Hola corazones,
Las prequals de la DefCon ya se acercan, los sexy pandas seguro que ya estan calentando los dedos…pero nadie se esperaba el gran reto que hoy proponemos: «48bits – expl0it for f00d Challenge». Lo has oido bien, las 3 mejores soluciones se llevaran este fantástico regalo:
Vamos a explicar los pormenores del concurso…
(más…)
El otro día leía un advisory de la compañia Coresecurity para varios antivirus y firewalls. El mismo se refería a varias funciones de la SSDT que dichos productos hookeaban. Al parecer no realizaban suficientes validaciones sobre los parametros recibidos, con lo cual daban pie a generar un bonito BSOD.
Despues de leerlo y al tratarse de un tema bastante simple, me decidí 
a hacer una prueba estupida para la cual no tardaría más de dos minutos. Desarrollé una mierdecilla en ensamblador que invoca a las funciones de la SSDT (via sysenter en Windows XP) y les pasa siempre como parametros una ristra de «0FFFFFFFFh». De modo que si alguno de dichos parametros es utilizado como puntero desde ring0 provocaremos un casque.
Lo cierto es que esperaba que los resultados fueran nulos, pero me llevé una sorpresa al ver que al ejecutarlo el driver del antivirus que tenía en esa máquina (McAfee) me originó un BSOD. También me originó un casque el driver del «Syser» (un debugger de modo nucleo que tenía corriendo en ese momento) y más tarde en otra máquina me dio otro pete el mítico SymTDI.sys de Symantec.
Por medio de un sexyosito ( thx 😉 ) me he enterado de que este año en la DefCon va a haber un concurso que va a llenar de alegría y felicidad a muchas empresas antivirus, se trata de «The race to zero», la idea
es proveer a los concursantes de una serie de muestras de malware en cada ronda, el primer equipo en evadir la detección de estas muestras mediante su modificación, pero sin que exista perdida alguna de funcionalidad, gana la ronda. A medida que avancen las rondas las muestras de malware se irán volviendo más complejas, de modo que irá aumentando la dificultad de análisis y modificación de las mismas.
Las muestras de malware modificadas no serán puestas a disposición pública, por lo que se trata de un mero experimento de laboratorio en el que los concursantes tendran que demostrar su capacidad de engañar a los que hicieron las firmas en los antivirus.
(más…)
Aunque nunca antes había centrado mi atención en el tema de las vulnerabilidades y pese a estar un poco apartado ya del low-level y los temas relacionados con la seguridad (mi única relación hoy en día es a traves de este blog) hace un tiempo me llamó la atención ese tipo de vulnerabilidades que parecían tener un montón de drivers por la mala gestión de IOCTLs con METHOD_NEITHER. Al corresponderse estas vulnerabilidades con un tipo de comportamiento muy especifico, se me ocurrió que podía ser relativamente sencillo automatizar la búsqueda de estos fallos evitando tener que pasar horas desensamblando codigo. Eso sí, sería necesario pasar algunas horas (tiempo, bendito tesoro) codeando una utilidad que hiciese el trabajo por nosotros. El resultado de poner la idea en practica es la pequeña utilidad que os presento a continuación. No es gran cosa, pero simplemente funciona (Everything should be made as simple as possible, but no simpler).
Hoy en día, es dificil ver en los medios de comunicación noticias relacionadas con la seguridad informática, se encuentran manipuladas o son contadas por alguien cuyos conocimientos de ordenadores se asemejan a los de mi abuela. Eso sin contar con noticias que hablan de los «hackers» como terroristas o delincuentes, o nos vendan la moto para comprar una solucion de firewall o antivirus debido al gran riesgo que supone para nosotros descargar musica por el emule.
El caso es que hoy, mientras hacía tiempo para cenar, me dedique a ojear el periódico «El PAIS» y me llamo la atención una noticia de la portada. La noticia, titulada «El patrullero de la red», decia en el titular «Un policía local de Ourense persigue ciberdelitos en su tiempo libre, ha hallado documentos secretos, fugas de datos y «porno» infantil. (El pais 25 Abril 2008, página 36).
Como la noticia empezó a interesarme, decidí, con cierto temor por mi parte, leerla al completo. (más…)