis encontrar más información del parche en http://www.hispasec.com/unaaldia/5081.

   Como siempre la mejor seguridad la aporta el sentido común y si no ejecutamos enlaces desconocidos o sospechosos tendremos mucho ganado.

   Besitos para ellas y abracitos para ellos. 


*********************************************************************************

Grave vulnerabilidad sin parche en Internet Explorer está siendo  aprovechada por atacantes
 ----------------------------------------------------------------

Se ha descubierto un nuevo exploit que aprovecha una vulnerabilidad crítica en Internet Explorer. Permite la ejecución remota de código arbitrario y que está siendo usada por atacantes. Afecta a las versiones 7, 8 y 9 del navegador en todas las versiones del sistema operativo.

Se ha descubierto una vulnerabilidad en Internet Explorer, previamente desconocida y que está siendo aprovechada por atacantes. Uno de los datos más curiosos es cómo fue descubierto por el investigador Eric Romang (@eromang), y que indica que este 0-day podría estar relacionado por los mismos autores de la grave vulnerabilidad en Java de hace solo unas semanas. Después del descubrimiento del problema en Java, Eric Romang monitorizaba regularmente algunos de los servidores desde donde se sabía que se distribuía aquel exploit y relacionados con sus desarrolladores. El día 14 de septiembre detectó que se había creado nuevo directorio en uno de ellos donde se alojaba el código para aprovechar una nueva vulnerabilidad, que resultó ser esta de Internet Explorer.

El fallo permite la ejecución remota de código a través de una vulnerabilidad en la función execCommand utilizando referencias no válidas a puntero ya liberado (use-after-free). En el código del exploit esto se consigue mediante la creación de un objeto 'CMshtmlEd', su eliminación y posterior uso de la zona de memoria mediante CMshtmlEd::Exec. Una vez explotada la vulnerabilidad, se ejecuta el payload mediante la técnica del relleno de la memoria heap mediante NOPs (heap spray) y del propio shellcode para conseguir su ejecución. Elude DEP y ASLR con técnicas ROP y después carga un troyano del servidor malicioso.

En el siguiente vídeo se puede observar todo el proceso, llevado a cabo en un servidor comprometido donde se alojaban tanto el exploit de IE como el conocido RAT Poison Ivy, encargado de controlar a la potencial víctima.

http://youtu.be/_w8XCwdw5FI

El diagrama de flujo del ataque sería el siguiente:

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgm3k9h1chMeKILnVfyUQFLTeu9WdAtNnpfK6PIDKJMzoyFDEt1BbSd_hbcnapgqDw7c6aV4tQHTI4CIMpnHTGsuarslD9IGoN-Y175SVa8RTmuGuqcxghT0bARuJj_5cxtNOrdkIG-x9I/s1600/diagram.png

El exploit (Protect.html) inicialmente no era detectado por ninguna casa
antivirus:

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqsVqNJ9teTbygeTFixFwI3TMyR168i6sBGUkS7MJuTzDVxZFbcr3qlBIi3fmpiTBPt9TaxZA2Lt2iEt43XmwIsjOwjGS4FAMUn2rNks3qc1pTc2JKTwp7Qf2vb14Kk_7sD3p_HNrVecg/s1600/VT_nodetection.png

Aunque finalmente Microsoft ha actualizado sus definiciones de antivirus identificando la familia del exploit como Dufmoh.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWfsr0LmQoW09zO3WkCCg3gb_gz-ZMmKvre9AFBVAVs4CGn-lyNGjrG1oVt69cTgnu4IPhRbM4_x312BV_okZWWV84ajiEQav77MIECJU6Xgnzl4UYwsHca3Z79VTsAA931hADEBetiYk/s1600/Dufmoh_detection.png

Este 0-day está siendo ampliamente explotado tras la publicación del script para Metasploit. Aunque el módulo de Metasploit está creado para Internet Explorer 8, se podría modificar para otras versiones.

http://postimage.org/image/zf4qdbmuf

No existe parche o contramedida oficial por parte de Microsoft, por lo que se recomienda el uso de otros navegadores hasta que sea publicada una actualización. EMET correctamente configurado, podría permitir detener el vector de ataque.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/09/grave-vulnerabilidad-sin-parche-en.html#comments

Más información:

Zero-Day Season Is Really Not Over Yet
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/

IE execCommand fuction Use after free Vulnerability 0day en http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day_en/

metasploit: Microsoft Internet Explorer execCommand Use-After-Free Vulnerability http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

Mmm, Smells Like 0day
http://blog.beyondtrust.com/bid/89587/Mmm-Smells-Like-0day

New Internet Explorer zero day being exploited in the wild http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild

Exploit:Win32/Dufmoh.B
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aWin32%2fDufmoh.B&threatid=2147663168

Microsoft Internet Explorer execCommand Use-After-Free Vulnerability http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265
https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/analysis/1347710701/


Jose Mesa
jmesa@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
@ssantosv

Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

viernes, 21 de septiembre de 2012

iOS6 Nuevo sistema operativo de Apple para IPhone, IPad e IPod


  Como últimamente está ocurriendo Apple aprovecha la presentación de un nuevo dispositivo para lanzar un salto en la versión del sistema operativo que junto a las Apps hace que la usabilidad de estos terminales sea una de las mejores.
 
  Si quieres saber que novedades trae puedes consultar http://www.apple.com/es/ios/whats-new/
 o bien otro punto de vista. http://www.xataka.com/tablets/ios-6-y-sus-novedades

  Como ocurre con muchas cosas en tecnología hay que evitar ser los primeros en hacer la actualización, lo que demuestra los problemas que han surgido con la misma, y para evitar hacer de conejillo de indias en funcionalidades que pueden ser modas pasajeras. Recomendación espera al menos 2 o 3 meses desde el lanzamiento. Algunos de los problemas :
http://tecnologia.elpais.com/tecnologia/2012/09/19/actualidad/1348065405_331997.html
 
  Es cierto que estoy esperando desde hace un tiempo la funcionalidad de Siri en castellano, que ya  he probado en ingles, y lo cierto es que es mucho menos de lo que me esperaba. En cualquier caso y viendo la cantidad de tiempo que pierde mucha gente escribiendo mensajes, esta claro que el futuro tiene que acercar las funcionalidades de voz al gran público. Dictar mensajes, ejecutar operaciones solo con tu voz, o incluso hacer consultas sobre que restaurantes hay en la zona donde estas, son cosas que no tardaremos en hacer de forma rutinaria. Pero parece que desde Apple piden paciencia para que las cosas funcionen como esperamos http://tecnologia.elpais.com/tecnologia/2012/09/21/actualidad/1348195336_138588.html


  Un saludo
Publicado por en No hay comentarios:
Etiquetas: , , , , , , ,

La seguridad de las tarjetas de crédito con chip en entredicho



  Como el tiempo siempre demuestra la seguridad absoluta no existe, y este tipo de hechos denotan dos cosas, que el cambio a chip no impide, aunque si reduce mucho el fraude, y que España es un lugar llamativo para los delincuentes.

  Un saludo


Un estudio desvela que es posible clonar tarjetas de crédito con chip
 ---------------------------------------------------------------------

Un grupo de investigadores de la universidad de Cambridge han descubierto una vulnerabilidad en el sistema de seguridad que llevan las tarjetas con chip. Según este método, se podría llegar a clonar una tarjeta de crédito y efectuar una transacción fraudulenta.

EMV es un estándar de interoperabilidad desarrollado por Europay, MasterCard y Visa en los años 90 para la autenticación de pagos mediante tarjetas de crédito y de débito. Este nuevo sistema se planteó para sustituir a las inseguras tarjetas con banda magnética, cuyo sistema de seguridad no era suficiente para impedir su clonación.

Desde hace varios años, las tarjetas están abandonando la insegura banda magnética en favor del chip incrustado que contiene información cifrada.
El acceso a la información requiere un código PIN secreto para que la operación se lleve a cabo correctamente. A grandes rasgos, el proceso a la hora de efectuar una transacción es el siguiente:

* Cuando un terminal o ATM (Automatic Teller Machine) quiere iniciar una transacción, este envía toda la información (cantidad, moneda, fecha,
etc...) a la tarjeta que se encuentra insertada, junto con un código llamado UN (Unpredictable Number) que el cajero o terminal genera al vuelo en el momento de la transacción.

* La tarjeta usa una clave de cifrado secreta, que se encuentra guardada en el chip, para generar un código que autoriza la petición (ARQC) a partir de los datos de la transacción y el UN facilitado por el terminal. El ARQC es enviado de vuelta al terminal.

* El ATM envía el código ARQC junto con el PIN cifrado y el UN en texto plano al banco de la tarjeta en cuestión.

* Por último, el banco descifra el ARQC y valida la información que contiene. También valida el UN que contiene el ARQC que el terminal ha enviado en texto plano. Si ambos coinciden, la transacción es válida y autorizada.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiZQsKm8ijC8_H60RxItlH6sOO7Av6mhu-cDPVpLUXQGVnDBdck3hHK-L72b9f_ES6k5rOgApwaY8mr_uC0febEmirGXmG7b5i8RBZstv-gAvMBzVne9mTnM4yJpM5O5JauGnkwZYmzFIM/s1600/tarjetascredito-1.png

En particular, el caso que inició esta investigación fue el ocurrido a un cliente del banco HSBC por el que varias transacciones fraudulentas fueron realizadas a través de un terminal de Palma de Mallorca, el 29 de junio de 2011. Una vez conseguidos estos registros, fueron revisados y se pudo comprobar que unos de los campos que identifica la transacción, el UN, tenía poco de "unpredictable":

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji8sW6togRGUS7zNh4sp6dQmAsHIU2yhyphenhyphenhR8V8Fsi6vX4WXJGpg785-lcTCM_h3si3RhftVITzzv00CFPDTv9aJQAUbLx0jrUcud2YgXxp6_FJ5fN7wyTrWPSypKPbZOLh7Vy7Q96F-kM/s1600/tarjetascredito-2.png

En la mayoría de los casos analizados se comprobó que este valor era generado usando un algoritmo "aleatorio" bastante pobre (a veces, incluso contadores, dependiendo del terminal) permitiendo la posibilidad a un ataque de tipo "pre-play".

Un ejemplo de este tipo de ataques propuesto por estos investigadores es el siguiente:

* Un negocio "tapadera" controlado por los atacantes, podrían usar un terminal modificado para guardar la información de la tarjeta y el PIN que el cliente ha introducido para realizar un pago legal. A la vez que se realice esa transacción, se puede obligar a la tarjeta a generar otro código ARQC para una transacción con fecha futura y UN específico. El UN será un número que los atacantes saben que será generado por un modelo específico de terminal en el futuro.

Después de recibir el segundo código ARQC de la tarjeta, el atacante podrá crear una tarjeta clonada con la información de la tarjeta legítima y programarla con el código ARQC que contiene la información de la transacción futura. Por último, el atacante tendrá la posibilidad de efectuar una única transacción con esa tarjeta para la fecha que se fijó.

En resumen, se tendría un efecto similar al de clonación que existe hoy con las bandas magnéticas, pero con tarjetas protegidas con chip.

Los investigadores avisaron a los responsables de la pobre aleatoriedad de creación de los UN por parte de algunos terminales. Al parecer, no han recibido demasiada atención.

Terminan con una dura crítica hacia las entidades bancarias a las que acusan de conocer los riesgos que entraña este sistema de pago y aún así ocultarlos. Por su parte, la Financial Fraud Action (organización que se encarga de controlar el fraude financiero en Gran Bretaña) ha insistido en que en nunca dijeron que la eficacia de estas nuevas tarjetas fuese absoluta además de que, si bien es cierto que los atacantes puedan realizar operaciones fraudulentas, sería muy arriesgado.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/09/grave-vulnerabilidad-sin-parche-en.html#comments

Más información:

Chip and Skim: cloning EMV cards with the pre-play attack http://www.cl.cam.ac.uk/~rja14/Papers/unattack.pdf

Chip and pin 'weakness' exposed by Cambridge researchers
http://www.bbc.com/news/technology-19559124


Daniel Vaca
dvaca@hispasec.com

Publicado por en No hay comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)