Vulnerability Team

Hackers acaban de liberar un código que aprovecha uno de los bugs no solucionados en Windows 7 y Windows Vista que explota el popular gusano Stuxnet. Dicho gusano es una de las amenazas más complejas desarrolladas para el espionaje industrial y sabotaje. De manera general, está considerado como el malware más sofisticado creado hasta la fecha.

Dicho gusano fue descubierto en julio por la compañía Bielorrusa VirusBlokAda y llamó la atención de la industria de seguridad ya que explotaba una vulnerabilidad que se extendía a través de unidades de almacenamiento USB y que afectaba a Windows debido a la manera de gestionar los accesos directos, archivos .lnk (Vulnerabilidad crítica CVE-2010-2568). Dicha vulnerabilidad fue parcheada por Microsoft en agosto. Sin embargo, se ha encontrado una nueva vía de expansión del malware a través de redes locales, explotando una vulnerabilidad zero-day de Windows (CVE-2010-2729) que atañe al servicio Print Spooler.
El gusano aprovecha este problema para acceder a los ordenadores de la red local que disponen de impresoras compartidas o bien utilizan impresoras de red. Sin embargo, para poder ejecutar código con permiso de administrador, la amenaza explota dos bugs de escalado de provilegios, uno para XP y otro para Vista / 7.

La vulnerabilidad XP Elevation of Privilege (EoP) fue solucionada en el parche del segundo martes de octubre, sin embargo Microsoft no ha solucionado el problema para Vista y Windows 7, que sigue accesible y que un hacker conocido como “webDEViL” ha querido demostrar con un código -prueba de concepto- para explotarlo.
El problema no está siendo explotado de manera masiva debido a que el atacante necesita obtener acceso a una cuenta limitada en el sistema y por tanto Microsoft probablemente lo solucione en laactualización del próximo mes.

fuente: muyseguridad.net

Microsoft Internet Explorer is prone to a remote code-execution vulnerability.

Successful exploits will allow an attacker to run arbitrary code in the context of the user running the application. Failed attacks will cause denial-of-service conditions.

REFERENCIA.

Microsoft

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com

A estas alturas, ya no es noticia que se descubra un problema de seguridad en los gestores de PDF de Adobe previamente desconocido y siendo aprovechado por los atacantes. Últimamente, es el día a día de esta compañía. Este último fallo de seguridad destaca porque es muy sofisticado, elude las protecciones de los últimos Windows, y además está firmado digitalmente.

Se ha descubierto un nuevo ataque contra las últimas versiones de Adobe Reader y Adobe Acrobat. Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría CoolType.dll y permite a un atacante ejecutar código en el sistema si la víctima abre (con estos programas de Adobe) un fichero PDF que utilice un tipo de letra manipulada. El fallo es público, está siendo aprovechado por atacantes en estos momentos y Adobe ya lo ha reconocido. La propia compañía confirma que no existe parche ni contramedida propia disponible (habitualmente era suficiente con desactivar JavaScript para, al menos, mitigar el problema, pero no es el caso en esta ocasión). Ha actualizado su alerta para indicar que, gracias a Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) es posible bloquear el ataque.

Este escenario, aunque potencialmente muy peligroso, no es sorprendente ni nuevo. Sorprende sin embargo las peculiaridades con las que los atacantes han aprovechado el fallo para ejecutar el código arbitrario (que, evidentemente, resulta en malware). Lo más llamativo es que los atacantes han trabajado a fondo para poder aprovechar la vulnerabilidad usando técnicas muy parecidas a dos de las que recientemente hemos hablado en una-al-día: Las que usara hace poco Rubén Santamarta para aprovechar un fallo en Quicktime; y el uso de certificados reales para firmar el malware, como el "reciente" troyano Stuxnet.

A primera vista, el fallo no es sencillo de explotar. Al desbordar la memoria, la pila queda en un estado no demasiado "ideal" para utilizar la dirección de retorno adecuada y ejecutar código. Para eludir estos problemas, los atacantes han usado una librería icucnv36.dll que no soporta ASLR (básicamente, siempre está en la misma zona de memoria y esto sirve de referencia para lanzar código) y han usado una técnica conocida como ROP (Return oriented programming). Hasta aquí, el ataque es muy parecido al que descubrió Santamarta en Quicktime, y demuestra una gran habilidad del atacante. Para colmo en este caso, dado que la librería no da mucho juego (no importa funciones interesantes que permitan fácilmente la llamada a código) el atacante se vale de otras menos potentes que, combinadas, consiguen su objetivo. Todo un alarde de conocimientos.

Una vez ejecutado, el binario que ejecutan los atacantes (incrustado en el PDF, aunque también descarga otros) está firmado con un certificado real y robado, igual que hizo Stuxnet hace un par de meses (se trata del malware que se ejecutaba gracias a la infame vulnerabilidad en los archivos LNK de Windows). En este caso se trata de un certificado robado a Vantage Credit Union. Otro toque de profesionalidad. Hay quien pronostica que el malware firmado será tendencia en 2011.

Adobe tiene previsto su siguiente ciclo de actualizaciones en octubre, pero (una vez más), seguro que publica un parche antes. Desde hace tiempo, el periodo de tres meses que eligieron para publicar parches les viene demasiado largo, y las excepciones en las que han tenido que romper el ciclo y publicar parches "a destiempo" han sido numerosas.

REFERENCIA: http://www.adobe.com/support/security/advisories/apsa10-02.html


fuente: hispasec.com

Cuando se administra un servidor Web, uno de los puntos claves a tener en cuenta es la SEGURIDAD tanto de los servicios como de los aplicativos alojados en el, ya que si no contamos con buenas medidas de seguridad, dichos aplicativos, podría ser la puerta de entrada a nuestra organización de un delincuente informático.

Desafortunadamente, son pocos los administradores que cuentan con conocimientos en seguridad Web y es por esto que día a día se ven casos de instrucciones en donde los sitios Web fueron el débil eslabón por medio del cual ingresaron a los sistemas de una organización.
ZeroDayScan es un servicio que ayuda en la tarea de revisar la seguridad de un aplicativo Web automáticamente, para utilizarlo, solo necesitamos llenar el siguiente formulario, como se indica en la siguiente imagen:


La aplicación permite detectar las siguientes vulnerabilidades

• Cross Site Scripting attacks (XSS)
• Detecta directorios ocultos o backups
• Busca inyecciones SQL
• Detecta automáticamente vulnerabilidades Zero Day
• Realiza un fingerprint de nuestra aplicativo Web

Si ZeroDayScan detecta algo en nuestro sitio Web, nos enviará vía correo electrónico, un completo informe con las vulnerabilidades encontradas, así como los pasos a seguir para corregirlas….. y todo esto TOTALMENTE GRATIS.

fuente: dragonjar.org