domingo, 31 de enero de 2010

¿Dialers en Telefonos moviles?

Ya hace tiempo cuando la Banda ancha era aun un quimera para los usuarios de casa y solo teníamos conocimiento de ella desde países mas desarrollados en cuanto a Internet se refiere los Modems de 56K conectados a la linea Telefonica eran sin duda nuestra mejor opción para conectarnos con el mundo por Internet (ni que decir tiene que muchos de nosotros hemos sufrido la desesperante lentitud que tenían estos por no hablar del sonido que salia desde sus tripas cuando intentaba conectarse a la red de redes.

Bueno dejando a un lado todo esto muchos de nosotros teníamos por aquel entonces antivirus que en mayor a menor medida nos alertaban del Malware que existía por aquella época y uno de los mas temidos eran los conocidos Dialers los cuales modificaban tu conexión para redirigirla hacia una numero de tarificacion especial que por supuesto era mucho mas caro con el consiguiente susto de muerte en nuestra factura un mes después.

Bueno pues desde The Register he podido leer que estos programitas tan simpáticos inucuos hoy en dia desde la introduccion de la Banda ancha en los Pcs de casa han vuelto como si del ave fenix se tratara para atormentar en este caso a los usuarios de Móviles, al parecer los troyanos estan programados en Java y una vez infectado el terminal su funcion es mandar SMS a numeros de muy alto coste con el consiguiente perjuicio económico para el inocente usuario.

Asi que habrá que estar muy atentos a esta nueva proliferación de nuestro "querido" y casi olvidado Dialer, de momento y que yo sepa lo mejor que podemos hacer para no infectarnos con nuestro amigo es no instalar nada en nuestro terminal que no este firmado digitalmente, esa es la menor opción que tenemos hasta el momento.

martes, 26 de enero de 2010

Bypass con Metasploit: atacando a nuestro objetivo desde una maquina ya comprometida

Algunas veces, al realizar un ataque es necesario vulnerar varias maquinas hasta llegar a nuestro objetivo final, uno de los interrogantes mas comunes en estas situaciones es ¿Como puedo atacar una maquina desde otra la cual ya tenga acceso?

Veamos un ejemplo:


pivote con el metasploit



Como podemos ver en la imagen anterior, un atacante puede ganar el acceso en algún servidor que se encuentre en la DMZ (zona desmiritalizada) y desde allí atacar otras maquinas que se encuentren detrás del cortafuegos. Para hacer esto posible el amado y conocido Metasploit nos puede ser muy útil.

El primer paso obviamente es encontrar una vulnerabilidad en el servidor que se encuentra en la DMZ, explotarla usando como payload meterpreter. En la consola del metasploit digitamos:

use [exploit que ataca la vulnerabilidad encontrada]
set PAYLOAD windows/meterpreter/bind_tcp
set RHOST [ip_host_dmz]
exploit-que-ataca-la-vulnerabilidad-encontrada

Ahora necesitamos saber el ID de la sesión, para esto digitamos lo siguiente en la consola de meterpreter:

sessions -l

El siguiente paso es crear una ruta hacia la maquina objetivo, indicando su ip, la mascara y el ID session que obtuvimos en el paso anterior:

msf> route add [ip_maquina_objetivo] [Mascara de red] [ID-Session]

Por ultimo, lanzamos el ataque a la maquina objetivo, de forma normal como se haría en cualquier caso, es decir buscando la vulnerabilidad y aplicando el exploit respectivo, lo diferente es que debemos decirle al metasploit que debe pasar por el pc que ya se tiene acceso:

msf> use [exploit_necesario]
msf> set PAYLOAD windows/meterpreter/bind_tcp
msf> set RHOST [maquina_objetivo]
msf> exploit

De esta forma podremos bypassear usando el metasploit, algo muy útil para todos los interesados en el área de la seguridad informatica.

Fuente: http://www.dragonjar.org/bypass-con-metasploit-atacando-a-nuestro-objetivo-desde-una-maquina-ya-comprometida.xhtml

miércoles, 20 de enero de 2010

Grave vulnerabilidad en Windows permite elevar privilegios -Otro 0 Day-

Desde Hispasec acabo de leer que se ha publicado un Exploit con video incorporado el cual eleva privilegios en cualquier sistema Windows, aquí os dejo mas información de este nuevo 0 Day del SO de Microsoft.

Se han publicado los detalles de una grave vulnerabilidad en todas las versiones de Windows que permite elevar privilegios en el sistema. No existe parche disponible y el exploit está al alcance de cualquiera, lo que lo convierte en un serio "0 day" para Microsoft.

Tavis Ormandy, reputado investigador de seguridad que ha encontrado numerosos fallos de seguridad en diferentes programas, ha publicado un exploit para una vulnerabilidad que permite elevar privilegios en Windows. Se trata de un fallo de diseño que arrastran todos los Windows de 32 bits (basados en tecnología NT) desde 1993. Esto va desde el NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista.

El fallo reside en el soporte heredado de aplicaciones de 16 bits. No se valida correctamente el cambio de contexto y pila que se efectúa al llamar al manejador GP trap. Windows comete algunos errores y asume incorrectamente que:

* Se requiere el privilegio SeTcbPrivilege para configurar un contexto VDM (Virtual DOS Machine) .
* Código en ring3 no puede instalar selectores de segmento de código arbitrarios. Usando el modo Virtual-8086, es posible.
* Código alojado en el ring3 (espacio de usuario) no puede falsificar un "trap frame".

Ormandy consigue eludir estas cuestiones, y el resultado es que un usuario puede realizar un cambio de contexto en el núcleo y ejecutar código como SYSTEM, el máximo privilegio en el sistema.

Para eludir el tercer punto, se necesita acceder a una dirección de memoria, que es siempre la misma en todos los Windows menos Vista y Windows 7 que realizan una "aleatorización" de la carga en memoria. Se supone que esto protege de este tipo de ataques. Sin embargo, usando NtQuerySystemInformation(), se puede llegar a calcular dónde está esa dirección aunque sea diferente en cada inicio, con lo que la protección ASLR (Address space layout randomization) también se ve eludida.

Ormandy avisó a Microsoft en junio de 2009, y poco después confirmaron el problema. Harto de que no publicasen una solución (que considera no muy compleja), ha decidido hacer público el fallo. Él mismo entiende que esta vulnerabilidad afecta de forma más seria a empresas y corporaciones que mantienen a sus usuarios con privilegios limitados. Por desgracia, la mayoría de usuarios caseros utilizan ya la cuenta de administrador en su Windows (no tan poderosa como SYSTEM, pero equivalente a efectos prácticos) para tareas cotidianas, con lo que la elevación de privilegios no suele ser un requisito en los ataques.

El exploit ha sido probado y funciona a la perfección. La buena noticia es que es relativamente sencillo mitigar el problema. Incluso ha publicado vídeos en Youtube de cómo hacerlo, destinados principalmente a administradores. Evitar el fallo implica deshabilitar el soporte para aplicaciones de 16 bits, que se supone no será ningún problema para la mayoría de usuarios.

Los pasos son los siguientes:

Desde la consola de políticas (gpedit.msc) abrir "Configuración de equipo", "Plantillas administrativas", "Componentes de Windows", "Compatibilidad de aplicación" y habilitar la política "Impedir el acceso a aplicaciones de 16 bits". Es importante asegurarse de que es aplicada a los sistemas que dependen del controlador de dominio, forzando una actualización de políticas.

Los vídeos publicados con cómo realizar esto (en inglés) desde la consola de políticas y aplicarlo a todos los clientes de un Directorio Activo están disponibles desde:

Windows Server 2003:
http://www.youtube.com/watch?v=XRVI4iQ2Nug

Windows Server 2008
http://www.youtube.com/watch?v=u8pfXW7crEQ

Para Windows XP:
http://www.youtube.com/watch?v=u7Y6d-BVwxk

Para sistemas más antiguos, NT4, aquí se explica cómo deshabilitar esta funcionalidad:
http://support.microsoft.com/kb/220159

Este es un grave revés para Microsoft. Si los administradores quieren mantener su red de usuarios controladas hasta que exista parche oficial, se recomienda aplicar esta solución temporal lo antes posible.

Fuente: http://www.hispasec.com/unaaldia/4106

martes, 19 de enero de 2010

Microsoft prepara un parche de emergencia de IE para contrarrestar exploit público.

Microsoft empezó a dejar trascender pistas claras sobre un parche de emergencia para Internet Explorer que sería liberado muy pronto para contrarrestar los ataques dirigidos y la publicación de un código de explotación para una vulnerabilidad "navegue y quede bajo control" en su navegador web insignia.

La actualización fuera de calendario será liberada una vez que la compañía quede satisfecha con que haya sido probado apropiadamente en todas la versiones afectadas de Windows. Esto podría suceder tan pronto como este mismo fin de semana.

[ VEA: Microsoft dice que Google fue hackeado con un 0 day de IE ]

La decisión de lanzar el parche de IE fuera del calendario programado de Microsoft de los martes de parches, viene después de la publicación de un código en la herramienta de ataque Metasploit.

El código Metasploit sólo funciona contra el Internet Explorer 6 pero hay afirmaciones en la comunidad de investigadores de seguridad sobre que la vulnerabilidad ha sido explotada exitosamente en IE7 (Windows Vista) así como también en IE6 y en Windows XP.

"[Tweet-dinodaizovi]:Y ahora mi exploit Aurora funciona
en IE7 en Vista además de IE6, IE7 en XP.
Recuerden niños, DEP no sirve de nada
si la aplicación no elige usarlo."

La vulnerabilidad fue descubierta durante los ataques de día cero contra varias compañías muy importantes de EEUU, incluyendo Google, Adobe y Juniper Networks. Durante esos ataques, malware de robo de información explotaron la falla contra sistemas que corrían IE6 en Windows XP.

[ Vea: Adobe confirma brecha 'sofisticada y coordinada' ]

Microsoft dice que los ataques actuales siguen "dirigidos a un número muy limitado de corporaciones" y solo son efectivos contra el Internet Explorer 6. Sin embargo, con el código del exploit ahora en Metasploit, los proveedores de malware pueden comenzar a juguetear con exploits ajustados para versiones mas nuevas del navegador.

Ahora, Microsoft está implorando a sus clientes para que actualicen inmediatamente a IE8. Una página de guía especial ha sido publicada para ofrecer información sobre como mitigar esta vulnerabilidad y evitar ataques.

El equipo de Microsoft’s Security Research & Defense (MSRD) ha creado y publicado una herramienta de un solo clic "Repárelo" ("Fix it") que permite a los usuarios habilitar DEP (Prevención de ejecución de Datos) en versiones más antiguas del navegador. DEP, una mitigación crucial anti-exploits, está habilitado por defecto solo en IE8.

Aquí un video que muestra el exploit en Metasploit funcionando:

The "Aurora" IE Exploit in Action from The Crew of Praetorian Prefect on Vimeo.

Fuente: http://blog.segu-info.com.ar/
video

Traducción: Raúl Batista - Segu-info
Autor: Ryan Naraine
Fuente: Blogs ZDnet

Saludos a Raúl.

viernes, 15 de enero de 2010

Back-Track 4 Final.

Después de la versión Beta de Back-Track 4 offensive security por fin a decidido liberar el producto final de dicho programa con sus consiguientes mejoras, entre ellas la mas destacables pueden ser el nuevo Kernel (2.6.30.9) las actualizaciones de muchas de sus variadas herramientas y la inclusion de otras nuevas como wapiti, CeWL.

Desde la pagina oficial de Back-Track podemos encontrar mucha informacion sobre esta nueva actualización que sin duda hará las delicias de muchos de los que seguimos esta distribución.

Descarga de Back-Track.

O una imagen de VMWare, con el BackTrack instalado:

Fuente: Hackdosx

0-day en Internet Explorer: Detrás de los ataques a grandes compañías.

Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando, que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.
En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail que han estado siendo accedidas de forma ilícita durante cierto tiempo, relacionadas con activistas pro derechos humanos en China de varios continentes.
Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.
McAfee y la "Operación Aurora"
Dentro del marco de investigación conjunta de las compañías afectadas y entidades públicas, los laboratorios de McAfee han analizado varias muestras de malware involucrado en los ataques. De esta forma descubrieron en uno de los ejemplares una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario.
En detalles sobre el ataque, McAfee sospecha que han sido planeados sobre objetivos muy concretos, en particular, personal con acceso a propiedad intelectual valiosa y con métodos de ingeniería social para garantizar el éxito de la infección.
Acerca del malware, utiliza un abanico de vulnerabilidades 0-day. En este punto, McAfee aclara que no han encontrado evidencias hasta el momento sobre un posible y nuevo 0-day en el lector de Adobe, tal como se ha estado especulando en los medios. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado.
Respecto del mediático nombre de "Operación Aurora", se debe a que el nombre "Aurora" aparece como parte en una ruta de archivo que McAfee halló en dos de los binarios analizados y que presumiblemente, según McAfee, sería el nombre con el que el atacante bautizó la operación.
Microsoft y el 0-day
Poco después, la reacción de Microsoft no se hizo esperar y ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer. Que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Está vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada para este fin.
Las versiones afectadas son la 6, 7 y 8 en los sistemas operativos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008.

Fuente: http://www.hispasec.com/

miércoles, 13 de enero de 2010

0 Day en MySQL

Bueno pues va la cosa de vulnerabilidades del tipo 0 day, en este caso y al parecer le ha tocado a MySQL incluidas las versiones 5.x ( de momento la ultima es la 5.1). Antes dije al parecer porque no todos creen que se trate de una vulnerabilidad real (o al menos no tan critica) sin embargo la fuente de donde proviene Intevydis hace pensar lo contrario puesto que y hasta donde yo llego tengo entendido de que es una empresa seria incluso se han permitido el lujo de colgar un vídeo de demostración, en fin tendremos que estar atentos a esta nueva vulnerabilidad y a toda información nueva que pueda salir puesto que podría tratarse de algo muy serio.

Mas info en Sans (en Ingles).

Fuente: Hackdosx