Boletines de seguridad para Asterisk

Asterisk ha publicado seis boletines de seguridad (AST-2018-001 al AST-2018-006) que solucionan otras tantas vulnerabilidades que podrían permitir ataques de denegación de servicio

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor deVoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris Microsoft Windows.

Las vulnerabilidades, ordenadas por boletín, son las siguientes:

  • AST-2018-001: un problema que podría causar un bloqueo cuando una consulta a los registros del soporte RTP para un ‘payload’ dinámico resulta en un ‘codec’ de tipo diferente al negociado para el flujo RTP. Esta vulnerabilidad tiene asignado el identificador CVE-2018-7285 y afecta a la rama 15.x de Asterisk Open Source.
  • AST-2018-002: un error al procesar la descripción de formato de medios no válidos con el algoritmo de análisis ‘sdp’ de ‘pjproject’. No se ha asignado ningún identificador CVE a este problema que afecta a las versiones de Asterisk Open Source comprendidas entre la 13 y 15 así como a Certified Asterisk 13.18
  • AST-2018-003: un error producido al utilizar el controlador de canal‘pjsip’ cuando la función de recuperación ‘fmtp’ de ‘pjproject’ no es capaz de verificar si el valor del atributo ‘fmtp’ está vacío (se establece como vacío si se analizó previamente como no válido). Este problema, sin CVE asignado, afecta a Asterisk Open Source 13.x, 14.x y 15.x así como a Certified Asterisk 13.18.
  • AST-2018-004: una falta de comprobación de la cantidad de cabeceras‘Accept’ cuando el módulo ‘res_pjsip_pubsub’ procesa una peticiónSUBSCRIBE que podría causar una escritura de memoria fuera de límites. El CVE CVE-2018-7284 se ha asignado a esta vulnerabilidad que afecta a las ramas 13, 14 y 15 de Asterisk Open Source y la versión 13.18 de Certified Asterisk.
  • AST-2018-005: un fallo de segmentación podría ocurrir al recibir un gran número de mensajes INVITE autenticados y finalizar la conexión de repente (CVE-2018-7286). Se encuentran afectados Asterisk Open Source 13.x, 14.x, 15.x y Certified Asterisk 13.18.
  • AST-2018-0016: una falta de comprobación de la longitud de los‘websocket’ podría causar un bloqueo al intentar leer un ‘payload’ de tamaño 0. Esta vulnerabilidad, identificada como CVE-2018-7287, únicamente afecta a aquellas instalaciones de Asterisk con el servidor HTTP habilitado (por defecto no lo está). Afecta a la rama 15.x deAsterisk Open Source.

Se han publicado las versiones Asterisk Open Source 13.19.2, 14.7.6, 15.2.2 yCertified Asterisk 13.18-cert3 que solucionan los problemas anteriormente descritos. También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través de los diferentes boletines publicados.

Más información:
 
AST-2018-001: Crash when receiving unnegotiated dynamic payload:
http://downloads.asterisk.org/pub/security/AST-2018-001.html

 
AST-2018-002: Crash when given an invalid SDP media format description:
http://downloads.asterisk.org/pub/security/AST-2018-002.html

 
AST-2018-003: Crash with an invalid SDP fmtp attribute:
http://downloads.asterisk.org/pub/security/AST-2018-003.html

 
AST-2018-004: Crash when receiving SUBSCRIBE request:
http://downloads.asterisk.org/pub/security/AST-2018-004.html

 
AST-2018-005: Crash when large numbers of TCP connections are closed suddenly:

Múltiples Vulnerabilidades en Trend Micro Email Encryption Gateway

Varias vulnerabilidades afectan al sistema ‘Email Encryption Gateway’ de Trend Micro, algunas de las cuales podrían llevar a la ejecución remota de código arbitrario.

 

Introducción

Email Encryption Gateway es un software basado en Linux que permite el cifrado de correo desde el gateway corporativo.

El cifrado y descifrado del correo en el cliente TMEEG (Trend Micro Email Encryption Gateway) está controlado por un gestor de directivas que permite al administrador configurar directivas basándose en varios parámetros (direcciones de correo remitente, destinatario, palabras clave, etc). Se presenta como una interfaz para configurar los ‘MTA’ salientes.

Se han encontrado vulnerabilidades en la consola web que permitirían a un atacante no autenticado ejecutar comandos arbitrarios con privilegios de root.

Descripción

El informe contiene doce vulnerabilidades que afectan este producto, que pasaremos a explicar de manera muy resumida en las siguientes líneas.

Vulnerabilidad 1 (Actualización insegura vía HTTP)

La comunicación con los servidores de actualización no está cifrada. Cuando la aplicación comprueba las actualizaciones espera recuperar un archivo en texto plano con un formato determinado. Si dentro de este fichero se encuentra una nueva actualización, el paquete RPM se descargará sin ningún tipo de validación, lo que facilitaría a un atacante instalar una actualización maliciosa en el sistema.

Vulnerabilidad 2 (Escritura de archivos con ejecución de comandos)

El fragmento de código responsable de descargar el archivo de actualización‘(com/ident/pmg/web/CheckForUpdates.java)’ permite que un atacante pueda controlar la ruta donde se va a descargar el fichero de actualización. El archivo RPM es escrito como root con permisos 0644. Lo que permite varios vectores de ejecución de código. El vector presentado por los descubridores de la vulnerabilidad consiste en la creación de una tarea cron en el directorio ‘/etc/cron.d’.

Vulnerabilidad 3 (Actualizaciones sin validar)

El mecanismo de actualización presentado en la vulnerabilidad 2 no valida el archivo RPM descargado. Un atacante podría alterar el archivo RPM e inyectar el suyo propio, siempre que se encuentre en una posición Man in the Middle. Los investigadores ha hecho una prueba de concepto creando un archivo RPM malicioso capaz de ejecutar una ‘shell’ inversa.

Vulnerabilidad 4 (Ubicación de logs arbitraría con ejecución de comandos)

La ubicación de los archivos de log se puede modificar en el fichero ‘logConfiguration.do’. Un atacante podría redigir los logs de MimeBuildServer a /opt/Tomcat/Webapps/root/Pepito.jsp para posteriormente modificar su configuración e incluir código JSP arbitrario, que será ejecutado la próxima vez que se reinicie el servicio.

Vulnerabilidad 5 (Registro sin validación)

El registro de dispositivos se habilita para que los administradores del sistema configuren los dispositivos virtuales al implementarlo. Sin embargo es accesible sin autenticación incluso después de que el dispositivo esté configurado, lo que permitiría a los atacantes establecer parámetros de configuración como nombre de usuario y contraseña de administrador.

Vulnerabilidad 6 (Cross Site Request Forgery)

No hay protección contra CSRF en ningún formulario de la interfaz web. Esto permitiría a un atacante enviar solicitudes autenticadas cuando un usuario autenticado examina un dominio controlado por el atacante. Se podría combinar con la vulnerabilidad 4 y ejecutar código arbitrario de forma remota. También se puede combinar con la vulnerabilidad 2 y la 3, lo que también podría llevar a la ejecución remota de comandos.

Vulnerabilidad 7 (XML External Entity Injection)

El parámetro ‘pciExceptionXml’ del script ‘Configuration.jsp’ es vulnerable a‘XML External Entity Injection’. La prueba de concepto utiliza entidades externas para enviar el archivo ‘/etc/shadow’ a un servidor externo. Requiere que el usuario esté autenticado dentro de la consola web, por lo que el atacante necesitará obtener primero unas credenciales válidas. Los posibles vectores para lograr esto incluyen cualquiera de los ataques XSS o la explotación de la vulnerabilidad XSRF.

Vulnerabilidad 8 (Reflected Cross Site Scripting)

Los parámetros ‘deniedKeysExpireTimeout’ y ‘keyAge’ del script‘keymanserverconfig.jsp’ son vulnerables a XSS.

Vulnerabilidad 9 (Reflected Cross Site Scripting)

Los parámetros:
‘decryptionXHeader’, ‘encryptionXHeader’, ‘meetingRequestEmailText’, ‘zdAttachmentPayloadTemplate’, ‘zdAttachmentTemplate’, ‘zdMainTemplate’, ‘zdMainTemplateZdv4‘ son vulnerables a XSS.

Vulnerabilidad 10 (Stored Cross Site Scripting)

El parámetro ‘hideEmails’ del script ‘editPolicy.jsp’ es vulnerable a cross-site scripting. La siguiente solicitud agrega una directiva para la dirección de correo electrónico, la entrada se almacenará de forma no escapada y será renderizada cada vez que se ejecute el script ‘Policies.do’

Vulnerabilidad 11 (SQL Injection)

El parámetro ‘hidEdittld’ del script ‘policies.jsp’ es vulnerable a SQL-Injection. El script lee un parámetro ‘hidEdittld’ y lo reenvía al script ‘editPolicy.jsp’ este script pasará sin ninguna modificación el parámetro al método ‘loadRuleDetails’de la clase ‘formEditPolicy’, y lo usa para generar una instrucción SQL.

Vulnerabilidad 12 (SQL Injection)

El parámetro ‘hidRuleId’ del script ‘editPolicy.jsp’ es vulnerable a SQL Injection. El script lee el parámetro ‘hidRuleId’ y llama a ‘DeletePolicy’ sin hacer ninguna comprobación de seguridad sobre lo insertado.

Vulnerabilidad 13 (SQL Injection)

El parámetro ‘SearchString’ del script ‘emailSearch.jsp’ es vulnerable a SQL Injection.

CVE

  • CVE-2018-6219
  • CVE-2018-6220
  • CVE-2018-6221
  • CVE-2018-6222
  • CVE-2018-6223
  • CVE-2018-6224
  • CVE-2018-6225
  • CVE-2018-6226
  • CVE-2018-6227
  • CVE-2018-6228
  • CVE-2018-6229
  • CVE-2018-6230

Productos vulnerables
Trend Micro Email Encryption Gateway 5.5 (Build 1111.00)

Información del fabricante y soluciones

https://success.trendmicro.com/solution/1119349-security-bulletin-trend-micro-email-encryption-gateway-5-5-multiple-vulnerabilities


Post original

Cómo eliminar el virus que convierte las carpetas en accesos directos con el comando ‘Attrib’

Si todas las carpetas de tu memoria USB han sido reemplazadas por accesos directos, quiere decir que ha sido infectada por el virus del acceso directo. Este virus no puede ser eliminado con los antivirus tradicionales, pero puedes utilizar un simple comando, desde el símbolo del sistema, para deshacerte por completo de él.

Cómo recuperar las carpetas ocultas de tu memoria USB con el comando ‘Attrib’ y eliminar el virus del acceso directo

Abre Ejecutar, escribe cmd y haz clic en Aceptar. Luego, en la ventana Símbolo del sistema, escribe la letra de tu unidad USB (por ejemplo E:) y presiona Enter. Ingresa el comando Attrib /d /s -r -h -s *.* y presiona nuevamente Enter:


No hagas clic sobre los accesos directos o el virus infectará tu PC. A continuación, selecciona los accesos directos y los archivos sospechosos y presiona las teclas Shift + Supr o las teclas Shift + Delete. Por último, haz clic en . Esta orden elimina de forma permanente los accesos directos sin mandarlos a la Papelera de reciclaje.

Cryptojacking. Escuchando a la otra parte afectada del negocio.

Tengo que admitir que dejé de ir a charlas de seguridad hace bastante tiempo. En su lugar, para compensar, voy a las de desarrolladores. No nos engañemos, me encanta mi trabajo, que no es otro que desmontar pieza a pieza lo que otros han construido. Pero también me gusta construir y, por supuesto, si lo que levantas del suelo no es a demanda sino algo que te propones como un reto, mayor es el aliciente. Además, mucho mejor estar cerca de mis “enemigos” que de mis “amigos” ¿no?

Al salir de una de estas charlas me encontré con un viejo amigo que tiene una empresa de desarrollo y hosting. Nos fuimos a saquear el aperitivo y se nos unieron varios compañeros más. Muy pronto, la conversación derivó en uno de los temas de moda y del que ya hemos hablado alguna que otra vez por aquí: el cryptojacking. Aunque intenté darme a la fuga antes de que el tema cogiese más protagonismo, mi amigo me paró en seco. “Ah!, pues aquí el amigo, que se dedica a seguridad, nos puede dar su visión del tema.”

El tópico interesaba, y mucho, y de nada sirvieron las cinco excusas nivel oro de mi libro de excusas para huir de ciertas situaciones sociales (lógico, quienes me conocen saben cómo contratacarlas). Así que teníamos por delante veinte minutos de conversación acerca de la dichosa minería. No obstante, al final mereció la pena. Pude constatar la preocupación con la que asumían la problemática. Me pareció interesante dar eco aquí de ciertos aspectos.

El cambio de economía

Me comentaban qué, de los servidores atacados en sus sistemas, normalmente accedían (un clásico) a través de una vulnerabilidad web. Cuando antes era subir una Shell, ahora es, con alarmante diferencia, subir un minero. No al propio servidor, que eso pega un cantazo tremendo en los consumos, muy monitorizados, de CPU de las máquinas, sino, evidentemente, como recurso para que se los descarguen los navegadores.

Antes, si subían un phishing o un troyano, el visitante no se percataba del sitio donde le habían encasquetado el paquete. Eso era porque la visita era indirecta en la mayoría de ocasionas y otras veces, por supuesto, la infección es silenciosa y el visitante no se percataba donde “le habían untado la tostada”.

Sin embargo, con el minado si se nota. Llega al lugar y el ventilador se pone a fibrilar. La CPU a tope, tanto que podría calentar una habitación en un par de horas. Entonces sí que te das cuenta donde te la están dando. El visitante lo tiene claro, ctrl-w, pestaña cerrada y sitio del que desconfía. La pérdida de visitas, marca, prestigio, etc, que tanto cuesta construir corre el riesgo de irse al traste. También la inclusión de lista negra, etc.

Era curioso, como incluso en ese falso dilema de escoger entre las “antiguas” amenazas o esta nueva moda del minado, preferían el suplicio de tener un merodeador con una Shell o que les alojasen un troyano. Ambos, casos que suelen tener, junto con el mass mailing, bastante trillados y cuya ventana de existencia está bastante acotada. Sobre todo, porque han ido perfeccionando sus soluciones in-house o las de terceros.

Vectores de entrada

Todo vale en la guerra. Los métodos de entrada no suelen variar, pero esta vez el logro no es hacerse con el sistema sino “colar” el minero a toda costa. Escuché atentamente, aunque nada sonaba a novedoso, ellos no hablaban de extensiones para el navegador maliciosas, minería explícita (caso PirateBay), etc. Su punto de vista, lógico, es defender el negocio y su preocupación quienes les visitan, la experiencia del usuario.

Los casos eran curiosos. Foros vulnerables con comentarios que incluían scripts, cross-site scripting persistentes, funcionalidad de user-content muy permisivas e incluso un notorio caso donde los señores crackers habían añadido un CDN de su propia red de contenido donde, por supuesto el usuario no descargaba precisamente versiones minimizadas del framework de moda.

Algo curioso que les comenté era el hecho de las campañas de anuncios con mineros. Nada nuevo bajo el sol, pero desconocían ese vector. Curioso que les sorprendieran, aunque si recordaban el viejo truco de endiñar un exploit a través de un, en sus tiempos, anuncio en flash (que en paz descanse de una vez).

Posibles defensas

Apurando ya los últimos sorbos de la copa (en realidad eran vasos con refrescos, pero copas queda mejor literariamente), tocaba hablar de cómo te defiendes de algo así. Había unanimidad en que andaban un poco a tientas con las soluciones. Prácticamente se usaban los mismos enseres y técnicas que el rastreo de shells o cambios en los sitios que con el malware o phishing. Eso sí se ponían remedio, pues también confesaron que…oh, sorpresa, no actuaban hasta que alguien les avisaba.

Hubo quien proponía inyectar scripts para detectar y detener mineros. Mi sonrisa me delató. Eso es una carrera de ratas recursiva, al final siempre hay un anti-anti-anti-anti…hasta la saciedad. Tú me inyectas un script para detenerme, yo meto una rutina de antidetección, tu detectas mi rutina que detecta tu rutina y…quien haya visto a los hermanos Marx sabe de qué estamos hablando.

También se habló de cazar esos scripts por la huella que dejan. Es decir, rastreo los scripts los ejecuto en una sandbox y en base a un perfil de consumo alerto de posible minero. Si y no. Eso puede durar lo suficiente como para que o bien procedan a detectar ese ambiente e inhibirse (como hacen el malware cuando detecta una máquina virtual) o simplemente el script se trocea en partes y no se activa su función principal hasta que estás se recomponen en una sola. Incluso dudaba del perfil de consumo como capacidad para hacer vetting de los scripts, sobre todo porque hay scripts que sí que legítimamente requieren consumo: WebGL, generación de gráficas, video incrustado, etc. Si bien hay capacidad y recorrido para la heurística, no creo (el pesimismo del auditor) que sea la panacea.

¿Pero y que solución le damos?

Nos anuncian que va a dar comienzo otra charla. Apuramos “la copa” y cogemos unos cuantos canapés sin que se notase mucho, por si aprieta el gusanillo más tarde. Estaba ya a punto de librarme de la pregunta que se estaba gestando minutos antes. A los 123 grados de giro de un espectacular quiebro de cintura que ya quisieran el propio Messi o Cristiano y dos pasos de distancia, escuché la temida interpelación: “¿Oye, pero dinos, esto como ves que pueda solucionarse o al menos paliarse, tu que trabajas con…?”

Francamente. Habíamos estado hablando de soluciones post infección y nadie de nosotros se había percatado de lo obvio. “Bueno, si tienes agujeros y muchos, lo más probable es que antes o después alguien pase por ahí y se aproveche de ellos. ¿Habéis probado a auditar vuestra infraestructura de forma periódica o al menos implementar un desarrollo seguro en lo que hacéis?”

 

Por supuesto, era una obviedad, no se hacía, pero estaba claro que esto es como la salud. Es preferible cuidarla antes que tener que poner soluciones cuando ya es demasiado tarde, cuando todo es paliativo, crónico e irreversible. Ellos se llevaron un par de viejos conceptos de seguridad, pero nuevos para ellos. Y yo me llevé la impresión de que los que nos dedicamos a la seguridad deberíamos escucharlos más donde realmente están los que tienen los problemas que pretendemos solucionar.


David García
@dgn1729






 

Por noreply@blogger.com (David García)

21/02/18

Coldroot indetectado por antivirus durante dos años

Coldroot es un RAT que inicialmente estaba diseñado para infectar a sistemas MacOS, pero se está empezando a distribuir en otros sistemas operativos de escritorio.

Este troyano sigue pasando inadvertido para la gran mayoría de antivirus, a pesar de que el código fuente se encuentra disponible en un repositorio de Github. El código se liberó a mediados de 2016, pero al no tener una gran popularidad no suscitó mucho interés. Sin embargo, recientemente ha pasado a distribuirse de manera activa.

El investigador Patrick Wild ha descubierto una variante de este RAT recientemente. Según apunta Wild en su análisis, el código que se encuentra online es distinto al que se puede encontrar en dicha muestra, aunque el comportamiento de la muestra coincide con el antiguo troyano que podemos encontrar en Github. Por tanto concluye que este troyano es una versión mejorada y con nuevas funcionalidades de la versión de 2016.

Entre otras características, esta nueva versión puede habilitar sesiones de escritorio remoto, tomar capturas de pantalla para convertirlas en un ‘streaming’ de la actividad del usuario y ejecutar y parar procesos en el sistema. Además, es posible enviar y obtener ficheros de la máquina y ejecutarlos.

Toda la información interceptada del equipo de la víctima es enviado a un panel web. En el troyano, se encuentran los datos de contacto del autor original ‘Coldzer0’ pero no parecen tener más intención que distraer a los investigadores.

Tras haber obtenido una mayor atención en los últimos días, posiblemente pronto veamos las detecciones de este malware aumentar por los distintos sistemas antivirus.

Más información:

Coldroot:

https://digitasecurity.com/blog/2018/02/19/coldroot/

LA LUMBALGIA

La lumbalgia es el dolor localizado en la parte baja de la espalda, desde la costilla hasta los glúteos, cuyo origen tiene que ver con la estructura músculo-esquelética de la columna vertebral. Este afecta a un 80% de personas por lo menos una vez en la vida.

SÍNTOMAS

  • Dificultad para moverse que puede ser lo ponerse de pie.
    La lumbalgia es el dolor localizado en la parte baja de la espalda,
    desde la costilla hasta los glúteos, cuyo origen tiene que ver con la
    estructura músculo-esquelética de la columna vertebral. Este afecta a un
    80% de personas por lo menos una vez en la vida.

 

  • Dolor que se irradia por la pierna o un dolor que también pasa por la ingle, la nalga o la parte superior del  muslo, pero que rara vez llega debajo de la rodilla.

 

  • Área localizada que es dolorosa con la palpación, sobre todo a nivel de la cintura.

FACTORES DE RIESGO

Factores Personales:

  1. Estrés
  2. Depresión
  3. Mal estado físico
  4. Obesidad
  5. Tabaquismo
  6. Edad

“A partir de los 30 años se producen cambios degenerativos en el disco de la columna que conducen a una pérdida de resistencia del mismo”.  

¿CÓMO PREVENIRLA?

  1. En la ocina, mantener la espalda recta en contacto con el respaldar de la silla.
  2. No superar el peso límite permitido por persona (25 kg. en hombres y 15 kg. en mujeres).
  3. Si tienes dolor lumbar, acude al médico.
    La atención precoz disminuye la posibilidad de desarrollar un problema crónico. No se automedique.
  4. Si cargas peso realiza el esfuerzo con las piernas, no fuerces la espalda.
  5. Evitar el uso prolongado de fajas ya que provoca debilidad en la pared abdominal.

DATOS ADICIONALES

  1. En más del 85% de casos, el dolor lumbar no se puede atribuir a una enfermedad especíca o a  una alteración de la columna vertebral.
  2. Tanto trabajadores sedentarios como activos pueden padecerlo, pues es una enfermedad que está inuenciada por otros factores y no solo por factores laborales.
  3. Otro problema frecuente que generan dolor lumbar son la estenosis espinal y la hernia de disco.

 

Corregidas múltiples vulnerabilidades en RubyGems

Rubygems, el popular gestor de paquetes para Ruby, se ha actualizado urgentemente para dar solución a un paquete de vulnerabilidades que le afectaban.
RubyGems es un gestor de paquetes para el lenguaje de programación Ruby que proporciona un formato estándar y autocontenido (llamado gem) para poder distribuir programas o bibliotecas en Ruby, una herramienta destinada a gestionar la instalación de éstos, y un servidor para su distribución.
Aunque no se ha facilitado mayor información, las vulnerabilidades corregidas han sido las siguientes:
  • Salto de restricciones (Path traversal) a la hora de escribir a un enlace simbólico de directorio.
  • Salto de restricciones (Path traversal) durante la instalación de gemas.
  • Vulnerabilidad de deserialización de objetos asociada al dueño de una gema.
  • Incorrecta gestión de los campos octales en las cabeceras de ficheros tar.
  • Incorrecta gestión de ficheros duplicados en un paquete.
  • Incorrecta validación de las URLs en el atributo spec homepage que podría facilitar ataques XSS.
Las vulnerabilidades fueron descubiertas por nmalkinploverYasin Soliman y se ha publicado la versión 2.7.6 para corregirlas. Se puede actualizar a esta versión desde el propio gestor de rubygems mediante:

gem update –system

Más información:
 
RubyGems 2.7.6 includes security fixes:

Apple vuelve a sufrir ataques por “Text bombs”

Si el pasado mes Apple se veía afectada por una vulnerabilidad en iOS e iMessage, denominada chaiOS (CVE-2018-4100), esta semana se ha vuelto comprobar que los ataques mediante caracteres Unicode siguen en total vigencia, con una nueva variante, al recibir caracteres en lengua Telugu (India).

El error es debido a una incorrecta gestión de los caracteres Unicode que forman parte del set Telegu, la segunda lengua más utilizada en India.
En concreto, la secuencia en formato Unicode “U+0C1C U+0C4D U+0C1E U+200C U+0C3E“, desencadenaría que cualquier usuario que reciba o procese un mensaje o notificación que utilice dicha combinación, pueda comprobar como la aplicación utilizada se bloquea o, simplemente, se cierra.
Un estudio más completo por parte del desarrollador Manish Goregaokar (@Manishearth), ha determinado que existen más combinaciones, incluso de otras lenguas como la Bengalí, que reproducen el fallo, y otros usuarios han publicado scripts con las posibles variantes.
Actualmente, ésta vulnerabilidad de denegación de servicio o “Text bomb” sigue sin poder resolverse de manera oficial, y se verían afectadas todos las versiones de iOS, macOS, watchOS y, por ende, cualquier aplicación instalada. Por ejemplo, diferentes pruebas han demostrado que se pueden provocar fallos en iMessage:
O incluso en el gestor de redes, al utlizar esa combinación en el nombre de una red wifi (el SSID), tal y como pudo comprobar el investigador @info_dox:
 
Apple está preparando un conjunto de actualizaciones que serán desplegadas lo antes posible.


Más información:
Picking Apart the Crashing iOS String
https://manishearth.github.io/blog/2018/02/15/picking-apart-the-crashing-ios-string/

Basta un solo carattere per far crashare qualsiasi prodotto Apple (video)
http://www.mobileworld.it/2018/02/14/carattere-indiano-crash-iphone-mac-ipad-144881/

Script to generate all Devanagari, Bangla and Telugu strings known or suspected to crash macOS and iOS
https://github.com/hackbunny/viramarama

The latest iOS update fixes a glitch that would let others crash your phone with a text message
https://techcrunch.com/2018/01/23/the-latest-ios-update-fixes-a-glitch-that-would-let-others-crash-your-phone-with-a-text-message/

About the security content of iOS 11.2.5
https://support.apple.com/en-gb/HT208463

Miles de sitios webs de los gobiernos hackeados para minar criptomonedas

Se han descubierto miles de webs de varios gobiernos del mundo que forzaban a los visitantes a minar criptomonedas.

Extraída de Hackbusters

 

El script de minado ha sido encontrado en más de 4.000 webs entre las que destacan el Servicio Nacional de Salud de Reino Unido (NHS) y el sistemas judicial de los Estados Unidos.

Los ciberdelincuentes consiguieron modificar un complemento de accesibilidad de terceros llamado Browsealoud, el cuál estaba presente en todas las webs afectadas. Una vez más, la secuencia de comandos que se insertó pertenece a CoinHive, al cuál ya hemos mencionado en otros artículos.

Como ya hemos mencionado en otras ocasiones, los usuarios al visitar una web que contiene código de CoinHive, notan como la potencia de su procesador se ve aumentada notablemente para minar criptomonedas sin conocimiento de ello. Esto es conocido comocriptojacking.

El encargado en dar la voz de alarma fue Scott Helme (Consultor de Seguridad en Reino Unido). Descubrió el hackeo después de que uno de sus amigos mencionara haber recibido alertas de antivirus en la web del gobierno y lo publicó en su cuenta de Twitter.

El complemento vulnerado pertenece a la empresa TextHelpMartin McKay, CTO de dicha compañía escribió un post para tranquilizar a los usuarios. En él, especifica que el completemento está pasando una serie de revisiones de seguridad.

Debido a esta acción, el completemento ha sido borrado eventualmente de todas las webs sin que los encargados de dichas páginas deban realizar ninguna acción.

Además, la compañía asegura que no se ha comprometido datos de ninguno de los usuarios y que sus clientes recibirán una actualización tan pronto como la investigación de seguridad haya finalizado.

Más información:

Lista de webs vulneradas:
https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

Web de CoinHive:
https://coinhive.com/

Tweet de Scott Helme dando la alarma:
https://twitter.com/Scott_Helme/status/962684239975272450 

Virus periodístico

Lunes 12 de febrero 9:00 am. Llega a mis manos, a través de un compañero de trabajo, una noticia publicada en el periódico ‘El País’ titulada “Virus informático”. Como informático dedicado precisamente a la seguridad informática, un titular tan directo me invita a prepararme un café que acompañe la lectura y me caliente antes de comenzar con mis responsabilidades.

 
 


9:00h: Me dispongo a leer el artículo de la escritora Ana Merino (Madrid, 1971), una poeta, dramaturga y teórica española de la historieta, perteneciente a la Generación Poética del 2000. No lo digo yo, lo dice Wikipedia.


9:01h: Empezamos el artículo que viene subtitulado con sus intenciones: “Los hacker son un nuevo peligro de una gravedad incalculable y se requiere de una acción seria, coordinada y efectiva”. La escritora no esconde ninguna carta.


9:02h: Sorbo el café y me adentro en el primer párrafo del artículo: Estarán contentos los que desarrollaron los primeros virus informáticos y dieron lugar a un linaje de seres siniestros que se pasan la vida tecleando destrucción y toxicidad cibernética”. Vale, esto es una sátira. Me da la impresión de que va a ser una entrada con dosis de humor desternillante. Sigo leyendo.


9:03h: Cito textualmente: “Estos sujetos, esparcidos por el mundo, son los nuevos discípulos del sabio Frestón, que en su día se las hizo pasar canutas a Don Quijote y obstaculizó todo lo que pudo sus hazañas”. Oops! Lo que podía ser un artículo con altas dosis de humor se transforma en mi mente en que ForoCoches lo ha vuelto a hacer y se la han colado a ‘El País’. Cambio de pestaña y busco en ForoCoches. No encuentro nada.


9:10h: “Estos malévolos embrujos no son anécdotas aisladas y hacen mucho daño. Afectan a las bases de datos de hospitales y otras infraestructuras neurálgicas de nuestra sociedad. Son un nuevo peligro de una gravedad incalculable y se requiere de una acción seria, coordinada y efectiva”. Empiezo a vislumbrar lo que ha pasado aquí: a esta mujer le ha “entrado” un ransomware y se ha venido arriba maldiciendo a diestro y siniestro, intentando crear opinión sobre un tema del cual es una completa ignorante, en el buen sentido.


9.12h: “Necesitamos castigos estrictos y disuasorios, neutralizar a estos seres abyectos.“ Con esta frase me acaba de ganar. Más bien con el adjetivo que finaliza la frase: abyectos. ¿Qué significa?. Me suena a algo malo pero disculpad mi ignorancia, tuve que buscarlo para dimensionar su magnitud…


abyecto, ta.
Del lat. abiectus, part. pas. de abiicĕre ‘rebajar, envilecer’.
  1. 1. adj. Despreciable, vil en extremo.
  2. 2. adj. desus. Humillado, herido en el orgullo.


9.15h: …y termino: “Expulsarles del universo informático y las redes, que no puedan volver a navegar, ni a programar, ni a embrujar ninguna base de datos”. Un final más propio de Dragones y Mazmorras que de un artículo de opinión sobre el fortalecimiento de la legislación contra amenazas cibernéticas.


En cierto modo, aunque me sentía aludido por esta escritora perteneciente a la generación poética del 2000 y comprendiendo su mensaje, (eso sí, carente de una argumentación sensata), su ofensa es debida a un mal uso de la palabra ‘hacker’. Quizás ella desconozca que el término ‘hacker’ dejó de ser despectivo hace ya muchos años y que el 20 de diciembre de 2017 la RAE incluyó la siguiente acepción: “persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora“. Pero con él ha ofendido a una minoría y todos sabemos que, en los tiempos que corren, ofender a una minoría debe de ir acompañado de una disculpa.



Actualización:
‘El País’ ha rectificado la noticia eliminando el término ‘hackers’.

 
 
Más información:
 

Driver vulnerable en Gundam Online (BANDAI NAMCO)

Los laboratorios de Kaspersky detectan una muestra que es constantemente clasificada para análisis exhaustivos al ser detectada por su plugin de exploits. Al examinarla, resulta ser un driver de Gundam Online, el videojuego de NAMCO.

Para poder entender esto, tenemos que conocer qué es SMEP. SMEP (Supervisor Mode Execution Protection), es una característica que marca todas las páginas disponibles para distinguirlas entre aquellas que pueden ejecutar código en ring-0 o no. SMEP se encuentra activo cuando el bit SMAP del registro CR4 y la paginación se encuentran establecidos. Con este mecanismo, todos los intentos implícitos de lectura de memoria de paginas en user-land con un privilegio menor que ring-3 serán bloqueadas siempre que SMAP esté habilitado.

Durante su ejecución, se observa que una página de user-space es llamada desde el driver de CAPCOM justo después de que se cree una petición IOCTL (0x0AA012044) al DeviceObject \\.\Htsysm7838 – Este comportamiento no debería ser válido, ya que SMEP no lo permite; por lo que se debería generar una excepción de violación de acceso y detener el sistema con un BSOD.

Flujo de llamadas para habilitar y deshabilitar SMEP.

En este fragmento, podemos observar cómo esta rutina que contiene un puntero a una función en userspace, deshabilita SMEP para llamar a dicha función en user-land. Tras esto, rehabilita SMEP volviendo a su estado original.
Para poder llamar a dicha función, necesitaríamos tener el bit CR4 (que mencionamos al principio de la entrada) que es justo lo que la función indicada como disableSMEP hace.

Analizando el driver podemos observar que solo acepta dos IOCTL:

IOCTL validos.

Este driver no tiene ninguna comprobación de seguridad extra, por tanto cualquier aplicación desde user-land podría explotar el IOControlCode a través de la API DeviceIoControl, conociendo el código de control del driver.

Definición de kernel32!DeviceIoControl (https://msdn.microsoft.com/es-es/library/windows/desktop/aa363216(v=vs.85).aspx)
Prueba de concepto de la vulnerabilidad.
Resultado de la prueba de concepto. Aunque se podría haber incluido una shellcode y el resultado sería distinto.

Por tanto, un atacante podría crear una aplicación desde user-land y provocar la ejecución de código o provocar un crash en el sistema. Para hacer la prueba, se ha utilizado una cadena basura para demostrar el problema, sin embargo es posible utilizar una shellcode. En caso de que el Driver no estuviera instalado en el sistema, al estar firmado no habrá problemas para incorporarlo al sistema por parte de un atacante.

Al ser informados BANDAI NAMCO eliminaron el driver problemático que ya no es cargado por el juego, siendo la actuación similar al driver de CAPCOM.

Más información:
 
SMEP: What is it, and how to beat it on Windows:
http://j00ru.vexillium.org/?p=783

Supervisor Mode Access Prevention (SMEP):
https://en.wikipedia.org/wiki/Supervisor_Mode_Access_Prevention

Elevation of privileges in Namco Driver: