DLL Hijacking

Hoy vamos a hablar de la vulnerabilidad de DLL Hijacking que se empezó a dilucir en el año 2000 por Georgi Guninski y que ha saltado recientemente a la palestra debido a la publicación de los artículos de Moore (el creador de Metasploit): Exploiting DLL Hijacking Flaws y su kit para encontrar aplicaciones vulnerables Better, Faster, Stronger: DLLHijaAuditKit v2.

Esta vulnerabilidad afecta a numerosas o quizás a la mayoría de las aplicaciones de Windows debido a que utilizan métodos inseguros para cargar DLLs (Dynamically Linked Libraries).

Cuando una aplicación mediante LoadLibrary() o LoadLibraryEx() intenta cargar funciones adicionales enlazando en tiempo real con una librería dinámica y no se especifica su ruta completa, Windows define como primer orden de búsqueda de la DLL el directorio actual del proceso: http://msdn.microsoft.com/en-us/library/ms682586%28v=VS.85%29.aspx.

Si un usuario abre un fichero legítimo mediante una aplicación afectada y en el mismo directorio se encuentra una DLL maliciosa (renombrada como la original), un atacante podría conseguir la ejecución de código arbitrario a través de la carga de esa librería modificada.

Redifusión del reportaje de RTVE sobre ciberterrorismo

Hoy, después del Telediario de TVE1, han vuelto a emitir el reportaje de Informe Semanal: Ciberterrorismo: el lado oscuro de la red.

No se trata de un video nuevo (11 de Junio), pero merece la pena volver a ver este pequeño documental de 15 minutos en el que podréis encontrar al Director del CNPIC, a Juan Antonio Gómez de S21Sec, a Chema Alonso de Informática 64, al jefe del grupo de ciberterrorismo de la Guardia Civil, a jueces de la audiencia nacional, a la directora Jurídica de Tuenti, y la primera entrevista para la televisión de Elena Sanchez, secretaria general del Centro Nacional de Inteligencia (CNI):

Análisis del parche LNK

De todos es ya conocida la famosa vulnerabilidad de Microsoft Windows con los accesos directos, en la que un atacante podía ejecutar código arbitrariamente con el único requerimiento de que el sistema operativo renderizara un fichero LNK, simplemente navegando por una carpeta a través de SMB o WebDAV.

Inicialmente esta vulnerabilidad fue descubierta en redes privadas contra sistemas SCADA de Siemens, aunque pronto fueron apareciendo métodos de explotación remota añadiéndose exploits a diversos exploit kits (valga la redundancia) e incluso al framework de Metasploit.

La aparición de estos nuevos métodos de explotación y la escalada de ataques intentando explotar esta vulnerabilidad, forzaron a Microsoft a lanzar una actualización de seguridad fuera de ciclo, la MS10-046.

Microsoft debía lanzar urgentemente un parche que previniera estos ataques pero también que no afectara a los applets legítimos (CPL) de su Panel de Control. A continuación estudiaremos un poco su funcionamiento.

Intel compra McAfee

Reuters | Europa Press
Nueva York.- El fabricante estadounidense de microprocesadores Intel ha sellado un acuerdo con la compañía de antivirus McAfee por 7.680 millones de dólares en efectivo, unos 5.964 millones de euros.

Intel abonará 48 dólares en efectivo por cada acción de McAfee, lo que representa una prima del 60% respecto al precio de cierre de sus acciones del día de ayer.

Los consejos de administración de las dos empresas han respaldado de manera unánime el acuerdo, que se cerrará tras recibir las oportunas autorizaciones por parte de los reguladores y de los accionistas de McAfee. Ello convertirá a McAfee en una filial de la división de software y servicios de Intel.

"Con la rápida expansión del crecimiento a través un amplio abanico de servicios interconectados en la Red, cada vez más y más elementos de nuestras vidas se desarrolan 'online'", dijo el presidente y consejero delegado de Intel, Paul Otellini.

El directivo subrayó que, si en el pasado fue la eficiencia energética y la conectividad definieron los requerimientos de la industria, "a partir de ahora la seguridad se unirá a ellos como un tercer pilar de lo que el público pide".

Así, la multinacional de Santa Clara destacó que la adquisición de McAfee representa el siguiente paso en la estrategia de la empresa y supone el socio en seguridad adecuado para Intel.

Solución al reto 6 del bebé llorón

Algunos ya habréis leído la entrada de nuestro twitter que decía: ¡Celia ya está aquí, es un bebé precioso!. Efectivamente, mi niña nació el pasado 11 de Agosto y mi verdadero reto del "bebé llorón" comienza ahora y para siempre.

Pero os aseguro que los lloros, los cambios de pañal, las preocupaciones, las noches sin dormir merecen la pena con sólo mirarle a la carita, tenerla un rato en brazos o simplemente percibir su inconfundible olor de bebé.

Evidentemente estos días/meses andaré muy liado y mi tiempo libre lo dedicaré al máximo a ella. Eso significará menos entradas en el blog
y más entradas en el twitter (¡animo a mis colegas y a todos los que quieran colaborar a publicar en Hackplayers!).

No obstante no quería demorar la publicación de la solución a nuestro último reto que, gracias a Miguel, simplemente puedo ofrecerles "copypasteando".

Por supuesto no quiero dejar pasar la oportunidad de agradecerselo (una vez más como en el carnaval), sin olvidarme también de Rafael Pablos, Sebastian Alvarez y el ocurrente Alberto Audiffred que nos decía "tan facil el niño llora por que quiere enviar un correo electronico por 2 puntos su llanto son www y su pañal un correo" ;-)

Bueno amigos, sin más os dejo con la solución y nos vemos pronto:

Primer troyano SMS para Android

Llegan noticias sobre el primer troyano basado en un mensaje de texto (SMS) capaz de infectar a sistemas operativos Android.

Trojan-SMS.AndroidOS.FakePlayer-A ha infectado ya a un buen número de móviles según Kapersky. El mensaje solicita a los usuarios la instalación de un fichero de tipo "media player" de tan sólo 13 KB y con la extensión estándar .APK. Una vez instalado, el troyano empieza a enviar mensajes SMS a números de coste (premium) sin el consentimiento/conocimiento de la víctima, que verá sorprendida como recibe en casa una enorme factura.

Denis Maslennikov, gerente del grupo de investigación móvil de Kaspersky Lab, cree que el éxito de la plataforma Android en el mercado ha provocado un creciente interés de los creadores de virus. La firma de seguridad de Rusia tiene previsto responder a la creciente amenaza con un producto de seguridad móvil, Kaspersky Mobile Security para Android, a principios de 2011.

Los usuarios deberán prestar mucha atención a los servicios a los que una aplicación solicita acceso durante la instalación. Si un usuario permite que una aplicación pueda acceder a servicios de tarificación adicional durante la instalación, el smartphone podrá hacer llamadas y enviar mensajes de texto sin requerir ninguna otra autorización.

Nuevo 0-day en un componente del kernel de Windows

El pasado viernes se publicó una nueva vulnerabilidad que afecta a todas las versiones de Microsoft Windows (incluido Windows 7) y que podría permitir a un atacante causar una denegación de servicio o ejecutar código en modo kernel, permitiendo el robo de información o la introducción de malware en el equipo.

Este problema es debido a un error de desbordamiento de buffer en la función "CreateDIBPalette()" dentro del driver de dispositivo en modo kernel "Win32k.sys", un componente del kernel del subsistema de Windows.
Un atacante podría explotar este fallo usando "GetClipboardData", un API que obtiene los datos desde el portapapeles de Windows.

Por el momento Microsoft está estudiando este nuevo 0-day y recordemos que, mañana martes y dentro del ciclo habitual de actualizaciones, se publicarán 14 nuevos boletines de seguridad para solventar hasta un total de 34 vulnerabilidades.

Reto 6: descifra el mensaje del bebé llorón

Este año estoy dedicando muchas tardes de verano a mirar revistas, leer libros y buscar en Internet cualquier cosa relacionada con el parto y el cuidado del recién nacido. Estamos deseando que nazca nuestro bebé y para los papás primerizos todo es nuevo y está por aprender.

Sirva de ejemplo y práctica el bebé de la foto. Como veis no deja de llorar, quiere decirnos algo pero no puedo entenderlo. ¿Me ayudáis a descifrar el mensaje del bebé llorón?

Analiza la imagen y mándanos el texto oculto junto con el procedimiento seguido para obtenerlo.

¡Quién sabe, quizás serías un perfecto canguro!

Presentaciones del Black Hat 2010

Han sido unos días locos y hemos alucinado con algunas demos del Def Con 18 / Black Hat USA 2010: interceptación de llamadas GSM, hackeo de cajeros automáticos, fraude de cheques rusos, un rootkit silencioso para Android, la presentación de Chema de la nueva Foca y muchísimas, muchísimas cosas más.

Además ya es posible descargar las presentaciones del Black Hat (ayer era realmente difícil por la saturación de los servidores) así que bájatelas, siéntate en frente de tu ordenador y ¡siéntete como en Las Vegas!:

QuickTime, mentiras y cintas de vídeo

Recientemente se ha reportado un problema de seguridad en la versión 7.6.6 (y posiblemente otras versiones) de QuickTime de Apple.

Este reproductor permite que las películas puedan descargar otros ficheros y esto está siendo aprovechado por los 'ciberdelincuentes' para introducir malware en sus víctimas.

Precisamente uno de los principales ganchos utilizados para explotar esta vulnerabilidad son dos ficheros que referencian una de las últimas películas de Angelina Jolie: Salt. Cuando el usuario descarga '001 Dvdrip Salt.mov'o 'salt dvdrpi [btjunkie][xtrancex].mov' y los ejecuta no aparece ningún video, si no un aviso para descargar un falso códec o alguna actualización del reproductor.

Evidentemente si el usuario acepta la falsa actualización, QuickTime se conecta al sitio web fraudulento y descarga el malware para infectar el sistema: esto es generalmente un downloader que a su vez puede descargar un troyano u otro tipo de malware.

De momento, tener especial cuidado al abrir vídeos con QuickTime, sobretodo y en el caso de películas, aquellos videos cuyo tamaño sea menor de lo normal...

Nuevo número de Hakin9: securizando la nube

Ya podemos descargar el nuevo número (Vol.5 No.7) de la revista Hackin9.

En este mes podemos encontrar:

Habituales
En general
-Últimas noticias desde el mundo de la seguridad IT
Herramientas
-Elcomsoft iPhone Password Breaker
-Secpoint Penetrator
El experto dice...
-Robo de indentidad por radio frecuencia
Amenazas emergentes
-Monopolios de inteligencia
Informe especial
-Llegando a la nueva frontera: cómo liberar el poder de la
computación en la nube

Básico
-Prey: una nueva esperanza
-Una introducción a la ingeniería inversa: Flash, .NET

Ataque
-Web Malware - Parte 1
-Ciber guerra con DNSbotnets

Defensa
-Seguridad y privacidad en motores de búsqueda
-Seguridad en la nube: ¿Hay un cambio en el paradigma de la seguridad de la información?

Evasión IDS con Inundator

Inundator es una herramienta de evasión IDS/IPS/WAF, usada para inundar con falsos positivos los sistemas de detección de intrusiones con el objetivo de ocultar un ataque real.

Es capaz de crear paquetes o peticiones HTTP con los patrones necesarios para disparar multiples alarmas y además hacerlo de forma anónima a través de un proxy SOCKS.

A través de TOR podría generar 1.000 falsos positivos por minuto y, a través de un proxy SOCKS con mayor ancho de banda, esa cantidad podría incluso llegar a multiplicarse por 10.

Está basado en Perl, es multi-hilo, posee control de colas y soporta múltiples objetivos.

La idea es lanzarlo antes, durante y después de un verdadero ataque, aunque podría también utilizarse para testear IDS o, por qué no, para volver locos a los analistas de un departamento de seguridad IT...