---

Exploiting Apache Tomcat server 5.5 on Metasploitable and gaining root access on Ubuntu by using the Debian OpenSSL Predictable PRNG SSH Keys privilege escalation

Autor: Nishant Das Patnaik.

Clickjacking + Facebook = Likejacking

En estos días tenía pensado escribir un poco sobre los peligros de las cookies que no expiran, así que para empezar el tema nada mejor que hacerlo con esta técnica bautizada como "Likejacking" (en referencia al botón "Like" de Facebook). El Likejacking ha sido carne de noticiario, saliendo en televisión y periódicos recientemente, por lo que me parece algo adecuado para entrar en materia.

El concepto es una combinación de un ataque de clickjacking (creo que ya publiqué algo por el blog en su momento) con los Social Plugins de FB. Se trata de que al clickar un video, o cualquier parte de una web, en realidad estemos clickando un botón de "Like" en forma de iframe invisible, por lo que aparecerá en nuestro muro como que "Nos gusta" esa web. Esto puede dar pie a que algún amigo nuestro también clicke sobre la web que supuestamente nos gusta, y también caiga en la trampa, extendiendose la plaga.

Normalmente se suelen identificar estos enlaces fraudulentos por que tienen nombres o descripciones bastante morbosos y que despiertan esa curiosidad innata en el hombre, de ahí el éxito de su extensión entre los amigos de una persona cuyo FB ha sido "infectado". En lo personal me recuerda a aquellos virus que se extendían vía MSN y que para clickar en el enlace ponían mensajes del tipo "Mira mis últimas fotos en la playa desnuda" y cosas al estilo.

Además del spam y la publicidad gratis que se puede conseguir con esta técnica, los creadores de malware lo están empleando para su distribución, con trucos tan viejos (y todavía efectivos) como hacer que el incauto visitante se descargue un plug-in (hete aquí el malware) para poder visualizar contenido.

El problema es tan generalizado debido a que un elevado número de usuarios de redes sociales por comodidad mantienen las sesiones abiertas a través de cookies que no expiran en vez de cerra sesión y loguearse otra vez cada vez que quieran hacer uso de FB. Amén de las personas que tienen el FB abierto durante todo el día.

El código para poner un "Like" en tu web es bastante simple, con un iframe similar a:

<iframe
src="http://www.facebook.com/plugins/like.php?href=Tu-sitio-web;layout=button_count&show_faces=true&width=100&action=like&font=arial&colorscheme=light"
scrolling="no" frameborder="0" allowTransparency="true" style="border:none; overflow:hidden; width:100px; height:px"></iframe>

Todos los parámetros se pueden modificar (en la propia web de Facebook explican cada uno en detalle). Con este iframe base se puede trabajar para dejarlo invisible (opacity: 0) y además colocarlo en algún punto clave donde el usuario vaya a clickar obligatoriamente. Por supuesto se puede ir más lejos, ofuscando el código por ejemplo.

Autor: The X-C3LL

[XSS] Bypassing de Magics Quotes y otros filtros

---

Introducción

Para comenzar, repasemos la definición de qué es un XSS...

"XSS es un ataque basado en explotar vulnerabilidades del sistema de validación de HTML incrustado. Su nombre original “Cross Site Scripting”, y renombrado XSS para que no sea confundido con las hojas de estilo en cascada (CSS), originalmente abarcaba cualquier ataque que permitiera ejecutar código de “scripting”, como VBScript o javascript, en el contexto de otro dominio."

Es decir, la vulnerabilidad del XSS consiste en poder poder inyectar código HTML o código de cualquier lenguaje scripting (javascript, VBscript, etc) que nuestro navegador interpretará, o en el caso de que sea XSS persistente (por ejemplo un XSS a nivel foro o a nivel de GuestBook, donde el código permanece) dentro del propio archivo vulnerable. La importancia de este ataque reside, en por ejemplo, el robo de cookies, u otras acciones...

Pero, los webmasters crean filtros para evitar que usuarios maliciosos puedan inyectar códigos que exploten esta vulnerabilidad. Llegamos así a las llamadas magic quotes, pequeños filtros que evitan el uso de las comillas y de /, transofrmándolas en \ o en \".

También existen otros filtros, los cuales imposibilitan el uso de caracteres no numéricos, etc, en este texto os vamos a dar algunas ideas de como soltear estos incovenientes.

---

Luchando contra las Magic Quotes

Para empezar, por simple lógica, si la web cuenta con magics quotes, los tags de HTML basados en elementos que necesiten de un cierre con </tag>, porque al sustituir nuestra /, el tag dejaría de funcionar.

Es por ello que debemos de acudir a aquellos elementos vacios tipo <img>. En el caso de usar <img> forzaremos la ejecución de código malicioso aprovechando el elemento onerror, que a parte de permitir ejecutar código maligno, no necesita ser cerrado. Para poder utilizarlo, necesitaremos forzar un error en el tag que lo englobe. En nuestro caso hemos dicho que ibamos a utilizar <img>.

El error que vamos a utilizar es la imposibilidad de cargar una imagen, porque la ruta no es válida. Podríamos hacerlo de esta forma:

<img src=. onerror=alert(69)>

Como la ruta "." no permitirá cargar una imagen, dará error y se ejecutará lo que pongamos en onerror (en este caso el típico alert). Como podemos ver ya hemos saltado esta magic quote y podemos ejecutar lo que queramos.

---

Bypasseando filtros de caracteres especiales y no numéricos

Existen otros filtros que sustituyen, o directamente no permiten, introducir caracteres especiales, como las comillas, o letras. Para poder ejecutar nuestros código maligno, tenemos un pequeño abanico de posibilidades, desde usar UNICODE (valor en Hexadecimal del carácter con un % delante de cada carácter), pasando por usar el valor ascii. Existe una función en javascript encargada de hacer esto a la inversa: pasar de ascii a caracter. Esta funcion es String.fromCharCode.

Su uso es muy sencillo, simplemente se colocan los caracteres en valor ascii separados por comas. Tal que así:

String.fromCharCode(X, Y, Z)

Siendo X, Y, Z, los valores. Veamos por ejemplo como sería el texto "XSS":

String.fromCharCode(88,83,83)

Para usarlo junto con nuestro alert, simplemente lo introducimos entre () del alert.

---

Conclusión

Como hemos podido ver, el bypassing de filtros no es algo fijo, sino que se necesita de una cierta imaginación para poder manejarnos dentro del pequeño espacio que nos deja nuestro filtro. En mi opinión lo mejor es usar HTMLENTITIES para evitar ejecutar código html.

Por último decir que esta obra está bajo licencia de Creative Commons, lo que quiere decir que está permitida su distribución, pero manteniendo su autor original, y esas cosas.

---

Bibliografía

• Los poderes Secretos del XSS
• Rompiendo barreras: Analizando la fuente y encontrando XSS’s

---

Autor: The X-C3LL

El link está funcionando correctamente.

Gracias por compartirlo! Le daré una mirada.

Si tienes un sistema con pocos recursos, te recomiendo NOD32 Antivirus o Avira Premium Security. Si no te molesta tener que consumir mas recursos para la protección del mismo, es decir, si tienes recursos de sobra, te recomiendo Kaspersky.

Un buen Firewall podria ser ZoneAlarm o Comodo Firewall. Pruebalos.

Saludos!

---

Malisimo. consume más recursos y no sirve de nada. Es preferible usar ESET NOD32 Antivirus y un Firewall como mencioné anteriormente.

O pienso mal?

Evita las actualizaciones que pidan aceptar "Las condiciones de uso". Con las demas en general no tendras problemas, es necesario mantener actualizado tu sistema para evitar vulnerabilidades (no digo que no las abrá) y manterlo lo mas seguro posible.

Probaste con JDownloader?

No es un problema de tu sistema, has sido infectado por Rogue. Una amenaza que es literalmente nueva y esta creciendo muchisimo.

http://foro.elhacker.net/seguridad/windows_xp_recovery_rogue-t329497.0.html

Bastará con encontrar en modo seguro / a prueba de fallos (F8 en el arranque) y analizar utilizando

Spybot Serach & Destroy

http://www.freewarearchiv.com/sicherheit/spywarescanner/spybotsd162.exe

Malwarebytes Antimalware

http://www.malwarebytes.org/

Recuerda que ambos deben ser instalados y actualizados en modo normal, para luego analizar en modo seguro. Una vez hecho esto, date una limpiada con CCleaner

http://www.piriform.com/ccleaner/download/standard

Y luego no vendria mal un log del Hijackthis, para ver si encontramos algo mas por ahi dando vueltas..

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

Salud

Los creadores de malware constantemente se encuentran trabajando en propagar sus amenazas para obtener grandes cantidades de victimas y así obtener mayores beneficios. Una de las técnicas muy utilizada para la propagación de malware es  la utilización de BlackHat SEO. Esta técnica, se basa en obtener de forma ilegítima un mejor posicionamiento en los resultados en los buscadores, y así aparecer en los primeros lugares. Estas técnicas, sumado a páginas especialmente diseñadas para la explotación de vulnerabilidades en los sistemas de la victimas, logran que el criminal informático propague de manera muy rápida sus amenazas. Este es un ejemplo del siguiente caso de malware del tipo rogue.

Windows XP Recovery es un rogue que fue reportado a nuestros laboratorios por algunos usuarios afectados, los cuales afirmaban que se infectaban mientras navegaban en páginas, relacionadas con el mundo de los juegos en linea. Una vez que la víctima es infectada con este malware, comienza a realizar un supuesto chequeo a todo el hardware de la maquina, el cual es totalmente falso. En la siguiente imagen se puede ver el supuesto escaneo finalizado:


Analizando el código, es posible observar que los distintos mensajes de alerta se encuentran escritos en distintos idiomas y así el criminal puede abarcar mayor cantidad de víctimas. Uno de los puntos más llamativos de este rogue es la utilización del comando Attrib. Este es utilizado para modificar las propiedades de un archivo, en este caso el rogue lo usa para esconder todos los archivos y carpetas de la víctima y así hacer más creíble los supuestos problemas detectados:


Una vez que la victima intenta aplicar la solución ofrecida por el malware, se carga una falsa ventana de Internet Explorer donde se le pide ingresar los datos personales de la víctima y el número de la tarjeta de crédito para el pago. El malware al detectar que nuestra dirección de IP se encuentra en Argentina,pasó el precio a moneda local con un costo de entre $272 a $309 pesos argentinos, casi unos $60 dólares.


Podemos ver que el trabajo del rogue se basa en pequeños trucos pero bastante efectivos para una víctima que desconoce de este tipo de amenazas. Por eso como siempre os digo, es muy necesario que estas amenazas se den a conocer y la gente empieze a desconfiar más sobre lo que hace en su computadora.

Fuente: Laboratorios ESET

No quiero defender a nadie, pero en mi caso, no utilizo cuenta de correo electronico. Seria una forma mas facil de ver cuando responden a nuestros mensajes o contestan algo en donde hallamos participado, solo faltaria ver que contras le ven los miembros del STAFF a esto.