Cuaderno de OsCaR :: inSiD3

Como ya escribi algo sobre como buscar y realizar descargas (y subidas) desde Megaupload y otros sitios del estilo, esta vez os traigo algo wuapo (que ya tiene su timepo también, lo siento). Buscando por Internet y en el magnifico Google “amigo del hombre” he encontrado algunas cosillas que se han descubierto por ahi. La historia es que es posible saltarse la limitación de descargas por IP y día en Megaupload tan solo modificando una cosilla en nuestros navegadores preferidos. Los pasos a seguir son los siguientes, pero leerlo todo antes de hacer nada, porque las cosas han cambiado y seguiran cambiando por parte de Megaupload:

+ Para Internet Explorer 6 y 7 (IE):

Abrir el Regedit.exe de Windows e ir a la siguiente dirección:

HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> Current Version -> Internet Settings -> User Agent -> Post Plataform

Crear ahi una nueva entrada binaria con el valor “Megaupload Toolbar” (sin las comillas) y con el valor por defecto de la creacion. Pero esto ya no funciona, pues los de Megaupload han cambiado el nombre a su toolbar (la que usan sus clientes) para facilitar y mejorar las descargas desde IE). Por tanto, ahora a la nueva clave a añadir se le pone el siguiente nombre: “MEGAUPLOAD 1.0” (sin las comillas y respetando las mayúsculas).

+ Para Mozilla Firefox 1.0.5 y 2.0:

1. En la barra de dirección escribir “about:config” (sin las comillas) y pulsar ENTER.
2. Escribir en el campo filtro la cadena de texto “general.useragent.extra.firefox” (sin las comillas).
3. Hacer doble clic al valor que salga y se abre para poder modificarlo.
4. Ahi se debe añadir un espacio (mantenido la inforamción de la versión de Firefox que aparece) y “Megaupload Toolbar” (sin las comillas). Por ejemplo: Si el valor actual es “Firefox/2.0.0.2″ debe quedar así “Firefox/2.0.0.2 Alexa Toolbar” (sin las comillas).

Esto lo que hace es hacer una simulacion de la barra Alexa de IE en nuestro Firefox. De todos modos, Megaupload ha cambiado el nombre a la barra de Alexa (con la que parecia que tuviera algun compromiso o acuerdo para las descargas, pq sino no lo entiendo), y ahora debe añadirse “ MEGAUPLOAD 1.0“, quedanso asi: Si el valor actual es “Firefox/2.0.0.2″ debe quedar así “Firefox/2.0.0.2 MEGAUPLOAD 1.0” (sin las comillas y respetando las mayúsculas).

Hay mas trucos de este tipo por L@ ReD de Internet que tanto nos gusta, pero el que este interesado en ello, que lo busque.

El primer problema se basa en la forma en la que Firefox maneja la escritura en la propiedad DOM location.hostname. Esto permite crear un script que modificaría su valor con datos que serían normalmente aceptados como nombres de host válidos cuando se interpreta una URL. Se pone como ejemplo un ataque basado en la cadena \x00. El resolvedor DNS y otras partes del código lo interpretan como el final de una cadena mientras que las cadenas de las variables DOM no. Según el ejemplo del propio Zalewski, evil.com\x00foo.example.com sería considerado por el código como parte del dominio example.com mientras que las peticiones irían a parar a evil.com y éste sería capaz de modificar las cookies de la página legítima. Parece que ya existe parche para este fallo pero aún no se ha hecho público.

Otro problema trata de un fallo de diseño por el que un script podría abrir la URL about:blank en una nueva pestaña. Esto permitiría al script interactuar con este documento como si se tratase de una página en el mismo dominio, lo que incluye inyección HTLM. Según Zalewski esto sería perfecto para perpetrar ataques phishing. Este fallo permite a un atacante eludir también una solución a un error anterior que se pensaba totalmente corregido. El problema también afecta a Microsoft Internet Explorer 7, pero sólo si la opción “Permitir a páginas abrir ventanas sin barras de estado o dirección” está marcada. Para facilitar todavía más las cosas a los phishers, a principios de febrero se descubrió un problema en Firefox que permitía a una página fraudulenta eludir el control antiphishing del programa con sólo añadir una barra “/” al final de la URL.

:: Fuente: hispasec

Al aparecer (lo digo porque lo he visto) hay alguien que se dedica a hacer spam a los moviles enviando sms de un supuesto emisor +#5069 sin autorización ninguna. Además, el mensaje parece querer tener un enganche publicitario en curiosos, pero es una clara estafa para que envíes lo que te dice y ganar pasta a costa de algún poco agraciado que caiga en ello. También es ilegal porque no indica ni la empresa, ni tampoco el importe de los costes por envío del mensaje respuesta.

He estado mirando por google, y he encontrado algunos blogs (como este y este) que ya habían hablado de ello, de este spam sms ConTuMovil en concreto. Parece ser que los responsables de ese spam sms eran los de solomensajes.com, pero ahora mismo esa web esta cerrada y sólo puede consultarse en la cache de google mientras dure. El caso es que esa web anunció que cerraba con estas palabras: “7/11/2006 - Lamentamos comunicales que solomensajes cerrará todos los servicios a partir del 1 de diciembre del 2006. Asi pues los clientes que tengan contratado alguno de los servicios tendran hasta final de més para su retirada. Damos las gracias a todos nuestros clientes.”
Ahora mismo ésto sólo queda vinculado a ibericasms.com (como en el enlace de más información que indica la web de solomensajes.com), o entre los que se hayan vendido el temita. Y además, actualmente mantienen activo el enlace de la descarga de su programa (el mismo que habia en la web de solomensajes.com) llamado SMSIPMarket V.2 disponible en http://www.ibericasms.com/download/instalar%20ibericasms.exe

Pero os cuento lo que dice exactamente el sms de spam que envian: “ContuMovil:una persona te ha enviado su foto,puede ser un amigo,un amor,un desconociodo,para recibirla envia la palabra FOTO al 5069,foto real,c1.4m quien sera?” [Remitente: +#5069]

Se ha descubierto un error en el telnet de Sun Solaris que puede permitir a un atacante obtener de forma trivial privilegios de root.

Se ha descubierto un error en la instalación ‘por defecto’ de Sun Solaris que permite a un atacante externo que tenga acceso al servidor de telnet pueda acceder con privilegios de root de forma trivial y sencilla.

· El exploit es público y basta con acceder al sistema mediante el comando: telnet -l “-froot” [nombre_de_host]
· También permite sustituir a cualquier otro usuario mediante: telnet -l “-fusuario” [nombre_de_host]

Se ha comprobado que la vulnerabilidad afecta a Sun Solaris 10, pero otras versiones también podrían verse afectadas. Mientras tanto no existe parche oficial. Se recomienda deshabilitar inmediatamente el acceso por telnet, parando el servicio de telnet o limitando o cerrando el acceso al puerto 23.

:: Fuente: Hispasec

Google libera hoy el acceso para poder crearse una cuenta de correo electrónico GRATUITA de 2,8 GB (espacio que va aumentando con el tiempo) y con un servicio anti-spam incluido impecable. Además te permite ordenar y buscar entre los mensajes, crear filtros para mantenerlos por categorías, chat, etc…

Ahora si te fijas, cada vez que entres en www.google.es aparece la posibilidad de crearte una cuenta Gmal.

Crear una cuenta Gmail

Al parecer se ha detectado un fallo que afecta a Internet Explorer 7 y toda su familia del navegador (IE5 e IE6) en las versiones para Windows 2000/2003/XP/Vista.

El fallo es en ActiveX, habiendo varios controles del navegador que se ven afectados por este fallo, por lo que se puede producir un cuelgue en IE7, aunque no permite la ejecución de codigo, por lo tanto es más desagradable que un peligro en sí.

Podría darsele uso como poner un link en un web que al darlo te cierre directamente el IE7, pero de momneto poca cosa más.

· Algunos Controles afectados son (en MSHTML.DLL): giffile, htmlfile, jpegfile, mhtmlfile, ODCfile, pjpegfile, pngfile, xbmfile, xmlfile, xslfile, wdpfile

· Otros controles afectados (en TRIEDIT.DLL) son: TriEditDocument.TriEditDocument, TriEditDocument.TriEditDocument.1

Para ver un ejemplo de como se cuelga el IE7, en la web de Kriptopolis.org han puesto un link que te muestra el fallo (es inofensivo) para que lo compruebes. Puedes fijarte despues en el codigo fuente de la web que cuelga el IE7 para comprenderlo. Para verlo haz clic aqui (Kriptopolis.org) (A Firefox no le afecta).

:: Fuente: Determina.com