Un exploit podría tomar el control de un Mac incluso tras formatearlo

Un exploit podría tomar el control de un Mac incluso tras formatearlo

Este podría ser una de las vulnerabilidades más peligrosas que habíamos oído nunca, ya que al parecer existe un agujero de seguridad que permitiría controlar un Mac incluso tras haberlo formateado. Descubierto por el experto en seguridad de OS X Pedro Vilaca, el exploit ataque a viejos equipos que despiertan tras el modo de hibernación. El problema es que el supuesto sistema de seguridad que protege al firmware del equipo no se activa de inmediato en modelos antiguos tras despertarse del reposo, dejando expuesto al equipo durante un breve periodo de tiempo. A diferencia de otros exploits que requieren acceder vía hardware, el atacante podría plantar la trampa de manera remota desde Safari u otro medio.

Para implantarlo lo primero que debe de conseguir es tener acceso al Root a través de una web preparada para el ataque, un correo electrónico o cualquier otro método. Después se deja el programa que se ha cocinado expresamente para esta tarea, quedando únicamente que esperar a que el equipo entre en reposo (o forzarlo a ello) para posteriormente actualizar el firmware en cuanto se despierte. Una vez instalado, es bastante difícil de detectar y eliminar en comparación con el malware tradicional, de forma que podría sobrevivir incluso tras un formateo.

Según informa el propio Vilaca, los equipos afectados son el MacBook Pro Retina, MacBook Pro 8.1 y MAcBook Air, aunque aquellos modelos de menos de un año de antigüedad parecen ser completamente inmunes al ataque (Vilaca cree que Apple podría conocer el problema y parcheado los equipos más nuevos). Tendremos que esperar a que Apple se pronuncie al respecto, ya que como Vilaca dice, la propagación del informe de seguridad no es para nada una irresponsabilidad, sino una motivación para ponerle solución cuanto antes.

El formato PDF, de nuevo en el punto de mira

Al parecer se ha detectado un paquete de exploits capaz de aprovechar vulnerabilidades en el lector más usado de este formato, Adobe Reader.

El “PDF Xploit Pack” permite explotar vulnerabilidades y gestionar de forma centralizada a las víctimas en las que se ha conseguido ejecutar código arbitrario. Muy al estilo del Mpack o cualquier otro producto engendrado por la industria del malware, pero específico para este producto.

“PDF Xploit Pack” parece ser el primer paquete de exploits que se encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino también a través del navegador porque permiten visualizar archivos PDF incrustados en él gracias a un plugin. Los atacantes están consiguiendo (como viene siendo habitual) violar la seguridad de páginas legítimas y esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace especialmente manipulado que aprovecha las vulnerabilidades.

Lo que no se aclara desde la fuente original es si el paquete aprovecha vulnerabilidades conocidas (para las que se pueda estar protegido con las últimas versiones del lector) o desconocidas hasta el momento.

El archivo PDF, cuando se abre con el lector vulnerable, descarga otro malware que realmente contiene el payload. Hay que recordar que el formato PDF ya fue usado como “downloader” en febrero de este mismo año, y el ataque resultó bastante “popular”. Instalaba el troyano Zonebac.

Hace justo un año, se aprovechó también de forma masiva una vulnerabilidad compartida entre Adobe Reader y Windows con Internet Explorer 7. En esta ocasión se usaba el fallo para, a través de una línea de comandos incrustada en el PDF, descargar por FTP y ejecutar código automáticamente al abrir el fichero. También ese mismo año, en junio, se popularizó de forma fulgurante pero efímera el correo basura en formato PDF, inundando los buzones de todo el mundo y eludiendo unos filtros antispam que no estaban preparados.

Continuar leyendo “El formato PDF, de nuevo en el punto de mira”

Denegaciones de servicio en Asterisk

Se han encontrado dos vulnerabilidades en Asterisk, ambas calificadas como críticas, que podrían permitir a un atacante local o remoto causar una denegación de servicio en los sistemas vulnerables.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes

características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

A continuación se explican con más detalle las vulnerabilidades encontradas y corregidas:

* Por medio del envío masivo de peticiones POKE a un sistema vulnerable, un atacante podría acaparar todos los números de llamada (líneas) asociados con el protocolo IAX2, impidiendo el procesamiento del resto de llamadas o peticiones, provocando una denegación de servicio. El fallo está causado porque, de acuerdo con el protocolo IAX2, una vez que el servidor recibe una petición de POKE, este mandaría una respuesta PONG y se quedaría esperando por un paquete ACK con el mismo número de llamada, manteniendo ocupada esa línea. El problema ha sido solucionado usando única y exclusivamente el número de llamada 1 (línea 1) para las peticiones POKE y descartando los paquetes ACK para dicha línea.

Continuar leyendo “Denegaciones de servicio en Asterisk”

Exploit Windows Vista: Consola Administrador

Ha sido publicado un exploit para Windows Vista que nos permite de una forma rapida y sencilla adquirir privilegios de administrador en cualquier version de Vista, para ello no hay que mas arrancar la maquina con una distribucion Live de Linux o cualquier SO (msdos tb vale) y hacer los siguientes pasos.

  1. 1. Renombrar ‘Utilman.exe‘ -> ‘Utilman-old.exe
  2. 2. Renombrar ‘cmd.exe‘ -> ‘Utilman.exe

Video:  Exploit Vista

Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader

Reacción de los Antivirus

Durante el fin de semana se ha dado a conocer una nueva vulnerabilidad en el kernel de Linux que permite a los usuarios conseguir privilegios de root. El problema es que también se ha hecho público, al mismo tiempo, un exploit que permite aprovechar la vulnerabilidad de forma sencilla. Lo mismo ha ocurrido con un fallo en Adobe Reader, pues durante el fin de semana se ha detectado que una vulnerabilidad estaba siendo aprovechada de forma masiva. Como simple experimento curioso, hemos comparado la reacción de los AV ante estas dos nuevas amenazas.

 

¿Cómo han reaccionado las casas antivirus ante este par de vulnerabilidades? Pertenecen a mundos distintos, una permite elevación de privilegios en el kernel (a través de una llamada a vmsplice) y otra ejecución de código en Windows con los privilegios del usuario que ejecute Adobe Reader. Una la sufren los kernel de Linux y otra los usuarios de Adobe en Windows, y los antivirus han reflejado esta disparidad en su capacidad y velocidad de reacción.

  Continuar leyendo “Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader”