Las auditorías son necesarias, al menos una cada dos años, para obtener la certificación de adecuación al ENS. Además, se deberán realizar auditorías extraordinarias cada vez que el sistema reciba modificaciones cuyo alcance modifique los requerimientos de seguridad.

Independencia del auditor

Un punto interesante y a tener en cuenta es la circunscripción explícita de las tareas de auditorías al cometido o ámbito para la que están encomendadas. Esto, impide que dentro del proceso de auditoría entren funciones de consultoría, labores de implantación o la modificación lógica de las aplicaciones del propio sistema de información auditado. Incluso cierra la puerta a la realización de la documentación exigida por el ENS o los procedimientos de actuación.

Es decir, el auditor viene a auditar. Solo eso. Se respeta así la independencia de un proceso. Por lo que, ni el auditor puede ofertar arreglar los fallos que él mismo encuentra (algo, muy cuestionable éticamente) ni por tu parte puedes exigirle que implemente las modificaciones y medidas propuestas por él en su informe. Es más, se hace explícito algo que siempre hemos defendido desde HISPASEC: no recomendar ningún producto o servicio concreto. Independencia absoluta y sin intereses.

¿Cómo se clasifican los hallazgos?

En dos. «No conformidad menor» y «No conformidad mayor». Las primeras indican fallos o controles de seguridad ausentes en uno o más requisitos del ENS. Pero ojo, dan cabida a la «duda significativa». Es decir, cuando mediante una evidencia objetiva, el auditor plantee la posibilidad de existencia de una no conformidad en los requisitos, entonces pasa a considerarse una no conformidad de lleno.

Para que nos hagamos una idea, una no conformidad podría ser no usar criptografía en dispositivos removibles (un USB) si el sistema de información posee categoría MEDIA o ALTA; siendo necesario en ésta el uso de algoritmos aprobados por el Centro Criptológico Nacional (CCN).

Resultados de la auditoría

La auditoría posee tres finales posibles: «FAVORABLE», en el cual el sistema no poseerá ninguna «no conformidad». «FAVORABLE CON NO CONFORMIDADES», en la que existen deficiencias, tanto mayores como menores. En este caso, se deberá presentar en el plazo de un mes un Plan de Acciones Correctivas sobre dichos hallazgos a la entidad certificadora. Por último, tenemos el resultado «DESFAVORABLE». En este caso, se deberá realizar una nueva auditoría extraordinaria, en el plazo de seis meses, para comprobar que se han solucionado los hallazgos encontrados por el auditor.

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

Aviso de Cisco:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2 

Rarog se empezó a vender en foros underground en junio del 2017. Su precio y su sencillez lo han hecho muy atractivo para delincuentes noveles que quieren realizar ataques de minado de criptomonedas.

Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarogalrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.

Mapa de infecciones. Fuente: paloaltonetworks.com

El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima… Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos.

A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.

Como decíamos, el troyano se puede adquirir en foros ‘underground’ por unos 6000 rublos, que al cambio equivalen a unos 85€.

Foro donde se anuncia el malware

Nos situamos en 2016. Buscando técnicas para saltar ASLR de Windows, el investigador Will Dormann, miembro del CERT, empieza a hacer pruebas incrustando ficheros OLE en el contenido de ficheros de formato de texto enriquecido (RTF). Sin embargo, la vulnerabilidad que encontró iba más allá de sus objetivos iniciales.

Desde hace tiempo, Microsoft Outlook (y la mayoría de clientes y plataformas de correo) bloquea la carga de imágenes remotas en correos HTML como medida de protección de la privacidad, concretamente para no desvelar la dirección IP. Para cargarlas, pide interacción del usuario.

Sin embargo, al enviar correos RTF con objetos OLE remotos incrustados, Dormann comprobó que se carga el contenido automáticamente y sin pedir ninguna autorización cuando estos objetos están alojados en un servidor SMB. Es más, esta carga no se realiza al abrir el correo, sino simplemente previsualizándolo.

A diferencia de los correos HTML, que revelarían únicamente nuestra dirección IP, al iniciar una  conexión SMB estaríamos enviando al servidor remoto mucha más (y más crítica) información del sistema:

• Dirección IP.
• Nombre de dominio.
• Nombre de usuario.
• Nombre del equipo.
• Clave de sesión SMB.

Parece casi una broma, como así evidencia la web creada para la ocasión (holeybeep.ninja) con un gran sentido del humor, pero fallos como estos no hacen más que demostrar la falta de auditoría de código, más en casos como estos en los que el programa hace uso del bit ‘SUID’.

El bit ‘SUID’, permite la ejecución de un programa como otro usuario (el creador del ejecutable) para así poder realizar operaciones que normalmente no podría realizar el usuario que emplea el programa. Un ejemplo clásico es el comando ‘passwd’: este  programa requiere modificar el archivo protegido del sistema (‘/etc/shadow’) donde se almacenan las contraseñas de los usuarios, pero un usuario común requiere poder cambiar su propia contraseña (pero no la del resto de usuarios). En este caso, el programa ‘passwd’se ejecuta como root a pesar de emplearse por un usuario sin permisos, y es el programa el encargado de asegurar que el usuario no pueda realizar acciones que pongan el sistema en riesgo.

En el caso que nos ocupa, el programa Beep, que hace uso del bit ‘SUID’ para ejecutarse como root por un usuario común, llevaba varios años sin actualizarse. Cualquiera pensaría que un programa de este tipo, de tan solo 375 líneas de código y tantos años a sus espaldas (la versión 1.2.2 es de 2002) no contaría con vulnerabilidades, lo que ha quedado patente que no es así. La vulnerabilidad (CVE-2018-0492) es provocada por un efecto carrera que permitiría escribir a un archivo protegido tal y como se explica en Pirhack’s Blog, y así escalar privilegios.

La vulnerabilidad, de la que ya hay un ejemplo de explotación, aprovecha que la función ‘handle_signal‘ del programa es un signal (permitiendo su ejecución en cualquier momento), para así ejecutarse manteniendo el valor anterior de la variable ‘console_type‘, y el nuevo de la variable ‘console_fd‘, y así poder escribir a cualquier archivo.

Por suerte el programa no se encuentra instalado de serie en distribuciones como Debian, aunque sí es un paquete conocido y utilizado por scripts. Aunque las vulnerabilidades para escalado de permisos son comunes, los ejecutables que hacen uso del bit ‘SUID’ deberían ser los primeros en ser analizados en busca de este tipo de errores.

El jueves de la pasada semana el CEO de la empresa de seguridad Darktrace, Nicole Eagan, que asistía al evento WSJ CEO Council Conference en Londres, contó ante los asistentes un escenario que cada día está tomando mayor repercusión: acceder a un sistema informático a través de un dispositivo IOT.

Perl es un popular lenguaje de programación creado en 1987 por Larry Wall. Es un lenguaje polifacético y usado en multitud de entornos y plataformas.

Foxit Reader es una herramienta dedicada al formato de archivos PDF, que puede ver, crear, editar, imprimir y firmar digitalmente. Bajo el modelo de características base gratuitas y servicios adicionales de pago conocido como ‘freemium’, esta aplicación está desarrollada por Foxit Software, una compañía localizada en Fremont, California. Las primeras versiones de Foxit Reader se hicieron famosas por ser rápidas y livianas.

Esta vez, Foxit Reader es noticia por presentar una vulnerabilidad poco común, que tiene su origen en un fallo de programación a la hora de especificar las DLL’s a cargar por el programa. La vulnerabilidad concreta es conocida como ‘Unsafe DLL loading’, y consiste en que es posible engañar al programa para que cargue una DLL diferente a la original. Debido a que por defecto las DLL’s al ser cargadas ejecutan un método encargado de inicializar recursos que necesite la DLL (llamado ‘DllMain’), esto es equivalente a ejecución de código arbitrario, si bien las condiciones están ciertamente restringidas.

Generalmente, en Windows la carga de DLL’s funciona buscando la librería en distintas rutas, siguiendo el siguiente orden (en Windows XP, en versiones modernas varía ligeramente):

1. Donde reside el ejecutable
2. El directorio actual (no es lo mismo que el primer punto)
3. El de sistema (típicamente ‘C:\Windows\System32\’)
4. Otro de sistema, pero el de 16 bits (‘C:\Windows\System\’)
5. El directorio de Windows (‘C:\Windows\’)
6. Los directorios especificados en la variable de entorno ‘PATH’

Una nueva vulnerabilidad descubierta en la popular funcionalidad de ‘Autocompletar’ o ‘Auto fill’ que puede permitir el robo de datos por parte de terceros.

Esta funcionalidad proporciona que otros sitios web puedan permitir que los usuarios de LinkedIn puedan completar rápidamente los datos del perfil, incluyendo información sensible como nombre completo, número de teléfono. dirección de correo electrónico, código postal, empresa…etc en un solo clic.

Recientemente el investigador de seguridad Jack Cable de ‘Lightning Security’descubrió que podía no ser así.

Descubrió que esta funcionalidad estaba plagadas de vulnerabilidades que permitiría a cualquier sitio web obtener los datos del perfil del usuario sin que el usuario se diera cuenta.

Un atacante puede hacer que la funcionalidad autocompletar en su sitio web cambiando algunas propiedades como la de extender esta funcionalidad a través de todo el sitio web para posteriormente hacerlo invisible, en el momento en el que el usuario haga click en cualquier parte de la web desencadenaría la ejecución de esta función y el envío de los datos albergados en la funcionalidad. Por pasos sería de la siguiente manera:

• El usuario visita el sitio web malicioso, que carga el ‘iframe’ del autocompletar de LinkedIn.
• El ‘iframe’ ocupa toda la página web y es invisible al usuario.
• El usuario hace clic en cualquier parte de la web.
• Los datos son enviados un sitio web malicioso.

«We immediately prevented unauthorized use of this feature, once we were made aware of the issue. We are now pushing another fix that will address potential additional abuse cases, and it will be in place shortly,» the company said in a statement. 

Cada día vemos nuevas técnicas de ataque hacia el usuario, una de ellas es hacer pasar extensiones maliciosas como verdaderas, incluso llegando a colgarlas en markets oficiales. Y como no podría ser menos no se libra AdBlock,  el famoso complemento para diversos navegadores que bloquea la publicidad de los sitios web que visitamos.

El peligro de estas aplicaciones es que se posicionan en lo más alto en el market mediante el uso de palabras claves, siendo suficiente para ganarse la confianza de los usuarios.

Esto ha quedado demostrado en un reciente estudio del investigador de seguridad Andrey Meshkov, que ha publicado una lista de cinco extensiones de AdBlock falsas. Estas  contenían código malicioso que permitían el control total del navegador, y acceder a toda la información disponible.

Adblock falsos

Este investigador informó a Google de sus hallazgos y se han eliminado todas las extensiones referentes a bloqueadores de anuncios que tenían presencia de código malicioso. La lista de complementos era la siguiente:

• AdRemover para Google Chrome ™ (10 millones + usuarios)
• uBlock Plus (8 millones + usuarios)
• [Fake] Adblock Pro (2 millones + usuarios)
• HD para YouTube ™ (400,000+ usuarios)
• Webutation (más de 30,000 usuarios)

Internet Explorer todavía no está muerto. Microsoft Edge es el sucesor, y de hecho es el navegador predeterminado ya en Windows 10. Pero tal y como reza Microsoft en su página oficial, si todavía usas ActiveX (simplificando, esa tecnología muerta usada para ampliar la funcionalidad de Internet Explorer) porque las aplicaciones web en tu empresa lo usan, debes usar Internet Explorer, ya que Edge ya no soporta ActiveX.

Y como sigue vivo, los exploiters siguen dedicando esfuerzos a buscarle las cosquillas al viejo navegador. En este caso, ha sido hyp3rlinx quien se las ha encontrado, creando una página web especialmente diseñada que fuerza al proceso de Internet Explorer a realizar una acción inválida y provoca que el sistema operativo fuerce su cierre. Específicamente, el fallo se produce cuando Internet Explorer se encuentra con una etiqueta HTML ‘a’ con el atributo ‘href’ apuntando a un valor como ‘.exe’. Básicamente, que contenga únicamente una de ciertas extensiones de archivos precedida con un punto, siendo estas extensiones al menos ‘exe’, ‘com’, ‘pif’, ‘bat’ y ‘scr’.

Tal y como el autor reporta la vulnerabilidad, especificando una versión muy concreta (Microsoft Internet Explorer 11.371.16299.0 para Windows 10) sin mencionar rangos, es posible que sea un fallo para esa versión específica. Desde Hispasec hemos podido comprobar que no afecta a la versión de Internet Explorer que viene por defecto con una de las primeras versiones de Windows 10. El impacto de esta vulnerabilidad es fácil de entender: cualquier usuario que visite una página web en la que el atacante pueda insertar un enlace puede terminar con el navegador cerrado.

A la fecha de escritura de este artículo, esta vulnerabilidad no tiene identificador CVE ni ha sido reconocida por Microsoft.

Más información:

El investigador Marius Tivadar, de Bitdefender, ha publicado una prueba de concepto de una técnica que provoca la aparición de la «pantalla azul de la muerte» (en resumidas cuentas, Denegación de Servicio) en sistemas de escritorio Windows.

Tivadar aprovecha un fallo al cargar sistemas de ficheros NTFS. Mediante el cambio de nombre de directorio raíz y la variable ‘INDEX_ALLOCATION’ en varias localizaciones de una imagen NTFS provoca la creación de una estructura FCB (‘File Control Block‘) que contiene un puntero nulo. Éste, al ser accedido por la función ‘NtfsFindExistingLcb()’, produce una excepción.

El fallo ha sido probado en sistemas Windows 7 Enterprise y 10 en sus versiones Enterprise y Pro, y puede ser explotado por cualquier atacante con acceso físico a la máquina sin importar el nivel de cuenta del usuario ejecutando el sistema operativo.

Además, al estar activada la función Auto-play por defecto, el sistema es afectado automáticamente al insertar el lápiz de memoria. En caso de estar desactivado Auto-play, el sistema quedará bloqueado en el primer acceso a la imagen NTFS modificada, por ejemplo al analizar la memoria con Windows Defender.

La técnica funciona también cuando el sistema se encuentra en modo Bloqueo, por lo que un atacante puede aprovechar un momento de despiste para insertar el lápiz de memoria sin ser visto.

Tivadar expresa su preocupación por este ultimo comportamiento en la documentación de la prueba de concepto:

Creo firmemente que este comportamiento debería cambiarse, dado que ningún lápiz USB o volumen debe montarse cuando el sistema está bloqueado. (…) Pienso en esto como código que se ejecuta sin el consentimiento del usuario. Si este tipo de ataque fuera explotable, y un atacante pudiera cargar malware incluso si un sistema está bloqueado, se podrían abrir miles de múltiples escenarios.

Cabe decir que esta vulnerabilidad fue descubierta en julio del 2017, pero los intentos del investigador para realizar una revelación responsable han sido infructuosos, ya que desde Microsoft han argumentado que el requisito de acceso físico o ingeniería social hace que la vulnerabilidad no sea considerada para lanzar un parche de seguridad. Sin embargo, el descubridor expresa sus dudas, ya que una imagen manipulada, descargada por un malware, podría disparar el fallo.

La prueba de concepto se ha publicado en Github junto con su documentación y varios vídeos demostrativos en la cuenta de Google Fotos de Tivadar.