Menú principal

jueves, 30 de abril de 2015

Actualización de Seguridad para OS X Server: Versión 4.1

Apple sigue actualizando sus sistemas y en esta ocasión le ha tocado el turno a OS X Server, el cual llega a su versión 4.1. En esta actualización se han corregido 3 vulnerabilidades las cuales explicaremos a continuación. Los CVE afectaban a distintos componentes del sistema como es el firewall, postfix o dovecot.

A continuación mostramos los diferentes CVE que se solventan con la actualización:
  • CVE-2014-3566. Un atacante puede descifrar información protegida por SSL, esto afecta gravemente a la confidencialidad. Realmente detrás de esta vulnerabilidad nos encontramos con Poodle, por lo que vemos que sigue afectando a Apple de una manera u otra. Esta vulnerabilidad afecta a dovecot y postfix.
  • CVE-2015-1150. Las reglas del firewall del sistema pueden ser modificadas o hacer que no se cumplan por un atacante.
  • CVE-2015-1151. Los controles de acceso o ACL de la Wiki Server pueden ser saltados por un atacante en OS X Yosemite 10.10 o superior.
La descarga de OS X Server v4.1 se puede obtener a través de la Mac App Store, y para encontrar más información se puede visitar el sitio de actualizaciones de seguridad de Apple.

miércoles, 29 de abril de 2015

Warning! Phishing para capturar tu Apple ID en Internet

No sabemos desde cuando existe un phishing de Apple con el que se pretende que diferentes usuarios proporcionen sus credenciales, podemos encontrarlo en este sitio web. Como podemos ver hay elementos visuales que ya nos harán desconfiar del sitio web, por ejemplo el icono del candado que indica que el sitio web es 100% seguro, cuando el protocolo utilizado para las conexiones es simplemente HTTP. Más detalles son la falta de copyright en el sitio web o la falta de la propia marca. Está lejos de ser un phishing difícil de diferenciar, aunque si que puede llevar a engaño para mucho usuarios. 

El dominio tampoco ayuda y es que un sitio web de Apple que se encuentre fuera del dominio apple.com o icloud.com ya es raro, pero ver un dominio el cual se donomina app-iphone.org llama mucho la atención. Además, el dominio org no ayuda a relacionarlo con algo de Apple. Analizando un pcoo el entorno en el que se mueve el sitio web vemos que el login lo encontramos en la dirección URL http://app-iphone.org/style/lose/, mientras que si subimos un nivel o vamos a la raíz no encontramos nada. Esto vuelve a indicarnos que meter las credenciales en ese sitio web no es buena idea.

Figura 1: Phishing de Apple en Internet

Viendo un poco por encima y probando a buscar información sobre el dominio con Whois podemos encontrar algo de información. Por ejemplo, podemos ver como el registro está a nombre de una persona en concreto, el cual a priori parece de nacionalidad francesa, debido a que el correo con el que lo registró pertenece a Hotmail bajo su dominio francés, hotmail.fr.

La prueba con Whois permite también saber la dirección postal de la persona que ha registrado el dominio, al menos alguna que es utilizada por él. El nombre de la organización también lo podemos sacar, siempre y cuando ésta sea real. Todos estos datos siempre pueden ser falseados, pero puede que esta persona no haya mentido. De todos modos, puede que este phishing pueda haber sido puesto por otro usuario malintencionado y que no sea la persona que sale en los datos del Whois.

Figura 2: Datos obtenidos del Whois

También podemos encontrar indicios de que esto es un phishing en la dirección IP de la máquina que alberga el sitio web en cuestión. Si ejecutamos en Bing la consulta ip:[dirección IP] podemos obtener el listado de dominios que Bing tiene almacenado que responden a esa dirección IP. Como podemos ver en la imagen, podríamos quedar sorprendidos del número de dominios que comparten IP y hosting con el sitio web.

Figura 3: Dominios que comparten hosting con el phishing

Por último, no podíamos quedarnos sin probar como funcionaba el formulario que presenta el sitio web falso. Para ver un poco la petición y ver si había alguna anomalía, utilizábamos el proxy ZAProxy. En la imagen se puede ver como los datos son evniados por POST a un sitio web y, suponemos, que serán almacenados.

Figura 4: Petición con usuario y contraseña

La sorpresa viene a continuación, se descubre otro recurso tras haber introducido una contraseña cualquiera, ya que somos redirigidos a otro recurso, denominado Find my iPhone, el cual no tiene mucho que ver con el original.

Figura 5: Segundo phishing en el mismo sitio

El phishing se ubica en la siguiente URL http://app-iphone.org/style/lose/find/ y de nuevo podemos ver cómo los detalles hacen fallar. Hay que tener en cuenta que si introducimos datos en este formulario, esta vez, nos redirigirán al dominio dónde los usuarios de Apple se autentican de verdad. En el momento de hacer este artículo los navegadores como Google Chrome no estaban anunciando esto como phishing por lo que queremos avisar de que esta amenaza está en Internet.

martes, 28 de abril de 2015

El curioso caso del policía que se hacía selfies para que pudieran ir a buscar un iPhone perdido

Una vez más tenemos una historia de un iPhone perdido o robado y que acaba con un final feliz, gracias en parte al uso del dispositivo y las redes sociales. Hemos visto ya algún caso de selfies, iPhone y robos con el que más de un ladrón ha perdido su anonimato. En otras ocasiones ha sido el iCloud el que ha delatado al ladrón debido a las extravagancias de éste. En otros artículos hemos hablado de los robos y probabilidades de que el iPhone sea robado con el Activation Lock, incluso perdido y recuperado. En esta ocasión nos centraremos en un policía que tuvo un método curioso para llamar la atención de la persona que perdió el dispositivo.

El mensaje que Bella Crooke recibió a través de las redes sociales le indicaba que debía proteger con contraseña el acceso a su dispositivo y que para recuperar su iPhone pasase por la comisaría de Albury. Esta falta de passcode ayudó a que la Policía pudiera contactar fácilmente con Bella Crooke, enviándole el mensaje a través de su propia cuenta de Facebook.

Figura 1: Policía haciendo Selfie

Crooke había perdido su dispositivo en una fiesta de cumpleaños de un amigo hacía una semana. Un guardia de Seguridad encontró el dispositivo y lo llevó a la estación de policía. Crooke se sorprendió de que el guardia lo entregara y que ella pudiera recoger su dispositivo en comisaría. La policía se preocupó de cargar el dispositivo de Crooke en la misma comisaría, debido a que les interesaba poder tener el dispositivo alimentado por si Crooke no aparecía y debían enviarle más mensajes.

Figura 2: iPhone en prisión

Antes de entregar el dispositivo a Crooke, la policía seguía posteando y anunció que el teléfono seguía allí y que sería puesto en libertad por buen comportamiento. La propietaria del dispositivo estaba alucinando del "cachondeo" policial que se estaba generando entorno a su iPhone. Al final gracias a las redes sociales y las nuevas tecnologías tenemos una nueva historia sobre un iPhone y su recuperación por parte de su propietario.

lunes, 27 de abril de 2015

Buscar apps de iOS compatibles con dispositivos antiguos

En muchas ocasiones nos encontramos con la situación de que tenemos un dispositivo antiguo de Apple, y no sabemos qué podremos hacer con él. Tenemos que saber que Apple permite la instalación de aplicaciones antiguas directamente desde sus servidores, pero por desgracia no facilita en demasía la búsqueda de estas aplicaciones, ya que a través de la AppStore encontraremos las últimas versiones. ¿Qué podemos hacer? Tenemos que saber que en Internet podemos encontrar buscadores que nos facilitan estas acciones, al final se trata de hacer búsquedas avanzadas en Google.

Básicamente el buscador emite búsquedas a Google, y podría ser extrapolado a otros buscadores como por ejemplo Bing, con el siguiente formato nombre de la app site:itunes.apple.com/us/app "requires iOS 2.0|2.1|2.2...5.1".

Al entrar al buscador se nos pide que indiquemos qué tipo de dispositivo tenemos, pudiendo elegir entre iPhone, iPad e iPod Touch. Una vez elegido el dispositivo se nos pedirá que indiquemos el tipo de modelo, por ejemplo en iPhone encontramos modelos antiguos como son iPhone 4S, iPhone 4, iPhone 3GS, etcétera. Después de seleccionar el modelo nos pedirán que elijamos una categoría de aplicaciones para realizar la búsqueda. 

Figura 1: Selección de categorías para la búsqueda de Apps

Una vez seleccionamos las categorías que nos interesan y pulsar sobre el botón de Search for Apps se nos abrirá una página de Google con la consulta precisa para llevar a cabo la búsqueda en el sitio de iTunes, tal y como puede verse en la siguiente imagen.

Figura 2: Resultados de apps encontradas en Google

En definitiva, Apple no pone fácil que podamos encontrar ciertas aplicaciones para nuestros dispositivos antiguos, pero con un poco de Google Dorks podemos encontrar las últimas aplicaciones disponibles para nuestros iOS antiguos.

domingo, 26 de abril de 2015

Fue Noticia en Seguridad Apple: Del 13 al 26 de Abril

Han transcurrido dos semanas desde el último Fue Noticia, y en este breve lapso de tiempo han tenido lugar varios acontecimientos que han sacudido el mundo de la seguridad informática, y en especial, la parte relacionada con los productos de Apple. Por eso, como es tradición, os ofrecemos el mejor resumen de las noticias publicadas en este blog y en otros sitios de lectura obligada. Sin más dilación, comenzamos con la lista de noticias que te recomendamos leer.

El lunes 13 despertamos con la noticia de la resolución del problema que impedía iniciar sesión a los usuarios de TweetDeck, el popular gestor de redes sociales.  

Al día siguiente os mostramos una prueba de concepto sobre cómo explotar Rootpipe, el bug de seguridad que permite a un atacante realizar una escalada de privilegios en sistemas operativos OS X Yosemite.

Sinfonier centró nuestra atención el miércoles, cuando os hablamos de Sinfonier Project y la hackathon "Desfragmentando la identidad" que tuvo lugar los días 16 y 17 de abril en Jaén. Con él se pueden hacer topologías de ciberseguridad más que útiles para , incluso, luchar contra el cibercrimen.

El jueves 16 os contamos el descubrimiento de una nueva vulnerabilidad en Safari, denominada CVE-2015-1126, descubierta por el investigador finlandés Jouko Pynnönen. El bug, ya parcheado, permitía modificación de cookies del usuario.

Un nuevo update por parte de Oracle fue el protagonista del post del viernes. La versión Java SE 8u45 ponte punto y final a varios CVEs que comprometían la seguridad de los usuarios de dispositivos con Java,

El sábado nos hicimos eco del artículo publicado en Phrack Magazine sobre cómo desarrollar y utilizar exploits  para aplicaciones escritas en Objective-C.

Cerramos la semana con una noticia curiosa: la subasta en eBay de un Apple I del garaje de Steve Jobs. Sin duda se trata de un objeto codiciado por muchos coleccionistas y fans de Apple.

El lunes 20 amanecimos con la actualización 14.4.9 de Microsoft Office 2011 para OS X, que afecta a todas las aplicaciones de la suite y soluciona cinco bugs de alta criticidad que comprometían la seguridad de los usuarios.


A mitad de semana volvimos a tratar el bug de Rootpipe, ya que aparentemente el parche que aplicó Apple para solucionar el problema no funcionaba en ciertos escenarios.

El jueves os mostramos una nueva prueba de concepto, desarrollada por i0n1c, que demuestra cómo se puede hacer jailbreak para dispositivos con iOS 8.4.

El día 24 os hablamos de la noticia con más repercusión de la semana: el bug presentado en la RSA Conference de San Francisco que permite a un atacante crashear y provocar el reinicio de cualquier dispositivo iOS dentro del rango de una red Wi-Fi maliciosa.

Por último, ayer sábado hablamos del bug crítico descubierto en la librería AFNetworking que dejaba afectadas a 1.500 apps frente a ataques de man-in-the-middle. Una actualización ha querido arreglarlo, pero resulta que no lo han hecho bien y ahora afecta a más de 25.000 aps.

Y hasta aquí todo lo que hemos publicado en nuestro blog, pero como es habitual, os dejamos una selección de artículos de otros medios que merece la pena que no se os pasen. Aquí va la lista que hemos preparado.
- Publicación de Google Index Retriever: Desde Eleven Paths hemos lanzado la herramienta que permite extraer la información que el índice de Google tiene publicada. En este artículo tienes algunos casos de uso de Google Index Retriever. 
- Cuelan un logo de Android meando sobre el logo de Apple en Google Maps: Un huevo de Pascua que, sin duda, dará que hablar. 
Este dibujo está en Google Maps en estas coordenadas
- Apple publica OX 10.3.3 Suplemental Update: Un problema no resuelto bien con el vídeo en OS X 10.3.3. obliga a Apple a publicar una "Suplemental Update". Instálala. 
- Olvida Apple Watch tu quieres un Apple II de reloj: Fantástico proyecto para los amantes de los old-fashioned computers. Este reloj lleva un Apple II. 
- PSBot, un bot en PowerShell: Nuestro compañero Pablo González (@pablogonzalezpe) publicaba un artículo con su prueba de concepto para controlar una máquina remotamente con un bot den PowerShell. 
- Darwing Nuke: Un bug parcheado en OS X que permitía tumbar los OS X con un solo paquete de red. Al estilo del viejo WinNuke. 
- Herramientas para evaluar la seguridad de documentos ofimáticos: Son comunes los ataques por medio de exploits en documentos ofimáticos. En esta lista se pueden obtener algunos análisis online para ver si un documento es peligroso. Recuerda que para analizar los metadatos de un documento puedes utilizar MetaShield Analyzer. 
- Muestras de malware para OS X: Nuestros amigos de Cyberhades nos traen una lista de recursos para obtener muestras de malware para OS X.  
- The Hacker Wars: Un documental que habla de la persecución de hackers y hacktivistas. Publicado en Hackplayers. 
- Apple actualiza su herramienta de desarrollo XCode: Lo lleva a la versión 6.3.1 para solución un fallo crítico en el sistema. 
- Hoy domingo todavía dura el descuento del día del libro en 0xWord: Y puedes conseguir el libro de Desarrollo iOS o de Hacking iOS con una rebaja del precio. 
- Cómo mantener un servidor WordPress libre de malware: Buen artículo de Hackplayers para fortificar WordPress. Nosotros te recomendamos que añadas la protección de Latch para WordPress para tener aún una mejor protección.
Y esto ha sido todo, esperamos veros dentro de dos semanas por esta misma sección y todos los días en los artículos que publicamos en Seguridad Apple. Que tengáis un gran domingo.

sábado, 25 de abril de 2015

Bug en librería AFNetworking deja más de 1.500 apps vulnerables en App Store

En los últimos días existen diferentes informes dónde se han comunicado diferentes fallos de seguridad referente al mundo de Apple. Uno de los fallos del que todavía no hemos hablado en Seguridad Apple afecta aproximadamente a 1500 aplicaciones de iOS. No hay que olvidar uno de los fallos más importante de los últimos meses en el mundo OS X como es el de Rootpipe, el cual aún no ha sido solucionado por Apple. Hace poco, Apple también tuvo que enfrentarse y poner solución al famoso Freak, el cual afectaba desde un Apple TV a un iPod Touch, pasando por los Mac y otros dispositivos iOS. El fallo, que afecta cerca de 1500 aplicaciones de iPhone e iPad, podría permitir a ciertos atacantes robar contraseñas e información sensible.

La vulnerabilidad fue descubierta por la empresa de seguridad denominada SourceDNA hace unas semanas. A día de hoy, quedan muchos desarrolladores que tienen que actualizar aún su aplicación por lo que siguen siendo vulnerables. Este ataque permite a un atacante descifrar datos que viajan a través del protocolo HTTPS, por lo que cualquiera podría generar un hotspot WiFi, nombrarla como gratuita, y hacer un MiTM con el que capturar el tráfico y descifrarlo a través de dicha vulnerabilidad.

Figur 1: SourceDNA para verificar si la app es vulnerable

La empresa SourceDNA escaneó y analizó la mayoría de las aplicaciones de la AppStore que tienen este fallo de seguridad, incluso crearon una aplicación para aprovecharse de este fallo. La empresa proporciona una aplicación web para verificar si sus aplicaciones son o no vulnerables. El día que el fallo de seguridad fue anunciado y mitigado, una búsqueda rápida en SourceDNA mostró cerca de 20.000 aplicaciones de iOS de las 100.000 aplicaciones que utilizan AFNetworking. Ha pasado poco tiempo, pero nos encontramos con estos resultados:
  • El 55% de las aplicaciones que tienen esta librería tienen la version 2.5.0, que es la versión antigua, pero con código seguro.
  • El 40% no estaba utilizando la parte de la biblioteca que proporciona la API de SSL.
  • El 5%, cerca de 1.000 aplicaciones tienen el defecto o fallo de seguridad pudiendo ser explotado. 
Figura 2: Resultados del Developer Microsoft

Muchos usuarios se preguntaron si las aplicaciones afectadas eran importantes, y SourceDNA indicó que algunos de los proveedores de las aplicaciones son empresas muy grandes y famosas, por ejemplo Yahoo, Microsoft, Citrix, etcétera. Por supuesto la recomendación es comprobar las aplicaciones y actualizarlas con el fin de solventar el fallo de seguridad.

viernes, 24 de abril de 2015

No iOS Zone: crashea apps y cualquier dispositivo iOS

En la última RSA Conference celebrada en San Francisco durante esta semana se ha mostrado al público un bug en el sistema operativo iOS que permite a un atacante crashear y provocar el reinicio de los dispositivos iOS solamente utilizando una conexión Wi-Fi. Eso puede ser en forma de bucle infinito si el dispositivo se encuentra dentro del rango de la red Wi-Fi maliciosa y el terminal no dejará de crashear. Los investigados que han llevado a cabo este trabajo, investigadores de Skycure, indican que no existe una forma de volver a hacer funcionar, tanto el sistema operativo como las aplicaciones que caen en este bug a no ser que nos encontremos fuera del rango de acción de la red Wi-Fi maliciosa.

¿En qué se basa el ataque? Se diseña y utiliza un certificado SSL especial y malicioso. Los investigadores comentaron: "Con nuestro hallazgo, vimos que habría que crear un script para explotar el bug sobre una interfaz de red". Además, indicaban que utilizar SSL es una buena práctica de seguridad, y que lo utilizan casi todas las apps de la App Store, por lo que la superficie de ataque es muy amplia.


Figura 1: Demo de No iOS Zone atacando apps

El temor a un DoS dirigido hacia alguna persona puede ser llevado a cabo gracias al descubrimiento de estos investigadores. Como se podía ver en el vídeo, el bug afecta a aplicaciones, pero los investigadores hicieron otro vídeo dónde se demuestra que también afecta al sistema operativo, haciendo de este bug algo que puede convertir nuestro dispositivo en pisapapeles si no salimos del radio de acción de la red Wi-Fi maliciosa.


Figura 2: Vídeo de No iOS Zone atacando al SO

Como hemos visto, por ejemplo en el caso del Rootpipe, el cual sigue sin parchearse correctamente en OS X Yosemite 10.10.3, los investigadores han avisado a Apple y han descartado dar detalles técnicos sobre cómo explotar este bug hasta que Apple no solucione el tema. Esperemos que pronto tengamos la actualización, y por supuesto sepamos cómo estos investigadores lo llevaban a cabo.

jueves, 23 de abril de 2015

El hacker i0n1c muestra PoC de Jailbreak para iOS 8.4

La noticia es de las importantes en el mundo Apple, ya que a pocos días de que llegue el lanzamiento de la versión beta 1 de iOS 8.4 todo hace indicar que ya tenemos Jailbreak para esta versión, según ha mostrado el famoso hacker Stefan Esser, también conocido como i0n1c. Stefan Esser ha compartido un video de la prueba de concepto mostrando un iPhone 6 Plus con el Jailbreak y Cydia instalado. Además, él comenta que ha estado trabajando duro para lograr este Jailbreak y que presentaba su trabajo realizado en los últimos 4 días.

La noticia ayuda a pensar que Apple no podrá parchear esta vulnerabilidad antes de que salga la versión de iOS 8.4 final, por lo que tendremos Jailbreak disponible para dicha versión. De momento i0n1c no ha publicado la herramienta, y ha comentado que este no es un nuevo fallo de iOS y que el código podria ser utilizado prácticamente para siempre. Estas declaraciones pueden sorprendernos a muchos. Aunque este hacker no haya liberado la herramienta, se espera que o PanGu o TaiG liberen una herramienta que permita realizar el Jailbreak, ya que no hace mucho la gente de PanGu ha liberado un Jailbreak parcial de iOS 8.3.

Figura 1: PoC de Jailbreak en iOS 8.4

La nota que publicó el hacker fue: "Hoy estoy encantado de compartir este video de una prueba de concepto para iOS 8.4 bea 1 con Jailbreak, en el cual he estado trabajando en los últimos 4 días. No estoy mostrando un Jailbreak persistente o untethered a día de hoy, porque algo crashea cuando lo intento, pero bueno esto es sólo una primera prueba de concepto". Seguramente pronto, tengamos novedades acerca de esto, para Apple empezó la cuenta atrás, ya que trabajarán a ciegas para tapar un agujero que parece proporcionar un Jailbreak a los usuarios del dispositivo.

miércoles, 22 de abril de 2015

Apple no solucionó bien el bug de Rootpipe en Yosemite

El fallo de seguridad denominado como Rootpipe sigue dando que hablar en el mundo OS X y es que hay malas noticias para los usuarios de Mac. Como resumen de esta vulnerabilidad podemos decir que en Octubre de 2014 Emil Kvarnhammar reveló que había descubierto una vulnerabilidad peligrosa y que en algunas versiones de OS X, incluyendo la recién liberada por aquel entonces Yosemite, podría ejecutar código como root en un Mac. Hace unas semanas el exploit fue liberado, una vez que Apple aparentemente solucionó el problema, pero de nuevo aparecen las malas noticias ya que parece que no se ha solventado el problema.

Con CVE-2015-1130 Rootpipe permite escalar privilegios en el sistema. Kvarnhammar comentó que no daría detalles de la vulnerabilidad hasta que Apple lo parchease, y así se hizo todo, pero desafortunadamente, pocos días después de la salida del parche se ha publicado que Rootpipe sigue afectando a los sistemas OS X, en esta ocasión también a la 10.10.3. Además, Apple comentó que no tenía intención de parchear las versiones antes de Yosemite, dejando en riesgo a una gran cantidad de usuarios de Mac.

Patrick Wardle, director de I+D en Synack comentó que se topó con una manera sencilla para que cualquier usuario pueda volver a utilizar Rootpipe en la versión 10.10.3 OS X Yosemite. Como se puede ver en el video, al menos su ejecución parece sencilla. Wardle comenta en su blog que no está indicando los detalles de cómo explotar la vulnerabilidad ahora, pero que esta información ha sido compartida con el equipo de seguridad de Apple. Todos los ojos se encuentran puestos en la empresa de Cupertino para que solventen esto cuanto antes.

martes, 21 de abril de 2015

Bug de Flash Player permite que te espíen por tu webcam. ¡Actualiza Flash Player y tapa tu webcam!

Urgentemente se debe actualizar la versión de Adobe Flash Player en los sistemas OS X que tengas, ya que debido a una vulnerabilidad CVE-2015-3044 se podría ejecutar código remoto y tener acceso a la webcam con la que acceder gráficamente a tu intimidad. Otro de los recursos a los que se tendría acceso es el micrófono, con el que se podría grabar conversaciones que el usuario tenga delante del equipo. Realmente, cuando se explota una vulnerabilidad, y por ejemplo se ejecuta un Meterpreter tendremos acceso a micrófono y webcam en el OS X, y por otro lado si se troyaniza el equipo, seguramente tengamos acceso igual.

Existen muchos métodos por los que un atacante puede acceder a dichos recursos, aunque lo que parece diferenciar esta vulnerabilidad de otras, es que con la explotación de ésta el usuario no tiene ningún síntoma, no se solicita al usuario el acceso a la cámara como normalmente ocurre con estas aplicaciones.

Figura 1: Prioridad que indica el propio Adobe

Este bug afecta a todas las plataformas que soporten Flash, por lo que debemos tener cuidado en nuestros sistemas OS X. Las versiones vulnerables o que son afectadas por esta vulnerabilidad podrían ser desde la 17.0.0.169 y anteriores. ¿Cómo se explota? Es un ataque conocido como client-side, en el cual un usuario accede a un sitio web malicioso que se encuentra preparado para recibir una petición y devolver el exploit. En el instante en el que el exploit tiene éxito y se aprovecha de la vulnerabilidad se ejecutaría lo que se denomina el payload. Este "código" es el código arbitrario que se ejecuta en la máquina remota y que haría que un atacante pudiera tener acceso a la webcam.


Figura 2: Vídeo demostración de la explotación de este bug

Generalmente, en este tipo de vulnerabilidades cuando un proceso de este tipo quiere acceder a la cámara, se solicita su acceso mostrado un mensaje al usuario para que lo autorice, si se encuentra configurado de esta manera, pero según el investigador Pynnönen, esto no ocurre en esta ocasión produciéndose un bypass de dicho mensaje.  Adobe no es nuevo en estas lides y ya hemos visto en el pasado otros bugs de Flash que permiten que te graben con la webcam.

lunes, 20 de abril de 2015

Microsoft Office 2011 para OS X soluciona 5 bugs críticos

Microsoft ha lanzado la versión de Office 2011 con la actualización 14.4.9 para OS X. Esta actualización es válida para sistemas OS X desde la versión 10.5.8 hasta la versión 10.10.3 de Yosemite. Estas actualizaciones de seguridad resuelven un total de 5 vulnerabilidades críticas de Microsoft Office que podrían permitir a un atacante ejecutar de forma remota código. Esta actualización de Office 2011 para Mac afecta a todas las aplicaciones de la suite, es decir, Word, Outlook, Office, Office Web Apps Server y Word Automation Services Microsoft Sharepoint Server 2013.

Hay que tener en cuenta que la vulnerabilidad más grave podría permitir ejecutar código arbitrario a un atacante abriendo un archivo de Microsoft Office creado de forma maliciosa con tal fin. Un atacante que aprovechase dicha vulnerabilidad ejecutaría el código en el contexto del usuario actual del sistema que ejecutase dicho fichero. De este modo, si el usuario tiene configurado su cuenta con pocos derechos o privilegios en el sistema, se correría menor riesgo ante esta situación. Hay que tener en cuenta que existen exploits como por ejemplo Rootpipe que puede permitir escalar privilegios en sistemas OS X.
Figura 1: Actualización de Office 2011 para Mac

A continuación se pueden leer los diferentes CVE que son parcheados con esta actualización:
  • CVE-2015-1639. Esta vulnerabilidad afecta a Outlook y es provocada por una gestión errónea en las cadenas HTML. Un atacante puede aprovechar esta vulnerabilidad para leer el contenido para el que no está autorizado.
  • CVE-2015-1641. Microsoft Office tiene un fallo al gestionar el formato de texto enriquecido y puede provocar la ejecución de código arbitrario.
  • CVE-2015-1649, CVE-2015-1650, CVE-2015-1651. Ejecución de código arbitrario por una mala gestión en el manejo de los ficheros, pudiéndose crear un archivo malicioso que provoque dicha ejecución arbitraria por parte de un atacante.
Se recomienda a todos los usuarios de Microsoft Office para Mac 2011 que actualicen cuanto antes. Los usuarios de esta herramienta pueden actualizarla a través de la herramienta actualización de Microsoft.

domingo, 19 de abril de 2015

Un Apple I del garaje de Steve Jobs subastado en eBay

Una noticia extraña ha salido a la luz en los últimos días y es que un equipo completamente funcional Apple I, construido en 1976, con diversos complementos como una tarjeta de interfaz de casete original de Apple está siendo subastado actualmente en eBay con una parte del precio de venta que está destinado a la caridad. El Apple I fue apodado como Copson Apple I. Esta máquina ha tenido varios dueños, entre ellos el ex empleado de Apple Joe Copson. La máquina nunca llegó a venderse, aunque estuvo en subasta en 2012.

¿Qué tiene de original este equipo, aparte del tiempo? El equipo fue creado desde el garaje de Steve Jobs según indica el anuncio, por lo que el valor de este equipo aumenta exponencialmente. Aunque las fechas no son exactas, ya que no se pueden confirmar, el Copson Apple I se sospecha que es más viejo que una versión que fue vendida en Octubre del año pasado por un valor de 905.000 dólares. Ese modelo en particular fue adquirido por la Organización Henry Ford para exhibirlo en un museo.

Figura 1: El Manual del Apple I original lo puedes conseguir aquí.

La máquina Copson, en gran parte, no tiene cambios desde que salió de "fábrica", aunque el propietario original pudo haber añadido una interfaz casete de Apple I a la placa. Las reparaciones se llevaron a cabo no hace mucho. La placa viene montada en una caja con el teclado Datanetics, e incluye el manual firmado por Steve Wozniak.

Figura 2: A 4 días el precio supera ya los 55.000 USD

¿Por qué es tan valioso? La ascensión de Apple desde el garaje de Steve Jobs a ser la empresa más valiosa en la tierra, los coleccionistas se han apresurado a poner sus manos en el primer producto de la compañía. La subasta más reciente no cumplió con las expectativas, sin embargo, se vendió por 365.000 dólares en Diciembre de este año, por debajo de las estimaciones que hablaban de 600.000 dólares después de ventas de Apple I por 375.000 USD. Steve Jobs y Wozniak construyeron un total de 200 equipos de Apple I a partir de 1976, cada venta a un precio inicial de 666 dólares, sin fuente de alimentación, pantalla o teclado. A día de hoy la subasta en eBay está en 55.000 dólares y faltan pocos días para su cierre, ¿Se cubrirán expectativas?

sábado, 18 de abril de 2015

Explotando bugs en aplicaciones escritas en Objective-C

En el popular e-zine Phrack Magazine se han publicado dos artículos a explotar aplicaciones escritas en Objetive-C, como cuentan nuestros amigos de Cyberhades. El primero de ellos, que ya tiene un tiempo, está centrado en el Runtime de Objective-C, y bajo el título de The Objective-C Runtime: Understanding and Abusing explica cómo funciona y cómo se pueden explotar aplicaciones abusando de él.

Figura 1: The Objective-C Runtime: Understanding & Abusing

El segundo, y más reciente artículo, se titula Modern Objetive-C Exploitation Techniques y se centra en la explotación de bugs de corrupción de memoria y cómo generar exploits utilizando técnicas como ROP.
Si te gusta el mundo del exploiting, y quieres centrarte más en las aplicaciones de iOS o de OS X creadas con Objetive-C merece la pena que estudies a fondo estos dos artículos.

viernes, 17 de abril de 2015

Oracle libera Java SE 8u45 para OS X. Actualiza y fortifica

La gente de Oracle sigue su lucha contra los fallos de seguridad y vuelven a lanzar un update, en esta ocasión se trata de la versión 8 update 45. En este paquete de actualización de seguridad se corrigen 14 fallos de seguridad. Estos fallos pueden ser explotados por un atacante sin necesidad de utilizar un nombre de usuario y contraseña. Con esta actualización, después de abril de 2015, Oracle ya no publicará actualizaciones de Java SE 7. Desde Enero de 2015, Oracle ha ido migrando a los usuarios de la versión 7 de Java a la 8.

Las versiones que se ven afectadas por los fallos de seguridad de esta última actualización son las siguientes versiones: Java SE 5.0u81, Java SE 6u91, Java SE 7u76, Java SE 8u40, Java FX 2.2.76 y JRockit R28.3.5. En muchas ocasiones, se habla de la importancia de Java en el mundo de la informática, y la tiene. Es ampliamente instalado en los sistemas operativos de los usuarios, y sigue siendo uno de los objetivos de muchos delincuentes en Internet. Es cierto que podemos verlo en declive, pero a día de hoy Java se encuentra instalado en más de 3.000 millones de dispositivos en el mundo, por lo que conviene tenerlo instalado.

Figura 1: Algunos CVEs parcheados con Java SE 8u45

El investigador Brian Krebs proporciona algunos consejos para reducir el riesgo como usuario de Java. Por ejemplo, si tenemos activo Java o lo necesitamos tener, podemos deshabilitarlo en el navegador, para que nuestra navegación no utilice Java sin un consentimiento claro. Las últimas versiones de Java permite a los usuarios desactivar contenido de Java en los navegadores a través del panel de control del propio Java. Otra posibilidad sería la utilización de un enfoque doble navegador, deshabilitar Java del navegador que se utiliza para la navegación normal, y dejarlo habilitado en un segundo navegador que se utiliza únicamente para los sitios que se saben requieren Java.

Figura 2: Reglas de seguridad en Java con JavaRuleSetter

Es necesario actualizar Java para poder estar más seguro en el uso de sus sistemas y de su navegación por Internet. Un caso que puede darse es que tengamos Java instalado y no lo estemos utilizando o no lo necesitemos, por lo que se recomienda su desinstalación. Esta sería una medida a tomar con todo el software que no sea utilizado. Además, para completar la protección y la gestión de Java, recuerda que tienes la posibilidad de utilizar JavaRuleSetter, de Eleven Paths.

jueves, 16 de abril de 2015

CVE-2015-1126: Bug en el esquema URL de Safari

El investigador Jouko Pynnönen de la empresa finlandesa Klikki Oy ha encontrado un error ya parcheado, del cual se comenta que podría afectar a millones de iDevices de Apple. El investigador comenta que la vulnerabilidad se encuentra en la formación del esquema, en las direcciones URL, de transferencia de archivos que utiliza el navegador Apple Safari. Esta vulnerabilidad permite a los atacantes modificar modificar cookies de sitios web y cargar documentos desde sitios maliciosos o preparados para ejecutar cierto código.

En otras palabras, un atacante podría crear contenido web que, cuando fuera visitado por un usuario, no pasase las restricciones normales que Safari aplica y se podría acceder o modificar cookies HTTP pertenecientes a cualquier sitio web. Esto es un fallo importante en el navegador de Apple, ya que el ataque podría ser llevado desde cualquier sitio remoto. 

Figura 1: test para comprobar si tu Apple Safari es vulnerable

En general, la mayoría de los sitios web que permiten iniciar sesión a los usuarios almacenan su información de autenticación, por lo normal claves de sesión, en las cookies, indica Pynnönen. El acceso a estas cookies permitiría a un atacante obtener una sesión autenticada, lo que es conocido como un hijacking de sesión. El investigador continúo hablando de las versiones afectadas por esta vulnerabilidad, resultando ser todas las versiones de Safari, tanto en iOS, OS X o Windows. De este modo, el número de dispositivos afectados podría ser del orden de los mil millones.  Para dar más datos, el investigador comunicó que el fallo de seguridad afectaba a Safari en iOS 8.1, 6.1.6, el antiguo iPhone 3GS y las versiones 7.0.4 y 5.1.7 en OS X 10.9.3. Además, en Windows 8.1 también ocurría.

Figura 2: Si es vulnerable los resultados serán como estos

Los enlaces con la siguiente estructura ftp://usuario:contraseña@host/path son los problemáticos, cuando los campos de usuario o contraseña incluyen caracteres con codificación especial. Los atacantes pueden manipular la dirección URL para hacer que los documentos se carguen desde sus sitios preparados.  Pynnönen utiliza el ejemplo siguiente para mostrar al mundo el error ftp://user%40attacker.com%2Fexploit.html%23@apple.com/. Las versiones vulnerables decodifican el ejemplo erróneamente. El ataque requiere JavaScript y podría ser logrado utilizando iframes embebidos en sitios web benignos. La vulnerabilidad tiene el expediente CVE-2015-1126 y se recomienda actualizar Safari a sus últimas versiones.

miércoles, 15 de abril de 2015

Aprende Sinfonier Project los días 16 y 17 de Abril en Jaén y gana un MacBook Pro, un iPhone o un iPad Air

Tras su participación en eventos por todo el mundo, el grupo de personas que está detrás de Sinfonier Project hará una parada en la Escuela Politécnica Superior de Jaén los días 16 y 17 de Abril con el Hackathon Desfragmentando la Identidad. Este evento organizado por Telefónica, la Escuela Politécnica Superior, la Universidad Jaén, y la Sociedad Española de Procesamiento del Lenguaje Natural pretende ser un punto de encuentro para la generación de inteligencia a través de fuentes abiertas de información utilizando las topologías de Sinfonier.

Durante estos dos días, expertos y apasionados de la seguridad se darán cita para conocer este proyecto abierto que pretende democratizar el procesamiento de datos en tiempo real. Para ello, se plantearán diferentes objetivos enfocados al diseño y desarrollo de módulos y topologías que aporten soluciones óptimas relacionadas con el problema de la “Atribución” en base a la información de las identidades digitales.

Objetivos del hackathon
  • Obtener información de identidades digitales a través de técnicas de scraping.
  • Identificar identidades digitales asociadas al mismo sujeto.
  • Establecer relaciones entre los perfiles de diferentes for.
Requisitos de los/as participantes:
  • Conocimientos de desarrollo en Java y/o Python.
  • Inquietudes en el ámbito de la ciberseguridad y del procesamiento de información en tiempo real.
  • Ganas de pasarlo bien.
Como novedad para este evento el equipo de Sinfonier ha preparado un entorno de desarrollo para facilitar aún más el desarrollo sobre la plataforma. Conscientes de la necesidad de tener un entorno agíl durante eventos de este tipo por un lado y un entorno que permita una depuración sencilla y profunda la comunidad de Sinfonier se puso manos a la obra. Durante unas semanas Gaspar Muñoz, miembro y parte del equipo que hizo posible el nacimiento del proyecto, trabajó en un entorno de pruebas donde poder realizar pruebas unitarias a los diferentes módulos que se crean en Sinfonier.

Figura 1: Github de Sinfonier Project
Para ello Gaspar creó un entorno que simula la ejecución de una topología y que permite definir tanto los parámetros de entrada de un módulo como la información que va a recibir durante su ejecución. Además una vez se produce la ejecución, haciendo uso de la librería JUnit, es posible escribir una serie de test unitarios para validar que la ejecución ha sido correcta.

Figura 2: Ejemplo de código de Sinfonier
El proyecto creado por Gaspar se presentó en el último MeetUP que se realizó el mes de Marzo de este mismo año y con ese trabajo como base el equipo ha creado una maquina virtual que contiene todo lo necesario para comenzar a trabajar en ese entorno de desarrollo. La maquina virtual, distribuida en formato .ova, contiene una distribución de eclipse con los plugins necesarios para trabajar con Maven y los repositorios GIST de Github (que iremos ampliado con documentación y todos los recursos que vayamos teniendo disponibles). Lo que permite a los usuarios de Sinfonier poder desarrollar sus módulos, probarlos de forma exhaustiva y al finalizar la fase de desarrollo crear con un simple clic un repositorio GIST con el que poder crear el módulo en el portal de Sinfonier.

Si eres alumno de la Escuela Politécnica Superior de Jaén y crees que esto es para ti registrate. Si no eres alumno y también crees que esto es lo tuyo, puedes pedir acceso a la comunidad y estar a atentos a nuestro próximos eventos para participar en alguno de nuestros múltiples retos que se realizarán en España y en otros países s lo largo del año. Además, como en cualquier concurso las tres mejores soluciones al problema planteado obtendrán Premio. Un MacBook Air, un iPhone o un iPad Air pueden ser tuyos. Apúntate!

martes, 14 de abril de 2015

[PoC] El exploit Rootpipe ha sido liberado para Metasploit

Hace unos meses, en el pasado Noviembre de 2014,  hablamos de un video que apareció y en el que se veía un exploit que permitía escalar privilegios en una máquina. El grave bug en OS X Yosemite permitía la elevación de privilegios fue denominado Rootpipe. La vulnerabilidad fue descubierta por el hacker sueco Emil Kvarnhammar. Después de todo este tiempo, al final, el pasado 9 de Abril se hizo público el exploit escrito en Python para explotar esta vulnerabilidad de ámbito local.

Hay que recordar que para explotar la escalada de privilegios debemos tener conexión a la máquina remota o encontrarnos físicamente en la máquina OS X. En el siguiente video podemos recordar lo espectacular del exploit y como TrueSec fascinó al mundo de Apple. Fácil y sencillo.

Figura 1: Explotación de Rootpipe en OS X

El día 13 de Abril la gente de Metasploit publicó la adaptación del módulo de Rootpipe para el framework. Como nota hay que indicar que realmente hacen uso del exploit en Python, solo que el módulo se encarga de invocarlo. Hay que descargar el módulo Ruby, y además el fichero Python. El primer lo ubicaremos en la ruta exploit/osx/local/rootpipe.rb, mientras que el fichero Python lo almacenaremos en data/exploits/CVE-2015-1130/exploit.py. Si no tenemos en cuenta esto último el módulo no nos podrá funcionar, ya que como se comenta antes, el módulo de Ruby hace uso del código de Python.

Ejecución remota vía Mozilla Firefox

Aprovechándonos de la vulnerabilidad de Firefox, Proxy Prototype Privileged JS Injection, de la versión 31 a la 34, conseguimos una sesión en una máquina remota con OS X, por ejemplo Yosemite 10.10.2.

Figura 2: Sesión en OS X Yosemite a través de la vulnerabilidad en Firefox

Una vez tenemos la sesión se debe colocar la shell en background, aunque antes podemos visualizar los permisos que se tienen en la shell obtenida a través de Firefox. Se puede visualizar el uid del usuario pablo, y otros grupos a los que dicho usuario pertenece.

Figura 3: Shell sobre OS X Yosemite 10.10.2

Elevación de privilegios vía Rootpipe

Ahora sí, cuando dejemos la shell en background configuramos el módulo de explotación local de rootpipe. Hay varios atributos que configurar como son la sesión por la que se lanzará el exploit, en este caso utilizaremos el identificador obtenido anteriormente. Además, el exploit permite configurar que directorio será utilizado por rootpipe para escribir, tanto exploit como payload. Si lo dejamos por defecto escribiremos en /.Trashes, la cual es una carpeta que necesita privilegio para escribir, por lo que si podemos escribir tendrá buena pinta.

Figura 4: Ejecución de rootpipe y obtencion de privilegio

Como comentamos en Seguridad Apple la semana pasada, Apple ha liberado diferentes actualizaciones, tapando más de 100 agujeros de seguridad, entre sus productos iOS y OS X. Os recomendamos que actualicéis lo antes posible, ya que como podéis observar la suma de vulnerabilidades, entre software de navegación y software nativo pueden provocar que tu OS X otorgue el privilegio a un atacante.

lunes, 13 de abril de 2015

Misterio sin resolver: TweetDeck vuelve a funcionar después del fallo de inicio de sesión

La aplicación de gestión de redes sociales TweetDeck, la cual tiene fuerte presencia en el sistema operativo de Apple OS X, vuelve a funcionar después de experimentar un problema que ha dejado a los usuarios sin poder iniciar sesión en el servicio. Los usuarios se han quejado de que no han podido acceder a través de la aplicación a Twitter o a Facebook durante el viernes pasado por la tarde. El mensaje de error mostrado por TweetDeck indicaba que no se podía autenticar la cuenta proporcionada por el usuario.Hubo usuarios que mostraron su descontento por Twitter e indicaban que estaban experimentando la misma dificultad para poder acceder a través de la aplicación.

Uno de los usuarios comentó: "@TweetDeck no puedo entrar cuando intento iniciar sesión en el sistema, es un problema de todo el sistema?". Otro añadía: "TweetDeck es un desastre. En primer lugar, se han realizado cambios no populares esta semana, y ahora no podemos acceder al servicio...".

Figura 1: Mensaje oficial de TweetDeck el Sábado 11 de Abril 2015

La aplicación TweetDeck para OS X también fue afectada por este problema, aunque parece ya solucionado y la empresa no ha dado mucha información sobre el misterioso asunto. Según indican algunas fuentes el problema pudo producirse después de un ataque informático en el servicio, ya que al parecer esto fue advertido por algunos usuarios.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares