Vulnerability Team

Cada día surgen nuevas noticias sobre el malware en el Android Market, el malware móvil parecía algo lejano, pero ya es una realidad.

El último caso detectado es el de tres conocidos desarrolladores (MYOURNET, Kingmall2010 y we20090202), que probablemente sean la misma persona, ofreciendo una serie de aplicaciones Android de descarga gratuita. La mayoría eran copias ‘troyanizadas’ de aplicaciones legítimas de otros desarrolladores.

Timothy Armstrong, uno de los Expertos de Kaspersky Lab, ha descargado una de estas aplicaciones, Super Guitar Solo concretamente, y ha encontrado un conocido exploit (Rage Against the Cage) que se usa habitualmente para obtener privilegios de ‘superusuario’ en los teléfonos Android y facilita el acceso completo al sistema operativo del teléfono, ejecutándose sin el consentimiento del propietario.

El troyano intentará por todos los medios que la aplicación identifique el producto, el tipo de dispositivo, el idioma, el país y el usuario, entre otras cosas, y luego subirlas a un servidor remoto al servicio de los ciberdelincuentes.

Los usuarios de Android disponen de una cuenta GMail asociada a su equipo, por lo que pueden instalar cualquier aplicación de forma remota desde la tienda de Android. Si el smartphone está conectado a Internet, la pantalla del dispositivo mostrará de forma inmediata que se está instalando un programa. El problema es que en el Android Market, los permisos sólo se muestran en la página de aplicaciones de la interfaz web y una vez concedidos, la aplicación se instala sin mostrar ninguna notificación.

De este modo, instalar aplicaciones no sólo es más cómodo para el usuario, sino también para cualquier otra persona que tenga acceso a la cuenta de Gmail. Esto permite que los ciberdelincuentes puedan comprar e instalar en el smartphone cualquier aplicación disponible en el Android Market.


fuente: diarioti.com

Xuxian Jiang, profesor de la Universidad Estatal de Carolina del Norte y experto en seguridad informática ha descubierto la forma de explotar un agujero de seguridad para conseguir hacerse con información personal, que afecta a los usuarios del sistema operativo móvil de Google.

Jiang asegura que el error se encuentra en la última versión de Android 2.3 o Gingerbread y que no es demasiado difícil de explotar, ya que sólo se precisan conocimientos de Javascript y Android.

El investigador afirma que ya han llevado a cabo una prueba de concepto con un teléfono Nexus S y han comprobado que es posible aprovechar esta vulnerabilidad para robar información personal del usuario propietario del teléfono. Esta vulnerabilidad permite el acceso a parte de los datos almacenados en la SD


Para que el ataque sea efectivo es necesario que el usuario haga click en un enlace malicioso y a partir de ahí el atacante podría obtener acceso al dispositivo y cargar las aplicaciones alojadas en el sistema o parte de la información almacenada en una tarjeta SD en a un servidor remoto.

Desde Google aseguran que ya se han puesto en contacto con este investigador para desarrollar una solución a este fallo de seguridad que estaría disponible en la próxima actualización de Android Gingerbread.

Esta vulnerabilidad es muy similar a la descubierta el pasado mes de noviembre por el investigador de seguridad Thomas Cannon, que también alertó de un agujero de seguridad en el navegador de Android que podía ser utilizado por los ciberdelincuentes para acceder a información personal de la tarjeta SD.

fuente: eweekeurope.es

Las vulnerabilidades en los sistemas operativos son unos de los principales vectores de ataques utilizados por los creadores de códigos maliciosos.

El pasado martes 4 de enero, Microsoft comunico a los usuarios de su sistema operativo la existencia de una vulnerabilidad del tipo 0-day, la cual es considerada crítica ya que afecta al intérprete de gráfico de Windows (Windows Graphics Rendering Engine), permitiendo al atacante poder ejecutar código malicioso de forma remota. Dicho vulnerabilidad es identificada como CVE-2010-3970 o ,en la publicación de Microsoft Security, como Advisory 2490606.

Los investigadores de seguridad Moti & Xu hao, los cuales descubrieron la vulnerabilidad, presentaron su trabajo en la conferencia “Power of Community” el día 15 de diciembre del 2010, en donde pudieron mostrar en vivo una prueba de concepto del exploit. Como ya mencionamos, recién el pasado 4 de enero, Microsoft confirmo la existencia de la misma.

La vulnerabilidad reside en la forma en que el motor de procesamiento maneja las imágenes en miniatura o de vista previa (thumbnails), permitiendo povocar un desborde de pila, también conocido como buffer overflow. Se ven afectadas casi todas las versiones de Windows, excepto los productos de Windows 7 tanto de 32 y 64 bits y Windows Server 2008 R2 (de 64x y Itanium). Es importante remarcar que la explotación de la vulnerabilidad se puede limitar dependiendo de los privilegios con los cuales se han iniciado la sesión.

También es importante recordar que ya se encuentra disponible el exploit en la red, y solamente requiere que se visualice el archivo thumbnail especialmente modificado, para explotar la vulnerabilidad. Algunas de las recomendaciones para minimizar el impacto de este ataque, es la restricción de ACL (lista de control de acceso) para el archivo shimgvw.dll, también es recomendable que a la hora de navegar en Internet, se lo realice con un usuario con permisos limitados.

Microsoft todavía no confirmo si el parche se va a encontrar disponible para el día martes 11 de enero, ya que, como es costumbre, este publica las actualizaciones para sus diferentes sistemas todos los segundos martes de cada mes. Esta vulnerabilidad se suma a otras 4 vulnerabilidades tipo 0-day que todavía no tienen parche, ante este problema Microsoft publicó un fix-it como solución temporal para algunos entornos.

Es importante tener en cuenta que mantener nuestro sistema operativo al día, y contar con una solución con capacidad proactíva de detección es imprescindible al momento de navegar por la red. Como mencionábamos en reportes anteriores gran parte de los usuarios no tiene en cuenta la importancia de las actualizaciones de seguridad y las consecuencias que la falta de las mismas pueden traer.

fuente: blogs.eset-la.com

Es difícil ignorar una invitación a los premios Nobel de la paz. Y eso es precisamente lo que querían los ciberdelincuentes cuando comenzaron a enviar un correo electrónico fraudulento con ese asunto. En concreto, la víctima recibe un correo electrónico falso con una invitación a la ceremonia del Premio Nobel otorgado a Liu Xiaobo que tiene este aspecto:

Muy convincente ¿verdad?
El correo electrónico incluye un archivo adjunto que es la "invitación oficial" para el evento. Y es esta "invitación formal" la que lleva las "sorpresas" para la víctima. En el momento en que el archivo PDF disfrazado de invitación es abierto, se activa un Exploit PDF (detectado por BitDefender ® como Exploit.PDF-TTF.Gen) con el fin de desencriptar y soltar tres componentes:

• iso88591 que contiene el payload;
• svchost.exe (identificado por BitDefender como Trojan.Dropper.Agent.VCS) que soltará un archivo en c:\windows\midimap.dll. Como hay otro archivo midimap.dll en la carpeta system32, cualquier aplicación que llame a las funciones de la DLL original en realidad estará llamando al archivo DLL malicioso que tiene una ruta más corta. Esta técnica se llama secuestro DLL y hará que todos los programas que necesitan reproducir un sonido (incluyendo reproductores multimedia, clientes de mensajería instantánea, navegadores y similares) activen el código malicioso;
• un archivp PDF limpio con una invitación para engañar a la víctima y que ésta siga creyendo que el correo es legítimo

Después de que los archivos maliciosos se hayan creado, el archivo PDF infectado cierraAdobe ® Reader ® y lo reinicia para mostrar el contenido del PDF limpio que actúa como engaño. De esta manera, el usuario es conducido a creer que todo ha ido tal como se describe en el mensaje y lo más probable es que pase por alto lo que sucedió en su equipo en segundo plano.

El backdoor intenta llamar a su casa [eliminado].3322.org y envía información sobre el nombre del sistema, sobre quién ha iniciado la sesión en el usuario, la CPU y la memoria física, etc. Cuando la comunicación entre el backdoor y el servidor de control se produzca, tu equipo estará ya, definitivamente, en manos de un atacante remoto.

No es la primera vez que utilizan los premios Nobel para realizar ataques de este tipo; recomedamos NO abrir ningun tipo de mensaje que provenga de alguna persona o entidad desconocida, tambien que que en lugar de abrirlos directamente desde el cliente de correo electrónico, se descarguen los archivos adjuntos y  antes de abrirlos analizarlos con antivirus.

Además, ten en cuenta que Adobe ha publicado un parche para proteger a los usuarios de la vulnerabilidad, así que asegúrate de que has actualizado tu aplicación antes de abrir cualquier documento PDF.

fuente: laflecha.net 

Los detalles que se han ofrecido en la publicación de esta vulnerabilidad son muchos, en el propio expediente se confirma que la vulnerabilidad es explotable en todas las versiones de Abobe Shockwave Flash Player y se ha puesto disponible un código de ejemplo para explotarlo en Windows XP SP3, junto con los binarios necesarios para probarlo.

Es probable que este exploit esté ya siendo incorporado a los kits de explotación, como Eleonore o Black Hole , para que dentro de poco sea una nueva puerta para la entrada de malware en los sistemas. Hay que recordar que estas vulnerabilidades de los visores que se cargan en los navegadores de Internet son del tipo "Browse and get Infected", o lo que es lo mismo, que para infectarse basta con navegar por una página web que tenga este exploit. Actualmente no se ha hecho público un exploit funcional para plataforma Mac OS X, pero desde Abobe se ha confirmado en el expediente de seguridad APSA10-04 que esta vulnerabilidad, catalogada como crítica con el código CVE-2010-3653, afecta también a los sistemas Macintosh.

Referencias: CVE-2010-3653

fuente: csirtcv.es

A mediados de julio se descubrió una vulnerabilidad del tipo 0-day en los accesos directos de Windows, si un usuario cargaba (aún sin hacerle doble clic) un acceso directo manipulado, el sistema podía infectarse automáticamente con el malware del atacante.

El problema era grave y los accesos directos maliciosos podían estar en cualquier parte, páginas web, correos electrónicos, carpetas compartidas, documentos y pendrives, en estos últimos se destacaba el hecho de poder lanzar el código sin necesidad del famoso autorun, ya que el equipo podía infectarse por el simple hecho de mostrar el acceso directo.

Pasaron 3 semanas hasta que Microsoft presentó un parche oficial que solucionaba el problema.

La vulnerabilidad de los accesos directos hoy:

Kaspersky ha publicado un interesante artículo sobre exploits y vulnerabilidades, en una parte publican una gráfica que representa la cantidad de amenazas detectadas que buscan explotar esta vulnerabilidad de Windows, conocida como CVE-2010-2568 , casualmente explotado por Stuxnet, el "nuevo virus" que esta aprovechando esta vulnerabilidad.

Como se aprecia en la grafica, la cantidad de exploits detectados no ha disminuido desde que la falla se hizo pública, incluso después de que Microsoft liberara el parche a principios de agosto las detecciones parecieron aumentar.

Este comportamiento es bastante típico ya que los atacantes saben que muchos usuarios no actualizan sus sistemas y por lo tanto son vulnerables, por mencionar un ejemplo, la mayoría de los ataques que explotan vulnerabilidades de Microsoft Office lo hacen por fallos conocidos que tienen parches disponibles desde hace 2 o 3 años.

La importancia de actualizar:

La situación sirve para recordar lo importante que es mantener nuestros equipos actualizados, no sólo el sistema operativo, sino también todos sus programas. Especialmente navegadores y complementos.

Los ataques que aprovechan esta clase de fallos se conocen como drive-by download e infectan los equipos sin que los usuarios lo detecten. Por ejemplo, si estuvieras navegando con una versión de Flash Player desactualizada, bastaría con acceder a una página infectada que aproveche una vulnerabilidad de esa versión de Flash para que el malware se ejecute en tu máquina... lo mismo podría suceder con documentos de Word manipulados y versiones de Office vulnerables, o PDFs maliciosos que se abran con una versión de Adobe Reader desactualizada.

Los caminos por los cuales estos ataques se pueden iniciar son muchos, páginas maliciosas, correos, enlaces, sitios legítimos infectados, pendrives, etc... el objetivo del atacante siempre será engañar la usuario para que ejecute su programa o accedas a donde él quiere para poder encontrar una vulnerabilidad en tu sistema y explotarla.


Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: spamloco.net

1- Linux Kernel Rose Protocol 'srose_ndigis' Heap Memory Corruption Vulnerability

Linux Kernel is prone to a heap-based memory-corruption vulnerability because it fails to properly verify signedness of user-supplied values.

Local attackers can exploit this issue to execute arbitrary code with kernel-level privileges. Successful exploits will result in the complete compromise of affected computers. Failed exploits can result in a denial-of-service





2- Linux Kernel 'do_io_submit()' Integer Overflow Vulnerability

The Linux kernel is prone to an integer-overflow vulnerability because it fails to properly validate user-supplied input.

Local attackers can exploit this issue to run arbitrary code with elevated privileges. Failed exploit attempts may crash the affected kernel, denying service to legitimate users


Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com

Zero Day Initiative de TippingPoint ha impuesto una nueva regla destinada a presionar a los fabricantes de software para que solucionen lo antes posible sus errores: si pasados seis meses desde que se les avise de un fallo de seguridad de forma privada, no lo han corregido, lo harán público.

iDefense y Zero Day Initiative son dos iniciativas de compañías privadas que compran vulnerabilidades, con la única condición de que se les cedan en exclusiva. La intención de estas dos empresas es apropiarse de vulnerabilidades relevantes en sistemas muy usados. Los investigadores privados que encuentren un fallo, pueden acudir a ellos a vender los detalles. Una vez pagan por la vulnerabilidad, estas dos empresas aplican la política de "revelación responsable" (o "coordinada" como prefiere ahora la industria), es decir, informan al fabricante del problema y anuncian el fallo (siempre que sea posible) sólo cuando existe parche disponible. Ambas compañías esperan (a veces pacientemente) a que el fabricante haya solucionado la vulnerabilidad para hacer público su descubrimiento. Se centran en vulnerabilidades relevantes, que supongan un impacto real y que permitan realmente ser explotadas por un atacante.

TippingPoint se ha cansado de esperar, y desde el 4 de agosto impondrá un límite de seis meses para que el fabricante solucione el fallo. Dicen que tienen unas 31 vulnerabilidades que llevan un año esperando. Según ellos esto no es aceptable. Por ejemplo, y según sus propios datos públicos, conocen seis vulnerabilidades críticas de IBM que llevan más de 600 días esperando a ser resueltas. También tienen más de 90 que llevan más de seis meses esperando. Ante este panorama, a los seis meses hará públicos ciertos datos del problema (en ningún caso todos los detalles), si el fabricante no ha creado un parche aún. En cualquier caso, dejan la puerta abierta a posibles excepciones si está justificado que la solución se demore por razones técnicas.

Según TippingPoint, una de las consecuencias de estas demoras es que cada vez con mayor frecuencia, los investigadores están descubriendo una vulnerabilidad y, pasado un tiempo, alguien vuelve a reportarla como nueva. Como los detalles no se hacen públicos, mientras se corrige, quien la descubre en segundo lugar no tiene forma de saber si ésta ha sido ya enviada o no a TippingPoint. Esto, evidentemente, indica que cuanto más tiempo tarde la solución, más probable es que alguien con no muy buenas intenciones la descubra y la aproveche en beneficio propio.

Esta iniciativa se enmarca en la agitada escena actual del "full disclosure". Hace poco el equipo de seguridad de Google (a raíz de la vulnerabilidad encontrada por Tavis Ormandy) afirmó que dejaría 60 días para que el fabricante creara un parche. Tras esto, Microsoft decidió cambiar la palabra "responsable" por "coordinada" en la expresión "responsible disclosure".

fuente: hispasec.com

El equipo de seguridad de la firma VUPEN ha reportado la detección de dos vulnerabilidades de seguridad críticas en Office 2010, la última versión de la suite ofimática de Microsoft que se lanzó al mercado hace unas semanas.

Por motivos de seguridad, no se han publicado detalles de las fallas, pero los investigadores aseguran que han desarrollado un exploit que les permite ejecutar código en la aplicación y eludir la protección de seguridad DEP (Data Execution Prevention). Señalan que este problema de corrupción de memoria sólo afecta a Excel, pero también han descubierto una segunda vulnerabilidad en Word.

VUPEN considera que Office 2010 es mucho más seguro que sus versiones anteriores, pero esperan encontrar todavía más bugs en las próximas semanas.

Jerry Bryant, un portavoz de Microsoft, declaró que están conscientes de la supuesta vulnerabilidad, pero no han recibido los detalles para poder verificarla.

VUPEN

fuente: opensecurity.es