Daboweb | Seguridad y ayuda informática |

Oracle ha publicado una actualización de Java, SE 7 Update 11, que viene a solucionar el 0-day reciente que afectaba a todas las plataformas y por el cual se recomendaba desactivarlo.

La descarga para cualquiera que sea nuestro sistema operativo puede hacerse aquí. Nota oficial en el blog de Oracle.

Según leemos en Hack Players, la web de MySQL ha sido víctima de un ataque  cuyo resultado, a falta de más datos sobre los contenidos que aloja, es la posible infección por malware de quienes lo visiten. Es la segunda vez este año que mysql.com sufre un ataque (no ponemos el enlace ya que ahora mismo, no es seguro visitar su web). En Slashdot se ha publicado que vendieron el exploit por 3.000 $.

Se trata de un «iframe» ofuscado en su código, que realiza una redirección a un servidor localizado en Alemania, para acto seguido, llevar al visitante a otro servidor desde donde se ejecuta un exploit. Recomendamos extremar las precauciones si se ha visitado recientemente y realizar un análisis del equipo en busca de posibles rastros de malware.

No empieza el año bien Microsoft. A la conocida vulnerabilidad en Internet Explorer sin parche oficial que puede salir hoy Jueves (incluso varios gobiernos Europeos han desaconsejado su uso), se le suma ahora otra (con solución temporal para paliarlo manualmente prescindiendo de ejecutar aplicaciones en 16 bits) con un impacto grave para el sistema dado que a la falta de una solución vía Windows Update, se une la publicación del exploit para aprovechar el bug.

Según informan desde Hispasec, el analista especializado en seguridad Tavis Ormandy ha publicado un exploit para una vulnerabilidad que permite una escalada de privilegios en Windows valiéndose de un error de diseño en todos los Windows de 32 bits que data del año 1993. Afectando desde NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista.

Toda la información en Hispasec. | Parche oficial para IE hoy Jueves, la info en Threatpost.

Hace un tiempo en Daboweb nos interesábamos por el futuro de milw0rm.com cuando vimos que llevaba un tiempo sin publicar nuevos exploits.

Milw0rm retornó su actividad, pero desde Septiembre, ha vuelto a cesarla sin haber ahora mismo una fecha prevista para su vuelta. Como alternativa tenemos a www.exploit-db.com (Exploit Database), website creado nada más y nada menos que por los responsables de BackTrack, distro de GNU/Linux orientada a la seguridad.

Offensive Security nos mantiene informados desde su dirección RSS o en su Twitter donde también publican los nuevos exploits que van surgiendo, aunque siempre puedes consultar su ya amplia lista vía web en la que se ordenan por categorías, (Exploits remotos, locales, aplicaciones web, etc).

El lanzamiento de esta web, es sin duda una gran noticia para los aficionados y profesionales a la seguridad informática que estábamos viendo un importante vacío informativo desde que Milw0rm cesó su actividad.

Se ha reportado por parte de jcarlosn desde «desvaríos informáticos» un grave fallo de seguridad que afecta WordPress 2.8.4 y anteriores.

Este bug puede llevar a la caída del servidor web que lo aloje al no poder tramitar correctamente las peticiones y aumentar el uso de CPU y memoria hasta hacerlo caer.

Solución al fallo;

1º) Buscad en «wp-trackback.php» (línea 45);

$charset = $_POST['charset'];

2º) Sustituid por;

$charset = str_replace(",","",$_POST['charset']);
if(is_array($charset)) { exit; }

El autor ha publicado también un exploit a modo de prueba de concepto y tal y como he comentado en mi blog, el bug es tal y como lo describe y la seriedad de dicho fallo también. Os recomendamos por lo tanto parchear lo antes posible vuestros blogs con la solución que propone el autor (que como también he comprobado, lo solventa).

Por David Hernández (Dabo).

Hoy he visto el exploit en milw0rm y afecta a WordPress versión 2.8.3 y anteriores. No es que realmente sea algo peligroso para vuestros blogs, pero si muy molesto ya que es posible resetear la contraseña del primer usuario creado en WordPress según hemos podido comprobar.

El problema es que si el ataque se hace de una forma automatizada, te obligaría a estar continuamente mirando el correo para ver la nueva contraseña de dicho usuario lo cual como he comentado antes es muy molesto y siempre hay un peligro potencial en estos casos.

¿la solución? podemos encontrarla según me ha comentado Destroyer vía una información de arturogoga.com y como hemos visto funciona. Simplemente hasta que salga una nueva versión que corrija el bug, hay que cambiar la siguiente línea de código.

Buscar en wp-login.php, la línea 190 y cambiar

if ( empty( $key ) )

Por

if ( empty( $key ) || is_array( $key ) )

Después podéis comprobar que estáis a salvo del bug tipeando lo siguiente en vuestro navegador (que hace que se resetee el pasword)

http://nombrededominio.com/wp-login.php?action=rp&key[]=

****************************************************************
EDITADO:

Disponible Actualización versión 2.8.4

****************************************************************

El popular servidor de nombres de dominio BIND, es sensible a un ataque de denegación de servicio con exploit publicado para realizar dicho ataque a servidores DNS.

El bug afecta a servidores maestros, no esclavos y el fallo se da en malformaciones en los mensajes de actualización que pueden ser manipulados para provocar un ataque DoS con el resultado de la caida del servidor afectado.

Desde el ISC (Internet Software Consortium), creadores de BIND, instan a todos los administradores de sistemas a actualizar lo antes posible BIND.

Tal y como pude comprobar ayer, en servidores Debian ya estaba la actualización vía apt y Debian Security. Desde este enlace podréis acceder a la sección de descarga de las versiones de BIND 9x actualizadas y más info sobre el bug.

Fuente Barrapunto.

Ha sido publicado un exploit que aprovecha un problema de seguridad en la reciente versión de Firefox 3.5 y que podría permitir la ejecución de código malicioso en los equipos afectados, cuando el usuario visite una página web especialmente manipulada.

En este momento, se recomienda en tanto se publique un parche o actualización que solucione esta vulnerabilidad, desactivar JavaScript en el navegador Mozilla Firefox, o bien, utilizar la extensión NoScript, e incluso,  emplear otros navegadores web.
Vía hispasec.

Muchos usuarios del servicio de alojamiento de imágenes ImageShack, habréis podido ver en lugar de vuestras fotografías, la imagen que ha colocado el grupo Anti-sec sustituyendo a las originales (que no han sido borradas).

Este grupo hace no mucho ya comprometió (y de que modo) la web de Astalavista por su afán mercantilista y ahora dejan su mensaje en ImageShack.

Lo que viene a decir el texto que sale en las imágenes es que están en contra de la industria de seguridad que utiliza la plena divulgación de vulnerabilidades y de los beneficios y el desarrollo de tácticas que se basan en el miedo para convencer a la gente a comprar sus firewalls, software anti-virus, y los servicios de auditoría.

Este es el mensaje en forma de imagen que se ha podido ver durante el ataque;

También se quejan de que los «Scripts Kiddies» (usuarios que se hacen llamar hackers pero con escasos conocimientos de hacking que suelen optar por la vía más fácil) están dispuestos a atacar todos los servidores vulnerables que encuentran en su camino, hablan del dinero y de que si bien el mundo es difícil de cambiar y de que ese dinero seguirá siendo muy importante a los ojos de muchos, ellos presentarán batalla buscando la eliminación completa de lugares de divulgación de exploits con el propósito de ponérselo más difícil a esa industria de la seguridad.

Y que su objetivo es crear el caos y la destrucción de todas las comunidades de explotación de vulnerabilidades que son perjudiciales para los usuarios y empresas y de ese modo, la plena revelación de vulnerabilidades será abandonado y la industria de la seguridad se verá obligado cambiar esa pauta.

También avisan de que si tienes una web o blog que revela este tipo de información serás un objetivo suyo, etc, etc.

Personalmente además de condenar actos como este, he de decir que muchos nos dedicamos a ayudar al usuario frente a esas vulnerabilidades que se publican a diario y que desde luego, la solución no es tapar la boca a nadie ni practicar en este caso la «seguridad por oscuridad» matando a los mensajeros…

Tampoco creo que sea muy buen ejemplo de cara a la comunidad, atacar a un sitio de alojamiento de imágenes, valiéndose de una vulnerabilidad tipo a las que aluden en su queja como es el caso de ImageShack.

Visto en Caborian Foros.

Por David Hernández (Dabo)

En estos momentos, muchos nos preguntamos si el mensaje que ha dejado en la cabecera de la web str0ke, su responsable, es lo que parece ser (el cierre de Milw0rm) o si quizás haya alguien que quede al frente del proyecto (me da que no, aunque yo no descartaría una posible venta).

Este es sin duda uno de los sitios referentes en cuanto a la publicación de exploits y el hacking en general.

El mensaje que se puede ver en la cabecera de Milw0rm ahora mismo;

Well, this is my goodbye header for milw0rm. I wish I had the time I did in the past to post exploits, I just don’t :(. For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of, 0 to 72 hours (taking off weekends) isn’t fair to the authors on this site. I appreciate and thank everyone for their support in the past.
Be safe, /str0ke

Resumiendo, viene a decir que es la cabecera de su adios para Milw0rm y que ojalá tuviera el tiempo que tenía antes para seguir publicando exploits y que está muy orgulloso del trabajo hecho por los colaboradores del sitio, pero que no le parece justo seguir así porque el no puede. Da también las gracias a todos por su apoyo en el pasado.

La escena más underground pierde a uno de sus más irreverentes protagonistas, una fuente de consulta de la que muchos nos nutríamos antes visitándola diariamente y de un tiempo a esta parte vía RSS. Si es un punto y final como parece ser, muchas gracias por tanta IN-seguridad -;).

Visto en Liquidmatrix.

Por David Hernández (Dabo)

Esta actualización de seguridad viene a solventar una vulnerabilidad que podría permitir la ejecución remota de código en el sistema de un usuario que esté visualizando una página web especialmente manipulada para tal fin vía Internet Explorer, valiéndose de fallos en la validación de parámetros que enlazan a ciertos datos y como se manejan los errores provocados por esta vulnerabilidad.

Dado que el bug es público y por lo tanto más fácilmente explotable, se recomienda a todos los usuarios que actualicen las versiones de su navegador a la mayor brevedad posible al estar considerada como «crítica».

Los productos afectados son; Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, e Internet Explorer 7. Para obtener información acerca de Internet Explorer 8 Beta 2, consulta la sección Preguntas Frecuentes (FAQ).

Microsoft advierte también que los usuarios que usan una cuenta de administrador, son más sensibles a estos ataques que los que utilizan una sin privilegios administrativos (aprovechamos para recordaros que salvo ocasiones excepcionales, hay que usar una cuenta de usuario sin el rol de administrador para evitar brechas en la seguridad del sistema).

Podéis descargaros los parches que solventan esta vulnerabilidad desde este enlace de Microsoft, (en inglés) una vez hayáis accedido al que os corresponda, os recordamos que se puede elegir como idioma el castellano.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias