Categoría : Vulnerabilidades

Inicio/Seguridad Informática/Archivo por Categoría Vulnerabilidades (Page 2)

Ejecución de código en VLC Media Player

Se ha confirmado una vulnerabilidad en el reproductor multimedia VLC Media Player (versiones 2.2.3 y anteriores), que podrían permitir a atacantes remotos lograr comprometer los sistemas que ejecuten este conocido programa.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha.

El problema (con CVE-2016-5108) se debe a una escritura fuera de límites en modules/codec/adpcm.c, en la function DecodeAdpcmImaQT; debido a que no se comprueba que el número de canales en el flujo de entrada es menor o igual el tamaño del búfer. Podría emplearse para lograr denegaciones de servicio o incluso ejecutar código arbitrario a través de archivos QuickTime IMA manipulados.

VLC ha confirmado el problema que quedará corregido en la versión 2.2.4 y 3.0.0 de VLC.

Más información:

CVE request: VLC – crash and potential code execution when processing QuickTime IMA files

http://seclists.org/oss-sec/2016/q2/421

Changes between 2.2.3 and 2.2.4

http://www.videolan.org/developers/vlc-branch/NEWS

Fuente: Hispasec

Beneficios de participar en el CPP 2016: “Certified Professional Pentester”

Entre algunos de los beneficios que obtendrá de esta certificación podría mencionar:

  • Aprenderá a dimensionar y ejecutar un Pentesting con todas las fases que incluye desde la obtención de información del objetivo, escaneo, análisis, hasta la explotación remota de vulnerabilidades y Gestión de reportes técnicos y ejecutivos para este tipo de proyectos.
  • Toda la certificación es 100% práctica con laboratorios virtualizados para ataques durante las clases, laboratorios en nuestra nube para ataques desde fuera de clases emulando escenarios reales de pentesting.
  • El cursante aprenderá a evaluar la seguridad de Infraestructuras de TI desde el nivel externo, perimetral, saltado de firewalls, aplicaciones web, hasta tomar control de los ambientes internos, bases de datos, servidores de correo, antivirus y otros.
  • La distribución de Pentesting que se les entregará es una versión de Kali Linux remasterizada por nuestro equipo con nuevas herramientas y scripts de Pentesting.
  • Tendrán acceso a una gran cantidad de recursos de Pentesting, video tutoriales, manejo de herramientas y el soporte de nuestros instructores.

Valor Agregado:

Muchas de los conocimientos que vamos a impartir en clases, los cursantes podrán aplicarlos al análisis de sus propias infraestructuras de TI, para medir su propio nivel de seguridad e identificar vulnerabilidades y riesgos en sus instituciones.

Entregaremos a los cursantes herramientas de seguridad corporativa que podrán evaluar y aprender para mejorar sus niveles de seguridad especialmente con infraestructuras de TI grandes como son las bancarias.

Conocimientos o requerimientos básicos para participar en la certificación:

  • Los cursantes que postulen deben tener por lo menos 1 años de experiencia en temas relacionados a seguridad informática.
  • Conocimientos básico-intermedio de Linux para manejo de herramientas y ejecución de exploits que vamos a mostrar en clases.
  • Conocimientos básico-intermedio de seguridad en entornos Windows

¿Qué esperas para apuntarte a nuestro curso de Pentester Profesional Certificado?

 

White hat informa sobre vulnerabilidad en la pagina web de Mr. Robot (2da temporada)

Mr. Robot fue la serie de TV de Piratería más vista de 2015 y su segunda temporada va a volver a las pantallas de televisión estadounidenses el miércoles 13 de julio de 2016.

Sin embargo, la nueva página web promocional de la segunda temporada de Mr. Robot ha reparado recientemente un fallo de seguridad que podría haber permitido hackear fácilmente o atacar a millones de fans de la serie. Un White hat conocido por el alias Zemnmez descubrió una vulnerabilidad de cross-site scripting (XSS) en el sitio web de Mr. Robot el martes, el mismo día Mr. Robot lanzó una promoción para su segunda serie.

La segunda temporada de la serie de televisión ya había recibido elogios de la crítica y los espectadores por su representación relativamente precisa de la seguridad cibernética y la piratería, algo que otras películas de crimen cibernético y programas han fallado. La nueva serie también cuenta con una nota de bienvenida sorprendente: el presidente Barack Obama , que está dando un discurso sobre una amenaza cibernética que enfrenta la nación.

La falla que Zemnmez descubrió en el sitio web de la serie podría haberle dado la posibilidad de realizar muchas tareas maliciosas, pero al ser un White hat, el hacker informo responsablemente sobre la falla XSS a Sam Esmail, el creador de la serie Mr. Robot.

NBC universal confirmó que el sitio web fue parcheado martes por la noche, horas después de Zemnmez informaron de la falla.

De acuerdo con Zemnmez, la falla podría permitir a un atacante inyectar Javascript malicioso para robar información de los usuarios, incluyendo los datos de Facebook que los visitantes del sitio Mr. Robot ingresan al entran al web para participar en su concurso.

Además, el fallo también podría ser explotada usando una técnica sencilla de ingeniería social como el phishing para obtener  que las víctimas al entrar al sitio hagan clic en un enlace malicioso que se ejecute el código Javascript, lo que permite a los atacantes robar del Facebook de los usuarios nombre real, dirección de correo electrónico, fotos e imágenes que están etiquetados, dijo Zemnmez.

El Hacking no siempre es fácil de explicar en la televisión, pero Mr. Robot es un programa inteligente y convincente que retrata con precisión la cultura hacker y lo que los hackers son en realidad.

Fuente: The Hacker News

 

Fallo del protocolo SS7 permite saltar el cifrado de WhatsApp

Sí, has leído bien, tus conversaciones de WhatsApp podrían “estar en peligro””, pues un nuevo fallo detectado por la firma de seguridad rusa Positive Technologies permitiría saltarse el cifrado end-to-end de la aplicación. Una vulnerabilidad que también afectaría a otras utilidades como Telegram y que tiene que ver con el sistema de señalización por canal común Nro 7 (protocolo SS7) el responsable de que los comentarios enviados a través la app de mensajería pudieran ser interceptados.

A priori, eso sí, resulta imprescindible aportar algunos detalles. Así y para que te hagas una idea, el también conocido como cifrado de extremo a extremo se encuentra basado en el protocolo SS7, precisamente el que tiene problemas. Este se emplea en el establecimiento de llamadas, la traducción de números, y el envío de SMS, entre otros; y desde 1975 (el año en que se desarrolló) no ha experimentado demasiados cambios.

Un método que, teóricamente, garantiza que todas las conversaciones lleven aparejada una clave privada y otra pública; la primera de las cuales sería la única que se compartiría entres los interlocutores; de tal manera que, si bien todos los comentarios pasarían por los servidores de la plataforma, lo harían cifrados (sin que ningún tercero pudiera conocerlos).

Sin embargo, no son pocos los expertos en seguridad que vienen alertando [PDF] desde hace tiempo de posibles agujeros en el protocolo SS7; unos errores que expondrían nuestras charlas y permitirían, a los interesados, espiarnos. Una realidad que acaban de demostrar los especialistas de la citada compañía rusa y que relatan paso a paso y con todo lujo de detalles a través de su página web.

De esta manera, Positive Technologies narra cómo, mediante un portátil Linux, se han conectado al nodo de la red que prestaba servicio al terminal y se han hecho con la conversación entre dos usuarios de WhatsApp (recuerda que no se trata de un problema que tenga que ver con ella exclusivamente, sino con el protocolo). Y lo han logrado de la mano de un fallo que les ha dejado “robar” el SMS de autentificación y suplantar la identidad de los interlocutores.

En todo caso, algunas filtraciones apuntan a que la compañía de mensajería instantánea pretende sustituir este sistema por el registro a través de una cuenta de correo electrónico, asociar nuestra cuenta a Facebook y similares. Otra de las posibles novedades es la inclusión de un código QR para el añadido de nuevos contactos, aunque todavía estamos a la espera de confirmar estas informaciones.

Fuente: Segu Info

Vuelve la vulnerabilidad Stagefright a Android y permite “hackear” un móvil en 10 segundos

Si eres propietario de un dispositivos Android, el nombre Stagefright seguro que te sonará, ya que es una de las vulnerabilidades más alarmantes descubiertas hasta el momento para terminales con sistema operativo Android. La principal característica de este famoso malware es que ha sido capaz de afectar a la gran mayoría de terminales y de poner en peligro nuestro teléfono móvil sin que nos diésemos cuenta.

Desde hace tiempo, la mayoría de fabricantes han lanzado un parche preparado para acabar con el riesgo de este peligroso software, sin embargo, según acabamos de conocer, la amenaza de Stagefright ha vuelto de nuevo a las andadas gracias a una nueva versión del malware que sus creadores han puesto en libertad.

Stagefright Android Exploit llega ahora con la capacidad de hackear los teléfonos inteligentes con sistema operativo de Google en tan sólo 10 segundos. Esta nueva versión del exploit Stagefright es conocida con el nombre de Metaphor y según informan podría  conseguir permisos root en cualquier dispositivo Android.

La manera de distribuirse este peligroso malware es mediante el engaño a los usuarios paravisitar una página web de un hacker que contienen un archivo multimedia que infecta en segundos el terminal. El grupo de investigadores que han descubierto esta nueva rama de Stagefright han proporcionado un vídeo de demostración en donde se ve cómo un Nexus 5 es infectado por Metaphor en sólo 10 segundos. Además, afirman que también pudieron infectar fácilmente otros terminales como el Samsung Galaxy S5, LG G3 o la familia HTC One.

Según explican los propios investigadores, el proceso que realiza Metaphor para infectar nuestros teléfonos móviles Android comienza por el engaño a la víctima para que visite una página web maliciosa que contiene un archivo de vídeo que hace que bloquee el software mediaserver de Android para restablecer su estado interno.

Una vez que comienza el reinicio, mediante un código Javascript que se ejecuta en la web visitada, se recoge y envía información del dispositivo de la víctima a través de Internet al servidor del atacante, que devuelve un archivo de vídeo generado a medida para cada dispositivo que aprovecha la vulnerabilidad Stagefright para recopilar más información sobre el estado interno del dispositivo y enviarla de vuelta al servidor del atacante.

Esto hace que nuevamente se envíe al terminal otro archivo de vídeo que incorpora el malware y se comienza a ejecutar en el teléfono afectado con todos los privilegios necesarios para poder espiar a la víctima. El Exploit ataca específicamente a la vulnerabilidad CVE-2015 a 3.864 de tal forma que no pasa por el proceso de protección ASLR.

Actualización (18/03/2016): Según ha confirmado Google a ADSLZone, la compañía está realizando algunos cambios para permitir reforzar la seguridad de Android después de los últimos hallazgos y a partir de ahora Google Play y Verify Apps detectarán, bloquearán y eliminarán aplicaciones que intenten ejecutar este fallo de vulnerabilidad. Además, los dispositivos de Google Nexus también solucionarán el problema en los próximos días y ya han notificado a los socios de Android para que puedan lanzar las actualizaciones pertinentes. Para ello, han contado con el trabajo de CoreSecTeam y la comunidad de investigación en seguridad, que les permiten reforzar la seguridad de Android para mantener a los usuarios seguros.

Fuente: adsl zone

Detectan dos vulnerabilidades críticas los productos cisco

Actualmente es normal leer cada poco tiempo sobre vulnerabilidades y fallos de seguridad que se encuentran en todo tipo de software y que pueden permitir a piratas informáticos tomar el control de un sistema informático o de los datos almacenados en este. Según el tipo de vulnerabilidad, el producto al que afecte y la facilidad de explotarlo las vulnerabilidades pueden ser de peligrosidad baja o crítica aunque, si queremos evitar caer en manos de los piratas informáticos es imprescindible mantener el software, tanto de nuestro PC como de nuestros dispositivos de networking, actualizado a las versiones más recientes.

Cisco es uno de los principales fabricantes de dispositivos de red de todo el mundo. Un gran número de redes dependen de sus productos y de la seguridad de los mismos, por lo que es importante que la compañía mantenga el software de sus productos libre de vulnerabilidades que pueda permitir a los piratas informáticos hacerse con el control de los mismos.

Recientemente, la compañía publicaba dos alertas de seguridad críticas, de máxima prioridad, en las que informaba de dos fallos de seguridad en sus productos que podían permitir a los atacantes tomar el control de los dispositivos y de todo el tráfico que pasara por ellos. Los dos fallos fueron registrados a finales de 2015, aunque no ha sido hasta ahora cuando se han hecho públicos.

El primero de los fallos, denominado como CVE-2015-6412, afecta a todos los productos Cisco Modular Encoding Platform D9036 que utilicen una versión de software anterior a la 02.04.70. El fallo de seguridad reside en la existencia de una cuenta de root estática (no se puede borrar ni modificar la contraseña) que se crea por defecto y que puede permitir a un atacante conectarse a ella a través de SSH. También existe una cuenta de invitado estática, “guest”, aunque esta tiene los permisos limitados.

El fallo de las cuentas por defecto de contraseñas estáticas es un fallo que lleva persiguiendo a la compañía durante más de 10 años y que, probablemente, aún de mucho de qué hablar. Hace menos de una semana la compañía actualizaba varios productos por un fallo similar a este, aunque no son los únicos afectados.

El segundo de los fallos, denominado como CVE-2015-6435, se encuentra presente en uno de los scripts CGI de Cisco Unified Computing System (UCS) Manager y en varios de los Cisco Firepower 9000. Este fallo de seguridad se genera debido a que la llamada al script CGI no está protegida y puede permitir a un pirata informático atacar de forma remota un sistema afectado y ejecutar comandos en él sin ni siquiera autenticarse en el dispositivo simplemente generando peticiones HTTP específicas.

Cisco Modular Encoding Platform D9036

Cisco ha liberado los correspondientes parches para solucionar las vulnerabilidades

La única forma de protegerse de estos dos fallos de seguridad es mantener los sistemas actualizados a las versiones más recientes, por ello, Cisco ya ha liberado los correspondientes parches de seguridad para sus productos.

Todos los usuarios que utilicen alguno de estos productos afectados pueden descargar una nueva versión del software desde el centro de software de la compañía:

  • Cisco Modular Encoding Platform D9036 versión 02.04.70
  • Cisco UCS Manager 2.2(4b), 2.2(5a) y 3.0(2e)
  • Cisco Firepower 9000 Series 1.1.2

En el caso de la primera vulnerabilidad, a partir de ahora es posible modificar la contraseña de las cuentas creadas por defecto utilizando los comandos set-root-password y set-guest-password.

Si tenemos otro producto de Cisco, aunque no sea uno de los afectados, también debemos asegurarnos de tener la última versión del software instalada para evitar posibles problemas que nos podamos encontrar.

Fuente: Redes Zone

Hot Potato, un ataque de escalada de privilegios que amenaza a Windows

Aunque tengamos nuestro sistema operativo actualizado con los boletines de seguridad más recientes, eso no significa que nuestro sistema operativo esté totalmente protegido. Windows, por ejemplo, cuenta con una serie de vulnerabilidades conocidas que llevan años afectando al sistema operativo y que no pueden ser solucionadas por Microsoft debido a que, de hacerlo, podrían ocurrir problemas de compatibilidad con protocolos y aplicaciones antiguas. Hot Potato es un nuevo exploit que se aprovecha de estas vulnerabilidades para ganar privilegios dentro de un sistema remoto y ejecutar aplicaciones y comandos en él.

Aunque este fallo de seguridad es un peligro para todos (por ejemplo, un usuario doméstico podría tomar el control del sistema de forma relativamente sencilla incluso teniendo permisos de usuario limitado), donde mayor es su peligro es en entornos corporativos, donde la mayoría de las empresas dependen de los privilegios de las cuentas de Windows para proteger su red corporativa, algo que no debería ser así.

La mayoría de los fallos utilizados en este exploit tienen varios años de antigüedad y son perfectamente conocidos por Microsoft, sin embargo, la compañía no puede solucionarlos ya que, de hacerlo, el sistema operativo y la red perderían compatibilidad con servicios, aplicaciones y protocolos antiguos, algo que no se puede permitir.

Hot Potato, cómo explotar esta vulnerabilidad

El exploit que permite la escalada de privilegios se divide en 3 partes, y cada una de ellas hace uso de un ataque informático bien conocido que llega atormentando a Microsoft durante años:

Parte 1: Suplantación del servidor NBNS

NBNS es un protocolo UDP utilizado para la resolución de nombres de uso común en entornos Windows. Este protocolo se utiliza cuando se intenta acceder a una IP o dominio que no existe ni en el archivo hosts ni en los servidores DNS y simplemente se basa en preguntar a todos los equipos de la red “¿quién es xxx.xxx.xxx.xxx?” y esperar respuesta.

Lo primero que debemos hacer es crear paquetes falsos NBNS para inundar el equipo de destino, o víctima, con falsas solicitudes de manera que no pueda resolver el nombre.

Parte 2: Falso servidor proxy WPAD

Mediante la configuración de un falso servidor WPAD conseguiremos que todo el tráfico se reenvíe a través de nuestro ordenador, pudiendo tomar el control de todos los paquetes que se generan en el sistema de destino. Este cambio, aunque se realice con una cuenta de usuario limitada, afecta por igual a todos los usuarios, incluidos los administradores.

Parte 3: HTTP -> SMB NTLM Relay

Una vez que todo el tráfico ya se reenvía a través del equipo que controlamos, ya podemos empezar a realizar peticiones al equipo de origen con el correspondiente exploit. Este exploit se encarga de redirigir cada una de las solicitudes hasta que, finalmente, se consiguen los paquetes necesarios para la autenticación.

Con ellos, se crea un nuevo servicio en el sistema remoto con permisos “NT AUTHORITY\SYSTEM”, el cual utilizaremos para ejecutar aplicaciones y procesos con permisos totales.

Hot Potato - Exploit para Windows

Lo único que nos queda es ejecutar el exploit. Hot Potato afecta a Windows 7, Windows 8.1, Windows 10 y las versiones Server. Este exploit funciona de forma diferente según el sistema operativo que estemos utilizando. Por ejemplo:

  • En Windows 7 basta con ejecutar el exploit con el comando Potato.exe -ip <local ip> -cmd <command to run> -disable_exhaust true

  • En Windows Server 2008, el comando a ejecutar será: Potato.exe -ip <local ip> -cmd <command to run> -disable_exhaust true -disable_defender true –spoof_host WPAD.EMC.LOCAL

  • En Windows 8.1, 10 y Server 2012 el comando a ejecutar es: Potato.exe -ip <local ip> -cmd <cmd to run> -disable_exhaust true -disable_defender true

Por el momento estos ataques están limitados a equipos dentro de una red local, sin embargo, los expertos de seguridad responsables del exploit aseguran estar dando los primeros pasos para atacar otros ordenadores a través de Internet.

Explotación y mitigación de Hot Potato en Windows

Los usuarios interesados en probar esta sencilla vulnerabilidad que permite a cualquier usuario no autorizado conseguir los máximos privilegios sobre el sistema pueden hacerlo descargando todo lo necesario desde GitHub.

Aunque hace poco tiempo Microsoft solucionó un fallo similar en su sistema operativo, Hot Potato vuelve a llamar a sus puertas. A falta de un nuevo parche que bloquee este problema de seguridad, los expertos recomiendan activar la opción “Extended Protection for Authentication” y al uso de NTLMv2 y/o Kerberos en Windows para detener, mitigar y bloquear los ataques de relay NTLM.

Fuente: Redes Zone