Archivo de la categoría: Microsoft

DDoS el asesino silencioso

Muchos diran “que titulo” no creo que un ddos sea un asesino silencioso, pues bien mirandolo desde el punto economico, un DDoS no solo es un asesino silencioso, es un asesino en potencia, los ataques DDoS han dejado muchas perdidas economicas en grandes empresas lo cual se dedican a negocios por internet, o simplemente se ven imposibilitados de enviar un correo o tan solo brindar un buen servicio a sus usuarios.
Pero que es un DDoS?
Pues bien, segun wikipedia un DDoS es una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.
Pues bien un ataque DDoS no es nada mas que varias maquinas ya anteriormente infectadas, unidas bajo el mando de un  personaje, el cual las usa bajo X motivo, generalmente para fastidiar personas naturales o juridicas.
Hay alguna manera de solucionar este problema?
Pues si!!! hay algunas maneras de solucionar, unas mejores que otras, una de ellas es mantener actualizado nuestro sistema operativo.
En el siguiente post explicare como mitigar un ataque DDoS configurando tu firewall.
Anuncios

Desbordamiento de búfer en VLC Media Player

Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC 1.0.5 que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.
VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.
El problema reside en un desbordamiento de búfer en el tratamiento de URLs ftp:// con archivos M3U específicamente creadas. Esto puede ser explotado por atacantes remotos para lograr la ejecución de código y comprometer los sistemas afectados.
Se ve afectada la versión 1.0.5, la versión 1.1.0 no está afectada.

El divorcio entre el malware y la pornografía

A principios de esta década, se solía acusar a los usuarios que quedaban infectados por algún tipo de malware de navegar por páginas “de dudosa reputación”. Esto incluía páginas pornográficas, cracks, warez, etc. Pero los tiempos han cambiado, y esta relación malware-pornografía ha pasado a ser un mito más que revisar. El peligro hoy, de hecho, está en cualquier página.
Dialers, codecs, vídeos camuflados como ejecutables… todo tipo de trucos eran válidos a principios de esta década para que los usuarios que buscaban sexo en la red quedaran infectados. Hoy se siguen usando, pero los métodos de infección preferidos por el malware de entonces eran sobre todo el correo (tanto en forma de adjuntos como explotando las numerosas vulnerabilidades en Outlook), el acceso directo a puertos (gusanos) y las páginas web “de dudosa reputación”. Con estos métodos, cubrían sus necesidades de infección por aquel entonces.
Pero apareció en 2004 el Service Pack 2 de Windows XP, que activaba por defecto el cortafuegos y se popularizaron los routers, con lo que los gusanos vieron amenazada su popularidad. Por otro lado, Outlook y Windows mejoraron su seguridad, los administradores comenzaron a filtrar el correo con adjuntos sospechosos… ¿Qué les quedaba? Eludir todos estos mecanismos y colarse a través de otros métodos. Emergía la llamada web 2.0 y “la nube”, que no es más que el traslado de todos los servicios desde el escritorio a la red; y por tanto el acceso a ellos a través del navegador… así que atacaron por esta vía.
Hoy, el malware se distribuye en gran medida a través del navegador. El retraso de Microsoft con Internet Explorer (cinco años entre su versión 6 y 7) facilitó el proceso: los atacantes querían aprovechar esas vulnerabilidades y ejecutar malware con solo visitar una web. Para ello, necesitan “crear” webs que infecten. Ya no eran suficientes las páginas pornográficas o de warez y se han lanzado a contaminar todo tipo de contenido.
Y esto es lo que confirman dos estudios recientes. International Secure System Lab investigó 269.000 sitios pornográficos a principios de junio. El 96% estaba limpio. Evidentemente, muchos usaban técnicas muy “agresivas” para redirigir al usuario a páginas de pago, evitar que abandonase la página, etc. pero apenas un 4% trataba de infectar directa o indirectamente al visitante.
Avast Software, por otro lado, acaba de publicar un informe cuya conclusión es clara: “por cada página de adultos infectada que hemos identificado, existen otras 99 con cualquier otro contenido que también están infectadas” e intentan ejecutar código en el visitante.
Ambos estudios concluyen que el peligro no está ya tanto en las páginas para adultos, sino en todas. No es que sea seguro visitar páginas con contenido sexual, es que hoy en día resulta tan inseguro visitar el periódico online como una página de contactos. Otro estudio de Websense apoya esta teoría: el 71% de las páginas infectadas con código malicioso son páginas legítimas comprometidas. Además, el 95% de los posts generados en blogs y similares son spam o redirigen a páginas que intentan infectar al visitante.
Las razones para este abandono de la pornografía como fuente de malware pueden ser varias. Aunque el sexo siempre resulta un poderoso reclamo en la Red, apostamos una vez más por una simple cuestión económica y de mercado. El rango de víctimas potenciales que se puede conseguir alojando malware en páginas de cualquier tipo (preferiblemente populares) será siempre superior al obtenido si se centran en páginas web para adultos. Por tanto, pensamos que los atacantes no realizan ningún tipo de distinción por contenido, y sí más bien por el esfuerzo necesario para contaminar esas webs legítimas. Y en ese caso, la pornografía es veterana en la Red, donde la competencia es dura y su negocio se basa en una web “sólida”, sin fallos de seguridad (lo que significa más esfuerzo para ser infectada por un atacante), y que dé confianza a un potencial suscriptor (por lo que no hay motivo para infectar conscientemente y perder reputación). Por tanto, la inversión en seguridad y conocimiento del medio de la industria pornográfica puede ser incluso mayor que la de otras entidades que mantienen online apenas una réplica “secundaria” del mundo real, y su negocio no depende exclusivamente de Internet.

Acceso a información sensible en IBM WebSphere Application Server

Se ha anunciado una vulnerabilidad en IBM WebSphere Application Server (versiones 6.x y 7.0), que podría permitir a un atacante la obtención de información sensible. IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris. El problema reside en el Web Container cuando maneja nombres de más de 20 caracteres. Un atacante podría aprovechar esto para provocar que el servidor devuelva un archivo erróneo y conseguir acceder a archivos arbitrarios.

Para IBM WebSphere Application Server 7.0.x se recomienda instalar el Fix Pack 7.0.0.11 o APAR PM06111 Para IBM WebSphere Application Server 6.1.x se recomienda instalar el Fix Pack 6.1.0.31 o APAR PM06111 Para IBM WebSphere Application Server 6.0.x se recomienda instalar el Fix Pack 6.0.2.43 o APAR PM06111 
Más información:
Recommended fixes for WebSphere Application Server
WebSphere Application Server Web Container information disclosure
was-webcontainer-info-disclosure (58557)

PANTALLAZO AZUL Vulnerabilidad a través de Aero en Windows 7 y 2008 R2 (versiones de 64 bits)

Microsoft ha advertido sobre una vulnerabilidad que en realidad se hizo pública hace meses, y que afecta a Windows 7 y 2008 R2 en sus versiones de 64 bits. El fallo se puede aprovechar solo si el componente Aero está activo. La vulnerabilidad se ha descubierto a través del popular visor gratuito de imágenes Irfanview.
El fallo se encuentra en el renderizado de imágenes con la API GDI, en concreto en el componente Canonical Display Driver (cdd.dll). CDD emula una interfaz de Windows XP para que las aplicaciones accedan al motor de gráficos GDI. El fallo podría ser aprovechado por un atacante para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una imagen especialmente manipulada que sea visitada con el navegador o vista con el visor por defecto. Aunque los vectores de ataque siguen siendo discutidos.
La ejecución de código es, en principio, teórica. Se trata de un problema de acceso desde la memoria del usuario a la memoria del kernel, lo que garantiza la posibilidad para un atacante de, al menos, provocar una denegación de servicio a través de un BSOD (Blue Screen Of Death o “pantallazo azul”). A partir de ahí, conseguir controlar el flujo de los registros de sistema para ejecutar código en el espacio del kernel (el más privilegiado) puede resultar complejo, en gran medida, por los nuevos sistemas de seguridad ASLR (Address Space Layout Randomisation) que incluyen los Windows desde su versión Vista. Existen fórmulas para eludir esta medida de seguridad (demostradas en el último concurso Pwn2Own), pero su explotación se hace mucho más compleja.
Además, el fallo solo funciona en las versiones de 64 bits (e Itanium) y, como hemos mencionado, Aero debe estar activo. Ni siquiera viene instalado por defecto en 2008. En Windows 7, por el contrario, aparece instalado y activo.
Por último, según el CVE (CVE-2009-3678) que le ha otorgado Microsoft a la vulnerabilidad, se deduce que fue encontrada en 2009. El popular visor gratuito Irfanview es el que aportó la pista. Sin estar todavía oficialmente programado para funcionar en Windows, se observó que al visualizar muchas miniaturas, el programa provocaba un BSOD en Windows 7 de 64 bits. Se pensó que el fallo era exclusivamnte de la aplicación y no del sistema operativo hasta que, varios meses después, parece que Microsoft reconoce el problema como propio.

Más información:

V4.25: bluescreen with Windows 7, cdd.dll / win32k.sys

Vulnerability in Canonical Display Driver Could Allow Remote Code Execution

Desbordamiento de búfer en ActiveX de HP Operations Manager

Se ha confirmado la existencia de una vulnerabilidad en HP Operations Manager para Windows, que un atacante remoto podría emplear para comprometer los sistemas vulnerables. El software HP Operations Manager es la solución en el mercado de HP para la gestión de eventos distribuidos, sistemas y disponibilidad El problema reside en desbordamientos de búfer en los controles ActiveX “srcvw4.dll” y “srcvw32.dll” al procesar argumentos de gran lonitud pasados a los métodos “LoadFile()” o “SaveFile()”. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario si consigue engañar al usuario para que visite una página web específicamente creada.
Se ven afectadas las siguientes versiones: HP Operations Manager para Windows versión 8.10 (con srcvw4.dll versión 4.0.1.1 y anteriores) HP Operations Manager para Windows versión 8.16 (con srcvw4.dll versión 4.0.1.1 y anteriores) HP Operations Manager para Windows versión 7.5 (con srcvw32.dll versión 2.23.28 y anteriores)
Para HP Operations Manager 8.x se recomienda instalar OMW_00060 y actualizar a srcvw4.dll versión 4.0.1.2 Para HP Operations Manager 7.x se recomienda instalar OVOW_00279 y actualizar a srcvw32.dll versión 2.23.29 HP
Más información:
HPSBMA02491 SSRT100060 rev.1 – HP Operations Manager for Windows, Remote Execution of Arbitrary Code
HP Operations Manager <= v8.16 – (srcvw4.dll) LoadFile()/SaveFile() Remote Unicode Stack Overflow PoC

El filtro XSS de Internet Explorer 8 sigue siendo vulnerable

Los investigadores Eduardo Vela y David Lindsay han presentado, en el marco de la conferencia Black Hat Europa de este año, un nuevo método para ejecutar ataques de cross-site scripting a través de los filtros XSS de Internet Explorer 8.
Microsoft introdujo un mecanismo para filtrar ataques de cross-site scripting, concretamente los de “tipo 1” o no persistentes. Un cross-site scripting no persistente es la clase de ataque más común y extendida de este tipo de ataques.
El atacante manipula una URL insertando código malicioso que, de manera errónea, aprovechando una vulnerabilidad, el sitio web usará para generar una página que contendrá el código legítimo más el código introducido por el atacante. La víctima que “inadvertidamente” use la URL proporcionada por el atacante, enviará una petición hacia el servidor web y este “reflejará” el código de vuelta hacia el cliente donde es usado por el navegador como si fuese código legítimo. Es denominado no persistente ya que el servidor no almacena el código malicioso y es reflejado porqué en realidad es el mismo navegador el que va a enviar el ataque a través de la petición HTTP hacia el servidor web y éste de vuelta al navegador de la víctima. La idea general del filtro XSS de Internet Explorer, es observar la secuencia solicitud-respuesta entre navegador y sitio web. A grandes rasgos, modifica el código que se recibe del servidor antes de que sea interpretado por el navegador, si detecta que la página recibida contiene código sospechoso enviado en una de las solicitudes del navegador. Básicamente, evita “reflejar” el código malicioso. La base del mecanismo de neutralización de ataques del filtro es alterar el código malicioso. En caso de observar código sospechoso de vuelta al navegador, el filtro actúa antes de que se interprete la página, insertando o reemplazando caracteres en partes de ese código para impedir su ejecución transformándolo en código no válido. Ya en su momento se hizo público una vulnerabilidad que aprovechaba el filtro XSS para producir este tipo de ataques. Microsoft liberó un boletín (MS10-002) en el que se corregía la vulnerabilidad. Aun así, se encontraron nuevas formas para revertir el uso del filtro y Microsoft volvió a reforzarlo en un nuevo boletín (MS10-018). Lo que han mostrado los investigadores es que es no solo es posible evadir el filtro sino que sigue siendo posible efectuar ataques de cross-site scripting, incluso en sitios webs que no son vulnerables. Adicionalmente, el filtro también podría ser usado por el atacante para impedir la ejecución de scripts legítimos, posibilitando la evasión de mecanismos de seguridad propios del sitio web visitado. David Ross de Microsoft, ha confirmado que publicarán un parche hacia el mes de junio para prevenir este tipo de ataque.
 
Más información: Abusing IE8s XSS Filters [PDF]
Guidance on Internet Explorer XSS Filter