, 23 octubre 2014 | Imprime

En Seguridad se utiliza habitualmente el símil de la cadena y el eslabón más débil; ese que dice que la fortaleza de una cadena reside en el eslabón más débil, de forma que por mucha seguridad que se implante en algunos de los sistemas de la infraestructura, todo se puede venir abajo si en algún sistema no se tiene la precaución de seguir las mínimas medidas de seguridad. Resulta que aquel sistema que se encuentra olvidado o se cree que no es importante y en el que no se cumple con las mismas políticas de seguridad puede convertirse en la puerta de entrada para un atacante a toda vuestra infraestructura.

Esta situación ocurre más a menudo de lo que pensamos, especialmente en infraestructuras medianas o grandes, donde siempre hay algún sistema que en su momento fue una prueba, o se trata de un sistema poco utilizado que quien lo administra ya no se encuentra en la organización…

Por muchos motivos un sistema puede quedar desactualizado y olvidado. También puede ocurrir que por los mismos motivos, no se cumpla con la política de seguridad de la organización (si es que se tiene alguna) y no se sigan las recomendaciones de seguridad porque “ya las aplicaremos cuando el sistema pase a producción…” contando con sistemas con credenciales por defecto o contraseñas débiles y fáciles de adivinar con ataques de diccionario. En ocasiones las credenciales de administración no se incluyen en las políticas de claves generales, son compartidas por todo el equipo de Sistemas y son más fáciles de adivinar de lo que se piensa.

No me gusta esta entradaMe gusta esta entrada (+1 rating, 1 votes)
Loading ... Loading ...






, 21 octubre 2014 | Imprime

Si recordamos el último post (primera parte y segunda parte), teníamos un PDF malicioso del que queríamos extraer el shellcode. Tenemos el JavaScript pero no parece que esté completo, por lo que tenemos que seguir analizando el código.

Vamos a fijarnos en este código nativo de Adobe:

hCS(sRi(xfa.resolveNode("Image10").rawValue));

Si miramos la referencia de JavaScript de Adobe, la función xfa.resolve permite el acceso a objetos. Y con el método rawValue le estás pidiendo al valor tal cual en bruto de esa variable. Esto… ¿no habíamos dicho que las imágenes no servían para nada?

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...






, 16 octubre 2014 | Imprime

Lo prometido es deuda. Nunca publicamos dos posts el mismo día, pero tampoco se publican dos 0-day el mismo día.

En este caso, se trata de una vulnerabilidad crítica en SSLv3 (Secure Sockets Layer) que ha sido descubierta por el equipo de seguridad de Google y bautizada con el nombre de Poodle: Padding Oracle On Downgraded Legacy Encryption. No nos los pregunten. No sabemos si les gustó “Poodle” y buscaron una frase que le pegase, o salió así juntando las siglas. Este protocolo, que tiene más de 15 años y está ya obsoleto, solía utilizarse para securizar las comunicaciones SSL y fue reemplazado por TLS. Sin embargo, y aquí viene la gracia, por cuestiones de retrocompatibilidad la opción de hacer uso del SSL sigue estando disponible.

¿En qué consiste el ataque? Un hacker que consigue interceptar el tráfico enviado en SSL 3.0 entre un cliente y un servidor (por ejemplo, a través de un ataque de tipo MitM por ejemplo o gracias a un punto de acceso Wi-Fi malicioso), podría lograr descifrar y recuperar información crítica como las cookies de sesión.

No me gusta esta entradaMe gusta esta entrada (+2 rating, 2 votes)
Loading ... Loading ...






, 16 octubre 2014 | Imprime

(N.D.E. Primero vamos con Sandworm. En un rato, les hablamos de POODLE)

Se acumulan las malas noticias para los expertos en seguridad (y al final, para todos los administradores de sistemas). Ayer, la compañía de seguridad Isight Partners publicaba un informe en que destapaba a grupo de ciberespionaje ruso denominado “Sandworm Team” [PDF] (también llamado Quedach por F-Secure), que llevaba desde 2009 atacando a objetivos de interés en Ucrania y Europa del Este.

La noticia fundamental (más allá de la atribución rusa, que hasta disponer de más detalles es más bien difusa y hace sospechar a los paranoicos) es el uso de este grupo de un nuevo 0-day que afecta a ficheros de Office y para el que, hasta hoy, no había parche.

La vulnerabilidad (CVE-2014-4114), que afecta a Windows Vista en adelante (incluidas las versiones de servidor), explotaba la capacidad de Office de incluir ficheros OLE (Object Linking and Embedding) de localizaciones externas. Todo empezaba con un correo electrónico (un ataque de spear-phishing en el que se adjuntaba un fichero .ppsx ppsx (un fichero de Powerpoint que al abrirlo se pone automáticamente en modo presentación, lo único diferente a un .pptx standard).

No me gusta esta entradaMe gusta esta entrada (+8 rating, 8 votes)
Loading ... Loading ...






, 14 octubre 2014 | Imprime

Leyendo noticias sobre actualidad TIC he encontrado tres artículos que me han llamado la atención y me han hecho pensar sobre el futuro próximo de nuestras redes sociales (y casi de nuestra vida, por extensión). Vamos a comentarlos brevemente.

Todos los que utilizamos las redes sociales de manera habitual, por no decir cada día, somos conscientes de que estamos compartiendo y publicando parte de nuestra información privada. Cada cual puede elegir la cantidad y el tipo de información que publica y hasta cierto punto, quién tiene acceso (a priori) a ésta. Sin embargo, debemos recordar que además de la gente con la que nosotros decidimos compartir nuestra información, también están los sistemas y algoritmos de la propia red social. Que incorporan más inteligencia, asociación de datos y correlación de información de la que podamos pensar e imaginar. Más, mucha más.

No me gusta esta entradaMe gusta esta entrada (+6 rating, 6 votes)
Loading ... Loading ...






, 13 octubre 2014 | Imprime

Hace unos días, a través de la cuenta de Twitter de @securityartwork lanzamos la iniciativa de intentar recopilar un listado de novelas o relatos relacionados con el mundo de la ciberseguridad, pidiendo a sus seguidores que hiciesen sus recomendaciones literarias twiteando con el hashtag #novelaseguridad.

El recopilatorio resultó de lo más interesante:

No me gusta esta entradaMe gusta esta entrada (+4 rating, 6 votes)
Loading ... Loading ...






, 8 octubre 2014 | Imprime

Resumiendo el artículo anterior: tenemos un PDF malicioso que explota la vulnerabilidad CVE-2013-2729, con un código JavaScript ofuscado del que queremos extraer el dominio contra el que se conecta. ¡Manos a la obra!

Si limpiamos las 3 imágenes y el código propio del objeto PDF, el resultado es un fichero de 180 líneas de JavaScript con 4 scripts, 4 funciones y 49 variables. Lo primero que tenemos que hacer es “arreglar” el código ya que los símbolos de “<>&” están codificados como “&lt;&gt;&amp;”
respectivamente.

No me gusta esta entradaMe gusta esta entrada (+8 rating, 8 votes)
Loading ... Loading ...






, 6 octubre 2014 | Imprime

En esta tercera parte de la serie sobre el firewall perimetral PFSense vamos a ver las configuraciones avanzadas del sistema. Para nos que no han seguido la serie, aquí tienen la primera entrada y la segunda.

La manera más habitual de acceder a estas configuraciones es a través del navegador. Es importante que al acceder al navegador lo hagamos de manera segura (por https), para ello ya existe un certificado creado por defecto en nuestro pfsense, pero es recomendable que nos creemos uno nosotros, para ello se accede al siguiente bloque:

No me gusta esta entradaMe gusta esta entrada (+3 rating, 3 votes)
Loading ... Loading ...






, 2 octubre 2014 | Imprime

Hace algunas semanas el equipo de Bluebox hizo pública una vulnerabilidad en la verificación de las firmas que permite falsear la autenticidad de una aplicación Android. Cuando instalamos una aplicación, a no ser que hayamos modificado manualmente las preferencias de verificación de aplicaciones, Android comprueba que las aplicaciones hayan sido firmadas digitalmente por una entidad de confianza y en esto basa su sistema de seguridad.

Lo que supone esta vulnerabilidad, conocida como ‘Fake ID’ y que afecta a terminales con Android desde su versión 2.1 a la versión 4.3 (Google solucionó el problema en Kit Kat, Android 4.4), es que se puede coger una aplicación legítima, cuyo funcionamiento requiera, por ejemplo, tener acceso a los servicios de ĺocalización, añadirle código malintencionado que provoque el envío de esta información al atacante y que todo esto sea transparente para el usuario. Pueden ver los detalles técnicos en cualquiera de los enlaces o en multitud de información presente en Internet.

No me gusta esta entradaMe gusta esta entrada (+10 rating, 10 votes)
Loading ... Loading ...






, 30 septiembre 2014 | Imprime

Como dice Toni Villalón, los malos no tienen vacaciones… así que los que trabajamos en respuesta ante incidentes tampoco. Hace unos días una de nuestras usuarias creó un ticket con un correo que le parecía malicioso (una muestra más de que la concienciación en seguridad cuesta de realizar, pero que a largo plazo termina rindiendo beneficios).

La usuaria nos mandó un fichero con extensión .msg (el resultado de “Guardar Como…” en Outlook). Para abrirlo en Ubuntu lo más sencillo es emplear el script en Perl msgconvert.pl, que nos lo convierte a MIME (un formato mucho más estándar y manejable).

No me gusta esta entradaMe gusta esta entrada (+10 rating, 10 votes)
Loading ... Loading ...