Menú principal

sábado, 31 de marzo de 2012

OSX/Tibet.C se distribuye usando un bug de Offie para mac

El equipo de Alient Vault informó sobre la campaña de distribución de un malware, al que se denominó OSX/Tibet.A, tanto en equipos Windows como en equipos Mac OS X por medio de spam y haciendo uso de un bug conocido de Java. Este era un ataque dirigido a ONGs pro-Tibet con el objetivo de controlar la máquina. Ahora se ha descubierto que se está utilizando también un bug conocido de Office para mac del año 2009 que Microsoft reconoció en el Boletín de Seguridad MS09-27. Este bug permite a un atacante, por medio de un documento Word especialmente malformado, ejecutar comandos en el sistema y tomar el control del equipo.

Los atacantes están enviando spam en el que en un correo electrónico se informa de los abusos de los derechos humanos del pueblo Chino a Tibet, y en el que se adjunta un fichero doc malicioso - catalogado con algunos nombres como TROJ_ARTIEF.AE, Troj/DocOSXDr-A o W97/CodeExec.gen -. Este documento, una vez abierto en una sistema Mac OS X con Office para mac sin parchear, se explota la vulnerabilidad y comienza a ejecutarse todo el proceso.

Figura 1: Spam utilizado para distribuir el exploit en formato .doc

Se copia el archivo file.doc y el script launch-hse en la ruta /tmp, junto con el script que lanza el troyano, que en este caso concreto se llama launch-hse y que ejecuta:
#!/bin/sh /tmp/launch-hse & open /tmp/file.doc &
Una vez lanzado, el dropper descarga los mismos ficheros que se ejecutaban en la versión anterior, aunque con pequeños cambios el fichero .plist  y con el panel de control alojado en unas direcciones IP alojadas en  USA.

Figura 2: Fichero .plist utilizado para obtener la persistencia

También se ha descubierto un segundo troyano compilado para diferentes arquitecturas - i386, PPC, etcétera - que no se había visto hasta el momento, que además arroja un poco más de información en el caso, ya que se han podido descubrir en el fichero un par de rutas locales apuntando a los símbolos de debugging que hacen pensar que el proyecto, que parece un APT en toda regla, se ha denominado longgege y que al backdoor se le llama MacControl.
/Developer/longgegeProject/Mac Control/MacControl V1.1.1/build/Foundation_Hello.build/ Release/Foundation_Hello.build/Objects-normal/ppc/Foundation_Hello.o
/Developer/longgegeProject/Mac Control/MacControl V1.1.1/build/Foundation_Hello.build/ Release/Foundation_Hello.build/Objects-normal/i386/Foundation_Hello.o
Una vez ejectuado se copia a sí mismo en /Library/launched y crea el fichero /Users/{Usuario}/Library/LaunchAgents/com.apple.FolderActionxsl.pslist para conseguir la persistencia tras el reinicio del sistema.

Cada vez que se arranca se conecta a unos servidores en China y envía información sobre la máquina infectada. Por supuesto, este backdoor es un R.A.T. en toda regla y permite tener un control total sobre la máquina de la víctima. Este troyano ya se empieza a detectar por todas las casas de antimalware para Mac OS X y ha recibido otros nombres como OSX/Bckdr-RLG o TSPY_MARADE.AA

Figura 3: Envío de las credenciales de usuario al panel de control

Desde Seguridad Apple os recomendamos que tengáis actualizado todo el software del sistema - Java u Office para mac incluidos -. Para el caso de Office para mac os recordamos que hay una herramienta que se llama Microsoft AutoUpdate que avisa cada vez que haya una nueva actualización desde Microsoft.

Si tenéis antimalware en Mac OS X, os recomendamos tenerlo con protección activa en tiempo real que permita detectar acciones malicosas en los servicios en base a comportamiento para detectar nuevo malware no firmado, y que actualicéis las bases de datos de firmas para tener las últimas firmas generadas.

viernes, 30 de marzo de 2012

Mac Address de Apple: Detectar y/o spoofear un Apple

Las MAC Address que se utilizan los equipos tiene unos bits dedicados al fabricante de las tarjetas. Estos bits se llaman OUI (Organitationally Unique Identifier) y definen la compañía que ha creado el hardware. En los equipos de Apple, como las tarjetas son fabricadas por ellos mismos, es fácil reconocer a un equipo en comunicación como un Apple, lo que puede venir bien en determinadas ocasiones.

La mayoría de las aplicaciones de seguridad de red, como sniffers o scanners, llevan incluida una base de datos de OUI para hacer mucho más cómoda la visualización de datos, pero si no es así, hay herramientas que permiten la consulta online, ayudándote a saber si una MAC Address es de un equipo Apple o, por ejemplo, cuales son los OUI de Apple.

Figura 1: Consulta de OUI asociados al string Apple

El conocer los OUI de un fabricante como Apple, puede ayudar a un pentester a ocultarse mejor en una red, ya que si el pentester no está usando un equipo de Apple,  y está haciendo ataques de red poniendo su tarjeta en modo promíscuo o realizando man in the middle a equipos, puede ocultarse mejor debajo de los ojos de un administrador de seguridad suplantando a un equipo Mac. Esto haría que, a primera vista, se buscase un equipo con una manzana, mientras que el atacante trabaja desde su  Linux o  Windows.

Figura 2: Mac Address de un OUI de Apple

Para generar Mac Address en grandes rangos, hay paginas com MacRandomGenerator, que ayudan a crear listas de Macs de un determinado fabricantes. Todo esto de las Mac Address, puede ser de especial importancia, por ejemplo, a la hora de detectar dispositivos como APs, o equipos WiFi, en una red inalámbrica.

jueves, 29 de marzo de 2012

Adobe Flash Player 11.2: Dos CVE críticos parcheados

Adobe ha lanzado una nueva versión de Flash Player, la 11.2 o más en detalle la número 11.2.202.228. Esta nueva actualización resuelve los problemas de impacto crítico de seguridad, los cuales podrían causar la caída del sistema o lo que es peor, permitir a un atacante ejecutar código arbitrario en la máquina, es decir, tomar el control de la máquina remota.

Figura 1: Adobe Player Installer

Adobe parece estar cansado de todos los problemas de seguridad que está teniendo en los últimos años, los cuales son causa de la pérdida de uso de sus aplicaciones. Adobe ha visto que no puede luchar contra sus vulnerabilidades de código, por lo que ha decido implantar una nueva actualización para el sistema de actualizaciones silenciosas. Los usuarios tendrán 3 opciones que son las siguientes:
- Las actualizaciones se podrán obtener e instalar automáticamente.
- Se notificará a los usuarios antes de instalar dichas actualizaciones.
- El sistema no comprobará la existencia de las actualizaciones, esta opción no es recomendable de configurar.
Este nuevo sistema de actualizaciones silenciosas sólo está disponible para Windows, pero Adobe ha informado que una versión para Mac OS X está en fase de desarrollo, por lo que en siguientes actualizaciones se podrá contar con la nueva funcionalidad. Para descargar la última versión de Adobe Flash Player se puede descargar desde su página oficial. Las vulnerabilidades que corrige esta nueva actualización son las siguientes:
- CVE-2012-0772: Afecta a todas las plataformas y puede provocar ejecución de código arbitrario tras la visita a un web con código malicios.
- CVE-2012-0773: Afecta a todas las plataformas y también puede provocar la ejecución de código arbitrario tras la visita a una web con código malicioso.
Desde Seguridad Apple recomendamos la actualización de la versión de Adobe Flash Player, y configurar el nuevo sistema de actualizaciones para que éstas se descarguen e instalen automáticamente.

Apple condenado a pagar 1,2 millones de dólares en Italia

Apple ha perdido la apelación que presentó en un caso en Italia y deberá abonar 1,2 millones de dólares o, aproximadamente, 900.000 euros. La compañia fue multada por haber, supuestamente, presentado una cantidad no real sobre las garantías de los productos y la estipulación de ésta. La decisión fue tomada este jueves y dictada por el presidente del tribunal administrativo regional de Italia.

Figura 1: Campaña de promoción de Apple Care en Italia

¿Dónde comenzó todo?

Hay que remontarse al año pasado y encontrar la sanción a Apple por no proporcionar información sobre la duración concreta de las garantías de sus productos, con lo que fue multado con 400.000 Euros, y además un extra de 500.000 Euros por la falta de información sobre las garantías extendidas de Apple Care en Italia.

La multa fue la consecuencia directa de una investigación que se realizó a Apple en Italia por prácticas desleales de marketing o comerciales. Apple empujaba a los consumidores a realizar un pago por el Apple Care con valor de 2 años, cuando según las leyes de la Unión Europea requieren que las compañias ofrezcan las mismas condiciones sin coste alguno.

A partir de ahora, con la decisión tomada el jueves, Apple debe agregar una nota informativa en sus embalajes para informar a sus clientes de que se disponen de 2 años de garantía por ley. Apple sigue pensando en presentar una segunda apelación, a pesar, de que no ha habido ningún anuncio oficial sobre cuando va a suceder. Apple Care se encuentra disponible para toda la gama de productos desde iPad, hasta iPhone, pasando por máquinas Mac. El coste varía en función del producto, pero la cobertura incluye soporte telefónico y reparación en tienda. 

Otros piensan igual

'La que se viene encima', podría ser el titular con el que se hable de Apple en las próximas fechas. Tras la multa de los 900.000 Euros, hay otros 11 grupos de consumidores europeos que se unen al ataque contra la empresa de Cupertino. El tema va a dar que hablar en Europa y desde Seguridad Apple estaremos atentos a lo que suceda.

miércoles, 28 de marzo de 2012

250.000 USD por un exploit remoto de iOS no es tan caro

La revista Forbes afirma que el gobiernmo de los Estados Unidos, entre otros suculentos clientes, están pagando más de 250.000 dólares por disponer de un exploit que se aproveche de un 0day en el sistema operativo de Apple para dispositivos móviles iOS. Algo que  ha generado mucha polémica en Internet al publicar  esta información junto una lista con precios que más o menos los que nos dedicamos al mundo de la seguridad informática y el hacking tenemos presente. Que por un exploit remoto de Windows se estaban pagando/solicitando precios al rededor de los 100.000 USD era algo que se comentaba mucho en los foros de Internet.

Figura 1: La lista de precios de los exploits

Llama la atención que haya generado tanta sorpresa que por un exploit de iOS la gente se sorprenda de que se está pagando entre 100.000 y 250.000 USD. Hay que entender que los exploits se compran para usarlos y hoy en día, usuarios con iPad o iPhone, por ejemplo, son nuestros queridos diputados, jueces o casi cualquier directivo de una empresa, así que los hace muy, muy, muy valiosos.

Algo que hay que tener presente con respecto al precio es que el periodo de vida del exploit es importante. Si el bug puede ser explotado de una manera silenciosa, y se estima que tendrá una vida larga, de 6 meses a 1 año, entonces su precio puede subir.

Sobre estos precios es sobre lo que se estimaba que el coste total de hacer Stuxnet, el gusano pensado para atacar a las centrales nucleares iranís que contenía 4 0days, podría haber sido cercano al millón de dólares... pero... ¿qué es eso con atacar las centrales nucleares de un país enemigo sin ensuciarse las manos?

¿Creéis que realmente es caro un exploit de iOS de 250.000 €? Ese es el precio que se estima valía el bug de Comex que se utilizó en JailbreakMe 3.0 - premiado por los hackers - y que nuestro patrio compañero José Selvi mutó en JailOwnMe. ¿Cuánto vale la seguridad de un gobierno o de una empresa?

martes, 27 de marzo de 2012

Detectar y eliminar FlashBack Trojan en Mac OS X

En el blog de F-Secure han realizado un detallado análisis del funcionamiento de las infecciones del troyano OSX/FlashBack para Mac OS X, para dar a los usuarios y especialistas más información sobre cómo poder detectar y eliminar las principales variantes que se han descubierto del mismo.

Detección de FlashBack Trojan en Mac OS X

Hoy el día, el malware infecta los equipos de dos formas principalmente. La primera de ellas haciendo uso de privilegios administrativos con la que modifica un fichero plist de Firefox y Safari para añadir una variable llamada DYLD_INSERT_LIBRARIES que lanza el malware cuando esas aplicaciones se ejecutan. Para saber si tienes esta variante en tu equipo debes ejecutar estos comandos en tu sistema. Si la respuesta es que no existe, entonces no tienes esta variante en tu Mac OS X.
defaults read /Applications/Safari.app/Contents/Info DYLD_INSERT_LIBRARIES
defaults read /Applications/Firefox.app/Contents/Info DYLD_INSERT_LIBRARIES
En segundo lugar, hay una forma de infección más global del sistema en la que se modifica, con la misma variable, un fichero plist del sistema que hará que se ejecute el malware en cuanto se ejecute cualquier aplicación. Este tipo de infección se lanza con la cuenta de usuario, sin hacer uso de privilegios administrativos. Para saber si tienes esta infección en tu equipo, el comando que debes ejecutar, y obtener una respuesta que diga que no existe esa entrada, es:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Si tienes el malware en tu equipo, desde F-Secure están pidiendo que les envies las muestras de los ficheros enlazados en las respuestas. Puedes enviar también las muestras a Virus Total para ayudar a toda la industria antimalware. Además, se han dado unas pautas a seguir para eliminar este malware.

Desinfección de FlashBack Trojan en Mac OS X

En el caso de la primera infección, se deben usar estos comandos:
sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironmentsudo chmod 644 /Applications/%browser%.app/Contents/Info.plist
Y en el caso de la segunda infección, deben usarse:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIESlaunchctl unsetenv DYLD_INSERT_LIBRARIES
Por último, queremos recordarte que esta solución es solo para las muestras analizadas, y que es posible que este malware vuelva a mutar en el futuro. Además, muchos antimalware para Mac OS X reconocen ya estas muestras, por lo que te recomendamos tener una solución instalada con protección en tiempo real que te ayude a proteger el equipo y a limpiarlo en caso de infección.

lunes, 26 de marzo de 2012

Si eres lector fiel de Seguridad Apple tienes un descuento

Desde Informática 64 se ha comenzado una campaña de fraternización entre blogs para premiar a los lectores fieles a esos blogs, que podrán disfrutar de un descuento del 25% en la adquisición de ciertos libros técnicos.

La campaña tiene una fecha de duración de 3 días por cada blog, con el objetivo de premiar a los lectores fieles a esos blogs, empezando en HackPlayers y Seguridad Apple hoy lunes 26 de Marzo y terminando el miércoles 28 a las 23:59. A partir de hoy se dispone en la web  un banner que incluye un código con el que se podrá adquirir el 25% de descuento en algunos libros. Los libro que puedes adquirir bajo ese descuento si eres fiel lector de Seguridad Apple son los siguientes:
¿Cómo ejecuto el descuento? 

Durante las fechas que dure la campaña puedes comprar el libro online e indicar el código en los campos del pedido o ponerte en contacto con Informática 64 vía teléfono, correo o formulario de contacto. Eso sí, no se te olvide indicar el código de la promoción y recuerda de Lunes a Miércoles.

La semana que viene la campaña será llevada a cabo por otros blogs en los cuales podrás conseguir un descuento para otros libros de Informática 64. ¿Cuál es tu libro preferido?¿Qué libro te gustaría que saliesen en estos blogs? ¿Cuál serán esos blogs? La solución la próxima semana.

domingo, 25 de marzo de 2012

Fue noticia en Seguridad Apple: del 12 al 25 de Marzo

Toca ya el repaso de lo publicado en este blog durante las últimas dos semanas, así que sin más dilación os recogemos en un sólo artículo todo lo sucedido por estos lares.

Comenzamos el repaso con el lunes 12 de Marzo donde publicamos la noticia de un serio bug que afectaba a Apple Safari 5.1.2 del que se había dado información pública antes de que existiera un parche por parte de Apple.


Poco tardó en aparece el parche para el bug del navegador de Apple con la publicación al día siguiente de Apple Safari 5.1.4 que no sólo arreglaba ese fallo, sino que un total de 83 CVE fueron solucionados.

El 14 de Marzo nos hicimos eco de la noticia publicada por Alejandro Ramos en la que se podía ver cómo el passcode de DropBox para iOS se puede leer en un fichero de texto en el sistema. Algo que no es una buena práctica en el desarrollo seguro de aplicaciones.

El jueves de esa semana repasamos la actualización de Apple iTunes 10.6, en la que se solucionaron un total de 72 bugs de seguridad, lo que hacen de ella una actualización crítica en toda regla. Ese mismo día, más actualizaciones de seguridad, en esa ocasión por parte de la fundación Mozilla que arreglaba 8 bugs con una severidad crítica en Firefox 11 para Mac OS X.

El viernes 16 nueva mutación de un malware para Mac OS X, en esta ocasión el troyano OSX/Immuler se descubre camuflado como imágenes en ficheros comprimidos distribuidos por Internet. Difícil de ver a primera vista este truco de ingeniería social.

En nuestro post de humor semanal, un simpático dibujo en el que se representa la muerte de Flash a manos de la manzana envenenada, pero de una manera muy metafórica.

El sábado 17 de Marzo tuvimos las primeras noticias de nuevos iPads, aka iPad 3, con untethered jailbreak realizado. Ni un día tardó en caer el primer jailbreak del último flamante nuevo dispositivo presentado por Apple.

El domingo pasado hicimos un repaso a todo lo que está sucediendo con la privacidad de los usuarios con respecto a las aplicaciones que están siendo distribuidas.

La historia ha llevado a que el propio Tim Cook haya recibido una carta desde el congreso de los USA solicitando información sobre este tema, además de que haya habido demandas por parte de usuarios que descargaron esas aplicaciones y avances, ya que Apple ha modificado las opciones en OSX Mountain Lion para dar más granularidad a los permisos de que hacen uso las aplicaciones.

El lunes de esta semana quisimos hacer un repaso a uno de los mecanismos utilizados para medir la criticidad de un bug, en este caso el CVSS (Common Vulnerabilitie Scoring System) version 2, que ayuda a tomar decisiones empresariales en función de métricas. Os dejamos la calculadora que puede ser utilizada para medir cada uno de los fallos.

El martes una noticia de intrusiones en Apple, en este caso en la web mac.com, que terminó con una credencial publicada en Pastebin, junto con passwords de otro montón de sitios, todos ellos - según el propio atacante - de sitios webs relacionados con la industria del cine y/o de renombre.

El miércoles 21 una notica de un ataque dirigido contra ONGs pro Tibet, que tras una investigación por parte de la empresa Alien Vault, terminó demostrando que se estaba utilizando malware específico para sistemas Mac OS X, además de para Windows.

El 22 de Marzo el artículo se lo dedicamos a cómo deshabilitar la opción de que un usuario invitado pueda conectarse a nuestro Mac sólo para navegar. Una opción que tomamos del blog de La muñeca Friki, de una de sus "molestas configuraciones de Mac OS X".

El viernes la noticia fue para un nuevo bug en iOS 5.1, en este caso el navegador Safari de iOS 5.0 y 5.1 que es vulnerable a ataques de Address Bar Spoofing, lo que puede ser utilizado en esquemas de phishing.

Por último, ayer sábado, con el comienzo del fin de semana publicamos nuestro post de humor semanal, en este caso dedicado a los amantes que quieren enamorar a su fanboy/fangirl favorit@ con una iBurger.

Y esto fue todo, que como podéis comprobar no ha sido poco. Nos vemos en dos semanas en esta sección y todos los días en Seguridad Apple.

sábado, 24 de marzo de 2012

Enamora a tu fanboy/fangirl con cena romántica de iBurger

Los viernes por la tarde nos gusta coleccionar cosas curiosas alrededor del mundo Apple, pero esta vez lo hemos dejado para hoy sábado, con la intención de que utilices esta hamburguesa de forma inspiradora ya que no es difícil de preparar. Así que si vas a invitar a un amig@ fanboy/fangirl a una cenita romántica para hoy sábado, puedes preparar una iBurger de éstas.

Visto en Señorasque

Y de ahí a triunfar por todo lo alto....

viernes, 23 de marzo de 2012

Apple Safari en iOS 5.1 vulnerable a Address Bar Spoofing

Las técnicas de Address Bar Spoofing (suplantación de la barra de direcciones) en navegadores tienen como objetivo el engañar al usuario haciéndole creer que están en un sitio, cuando realmente están en otro. Estas técnicas son utilizadas en esquemas de ataque de phishing, en los que se intentan robar credenciales al usuario haciéndole pensar que está en el sitio adecuado, cuando realmente está en un sitio malicioso.


Ahora, en iOS 5.1 se ha publicado una nueva forma de conseguir realizar un ataque de Address Bar Spoofing que permitiría a un atacante engañar a sus víctimas con visitar la página maliciosa. La vulnerabilidad ha sido publicada por David Vieria-Kurz de la empresa Major Security, y tal y como se puede ver en esta imagen, es posible suplantar la barra de direcciones del navegador.

Figura 1: Demo Online suplantando la barra de direcciones para simular ser Apple.com

El fallo se produce por la existencia de un error en el trabajo de la función windows.open() en Javascript en la implementación del Apple Webkit/534.46, que permite hacer esto a un atacante. La vulnerabilidad, tal y como describe el advisory está también presente en iOS 5.0, y a día de hoy no hay parche disponible para solucionarlo, por lo que se recomienda no visitar páginas importantes siguiendo ningún enlace en otra web o en un correo electrónico. Si quieres probarlo en tu terminal, hay una demo online.

jueves, 22 de marzo de 2012

Deshabilitar el usuario invitado de Safari en Mac OS X Lion

Tras las actualizaciones de Mac OS X Lion a las versiones 10.7.2 y también en la versión 10.7.3, se añadió la posibilidad de tener un usuario invitado que trabaje en el equipo sólo con el navegador del sistema. Es lo que Apple denomina en Mac OS X Lion el Modo sólo Safari.

Esto, por supuesto, puede suponer un fallo de seguridad que afecte a nuestra privacidad en un futuro no muy lejano si el sistema no está actualizado completamente y aparece un bug que permite tomar el control total de la máquina a través de Safari, tal y como se puede ver en los siguientes ejemplos:
- Owneando Mac OS X a través de un bug use-after-free de Safari
- Owneando Mac OS X a través del exploit Java Rhino
- Owneando Mac OS X a través del bug CVE-2011-3230
Para deshabilitar esta opción, como cuentan en La muñeca Friki, basta con ir a las Preferencias, y en la opción de Seguridad y Privacidad, seleccionar Desactivar el reinicio con Safari cuando la pantalla esté bloqueada.

Figura 1: Desactivar el reinicio con Safari en las Preferencias del sistema

Por supuesto, para evitar los ejemplos anteriores se recomienda parchear el sistema, pero no siempre existe el parche antes que el exploit se haga público, por lo que deshabilitar esta opción es más que interesante si no vas a dejar que nadie use tu equipo.

miércoles, 21 de marzo de 2012

Ataque contra ONGs pro-Tibet usa malware para Mac OS X

Desde la empresa de seguridad Alient Vault se ha realizado una investigación sobre ataques dirigidos que se están realizando contra ONGs Tibetanas mediante una campaña de Spam. Estos correos apuntan a servidores que están tratando de explotar la tan citada vulnerabilidad de Java CVE-2011-3544 (a.k.a. exploit Java Rhino) para instalar un troyano en las máquinas de las víctimas.

Para ello se está haciendo uso de servidores maliciosos que comprueban el User-Agent del navegador del cliente para lanzar un Applet Java que ataca directamente esa vulnerabilidad e instalar un troyano. Como se puede ver en el código, si es una máquina Windows se ejecuta el Applet default.jar, mientras que si es Linux o Mac OS X se ejecuta index.jar.

Figura 1: Comprobación de USER-AGENT

Estos Applets, analizados con Virus Total, tienen unos ratios de detección como malware muy pequeños. default.jar es detectado como malicioso en 9 de los motores que utiliza el servicio de Virus Total para escanear las muestras.

Figura 2: Ratio de detección de default.jar según VirusTotal

Por el contrario, es peor en el caso de index.jar para Mac OS X, ya que sólo 5 de 43 motores antivirus lo detectan, no siendo además ninguno de los populares en entornos Mac OS X.

Figura 3: Ratio de detección de este ataque para Mac OS X

Además, una vez ejecutado el exploit, se instala el backdoor con un fichero de nombre file.tmp, al que se ha denominado OSX/Tibet.a, y que en la actualidad es detectado por 0 motores antivirus de los 43 que utiliza el servicio de VirusTotal. Una vez instalado este troyano, se roban datos de las cuentas de usuario y se envían a un servidor remoto controlado. Actualización: Algunos AV ya lo detectan, y ha recibido varios nombres. OSX/Lamadai.a es uno de ellos.

Figura 4: El backdoor para Mac OS X no es detectado por ningún motor

Os recordamos que haciendo uso de las opciones de Software Update puedes comprobar si en tu Mac OS X está instalada la última versión de Java para Mac OS X, y si no es así, actualizarla inmediatamente. Os recordamos que las últimas vulnerabilidades de Java también están siendo usadas en Kits de Explotación y por el malware OSX/FlashBack Trojan.

martes, 20 de marzo de 2012

Hacker en Pastebin publica cuentas de usuarios de Apple (mac.com), SONY, Warner Bros, FOX, y decenas de sitios

No es la primera vez que se publican los datos de una intrusión en Pastebin. De hecho esta manera de publicar datos se ha hecho muy popular, así que no es de extrañar que haya un montón de herramientas para monitorizar lo que allí se publica, en buscad de datos confidenciales.

En este caso un atacante ha publicado una lista de usuarios y contraseñas hasheadas, extraídas supuestamente de muchos sitios webs de grandes empresas. El hacker ha dejado todos sus datos de contacto de Twitter en un banner en el que cataloga este documento como exposición de información de sólo productoras de películas y sitios de gran prestigio.

Hay que entender que la web de Apple que aparece en la lista, mac.com, debe entrar en esta última categoría. De ella sólo aparece una cuenta con una contraseña hasheada, 

Figura 1: Usuario de mac.com publicado en Pastebin
La lista tiene algo así como un centenar de contraseñas, y es más que probable que sea eliminada rápidamente de Pastebin, ya que algunas de ellas pueden estar aún siendo funcionales.

lunes, 19 de marzo de 2012

Criticidad de un Bug: Common Vulnerability Scoring System

Cada vez que aparece una actualización de un nuevo producto, como cuando Apple publica una nueva versión de uno de sus herramientas, todos los que trabajamos en seguridad informática vamos a comprobar los bugs arreglados y los que no. Cada bug recibe un código único en cada base de datos que es catalogado, aunque la más utilizada es la base de datos de expedientes de seguridad CVE (Common Vulnerabilities and Exposures).

Sin embargo, lo que queremos tratar hoy no es cómo se identifica el bug, sino qué mecanismos se utilizan para medir su importancia dentro de la seguridad de un sistema.

Common Vulnerability Scoring System v2

El mecanismo más popular que se usa para medir la criticidad de un bug se basa en el CVSS (Common Vulnerabilities Scoring System), que actualmente está en su versión 2. Este sistema de medición de la importación de un bug se basa en varios factores que tienen que ver con:

Métricas de explotabilidad
En este apartado se miden principalmente tres factores a tener en cuenta, como son  El vector de ataque, en el que se mide si el ataque es local, en red de area local o remotamente desde Internet. La complejidad del ataque, en el que se miden las circunstancias que tiene que darse para que crear un exploit consistente, es decir, si es complejo, medio o poco complejo hacer el explotar el bug.  El nivel de autenticación, donde se mide si es necesario contar o no con privilegios para la ejecución del exploit.
Métricas de Impacto
En este apartado se mide el impacto que tendría la explotación del bug en cuanto a la integridad, confidencialidad y disponibilidad del sistema, midiendo en cada una de ellas su valor de impacto.
Métricas de Entorno
En este caso se mide el impacto en una organización en concreto, utilizando modificadores generales, que miden el número de sistemas que se ven afectados por este bug y el porcentaje de daño que puede generar en ellos como modificadores de los factores de Integridad, Confidencialidad y Disponibilidad de este bug concreto en un entorno de empresa en particular.
Métricas Temporales
En ellas se mide el tiempo que tardará en aparecer un exploit para esta vulnerabilidad, el tiempo que tardará en aparecer un parche o solución para este bug, y el nivel de verificación de que esta vulnerabilidad efectivamente existe.
Calculadora CVSS 2

Para calcular el valor CVSS 2 de una determinada vulnerabilidad, se puede utilizar una calculadora, donde sólo se deben rellenar los valores conocidos para estos parámetros y se obtendrá un resultado. En nuestro ejemplo, el resultado ha sido un Highly Critical con un 4.5 sobre 5, en parte porque en la configuración se ha seleccionado la opción de que se ha comprobado la existencia de un exploit funcional.

Figura 1: Cálculo de criticidad de un bug ficticio

Cuando aparece un parche para un bug, la información sobre ese bug crece, lo que hace que el tiempo para sacar un exploit funcional se acorte. Es por eso la insistencia de todos los que trabajan en seguridad para aplicar las medidas de seguridad.

Éste no es el único sistema de medir el impacto de un bug, pero es uno de los más populares. En el futuro os traeremos algunos otros esquemas populares para medir la seguridad de una organización.

domingo, 18 de marzo de 2012

La Privacidad en Tecnologías Apple: Carta del congreso, demandas y cambios de seguridad en OSX Mountain Lion

El caso de las aplicaciones en tecnologías Apple y los problemas de privacidad como el de acceso a los contactos sin informar a los usuarios que afectó a Path o Twitter para iOS, o el caso destapado por el New York Times en el que una aplicación podría acceder a todas las fotografías con obtener permisos de geolocalización, está obligando a Apple a tomar mediadas.

Inicalmente un senador solicitó tanto a Apple como a Google (que también se llevó lo suyo con el escándalo destapado por el Wall Street Journal que demostraba que traceaba la navegación de los usuarios de Apple Safari saltándose las medidas de seguridad del navegador - al que luego se sumarían otros navegadores víctima como Internet Explorer-) explicaciones sobre las medidas de seguridad y privacidad de sus tecnologías, pero no quedó satisfecho con las respuestas.

Debido a esto, ha enviado la carta que se puede ver en la Figura 1, en la que solicita a Tim Cook una descripción clara de la política de privacidad de la compañía, tal y como informan desde Apple Insider.

Figura 1: Carta del Congreso de USA a Tim Cook pidiendo detalles de privacidad

Al mismo tiempo, usuarios de iPhone han decidido demandar a la compañía de Cupertino por haberles proporcionado aplicaciones que invaden la privacidad de los usuarios. En esta demanda, como informan en The Register, no sólo está acusado Apple, sino los proveedores de esas aplicaciones que invaden la privacidad, como Facebook, Twitter, o FourSquare entre otros, por haber hecho uso de datos del usuario sin informar de ello.

Todo esto ha llevado ya a que Apple anunciara cambios en el nuevo sistema operativo OSX Mountain Lion, que no sólo llevará incorporado GateKeeper para controlar los orígenes de las aplicaciones, sino que en la beta 2, como muestran en TNW, que se ha puesto a disposición de los desarrolladores, se han añadido permisos especiales para la agenda de contactos, tal y como se puede ver en la siguiente imagen.

Figura 2: Alerta de seguridad de acceso a contactos

Como se puede ver, cuando Adium intenta acceder a la agenda de contactos aparece una alerta informando a los usuarios que deberán darle ese permiso de forma explícita.

Figura 3: Permisos de acceso de Contactos

Al final, las amenazas de seguridad están obligando a seguir en Mac OS X un camino que ya siguieron otros sistemas operativos antes, generando una mayor granularidad de permisos y obligando a lanzar alertas de seguridad a los usuarios mucho más a menudo. Esperemos que la solución venga con la generación de aplicaciones mucho menos intrusivas en la privacidad de los usuarios y mayor control de las mismas en la App Store y la Mac App Store.

sábado, 17 de marzo de 2012

Jailbreak para el nuevo iPad: 3 exploits diferentes en uso

No ha tardado en aparecer el primer ejemplar del nuevo iPad con un jailbreak realizado. Musclenerd, miembro del iPhone Dev Team, ha twitteado un screenshot y un vídeo en el que se puede ver cómo ya se ha sido capaz de conseguir permisos de root en un nuevo iPad.

Figura 1: Nuevo iPad con acceso de root

Sin embargo, como bien ha indicado él mismo, esto no es nada más que un primer paso hasta conseguir tener un exploit estable y una herramienta consistente que permita hacer untethered jailbreak con seguridad a los nuevos iPad, pero hay que reconocerles el mérito y el trabajo a estos investigadores, que han publicado un vídeo demostrando que ya lo han conseguido.



Como este año la comunidad de jailbreak estará en Amsterdam dando unas conferencias, dentro de la famosa CON Hack In The Box 2012, esperemos que para entonces ya tengan un untethered jailbreak completo publicado para todos los usuarios, ya que según se anuncia en Cydia, ya hay 3 exploits diferentes usándose para hacer jailbreak.

viernes, 16 de marzo de 2012

[Humor] La muerte de Flash por Apple

Nos ha hecho mucha gracia esta imagen que representa con mucha gracia la supuesta muerte de Flash por parte de Apple, después de todo lo que ya vimos en el pasado entre las dos compañías.


Esperamos que disfrutéis el fin de semana.

El troyano OSX/Imuler camuflado como fotografías

Durante el mes de Septiembre de 2011 se descubrió la existencia de un troyano, al que se le llamó OSX/Imuler, que se estaba distribuyendo simulando ser un documento PDF. El truco que utilizaba es una sencilla operación de ingeniería social en la que una aplicación cambia el icono para simular ser un documento y cuando se ejecuta abre el documento.

Ahora desde Intego informan de que ha vuelto a resurgir el troyano, pero ha sido descubierto en ficheros comprimidos de imágenes no detectados con las firmas XProtect de OSX/Imuler en la que una de ellas resulta no ser tal imagen sino una aplicación tal y como se puede ver en la imagen siguiente del contenido del archivo comprimido "FHM Feb Cover Girl Irina Shayk H-Res Pics.zip".

Figura 1: OSX/Imuler camuflado como foto en el segundo archivo de la segunda fila

Si el ojo no es rápido, seguramente darse cuenta de que una de ellas, concretamente el segundo archivo de la segunda fila, tiene extensión app no es tan sencillo, por lo que puede llevar a que un usuario distraído acabe por ejecutar ese programa.

Este mismo truco se puede ver en la captura siguiente de un archivo comprimido llamado "Pictures and the Ariticle of Renzin Dorjee.zip” en el que se puede observa como el tercer archivo es una applicación.

Figura 2: OSX/Imuler camuflado como foto. Tercer archivo.

Una vez ejecutado el troyano se instala inicialmente en /tmp/.mdworker y un proceso llamado .mdworker es lanzado. El nombre simula ser el proceso mdworker (sin punto) que utiliza el servicio de indexación de Spotlight. Además se instala un fichero de agente en ~/library/LaunchAgents/checkvir.plist junto con un fichero ejecutable en la misma carpeta para asegurarse de que el troyano se ejecuta cuando el usuario inicia sesión en Mac OS X. Después de reiniciarse el equipo, el proceso .mdworker es eliminado y se ejecuta sólo el agente checkvir.

El malware es un troyano en toda regla que recoge datos de las cuentas de usuario, capturas de pantallas y que genera un identificador único para la máquina dentro de la botnet a la que pasa a servir, enviando todos los datos a un servidor remoto que controla las acciones de éste. Además, dependiendo de las acciones el malware actúa como un dropper descargando nuevos módulos para realizar más ataques.

Si no se ha seleccionado la opción de mostrar las extensiones de los ficheros en las preferencias del Finder, este engaño es casi imposible de detectar, por lo que es conveniente tener esta configuración activa para ayudar a evitar los ataques de este tipo.

Figura 3: Opciones de Finder para mostrar extensiones de archivos

Como recomendaciones generales para protegerse contra el malware en Mac OS X os recomendamos que extremeis las precauciones habituales con archivos descargados desde Internet, que actualicéis todo el software del sistema operativo y aplicaciones instaladas y que tengáis instalado una solución antimalware para Mac OS X con protección en tiempo real.

jueves, 15 de marzo de 2012

Mozilla Firefox 11 para Mac OS X soluciona 8 bugs

La fundación Mozilla ha puesto en circulación la versión de su navegador Firefox 11 en la que se produce el arreglo de las últimas 8 vulnerabilidades conocidas.

La importancia de esta nueva versión del navegador desde el punto de vista de seguridad es crítico, ya que de las ocho vulnerabilidades, 5 de ellas tiene la categoría de crítico, permitiendo a un atacante ejecutar código arbitrario en la máquina cliente. 3 tienen impacto moderado. Las vulnerabilidades arregladas son:

Vulnerabilidades de impacto moderado
 
Estas vulnerailidades afectan a la versión anteriores a la 11 de Firefox
- MFSA 2012-18: Window.fullScreen no incluye una protección que utiliza Mozilla para la obtención de la pantalla completa, por lo que podría ser utilizado por UI Spoofing.
- MFSA 2012-15: XSS con las cabeceras CSP.
- MFSA 2012-13: XSS con Javascript sobre la URL
Vulnerabilidades de impacto crítico

Las vulnerabilidades de impacto crítico permiten a un atacante malicioso conseguir ejecutar código arbitrario en la máquina remota, por lo que se podría obtener el control de la máquina remota aprovechándose de estas vulnerabilidades.
- MFSA 2012-19: Corrupción de memoria bajo ciertas circunstancias. Miscellaneous memory safety hazards, con lo que se puede ejecutar código arbitrario.
- MFSA 2012-17: Corrupción de memoria cuando se accede al keyframe csstext, después de haber realizado, bajo circunstancias, una modificación dinámica. Esto puede ser aprovechado para que mediante la visita de un sitio web, ejecutar código arbitrario en la máquina.
- MFSA 2012-16: Escalada de privilegios mediante el uso de Javascript. Puede ser utilizado para ejecutar código arbitrario y elevar privilegios en la máquina.
- MFSA 2012-14: La visita a una web malicisio con una animación SVG puede causar crash en memoria y provocar la ejecución de código arbitrario.
- MFSA 2012-12: El uso de la DLL en sistemas Windows shlwapi.dll puede provocar un crash en memoria y la consecuente ejecución de código arbitrario.
Desde Seguridad Apple recomendamos la actualización a Firefox 11 en los equipos con Mac OS X. Firefox comprueba en cada arranque si hay una versión disponible por lo que el usuario sólo debe elegir la actualización.

Actualiza a iTunes 10.6 que parchea 72 bugs de seguridad

En nuestro recorrido por las actualizaciones de software que publicó Apple en el evento de presentación del nuevo iPad nos toca hablar de iTunes 10.6. Las novedades que trae esta versión de software relativas a temas no centrados en seguridad tienen que ver con problemas de iTunes Match en la gestión de canciones, carátulas, álbumes de música y demás. Además, la actualización informa de que han solucionado un problema en la reproducción de música desde iCloud


Sin embargo, lo que realmente hace que esta actualización sea de gran interés es la existencia de 72 CVEs de seguridad parcheados, muchos de ellos de nivel crítico. La lista completa de los bugs de seguridad solucionados está en el artículo de la Knowledge Base HT5191, en el que se detallan todos ellos.

Desde Seguridad Apple te recomendamos que actualices tu versión de iTunes cuanto antes que ya debes tenerla disponible vía Software Update. Tienes disponibles las descargas de iTunes 10.6 para sistemas operativos Windows y Mac OS X desde:

- Descargar iTunes 10.6 para Windows (64 bits)
- Descargar iTunes 10.6 para Mac OS X

miércoles, 14 de marzo de 2012

El PIN del passcode de Dropbox para iOS en texto claro

El almacenamiento local inseguro de datos en aplicaciones es un tema recurrente a la hora de diseñar aplicaciones robustas. Ya habíamos tenido noticias de casos como el almacenamiento de las credenciales en texto claro de las conexiones usadas en Filezilla o en el propio cliente iSSH, lo que generó bastante revuelo mediático.

A este grupo hay que añadir también el cliente de Dropbox para iOS, tal y como publicó Alejandro Ramos "dab" en SecurityByDefault.

El problema de esta aplicación radica en la existencia de un PIN de acceso a la aplicación que se usa como protección antes de acceder a tu carpeta en la nube. Este PIN está pensado para dar mayor seguridad en el caso de alguien pueda manipular el terminal sin nuestro conocimiento.

Figura 1: Configuración del PIN de acceso en Dropbox para iOS

Sin embargo, ese PIN sufre de almacenamiento inseguro y se guarda en un archivo plist en texto claro, lo que hace que no suponga ninguna barrera para alguien que acceda al terminal lo suficiente como para hacer un backup.

Figura 2: El PIN de acceso en texto claro en un fichero plist

Os recordamos que publicamos una conferencia muy interesante de Jeremy Allen sobre desarrollo seguro de aplicaciones iOS que impartió en las conferencias B-Sides.

martes, 13 de marzo de 2012

Apple Safari 5.1.4 soluciona 83 bugs de seguridad

Apple acaba de poner en circulación la versión de Apple Safari 5.1.4 en la que se solucionan 83 bugs de seguridad, incluidos los dos que citábamos ayer mismo que afectaban a la versión 5.1.2. El número de bugs corregidos en Webkit y el nivel de severidad de los mismos que pueden llevar a la ejecución de código malicioso en la máquina con solo visitar una página web, hacen de esta un actualización crítica.


Además de los fallos de seguridad, en esta versión se corrigen fallos de estabilidad y funcionalidad, además de haber mejorado notablemente el rendimiento del motor Javascript. La lista de mejoras completa es:
- Mejoran el funcionamiento de JavaScript
- Mejoran la respuesta de la aplicación al escribir en el campo de búsqueda tras cambiar la configuración de red o cuando la conexión de red es intermitente
- Solucionan un problema que provocaba que algunas páginas web parpadearan en blanco al cambiar de una ventana a otra de Safari
- Corrigen los problemas que impedían imprimir archivos PDF integrados y etiquetas de envío del U.S. Postal Service
- Conservan los enlaces en los archivos PDF guardados desde páginas web
Resuelven un problema que hacía que el contenido Flash pareciera incompleto tras utilizar el gesto para ampliar el zoom
- Solucionan un problema que causaba que la pantalla se atenuara al ver vídeo HTML5
- Mejoran la estabilidad, compatibilidad y tiempo de arranque al utilizar extensiones
- Permiten que las cookies recibidas durante la navegación normal estén disponibles después de usar la opción de Navegación privada
- Corrigen un problema que provocaba que algunos datos se omitieran tras pulsar el botón “Eliminar todos los datos de los sitios web”
Desde Seguridad Apple te recomendamos que actualices este software cuanto antes desde Software Update o desde la página de descarga de Apple Safari.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares