Reveladas siete nuevas variantes de los ataques Meltdown y Spectre

El trabajo de investigación conjunto entre la Universidad pública de Williamsburg, la Universidad tecnológica de Graz, el grupo de investigación DistriNet y la KU de Lovaina junto con algunos de los expertos que idearon los ataques de Meltdown y Spectre dio lugar al descubrimiento de siete nuevos ataques, variantes de Meltdown y Spectre.

Variantes de Meltdown y SpectreVariantes de Meltdown y Spectre. Fuente https://arxiv.org/abs/1811.05441

Estos nuevos ataques se basan en una técnica conocida como “transient execution” o “ejecución transitoria”, utilizada en procesadores modernos para aumentar la concurrencia y con ella la velocidad de procesado. El ataque, permite revelar información de la memoria físicainaccesible por el usuario, mediante la observación del estado de la microarquitectura y su posterior transferencia a un estado arquitectónico.

Los nuevos ataques son dos son variantes de Meltdown y cinco de Spectre.

Meltdown-PK (Protection Key Bypass)
Permitiría romper el aislamiento PKU (Clave de protección de la memoria de usuario) para leer y escribir en un espacio protegido. Este mecanismo de protección está presente en chips Intel Skylake-SP y requeriría una actualización del hardware para solventar el fallo.

Meltdown-BR (Bounds Check Bypass)
Permitiría revelar información a través de las excepciones producidas por el módulo de verificación de límites (Bound Range Exceptions) en chips de Intel y AMD.

Spectre-PHT (Pattern History Table)
Estos ataques explotan la tabla de historial de patrones para revelar información oculta. Se distinguen tres variantes, dependiendo de la rama que se esté explotando y la localización de la información revelada.

  • Spectre-PHT-CA-OP (Cross-Address-space Out of Place): dentro de un espacio de direcciones controlado por el atacante.
  • Spectre-PHT-SA-IP (Same Address-space In Place): dentro del mismo espacio de direcciones y la misma rama que se está explotando.
  • Spectre-PHT-SA-OP (Same Address-space Out of Place): en el mismo espacio de direcciones pero en distinta rama.

Por último, otras dos variantes basadas en la explotación del búfer de la rama de destino (BTB).

Specter-BTB (Branch Target Buffer)

  • Specter-BTB-SA-IP (Same Address-space In Place): en mismo espacio de direcciones y la misma rama que se está explotando.
  • Specter-BTB-SA-OP (Same Address-space Out of Place): en mismo espacio de direcciones con una rama diferente.

Chips de AMD, ARM e Intel son vulnerables a estas cinco variantes de Spectre.

Los fabricantes fueron notificados de manera responsable por los investigadores y están trabajando en una solución para mitigar estos ataques.

 

Más información:

A Systematic Evaluation of Transient Execution Attacks and Defenses
https://arxiv.org/abs/1811.05441

Transient Execution Attacks
https://gruss.cc/files/vusec18.pdf

Descubiertas vulnerabilidades de día-0 en iPhone X, Samsung Galaxy S9 y Xiaomi Mi6

Hackers consiguen comprometer la seguridad de dispositivos móviles durante la prestigiosa competición Pwn2Own, celebrada en Tokio.

Pwn2Own-Tokyo

Pwn2Own es uno de los concursos de hacking ético más populares, se lleva celebrando desde el año 2007 durante la conferencia de seguridad PacSec; está organizada por Trend Micro’s Zero Day Initiative (ZDI) y se reparten cuantiosos premios en metálico a los concursantes que consigan explotar nuevas vulnerabilidades en dispositivos y software (actualizado) de uso general.

La competición se divide en cinco categorías: Navegadores, Distancia corta, Mensajería, Baseband e IoT:

categorias-pwn2own_2

Equipos de hackers de diversas las nacionalidades o representando a compañías de ciberseguridad fueron capaces de encontrar hasta 18 vulnerabilidades de día cero (0-days) en dispositivos móviles de Apple, Samsung y Xiaomi. Junto con los correspondientes exploits que permitían tomar el control total del dispositivo.

Apple iPhone X con iOS 12.1

El equipo compuesto por los investigadores Richard Zhu y Amat Cama (Fluoroacetate Team) descubrieron y explotaron una combinación de dos vulnerabilidades en iOS; La primera de ellas es un fallo just-in-time (JIT) en el navegador iOS de Safari junto con una escritura “out-of-bounds” (escritura fuera de un cierto límite) en el sandbox de Safari que les permitió descargar una imagen del dispositivo. Con este trabajo, Fluoroacetate ganó 50.000$.

Samsung Galaxy S9

De nuevo, el equipo Fluoroacetate consiguió explotar un heap overflow en el baseband del terminal que permitía la ejecución de código arbitrario en el terminal. Con este bug, el Team Fluoroacetate logró embolsarse otros 50.000$

El Team MWR descubrió también otras tres vulnerabilidades diferentes para este mismo dispositivo, que forzaban al terminal a visitar un portal captativo sin interacción del usuario. Después, usaron una redirección insegura junto con un fallo en la carga de aplicaciones para instalar una app maliciosa. Esta hazaña les supuso una recompensa de 30.000$.

Xiaomi Mi6

Fluorocetate continuó al día siguiente con este terminal y encontraron un integer overflow en el motor javascript del navegador web de Xiaomi Mi6 que les permitió copiar una imagen de prueba del dispositivo y con ello volver a ganar otros 25.000$. Este equipo logró encontrar otra vulnerabilidad más a través de NFC usando la capacidad touch-to-connect (tocar para conectar) del dispositivo, forzando al terminal a que abra el navegador web y visite un sitio web especialmente preparado para comprometer completamente el terminal móvil, con esta última vulnerabilidad ganaron 30.000$.

El Team MWR Labs logró combinar cinco bugs diferentes para instalar silenciosamente una app vía JavaScript y bypaseando la lista blanca de aplicaciones para lanzar automáticamente una aplicación maliciosa. Para lograrlo, MWR forzó al navegador por defecto del dispositivo a que visite un sitio web malicioso una vez que el terminal se conecta a un punto de acceso wireless malicioso. Con esta vulnerabilidad, el Team MWR consiguió 30.000$.

En el segundo día, el Team MWR combinó un fallo en las descargas del dispositivo junto con un bug que permitía la instalación silenciosa de cualquier app, para exfiltrar una fotografía de prueba en este dispositivo.

Laboratorio Hispasec.

Más información:

PWN2OWN TOKYO 2018
https://www.zerodayinitiative.com/blog/2018/11/13/pwn2own-tokyo-2018-day-one-results

https://www.zerodayinitiative.com/blog/2018/11/14/pwn2own-tokyo-2018-day-two-results-and-master-of-pwn

 

Múltiples vulnerabilidades en D-LINK Central WifiManager

Se han hecho públicas 3 vulnerabilidades que afectan a D-LINK Central WifiManager CWM-100 y que podrían permitir ejecutar código arbitrario con altos privilegios, realizar ataques de rebote FTP y ataques Server Side Request Forgery.

d-link-logo

Central WiFiManager es una herramienta de D-Link que permite a los administradores gestionar y supervisar de forma remota múltiples puntos de acceso inalámbricos. Central WiFiManager es una herramienta basada en la web, por lo que se puede utilizar tanto instalada en un ordenador local como alojada en la nube.

La primera vulnerabilidad, identificada como CVE-2018-15515, permitiría ejecutar código arbitrario con permisos de ‘SYSTEM’ a través de una librería DLL creada a tal efecto. Dicha librería de 32 bits debe ser renombrada como ‘quserex.dll’ y copiada al directorio ‘CaptivelPortal’, y por último reiniciar el servicio ‘CaptivelPortal’ para que ejecute el código contenido en la DLL. Esta vulnerabilidad podría ser aprovechada por troyanos y otros tipos de malware.

Como prueba de concepto se propone ejecutar el siguiente programa (que simplemente muestra un mensaje) y observarlo con un monitor de procesos para verificar el usuario y los permisos con que se ejecuta.

PoC CVE-2018-15515

La segunda vulnerabilidad permitiría realizar ataques de rebote FTP que consisten en aprovechar un fallo en el protocolo FTP mediante el cual se podría utilizar el comando PORT para escanear puertos utilizando el servidor FTP vulnerable como intermediario. De tal manera, de cara a las víctimas, los escaneos se originarían en la red en la que se encuentra el servidor FTP vulnerable. A esta vulnerabilidad se le ha asignado el identificador CVE-2018-15516.

Como prueba de concepto se propone el siguiente vídeo: https://vimeo.com/299797225.

Por último, el identificador CVE-2018-15517 se ha asignado a una vulnerabilidad que afecta a la función ‘MailConnect’ que, aunque está diseñada para verificar la conexión a un servidor SMTP, permite conexiones TCP salientes a cualquier puerto en cualquier dirección IP. Esto permitiría realizar ataques Server Side Request Forgery (SSRF) a través de peticiones del tipo:

https://DIRECCION-IP/index.php/System/MailConnect/host/DIRECCION-IP-VICTIMA/port/secure/

Estas vulnerabilidades, descubiertas por John Page (aka hyp3rlinx), afectan a la versión 1.03 r0098 de D-LINK Central WifiManager (CWM 100).

Más información:

CVE-2018-15515 / D-LINK Central WifiManager CWM-100 / Trojan File SYSTEM Privilege Escalation:
http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-SYSTEM-PRIVILEGE-ESCALATION.txt

CVE-2018-15517 / D-LINK Central WifiManager CWM-100 / Server Side Request Forgery:
http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-SERVER-SIDE-REQUEST-FORGERY.txt

CVE-2018-15516 / D- LINK Central WifiManager CWM-100 / FTP Server PORT Bounce Scan:
http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-FTP-SERVER-PORT-BOUNCE-SCAN.txt

Botnet IoT infecta 100.000 routers para enviar spam

Una nueva botnet IoT, bautizada como ‘BCMUPnP_Hunter‘, ha sido descubierta infectando routers para enviar correos electrónicos de spam.

router_img

Los investigadores de seguridad Hui Wang RootKiter han descubierto recientemente una botnet IoT que infecta routers de diferentes marcas con el objetivo de enviar correos eléctronicos de spam a diferentes servicios de correo electrónico, como Hotmail, Outlook o Yahoo.

Esta botnet se ha bautizado con el nombre de ‘BCMUPnP_Hunter‘ debido al modo con el que infecta los routers. Para infectar a los routers, este malware hace uso de una vulnerabilidad de seguridad en la implementación del protocolo UPnP en los chips BroadCom encontrada en octubre de 2013. Esta vulnerabilidad de seguridad es del tipo ‘format string‘, por lo que permite al atacante explotar dicha vulnerabilidad para obtener y modificar información contenida en la memoria del proceso. Concretamente, esta vulnerabilidad se encuentra en la función SetConnectionType, que es accesible a través de una petición SOAP.

Captura de pantalla de 2018-11-16 11-35-26Petición SOAP para la función SetConnectionTypeSi en el parámetro NewConnectionType se incluye una cadena de texto que incluya un especificador de formato (para las funciones de formato en C suelen venir precedidos por ‘%’, como por ejemplo: ‘%s’, ‘%d’, etc.), entonces ese especificador de formato será interpretado y utilizado por el programa. Esto permite a un atacante obtener información contenida en la memoria o modificarla (usando el especificador de formato ‘%n’). Por ejemplo, si enviamos ‘%x,%x’ como valor para el parámetro NewConnectionType, recibiremos como respuesta los dos primeros elementos en la pila de memoria del proceso en formato hexadecimal.

Después de realizar un escaneo, los investigadores han detectado 116 tipos diferentes de dispositivos infectados por este malware. Puede consultarse la lista completa de dispositivos detectados en la publicación de su blog.

IoCs:
C2
109.248.9.17 “Bulgaria/BG” “AS58222 Solar Invest UK LTD” #C2&&Loader

MD5 de la muestra
9036120904827550bf4436a919d3e503

Alberto Segura
asegura@hispasec.com
@alberto__segura
Más información: