tag:blogger.com,1999:blog-21555208.post7362952848399033762..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: Protegerse contra el exploit 1day de IEChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger43125tag:blogger.com,1999:blog-21555208.post-45382948241707414092010-01-27T18:02:42.196+01:002010-01-27T18:02:42.196+01:00@David, no tienes que quedarte sin Javascript, tie...@David, no tienes que quedarte sin Javascript, tienes que quedarte sin Javascript en los sitios que no son de confianza.... <br /><br />Y, por supuestísimo, para todas las aplicaciones que han usado ActiveX (¿te paso una lista?) lo del javascript es una chorrada.<br /><br />Me encanta que te guste el párrafo de los estándares ;)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-44585729226638600222010-01-27T17:37:43.841+01:002010-01-27T17:37:43.841+01:00Maligno said:
"@David, una emperesa que tenga...Maligno said:<br />"@David, una emperesa que tenga 200 aplicaciones desarrolladas en web... ¿les cambias el soporte a FF? ¿Y si las app usan ActiveX?"<br /><br />Sí, claro, por tanto por tu propio argumento, mucho mejor dejar a todas tus aplicaciones sin Javascript que sin ActiveX. Buf.<br /><br />Hablas de una empresa que tenga 200 aplicaciones desarrolladas en web. Si están desarrolladas en web, y hablamos de una empresa grande (¿hablas de una empresa grande verdad?), hay estándares de codificación, guías de estilo, normas de compatibilidad... que impiden o como mínimo desaconsejan a Desarrollo el pase a Explotación/Producción de aplicaciones IE (que no aplicaciones WEB), o que usen ActiveX. Por no hablar de aplicaciones de cara al exterior y no en la Intranet.<br />Por supuesto que hay excepciones, pero son eso, excepciones (por ejemplo, en mi época era absolutamente necesario usar Explorer con Test Director/Winrunner para generar y ejecutar planes de prueba, sólo admitía ActiveX).<br /><br />En resumen. En "todas esas empresas grandes" el impacto al negocio de no usar Javascript es infinitamente mayor al de no usar ActiveX.<br /><br />"La solución de cambiar el navegador tiene un impacto en el negocio demasiado alto en organizaciones medianas o grandes".<br />Por supuesto, mi idea hay que desarrollarla. Porque busca minimizar esto, es una mínima aproximación inicial, implantable perfectamente en muchas PYMES (más 'P' que 'M', claro).<br />La de usar durante días un navegador con exploit tiene un impacto infinitamente mayor, en especial en determinados sectores como el bancario o el hospitalario. El problema, Chema, como bien sabes, es que para los usuarios, mandos intermedios y directivos, la seguridad es mucho menos problema que cambiar, aunque sea ínfimamente, su forma de trabajar.Unknownhttps://www.blogger.com/profile/16883407508768391457noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-15616510671285936602010-01-24T19:21:53.455+01:002010-01-24T19:21:53.455+01:00Y sigue la fiesta!
http://www.reuters.com/article/...Y sigue la fiesta!<br />http://www.reuters.com/article/idUSTRE60L5O820100122?type=technologyNewsAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-64926869468912923162010-01-23T01:26:51.654+01:002010-01-23T01:26:51.654+01:00http://limulus.wordpress.com/2010/01/20/microsoft-...http://limulus.wordpress.com/2010/01/20/microsoft-lies-to-your-face-about-browser-security/Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-63084889317493508392010-01-22T21:15:45.933+01:002010-01-22T21:15:45.933+01:00@xeno, cuando pusiste tu comentario el parche ya e...@xeno, cuando pusiste tu comentario el parche ya estaba sacado. Tal vez no te diste cuenta pq nunca usas IE8. Tal vez ni tengas el Windows original, pero no te preocupes, que con Sergio también hablé antes de que pusieras este comentario. Le dejé mi opinión en su post.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-2634645402418507232010-01-22T13:36:12.659+01:002010-01-22T13:36:12.659+01:00http://www.sahw.com/wp/ que sepas que el DEP no s...http://www.sahw.com/wp/ que sepas que el DEP no sirve para nada, bien explicado por SH. Y..por cierto no queremos soluciones de medio pelo, queremos el Parche que ya de por si no deja de ser...pues eso UN PARCHE. Para los mas técnicos corrección de una parte del código vulnerable a un ataque remoto o local.xneohttps://www.blogger.com/profile/17869278236493481038noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-35150886792617387832010-01-22T00:22:39.806+01:002010-01-22T00:22:39.806+01:00@dreyercito, ya tienes tu parche de IE8. ¿Qué es m...@dreyercito, ya tienes tu parche de IE8. ¿Qué es mejor, hacer la lista blanca de JS como recomendaba Hispasec para el fallo de FF y yo para IE8 o haber empezado una migración del navegador en una empresa?<br /><br />Seamos serios...<br /><br />Hay que buscar la mejor solución. Todos, incluidos los que odian a Spectra, sabíamos que MS iba a sacar el parche pronto. Como lo ha hecho. Recomendar la migración era de ....<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-54508037958858229192010-01-21T21:11:51.340+01:002010-01-21T21:11:51.340+01:00@maligno Tanto que te molan los workarounds y tune...@maligno Tanto que te molan los workarounds y tunear la instalacion por defecto... Y ya que hablas inderectamente de los fallos de linux... Con tal de meter un mmap_min_addr mayor que 4096 (que casi todas las distros ya empiezan a meter por defecto...), dime cuantos de esos fallos de elevacion de privilegios quedan que han publicado el año pasado...dreyercitohttps://www.blogger.com/profile/08138319452719124798noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-67433793260889402002010-01-21T21:04:55.377+01:002010-01-21T21:04:55.377+01:00A ver chemita... la solucion de desactivar javascr...A ver chemita... la solucion de desactivar javascript (o hacer una lista blanca de javascript)... ja! y otra vez ja!, me permitiras decir que es UNA PORQUERIA y un sin sentido en esta epoca de web 2.0dreyercitohttps://www.blogger.com/profile/08138319452719124798noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-4669701683950610902010-01-21T07:50:08.667+01:002010-01-21T07:50:08.667+01:00@David, una emperesa que tenga 200 aplicaciones de...@David, una emperesa que tenga 200 aplicaciones desarrolladas en web... ¿les cambias el soporte a FF? ¿Y si las app usan ActiveX? La solución de cambiar el navegador tiene un impacto en el negocio demasiado alto en organizaciones medianas o grandes.<br /><br />@Anónimo, mira esta noticia de seguridad sobre un 0day de FF en el que se recomienda desde "otros que tb saben algo de seguridad"..<br /><br />http://www.hispasec.com/unaaldia/3917/ejecucion-codigo-mozilla-firefox-existe-parche-ofic<br /><br />Te la copio entera, que es muy chula:<br /><br />" Ejecución de código en Mozilla Firefox. No existe parche oficial disponible<br />Ofrecemos este boletín con carácter de urgencia. Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.<br /><br />Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.<br /><br />El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.<br /><br />No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.<br /><br /><b>Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos)</b>."<br /><br />@Anónimo peluquero, las elevaciones locales no tienen tanto glamour. De pass the hass tengo aquí un artículo escrito de 15 páginas que estoy dandole la vuelta para ver si lo publico o no. En tus auditorias de seguridad con XPs mal administrados y con cacheo de credenciales tal vez funcione muy bien en la red pero si usan una buena política en AD no.<br /><br />Si tienes acceso local en un linux te recomiendo que juegues con Kon-boot o que hagas uso de alguno de los ene-cientos bugs de elevación local en linux que ha habido este año. Ya no les hago ni chistes..<br /><br />http://www.hispasec.com/unaaldia/3949<br /><br />http://www.hispasec.com/unaaldia/3939/<br /><br />Ya no son tan graciosos como antes... Pero me alegra que te haga ilusión uno en Windows que se arregla con una policy.<br /><br />Saludos melenas!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-90448583219158225292010-01-21T01:37:33.436+01:002010-01-21T01:37:33.436+01:00El peluquero:
Chema el Pass-the-Hash de los windo...El peluquero:<br /><br />Chema el Pass-the-Hash de los windows molones y claro está, si me pones ejemplos de otros sistemas operativos pues mejor que mejor, pero cúrratelo no me hagas un trolentrada de las últimas... <br /><br />A mi me encanta en las auditorias cuando obtengo la hash de una máquina y me permite conectarme a otras máquinas no vulnerables sin necesidad de petar el hash, le enchufo el hash a la memoria y OLÉ! ¿por que implementar correctamente un reto? eso paque!... <br /><br />Por cierto chema estoy ansioso de ver tu post defensa a una vulnerabilidad reportada en verano y casi en febrero sea un 0-day. <br /><br />Un saludo informática16 (bits por supuesto) :PAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-74340695011165000852010-01-21T00:41:29.698+01:002010-01-21T00:41:29.698+01:00Gracias a Dios que no se me ocurre usar Ie, ningun...Gracias a Dios que no se me ocurre usar Ie, ninguna version, aqui hay demasiado microsoftismo me parece a mi... jeje desactivar JS?? jajaja como decia alguien por aqui mejor quitar el cable y apagar el Pc asi no hay problemas.....Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-56922877888718059832010-01-21T00:00:05.146+01:002010-01-21T00:00:05.146+01:00Completo por olvido: Me refería a acceso al Firefo...Completo por olvido: Me refería a acceso al Firefox Portable hasta que esté el parche del IE disponible; cuando esté, vuelta al IE.David Rhttps://www.blogger.com/profile/01385504746475969474noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-20804934038443308642010-01-20T23:58:33.755+01:002010-01-20T23:58:33.755+01:00Como administrador es más fácil, y para el usuario...Como administrador es más fácil, y para el usuario le de más libertad, instalar un puto enlace a un Firefox Portable configurado. Cero instalación e infinita seguridad más que IE.<br /><br />Y como sé que lo vas a preguntar, si la cosa fuera igual con otro navegador, lo haría también. Versión portable de la competencia y santas pascuas.<br /><br />Debo ser de otro planeta, porque la solución no te convencerá ni a ti ni a los freetalibanes, pero en cuestión de comodidad de administración y de no caparle a los usuarios lo que no se debe, es imbatible.<br /><br />PD: Microsoft "acelera" su parche mensual pero A DÍA DE HOY NO HAY NI FECHA.<br />http://www.elpais.com/articulo/tecnologia/Microsoft/publicara/parche/extraordinario/Internet/Explorer/elpeputec/20100120elpeputec_4/TesDavid Rhttps://www.blogger.com/profile/01385504746475969474noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-26758508741461790852010-01-20T23:51:20.057+01:002010-01-20T23:51:20.057+01:00@Maligno desde el máximo respeto que tengo por alg...@Maligno desde el máximo respeto que tengo por alguien que tiene que ponerme nota, me parece que los resultados de BrowserSchools son aplicables sobre navegadores con configuración por defecto. La manera en la que está planteado el reto puede llevar a pensar en una sutil manipulación para llegar a unos resultados que "realcen" las bondades de IE frente a firefox y resto de navegadores que usamos la gente sin recursos económicos suficientes para permitirnos so de pago. <br /><br />citando a un tal RoMaNSoFt <br />No hay que ser talibán :-PHhttps://www.blogger.com/profile/11358513586075739651noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-31554867484138058582010-01-20T21:13:15.796+01:002010-01-20T21:13:15.796+01:00Poner listas blancas temporalmente para uso de jav...Poner listas blancas temporalmente para uso de javascript es mucho mejor que migrar la plataforma de navegador. Y la buena noticia es que se puede hacer fácilmente con el AD. Sigo preguntando ... Si esto pasa en el futuro con otro navegador.. ¿cómo lo vas a hacer?<br /><br />@extremitu, sí, una elevación en local y con el workaround publicado. ¿Sigues las listas de elevaciones de privilegios locales en otros sistemas operativos?<br /><br />Saludos!<br /><br />PS: Apolo es un plugin BHO nuestro para identificar el correo ilegítimo en Gmail y Hotmail que sólo funciona en IE8. ;)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-26273661032513427242010-01-20T17:41:03.583+01:002010-01-20T17:41:03.583+01:00Hola
Bueno después del Up to secure me ha quedado...Hola<br /><br />Bueno después del Up to secure me ha quedado más claro, que no es un 0day realmente<br /><br />Un saludoAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23799821400116039562010-01-20T17:28:26.729+01:002010-01-20T17:28:26.729+01:00Maligno,
solo aclarar que no te llamaba borde.
Es...Maligno,<br />solo aclarar que no te llamaba borde.<br /><br />Es que yo suelo firmar como Borde porque a mi sí me consideran tal<br /><br />--yo no quería hacer spam--<br />elbordeinformatico.wordpress.com<br />--basta ya de spam--<br /><br />Saludos y enhorabuena por tu trabajo que es muy bueno.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-90883033213028148272010-01-20T16:52:00.509+01:002010-01-20T16:52:00.509+01:00Ahí va!, esto SÍ es un 0day ;D.
http://lists.grok...Ahí va!, esto SÍ es un 0day ;D.<br /><br />http://lists.grok.org.uk/pipermail/full-disclosure/2010-January/072549.htmlextremitunoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-57199868398075113282010-01-20T15:04:03.758+01:002010-01-20T15:04:03.758+01:00Chema, ahora aclará eso del Apolo para IE.Chema, ahora aclará eso del Apolo para IE.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-27867457437156610802010-01-20T14:23:44.318+01:002010-01-20T14:23:44.318+01:00uuf no os pegueis niños! xD
No tengo un firefox a...uuf no os pegueis niños! xD<br /><br />No tengo un firefox aquí para comprobar, pero creo recordar que en el about:config había una opcion de crearte listas seguras bajo una de las claves security."algo"<br /><br />Es evidente Chema que no es solución desactivar JS, que no haya mejor solución de momento puede, pero eso no es objetivamente realista en ninguna empresa, y a mi te aseguro que no me van a volver loco en el curro porque las de rrhh no puedan ver el Vogue digital por ejemplo xDD<br /><br />Y recordar que firefox también puede (o podía, no lo sé) aprovecharse de la config de zonas de seguridad establecidas en windows (a traves de IE pero algo es algo)buscad el post de S. de los Santos hace algún tiempo..<br /><br />Fallos los tienen todos, o de eso vivimos al menos, y que sigan saliendo!! :P<br /><br />Saludos!<br /><br />Wi®CentOSnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-64499451586426809892010-01-20T13:51:45.539+01:002010-01-20T13:51:45.539+01:00¡Pero bueno!, ¿realmente estás proponiendo que la ...¡Pero bueno!, ¿realmente estás proponiendo que la forma de librarse del problema es crear una lista blanca de sitios donde el javascript esté permitido?, ¿Te estás riendo de la gente o qué pasa?, en primer lugar, este error es culpa de microsoft y por lo tanto es microsoft la que debería haber publicado ya un parche, que para eso es su trabajo. Y en segundo lugar, esto de deshabilitar el javascript en todos los sitios por si acaso no son de confianza... supongo que te refieres a empresas de 5 trabajadores, porque si no te invito a que te pongas tu a hacerlo, machote.<br /><br />Además que deshabilitando el javascript seguro que te libras de muchos problemas, no solo de este, pero se supone que es matar moscas a cañonazos, no una solucion viable en un entorno laboral.<br /><br />Y encima dices que esta sencilla solución evita que tengas que cambiar de navegador, no me jodas, esta sencilla solucion invita a cambiar de navegador, y no esta semana, si no para siempre.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-80833682144202615352010-01-20T12:00:24.119+01:002010-01-20T12:00:24.119+01:00@RoMaNSoFt, el NOScript no viene en mi Firefox. ¿E...@RoMaNSoFt, el NOScript no viene en mi Firefox. ¿Es un plugin o algo así? ¿Hay para FF un Apolo como el que tengo yo para IE? ¿Lo contamos también?<br /><br />Hay quedan los resultados de BrowserSchools...<br /><br />Las zonas de IE te dan una solución. ¿Qué te daría otro navegador con las opciones que trae por defecto? ¿Cuantos plugins extras necesitas desplegar tb? ¿Necesitas a i64 para hacerte un script?<br /><br />}:)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-15442603047488505922010-01-20T11:28:12.820+01:002010-01-20T11:28:12.820+01:00@maligno: ¿te refieres a quien hizo el exploit de ...@maligno: ¿te refieres a quien hizo el exploit de verdad? ¿O a los que lo han utilizado/adaptado/cazado/publicado? Vamos, que una recomendación así podría haber salido de cualquier parte. Entre otras cosas, porque es perfectamente válida (desde el punto de vista de mitigación de la vulnerabilidad). Pero que mitigue la vulnerabilidad no quiere decir que sea práctico. También he visto en muchos exploits recomendaciones como: "no usar este producto". Efectivamente, "mitigan" la vulnerabilidad }:-) Y como lo dice el autor del exploit... habrá que hacerle caso, ¿no? :P<br /><br />La moraleja de todo esto es que IE puede ser tan vulnerable como cualquier otro navegador (por muchas "protecciones" que traiga el IE8, y que de hecho, ya las tienen otros navegadores -p.ej el antiXSS de IE8 va por detrás del NoScript de Firefox-, o las acabarán teniendo a corto/medio plazo).<br /><br />No hay que ser talibán :-PRoMaNSoFtnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-24514000618900539672010-01-20T09:46:22.116+01:002010-01-20T09:46:22.116+01:00@RoMaNSoFt, ¿poco realistas? Es la que recomiendan...@RoMaNSoFt, ¿poco realistas? Es la que recomiendan los que han hecho el exploit.<br /><br />Por cierto... scripts de incio? La gente se queja por usar las zonas, arreglarlo con scripts de inicio para Chrome será divertido verlo... ;)<br /><br />De hecho, podéis contratar a I64 para que os hagamos el script....Ya sabes.. ;)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.com