Esta semana en seguridad: Edición para el hogar

Mientras el mundo se sienta y espera la desaparición del Coronavirus, el ritmo generalmente furioso de las noticias de seguridad se ha desacelerado ligeramente. Google no es una excepción, y Chrome 81 se ha retrasado debido a ello. Las actualizaciones importantes de Chrome y Chrome OS están pausadas indefinidamente, pero las actualizaciones de seguridad continuarán normalmente. De hecho, Google ha verificado que las actualizaciones relacionadas con la seguridad se empaquetarán como actualizaciones menores para Chrome 80.

Virus chinos disfrazados de virus chinos

Hablando de COVID-19, los investigadores de Check Point Research encontraron una campaña de malware que se aprovecha del actual problema de salud. Se enviaron un par de documentos RTF maliciosos a varios objetivos de Mongolia. Estos archivos, creados con una herramienta llamada "Royal Way", están destinados a un conjunto de vulnerabilidades más antiguas de Microsoft Word.

Este ataque en particular deja caer su carga útil en la carpeta de inicio de Microsoft Word, esperando la próxima vez que se inicie Word para la siguiente etapa. Esta es una estrategia inteligente, ya que desviaría temporalmente la atención de los archivos maliciosos. La carga útil final es un RAT (troyano de acceso remoto) personalizado, que puede realizar capturas de pantalla, cargar y descargar archivos, etc.

Aunque se aplica el descargo de responsabilidad estándar sobre la dificultad de la asignación, este ataque en particular parece haberse originado en agencias secretas chinas. Si bien el ángulo del coronavirus es nuevo, esta campaña parece extenderse hasta 2017.

Desincronización HTTP

Es una práctica bastante común crear servicios web con un servidor frontal dedicado y luego un servidor posterior o un grupo de servidores. Recientemente, migré un puñado de sitios web que tengo alojado en este paradigma, utilizando el servidor Nginx como un front-end compartido que dirige el tráfico al servidor back-end de Apache apropiado. Nginx es mejor que Apache y ayuda a proporcionar direcciones IPv4 públicas. Hay un ataque que se aprovecha de este arreglo: el contrabando HTTP.

Cuando se utiliza un front-end dedicado, una práctica común es compartir una conexión TCP, y posiblemente una conexión SSL, y enviar todo el tráfico al back-end en un solo flujo compartido. Especialmente con SSL, la ganancia de rendimiento es excelente. El uso de una secuencia común introduce una dosis de complejidad adicional. ¿Qué sucede cuando el front-end interpreta una solicitud de manera diferente que el back-end, y cómo se asegura el back-end de mantener las solicitudes separadas?

Ya en 2005 se inventó un ataque que aprovechó los problemas inherentes a estos dos temas. El ataque de contrabando de solicitudes HTTP original (documento técnico) fue tan simple como incluir dos títulos de "contenido largo" en una solicitud. Se encontró que en algunas combinaciones de software de front-end y back-end, el front-end usaría el último encabezado "Longitud del contenido" para interpretar la solicitud, mientras que el servidor web usaría el primer encabezado. Con una creación de solicitud cuidadosa, un atacante podría enviar una sola solicitud HTTP al front-end y hacer que esa solicitud única se interprete como dos solicitudes separadas del back-end. Esto parece un ataque bastante poco impresionante, hasta que considera que muchas implementaciones dependen del servidor anterior para solicitar verificación y controles de seguridad. Si puede ocultar una solicitud maliciosa más allá del front-end insertándola en una caja fuerte, es posible que tenga una forma de atacar directamente el servidor trasero.

El contrabando de demanda no tuvo éxito como ataque viable y pasó tanto tiempo que todos los productos principales capturan y mitigan automáticamente este ataque en particular. Revelado en DEF CON 27, HTTP Desync es una nueva versión de este antiguo ataque. En lugar de especificar la longitud del contenido dos veces, este ataque utiliza tanto la longitud del contenido como la codificación bloqueada. Es otro enfoque para el mismo objetivo final, dar dos longitudes diferentes que se entienden de manera diferente. Hay un puñado de técnicas inteligentes que [James Kettle] abordó en su chat DEF CON, cómo agregar espacios en blanco no estándar en el encabezado "Transferir-Codificación: fragmentado". Un extremo ve el encabezado como no estándar y lo ignora, y el otro podría limpiar el espacio en blanco antes de procesar los encabezados, lo que lleva a la desincronización.

Puede pensar que SSL protege contra esta técnica, pero describimos un escenario en el que el certificado SSL está instalado en el servidor anterior. Todas las solicitudes entrantes se descifran y entrelazan juntas, y luego pueden o no volverse a cifrar en ruta al back-end. Debido a que es este entrelazado el que causa esta clase de vulnerabilidad, la conexión SSL no funciona.

¿Qué puedes hacer realmente con este ataque? Anule las restricciones de IP de origen a un determinado punto final, por nombrar el más simple. ¿La página / wp-admin de su sitio de WordPress está limitada a una sola dirección IP? HTTP Desync puede eludir esta restricción. En otro ejemplo, [James] pudo descartar todos los títulos HTTP personalizados que utilizó la terminación anterior y luego parodiar algunos de esos encabezados para obtener acceso administrativo a todo un servicio web. Toda la charla es genial, compruébalo a continuación:

Noticias relacionadas de esta semana, [Emile Fugulin] analizó HTTP Desyncs y descubrió que Amazon Load Application Balancer puede ser vulnerable en su configuración predeterminada cuando se combina con un backend Gunicorn. Si está utilizando ALB, sugiere mirar la opción "routing.http.drop_invalid_header_fields.enabled" y activarla si puede. Gunicorn ha sido parcheado, así que asegúrese de lanzar la última versión allí también.

Ejecución remota de código en un producto de seguridad

Bueno, esto es incomodo. Trend Micro reveló un conjunto de cinco errores de seguridad en sus productos y reveló que dos de ellos estaban siendo explotados activamente por los atacantes. Los detalles son un poco escasos, pero parece que los dos ataques que se encuentran salvajes requieren cierta autenticación antes de que puedan ser explotados. Las dos vulnerabilidades que parecen más alarmantes son CVE-2020-8598 y CVE-2020-8599, las cuales permiten el compromiso remoto antes de cualquier autenticación. Es gracioso ver que el boletín vulnerable enumera un factor atenuante, parafraseado: tienes un firewall y NAT, ¿verdad? Si está utilizando Trend Micro, asegúrese de que esté actualizado y tal vez haga una comprobación rápida de los puertos abiertos en sus estaciones de trabajo.

Bugcrowd, Netflix y la ética

Esta historia llegó a tiempo. Un investigador de seguridad no identificado descubrió una falla en el uso de cookies de sesión de Netflix, combinado con el uso de conexiones HTTP inseguras para varios puntos finales. Sí, Netflix sigue siendo vulnerable a Firesheep.

Ese podría ser el final de la historia: Netflix habría tenido que pagar su tarifa de pago de errores, arreglar su subdominio inseguro y todo estaría bien. En cambio, cuando nuestro investigador anónimo presentó su hallazgo a través de Bugcrowd, la compañía que administra el programa de errores de Netflix, la respuesta oficial fue que este hallazgo no tiene recompensa. No es sorprendente que sea normal que un investigador no esté de acuerdo con la empresa objetivo sobre la importancia de la vulnerabilidad. Como era de esperar, después de que le dijeron al investigador que sus hallazgos estaban fuera de alcance, los publicó y pronto recibió una reprimenda oficial de Bugcrowd. Aparentemente, el envío de errores a distancia sigue siendo lo suficientemente extenso como para mantenerse en secreto. Aún más crítico, la documentación de Bugcrowd no parece incluir un cronograma definido, pero implica que cada divulgación primero debe recibir permiso de la empresa objetivo.

Los insectos abundantes son geniales, pero Bugcrowd pone a los exploradores en un desagradable problema. Creo que es éticamente corrupto rechazar una recompensa y luego seguir manteniendo a un investigador por encima del barril sobre un tema.

Eso es todo por esta semana, mantente a salvo y explora la seguridad.

  • tomás zerolo dice:

    [On viruses masquerading as… viruses]

    Cite la propaganda: "Estos archivos están destinados a un conjunto de vulnerabilidades más antiguas en Microsoft Word […]

    Si bien se aplica el descargo de responsabilidad estándar sobre la dificultad de la asignación […]"

    Yo diría que este está claramente en Microsoft.

    • TorbsWestin dice:

      Sin embargo, ¿no es habitual?

  • Dave dice:

    > Virus chinos disfrazados de virus chinos

    No es genial, inteligente o divertido. Esta línea de Trump de "virus chino" como etiqueta para el SARS-CoV-2 está provocando una "pandemia" de racismo en los países occidentales. La gente exigió que los niños asiáticos sean excluidos de las escuelas mientras aún estén abiertas; y los adultos informaron de un fuerte aumento en los delitos de odio.

    No vuelvas a hacer esto.

    • Jonathan Bennett dice:

      La gripe española, el MERS (síndrome respiratorio de Oriente Medio), el ébola (llamado ébola) y el sarampión alemán quieren una palabra.

      Mira algo. Una búsqueda trivial en Google que utilizó el término "virus chino" hace unas semanas: https://www.google.com/search?q=%22chinese+virus%22&safe=active&sxsrf=ALeKk02dSZGanvYIYS34D535FDVFSa5vSQ%3AC% 3A 2F1% 2F2020% 2Ccd_max % 3A3% 2F4% 2F2020 & tbm =

      Es fascinante para mí cómo ese término se volvió racista solo después de que alguien descubrió que puede usarlo como una herramienta política.

      • Elliot Williams dice:

        Al analizar los éxitos de esa búsqueda, la mayoría afirma que el uso del término "virus chino" es racista. Algunos de ellos muestran violencia y exclusión de los asiáticos de manera más general basada en el hecho de que este virus se originó en China, a pesar de que las personas involucradas son estadounidenses.

        Jonathan, los términos racistas no comienzan como racistas. Las palabras son solo sonidos, después de todo. Su uso en contexto define el significado. Y esta oración en particular, de sus fuentes citadas, se ve bastante mal.

        • Jonathan Bennett dice:

          Volví y eché un vistazo a esto ... Internet necesita una herramienta para visualizar con precisión las búsquedas de Google. No solo obtuviste un resultado diferente al mío, sino que vi que mis resultados de búsqueda cambiaron en los pocos minutos que pasé viendo esto. Misma búsqueda antes y después de la actualización:
          https://imgur.com/ztEJmOD

          Cuando realicé la búsqueda vinculada por primera vez, cada visita en la primera página usaba el término "virus chino" o "coronavirus chino", tal como usaríamos "Ébola" para aludir a ese brote.

    • Un hombre viejo dice:

      Veré tu virus chino y te provocaré una peste negra. Y le pediré a mi tío holandés que le envíe una carta en francés y le ponga mosca española. Por supuesto que no llegará hasta el verano indio.

  • Fred dice:

    Estoy de acuerdo con el autor en que hay bastante Bugcrowd que se niega a pagar por un informe de error, pero luego acosa fuertemente a la persona que hace ese informe para publicar los detalles públicamente.

    O es una corrección de errores y, por lo tanto, es gratificante, o no, y por definición, es por eso que no causará daño, por lo que publicar los detalles no debería ser un problema.

    O paga, o los "buscadores de errores" no se molestarán en acudir a usted y vender sus hallazgos en la red oscura.

Gloria Vega
Gloria Vega

Deja una respuesta

Tu dirección de correo electrónico no será publicada.