Adobe al más puro estilo Microsoft: parche no oficial para Acrobat Reader

Puesto que Adobe decidió “esperar” varias semanas para solucionar un grave problema de seguridad, ya ha aparecido un parche no oficial programado por un tercero. Esta era una parcela que hasta ahora se creía reservada para el sistema operativo Windows. Adobe Reader está cada vez más en el punto de mira de la industria del malware, como buen vehículo para instalar troyanos en el sistema sin que el usuario lo perciba. Ha protagonizado una nueva ola de ataques y Adobe sigue sin responder correctamente, sin experiencia en ser el centro de atención. ¿Sabrá esquivar los golpes que pueden llegarle en los próximos años?

Symantec y Shadowserver dieron la voz de alarma a mediados de febrero:

una nueva vulnerabilidad de Acrobat estaba siendo aprovechada para instalar malware. Poco después Adobe publica una nota oficial en la que reconoce el fallo, pero afirma que lo solucionará el 11 de marzo e incluso más tarde para las ramas más veteranas del producto. No publica más información, ni contramedidas, ni consejos, ni alcance… nada.

Se creía que se trataba de un ataque dirigido, minoritario, hasta que un par de días después, se hace público un exploit capaz de aprovechar el fallo. Ahora, más que nunca, es de dominio público y Adobe deja desprotegidos a sus usuarios ante una amenaza más que palpable.

SourceFire (dueños del IDS snort) ha tenido mucho que ver en esto.

Publicaron el día 20 los detalles de la vulnerabilidad y fue cuestión de tiempo que apareciera un exploit. SourceFire se justifica diciendo:

“la vulnerabilidad está siendo aprovechada desde principios de enero.

Preferimos que la gente esté protegida”.

Mientras, SourceFire publica un parche no oficial para solucionar el problema. Tal y como ha ocurrido en otras ocasiones con Microsoft, investigadores privados se adelantan y son capaces de mitigar el problema en cuestión de días. Bien es cierto que estos parches no tienen ningún tipo de garantía, y que no han superado las pruebas de calidad y compatibilidad a las que los suelen someter las empresas oficiales.

Hasta ahora, los parches no oficiales habían sido, casi en exclusiva, algo de Windows y Microsoft, cuando se le acusaba de no solucionar a tiempo graves problemas de seguridad.

Brian Krebs preguntó al director de seguridad de Adobe por qué no habían incluido información en su alerta para mitigar el problema, como por ejemplo, recomendar el deshabilitar JavaScript. La respuesta fue que deshabilitar JavaScript no atacaba la raíz del problema. Poco después la alerta oficial fue actualizada para incluir la recomendación. Adobe además, ha publicado esta semana un parche para Flash Player que soluciona un grave problema de ejecución de código.

Adobe se ha visto envuelta en un episodio del que normalmente no es protagonista, un incidente al que nos tenía (y a veces, nos tiene) más acostumbrado Microsoft. Y quizás debería aprender de quien ha recibido incontables reveses al respecto. No es la primera vez que Adobe no reacciona convenientemente antes un grave fallo de seguridad. Aunque es un software tremendamente popular, parece no tener experiencia a la hora de ofrecer unos boletines de seguridad completos, fiables, puntuales y con información útil sobre las vulnerabilidades. Esa información es muy necesaria para que un administrador de una gran empresa que gestione cientos de máquinas pueda lidiar con el problema hasta que se publique una solución.

Microsoft, con más de 15 años siendo el centro de atención del malware, ha superado a marchas forzadas ciertos aspectos, ofreciendo normalmente información detallada sobre las vulnerabilidades, contramedidas más o menos eficaces, etc. Dispone de un equipo de respuesta a incidentes que aunque no es perfecto, cumple holgadamente su función. Una de las máximas de muchas compañías es no invertir en soluciones para problemas que no existen. Cuando el problema se presenta de repente (aunque no es el caso, venimos anunciando que Adobe es carne de malware desde hace tiempo), entonces las reacciones no son las deseadas.

En el hipotético caso de que Microsoft pierda protagonismo y otros programas se conviertan en menor medida en centro de atención del malware, cuando los atacantes fragmenten y diversifiquen sus objetivos… ¿estarán preparados para encajar este golpe el resto de “candidatos”?

Fuente:Noticias Hispasec

Read More

Actualización de Flash Player por vulnerabilidades de ejecución de código

Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario en el sistema vulnerable.

Flash Player es un popular reproductor multimedia de ficheros Shockwave Flash(SWF). Originalmente creado por Macromedia, paso a ser mantenido y distribuido por Adobe tras su adquisición de Macromedia en el 2005.

Flash Player está disponible para una amplia gama de plataformas, como Microsoft Windows, Linux, Mac OS, Solaris, HP-UX, Pocket PC, Symbian y Palm OS entre otras.

A continuación se especifican las vulnerabilidades corregidas.

1- Una referencia a un objeto no válido podría permitir a un atacante remoto ejecutar código arbitrario a través de un archivo Flash especialmente manipulado. Esta vulnerabilidad, descubierta por Javier Vicente Vallejo y reportada a través de iDefense, fue notificada al equipo de Adobe el pasado mes de agosto.

2- Un error de validación de entrada que podría causar una denegación de servicio, e incluso permitir la ejecución remota de código.

3- Se ha corregido un error no especificado relacionado con Settings Manager que podría permitir ataques de clickjacking.

4- Un fallo no especificado relacionado con la visualización por pantalla del puntero del ratón podría permitir ataques de clickjacking en sistemas Windows.

5- Revelación de información sensible, a través del binario de Flash Player para Linux, que podría permitir una escalada de privilegios.

Adobe no ha proporcionado detalles técnicos acerca de las vulnerabilidades, aunque especifica que explotando la primera, y posiblemente la segunda, un atacante podría ejecutar código arbitrario si el usuario reproduce un fichero SWF especialmente manipulado.

Los productos y versiones afectados son:

Adobe Flash Player version 10.0.12.36 y anteriores.

Adobe Flash Player version 10.0.15.3 para Linux y anteriores.

Adobe AIR 1.5.

Adobe Flash CS4 Professional.

Adobe Flash CS3 Professional.

Adobe Flex 3.

Debido a gravedad de los fallos corregidos y a las múltiples posibilidades de explotación, se recomienda aplicar las actualizaciones de seguridad a la mayor brevedad posible.

Para Adobe Flash Player actualizar a las versiones 10.0.22.87 o 9.0.159.0, desde: http://get.adobe.com/es/flashplayer/

Para Adobe Air, se recomienda instalar la última versión (v.1.5.1)

desde: http://get.adobe.com/es/air/

Fuente:Noticias Hispasec

Read More

El SSL no está roto… ¿o sí? (y II)

Segundo revés del año al SSL. O más específicamente, a la confianza que tenemos los internautas en el SSL y las páginas seguras. La primera fue con los hashes de los certificados calculados con MD5, técnica dada a conocer a finales del año pasado. De nuevo se usaban diferentes métodos ya conocidos contra el SSL. Lo que Marlinspike ha publicado es una herramienta destinada a engañar al usuario que lo hace todo mucho más sencillo.

Marlinspike ya programó sslsniff en 2002, muy usado todavía, que realiza ataques man-in-the-middle sobre SSL. En su presentación en la Black Hat realiza una interesante reflexión sobre qué ha ocurrido con el cifrado SSL en los últimos años.

SSL no está roto por la publicación de sslstrip. Está “roto” desde hace tiempo, desde que el usuario medio al que intenta proteger no entiende en qué consiste esta tecnología, y desde que los navegadores han realizado una dudosa implementación del protocolo y en especial, de la interacción con el usuario.

Durante años, navegadores como Firefox 2.x e Internet Explorer 6.x, se han limitado a advertir al usuario con lo que Marlinspike llama “positive feedback”, esto es, intentar demostrar que se está en el sitio correcto por medio de candados, barras doradas, etc. Esto no impresiona al usuario, que acaba obviando estos símbolos positivos. Pero lo peor es que es fácilmente imitable por los atacantes. Los diseñadores también han malacostumbrado a los internautas. En su empeño de parecer seguras, las páginas incluyen candados incluso en su propio código HTML, sellos de autenticidad y garantías… inútil a unos ojos que lo han visto mil veces y mucho más inútil cuando un atacante solo tiene que calcar el contenido de una web para engañar a un usuario.

Marlinspike concluye que el “negative feedback” para el usuario es mucho más efectivo. Esto es, advertirle con grandes pantallas (nada de ventanas emergentes, sino páginas integradas en el navegador) de que no se está en el sitio correcto. El usuario reacciona mejor ante las alertas negativas y catastróficas que ante la mera información o advertencia. Al no entenderlas por completo, terminarán por aceptar la opción que se le muestre por defecto.

En este sentido, tanto la rama 3 de Firefox como Internet Explorer 7 han mejorado sustancialmente. Acceder a una página con una cadena de validación de certificados inválida o con el certificado obsoleto, ahora requiere muchos más clicks por parte del usuario y es más escandalosamente advertido por los navegadores.

Sin embargo a pesar de todo eso sslstrip está preparado para hacer todo lo posible por convencer al usuario de que se encuentra en el sitio correcto. Y lo consigue. Ayuda el diseño de muchas páginas, que permiten que el usuario introduzca sus datos en un formulario no cifrado que termina en uno cifrado.

SSL por tanto, sigue siendo de las pocas cosas en las que podemos confiar en la red. El fallo está en todo lo que lo rodea: usuarios, diseñadores, protocolos, implementaciones, autoridades certificadoras…

aprovechando pequeños problemas en todos y cada uno de estos actores, se pueden realizar ataques muy sofisticados. Si las técnicas quedan reunidas en una herramienta que permite llevarlas a cabo todas a la vez y sin demasiado esfuerzo, el problema es grave.

SSL goza de buena salud, pero si se comienza a cuestionar su validez, si siguen apareciendo técnicas que ponen en duda incluso a usuarios expertos, ya no importará si una página está cifrada o no. Para la mayoría de los usuarios, no significará nada porque realmente no tendrán forma de comprobar de forma sencilla que estén en el sitio correcto: “si pueden engañar a un usuario experto, también podrán conmigo de forma mucho más sencilla”, y se rendirán ante una tecnología que ni conocen ni tienen por qué entender. Nadie quiere tener que comprobar rutas de certificación, fechas de certificados, etc, allá donde introduzca sus contraseñas.

Como solución, lo que Marlinspike propone es que todo el tráfico sea cifrado. No se debe pretender confiar ciegamente en HTTPs cuando está asentado sobre HTTP, un protocolo no seguro.

Fuente:Noticias Hispasec

Read More

El SSL no está roto… ¿o sí? (I)

Moxie Marlinspike protagonizó la semana pasada una conferencia en la Black Hat en la que demostraba cómo eludir la autenticación y el cifrado SSL de las páginas supuestamente seguras. El investigador se ha centrado en una inteligente combinación de técnicas que permiten confundir a los usuarios (incluso a los avanzados) sobre si están o no en la página correcta. Ninguna de las técnicas usadas es realmente nueva, pero todas en conjunto forman una excelente herramienta llamada sslstrip.

Sslstrip combina una buena tanda de técnicas con el único objetivo de que el usuario realmente no sepa que está en una web falsa o que su tráfico no está siendo realmente cifrado. Aclarar que el problema no está en el SSL, sigue siendo lo mejor de lo que disponemos para realizar conexiones seguras. El fallo está un poco en los navegadores, un mucho en los usuarios, algo en los certificados, bastante en las redes… pero no en la tecnología en sí.

Como siempre, teniendo en cuenta el éxito del que gozan técnicas mucho más sencillas, sslstrip todavía no será usado por atacantes de forma masiva, sino para ataques muy específicos contra usuarios avanzados. Y estos son quizás los que deban estar más atentos.

Para ser víctima del sslstrip, la primera condición ineludible es que la conexión debe estar siendo interceptada. Bien a través de un envenenamiento de ARP en red interna, bien a través de puntos de acceso wireless falsos… el caso es que el atacante debe actuar como proxy en la comunicación, teniendo acceso al tráfico. Esta es una premisa importante, pero no es extraña. El investigador usó con éxito la red de anonimato Tor para sus pruebas. Sslstrip hace todo en tiempo real, básicamente sustituyendo el tráfico cifrado (https) por uno no cifrado (http), de forma que al usuario se le presenta una página idéntica a la que necesita, pero sin cifrar y probablemente en otro servidor que pertenece al atacante. Acude al servidor real para tomar la información necesaria, pero en vez de devolverla cifrada al usuario, lo hace sin cifrar. Esta es su funcionalidad básica.

En la mayoría de las ocasiones esto sería suficiente para engañar a muchos usuarios. Pero obviamente esto llamaría la atención de otros tantos, que echarían en falta las advertencias que normalmente el navegador realiza cuando se está sobre una página cifrada (el candado, la barra dorada, el https, etc). Marlinspike, en su charla en la Black Hat, dio un buen montón de ideas y métodos para hacer que esto pase desapercibido incluso para los usuarios más avispados.

Una de ellas es la sustitución de un “favicon” de la página por un simple candado. El candado real no aparecería pero en los últimos tiempos se ha abusado tanto de esta imagen que su simple presencia (aunque no sea en el lugar correcto) da sensación de seguridad a los usuarios.

Otra de las técnicas es muy vieja ya. Se basa en el uso de caracteres especiales para hacer pensar al usuario que se encuentra en el dominio correcto. El atacante no tiene más que comprar un certificado válido para ese dominio, y de esta forma se evitarían todas las advertencias del navegador. Solo quien comprobase realmente la cadena de certificación del certificado estaría a salvo.

También presenta otras técnicas para eludir problemas como las cookies de seguridad y el manejo de sesiones autenticadas. Su herramienta tiene soluciones para evitar que el usuario más experimentado note que está siendo víctima de un robo de sus datos.

Otro de los puntos interesantes de la charla que ofreció Marlinspike, además de la presentación de la herramienta (que ha hecho pública), son las reflexiones sobre la seguridad SSL y cómo está implementada en los navegadores, de lo que hablaremos en la siguiente entrega.

Fuente:Noticias Hispasec

Read More

Shape Collage, crea fácilmente atractivos collages con tus imágenes

shapecollage

Hace un tiempo les contamos de Microsoft AutoCollage una herramienta (de pago) para crear composiciones con diferentes imágenes. Ahora les traemos a Shape Collage, una aplicación parecida a la anterior, con la que podremos hacer collages con un estilo un tanto “diferente”. La “gracia” está en que las composiciones creadas con esta herramienta luciran como si fueran collages reales, es decir, como si se tratara de una pila de fotografías pegadas manualmente.

Para crear estos collages primero tenemos que agregar las fotos que vamos a utilizar, para esto bastará con que las arrastremos a un área dentro de la aplicación establecida para ello. Luego, en un panel a la izquierda, podemos seleccionar la forma que le queremos dar al collage. Se nos permite escoger entre formas como corazones, rectángulos, triángulos, etc, o hacer cosas más creativas como crear palabras usando tipografías, o simplemente hacer un dibujo a mano alzada.

Read More

Recibe un aviso cuando te puedas registrar en un tracker privado

trackers

Si eres usuario de bittorrent sabrás que muchos del os trackers más famosos de internet tienen un registro muy restringido. Los más famosos requieren por norma general de una invitación para poder hacerlo, y es muy complicado a veces conseguirlas.

Gracias a Trackerchecker.org podremos recibir un aviso en nuestro correo electrónico cada vez que los trackers que hayamos indicado tengan el registro abierto. Para ello simplemente debemos registrarnos en la web y marcar los trackers de los que queremos estar pendientes.

Si no nos gusta demasiado eso de registrarnos en webs siempre podremos revisar la web y nos aparecerán una gran cantidad de trackers. Dependiendo del icono que aparezca al lado de cada uno podremos identificar si tiene o no el registro abierto. Verde para si, rojo para no, más claro imposible.

Fuente:Gen Beta

Read More

Nuevo visor personal con pantalla virtual de 52”

2-19-09-iwear-av310-man-sma

La semana pasada, la compañía Vuzix anunció la salida del iWear AV310 Widescreen, un visor personal que permitirá al usuario observar una pantalla virtual de 52 ” con una relación de aspecto de 16:9. Este singular dispositivo posee una autonomía de hasta cinco horas con una pila AA. Además, el AV310 ofrece ajuste independiente de foco y auriculares ajustables para el máximo comfort del usuario.

Información, guías y recursos para geeks

Sierra Wireless USB: Un módem de alta velocidad

Juan Fernando | 23 Febrero, 2009

Sin pensarlo dos veces me atrevo a decir que la MWC que se realizo la semana pasada en Barcelona, España dejó muchas cosas novedosas para quienes pudieron asistir, sobre todo a nivel de terminales y celulares en sí mismo.

Sin embargo hay algunas otras cosas que se presentaron en la feria y que no tuvieron toda la cobertura del caso pero sin lugar a dudas no dejan de ser por demás interesantes, sobre todo si piensas que en un futuro no muy lejano el tema de conectividad seguirá mejorando.

sierra-wireless-mobile-usb1

Por ello la empresa Sierra hizo el anuncio hace unos días de dos de sus nuevos módems HSPA+ el Sierra Wireless USB 306 & 307 que no son otra cosa que equipos del tipo llave USB que conectas a uno de los puertos de tu equipo, y con los cuales puedes llegar a tener velocidades de descarga de hasta 21 Mbps, claro está hay otros factores adicionales como el tema de la velocidad de tu proveedor también, pero al menos del lado de usuario puedes estar preparado para cuando la oferta llegue.

Finalmente la gente de Sierra ha dicho que para el mes de abril estará listo el upgrade del firmware que permitirá alcanzar estas velocidades con sus equipos.

Enlace: Sierra Wireless

Nuevo visor personal con pantalla virtual de 52”

Nicolask | 23 Febrero, 2009

La semana pasada, la compañía Vuzix anunció la salida del iWear AV310 Widescreen, un visor personal que permitirá al usuario observar una pantalla virtual de 52 ” con una relación de aspecto de 16:9. Este singular dispositivo posee una autonomía de hasta cinco horas con una pila AA. Además, el AV310 ofrece ajuste independiente de foco y auriculares ajustables para el máximo comfort del usuario.

2-19-09-iwear-av310-man-sma

Los usuarios podrán obtener una compatibilidad mejorada, ya que el equipo funciona tanto bajo las normas NTSC como PAL. Entre los dispositivos compatibles, aparecen todos los modelos de iPod, PMP, cámaras de video, celulares con salida de video, consolas, cámaras digitales y reproductores de DVD.

Otras especificaciones adelantadas por la compañía mencionan a las dos pantallas LCD de alta resolución, visor AcuuTilt con 15 grados de ajuste, capacidades 3D y control de configuración en pantalla. Además, será posible utilizarlo con los anteojos puestos.

Según la compañía, se incrementó la producción inicial del AV310 por una mayor demanda de mercado. Para aquellos geeks interesados en adquirir este peculiar gadget, el precio de venta al público es de US$ 249.95.

Fuente:Grupo Geek

Read More

Ejecución remota de código en Symantec Veritas NetBackup 5.x, 6.x

Se ha descubierto una vulnerabilidad en Veritas NetBackup que podría permitir a un atacante remoto causar una denegación de servicio y potencialmente ejecutar código arbitrario con privilegios de administrador.

Symantec Veritas Backup es un popular y completo sistema de almacenado y restauración de copias de seguridad en red.

El fallo reside en el demonio de comunicación vnetd que no filtra adecuadamente los datos recibidos durante el inicio de una comunicación con un cliente. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de vectores no especificados.

La vulnerabilidad está confirmada para las versiones 5.x, de la 6.0 hasta la 6.0 MP7, y 6.5 hasta la 6.5.3 todas inclusive.

Symantec ha publicado un parche que corrige esta vulnerabilidad, disponible según versión desde:

Para Symantec NetBackup Server seleccionar versión y plataforma desde:

http://www.symantec.com/business/support/downloads.jsp?pid=15145

Para Symantec NetBackup Enterprise Server seleccionar versión y plataforma desde:

http://www.symantec.com/business/support/downloads.jsp?pid=15143

Más información:

Symantec NetBackup Communications Setup Elevation of Privilege http://securityresponse.symantec.com/avcenter/security/Content/2009.02.17.html

Symantec NetBackup Communications Setup Security Bypass Issue

http://www.vupen.com/english/advisories/2009/0461

Fuente:Noticias Hispasec

Read More

Elevación de privilegios a través de pam_krb en Sun Solaris 9 y 10

Se han encontrado dos vulnerabilidades en el módulo PAM de Solaris Kerberos (pam_krb5) que podrían permitir a un atacante remoto elevar sus privilegios en los sistemas afectados.

El primero de los fallos está causado porque la librería no hace uso de la API correcta para inicializar las librerías de Kerberos, lo que podría ser aprovechado por un atacante local para escalar privilegios.

Además, bajo ciertas circunstancias, el módulo PAM de Kerberos permitiría la reinicialización de los credenciales de usuario, lo que facilitaría la realización de ataques de denegación de servicio o la escalada de privilegios.

Más información:

A Security Vulnerability in the Solaris Kerberos PAM Module May Allow Use of a User Specified Kerberos Configuration File, Leading to Escalation of Privileges

http://sunsolve.sun.com/search/document.do?assetkey=1-66-252767-1

Fuente:Noticias Hispasec

Read More

Adobe solucionará dentro de tres semanas una vulnerabilidad en Acrobat (Reader) que está siendo ya aprovechada por atacantes

La ShadowServer Fundation advirtió el día 19 de febrero de una potencial vulnerabilidad en Adobe Acrobat Reader que podría permitir a un atacante ejecutar código arbitrario. Al descubrirse el problema mientras estaba siendo aprovechado activamente por atacantes, se convierte en un grave 0day. Adobe ha reconocido finalmente la vulnerabilidad como una nueva amenaza, para la que no existe parche disponible. Esperan publicar uno el día 11 de marzo.

Poco después de que ShadowServer detectase ataques a través de archivos PDF, Adobe ha reconocido que se trata de una nueva vulnerabilidad crítica. Un desbordamiento de memoria intermedia que permite ejecución de código. Symantec ya advirtió el día 12 de febrero de un potencial nuevo ataque llevado a cabo a través de archivos PDF abiertos con Acrobat. Todavía no se sabe si se trata de la misma vulnerabilidad. Si fuese así, el archivo PDF parece que es detectado desde el 11 de febrero por varios motores antivirus. Actualmente, según nuestros registros en VirusTotal.com, se ha recibido ocho veces la misma muestra y es detectada (por firmas) por 13 motores de 39.

El fallo afecta a todas las plataformas y a todas las ramas mantenidas por el fabricante, tanto de Adobe Acrobat como de Adobe Reader.

Actualmente la 9, 8 y 7. Adobe anuncia que solucionará el fallo con parches que aparecerán sobre el 11 de marzo para la rama 9 y “más tarde”

para el resto de versiones. El boletín se publicará en http://www.adobe.com/support/security.

El fabricante no proporciona ninguna información sobre cómo mitigar el problema. Al parecer es posible que la desactivación del JavaScript permita estar protegido, pero no puede garantizarse. Mientras tanto, se recomienda no abrir documentos PDF con Adobe no solicitados o usar lectores alternativos como por ejemplo Foxit Reader (gratuito para

Windows) o Xpdf para el resto de plataformas.

Fuente:Noticias Hispasec

Read More