SMBloris: ataque DoS a través de otra vulnerabilidad en SMB.

by Esteban on August 1, 2017 2 Comments

Microsoft ha dicho que (por ahora) no corregirá una nueva vulnerabilidad en SMB, que permitiría a un atacante apagar de forma remota un servidor Windows con relativa facilidad y usando sólo 20 líneas de código Python y Raspberry Pi.

La vulnerabilidad reside en la forma en que se procesan los paquetes SMB y se asigna memoria y afecta a todas las versiones del protocolo SMB desde Windows 2000. La vulnerabilidad reside en la forma en que se procesan los paquetes SMB y se asigna memoria.Probablemente se introdujo en el sistema operativo mucho antes, dijo Sean Dillon (zerosum0x0), investigador senior de seguridad de RiskSense. Dillon, que llevó a cabo su investigación con su colega Zach Harding, llamó el ataque SMBloris porque es comparable a Slowloris, un ataque de 2009 desarrollado por Robert Hansen

"Similar a Slowloris, SMBloris requiere abrir muchas conexiones al servidor, pero estas son conexiones de bajo costo para el atacante, por lo que una sola máquina es capaz de realizar el ataque", dijo Dillon.

Dillon fue uno de los primeros investigadores en analizar EternalBlue, que se utilizó para difundir el ataque de ransomware de WannaCry. Fue durante ese análisis que Dillon descubrió este nuevo error.

"Mientras trabajábamos en EternalBlue, observamos un patrón en la forma en que se realizan las asignaciones de memoria en el paginado del kernel de Windows. El non-paged pool es una memoria que debe reservarse en la RAM física y no puede ser cambiado. Nos dimos cuenta que se puede agotar este pool, incluso en servidores muy robustas, incluso con 128 GB de memoria".

El problema fue reportado en privado a Microsoft a principios de junio cuando el análisis de EternalBlue fue completado, dijo Dillon. Microsoft dijo a los investigadores que dos equipos de seguridad internos concluyeron que la vulnerabilidad era un problema moderado y que no se trasladarían a la rama de seguridad. La charla de DEFCON fue 60 días después de que el informe inicial fuera enviado a Microsoft y 45 días después de que la respuesta de Microsoft.

El ataque es capaz de asignar toda la memoria, hasta el punto en que ni siquiera aparece una pantalla azul, dijo Dillon. "El caso no ofrece serias implicaciones de seguridad y no planeamos abordarlo con una actualización de seguridad", dijo un portavoz de Microsoft a Threatpost"Para los clientes empresariales que puedan estar preocupados, recomendamos que consideren bloquear el acceso desde Internet a SMBv1".

Fuentes:

El ataque es capaz de asignar toda la memoria, hasta el punto en que ni siquiera aparece una pantalla azul, dijo Dillon. "El caso no ofrece serias implicaciones de seguridad y no planeamos abordarlo con una actualización de seguridad", dijo un portavoz de Microsoft a Threatpost"Para los clientes empresariales que puedan estar preocupados, recomendamos que consideren bloquear el acceso desde Internet a SMBv1".

Fuentes:
El ataque es capaz de asignar toda la memoria, hasta el punto en que ni siquiera aparece una pantalla azul, dijo Dillon. "El caso no ofrece serias implicaciones de seguridad y no planeamos abordarlo con una actualización de seguridad", dijo un portavoz de Microsoft a Threatpost"Para los clientes empresariales que puedan estar preocupados, recomendamos que consideren bloquear el acceso desde Internet a SMBv1".

Fuentes:

Botnet Mirai: Internet de las Cosas está "destruyendo" Internet.

by Esteban on October 25, 2016 1 Comment

Una botnet masiva de dispositivos asociados a Internet de las Cosas (IoT) hackeados se ha visto implicada en uno de los ataque de DDoS más grande de la historia y que causó una interrupción importante en el servicio de DNS y por lo tanto en Internet.

La botnet es conocida con el nombre de Mirai("futuro" en japonés) y es en parte la responsable por el ataque que dejó intermitentemente algunos sitios web muy populares. Según Level 3 Communications"Los ataques eran provenientes de diversas localizaciones y de una botnet creada con dispositivos IoT".

El viernes por la mañana el objetivo fue Dyn, una empresa que ofrece servicios de DNS a sitios como Twitter, Spotify, Github y muchos otros. Según informó la empresa, el ataque fue concentrado principalmente en la infraestructura de servicios nombres de dominio (DNS) en la costa este de Estados Unidos. "Quien está detrás del ataque estaba usando alrededor del 10 por ciento de los nodos que componen la botnet de Mirai, que consiste en aproximadamente 550.000 nodos". Según el último reporte de Dyn del 21/10, "Observamos alrededor de 10 millones de direcciones IP únicas asociadas con el botnet Mirai"

 

El botnet Mirai es notable porque en gran parte de su estructura consiste en dispositivos IoT, tales como cámaras de seguridad, que no se pueden actualizar fácilmente y son casi imposibles de asegurar. En otras palabras, el botnet Mirai está creciendo rápidamente y no se puede detener fácilmente.

En concreto, Flashpoint apunta al fabricante chino XiongMai Technology, que hace componentes que luego vende a otros fabricantes. Entre los productos afectados se encuentran, principalmente y según dichos investigadores, cámaras IP y dispositivos de grabación de vídeo (DVRs). Además, en los últimos días se ha sabido que Sierra Wireless ha emitido una alerta a los usuarios de algunos modelos de sus dispositivos Airlink Cellular Gateway para que cambien las contraseñas que vienen de fábrica por otras más robustas. 

Se sabe que el C&C de Mirai fue parte del ataque contra la infraestructura de Dyn pero aún no se divulgó si hay otras botnets implicadas. Por ejemplo, existe otra botnet similar denominda Hajime ("comienzo" en japonés), que a grandes rasgos es similar a Mirai, Rex o NyaDrop y que también utiliza dispositivos infectados y es compatible con muchas arquitecturas como MIPS.

 

En septimbre pasado Mirai también participó en el ataque de 620Gbps contra Brian Krebs y el propio Krebs hablaba de Bashlight, otra botnet que opera de forma similar y que se filtró el año pasado. Una persona podría haber logrado el control total de Mirai y tendría más que suficientes dispositivos para saturar las consultas de DNS.

Apenas hace una semana, el Computer Emergency preparación Team (CERT) advirtió sobre los peligros de los ataques de DDoS por botnets creadas con dispositivos de Internet de las Cosas. Dado que el código detrás de Mirai ha sido hecho público (análisis 1 - análisis 2 - original), US-CERT predice más ataques.

Fuente: MotherBoard

 

Vulnerabilidad detectada hace seis años aún afecta a usuarios de SAP.

by Esteban on May 12, 2016 0 Comments

A pesar que los sistemas SAP suelen ser utilizados para almacenar y gestionar información de importancia crítica para la empresa, muchos de sus clientes se desentienden de instalar actualizaciones de seguridad. 

La entidad US-CERT, dependiente del Ministerio del Interior de Estados Unidos (Department of Homeland Security), publicó el 11 de mayo lo que constituye su primera alerta de seguridad por vulnerabilidades en sistemas SAP

La advertencia no se refiere a una nueva vulnerabilidad, propiamente tal, sino al hecho que un gran número de clientes de SAP, incluyendo grandes empresas, utilizan sistemas no actualizados o mal configurados, que de esa forma son vulnerables a un agujero de seguridad en Invoker Servlet, parcheado por SAP en 2010

La empresa de seguridad informática Onapsis dice haber detectado en foros públicos chinos información en el sentido que la vulnerabilidad habría sido explotada en, al menos, 36 empresas en el período comprendido entre 2013 y 2016. En un informe elaborado por Onapsis, la empresa indica que “sólo hemos visto la punta del témpano” y que no es posible descartar que las vulnerabilidades estén siendo utilizadas en ataques activos. 

Las 36 empresas del caso tienen su sede, o son subsidiarias de empresas registradas en Estados Unidos, Gran Bretaña, Alemania, China, India, Japón y Corea del Sur. Las empresas operan en los ámbitos de hidrocarburos, telecomunicaciones, comercio, automoción o producción siderúrgica, como asimismo servicios públicos incluido suministro eléctrico.

La vulnerabilidad está radicada en Invoker Servlet, funcionalidad de sistemas SAP NetWeaver Application Server.Aparentemente, y afecta todos los elementos ejecutados en las plataformas SAP Java, o al menos las siguientes:

  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)

Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP vía Internet. Para ello, sólo se requiere la dirección IP del sistema SAP, y un navegador, como asimismo un código de ataque.

Los usuarios de SAP, que por una u otra razón no tengan la posibilidad de instalar el parche en cuestión, pueden alternativamente desactivar Invoker Servlet en el sistema. Sin embargo, Onapsis advierte que esta desactivación podría ser anulada por aplicaciones Java específicas o personalizadas por la propia empresa.

Según Onapsis, SAP ha publicado más de 3000 parches de seguridad en los seis años siguientes a la vulnerabilidad parcheada en 2010. Esto equivale, en promedio, a 30 parches mensuales.

US-CERT presenta una serie de consejos a los administradores SAP que no tengan control total de la seguridad del sistema. En primer lugar, recomienda eliminar todas las vulnerabilidades conocidas, como asimismo las configuraciones erróneas. Asimismo, sugiere identificar y analizar la configuración de seguridad entre los sistemas y aplicaciones, con el fin de mapear los riesgos que implican. Asimismo, la entidad sugiere analizar los sistemas con el fin de identificar usuarios malignos, o usuarios con demasiados derechos.

Fuente: DiarioTI

  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP vía Internet. Para ello, sólo se requiere la dirección IP del sistema SAP, y un navegador, como asimismo un código de ataque.
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP vía Internet. Para ello, sólo se requiere la dirección IP del sistema SAP, y un navegador, como asimismo un código de ataque.
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP vía Internet. Para ello, sólo se requiere la dirección IP del sistema SAP, y un navegador, como asimismo un código de ataque.
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  

Fallo del protocolo SS7 permite saltar el cifrado de WhatsApp.

by Esteban on May 11, 2016 0 Comments

Tus conversaciones de WhatsApp podrían "estar en peligro”", pues un nuevo fallo detectado por la firma de seguridad rusa Positive Technologies permitiría saltarse el cifrado end-to-end de la aplicación. Una vulnerabilidad que también afectaría a otras utilidades como Telegram y que tiene que ver con el sistema de señalización por canal común Nro 7 (protocolo SS7) el responsable de que los comentarios enviados a través la app de mensajería pudieran ser interceptados.
 

Eso sí, resulta imprescindible aportar algunos detalles. Así y para que te hagas una idea, el también conocido como cifrado de extremo a extremo se encuentra basado en el protocolo SS7, precisamente el que tiene problemas. Este se emplea en el establecimiento de llamadas, la traducción de números, y el envío de SMS, entre otros; y desde 1975 (el año en que se desarrolló) no ha experimentado demasiados cambios.

 

 

Un método que, teóricamente, garantiza que todas las conversaciones lleven aparejada una clave privada y otra pública; la primera de las cuales sería la única que se compartiría entres los interlocutores; de tal manera que, si bien todos los comentarios pasarían por los servidores de la plataforma, lo harían cifrados (sin que ningún tercero pudiera conocerlos).

Sin embargo, no son pocos los expertos en seguridad que vienen alertando [PDF] desde hace tiempo de posibles agujeros en el protocolo SS7; unos errores que expondrían las conversaciones y permitirían espiarnos. Una realidad que acaban de demostrar los especialistas de la citada compañía rusa y que relatan paso a paso y con todo lujo de detalles a través de su página web.

De esta manera, Positive Technologies narra cómo, mediante un portátil Linux, se han conectado al nodo de la red que prestaba servicio al terminal y se han hecho con la conversación entre dos usuarios de WhatsApp. Y lo han logrado de la mano de un fallo que les ha dejado “robar” el SMS de autentificación y suplantar la identidad de los interlocutores. 

 

 
En todo caso, algunas filtraciones apuntan a que WhatsApp pretende sustituir este sistema por el registro a través de una cuenta de correo electrónico, asociar nuestra cuenta a Facebook y similares. Otra de las posibles novedades es la inclusión de un código QR para el añadido de nuevos contactos, aunque todavía se esta a la espera de confirmar estas informaciones. 

Fuente: Genbeta | Softpedia

272,3 millones de cuentas de Gmail, Hotmail y Yahoo gratis.

by Esteban on May 6, 2016 0 Comments

Según Reuters, cientos de millones de nombres de usuario y contraseñas de Mail.ru, Gmail, Hotmail y Yahoo. Alex Holden, fundador de Hold Security, quien el año pasado ya había realizado un descubrimiento similar de CyberVor, dio detalles de como se comercializan y regalan 272,3 millones de cuentas robadas en Rusia. 

El descubrimiento se produjo después de investigar a un joven delincuente ruso apodado "The Collector" que alardeaba en un foro de que había obtenido 1,17 billones de registros y estaba dispuesto a regalarlos. Luego de la depuración, las credenciales de correo de Yahoo suman 40 millones (15 por ciento); Hotmail suma 33 millones (12 por ciento) y 24 millones (9%) son cuentas de Gmail. Las 57millones de cuentas restantes son de Mail.ru, el proveedor más grande de correo de Rusia.

Según el informe, no sólo se encontraron cuentas de correo electrónico sino combinaciones de usuarios y contraseñas que parecen pertenecen a trabajadores de algunos de los más grandes bancos de Estados Unidos y empresas minoristas.

El delincuente estaba pidiendo sólo 50 rublos (menos de U$S1 ), pero Holden obtuvo la información gratis después de hacer comentarios online favorables sobre el "hacker". "Esta información es actual y esta persona ha demostrado que está dispuesto a regalar los datos a las personas que son agradables con él", dijo Holden.

Un portavoz de Mail.ru dijo que están comprobando cualquier combinación de nombres de usuario/contraseñas con usuarios activos y se advierte a los afectados.

 

Fuente: Reuters

www.estebanrojas.com