POSH-SECMOD: Herramientas de seguridad en PoweShell

Uno de los primeros y más potentes frameworks de seguridad en powershell es Posh-SecMod, creado por Carlos Perez este conjunto de herramientas facilita decenas de tareas para cualquier experto en seguridad.
Las funciones están divididas en distintas categorías: Discovery; con descubrimiento de redes, Parse; importa resultados de otras herramientas como Nmap o DNSRecon, PostExplotation; funciones para facilitar la tarea de post explotación, Registry; para manipular el registro de un sistema remoto vía WMI, Utilities; con herramientas varias, Audit; con los que obtener información del sistema, Database; para la manipulación de bases de datos,
 
Adicionalmente y ahora en otros repositorios, también hay módulos “Posh” para Shodan; que con la correspondiente API facilita su consulta, VirusTotal; al igual que la anterior, gestión de la plataforma vía powershell y Metasploit; funciones para interactuar con el famoso framework de explotación de vulnerabilidades mediante el uso de la API XMLRPC y Nessus; con funciones que hacen posible la gestión de este escáner de vulnerabilidades en su versión 5.

Instalar el framework es tan sencillo como invocar desde powershell los comandos que se muestran en la imagen.

Instalación de Posh-SecMod

Una vez se instala las funciones quedan disponibles para invocarse según sean necesarias. Son demasiadas para enumerarlas todas, pero al finalizar el proceso se listan.

Del grupo de Discovery, destacan utilidades para detectar puertos abiertos, sistemas que responden a ping, o ARP. También es posible hacer resolución inversa de DNS, o consultas de registros SRV.

Funciones de Discovery

De la parte de post explotación un buen ejemplo es PostHashdumpScript, que permite volcar las hashes de la SAM como las conocidas herramientas del tipo hashdump/pwdmp.

Ejemplo del funcionamiento de Get-PostHashdumpScript

Las utilidades para conectar con distintas APIs son muy prácticas y seguro que son utilizadas por nuestros lectores para sus propios scripts. La siguiente imagen muestra la sencillez de instalar y lanzar un análisis de un ejecutable contra la plataforma de VirusTotal con Posh-VirusTotal.

Instalación y ejecución de Posh-VirusTotal

 

Texto obtenido de securitybydefault.com

SAT, robo de contraseñas y cobran devolución

El Servicio de Administración Tributaria (SAT) y la Procuraduría de la Defensa del Contribuyente (Prodecon) detectaron casos de robo de la identidad del contribuyente para hacer la declaración anual y  después cobrar el monto de la devolución de impuestos.

Oficinas del SAT en avenida Hidalgo, en la ciudad de México. Foto Cristina Rodríguez
Oficinas del SAT en avenida Hidalgo, en la ciudad de México. Foto Cristina Rodríguez

“Se suplanta la identidad de los contribuyentes con el objeto de presentar su declaración, reportar saldos a favor de Impuesto Sobre la Renta (ISR) con información ficticia y solicitar el depósito en la cuenta bancaria de un tercero”, explicaron las dependencias en un comunicado.

Detallaron que esta problemática está lesionando gravemente los derechos de los pagadores de impuestos, en particular a las personas físicas que obtienen ingresos por sueldos.

Cuando la persona física intenta presentar su declaración anual, se da cuenta que alguien ya lo hizo utilizando su contraseña. Con ello, el delincuente obtiene saldo a favor utilizando información ficticia.

“La gran mayoría de las quejas y denuncias recibidas por ambas instituciones provienen de contribuyentes que obtienen sus ingresos exclusivamente por salarios y resultan ser casos especialmente sensibles”, detalla el comunicado.

Cuando el contribuyente se da cuenta, el depósito ya está efectuado, colocándolo en un estado de inseguridad jurídica, pues ya no puede obtener su devolución y tiene que iniciar denuncia penal contra quien resulte responsable.

La Prodecon informó que prestará el servicio necesario para asesorar a los que resulten afectados por esta práctica.

Ni el SAT ni la Prodecon precisaron el monto a que ascendería el fraude, pero recomendaron a los contribuyentes cambiar periódicamente su contraseña y denunciar los casos para llevar a cabo la investigación correspondiente.

El SAT comunicó

“La gran mayoría de las quejas y denuncias recibidas por ambas instituciones provienen de contribuyentes que obtienen sus ingresos exclusivamente por salarios y resultan ser casos especialmente sensibles, ya que cuando se da cuenta el contribuyente afectado de la suplantación de su identidad, el depósito ya está efectuado a la cuenta de quien defrauda, colocándolo en un estado absoluto de inseguridad jurídica, pues ya no puede obtener su devolución y tendría que iniciar denuncia penal contra quien resulte responsable”, dijo el SAT.

Por su parte, la Prodecon consideró “trascendental dar a conocer y advertir sobre este tipo de prácticas indebidas e informa que prestará todo el apoyo necesario para asesorar y acompañar a los afectados que decidan presentar denuncia en el proceso penal respectivo. Resulta necesario emprender acciones que sancionen a los defraudadores de los contribuyentes cumplidos”.
Fuente: AM y Jornada Unam

Facebook confirma las videollamadas en Messenger

El día de hoy Facebook confirmó las videollamadas en Messenger, que permitirán tener conversaciones con tus contactos de Facebook a través de Messenger.

Messenger ya ofrece a los usuarios la función de llamadas de voz a sus amigos y gente de tu interés alrededor del mundo, lo cual representa más del 10% de todas las llamadas de voz sobre el protocolo de internet móvil a nivel global.

Videollamadas en Facebook
Las videollamadas ampliarán las comunicaciones en tiempo real de Messenger, permitiendo a más de 600 millones de personas que usan Messenger llegar a sus contactos en cualquier parte del mundo de manera rápida, segura y con alta calidad.

Las videollamadas en Messenger están disponibles para llamadas hechas de un celular a otro celular y no habrá problemas de incompatibilidad entre iOS y Android.

Con este anuncio y la muy reciente liberación de la función de llamadas en Whatsapp, Facebook se perfila como uno de los monopolios más poderosos dentro de la mensajería instantánea.

Lo cual puede ser visto como un monopolio por algunos suspicaces.

 

Fuente: time.commessenger.com

Apple Watch dorado sin gastar $12,000 USD

Obviamente solo sirve para quienes en realidad ven el valor practico del dispositivo, quienes si, quieren que se vea dorado pero no tienen que demostrarle al mundo su existencia gastando $12,000 USD en un gadget que no vale no la décima parte de eso. En este video el Apple Watch quedará idéntico.

Ahora lo mejor de todo, cuidado con las imitaciones, no te vayan a vender un dorado barato y te vendan gato por liebre.

Using AWS in the Context of CESG UK’s Cloud Security Principles

Last year, CESG UK published the Cloud Security Guidance documents for public sector organizations that are considering the use of cloud services for handling information classified as OFFICIAL. The guidance aims to help public sector organizations make informed decisions about cloud services and choose a cloud service that balances business benefits and security risks. In relation to this, the legacy Impact Level accreditation scheme has been phased out and is no longer the mechanism used to describe the security properties of cloud services.

AWS CESG UK
AWS CESG UK

In order to provide you with guidance regarding the Cloud Security Principles and to make an informed decision when performing risk assessments, we have published a whitepaper called
Using AWS in the Context of CESG UK’s Cloud Security Principles.

This whitepaper provides insights into implementation and assurance approaches within AWS based on the published guidance for each of the 14 Cloud Security Principles and Subprinciples. If you are a Senior Information Risk Officer or a CESG-Listed Advisor Scheme consultant supporting a decision-making process for selecting a cloud service at a UK public sector organization, the whitepaper provides an in-depth view into the AWS implementation approach in relation to the Cloud Security Principles. Based on this information, UK public sector organizations and their information security functions can conduct informed risk assessments and select the appropriate AWS services for their cloud environment.

AWS Services

AWS currently provides the following 11 services on the UK Government Digital Marketplace:

  1. Amazon CloudWatchDigital Marketplace link
  2. Amazon Elastic Block Store (Amazon EBS) – Digital Marketplace link
  3. Amazon Elastic Compute Cloud (Amazon EC2) – Digital Marketplace link
  4. Amazon GlacierDigital Marketplace link
  5. Amazon Relational Database Service (Amazon RDS) – Digital Marketplace link
  6. Amazon Simple Storage Service (Amazon S3) – Digital Marketplace link
  7. Amazon Virtual Private Cloud (Amazon VPC) – Digital Marketplace link
  8. Auto ScalingDigital Marketplace link
  9. AWS Direct ConnectDigital Marketplace link
  10. AWS Identity and Access Management (AWS IAM) – Digital Marketplace link
  11. Elastic Load BalancingDigital Marketplace link

Source: AWS Blog

WordPress, Critical Persistent XSS 0day

Yes, you’ve read it right: a critical, unpatched 0-day vulnerability affecting WordPress’ comment mechanisms was disclosed earlier today by Klikki Oy.

Who’s affected

If your WordPress site allows users to post comments via the WordPress commenting system, you’re at risk. An attacker could leverage a bug in the way comments are stored in the site’s database to insert malicious scripts on your site, thus potentially allowing them to infect your visitors with malware, inject SEO spam or even insert backdoor in the site’s code if the code runs when in a logged-in administrator browser.

You should definitely disable comments on your site until a patch is made available or leverage a WAF to protect your site and customers.

Technical details

This vulnerability requires an attacker to send a comment long enough to force the backend MySQL database to truncate what is stored.

 

WordPress Database Schema

As you can see from the above schema, the comments texts are stored in the comment_content column which is a TEXT column, meaning a comment can only contain a maximum of 65535 bytes of data.

A typical exploit would look like the following:

<a href='x onclick=alert(1) AAAAAAAAAAAAAA..(multiplied so our comment contains more than 65k bytes)'>test</a>

Once taken back from the database would look like this:

<p><a href='x onclick=alert(1) AAAAAAA</p>

Some of you might have noticed that the resulting HTML tag isn’t complete, but this isn’t a problem for most modern browsers as most of them will simply patch it up automatically

This bug then allows anyone to insert any HTML tag attributes to his hyperlink, including Javascript event handlers.

What you can do

There’s a few thing you can do to prevent getting hacked before there’s an official patch being released: You can disable comments on your site or leverage a Web Application Firewall to filter good requests from exploit attempts.

WordPress PoC

Enter as a comment text:


<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

 

Hopefully the WordPress team will release a patch soon.

 

Source: Sucuri Blog and Klikki.fi Blog

WordPress, Vulnerabilidad XSS de Plugins

La Documentación Oficial de WordPress (Codex) para estas funciones no era muy claro y engañó a muchos desarrolladores de plugins para usarlos de una manera insegura. Los desarrolladores asumieron que estas funciones podrían escapar la entrada del usuario para ellos, cuando no es así. Este simple detalle, hizo que muchos de los plugins más populares ser vulnerable a XSS.

Hasta la fecha, esta es la lista de plugins afectados:

Probablemente hay algunos más que no hemos enumerado. Si usas WordPress, es muy recomendable que usted vaya a su panel de control wp-admin y actualizar los plugins fuera de fecha ahora.

Este problema fue identificado por primera vez por Joost de Yoast en uno de sus plugins (el hizo una gran escritura en torno a ella también). Trabajamos juntos con él para investigar el tema y está probablemente afectó mucho más plugins que sólo ese.

Nuestro equipo de investigación, junto con algunos amigos (especialmente Joost de Yoast) han estado yendo a través del repositorio de WordPress los últimos días en un intento de encontrar y advertir muchos desarrolladores de plugins como sea posible – para advertir y ayudarles a parchear el problema.

Divulgación Coordinado

Esta vulnerabilidad fue descubierta inicialmente la semana pasada, debido a los diferentes grados de severidad y lo más importante, la gran cantidad de plugins afectada, coordinamos un comunicado conjunto de seguridad con todos los desarrolladores involucrados y el equipo de seguridad del núcleo de WordPress. Fue un gran trabajo de equipo, y una experiencia agradable ver a tantos desarrolladores unidos y trabajar juntos por el bien común. Felizmente podemos decir que todos los complementos se han parcheado, y ha partir de esta mañana actualizaciones deben estar disponibles para todos los usuarios. (Sí, todo el mundo empujó sus actualizaciones al unísono hace 2 horas).

Si usas WordPress, ahora es su turno para actualizar sus plugins!

Si usted tiene las actualizaciones automáticas activadas, su sitio debería estar ya parcheado, especialmente en los casos más graves.

Hay más plugins vulnerables de WordPress

Nuestro equipo sólo analizó los 300-400 enchufes de unión superiores, lejanos de todos ellos como podría suponer. Así que hay probablemente un número de plugins siendo vulnerable. Si eres un desarrollador, compruebe el código para ver cómo usted utiliza estas dos funciones:

add_query_arg
remove_query_arg

Asegúrese de que usted se está escapando de ellos antes de su uso. Se recomienda utilizar la funciónesc_url () (o esc_url_raw()) con ellos. Usted no debe asumir que add_query_arg y remove_query_argescaparás entrada del usuario. El equipo de WordPress está proporcionando más directrices sobre cómo usarlos aquí.

Tiempo de actualización!

Si utiliza cualquiera de estos plugins, asegúrese de actualizarlos ahora! Vamos a seguir para investigar y buscar más plugins vulnerables y mantener nuestra lista aquí actual.

Este es también un buen momento para recordar a todos que todo software tendrá errores y algunos de esos errores conducirá inevitablemente a las vulnerabilidades de seguridad, tal es la vida que vivimos. Esto se aplica a los plugins, temas, servidores web, CMS de y básicamente cualquier cosa que es escrito por personas y basado en el código. Por mucho que los desarrolladores tratan de minimizarlos e implementar los principios de codificación segura, errores inevitablemente siguen sucediendo. Sólo tenemos que estar preparados y encontrar formas de minimizar el efecto de cualquier vulnerabilidad en su entorno; un ejemplo perfecto de este enfoque es lo que estamos viendo hoy con este comunicado de coordenadas.

Estos son algunos consejos y trucos para recordar para ayudar a reducir su riesgo global amenaza, ayudando a mejorar su postura de seguridad individual:

  1. Patch. Mantenga sus sitios actualizado,
  2. Restringir. Control de acceso restrictivo. Restrinja su directorio wp-admin a Direcciones IP puestas en una lista sólo blancas. Sólo dé el acceso admin a usuarios que realmente lo necesitan. No entre al sistema como admin a menos que realmente haga el trabajo de admin. Éstos son algunos ejemplos de políticas de control de acceso restrictivas que pueden minimizar el impacto de vulnerabilidades con su sitio web.
  3. Monitorear. Controle sus registros. Se le puede dar pistas sobre lo que está sucediendo en su sitio.
  4. Reducir su alcance. Utilice sólo los plugins (o temas) que su sitio realmente necesita para funcionar.
  5. Detectar. La prevención puede fallar, por lo que recomendamos analizar su sitio para los indicadores de compromiso o software obsoleto. Nuestro plugin y Sitecheck pueden hacerlo de forma gratuita para usted.
  6. Defensa en profundidad. Si usted tiene un sistema de prevención de instrucciones (IPS) o Web Application Firewall (WAF), pueden ayuda a bloquear los tipos más comunes de hazañas XSS. Usted puede incluso intentar nuestro propio CloudProxy para ayudarle con eso. Si te gusta la ruta de código abierto, puede intentar OSSEC, Snort y ModSecurity para ayudarle a lograr eso.

Estos principios se aplican normalmente a la mayoría de las redes seguras (o en cualquier negocio que tiene que ser compatible con PCI), pero no muchos propietarios de sitios web piensan de ellos para su propio sitio / medio ambiente.

Estos son sólo unos pocos recomendaciones de alto nivel; recomendamos ir a través de nuestro blog para obtener más ideas sobre cómo mantener sus sitios seguros y por delante de las amenazas.

Fuente: Sucuri Blog

Instalando aws-cli, la nueva herramienta en línea de comandos AWS

Recomiento leer la documentación de aws-cli, como complemento a las instrucciones, ya que nos dará varias opciones de instalación y configuración de la herramienta.

aws-cli
AWS CLI

 

En esta ocasión vamos a instalar la herramienta en Ubuntu:


sudo apt-get install -y python-pip
sudo pip install awscli

Agregar al archivo siguiente, muchos sabrán a que me refiero con este regex $HOME/.(profile|bash_profile|profile)


complete -C aws_completer aws

Esto nos ayudará con el autocomplete de Bash

Agrega tu KeyID y tu SecretKey al archivo $HOME/.aws/config, usando el siguiente formato:


[default]
aws_access_key_id = 
aws_secret_access_key = 
region = us-east-1

No olvides proteger tu documento a solo lectura, escritura para el dueño del archivo:


chmod 600 $HOME/.aws/config

Opcionalmente establecer una variable de ambiente que apunte al archivo modificado previamente, especialmente si ese archivo no está en el directorio estandar.


export AWS_CONFIG_FILE=$HOME/.aws/config

Probando la instalacion de nuestro aws-cli

Una vez que hayamos finalizado nuestra instalación y configuración, procedemos a realizar nuestra primera consulta al API de AWS, usando la herramienta de consola:


aws ec2 describe-regions

La salida predefinida es en formato JSON, pero podemos intentar con diferentes formatos, como son table o text


aws ec2 describe-regions --output text
aws ec2 describe-regions --output table