Cuaderno de OsCaR :: inSiD3

Diversos sitios web se están haciendo eco de una vulnerabilidad no parcheada del kernel de Windows Vista (todas las versiones) explotable de forma remota para provocar una denegación de servicio.

El origen de la noticia está en la charla que dió en SyScan’07 (Singapur) hace unos días Justine Aitel, CEO de Inmunity. En la última imagen de su presentación (pdf), Aitel presentó una misteriosa captura de Windows Vista recuperándose de un cuelgue.

No se ha confirmado ni descartado la posibilidad de que el cuelgue permita la ejecución de código arbitrario.

En cualquier caso, y aunque no se conocen aún más detalles, la vulnerabilidad acaba de ser recogida por Security Focus, lo que le proporciona bastantes visos de verosimilitud.

Aun no está publicado el exploit, pero me temo que va a ser divertirdo cuando lo podamos tener.

:: Fuente: syscan

En Windows, cuando instalas Fiefox te deja en el registro un manejador de protocolo (handler protocol) específico (firefoxurl://) que puede ser explotado (vía Explorer) por páginas web maliciosas para ocasionar algún daño o apoderarse de tu máquina ejecutando codigo o algun comando del sistema.

Al parecer, los expertos se ponen de acuerdo en qué navegador es más culpable: si el Internet Explorer o el Firefox.
Su descubridor, Thor Larholm lo ha presentado como un 0-day para Explorer (y así lo ve también Security Focus), mientras en Secunia lo consideran un fallo de Firefox. También podemos elegir la vía intermedia y calificarlo como un scripting cruzado entre navegadores, en que Firefox es el vector de ataque y Explorer falla al validar una entrada…

Pero poco nos importa el culpable. Lo preocupante es que se trata un fallo crítico y sin parche.
Por eso, si respondes a las condiciones de riesgo (Windows + Explorer + Firefox 2+), prueba la demo. Si resulta positiva, puedes proceder a borrar del registro la(s) entrada(s) peligrosa(s).

Para ello se recomienda teclear lo siguiente (recordar hacer primero una copia del registro por lo q pueda pasar):

reg delete HKCR\FirefoxHTML /f
reg delete HKCR\FirefoxURL /f
reg delete HKCR\Firefox.URL /f

Para ver otro ejemplo de como se puede ejecutar la consola cmd.exe puedes hacerlo desde aqui: Remote Command Execution here (cmd.exe is launched)

:: Fuentes: Kriptopolis - Larholm - Secunia - SecurityFocus

Se ha descubierto una vulnerabilidad en WinPcap que podría ser aprovechada por un atacante local para ejecutar código arbitrario con privilegios de sistema. Además existe un exploit público para aprovecharse de esta vulnerabilidad. Por tanto, programas como Snort, tcpdump o WireShark se ven afectados por esta escalada de privilegios, ya que utilizan esa libreria.
WinPcap es la herramienta estándar para acceder a la conexión entre capas de red de entornos Windows. Se trata de un “port” para Windows de la librería ‘libpcap’ y es necesaria para ejecutar programas de tipo “sniffer” que modifican el comportamiento de la interfaz de red para poder actuar en modo promiscuo, entre otras posibilidades.
El fallo se da en el controlador ‘npf.sys’ a la hora de validar los datos manejados en los parámetros Irp pasados a IOCTL 9031 (BIOCGSTATS). Un atacante podría aprovechar esta vulnerabilidad enviando parámetros especialmente manipulados y sobrescribiendo la memoría del núcleo.

Si un usuario local sin privilegios encuentra que el dispositivo ha sido utilizado y no se ha descargado el módulo (despues de haberse ejecutado WireShark por ejemplo, o si está en el inicio del sistema), el atacante podría ejecutar la prueba de concepto publicada y obtener privilegios totales sobre la máquina víctima.

Esta vulnerabilidad afecta a las versiones 3.1 y 4.1 beta de WinPcap sobre sistemas Windows, pero ha sido solventada en la version 4.0.1 de WinPcap.

El fallo se descubrió el 16 de mayo de 2007 por iDefense, pero se publicó el 9 de julio de 2007.

El exploit público podemos verlo aqui.

:: Fuente: Hispasec

Se han detectado y confirmado defectos de los procesadores Intel Core 2 Duo en los que existen algunos bugs. Estos bugs pueden permitir determinadas acciones de buffer overflow, exploits, privacidad…

Visitar la web del articulo original para obtener más información. En ella podemos encontrar además un documento en pdf y una imagen gif con un cuadro indicando los problemas.