La crisis ha llegado al mundo de los Antivirus. En un movimiento sin precedentes y tras conocer que Symantec habría perdido el 98% de sus activos debido a la estafa muchimillonaria del Madoff ese, los 4 de ClamAv y el del tambor (el de la flauta habia pedido días libres) lanzaron una opa que si no era hostil, era una hija de puta directamente, contra el 51% de la compañia.

Esta fusión genera un nuevo gigante en la industria «Symanclam». Veremos qué nos deparará el futuro.

Gabinete de Crisis de 48bits

Algunos de nosotros, por nuestro trabajo, hobbys o demás razones , debemos viajar a menudo y como miembros de esta sociedad de la información actual, o también porque seamos algo mas freaks que la mayoría de la gente, tenemos una necesidad que “enjuto mojamuto” definió muy bien.. “Inteeeerrrrneeeeeeeeet!!”

El caso es que la mayoría de hoteles, cafeterías, aeropuertos y estaciones de tren nos ofrecen la posibilidad de conectarnos a Internet a través de sus redes “públicas”, pero con un coste muy elevado por lo que, si no puedes pagarte una tarifa plana de 3G ni pagar 25 por día de conexión en una red pública, vamos a explicar como conseguirla, “de gratis” en nuestra nueva sección de Tecnología for dummies.

Nuestro ejemplo aleatorio, va a ser la T4, desde donde estoy escribiendo estas líneas, aunque tambien se incluyen referencias a otros entornos. Nada más encender mi portátil observo múltiples puntos de acceso abiertos a las que me puedo conectar. El funcionamiento es el siguiente, una vez conectado a dicha red, el servidor DHCP remoto me asigna una dirección IP. Hasta aquí todo bien.

El problema está en que mi equipo portátil se encuentra en un segmento “aislado”, es decir, el servidor dns redirige cualquier petición que yo realice contra un “portal cautivo”, es decir, un frontal Web que requiere autenticación.
(más…)

Hola a todos,hace unos dias apareció este advisory en ZDI: Adobe Acrobat Reader Malformed PDF Code Execution Vulnerability.No dan muchos detalles así que aquí va el advisory original con una explicación un poco más en profundidad del bug y como explotarlo.

(más…)

Microsoft ha publicado esta semana un parche de seguridad, el MS08-068, que nos permite proteger nuestros sistemas contra para una antigua vulnerabilidad que permitía ataques de replay attack contra el mecanismo de autenticación NTLM.

Aprovechando este parche, vamos a publicar la herramienta smbrelay3, presentada en el congreso de Lacon el pasado mes de Septiembre y que permite realizar «replay attacks» contra múltiples protocolos como es el caso de SMB/HTTP/POP3/IMAP,..

El objetivo principal de Smbrelay3 es el de conseguir la ejecución de código, creando y ejecutando un servicio remoto que genera una bindshell.

El nuevo parche de Microsoft, dificulta en gran medida el ataque dado que evita que esta técnica se puede utilizar contra el mismo equipo que solicita la autenticación NTLM, haciendo blacklisting de los challenges de autenticación, sin embargo todavía existen varios vectores de ataque posibles.
(más…)

Para los que lo estabais esperando, aquí está la versión compilada para win32 de Fscan 1.0 (FHScan), orientado a automatizar las tareas de revisión de routers y otros dispositivos HTTP.

FHscan Core api es una librería de HTTP/1.1 que fue desarrollada a raíz del proyecto «Fast HTTP Vulnerability Scanner«, hasta llegar a convertirse en el núcleo del mismo. Esta librería debía cumplir una serie de requisitos, velocidad, sencillez y flexibilidad, y por supuesto, dado que su objetivo principal era ser utilizada para ataques de fuerza bruta, soporte de varios mecanismos de autenticación (basic, digest y NTLM) así como soporte de compresión gzip/deflate, callbacks y SSL. El resultado es prometedor y dado que es portable y que me gustaría que la gente pudiese colaborar en su desarrollo, voy a dejar el rollo de exploits por una vez y os voy a contar algún ejemplo de como realizar aplicaciones mas o menos sencillas usando esta API.

Lo único que debéis incluir en vuestra aplicación es el fichero «HTTP.h» y una vez hecho esto, inicializar el motor de HTTP con InitHTTPApi(). Esta función se encarga de manter en memoria varias tablas que gestionan las conexiones activas, aunque eso es totalmente transparente para nosotros.

Antes de establecer una conexión es necesario generar un pseudoHandle al sistema remoto. Esto se consigue con la llamada InitHTTPConnectionHandle() cuyos parámetros son el host remoto, el puerto, y si la conexión usa o no SSL.

HTTPHANDLE HTTPHandle=InitHTTPConnectionHandle("blog.48bits.com",80,0);


Una vez generado el Handle, podemos empezar a generar peticiones. Todas estas peticiones se almacenan en una estructura PREQUEST que comentaremos más adelante. Véase un ejemplo de como realizar una peticion a la web de 48bits.

(más…)