22 Bits

Si el pasado 20 de noviembre se hizo público en Exploit Database una vulnerabilidad utilizada por Stuxnet para elevar privilegios mediante un fallo en el programador de tareas de Windows, ahora acaba de salir a la luz un nuevo 0-day que elude el control de cuentas de usuario (UAC)para conseguir privilegios de 'system'.

El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa ciertos valores del registro. En concreto, el exploit manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.

Esto quiere decir que el atacante crea una clave en el registro donde un usuario no-administrador tiene privilegios para hacerlo. Luego intenta leerla, provoca el fallo en el driver y obtiene los privilegios.

Existe incluso un PoC que utiliza la clave de registro HKEY_USERS\[SID DEL USUARIO]\EUDC:

Para protegernos hasta que Microsoft publique los parches correspondientes, se propone una solución temporal:

• Como administrador abra el Regedit y vaya a HKEY_USERS\[SID de cada cuenta de usuario]\EUDC
• Pulse EUDC y elegir permisos.
• Seleccione el usuario cuya cuenta se va a modificar y seleccione Avanzado.
• Seleccione Agregar y luego en el nombre del usuario. Posteriormente pulse aceptar.
• Elegir la opción Denegar en el cuadro de selección para Eliminar y Crear subclave.
• Pulsar ok y aceptar.

No obstante recordar que para que el código malicioso que emplea este exploit sea ejecutado tiene que ser previamente descargado en el equipo de la víctima, por lo que se recomienda sobretodo tener especial cuidado con el correo electrónico y sitios web desconocidos además claro está del uso contínuo de un antivirus actualizado. Porque, con este fallo, ya son dos problemas de elevación de privilegios que Microsoft debe arreglar...


Fuente: HackPlayers

Tantas frases he escuchado de personas conocidas: "Ayer conseguí pasar un virus", "Estoy hackeando un ordenador", "Conmigo no te metas que te destrozo el ordenador". En videojuegos online: "Cállate o te meto un virus", "Tengo tu IP, puedo hacerte lo que quiera"... Y mil más que podría escribir.

Aquí tenemos a la nueva generación de "Crackers" aunque ellos se llaman hackers sin saber ni qué es una cosa ni qué es la otra. Una pandilla de de amigos que se dedican a atacar ordenadores sin tener ni idea de qué es un protocolo de red, qué es una DLL inyectada, cómo funcionan los troyanos, qué es y para qué sirve el blindado de virus... Simplemente son gente que se dedican a leer tutoriales de internet sobre cómo hacer la vida imposible a alguien.

Antes, toda clase de ataque llevaba consigo un conocimiento necesario en materia de seguridad informática, programación, ingeniería social, manejo de consolas y en muchos casos, el conocimiento de herramientas que faciliten el trabajo. Hoy en día la interfaz gráfica y la extrema sencillez de uso han convertido a potentes herramientas de malware en programas que parecen videojuegos. Con sólo enviar un archivo a una víctima inocente y pulsar una tecla, ejecutan desde un Keylogger hasta un programa para apagar el ordenador.

Ya no hace falta conocimiento, sólo un objetivo y ganas de "joder a alguien".

Hoy navegando por Softonic, me llamó la atención un artículo de su blog:

Botnets: cómo evitar que tu PC se convierta en un zombi

Estos ataques como explique en un post anterior (Wikileaks, DDoS: La guerra a comenzado), fueron coordinados por el grupo Anonymous, pero llevados a cabo por voluntarios que se ofrecían a conectar su ordenador mediante LOIC.

Erratas a parte, una solución que dan es la famosa "Herramienta de eliminación de Software malintencionado", otra de ellas, activar el Firewall de Windows.... NO GRACIAS

No obstante prefiero la solución de este internauta:

Cuidado con tus CMS, muchos ataques web aprovechan distintas vulnerabilidades de estos sistemas de gestión de contenido basados en PHP.

Fuente: Sigt.net

Poco tiene que ver esto con la temática del blog, pero me ha parecido curioso este reportaje fotográfico. Siempre he escuchado que más vale una imagen que mil palabras, pues bien, aquí tenéis en imágenes la capacidad destructiva que puede llegar a alcanzar el ser humano. Si se utilizara esta energía e inteligencia en otros menesteres...

Reportaje fotográfico, artículo de: The New York Times

Un código bastante curioso sobre un "virus" en C++ cuya función es volver loco a tu ratón. Para pararlo, simplemente pulsáis en F8 como veis en el apartado del código (!GetAsyncKeyState(VK_F8)). Para más información, abajo tenéis la fuente y las referencias

//* Se debe incluir ne la cabecera windows.h, stdlib.h, cstdlib *//

int main()
{
FreeConsole();
srand(GetTickCount());
int nWidth = GetSystemMetrics(SM_CXSCREEN) - 1;
int nHeight = GetSystemMetrics(SM_CYSCREEN) - 1;
while(!GetAsyncKeyState(VK_F8)){
SetCursorPos((rand() % nWidth) + 1, (rand() % nHeight) + 1);
Sleep(5);
}
return 0;
}

Fuente: http://foro.noticias3d.com/vbulletin/showthread.php?t=286810

Referencia de funciones:

• GetSystemMetrics
• GetAsyncKeyState 
• SetCursorPos
• GetTickCount

Pocos desconocemos qué es WikiLeaks y cómo empezó. Para los que no conzcáis la historia, aqui tenéis un poco de información sobre qué es: WikiLeaks. Nosotros nos centraremos en que está ocurriendo entre las empresas que quieren eliminar a WikiLeaks y la respuesta de miles de internautas de todo el mundo.

Numerosas empresas contratadas, gobiernos... intentan (mientras lees esto puede que se este produciendo un ataque) eliminar dicha web. Demasiada información confidencial que no se quiere mostrar al mundo. Muchos de estos ataques son ataques DDoS (Denial Of Service, en español Denegación de servicio), que se basan en conseguir reducir las prestaciones de los servidores mediante, principalmente, la saturación de su memoria RAM, procesador, ancho de banda... Un ataque DDoS muy típico es en el que la web recibe miles de peticiones en segundos o minutos. Por ejemplo, un ataque muy básico es realizar un Ping a una web o IP. Un sólo ping no hace nada, un servidor es capaz de procesar numerosas peticiones, no obstante, ¿Qué ocurrire si 200000 ordenadores se "ponen de acuerdo" para realizar un ping conjunto a una web? La respuesta es la caida de su web y la sobrecarga del servidor (Dependiendo de las características de este).

A groso modo, esto es un ataque DDoS. No obstante se trata de ataques más complejos, para más información: Ataques DDoS.

La primera medida de seguridad de WikiLeaks para evitar ser tumbada, fue la de crear copias de seguridad de la web en otros servidores, incluso ha día de hoy, uno de sus servidores se encuentra en un refugio nuclear (Wikileaks Servers Move To Underground Nuclear Bunker).


Ahí no queda el caso, sino qué grupos organizados de Internet se han rebelado contra las empresas que intentan acabar con WikiLeaks en apoyo a esta. Un ejemplo es 4chan.org, un imageboard a través de el cual el grupo Anonymous organizan ataques DDoS a webs y empresas con el fin de reclamar la libertad de expresión o, en este caso, ayudar a WikiLeaks. Para ello realizan quedadas y mediante el programa LOIC, unifican el ataque.


Muchas webs han dejado de estar en servicio por un tiempo debido a estos ataques: RAII, El ministerio de cultura español, la SGAE, Paypal... La última de ellas en caer ha sido MasterCard.


La guerra continua, y en mi opinión no parará, aunque la información confidencial mostrada por WikiLeaks será casi imposible de eliminar, ya que, a parte de estar en la web, también circula por redes P2P. Mientras, su fundador Julian Assange ha sido detenido, y no por su web, si no por un supuesto caso de violación que muchos ven como un montaje para acabar con él.

Aún así, con la polémica detrás y delante, WikiLeaks ha revelado lo que otros no se han atrevido y cómo era de esperar, ha tenido sus consecuencias sobre su fundador. El mundo es demasiado grande y el dinero tiene demasiado poder, aunque personas aún reclaman no ser controlados, y esa es la causa que apoyo.

Uno de mis primeros proyectos a desarrollar es el de controlar una red local mediante un Firewall basado en Linux. Empecé a investigar un poco sobre Firewalls en Linux, distribuciones y configuración. Después de un tiempo, he encontrado varias distribuciones, una de ellas, de las más veteranas, es SmoothWall. No obstante, hace años, un addon de dicha distribución tomó forma de distribución: IPCop.

Esta es la distribución que me ha convencido para instalar en mi ordenador. Esto se debe a la sencillez de mantenimiento y configuración, ya qué se basa en una interfaz web controladas por uno o varios ordenadores de la misma web. Además, posee una extensa galería de Addons, e incluido, el famoso Netfilter y sus reglas Iptables.

Bueno, ante mí, un ordenador Pentium 4 a 2,66 GHz, con 1 GB de RAM y dos tarjetas de red ethernet un poco antiguas, y un CD con la distribución IPCop. Manos a la obra! Al final publicaré como ha ido todo, como hacerlo (es bastante sencillo), y cómo es el rendimiento de la red.

Bueno, después de un día estudiando un poco de álgebra y física (aún con papeles en sucio y los apuntes por aquí), comienzo con este blog. Las ideas no están muy claras y tiempo... tampoco tengo mucho, pero bueno, poco a poco iré modificando y perfilando el blog, espero que no caiga en el olvido, me esforzaré en actualizarlo y en que sea interesante.

¿De qué tratará el blog?, principalmente, Internet, seguridad informática, Linux (en el cuál cada día descubro más), algo de placas de desarrollo... Cada descubrimiento que haga, iré publicándolo, así como proyectos y demás ideas que se me ocurran y el tiempo me permita (estudio ingeniería).

Un saludo! Ángel.