Grave fallo en los teléfonos Samsung: Resetear un teléfono Samsung con solo visitar un enlace

Samsung, es una gran empresa con muy buenos productos excelentes, pero los que han tenido mas repercusión mediática últimamente son sus teléfonos móviles, en especial la gama Galaxy por los problemas legales y la rivalidad constante con Apple, el líder del mercado Smartphone.

Pero este post no es para hablar sobre esta rivalidad, mas bien es para alertar a los usuarios de Samsumg de un problema del que me enteré gracias a twostraws y JulianZarate, que fue presentado recientemente en la ekoparty 2012 por Ravishankar y que se presenta al visitar un enlace malicioso que contenga el siguiente código:

1.	<iframe src="tel:*2767*3855%23" width="320" height="240"></iframe>

El teléfono borrará toda su información y se resetea a los valores de fabrica, esto es posible ya que en los teléfonos Samsung el código *2767*3855%23, que no esta documentado oficialmente (pero encontramos muchas referencias en la red) es utilizado por los técnicos para volver a la configuración de fabrica un dispositivo Samsung y en la mayoría de los dispositivos móviles el tag “tel” es utilizado para enlazar un numero que después será marcado en el teléfono.

En el siguiente vídeo se puede ver lo que sucede:

Pero la cosa no termina ahí en la misma charla Ravishankar expuso como se puede realizar esto sin intervencion enviando un WAP PUSH SMS, o dejar inservible una tarjeta SIM enviando el código PUK erroneamente mas de 10 veces, puedes ver una explicación mas extensa de la charla en el post de Lorenzo Martínez sobre el día 2 de la ekoparty.

Espero que tengas mas cuidado con los enlaces que visitas desde tu dispositivo Samsung y en general en cualquier dispositivo móvil o equipo de escritorio.

Fuente | Dragonjar

El hacker de iOS, Charlie Miller, ha sido contrato por Twitter para mejar la seguridad de esta.

El conocido hacker de la scene del iPhone y el iPad Charlie Miller, conocido como 0xcharlie y que ha conseguido entre otras cosas romper la seguridad de Safari en solo 10 segundos en el Pwn2Own, ha sido contratado por Twitter.

Su trabajo para la red social será unirse al equipo de seguridad, y parece que concretamente se dedicará a intentar penetrar la seguridad de la red a tiempo completo y ayudar a cerrar los agujeros que se vayan encontrando. El trabajo de los sueños de cualquier hacker, que te paguen por intentar colarte, por hacer lo que te gusta.

Charlie Miller expuso numerosas vulnerabilidades que comprometían la seguridad de iOS  y colaboró en el libro sobre jailbreak llamado “iOS Hackers handBook”. Otro hacker menos para la scene, aunque este se dedicaba más a encontrar vulnerabilidades que a crear el jailbreak en sí.

Fuente | iClarified

Descubierta una vulnerabilidad 0-day en Internet Explorer 6, 7, 8 y 9

A pesar de las mejoras que ha hecho Microsoft con su navegador, se siguen encontrando fallos en Internet Explorer. El último se ha descubierto hace unos días, una vulnerabilidad 0-day que permite que un atacante ejecute código en tu ordenador, aunque sin permisos de administrador.

La vulnerabilidad afecta a todas las versiones de Internet Explorer en todos los sistemas operativos, salvo a Internet Explorer 10. Para que un ordenador sea atacado, tiene que visitar una web especialmente preparada, que descargaría código al ordenador para después ejecutarlo aprovechando este fallo.

Como comento arriba, es una vulnerabilidad 0-day, lo que quiere decir que ya se está explotando activamente. De hecho, lo han descubierto a raíz de un exploit relacionado con otra vulnerabilidad (también 0-day) en Java SE 7 que se destapó hace unos días.

Microsoft ya está al tanto de la vulnerabilidad, aunque no han aclarado si el parche aparecerá en cuanto lo tengan o en uno de sus patch tuesdays, las liberaciones de parches que hacen cada mes. Mientras, aseguraos de tener el antivirus actualizado y de no visitar páginas extrañas para evitar ser infectados. 

Información técnica:

El fallo permite la ejecución remota de código a través de una vulnerabilidad en la función execCommand utilizando referencias no válidas a puntero ya liberado (use-after-free). En el código del exploit esto se consigue mediante la creación de un objeto 'CMshtmlEd', su eliminación y posterior uso de la zona de memoria mediante CMshtmlEd::Exec. Una vez explotada la vulnerabilidad, se ejecuta el payload mediante la técnica del relleno de la memoria heap mediante NOPs (heap spray) y del propio shellcode para conseguir su ejecución. Elude DEP y ASLR con técnicas ROP y después carga un troyano del servidor malicioso.

En el siguiente vídeo se puede observar todo el proceso, llevado a cabo en un servidor comprometido donde se alojaban tanto el exploit de IE como el conocido RAT Poison Ivy, encargado de controlar a la potencial víctima.

El diagrama de flujo del ataque sería el siguiente:

El exploit (Protect.html) inicialmente no era detectado por ninguna casa antivirus:

 

 

 

Aunque finalmente Microsoft ha actualizado sus definiciones de antivirus identificando la familia del exploit como Dufmoh.

 

 

 

Este 0-day está siendo ampliamente explotado tras la publicación del script para Metasploit. Aunque el módulo de Metasploit está creado para Internet Explorer 8, se podría modificar para otras versiones.

 

No existe parche o contramedida oficial por parte de Microsoft, por lo que se recomienda el uso de otros navegadores hasta que sea publicada una actualización. EMET correctamente configurado, podría permitir detener el vector de ataque.

 

Fuente | Genbeta | Hispasec Sistemas

Virus que vienen instalados de serie: Microsoft detecta en China 'malware' instalado en fábricas de PC

 

Los cibercriminales parecen haber encontrado una nueva vía para infectar ordenadores con virus informáticos: insertar el código malicioso en los PC en la propia línea de producción. Vamos, que el malware puede venir ya de serie. O, al menos, esa es la voz de alarma que ha dado Microsoft tras desvelar hace unos días que han comprado varios ordenadores en China que ya estaban infectados de origen.

El gigante de Redmond aseguró en su blog que, según una investigación realizada por la propia compañía, el malware detectado ya venía instalado desde el mismo centro de producción del ordenador. El estudio de Microsoft se llevó a cabo para confirmar sospechas que la compañía tenía desde tiempo atrás. La firma, capitaneada por Steve Ballmer, describe que compró 20 ordenadores en diferentes ciudades chinas, la mitad de ellos de sobremesa y la otra mitad portátiles, y que cuatro resultaron venir precargados con el virus Nitol. Un código malicioso que inicia ataques a otros ordenadores e incluso facilita a los ciberdelincuentes el robo de datos para ayudarles a saquear cuentas bancarias online.

"Hemos detectado que el malware es capaz de encender el micrófono o la videocámara de un ordenador infectado de forma remota, lo que da a los cibercriminales oídos y ojos dentro de la casa o de la oficina de la víctima", señala el abogado de la sección de investigación criminal de Microsoft, Richard Boscovich.

Infiltrados

 

 La multinacional obtuvo, tras tener estas evidencias, el permiso de un tribunal estadounidense para anular la red de ordenadores infectados con Nitol. La conclusión a la que ha llegado Microsoft es que los delincuentes se habían infiltrado en una cadena de suministro demasiado insegura para introducir software falsificado embebido como malware cuando los PC estaban en construcción, informó la web de la BBC.

Según la cadena británica, investigaciones posteriores revelaron que el botnet detrás de Nitol estaba siendo ejecutado desde un dominio web que había estado involucrado en delitos informáticos desde 2008. Al parecer, el virus procedía de un centro de control cobijado en el dominio web 3322.org, registrado a nombre de Bei Te Kang Mu Software Technologies. Dicho dominio, según las citadas fuentes, tenía 70.000 subdominios separados utilizados por 500 cepas diferentes de malware para engañar a las víctimas o robar datos.

Yong Peng, propietario del dominio chino 3322.org, aseguró a la agencia Associated Press que no sabía nada acerca de la acción legal de Microsoft y subrayó que su compañía "tiene tolerancia cero hacia las actividades ilegales". No obstante, reconoció que actualmente cuentan con 2,85 millones de nombres de dominio "y no se puede excluir que haya usuarios individuales que puedan utilizar nombres de dominio con fines maliciosos".

Fuente | Cincodias