Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - r32

#641


Security researchers have discovered a new type of "Man-in-the-Middle" (MitM) attack in the wild targeting smartphone and tablets users on devices running either iOS or Android around the world.

The MitM attack, dubbed DoubleDirect, enables an attacker to redirect a victim's traffic of major websites such as Google, Facebook and Twitter to a device controlled by the attacker. Once done, cyber crooks can steal victims' valuable personal data, such as email IDs, login credentials and banking information as well as can deliver malware to the targeted mobile device.

San Francisco-based mobile security firm Zimperium detailed the threat in a Thursday blog post, revealing that the DoubleDirect technique is being used by attackers in the wild in attacks against the users of web giants including Google, Facebook, Hotmail, Live.com and Twitter, across 31 countries, including the U.S., the U.K. and Canada.

DoubleDirect makes use of ICMP (Internet Control Message Protocol) redirect packets in order to change the routing tables of a host — used by routers to announce a machine of a better route for a certain destination.

In addition to iOS and Android devices, DoubleDirect potentially targets Mac OSX users as well. However, users of Windows and Linux are immune to the attack because their operating systems don't accept ICMP re-direction packets that carry the malicious traffic.

    "An attacker can also use ICMP Redirect packets to alter the routing tables on the victim host, causing the traffic to flow via an arbitrary network path for a particular IP," Zimperium warned. "As a result, the attacker can launch a MitM attack, redirecting the victim's traffic to his device."

    "Once redirected, the attacker can compromise the mobile device by chaining the attack with an additional Client Side vulnerability (e.g.: browser vulnerability), and in turn, provide an attack with access to the corporate network."

The security firm tested the attack and it works on the latest versions of iOS, including version 8.1.1; most Android devices, including Nexus 5 and Lollipop; and also on OS X Yosemite. The firm also showed users how to manually disable ICMP Redirect on their Macs to remediate the issue.

    "Zimperium is releasing this information at this time to increase awareness as some operating system vendors have yet to implement protection at this point from ICMP Redirect attacks as there are attacks in-the-wild," the post reads.

The company has provided a complete Proof-of-Concept (PoC) for the DoubleDirect Attack, users can downloaded it from the web. It demonstrates the possibility of a full-duplex ICMP redirect attack by predicting the IP addresses the victim tries to connect to, by sniffing the DNS traffic of the target; the next step consists of sending an ICMP redirect packet to all IP addresses.

Proof-of-Concept (PoC): https://s3.amazonaws.com/zANTI/doubledirect_poc.cpp

Fuente: http://thehackernews.com/2014/11/doubledirect-mitm-attack-targets_22.html
#642
Google anunció el pasado martes en su blog Google Online Security la publicación de una aplicación online (con su código fuente correspondiente) en la que se recopilaban diferentes pruebas de concepto relacionadas con vulnerabilidades típicas web, con especial hincapié en todas las variantes posibles para la ejecución de Cross-Site Scriptings. Actualmente Google se encuentra desarrollando una herramienta de auditoría de vulnerabilidades para uso interno (a la que llaman Inquisition) para la cual necesitaban casos reales de vulnerabilidades para probar su eficacia.



Disponemos de páginas preparadas para probar vulnerabilidades de los siguientes tipos hasta el momento (y dentro de cada tipología con multitud de pruebas posibles a realizar):

   Cross-Site Scripting Address DOM
   XSS de redirección
   XSS reflejados
   XSS basados en Tag
   Cross-Site Scripting escapados por el servidor
   XSS de inclusión remota
   Cross-Site Scripting de DOM
   Vulnerabilidades relacionadas con CORS (Cross Origin Resource Sharing)
   Inyección Flash
   Contenido mixto
   ClickJacking inverso



Como podréis observar, el diseño no es lo más relevante, ya que lo que prima en este caso es tener un banco de pruebas sobre el que lanzar herramientas de detección de este tipo de vulnerabilidades y probar su eficacia, además de obviamente poder realizar pruebas de manera manual para conseguir el objetivo de un famoso alert() u otros tipos de acciones más interesantes.

Tenéis más información en el post de Google Online Security escrito por Claudio Criscione (Security Engineer en Google), así como en el repositorio de código del proyecto.

Mas información:

http://googleonlinesecurity.blogspot.com.es/2014/11/ready-aim-fire-open-source-tool-to-test.htm

Github: https://github.com/google/firing-rangel

Fuente: http://www.securitybydefault.com/2014/11/probando-aplicaciones-de-auditoria-web.html
#643




WordPress ha anunciado el lanzamiento de una actualización de seguridad crítica a su versión 4.0.1, afirmando que las anteriores a 3.9.2 inclusive están afectadas por una vulnerabilidad Cross-Site Scripting (XSS). La falla podría permitir a criminales comprometer un sitio, habilitando el ingreso de código HTML en formularios web y alterando su apariencia original.

La actualización de WordPress 4.0.1 corrige 23 bugs y ocho problemas de seguridad:

    Tres agujeros relacionados a XSS que permitirían comprometer un sitio
    Cross-site request forgery o falsificación de petición en sitios cruzados, que podría ser usada para inducir a un usuario a cambiar su contraseña
    Una falla que podría derivar en un Denial of Service (DoS) cuando las contraseñas son verificadas
    Protecciones adicionales contra ataques de falsificación de peticiones en el lado de servidor, cuando WordPress hace solicitudes HTTP.
    Una muy poco probable colisión de hash (cuando dos entradas distintas a una función de hash producen la misma salida) que podría permitir que se comprometa la cuenta de un usuario. También requería que no hubieran hehco login desde 2008.
    Ahora se invalidan los enlaces en correos electrónicos de restauración de contraseña si el usuario la recuerda, hace login y cambia su durección de mail.

Como de costumbre ante actualizaciones de seguridad, recomendamos descargar la última versión para descartar la explotación de las vulnerabilidades descubiertas. Sobre todo si tenemos en cuenta que WordPress ha presentado varias vulnerabilidades en los últimos meses, como aquella en el plugin MailPoet que afectó a 50 mil sitios.

Links:

https://wordpress.org/news/2014/11/wordpress-4-0-1/

https://wordpress.org/download/

Créditos imagen: ©Christopher Ross/Flickr
Autor Sabrina Pagnotta, ESET

#644


Las vulnerabilidades en los sistemas operativos y aplicaciones ya son moneda corriente en la actualidad, por lo que es habitual encontrarse con actualizaciones constantes que corrigen estas fallas. La vulnerabilidad WinShock reportada la semana pasada radica en un complemento de Microsoft Secure Channel, que implementa los protocolos SSL y TLS. Este error se produce por no filtrar adecuadamente los paquetes especialmente mal formados, permitiendo a un atacante inyectar tráfico malicioso, obteniendo como resultado la ejecución de código arbitrario.

El equipo de investigación de seguridad informática de IBM encontró que el problema afectaba a los sistemas desde Windows 95, es decir, que ha estado presente en la plataforma durante los últimos 19 años. Por su parte, Microsoft ha emitido la correspondiente actualización que corrige esta falla (CVE 2014-6321) excluyendo a Windows XP, ya que el pasado 8 de abril dejó de brindar soporte para esta versión.

Teniendo en cuenta que Schannel puede ser usado en cualquier componente que usa SSL/TLS, por ejemplo Active Directory, Windows Update, Exchange e Internet Explorer inclusive, esta falla facilita ataques remotos mediante la ejecución de un código en navegadores Internet Explorer a partir de su versión 3.0 en adelante. Como mencionamos anteriormente, esto afecta a todas las versiones de Windows, tanto clientes como servidores.

Cabe remarcar que The Verge indicó que el bug tiene calificación de 9.3 sobre 10 por la CVSS. Esto significa que es importantísimo descargar el parche que corrige este problema de seguridad.

¿Cómo saber si necesitas parchear?

Desde que se supo sobre esta falla de gran magnitud en sistemas Windows, muchos investigadores han comenzado a experimentar con ella. Johannes B. Ullrich publicó un experimental escáner en Bash, muy útil para verificar si el servicio necesita ser parcheado o no.

En sí, el escáner no busca vulnerabilidades, sino que comprueba que el servicio analizado posee soporte para los cuatro cifrados nuevos que se agregaron en la actualización MS14-066. Este script bash usa OpenSSL sobre *Nix. Aquí veremos el escáner por dentro:



Tal como se muestra en el primer recuadro rojo, se debe establecer la ruta donde se encuentra instalado OpenSSL en el sistema, en este caso es dentro del directorio "/usr/bin/openssl". Seguido de esto, el recuadro rojo que le sigue marca los cifrados que la herramienta comprobará usando OpenSSL.

Más abajo se encuentra toda la parte de programación que respecta a los parámetros que recibirá por parte del usuario, es decir el host a escanear:



Como se ve en el recuadro amarillo, están los parámetros a ingresar por el usuario, tales como direcciones IP, o nombre del sitio a comprobar y puerto de destino. En el recuadro inferior rojo, podemos apreciar que cuando no encuentra el cifrado DHE-RSA-AES-256-SHA256, emite el aviso de que se tiene una versión no actualizada de OpenSSL, y recomienda instalar la versión 1.0.1h o superior.

Luego, realiza comprobación de compatibilidad SSL y TLS, como podemos ver a continuación




En el recuadro de color rojo superior se muestra cómo genera la comprobación de compatibilidad con SSL; mientras que en el recuadro inferior hace la misma comprobación pero respecto a TLS.

Una vez que crea la conexión al host a escanear y hace las respectivas comprobaciones de compatibilidad, comprueba el estado que genera el handshake. De acuerdo a si es positivo o negativo este handshake, determina si es soportado el cifrado o no, veamos el ejemplo en la captura:



Algo que podría ocurrir es que no permita ejecutar el script debido a falta de permisos, pero esto se soluciona con el siguiente comando:

Chmod +x [nombrescript.sh]

A continuación veremos dos ejemplos de resultados de escaneos, con cifrados soportados y no soportados:



En este primer análisis podemos ver que solo soporta dos de los nuevos cifrados implementados en la corrección de MS14-066. Mientras que en el ejemplo que vemos a continuación, se puede ver que tiene soporte para los cuatro cifrados nuevos:



Remarcamos que por motivos de seguridad escondemos las direcciones URL escaneadas. De todas maneras, como mencionamos anteriormente, este programa en Bash no busca vulnerabilidades, aunque igualmente sugerimos hacer un análisis proactivo del estado de los servicios con esta herramienta para conocer su estado.

Desde el Laboratorio de Investigación de ESET Latinoamérica, recomendamos como buena práctica habitual ante vulnerabilidades actualizar a la fecha los sistemas operativos y sus aplicaciones.

Créditos imagen: ©Joe Hall/Flickr

Autor Ignacio Pérez, ESET
#645
Seguridad / Re: que opinan de VPNium
23 Noviembre 2014, 01:45 AM
No la he probado, pero no tiene mala reputación. Notas mucha lentitud en la navegación?

Saludos.
#646
Seguridad / Re: Identificacion
21 Noviembre 2014, 17:58 PM
Bueno, hemos intentado que lo pueda hacer, lo de burro se lo dijo el mismo, se que lo hace como diciendo que no sabe bien como insertarlol, a parte ya se ve puede andar algo perdido en este tema, pero bueno aqui estamos y se lo explicamos otra vez si hace falta.

Saludos
#647
Seguridad / Re: Identificacion
21 Noviembre 2014, 17:41 PM
Hola Zorronde, cuando creas un tema o respondes, arriba del textbox para escribir tiene un menu de acciones para crear o modificar un tema, mira la firma de Engel Lex más arriba, utiliza el que tiene el simbolo # para pegar los datos que te dió adwcleaner en el reporte, normalmente en txt.

Puedes hacer lo mismo con la herramienta Hijackthis, pegas el resultado entre las etiquetas
Citar"code /code "
, he quitado los simbolos del tag [] para que veas donde tienes que colocar el resultado, entre esas dos etiquetas.

Si no, sube las capturas a ver que se puede ver.

Saludos.

#648
Seguridad / Re: Malware spreading via Steam chat
21 Noviembre 2014, 17:30 PM
El único objetivo es controlar tu PC, si sacan datos pues mejor, pero que vaya es un troyano para controlar tu pc y utilizar tus recusrsos, ya sea hardware, linea adsl o lo que se le ocurra. Ese es el principal objetivo, lo que sauen después son ·premios· por decirlo de alguna manera, mientras tu pc esta siendo controlado.

Podrías facilitarme por captura o link el que que pasan a ti?
Es para ver si es el mismo grupo o uno nuevo haciendo de las suyas.

Saludos.
#649
Seguridad / Malware spreading via Steam chat
20 Noviembre 2014, 18:50 PM
Desde el blog de BartBlaze, comenta sobre un archivo infectado acortado por url via Steam Chat.
Aquí podemos ver al invitado ofrecer la descarga de una imagen acortada la url por bit.ly:





http://onyxhavok.tumblr.com/post/102332902501/so-this-person-added-me-on-steam-today

Investigando un poco saqué estos archivos del servidor, el archivo es el mismo en todos los casos, solo cambia la dirección url de descarga, hay varias, pero es mejor acceder al server y bajar todas muestras:



La muestra más reciente es paul.exe compilada el dia 17, van retocando casi a diario el server para intentar deshacerse de algunos AV...

Fijense en los resultados (185.36.100.181):

https://www.google.es/search?q=185.36.100.181&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a&channel=sb&gfe_rd=cr&ei=eiluVPO6B6mA8QfXm4GYBQ

Whois: http://whois.domaintools.com/185.36.100.181

La URL en cuestión es esta: hxxp://bit.ly/1uVoKek

Comentar que para poder ver hacia donde nos lleva esa url acortada podemos hacer uso de servicios online como:

http://longurl.org/

http://knowurl.com/

http://www.getlinkinfo.com/

Info url acortadas: https://www.osi.es/es/actualidad/blog/2013/05/31/descubre-posibles-riesgos-de-pinchar-en-una-url-acortada

Fuente: http://bartblaze.blogspot.com.es/2014/11/malware-spreading-via-steam-chat.html

PD: @wolfbcn, si ya la publicaste lo siento de nuevo, saludos.
#650
Seguridad / Re: Problema muy grave! DDoS Attack
20 Noviembre 2014, 17:24 PM
Echale un ojo a este tema, hay varias gratuitas y entre comillas de confianza:

https://foro.elhacker.net/seguridad/servicios_vpn_gratuitos_windows_mac_mobile-t423081.0.html;msg1971885#msg1971885

Saludos.