Esta semana en seguridad: Black Hat, DEF CON y Patch Tuesday

Isabella Ortiz
Isabella Ortiz

Blackhat y DEF CON acaban de terminar, y el martes de parches fue esta semana. Tenemos muchas historias que cubrir hoy.

Primero algunos engaños gay. Obviamente inspirado en Little Bobby Tables, Droogie pidió el plato de tocador “NULL”. Pasó un año sin contratiempos, pero pronto llegó el momento de renovar su grabación. El formulario de registro en línea se negó a reconocer “CERO” como una placa válida. La diversión no empezó realmente hasta que consiguió un boleto para el parque y recibió una factura por $ 12,000. Parece que el sistema para recolectar multas de estacionamiento de California no puede diferenciar con precisión entre “CERO” y valor cero, y por lo tanto, cada multa sin una placa de matrícula ahora está inadvertidamente atada a su placa.

En los comentarios sobre el artículo de Ars Technica, se sugirió que simplemente se agregara “NULL” a la lista de platos de tocador prohibidos. Un lector inteligente señaló que el sistema que rastrea las placas suspendidas probablemente sofocará de manera similar un valor “CERO”.

Hackeo de F-15

Por sorpresa, los oficiales de la Fuerza Aérea trajeron muestras de la Estación de Descarga de Información de Aeronaves Confiables F-15 (TADS) a DEF CON. Aparentemente, los investigadores han podido comprometer esos dispositivos de muchas formas. Esta es una desviación radical del enfoque de seguridad completamente oscuro que ha caracterizado al ejército de los EE. UU. Durante años.

La participación de DEF CON del próximo año promete ser aún mejor, ya que la Fuerza Aérea planea llevar a los investigadores a un avión real, invitándolos a comprometerlo de todas las formas imaginables.

Labor de retazos

La filtración mensual de Windows sobre la seguridad de Microsoft llegó esta semana y fue desagradable. En primer lugar, hay un par de vulnerabilidades de escritorio remoto remoto, CVE-2019-1222 y CVE-2019-1226. Se asumió que estos errores se encontraron como parte de una revisión del código RDP lanzada en respuesta a la vulnerabilidad de BlueKeep a principios de este año. La diferencia importante aquí es que estos errores afectan a varias versiones de Windows, hasta Windows 10 inclusive.

Lo que el CTF

¿Te acuerdas de Tavis Ormandy y su ataque del Bloc de notas? ¡Por fin tenemos el resto de la historia! Ve a leer todo, es una gran historia sobre cómo encontrar algo extraño y luego destrozarlo en busca de vulnerabilidades.

Windows tiene un módulo, MSCTF, que forma parte del marco de servicios de texto. ¿Qué significa el acrónimo CTF? Eso no está claro. Parece que CTF es responsable de manejar la distribución del teclado y traducir las pulsaciones de teclas en función del tipo de teclado seleccionado. Lo que también está claro es que cada vez que una aplicación crea una ventana, esa aplicación también se conecta a un proceso CTF. CTF ha sido parte del código base de Microsoft desde al menos 2001, con relativamente pocos cambios de código desde entonces.

CTF no realiza una validación, por lo que un atacante puede conectarse al servicio CTF y afirmar que es cualquier proceso. Tavis descubrió que podía efectivamente intentar llamar a punteros funcionales arbitrarios desde cualquier programa que hablara con el mismo servicio CTF. Debido a algunas medidas de seguridad adicionales introducidas en Windows moderno, el camino hacia un compromiso real es un poco complicado, pero al final del día, cualquier cliente CFT puede verse comprometido, incluido el bloc de notas.

El cliente CFT más interesante que encontró Tavis fue la pantalla de inicio de sesión. El exploit que muestra como parte de la entrada es bloquear la computadora y luego comprometer el inicio de sesión para crear un proceso con privilegios del sistema.

La presencia de este servicio desconocido que se ejecuta en todas las máquinas con Windows es solo otro recordatorio de que los sistemas operativos deben ser de código abierto.

Biostar 2

Biostar 2 es un sistema de control de acceso biométrico centralizado utilizado por miles de organizaciones y muchos países de todo el mundo. Un par de investigadores de seguridad israelíes han descubierto que la base de datos central que gobierna todo el sistema no está cifrada y es insegura. Se disponía de 23 gigabytes de datos de seguridad, incluidas más de un millón de huellas dactilares. Estos datos se mantuvieron en secreto, en lugar de piratearlos adecuadamente, por lo que las contraseñas y las huellas digitales se filtraron directamente como resultado. Estos datos parecen estar disponibles a través de un caso de Elasticsearch, que se expuso directamente a Internet y se encontró mediante el escaneo de puertos.

Si tiene exposición a los sistemas Biostar 2, debe asumir que sus datos se han visto comprometidos. Si bien las contraseñas se pueden cambiar, las huellas digitales son para siempre. A medida que la autenticación biométrica se generaliza, este es un efecto secundario inexplorado.

  • ALINOME el A dice:

    Felicitaciones para la Fuerza Aérea finalmente reconoce que la seguridad por oscuridad es una mentalidad defectuosa y en realidad permite que los piratas informáticos pierdan hardware real.

    sobre la placa del coche: esto ha existido durante bastante tiempo …
    http://ward.jp/wp-content/uploads/2015/10/SQL-injection-attackadjusted-600bridge250.jpg

  • Cbob dice:

    Entonces, parece que ?? años más tarde, el antiguo “teclado de reasignación” con secuencias ansi esc todavía está vivo con CTF?

  • Hombre sin marcar dice:

    “La presencia de este servicio desconocido que se ejecuta en todas las máquinas con Windows es solo otro recordatorio de que los sistemas operativos deben ser de código abierto”.

    Eso no detuvo a ShellShock. ¡Todos aquí parecen olvidar que incluso algunos de los programas de código abierto más utilizados (y supuestamente revisados) pueden tener enormes vulnerabilidades para DÉCADAS! Honestamente, no estoy convencido de que el código abierto aumente en gran medida la seguridad.

    • Ostraco dice:

      El único recordatorio es que los sistemas operativos modernos son complicados. Sobre seguridad el dicho realmente tiene que ser “con mil ojos capaces, todos los bichos y explosiones son superficiales”… esperamos.

      • Hombre general dice:

        Había muchos ojos en bash, mucho más que en cualquier código de Microsoft. Esto es lo mío que constantemente se encuentran serias vulnerabilidades en ambos. Creo que la fuerza de seguridad de Linux proviene (o al menos debe provenir) de sus diversos programas que componen las distribuciones, no porque sean de código abierto. Un solo error no debería afectar a toda la base de usuarios como en Windows. Desafortunadamente, bash era casi la norma.

    • Jonathan Bennett dice:

      El problema con un código cerrado no es que haya vulnerabilidad, sino que la vulnerabilidad está en algo tan opaco. ¿Qué hace este servicio? No muy seguro.

  • JRD dice:

    Hola, Jonathan, es posible que desee decirles a sus jefes de La-Tecnologia que este artículo está desapareciendo. ¿Error? Tirita? ¿O incluso censurado 🙂?

    Lo vi antes, pero no lo leí. Luego volví esta noche para leerlo, ¡pero no lo encontré! Volví página tras página hasta que conocí por ÚLTIMO semanal “Esta semana en seguridad”. Bien, fui a la etiqueta TWIS y encontré los últimos 4 artículos a partir de la semana pasada. Solo buscando artículos de “Jonathan Bennett” encontré esto nuevamente. Si va a la página de la-tecnologia / blog, simplemente se saltó. (Pero aparece para “la-tecnologia / 2019/08/16”)

    • JRD dice:

      Y ahora ha vuelto.

    • Jonathan Bennett dice:

      Oye, gracias por las cabezas. Al menos parte de eso es culpa mía porque hablé y le di a estos artículos dos etiquetas diferentes.

  • David dice:

    No.
    Inmediatamente volvimos a donde comencé, no trabajo para ti.

  • Nate B dice:

    El tipo NULL definitivamente no ha leído sobre las múltiples veces que esto ha sucedido antes, con NOPLATE, MISSING, NO TAG, XXXXXXX, y así sucesivamente:
    https://www.snopes.com/fact-check/auto-no-plate/

    Recuerdo haber escuchado algunas de esas historias cuando llegaron a las noticias de actualidad, y no me considero tan viejo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *