Cuaderno de OsCaR :: inSiD3

Parece ser que al poco de haber salido la nueva versión de Firefox que solucionaba algunos problemas, tanto de rendimiendo como de seguridad, con la versión 2.0.0.12 de Mozilla Firefox… ya han encontrado una vulnerabilidad sería.
Esta vulnerabilidad de seguridad permite usar el esquema ‘view-source:’ del navegador Firefox, permitiendo examinar el esquema ‘resource:’, con el que, a traves del DCOM, se puede ver los ficheros de la carpeta donde se encuentra instalado el navegador, en Windows suele ser “C:\Archivos de programa\Mozilla\Firefox\”.

Para explotar esta vulnerabilidad sólo se necesita un script java que en otras webs han escrito como el siguiente:

Para no verse afectado por ello, y hasta que salga la nueva versión Firefox 2.0.0.13, es recomendable usar el plugin para Firefox llamado NoScript, que puedes instalartelo directamente desde su web http://noscript.net

:: Fuente: Hacker Webzine

Descarga directa de un paquete de todos los exploits publicados en Octubre de 2007.

Esta recopilación es de Packet Storm Security.

:: Descargar: Exploits Octubre 2007

Víctor Pimente ha publicado un artículo en genbeta que sirve perfectamente para que algunos amigos nuestros no sigan cayendo en esta trampa para recoger cuentas de correo y contraseñas (como pardillos).

En su artículo se dice lo siguiente:

“Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.”

Y encima sólo te dicen los contactos que te han borrado de su msn (eso cuando funciona), porque las que no te tienen admitidos no te los dice.

Un consejo sería pasarse a Linux para usar un cliente de messenger como aMsn, desde el cual su se puede ver cuando un contacto te ha borrado de su messenger.

Se obtienen contraseñas de embajadores a través de la Red TOR de enrutamiento de conexiones a Internet de una forma anóima; ya que TOR permite comunicación anónima en Internet distribuyendo el tráfico y haciéndolo pasar por distintos enrutadores para perder la pista del origen de las peticiones.

Por tanto, los usuarios que busquen anonimato se instalan un proxy local y éste establece un circuito virtual a través de una red TOR que les permite comunicarse con su destino sin que el origen pueda ser reconocido claramente. La comunicación entre distintos enrutadores (y esto es importante) se produce de forma cifrada, mejorando la seguridad de los datos que viajan por Internet.

Pero parece ser que Egerstad desde Suecia, publicó en su blog las contraseñas de cien cuentas de correo pertenecientes a instituciones gubernamentales de todo el mundo. No explicó cómo había conseguido toda esa cantidad de información confidencial hasta hace unos días. Gracias al uso de TOR, con el que sus “víctimas” se sentían seguras, Egerstad consiguió esta información confidencial que puso a disposición de cualquiera en Internet.

La pregunta es la siguiente: ¿Cómo es posible que se consiguieran las contraseñas a través de una red anónima y cifrada?

Porque el tráfico no permanece cifrado en todo su camino, sino ’solo entre enrutadores’. Existen unos nodos de salida (exit nodes) en los que el tráfico se transmite en texto claro desde el último enrutador de TOR hacia su destino final. Este es el punto débil que aprovechó Egerstad para trazar su plan: instalar un nodo de salida, un analizador de tráfico y simplemente esperar. Cualquiera puede montar un nodo de TOR. Egerstad instaló cinco.

La documentación de TOR indica que el sistema ofrece anonimato pero no cifrado en última instancia, y que si no se utiliza cifrado punto a punto entre el origen y el destino (SSL, por ejemplo) el tráfico queda accesible para los nodos de salida y por tanto, para quien tenga el control sobre ellos. Un correo, por ejemplo, sin cifrar y sin comunicación SSL con el servidor, sería tan ‘visible’ a través de TOR como de cualquier otra red.

···>> La red TOR no es insegura por esto. Cumple perfectamente el trabajo para el que está diseñada. <<···

Por tanto, hay que comprender que el anonimato y el cifrado son dos cualidades distintas> que hay que aplicar por separado a los datos, y que no siempre van unidas. El uso de TOR no garantiza la confidencialidad, sólo el anonimato.

:: Fuente: Hispasec

He encontrado una noticia que me ha resultado curiosa, y lo he estado leyendo. Si, es un pequeño manual ilustrado de un proceso sencillo para poder eliminar una marca de agua (watermark).

Yo aun no he probado a quitar ninguna marca de agua, pero me gustaría intentarlo con alguna. Debemos saber que eso puede suponer un delito con la propiedad de algunas imagenes, pero al menos por curiosidad de ver el proceso, probarlo y saber que tipos de watermarks pueden ser quitadas con facilidad.

No creo que todas puedan quitarse, pero estoy seguro de que más de una si, y por tanto sabremos que marcas de agua no debemos hacer en nuestras imagenes propias; ya que pueden ser quitadas. Es una buena forma poder saber elegir un watermark para nuestras imagenes que sea seguro.

Para ver el manual del procedimiento de eliminacion de marcas de agua puedes hacer clic aqui.

Diversos sitios web se están haciendo eco de una vulnerabilidad no parcheada del kernel de Windows Vista (todas las versiones) explotable de forma remota para provocar una denegación de servicio.

El origen de la noticia está en la charla que dió en SyScan’07 (Singapur) hace unos días Justine Aitel, CEO de Inmunity. En la última imagen de su presentación (pdf), Aitel presentó una misteriosa captura de Windows Vista recuperándose de un cuelgue.

No se ha confirmado ni descartado la posibilidad de que el cuelgue permita la ejecución de código arbitrario.

En cualquier caso, y aunque no se conocen aún más detalles, la vulnerabilidad acaba de ser recogida por Security Focus, lo que le proporciona bastantes visos de verosimilitud.

Aun no está publicado el exploit, pero me temo que va a ser divertirdo cuando lo podamos tener.

:: Fuente: syscan

En Windows, cuando instalas Fiefox te deja en el registro un manejador de protocolo (handler protocol) específico (firefoxurl://) que puede ser explotado (vía Explorer) por páginas web maliciosas para ocasionar algún daño o apoderarse de tu máquina ejecutando codigo o algun comando del sistema.

Al parecer, los expertos se ponen de acuerdo en qué navegador es más culpable: si el Internet Explorer o el Firefox.
Su descubridor, Thor Larholm lo ha presentado como un 0-day para Explorer (y así lo ve también Security Focus), mientras en Secunia lo consideran un fallo de Firefox. También podemos elegir la vía intermedia y calificarlo como un scripting cruzado entre navegadores, en que Firefox es el vector de ataque y Explorer falla al validar una entrada…

Pero poco nos importa el culpable. Lo preocupante es que se trata un fallo crítico y sin parche.
Por eso, si respondes a las condiciones de riesgo (Windows + Explorer + Firefox 2+), prueba la demo. Si resulta positiva, puedes proceder a borrar del registro la(s) entrada(s) peligrosa(s).

Para ello se recomienda teclear lo siguiente (recordar hacer primero una copia del registro por lo q pueda pasar):

reg delete HKCR\FirefoxHTML /f
reg delete HKCR\FirefoxURL /f
reg delete HKCR\Firefox.URL /f

Para ver otro ejemplo de como se puede ejecutar la consola cmd.exe puedes hacerlo desde aqui: Remote Command Execution here (cmd.exe is launched)

:: Fuentes: Kriptopolis - Larholm - Secunia - SecurityFocus

Se ha descubierto una vulnerabilidad en WinPcap que podría ser aprovechada por un atacante local para ejecutar código arbitrario con privilegios de sistema. Además existe un exploit público para aprovecharse de esta vulnerabilidad. Por tanto, programas como Snort, tcpdump o WireShark se ven afectados por esta escalada de privilegios, ya que utilizan esa libreria.
WinPcap es la herramienta estándar para acceder a la conexión entre capas de red de entornos Windows. Se trata de un “port” para Windows de la librería ‘libpcap’ y es necesaria para ejecutar programas de tipo “sniffer” que modifican el comportamiento de la interfaz de red para poder actuar en modo promiscuo, entre otras posibilidades.
El fallo se da en el controlador ‘npf.sys’ a la hora de validar los datos manejados en los parámetros Irp pasados a IOCTL 9031 (BIOCGSTATS). Un atacante podría aprovechar esta vulnerabilidad enviando parámetros especialmente manipulados y sobrescribiendo la memoría del núcleo.

Si un usuario local sin privilegios encuentra que el dispositivo ha sido utilizado y no se ha descargado el módulo (despues de haberse ejecutado WireShark por ejemplo, o si está en el inicio del sistema), el atacante podría ejecutar la prueba de concepto publicada y obtener privilegios totales sobre la máquina víctima.

Esta vulnerabilidad afecta a las versiones 3.1 y 4.1 beta de WinPcap sobre sistemas Windows, pero ha sido solventada en la version 4.0.1 de WinPcap.

El fallo se descubrió el 16 de mayo de 2007 por iDefense, pero se publicó el 9 de julio de 2007.

El exploit público podemos verlo aqui.

:: Fuente: Hispasec

Se han detectado y confirmado defectos de los procesadores Intel Core 2 Duo en los que existen algunos bugs. Estos bugs pueden permitir determinadas acciones de buffer overflow, exploits, privacidad…

Visitar la web del articulo original para obtener más información. En ella podemos encontrar además un documento en pdf y una imagen gif con un cuadro indicando los problemas.

Hace tiempo hablé del “enrutador cebolla” que es TOR, por el que las conexiones salen por IP vecinas distintas, y las IP vecinas a estas salen a su vez por otras vecinas suyas, pero no de la anterior. Así se consigue tener IP distintas durante nuestra conexión.

También hable de un paquete que incluia TOR y un Firefox portable que lo integraba, permitiendo navegar anónimamente con Mozilla Firefox de una forma sencilla. Este paquete se llama TorPark, del que también puedes bajar la nueva versión 2.0.0.3a directamente desde aqui.

Ahora quiero mencionar otro paquete como como TorPark, pero esta vez con una version portable del navegador Opera. Paquete que incluye el plugin OperaTor, el navegador Opera 9.3, TOR y Privoxy.

Este paquete se llama OperaTOR, y podemos descarlo directamente desde aqui.

Se han descubierto en estos días sendas vulnerabilidades para los dos sistemas ofimáticos más utilizados por el mundo occidental: Microsoft Office y OpenOffice.org. Ambos problemas parecen permitir ejecución de código y por ello, se vuelven especialmente graves.

El día 12 de junio Debian publicó una actualización para OpenOffice.org, alegando que solventaba un grave problema de seguridad en la suite. El fallo se debe a un desbordamiento de memoria intermedia en la función SwRTFParser::ReadPrtData()y permitiría la ejecución de código arbitrario con solo abrir un documento RTF (Rich Text Format) especialmente manipulado. Afectaría por igual a cualquier sistema operativo.

Al parecer, la versión 2.2.1 soluciona este problema. StarOffice también ha publicado sus respectivas actualizaciones.

Por otro lado, se ha vuelto a observar la tendencia que observamos desde 2006. Pocas horas después de que Microsoft publique sus actualizaciones los segundos martes de cada mes, aparece una nueva vulnerabilidad sin parche conocido. Esto permite que el tiempo de exposición sea más largo y la “efectividad” de la vulnerabilidad (si con ella se permite la ejecución de código) mayor.

Aunque el fallo se dé en Microsoft Office, lo preocupante es que la librería vulnerable es accesible a través de la web,como ActiveX. En otras palabras, permitiría ejecutar cualquier programa arbitrario en el sistema con solo visitar una web.

El problema se produce cuando se pasan más de 256 bytes al método HelpPopup del método DeleteRecordSourceIfUnused del Control ActiveX MSODataSourceControl. Si un usuario visita con Internet Explorer un sitio web especialmente manipulado que aproveche el fallo, el navegador dejaría de funcionar y potencialmente, ejecutaría código. Existe exploit público del fallo, y aunque no ha sido probado, es muy posible que permita la ejecución código arbitrario.

(more…)

Buenisima animación de Monkey Island SGAE: Voy a ser un gran pirata! (como mandan los cánones).

Este gif lo he encontrado navegando por ahi, y me ha perecido digno de postearlo. Por la información que he encontrado, el autor desea que se publique en todas partes, pero sin que se haga alusión a él, ya que prefiere quedar en el anonimato. Yo no le conozco, pero desde aquí le envío un saludo por el gran trabajo realizado en este gif animado, ya que el Monkey Island me encanta, y jamás pensé encontrarme algo así de guapo. xDD

Descarga directa de todos los exploits recopilados en Mayo de 2007 por PacketStormSecurity.

Exploits de Mayo 2007.

:: Fuente: PacketStormSecurity