Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

miércoles, 24 de mayo de 2017

Vulnerabilidad Grave en Samba permite Ejecución Remota de Código.

Se ha confirmado una grave vulnerabilidad en Samba (todas las versiones superiores a 3.5.0), que podría permitir a un atacante remoto ejecutar código arbitrario desde un compartido en el que se pueda escribir.


Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El problema (con CVE-2017-7494) puede permitir a un cliente malicioso subir una librería compartida a un compartido que permita la escritura y posteriormente hacer que el servidor la cargue y la ejecute.





Se han publicado parches para solucionar esta vulnerabilidad en
Adicionalmente, se han publicado las versiones Samba 4.6.4, 4.5.10 y 4.4.14 que corrigen los problemas.

Como contramedida el equipo de Samba recomienda añadir el parámetro
"nt pipe support = no"
En la sección [global] de smb.conf y reiniciar smbd.

Más información:

[Announce] Samba 4.6.4, 4.5.10 and 4.4.14 Available for Download

Remote code execution from a writable share.

Los subtitulos pueden permitir controlar tu PC ! Demostración en Video !

Investigadores de Check Point han anunciado una nueva y sorprendente forma de ataque que puede dejar expuestos a millones de usuarios de todo el mundo, los subtítulos. Mediante un archivo de subtítulos malicioso descargado por el reproductor de medios del usuario el atacante podrá tomar el control total del sistema. Se ven afectadas plataformas de reproducción de vídeo y streaming tan populares como VLC, Kodi (XBMC), Popcorn-Time y strem.io, aunque también puede afectar a otros sistemas.

Se estiman hasta 200 millones de instalaciones de reproductores afectados lo que según los investigadores estiman que puede convertirse en una de las vulnerabilidades más difundidas, de fácil acceso y de resistencia cero de los últimos años.

Según Check Point esta vulnerabilidad abre un Nuevo vector de ataque desconocido hasta el momento: cuando un reproductor multimedia carga los subtítulos de una película. Los repositorios de subtítulos se consideran, en la práctica, como una fuente fiable por el usuario o el reproductor. Sin embargo, la investigación realizada revela que pueden manipularse para conseguir que un archivo de subtítulos alcance la mayor puntuación para de esa forma sea servido al usuario. Incluso en aplicaciones que obtienen los subtítulos de forma automática desde Internet podrá ser posible construir ataques sin interacción del usuario.

El problema reside del tratamiento que los reproductores multimedia realizan de los archivos de subtítulos y del gran número de formatos de subtítulos. En la actualidad hay más de 25 formatos diferentes de subtítulos, cada uno con sus propias características. La necesidad de tratar múltiples formatos al final conlleva diferentes vulnerabilidades.






En el aviso de Check Point confirman la existencia de vulnerabilidades en VLC, Kodi, Popcorn Time y Stremio. Aunque creen que otros reproductores multimedia también pueden tener fallos similares. También aseguran que algunos de los problemas se han corregido, pero aun hay algunos bajo investigación. Para permitir a los desarrolladores corregir todas las vulnerabilidades no han ofrecido mayores detalles técnicos.

Para demostrar las vulnerabilidades y el alcance que pueden tener han publicado un vídeo en el que se muestra como un atacante puede llegar a tomar el control del ordenador en el momento en que se cargan los subtítulos.



Los reproductores afectados han publicado actualizaciones para corregir estos problemas, aunque como comentábamos antes es posible que en breve publiquen nuevas versiones.


Más información:

Hacked in Translation – from Subtitles to Complete Takeover
http://blog.checkpoint.com/2017/05/23/hacked-in-translation/


_________________________________________________________________________
Tomado dehttp://unaaldia.hispasec.com/2017/05/los-subtitulos-pueden-permitir.html
Se Respetan Derechos de Autor.



miércoles, 17 de mayo de 2017

Filtran millones de contraseñas en Internet, ¿está la tuya en peligro?

Nada menos que alrededor de 500 millones de contraseñas (junto con las respectivas cuentas de correo de sus propietarios) acaban de dejarse ver en la red en lo que ya se ha denominado como "la madre de todas las filtraciones". Un experto en seguridad ha descubierto que alguien ha subido a la red una base de datos que contiene millones de cuentas robadas de anteriores ataques a redes tan populares como DropboxLinkedInTumblr o Badoo, y ahora todas esas contraseñas se pueden descargar en un simple archivo de texto.

El archivo con las contraseñas robadas ocupa algo más de 17 GB, y contiene un total de 593,427,119 cuentas de correo electrónico robadas acompañadas de su respectiva contraseña. En el documento aparecen cuentas de GmailHotmailYahoo y muchos otros servicios, y en todos los casos se trata de información procedente de las brechas de seguridad que en los últimos años han sufrido los servidores de compañías como LinkedIn o Dropbox. El creador de la popular página de Have I Been Pwned? ha confirmado la veracidad de estas cuentas robadas.


Tal y como explica en su detallado informe Troy Hunt, el creador de la web de Have I Been Pwned?, esta filtración de origen ruso procede de los robos de información que han sufrido en los últimos años diez plataformas diferentes en la red (entre ellas, páginas tan populares como Dropbox o Tumblr). En estos robos de información, alguien consiguió descargar la información de inicio de sesión de algunos usuarios, lo que incluía tanto el correo electrónico como la contraseña. Y ahora, toda esa información está circulando libremente por la red.

Tras probar a analizar la información de inicio de sesión de más de 10.000 cuentas diferentes, los investigadores han determinado que la información filtrada en los documentos es veraz en un 98%. Esto significa que realmente se trata de cuentas robadas a usuarios que quizás a día de hoy todavía no sean conscientes de que sus contraseñas están circulando por la red en un simple documento de texto.

Por motivos de seguridad, los documentos que contienen estas contraseñas robadas no se pueden consultar a través de un simple enlace. En cualquier caso, filtraciones como la de esta base de datos con contraseñas robadas deberían servirnos para aprender dos cosas: la primera, que siempre es recomendable cambiar nuestra contraseña cuando se produce una brecha de seguridad en un servicio en el que estamos registrado; y la segunda, que jamás deberíamos utilizar la misma contraseña para registrarnos en diferentes páginas.

Para comprobar si nuestra cuenta de correo se encuentra en los documentos de esta última filtración, lo único que tenemos que hacer es entrar en la página de HaveIBeenPwned.com, introducir nuestra dirección de correo y verificar si la página nos muestra algún aviso relacionado con alguna de las últimas filtraciones masivas de contraseñas en la red.

______________________________
Tomado de: http://computerhoy.com/noticias/internet/filtran-millones-contrasenas-internet-esta-tuya-peligro-62382
Se Respetan Derechos de Autor.

domingo, 14 de mayo de 2017

Vulnerabilidad GRAVE en Windows Defender. Actualiza AHORA !

Si Microsoft decide sacar un parche fuera de ciclo para solventar una vulnerabilidad en cuestión de horas, será porque es grave, ¿no?. Así que, si utilizas Windows Defender como antivirus / antimalware deberías seguir leyendo y actualizar desde la versión 13704 lo antes posible.
Se ha descubierto una vulnerabilidad -ha sido el equipo de seguridad de Google- en el motor de protección antimalware de Microsoft, por lo que se ha publicado un parche urgente. Dicha vulnerabilidad permitiría ejecución de código remoto si el antivirus analiza un archivo especialmente modificado.


Vulnerabilidad en Windows Defender

Me explico: el antivirus Windows Defender realiza, como tantos otros, escaneos de malware de forma silenciosa en segundo plano, cuando el equipo está en reposo. Dado el problema de seguridad descubierto, un archivo modificado para aprovechar esta debilidad podría poner el equipo en manos ajenas, tan pronto el escaner “abra” parte del contenido del mismo para analizarlo.
Dicho archivo podría llegar de múltiples formas, tanto desde un enlace en el navegador como desde el email o aplicaciones de mensajería.
Problema en el motor antimalware
Según apunta el Google Project Zero, se trataría de la “peor vulnerabilidad que permita ejecución remota de código en los últimos tiempos”.
Según se describe en el informe elaborado por Google, antes de utilizar Javascript el motor de Windows Defender -mpengine- usa mecanismos heurísticos para saber si necesita analizarlo. Uno de estos indicadores heurísticos estima la entropía del archivo antes de usar Javascript, pero hemos descubierto que añadiendo algunos comentarios complejos es suficiente para desencadenarlo.
En una prueba de concepto adjunta se advierte de que esta funciona de forma inmediata, pero también de que bloqueará inmediatamente el motor de Windows Defender, pudiendo además desestabilizar el equipo.
Windows Defender
Dado que mpengine descomprimirá a su antojo los archivos anidados y además soporta una cantidad enorme de archivos, no existe una forma sencilla de identificar un exploit a nivel de red.


Actualización y remediación

Según apuntan desde Project Zero, en Windows 10 se puede añadir una excepción para la unidad C:\ y sería suficiente para detener el análisis involuntario de este tipo de objetos, pudiendo igualmente ser lanzados los escaneos a petición.
De todas formas, la solución es sencilla: actualizar Windows Defender si comprobamos que su versión es anterior a la 13704.  Basta con abrir el programa desde el menú configuración > Seguridad > Windows Defender.





_____________________________________________________
Tomado de: https://protegermipc.net/2017/05/10/vulnerabilidad-windows-defender/
Se Respetan Derechos de Autor

martes, 9 de mayo de 2017

shARP parando ataques de ARP Spoofing.

ARP Spoofing es uno de los ataques a las redes más utilizados.

Un ataque ARP Spoofing consiste en enviar mensajes ARP falsificados para hacer creer a la víctima que el usuario malintencionado es el router de la red local, y que debe enviar toda la información a él. De esta forma, podrá realizar diferentes tipos de ataques a la víctima.
El ataque ARP Spoofing se utiliza para realizar otro tipos de ataques como la denegación de servicio, podremos dejar a una víctima sin conectividad con Internet fácilmente, ya que todo el tráfico pasará por el atacante, y podría cortarlo ahí y no reenviarlo hacia la puerta de enlace predeterminada legítima.
Otro ataque es por ejemplo realizar un ataque Man in the Middle para capturar y/o modificar absolutamente todo el tráfico, no solo podrá capturar datos sino secuestrar sesiones iniciadas en diferentes servicios.

Qué hace el programa shARP?

El programa shARP  creado por Abhijit Menon es capaz de detectar la presencia de un tercero en una red privada de manera activa, además, tiene dos modos de funcionamiento: modo defensivo y modo ofensivo. Este programa está escrito en bash,  es compatible con la gran mayoría de sistemas basados en Linux.
  • El modo defensivo lo que hace es proteger al usuario final del ataque ARP Spoofing, desconectando de la red al propio usuario, y alertarle a través de los altavoces del sistema. Por tanto, este programa nos servirá para avisarnos de que alguien está realizando un ataque ARP Spoofing en la red, y nos desconectaremos para auto protegernos.
  • El modo ofensivo lo que hace es desconectar el sistema del usuario de la red, y envía paquetes de desautenticación al atacante, lo que le impide realizar otros ataques ARP Spoofing hasta que paremos el propio programa.
Este programa crea un archivo de registro en la ruta /usr/shARP/ donde tendremos todos los detalles del ataque, como la dirección del atacante, la dirección MAC con el fabricante así como la fecha del ataque. El programa que utiliza para el modo ofensivo es aircrack-ng, por lo que deberemos tenerlo instalado junto con Python.




Como usarlo?

bash ./shARP.sh -r [interface]  (Para resetear la tarjeta de red y los drivers).
bash ./shARP.sh -d [interface] (Para activar el programa en modo de defensa).

bash ./shARP.sh -o [interface] (Para activar el programa en modo ofensivo).

bash ./shARP.sh -h (Para Ayuda).

Fuente: https://github.com/europa502/shARP



__________________________________________________________________
Tomado de:
Se Respetan Derechos de Autor.

Leviathan, conjunto de herramientas para auditoría masiva !!!



Esta aplicación es un conjunto de herramientas orientadas a la auditoría masiva.


La cual tiene módulos para el descubrimientos de objetivos, fuerza bruta, detección de inyecciones SQL y la ejecución de exploits personalizados. Para ello utiliza otras aplicaciones de software libre como masscan, ncrack y dsss, dándonos la posibilidad de combinarlas entre ellas.

Sus aplicaciones principales son:

  • Descubrir: analiza servicios FTP, SSH, Telnet, RDP, MYSQL.. servicios siendo ejecutados en las maquinas entre un rango de IPs de un país gracias a Shodan y a Censys. Tambien viene con el escáner Masscan integrado para un análisis de puertos TCP más rápido y eficiente.
  • Fuerza bruta (Brute force): gracias a la herramienta ncrack integrada en Leviathan, se pueden realizar ataques de fuerza bruta a diversos servicios del servidor.
  • Ejecucion remota de codigo (RCE): es posible ejecutar comandos en las maquinas comprometidas.
  • Escaner de inyecciones SQL: permite analizar posibles vulnerabilidades SQLi en una determinada extensión de un país o con dorks de Google personalizados. Todo ello gracias a la herramienta DSSS (Damn Small SQLi Scanner).
  • Explotación de vulnerabilidades específicas: descubre objetivos vulnerables con Shodan, Censys o masscan para explotarlos con tus propios exploits o con exploits ya integrados.


________________________________________________________________
Tomado de: https://hacknic.xyz/2017/05/05/leviathan-conjunto-herramientas-auditoria-masiva/
Se Respetan Derechos de Autor.

EapHammer- Realizando Ataques (WPA/WPA2) Evil Twin con la precisión de un francotirador

EAPHammer es un conjunto de herramientas para llevar a cabo “evil twin attacks” contra las redes WPA2-Enterprise.

Está herramienta es creada por Gabriel Ryan ( s0lst1c3 ), diseñado para ser utilizado en las evaluaciones inalámbricas totales y procedimientos de Red Team.
Como tal, se coloca el foco en proporcionar una interfaz fácil de usar que se puede aprovechar para ejecutar ataques inalámbricos de gran alcance con la configuración manual mínima.



Características

  • Robar las credenciales Radius de las redes WPA-EAP y WPA2-EAP.
  • Realizar ataques hostiles portal para robar creds AD y realizar pivotes inalámbricas indirectos
  • Realizar ataques de portal cautivo
  • Integración respondedor incorporada
  • Apoyo a las redes abiertas y WPA-EAP / WPA2-EAP
  • Sin configuración manual necesaria para la mayoría de los ataques.
  • Sin configuración manual necesaria para el proceso de instalación y configuración



próximas funciones

  • Realizar ataques MITM seemeless con derivaciones parciales HSTS
  • Support attacks contra WPA-PSK / WPA2-PSK
  • Soporte para SSID de camuflaje
  • Generar  payloads cronometrados para pivoteos inalámbricas indirectos
  • generación de payload PowerShell
  • impacket la integración de los ataques de relay SMB
  • ataques punto de acceso ilícito dirigidos (desautorización evil twin para PNL, desautorización  karma + ACL)
  •  Hostapd-WPE actualizado que funciona con la última versión de hostapd
  • Clonador Web integrado para clonar paginas de login
  • servidor HTTP integrado
Esta herramienta soportara ataques Karma?
  • En algún momento sí, pero por ahora la atención se ha centrado en los Ataques Evil Twin dirigidos.
  • Si los ataques de Karma son como un lanzagranadas inalámbrica, esta herramienta es más como un rifle de francotirador fácil de usar

Instrucciones de configuración Kali

Comience por clonación del repositorio eaphammer  con el siguiente comando:
git clone https://github.com/s0lst1c3/eaphammer.git
A continuación, ejecute el archivo kali-setup.py como se muestra a continuación para completar el proceso de configuración eaphammer. Esto instalará las dependencias y compilar hostapd.
python kali-setup.py

Opciones adicionales

  • –cert-asistente – Utilice este distintivo para crear un nuevo CERT RADIUS para su AP.
  • -h, –help – presentación detallada mensaje de ayuda.
  • -i, –interface – Especificar la interfaz de un PHY en el cual puedes crear el AP.
  • -e ESSID, –essid ESSID – Especificar el AP ESSID.
  • BSSID -b, BSSID –bssid – Especificar el AP BSSID.
  • -mode –hw HW-MODE – Especificar el AP del modo hardware (por defecto: g).
  • CANAL -c, CANAL –channel – especificar el canal del AP.
  • –wpa {1,2} – especificar tipo WPA (por defecto: 2).
  • –auth {PEAP, TTLS, abiertas} – Especifica el tipo de autenticación (por defecto: abierto).
  • –creds – Credenciales Harvest EAP  mediante un ataque Evil Twin.
  • –hostile portal – Fuerza clientes se conecten al portal de hostil.
  • –captive portal – Fuerza clientes se conecten a un portal cautivo.
Fuente:https://github.com/s0lst1c3/eaphammer



______________________________________________________
__________________________________________________________________
Tomado de: https://hacknic.xyz/2017/05/09/eaphammer-realizando-ataques-evil-twin-la-precision-francotirador/
Se Respetan Derechos de Autor

domingo, 7 de mayo de 2017

0-day en la función de reset de contraseñas de todas las versiones de Wordpress (CVE-2017-8295).

Recientemente, el 3 de mayo, se publicó una nueva vulnerabilidad (CVE-2017-8295) que afecta a todas las versiones de Wordpress, incluyendo la última versión 4.7.4, que puede permitir a un atacante resetear remotamente la contraseña y acceder con cualquier usuario.

La vulnerabilidad está en la página de solicitud de restablecimiento de contraseña, concretamente en la posibilidad de modificar el contenido de la variable SERVER_NAME en la función wp-includes/pluggable.php:
if ( !isset( $from_email ) ) {

        // Get the site domain and get rid of www.
        $sitename = strtolower( $_SERVER['SERVER_NAME'] );
        if ( substr( $sitename, 0, 4 ) == 'www.' ) {
                $sitename = substr( $sitename, 4 );
        }

        $from_email = 'wordpress@' . $sitename;
}



Wordpress utiliza la variable SERVER_NAME para formar la cabecera From/Return-Path del correo.  El problema es que la mayoría de los servidores web, como Apache, por defecto setean SERVER_NAME con el hostname provisto por el cliente (dentro de la cabecera HTTP_HOST):

https://httpd.apache.org/docs/2.4/mod/core.html#usecanonicalname

Como SERVER_NAME puede ser modificado, se podrá cambiar el Host en la cabecera:
POST /wp/wordpress/wp-login.php?action=lostpassword HTTP/1.1
Host: injected-attackers-mxserver.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 56

user_login=admin&redirect_to=&wp-submit=Get+New+Password
y el resultado es que $from_email en Wordpress será:

wordpress@attackers-mxserver.com

De esta manera, se generará un correo saliente con esa dirección en From/Return-Path:
------[ ejemplo de correo generado ]-----

Subject: [CompanyX WP] Password Reset
Return-Path: <wordpress@attackers-mxserver.com>
From: WordPress <wordpress@attackers-mxserver.com>
Message-ID: <e6fd614c5dd8a1c604df2a732eb7b016@attackers-mxserver.com>
X-Priority: 3
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Someone requested that the password be reset for the following account:

http://companyX-wp/wp/wordpress/

Username: admin

If this was a mistake, just ignore this email and nothing will happen.
To reset your password, visit the following address:

<http://companyX-wp/wp/wordpress/wp-login.php?action=rp&key=AceiMFmkMR4fsmwxIZtZ&login=admin>

-------------------------------

Si se intercepta este correo y/o se repele en destino para que sea enviado de vuelta a la dirección de correo maliciosa, se podrá obtener el enlace de reset y actuar en consecuencia.




El autor contempla tres escenarios:

- Si el atacante conoce previamente el buzón del usuario administrador, la dirección del buzón puede ser atacada por medio de DoS lo que hace que el correo de restablecimiento de contraseña sea rechazado o imposible de entregar. En este momento, el correo se enviará a la dirección construida por el atacante.

- La característica "autoresponder" de algunos buzones devolverá el contenido del mensaje como un archivo adjunto al remitente.

- Enviado repetidos mensajes para restablecer la contraseña al buzón de destino, forzando al usuario a responder a uno, cuando el contenido de la respuesta generalmente se refiere al cuerpo del mensaje anterior.

En definitiva, si se conoce el administrador o la dirección de correo electrónico de cualquier usuario de destino, se puede obtener el enlace de restablecimiento de contraseña por estos u otros métodos y, por ende, restablecer la contraseña de la cuenta de cualquier usuario.

De momento no hay una solución oficial, pero para paliar el problema se recomienda forzar un nombre estático para UseCanonicalName.

Referencia
https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html


______________________________________________________
Tomado de: http://www.hackplayers.com/2017/05/0-day-en-la-funcion-de-reset-de-wordpress.html
Se Respetan Derechos de Autor.

lunes, 1 de mayo de 2017

Configurar un Troyano con Cybergate y Tomar posesión de un Equipo Remoto.

Repositorio de Github con 5000 millones de contraseñas reales ordenadas por popularidad.


Ben aka berzerk0 ha publicado un repositorio en Github que seguro hará las delicias de todo aquel que quiera hacer un ataque de fuerza bruta o, mejor dicho, de diccionario para obtener una contraseña. Efectivamente, se trata de diccionarios pero, ¿qué tienen de especial? Pues que son bastante extensos y ordena las contraseñas por uso o más probables...

Normalmente podemos encontrar algunas listas con contraseñas ordenadas por popularidad, pero el problema es que la gran mayoría de las listas, especialmente las listas más grandes, son ordenados alfabéticamente. Evidentemente esto no es muy práctico. Si asumimos que la contraseña más común es "password" y estamos realizando un ataque de diccionario usando uno en inglés, vamos a tener que empezar con "aardvark" y pasar por "passover" para llegar a "password". "Aardvark" no parece una contraseña que elija mucha gente por lo que podríamos estar perdiendo mucho tiempo al no comenzar el ataque con la contraseña más común en nuestra lista!

Para crear los diccionarios, Ben fue a SecLists, Weakpass y Hashes.org y descargó casi todas las listas de palabras que contenían contraseñas reales. Estas listas eran enormes y terminó con más de 80GB reales, con contraseñas utilizadas y generadas por personas. Luego dividió los diccionarios entre más de 350 archivos de longitud variable, tipo de clasificación u orden, codificación de caracteres, origen y otras propiedades. Ordenó esos archivos, eliminó los duplicados de los propios archivos y juntó todos.




Si encontraba una contraseña en varios archivos, consideraba que era una aproximación de su popularidad. Si encontraba una entrada en 5 archivos, no era demasiado popular. Si una entrada se podía encontrar en 300 archivos, era muy popular. Usando comandos de Unix, concatenó todos los archivos en un archivo gigante que contenía 4 mil millones de claves usados en distintos sitios de la web, y los ordenó por el número de apariciones en el archivo único. Con esto, pudo crear una lista de palabras muy grande clasificada por popularidad, no por orden alfabético.

El resultado, este "peazo" de repositorio de 24GB indispensable para cualquier cracker al uso:

https://github.com/berzerk0/Probable-Wordlists



 ____________________________________________________________
Tomado de: http://www.hackplayers.com/2017/04/github-con-5000-millones-de-passwords.html?utm_source=dlvr.it&utm_medium=twitter&m=1
Se Respetan Derechos de Autor.