Este podría ser una de las vulnerabilidades más peligrosas que habíamos oído nunca, ya que al parecer existe un agujero de seguridad que permitiría controlar un Mac incluso tras haberlo formateado. Descubierto por el experto… Un exploit podría tomar el control de un Mac incluso tras formatearlo
Al parecer se ha detectado un paquete de exploits capaz de aprovechar vulnerabilidades en el lector más usado de este formato, Adobe Reader.
El «PDF Xploit Pack» permite explotar vulnerabilidades y gestionar de forma centralizada a las víctimas en las que se ha conseguido ejecutar código arbitrario. Muy al estilo del Mpack o cualquier otro producto engendrado por la industria del malware, pero específico para este producto.
«PDF Xploit Pack» parece ser el primer paquete de exploits que se encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino también a través del navegador porque permiten visualizar archivos PDF incrustados en él gracias a un plugin. Los atacantes están consiguiendo (como viene siendo habitual) violar la seguridad de páginas legítimas y esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace especialmente manipulado que aprovecha las vulnerabilidades.
Lo que no se aclara desde la fuente original es si el paquete aprovecha vulnerabilidades conocidas (para las que se pueda estar protegido con las últimas versiones del lector) o desconocidas hasta el momento.
El archivo PDF, cuando se abre con el lector vulnerable, descarga otro malware que realmente contiene el payload. Hay que recordar que el formato PDF ya fue usado como «downloader» en febrero de este mismo año, y el ataque resultó bastante «popular». Instalaba el troyano Zonebac.
Hace justo un año, se aprovechó también de forma masiva una vulnerabilidad compartida entre Adobe Reader y Windows con Internet Explorer 7. En esta ocasión se usaba el fallo para, a través de una línea de comandos incrustada en el PDF, descargar por FTP y ejecutar código automáticamente al abrir el fichero. También ese mismo año, en junio, se popularizó de forma fulgurante pero efímera el correo basura en formato PDF, inundando los buzones de todo el mundo y eludiendo unos filtros antispam que no estaban preparados.
Se han encontrado dos vulnerabilidades en Asterisk, ambas calificadas como críticas, que podrían permitir a un atacante local o remoto causar una denegación de servicio en los sistemas vulnerables.
Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes
características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
A continuación se explican con más detalle las vulnerabilidades encontradas y corregidas:
* Por medio del envío masivo de peticiones POKE a un sistema vulnerable, un atacante podría acaparar todos los números de llamada (líneas) asociados con el protocolo IAX2, impidiendo el procesamiento del resto de llamadas o peticiones, provocando una denegación de servicio. El fallo está causado porque, de acuerdo con el protocolo IAX2, una vez que el servidor recibe una petición de POKE, este mandaría una respuesta PONG y se quedaría esperando por un paquete ACK con el mismo número de llamada, manteniendo ocupada esa línea. El problema ha sido solucionado usando única y exclusivamente el número de llamada 1 (línea 1) para las peticiones POKE y descartando los paquetes ACK para dicha línea.
Ha sido publicado un exploit para Windows Vista que nos permite de una forma rapida y sencilla adquirir privilegios de administrador en cualquier version de Vista, para ello no hay que mas arrancar la maquina… Exploit Windows Vista: Consola Administrador
Reacción de los Antivirus
Durante el fin de semana se ha dado a conocer una nueva vulnerabilidad en el kernel de Linux que permite a los usuarios conseguir privilegios de root. El problema es que también se ha hecho público, al mismo tiempo, un exploit que permite aprovechar la vulnerabilidad de forma sencilla. Lo mismo ha ocurrido con un fallo en Adobe Reader, pues durante el fin de semana se ha detectado que una vulnerabilidad estaba siendo aprovechada de forma masiva. Como simple experimento curioso, hemos comparado la reacción de los AV ante estas dos nuevas amenazas.
¿Cómo han reaccionado las casas antivirus ante este par de vulnerabilidades? Pertenecen a mundos distintos, una permite elevación de privilegios en el kernel (a través de una llamada a vmsplice) y otra ejecución de código en Windows con los privilegios del usuario que ejecute Adobe Reader. Una la sufren los kernel de Linux y otra los usuarios de Adobe en Windows, y los antivirus han reflejado esta disparidad en su capacidad y velocidad de reacción.
Parece ser que se ha encontrado un Bug en el Zelda Twight Princess que permite cargar codigo sin firmar en nuestras Wii´s esto es un gran paso para la Scene de la consola estrella de… HomeBrew para Wii: Hack en Zelda
Se ha encontrado una vulnerabilidad en PHP que podría ser explotada por un atacante local para saltarse ciertas restricciones de seguridad. La vulnerabilidad está causada por una imposición incorrecta de restricciones de acceso en PHP… Salto de restricciones a través de objetos COM en PHP 5.x
Una vulnerabilidad en Adobe Reader (compartida en realidad con Microsoft Windows) está siendo aprovechada para ejecutar código con sólo abrir un archivo en PDF. Si bien se conoce esta vulnerabilidad desde hace algunas semanas, no ha sido hasta el día 22 de octubre que se han observado correos intentando explotar el fallo descargando e instalando malware alojado en (sorpresa, sorpresa) la Russian Bussines Network.
En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los
usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora… pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.
Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas
Se ha encontrado otra vulnerabilidad en Yahoo! Messenger que puede ser aprovechada por atacantes para ejecutar código en el sistema víctima.
Esta es la tercera vulnerabilidad grave que afecta a este programa de mensajería en solo dos meses. Microsoft Messenger, por su parte, también es vulnerable a un grave problema.
iDefense alertaba de nuevo de un fallo en el programa de mensajería instantánea de Yahoo!. El problema se debe a un error de límites en dos funciones del control ActiveX YverInfo.dll y puede ser aprovechado para provocar un desbordamiento de memoria intermedia si un usuario visita una página web especialmente manipulada. La vulnerabilidad permite la ejecución de código arbitrario, pero para que tenga éxito, la página que aproveche el error debe encontrarse bajo el dominio yahoo.com (o hacer creer a la víctima que se encuentra en él…).
Una vez más, merece la pena detenerse ante un correo basura que está inundando nuestros buzones (y por extensión, el de algunos millones más de usuarios) durante estos días. Se trata de un spam que intenta hacer que la víctima visite una página. Con cierta audacia, pretende que se descargue un ejecutable y si no, aprovechar fallos para infectar. Lo destacable en este caso, es la cantidad de variantes que se están creando y su capacidad para pasar a través de los filtros antispam.
Desde hace unos días estamos recibiendo decenas de correos con esta
estructura:
La utilidad de compresión Lhaz, en su versión 1.33, posee una vulnerabilidad que permite ejecutar código arbitrario de forma remota. Se recomienda su actualización a la reciente versión 1.34b2, que corrige el problema, o prevenir… Vulnerabilidad en Lhaz 1.33
Aunque no deja de ser una etiqueta de moda sin una definición clara, el concepto de la Web 2.0 hace referencia a una segunda generación de aplicaciones web dinámicas e interactivas donde el usuario tiene… Malware 2.0