Blog de Jonathan Carames

Phishing Banco Francés

jonathanc — Thu, 16 Jul 2009 21:33:27 +0000

Andan dando vueltas correos para realizar este tipo de fraude electrónico :

Detalle del correo :

de	Soporte Tecnico
para		jonathan.carames@gmail.com
fecha		16 de julio de 2009 20:12
asunto		Soporte Tecnico – Actualizacion

ocultar detalles 20:12 (1 hora antes)

Responder

Le enviamos este e-mail para informarle que por problemas tecnicos tenemos que actualizar sus datos en nuestra Base de Datos.

Por favor, para que nosotros podamos actualizar sus datos en la Base de Datos necesitamos que entre a su cuenta y confirme la actualizacion para eso haz click en el siguiente link:
http://www.bancofrances.com.ar/tlal/jsp/ar/esp/home/

1-Entre a su cuenta con sus respectivos datos.
2-Complete el segundo formulario si todo a salido bien su cuenta a sido verificada correctamente de caso contrario por favor entre a su cuenta y verifique si sus datos personales estan actualizados.

Su numero de cliente es: 03886091

Conserva este e-mail o imprimelo y guardalo.

Ante cualquier consulta, no dudes en comunicarte con nuestro Servicio de
Atención al Cliente escribiendo a info@bbva.com.ar

Atentamente,
María Ordóñez
Servicio de Atención al Cliente
info@bbva.com.ar
http://www.bancofrances.com.ar/

Mucho cuidado!!!

Jonathan.

Facebook soluciona su problema de FQL injection

jonathanc — Sun, 05 Apr 2009 15:19:44 +0000

Como algunos ya sabrán facebook para sus aplicaciones utiliza un lenguaje de consulta relativamente propio para sus aplicaciones el FQL : http://wiki.developers.facebook.com/index.php/FQL

Hasta hace poco dejaron una brecha en su código la cuál permitia que cualquiera que no sea uno de tus contactos pueda ver tus fotos.

Básicamente la url mal formada que se debía utilizar era la siguiente :

http://www.facebook.com/profile.php?id=IDVICTIMA&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=IDVICTIMA

1ero se debía obtener el ID esto se puede hacer simplemente viendo los amigos del contacto.

2do Se debía agregar la url con el ID correspondiente de la VICTIMA y listo.

Actualmente la falla se encuentra solucionada.

Como darse cuenta si accedieron a nuestra cuenta de gmail?

jonathanc — Tue, 03 Feb 2009 18:56:21 +0000

Gmail nos ofrece la posibilidad de chequear cuando y desde que ip han accedido a nuestra casilla de gmail. La opción se encuentra al final de la página de la bandeja de entrada (en el footer) . Es un link que dice información detallada

Los datos que muestra son los siguientes :

Actividad reciente:

Tipo de acceso [ ? ] (Navegador, móvil, POP3, etc.)	Dirección IP [ ? ]	Fecha/hora (Se muestra en tu zona horaria)
Navegador	200. *	18:54 (0 minutos antes)
Navegador	200.	17:36 (1 hora antes)
Navegador	200.	16:31 (2 horas antes)
Navegador	200.	15:29 (3 horas antes)
Navegador	200.	14:52 (4 horas antes)

Inclusive si notan alguna sesión desde otra ip tienen la opción de desactivarla.

Descargas TFTP

jonathanc — Mon, 02 Feb 2009 06:28:54 +0000

Casi todos los routers son compatible con este protocolo TFTPP (Trivial File Tranfer Protocol).
El TFTP trabaja por UDP para transferir archivos de configuración utilizando el pto. 69.

Lo podemos detectar en un dispositivo de la siguiente forma con el nmap :

nmap -sU -p69 -nvv target

(La captura no es el scanning real para tftp)

El atacante realiza una descarga de TFTP para obtener los archivos de configuración o sea los .cfg los mismos continenen las passwords de SNMP.

Ataques de buffer overflows (BOF)

jonathanc — Sun, 01 Feb 2009 19:08:43 +0000

Un programa necesita guardar datos por tal motivo necesita un espacio en memoria ese espacio se lo llama buffer.
Los buffers tienen un límite y ese límite se lo define el desarrollador.

Cuando un programa llama a una función guarda la dirección en la que se encuentra para saber donde volver cuando la función termine. Esta dirección es conocida como dirección de retorno y se guarda en la pila. Podemos llamar memoria a la posición en donde se encuentra un dato en la pila.

Qué es la pila?

La pila es una estructura de datos que se encuentra en la RAM y se encarga de centralizar los procedimientos.

Ahora bien, vamos al grano.

BOF o buffer overflow o buffer overrun ocurre cuando una aplicación tiene un defecto en su desarrollo y almacena datos en la memoria más allá de la longitud del buffer.
Como resultado de esto el buffer se desborda y se sobreescribe en lugares de memoria adyacentes. Los datos que son reemplazados pueden incluir otros datos, variables o lógicos de programas y pueden hacer que un proceso haga crash (pumba…!) ó produzca resultados incorrectos.
Una amenaza mayor se vuelven los BOF cuando los datos inyectados son código ejecutable.
Por lo general el BOF puede permitir escalar privilegios.
SHELLCODE : El el código que permite escalar privilegios con un BOF.

Un ejemplo simple de BOF :

Tengo un formulario web con límites establecidos en cantidad de caracteres por ejemplo en el campo nombre que el mismo permite hasta 10 caracteres y el que controla que esto sea así es código de javascript, ahora bien el atacante desactiva del browser el javascript y me inyecta más de 10 caract. 1000000 por ejemplo y causa un bof al finalizar el action.

Un poco de historia :

El primer BOF data de 1988 cuando el Morris Worm se distribuyó por aquella joven internet. Este gusano se aprovechó del servicio de sendmail y finger. Un poco más adelante cerca de nuestros tiempos nos encontramos con el CODE-RED del 2001 que se aprovechaba del IIS 5.0 y hace 6 añitos atrás uno de mis favoritos el SQL Slammer para SQL Server.

Un ejemplo no tan complejo pero solo para entendidos :

Que pasa si el atacante se conecta al demonio de sendmail y envia un bloque de datos que contiene 1000 letras “a” al comando VRFY en lugar del dato del usuario que es mucho más corto…?…

echo “vrfy ‘perl -e ‘ print “a” x 1000 ‘ ‘ ” | nc www.jonathancarames.org 25

El VRFY va a desbordarse porque solo soporta 128 bytes con esto y algunas modificaciones se pueden escarlar los privilegios con este bof.

En el próximo post voy a mostrar algunas contramedidas.

Fuentes : Libro Seg IT de Users autor : Sebastián Firtman. Libro Hackers 4 autores : Nc Clure, Scambray y Kurtz

Actualización de SNMP para Solaris

jonathanc — Tue, 30 Dec 2008 08:11:14 +0000

Sun ha publicado una actualización para sus versiones 8,9 y 10. Esto se debe a una vulnerabilidad encontrada en el SNMP Management Agent.
Básicamente esta vulnerabilidad le permitiría a un intruso obtener privilegios de root.
La vulnerabilidad se encuentra en el manejo de los archivos temporales los cuales pueden ser sobreescritor por otros archivos con el fin de explotar esta vulnerabilidad y convertirse en root.

Para obtener la nueva ver. del protocolo : http://www.sun.com/download/

El secreto MS08-68 de Microsoft

jonathanc — Fri, 05 Dec 2008 00:46:04 +0000

Muchas cosas se dicen en los pasillos del ciberespacio con respecto a la supuesta vulnerabilidad que cumplió 7 años y Microsoft estuvo ocultando.
Se comenta que en realidad del todo esta vulnerabilidad no se encuentra corregida pero lo que si se sabe que el culpable es el protocolo NTLM.

Ahora bien, que cuernos hace el protocolo NTLM?

NTLM es un protocolo utilizado para la autenticación. Sirve para autenticar a un ordenador cuando se conecta a un recurso compartido por ejemplo cuando compartimos una carpeta con mp3 o con el counter para que todos se prendan en el laburo

Quiero aclara que el NTLM trabaja con el SMB y con otros protocolos más.
No quiero pecar de tecnisista y quiero se lo más simple posible porque me vienen criticando mucho eso y tienen razón.

Continuemos…Tipos de ataque con este protocolo por ejemplo son los del tipo “Replay attack”. Los muchachos de MS trabajaron duro y lanzaron el NTLM 2.0 para Windows NT4 SP4 pero….tuvieron problemas con la compatibilidad y no lo activaban por defecto…
Ahora digamos que con Kerberos algo avanzaron con AD pero no terminaba con el problema.
Resumiento la gente de MS sacó de la galera el parch MS08-68 que tendrá en el 2009 otro parche amigo que lo ayudará a hacer más seguro el NTLM.

Jonathan.

Parche crítico para MS Windows

jonathanc — Thu, 23 Oct 2008 21:14:19 +0000

Se acaba de liberar el parche crítico para todas las versiones de Windows y es importante para el W2008S.
Está incluido en el boletín MS08-067.

Que habrá pasado?
La gente de MS estará previniendo o corriendo para apagar un incendio?

Denegación de servicio a través de UFS en Sun Solaris 8, 9 y 10

jonathanc — Wed, 15 Oct 2008 23:45:37 +0000

Se ha encontrado una vulnerabilidad en Sun Solaris 8, 9 y 10 y OpenSolaris que podría permitir a un atacante provocar una denegación de servicio.

El fallo se debe a un problema no especificado en la implementación de las ACL (Access Control List) del sistema de ficheros UFS. Un atacante local sin privilegios podría provocar un “panic” en el sistema y hacer que dejase de responder.

No existe parche oficial para las versiones de Sun Solaris, por lo que se recomienda restringir el acceso a usuarios no confiables. Para OpenSolaris se recomienda actualizar a OpenSolaris build snv_100 o posterior.

Jonathan.

Fuente : Security Vulnerability in the ACL (acl(2)) Implementation for UFS File Systems May Allow a Local User to Panic the System
http://sunsolve.sun.com/search/document.do?assetkey=1-66-242267-1

Falsos antivirus

jonathanc — Wed, 15 Oct 2008 23:33:36 +0000

En situaciones de emergencia y ante la falta de un antivirus alternativo el usuario suele frecuentar sitios que realizan scaneos online de virus y otros tipos de malware.
Lo que muchos usuarios desconocen es que muchos sitios que dicen brindar estos servicios en realidad nos descargan malware.
Utilizan un simple swf que simula realizar el scan pero en realidad no hace nada y previo al scan piden que el usuario acepte y descargue un plugin (el bicho).

Dentro de seguridad informática se los conoce a estos antivirus falsos como “antivirus rogue”

En este listado se encuentran algunos de los sitios de los cuales nos debemos cuidar :
antivirus-scanner-online .com, online-av-scan2008 .com, antivirus-online-08 .com, anti-virus-xp .com, anti-virus-xp .net, i-spyware8 .com, anti-spyware4 .com, smartantivirus2009v2 .com, smartantivirus2009v2-buy .com, anti-spyware11 .com, anti-spyware10 .com, antivirus-cs1 .com antivirus-cs14 .com, anti-virusxp2008 .net, antimalware09 .com, antivirxp .net, av-xp08 .net, av-xp2008 .com, av-xp2008 .net, avx08 .net, axp2008 .com, e-antiviruspro .com, online-security-systems .com, xpprotector .com, pvrantivirus .com, wav2008 .com, wiav2009 .com, win-av .com, windows-av .com, windowsav .com y un largo etcétera.

Jonathan.