eL Rincon De KiKiTo

Publicado el 02/03/2010 12:03:00 en Noticias. Total de votos: 2  Votar

Nuevo 0-day involucra al IE y pone en riesgo a usuarios de Windows XP


Hahaha, pobre Microchot, cuando un aleman dijo que para prevenir el 0day de la vez pasada del exploit aurora, dijieron que eso no es valido y que la version IE8.0 es segura. Ahora se descubre esto....


Microsoft confirmó el domingo que está investigando una falla no emparchada en VBScript que los hackers podrían explotar para plantar malware en máquinas con Windows XP que ejecuten el Internet Explorer (IE).

La falla podría ser usada por atacantes para inyectar código malicioso en las PC de las víctimas, dijo Maurycy Prodeus, el analista de seguridad Polaco de la firma iSEC Security Research que reveló la vulnerabilidad y publicó el código de ataque el viernes pasado.

Los usuarios que usen IE7 o el nuevo IE8 están en riesgo, dijo Prodeus.

Microsoft señaló que ya está sobre el caso. "Microsoft está investigando una nueva vulnerabilidad pública que involucra el uso de VBScript y los archivos de ayuda de Windows dentro del Internet Explorer," dijo Jerry Bryant, un administrador en jefe del Microsoft Security Response Center (MSRC), en un correo del domingo. "El estado actual de nuestras investigaciones muestran que Windows Vista, Windows 7, Windows Server 2008, y Windows Server 2008 R2, no están afectados."

Bryant agregó que Microsoft no ha visto aún ninguna evidencia de ataques que exploten esta vulnerabilidad. Prodeus llamó a la falla una "falla de lógica", y dijo que los atacantes podrían explotarla enviando a los usuarios código malicioso disfrazado de un archivo de ayuda Windows -- tales como archivos con la extensión ".hlp" -- y luego convenciéndolos de presionar la tecla F1 cuando aparezca una ventana emergente. Calificó a la vulnerabilidad de "media" porque requiere de la interacción del usuario.

"Primero un atacante necesita forzar a una víctima a visitar una página Web maliciosa," dijo Prodeus en un correo el domingo. "La víctima debe estar usando Windows XP e Internet Explorer. Se requiere un poquito de ingeniería social para persuadir a la víctima a presionar la tecla F1 cuando aparezca una ventana emergente de VBScript."

Otro investigador de seguridad, Cesar Cerrudo, confirmó que la prueba de concepto de Prodeus funciona. "Probé la explotación y puedo confirmar que funciona en IE8 con Windows XP completamente actualizado," dijo Cerrudo, el director de la consultora de seguridad argentina Argeniss Information Security.

Cerrudo opina que la falla es más seria de lo que dice Prodeus. "Diría que la vulnerabilidad es de "...

Continúa aquí...

Comentarios: 6 | Leer comentarios

Publicado el 01/03/2010 12:03:00 en Seguridad. Total de votos: 4  Votar

Buscando informacion sobre como mitigar un ataque syn-flood (Uno de los mas dañinos), me cruze con esta configuracion bastante facil de implementar tanto en sistemas linux como windows sobre el asunto.

Syn Flood, que es y como mitigarlo

Hoy día es sorprendente ver como ataques que fueron descritos a principios de los 90 perduran y siguen siendo efectivos en un buen numero de situaciones.

Uno de ellos, tal vez de los más clásicos, es el Syn Flood. Este tipo de ataque es posible debido a la forma en la que funcionan las conexiones TCP. Cuando un extremo desea iniciar una conexión contra otro equipo, inicia la conversación con un 'SYN', el otro extremo ve el SYN y responde con un SYN+ACK, finalmente el extremo que empezó la conexión contesta con un ACK y ya pueden empezar a transmitir datos.




Un ataque de tipo Syn Flood lo que hace es empezar un numero especialmente alto de inicios de conexión que nunca son finalizados, dejando al servidor a la espera del ack final, y por tanto consumiendo recursos de forma desproporcionada. Existen muchas herramientas escritas en todo tipo de lenguajes para hacer un ataque de tipo Syn Flood y no se requiere especial habilidad para llevar acabo un ataque de ese tipo.

Mitigando un ataque Syn Flood

A la hora de fortificar un sistema para contrarrestar un ataque de tipo Syn Flood existen parámetros que se pueden configurar en el sistema operativo para hacerlo mas resistente.

En sistemas Linux:

Primer paso, activar las syn cookies (mas información sobre que es y como se construye una syn cookie aquí)

# sysctl -w net.ipv4.tcp_syncookies="1"

Segundo paso, aumentar el 'backlog queue' (es decir, dar mas holgura al sistema para procesar peticiones entre-abiertas)

# sysctl -w net.ipv4.tcp_max_syn_backlog="2048"

Tercer paso, hacer que el sistema minimice el tiempo de espera en la respuesta al SYN+ACK. En principio un sistema Linux 'por defecto' esperará 3 minutos, nosotros lo vamos a dejar en 21 segundos

#sysctl -w net.ipv4.tcp_synack_retries=2

(una vez probados los cambios, hay que hacerlos permanentes en /etc/sysctl.conf)

En sistemas Windows :

Activación de la protección anti Syn Flood:

C:\>reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v SynAttackProtect /t REG_DWORD /d 1

Aumentamos el 'backlog queue'

C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v EnableDynamicBacklog /t REG_DWORD /d 1

C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v MinimumDynamicBacklog /t REG_DWORD /d 20

C:\>reg add HKLM\System\CurrentControlSet\Services\AFD\Parameters /v ...

Continúa aquí...

Comentarios: 8 | Leer comentarios

Publicado el 16/01/2010 12:01:00 en Noticias. Total de votos: 3  Votar

Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando, que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.

En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail que han estado siendo accedidas de forma ilícita durante cierto tiempo, relacionadas con activistas pro derechos humanos en China de varios continentes.

Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.

McAfee y la "Operación Aurora"
Dentro del marco de investigación conjunta de las compañías afectadas y entidades públicas, los laboratorios de McAfee han analizado varias muestras de malware involucrado en los ataques. De esta forma descubrieron en uno de los ejemplares una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario.

En detalles sobre el ataque, McAfee sospecha que han sido planeados sobre objetivos muy concretos, en particular, personal con acceso a propiedad intelectual valiosa y con métodos de ingeniería social para garantizar el éxito de la infección.

Acerca del malware, utiliza un abanico de vulnerabilidades 0-day. En este punto, McAfee aclara que no han encontrado evidencias hasta el momento sobre un posible y nuevo 0-day en el lector de Adobe, tal como se ha estado especulando en los medios. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado.

Respecto del mediático nombre de "Operación Aurora", se debe a que el nombre "Aurora" aparece como parte en una ruta de archivo que McAfee halló en dos de los binarios analizados y que presumiblemente, según McAfee, sería el nombre con el que el atacante bautizó la operación.

Microsoft y el 0-day
Poco después, la reacción de Microsoft no se hizo esperar y ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer. Que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Está vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a trav...

Continúa aquí...

Comentarios: 4 | Leer comentarios

Publicado el 26/12/2009 12:12:00 en Hacking Web. Total de votos: 5  Votar

Cada uno celebra la Navidad como quiere, por ejemplo Soroush Dalili ha regalado a los chicos de Microsoft trabajo extra para estas fechas tan señaladas. La liberación de la vulnerabilidad de "punto y coma en IIS" o como reza el título del documento: "Microsoft IIS 0Day Vulnerability in Parsing Files" permite que cualquier extensión de archivo sea ejecutada como un Active Server Page (ASP) o cualquier otro tipo de ejecutable. Ho-ho-ho. Feliz Navidad.

Con un ejemplo el problema se entenderá mejor. Si tenemos un foro que permite la subida de un fichero de imagen para nuestro perfil y la aplicación únicamente comprueba que la extensión sea un archivo jpeg, un usuario gamberro podría mandar un archivo con nombre "mifoto.asp;.jpg" y este sería ejecutado como un asp. Esto le permitiría al usuario cosas como la ejecución de comandos, lectura de ficheros del sistema y otras cuantas por las que los Reyes Magos le traerían mucho carbón.

No he llegado a probarla, pero es tan ridícula que seguro que funciona perfectamente. Queda esperar que dicen los pro-Microsoft, además de protegerse bajo el discurso de que no afecta a aplicaciones bajo tecnología .NET (aspx). Por otra parte, Secunia confirma su existencia en IIS6.

Fuente: Alejandro Ramos - Security By Default

Actualizo: Segun Dani Kachakil afecta .NET, si bien no deja ejecutar ASPX, no hay problema con otro tipo de ejecucion. (ej ASP).

Estoy muy colgado como para hacer un pentest, si alguien se copa y lo hace, que avise y linkeo el post.

PD2: Lo pongo como articulo tecnico para que sea indexado, no voten!

Comentarios: 13 | Leer comentarios

Publicado el 16/12/2009 12:12:00 en Noticias. Total de votos: 2  Votar

Según informa el Internet Storm Center de SANS se ha descubierto una nueva vulnerabilidad de Día 0 en Adobe Acrobat Reader.

Hasta el momento no hay parche disponible. Se recomienda desactivar Javascript en Acrobat Reader hasta que exista una solución del fabricante.

Como hacerlo:
En Acrobat Reader, menú Editar -> Preferencias -> JavaScript -> desmarcar opción "Activar JavaScript para Acrobat"

Según informan en ShadowServer casi no hay proteción o detección de archivos PDF preparados para explotar la vulnerabilidad por parte de los principales antivirus, lo cual se espera que cambie en los proximos días.

Adobe reconoce el problema y recomienda mantenerse informado sobre las novedades que se produzcan que serán publicadas en su blog PSIRT del equipo de respuesta de seguridad de productos.

Fuente Ingles.
Visto en...


Comentarios: 2 | Leer comentarios

Ver: Siguientes 5