Mostrando entradas con la etiqueta 0-Day. Mostrar todas las entradas
Mostrando entradas con la etiqueta 0-Day. Mostrar todas las entradas

miércoles, 13 de julio de 2016

La seguridad en los equipos chinos, en cuarentena

Xiaomi deja al descubierto a millones de usuarios






La seguridad en nuestros dispositivos es un tema cada día mas preocupante y que la gente se conciencie de que los duros a 2 pesetas no existen, también , aunque por desgracia,  no nos gusta preocuparnos y pasa lo que era de esperar, cuando aun colean las denuncias sobre los equipos lenovo que ya dejaban en entredicho su seguridad, e incluso había quien denunciaba que era el mismo gobierno chino (su servicio de inteligencia) ayer salto a la prensa esta noticia, aunque realmente se descubrió a principio de año.



A todos nos pasa, queremos estar seguro pero haciendo lo menos posible,
 no quiere preocuparse por antivirus, por cambiar las contraseñas, por comprar en sitios seguros, etc.

Somos vagos por naturaleza,  solo queremos usar la tecnología y estar a salvo de los fraudes y robos de Internet.
Pero, para que esto sea posible las empresas especializadas en seguridad informática se dedican a buscar fallos de seguridad por los que un ciber-delincuente pueda acceder a los datos del usuario, etc.



IBM,  una de las empresas que se dedica a investigar este tipo de fallos, ya en  enero de este año encontró un fallo en donde muchas aplicaciones realizan el proceso de autenticación basado en HTTP, y no en HTTPS; siendo este último el método seguro y por consecuencia, saltaron todas las alarmas.

Y ¿Por qué?

La consecuencia de este fallo es bastante grave ya que  si el módulo de análisis no verifica la identidad de quien está detrás de la actualización, se le da vía libre a los ciber-delincuentes para ejecutar su código malicioso y hacerse con información sensible.

En el informe de IBM se detalla que al menos cuatro aplicaciones propias de Xiaomi son vulnerables y como no, han saltado todas las alarmas, ya que si esla misma empresa coloca por defecto estos fallos malo y si hacemos caso a las teorías de la conspiración, tenemos un caso como el de lenovo y de nuevo los dedos apuntan a los servicios de inteligencia chinos y/o a los hackers chinos. 
Tras el informe de IBM, Xiaomi reaccionó rápidamente con un parche, pero los dispositivos con MIUI Global Stable 7.2 o anteriores siguen siendo vulnerables, dejando así a millones de dispositivos al descubierto.

Por lo general estos ‘fallos’ son usados por la propia empresa o por desarrolladores para conocer datos del usuario, como la edad, sus gustos, etc; para así enviar los datos al fabricante y crear estadísticas. Pero este sistema puede ser usado (ya hay quejas de que se han usado) por los ciber-delincuentes para malos fines.

La seguridad en los equipos chinos, en cuarentena

Xiaomi deja al descubierto a millones de usuarios






La seguridad en nuestros dispositivos es un tema cada día mas preocupante y que la gente se conciencie de que los duros a 2 pesetas no existen, también , aunque por desgracia,  no nos gusta preocuparnos y pasa lo que era de esperar, cuando aun colean las denuncias sobre los equipos lenovo que ya dejaban en entredicho su seguridad, e incluso había quien denunciaba que era el mismo gobierno chino (su servicio de inteligencia) ayer salto a la prensa esta noticia, aunque realmente se descubrió a principio de año.

lunes, 29 de junio de 2015

¿Que le pasa a mi wiffi?, fallos de dns a nivel mundial

Estas ultimas semanas, mas de un usuario se esta encontrando que sus conexiones dhcp, no funcionan bien e incluso que da que no tiene conexion, tras muchos debates, tras comprobar que no es ningun ataque, ni mucho menos una infección, al final en un pequeño grupo de usuarios avanzados







y de hacktivismo, se encuentra la (que he probado y va ) respuesta y solución a este fallo, que no lo es del todo, ya que mas bien es una metedura de pata, la explicacion, es que parece ser que por fin, las grandes empresas de distribucion, estan haciendo migraciones transparentes de ipv4 a ipv6 y que en mas de un caso han fallado, ya que el ipv6 no dirige nada a ningun sitio y sale el error,  de que no tenemos internet o incluso algo mas raro, nos dice que no hay conexion, sobre todo afecta a las wiffis, pero tambien hay muchos equipos con cable con estos problemas

¿ la solucion por el momento? cambia tus dnd por las que por la sque mostramos a continuación las mas afectadas en españason las de Google, pero hay de todo



8.8.8.8
8.8.4.4






208.67.222.222
208.67.220.220

Servidor    DNS Primaria    DNS Secundaria
1.    Google    8.8.8.8    8.8.4.4
2.    OpenDNS Family    208.67.222.123    208.67.220.123
3.    Qwest    205.171.3.65    205.171.2.65
4.    The Planet    67.19.0.10    67.19.1.10
5.    Centurytel    74.4.19.187    207.14.235.234
6.    Sprint    204.97.212.10    204.117.214.10
7.    Fast Broadband    78.143.192.10    78.143.192.20
8.    Mega Lan (BG)    95.111.55.251    95.111.55.250
9.    BSO Network    212.73.209.34    212.73.209.226
10.    Time Warp    217.149.108.10    217.149.108.11
11.    Tele Connect    95.170.0.168    212.94.190.139
12.    Bulldog 1    212.158.248.5    212.158.248.6
13.    Bulldog 2    83.146.21.5    83.146.21.6
14.    Internap    212.118.241.1    212.118.241.2
15.    Eclipse    212.104.130.9    212.104.130.65
16.    Zen    212.23.8.1    212.23.3.1
17.    NTL    194.168.4.100    194.168.8.100
18.    Wanadoo UK    195.92.195.94    195.92.195.95
19.    Cambridge    212.74.114.129    212.74.114.193
20.    Screaming    212.74.112.66    212.74.112.67
21.    Cesedian Root    78.47.115.195    78.47.115.198
22.    Speakeasy    216.231.41.2    216.254.95.2
23.    Open    208.67.222.222    208.67.220.220
24.    Open 2    216.87.84.209    216.87.84.211
25.    Advantage    156.154.70.1    156.154.71.1
26.    Comodo    156.154.70.22    156.154.71.22
27.    Level 3    4.2.2.1    4.2.2.2
28.    Level 3    4.2.2.3    4.2.2.4
29.    Level 3    4.2.2.5    4.2.2.6
30.    FoolDNS    87.118.111.215    81.174.67.134
31.    Ultra    204.69.234.1    204.74.101.1
32.    validom    78.46.89.147    88.198.75.145
33.    Tiscali    195.241.77.53    195.241.77.54
34.    Norton (symantec)    198.153.192.1    198.153.194.1
35.    Exatel    220.233.0.4    220.233.0.3
36.    Asahi    202.224.32.1    202.224.32.2
37.    Century    209.206.184.249    209.142.152.253
38.    Cisco    64.102.255.44    128.107.241.185
39.    Open Nic    58.6.115.42    58.6.115.43

¿Que le pasa a mi wiffi?, fallos de dns a nivel mundial

Estas ultimas semanas, mas de un usuario se esta encontrando que sus conexiones dhcp, no funcionan bien e incluso que da que no tiene conexion, tras muchos debates, tras comprobar que no es ningun ataque, ni mucho menos una infección, al final en un pequeño grupo de usuarios avanzados




lunes, 28 de abril de 2014

ALERTA: 0-DAY en TODOS los navegadores de internet explorer

A sido Descubierta una vulnerabilidad que afecta a todas las versiones de Internet Explorer

debido a la gravedad del fallo, transcribimos el informe a continuación en ingles original y en enlace a la referencia de Microsoft sobre este fallo

 

La empresa de seguridad FireEye ha descubierto recientemente una vulnerabilidad en Internet Explorer que da vía libre a ataques "zero-day" (ataques que se producen en cuanto dicha vulnerabilidad es descubierta) al navegador. Afecta a todas las versiones desde la 6 a la 11, pero las mas afectadas son, concretamente a las versiones 9, 10 y 11.

Todos los usuarios que estén ejecutando un Windows que no sea de la gama Server están afectados, por lo tanto es muy probable que lo estés si estás leyendo este artículo desde Windows.

El ataque, con mas exactitud, se beneficia de un archivo SWF (Flash) para manipular la memoria que utiliza el navegador.

Lo que significa, que no estaremos expuestos si no tenemos Flash instalado, aunque como el Internet Explorer 10 y 11 lo llevan por defecto ya esta el lio montado.

La empresa FireEye ya ha informado a Microsoft del problema, y en Redmond lo están investigando para encontrar una solución.

No hay aun oficialmente ni fecha ni datos de cómo y cuándo se va a resolver, pero tratándose de un error así no creo que tardemos mucho en recibir una respuesta oficial. De momento ya estánintentando algo aumentando el nivel y siendo más estrictos en los niveles y aumentando las barreras contra el adware.

 

este es e informe de FireEye, en ingles, explicando el fallo

 

 

New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks

FireEye Research Labs identified a new Internet Explorer (IE) zero-day exploit used in targeted attacks. The vulnerability affects IE6 through IE11, but the attack is targeting IE9 through IE11. This zero-day bypasses both ASLR and DEP. Microsoft has assigned CVE-2014-1776 to the vulnerability and released security advisory to track this issue.

Threat actors are actively using this exploit in an ongoing campaign which we have named “Operation Clandestine Fox.” However, for many reasons, we will not provide campaign details. But we believe this is a significant zero day as the vulnerable versions represent about a quarter of the total browser market. We recommend applying a patch once available.

According to NetMarket Share, the market share for the targeted versions of IE in 2013 were:

IE 9 13.9%

IE 10 11.04%

IE 11 1.32%

Collectively, in 2013, the vulnerable versions of IE accounted for 26.25% of the browser market. The vulnerability, however, does appear in IE6 through IE11 though the exploit targets IE9 and higher.

The Details

The exploit leverages a previously unknown use-after-free vulnerability, and uses a well-known Flash exploitation technique to achieve arbitrary memory access and bypass Windows’ ASLR and DEP protections.

Exploitation

• Preparing the heap

The exploit page loads a Flash SWF file to manipulate the heap layout with the common technique heap feng shui. It allocates Flash vector objects to spray memory and cover address 0×18184000. Next, it allocates a vector object that contains a flash.Media.Sound() object, which it later corrupts to pivot control to its ROP chain.

• Arbitrary memory access

The SWF file calls back to Javascript in IE to trigger the IE bug and overwrite the length field of a Flash vector object in the heapspray. The SWF file loops through the heapspray to find the corrupted vector object, and uses it to again modify the length of another vector object. This other corrupted vector object is then used for subsequent memory accesses, which it then uses to bypass ASLR and DEP.

• Runtime ROP generation

With full memory control, the exploit will search for ZwProtectVirtualMemory, and a stack pivot (opcode 0×94 0xc3) from NTDLL. It also searches for SetThreadContext in kernel32, which is used to clear the debug registers. This technique, documented here, may be an attempt to bypass protections that use hardware breakpoints, such as EMET’s EAF mitigation.

With the addresses of the aforementioned APIs and gadget, the SWF file constructs a ROP chain, and prepends it to its RC4 decrypted shellcode. It then replaces the vftable of a sound object with a fake one that points to the newly created ROP payload. When the sound object attempts to call into its vftable, it instead pivots control to the attacker’s ROP chain.

• ROP and Shellcode

The ROP payload basically tries to make memory at 0×18184000 executable, and to return to 0x1818411c to execute the shellcode.

0:008> dds eax

18184100 770b5f58 ntdll!ZwProtectVirtualMemory

18184104 1818411c

18184108 ffffffff

1818410c 181840e8

18184110 181840ec

18184114 00000040

18184118 181840e4

Inside the shellcode, it saves the current stack pointer to 0×18181800 to safely return to the caller.

mov dword ptr ds:[18181800h],ebp

Then, it restores the flash.Media.Sound vftable and repairs the corrupted vector object to avoid application crashes.

18184123 b820609f06 mov eax,69F6020h

18184128 90 nop

18184129 90 nop

1818412a c700c0f22169 mov dword ptr [eax],offset Flash32_11_7_700_261!AdobeCPGetAPI+0x42ac00 (6921f2c0)

18184133 b800401818 mov eax,18184000h

18184138 90 nop

18184139 90 nop

1818413a c700fe030000 mov dword ptr [eax],3FEh ds:0023:18184000=3ffffff0

The shellcode also recovers the ESP register to make sure the stack range is in the current thread stack base/limit.

18184140 8be5 mov esp,ebp

18184142 83ec2c sub esp,2Ch

18184145 90 nop

18184146 eb2c jmp 18184174

The shellcode calls SetThreadContext to clear the debug registers. It is possible that this is an attempt to bypass mitigations that use the debug registers.

18184174 57 push edi

18184175 81ece0050000 sub esp,5E0h

1818417b c7042410000100 mov dword ptr [esp],10010h

18184182 8d7c2404 lea edi,[esp+4]

18184186 b9dc050000 mov ecx,5DCh

1818418b 33c0 xor eax,eax

1818418d f3aa rep stos byte ptr es:[edi]

1818418f 54 push esp

18184190 6afe push 0FFFFFFFEh

18184192 b8b308b476 mov eax,offset kernel32!SetThreadContext (76b408b3)

18184197 ffd0 call eax

The shellcode calls URLDownloadToCacheFileA to download the next stage of the payload, disguised as an image.

Mitigation

Using EMET may break the exploit in your environment and prevent it from successfully controlling your computer. EMET versions 4.1 and 5.0 break (and/or detect) the exploit in our tests.

Enhanced Protected Mode in IE breaks the exploit in our tests. EPM was introduced in IE10.

Additionally, the attack will not work without Adobe Flash. Disabling the Flash plugin within IE will prevent the exploit from functioning.

Threat Group History

The APT group responsible for this exploit has been the first group to have access to a select number of browser-based 0-day exploits (e.g. IE, Firefox, and Flash) in the past. They are extremely proficient at lateral movement and are difficult to track, as they typically do not reuse command and control infrastructure. They have a number of backdoors including one known as Pirpi that we previously discussed here. CVE-2010-3962, then a 0-day exploit in Internet Explorer 6, 7, and 8 dropped the Pirpi payload discussed in this previous case.

As this is still an active investigation we are not releasing further indicators about the exploit at this time.

Acknowledgement: We thank Christopher Glyer, Matt Fowler, Josh Homan, Ned Moran, Nart Villeneuve and Yichong Lin for their support, research, and analysis on these findings.

enlace a technet donde dan informacion desde microsoft https://technet.microsoft.com/es-es/library/security/2963983

 

ALERTA: 0-DAY en TODOS los navegadores de internet explorer

A sido Descubierta una vulnerabilidad que afecta a todas las versiones de Internet Explorer

debido a la gravedad del fallo, transcribimos el informe a continuación en ingles original y en enlace a la referencia de Microsoft sobre este fallo

 

La empresa de seguridad FireEye ha descubierto recientemente una vulnerabilidad en Internet Explorer que da vía libre a ataques "zero-day" (ataques que se producen en cuanto dicha vulnerabilidad es descubierta) al navegador. Afecta a todas las versiones desde la 6 a la 11, pero las mas afectadas son, concretamente a las versiones 9, 10 y 11.