Novedades

Hace una semana que Apple publicóun conjunto de actualizaciones para múltiples productos, incluyendo la nueva versión iOS 10.3 para sus dispositivos móviles (iPad, iPhone, iPod...). Ahora publica la versión 10.3.1 destinada a solucionar una grave vulnerabilidad en el chip WiFi.
La escasa diferencia de tiempo entre la publicación de ambas versiones da una idea de la importancia que supone este nuevo fallo. Una vez más este problema ha sido anunciadopor los investigadores de Project Zero de Google.
El problema, con CVE-2017-6975, puede permitir la ejecución de código arbitrario en el chip WiFi. El problema reside en el firmware de los chips Broadcom Wi-Fi HardMAC SoC cuando se renegocia una conexión a la red WiFi.
Esta nueva versión está disponible para los dispositivos iPhone 5 (y posteriores), iPad de 4ª generación y posteriores e iPod touch de 6ª generación y posteriores. Como es habitual esta actualización está disponible desde Ajustes, en General/Actualización de software.

Pero como hemos dicho el problema reside en los chips Broadcom, por lo que no solo afecta a los dispositivos de Apple; también se extiende a otros fabricantes como Samsung o los Nexus de Google, que también se ven parcheados con la actualización de seguridad de abril para Android.

Más información:
una-al-dia (28/03/2017) Apple publica actualizaciones para múltiples productoshttp://unaaldia.hispasec.com/2017/03/apple-publica-actualizaciones-para.html
About the security content of iOS 10.3.1https://support.apple.com/en-us/HT207688
Broadcom: Stack buffer overflow when handling 802.11r (FT) authentication responsehttps://bugs.chromium.org/p/project-zero/issues/detail?id=1059


Antonio Roperoantonior@hispasec.comTwitter: @aropero

En Hispasec queremos conocer un poco más a nuestros lectores y seguidores, sus intereses y su opinión sobre nuestros servicios. Todo con el objetivo de mejorarlos y adaptarlos a sus gustos y necesidades.
Es muy importante para nosotros que rellenes esta sencilla encuesta. Nos ayudará a mejorar y ofreceros un servicio mucho mejor y adaptado a vuestros gustos.
  Cargando...

Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrían permitir el acceso a información sensible, construir ataques de cross-site scripting o la ejecución de código remoto.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Se han publicado cuatro boletines de seguridad (MSA-17-0004 y MSA-17-0006 al MSA-17-0009), dos de ellos considerados como de gravedad seria y los otros dos como de importancia menor.
El problema que puede ser considerado de mayor gravedad reside en una inyección SQLa través de las preferencias de usuario en Moodle 3.2. El problema podría permitir la ejecución de código arbitrario en Moodle 3.2.1. Afecta a todas las versiones Moodle, aunque en versiones anteriores a la 3.2 solo puede explotarse por administradores a través de servicios web.
También de gravedad alta un cross-site scripting(CVE-2017-2645) en archivos adjuntados como evidencia de aprendizajes anteriores. Afecta a versiones 3.2 a 3.2.1 y 3.1 a 3.1.4.
De gravedad menor, una búsqueda globalpuede permitir a usuarios invitados obtener los nombres de todos los usuarios (CVE-2017-2643). Afecta a versiones 3.2 a 3.2.1. Por último, usuarios registrados pueden presentar una evidencia de aprendizaje previo que incluya un cross-site scripting que se ejecutará por otro usuario que intente editar la misma evidencia (CVE-2017-2644).
Las versiones 3.2.2, 3.1.5, 3.0.9 y 2.7.19 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle. http://download.moodle.org/
Más información:
Security Announcementshttps://moodle.org/security/
MSA-17-0005: SQL injection via user preferenceshttps://moodle.org/mod/forum/discuss.php?d=349419
MSA-17-0007: Global search displays user names for unauthenticated usershttps://moodle.org/mod/forum/discuss.php?d=349420
MSA-17-0008: XSS in evidence of prior learninghttps://moodle.org/mod/forum/discuss.php?d=349421
MSA-17-0009: XSS in attachments to evidence of prior learninghttps://moodle.org/mod/forum/discuss.php?d=349422


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Google ha publicado una actualizaciónde seguridad para su navegador Google Chrome para todas las plataformas para corregir cinco nuevas vulnerabilidades.
El navegador se actualiza a la versión 57.0.2987.133 para Windows, Mac y Linux. En esta ocasión Google confirma la corrección de cinco nuevas vulnerabilidades, una de ellas consideras crítica y cuatro de gravedad alta.
Considerada como crítica, con CVE-2017-5055, una vulnerabilidad por uso de memoria después de liberarla en printing. Mientras que de gravedad alta un desbordamiento de búfer en V8 (CVE-2017-5054), un casting incorrecto en Blink (CVE-2017-5052), un uso de memoria después de liberarla en Blink (CVE-2017-5056) y un acceso a memoria fuera de límites en V8 (CVE-2017-5053). Esta última, fue reportada en el concurso Pwn2Ownsi bien esta participación quedó eliminada por no poderla reproducir en el tiempo requerido.
Según la política de la compañía las vulnerabilidades corregidas han supuesto 13.337 dólares en recompensas a los descubridores de los problemas.
Stable Channel Update for Desktop: The stable channel has been updated to 57.0.2987.133 for Windows,… https://t.co/OKVFyF3csq #googlechrome— Google Chrome Dev (@GoogleChromeDev) 29 de marzo de 2017
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Stable Channel Update for Desktop https://chromereleases.googleblog.com/2017/03/stable-channel-update-for-desktop_29.html
una-al-dia (21/03/2017) El Pwn2Own 2017 causa estragos en navegadores y sistemas operativoshttp://unaaldia.hispasec.com/2017/03/el-pwn2own-2017-causa-estragos-en.html




Antonio Roperoantonior@hispasec.comTwitter: @aropero

Microsoft Internet Information Services (IIS) 6.0 se ve afectado por una vulnerabilidad de desbordamiento de búfer que está siendo explotada de forma activa y que no será corregida por estar fuera de soporte. Una vez más la importancia de mantener el software actualizado.
Si aun lo tienes... mejor que lo actualicesEl 15 de junio de 2015, hace ya más de año y medio, Microsoft finalizó el soporte para el sistema operativo Windows Server 2003, que incluía el servidor web Information Services (IIS) 6.0. Como ya sabemos el fin de soporte significa que aunque el software sigue funcionando ya no recibe actualizaciones, por lo que en caso de aparecer una vulnerabilidad grave, como es el caso, los usuarios se quedan desprotegidos.
El fallo concretamente reside en la función ScStoragePathFromUrl del servicio WebDAV (Web Distributed Authoring and Versioning). Con CVE-2017-7269 consiste en una validación incorrecta de una cabecera 'IF' de gran tamaño (que provoca el desbordamiento de búfer) en una petición PROPFIND y podría permitir a un atacante remoto la ejecución de código arbitrario.
Según los investigadores que han encontrado el fallo la vulnerabilidad puede estar explotándose de forma activa desde julio o agosto del año pasado. Todo indica que en la actualidad otros atacantes están creando código malicioso basado en la prueba de concepto original.
¡Noooo! ¡Quítalo!Los fallos en WebDAV no son nuevos, desde el principiofue una tecnología que causo múltiples problemas y riesgos. Web Distributed Authoring and Versioning (WebDAV) es una extensión del protocolo http que permite la colaboración remota y la administración de contenidos web. WebDAV permite editar y manejar ficheros y atributos a través de web (lo que ya de por sí lo convierte en un potencial problema de seguridad). WebDAV extiende el conjunto de cabeceras y métodos del estándar http para incluir métodos como COPY, LOCK, MKCOL, PROPFIND, UNLOCK, etc.
Aunque en la actualidad no son muchos los sitios con IIS 6.0, "haberlos haylos". Según W3Techrepresentan el 1,3% de todos los servidores web. Aunque otras fuentes, como BuitWith eleva ese porcentaje al 2,3%, que se cifra en más de 8 millones de sitios web.
Como contramedida, la única solución posible pasa por desactivar WebDAVen los servidores IIS 6.0. Este problema no afecta a las versiones actuales de IIS. En cualquier caso, la recomendación pasa por actualizar a un sistema más moderno y soportado por el fabricante, que siempre podrá proporcionar actualizaciones para solventar las vulnerabilidades.
Más información:
IIS 6.0 Vulnerability Leads to Code Executionhttp://blog.trendmicro.com/trendlabs-security-intelligence/iis-6-0-vulnerability-leads-code-execution/
Usage statistics and market share of Microsoft-IIS version 6 for websiteshttps://w3techs.com/technologies/details/ws-microsoftiis/6/all
Websites using IIS 6https://trends.builtwith.com/Web-Server/IIS-6
una-al-dia (14/03/2001) Parche para el problema de IIS 5.0 con WebDAVhttp://unaaldia.hispasec.com/2001/03/parche-para-el-problema-de-iis-50-con.html
una-al-dia (17/05/2009) Grave vulnerabilidad en IIS. De vuelta a fallos de principios de décadahttp://unaaldia.hispasec.com/2009/05/grave-vulnerabilidad-en-iis-de-vuelta.html
Millions of Websites Affected by IIS 6.0 Zero-Dayhttp://www.securityweek.com/millions-websites-affected-iis-60-zero-day


Antonio Roperoantonior@hispasec.com
Twitter: @aropero

Lo dijimos, había que prestar atención al troyano bancario Mazain, un malware de origen ruso diseñado para dispositivos Android del que ya describimostodas sus entrañas en un par de entregas de una-al-día.
¡Los troyanos evolucionan
como los Pokemon!Este troyano parecía encontrarse en una fase temprana y estaba dirigido a usuarios de entidades del Este de Europa (Rusia, Ucrania...). No es la primeravez que vemos como un troyano evoluciona y cambia su objetivo, en esta ocasión le ha bastado una semana para poner su foco mayoritario en entidades españolas y latinoamericanas.
En el análisis que realizamos, y describimos, anteriormente en Hispasec, la característica principal era que la detección de aplicaciones bancarias estaba incrustada ("hardcodeada") en el propio malware. De esta manera, no se podía aumentar el margen de aplicaciones a atacar, y su extracción era sencilla. En esta nueva variante, las entidades afectadas se obtienen de manera remota después de pasar una serie de comprobaciones, lo que dificulta su obtención.
Una vez instalamos la aplicación, espera unos segundos antes de actuar para evitar levantar las sospechas del usuario. Nos solicita que le demos acceso a determinados permisos, como pueden ser el envío de SMS, la lectura de contactos y el acceso a la localización del dispositivo.

El malware es insistente, e intenta obtener estos permisos para poder realizar sus fechorías. Una vez los consigue, trata de solicitar los permisos de administrador de dispositivo. La explicación que da al usuario, es una copia de la licencia GNU.

Descargadas las inyecciones en local, el malware se encarga de tratarlas para obtener de manera entendible las aplicaciones que debe monitorizar.
























Por supuesto, no podían faltar el envío de datos al servidor remoto. En este caso, realiza peticiones al servidor remoto donde entrega el ID del dispositivo para mantenerlo controlado. Además, al igual que la versión anterior, guarda el número de placa, de marca, la CPU que gastamos, qué dispositivo tenemos, nuestra versión de Android... En definitiva, toda la información correspondiente a cada dispositivo infectado.

Aprovecha que la recepción de SMSs para interceptarlos y enviarlos al servidor remoto.

El malware está siempre monitorizando las aplicaciones que abrimos de forma que detecta que el usuario se va a autenticar en la aplicación bancaria y aprovecha para robar los datos introducidos. Para, como no podía ser de otra forma, enviarlos después a un servidor remoto...

Las comunicaciones se hacen utilizando un código que se interpreta en el lado del servidor, pero podemos hacernos a la idea de los datos enviados a través de las inyecciones obtenidas y su análisis.
Hay que señalar que esta nueva versión ha aumentado significativamente el número de entidades afectadas. Si la muestra que analizamos originalmente solo atacaba a 23 entidades, ésta eleva su alcance a aproximadamente 200 entidades, en su mayoría españolas y latinoamericanas. De igual manera, observamos que no solo afecta a las aplicaciones regulares para móvil que un usuario puede encontrar en la Play Store, sino que en esta ocasión los usuarios que utilicen tabletas Android también pueden verse afectados al atacar también las versiones para estos dispositivos.

Mostramos a continuación algunos de los paquetes de aplicaciones afectados, que incluyen entidades como BBVA, Unicaja, Banco de la Provincia de Buenos Aires, Citi Argentina, BBVA Bancomer, Banco Popular, Banco Santander, Kutxabank, Banco Mare Nostrum, Caja Murcia, Caixa de Balears, Caja Granada, Banco Galicia o NBO Argentina:

• com.bbva.bbvacontigo
• com.bbva.nxt_tablet
• com.bbva.bbvawalletmx
• com.bbva.netcashar
• com.bbva.netcash
• es.univia.unicajamovil
• ar.bapro.tablet
• ar.bapro
• com.citi.regional.argentina,ar
• com.bancomer.mbanking
• app.kutxa.pro
• com.kutxabank.appatxas
• com.kutxabank.android
• rsi.ruralviatablet
• es.bancopopular.nbmpopulartablet
• es.bancopopular.nbmpopular,
• es.bancosantander.empresas
• es.bancosantander.apps
• es.bmn.cajamurciaapp2
• es.bmn.bmnapp2
• es.bmn.sanostraapp2,
• es.bmn.cajagranadaapp2
• com.mosync.app_Banco_Galicia
• com.nbo.ar

Esto es lo que podemos encontrarnos a nivel técnico, pero... ¿quieres saber cómo puede afectarte? Pues te dejamos un vídeo en el que se puede ver como al entrar en algunas de las aplicaciones afectadas aprovecha para robar las credenciales. Al finalizar el vídeo, se muestra la aplicación maliciosa en Koodous y como es posible desinstalarla o ver detalles de la aplicación como los permisos que requiere.


Una vez más, recordamos extremar la precaución, especialmente en nuestros dispositivos móviles, donde con frecuencia tendemos a levantar nuestras defensas. Recuerda que tu móvil o tu tablet es igual que un ordenador, aplica las mismas prácticas de seguridad. El sentido común siempre es nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y por si falla nuestra intuición disponer de algún software de seguridad. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.
Añadir que si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com.
MAIA
Por último, desde Hispasec contamos con un servicio de alerta de infecciones en dispositivos móviles orientado a entidades bancarias llamado MAIA.
MAIA pretende ofrecer información valiosa sobre la seguridad de los dispositivos de nuestros clientes, esta información puede ser una importante fuente de información para los departamentos de riesgo de empresas relacionadas con el sector bancario que vean en MAIA una métrica que permita discernir la confianza en un usuario respecto a la gestión de la seguridad de sus dispositivos.
Si quieres más información sobre este servicio o sobre cualquier otro que ofrecemos en Hispasec, no dudes en escribirnos a comercial@hispasec.com
Más información:
una-al-dia (23/03/2017) Mazain, un nuevo troyano bancario y su botnet asociada (I)http://unaaldia.hispasec.com/2017/03/mazain-un-nuevo-troyano-bancario-y-su.html
una-al-dia (24/03/2017) Mazain, un nuevo troyano bancario y su botnet asociada (y II)http://unaaldia.hispasec.com/2017/03/mazain-un-nuevo-troyano-bancario-y-su_24.html
una-al-dia (15/03/2017) El malware bancario Ursnif pone el ojo en Españahttp://unaaldia.hispasec.com/2017/03/mazain-un-nuevo-troyano-bancario-y-su.html


Fernando Díazfdiaz@hispasec.com

VMware ha publicado una actualización de seguridad para corregir cuatro vulnerabilidades en VMware ESXi, Workstation y Fusión que fueron anunciadasen el concurso Pwn2Own y que podrían llegar a permitir ejecutar código arbitrario en el sistema anfitrión desde un sistema invitado.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.
En esta ocasión todos los problemas corregidos fueron anunciados y presentados durante el concurso Pwn2Own, del que ya efectuamos una extensa crónicaen una-al-día.
#Pwn2Own follow-up: new #VMware Security Advisory VMSA-2017-0006 for ESXi, Workstation and Fusion https://t.co/TW9j820Z67— VMware Sec Response (@VMwareSRC) 28 de marzo de 2017
Las dos primeras vulnerabilidades, consideradas críticas, residen en un desbordamiento de búfer y un uso de memoria sin inicializar en SVGA y podrían permitir a un sistema invitado ejecutar código en el anfitrión. Se han asignado los identificadores CVE-2017-4902 y CVE-2017-4903. Afectan a VMware ESXi, Workstation, Fusion, si bien ESXi 6.0 no se ve afectado por el CVE-2017-4902.
Un tercer problema, también critico, reside en un uso de memoria sin inicializar en el controlador XHCI de VMware ESXi, Workstation y Fusion. Igualmente podría permitir la ejecución de código en el sistema anfitrión desde el invitado. En sistemas ESXi 5.5 solo se produce una denegación de servicio del sistema invitado. Se ha asignado el CVE-2017-4904.
Estas vulnerabilidades está consideradas críticas, pues son de las más graves que pueden darse en entornos virtuales: escapar del entorno virtual y lograr ejecutar código en el sistema anfitrión.
Por último, un problema de gravedad moderada (con CVE-2017-4905) por uso de memoria sin inicializar en VMware ESXi, Workstation y Fusion que podría dar lugar a una fuga de información.
VMware ha publicado actualizaciones para evitar estos problemas disponibles desde: VMware ESXi 6.5Parche ESXi650-201703410-SGhttps://my.vmware.com/group/vmware/patch 
VMware ESXi 6.0 U3Parche ESXi600-201703401-SGhttps://my.vmware.com/group/vmware/patch
VMware ESXi 6.0 U2KB 2149673https://my.vmware.com/web/vmware/details?productId=491&downloadGroup=ESXI60U2
VMware ESXi 6.0 U1KB 2149672https://my.vmware.com/web/vmware/details?productId=491&downloadGroup=ESXI60U1B
ESXi 5.5Parche ESXi550-201703401-SGhttps://my.vmware.com/group/vmware/patch
VMware Workstation Pro 12.5.5https://www.vmware.com/go/downloadworkstation
VMware Workstation Player 12.5.5https://www.vmware.com/go/downloadplayer
VMware Fusion Pro / Fusion 8.5.6https://www.vmware.com/go/downloadfusion
Más información:
VMSA-2017-0006VMware ESXi, Workstation and Fusion updates address critical and moderate security issueshttp://www.vmware.com/security/advisories/VMSA-2017-0006.html
VMware Workstation target at Pwn2Own 2017https://blogs.vmware.com/security/2017/03/vmware-workstation-target-pwn2own-2017.html
The Security Landscape: Pwn2Own 2017https://blogs.vmware.com/security/2017/03/security-landscape-pwn2own-2017.html
una-al-dia (21/03/2017) El Pwn2Own 2017 causa estragos en navegadores y sistemas operativoshttp://unaaldia.hispasec.com/2017/03/el-pwn2own-2017-causa-estragos-en.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero

Se ha confirmado una vulnerabilidad en Samba (versiones anteriores a 4.6.1, 4.5.7, 4.4.12), que podría permitir a un atacante acceder a archivos no compartidos.
Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).
El problema (con CVE-2017-2619) puede permitir a un cliente malicioso acceder a áreas no exportadas del servidor de archivos mediante una ruta de enlace simbólico.
Se han publicado parches para solucionar esta vulnerabilidad en http://www.samba.org/samba/security/Adicionalmente, se han publicado las versiones Samba 4.6.1, 4.5.7 y 4.4.12 que corrigen los problemas.
Como contramedida el equipo de Samba recomienda añadir el parámetro"unix extensions = no"En la sección [global] de smb.conf y reiniciar smbd. Esto impide a los clientes SMB1 la creación de enlaces simbólicos en el sistema de archivos exportado empleando SMB1.
Más información:
Symlink race allows access outside share definitionhttps://www.samba.org/samba/security/CVE-2017-2619.html



Antonio Roperoantonior@hispasec.com
Twitter: @aropero

Apple ha anunciado la actualización de productos sus productos más destacados, incluyendo la publicación de macOS Sierra 10.12.4, Security Update 2017-001 El Capitan y Security Update 2017-001 Yosemite, iOS 10.3, Safari 10.1, watchOS 3.2, macos Server 5.3, tvOS 10.2, así como Pages, Numbers y Keynote para Mac e iOS. Estas nuevas versiones solucionan un total de 210 vulnerabilidades algunas de ellas en múltiples productos.
Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.
Se ha publicado macOS (anteriormente OS X) macOS Sierra 10.12.4, Security Update 2017-001 El Capitan y Security Update 2017-001 Yosemite, destinada a corregir 127 nuevas vulnerabilidades en macOS Sierra. Las vulnerabilidades corregidas afectan a múltiples componentes que incluyen entre otros Apache, apache_mod_php, Bluetooth, curl, EFI, ImageIO, Kernel, Keyboards, libarchive, LibreSSL, OpenSSH, OpenSSL, python, QuickTime, Security, sudo, tcpdump, tiffutil y WebKit. Algunos componentes se han actualizado a versiones más recientes como LibreSSL 2.4.25, PHP 5.6.30, OpenSSH 7.4, tcpdump 4.9.0 y LibTIFF 4.0.7.
iOS 10.3 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que está destinada a solucionar 84 nuevas vulnerabilidades. Los problemas corregidos están relacionados con diferentes componentes, como Accounts, Audio, CoreGraphics, CoreText, HTTPProtocol, ImageIO, Kernel, libarchive, Phone, Safari, Security, Siri o WebKit entre otros. Múltiples problemas podrían permitir la ejecución remota de código arbitrario.
Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 10.1 para OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 y macOS Sierra 10.12.4. Se solucionan 38 vulnerabilidades, la mayoría de ellas relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Muchas podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario al visitar una página web específicamente creada.
El contenido de seguridad de Safari 10.1 se encuentra incluido en macOS Sierra 10.12.4, Security Update 2017-001 El Capitan y Security Update 2017-001 Yosemite.
También se ha publicado macOS Server 5.3 destinado a corregir tres vulnerabilidades en Profile Manager, Web Server y Wiki Server.
De forma similar, Apple publica WatchOS 3.2, destinada a todos los modelos de su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan 34 vulnerabilidades. También ha publicado tvOS 10.2, el sistema operativo para Apple TV (de cuarta generación), que soluciona 56 vulnerabilidades.
Por último, se ha publicado Pages 6.1, Numbers 4.1 y Keynote 7.1 para Mac y Pages 3.1, Numbers 3.1 y Keynote 3.1 para iOS para solucionar una vulnerabilidad por la que se podría obtener el contenido de los PDFs protegidos con contraseña.
Más información:
About the security content of macOS Sierra 10.12.4, Security Update 2017-001 El Capitan, and Security Update 2017-001 Yosemitehttps://support.apple.com/es-es/HT207615
About the security content of iOS 10.3https://support.apple.com/es-es/HT207617
About the security content of Safari 10.1https://support.apple.com/es-es/HT207600
About the security content of watchOS 3.2https://support.apple.com/es-es/HT207602
About the security content of tvOS 10.2https://support.apple.com/es-es/HT207601
About the security content of macOS Server 5.3https://support.apple.com/es-es/HT207604
About the security content of Pages 6.1, Numbers 4.1, and Keynote 7.1 for Mac and Pages 3.1, Numbers 3.1, and Keynote 3.1 for iOShttps://support.apple.com/es-es/HT207595


Antonio Roperoantonior@hispasec.com
Twitter: @aropero

Apple ha publicado nuevas versiones de iTunes para Windows y Mac, destinadas a corregir 17 vulnerabilidades con diferentes efectos.
iTunes es una aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además permite sincronizar un iPod, iPhone o Apple TV.
Los problemas corregidos están relacionados con siete vulnerabilidades en SQLite y 10 fallos en expat. Estos problemas se han solucionado actualizando a las versiones 3.15.2 de SQLite y 2.2.0 de expat.
Hay que señalar la antigüedad de algunos de los problemas, que se remontan incluso al 2009. Los CVE asignados son: CVE-2013-7443, CVE-2015-3414 al CVE-2015-3717, CVE-2015-6607, CVE-2016-6153, CVE-2009-3270, CVE-2009-3560, CVE-2009-3720, CVE-2012-1147, CVE-2012-1148, CVE-2012-6702, CVE-2015-1283, CVE-2016-0718, CVE-2016-4472 y CVE-2016-5300.
Apple ha publicado la versión 12.6de iTunes para Windows 7 (y posteriores) y para OS X Mavericks 10.9.5 (y posteriores) que corrigen estos problemas, disponibles desde: https://www.apple.com/itunes/download/
Más información:
Acerca del contenido de seguridad de iTunes 12.6https://support.apple.com/es-es/HT207598
Acerca del contenido de seguridad de iTunes 12.6 para Windowshttps://support.apple.com/es-es/HT207599


Antonio Roperoantonior@hispasec.comTwitter: @aropero

La Network Time Foundation ha publicado una nueva versión de ntpd destinada a corregir 15 vulnerabilidades, que podrían permitir provocar condiciones de denegación de servicio y desbordamientos de búfer.
NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.
Los problemas corregidos incluyen seis de importancia media, cinco de riesgo bajo y cuatro de nivel informativo. También se corrigen otros 15 fallos no relacionados con la seguridad y otras mejoras.
Los problemas considerados más graves consisten en una denegación de servicio en servidores NTP a través de directivas de configuración específicamente construidas (CVE-2017-6464), una denegación de servicio en servidores NTP si un atacante remoto autenticado envía una configuración no válida a través de la directiva :config (CVE-2017-6463), desbordamientos de búfer en funciones ctl_put() (CVE-2017-6458), un desbordamiento de búfer en ntpq cuando solicita la lista de restricciones de un servidor ntpd malicioso (CVE-2017-6460) y por último una denegación de servicio en la funcionalidad de comprobación de marcas de tiempo de origen (CVE-2016-9042).
Se recomienda actualizar a la versión 4.2.8p10 disponible desde: http://www.ntp.org/downloads.html
Más información:
March 2017 ntp-4.2.8p10 NTP Security Vulnerability Announcement http://support.ntp.org/bin/view/Main/SecurityNotice#March_2017_ntp_4_2_8p10_NTP_Secu


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Se ha publicado una nueva versiónde OpenSSH destinada a corregir dos vulnerabilidades que podrían permitir descifrar mensajes o crear o modificar archivos en los sistemas afectados.
OpenSSH es una implementación libre de la familia de protocolos SSH, que ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH se realiza de forma cifrada y se aplican fuertes mecanismos para garantizar la autenticación.
El primer problema corregido reside en la corrección de una variante de u ataque corregido en la versión 7.3 por una debilidad que puede permitir la medición de tiempo en las contramedidas contra ataques de Padding Oracle en CBC (Cifrado por bloques). Hay que señalar que los cifrados CBC están desactivados por defecto en los clientes OpenSSH y solo se incluyen por compatibilidad. En sshd se ofrecen como opción de preferencia más baja y se eliminarán por defecto completamente en la próxima versión.
Por otra parte un nuevo problema reportadopor los investigadores de Project Zero de Google. Solamente afecta a la versión OpenSSH portable y podría permitir a un servidor remoto autenticado aprovechar una escalada de directorios (o directorio transversal) en sftp-client en Cygwin para crear o modificar archivos fuera del directorio destino.
OpenSSH ha publicado la versión OpenSSH 7.5 que corrige estos problemas y algunos otros fallos no relacionados directamente con la seguridad.
Más información:
OpenSSH 7.5 has just been releasedhttp://www.openssh.com/txt/release-7.5
OpenSSH on Cygwin: directory traversal in SFTP clienthttps://bugs.chromium.org/p/project-zero/issues/detail?id=1058&can=1&q=Openssh

Antonio Roperoantonior@hispasec.com
Twitter: @aropero

En la una-al-día de ayer describimos el comportamiento de Mazain, una nueva muestra de malware para Android que hemos encontrado en nuestro Departamento Antifraude. Tal y como adelantamos, en la noticia de hoy vamos a analizar el C&C, las campañas, las diferentes muestras, las entidades afectadas y el panel de control.
Seguimos nuestra investigación con la misma muestra que tratamos ayer, buscamos el panel de control del troyano y vimos que solo afecta a usuarios en Rusia:
Los atacantes saben todo de los dispositivos infectados
En este panel aparece información como el IMEI, si tiene ROM modificada, la versión de Android, versión del APK, país del afectado, aplicaciones de bancos que tiene en el dispositivo, modelo del dispositivo, si tiene acceso root, si tiene la pantalla encendida, si tiene el dispositivo encendido, fecha de infección y unos botones para ver la información recolectada del dispositivo, incluidas las credenciales robadas del banco.
Pues sí. Así de fácil consiguen las credenciales
A través de una búsqueda rápida en Koodous descubrimos que hay casi 90 apks con el mismo nombre de paquete en el momento de escribir esta entrada:
89 APKs con el mismo nombre de paquete
Y la primera muestra de la que tenemos constancia en Koodous es de finales del año 2016:
Esta es la primera
Hemos analizado todas las aplicaciones y hemos extraído tantos los bancos afectados como los puntos de control, finalmente muchas de las apps comparten el mismo punto de control:
¿Para qué tener muchos C&C?
El dominio mcdir.ru pertenece a una compañía de hosting rusa llamada MCHost. Nos ha llamado la atención este porque es el que mayor número de C&C presenta.
La lista de nombres de paquetes monitorizados es la siguiente:

• ru.sberbankmobile
• ru.sberbank_sbbol
• ru.alfabank.mobile.android
• ru.alfabank.oavdo.amc
• ru.mw
• ru.raiffeisennews
• com.idamob.tinkoff.android
• com.paypal.android.p2pmobile
• com.webmoney.my
• ru.rosbank.android
• ru.vtb24.mobilebanking.android
• ru.simpls.mbrd.ui
• ru.yandex.money
• ua.com.cs.ifobs.mobile.android.sbrf
• ua.privatbank.ap24
• ru.simpls.brs2.mobbank
• com.ubanksu
• com.alseda.ideabank
• pl.pkobp.iko
• com.bank.sms
• ua.com.cs.ifobs.mobile.android.otp
• ua.vtb.client.android
• ua.oschadbank.online
• com.trinetix.platinum
• hr.asseco.android.jimba.mUCI.ua
• ua.pentegy.avalbank.production
• com.ukrgazbank.UGBCardM
• com.coformatique.starmobile.android

De la que se pueden extraer todas las entidades afectadas, principalmente todas de Rusia, aunque también hay entidades de Ucrania, Polonia y Croacia: 

• Sberbank 
• Alfa-Bank
• VISA QIWI
• Raiffeisen Bank
• Tinkoff Bank
• PayPal 
• Webmoney Keeper
• Rosbank
• VTB Bank
• MTS Bank
• Yandex Money
• PrivatBank
• Russian Standard Bank
• ubank
• IdeaBank
• PKO Bank Polski
• Banco SMS (HandWallet)
• OTP Bank
• VTB Bank
• Oschadbank
• Platinum Bank
• Ukrsotsbank
• UkrSibbank

Para terminar, hemos generado una regla Yara en Koodous que iremos actualizando y que contempla que el malware contenga alguna de las URLs que ya se han visto anteriormente o el nombre de paquete.
Una sencilla regla Yara para detectarlo
Aunque este malware en este momento afecte principalmente a entidades rusas, no debemos dejar de prestarle atención. En cualquier momento a los atacantes puede resultarles muy sencillo enfocar su ataque a otro punto, como ya hemos visto en otras ocasiones. Además las medidas y recomendaciones son básicamente las mismas independientemente del malware que tratemos.
De nuevo recordamos extremar la precaución, especialmente en nuestros dispositivos móviles, donde con frecuencia tendemos a levantar nuestras defensas. Recuerda que tu móvil es igual que un ordenador, aplica las mismas prácticas de seguridad. El sentido común siempre es nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y una red de seguridad por si falla nuestra intuición. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.
Por otra parte si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com
Más información:
Mazain Yara https://koodous.com/rulesets/2350
Hosting principalhttps://mchost.ru/
una-al-dia (23/03/2017) Mazain, un nuevo troyano bancario y su botnet asociada (I)http://unaaldia.hispasec.com/2017/03/mazain-un-nuevo-troyano-bancario-y-su.html


Antonio Sánchezasanchez@hispasec.com

El malware para Android crece más cada día, además se vuelve más peligroso y con un objetivo concreto: nuestro dinero. Hemos encontrado un nuevo troyano bancario para Android del que además hemos podido acceder al panel de la botnet que lo controla.
Nos hemos encontrado en Koodous con una nueva muestra que parecía tener un comportamiento sospechoso, así que el Departamento Antifraude de Hispasec ha procedido a realizar un análisis más detallado.
¿A qué va a ser malware?
Tras el análisis dinámico y estático hemos comprobado que se trata de un troyano de evidente origen ruso que monitoriza otras aplicaciones bancarias, de pago online y similares instaladas en el dispositivo, con el objeto de capturar las credenciales introducidas. Hemos llamado "Mazain" a este troyano por la referencia a su autor ("by Maza-in") en el panel de la botnet.
Rápidamente, en un primer vistazo en Koodous ya resultan sospechosas tanto las "Actividades" como los "Servicios" que la aplicación tiene declarados en su manifiesto:
¿injectionActivity?¿goRoot? Con nombres así da para sospechar
¿injectionService? Más de lo mismo
Con estos indicios y con ya muchas sospechas de encontrarnos ante un nuevo malware, el siguiente paso es ejecutar la muestra en un dispositivo móvil. Y lo primero que encontramos es que pide permisos de administración. Otra evidencia.
¿Permisos de Administrador?
¡Es el momento de cancelar la instalación!
Y por si fuera poco, el icono desaparece de las aplicaciones disponibles y al mismo tiempo realiza un par de peticiones al C&C (Command and Control, la infraestructura mando y control):


Con todas las evidencias reunidas, solo queda pasar a realizar un análisis estático que nos ofrezca más información sobre este malware. Tras un primer examen del código vemos que contiene diferentes funcionalidades.
En primer lugar descubrimos información de la configuración del troyano, como es su punto de control, la clave con la que va a comunicarse con el servidor y el nombre de la campaña. No se puede decir que el desarrollador haya sido muy cuidadoso, ya que posteriormente hemos encontrado estos mismos datos incluidos directamente en otras partes del código ("hardcodeados").
Así siempre, por favor
También comprobamos los diferentes nombres de paquete de las aplicaciones que monitoriza. Encontrando aplicaciones tan conocidas como PayPal o webmoney y de bancos principalmente rusos (Alfa-Bank, Rosbank, Sberbank). El origen ruso del troyano se hace evidente.


Las intenciones son claras, inyectar su código malicioso cuando el usuario abra alguna de ellas:


Es el momento de volver al teléfono y probar el funcionamiento sobre una de ellas. En este caso Visa QiWi, un proveedor ruso de servicios de pago online:


Tras introducir las credenciales en la pantalla que nos muestra, vemos el tráfico realizado, tanto solicitando la web que ha superpuesto como la información que hemos introducido:



Además de la función de captura de credenciales de banca online, también hemos encontrado funciones para recolectar los SMS enviados y recibidos. Sin duda con el propósito de acceder a los sistemas en los que haya un doble factor de autenticación:


En una próxima entrega analizaremos la botnet, el panel y más datos interesantes sobre este nuevo malware.
De nuevo, las medidas recomendadas son las habituales: sentido común como nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y una red de seguridad por si falla nuestra intuición. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.
Continúa...
Antonio Sánchezasanchez@hispasec.com

Mozilla ha publicado un boletín de seguridad (del MFSA 2017-08) destinado a corregir la vulnerabilidad crítica que afecta a sus navegadores web Firefox y Firefox ESR anunciada en el concurso Pwn2Own.
Como ya describimos en nuestra crónica del concurso Pwn2Own el equipo Chaitin Security Research Lab (@ChaitinTech) consiguió un desbordamiento de entero en Mozilla Firefox (con CVE-2017-5428), concretamente en la función createImageBitmap(). En su aviso, Mozilla aclara que esta función se ejecuta en el contexto de la sandbox por lo que requiere una segunda vulnerabilidad para lograr el compromiso del equipo. Precisamente el equipo Chaitin en su demostración empleó un búfer sin inicializar en el kernel de Windows para elevar sus privilegios y conseguir el ataque exitoso. Lo que les permitió ganar 30.000 dólares.
Como ya anunciamos empezamos a ver como los fabricantes publican actualizaciones para corregir los fallos descubiertos. Mozilla no ha tardado en reaccionar y publica las versiones 52.0.1 de Firefox y Firefox ESR. Se encuentran disponibles para su descarga a través de los canales habituales.
Más información:
Mozilla Foundation Security Advisory 2017-08integer overflow in createImageBitmap() https://www.mozilla.org/en-US/security/advisories/mfsa2017-08/
una-al-dia (21/03/2017) El Pwn2Own 2017 causa estragos en navegadores y sistemas operativoshttp://unaaldia.hispasec.com/2017/03/el-pwn2own-2017-causa-estragos-en.html




Antonio Roperoantonior@hispasec.comTwitter: @aropero

Durante los días 15 al 17 de marzo se ha celebrado la décima edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores y plugins en diferentes sistemas operativos se llevan importantes premios económicos. Como en ediciones anteriores en esta ocasión las víctimas han sido Apple Safari, Microsoft Edge, Mozilla Firefox, Adobe Flash, Reader, Windows, macOS y hasta Ubuntu y VMware.
Pwn2Own es el evento anual que aglutina a los mejores investigadores de seguridad y donde se ponen a prueba los navegadores web más populares, diferentes sistemas operativos, así como en los plugins más atacados. Pwn2Own 2017 se ha celebrado en la ciudad canadiense de Vancouver, organizado por Zero Day Initiative (ZDI) y Trend Micro.
Día 1
El primer díase realizaron 10 intentos de ataque, cinco exitosos, uno de forma parcial, dos fallidos y otras dos retiradas. En total 20 nuevas vulnerabilidades y 233.000 dólares en premios.
Empezó con el equipo 360 Security usando un desbordamiento basado en heap en jpeg2000, una fuga de información en el kernel de Windows y un búfer sin inicializar en el kernel de Windows para conseguir una ejecución remota de código a través de Adobe Reader. Por ello ganaron 50.000 dólares y 6 puntos para el premio de Master of Pwn.
Tras esto, Samuel Groß y Niklas Baumstark consiguieron puntos de estilo por dejar un mensaje especial en la Touch Bar de un Mac. Para ello utilizaron un uso de memoria después de liberarla en Safari combinado con tres errores de lógica y una desreferencia de puntero nulo para conseguir elevar sus privilegios a root en macos. Como el problema de uso de memoria después de liberar ya había sido corregido en una versión beta del navegador el ataque se consideró un éxito parcial, a pesar de lo cual consiguieron 28.000 dólares y 9 puntos para el concurso de Master of Pwn.

El siguiente concursante fue Tencent Security– Team Ether que consiguió un ataque exitoso contra Microsoft Edge a través de una escritura arbitraria en Chakra y mediante otro error consiguieron escapar de la sandbox. Esto les permitió ganar 80.000 dólares y 10 puntos para el Master of Pwn.
Por primera vez en la competición un equipo intentaba un ataque contra Ubuntu Linux. El equipo Chaitin Security Research Lab realizó un acceso fuera de límites en el kernel de Linux para ganar 15.000 dólares y 3 puntos para Master of Pwn.
We've seen folks pop calc, and folks pop calc in scientific mode, but xcalc is a first for #Pwn2Own - thanks to @ChaitinTech. #P2O pic.twitter.com/9azY453m7A— Zero Day Initiative (@thezdi) 15 de marzo de 2017
Las retiradas vinieron por parte de Tencent Security – Team Ether que intentaban atacar Windows, y Ralf-Philipp Weinmann en su intento sobre el navegador Microsoft Edge. Posiblemente las recientes actualizaciones de Microsoft debían haber afectado a sus exploits.
Otro fallo vino de la mano de Tencent Security – Team Sniper al atacar Google Chrome con una elevación de privilegios.
Pero este equipo sí logró un ataque exitoso contra Adobe Reader, empleando una fuga de información seguida de un uso de memoria después de liberarla para conseguir la ejecución de código. Mediante otro uso de memoria después de liberarla en el kernel consiguieron privilegios del sistema. Ganaron 25.000 dólares y 6 puntos para el premio de Master of Pwn.
El equipo Chaitin Security Research Lab consiguió otro éxito a través de Apple Safari consiguieron acceso root en macOS mediante una cadena de seis vulnerabilidades que incluían una obtención de información en Safari, cuatro de confusión de tipos en el navegador y un uso de memoria después de liberar en WindowServer. La crónica de Trend Micro califica esta demostración como espectacular lo que facilitó otros 35.000 dólares y 11 puntos para el Master of Pwn.
Para finalizar el primer día, Richard Zhu intentó conseguir una elevación a privilegios a root en macos a través de Apple Safari. Sin embargo, finalizado el tiempo permitido no consiguió un ataque exitoso.
Vídeo resumen del primen día

Día 2
El segundo díade competición fue mucho más productivo, con hasta 17 intentos en un único día. El número de participantes este año ha marcado todo un récord, que obligó a los organizadores a dividir a los participantes de esta jornada en dos grupos diferentes. Por un lado los enfocados en productos Microsoft y adobe y otra parte enfocada en productos Mozilla y Apple. Finalmente se lograron 11 ataques exitosos, uno fallido, tres retiradas y dos descalificaciones, para conseguir un total de 340.000 dólares en premios.
En la pista A _al puro estilo deportivo_ el día comenzó con el equipo 360 Security (@mj0011sec) con un intento de ataque exitoso sobre Adobe Flash por una cadena de vulnerabilidades de un uso de memoria después de liberarla, dos fugas de información del kernel de Windows y un búfer sin inicializar en el kernel de Windows para elevar los permisos desde Flash hasta conseguir privilegios del sistema. Por ello ganaron otros 40.000 dólares y 12 puntos más para el premio de Master of Pwn.
Continuó con otro ataque exitoso a Adobe Flash por parte del equipo Tencent Security – Team Sniper mediante un uso de memoria después de liberar y otro en el kernel de Windows para elevar privilegios a nivel de sistema. Lo que les valió para ganar 40.000 dólares y 12 puntos para Master of Pwn.
El equipo Tencent Security – Sword Team consiguió un ataque exitoso contra Microsoft Edge que valiéndose de otras dos vulnerabilidades de uso de memoria después de liberar consiguieron privilegios del sistema. Con esto ganaron 55.000 dólares y 14 puntos más.
A pesar de los éxitos anteriores, Tencent Security - Team Lance y Tencent Security - Team Shield retiraron sus ataques dirigidos a Microsoft Windows y Microsoft Edge. Sin embargo esto no le importó al equipo Tencent Security – Team Sniper para completar un exploit exitoso contra Microsoft Edge mediante un uso de memoria después de liberar en Chakra y otro en el kernel de Windows para elevar privilegios a nivel de sistema. Con esto sumaron otros 55.000 dólares y 14 puntos más.
Una vez más el equipo de 360 Security explotó con éxito Microsoft Windows con un acceso fuera de límites en el kernel de Windows, que les permitió ganar 15.000 dólares y 4 puntos de Master of Pwn. Para finalizar el día en el grupo A, Tencent Security - Team Sniper consiguió elevar sus privilegios en Microsoft Windows a través de un desbordamiento de entero en el kernel, lo que les valió 15.000 dólares y 4 puntos más para el título de Master de Pwn.
En el grupo B, el equipo de 360 Security demostró una elevación de privilegios en Apple macOS. Mediante una fuga de información y una condición de carrera en el kernel. Obtuvieron 10.000$ y 3 puntos más para Master of Pwn. Sin tiempo de levantarse de la silla, el mismo equipo aprovechó un desbordamiento de entero en Apple Safari y un uso de memoria después de liberar en el kernel para conseguir permisos de roor en un macOS. De esta forma ganaron otros 35.000 dólares y 11 puntos más.
El equipo Chaitin Security Research Lab (@ChaitinTech) consiguió una elevación de privilegios en macOS mediante una fuga de información y un acceso fuera de límites en el kernel. Esto les valió 10.000 dólares y 3 puntos para el Master of Pwn.
El equipo de Tencent Security – Sword Team sufrió una descalificación al realizar un ataque sobre Apple macOS con vulnerabilidades ya reportadas y conocidas por Apple. A continuación Moritz Jodeit de Blue Frost Security (@moritzj) intentaba atacar Mozilla Firefox pero no consiguió que sus exploits funcionaran exitosamente dentro del tiempo previsto.
El equipo Chaitin Security Research Lab (@ChaitinTech) consiguió un desbordamiento de entero en Mozilla Firefox y elevó sus privilegios a través de un búfer sin inicializar en el kernel de Windows. Esto les permitió ganar otros 30.000 dólares y 9 puntos de Master of Pwn.
Para finalizar el día en el grupo B, Tencent Security – Team Sniper aprovecharon un desbordamiento de entero en Apple Safari y consiguieron privilegios de root mediante acceso fuera de límites y uso después de liberar en WindowServer. Lo que les valió otros 35.000 dólares y 11 puntos para el premio de Master of Pwn.


Vídeo resumen del segundo día:

Día 3
Esta ha sido la primera edición del Pwn2Own que ha requerido tres días dado el elevado número de participantes e intentos de ataque, pero el décimo aniversario del concurso y la bosa de premios merecía un reconocimiento en todos los niveles. El tercer día, mucho más reducido, tenía como punto central dos ataques a VMware. Los tres participantes de este tercer día se repartieron 260.000 dólares.
El viernes comenzó con una actuación espectacular del equipo 360 Security que utilizó un desbordamiento del heap en Microsoft Edge, un error de confusión de tipos en el kernel de Windows y un búfer sin inicializar en VMware para lograr escapar por completo de la máquina virtual. Esto les permitió conseguir 105.000 dólares y 27 puntos para el Master of Pwn. 
Wow. @mj0011sec did it. Used heap overflow in Edge, type confusion in kernel, & uninit buffer in VMware for complete virtual machine escape.— Zero Day Initiative (@thezdi) 17 de marzo de 2017Por su parte, Richard Zhu (fluorescence) empleó dos vulnerabilidades de uso de memoria después de liberarla diferentes en Microsoft Edge para posteriormente elevar los privilegios a nivel del sistema mediante un desbordamiento de búfer en el kernel de Windows. Esto le facilitó 55.000 dólares y 14 puntos.
Finalmente el ganador del concurso de "Master of Pwn" fue el equipo 360 Security con 63 puntos.
Los resultados finales de este Pwn2Own han sido más espectaculares que nunca, con tres días de concurso y un total de 51 nuevas vulnerabilidades reportadas y 833.000 dólares repartidos en premios. 
Todas las vulnerabilidades han sido reportadas de forma responsable y los fabricantes ya trabajan en actualizaciones para corregir estos problemas. Sin duda en breve empezaremos a ver las actualizaciones para corregir estos problemas.
Vídeo resumen del tercer día

Más información:
The Results – Pwn2Own 2017 Day Onehttp://blog.trendmicro.com/results-pwn2own-2017-day-one/
The Results – Pwn2Own 2017 Day Twohttp://blog.trendmicro.com/results-pwn2own-2017-day-two/
The Results – Pwn2Own Day Threehttp://blog.trendmicro.com/results-pwn2own-day-three/



Antonio Roperoantonior@hispasec.comTwitter: @aropero

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en VMware Workstation y Fusión que podría permitir desde un sistema invitado ejecutar código arbitrario en el sistema anfitrión.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.
El problema, considerado crítico, reside en la funcionalidad arrastrar y soltar (drag-and-drop) de VMware Workstation y Fusion por una vulnerabilidad de acceso a memoria fuera de límites. Un usuario local en un sistema invitado podría conseguir ejecutar código arbitrario y privilegios elevados en el sistema anfitrión. Como contramedida en Workstation Pro y Fusion, el problema no puede explotarse si las funcionalidades de arrastrar y soltar y de copiar y pegar están desactivadas. Esta contramedida no está disponible en Workstation Player.
Está vulnerabilidad está considerada crítica, pues es de las más graves que pueden darse en entornos virtuales: escapar del entorno virtual y lograr ejecutar código en el sistema anfitrión. Se ha asignado el CVE-2017-4901.
https://twitter.com/VMwareSRC/status/841611960785522688
Afecta a Workstation Pro y Player 12.x en todos los sistemas y a Fusion y Fusion Pro 8.x en Mac OS X.
VMware ha publicado versiones actualizadas para evitar el problema, disponibles desde:VMware Workstation Pro 12.5.4https://www.vmware.com/go/downloadworkstation VMware Workstation Player 12.5.4https://www.vmware.com/go/downloadplayer VMware Fusion Pro / Fusion 8.5.5https://www.vmware.com/go/downloadfusion
Más información:
VMSA-2017-0015VMware Workstation and Fusion updates address out-of-bounds memory access vulnerabilityhttp://www.vmware.com/security/advisories/VMSA-2017-0005.html
New VMware Security Advisory VMSA-2017-0005https://blogs.vmware.com/security/2017/03/new-vmware-security-advisory-vmsa-2017-0005.html


Antonio Roperoantonior@hispasec.com
Twitter: @aropero

El equipo de seguridad de Drupal ha publicado una actualización de seguridad considerada crítica para solucionar tres vulnerabilidades, que podrían permitir la realización de ataques CSRF, la ejecución remota de código arbitrario o evitar la autenticación.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
El primer problema, con CVE-2017-6377, considerado crítico reside en un fallo en el módulo Editor al comprobar de forma incorrecta el acceso a archivos privados. Cuando se añade un archivo privado a través de un editor de texto configurado (como CKEditor), el editor no verifica adecuadamente el acceso del archivo, lo que puede permitir un salto de la autenticación.
Por otra parte, con CVE-2017-6379 y considerado moderadamente crítico, algunas rutas administrativas no incluyen protección contra ataques CSRF ("Cross Site Request Forgery").
Por último, de gravedad moderadamente crítica y CVE-2017-6381, una librería desarrollada por terceros que incluye dependencias de desarrollo de Drupal 8 es vulnerable a la ejecución remota de código. Esto está mitigado con la protección .htaccess por defecto contra ejecución PHP, y porque las dependencias de desarrollo de Composer normalmente no están instaladas. Pueden ser vulnerables instalaciones de Drupal 8 anteriores a 8.2.2. Para asegurar que no se es vulnerable se puede eliminar el directorio /vendor/phpunit de la raíz de los desarrollos en producción.
Todos los problemas afectan a Drupal 8. Se recomienda la actualización a Drupal 8.2.7. https://ftp.drupal.org/files/projects/drupal-8.2.7.zip
Además, esta misma semana Drupal también ha anunciado avances para facilitar a los administradores la actualización del CMS, incluso entre versiones mayores.
Más información:
Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-001https://www.drupal.org/SA-2017-001
drupal 8.2.7https://www.drupal.org/project/drupal/releases/8.2.7
Making Drupal upgrades easy foreverhttps://www.drupal.org/blog/making-drupal-upgrades-easy-forever


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Adobe ha publicado dos boletines de seguridadpara anunciar las actualizaciones necesarias para solucionar siete vulnerabilidades en Flash Player y una en Shockwave Player.
Flash Player
El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-07que soluciona siete vulnerabilidades.
Los problemas incluyen dos vulnerabilidades de corrupción de memoria, un desbordamiento de búfer y tres por uso de memoria después de liberarla que podrían permitir la ejecución de código; y un fallo en el generador de números aleatorios que podría permitir la obtención de información. Los CVE asignados son del CVE-2017-2997 al CVE-2017-3003.
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

• Flash Player Desktop Runtime 25.0.0.127
• Flash Player para Linux 25.0.0.127

Igualmente se ha publicado la versión 25.0.0.127 de Flash Player para navegadores Internet Explorer, Edge y Chrome.
Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde http://www.adobe.com/go/getflash. Para actualizar Adobe Flash Player para Linux: http://www.adobe.com/go/getflash
Adobe Shockwave Player
Por otra parte, Adobe ha publicado un nuevo boletín de seguridad (APSB17-08) para solucionar una vulnerabilidad importante en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.
En esta ocasión la vulnerabilidad (con CVE-2017-2983) está relacionada con un problema en la ruta de búsqueda de directorios empleada para encontrar recursos que podría permitir una escalada de privilegios. El problema afecta las versiones de Adobe Shockwave Player 12.2.7.197 y anteriores para plataformas Windows.
Adobe recomienda actualizar a la versión 12.2.8.198 de Shockwave Player, disponible desde: http://get.adobe.com/shockwave/.
Más información:
Security updates available for Adobe Flash Playerhttps://helpx.adobe.com/security/products/flash-player/apsb17-07.html
Security update available for Adobe Shockwave Player https://helpx.adobe.com/security/products/shockwave/apsb17-08.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Wireshark Foundation ha publicado las versiones 2.0.11 y 2.2.5 que incluyen la corrección de nueve vulnerabilidades que podrían provocar condiciones de denegación de servicio.
Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
En esta ocasión la fundación Wireshark ha publicado nueve boletines de seguridad (del wnpa-sec-2017-03 al wnpa-sec-2017-11) todos ellos afectan a todas las versiones de las ramas 2.2 y 2.0.
Como es habitual, las vulnerabilidades corregidas residen en denegaciones de servicio por fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. La lista de los disectores y protocolos afectados incluyen LDSS, RTMTP, WSP, y IAX2. También se han solucionado fallos en los analizadores de archivos STANAG 4607, NetScaler y K12.
También se ha solucionado múltiples problemas no relacionados directamente con vulnerabilidades de seguridad y actualizado el soporte de diferentes protocolos.
Las vulnerabilidades mencionadas se han solucionado en las versiones 2.0.11 y 2.2.5 disponibles para descarga desde la página oficial del proyecto. https://www.wireshark.org/download.html
Más información:
Wireshark 2.0.11 is now availablehttps://www.wireshark.org/docs/relnotes/wireshark-2.0.11.html
Wireshark 2.2.5 Release Noteshttps://www.wireshark.org/docs/relnotes/wireshark-2.2.5.html
wnpa-sec-2017-03 - LDSS dissector crash https://www.wireshark.org/security/wnpa-sec-2017-03.html
wnpa-sec-2017-04 - RTMTP dissector infinite loop https://www.wireshark.org/security/wnpa-sec-2017-04.html
wnpa-sec-2017-05 - WSP dissector infinite loop https://www.wireshark.org/security/wnpa-sec-2017-05.html
wnpa-sec-2017-06 - STANAG 4607 file parser infinite loop https://www.wireshark.org/security/wnpa-sec-2017-06.html
wnpa-sec-2017-07 - NetScaler file parser infinite loop https://www.wireshark.org/security/wnpa-sec-2017-07.html
wnpa-sec-2017-08 - NetScaler file parser crash https://www.wireshark.org/security/wnpa-sec-2017-08.html
wnpa-sec-2017-09 - K12 file parser crash https://www.wireshark.org/security/wnpa-sec-2017-09.html
wnpa-sec-2017-10 - IAX2 dissector infinite loop https://www.wireshark.org/security/wnpa-sec-2017-10.html
wnpa-sec-2017-11 - NetScaler file parser infinite loop https://www.wireshark.org/security/wnpa-sec-2017-11.html

Antonio Roperoantonior@hispasec.com
Twitter: @aropero