Quantcast
Channel: eternal-todo.com aggregator
Viewing all 12054 articles
Browse latest View live

Un informático en el lado del mal: Eventos para la Semana de Internet: Madrid, Málaga, Ecuador, Chile y Online

May 10, 2019, 11:22 pm
$
0
0
Hoy voy a pasarme a estar un rato con mis amigos de X1Red+Segura, y mi compañero Fran Ramírez - ya sabéis, uno de los locos que cuenta anécdotas de la historia de la informática y los hackers - estará en el VLC Tech Fest, pero ya tenemos una agenda de actividades grandes para la Semana de Internet.

Figura 1: Eventos para la Semana de Internet: Madrid, Málaga, Ecuador, Chile y Online

Entre otras cosas, recordad que tenemos la actividad de voluntariado de Ciberseguridad Al Cole que han organizado nuestros compañeros, pero os dejo la lista detallada  de eventos. Yo en concreto, estaré en Santiago de Chile dando una conferencia.

[10 de Mayo] X1Red+Segura [G][*]
[Ubicación] Madrid y Online
Aún no he hecho las diapositivas, pero voy a hablar un poco de las últimas cosas que he estado trabajando, entre ellas sobre mis cosas con las AI, la privacidad, el BigData, las Fake News, el FaceSwapping, el Sentiment Analysis, el GDPR, el Sesgo, y todo lo que llevo publicando - más o menos - en los últimos meses en el blog. Puedes ver la jornada en streaming aquí mismo. Mi charla es a las 10:30.

Figura 2: Sigue en directo X1Red+Segura
Después, yo estaré firmando unos libros de 0xWord  después de mi charla, para aquellos que quieran llevarse uno de nuestros libros y colaborar con este proyecto de editorial - como la cerveza - artesana. Más información en la web del evento.
[13 al 16 de Mayo]I-Com
[Ubicación] Málaga
El evento anual más importante del mundo entorno a Smart Data Marketing, el arte de aprovechar creativamente el valor de los datos para crear una ventaja competitiva en productos, experiencia de usuario y promoción. Tienes toda la información en la web del congreso que tiene lugar en Málaga.
Una cumbre en el que se reúnen expertos de todo el mundo, dando la bienvenida a líderes sénior, incluidos los CMO, los directores digitales, los CIO, los directores de datos y las CAO, entre los que participará también nuestro compañero el Dr. Richard Benjamins, Data & AI Ambassador de LUCA. Una jornada que brindará la oportunidad de explorar en un entorno confiable la vanguardia de este paradigma en el que se presentan más de 80 estudios de caso y fomentar la colaboración necesaria en estas áreas funcionales.
[14 de Mayo] Gala del Día de Internet [Madrid][G]
[Ubicación] Madrid y Online
La Gala de entrega de los Premios de Internet 2019 se celebrará en Madrid el 14 de mayo, martes, a las 12:00 horas en el Espacio de Fundación Telefónica. La Gala de entrega de los Premios de Internet es uno de los actos centrales del Día Mundial de Internet, #diadeinternet , y reúne a los mejores en Estrategia Digital, Campañas de comunicación on-line, Investigación y Emprendimiento y Marca personal en Redes Sociales en el universo Internet de habla hispana. 
Por su alfombra roja pasarán todos los invitados realizando el correspondiente posado, todos podrán fotografiarse en el photocall que da acceso al auditorio y compartir sus fotos en las redes sociales. La Gala será conducida por Macarena Berlin periodista española directora y presentadora de programas en La Ser (Los muchos libros) y en RTVE (+Cotas). Durante la Gala se darán a conocer los ganadores de cada una de las categorías de la presente edición. Más información en la web de la Gala del día de Internet.
[14 de Mayo] Semana de la Seguridad en Banco Estado
[Ubicación] Santiago de Chile
El martes 14 de mayo Gabriel Bergel participará en la semana de la ciberseguridad del Banco Estado con la ponencia titulada: "El arte del Engaño" que tendrá lugar en Chile.
[15 de Mayo] CIIA 2019 [*]
[Ubicación] Santiago de Chile
Este día estaré en Chile participando en un evento sobre Ciberseguridad para dar una charla en la que explicaré algunos de los ataques al correo electrónico y redes sociales que utilizan los cibercriminales para atacar empresas y particulares. Tenéis toda la información en la web del congreso.

Figura 3: CIIA 2019 Chile

[16 de Mayo] Curso Online de Hacking Experto
[Ubicación] Online
Este día da comienzo una nueva edición en The Security Sentinel del curso de orientación profesional más orientado al mundo laboral si quieres incorporarte al mercado de la seguridad informática y la ciberseguridad: Curso Online Hacking Ético Experto. Con 240 horas de formación, este curso te prepara para entrar en este sector de manera profesional.
Figura 4: Curso Online de Hacking Experto de The Security Sentinel
Este curso te proporciona los conocimientos necesarios a nivel conceptual y práctico para que puedas implementar en empresas y negocios, un sistema Integral de seguridad informática integral y perimetral, apoyados por el uso de Software Libre. Desarrollarás y adquirirás habilidades prácticas para la realización de auditorías de sistemas intrusivas, usando las técnicas de la Auditoria de T.I del tipo “Hacking Ético y/o Test de Penetración”. Conocerás los diferentes tipos de atacantes, así como a usar las diferentes técnicas y herramientas de intrusión utilizadas por los delincuentes informáticos para lograr violentar la seguridad de un sistema de información.
Con este curso, podrás realizar sin problemas auditorías de pentesting con su correspondiente informe profesional, además de conocer los métodos utilizados por los delincuentes cibernéticos para poder contrarrestar sus ataques. Este curso se ha definido con un 75% de práctica y un 25 % de teoría, lo que te facilitará mucho el aprendizaje y el aprovechamiento máximo de conocimientos. Orientar las auditorias intrusivas haciendo uso de las normas y buenas prácticas en seguridad de la información a nivel internacional. Aprender las técnicas de ataque y protección de las redes de datos y las aplicaciones web dinámicas. Además, todos los asistentes recibirán el libro de Pentesting con PowerShell de 0xWord 2ª Edición
[16 y 17 de Mayo] 9º Congreso Auditoría Interna
[Ubicación] Guayaquil (Ecuador)
El 16 de mayo dará comienzo la edición número 9 del Congreso Auditoría Interna Guayaquil que se celebra en Ecuador bajo el título " Fortaleciendo el control interno y la gestión de riesgos en las 3 líneas de la defensa". Enfocado para profesionales que realizan funciones de control financiero, gestión de riesgos, control interno, seguridad de la información, compliance, calidad y auditorías, nuestro CSA, Claudio Caracciolo, participará con la ponencia: "¿Qué debe conocer el auditor cuando hablan de innovación en seguridad?" el 16 de mayo. Programa completo aquí.
[17 de Mayo] Día de Internet
[Ubicación] Madrid
El Presidente del Senado y el Comité de Impulso del Día de Internet, formado por más de 50 colectivos sociales, convoca a los representantes del mundo político, empresarial, mediático, cultural y social al Debate plenario que celebraremos en el Senado, el Viernes 17 de mayo a las 12:30 horas, sobre “El impacto de los tecnología en los Objetivos para el Desarrollo Sostenible (ODS)”. Internet para conseguir los Objetivos de Desarrollo Sostenible. Toda la información en la web del acto.

El tema que el Comité de Impulso ha propuesto para esta edición del #diadeinternet en el Senado es revisar desde diferentes perspectivas como Internet puede contribuir a conseguir un planeta más sostenible a partir de los Objetivos para el Desarrollo Sostenible propuestos por Naciones Unidas. Para ello hemos convocado una mesa con representación de Partidos, Administración, Empresas y Sociedad civil para que nos expongan sus puntos de vista sobre este tema en un momento de cambio político en nuestro país en el que cada vez lo sostenible cobra mayor relevancia en nuestras vidas.
Y estos son los actos en los que vamos a participar de una forma u otra desde ElevenPaths, LUCA, Telefónica y 0xWord. Y ahora... a por el fin de semana.

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord
Search

Wired: Security: Robert Mueller Won't Testify Next Week After All

May 11, 2019, 6:15 am
$
0
0
Facial recognition run amok, antivirus hacks, and more of the week's top security news.

Fox-IT: Getting in the Zone: dumping Active Directory DNS using adidnsdump

April 25, 2019, 9:32 am
$
0
0

Zone transfers are a classical way of performing reconnaissance in networks (or even from the internet). They require an insecurely configured DNS server that allows anonymous users to transfer all records and gather information about host in the network. What not many people know however is that if Active Directory integrated DNS is used, any user can query all the DNS records by default. This blog introduces a tool to do this and describes a method to do this even for records normal users don’t have read rights for.

Knowing where you are and where to go

Personally whenever I arrive at a new pentest or red team assignment I want to learn about the layout of the network, the software in use and where the interesting data is. If a company has non-descriptive server names or descriptions, tools like BloodHound or ldapdomaindump are not going to help much since SRV00001.company.local still doesn’t tell me what runs on this host. Running discovery tools like EyeWitness on a large range of IP addresses often returns a lot of default Apache/IIS pages, since most sites are configured to listen on a DNS name and not on the IP address. Knowing that gitlab.company.local also points to the same IP as SRV00001.company.local tells me that this is an interesting server if I’m after source code. Having access to DNS entries for AD is thus in my opinion quite valuable. Thus I wrote this small tool that can dump those records. You can either run it directly from a host within the network, or through a SOCKS tunnel using your favourite implant.

Prior work

This started when I was looking at Active Directory DNS, mostly inspired by Kevin Robertson’s work on ADIDNS. I tried to figure out how AD uses zones in LDAP for storing DNS records as I pulled up ADSI Edit and suddenly saw an overview of all the DNS records in the domain, using only a limited regular user. As I shared my surprise, Kevin pointed out to me that mubix already wrote about this back in 2013. So there was already a PowerShell script that could do this, but it didn’t do exactly what I wanted, so I decided to write a version in Python and add some options to enumerate more records than possible by default.

The “hidden” DNS records

The most obvious way to query for DNS records in LDAP would be to perform a query selecting all objects of the class dnsNode, which represent entries in the DNS zone. When I performed a query with the filter (objectClass=dnsNode), this returned quite limited results, even though I could see several more records when manually browsing to the DNS zone:

ADSI Edit of DNS zone

As visible on the image above, for several objects the objectClass is not visible. This is because of the default permissions on computer DNS records (and I think on other records not created via the AD DNS gui as well), which don’t allow all users to see the contents. Since the IP addresses are actually stored as a property of this object, it isn’t possible to view the IP address for these records either.

But like any user can create new DNS records by default, any user can also list the child objects of a DNS zone by default. So we know a records is there, we just can’t query it using LDAP.

DNS zone default permissions

Once we know a records exists by enumerating with LDAP, we can however query for it using DNS directly (since performing regular DNS queries doesn’t require privileges). This way we can resolve all records in the zone.

Querying records with adidnsdump

With adidnsdump, which you can get from my GitHub, it is possible to enumerate all records in the DNS zone. To get started, first display the zones in the domain where you are currently in with --print-zones. This will show which zones are present. Not all zones are interesting, for example forward, cache and stub zones don’t contain all the records for that domain. If you find these zones, it’s better to query the domain to which they actually belong. The output below shows that my test domain has only the default zones:

user@localhost:~/adidnsdump$ adidnsdump -u icorp\\testuser --print-zones icorp-dc.internal.corp
Password:
[-] Connecting to host...
[-] Binding to host
[+] Bind OK
[-] Found 2 domain DNS zones:
internal.corp
RootDNSServers
[-] Found 2 forest DNS zones:
..TrustAnchors
_msdcs.internal.corp

If we specify the zone to the tool (or leave it empty for the default zone), we will get a list of all the records. Records which can be listed but not read (so called “hidden” records) are shown but only with a question mark, as it is unknown which type of record is present and where it points to. The records are all saved to a file called records.csv.

listing the DNS records

To resolve the unknown records, specify the -r flag, which will perform an A query for all unknown records (you can easily change this to AAAA in the code if you’re in an IPv6 network). Several nodes which were blank before now suddenly have records:

listing and resolving DNS records

If you don’t have a direct connection but are working via an agent, you can proxy the tool through socks and perform the DNS queries over TCP with the --dns-tcp flag.

Mitigations

You shouldn’t really rely on secrecy of your DNS records for security. If you really want to hide this information, removing the “List contents” permission for “Everyone” and “Pre-Windows 2000 Compatible Access” does prevent regular users from querying the entries, but this does require disabling inheritance on the DNS zone and may break stuff, so I don’t really recommend going that way. Monitoring for high volumes of DNS queries or enabling auditing on DNS zone listings may be a better way to deal with this, by detecting instead of blocking this kind of activity.

The tools

adidnsdump is available on GitHub and on PyPI (pip install adidnsdump). Right now the tool only dumps records to CSV files, but feel free to submit requests for alternate formats.

This blog was originally published on dirkjanm.io

Un informático en el lado del mal: "AI... AI, AI, AI, AI" (Canta y no llores). Mi conferencia en X1Red+Segura ya está en Youtube #AI #MachineLearning #CognitiveIntelligence

May 12, 2019, 1:26 am
$
0
0
Ayer me pasé, un año más, por las jornadas de X1Red+Segura en Madrid. Es un evento pequeño, familiar, con animo de integrar y llevar la seguridad informática al gran público que tiene lugar en la Universidad Politécnica de Madrid. Y lo impulsó Angelutxo que tiene un corazón que no le cabe en el pecho, así que una vez más saqué algo de tiempo y me pasé por allí.

Figura 1: "AI... AI, AI, AI, AI" (Canta y no llores).
Mi conferencia en X1Red+Segura en Youtube

Son muchos los compañeros y amigos - de más de veinte años ya de profesión - que nos encontramos siempre en este foro y aunque mi agenda es una locura, si puedo apoyar algo pasando un rato por allí, lo hago. 


La charla, como podéis ver en el vídeo que os subo a  Mi Canal Youtube (Chema Alonso en Youtube) toca muchos de los temas de qué he ido hablando por el blog recientemente, y además en este orden de enlaces que os dejo a continuación:


Entre las cosas que no he publicado en este blog que utilicé fueron un par de vídeos. El primero que hicieron nuestros compañeros de comunicación en Telefónica para expresar lo que es el mundo de Internet hoy en día con los datos, que dejé hace unos días en el canal Youtube. El segundo, para terminar la charla, un ejemplo bonito de cómo usar servicios cognitivos para cosas chulas. Este primer vídeo, que merece la pena que lo veáis entero lo tenéis aquí.


Figura 3: ¿Y si el mundo físico fuera como el mundo digital

Aquí tenéis la conferencia completa, subida a mi canal Youtube con las explicaciones, las demos, los ejemplos y los vídeos que utilicé para la charla. Así salieron los 37 minutos que estuve en el escenario hablando.


Figura 4: AI...AI, AI, AI en X1Red+Segura 2019

Y para terminar, os dejo del vídeo de los Cognitive Services con Skype Translator, para que os llevéis un bonito recuerdo de cómo la tecnología puede ser utilizada para hacer cosas chulísimas que nos hagan mejores como personas y como sociedades.


Figura 5: Cognitives Services en Skype Translator

Y ahora nada más, que hoy es día de hacer deporte y disfrutar en familia, así que voy a seguir haciendo algo de patines con Mi Hacker y Mi Survivor, que se lo merecen. 

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord

Un informático en el lado del mal: Cómo funciona TRITON (TRISIS): Un malware para Sistemas de Control Industrial del que protegerse

May 12, 2019, 3:01 pm
$
0
0
Tras Stuxnet en 2010 (Irán) e Industroyer en 2016 (Ucrania), no se habían visto ataques combinados y sofisticados focalizados principalmente para atacar y persistir en Infraestructuras Críticas y Sistemas de Control Industrial, diseñados específicamente para manipular e incluso destruir los sistemas infectados. A fecha de hoy, un año después, auditando algunas infraestructuras SCI, todavía se puede constatar que de la familia de malware TRITON sigue alguna “versión” activa.

Figura 1: Cómo funciona TRITON (TRISIS): Un malware para
Sistemas de Control Industrial del que protegerse

Aunque parece que no ha evolucionado sí que continua contando con persistencia activa en algunos sistemas industriales e incluso sus creadores ha aparecido involucrados en el malware utilizado en ataques realizados en este mes de Abril a Sistemas de Control Industrial en Arabia Saudí que terminaron con explosiones.

Figura 2: Noticia en TechCrunch sobre Triton de Abril de este año

Los sistemas objetivo del malware TRITON, proporcionaron la capacidad de realizar una parada de emergencia totalmente incontrolada con los peligros reales que dicha parada implica, desarrollando una capacidad para causar daño físico en los sistemas y operaciones aleatorias de apagado o interrupción involuntaria de los dispositivos afectados.

Figura 3: "Infraestructuras Críticas y Sistemas Industriales:
Autidoría de seguridad y fortificación"

La familia de malwareTRITON, consta de varios componentes ya identificados creados y dirigidos a los Sistemas de instrumentación de Seguridad (SIS) de Triconex. Dicha familia de malware, venía “disfrazada” de Trilogger (un producto de la marca Triconex), software de grabación, análisis de datos operativos de los sistemas Triconex. El malware es altamente destructivo, e implementado principalmente en Python.

Figura 4: Sistema Triconex

Una vez el atacante obtiene acceso al dispositivo, es posible re-programar los controladores SIS, que a su vez provocan la alteración del sistema de control de seguridad y provoca un apagado del Sistema de Control Industrial. Esto le permite al atacante decidir si procede a realizar un apagado controlado, o un apagado disruptivo del sistema y todos sus componentes. Esto altera el funcionamiento normal del ICS, y provoca mensajes de error en cascada de MP (Memory Protection), al acceder a partes de la memoria del sistema de control de Triconex - en este caso provocando incluso destrozos físicos  y en algunos casos poner en peligro los empleados de la factoría o provocar catástrofes ecológicas -.

Dichas modificaciones del SIS, pueden ser moldeables arbitrariamente por el atacante, provocando sistemáticamente apagados incontrolados, y en intervalos de tiempo predefinidos, haciendo que los objetivos infectados sean difíciles de detectar. Vamos a analizar ahora un poco su línea temporal y funcionamiento interno, haciendo un poco de análisis al código del malware.

Timeline:

  • Agosto 2017: Posible fecha de desarrollo y noticia de la primera infección.
  • Septiembre 2017: Segunda infección detectada en industria energética, contrastada con la prueba de malware subida a repositorios para detección de malware.
  • Octubre 2017: Auge de infecciones detectadas en varias factorías.
  • Diciembre 2017: primeros informes de respuestas a incidentes.
Módulo principal TRICONEX
  • Fichero: Trilog.exe
  • Sha-1: dc81f383624955e0c0441734f9f1dabfe03f373c
  • Hash MD5: 6c39c3f4a08d3d78f2eb973a94bd7718
  • Tamaño: 21KB
  • Date-Time: 0x49180192 (11/10/2008 1:40:34 AM)
  • Compilador: Microsoft Visual C/C++ (2008) [msvcrt] / Microsoft Linker (9.0)
Figura 5: Código módulo principal de trilog.exe

Figura 6: Módulo payload adicional
Figura 7: Hex-dump del payload
Figura 8: Tslow, interface de bajo nivel para Tristation

El modulo Tslow, es uno de los principales “activos” del malware y capaz de ejecutar las siguientes instrucciones y procesos dentro el ataque:
  • _init_: inicializar la comunicación con valores por defecto.
  • Close: crear todas las comunicaciones TCM y UDP.
  • detect_ip: detecta la dirección IP enviando un mensaje de ping precargado al 255.255.255.255:1502
  • connect- se conecta a la dirección IP del controlador.
  • udp_close: cierra las conexiones UDP.
  • udp_send - envía paquetes UDP para mantener la conexión en vivo.
  • udp_flush - vacía paquetes UDP.
  • udp_recv - recibe un paquete UDP ficticio.
  • udp_exec – exec la comunicación UDP.
  • udp_result - return el estado de la ejecución de las funciones del protocolo UDP.
  • tcm_ping - envía ping a través de TCM.
  • tcm_connect - se conecta a través de TCM.
  • tcm_disconnect - desconecta la conexión TCM.
  • tcm_reconnect - restablece la conexión TCM.
  • tcm_exec - ejecuta la comunicación TCM.
  • tcm_result: - devuelve el resultado de ejecutar funciones de protocolo TCM.
  • ts_update_cnt - cuenta el número de comandos ejecutados.
  • ts_result - devuelve el estado de ejecutar comandos TS.
  • ts_exec - ejecuta un comando TS.
Además de estos módulos principales, consta de 36 módulos adicionales que le confieren una potencia destructiva de los sistemas muy elevada.

Figura 9: Esquema principal TSAA Triconex

El malware TRITON también esta implementado para comunicarse con los dispositivos utilizando el protocolo propietario Tristation (protocolo que carece de documentación publica). La vulnerabilidad principal en Triconex, es la denegación de servicio, lo que provoca en este tipo de dispositivos la caída de toda la red de intercomunicación OT que depende del Triconex. Dicha vulnerabilidad DDoS se puede desencadenar enviando paquetes TSAA por el puerto UDP 1500.

Mitigación y protección:

Se deben tomar una serie de medidas adicionales para mitigar y controlar un posible ataque dcon malware de la familia TRITON:
Acceso físico: Un buen control al acceso físico a los controladores SIS, así como el resto de componentes hardware , deben mantenerse en espacios cerrados controlados por acceso limitado , monitoreados y accesibles solo para personal autorizado. Asimismo el switch físico en los controladores Triconex debe mantenerse en la posición "Ejecutar" durante las operaciones normales, a fin de limitar accesos o cambios malintencionados de un cambio de configuración no controlada o no autorizada.
Control y segmentación de la red: Mantener les dispositivos SIS en una red aislada y controlada.
Control de acceso remoto/logico:  Mediante cualquier sistema de conexión controladores SIS, ya sea una etehrnet, wifi, ,pendrive, vpn, vnc, teamviewer, etcétera, se debe requerir un sistema e autenticación fuerte y recomendable un Segundo Factor de Autenticación (2FA).
Escaneado permanente de la red: Instalar tecnologías de monitoreo de la red, de forma continua y sistemática con análisis del trafico en la misma. Implementar tecnologías de IA, con el fin de mejorar el análisis automático para detectar flujos de comunicación inesperados entre dispositivos, detección de nuevos dispositivos conectados, escaneo de todos los métodos de intercambio de datos entre la red.
Figura 10: Notificación de seguridad para TRITON de Schneider Electric

Schneider Electric lanzó una Notificación de Seguridad con nivel  "Importante" con pasos de mitigación específicos con respecto a sus controladores de seguridad Triconex. Schneider Electric recomienda verificaciones periódicas para las actualizaciones de la notificación de seguridad, incluidos los requisitos de configuración técnica específica.

Figura 11: Notificación de seguridad de ABB sobre TRITON/TRISIS

Dada esta posibilidad tan peligrosa, la empresa ABB también lanzó una Notificación de seguridad cibernética el 22 de diciembre de 2017 con pasos de mitigación similares para sus controladores de seguridad.

Autoría:

A ciencia cierta se desconoce la autoría del malware, ya que no se han notificado secuestros ni pagos en ninguna de las formas que se conoce hasta ahora el secuestro de sistemas o archivos. Todo indica que los objetivos y el daño a infligir, estaban muy claros, empresas energéticas muy bien definidas, aunque seguramente experimentaron con un objetivo mas amplio (Arabia Saudí, Asia y Europa). Todo este desarrollo, conocimiento del producto, así como de algún protocolo sin documentar a ataques de estado.

Autor: Jordi ubach (@jubachm)

Más referencias de seguridad en Sistemas de Control Industrial e Infraestructuras Críticas

- Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación
- Hacking de Dispositivos IIoT (Industrial Internet of Things)
- Libro de Python para Pentesters en 0xWord
- Libro de Hacking con Python en 0xWord
- PLCs de Allen Bradley envían la password de Administración
- Informe Mandiant sobre APT1
- Ataque de fuerza bruta a PLC Omron CJ2H CPU64-EIP
- Captura de claves en PLCs industriales CP1L-EM de Omron
- Tu industria en mis manos
- Qué fácil es ver las flaquezas de seguridad de algunos ICS (Sistemas de Control Industrial)
- SCADA: Halcones heridos en tus Infraestructuras Críticas
- Otra de passwords por defecto en Honeywell WebStat (Niagara Web Server)
- Concentradores de Telegestión de Contadores PLC de Telecon integran Latch
- Shodan y sistemas SCADA
- Intentan envenenar agua de un planta depuradora en UK
- La historia del carnicero agradecido
- Unidad de (des)cuidados intensivos
- Hundir la flota por computador: Fallos de seguridad en miles de barcos navegando
- AntiDDoS para dispositivos IoT usando un GSM Shield hecho con Stack SMS

Sigue Un informático en el lado del mal - Google+RSS0xWord

Carnal0wnage Blog: Minecraft Mod, Mother's Day, and A Hacker Dad

May 13, 2019, 8:59 am
$
0
0
Over the weekend my wife was feeling under the weather. This meant we were stuck indoors and since she is sick and it's Mother's day weekend - less than ideal situation - I needed to keep my son as occupied as possible so she could rest and recuperate.

When I asked my son what he wanted to do, he responded with a new Minecraft mod he'd seen on one of these YouTuber's channels. The mod allows you be various Marvel superheroes! Except, the mod version we downloaded... well it lacked the suits he'd seen on YouTube (of course it did).

Did my homework, realized he wanted a version that was only released if you were a Patreon supporter. Now, I'm totally cool giving 5 bucks for software that somebody poured their heart into and with having recently watched Endgame... the desire for the Iron man stuff shown in this paid-for-mod was larger than the desire to hold on to my 5 dollars. Went on Patreon, donated the $5, and downloaded the mod. Fired it up, everything appeared fine... then I got this...



What? Seriously? Well, I go back in and re-read the Patreon message...



Ugh, so a couple issues here. One, we wanted access now. Taking a day (maybe) to add us to some magical list is less than ideal (which, the creator still hasn't responded to my emails so perhaps... never?). Secondly, I'm wondering if this is some sort of "donate $5 every month to continue being on the magical list to use this mod". And, if I already paid for software, I just plain old don't like being at the mercy of someone else.

Time to be the hacker dad hero my son needs :P (plus, I wanted to teach him a life lesson about the hacker spirit).

Okay so... a mod is just a jar file... let's open this up with JD-GUI and search for "Unauthorized use".



Each of these handlers has the same code, they all look basically identical, and they are checking to see if you're in a list and if you're not, then you don't get to play.


So where is this list coming from? Looks like SuperHeroesBetaTesterChecker.getList()





What? Are we seriously pulling down some list from pastebin.com to find out who our authorized users are?





Alright.... so... UUIDs? As it turns out, UUIDs map to usernames and that information is totally retrievable and this handy site helps https://mcuuid.net/.


Cool so now I know our UUIDs (and you do too but, again, anyone can find that out so it's really whatever).

Now originally, I tried decompiling, changing the source and recompiling. At one point I even had my environment setup to compile from Eclipse with forge and this source code. But this was taking a couple hours and I needed a quick solution. This is where Burp came into play. Here is what I did.

1. Set Burp to listen on all interfaces under the proxy options
2. Exported its certificate so that both my son and my machines trusted the proxy for https traffic (no cert warnings)
3. Set our machines to use the Burp proxy for all of our traffic for Secure Web Traffic
4. Added a few proxy match & replace rules that replaces one of the other UUIDs with ours (and usernames for dev level access because.. why not)



That's basically it. Once our machines started routing traffic thru my Burp proxy, every response from pastebin.com with those UUIDs automatically had ours added to the list as authorized users and it worked like a charm.



Note that I have not given detailed instructions on those above 4 steps because... there are already tons of tutorials out there if you're not already familiar with Burp & proxying web traffic.

Let's summarize. We paid $5, and we got told we still needed special permission to use this mod. Didn't sit well, wanted to get this working, and figured I could teach my son a little bit about computers/hacking. Now, did I email the creator of the mod? Yes, in fact I let them know what I found and the workaround. Was very upfront about that. Also provided usernames in case the creator did feel like adding them (though I doubt he's feeling super generous). But we had some fun, learned a little, and got to use the mod.

Having said all that, if you're in a position to donate even a few bucks for software that someone spends a good chunk of their time writing, I'd say do it. But if they don't deliver as promised... put on your hacker hat :-).



Wired: Security: A Cisco Router Bug Has Massive Global Implications

May 13, 2019, 11:24 am
$
0
0
Researchers have discovered a way to break one of Cisco's most critical security features, which puts countless networks at potential risk.

Wired: Security: How Tech Helped the NSC Change the US Way of War

May 13, 2019, 2:59 pm
$
0
0
The National Security Council has gained enormous influence over the last few decades—thanks in no small part to better tech.
Search

BreakingPoint Labs Blog: What is ‘Metadata’ and why does it matter?

May 13, 2019, 3:46 pm
$
0
0
In the information technology world, metadata is a term you’ll often hear thrown around in many…

Cisco Talos: Vulnerability Spotlight: Remote code execution bug in Antenna House Rainbow PDF Office document converter

May 14, 2019, 1:00 pm
$
0
0


Emmanuel Tacheau of Cisco Talos discovered this vulnerability.

Executive summary

A buffer overflow vulnerability exists in Antenna House’s Rainbow PDF when the software attempts to convert a PowerPoint document. Rainbow PDF has the ability to convert Microsoft Office 97-2016 documents into a PDF. This particular bug arises when the converter incorrectly checks the bounds of a particular function, causing a vtable pointer to be overwritten. This could allow an attacker to overflow the buffer and gain the ability to execute code remotely on the victim machine.

In accordance with our coordinated disclosure policy, Cisco Talos worked with Antenna House to ensure that these issues are resolved and that an update is available for affected customers.

Vulnerability details

Antenna House Rainbow PDF Office server document converter TxMasterStyleAtom parsing code execution vulnerability (TALOS-2019-0792/CVE-2019-5030)

A buffer overflow vulnerability exists in the PowerPoint document conversion function of Rainbow PDF Office Server Document Converter, version 7.0 Pro MR1 (7,0,2019,0220). While parsing a document text info container, the TxMasterStyleAtom::parse function is incorrectly checking the bounds corresponding to the number of style levels, causing a vtable pointer to be overwritten, which leads to code execution.

Read the complete vulnerability advisory here for additional information.

Versions tested

Talos tested and confirmed that Rainbow PDF Office Server Document Converter, V7 Pro MR1 for Linux64 (7.0.2019.0220) is affected by this vulnerability.

Coverage

The following SNORTⓇ rules will detect exploitation attempts. Note that additional rules may be released at a future date and current rules are subject to change pending additional vulnerability information. For the most current rule information, please refer to your Firepower Management Center or Snort.org.

Snort Rules: 42076, 42077

SANS Internet Storm Center, InfoCON: green: VMWare just released a security update to address a DLL-hijacking issue affecting VMware Workstation Pro / Player. Details: https://www.vmware.com/security/advisories/VMSA-2019-0007.html, (Tue, May 14th)

May 14, 2019, 1:09 pm
$
0
0
(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.

SANS Internet Storm Center, InfoCON: green: Microsoft May 2019 Patch Tuesday, (Tue, May 14th)

May 14, 2019, 2:06 pm
$
0
0

This month we got patches for 79 vulnerabilities from Microsoft and 1 from Adobe. From those, 23 are critical and 2 were previously known - including the one that has been exploited in the wild.

The exploited vulnerability (CVE-2019-0863) affects the way Windows Error Reporting (WER) handles files. It may allow a local attacker to elevate privileges and run arbitrary code in kernel mode. The CVSS V3 for this vulnerability is 7.8.

The other previously known (CVE-2019-0932) is an information disclosure vulnerability which affects Skype for Android. Exploiting this vulnerability, an attacker could listen to the conversation of a Skype for Android without the user’s knowledge.

Amongst critical vulnerabilities, it worth mentioning a remote code execution in Windows Remote Desktop Services (CVE-2019-0708). An unauthenticated attacker may exploit this vulnerability by sending specially crafted packets to the vulnerable service and then execute arbitrary code on the target system. It affects Windows 7 and Windows Server 2008. The CVSS V3 score for this vulnerability is 9.8.

Last but not least, we have a new critical remote execution vulnerability affecting GDI+ (Windows Graphics Device Interface). An attacker could exploit this vulnerability by convincing the user to open a specially crafted attachment in an e-mail or instant messenger, for example. The CVSS V3 for this vulnerability is 8.8.  

UPDATE: Today's Patch Tuesday also addresses the new CPU side-channel attack published today known as Zombieload[1] (ADV190013). As Meltdown, Spectre, and Foreshadow the new flaw may allow an attacker to steal sensitive data and keys being processed by the CPU. To fix the issue you must apply OS updates provided by Microsoft today (not available for all versions yet) and firmware microcode from device OEMs. The details for this advisory are available at https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190013.

See Renato's dashboard for a more detailed breakout: https://patchtuesdaydashboard.com

Description
CVEDisclosedExploitedExploitability (old versions)current versionSeverityCVSS Base (AVG)CVSS Temporal (AVG)
.NET Framework Denial of Service Vulnerability
%%cve:2019-0864%%NoNoLess LikelyLess LikelyImportant  
.NET Framework and .NET Core Denial of Service Vulnerability
%%cve:2019-0820%%NoNoLess LikelyLess LikelyImportant  
.Net Framework and .Net Core Denial of Service Vulnerability
%%cve:2019-0980%%NoNoLess LikelyLess LikelyImportant  
%%cve:2019-0981%%NoNoLess LikelyLess LikelyImportant  
ASP.NET Core Denial of Service Vulnerability
%%cve:2019-0982%%NoNoLess LikelyLess LikelyImportant  
Azure DevOps Server and Team Foundation Server Cross-site Scripting Vulnerability
%%cve:2019-0872%%NoNoLess LikelyLess LikelyImportant  
%%cve:2019-0979%%NoNo--Important  
Azure DevOps Server and Team Foundation Server Information Disclosure Vulnerability
%%cve:2019-0971%%NoNoLess LikelyLess LikelyImportant  
Chakra Scripting Engine Memory Corruption Vulnerability
%%cve:2019-0912%%NoNo--Critical4.23.8
%%cve:2019-0913%%NoNo--Critical4.23.8
%%cve:2019-0914%%NoNo--Critical4.23.8
%%cve:2019-0915%%NoNo--Critical4.23.8
%%cve:2019-0916%%NoNo--Critical4.23.8
%%cve:2019-0917%%NoNo--Critical4.23.8
%%cve:2019-0922%%NoNo--Critical4.23.8
%%cve:2019-0923%%NoNo--Important4.23.8
%%cve:2019-0924%%NoNo--Critical4.23.8
%%cve:2019-0925%%NoNo--Critical4.23.8
%%cve:2019-0927%%NoNo--Critical4.23.8
%%cve:2019-0933%%NoNo--Critical4.23.8
%%cve:2019-0937%%NoNo--Critical4.23.8
Diagnostic Hub Standard Collector, Visual Studio Standard Collector Elevation of Privilege Vulnerability
%%cve:2019-0727%%NoNoLess LikelyLess LikelyImportant6.76.0
GDI+ Remote Code Execution Vulnerability
%%cve:2019-0903%%NoNoMore LikelyMore LikelyCritical8.87.9
Internet Explorer Information Disclosure Vulnerability
%%cve:2019-0930%%NoNoMore LikelyMore LikelyImportant2.42.2
Internet Explorer Memory Corruption Vulnerability
%%cve:2019-0929%%NoNo--Critical7.56.7
Internet Explorer Security Feature Bypass Vulnerability
%%cve:2019-0995%%NoNo--Important7.36.6
Internet Explorer Spoofing Vulnerability
%%cve:2019-0921%%NoNoLess LikelyLess LikelyImportant2.42.2
Jet Database Engine Remote Code Execution Vulnerability
%%cve:2019-0893%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0894%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0895%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0896%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0897%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0898%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0899%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0900%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0901%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0902%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0889%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0890%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0891%%NoNoLess LikelyLess LikelyImportant7.87.0
Latest Servicing Stack Updates
ADV990001NoNo--Critical  
May 2019 Adobe Flash Security Update
ADV190012NoNo--Critical  
Microsoft Azure AD Connect Elevation of Privilege Vulnerability
%%cve:2019-1000%%NoNoLess LikelyLess LikelyImportant  
Microsoft Browser Memory Corruption Vulnerability
%%cve:2019-0940%%NoNoMore LikelyMore LikelyCritical7.56.7
Microsoft Dynamics On-Premise Security Feature Bypass
%%cve:2019-1008%%NoNoLess LikelyLess LikelyImportant  
Microsoft Edge Elevation of Privilege Vulnerability
%%cve:2019-0938%%NoNo--Important4.23.8
Microsoft Edge Memory Corruption Vulnerability
%%cve:2019-0926%%NoNo--Critical4.23.8
Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
ADV190013NoNoMore LikelyMore LikelyImportant  
Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability
%%cve:2019-0945%%NoNoLess LikelyLess LikelyImportant  
%%cve:2019-0946%%NoNoLess LikelyLess LikelyImportant  
%%cve:2019-0947%%NoNo--Important  
Microsoft Office SharePoint XSS Vulnerability
%%cve:2019-0963%%NoNo--Important  
Microsoft SQL Server Analysis Services Information Disclosure Vulnerability
%%cve:2019-0819%%NoNoLess LikelyLess LikelyImportant  
Microsoft SharePoint Elevation of Privilege Vulnerability
%%cve:2019-0957%%NoNoLess LikelyLess LikelyImportant  
%%cve:2019-0958%%NoNoLess LikelyLess LikelyImportant  
Microsoft SharePoint Server Information Disclosure Vulnerability
%%cve:2019-0956%%NoNo--Important  
Microsoft SharePoint Server Remote Code Execution Vulnerability
%%cve:2019-0952%%NoNo--Important  
Microsoft SharePoint Spoofing Vulnerability
%%cve:2019-0949%%NoNo--Important  
%%cve:2019-0950%%NoNo--Important  
%%cve:2019-0951%%NoNo--Important  
Microsoft Word Remote Code Execution Vulnerability
%%cve:2019-0953%%NoNoLess LikelyLess LikelyCritical  
NuGet Package Manager Tampering Vulnerability
%%cve:2019-0976%%NoNoLess LikelyLess LikelyImportant  
Remote Desktop Services Remote Code Execution Vulnerability
%%cve:2019-0708%%NoNo--Critical9.88.8
Scripting Engine Memory Corruption Vulnerability
%%cve:2019-0884%%NoNoMore LikelyMore LikelyCritical6.45.8
%%cve:2019-0911%%NoNoMore LikelyMore LikelyCritical7.56.7
%%cve:2019-0918%%NoNoMore LikelyMore LikelyCritical7.56.7
Skype for Android Information Disclosure Vulnerability
%%cve:2019-0932%%YesNoLess LikelyLess LikelyImportant  
Unified Write Filter Elevation of Privilege Vulnerability
%%cve:2019-0942%%NoNoLess LikelyLess LikelyImportant4.44.0
Win32k Elevation of Privilege Vulnerability
%%cve:2019-0892%%NoNoMore LikelyMore LikelyImportant7.87.0
Windows DHCP Server Remote Code Execution Vulnerability
%%cve:2019-0725%%NoNoLess LikelyLess LikelyCritical8.17.3
Windows Defender Application Control Security Feature Bypass Vulnerability
%%cve:2019-0733%%NoNoLess LikelyLess LikelyImportant5.34.8
Windows Elevation of Privilege Vulnerability
%%cve:2019-0734%%NoNoLess LikelyLess LikelyImportant7.87.0
%%cve:2019-0936%%NoNoMore LikelyMore LikelyImportant7.87.0
Windows Error Reporting Elevation of Privilege Vulnerability
%%cve:2019-0863%%YesYesDetectedDetectedImportant7.87.0
Windows GDI Information Disclosure Vulnerability
%%cve:2019-0882%%NoNoMore LikelyMore LikelyImportant4.74.2
%%cve:2019-0961%%NoNoMore LikelyMore LikelyImportant4.74.2
%%cve:2019-0758%%NoNoMore LikelyMore LikelyImportant4.74.2
Windows Hyper-V Information Disclosure Vulnerability
%%cve:2019-0886%%NoNoLess LikelyLess LikelyImportant5.55.0
Windows Kernel Elevation of Privilege Vulnerability
%%cve:2019-0881%%NoNoMore LikelyMore LikelyImportant8.87.9
Windows NDIS Elevation of Privilege Vulnerability
%%cve:2019-0707%%NoNoMore LikelyMore LikelyImportant7.06.3
Windows OLE Remote Code Execution Vulnerability
%%cve:2019-0885%%NoNoMore LikelyMore LikelyImportant7.87.0
Windows Storage Service Elevation of Privilege Vulnerability
%%cve:2019-0931%%NoNoMore LikelyMore LikelyImportant7.06.3

 

References

[1] https://zombieloadattack.com/

--
Renato Marinho
Morphus Labs| LinkedInTwitter

(c) SANS Internet Storm Center. https://isc.sans.edu Creative Commons Attribution-Noncommercial 3.0 United States License.

Wired: Security: WhatsApp Was Hacked, Your Computer Was Exposed, and More News

May 14, 2019, 3:41 pm
$
0
0
Catch up on the most important news today in 2 minutes or less.

Wired: Security: Microsoft’s First Windows XP Patch in Years Is a Very Bad Sign

May 15, 2019, 9:28 am
$
0
0
A very bad vulnerability in Windows XP could have serious ramifications, even with a patch.

Wired: Security: Google Will Replace Titan Security Key Over a Bluetooth Flaw

May 15, 2019, 11:17 am
$
0
0
Google will replace any Titan BLE branded security key, after disclosing that a nearby attacker could use it to compromise your accounts.
Search

Un informático en el lado del mal: Sappo para Twitter: Cómo usar Sappo para "silenciar" a un Twittero

May 15, 2019, 3:01 pm
$
0
0
Hace un año, en la conferencia de Open Expo 2018, di una charla en la que presentaba una actualización de nuestra herramienta para hacer Spear Apps to Steal OAuth Tokens que bautizamos como Sappo. Le habíamos añadido en el equipo de Ideas Locas en ElevenPaths la capacidad de controlar una cuenta de Twitter a partir del robo de un tokenOAuth. Hice la charla allí, pensando que la iban a grabar pero no, no fue así, así que se perdió como las lágrimas en la lluvia.

Figura 1: Sappo para Twitter: Cómo usar Sappo para "silenciar" a un Twittero

Como este año voy a volver a ir a Open Expo Europe 2019, he pedido que graben la charla, porque también voy a contar algo nuevo de lo que no hemos hablado nada por ahora. Pero antes, para que tengáis la información completa, os voy a contar básicamente qué es lo que hicimos el año pasado. Allí presentamos una ampliación de Sappo con objetivo Twitter  para conseguir:
  1. Ver, Enviar y Eliminar Mensajes privados en Twitter.
  2. Publicar y Eliminar Twitts en el time-line de la cuenta controlada.
  3. Hacer unfollows de la gente a la que sigue la cuenta controlada.
  4. Hacer que dejen de seguir los followers a la cuenta controlada.
Antes de comenzar a ver cómo funciona el proceso, os dejo las referencias para que leáis lo que ya hemos publicado de Sappo, RansomCloud O365 y la amenaza de OAuth.

[Post] Google alerta de las apps NO verificadas al pedir permisos OAuth. Microsoft Office 365 aún debe mejorar un poco.
[Post] OAuth: La amenaza invisible

Y, como no, la charla de la RootedCON 2016 donde hablamos de este tipo de ataques por primera vez y mostramos Sappo al público.


Figura 2: RootedCON 2016 "Sólo hay que besar un Sappo"

Y ahora vamos a ver los diferentes ataques para conseguir hacer todo lo que se puede hacer con Twitter. Para ello, como en los casos de Gmail, de Outlook y de Office 365, primero es necesario crear una app en Twitter que utilizaremos después en Sappo

Figura 3: Zona de creación de apps en Twitter para developers

Para ello hay que ir a la sección de apps, convertir la cuenta de Twitter en Developer Account y rellenar el formulario de tu app. En este artículo tienes explicado el proceso: "How to create a Twitter app in 8 easy steps". Nosotros la creamos, y la dimos de alta en Sappo, para poder utilizarla como los demás, así que la vais a ver utilizada en nuestras demos en los vídeos.

1.- Toma de control de la cuenta de Twitter con Sappo

Para tomar control de la cuenta de Twitter, es necesario que la víctima de permisos a la App de Twitter maliciosa que hemos creado para Sappo, para ello, hacemos un ataque se Spear Phishing que lleva un enlace a la petición de permisos de acceso, tal y como se explica en el artículo de Sappo que publiqué en el año 2016


Figura 4: Sappo para Twitter. Robo de token OAuth de cuenta Twitter

En este vídeo tienes el proceso completo, así que una vez que se tiene el token OAuth concedido, podemos continuar con el resto de los ataques. Un punto interesante es que los tokens de Twitter duran una infinidad de tiempo como válidos.

2.- Ver, Eliminar y Publicar Tweets en el Tiem-Line

Una vez que ya tenemos el token validado en Sappo, se puede proceder a gestionar el Time-Line de la cuenta de Twitter. Es decir, se pueden ver todos los mensajes, se pueden eliminar y se pueden publicar nuevos mensajes que saldrán en el Time-Line. En este vídeo se puede ver cómo funciona esto desde Sappo.


Figura 5: Sappo para Twitter. Ver, Eliminar y Publicar mensajes en el Time-Line

3.- Forzar la cuenta a dejar de seguir otras cuentas
Una de las opciones que tiene Sappo para Twitter es que puede forzar a la cuenta controlada a dejar  de seguir a cualquier cuenta que esté siguiendo en ese momento, con lo que no le llegaría ningún mensaje publicado por ninguna de esas cuentas que ahora seguía. 


Figura 6: Sappo para Twitter. Hacer unfollow a todas las cuentas que se siguen

Además, seguro que alguno de los que sufren el "unfollow" se van a enfadar y ponerle a caldo, que buenos son los twitteros con los "unfollow".

4.- Hacer que la cuenta pierda todos sus followers

Esta es una de las características que más daño puede hacer al dueño de la cuenta, ya que se trata de que pierda todos sus followers. El truco es bastante sencillo. Desde la Sappo, usando la App de Twitter autorizada con el Token, se bloquea y desbloquea a todos los followers. El resultado es que cuando se hace un bloqueo a una cuenta, automáticamente se le fuerza a la cuenta a hacer el unfollow, y aunque luego se hace el desbloqueo de la cuenta, el sistema ya no hace el follow otra vez.


Figura 7: Sappo para Twitter. Eliminar todos los seguidores de una cuenta

Si se quiere rehacer esta operación, cada usuario que ha sido bloqueado y desbloqueado, debería hacer un follow otra vez, con lo que el proceso no sería rápido, ni sencillo, y a una cuenta con muchos followers que haya tardado años en hacerse con sus seguidores, le puede hacer mucho daño.

5.- Ver, Borrar y Enviar Direct Messages

Por supuesto, también se pueden gestionar los mensajes privados que envía y recibe la cuenta, como Direct Messages. El resultado final es que se puede manipular completamente todo desde Sappo.


Figura 8: Sappo para Twitter. Ver, Eliminar y Enviar Direct Messsages

Eliminar Apps aprobadas en tu cuenta Twitter

Al final, si se tiene un Token OAuth autorizado en Twitter se puede hacer de todo, por lo que si tienes una cuenta de Twitter deberías revisar a qué Apps le has dado permiso. Estas se pueden ver en https://twitter.com/settings/applications. Recuerda que un token OAuth en Twitter aprobado puede durar eones... Y con Sappo se le puede dejar sin Tweets publicados, sin cuentas a quién seguir, sin followers y sin Direct Messages. Totalmente en silencio.

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord

Wired: Security: The FCC's Robocall Plan Sounds Awfully Familiar

May 15, 2019, 3:07 pm
$
0
0
FCC chairman Ajit Pai has proposed a set of rules to combat robocalls. Don't get your hopes up quite yet.

/dev/random: [SANS ISC] The Risk of Authenticated Vulnerability Scans

May 16, 2019, 4:21 am
$
0
0

I published the following diary on isc.sans.edu: “The Risk of Authenticated Vulnerability Scans“:

NTLM relay attacks have been a well-known opportunity to perform attacks against Microsoft Windows environments for a while and they remain usually successful. The magic with NTLM relay attacks? You don’t need to lose time to crack the hashes, just relay them to the victim machine. To achieve this, we need a “responder” that will capture the authentication session on a system and relay it to the victim. A lab is easy to setup: Install the Responder framework. The framework contains a tool called MultiRelay.py which helps to relay the captured NTLM authentication to a specific target and, if the attack is successful, execute some code! (There are plenty of blog posts that explain in details how to (ab)use of this attack scenario)… [Read more]

[The post [SANS ISC] The Risk of Authenticated Vulnerability Scans has been first published on /dev/random]

Cisco Talos: Microsoft Patch Tuesday — May 2019: Vulnerability disclosures and Snort coverage

May 16, 2019, 7:36 am
$
0
0















Microsoft released its monthly security update today, disclosing a variety of vulnerabilities in several of its products. The latest Patch Tuesday covers 79 vulnerabilities, 22 of which are rated “critical," 55 that are considered "important" and one "moderate." This release also includes two critical advisories: one covering Microsoft Live accounts and another addressing updates to Adobe Flash Player.

This month’s security update covers security issues in a variety of Microsoft’s products, including the Scripting Engine, the Microsoft Edge web browser and GDI+. For more on our coverage of these bugs, check out the Snort blog post here, covering all of the new rules we have for this release.

Critical vulnerabilities

Microsoft disclosed 22 critical vulnerabilities this month, seven of which we will highlight below.

CVE-2019-0884, CVE-2019-0911 and CVE-2019-0918 are memory corruption vulnerabilities that exist in the scripting engine when it handles objects in memory in Microsoft browsers. These bugs could corrupt memory in a way that an attacker could gain the ability to remotely execute code in the context of the current user. An attacker could exploit these vulnerabilities by either tricking the user into opening a specially crafted web page while using a Microsoft web browser, or by embedding an ActiveX control marked "safe for initialization" in a specific application or Microsoft Office document that utilizes the browser rendering engine.

CVE-2019-0903 is a remote code execution vulnerability in the GDI+ API. An attacker could use the vulnerability to take complete control of the system and execute, install and delete programs in the context of the current user. An attacker could exploit this bug by tricking a user into visiting a specially crafted, malicious web page or by convincing them to open a malicious email attachment.

CVE-2019-0926 is a memory corruption vulnerability in Microsoft Edge that exists when the web browser improperly accesses objects in memory. An attacker could exploit this vulnerability by tricking the user into opening a specially crafted web page in Edge. This would eventually allow the attacker to corrupt memory in a way that they could then remotely execute code in the context of the current user.

CVE-2019-0929 is a memory corruption vulnerability in Microsoft Internet Explorer that exists in the way the web browser handles objects in memory. An attacker could exploit this vulnerability by tricking the user into opening a specially crafted web page in Internet Explorer. This would eventually allow the attacker to corrupt memory in a way that they could then remotely execute code in the context of the current user.

CVE-2019-0708 is a remote code execution vulnerability in Remote Desktop Services – formerly known as Terminal Services. The vulnerability requires no user interaction and is pre-authentication. Microsoft specifically warned against this bug because it makes the vulnerability "wormable," meaning future malware that exploits this vulnerability could spread from system to system. An attacker could exploit this vulnerability by sending a specially crafted request to the target system's Remote Desktop Service via RDP. Research into coverage for this vulnerability is ongoing.

The other critical vulnerabilities are:

Important vulnerabilities

This release also contains 55 important vulnerabilities, one of which we will highlight below.

CVE-2019-0885 is a remote code execution vulnerability in Windows OLE that exists when OLE fails to properly validate user input. An attacker could exploit this bug in a way that would allow them to execute malicious code on the system. This bug can be exploited when a user opens a specially crafted file or program, leading Windows to execute the desired code.

The other important vulnerabilities are:

Moderate vulnerability

There is one moderate vulnerability, CVE-2019-0971, an information disclosure vulnerability in Azure DevOps.

Coverage 

In response to these vulnerability disclosures, Talos is releasing the following SNORTⓇ rules that detect attempts to exploit them. Please note that additional rules may be released at a future date and current rules are subject to change pending additional information. Firepower customers should use the latest update to their ruleset by updating their SRU. Open Source Snort Subscriber Rule Set customers can stay up-to-date by downloading the latest rule pack available for purchase on Snort.org.

Snort rules: 50068 - 50091, 50115 - 50119, 50120 - 50122

Zero in a bit: Keys to Scaling Your Application Security Program

May 16, 2019, 8:17 am
$
0
0

It’s best practice to kick off your AppSec inititive by starting small, scanning your most business-critical apps, and addressing the most severe flaws. But it’s also best practice to scale your program to eventually cover your entire app landscape, and all flaws. Why? First, because you can be breached through non-critical apps; JP Morgan was breached through third-party software supporting its charitable road race, and Target was breached through its HVAC vendor’s software. Second, you can be breached through a low-severity vulnerability. Oftentimes, a low-severity flaw could be just as risky, if not more so, than a higher-severity flaw. For example, a low-severity information leakage flaw could provide just the right amount of system knowledge an attacker needs to leverage a vulnerability that might otherwise be difficult to exploit.

How do you make this transition from few to many, especially with limited security staff and expertise? This is a significant challenge. In fact, we typically see AppSec programs fail for two reasons: Lack of experience in running an application security program, and the inability to hire enough qualified staff to run application security tools at scale. Very few application security managers have run large programs before and have the experience to predict ramp up and adoption. The global shortage of security professionals also makes it difficult to hire enough people to coordinate between development and security teams. The 2018 Cyberthreat Defense Report found that a rising shortage of skilled personnel is the number one inhibitor organizations face when trying to establish a security program.

Yet, we’ve also helped thousands of customers grow and mature their AppSec programs over the past 12 years, and we know there are a few keys to effectively scaling an application security program. These keys include:

The right partner

Considering the skills shortage, engaging outside AppSec expertise goes a long way, both to establish your program’s goals and roadmap and keep it on track, and to guide you through fixing the flaws you find. We aren’t suggesting you replace your security team with consultants, but rather that you complement it with specialized AppSec expertise and free your team to focus on managing risk by taking these tasks of their plates:

Addressing the blocking and tackling of onboarding

  • Application security program management
  • Reporting
  • Identifying and addressing barriers to success
  • Work with development teams to ensure they are finding and remediating vulnerabilities

We’ve seen the difference this support makes: Veracode customers who work with our security program managers grow their application coverage by 25 percent each year, decrease their time to deployment, and demonstrate better vulnerability detection and remediation metrics.

In fact, data collected for our State of Software Security report found that developers who get remediation coaching from our security experts fix 88 percent more flaws.

Security champions

Another way to scale your AppSec program is to develop and nurture security champions within your development teams. While these developers aren’t (and don’t have to be) security pros, they can act as the security conscience of the team by keeping their eyes and ears open for potential issues. The team can then fix the issues in development or call in your organization’s security experts for guidance. An embedded security champion can effectively help an organization make up for a lack of security coverage or skills by acting as a force multiplier who can pass on security best practices, answer questions, and raise security awareness. Because your security champion speaks the lingo of developers and is intimately involved in your organization’s development projects, he or she can communicate security issues in a way that development teams will understand and embrace.

How can you start developing security champions?

  • Get leadership buy-in. Make sure management, the security team, and the Scrum leaders are willing to invest the time, money, and resources it will take to make security champions effective.
  • Set the standard. Create expectations for what security champions should do and incorporate it into their pre-existing peer review work to minimize disruptions.
  • Track success. Make security a KPI so your organization can evaluate the ROI of the program
  • Provide training. Volunteers can bring passion, but it’s up to your security experts to provide the knowledge your security champions will need to review code for flaws and pass best practices on to the development team.
  • Build community. Make sure security champions have ample opportunity to meet with each other and the security team to discuss specific issues and overall trends.

Cloud-based solution

In addition, a cloud-based application security solution can help you scale your program without a lot of extra cost or hassle compared to an on-premises solution. When an on-premises application security program needs to be scaled, enterprises frequently need to track down more of hard-to-find security specialists, in addition to installing more servers.

Things that usually cost extra in an on-premises solution — features such as integrations, onboarding, upgrades, and maintenance — are all included with a cloud-based solution. This allows your security team to focus on scaling your AppSec efforts without worrying about going over budget.

Learn more

Application security is about more than scanning; the ability to scale your program is a critical factor that can make or break your program. Learn more about AppSec best practices in our new eBook, Application Security: Beyond Scanning.

Viewing all 12054 articles
Browse latest View live
Search