Los Microsoftnianos acaban de publicar el boletín de seguridad de Junio. Éste soluciona,entre otras, dos vulnerabilidades que había descubierto el año pasado.

Ambas tienen como denominador común, el Microsoft Server Message Block Redirector Driver (mrxsmb.sys). La primera de ellas, permite a cualquier usuario sin ningún privilegio especial, tan solo logueado, ejecutar código en Ring0 debido a un fallo del Driver al validar los buffers de usuario.

La segunda, es un deadlock que permite a cualquier proceso volverse «unkillable». Para que nos entendamos, no lo podrían borrar ni antivirus, ni sistema operativo…Según Microsoft, el fallo está dentro del driver al pasarle un handle inválido.No estoy de acuerdo. Como podéis leer en el paper, el fallo está en el Kernel Object Manager, lo que pasa que para explotarlo tenemos que usar una IOCTL del driver, pero cualquier driver que use NtClose contra un handle síncrono,abierto en modo usuario a su propio dispositivo provocará el deadlock. No se si habrán solucionado el problema símplemente metiendo un pegote en el driver o lo habrán solucionado en el Kernel. No lo he mirado.
Qué más, ah pues también he liberado la primera versión del «Kartoffel», una herramienta Open Source para verificación de Drivers. Podréis testear rápidamente estas vulnerabilidades con ella, o dedicaros a enredar por ahí a ver si encontráis alguna 🙂 .

Bueno pues todos los papers, exploits y tal os lo podéis bajar en www.reversemode.com,

siento no poneros los links directos, pero es que son unos cuantos y la verdad, estoy quemao.

A veces nos pasa, probablemente por falta de interes o por mera vagancia, que perdemos alguna buena costumbre que habiamos tenido en el pasado. Luego un día, por algun motivo (posiblemente casual), nos planteamos retomar las buenas viejas costumbres, como en este caso particular que os cuento ahora.

Estaba el otro día trasteando con el Proxomitron. El Proxomitron es un proxy que permite, entre otras cosas, filtrar y modificar páginas web antes de que lleguen a tu navegador. Mirando la ventana de log, ví algo raro en una respuesta que me había mandado cierto servidor y buscando en Google encontré que se trataba del protocolo P3P (Platform for Privacy Preferences). En la página de W3C, esta así descrito el protocolo:

«The Platform for Privacy Preferences Project (P3P) enables Websites to express their privacy practices in a standard format that can be retrieved automatically and interpreted easily by user agents. P3P user agents will allow users to be informed of site practices (in both machine- and human-readable formats) and to automate decision-making based on these practices when appropriate. Thus users need not read the privacy policies at every site they visit.»

Asi que bueno, se supone que este protocolo ha estado protegiendo e INFORMANDOME sobre mi privacidad ¡SIN QUE YO LO SUPIERA! Despues de leer algunos articulos sobre P3P (los articulos tecnicos no merece la pena siquiera leerlos), encontre algun articulo interesante, como este de aqui:

http://www.kcoyle.net/response.html

Creo que ese articulo es una buena crítica al protocolo P3P, al modelo económico de Internet y además, a mi me hizo retomar las riendas de mis cookies, cosa que antes ya hacía pero que por algun motivo, deje de hacer :-).

(más…)

¿Son los antivirus/antispyware tan potentes como nos los venden?, ¿de verdad pueden acabar con todas las «amenazas»?. Hoy hace ya casi un mes desde que publicamos el advisory sobre el fallo de diseño en NTDLL, no he seguido la pista a los productos antivirus/antispyware y desconozco si algún malware ha hecho uso de este fallo, pero apuesto a que la mayor parte de las compañías afectadas han preferido esperar a que Microsoft saque el parche a tener que hacer un upgrade de producto, esto dice mucho de ellas.

Hoy un amigo me ha enviado un link a una noticia que ha salido en SecuriTeam: NTFS Data Stream Malware Stealth Technique , esta técnica es conocida desde hace ya bastantes años en el mundo de la seguridad informática y existen virus que la han explotado aunque no han estado «In the wild» , pues bien, como podeís ver muchas compañías parece que siguen sin analizar los streams NTFS…

¿Es esto una excepción?, ¿realmente están bien preparados los motores de este tipo de software para parar amenazas?, mi opinión es que no. Creo que tienen suerte de que los profesionales de seguridad informática que programan «malware» lo hagan con fines experimentales o relacionados con la mejora de la seguridad, de que el 80% de el malware «ITW» lo programen malísimos hackers malvados que buscan impresionar a sus amigos quinceañeros y de que el 20% restante aunque esté destinado a realizar delitos fiscales todavía no esté dando los pasos adecuados para poner en jaque a estas compañías.

Pero tiempo al tiempo, porque algún dia las cosas pueden cambiar, algún día alguien puede programar malware que podría ser muy dificil detectar/desinfectar y no vendrá de un grupo de programadores de virus al que todo el mundo desprecia, vendrá de alguna empresa que solo buscará ganar dinero, ¿podrán las compañías de seguridad informática hacer frente a ello?, ya lo veremos, pero está claro que más facil lo tendrán los que tengan sus motores de análisis/desinfección dotados de mayor funcionalidad, los que tengan a los mejores analístas y programadores y por supuesto los que se planteen de verdad que la seguridad informática aparte de un negocio es algo muy serio.

La verdad es que al hombre se le ve afligido:
«This thing has been destroying our family for 3 months now»

:/