Noticias de Seguridad Mayo 2019

1 May Ricardo Marche Noticias

Hacker revela cuatro 0-days de Microsoft en menos de un día.

Tras hacer pública una vulnerabilidad en Windows 10, la investigadora conocida por el alias «SandboxEscaper» ha liberado más exploits para vulnerabilidades aun sin parchear.

  • Vulnerabilidad AngryPolarBearBug2

Esta vulnerabilidad reside en el servicio de reporte de errores de Windows y puede ser explotada usando una operación en la DACL (lista de control de acceso discreccional). Este mecanismo permite o deniega permisos de acceso a un determinado objeto.

En una explotación satisfactoria, un atacante podría editar o borrar cualquier fichero de windows.

Bautizada como AngryPolarBearBug2 por la hacker, esta vulnerabilidad es sucesora de de otra descubierta por la investigadora a finales del pasado año (AngryPolarBearBug).

Sin embargo, según SandboxEscaper, esta vulnerabilidad no es trivial explotarla y puede tomar mas de quince minutos en dispararse, ya que la ventana de tiempo en la que el bug puede ser aprovechado es muy pequeña.

  • Internet Explorer 11 Sandbox Bypass

La segunda vulnerabilidad publicada ayer por la investigadora SandboxEscaper afecta a Internet Explorer 11.

Aunque el README del exploit no contiene ningún detalle sobre esta vulnerabilidad, un video subido por la investigadora muestra como el bug existe debido a un error del navegador a la hora de manejar una DLL maliciosa.

Esto permitiría a un atacante saltarse el sandbox del navegador y ejecutar código arbitrario con permisos de integridad medios.

A pesar de que las vulnerabilidades publicadas no son críticas, es de esperar que Microsoft libere actualizaciones el próximo 11 de Junio.

SandboxEscaper (¿Thomas Vanhoutte?) tiene un amplio historial de liberar pruebas de concepto perfectamente funcionales para el sistema operativo Windows. El pasado agosto publicó otra vulnerabilidad en el programador de tareas de Windows en su cuenta de twitter, que fue bastante aprovechada por los hackers en su momento.

Podemos esperar mas exploits en los próximos días, pues la investigadora ha prometido hacerlos públicos.

Más información

Zero-Day: Internet Explorer 11 Sandbox Bypass
https://www.youtube.com/watch?v=vgDt4CrmoRI

Github angrypolarbearbug2
https://github.com/SandboxEscaper/polarbearrepo/tree/master/angrypolarbearbug2

Giuthub sandboxescape
https://github.com/SandboxEscaper/polarbearrepo/tree/master/sandboxescape

Filtrados datos de 4,5M de visitantes de la web de La Alhambra

En la filtración pueden encontrarse números de teléfono, DNI, emails, contraseñas en texto plano, cuentas corrientes y más información sensible.

El grupo español La 9 de Anonymous ha revelado una brecha de seguridad en la web de reservas de La Alhambra de Granada, monumento ubicado en la comunidad de Andalucía y visitado por millones de usuarios al año. No es necesario haber reservado a través de la web para verse expuesto, ya que la misma es utilizada por múltiples agencias de reservas.

La vulnerabilidad, al menos presente desde 2017, consistía en una inyección SQL de manual, que según ha podido confirmar Teknautas se trataría de un fallo de fácil explotación, y probablemente detectable usando herramientas accesibles por todo el mundo con SQLMap y sin demasiados conocimientos de seguridad. Además, la explotación resultaba mucho más sencilla debido a que el servidor no contaba con WAF.

La filtración incluye los datos de 4,5 millones de visitantes, abarcando número de teléfono, DNI, correo electrónico, dirección postal, edad y sexo, entre otros datos. Esta parte de la filtración no incluye contraseñas, al no usar la web login para los visitantes.

La que sí incluye contraseñas es la filtración de los datos de agencias de viajes. Cerca de 1000 agencias han visto sus datos expuestos, incluyendo contraseñas en texto plano, una clara negligencia penable por la Ley de Protección de Datos. Por si fuese poco, también se almacenaban las cuentas corrientes con su IBAN.

Hiberus, la empresa responsable del software comprometido, ha lanzado una nota de prensa intentando quitar gravedad a los hechos. En ella se afirma que se trataría de un «ataque informático profesional y organizado», y ha añadido en un comunicado enviado a El Confidencial que, «a fecha de hoy, cualquier incidente que haya podido ocurrir está resuelto y correctamente gestionado». Sin embargo, hay otras webs del mismo grupo que aún no han corregido el error.

Bien es cierto que otras webs que usan este mismo software, como pueden ser las de los museos de El Prado o el Thyssen, cuentan desde hace tiempo con una versión actualizada que corrige este error. Sin embargo, no se han preocupado de actualizar otras webs más pequeñas, o la de La Alhambra, como se ha revelado con esta filtración.

Tras lo sucedido, queda patente la necesidad de realizar auditorías antes del lanzamiento de una aplicación de este tipo. Porque errores tan graves como almacenar en texto plano las contraseñas, o las cuentas corrientes en la misma base de datos, son fáciles de detectar y solucionar.

Fuente:
Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto:
https://www.elconfidencial.com/tecnologia/2019-05-22/alhambra-hiberus-sicomoro-patronato-generalife-junta-andalucia_2013846/

Reducida la complejidad del hash SHA-1

Hace 2 años Google ponía encima de la mesa el reloj de vida del cifrado SHA-1 demostrando su debilidad mediante un ataque por colisión (Entendemos colisión por dos flujos de datos distintos que comparten un mismo hash).

La semana pasada, mediante el estudio del ataque por colisión con prefijo elegido, se consiguió bajar aun más la complejidad que, en estos momentos, oscila entre 2^66,9 y 2^69,4. Para tener un baremo sobre el que trabajar, en 1995 se calculó que harían falta 2^80 combinaciones de media para llevar a cabo un ataque por fuerza bruta que buscase colisiones en prefijos idénticos, lo que sería muy laborioso, computacionalmente hablando, y menos práctico para un atacante ya que es el propio algoritmo el que decide los mensajes donde se encuentra la colisión.

Esta nueva técnica permite llevar a cabo ataques por colisión con unas premisas personalizadas, dejando atrás las colisiones «accidentales», lo que abre una nueva puerta a los atacantes para que puedan tener el control de los archivos que deseen duplicar o crear. Esto significa que un atacante podría falsificar cualquier fichero cifrado mediante SHA-1.

Cabe destacar que en 2005 se rompió el algoritmo SHA-1 de forma teórica y en 2017, académicos de Google, consiguieron el primer ataque de colisión SHA-1 exitoso del mundo, conocido como «SHAttered». Esta hazaña costó 110.000$.

Después de eso, tan solo 2 años más tarde, un equipo de investigadores de Francia y Singapur, apoyándose en el estudio de SHAttered, dio una nueva vuelta de tuerca al asunto y demostró de forma teórica un ataque por colisión con el prefijo elegido. Todo esto está recogido en este documento titulado: «Desde las colisiones a las colisiones con prefijo elegido en SHA-1«.

Es posible que pronto se vean los primeros ataques prácticos de colisión de prefijos elegidos en SHA-1, como pasó con MD5.

Más información:

Qué ha pasado con SHA-1 y el nuevo ataque. Una explicación sencilla
https://empresas.blogthinkbig.com/nuevo-ataque-sha-1-explicacion/

SHA-1 ha muerto, ataque de colisión con prefijo elegido
https://blog.segu-info.com.ar/2019/05/sha-1-ha-muerto-ataque-de-colision-con.html

Publicado exploit para vulnerabilidad no parcheada en Windows 10

Un investigador de seguridad ha publicado un exploit a modo de prueba de concepto para una vulnerabilidad no parcheada en Windows 10.

‘SandboxEscaper’, un investigador anónimo que ha hecho públicas varias vulnerabilidades de seguridad para Windows en los últimos meses (como esta que ya os contamos en Una Al Día), publicó ayer una prueba de concepto para una nueva vulnerabilidad de Windows 10.

Como es habitual en las publicaciones de este investigador, aún no existe ningún parche de seguridad que solucione el fallo, por lo que se recomienda extremar las precauciones al ejecutar ficheros descargados de Internet mientras se lanza el parche de seguridad.

La vulnerabilidad permite elevar privilegios en el sistema, de manera que puede ser utilizada por un atacante o malware que ya tenga acceso al sistema para obtener privilegios de sistema.

La prueba de concepto publicada hace uso de la función ‘SchRpcRegisterTask’, una función del programador de tareas de Windows para programar nuevas tareas en el sistema. El problema se encuentra en el chequeo de permisos, que no se realiza correctamente y permite configurar unos permisos arbitrarios para la tarea.

Fallo en el sistema de seguridad de Google, Titan

Google ha confirmado la existencia de un problema de seguridad en sus llaves de seguridad Titan.

Titan es un sistemas de seguridad que se compone de 2 llaves, una contiene una conexión USB y otra un dispositivo bluetooth el cual permite dar al usuario una doble autenticación a la hora de iniciar sesión en los servicios del gigante. El dispositivo USB daría cobertura ante un inicio de sesión en ordenadores convencionales, y el dispositivo bluetooth daría cobertura al inicio de sesión en dispositivos móviles. En pocas palabras, es un sistema similar a la doble autenticación o autenticación en 2 pasos.

El fallo reportado existe solo en la llave bluetooth y es debido a un fallo en la configuración de emparejamiento en le dispositivo bluetooth, por lo tanto la llave USB no se ve afectada por la vulnerabilidad.

Con esta vulnerabilidad, un atacante con los conocimientos adecuados podría sincronizarse con la llave bluetooth en el momento del inicio de sesión de la víctima (momento en el que la víctima aprieta el botón) y saltarse esta doble autenticación.

Inmediatamente Google se ha puesto en contacto con los usuarios que tengan una versión de Titan vulnerable alertando de la utilización de la llave bluetooth hasta que Google reemplace dicha llave por otra con la vulnerabilidad corregida. Para saber si una llave es vulnerable, tan solo hay que mirar si en la parte trasera contiene el texto ‘T1’ o ‘T2’, si es así, la llave sería vulnerable.

A pesar de esta vulnerabilidad y de los efectos que podría causar si una cuenta se viese comprometida, Google intenta tranquilizar a los usuarios basándose en la complejidad para realizar el ataque con éxito, ya que el atacante debería de cumplir 3 requisitos.:

  • Tener amplios conocimiento sobre la materia.
  • Estar a unos 10 metros de distancia en el momento en que al víctima realiza esta doble autenticación.
  • Conocer el usuario y contraseña de la víctima.

Actualmente el dispositivo de seguridad Titan solo está disponible en EEUU y está en duda la expansión de este dispositivo a otras partes del mundo.

Más información:

Google Security Blog
https://security.googleblog.com/2019/05/titan-keys-update.html

Google presentará mejoras de privacidad para las cookies y su navegador.

Google anunció recientemente su intención de introducir al menos dos nuevas características relacionadas con la privacidad y la seguridad de los usuarios que serán implementadas en las próximas versiones de su popular navegador, Google Chrome.

La finalidad es facilitar un aumento del control, por parte del usuario, del seguimiento web que se le realiza a través de las cookies y a través de su navegador. Para ello, nos adelanta dos nuevas características para configurar la experiencia de navegación. En primer lugar, una versión mejorada de la cabecera SameSite en las cookies. Por otro lado, una suerte de protección contra la detección de huellas (Fingerprinting). Así mismo, parece ser que ambas características entrarán en pruebas a finales de este año.

Las cookies, como es conocido, son pequeños archivos de información que se almacenan localmente en las máquinas de los usuarios y que tienen por objeto facilitar un seguimiento de sus preferencias o hábitos en aras de ofrecer una experiencia personalizada. Son creadas por el navegador para, por ejemplo, recordar tu nombre de usuario, tu lenguaje preferido, o medir ciertos hábitos de navegación.

Sin embargo, las cookies son también el principal mecanismo para recibir contenidos comerciales específicos y altamente segmentados, afectando así directamente a la privacidad del usuario, en la medida en que se utilizan sus hábitos de uso para elaborar un perfil comercial sobre el cual el usuario carece de control, con la intención de adscribirlo a determinados segmentos comerciales y recibir publicidad o influir en su experiencia de navegación de múltiples modos.

Siendo consciente de esto, Google ha afirmado que su intención es mejorar el modo en que funcionan las cookies cross-site para que, si el usuario lo desea, pueda controlar y distinguir de una manera más precisa aquellas cookies encargadas exclusivamente de almacenar sus preferencias básicas, como el idioma preferido, de aquellas cookies de terceros que poseen fundamentalmente un carácter comercial, no siempre autorizado.

En una extensa publicación, Google explica nuevos mecanismos que los desarrolladores web deberán seguir en los próximos meses para poder especificar, de una manera explícita, cuáles de sus cookies podrían ser utilizadas para realizar un seguimiento sobre los usuarios. De este modo, basándose en la actual construcción de la característica SameSite de las cookies, los desarrolladores tendrán la opción de establecer de un modo transparente el comportamiento de la cookie con las etiquetas Strict, Lax o None.

Según Google , estas características podrían tener un impacto positivo en la mitigación de ataques CSRF y Cross Site Scripting.

En cuanto al fingerprinting, se trata de una técnica ampliamente establecida que permite, mediante el estudio del comportamiento durante la comunicación de los distintos navegadores con multitud de dispositivos, establecer suficientes regularidades como para posibilitar un seguimiento de cada dispositivo, sin ningún tipo de control por parte del usuario final.

Para evitar esto, resulta fundamental restringir los modos en que los dispositivos pueden ser escaneados, aunque se se utilicen medios pasivos o no intrusivos, dado que es un procedimiento opaco y ajeno a la voluntad del usuario.

Sin embargo, Google también reconoce que estas características posibilitan usos que van más allá del simple seguimiento comercial o intrusivo de los usuarios y que, por ende, habrá que encontrar la manera de compatibilizar el respeto a la privacidad del usuario con los aportes útiles que poseen también estas características.

Más información:

https://web.dev/samesite-cookies-explained

https://thehackernews.com/2019/05/chrome-samesite-cookies.html

eyeDisk: el pendrive ‘que no se puede hackear’ vulnerable

3.png

eyeDisk es un proyecto gestado en la plataforma de financiación colectiva Kickstarter que se presenta como una unidad USB de almacenamiento seguro para la privacidad y los datos al utilizar un sistema de identificación biométrica para permitir el acceso al contenido únicamente al propietario. Para ello el contenido se encuentra cifrado mediante el algoritmo AES de 256 bits usando el patrón del iris del usuario. El fabricante afirma que es imposible recuperar o duplicar el contenido almacenado en eyeDisk incluso aunque se pierda el dispositivo o un tercero disponga del patrón del iris.

El investigador de seguridad David Lodge de Pen Test Partners, ha analizado una de estas unidades de almacenamiento y ha determinado que el nivel de seguridad implementado en eyeDisk tiene puntos débiles.

Si bien es verdad que eyeDisk se mostró inflexible a los intentos de engaño mediante fotografías o patrones de iris similares (como el del hijo del investigador) y en ningún caso se desbloqueó, también se descubrió que haciendo un uso normal del dispositivo, cuando el reconocimiento biométrico falla, una contraseña de respaldo es suficiente para acceder al contenido.

Examinando el software se determinó que el contenido de EyeDisk se desbloquea cuando el elemento autenticador del dispositivo envía una contraseña al software de control. Mediante el uso de Wireshark para analizar los paquetes de esta comunicación en tiempo real, el investigador descubrió que dicha contraseña se envía en texto plano y que, tanto si el proceso de autenticación es fallido como exitoso, el paquete enviado es el mismo.

Según las palabras de David Lodge, esto revela que el software recopila la contraseña primero desde el dispositivo, y posteriormente valida la contraseña ingresada por el usuario antes de enviar (o no) la contraseña de desbloqueo. Por lo tanto, es posible obtener la contraseña / hash, en texto claro, simplemente capturando el tráfico USB.

Pen Test Partners se puso en contacto con el equipo desarrollador de eyeDisk el pasado 4 de abril para proporcionar todos los detalles del análisis realizado y los problemas de seguridad descubiertos. Unos días después, el 9 de abril, eyeDisk confirmó que solucionaría el problema aunque sin especificar fecha.

Desde entonces el equipo de seguridad ha intentado comunicarse en varias ocasiones con el equipo de desarrollo de eyeDisk para indagar sobre el estado de la corrección e informar de sus intenciones de publicar el análisis en el plazo de un mes. Así, tras no recibir respuesta, han decidido divulgar los resultados de la investigación.

Mas info:
‘Unhackable’ eyeDisk flash drive exposes passwords in clear text
https://www.zdnet.com/article/unhackable-biometric-drive-exposed-passwords-in-clear-text/

eyeDisk, Unhackable USB Flash Drive
https://www.kickstarter.com/projects/eyedisk/eyedisk-unhackable-usb-flash-drive

eyeDisk
http://eyedisk.cn/

UAD 360 – Comienza la cuenta atrás

Después de 20 años en los que Una al día ha acompañado a los amantes de la ciberseguridad, estamos a un mes de que el sueño se haga realidad.

Los próximos días 7 y 8 de junio se celebrará en el Campus de Teatinos de la UMA, el 1º congreso de ciberseguridad, UAD360. El sitio elegido ha sido Málaga, ciudad que vio nacer a Una al día y, que con los años se está posicionando como un polo de ciberseguridad en el que empresas de todo el mundo están eligiendo como ciudad para implantarse.

El evento ha sido promovido por Una al día y organizado por la Universidad de Málaga e Hispasec. Además el evento contará con el patrocinio de la empresa Buguroo, la colaboración de Extenda y el apoyo institucional de Incibe.

Serán dos intensos días divididos en un primera jornada de talleres y una segunda de conferencias.

El evento comenzará con talleres sobre Exploiting, Pentesting sobre Windows e Inteligencia Artificial. El sábado será el día de las conferencias.Bernardo Quintero, Soledad Antelada, Sergio de los Santos, David Ortiz y Fernando Díaz son los ponentes confirmados hasta el momento, solo faltará un ponente sorpresa por confirmar.

Además el sábado, previo al acto de clausura, organizaremos una mesa redonda en la que se tratará, con las partes interesadas, las salidas laborales que ofrece la ciberseguridad a día de hoy.

En paralelo a ambas actividades, se realizará un CTF (Capture the Flag), es decir, un campeonato de hacking ético en el que participarán los mejores especialistas en la materia.

Salvo para participar en el CTF, no se requiere de ninguna formación previa en ciberseguridad, tan solo tener inquietud en el tema y muchas ganas de aprender.

Os dejamos un enlace en el cuál podréis adquirir vuestra entrada, tened en cuenta que os haremos llegar algunos obsequios de la organización, y nos encargaremos de vuestra manutención durante el sábado.

Ya queda solo un mes, ¡no te quedes sin tu entrada!

adminits

This entry has 0 replies

Comments are closed.