Categoría : Seguridad Informática

Inicio/Archivo por Categoría Seguridad Informática (Page 3)

Actualización del kernel para Ubuntu Linux

Ubuntu ha publicado una actualización del kernel para Ubuntu 14.04 LTS que soluciona 10 nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio, obtener información sensible o comprometer los sistemas afectados.

Los problemas corregidos residen en la obtención de información sensible a través del driver Ethernet Atheros L2 (CVE-2016-2117), obtención de información sensible o denegaciones de servicio por lecturas fuera de límite en OZMO USB sobre drivers de dispositivos wifi (CVE-2015-4004), una condición de carrera en TLB (Translation Lookaside Buffer) del kernel de Linux (CVE-2016-2069),denegación de servicio a través del controlador USB de dispositivo digitalizador GTCO (CVE-2016-2187) y desactivación de protección ASLR (Address Space Layout Randomization) (CVE-2016-3672).

Por otra parte una denegación de servicio local por uso después de liberar en el controlador USB CDC Network Control Model (CVE-2016-3951), una escritura fuera de límites en la implementación USB/IP podría permitir la ejecución remota de código arbitrario (CVE-2016-3955), fuga de información en las implementaciones de ANSI/IEEE 802.2 LLC type 2 Support (CVE-2016-4485) y en la interfaz socket de rutado netlink (rtnetlink) (CVE-2016-4486) y por último una denegación de servicio local en fs/pnode.c (CVE-2016-4581).

Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:

https://wiki.ubuntu.com/Security/Upgrades.

Más información:

USN-2989-1: Linux kernel vulnerabilities

http://www.ubuntu.com/usn/usn-2989-1/

Fuente: Hispasec

190 millones de cuentas comprometidas en VK.com

La base de datos de la red social más grande de Rusia VK.com (Vkontakte), dueños también de Telegram, es la última gran filtración en línea. La base de datos contiene información como nombres completos (nombres y apellidos), correos electrónicos, información de la ubicación del usuario, direcciones, números de teléfono y las contraseñas de texto plano. Sí, las contraseñas de texto plano y al parecer fueron obtenidas de esa manera desde la base de datos de VK.com.

El mismo atacante “Peace_of_mind” que también  vende los datos de MySpace, Tumblr, LinkedIn y Fling.com, ahora está vendiendo más de 100 millones de registros de VK.com por sólo 1 Bitcoin (aprox. US$ 580).

La violación de datos fue divulgada inicialmente por el motor de búsqueda LeakedSource, que recibió porciones de la base de datos de una de las personas que lo compraron. La compañía ya ha analizado el contenido y lo ha añadido a su servicio (pago). Por lo tanto, se puede utilizar su motor de búsqueda para comprobar correos electrónicos  comprometidos.

VK.com es el “Facebook de Rusia” y se dice que es el sitio más grande de Europa con más de 350 millones de usuarios. Se cree que las credenciales fueron robadas a finales de 2012 o principios de 2013, cuando VK.com tenía casi 190 millones de usuarios.

Parece que todas las infracciones recientes fueron entre 2012 y 2013, cuando muchos sitios web no practicaban políticas adecuadas de seguridad, como tener contraseñas con hash y Salt.

Fuente: Segu info

Ejecución de código en VLC Media Player

Se ha confirmado una vulnerabilidad en el reproductor multimedia VLC Media Player (versiones 2.2.3 y anteriores), que podrían permitir a atacantes remotos lograr comprometer los sistemas que ejecuten este conocido programa.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha.

El problema (con CVE-2016-5108) se debe a una escritura fuera de límites en modules/codec/adpcm.c, en la function DecodeAdpcmImaQT; debido a que no se comprueba que el número de canales en el flujo de entrada es menor o igual el tamaño del búfer. Podría emplearse para lograr denegaciones de servicio o incluso ejecutar código arbitrario a través de archivos QuickTime IMA manipulados.

VLC ha confirmado el problema que quedará corregido en la versión 2.2.4 y 3.0.0 de VLC.

Más información:

CVE request: VLC – crash and potential code execution when processing QuickTime IMA files

http://seclists.org/oss-sec/2016/q2/421

Changes between 2.2.3 and 2.2.4

http://www.videolan.org/developers/vlc-branch/NEWS

Fuente: Hispasec

Beneficios de participar en el CPP 2016: “Certified Professional Pentester”

Entre algunos de los beneficios que obtendrá de esta certificación podría mencionar:

  • Aprenderá a dimensionar y ejecutar un Pentesting con todas las fases que incluye desde la obtención de información del objetivo, escaneo, análisis, hasta la explotación remota de vulnerabilidades y Gestión de reportes técnicos y ejecutivos para este tipo de proyectos.
  • Toda la certificación es 100% práctica con laboratorios virtualizados para ataques durante las clases, laboratorios en nuestra nube para ataques desde fuera de clases emulando escenarios reales de pentesting.
  • El cursante aprenderá a evaluar la seguridad de Infraestructuras de TI desde el nivel externo, perimetral, saltado de firewalls, aplicaciones web, hasta tomar control de los ambientes internos, bases de datos, servidores de correo, antivirus y otros.
  • La distribución de Pentesting que se les entregará es una versión de Kali Linux remasterizada por nuestro equipo con nuevas herramientas y scripts de Pentesting.
  • Tendrán acceso a una gran cantidad de recursos de Pentesting, video tutoriales, manejo de herramientas y el soporte de nuestros instructores.

Valor Agregado:

Muchas de los conocimientos que vamos a impartir en clases, los cursantes podrán aplicarlos al análisis de sus propias infraestructuras de TI, para medir su propio nivel de seguridad e identificar vulnerabilidades y riesgos en sus instituciones.

Entregaremos a los cursantes herramientas de seguridad corporativa que podrán evaluar y aprender para mejorar sus niveles de seguridad especialmente con infraestructuras de TI grandes como son las bancarias.

Conocimientos o requerimientos básicos para participar en la certificación:

  • Los cursantes que postulen deben tener por lo menos 1 años de experiencia en temas relacionados a seguridad informática.
  • Conocimientos básico-intermedio de Linux para manejo de herramientas y ejecución de exploits que vamos a mostrar en clases.
  • Conocimientos básico-intermedio de seguridad en entornos Windows

¿Qué esperas para apuntarte a nuestro curso de Pentester Profesional Certificado?

 

White hat informa sobre vulnerabilidad en la pagina web de Mr. Robot (2da temporada)

Mr. Robot fue la serie de TV de Piratería más vista de 2015 y su segunda temporada va a volver a las pantallas de televisión estadounidenses el miércoles 13 de julio de 2016.

Sin embargo, la nueva página web promocional de la segunda temporada de Mr. Robot ha reparado recientemente un fallo de seguridad que podría haber permitido hackear fácilmente o atacar a millones de fans de la serie. Un White hat conocido por el alias Zemnmez descubrió una vulnerabilidad de cross-site scripting (XSS) en el sitio web de Mr. Robot el martes, el mismo día Mr. Robot lanzó una promoción para su segunda serie.

La segunda temporada de la serie de televisión ya había recibido elogios de la crítica y los espectadores por su representación relativamente precisa de la seguridad cibernética y la piratería, algo que otras películas de crimen cibernético y programas han fallado. La nueva serie también cuenta con una nota de bienvenida sorprendente: el presidente Barack Obama , que está dando un discurso sobre una amenaza cibernética que enfrenta la nación.

La falla que Zemnmez descubrió en el sitio web de la serie podría haberle dado la posibilidad de realizar muchas tareas maliciosas, pero al ser un White hat, el hacker informo responsablemente sobre la falla XSS a Sam Esmail, el creador de la serie Mr. Robot.

NBC universal confirmó que el sitio web fue parcheado martes por la noche, horas después de Zemnmez informaron de la falla.

De acuerdo con Zemnmez, la falla podría permitir a un atacante inyectar Javascript malicioso para robar información de los usuarios, incluyendo los datos de Facebook que los visitantes del sitio Mr. Robot ingresan al entran al web para participar en su concurso.

Además, el fallo también podría ser explotada usando una técnica sencilla de ingeniería social como el phishing para obtener  que las víctimas al entrar al sitio hagan clic en un enlace malicioso que se ejecute el código Javascript, lo que permite a los atacantes robar del Facebook de los usuarios nombre real, dirección de correo electrónico, fotos e imágenes que están etiquetados, dijo Zemnmez.

El Hacking no siempre es fácil de explicar en la televisión, pero Mr. Robot es un programa inteligente y convincente que retrata con precisión la cultura hacker y lo que los hackers son en realidad.

Fuente: The Hacker News

 

Fallo del protocolo SS7 permite saltar el cifrado de WhatsApp

Sí, has leído bien, tus conversaciones de WhatsApp podrían “estar en peligro””, pues un nuevo fallo detectado por la firma de seguridad rusa Positive Technologies permitiría saltarse el cifrado end-to-end de la aplicación. Una vulnerabilidad que también afectaría a otras utilidades como Telegram y que tiene que ver con el sistema de señalización por canal común Nro 7 (protocolo SS7) el responsable de que los comentarios enviados a través la app de mensajería pudieran ser interceptados.

A priori, eso sí, resulta imprescindible aportar algunos detalles. Así y para que te hagas una idea, el también conocido como cifrado de extremo a extremo se encuentra basado en el protocolo SS7, precisamente el que tiene problemas. Este se emplea en el establecimiento de llamadas, la traducción de números, y el envío de SMS, entre otros; y desde 1975 (el año en que se desarrolló) no ha experimentado demasiados cambios.

Un método que, teóricamente, garantiza que todas las conversaciones lleven aparejada una clave privada y otra pública; la primera de las cuales sería la única que se compartiría entres los interlocutores; de tal manera que, si bien todos los comentarios pasarían por los servidores de la plataforma, lo harían cifrados (sin que ningún tercero pudiera conocerlos).

Sin embargo, no son pocos los expertos en seguridad que vienen alertando [PDF] desde hace tiempo de posibles agujeros en el protocolo SS7; unos errores que expondrían nuestras charlas y permitirían, a los interesados, espiarnos. Una realidad que acaban de demostrar los especialistas de la citada compañía rusa y que relatan paso a paso y con todo lujo de detalles a través de su página web.

De esta manera, Positive Technologies narra cómo, mediante un portátil Linux, se han conectado al nodo de la red que prestaba servicio al terminal y se han hecho con la conversación entre dos usuarios de WhatsApp (recuerda que no se trata de un problema que tenga que ver con ella exclusivamente, sino con el protocolo). Y lo han logrado de la mano de un fallo que les ha dejado “robar” el SMS de autentificación y suplantar la identidad de los interlocutores.

En todo caso, algunas filtraciones apuntan a que la compañía de mensajería instantánea pretende sustituir este sistema por el registro a través de una cuenta de correo electrónico, asociar nuestra cuenta a Facebook y similares. Otra de las posibles novedades es la inclusión de un código QR para el añadido de nuevos contactos, aunque todavía estamos a la espera de confirmar estas informaciones.

Fuente: Segu Info

Vuelve la vulnerabilidad Stagefright a Android y permite “hackear” un móvil en 10 segundos

Si eres propietario de un dispositivos Android, el nombre Stagefright seguro que te sonará, ya que es una de las vulnerabilidades más alarmantes descubiertas hasta el momento para terminales con sistema operativo Android. La principal característica de este famoso malware es que ha sido capaz de afectar a la gran mayoría de terminales y de poner en peligro nuestro teléfono móvil sin que nos diésemos cuenta.

Desde hace tiempo, la mayoría de fabricantes han lanzado un parche preparado para acabar con el riesgo de este peligroso software, sin embargo, según acabamos de conocer, la amenaza de Stagefright ha vuelto de nuevo a las andadas gracias a una nueva versión del malware que sus creadores han puesto en libertad.

Stagefright Android Exploit llega ahora con la capacidad de hackear los teléfonos inteligentes con sistema operativo de Google en tan sólo 10 segundos. Esta nueva versión del exploit Stagefright es conocida con el nombre de Metaphor y según informan podría  conseguir permisos root en cualquier dispositivo Android.

La manera de distribuirse este peligroso malware es mediante el engaño a los usuarios paravisitar una página web de un hacker que contienen un archivo multimedia que infecta en segundos el terminal. El grupo de investigadores que han descubierto esta nueva rama de Stagefright han proporcionado un vídeo de demostración en donde se ve cómo un Nexus 5 es infectado por Metaphor en sólo 10 segundos. Además, afirman que también pudieron infectar fácilmente otros terminales como el Samsung Galaxy S5, LG G3 o la familia HTC One.

Según explican los propios investigadores, el proceso que realiza Metaphor para infectar nuestros teléfonos móviles Android comienza por el engaño a la víctima para que visite una página web maliciosa que contiene un archivo de vídeo que hace que bloquee el software mediaserver de Android para restablecer su estado interno.

Una vez que comienza el reinicio, mediante un código Javascript que se ejecuta en la web visitada, se recoge y envía información del dispositivo de la víctima a través de Internet al servidor del atacante, que devuelve un archivo de vídeo generado a medida para cada dispositivo que aprovecha la vulnerabilidad Stagefright para recopilar más información sobre el estado interno del dispositivo y enviarla de vuelta al servidor del atacante.

Esto hace que nuevamente se envíe al terminal otro archivo de vídeo que incorpora el malware y se comienza a ejecutar en el teléfono afectado con todos los privilegios necesarios para poder espiar a la víctima. El Exploit ataca específicamente a la vulnerabilidad CVE-2015 a 3.864 de tal forma que no pasa por el proceso de protección ASLR.

Actualización (18/03/2016): Según ha confirmado Google a ADSLZone, la compañía está realizando algunos cambios para permitir reforzar la seguridad de Android después de los últimos hallazgos y a partir de ahora Google Play y Verify Apps detectarán, bloquearán y eliminarán aplicaciones que intenten ejecutar este fallo de vulnerabilidad. Además, los dispositivos de Google Nexus también solucionarán el problema en los próximos días y ya han notificado a los socios de Android para que puedan lanzar las actualizaciones pertinentes. Para ello, han contado con el trabajo de CoreSecTeam y la comunidad de investigación en seguridad, que les permiten reforzar la seguridad de Android para mantener a los usuarios seguros.

Fuente: adsl zone