Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
junio
(Total:
73
)
- ¿Java dejará de funcionar en Google Chrome?
- La IEEE y la IET realizan con éxito Tests de Priva...
- El ministro de justicia japonés apaga su ordenador...
- Apple bloquea las versiones de Adobe Flash antigua...
- Microsoft añade silenciosamente 17 nuevos certific...
- El FBI advirtió a las compañías de USA para evitar...
- Secure Sockets Layer versión 3.0 (SSLv3) no es lo ...
- El proyecto de cifrado gratuito Let's Encrypt entr...
- Gmail ya permite deshacer el envío de un e-mail
- Java deja atrás la barra de Ask al ser considerada...
- Experimento Robin: Envía a 97.931 personas sus con...
- TrendMicro: un simple keylogger puede costar millo...
- La Europol detiene a una banda acusada de propagar...
- Disponible distribución PFSense 2.2.3 especializad...
- La NSA establece su presencia en GitHub para compa...
- La botnet Andromeda infecta con malware financiero...
- Msfvenom Payload Creator (MPC) para Metasploit
- HackerOne recibe una inversión de 25 millones de d...
- Facebook elimina el malware de 2 millones de orden...
- Investigador de Google encuentra una vulnerabilida...
- HardenFlash, Adobe Flash Player a prueba de exploi...
- Segunda actualización de seguridad en un mes para ...
- Las compañias de Antivirus también son objetivo de...
- Tutorial de CMake
- España, el segundo país Europeo con más infectados...
- DD4BC extorsiona pidiendo dinero en Bitcoins a cam...
- La Casa Blanca quiere que todos los organismos ofi...
- Bug en favicon.ico permite colgar Firefox, Chrome ...
- Múltiples vulnerabilidades incluyendo una crítica ...
- Tipos de Ataques DDoS con la botnet AthenaHTTP
- El buscador Shodan también disponible para Android
- Skype basado en Web (Beta) disponible en todo el m...
- Los creadores del malware Duqu 2.0 usaron certific...
- Lanzar un ataque DDoS sale barato: sólo 38 dólares...
- Google anuncia su programa de recompensas por enco...
- El ordenador de Angela Merkel infectado con un tro...
- La página web de peticiones de Uber atacada
- La noche temática de La 2 - Términos y condiciones...
- Canal + ha sido hackeado, y los datos comprometido...
- El ransomware Tox estaba dirigido a los pedófilos
- La Wikipedia usará HTTPS por defecto
- Un año de prisión por realizar ataques DDoS con la...
- Facebook Infer, herramienta de código libre para d...
- Un joven americano de 17 años se declara culpable ...
- Malware Poweliks se esconde en el registro de Wind...
- Detenidas 10 personas en España por fraude cibérne...
- Mozilla Firefox incrementa las recompensas por rep...
- Bélgica detiene a terroristas espiando sus mensaje...
- Duqu 2.0: la herramienta más sofisticada del ciber...
- Adobe Flash Player 18.x soluciona 13 vulnerabilida...
- Tesla Motors ofrece 1.000$ a quién sea capaz de ha...
- Medusa: herramienta para realizar ataques por fuer...
- microSD de 512GB presentado en el Computex 2015
- Página web del Ejército de EE.UU. hackeada por el ...
- REMnux: Distribución de Linux especializada en en ...
- IX Congreso OWASP sobre ciberseguridad en Barcelona
- La Policía detiene a uno de los uploaders más acti...
- Drupal también pagará recompensas a los que encuen...
- Dropbox prohibe usar 85.000 palabras como contrase...
- El creador del ransmoware Tox decide vender su neg...
- Hector Xavier Monsegur aka Sabu vuelve a Twitter t...
- Open Sesame, un nuevo gadget para abrir puertas de...
- El creador del malware RomberTik es un nigeriano d...
- Pentest Box: pentesting en línea de comandos para ...
- Intel presenta en Computex el Thunderbolt 3 con co...
- Servicios automatizados de análisis de Malware online
- El servicio de Pensiones de Japón ha sido hackeado
- Un simple mensaje de texto puede colgar Skype
- Sourceforge secuestra la cuenta de Nmap
- ASUS resucita los netbooks con un nuevo modelo
- El fundador de Silk Road sentenciado a cadena perp...
- Vuelve el Virus de la Polícia para Android
- El creador del ransomware Locker publica las llave...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
HardenFlash, Adobe Flash Player a prueba de exploits y 0-days
martes, 23 de junio de 2015
|
Publicado por
el-brujo
|
Editar entrada
Probablemente ya sepas lo malo que es para la seguridad Adobe Flash.
Hace casi cinco años que a menudo escuchamos de los ataques de día cero
basado en Flash, y todavía 5 años más tarde estamos enfrentando la misma
situación (o aún peor, ya que estamos en la era "APT").
En febrero 2013, un autor revela la técnica de explotación también conocido como "Vector Spray", que más tarde fue utilizada una y otra vez en casi todos los bugs de flash o de Internet Explorer ataque de día cero. Lamentablemente, Adobe - como vendedor - no ha tomado todavía ninguna acción para endurecer la debilidad en su gestión montón de encargo, la debilidad es tan evidente y ha sido abusado por más de 2 años.
El HardenFlash fue desarrollado de la idea de que debemos hacer algo para proteger a los usuarios de Flash en todo el mundo, especialmente para los usuarios de Internet Explorer. Porque IE no tiene una fuerte Sandbox. Nos enganchamos (a través de parches PE) el binario de Flash en ciertas funciones / direcciones por lo que sabemos cuando el SWF está haciendo algo malicioso.
Actualmente, se centra sólo en la detección del Vector Srpay anteriormente mencionado, ya que es "imprescindible" para todos los exploits de Flash que más hemos visto.
Algunos lectores pueden argumentar que ya hay algunas herramientas de protección de la explotación de punto final / productos por ahí, independientemente de que estén libres o comercial. Ejemplo típico es EMET de Microsoft. Sin embargo, una herramienta tan-EMET como generalmente se protege a nivel de la explotación o shellcode genérico. La técnica del Vector Spray permite al atacante a leer y escribir en cualquier bytes en el espacio de memoria del proceso, con tal capacidad "máxima", el atacante es capaz de derrotar a cualquier protección EMET fácilmente. De hecho, en la competencia PWN2OWN de este año, los investigadores ya han demostrado esto - con éxito sin pasar por tiempos par EMET. Todos éstos sugieren que un endurecimiento o la detección de aproximación desde el "nivel de Flash" es fundamental para proteger a los usuarios contra ataques basados en Flash.
Actualmente, sólo se ha liberado el binario parcheado para el siguiente ejecutable de Flash.
Flash 17.0.0.169 para Internet Explorer se ejecuta en Windows 7 (32 bits)
Funciona tanto en la de 32 bits y 64 bits versión de Windows 7, ya que la configuración predeterminada de Windows 7 de 64 bits del IE sólo utiliza el 32 bits de Flash Player para representar el contenido en Flash. Para Windows 8 +, ya que Flash es parte del sistema operativo, no he descubierto la manera de bloquear la actualización automática de Flash desde Windows Update, pero no bloquea ninguna otra actualización de seguridad. Para OS más viejos como Windows XP, el binario parcheado puede funcionar también, pero yo no hice ninguna prueba - una de las razones es que hay muchas otras maneras de comprometer su sistema si usted todavía está utilizando XP, que hacen que el HardenFlash no absolutamente necesario.
El binario parcheado se encuentra en el directorio "patched_binary", el hash SHA256 es el siguiente, lo utilizan para identificar que es una buena (no malicioso!) Versión:
158D5AE45A0A2FC8FF49713645B910192440244DDE7ADBBA905AD6F9D2EACCC0
Así pues, si usted es un profesional, es posible que sólo descargar el binario y lo utilizan para reemplazar la oficial de Adobe. Si usted no es un profesional, he escrito un script de Python (HardenFlash-deploy.py) para hacerlo automáticamente.
Tenga en cuenta que usted necesita para ejecutar esta secuencia de comandos con privilegios de "administrador" en Windows. Y, usted necesita tener el Flash Player para Internet Explorer instalado en el sistema por primera vez.
1. A usted siempre se le pedirá que puede optar por desactivar función de actualización automática del Flash Player o no, esto se debe a que el binario parcheado será reemplazado si instala cualquier versió futura Flash. Si decide no para desactivar la función de actualización automática, en un momento futuro, es posible que en realidad no está ejecutando el HardenFlash porque ha sustituido por un nuevo binario de Flash de Adobe.
Por supuesto, la desactivación de la actualización automática le bloquear aceptar cualquier actualización de Adobe, que puede corregir las vulnerabilidades de seguridad. No hay forma de que el autor de mantener la actualización del binario parcheado ya que esto sólo es un proyecto de "tiempo libre" y Adobe menudo actualiza Flash Player. Así, hablando de la balanza, en opinión del autor, ya que los bloques HardenFlash a nivel de la explotación, es "bien" para seguir utilizando el "anticuado" HardenFlash si no es "tan anticuada", porque incluso si el atacante utiliza una conocida la vulnerabilidad que él / ella va a fallar en la etapa de explotación, siempre y cuando no hay un desvío significativo revelada para HardenFlash. Por otra parte, la protección contra las amenazas a través de Flash vulnerabilidades de fijación se ha demostrado ser una estrategia fallida como hemos visto tantas flash cero días en estos años. Después de todo, esto es sólo la opinión personal del autor, la decisión final quedará en manos del usuario.
2. Si el script comprueba que la versión HardenFlash no es exactamente el mismo que en el funcionario de Flash que ha instalado desde Adobe, se le dio la oportunidad de decidir. La sugerencia del autor es que si la versión de Adobe es más antiguo que el HardenFlash, debe instalar el HardenFlash. De lo contrario, es la misma situación que hemos discutido en el anterior, si continúa, se le instaló un "anticuado", pero "endureció" Flash, tienes que decidir por su mejor interés.
Aquí hay un ejemplo de uso del "HardenFlash-deploy.py"
Después de la instalación, usted es libre de utilizar IE como de cosutmbre y se espera que no trae ningún impacto para usos normales. Sin embargo, cuando el binario flash parcheado detecta un riesgo potencial de Flash intenta explotar o ataque de día cero, que será darle un diálogo de advertencia como el siguiente:
Si el número total es mayor que el valor umbral nos propusimos, decimos que este es un spray vector, ya que por lo general un SWF normal, no necesita crear una instancia de una gran cantidad de objetos vectoriales en poco tiempo.
Esta es la función que crea una instancia de un objeto vectorial, en la L64 de https://github.com/adobe-flash/avmplus/blob/master/core/VectorClass-impl.h.
El punto de entrada del binario Flash está enganchado, y salta a nuestro código adicional en la sección ".hard" para preparar las direcciones de algunas APIs para su uso posterior.
Como se discutió en la sección anterior, 4 funciones son enganchadas, y serán todos llevaron al siguiente código en nuestra sección PE añadido.
Fuente:
https://github.com/HaifeiLi/HardenFlash
Visto también en;
http://www.securitybydefault.com/2015/05/flash-securizado-hardenflash.html
HardenFlash - Parche para el binario de Flash para detener exploits y 0days
En febrero 2013, un autor revela la técnica de explotación también conocido como "Vector Spray", que más tarde fue utilizada una y otra vez en casi todos los bugs de flash o de Internet Explorer ataque de día cero. Lamentablemente, Adobe - como vendedor - no ha tomado todavía ninguna acción para endurecer la debilidad en su gestión montón de encargo, la debilidad es tan evidente y ha sido abusado por más de 2 años.
El HardenFlash fue desarrollado de la idea de que debemos hacer algo para proteger a los usuarios de Flash en todo el mundo, especialmente para los usuarios de Internet Explorer. Porque IE no tiene una fuerte Sandbox. Nos enganchamos (a través de parches PE) el binario de Flash en ciertas funciones / direcciones por lo que sabemos cuando el SWF está haciendo algo malicioso.
Actualmente, se centra sólo en la detección del Vector Srpay anteriormente mencionado, ya que es "imprescindible" para todos los exploits de Flash que más hemos visto.
¿Por qué necesitamos herramientas como HardenFlash?
Algunos lectores pueden argumentar que ya hay algunas herramientas de protección de la explotación de punto final / productos por ahí, independientemente de que estén libres o comercial. Ejemplo típico es EMET de Microsoft. Sin embargo, una herramienta tan-EMET como generalmente se protege a nivel de la explotación o shellcode genérico. La técnica del Vector Spray permite al atacante a leer y escribir en cualquier bytes en el espacio de memoria del proceso, con tal capacidad "máxima", el atacante es capaz de derrotar a cualquier protección EMET fácilmente. De hecho, en la competencia PWN2OWN de este año, los investigadores ya han demostrado esto - con éxito sin pasar por tiempos par EMET. Todos éstos sugieren que un endurecimiento o la detección de aproximación desde el "nivel de Flash" es fundamental para proteger a los usuarios contra ataques basados en Flash.
Cómo instalar HardenFlash
Actualmente, sólo se ha liberado el binario parcheado para el siguiente ejecutable de Flash.
Flash 17.0.0.169 para Internet Explorer se ejecuta en Windows 7 (32 bits)
Funciona tanto en la de 32 bits y 64 bits versión de Windows 7, ya que la configuración predeterminada de Windows 7 de 64 bits del IE sólo utiliza el 32 bits de Flash Player para representar el contenido en Flash. Para Windows 8 +, ya que Flash es parte del sistema operativo, no he descubierto la manera de bloquear la actualización automática de Flash desde Windows Update, pero no bloquea ninguna otra actualización de seguridad. Para OS más viejos como Windows XP, el binario parcheado puede funcionar también, pero yo no hice ninguna prueba - una de las razones es que hay muchas otras maneras de comprometer su sistema si usted todavía está utilizando XP, que hacen que el HardenFlash no absolutamente necesario.
El binario parcheado se encuentra en el directorio "patched_binary", el hash SHA256 es el siguiente, lo utilizan para identificar que es una buena (no malicioso!) Versión:
158D5AE45A0A2FC8FF49713645B910192440244DDE7ADBBA905AD6F9D2EACCC0
Así pues, si usted es un profesional, es posible que sólo descargar el binario y lo utilizan para reemplazar la oficial de Adobe. Si usted no es un profesional, he escrito un script de Python (HardenFlash-deploy.py) para hacerlo automáticamente.
Tenga en cuenta que usted necesita para ejecutar esta secuencia de comandos con privilegios de "administrador" en Windows. Y, usted necesita tener el Flash Player para Internet Explorer instalado en el sistema por primera vez.
1. A usted siempre se le pedirá que puede optar por desactivar función de actualización automática del Flash Player o no, esto se debe a que el binario parcheado será reemplazado si instala cualquier versió futura Flash. Si decide no para desactivar la función de actualización automática, en un momento futuro, es posible que en realidad no está ejecutando el HardenFlash porque ha sustituido por un nuevo binario de Flash de Adobe.
Por supuesto, la desactivación de la actualización automática le bloquear aceptar cualquier actualización de Adobe, que puede corregir las vulnerabilidades de seguridad. No hay forma de que el autor de mantener la actualización del binario parcheado ya que esto sólo es un proyecto de "tiempo libre" y Adobe menudo actualiza Flash Player. Así, hablando de la balanza, en opinión del autor, ya que los bloques HardenFlash a nivel de la explotación, es "bien" para seguir utilizando el "anticuado" HardenFlash si no es "tan anticuada", porque incluso si el atacante utiliza una conocida la vulnerabilidad que él / ella va a fallar en la etapa de explotación, siempre y cuando no hay un desvío significativo revelada para HardenFlash. Por otra parte, la protección contra las amenazas a través de Flash vulnerabilidades de fijación se ha demostrado ser una estrategia fallida como hemos visto tantas flash cero días en estos años. Después de todo, esto es sólo la opinión personal del autor, la decisión final quedará en manos del usuario.
2. Si el script comprueba que la versión HardenFlash no es exactamente el mismo que en el funcionario de Flash que ha instalado desde Adobe, se le dio la oportunidad de decidir. La sugerencia del autor es que si la versión de Adobe es más antiguo que el HardenFlash, debe instalar el HardenFlash. De lo contrario, es la misma situación que hemos discutido en el anterior, si continúa, se le instaló un "anticuado", pero "endureció" Flash, tienes que decidir por su mejor interés.
Aquí hay un ejemplo de uso del "HardenFlash-deploy.py"
[*] This Flash Player binary on your OS will be replaced: C:\Windows\system32\Macromed\Flash\Flash32_17_0_0_169.ocx [*] HardenFlash binary (158D5AE45A0A2FC8FF49713645B910192440244DDE7ADBBA905AD6F9D2EACCC0) will be downloaded from: https://g ithub.com/HaifeiLi/HardenFlash/raw/master/patched_binary/Flash32_17_0_0_169.ocx [*] We suggest to disable Flash Player's auto-update feature since in future installing a new Flash Player will uninstall Ha rdenFlash. [*] However, we'd like to ask you to decide: 'y' to disable Flash auto-update, 'n' to keep [y/n] y [*] Downloading patched binary from https://github.com/HaifeiLi/HardenFlash/raw/master/patched_binary/Flash32_17_0_0_169.ocx 16955056 [100.00%] [*] Checking the downloaded binary is legal [*] The binary is ready to deploy [*] Removing deny-write security permission processed file: C:\Windows\system32\Macromed\Flash\Flash32_17_0_0_169.ocx Successfully processed 1 files; Failed processing 0 files [*] Replacing C:\Windows\system32\Macromed\Flash\Flash32_17_0_0_169.ocx with C:\HardenFlash\Flash32_17_0_0_169. ocx [*] All done! [*] In future, installing the official Flash Player from Adobe (https://get.adobe.com/flashplayer) will uninstall the Harden Flash automatically
Después de la instalación, usted es libre de utilizar IE como de cosutmbre y se espera que no trae ningún impacto para usos normales. Sin embargo, cuando el binario flash parcheado detecta un riesgo potencial de Flash intenta explotar o ataque de día cero, que será darle un diálogo de advertencia como el siguiente:
¿Cómo funciona HardenFlash?
La idea es simple, de hecho. En definitiva, se trata de hookear la función que crea una instancia de un objeto vectorial (constructor), y luego nos cuenta cómo se han instanciado muchos objetos vectoriales en un corto período de tiempo.Si el número total es mayor que el valor umbral nos propusimos, decimos que este es un spray vector, ya que por lo general un SWF normal, no necesita crear una instancia de una gran cantidad de objetos vectoriales en poco tiempo.
Esta es la función que crea una instancia de un objeto vectorial, en la L64 de https://github.com/adobe-flash/avmplus/blob/master/core/VectorClass-impl.h.
En el binario liberado, la función anterior se compila en 4 direcciones diferentes, desde Flash implementa 4 tipos de objetos vectoriales, sontemplate
OBJ* TypedVectorClass ::newVector(uint32_t length, bool fixed) { OBJ* v = (OBJ*)OBJ::create(gc(), ivtable(), prototypePtr()); v->m_vecClass = this; if (length > 0) v->set_length(length); v->m_fixed = fixed; return v; }
- Vector. int
- Vector. uint/li>
- Vector. number
- Vector. object
¿Qué se ha modificado?
Se añade una nueva sección PE llamado ".hard".El punto de entrada del binario Flash está enganchado, y salta a nuestro código adicional en la sección ".hard" para preparar las direcciones de algunas APIs para su uso posterior.
Como se discutió en la sección anterior, 4 funciones son enganchadas, y serán todos llevaron al siguiente código en nuestra sección PE añadido.
Efectividad
Hasta el 22 de junio de 2015, HardenFlash recibe una tasa de detección del 100% de éxito desde su estreno el 30 de abril 2015 - una fuerte prueba de su eficacia. En concreto, se detiene los siguientes exploits de Flash como:- CVE-2015-0336
- CVE-2015-3090
- CVE-2015-3105
- CVE-2015-3104
- CVE-2015-3113
Fuente:
https://github.com/HaifeiLi/HardenFlash
Visto también en;
http://www.securitybydefault.com/2015/05/flash-securizado-hardenflash.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.