HispaSystem Group Blog

Pocos lectores daban crédito por estos lares a César Cerrudo cuando afirmó haber descubierto una vulnerabilidad en Windows Server 2008, el “servidor Windows más seguro que ha habido nunca” (Microsoft dixit), como si apuntar una vulnerabilidad en Windows constituyera un hecho insólito.

Aún menos recordarán que ayer, 17 de Abril, era el día en que Cerrudo había prometido presentar los detalles en Dubai, en el transcurso de HITBSecConf2008.

Pero aquí está este humilde sitio, dispuesto a recordar esa fecha y a mostrar a los incrédulos lo que Microsoft acaba de decir, que supone el reconocimiento de la vulnerabilidad apuntada por Cerrudo, y afectando no sólo a Windows Server 2008, sino también a Windows Vista, Windows XP SP2 y Windows Server 2003.

A ver cuando sacan el parche para solucionar el fallo, cabe comparar que el parche del exploit para tener root para los kernels 2.6.x - 2.6.24.1 salió prácticamente al publicarse la vulnerabilidad, veremos cuanto tarda el de Microsoft…

Referencias:

• Cerrudo publica su presentación, emitiendo el exploit a petición de Microsoft
• Exploit Local en Kernel 2.6.4

Vía: Kriptópolis

“Un estadounidense de 26 años ha sido encontrado culpable en Los Ángeles de haber ‘pirateado’ “cientos de miles de ordenadores” en Estados Unidos para robar información confidencial y se expone a 60 años de cárcel, según anunció el Ministerio Fiscal”

¿Cuál es el sueño dorado de una empresa de publicidad en Internet? Sin ninguna duda, saber qué páginas visitamos y poder servirnos anuncios ajustados a nuestros hábitos de navegación.

El problema es cómo lograrlo. Desde luego hace mucho que existen los medios técnicos (por ejemplo, una utilización intrusiva de las cookies), pero el método definitivo pasaría por poder contar con la ayuda de los grandes proveedores de Internet. Pero claro, por un lado habría que eludir las regulaciones legales que protegen la privacidad, y por otro ¿qué proveedor de Internet se atrevería a pedir autorización a sus usuarios de banda ancha para registrar sus actividades en Internet y cederlas a los anunciantes, a la vez que cobran a sus clientes sus buenos euros todos los meses? Probablemente ninguno… Claro que… siempre existe una solución: hacerlo sin pedirles autorización. Por supuesto si alguno pregunta, se niega todo y pelillos a la mar.

¿Parece demasiada paranoia, verdad? Pues aunque cueste creerlo, tres de los principales proveedores de Internet del Reino Unido (BT, Virgin Media y TalkTalk) han sido pillados in fraganti en esta actividad, mientras en Estados Unidos parece estar ocurriendo algo similar. En todos los casos el nexo común es Phorm, un broker de servicios publicitarios…

Otro aspecto común es el funcionamiento: la información sobre cada página que el usuario visita es remitida en tiempo real a los anunciantes, que responden con la inclusión de anuncios personalizados.

Phorm se excusa diciendo que se encargan de anonimizar los datos que recogen y que los usuarios disponen de la posibilidad de excluirse voluntariamente del sistema (opt-out), claro que: ¿cómo se excluye uno de algo que ni siquiera sabe que existe y -mucho menos- que rastrea sus actividades? Además, puesto que el opt-out se realiza mediante una cookie, es necesario excluir específicamente cada navegador que se utilice, sin que exista una especie de opt-out global. Obviamente, lo único “razonable” es que un sistema como éste sea absolutamente voluntario (es decir, mediante estricto opt-in).

Me parece necesario aclarar que Phorm no accede sólo a las URLs que se visitan, sino también a sus contenidos (a no ser que se trate de páginas cifradas), por lo que puede leer los correos en webmails, los contenidos de los formularios que se rellenan, etc. Esto viene a significar que Phorm se convierte de este modo -además- en una especie de “socio” obligado de cada sitio web.

Pese a las afirmaciones en contrario de Phorm, parece evidente que el sistema introduce riesgos añadidos para la seguridad y privacidad de los usuarios. Por ejemplo, Phorm afirma que no guarda las IPs, pero sí un Tracking ID (identificador de rastreo). Por tanto si un intruso logra hacerse con ese identificador y asociarlo a una IP concreta, el riesgo de identificación pasa a ser máximo.

Para mayor preocupación Phorm parece muy ligado a Rusia: emplea programadores rusos y algunas informaciones ligan la empresa a servicios de seguridad rusos. La empresa predecesora de Phorm (121 Media) estuvo en su día relacionada con el uso de un rootkit.

Vía: Kriptópolis

Anteriormente ya habíamos visto un par de fallos de Internet Explorer 8, pero solo relacionados con el respeto a los estándares web (Véase: IE 8 “respeta” los estándares). Pero hoy, veremos un fallo de seguridad, enlazado con los ataques de denegación del servicio.

Internet Explorer 8 es vulnerable al to prototype hijacking en el XDR Object. El XDomain Request object es una nueva característica de Internet Explorer 8, que permite las llamadas de XML entre dominios. Por defecto, la opción, permite cruzar llamadas entre dominios cuando ambas partes están de acuerdo en la petición, esto implica que el XDomainRequestAllowed se adjunta a la respuesta del header del host en cuestión, al que se hace la solicitud. Dado que se trata de un objeto muy peligros, Ronald van den Heetkamp fue a estudiar esta nueva función con el fin de examinar los aspectos de seguridad un poco más. No tardó mucho tiempo en encontrar un grave problema en relación con el prototype hijacking en el objeto XDomainRequest, que conduce a un Ataque de Denegación de Servicio que solo puede recuperarse con un reinicio completo del sistema. La razón por la cual es vulnerable se debe a la característica de Internet Explorer, que trata de volver a crear una sesión de la ventana cuando se bloquea una ventana. Esto sucede automáticamente, sin las interferencias del usuario, y por tanto las denegaciones del servicio pueden ser persistentes.

El problema :

Se trata de un ataque muy similar al descrito en 2006 por Stefano Di Paola y Giorgio Fedon sobre XMLHttpRequest. Desde entonces el creo un envoltorio que ejemplifica un nuevo objeto XDR cada vez que la variable ‘xdr’ es llamada. Evidentemente Internet Explorer se ahoga en ella, bloquea la ventana en la que estamos trabajando y luego la intenta volver abrir (Ver imagen 1)

Imagen 1 :

Como observamos en la figura 2, tratamos de finalizar explore.exe en el administrador de tareas de windows, aparecen los resultados de un nuevo navegador que se lanzó al tratar de lanzar una nueva ventana, después de finalizar Internet Explorer, se inicia un nuevo navegador y se cuelga de nuevo, y así sucesivamente .

Imagen 2 :

Se comporta casi como un troyano, no podemos matar el proceso

El vector de ataque :

<script>

// trying prototype hijacking here. 

xdr = XDomainRequest;xdr = function() {

return new XDomainRequest();

}

ping = 'hello';

xdr = new XDomainRequest();

xdr.open("POST", "http://cnn.com");

xdr.send(ping);

</script>

Crash data :

AppName: iexplore.exe	 AppVer: 8.0.6001.17184	 ModName: ieframe.dll

ModVer: 8.0.6001.17184	 Offset: 0003f8cb

Conclusión

Se necesita más investigación sobre el objeto XDR para comprender perfectamente el riesgo de que esta nueva función. Dado el ataque y se realizó con el PoC en Browserfry

Referencias & Links de interés:

• Subverting Ajax [Stefano Di Paola y Giorgio Fedon. PDF. Diciembre 2006].
• browserfry.0×000000.com
• XDomainRequest Object [MSDN, Microsoft].
• Access Control for Cross-site Requests [W3C Working Draft 14 February 2008].
• XDomainRequest() y como Microsoft hace lo que le da la gana [aNieto2K].
• Apple Safari (webkit) Remote Denial of Service Exploit (iphone/osx/win) [Milw0rm].

Vía : 0×000000 # The Hacker Webzine

Traducción: Edgar H.S. Group

Como sabéis, el equipo con MacOSX fue el primero en caer el pasado jueves. Ayer viernes, Shane Macaulay, ganador de la anterior edición de CanSecWest, logró hacerse con el portátil Fujitsu que ejecutaba Windows Vista. Por tanto, sólo el Sony Vaio que corría Ubuntu Linux finalizó el reto imbatido.

Pero antes de que nadie comience a utilizar la caída de Vista como arma arrojadiza, hay que dejar claro que aunque los ganadores no pueden revelar los detalles de sus exploits, éste parece estar en la órbita Java, por lo que tanto Linux como Mac OS X podrían haber sucumbido exactamente igual.

Entonces, ¿por qué Vista? Pues porque Macaulay lo quiso así. Al parecer se decidió por Vista porque ha realizado trabajos para Microsoft y conoce mejor la plataforma Windows. O tal vez porque el año pasado ya ganó un MacBook Pro (*).

Estos detalles me reafirman en lo que escribí ayer sobre la caída de Mac OS X: estos concursos no significan absolutamente nada, ni para lo bueno ni para lo malo.

Todos nacemos desnudos y se nos puede volver a pillar en pelotas varias veces al día…

Vía: Kriptópolis

Un portátil MacBook Air ha sido la primera víctima del Pwn2Own 2008, un reto planteado en CanSecWest, que consiste en exponer tres portátiles, corriendo tres sistemas operativos diferentes (Windows Vista Ultimate SP1, Ubuntu Linux 7.10 y Mac OS X 10.5.2), a todas las maldades que se les ocurran a los muchos expertos de seguridad informática asistentes a las conferencias.

En realidad el reto arrancó ayer, con condiciones más estrictas, y las tres víctimas propiciatorias aguantaron la embestida.

Como viene siendo tradicional, el segundo día se relajan las normas, permitiendo bajar email y acceder a webs. En estas condiciones, el MacBook corriendo Leopard sólo aguantó entre uno y dos minutos la acometida del equipo de Charlie Miller, buen conocedor también de las debilidades del iPhone, que -gracias, posiblemente, a un nuevo exploit para Safari- se embolsará el portátil comprometido y 10.000 suculentos dólares…

Referencias

• Laptops wait for attackers in hacking contest [SecurityFocus]
• Mac owned on 2nd day of Pwn2Own hack contest [Darknet]
• Mac OS X first to fall [SecurityFocus]
• MacBook Air Hijacked at CanSecWest Hacker Contest [eWeek]
• Mac is the first to fall in Pwn2Own hack contest [Channel Register]

Vía: Kriptópolis