Archivos de etiquetas: vulnerabilidad

Exploit de Bluekeep disponible en MetaSploit

Un exploit público de Bluekeep fue añadido al framework de pentesting open-source MetaSploit, desarrollado por Rapid7 junto a la comunidad open-source.

Bluekeep es una vulnerabilidad que permite la ejecución remota de código (RCE) descubierta en el protocolo de escritorio remoto de Windows (RPD) la cual permite que un atacante sin autenticar ejecute código arbitrariamente, realice ataques de denegación de servicio, y en algunos casos, tomar el control total de sistemas sin parchar.

Este exploit recién liberado utiliza código de la prueba de concepto de los contribuidores de Metasploit zǝɹosum0x0 y Ryan Hanson, está diseñado para afectar versiones de WIndows 7 y Windows 2008 R2 de 64 bits.

El gerente de ingenieros senior de MetaSploit, Brent Cook, indicó que por defecto, este exploit sólo identifica el sistema operativo del objetivo e indica si es o no vulnerable a Bluekeep. También apuntó a que este exploit no soporta automatización de objetivo sino que requiere que el usuario especifique manualmente los detalles del objetivo antes de intentar cualquier explotación.

zǝɹosum0x0 manifestó que toda la información requerida para explotar esta vulnerabilidad ya ha sido filtrada las semanas anteriores y existen al menos una docena de exploits privados anunciados. Ha sido una preocupación por muchos meses el parchado de esta vulnerabilidad, y al igual que otras fallas de windows que se pueden incluir en un gusano, posiblemente será una preocupación en los años venideros.

La publicación de este exploit sigue a un incrementado número de ataques que apuntan a los servicios RDP, con BinaryEdge detectando actualmente más de 1.000.000 de sistemas sin parchar expuestos en internet. Shodan a su vez tiene un dashboard con estadísticas por país afectado.

El exploit hace uso de una librería RDP de propósito general con mejoras, también tiene capacidades aumentadas para reconocimiento de RDP, las cuales benefician a los usuarios y contribuidores más allá del contexto de búsqueda y explotación de BlueeKeep. Si un IPS interrumpe el progreso del exploit de BlueKeep al detectar una firma de payload contra un sistema sin parchar, la desconexión causaría un error fatal en el objetivo, ya que el código del exploit se gatilla por una desconexión de red.

Otros exploits de BlueKeep

La herramienta CANVAS de la empresa Immunity agregó un exploit completamente funcional de BlueeKeep el 23 de julio, este es un exploit completo y no se limita a verificar la vulnerabilidad.

El parche para esta vulnerabilidad fue publicado por Microsoft el 14 de mayo de este año, este parche se puede descargar para cada versión de Windows desde https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708.

Además Microsoft publicó otros parches para vulnerabilidades de RDP en agosto de este año, los cuales se encuentran disponibles en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181 y https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

Juan Pablo Tosso, Gerente de ciberseguridad avanzada de Makros:
Bluekeep es una vulnerabilidad crítica que dada su alta explotabilidad, ha sido manejada de forma hermética en la comunidad de ciberseguridad. Pese a que desde hace ya varios meses existen POCs y documentación suficiente para elaborar exploits funcionales, el alto nivel de conocimiento técnico en ingeniería reversa necesario para aprovechar esta vulnerabilidad ha evitado que script kiddies desaten el caos en internet.
La publicación de este exploit probablemente dé inicio a la creación de nuevos ransomware y una explotación masiva a servicios públicos vulnerables, por lo tanto el parchado se debe realizar inmediatamente.

Para estos casos Makros cuenta con un servicio de gestión de vulnerabilidades proactivo, el cual apoya en la detección y la mitigación.

También es recomendable implementar el módulo Sophos Exploit Prevention, disponible para Sophos Enterprise Console. Éste módulo activa las protecciones de anti-exploit, Cryptoguard, y tecnología Clean en el agente.

Fuentes:
https://www.bleepingcomputer.com/news/security/public-bluekeep-exploit-module-released-by-metasploit/
https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/
https://blog.firosolutions.com/exploits/bluekeep/
https://www.cyber.gov.au/news/acsc-confirms-public-release-bluekeep-exploit
https://nakedsecurity.sophos.com/2019/07/26/bluekeep-guides-make-imminent-public-exploit-more-likely/
https://nakedsecurity.sophos.com/2019/07/01/rdp-bluekeep-exploit-shows-why-you-really-really-need-to-patch/
https://www.computerworld.com/article/3436857/heads-up-a-free-working-exploit-for-bluekeep-just-hit.html
https://www.welivesecurity.com/la-es/2019/06/10/bluekeep-vulnerabilidad-tiene-vilo-industria-seguridad/
https://github.com/rapid7/metasploit-framework/pull/12283

NSA llama a los administradores y usuarios de Windows a instalar los parches contra la vulnerabilidad “BlueKeep”

La NSA (National Security Agency) hace un llamado con urgencia a los usuarios y administradores de windows para realizar la actualización de sistema que protege contra la vulnerabilidad “Blue Keep” CVE2019-0708, según la NSA este podría llegar a ser próximo “WannaCry” si no es tratado en este momento.
El parche para este CVE-2019-0708 fue lanzado en el mes de mayo por Microsoft, no obstante se estima que hay casi un millón de equipos vulnerables pendientes de actualización.
BlueKeep es una vulnerabilidad (CVE-2019-0708), que afecta al protocolo de escritorio remoto (RDP) utilizado para que máquinas con Windows se puedan operar a distancia a través de Internet. La vulnerabilidad es crítica y afecta a Windows 7, Windows Vista, Windows XP y a Windows Server 2008 y 2003.
La alerta de NSA es inusual y solo se produce ante casos de extrema gravedad. Hay constancia que un exploit ya está aprovechando la vulnerabilidad y se teme una campaña de ataques que resulten en una situación similar a WannaCry, un malware que también utilizó un fallo en el protocolo de escritorio remoto.
Los titulares de la institución a través de sus redes sociales oficiales han hablado sobre el delicado asunto los últimos días. Pero incluso ya publicaron una entrada en su sitio web oficial. Donde dimensionan con mayor precisión el peligro que representa:
Las advertencias recientes de Microsoft destacaron la importancia de instalar parches para solucionar una vulnerabilidad de protocolo en versiones anteriores de Windows .
Microsoft ha advertido que esta falla es potencialmente “wormable”, lo que significa que podría propagarse sin la interacción del usuario a través de Internet.
Hemos visto gusanos informáticos devastadores que causan daños en sistemas sin parches con un impacto de gran alcance, y estamos buscando motivar mayores protecciones contra esta falla.
Medidas contra BlueKeep
Junto con la instalación de los parches publicados por Microsoft, la agencia de seguridad también recomendó tomar las siguientes medidas adicionales:
Bloquear el puerto TCP 3389 en el cortafuegos, especialmente los perimetrales expuestos a Internet. Este puerto se usa en el protocolo RDP y bloqueará los intentos de establecer una conexión.Habilitar la autenticación de nivel de red. Esto mejora la seguridad, ya que requiere que los atacantes tengan credenciales válidas para realizar la autenticación de código remoto.Deshabilitar los servicios de escritorio remoto si no los necesitas. Esto ayuda a reducir la exposición a las vulnerabilidades de seguridad en general y es una buena práctica incluso sin la amenaza de BlueKeep.
Fuentes:

Actualización critica de Microsoft, alarmas de un nuevo WannaCry (CVE-2019-0708)

Hoy Microsoft liberó parches para una vulnerabilidad crítica de ejecución de código remoto, CVE-2019-0708, presente en Remote Desktop Services (antes conocida como Terminal Services) que afecta algunas versiones antiguas de Windows. El protocolo RDP en sí no es vulnerable. Esta vulnerabilidad es pre-autenticación y no requiere interacción del usuario. En otras palabras, la vulnerabilidad es “gusaneable”, lo que significa que cualquier malware a futuro que explote esta vulnerabilidad podría propagarse desde un equipo vulnerable a otro de forma similar a la en la que el malware WannaCry se esparció a través del mundo en 2017. Mientras tanto no se ha observado explotación de esta vulnerabilidad, es altamente posible que algunos ciberdelincuentes escriban un exploit para esta vulnerabilidad y la incorporen en su malware.
Es importante mencionar que recomendamos el parchado de los sistemas afectados a la brevedad de lo posible para prevenir que esta explotación suceda. Como respuesta, Microsoft está tomando la acción de entregar parches de seguridad para todos los clientes con tal de proteger las plataformas de Windows, incluyendo algunas versiones de Windows que se encuentran fuera de soporte.
Entre los sistemas vulnerables se encuentran Windows 7, Windows Server 2008 y 2008 R2. La descarga para versiones de Windows con soporte pueden ser encontradas en Microsoft Security Update Guide. Los clientes de estas versiones con soporte vigente también pueden beneficiarse de la actualización automática ya que este parche se encuentra en despliegue con este método también.
Las versiones de Windows fuera de soporte incluyen a Windows 2003 y Windows XP. Si es usuario de una versión fuera de soporte, el mejor método de mitigar esta vulnerabilidad es actualizar hacia una versión de Windows con soporte vigente. Aún así, Microsoft dispuso de parches disponibles para estas versiones en su KB4500705.
Existe una mitigación parcial en sistemas afectados que tienen habilitada la autenticación a nivel de red (NLA) . Los sistemas afectados son mitigados para evitar infecciones de malware “gusaneable” o malware avanzado que podría explotar esta vulnerabilidad, como NLA requiere autenticación antes de que la vulnerabilidad pueda ser explotada. De todas maneras, los sistemas afectados aún serían vulnerables a explotación por ejecución de código remoto (RCE) si es que el atacante tiene credenciales válidas que puedan ser utilizadas exitosamente.
Debido a lo anteriormente expuesto, se recomienda firmemente que este parche sea aplicado a la brevedad.
Fuentes:

Combinar 3 vulnerabilidades críticas podría permitir la toma de control de routers D-Link

Investigadores de Silesian University of Technology, en Polonia, descubrieron diversas fallas que pueden ser explotadas para tomar el control de algunos routers D-Link.
Las vulnerabilidades halladas son: Directory Traversal (CVE-2018-10822), Password almacenada en texto plano (CVE-2018-10824), e Inyección de comandos en Shell (CVE-2018-10823).
Esto es debido a múltiples vulnerabilidades en el servidor httpd de los routers D-Link, las cuales se encuentran presentes en diversos modelos. Al utilizar estas 3 vulnerabilidades combinadas permiten tomar el control total del router, incluyendo ejecución de código.
Algunos de los modelos afectados son: DWR-116, DWR-111, DWR-140L, DIR-640L, DWR-512, DWR-712, DWR-912, y DWR-921.
La vulnerabilidad de Directory Traversal, permite al atacante que la explota, la facultad de leer archivos arbitrariamente utilizando llamadas HTTP. Anteriormente esta vulnerabilidad fue reportada a D-Link con el CVE-2017-6190, pero el fabricante no mitigó correctamente esta falla. Esto permite que el atacante obtenga acceso al archivo que guarda la contraseña del administrador del dispositivo en texto plano.
Guardar contraseñas en texto plano es seguida con el CVE-2018-10824. Para evitar una explotación masiva, los investigadores no revelaron la ruta donde se encuentra el archivo de las contraseñas.
La otra vulnerabilidad permite que un atacante no autorizado ejecute comandos de forma arbitraria y de esta forma tomar el control total del dispositivo.
Esta situación ya fue comunicada oportunamente a D-Link, pero este fabricante aún no ha tomado acción al respecto, es por esto que se estas vulnerabilidades se hicieron públicas.
Mientras se espera una actualización de seguridad para estos routers, se recomienda que no se les permita acceso desde Internet.
Los investigadores publicaron un video para demostrar este ataque

Falla en la librería LibSSH permitiría acceso a servidores sin necesitar credenciales

Una severa falla introducida hace 4 años fue descubierta recientemente en la librería de implementación de Secure Shell (SSH) conocida como LibSSH, ésta podría permitir que cualquier atacante pase por alto la autenticación y gane privilegios administrativos para tomar control un servidor vulnerable, sin necesitar una contraseña.
Esta vulnerabilidad, en seguimiento como CVE-2018-10933, es un problema de bypass de autenticación que fue introducido en LibSSH versión 0.6 a comienzos de 2014, dejando miles de servidores empresariales disponibles para intrusión por parte de hackers en los últimos 4 años.
Las implementaciones de OpenSSH y Github no se encuentran afectas a esta vulnerabilidad.
Esta vulnerabilidad reside en un error de código en LibSSH y es “ridículamente simple” de explotar.
De acuerdo a un aviso de seguridad publicado este martes, todo lo que el atacante necesita hacer es enviar iun mensaje “SSH2_MSG_USERAUTH_SUCCESS” al servidor con una conexión SSH habilitada y cuando este espera un mensaje “SSH2_MSG_USERAUTH_REQUEST”.
Debido a una falla lógica en esta librería, esta falla al validar si el mensaje de “login exitoso” fue enviado por el servidor o el cliente, además de fallar en comprobar si el proceso de autenticación se encuentra completo o no.
Además, si un atacante remoto (cliente) envía el mensaje de respuesta “SSH2_MSG_USERAUTH_SUCCESS” a libssh, ésta considera que el proceso de autenticación fue exitoso y proveerá acceso al servidor para el atacante, sin requerir una contraseña.
Se estima que aproximadamente 6.500 servidores expuestos a internet pueden estar afectados de alguna forma por el uso de versiones vulnerables de libssh. Esto incluye toda variante de UNIX, Linux, AIX, BSD, etc…
El equipo de LibSSH se hizo cargo del problema al liberar versiones actualizadas de sus librerias libssh 0.8.4 y 0.7.6 este martes 16 de octubre de 2018, los detalles de la vulnerabilidad fueron expuestos en la misma instancia.
Fuente: https://thehackernews.com/2018/10/libssh-ssh-protocol-library.html

Foreshadow, nueva vulnerabilidad para CPUs de Intel

Para Intel, y para más del mil millones de ordenadores que dependen de sus procesadores, no dejan de surgir vulnerabilidades.
Esta vez, la propia empresa informó de una debilidad llamada Foreshadow/Foreshadow-NG en una tecnología de seguridad llamada Software Guard Extensions (SGX) que se encuentra en sus CPUs desde 2015.
Intel dijo que dos equipos informaron de Foreshadow por primera vez en enero de 2018, vulnerabilidad a la que otorgaron el código CVE-2018-3615.
Al investigar este incidente, los propios expertos de la empresa descubrieron más variantes que extendían la debilidad a los nuevos chips con SGX en máquinas virtuales o hipervisores.
Estas vulnerabilidades recibieron los códigos CVE-2018-3620 y CVE-2018-3646 respectivamente.
Intel conoció la existencia de Foreshadow solo unos días después de que le informaran de las mega-vulnerabilidades Meltdown y Spectre.
Desde entonces, han surgido más problemas en sus CPUs, como informes sobre Spectre-NG en mayo.
¿Qué es Foreshadow?
Foreshadow es una debilidad en la ejecución especulativa del chip que podría permitir a un atacante acceder a datos cifrados que se encuentran en el enclave especial SGX.
Este enclave es una parte de la memoria del chip que está aislada y donde se pueden almacenar datos sensibles, que no pueden ser leídos por otros programas o malware.
La esencia de Foreshadow es que , en teoría, puede copiar estos datos y acceder a ellos en otro lugar.
Foreshadow-NG va un paso más allá al poder acceder a maquinas virtuales que se encuentren en la misma nube poniendo en peligro toda la infraestructura de la nube.
¿Qué CPUs están afectadas?
Si has comprado un ordenador equipado con una CPU Intel a partir de finales de 2015 es muy posible que estés afectado. Las CPUs de AMD y otros fabricantes no usan SGX por lo que no están en peligro.
Intel Core i3/i5/i7/M (45nm y 32nm)Procesadores Intel Core desde segunda a octava generaciónIntel Core X-series para las plataformas Intel X99 y X299Intel Xeon 3400/3600/5500/5600/6500/7500 seriesIntel Xeon E3 v1/v2/v3/v4/v5/v6Intel Xeon E5 v1/v2/v3/v4Intel Xeon E7 v1/v2/v3/v4Intel Xeon Scalable FamilyIntel Xeon D (1500, 2100)
¿Qué hacer?
Los sistemas que ya han aplicado las actualizaciones de Intel a comienzos de año, además de las publicadas por los sistemas operativos (estas son las instrucciones de Microsoft), ya deben estar protegidos contra Foreshadow, según Intel.
Sin embargo, para los centros de procesamiento de datos que tengan hipervisores que sean vulnerables a Foreshadow-NG no es tan sencillo, debido a las razones que Intel explicó en un vídeo.
Al igual que con Meltdown y Spectre, no hay evidencias de que nadie explotara Foreshadow, ni que fuera un objetivo obvio para un atacante ya que hay otras muchas vulnerabilidades más sencillas para sacar provecho.
De todas maneras, aunque estos fallos son teóricos por ahora, parece claro que los fabricantes de chips y sus usuarios tienen bastante trabajo por delante.
Artículo original: https://news.sophos.com/es-es/2018/08/22/todo-sobre-foreshadow-la-nueva-vulnerabilidad-de-las-cpus-de-intel/

Falla en procesadores Intel permitiría borrar la BIOS

La existencia de una vulnerabilidad en el bus SPI de algunos procesadores Intel permitiría a un usuario mal intencionado realizar un ataque de denegación de servicio (DoS) en el sistema. Ya existe parche para esto.
Los procesadores afectados son:
8th generation Intel® Core™ Processors7th generation Intel® Core™ Processors6th generation Intel® Core™ Processors5th generation Intel® Core™ ProcessorsIntel® Pentium® and Celeron® Processor N3520, N2920, and N28XXIntel® Atom™ Processor x7-Z8XXX, x5-8XXX Processor FamilyIntel® Pentium™ Processor J3710 and N37XXIntel® Celeron™ Processor J3XXXIntel® Atom™ x5-E8000 ProcessorIntel® Pentium® Processor J4205 and N4200Intel® Celeron® Processor J3455, J3355, N3350, and N3450Intel® Atom™ Processor x7-E39XX ProcessorIntel® Xeon® Scalable ProcessorsIntel® Xeon® Processor E3 v6 FamilyIntel® Xeon® Processor E3 v5 FamilyIntel® Xeon® Processor E7 v4 FamilyIntel® Xeon® Processor E7 v3 FamilyIntel® Xeon® Processor E7 v2 FamilyIntel® Xeon® Phi™ Processor x200Intel® Xeon® Processor D FamilyIntel® Atom™ Processor C Series
La vulnerabilidad tiene una calificación CVSS 3.0 de 7,9 y su CVE es CVE-2017-5703.
En resumen se trata de la configuración del controlador SPI Flash de estos procesadores que expuso de forma insegura algunos códigos que permiten ejecutar alteraciones o borrado de firmware BIOS/UEFI. El bus SPI (Serial Peripherial Interface) es el que permite la transmisión full-duplex entre dispositivos.
Fabricantes de BIOS ya han puesto a disposición parches para mitigar esta vulnerabilidad

Vulnerabilidad en routers Huawei permite que sean utilizados por el botnet Mirai

Los ciber delincuentes siempre están buscando espacios para sacar algún provecho y realizar sus actividades perjudiciales. En este caso son los routers domésticos de la marca Huawei, en específico el modelo HG532. Este modelo es familiar en muchos hogares al ser utilizado por ciertos proveedores de Internet, lo que combinado con la falta de conocimiento de los usuarios de estos aparatos resulta en un trofeo demasiado atractivo para una parte de los malhechores digitales.
La vulnerabilidad en estos aparatos se trata de un error en la configuración de las políticas de seguridad para el protocolo de administración remota. Por tanto, un atacante puede tomar el control del dispositivo al enviar una serie de comandos creados y válidos para esto.
Específicamente se trata del servicio de actualización del dispositivo, ya que es posible modificar su funcionamiento para que aloje un botnet del tipo Mirai, lo que posteriormente permite al atacante realizar diversas actividades como espiar las comunicaciones o realizar un ataque del tipo DDOS al tener el control de muchos dispositivos.
Huawei ya está tomando medidas al respecto para mitigar el problema al activar el firewall del dispositivo.
En caso de poseer uno de estos artefactos contacte al servicio técnico de su proveedor de internet (foto referencial al comienzo de este artículo).
Fuentes:
Security Notice – Statement on Remote Code Execution Vulnerability in Huawei HG532 Product
Huawei Home Routers in Botnet Recruitment
Huawei Routers Exploited to Create New Botnet
Huawei HG532 Router Remote Code Execution

2017: El año en que se demostró la necesidad de seguridad en TI

Existe una pregunta que suele ser cada vez mas frecuente: ¿Que debo hacer en caso de ser víctima de ransomware?, la respuesta es un poco más compleja de lo que quisiéramos. Los ataques de ransomware son cada vez mas frecuentes y complejos, afectando a organizaciones de cualquier tipo y tamaño a escala global. De hecho debemos plantearnos que los ciberataques están mas presentes que nunca y que afectan nuestra vida profesional y privada… a menos de que nos preparemos, lo cual es la clave para alejarnos de estos problemas.
Existen varios ejemplos en distintas industrias que han sido afectadas: Educación, salud, banca, infraestructura y más. Estas organizaciones son atractivas para los criminales ya que las vulnerabilidades que estas presentan son la puerta de entrada para que ellos encuentren lo que buscan: ganancia. Mediante el robo de información sensible (correos, números de RUT, tarjetas de crédito, contraseñas) además del secuestro de datos y equipos, y la inyección de malware que convierte nuestros equipos en recursos malignos para propagación, control y ataque. Por consiguiente la ganancia para los ciber criminales es alta junto con los daños para nuestros negocios.
La pérdida de datos médicos de un paciente hospitalario puede tener consecuencias fatales, análogamente en una institución financiera una intrusión y robo de datos puede provocar la quiebra financiera de clientes e inclusive existen casos de extorsión industrial con amenazas de sabotaje mediante malware, en los cuales es la producción de una compañía es la amenazada, junto con todo lo que esto conlleva.
Una encuesta del instituto SANS indica que el mayor tipo de ataque a instituciones financieras es el ransomware, seguido del phishing.
Esto nos lleva a la pregunta inicial: ¿Que debo hacer en caso de ser víctima de ransomware?. Primero debemos modificar esta pregunta por: ¿Que debo hacer para evitar ser víctima de ransomware?, y no solo de ransomware, sino de cualquier tipo de ciberataque. Aquí la respuesta viene con un prefacio: Somos blanco de ciberataques de forma permanente, la prevención es la mejor defensa. La prevención consiste en disminuir nuestra superficie de ataque, y eso se logra de la siguiente manera:
Gestión de vulnerabilidades: Es el proceso de identificar brechas de seguridad en nuestros sistemas y gestionar la mitigación de tales brechas. Como ejemplo: El ransomware WannaCry utiliza una brecha de seguridad del stack SMB en Windows para su propagación, existe un parche por parte de Microsoft desde 1 mes antes de que empezaran los ataques masivos; gran parte de la propagación de este ransomware se pudo haber evitado si tal actualización se hubiese aplicado oportunamente, (artículo recomendado: http://www.corporateit.cl/index.php/2017/09/08/gestion-de-vulnerabilidades-lecciones-para-prevenir-y-para-no-lamentar/)
Antivirus: Base de la protección de sistemas, el antivirus es una herramienta que debe estar presente en todos los dispositivos finales que se encuentren conectados a alguna red y/o que contengan información valiosa. Aunque su nombre ya debiese ser “antiMALWARE”, consiste en la detección oportuna de código malicioso, para su eliminación. Además de sus actualizaciones constantes y frecuentes, brinda una protección primaria siempre disponible. En Makros recomendamos Sophos Endpoint Protection, para usuarios particulares existe una opción gratuita en Sophos Home
Protección por análisis de comportamiento: Se trata de un símil a un antivirus pero que no se basa en “firmas” para la detección de amenazas, sino en el comportamiento de las aplicaciones en ejecución. Mediante este análisis se puede detener y frenar exitosamente problemas tan graves como el ransomware, pues cuando detecta un cifrado de archivos que no es solicitado por el usuario, lo detecta, detiene y reporta. Un excelente ejemplo es Sophos Intercept X
(Next Generation) Firewall: Un cortafuegos es otra medida base en un sistema de seguridad, el filtro de acceso a ciertos sitios y el bloqueo de puertos de entrada locales reduce aún mas las posibilidades de que un atacante pueda tener éxito en ciertos tipos de intrusión. Esto sumado a una reportabilidad incluida “out-of-the-box” y la posibilidad de enlazarse con la consola de antivirus (Sophos Endpoint Protection) crean una potente herramienta en pos de aumentar la seguridad perimetral e interna de nuestra organización.
Anti Phishing: Sin duda la puerta de entrada principal para el malware y otros cibercrimenes es el usuario final, los correos de suplantación de identidad y sitios falsos son el factor que presenta la mayor amenaza en contra de la seguridad organizacional. El entrenamiento de nuestros usuarios debiese ser parte central de una campaña de “prevención de riesgos informáticos”. En Makros ya contamos con una plataforma de medición y entrenamiento para la prevención de phishing, la cual se encontrará a disposición en diciembre de 2017 completamente en español. De todas formas es una gran ayuda para medir cuán seguros estamos frente a la ingeniería social.
Resumiendo: Según los eventos mas relevantes de este año en materia de seguridad, debemos tener siempre en consideración estos aspectos de defensa (y otros a detallar en próximas entregas) para la protección de nuestros activos mas valiosos, la información y las personas.
Ah, y finalmente… nunca pagar el “rescate” de un ransomware, ya que no existe la seguridad de que el pago de tal rescate nos permita recuperar los datos secuestrados. Además de que al pagar estaremos validando esta actividad criminal. Una buena política de respaldos de información y la aplicación de las medidas indicadas en este artículo disminuyen en gran medida la posibilidad de un ataque y su eventual impacto.

Vulnerabilidad en Linux, falla en Sudo permite a usuarios obtener privilegios de root

Una falla de alta severidad en Linux permitiría a un atacante con bajos privilegios obtener acceso completo como administrador de un sistema afectado. Esta vulnerabilidad se encuentra en el proceso “get_process_ttyname()”.

Sudo significa “superuser do!” (ejecutar como superusuario), es un programa de Linux y UNIX que permite a usuarios normales ejecutar comandos como superusuario (“root”), tal como agregar usuarios o realizar actualizaciones de sistema.

La falla reside en la forma que Sudo convierte la información “tty” desde el archivo de estatus de proceso en el sistema de archivos.

En equipos linux, sudo convierte el archivo /proc/[PID]/stat para determinar el numero de dispositivo tty del proceso.

Mientras los campos en el archivo son delimitados por espacios, es posible incluir un espacio en blanco en el campo 2 (inclusive un salto de linea) lo cual no es esperado por Sudo.

Para explotar esta falla, el usuario puede escoger un número de dispositivo que no exista actualmente en /dev. Si Sudo no encuentra el terminal bajo el directorio /dev/pts, ejecuta una busqueda BFS (en ancho) del /dev, el atacante entonces crea un link simbólico al nuevo dispositivo creado en un directorio con permisos de escritura como /dev/shm.

Este archivo será usado como el punto de entrada y salida estandard de comandos, es posible sobre-escribir un archivo arbitrario. Esto puede ser escalado para tener privilegios completos de root al sobre-escribir un archivo de confianza como /etc/shadow o /etc/sudoers.

Afecta a Sudo 1.8.6p7 hasta 1.8.20 y se le ha otorgado una severidad alta, ya está parchado en Sudo 1.8.20p1 y se aconseja actualizar a la última versión.

Ya existen parches para Red Hat, Debian y Suse.

Fuentes:

http://www.openwall.com/lists/oss-security/2017/05/30/16

https://www.sudo.ws/alerts/linux_tty.html

https://access.redhat.com/security/cve/cve-2017-1000367

https://security-tracker.debian.org/tracker/CVE-2017-1000367

https://www.suse.com/security/cve/CVE-2017-1000367/