Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

lunes, 29 de junio de 2015

Vulnerabilidad en UBUNTU: Overlayfs Local Root para Ubuntu 15.04

Ha sido publicada una vulnerabilidad con CVE-2015-1328 y que detalla como explotar un fallo en Overlayfs, el cual provoca que un usuario pueda escalar privilegios en un sistema Ubuntu en las siguientes versiones: 12.04, 14.04, 14.10, 15.04. Por lo que probé hace un par de días, cuando salió no estaba disponible el parche que evita que un atacante pueda aprovechar el fallo y escalar privilegios. 
¿Qué es Overlayfs? Es un sistema de archivos con el que no se comprueba de manera correcta los permisos cuando se crean nuevos archivos, concretamente en un directorio superior. Este sistema de archivos tiene funciones del estilo ovl_copy_up_*
El exploit puede obtener de, por ejemplo, exploit-db, y para ejecutarlo es realmente sencillo: 
  1. Utilizar gcc para compilar el fichero, por ejemplo gcc ofs.c -o ofs.
  2. Posteriormente, ejecutar el binario recién compilado ./ofs.
  3. Se obtiene una sesión de root, se puede comprobar ejecutando el comando id.

Hay algunos fixes que han sido rápidamente puestos en Internet. Son soluciones rápidas y que intentan mitigar los problemas a los que nos expone esta vulnerabilidad. Seguiremos atentos a esta vulnerabilidad, porque parece que el exploit estará en la caja de muchos pentesters para sus auditorias.

___________________________________________________________
Tomado de: http://www.flu-project.com/2015/06/overlayfs-local-root-para-ubuntu-1504.html
Se Respetan los Derechos de Autor.



lunes, 22 de junio de 2015

Informe sobre el crecimiento de APT y ransomware [Mcafee].

En este informe sobre amenazas McAfee Labs explora por primera vez los ataques basados en fimware. Se ofrece nuevos detalles sobre el malware de un misterioso grupo de hackers llamado Equation Group. Esta amenaza es capaz de reprogramar el fimware de los discos duros.

El análisis demuestra que el fimware reprogramado puede recargar malware asociado cada vez que se reinicia el sistema infectado y que persiste incluso tras reformatear el disco duro o reinstalar el sistema operativo. Este tipo de amenaza será uno de los temas destacados durante las conferencias Black Hat y DefCon de este año.
 
McAfee Labs observó durante el primer trimestre casi el doble de muestras de ransomware que en cualquier otro trimestre.

También se centra en dos caras familiares —el ransomware y los ataques a Adobe Flash— ya que se ha observado un aumento enorme en el número de muestras este trimestre de ambos tipos de amenazas. En el caso del ransomware, buena parte de este crecimiento a una nueva familia difícil de detectar —CTB-Locker— y el uso que hace de un programa de "afiliados" para inundar rápidamente el mercado con campañas de phishing, que provocan infecciones con CTB-Locker. En cuanto al aumento de exploits de Flash, se atribuye al creciente número de instancias de Flash en muchas plataformas (sobre todo en dispositivos móviles), el número de vulnerabilidades conocidas sin parche, y la dificultad de detectar los exploits basados en Flash.

El informe completo se puede descargar en formato PDF desde aquí.

_____________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2015/06/informe-sobre-el-crecimiento-de-apt-y.html
Se respetan Derechos de Autor.

jueves, 11 de junio de 2015

Facturas & Malware !


Recursos afectados

Potencialmente cualquier usuario que haga uso del correo electrónico y reciba un correo malicioso de las características descritas en este aviso de seguridad.

Solución

Si has recibido un correo de estas características y has descargado y ejecutado el fichero, es posible que el ordenador se haya infectado con un malware. Es importante analizarlo con un antivirus para comprobar si estás infectado y de ser así, poder desinfectarlo lo antes posible para evitar problemas de seguridad.
Si tienes problemas con la eliminación, desde la OSI, ofrecemos los siguientes servicios de ayuda: Atención telefónica en el 901 111 121 o Buzón de incidentes.
Evita ser víctima de este tipo de fraudes siguiendo nuestras recomendaciones:
  • No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.

Por último, no olvides realizar copias de seguridad de forma regular. Debido a los efectos de los últimos virus aparecidos, como por ejemplo el “virus de Correos”, conviene tener alguna copia de seguridad en soportes que no se puedan modificar como DVDR, ya que dichos virus pueden cifrar ficheros en todas las unidades conectadas al sistema infectado (C:\, D:\, etc.) provocando la pérdida de la información almacenada.

Detalles

La ingeniería social es utilizada por los delincuentes para intentar engañarnos de muchas formas diferentes con el objetivo de acceder a información privada, infectar el ordenador con algún tipo de malware, robar datos bancarios, etc.
En nuestros sistemas de monitorización se han recibido en las últimas horas más 1.500 correos fraudulentos, que tienen relación entre sí y por tanto pertenecientes a la misma campaña, y cuyo propósito es infectar con malware los ordenadores de los usuarios que caigan en la trampa.
Captura de pantalla de una de las muestras del correo fraudulento detallado en el aviso de seguridad
Hasta este momento todos los correos detectados tienen un asunto similar:
  • S.L. : envio ft  
  • S.L. : FACTURA DE ENVÍO     
  • SL : FACTURA DE ENVÍO       
  • SL : envío la factura    
  • SL : envio factura        
  • SL : envio ft    
  • S.L. : envío la factura  
  • S.L. : envio factura      
Pese a que los correos electrónicos no contienen ningún mensaje, todos ellos incluyen un fichero adjuntoque simula ser un fichero pdf comprimido con el siguiente nombre:
  • FACT. 150-2015 SL alquiler_pdf_.zip
Si se descarga y ejecuta el fichero, el ordenador quedará infectado con el malware detectado:
Análisis del malware del correo fraudulento
_____________________
Tomado de: https://www.osi.es/es/actualidad/avisos/2015/06/no-dejes-que-una-factura-falsa-recibida-por-email-infecte-tu-ordenador
Se Respetan Derechos de Autor.

domingo, 7 de junio de 2015

Microsoft soportará SSH.

Hasta ahora, los usuarios de Windows hemos tenido que usar programas como PuTTy durante años y realmente funciona muy bien para conectarnos a terminales linux, pero en el futuro ya no hará falta usar más este programa, en un futuro cercano podremos usar PowerShell para comunicarnos por SSH.
De acuerdon con el blog de MSDN:
SSH es una solución disponible actualmente para un gran numero de proveedores, especialmente en el mundo Linux. Sin embargo, existen limitaciones para los sitemas Windows. Después de revisar diferentes alternativas, el equipo de PowerShell realizó la mejor opción que pasará por la integración en Windows. Basada en nuestro fin, tengo el placer de comunicarles que PowerShell dará soporte y contribuirá a la comunidad OpenSSH.
¿Qué os parece la noticia?
_______________________
Tomado de: http://blog.segu-info.com.ar/2015/06/microsoft-soportara-ssh-de-forma-nativa.html?m=1#microsoft-soportara-ssh-de-forma-nativa
Se respetan Derechos de Autor.

martes, 2 de junio de 2015

Bug Bounty Programs: cómo ganar dinero con vulnerabilidades.

Aprendizaje, recompensas y reconocimiento

En este post les comentaré mi experiencia como Ethical Hacker, participando en distintos Bug Bounty Programs.

Comencé buscando fallas de seguridad sobre aplicaciones Web de compañías que sabía, no pagarían por las vulnerabilidades encontradas. Pero mi primer objetivo, era obtener respuestas a mis reportes por parte de las empresas a las cuales informaba sobre las fallas de seguridad que iba encontrando, aunque no pagaran por mi trabajo y el tiempo invertido.

En base al interés que demostraban por ciertas vulnerabilidades, siendo que algunas no eran interesantes para la mayoría como por ejemplo, un Null Byte Injection, que nos puede llegar a mostrar que versiones de servidores web y sistemas operativos están siendo utilizados, apuntaba hacia aquellas vulnerabilidades por las cuales había mayor interés.
Hay una frase que dice: "No aprendas a hackear, hackea para aprender."
Y claro está que mi tiempo estaba siendo bien invertido, era una muy buena e interesante oportunidad, ya que me permitía entrenarme, aprender y perfeccionarme buscando vulnerar sistemas de forma legal y teóricamente, muy seguros.

Luego de aparecer mi nombre publicado en los Hall of Fame de Sony, eBay, Zynga y recibir agradecimientos por parte de Amazon, probé que efectivanente iba bien encaminado en mi trabajo.
Pero más allá de todo reconocimiento que también es lógicamente bienvenido, lo más valioso es en definitiva, el aprendizaje y el conocimiento que se va adquiriendo en el camino.

Llegué al punto en el cual, decidí dejar de hacer hacking ético como quien dice "por amor al arte" y realizarlo ya pensando también en una recompensa económica.

Pero, ¿quiénes pagan por estas vulnerabilidades?

Empresas de gran envergadura como Google y Facebook entre otras, tienen programas de recompensas para quienes reporten fallas de seguridad en sus sistemas, pidiendo obviamente como en todo programa de este tipo, no hacerlas públicas hasta que sean solucionadas y nos hayan autorizado a publicar lo encontrado.

Pero como no todo lo que brilla es oro, me ha pasado en varias oportunidades que luego de reportar una vulnerabilidad, es cerrada como no válida y días más tarde, la misma es corregida. En otras ocasiones, han cerrado reportes informando que el bug existe, pero que no se estaba pagando en ese momento por el mismo. Puede suceder también que se cierre un reporte como duplicado, indicando que ya había sido detectado, algo que no tenemos forma de comprobar.

Fué entonces cuando encontré varias empresas que a través de sitios como Bugcrowd y Hackerone, permiten reportar las fallas detectadas y ser recompensados. Y también me han cerrado reportes como duplicados, pero se me indicó el número de caso en el cual ya se había informado la existencia de la misma falla de seguridad.

En mi caso personal, me ha sido de gran ayuda en particular Bugcrowd, que además de pagar por las vulnerabilidades validadas, siempre y cuando sea el primero en reportarlas, otorga también Kudos y cuantos más obtengamos, más alta es la posibilidad de ser convocados para programas privados. Es decir que invitan a participar, solo a un grupo selecto y reducido de investigadores en un nuevo programa de recompensas, aumentando de esta forma, las posibilidades de ser el primero en reportar una vulnerabilidad y ser premiado por ello. Los reportes de seguridad con los que más éxito he tenido son Clickjacking y XSS.

Todo reporte sobre fallas de seguridad, debe ir acompañado de lo que se denomina "Proof of Concept" ó "Prueba de Concepto", en donde se explica de qué forma fué encontrada la vulnerabilidad y cuáles son los peligros si es explotada por un atacante. Las compañías no permiten utilizar herramientas automatizadas para la detección de bugs, premiando aquellas vulnerabilidades que demuestren haber hecho uso del conocimiento e imaginación para ser encontradas.

El Clickjacking es quizás, una vulnerabilidad de bajo impacto, pero puede ser detectada muy rápidamente. Se puede saber si una parte de un sitio web es vulnerable a este tipo de ataques en solo unos instantes. Generalmente existe una vulnerabilidad de Clickjacking, cuando se permite embeber partes dinámicas del sitio en los cuales un usuario ingresa datos sensibles, dentro de un iframe.

Por ejemplo, suponiendo que la página http://vulnerableaclickjacking.com nos solicita ingresar usuario y contraseña, podemos crear un archivo index.html con el siguiente contenido en nuestro servidor web para verificar si es ó no vulnerable a Clickjacking:
[html] 
[head]
[title]Clickjacking Test[/title]
[/head] 
[body]
[iframe height="750" src="http://vulnerableaclickjacking.com" width="1250"][/iframe]
[/body]
[/html]
Al ingresar desde un navegador a la IP de nuestro servidor web en el cual fué creado el archivo anteriormente indicado, el sitio http://vulnerableaclickjacking.com no debería poder visualizarse, lo cual indica que no está permitiendo ser embebido y superpuesto sobre otro falso sitio. En ese caso, no es vulnerable a un ataque de Clickjacking.

Si desean probar vulnerabilidades de Cross-site Scripting, conocidas como XSS, Google ha desarrollado un juego pensado para que los desarrolladores tomen conciencia de lo peligroso que puede ser este tipo de fallas de seguridad en una aplicación web. Dejo el enlace: https://xss-game.appspot.com

Un XSS puede ser directo e indirecto, a los cuales se los conoce también con el nombre de persistentes y reflejados respectivamente. El XSS persistente es el más peligroso, ya que el código queda almacenado en el sitio y se ejecuta cuando la aplicación es abierta.

El XSS reflejado es el más común de todos, se modifican los datos que pasa el cliente, provocando que el código enviado a través de la URL sea ejecutado en el servidor web.

Aquí dejo algunos Payloads para prueba de XSS:
[script]alert('XSS');[/script]
"][img src=x onerror=alert(document.cookie);]
[script]var pass=prompt('Sesion finalizada. Ingrese su contraseña.','');password;
[/script]
La paciencia es una virtud, algo que debemos tener para participar en uno o varios Bounty Programs. Puede ocurrir que en algunos casos, la respuesta a un reporte sobre un bug detectado, tenga una demora de veinte días o más en algunos casos. Pero tarde o temprano el esfuerzo será recompensado, sobre todo con aprendizaje.

Las vulnerabilidades, fortalecen el conocimiento de quien las encuentra y demuestran, que nada es cien por ciento seguro y que incluso los gigantes, tienen también sus puntos débiles.


______________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2015/06/bug-bounty-programs-como-ganar-dinero.html#bug-bounty-programs-como-ganar-dinero
Se respetan Derechos de Autor.

Ransomware Locker: publicado la base de datos de claves.

Al parecer, el autor del Ransomware "Locker" se ha arrepentido de su creación y ha publicado la base de datos de las claves privadas de las víctimas infectadas.

CUIDADO: no confundir este malware con el otro llamado Cryptolocker.

El supuesto "autor" de Locker afirma que la liberación del malware fue un error y que el descifrado automático de todos los hosts afectados comenzará hoy 2 de junio.

El archivo de texto publicado es un CSV de 127 MB y se puede descargar desde esta dirección:
http://mega.co.nz/#!W85whbSb!kAb-5VS1Gf20zYziUOgMOaYWDsI87o4QHJBqJiOW6Z4
 
El archivo parece inofensivo y según nuestro análisis contiene 62.703 claves RSA y direcciones de Bitcoin relacionadas a cada una de las infecciones.



En base a ese archivo, Nathan Scott, un experimentado programador, ha publicado una utilidad de descifrado para el malware Locker:
https://easysyncbackup.com/downloads/LockerUnlocker_v1.0.6.0.exe
Si lo descarga y utiliza hágalo bajo su propio riesgo.

_____________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2015/06/ransomware-locker-publicado-la-base-de.html#ransomware-locker-publicado-la-base-de
Se respetan Derechos de Autor.