Cuaderno de OsCaR :: inSiD3

Parece ser que al poco de haber salido la nueva versión de Firefox que solucionaba algunos problemas, tanto de rendimiendo como de seguridad, con la versión 2.0.0.12 de Mozilla Firefox… ya han encontrado una vulnerabilidad sería.
Esta vulnerabilidad de seguridad permite usar el esquema ‘view-source:’ del navegador Firefox, permitiendo examinar el esquema ‘resource:’, con el que, a traves del DCOM, se puede ver los ficheros de la carpeta donde se encuentra instalado el navegador, en Windows suele ser “C:\Archivos de programa\Mozilla\Firefox\”.

Para explotar esta vulnerabilidad sólo se necesita un script java que en otras webs han escrito como el siguiente:

Para no verse afectado por ello, y hasta que salga la nueva versión Firefox 2.0.0.13, es recomendable usar el plugin para Firefox llamado NoScript, que puedes instalartelo directamente desde su web http://noscript.net

:: Fuente: Hacker Webzine

Víctor Pimente ha publicado un artículo en genbeta que sirve perfectamente para que algunos amigos nuestros no sigan cayendo en esta trampa para recoger cuentas de correo y contraseñas (como pardillos).

En su artículo se dice lo siguiente:

“Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.”

Y encima sólo te dicen los contactos que te han borrado de su msn (eso cuando funciona), porque las que no te tienen admitidos no te los dice.

Un consejo sería pasarse a Linux para usar un cliente de messenger como aMsn, desde el cual su se puede ver cuando un contacto te ha borrado de su messenger.

Se obtienen contraseñas de embajadores a través de la Red TOR de enrutamiento de conexiones a Internet de una forma anóima; ya que TOR permite comunicación anónima en Internet distribuyendo el tráfico y haciéndolo pasar por distintos enrutadores para perder la pista del origen de las peticiones.

Por tanto, los usuarios que busquen anonimato se instalan un proxy local y éste establece un circuito virtual a través de una red TOR que les permite comunicarse con su destino sin que el origen pueda ser reconocido claramente. La comunicación entre distintos enrutadores (y esto es importante) se produce de forma cifrada, mejorando la seguridad de los datos que viajan por Internet.

Pero parece ser que Egerstad desde Suecia, publicó en su blog las contraseñas de cien cuentas de correo pertenecientes a instituciones gubernamentales de todo el mundo. No explicó cómo había conseguido toda esa cantidad de información confidencial hasta hace unos días. Gracias al uso de TOR, con el que sus “víctimas” se sentían seguras, Egerstad consiguió esta información confidencial que puso a disposición de cualquiera en Internet.

La pregunta es la siguiente: ¿Cómo es posible que se consiguieran las contraseñas a través de una red anónima y cifrada?

Porque el tráfico no permanece cifrado en todo su camino, sino ’solo entre enrutadores’. Existen unos nodos de salida (exit nodes) en los que el tráfico se transmite en texto claro desde el último enrutador de TOR hacia su destino final. Este es el punto débil que aprovechó Egerstad para trazar su plan: instalar un nodo de salida, un analizador de tráfico y simplemente esperar. Cualquiera puede montar un nodo de TOR. Egerstad instaló cinco.

La documentación de TOR indica que el sistema ofrece anonimato pero no cifrado en última instancia, y que si no se utiliza cifrado punto a punto entre el origen y el destino (SSL, por ejemplo) el tráfico queda accesible para los nodos de salida y por tanto, para quien tenga el control sobre ellos. Un correo, por ejemplo, sin cifrar y sin comunicación SSL con el servidor, sería tan ‘visible’ a través de TOR como de cualquier otra red.

···>> La red TOR no es insegura por esto. Cumple perfectamente el trabajo para el que está diseñada. <<···

Por tanto, hay que comprender que el anonimato y el cifrado son dos cualidades distintas> que hay que aplicar por separado a los datos, y que no siempre van unidas. El uso de TOR no garantiza la confidencialidad, sólo el anonimato.

:: Fuente: Hispasec

Diversos sitios web se están haciendo eco de una vulnerabilidad no parcheada del kernel de Windows Vista (todas las versiones) explotable de forma remota para provocar una denegación de servicio.

El origen de la noticia está en la charla que dió en SyScan’07 (Singapur) hace unos días Justine Aitel, CEO de Inmunity. En la última imagen de su presentación (pdf), Aitel presentó una misteriosa captura de Windows Vista recuperándose de un cuelgue.

No se ha confirmado ni descartado la posibilidad de que el cuelgue permita la ejecución de código arbitrario.

En cualquier caso, y aunque no se conocen aún más detalles, la vulnerabilidad acaba de ser recogida por Security Focus, lo que le proporciona bastantes visos de verosimilitud.

Aun no está publicado el exploit, pero me temo que va a ser divertirdo cuando lo podamos tener.

:: Fuente: syscan

En Windows, cuando instalas Fiefox te deja en el registro un manejador de protocolo (handler protocol) específico (firefoxurl://) que puede ser explotado (vía Explorer) por páginas web maliciosas para ocasionar algún daño o apoderarse de tu máquina ejecutando codigo o algun comando del sistema.

Al parecer, los expertos se ponen de acuerdo en qué navegador es más culpable: si el Internet Explorer o el Firefox.
Su descubridor, Thor Larholm lo ha presentado como un 0-day para Explorer (y así lo ve también Security Focus), mientras en Secunia lo consideran un fallo de Firefox. También podemos elegir la vía intermedia y calificarlo como un scripting cruzado entre navegadores, en que Firefox es el vector de ataque y Explorer falla al validar una entrada…

Pero poco nos importa el culpable. Lo preocupante es que se trata un fallo crítico y sin parche.
Por eso, si respondes a las condiciones de riesgo (Windows + Explorer + Firefox 2+), prueba la demo. Si resulta positiva, puedes proceder a borrar del registro la(s) entrada(s) peligrosa(s).

Para ello se recomienda teclear lo siguiente (recordar hacer primero una copia del registro por lo q pueda pasar):

reg delete HKCR\FirefoxHTML /f
reg delete HKCR\FirefoxURL /f
reg delete HKCR\Firefox.URL /f

Para ver otro ejemplo de como se puede ejecutar la consola cmd.exe puedes hacerlo desde aqui: Remote Command Execution here (cmd.exe is launched)

:: Fuentes: Kriptopolis - Larholm - Secunia - SecurityFocus

Se han detectado y confirmado defectos de los procesadores Intel Core 2 Duo en los que existen algunos bugs. Estos bugs pueden permitir determinadas acciones de buffer overflow, exploits, privacidad…

Visitar la web del articulo original para obtener más información. En ella podemos encontrar además un documento en pdf y una imagen gif con un cuadro indicando los problemas.

Se han descubierto en estos días sendas vulnerabilidades para los dos sistemas ofimáticos más utilizados por el mundo occidental: Microsoft Office y OpenOffice.org. Ambos problemas parecen permitir ejecución de código y por ello, se vuelven especialmente graves.

El día 12 de junio Debian publicó una actualización para OpenOffice.org, alegando que solventaba un grave problema de seguridad en la suite. El fallo se debe a un desbordamiento de memoria intermedia en la función SwRTFParser::ReadPrtData()y permitiría la ejecución de código arbitrario con solo abrir un documento RTF (Rich Text Format) especialmente manipulado. Afectaría por igual a cualquier sistema operativo.

Al parecer, la versión 2.2.1 soluciona este problema. StarOffice también ha publicado sus respectivas actualizaciones.

Por otro lado, se ha vuelto a observar la tendencia que observamos desde 2006. Pocas horas después de que Microsoft publique sus actualizaciones los segundos martes de cada mes, aparece una nueva vulnerabilidad sin parche conocido. Esto permite que el tiempo de exposición sea más largo y la “efectividad” de la vulnerabilidad (si con ella se permite la ejecución de código) mayor.

Aunque el fallo se dé en Microsoft Office, lo preocupante es que la librería vulnerable es accesible a través de la web,como ActiveX. En otras palabras, permitiría ejecutar cualquier programa arbitrario en el sistema con solo visitar una web.

El problema se produce cuando se pasan más de 256 bytes al método HelpPopup del método DeleteRecordSourceIfUnused del Control ActiveX MSODataSourceControl. Si un usuario visita con Internet Explorer un sitio web especialmente manipulado que aproveche el fallo, el navegador dejaría de funcionar y potencialmente, ejecutaría código. Existe exploit público del fallo, y aunque no ha sido probado, es muy posible que permita la ejecución código arbitrario.

(more…)

Buenisima animación de Monkey Island SGAE: Voy a ser un gran pirata! (como mandan los cánones).

Este gif lo he encontrado navegando por ahi, y me ha perecido digno de postearlo. Por la información que he encontrado, el autor desea que se publique en todas partes, pero sin que se haga alusión a él, ya que prefiere quedar en el anonimato. Yo no le conozco, pero desde aquí le envío un saludo por el gran trabajo realizado en este gif animado, ya que el Monkey Island me encanta, y jamás pensé encontrarme algo así de guapo. xDD

He visto este chiste por ahí, publicado por Samysoy (02/06/2007).
Me ha molado y lo he puesto en el blog porque hace muy buena referencia a Cómo están las cosas ultimamente. Sí, los tiempos están cambiando, y cada vez tenemos “menos derechos” de LIBERTAD DE EXPRESIÓN (ni siquiera de opinión).  Hay que ver como son las cosas, de dónde venimos, dónde hemos estado, y hacia dónde vamos. Tiempos nuevos, vidas nuevas… motos nuevas que nos venden.
Qué decir de ello, leedlo y juzgad vosotros mismos.

- ¿Qué le dice una pared a otra?
- Nos encontramos en la esquina.

DISCLAIMER:

1) La intencion de este chiste no es ofender a las paredes.
2) Tampoco es mi intencion hacer un feo a otras estructuras, como vallas o verjas, a las cuales tambien se podria aplicar el chiste; se ha usado solamente ‘pared’ por sencillez, sin animo despreciativo.
3) La alusion a la esquina no tiene nada que ver con la prostitucion. El autor del chiste no se responsabiliza de otras posibles malinterpretacio-nes que se pudieran hacer del chiste.
4) La esquina a la que intenta referirse el chiste es una esquina en la que confluyen DOS paredes. Esto no implica que el autor considere obsceno el encuentro de tres o mas paredes en una unica esquina, simplemente no se menciona.
5) Existen esquinas en las que alguna de las paredes tiene una posicion dominante sobre la otra; se hace explicito que el chiste no se refiere a, ni implica, ninguna de estas circunstancias.
6) El chiste no hace ninguna aseveracion acerca de la edad, sexo, tendencia sexual, religion, nacionalidad, raza, integridad fisica, estado civil o ideologia de las paredes implicadas, ni implicita ni explicitamente.
7) El chiste tampoco hace ninguna suposicion, ni implicita ni explicita, sobre las razones por las que las paredes se encuentran, o sobre si este encuentro es consensual o no.
8) El chiste no hace alusion a ningun par de paredes en concreto; en consecuencia, no debería ser entendido como una intromision en la vida particular de ninguna pared, o como una violacióón de su intimidad. Cualquier coincidencia o similaridad con la vida real es pura casualidad.
9) Lo de la esquina entre dos paredes no es ninguna alusion sexual.
10) El autor del chiste pide humildemente perdon a cualquier persona, animal o cosa que se sienta ofendida y/o aludida por el chiste anterior y pretende dejar claro que no era esa su intención.

Se han descubierto seis vulnerabilidades en Mozilla Firefox, Thunderbird y Seamonkey que podrían ser aprovechadas por un tacante para eludir restricciones de seguridad, causar denegaciones de servicio (DDoS) o tomar un control total de una máquina afectada.

Los productos afectados por estas vulnerabilidades son:

Mozilla Firefox anterior a 2.0.0.4.
Mozilla Firefox anterior a 1.5.0.12.
Mozilla SeaMonkey anterior a 1.0.9.
Mozilla SeaMonkey anterior a 1.1.2.
Mozilla Thunderbird anterior a 2.0.0.4.
Mozilla Thunderbird anterior a 1.5.0.12.

Por tanto, se recomienda actualizar estos productos.

(more…)

Vuelve a ocurrir. Un error en las firmas de un antivirus (en este caso Symantec) provoca “anomalías” en los ordenadores de sus usuarios. Symantec ha detectado dos ficheros de sistema de la versión china de Windows XP como malware durante un breve periodo de tiempo. Los archivos, vitales para Windows, impiden que el sistema arranque al ser puestos en cuarentena o borrados. Un falso positivo que costará caro a la compañía.

Durante el día 17 de mayo varios productos Norton Antivirus (de Symantec) actualizaron normalmente sus bases de datos. Estas contenían un patrón de firmas por el que, por error, se calificaba como troyano (Backdoor.Haxdoor) a los ficheros netapi32.dll y lsasrv.dll de la versión en chino simplificado de Windows XP SP2. Si estos archivos eran puestos en cuarentena o directamente borrados, el sistema no volvería a arrancar, abortando en adelante el proceso de inicio con un pantallazo azul de la muerte (BSOD).

Chinese Internet Security Response Team (CISRT) alertó inmediatamente de una situación crítica y de miles de usuarios afectados. Symantec ha reconocido el desafortunado error y liberó al poco tiempo una nueva actualización de firmas que ya no confundía estos ficheros con peligrosas puertas traseras. Al parecer sólo se veían afectadas las versiones de estos archivos actualizadas con el parche MS06-070 de noviembre de 2006 y sobre ese idioma en concreto.

Para quien mantuviese su sistema sin reiniciar durante todo el proceso y volviese a actualizar las firmas para solventar el error, el problema no resultaba tan grave. Quien hubiese reiniciado su sistema después de la “fallida detección” tendría que utilizar una herramientas de restauración (por ejemplo la consola de Windows) para poder arrancar su sistema y volver a operar con él.
(more…)

Se ha encontrado una vulnerabilidad que provoca una denegación de servicios en linux. El fallo se debe a un error de diseño en el protocolo Ipv6 a la hora de manejar cabeceras de ruta de tipo 0. Esto podría ser aprovechado por atacantes remotos para provocar una denegación de servicio si se envían paquetes especialmente manipulados.

El problema ha sido solucionado en la versión 2.6.20.9 disponible desde http://www.kernel.org

:: Fuente: Hispasec