OpenVas.- Como bloquear plugins para siempre.

OpenVas el escaner de vulnerabilidades gratuito va muy bien para unas cosas pero muy mal para otras, por ejemplo a la hora de descartar vulnerabilidades. Ese momento en que ves que un plugin te está tumbando una máquina antigua y tienes que decirle a OpenVAs que no lo lance, si lo haces desde la interfaz web estas muerto. Así que, hoy vamos a aprender como deshabilitar un plugin editadolo directamente. 

Primero tenemos que ir a la ruta donde OpneVas tiene almacenados sus plugins:

•  cd /var/lib/openvas/plugins/

Ahora si hacéis un ls os vais a caer de espaldas al ver las cantidad de plugins que pueden haber. Pero podéis buscar el plugin en las siguientes páginas:

• http://openvas.org/openvas-nvt-feed.html
• En cuanto funcione: 
• http://plugins.openvas.org/index.php

Una ves sabemos el nombre exacto del plugin que tiene que acabar nasl ya podemos editar el plugin,  por ejemplo el de traceroute. 

• nano secspace_traceroute.nasl

Dentro del archivo agregamos el siguiente tag:

•  script_tag (name: "deprecated", value: TRUE);

Y después de la función description, se ha de añadir un:

• exit (66);

Aquí tenéis un ejemplo gráfico: 

Guardamos el archivo y OpenVas ya no usará este plugin. Para mas información: 

• http://www.openvas.org/nvt-dev.html#how_to_deprecate_nvt

Sed Buenos ;) 

CVE-2018-1038 - Total Meltdown

¿Os acordáis de Meltdown? era una vulnerabilidad que iba a destruir el mundo de los computadores y al final se parcheo. Pero, ahora ahora ha resucitado con el nombre de Total Meltdown para Windows ya parcheados para la anterior vulnerabilidad. 

CVE-2018-1038: La verdad es que mola bastante, después del parche lanzado por Microsoft para mitigar la vulnerabilidad de Meltdown si quererlo se abrió un nuevo agujero en estas versiones de Windows, permitiendo que cualquier proceso acceda y modifique las entradas de la tabla de páginas al igual que hacia Meltdown. 

• Aquí podéis encontrar mucha mas información: 

•  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-1038

Pero, lo que me da mas miedo a mi es que ya hay varios exploit públicos para explotar esta vulnerabilidad y además están super bien explicados, aquí tenéis un ejemplo: 

• https://blog.xpnsec.com/total-meltdown-cve-2018-1038/

Y Microsoft, a día de hoy, no ha sacado un parche para solucionarlo así que entro en modo paranoico ya que tampoco existe workaround. 

Sed Buenos ;) 

CVE-2018-9119 .- Robando tarjetas de crédito FUZE

FUZE es una tecnología de tarjetas múltiples donde se pueden gestionar múltiples tarjetas de crédito e información de pago a través de un chip EMV regrabable. De esta manera podremos sacar dinero sin tener que rebuscar en nuestras carteras la tarjeta del bank X con el que quieres pagar. 

Esto sería una buena idea si no fuera por que han encontrado una vulnerabilidad que permitiría este robo. La CVE-2018-9119 podría permitir a un atacante con acceso físico a la tarjeta robar las tarjetas de crédito alojadas en Fuze mediante BlueTooth. 

• Mas info: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9119

Mucha mas información sobre esta vulnerabilidad: 

• https://blog.ice9.us/2018/04/stealing-credit-cards-from-fuze-bluetooth.html

Sed Buenos ;) 

Vídeo.- Setting up OpenVAS on Kali Linux + Config and Scanning Howto + Free Startup Script

Hoy no he tenido mucho tiempo para dedicarle al blog, pero ya que ayer hablábamos sobre un Hobbytruco relacionado con OpenVas, hoy estaría bien dar una pincelada a esta herramienta de escaneo que tantos dolores de cabeza me esta dando. La verdad que el formato vídeo me salva la vida. 

Sed Buenos ;)  

HobbyTruco.- Check Poodle With Nmap

Aun que parezca mentira aun hay muchas máquinas que no están parcheadas contra [poodle] y es nuestra faena detectarlas y notificarlas. Así que apunto por aquí este HobbyTruco para que, si tenéis la necesidad de hacer un escaneo dedicado exclusivamente a detectar la vulnerabilidad CVE-2014-3566 de una forma "rápida"con Nmap. 

Usage:

• nmap -sV --version-light --script ssl-poodle -p 443 <host>

Muchas mas información:

• https://nmap.org/nsedoc/scripts/ssl-poodle.html

Sed Buenos ;) 

Vídeo.- A Cat Explains Spectre/Meltdown

Por si aun os queda alguna duda sobre como funcionan las vulnerabilidades mas famosas de este año (Spectre y Meltdown) esta es sin duda una de las mejores explicaciones que he visto hasta el momento. Os la recomiendo encarecidamente. 

Sed Buenos ;)

El ya no tan 0-day en Flash Player CVE-2018-4878 ahora con solución.

Hace mucho que no publicaba ninguna de estas notificaciones de vulnerabilidades y no es porque se necesite mucho tiempo sino mas que nada,  por que prefería recomendaros cosas que iba viendo. Pero creo que ya es hora de ponerme un poco al día con esto. 

CVE-2018-4878: Vulnerabilidad para después de la liberación que permite a un atacante ejecutar código arbitrario de manera remota.

Productos afectados:

•  Adobe Flash Player 28.0.0.137 y anteriores.

 Más información: 

• http://unaaldia.hispasec.com/2018/02/nuevo-0-day-en-flash-player-o-el-cuento.html
• https://www.csirtcv.gva.es/es/alertas/0-day-en-flash-player.html
• https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

Solución:

• Actualizar a la versión Adobe Flash Player 28.0.0.161
• Si, ya ha salido:
• https://helpx.adobe.com/security/products/flash-player/apsb18-03.html

Sed Buenos ;) 

Otra vulnerabilidad en Intel ATM

Hace unos días que me sorprendió un nuevo ataque a Intel la cual permite a un atacante acceder a nuestros equipos de manera remota. Aunque, hay bastantes vulnerabilidades que permiten esto, pero lo mas curioso es la forma de explotar. ¡Es como un tutorial!

• Rebootear el el sistema de la víctima,
• presionar CTRL-P para iniciar la BIOS de Intel Management Engine (MEBx),
• Ingresa la contraseña predeterminada que es... "admin",
• Una vez iniciado el proceso, el atacante puede cambiar la contraseña predeterminada y habilitar el acceso remoto.
• Ahora, el atacante puede acceder al sistema de forma remota mediante la conexión a la misma red inalámbrica o cableada. 

Intel seguir las indicaciones de seguridad de tus cientos de ingenieros debería bastar para no usar admin como pass por defecto.

Para mucha mas información por favor, consultad la fuente:

• https://blog.segu-info.com.ar/2018/01/otro-error-en-intel-amt-permite-acceso.html

Sed Buenos ;) 

¿Qué mas se puede decir sobre Meltdown y Spectre?

Pues la verdad es que no lo se, es posiblemente la vulnerabilidad mas sonada del 2017 (lo digo porqué los CVEs son de 2017) y de lo que llevamos de año.

Ademas, los amigos de fwhibbit ya han publicado una extensa entrada explicando las tres vulnerabilidades de una manera que todo el mundo lo entienda: 

• https://www.fwhibbit.es/spectre-y-meltdown

En el blog de Hacking 4 Bad Pentesters (Si no conocéis este blog ya es hora de que lo hagáis malandrines) han subido una entrada recopilando paper, artículos en Español y en Ingles, PoC, Chekers e información de todo tipo: 

• http://www.hacking4badpentesters.com/2018/01/papersinfopocs-meltdown-spectre.html

Y puede que esta noche tengamos un Podcast en el canal de Youtube de Aprendiz de Sysadmin, el cual no pienso perderme aunque tenga que escucharlo en diferido:

• http://www.hacking4badpentesters.com/2018/01/papersinfopocs-meltdown-spectre.html

Pues si, poco mas se puede contar. Aunque,  cierta parte de mi se alegra de que haya salido a la luz y por fin puedan llegar soluciones a estas vulnerabilidades que a saber quien las estaba explotando antes y con que fines. 

Sed Buenos ;)

Imagen.- El humor de Meltdown

Hoy es la noche especial que es y creo que a quien y a quien menos [Meltdown y su exploit Spectre] le esta haciendo pasar una velada muy larga desde antes de ayer, que mejor que reirnos un poco de ello. 

Sed Buenos ;)

Recomendado.- Explotando Word: CVE-2017-11826

Ya pudisteis deducir ayer que esta semana estoy mas ocupado que las anteriores  pero eso no quiera decir que no lea mi feed de redes sociales o de blogs a los que estoy subscrito. Es una buena forma de mantenerse al día y ademas, es divertida. 

De esta manera podemos ver entradas tan chulas como la de Javier Gil destripando por completo la vulnerabilidad CVE-2017-11826. Muy recomendable y mas si esta tarde no vas ha hacer nada. 

• https://www.tarlogic.com/blog/explotando-word-cve-2017-11826/?utm_content=bufferc0a37&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Sed buenos ;) 

Hobbytruco.- Como explotar una vulnerabilidad Use-After-Free (UAF)

La verdad es que el tipo de vulnerabilidad "para después de la liberación" es uno de los que mas me cuesta de explicar y de entender cuando me preguntan por ella. 

Así que una imagen vale mas que mil palabras y ya que la he localizado también me vale para mi día a día y como no, aplico la norma mágica de este blog que me permite publicar cualquier cosa que me pueda venir bien para un futuro. 

Sed Buenos ;)

PoC.- CVE-2017-13082 (KRACK attack)

Si, llego muy pero que muy tarde al compartir esta PoC pero creo que antes de que se pierda en mi montón de me gustas en Tweeter es necesario tenerla por aquí para que me sea mas fácil encontrarlo. 

Dependencias a la hora de utilizar la Prove of Concept en Kali Linux:

• apt-get update 
• apt-get install libnl-3-dev libnl-genl-3-dev pkg-config libssl-dev net-tools git sysfsutils python-scapy python-pycryptodome

Una vez intaladas las dependencias y configurada la PoC solo tenemos que ejecutar el .py:

• ./krack-ft-test.py --help

Y si estamos afectados nos devolverá algo parecido al siguiente resultado:

[15:48:47] AP transmitted data using IV=5 (seq=4)
[15:48:47] AP transmitted data using IV=5 (seq=4)
[15:48:47] IV reuse detected (IV=5, seq=4). AP is vulnerable!

Aquí tenéis mucha mas información y el enlace para descargar la PoC:

• https://github.com/vanhoefm/krackattacks-test-ap-ft

Seguro que ya lo sabíais pero tenia que estar en el blog. 

Sed Buenos ;) 

Otra entrada mas sobre KRACK Attacks.- Bypassing WPA2

Ayer fue noticia en medio mundo el ataque de reinstalación de la clave WPA2 en diferentes equipos Wi-fi. Este ataque empieza cuando el adversario engaña a una víctima para que vuelva a instalar una. Clave ya en uso. Esto se logra manipulando y reproduciendo los mensajes de handshake. Al volver a instalar la clave, los parámetros asociados tal como el número de paquetes enviados y el numero de paquetes recibidos se restablecen a su valor inicial.

Enlace al paper:

• https://papers.mathyvanhoef.com/ccs2017.pdf

Aquí tenéis un vídeo para acabar de entender como funciona este ataque: 

Los CVEs relacionados con este ataque son los siguientes:

• CVE-2017-13077
• CVE-2017-13078
• CVE-2017-13079
• CVE-2017-13080
• CVE-2017-13081
• CVE-2017-13082
• CVE-2017-13084
• CVE-2017-13086
• CVE-2017-13087
• CVE-2017-13088

Lista de marcas de dispositivos afectados:

• https://github.com/kristate/krackinfo

Página fuente de la noticia y herramienta para estar al dia sobre esta vulnerabilidad:

• https://www.krackattacks.com/

Sed Buenos ;) 

MS17-010 Usado para minear Monero

Si os pensabais que a nadie mas se le había ocurrido usar Eternal Blue ibais muy equivocados. Proofpoint analizando WannaCry descubrieron una clase de Malware (llamado Adylkuzz) que usaba EternalBlue y DoublePulsar para instalar de manera masiva un minero de la criptomoneda Monero. Se calcula que ha tenido un alcance parecido al famoso Ransomware pero, como no da un mensaje de alerta pues no ha saltado a la luz pública.

Hoy os recomiendo el post de proofpoint donde explican como lo descubrieron y como lo destriparon. No os voy a explicar mucho mas ya que espero que os lo leáis.  Merece la pena: 

• https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

Sed Buenos ;) 

Scanless.- Varios escaners Web en un comando.

Si nunca lo habéis buscado, existes muchas aplicaciones web que nos permiten hacer un escaneo de puertos a otra máquina con solo introducir la IP o el dominio de una máquina. Así que, sabiendo que con Python podemos hacer consultas a páginas web y parsear el resultado, Austin Jackson ha cogido esta idea y se ha montado una herramienta muy fácil de usar que nos permite escanear por cinco escaners de puertos distintos con solo un comando. Fácil, cómodo y si queremos podemos usar los 5 a la vez para una sola máquina. 

Escaners que utiliza:

• yougetsignal
• viewdns
• hackertarget
• ipfingerprints
• pingeu

Usage:

• scanless.py [-h] [-t TARGET] [-s SCANNER] [-l] [-a]

Más información y enlace a la herramienta:

• https://github.com/vesche/scanless

Sed Buenos ;) 

PoC.- Awesome CVE

Ayer me encontré de cara con la siguiente entrada de [CyberHades] en super-conocido blog [Segu·Info] donde se presentaba Awesome CVE PoC un repositorio de GitHUb donde describen unas 80 vulnerabilidades y nos ofrece una prueba de concepto para cada una de estas vulnerabilidades.  Ademas, están actualizadas al día así que yo no puedo pedir nada mas, es un gran sistema para aprender aprender a romper cosas y para saber que procedimiento ha utilizado la gente que programa estas PoCs o exploits para encontrar y explotar estas vulnerabilidades. 

Vulnerabilidades descritas en el repositorio:

• CVE-2013-6632
• CVE-2014-1705
• CVE-2014-3176
• CVE-2014-7927
• CVE-2014-7928
• CVE-2015-0235
• CVE-2015-1233
• CVE-2015-1242
• CVE-2015-3306
• CVE-2015-6764
• CVE-2015-6771
• CVE-2015-7450
• CVE-2015-7545
• CVE-2015-8584
• CVE-2016-0728
• CVE-2016-1646
• CVE-2016-1653
• CVE-2016-1665
• CVE-2016-1669
• CVE-2016-1677
• CVE-2016-1688
• CVE-2016-1857
• CVE-2016-3386
• CVE-2016-4622
• CVE-2016-4734
• CVE-2016-5129
• CVE-2016-5172
• CVE-2016-5198
• CVE-2016-5200
• CVE-2016-7189
• CVE-2016-7190
• CVE-2016-7194
• CVE-2016-7200
• CVE-2016-7201
• CVE-2016-7202
• CVE-2016-7203
• CVE-2016-7240
• CVE-2016-7241
• CVE-2016-7286
• CVE-2016-7287
• CVE-2016-7288
• CVE-2016-7547
• CVE-2016-7552
• CVE-2016-8413
• CVE-2016-8477
• CVE-2016-8584
• CVE-2016-8585
• CVE-2016-8586
• CVE-2016-8587
• CVE-2016-8588
• CVE-2016-8589
• CVE-2016-8590
• CVE-2016-8591
• CVE-2016-8592
• CVE-2016-8593
• CVE-2016-9651
• CVE-2017-0070
• CVE-2017-0071
• CVE-2017-0199
• CVE-2017-0392
• CVE-2017-0521
• CVE-2017-0531
• CVE-2017-0576
• CVE-2017-2416
• CVE-2017-2446
• CVE-2017-2447
• CVE-2017-2464
• CVE-2017-2636
• CVE-2017-5638
• CVE-2017-7280
• CVE-2017-7293

Como veis, están bastante al día. Aquí enlace al repositorio de GitHub: 

• https://github.com/qazbnm456/awesome-cve-poc

Sed Buenos ;) 

El horror al actualizar el navegador de tu auto.

Pues hoy no esperaba hacer esta entrada y va a ser muy corta, así que agarraos lo que podáis que vamos.

Me acabo de encontrar con el siguiente tweet de Guido van Rossum el creador de Python donde mostraba un video de honda e indicaba que el horror llegaba en el minuto 1:35 y la verdad es que no es para menos ...

See the sheer terror on the face of the actor updating their car navigation system: https://t.co/PZpp6IKsf0 (around 1:35)

— Guido van Rossum (@gvanrossum) 21 de abril de 2017

El vídeo está oculto en vimeo, [se podrían hacer muchas cosas] pero voy a respetarlo un poco aunque aquí tenéis el enlace:

• https://vimeo.com/194667219/acd57a2767

Entre nosotros, no creo que esta sea la mejor manera de actualizar un coche/auto. A mi se me ocurren 3 vectores de ataque ¿Cuantos se os ocurren a vosotros?

Estoy bastante indignado Honda tiene el suficiente capital como para hacer las cosas bien y poder para contratar a ingenieros capaces de adelantarse a estos problemas. La verdad es que me parece una solución del medievo para un error que puede traer muchos problemas.

Sed Buenos ;)

Sniffly2.- Un paso mas para CVE-2016-1617

CVE-2016-1617 (Sniffly) fue una vulnerabilidad muy divertida del año pasado ya que utilizaba el HTTP Strict Transport Security y la Content Security Policy para filtrar todo el historial de un usuario de Firefox o Chrome. Esta vulnerabilidad ya estaba solucionada pero, [diracdeltas] he ha dado una vuelta de tuerca mas y ha presentado Sniffly2.

Sniffly2 es una variante de Sniffly que abusa de los encabezados HTTP Strict Transport Security y esta vez, del Performance Timing API para ver el historial de navegación de los navegadores basados en Chromium. Aunque ya no afecta a Firefox y versiones móviles de Chrome aunque podéis probar la vulnerabilidad desde el siguiente enlace: 

• http://diracdeltas.github.io/sniffly/

Muchas mas información acerca la vulnerabilidad: 

• https://github.com/diracdeltas/sniffly

Sed Buenos con esto 0;) 

Ojo Que Windows ya no publicará sus famosos boletines.

Ayer por la noche estuve revisando Twitter a ver si veía algún atisbo de los boletines de seguridad de Windows. Pero mi gozo en un pozo. 

A partir de este mes de febrero Microsoft no publicará los famosos boletines de vulnerabilidades cada segundo martes de cada mes y pasará a un sistema mas directo para publicarlas en su portal Microsoft Security Response Center (MSRC) 

Así que, aquí tenéis el enlace donde podréis ver las nuevas vulnerabilidades: 

• https://technet.microsoft.com/es-es/security/bulletins

Aunque yo aconsejo hacerlo desde esta pagina ya que podremos hacer consultas un poco mas elaboradas: 

• https://portal.msrc.microsoft.com/en-us/security-guidance

Sed Buenos ;)