Archivos de etiquetas: actualización

DHS (EEUU) urge por parchar vulnerabilidad de Windows: BlueKeep

La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad de la Patria (DHS) de Estados Unidos ha emitido una alerta pública acerca de una vulnerabilidad crítica. Han comunicado explícitamente “actualizar ahora”, sumándose así a la Agencia Nacional de Seguridad (NSA) y a Microsoft en advertir los peligros de la vulnerabilidad BlueKeep (CVE-2019-0708).

Expertos de seguridad pronostican que es sólo cuestión de tiempo, unas cuantas semanas para ser más explícitos, para que los cibercriminales utilicen esta vulnerabilidad como una arma, lo que clasificaría a BlueKeep como una bomba de tiempo cuyo impacto podrían ser similar al que tuvo en su momento el aún célebre WannaCry.

La alerta del CISA confirma este peligro, indicando además de que han determinado que Windows 2000 también es vulnerable a BlueKeep, lo que aumenta la superficie de ataque potencial de un exploit de esta vulnerabilidad.


Investigaciones revelan que poco menos de un millón de máquinas visibles a internet son vulnerables a BlueKeep en el puerto 3389, sirviendo de punto de entrada a cualquier gusano que pueda infectarlos e iniciar un movimiento lateral dentro de su red interna. 

Cabe mencionar que Microsoft ha publicado parches para BlueKeep inclusive para algunos de sus sistemas operativos fuera de soporte (EOL).

BlueKeep impacta los servicios de escritorio remoto en Windows y puede ser explotado al enviar paquetes específicos al objetivo. Es posible utilizarla en un contexto de malware tipo gusano.

El sitio oficial de Microsoft relacionado con esta vulnerabilidad es https://support.microsoft.com/es-cl/help/4500705/customer-guidance-for-cve-2019-0708

Fuentes:

https://www.forbes.com/sites/daveywinder/2019/06/18/u-s-government-announces-critical-warning-for-microsoft-windows-users/#2dd952652d29

https://www.securityweek.com/dhs-issues-alert-windows-bluekeep-vulnerability

https://www.zdnet.com/article/homeland-security-weve-tested-windows-bluekeep-attack-and-it-works-so-patch-now/

Foreshadow, nueva vulnerabilidad para CPUs de Intel

Para Intel, y para más del mil millones de ordenadores que dependen de sus procesadores, no dejan de surgir vulnerabilidades.
Esta vez, la propia empresa informó de una debilidad llamada Foreshadow/Foreshadow-NG en una tecnología de seguridad llamada Software Guard Extensions (SGX) que se encuentra en sus CPUs desde 2015.
Intel dijo que dos equipos informaron de Foreshadow por primera vez en enero de 2018, vulnerabilidad a la que otorgaron el código CVE-2018-3615.
Al investigar este incidente, los propios expertos de la empresa descubrieron más variantes que extendían la debilidad a los nuevos chips con SGX en máquinas virtuales o hipervisores.
Estas vulnerabilidades recibieron los códigos CVE-2018-3620 y CVE-2018-3646 respectivamente.
Intel conoció la existencia de Foreshadow solo unos días después de que le informaran de las mega-vulnerabilidades Meltdown y Spectre.
Desde entonces, han surgido más problemas en sus CPUs, como informes sobre Spectre-NG en mayo.
¿Qué es Foreshadow?
Foreshadow es una debilidad en la ejecución especulativa del chip que podría permitir a un atacante acceder a datos cifrados que se encuentran en el enclave especial SGX.
Este enclave es una parte de la memoria del chip que está aislada y donde se pueden almacenar datos sensibles, que no pueden ser leídos por otros programas o malware.
La esencia de Foreshadow es que , en teoría, puede copiar estos datos y acceder a ellos en otro lugar.
Foreshadow-NG va un paso más allá al poder acceder a maquinas virtuales que se encuentren en la misma nube poniendo en peligro toda la infraestructura de la nube.
¿Qué CPUs están afectadas?
Si has comprado un ordenador equipado con una CPU Intel a partir de finales de 2015 es muy posible que estés afectado. Las CPUs de AMD y otros fabricantes no usan SGX por lo que no están en peligro.
Intel Core i3/i5/i7/M (45nm y 32nm)Procesadores Intel Core desde segunda a octava generaciónIntel Core X-series para las plataformas Intel X99 y X299Intel Xeon 3400/3600/5500/5600/6500/7500 seriesIntel Xeon E3 v1/v2/v3/v4/v5/v6Intel Xeon E5 v1/v2/v3/v4Intel Xeon E7 v1/v2/v3/v4Intel Xeon Scalable FamilyIntel Xeon D (1500, 2100)
¿Qué hacer?
Los sistemas que ya han aplicado las actualizaciones de Intel a comienzos de año, además de las publicadas por los sistemas operativos (estas son las instrucciones de Microsoft), ya deben estar protegidos contra Foreshadow, según Intel.
Sin embargo, para los centros de procesamiento de datos que tengan hipervisores que sean vulnerables a Foreshadow-NG no es tan sencillo, debido a las razones que Intel explicó en un vídeo.
Al igual que con Meltdown y Spectre, no hay evidencias de que nadie explotara Foreshadow, ni que fuera un objetivo obvio para un atacante ya que hay otras muchas vulnerabilidades más sencillas para sacar provecho.
De todas maneras, aunque estos fallos son teóricos por ahora, parece claro que los fabricantes de chips y sus usuarios tienen bastante trabajo por delante.
Artículo original: https://news.sophos.com/es-es/2018/08/22/todo-sobre-foreshadow-la-nueva-vulnerabilidad-de-las-cpus-de-intel/

Vulnerabilidad en Linux, falla en Sudo permite a usuarios obtener privilegios de root

Una falla de alta severidad en Linux permitiría a un atacante con bajos privilegios obtener acceso completo como administrador de un sistema afectado. Esta vulnerabilidad se encuentra en el proceso “get_process_ttyname()”.

Sudo significa “superuser do!” (ejecutar como superusuario), es un programa de Linux y UNIX que permite a usuarios normales ejecutar comandos como superusuario (“root”), tal como agregar usuarios o realizar actualizaciones de sistema.

La falla reside en la forma que Sudo convierte la información “tty” desde el archivo de estatus de proceso en el sistema de archivos.

En equipos linux, sudo convierte el archivo /proc/[PID]/stat para determinar el numero de dispositivo tty del proceso.

Mientras los campos en el archivo son delimitados por espacios, es posible incluir un espacio en blanco en el campo 2 (inclusive un salto de linea) lo cual no es esperado por Sudo.

Para explotar esta falla, el usuario puede escoger un número de dispositivo que no exista actualmente en /dev. Si Sudo no encuentra el terminal bajo el directorio /dev/pts, ejecuta una busqueda BFS (en ancho) del /dev, el atacante entonces crea un link simbólico al nuevo dispositivo creado en un directorio con permisos de escritura como /dev/shm.

Este archivo será usado como el punto de entrada y salida estandard de comandos, es posible sobre-escribir un archivo arbitrario. Esto puede ser escalado para tener privilegios completos de root al sobre-escribir un archivo de confianza como /etc/shadow o /etc/sudoers.

Afecta a Sudo 1.8.6p7 hasta 1.8.20 y se le ha otorgado una severidad alta, ya está parchado en Sudo 1.8.20p1 y se aconseja actualizar a la última versión.

Ya existen parches para Red Hat, Debian y Suse.

Fuentes:

http://www.openwall.com/lists/oss-security/2017/05/30/16

https://www.sudo.ws/alerts/linux_tty.html

https://access.redhat.com/security/cve/cve-2017-1000367

https://security-tracker.debian.org/tracker/CVE-2017-1000367

https://www.suse.com/security/cve/CVE-2017-1000367/