Días atrás publicamos algo sobre los ataques de los que fueron víctima Twitter y sus usuarios, recapitulando, muchos se vieron afectados por mensajes directos que tenían como objetivo el robo de la información acceso a dicho sistema y seguido por diferencia de dos días de una intrusión a 30 cuentas pertenecientes a celebridades y cadenas de noticias.

Esto último fue lo que más alarmo a los usuarios, ya que fue posible debido a una debilidad del sistema utilizado por los empleados de Twitter, del cual nos enteramos ahora vía Wired que el individuo detrás de estas intrusiones logro hacerlo aprovechando un error en Twitter que no es ni más ni menos que no controlar el tiempo entre intento e intento de acceso, y con ayuda de algunas herramientas que uno puede encontrar con solo realizar una búsqueda en Internet, perpetro un ataque de fuerza bruta logrando así acceder al anterior mencionado sistema de administración de la web.

Para los que no sepan, la idea básica de un ataque de fuerza bruta es intentar todas las combinaciones posibles de usuario + clave hasta encontrar la que nos permita el acceso. Este tipo de ataque debería haber sido tenido en cuenta a la hora del desarrollo inicial, no estamos hablando de una nueva técnica extremadamente compleja de reproducir, es una de los métodos de intrusión más comunes y simples de realizar.

Aquí está el video publicado por el atacante en donde demuestra tener acceso administrativo a Twitter.

Fuente:

http://www.martinaberastegue.com/seguridad/twitter-propenso-ataques-fuerza-bruta.html

http://blog.wired.com/27bstroke6/2009/01/professed-twitt.html

Las explotaciones que se aprovechan de la vulnerabilidad del Servicio Windows Server aún continúan proliferando, cerca de un mes y medio después que Microsoft publicó un parche de emergencia, dijeron el viernes los investigadores.

Symantec, en las fiestas, encontró otra ronda de infecciones en la forma del gusano conocido como W32.Downadup. Microsoft denomina al malware como Win32/Conficker.

La última variante encuentra una nueva forma de sacar provecho de la falla de alta criticidad, que involucra al protocolo RPC, dijeron los investigadores de Symantec este viernes. En ataques previos, un atacante podía ejecutar un código remoto enviando una solicitud RPC especialmente preparada.

Sin embargo, la nueva explotación “también puede diseminarse en las redes corporativas mediante la infección de memorias USB y accediendo mediante contraseñas débiles,” dijo en su foro el departamento de Respuestas de Seguridad de Symantec.

“El W32.Downadup.B crea un archivo autorun.inf en todas las unidades mapeadas de modo que la amenaza se ejecute automáticamente cuando se accede a una unidad,” segun informa Symantec. “La amenaza luego monitorea las unidades que se conecten a la computadora comprometida para crear en ella el archivo autorun.inf apenas puede acceder a la unidad.”

El 23 de octubre, Microsoft publicó un parche fuera de su ciclo habitual, que estaba siendo explotado activamente en ataques dirigidos.

Matt McCormack del Centro de Protección de Malware de la compañía escribió el 31 de diciembre que los investigadores detectaron una nueva oleada de ataques, principalmente en máquinas que aún debían aplicar el parche.

Traducido para blog de Segu-info por Raúl Batista
Autor: Dan Kaplan
Fuente: www.scmagazineus.com

https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/225

Una de las redes sociales más usadas en España es Tuenti y con ello no queremos decir que sea la única ni la más importante. Sino que es una de las que mayor crecimiento están teniendo en los últimos tiempos. El que una red social tenga algún problema de seguridad acaba influyendo a todos sus usuarios, y por ello os avisamos de que Tuenti tiene un problema grave con el sistema de logeo.

El problema en cuestión es que si en un equipo inicias sesión en Tuenti y por error o por un despiste dejas la sesión abierta al irte, en el equipo se puede seguir usando la cuenta sin ningún problema no desconectándose al realizar una conexión desde otro equipo ni tampoco por tiempo de inactividad.

La solución ante este tipo de problemas viene a ser de perogrullo, cambiar la contraseña. En Tuenti, Mi cuenta, Datos de acceso, Cambiar mi contraseña. Pero en el equipo que la sesión estuviera abierta seguirá abierta hasta que o bien alguien la cierre manualmente o se reinicie el ordenador. Otro punto a tener en cuenta es el uso de la típica casilla de “recordar contraseña”, “recordarme” y similares, sobre todo en estos días que pasamos fuera de casa.

Fuente: http://www.theinquirer.es/2008/12/26/grave-problema-de-seguridad-en-tuenti.html

Se ha encontrado una vulnerabilidad en Microsoft SQL Server 2000 y 2005 que podría ser explotada por un atacante de la red local para escalar privilegios.

La vulnerabilidad está causada por un error de límites en la implementación de “sp_replwritetovarbin()” que podría provocar un desbordamiento de búfer basado en heap. Esto podría ser explotado por un atacante remoto para escalar privilegios mediante el paso de argumentos especialmente manipulados a la función.

La vulnerabilidad está confirmada para Microsoft SQL Server 2000 versión 8.00.2050 y existe un exploit público capaz de aprovechar esta vulnerabilidad.

Se recomienda deshabilitar el procedimiento extendido sp_replwritetovarbin con el comando:
dbo.sp_dropextendedproc ‘sp_replwritetovarbin’

Más Información:

Microsoft Security Advisory (961040)
Vulnerability in SQL Server Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/961040.mspx

Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability

http://www.sec-consult.com/files/20081209_mssql-2000-sp_replwritetovarbin_memwrite.txt

Microsoft SQL Server “sp_replwritetovarbin()” Heap Overflow

http://www.milw0rm.com/exploits/7501

Fuente: http://www.hispasec.com/unaaldia/3712

Redacción de Segu-info: al momento de publicar esta nota al menos una de las vulnerabilidades se manifiesta resuelta.

Cuentas de tarjetas desprotegidas

El sitio web de American Express una vez más fue afectado por fallas de seguridad que pueden exponer su considerable base de clientes a ataques que les roben sus credenciales de ingreso.

La noticia llega días después que The Register le informara a Amex que ponía a los usuarios en riesgo innecesario al fallar en reparar una vulnerabilidad evidente que desde hace dos semanas un investigador de seguridad les había alertado. Un vocero de Amex dijo después que había tapado el agujero.

Y parece que no fue así. El error de scripting XSS que hace trivial a los atacantes robar las cookies de identificación de los usuarios que ingresan a americanexpress.com, continua vivo y coleando. La confusión proviene de una equivocación que cometen muchos desarrolladores de aplicaciones que asumen incorrectamente que la causa raíz de una vulnerabilidad está cerrada cuando una explotación en particular ya no funciona más.

Amex XSS aún no reparado

“Ellos no solucionaron el problema” dijo Joshua D. Abraham, un consultor de seguridad web de Rapid7 en Boston. “Solucionaron solo un caso de este problema. ¿Quisiera mirar en toda la aplicación y decir si podría haber otro asunto similar?”

Al menos dos Fuentes separadas mencionan haber descubierto que el agujero XSS sigue abierto. El investigador Kristian Erik Hermansen nos lo hizo ver, y desarrolló esta prueba de concepto que muestra como un sitio falso puede explotar la falla y desviar la cookie de amercianexpress.com de una persona, la que ayuda a autenticar a los usuarios después que ingresaron su ID de usuarios y contraseña. Unas horas más tarde, el SecurityLab.ru de Moscú puso esta advertencia.

El arreglo chapucero parece ser el resultado de los desarrolladores web que arreglaron el problema para la falla basada el protocolo ‘get’ de pedidos HTTP pero no en el protocolo ‘post’.

Esta falla fue revelada públicamente por primera vez en Abril de 2007

Fue un error XSS separado en americanexpress.com lo que llamó nuestra atención. La vulnerabilidad fue revelada públicamente en un foro web de seguridad en abril de 2007, planteando preguntas respecto de la diligencia de los empleados de Amex para olfatear y reparar vulnerabilidades que pudieran ser usadas para estafar a sus clientes.

Una vocera de la compañía dijo que la seguridad es de principal interés y dijo que los empleados investigarían las dos vulnerabilidades informadas.

No tenemos razones para dudar de la sinceridad de su anuncio respecto que la seguridad es importante en Amex, pero aún no podemos entender porque la compañía hace tan difícil a los investigadores el poder reportar este tipo de vulnerabilidades. Los errores XSS típicamente pueden solucionarse en cuestión de minutos. Solo piense en cuanto mejor protegidos estarían los clientes si la compañía tuviera una dirección de correo o sección en si sitio web dedicados a recibir informes de vulnerabilidades. ®

Traducido para blog de Segu-info por Raul Batista
Autor: Dan Goodin
Fuente: http://www.theregister.co.uk/2008/12/20/american_express_website_bug_redux/