Rompiendo RC4 en WPA- TKIP y TLS

julio 15, 2015

El protocolo HTTPS es utilizado para proteger su comunicación con este sitio web (proporcionando seguridad y privacidad). HTTPS soporta varias técnicas de cifrado, siendo uno de ellos el famoso algoritmo RC4. En un momento RC4 se utilizó el 50% de las veces, con la última estimación es 30%. Nuestro ataque NOMORE RC4 expone debilidades en este algoritmo de cifrado RC4. Más precisamente, en la mayoría de situaciones donde se utiliza RC4, estas debilidades se pueden utilizar para revelar la información que se pensaba previamente a ser encriptada segura.

En particular, se muestra que un atacante puede descifrar las cookies web, que normalmente están protegidos por el protocolo HTTPS. Sitios web utilizan estas cookies para identificar a los usuarios y autorizar las acciones que realizan. Con la obtención de la cookie de una víctima, un atacante puede iniciar sesión en un sitio web como si fuera la víctima. Esto significa que el atacante puede realizar acciones bajo el nombre de la víctima (por ejemplo, enviar actualizaciones de estado y enviar mensajes), tener acceso a la información personal (por ejemplo, a los correos electrónicos y el historial de chat), y así sucesivamente.

La investigación detrás del ataque se presentará en USENIX de Seguridad . Resumido, un atacante puede descifrar una cookie dentro de 75 horas. En contraste con los ataques anteriores, este tiempo de ejecución corto nos permite realizar el ataque en la práctica. Cuando probamos el ataque contra los dispositivos reales, tomó menos de 52 horas para llevar a cabo el ataque.

 

Como una prueba de concepto contra una página web ficticia y la víctima (para evitar dañar los sistemas reales). En nuestra demostración la víctima utiliza Internet Explorer, y nos muestran cómo el atacante puede tomar el control de una cuenta de la víctima. Se trata de las primeras debilidades tiempo en RC4, cuando se utiliza en TLS y HTTPS, son explotados contra los dispositivos reales.

 Documentacion

Fuente

Anuncios

Adobe 0-día explotado por los ataques IEEE spearphishing aeroespaciales.

febrero 12, 2013
Exploit-0-día-Adobe-Reader-Vulnerabilidad-2La semana pasada, Adobe lanzó un parche para Adobe Flash que fija una vulnerabilidad de día cero , CVE-2013-0633, que está siendo explotada utilizando los archivos de Microsoft Office con contenido Flash incrustado entrega a través de correo electrónico. La vulnerabilidad no es aislado, está circulando la noticia de un nuevo código CVE-2013-0634 están explotando valle navegadores web como Firefox y Safari en Mac OS X que ha sido identificado por FireEye empresa de seguridad.

Adobe acreditado el CERT de la compañía aeroespacial Lockheed Martin para descubrir que exploit, proporcionando indicación más del calibre del objetivo de los hackers buscaban.

Parcheado Última Adobe viernes una vulnerabilidad de día cero está explotando con contenido malicioso Flash incrustado en documentos de Microsoft Office para Windows que se entregan como archivos adjuntos enviados por correo electrónico.

Los investigadores de seguridad en el extranjero Vault reveló que los atacantes entregan las hazañas con una lanza campaña dirigida phishing dirigido al sector aeroespacial de EE.UU. y la industria.

Jaime Blasco, director de los Laboratorios AlienVault reveló que uno de los archivos adjuntos de Office utilizan para realizó la hazaña Flash era un Instituto 2013 de Ingenieros Eléctricos y Electrónicos (IEEE) Calendario Conferencia Aeroespacial.

Otra muestra aislada es una “Guía de referencia rápida del Empleado” en relación con un sistema de nómina en línea, el Automatic Data Processing (ADP), utilizado por varias compañías en los EE.UU., como Alcoa.

El análisis propuesto por FireEye reveló detalles interesantes, a pesar de los archivos de Word están en Inglés la página de códigos de archivos de Word son “Windows chino simplificado (China, Singapur)”. Los archivos de Word contiene una macro para cargar un objeto incrustado SWF flash, los archivos flash contener varias clases de ActionScript para Flash que los controles específicos y versiones del sistema operativo y el código específico para activar el exploit.

“Dos rarezas del malware fuera una referencia de codificación para” Lady Boyle “, un personaje de la aventura,” deshonrado “. Los autores tampoco ofuscar el archivo Flash malicioso, dejándolo abierto a la detección por firmas de antivirus genéricos “.

También en este caso, el código malicioso fue firmado digitalmente con un inválido certificado digital de la compañía de juegos coreano, MGAME Corporation, se utilizó el mismo documento digital para firmar PlugX herramienta de acceso remoto (RAT) en ataques anteriores sobre las organizaciones no gubernamentales, de acuerdo con AlienVault.

“Lo hemos visto docenas de certificados de veces en el pasado, como parte de los ataques dirigidos incluidas las ONG a firmar varios archivos RAT incluyendo PlugX”.

El mismo ejecutable en sí cambia el nombre para tratar de hacerse pasar por el proceso de actualización de Google.

La situación es muy preocupante, la explotación de vulnerabilidades de día cero deja a los sistemas vulnerables de destino. Afortunadamente no es tan fácil de descubrir en día-cero y en la mayoría de los casos, sus hazañas están relacionados con los ataques patrocinados por declarar . Estas ofensivas son generalmente operación estructurada susteined por intensas investigaciones encaminadas a descubrir una enorme cantidad de vulnerabilidades para explotar durante los ataques, campañas como la famosa Operación Aurora y el más reciente proyecto Elderwood .


Que tecnicas o vulnerabilidades usan fallas en conjunto?

febrero 12, 2013

 

Upload Mysql

Esta tecnica se basa  en un comando de MYSQL el cual se apoya del permiso FILE asignado en los diversos usuarios [root] para que puedan ejecutar los comandos [Into outfile/*/ Load_file()], los cuales se ejecutaran por consultas arbirtrarias con la muy conocidad vuln [SQLI].


———————————————————————————————————————————–




Para llevar a cabo el anterior metodo, es necesario el apoyo de informacion adicional, aqui es donde se afirma lo escrito anteriormente, en el cual necesitaremos el trabajo en conjuunto de fallas, que ayudaran a que se logre su objetivo final.

La informacion adicional necesaria para realizar el metodo de upload mysql  es la ruta raiz o DocumentRoot, que es la ruta desde la cual se es montado toda la estructura del sitio web segun la configuracion de su ADMIN. Esta es necesaria para poder subir archivos y dejarlos ejecutando en el servidor para el beneficio que requiera.

Ejemplo:

http://servidor/path1/archivo.php?sqli=-241 union all select 1,2,3,4,[CODEASUBIR],6,7,8,9 into outfile
“/home/usuario/web1/htdocs/path1/archivomalicioso.php”

 Resultado:

http://servidor/path1/archivomalicioso.php

Si no sabemos esa ruta, no podriamos subir un archivo debido a que no estamos definiendo en donde sera su destino.

————————————————————————————-

Directory Transversal

Esta vulnerabilidad se basa principalmente en obtencion archivos mediante rutas, aunque se puede explotar a ciegas jugando un poco al “reverse” [../../../] de directorios, pero si esta vulnerabilidad la apoyamos con un “error informativo” que nos de la Full Path Disclosure?… Seria mucho mas facil, incluso seria un poco mas peligroso y explicito, ya que podria navegar de raiz a rama [Metaforicamente]

Los errores que nos pueden ayudar son del tipo:

Pero la pregunta de todos seria… como logro saber la ruta completa?

Dependiendo del escenario armaremos el rompecabezas. Muchas veces al encontrar SQLI, el error impreso o generado tiende a ser un “Error informativo”; Ya que nos muestra FPD (Full path disclosure) entre otros datos que nos podrian servir para mas adelante.


Sin embargo no siemrpe es asi y hay es donde nos toca apoyarnos de otras fallas para lograr realizar el objetivo.


Este tipo de errores informativos los podemos localizar mediante google o algun crawler de preferencia, listando los archivos PHP del servidor indexados y ver sus errores.


Usando Dork basica:


site:sitio.com ext:php


Ejemplo:

  site:mensajito.tigo.com.co ext:php

Listo ya obtuvimos la path: /var/www/html/includes/common.inc.php
La explotacion seria masomenos asi:

Ejemplo:

http://servidor/path1/archivo.php?sqli=-241 union all select 1,2,3,4,[CODEASUBIR],6,7,8,9 into outfile
/var/www/html/includes/archivomalicioso.php”

 Resultado:

http://servidor/includes/archivomalicioso.php

NOTA:  Tiende a ser necesario el Encode Base_64

Podemos enfrentarnos a un servidor mas seguro por lo tanto no indexa archivos php vuln y nos tocaria generarlos por nuestra propia cuenta.

La habitual forma para generar un full path disclosure seria jugar con las variables.
Tenemos un archivo que descarga los pdfs de la web mediante la variable ruta, la cual asigna donde se encuentran los PDF
 
Ejemplo:
Rotundamente se descargara el pdf de forma bonita y sin ningun problema…Pero que pasa si ponemos una ruta invalida?
Ejemplo:
Resultado:

Warning: fopen(31337) [function.fopen]: failed to open stream: No such file or directory in /var/www/html/documentos/descarga.php on line 9

NOTA:  En ciertos casos no se generan errores con caracteres o rutas invalidas, por eso hay que probar sin poner nada: http://www.sitio.com/documentos/descarga.php?ruta=
Magicamento obtenemos ese lindo error el cual nos ayuda a proceder en la ayuda de otras vulnerabilidades.
Bueno, tambien podemos obtener y generar errores por cabeceras, de las cuales podemos usar un BLANK o carcater en parametros para ver como responde este.
En este caso utilizaré la muy conocida web del troyano poison-ivy la cual tiene un error al dejar en blank el parametro PHPSESSID= de Cookie.
GET http://www.poisonivy-rat.com/index.php?link=download HTTP/1.1
Host: www.poisonivy-rat.com
User-Agent: 
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cookie: PHPSESSID=
 
Respuesta
HTTP/1.1 200 OK
Date: Sat, 30 Jun 2012 09:15:35 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch7 mod_ssl/2.2.3 OpenSSL/0.9.8c
X-Powered-By: PHP/5.2.0-8+etch7
Content-Length: 7502
Keep-Alive: timeout=15, max=79
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8



Aqui utilizaré el live HTTP headers (Disculpenme usar WindSucks [Mi PC esta Dañada])

 Si enviamos el BLANK obtendremos el siguiente error
Para la visualizacion quitamos las imagenes y bingo!

NOTA: Fuente

Nuestro Resultado seria:?

1
2
3
4
5
Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /var/www/index.php on line 2
Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /var/www/index.php:2) in /var/www/index.php on line 2
Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /var/www/index.php:2) in /var/www/index.php on line 2

Hackers secuestran estación de TV en Montana

febrero 12, 2013

El KRTV.com sitio web informa de que alguien ha hackeado en el Sistema de Alerta de Emergencia y que el hacker anunció el KRTV y el CW que “Los cuerpos de los muertos se están levantando de la tumba, no se aproxime  a estos cuerpos, ya que son extremadamente peligrosos. Las autoridades locales están tratando de detener a estos cuerpos “. en varios condados de Montana.

El artículo KRTV.com tiene espacio para algunos comentarios y como se puede ver por debajo de los lectores y espectadores de KRTV están riendo sobre el hack.

Esto no quita que este es un problema grave, ya que llegar a un montón de personas que son responsables de lo que transmiten no te parece? Es una buena cosa que comunicaron el hack e informaron a sus lectores, pero el secuestrador podría haberse extendido a otro tipo de mensaje como:

La policía llama a todos a venir al departamento

Esto daría a la policía muchos problemas . ¿Qué te parece?


Microsoft parchea 57 vulnerabilidades de seguridad a través de 12 diferentes actualizaciones independientes

febrero 11, 2013

Actualizaciones de Microsoft próximos están a plena carga con 57 vulnerabilidades de seguridad a través de 12 diferentes actualizaciones independientes. Se pondrá en marcha soluciones como siempre lo hace en martes de parches, el segundo martes de cada mes. Cualquier persona que utilice Windows como su sistema operativo principal será bastante familiarizado con Martes de parches.

Microsoft's Tuesday Patch loaded with patch for 57 security flaws

Según el asesor de Microsoft , las 12 actualizaciónes de seguridad , incluyen dos para Internet Explorer (IE), que será un parche casi récord de 57 vulnerabilidades en el navegador, Windows, Office y el software de intercambio empresarial crítico del servidor de correo electrónico.

Parte de esta actualización será parches de seguridad para cada versión única de Internet Explorer. Al parecer, se trata de hacer frente a un agujero de seguridad que deja a los usuarios abiertos a la explotación a través de ataques drive-by.
De las 12 actualizaciones, cinco son considerados “críticos”, y otros están etiquetados como “importante”. Como siempre, los parches críticos se instalará automáticamente para todos los usuarios de Windows con las actualizaciones automáticas activadas.
Dos de las cinco actualizaciones importantes abordando los puntos débiles en Windows XP Service Pack 3 (SP3) y Windows Vista. Entre los cambios importantes, cinco afectará a Windows 7, cuatro de Windows 8, y tres cada uno para XP SP3 y RT Windows. Microsoft no libera todos los detalles de las vulnerabilidades hasta que los parches estén disponibles.

Adobe parchea dos 0-day explotables en Flash Player

febrero 10, 2013

0dayflash moften hack4life

El día de ayer Adobe publicó un nuevo boletín de seguridadcon actualizaciones para dos vulnerabilidades críticas, CVE-2013-0633 y CVE-2013-0634, que pueden ser explotadas en varias plataformas.

De acuerdo a lo publicado en el boletín de seguridad si no se actualizan correctamente las versiones de Adobe Flash Player podrían ser utilizadas para que ciberdelincuentes afecten el sistema o incluso tomen el control del mismo.

Quizá lo más relevante de este caso es que se trate de vulnerabilidades multiplataforma. En el caso de la vulnerabilidad CVE-2013-0633 está siendo explotada en ataques que utilizan archivos adjuntos de Microsoft Word con contenido SWF malicioso. Esta vulnerabilidad tiene como objetivo el componente ActiveX de Flash Player en Windows.

La vulnerabilidad CVE-2013-0634, por otro lado, es aprovechada a través de contenido Flash malicioso alojado en sitios web y tiene como objetivo los reproductores Flash Playeren Firefox y Safari en plataformas Mac, así como también ataques que utilizan contenido SWF malicioso en documentos de Microsoft Word enviado como datos adjuntos de correos electrónicos.

Esta situación pone de nuevo a los usuarios en una situación que los deja vulnerables, si no están debidamente protegidos ante ataques que busquen descargar malware en sus computadoras a través de contenido malicioso en formato Flash. Por lo tanto es muy importante que cuenten con una solución de seguridad que los proteja mientras navegan en Internet, pues una gran cantidad de estos códigos maliciosos suelen alojarse en sitios web, con el agravante que muchas veces los atacantes vulneran sitios legítimos para obtener mayores réditos en sus ataques.

Todas estas vulnerabilidades en programas como Java o Adobe Flash Player abren la posibilidad para que los ciberdeliencuentes desarrollen códigos maliciosos para diferentes plataformas y de esta forma expandan su espectro de víctimas aumentando sus réditos económicos. Las recomendaciones por parte de Adobe para sus usuarios es actualizar el reproductor Flash Player lo antes posible. Las actualizaciones se encuentran disponibles para las plataformas Windows, Linux, Mac y Android.

Finalmente, recordamos que durante los últimos meses del año pasado se informó sobre varios casos como este, como por ejemplo, a finales de agosto la grave vulnerabilidad 0-day en Java solucionada por Oracle o la vulnerabilidad 0-day en Internet Explorer y las 11 vulnerabilidades críticas en Firefox 16 en septiembre y octubre respectivamente. Incluso el mes pasado informábamos sobre un exploit 0-day en Java utilizado masivamente por exploit kits. ¡A actualizar los sistemas y protegerse de estas amenazas!

Fuente Eset Laboratorios

Bit9 hackers robaron certificados digitales …Para firmar Malware …

febrero 9, 2013

Bit9 divulgada el viernes que los hackers habían robado certificados digitales de firma de código de su red y lo han utilizado para firmar malware. Bit9, una empresa que provee servicios de software y de red de seguridad para el gobierno de los EE.UU. y por lo menos 30 empresas de Fortune 100.

Security firm Bit9 hacked
“Como resultado, un tercero malicioso fue capaz de obtener ilegalmente el acceso temporal a uno de nuestros digitales certificados de firma de código que luego se utilizan para firmar ilegítimamente malware”, dijo el presidente ejecutivo de Bit9 Patrick Morley en una entrada de blog .
Los atacantes envían el malware firmado por lo menos a tres de los clientes Bit9, aunque Bit9 no está diciendo que los clientes se vieron afectados y en qué medida.
“Desde que descubrí este tema, hemos estado trabajando muy de cerca con todos nuestros clientes para asegurar que ya no son vulnerables al malware asociada con el certificado afectada”. y la compañía dijo que ha resuelto el problema.
No es la primera vez que los hackers han incumplido una empresa de seguridad como parte de un plan sofisticado para acceder a los datos en uno de sus clientes. División de EMC Corp, RSA Security reveló que fue violada en 2011 .