Month: May 2016

¿CÓMO DEFINIR UN PLAN DE SEGURIDAD INFORMÁTICA?

Posted on Updated on

El plan de seguridad informática se describe cómo se implementan la seguridad, las políticas definidas, las medidas y los procedimientos. El plan de seguridad informática se desarrolla sobre la base de los recursos informáticos en dependencia de los niveles de seguridad alcanzados y de los aspectos que queden por cubrir. Un plan de seguridad informática debe enfocar sobre las acciones a realizar para lograr niveles superiores de seguridad. Es muy importante a definir el alcance de un plan de seguridad informática. Acuerdo con los especialistas de los servicios de seguridad lógica para empresas, el alcance ayuda en definir las prioridades y acciones dependiendo de los recursos informáticos.

La seguridad física y la seguridad lógica son dos aspectos del plan de seguridad informática y son necesarios para la seguridad de una empresa. A continuación son los detalles de cada aspecto.

Plan

SEGURIDAD LOGICA

Una parte importante de un plan de seguridad informática es seguridad lógica. Medidas y procedimientos de seguridad lógica junto con políticas de seguridad lógica forman una ruta para implementar seguridad lógica.

MEDIDAS Y PROCEDIMIENTOS DE SEGURIDAD LÓGICA

Las soluciones y servicios de seguridad lógica para empresas son partes de las medidas y procedimientos. Sistemas de seguridad lógica para empresas se establecen las medidas y procedimientos que se requieran para la prevención, detección y recuperación de la información empresarial. Según expertos de empresa de seguridad lógica, las políticas de seguridad lógica y sistemas de seguridad perimetral son partes integrales de los servicios de seguridad lógica. Las soluciones y servicios de seguridad lógica para empresas evitan accesos no autorizados a la información empresarial. Los servicios de seguridad lógica para empresas crean barreras lógicas que protejan el acceso a la información.

Los consultores de los servicios de seguridad lógica para empresas mencionan que tradicionalmente las empresas dependieron sobre los sistemas de seguridad perimetral para defenderse de las amenazas de redes y sobre los programas de antivirus para defenderse de las amenazas del contenido. Sin embargo, estos sistemas no dan una protección completa contra ataques avanzados. Los consultores de servicios de seguridad lógica para empresas aseguran que la defensa contra ataques avanzados está más allá de la capacidad de las soluciones convencionales de seguridad lógica. Esto ha acelerado la necesidad de los servicios de seguridad lógica y las soluciones avanzadas.

SISTEMA DE SEGURIDAD PERIMETRAL

Una parte importante de las soluciones y servicios de seguridad lógica para empresas es un sistema de seguridad perimetral. Todas las empresas, con independencia de su tamaño y del sector al que se dediquen, actualmente tienen algún tipo de sistema de seguridad perimetral para ciberdefensa contra ciberataques. Los sistemas de seguridad perimetral por redes están responsable de la seguridad del sistema informático de una empresa contra amenazas externas, como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, etcétera.

Anteriormente sistemas de seguridad perimetral por redes, solo incorporaba cortafuego, pero el mercado de sistema de seguridad perimetral está cambiando mucho y ahorita un sistema de seguridad perimetral por redes también incorpora los sistemas de IDS (Intrusión Detection Systems) e IPS (Intrusión Prevention Systems). Los especialistas de seguridad perimetral mencionan que un sistema de seguridad perimetral por redes debe inspeccionar los protocolos de aplicación, contenido y debe utilizar técnicas avanzadas para identificar las amenazas no conocidas. Los sistemas de seguridad perimetral proporcionan protección a dos diferentes nivel. El primer nivel es de la red, el sistema de seguridad perimetral para redes proporciona protección contra amenazas como ataques de hackers, las intrusiones o el robo de información en las conexiones remotas. El segundo nivel es del contenido, el sistema de seguridad perimetral para contenido proporciona protección contra amenazas como malware, phishing, el spam y los contenidos web no apropiados para las empresas. Esta clara división unida al modo de evolución de las amenazas en los últimos años ha propiciado que las empresas del sistema de seguridad perimetral se enfoquen en el desarrollo de equipos dedicados a uno u otro fin.

IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS USUARIOS

Identificación y autenticación de los usuarios son partes importantes de medidas y procedimientos. Los controles de acceso para seguridad informática son las medidas de identificación y autenticación de los usuarios. La asignación de derechos y privilegios en un sistema de controles de acceso es controlada a través de proceso de autorización que determina el perfil de cada usuario. Las soluciones de controles de acceso para seguridad informática garantizan el acceso de usuarios autorizados e impidiendo el acceso no autorizado a los sistemas informáticos. Acuerdo con la experiencia de los expertos de los controles de acceso para seguridad informática, durante la implantación de los controles de acceso las empresas deben considerar los siguientes aspectos:

  • Las políticas de seguridad lógica para la clasificación, autorización y distribución de la información.
  • Las normas y obligaciones empresariales con respecto a la protección del acceso a la información.
  • Auditoría de seguridad informática para verificar los procesos de los controles de acceso.
  • Mantener los registros de acceso por cada servicio o sistema informático.
  • Los procedimientos para identificación de usuarios y verificación del acceso de cada usuario.
  • Los controles de acceso para seguridad informática deberán cubrir todas las fases del ciclo de vida del acceso del usuario, desde el registro inicial de nuevos usuarios hasta la anulación del registro de usuarios que no requieren más acceso a los sistemas informáticos.
  • Sistema y método de autenticación empleado por los controles de acceso para seguridad informática.
  • Por mayor seguridad, considerar las soluciones avanzadas de controles de acceso de seguridad informática, tales como biometría, tarjetas inteligentes etc.
  • Definir los recursos, cual deben ser protegidos con las soluciones de control de acceso.
  • Procesos y metodología de autorización utilizados por los controles de acceso.

Según expertos de controles de acceso para seguridad informática, el proceso de revisión de los derechos de acceso de usuarios después de cualquier cambio es muy importante. Las empresas deben implementar los sistemas de seguridad perimetral por redes con el fin de evitar la modificación no autorizada, destrucción y pérdida de los datos de sistema de control de acceso.

POLÍTICAS DE SEGURIDAD LÓGICA

El objetivo primordial de las políticas de seguridad lógica es suministrar orientación y ayudar la dirección, de acuerdo con los requisitos empresariales y con las normas de seguridad. Las políticas de seguridad lógica representan los objetivos empresariales y compromiso a la seguridad informática. Las políticas de seguridad lógica deben ser publicadas adentro de la empresa y ser comunicadas a todos los empleados de la empresa.

Las políticas de seguridad lógica definen los recursos, cual deben ser protegidos y cual son los procedimientos de seguridad lógica. Las políticas de seguridad lógica en sí mismas no dicen como los recursos son protegidos. Esto es función de las medidas y procedimientos de seguridad lógica. Por cada política de seguridad lógica existen varias medidas y procedimientos que le correspondan. Desde que las políticas de seguridad lógica pueden afectar a todos los empleados es importante asegurar a tener el nivel de autoridad requerido para implementación y desarrollo del misma. Las políticas de seguridad lógica debe ser avaladas por los expertos con experiencia en implementación de políticas de seguridad lógica y por la dirección de la empresa que tiene el poder de hacerlas cumplir. Políticas como de gestión de los incidentes, de respaldo de datos, de protección de datos personales forman una parte integral de las políticas de seguridad lógica.

SEGURIDAD FÍSICA PARA LA EMPRESA

Otra parte importante del plan de seguridad informática es la seguridad física empresarial. Las medidas y procedimientos de seguridad física están dirigidas a lograr una eficiente gestión de la seguridad y deben garantizar el cumplimiento de las regulaciones vigentes, así como las establecidas por la propia entidad. Las soluciones de seguridad física de la información, tienen el objetivo de evitar accesos físicos no autorizados, daños e interferencias contra la infraestructura informática y la información empresarial. Las soluciones de seguridad física de la información, forman una parte de integral de las soluciones de seguridad física. Las soluciones de seguridad física de la información, se aplican a los departamentos de informática, de los soportes de información y otros departamentos donde se encuentran gestión de datos. El plan de seguridad informática, determina las zonas controladas adentro de la empresa y estas zonas tienen requerimientos específicos de seguridad, en base a lo cual se declaran zonas limitadas, restringidas o estratégicas y se describen las soluciones de seguridad física de la información que se aplican en cada una de ellas.

Generalmente las soluciones de seguridad física de la información crean una barrera física alrededor de las áreas de procesamiento de la información. Pero algunas soluciones de seguridad física de la información, utilizan múltiples barreras para brindar protección adicional y estar más seguro. Periódicamente, las empresas deben hacer la revisión de rendimiento de las soluciones y determinar las acciones a realizar para lograr el ciclo de mejora continua.

La protección de la infraestructura informática y dispositivos empresarial forma una parte integral de las soluciones de seguridad física de la información y son necesarias para reducir las amenazas físicas de accesos no autorizados a la información y riegos de robos o daños. Las soluciones deben tomar en cuenta las acciones necesarias para cubrir las brechas de seguridad y la corrección de los errores de los sistemas. Las soluciones de seguridad física de la información garantizan la protección contra fallas eléctricas, intercepción de la información y la protección de los cables. Según los expertos de soluciones de seguridad física de la información, las amenazas físicas como daños que puedan ser ocasionados por incendios, inundaciones, terremotos, explosiones, y otras formas de desastre natural o artificial deben ser consideradas durante la implantación de las soluciones de seguridad física de la información.

La implementación de un plan de seguridad es un paso importante en el ámbito de seguridad. Deben tomar ayuda de una organización con especialización en los servicios de seguridad lógica para empresas. El plan de seguridad informática debe ajustar al sistema de seguridad implementado y utilizándolo como una herramienta de la gestión de la seguridad. El plan de seguridad informática debe ser muy comprensible y eso asegura su cumplimiento. Los expertos en plan de seguridad informática podrían asegurar que el plan está actualizado sobre la base de los cambios como nuevas políticas de seguridad lógica y soluciones de seguridad física de la información.

 

¿Cómo hacer una efectiva evaluación de la vulnerabilidad?

Posted on

Para conseguir el máximo beneficio de una evaluación de la vulnerabilidad por una empresa de seguridad de la información  se requiere una comprensión de los procesos de misión crítica de su organización y la infraestructura subyacente, y aplicar esos conocimientos a los resultados. Según expertos de sistema de gestión de seguridad de información, para que sea realmente efectivo, se deben incluir los siguientes pasos:

¿Cómo hacer una efectiva evaluación de la vulnerabilidad

  1. Identificar y entender los procesos de tu empresa

El primer paso para proporcionar un contexto empresarial es identificar y comprender los procesos de organización en tu empresa, centrándose en aquellos que son críticos y sensibles en términos de cumplimiento, la privacidad del cliente, y la posición competitiva. No hay manera de hacer la informática sin ningún tipo de conexión con otras personas. En muchas organizaciones, se requiere la colaboración entre la informática y los representantes de las unidades de negocio, empresa de seguridad de la información, el departamento de finanzas y el asesor legal. Acuerdo con los expertos de sistema de gestión de seguridad de información, muchas organizaciones ponen juntos los grupos de trabajo de estrategias de seguridad con los representantes de cada departamento, quienes trabajan juntos durante varias semanas para analizar los procesos de negocio, la información y la infraestructura de la que dependen.

  1. Determinar con precisión las aplicaciones y los datos que subyacen a los procesos de negocio

Una vez que los procesos de negocios son identificados y clasificados en términos de criticidad de la misión y sensibilidad, El siguiente paso es identificar las aplicaciones y los datos en los que los procesos de misión crítica dependen. Una vez más, esto se puede lograr sólo a través de la colaboración entre la informática y otros agentes económicos. A partir de extensas discusiones colaborativas, es posible descubrir las aplicaciones que son mucho más críticas de lo esperado. Por ejemplo, el correo electrónico puede ser una aplicación absolutamente crítica para un departamento, pero no crítica en absoluto para muchos otros.

  1. Encontrar las fuentes de datos ocultos

Cuando estás buscando aplicaciones y fuentes de datos, asegúrate de tomar en cuenta los dispositivos móviles como teléfonos inteligentes (smartphones) y tabletas, así como computadoras de escritorio. En conjunto; estos dispositivos a menudo contienen los datos más recientes y delicados que tu organización posee. Trabajar con las unidades de negocio para entender quién está utilizando dispositivos móviles para acceder y compartir aplicaciones y datos corporativos. Comprender los flujos de datos entre estos dispositivos y aplicaciones de centros de datos y almacenamiento. Averiguar si sus usuarios corporativos están enviando mensajes de correo electrónico de negocios a través de servicios de correo electrónico públicas como Gmail o Yahoo Mail. Según empresas de seguridad de la información, otra categoría a menudo oculta para investigar es el entorno de desarrollo de software, pues ellos son inherentemente menos seguros que los ambientes de producción. Los desarrolladores de software y probadores a menudo utilizan los datos actuales, algunas veces de misión-crítica para probar aplicaciones nuevas y mejoradas.

  1. Determinar que hardware sustenta a las aplicaciones y datos

Seguir trabajando bajo las capas de la infraestructura para identificar los servidores, tanto virtuales como físicos, que ejecutan tus aplicaciones de misión crítica. Para las aplicaciones Web, se puede estar hablando de tres o más conjuntos de servidores Web, aplicaciones y bases de datos, por aplicación. Según expertos de empresa de seguridad de la información, identificar los dispositivos de almacenamiento de datos que contienen los datos de misión crítica y datos delicados utilizados por estas aplicaciones.

  1. Mapa de la infraestructura de red que conecta el hardware

Desarrollar una comprensión de los routers y otros dispositivos de red que sus aplicaciones y hardware dependen para un rendimiento rápido y seguro.

  1. Identificar que controles ya están en su lugar

Tenga en cuenta las medidas de seguridad y continuidad del negocio que ya ha puesto en marcha, incluidas las políticas, firewalls, Acuerdo con los expertos de sistema de gestión de seguridad de información, firewalls de aplicación, Detección de intrusos y sistemas de prevención(IDPS), virtual prívate networks (VPNs), data loss prevention (DLP), y el cifrado, -para proteger a cada conjunto de servidores y dispositivos de almacenamiento que alojan aplicaciones de misión-crítica y datos. Acuerdo con los expertos de sistema de gestión de seguridad de información, entender las capacidades clave de estas protecciones, y qué vulnerabilidades abordan más eficazmente. Esto puede requerir una investigación bastante extensa, incluyendo sitios web de exploración y revisión, y hablar con representantes de la empresa de seguridad.

  1. Ejecutar el análisis de vulnerabilidad

Sólo cuando has entendido y trazado tu aplicación, flujos de datos, el hardware subyacente, infraestructura de red y protecciones es lo que realmente tiene sentido para ejecutar sus análisis de vulnerabilidad por expertos de empresa de seguridad de la información.

  1. Aplicar el contexto de la tecnología y los negocios al escaneado de resultados

Un escáneo puede producir puntuaciones del alojamiento y otras vulnerabilidades con clasificación de gravedad, pero dado que los resultados y las puntuaciones se basan en medidas objetivas, es importante para determinar la organización de tu empresa y el contexto infraestructural. Derivar de información significativa y aplicable sobre el riesgo de negocio a partir de datos de la vulnerabilidad es una tarea compleja y difícil. Después de evaluar el nivel de conocimientos y la carga de trabajo de su personal, es posible determinar que sería útil para asociarse con una empresa de seguridad de la información que está bien entrenada en todos los aspectos de la seguridad y la evaluación de amenazas. Ya sea que la empresa realice esta tarea de forma interna o consiga ayuda externa, los resultados deben ser analizados para determinar qué vulnerabilidades de la infraestructura deben atacarse primero y más agresivamente.

¿Cómo piratear (Hackear) Microsoft Outlook?

Posted on

microsoft outlook

En las pruebas de seguridad en aplicaciones web algunas veces puede ser difícil adquirir más privilegios en el (Microsoft Outlook) sistema objetivo. En esta situación, puede ser útil para obtener acceso a los recursos con información confidencial, como contraseñas.

Según expertos de curso de seguridad web; ‘Metasploit’ no tiene ningún módulo para leer mensajes de correo electrónico desde una instalación local de Outlook. Sin embargo Outlook puede contener una gran cantidad de información confidencial y útil en pruebas de seguridad en aplicaciones web, tales como credenciales de red. Para crear un módulo de ‘Metasploit’ que puede leer y / o buscar en los mensajes de correo electrónico de Outlook locales podrían seguir los siguientes paso acuerdo con el curso de seguridad web.

function

¿Cómo hacerlo?

Con el fin de hacer esto, el módulo está utilizando ‘PowerShell’. La siguiente secuencia de comandos ‘PowerShell’ es utilizada por el módulo ‘Metasploit’ explica experto de curso de seguridad web.

La función de ‘List-Folder’ muestra todos los buzones y carpetas disponibles asociados en una instalación local de Outlook.La función ‘Get-Emails “se utiliza para mostrar los mensajes en una carpeta específica, estos mensajes también pueden ser filtrados por una palabra clave (por ejemplo,” contraseña “).

Un problema que puedes enfrentar, es la ventana emergente de seguridad cuando te conectas al Outlook usando ‘powershell’ durante pruebas de seguridad en aplicaciones web.

outlook

Es todo un reto omitir este mensaje, ya que el usuario debe dar clic manualmente. En el módulo puedes usar WinAPI con el fin de lograr esta omisión. Tenga en cuenta que el usuario detrás del sistema objetivo puede notar estas actividades, por lo tanto debe tener presente que podrían detectar estas actividades cuando se utiliza este módulo. La siguiente función está comprobando la casilla de “acceso permitido” y haciendo clic en permitir.

 def

Uso del módulo

El módulo puede ser instalado mediante la actualización ‘Metasploit’ durante pruebas de seguridad en aplicaciones web. El modulo tiene las siguientes dos acciones:

  • LIST: Muestra los buzones de correo y carpetas disponibles en una instalación local de                                         Outlook
  • SEARCH: Despliega los mensajes en una carpeta específica, los cuales pueden Ser filtrados Por una palabra clave

La acción LIST requiere solo de las opciones de ‘SESSION’ para configurada.

 Para utilizar la acción SERCH, el módulo tiene varias opciones que con las que puede ser configurada explica experto de curso de seguridad web.

acf

La opción de FOLDER (carpeta para buscar, por ejemplo, “Bandeja de entrada”) y KEYWORD (filtro en una palabra clave como “contraseña”) son bastante fáciles.

Las opciones A_TRANSLATION y ACF_TRANSLATION requieren un clic en notificación de seguridad de Outlook, cuando el lenguaje no es compatible por el modulo (en-US, NL y DE son compatibles).

La siguiente salida es un ejemplo de un fragmento de la salida la cual es generada por el módulo de Metasploit cuando se utiliza la acción “LIST”.

msf

La siguiente salida es un ejemplo de un fragmento de la salida la cual es generada por el módulo de Metasploit cuando se utiliza la acción “SEARCH”, en la carpeta ‘Inbox’ con la palabra clave ‘password’:

msf post

 

USO DE INYECCIÓN DE REFLECTIVE DLL PARA ESTAR INDETECTABLE A ANTI VIRUS

Posted on

Normalmente, cuando se carga un archivo DLL en Windows, se llama a LoadLibrary. LoadLibrary toma la dirección de un archivo DLL y lo carga en la memoria. Además de DLL está en el disco, DLL se mostrará cuando se utilizan herramientas como List DLLs para enumerar DLL cargadas en la memoria según expertos de análisis de vulnerabilidades informáticas.

Reflective DLL se refiere a la carga de una DLL de la memoria, en lugar de hacerlo desde el disco. Windows no tiene una función LoadLibrary que apoya en esto, así que para obtener la funcionalidad tenemos que escribir propia función explica Jorge Ríos el maestro de diplomado de hacking ético. Uno de los beneficios de escribir propia función es que omitimos algunas de las cosas que normalmente Windows hace, tales como el registro de la DLL como un módulo cargado en el proceso, lo que hace que reflective DLL  más indetectable. Meterpreter es un ejemplo de una herramienta que utiliza la carga reflexiva para ocultarse según el maestro de diplomado hacking ético.

Uso de Inyección de Reflective DLL  para estar indetectable a Anti Virus

Inyección de reflective DLL  es una técnica de inyección de la biblioteca que usa el concepto de programación reflexiva para realizar la carga de una biblioteca de memoria en un proceso de host. Como tal la biblioteca es responsable de cargar a sí mismo mediante la implementación de un archivo de portable ejecutable (PE). Con eso podemos gobernar, con mínima interacción con el sistema host y el proceso, cómo se va a cargar e interactuar con el host según expertos de análisis de vulnerabilidades informáticas.

La principal ventaja de la propia biblioteca de carga es que no está registrada en ninguna manera con el sistema host y como resultado es en gran parte indetectable tanto a nivel de sistema y a nivel de proceso.

Acuerdo con el diplomado de hacking ético, el proceso de inyección de forma remota de una biblioteca en un proceso es de dos pasos. En primer paso, debe indicarse la biblioteca que desea inyectar en el espacio de dirección del proceso destino (referido aquí como el proceso de host). En segundo paso la biblioteca debe ser cargada en ese proceso de host de tal manera que se cumplan las expectativas de tiempo de ejecución de la biblioteca, como resolver sus importaciones o reubicación de un lugar adecuado en la memoria.

Inyección de Reflective DLL  funciona de la siguiente forma.

  • La ejecución se hace pasar, a través de un pequeño código shell bootstrap, a la biblioteca de
    función de ReflectiveLoader que es una función exportada en la biblioteca de tabla de exportación.
  • Como actualmente se existe la imagen de la biblioteca en una dirección arbitraria en la memoria, el reflectiveloader primero calculará la dirección actual de su propia imagen en la memoria para poder analizar posteriormente sus propias cabeceras para uso.
  • ReflectiveLoader analizará a continuación la tabla de exportación de kernel de host para calcular las direcciones de tres funciones requeridas por el cargador, es decir LoadLibrary, GetProcAddress y VirtualAlloc.
  • La ReflectiveLoader ahora asignará una región continua de memoria en que se procederá a cargar su propia imagen. La ubicación no es tan importante como el cargador localizará correctamente la imagen más adelante.
  • Encabezados y secciones de la biblioteca se cargan en sus nuevas direcciones en la memoria.
    El ReflectiveLoader luego procesará la copia recién cargada de tabla de importación de su imagen, eso también cargará cualquier biblioteca adicional y resolver sus direcciones respectivas de función importada.
  • El ReflectiveLoader luego procesará la copia recién cargada de la tabla de reubicación de su imagen.
  • El ReflectiveLoader luego llamará función de punto de entrada de su imagen recién cargada, DllMain con con DLL_PROCESS_ATTACH. La biblioteca ahora ha sido correctamente cargada en la memoria.
  • Finalmente el ReflectiveLoader volverá ejecución al inicial de shellcode bootstrap que lo llamó.

Como una biblioteca reflexivamente cargada no se registrará en la lista de procesos de host de los módulos cargados, específicamente la lista de Process Environment Block (PEB), que se modifica durante las llamadas de API como kernel 32 LoadLibrary y LoadLibraryEx, cualquier intento de enumerar los módulos de procesos host no cederá la biblioteca inyectada. Esto es porque la inyección de la biblioteca no registra con su proceso de host en cualquier etapa.

Según expertos de análisis de vulnerabilidades informáticas, a nivel del sistema cuando se utilizaInyección de Reflective DLL  en la explotación remota, la biblioteca debe ser indetectable por los escáneres de archivo, como Anti Virus, ya que nunca entra el disco.

A bug in the Symantec Antivirus Engine allows remote memory exploitation

Posted on Updated on

The white hat hacker Tavis Ormandy has discovered a critical exploitable memory overflow bug in the core Symantec Antivirus Engine.

The popular white hat hacker Tavis Ormandy from the Google Project Zero has discovered a critical exploitable flaw (CVE-2016-2208) in the Symantec antivirus system. The expert discovered an exploitable memory overflow vulnerability in the core Symantec Antivirus Engine which is used in most Symantec and Norton solutions.

 tavis or

When parsing executables packed by an early version of aspack, a buffer overflow can occur in the core Symantec Antivirus Engine used in most Symantec and Norton branded Antivirus products.” wrote Ormandy “The problem occurs when section data is truncated, that is, when SizeOfRawData is greater than SizeOfImage. This is a remote code execution vulnerability. Because Symantec use a filter driver to intercept all system I/O, just emailing a file to a victim or sending them a link is enough to exploit it.”

The bug is remotely exploitable and affects the way the antivirus products handle executables compressed leveraging on an early version of the Aspack compression tool.

Basically, the a buffer overflow is triggered when the Symantec Antivirus Engine parses truncated section data, so when SizeOfRawData is greater than SizeOfImage.

Symantec Antivirus Engine bug

The bug is independent of the specific OS, on Windows systems it results in kernel memory corruption, this is worrisome.

The issue also affects Linux, Mac and UNIX platforms resulting in a remote heap overflow as root in the Symantec or Norton process.

The simplest way to exploit the bug in the Symantec Antivirus Engine is to trick victims into opening malicious email or visiting a specifically crafted website.

Ormandy also shared a PoC exploit code that could be used to trigger the flaw and crash the Symantec Enterprise Endpoint service.

“The obvious way to exploit this flaw is either via email or a web browser. The attached testcase contains the source code to build a PoC, which should BugCheck (i.e. BSOD) a system with Norton Antivirus installed, or crash Symantec Enterprise Endpoint service. The file testcase.txt is a prebuilt binary (note that file extension is irrelevant here). Just clicking download should be enough to trigger a kernel panic on a vulnerable system (!!!).” continues the expert.

The post also includes an update shared by Symantec that explained that Live Update will fix the problem only in specific cases, for some products it will be required a maintenance patch build test, release which will take more time.

“With the exception of test case 5, as I mentioned last night which seems like you may have zipped up the wrong case by mistake, we have confirmed your findings and have resolutions as well as doing additional reviews. We can easily update a version of one of our products, Norton Security for example, with an updated engine by the end of the week and if you would like can provide you with an beta release of that for your review. Unfortunately, not all products will be updated the same which of course has impacts on final release of updates and an associated Security Advisory. Some are quick and fairly simple updates, live update of course, but others require a maintenance patch build, test, release which takes a bit longer.”

Source:http://securityaffairs.co/

Hacker claims to have full access to Pornhub and already sold it

Posted on

A 19-year-old hacker who goes by the name Revolver claims to have breached into Pornhub server and already sold the access for $1,000.

It happened during the weekend, a researcher using the 1×0123 Twitter account announced the availability of a shell access to a subdomain on Pornhub and offered it for $1,000.

The figure is obviously ridiculous when you consider the high traffic that daily reach the server, more than 2.1 million visits per hour.

View image on Twitter

View image on Twitter

Follow

1×0123 ‎@1×0123

#pornhub command injection + shell on subdomain + src for sale
xmpp : revolver@rows.io

  • 161161 Retweets

  • 167167 likes

In order to prove the access to the Pornhub platform, 1×0123 posted on Twitter a couple of pictures. The researchers explained to have compromised the server by exploiting uploading a shell by exploiting a flaw in the mechanism used to upload the picture in the user profile.

Once the shell is uploaded on the server it is possible to have full control over the environment.

pornhub shellpornhub shell 2

Salted Hash reached 1×0123 who confirmed that he had sold access to three people.

“2 guys with shell, 1 guy for a command injection script,” he told Salted Hash.

“Pornhub contacted Revolver for more information. He offered to share those details, and help patch the vulnerability that allowed such access, for total cost of $5,000 USD. It isn’t clear if the adult entertainment giant agreed to those terms.” states Salted Hash.

1×0123 hasn’t provided further information on the hack, he only stated the vulnerability affecting the user profile isn’t the ImageMagick flaw recently disclosed.

A Pornhub spokesperson confirmed the presence of the shell that appears to be on a non-production server and confirmed the company is currently investigating the issue.

1×0123 is a known in the security industry, he offered a similar access to the LA Times website in April after he exploited a vulnerability in the Advanced XML Reader WordPress plugin.

During the same period, he revealed to have found an SQL injection flaw on one of the servers ofMossack Fonseca (a custom online payment system called Orion House).

In March, he designed a website called VNC Roulette that displayed screenshots of random hackable computers.

On April 10, 2016, Edward Snowden publicly thanked 1×0123 for reporting a vulnerability in Piwik to the Freedom of the Press Foundation.

On May 9, Pornhub announced a bounty program through HackerOne with a maximum bounty set at $25K.

“The public launch of Pornhub’s Bug Bounty Program follows a private, invite-only beta program that the adult entertainment site ran last year, which compensated participants for helping to identify and fix about two dozen bugs. ” states the announcement.

Source:http://securityaffairs.co/

EFF’s Let’s Encrypt Client Certbot Debuts in Beta

Posted on

The Electronic Frontier Foundation (EFF) on Thursday announced Certbot, a Let’s Encrypt client designed to help websites encrypt their traffic.

EFF’s Certbot is available in beta for the time being, but it should reach a stable version before the end of this year, the Foundation said. The tool was built to obtain TLS/SSL certificates from open Certificate Authority (CA) Let’s Encrypt and to automatically configure HTTPS encryption on the website owner’s server.

Co-founded by EFF, Mozilla and researchers from the University of Michigan, Let’s Encrypt is an open CA that issued its first certificate in September last year, entered public beta in December, and shed the beta tag in April this year. The main idea behind this CA was to bring encryption to the entire Internet by offering free certificates to website owners.

Between December and March, Let’s Encrypt issued more than one million certificates, and EFF says that the number not tops three million. Although its free certificates have been already abused by cybercriminals, Let’s Encrypt has become one of the largest CAs in the world and has already inspired Amazon to offer free certificates to AWS customers.

Certbot, which has transitioned to becoming an EFF project, uses the Automated Certificate Management Environment (ACME) protocol to communicate with the CA, but is no longer the official ACME client for use with Let’s Encrypt. The software for the client remains open source, but it will no longer be hosted by ISRG, the parent organization of Let’s Encrypt, EFFexplains.

Certbot also got a new website, complete with frequently asked questions, an interactive instruction tool, and info on how to support the project. Website owners can obtain the specific commands to have Certbot up and running in the easiest manner: by selecting their operating system and webserver.

The team behind Certbot has attempted to make the transition to the client’s new name as seamless as possible and ensure that packages installed from PyPI, letsencrypt-auto, and third party plugins would continue to work. EFF says that OS packages will begin using the Certbot name in the next few weeks and that the current client packages will automatically transition to Certbot on many systems, but will continue to support the letsencrypt command.

Certbot should continue to work as before, despite the new name and host: it will get certificates from Let’s Encrypt and automatically configure HTTPS on the owner’s webserver, EFF says. The client also offers the option to install certificates for a wide range of web server platforms, and can help admins get the security settings for their systems right.

Later this year, EFF says that it will attempt to help web developers with challenging tasks that make TLS deployment difficult. These include detection and mitigation of mixed content problems; detection of sites ready for an HSTS header and gradual deployment of the header; realtime mitigation against TLS vulnerabilities such as Heartbleed, BEAST, CRIME, Logjam, DROWN; and support for installing certificates and provide security improvements to popular email server software.

Source:http://www.securityweek.com/