Vulnerabilidade crítica “Port Fail” revela endereço IP de usuários VPN

Vulnerabilidade crítica “Port Fail” revela endereço IP de usuários VPN

vpn-materia

Uma nova falha recentemente descoberta que afeta todos os protocolos VPN e sistemas operacionais tem a capacidade de revelar os verdadeiros endereços IP dos computadores dos usuários, incluindo os de BitTorrent, com relativa facilidade.

A vulnerabilidade, que está sendo chamada de “Port Fail” pelo provedor VPN Perfect Privacy (PP) – que descobriu o problema, é um truque simples de encaminhamento de porta e afeta todos serviços que:

  • permitem ‘port forwarding’;
  • não tem proteção para ataques específicos.

O ‘Port Fowarding’ nada mais é que o uso da mesma VPN (Virtual Private Network) pelo invasor. Ou seja, o endereço de IP da vítima pode ficar exposto pelo uso indevido do tráfego de internet através de uma porta específica.

“O problema crucial neste caso é o fato de os usuários VPN utilizarem o mesmo servidor padrão para, por exemplo, entrar na conexão do seu ambiente de trabalho.” – diz um especialista.

‘Port Fail’ afeta a todos protocolos VPN incluindo:

  • OpenVPN;
  • IPSec.

…assim como outras aplicações que estiverem rodando no sistema, causando um risco enorme em relação a privacidade da vítima.

Como a ‘Port Fail’ funciona:

Para se obter sucesso na hora de roubar o endereço da vítima, o invasor precisa estar na mesma VPN do usuário, e saber a saída do endereço IP da VPN dele – que pode ser descoberto quando a vítima acessa um site deixado como isca pelo próprio invasor.

Exemplo: Um hacker com a ‘port forwarding’ habilitada, tem acesso a requisição vinda por parte da conexão da vítima, quando ela abre uma imagem.

A mesma técnica pode ser utilizada no BitTorrent, porém neste caso, não é necessário nem que o invasor redirecione a vítima para a página dele.

O invasor precisa apenas ficar com o ‘port forwarding’ habilitado de acordo com o padrão do BitTorrent, para poder conseguir o endereço IP na mesma conexão VPN.

Provedores VPN afetados

A falha atinge um leque muito grande de provedores VPN. O PP (Perfect Privacy) testou 9 provedores, e destes 5 estavam sujeitos a essa falha e foram devidamente alertados sobre o problema.

Os provedores VPN – incluindo o Private Internet Access(PIA), Ovpn.to e o nVPN já corrigiram o problema antes mesmo da divulgação.

De qualquer forma, a empresa alertou, “Outros provedores VPN devem estar vulneráveis, visto que não foi possível testar todos”.

A função da VPN é justamente garantir a privacidade do usuário, mas depois da descoberta falada anteriormente, ficou claro que é possível burlar o sigilo em alguns provedores deste serviço.

Veja a notícia original (em inglês): link

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/CHkPMrJp0GE/

Anúncios

Nova vulnerabilidade de SQL Injection no Joomla! possibilita a invasores o controle total do site

Nova vulnerabilidade de SQL Injection no Joomla! possibilita a invasores o controle total do site

criptografiaUma vulnerabilidade de SQL Injection classificada como de alta gravidade foi identificada nas versões 3.2 até 3.4.4 do Joomla!. O sistema popular de Gerenciamento de Conteúdo, perdendo apenas para WordPress, é executado em um número estimado de 2,8 milhões de sites.

Ao explorar a vulnerabilidade, um invasor pode obter o controle administrativo de qualquer Joomla! vulnerável. A vulnerabilidade reside no núcleo Joomla! e não necessita de quaisquer extensões para ser instalada no local. Para piorar a situação, a vulnerabilidade retorna a versão existente para a 3.2 (lançada em novembro de 2013) o que deixa a grande maioria dos sites que executam Joomla! expostos.

Acesse o conteúdo original (em inglês) no link.

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/A6yDpUd7hkA/

Vulnerabilidade aprisiona dispositivos Android em looping infinito de reinicialização

Vulnerabilidade aprisiona dispositivos Android em looping infinito de reinicialização

Explorar para prender dispositivos Androids em reinicializações infinitas

Pesquisadores de segurança descobriram um bug perigoso no sistema operacional da Google que, segundo eles, pode inutilizar seu telefone. A nova vulnerabilidade (CVE-2015-3823), pode ser explorada por invasores para fazer com que seu dispositivo Android entre em um loop infinito de reinicialização. A vulnerabilidade atinge quase 90% dos dispositivos rodando versões entre 4.0.1 (Jelly Bean) e 5.1.1 (Lollipop).

Como funciona?

Há duas maneiras de explorar a vulnerabilidade: Através de aplicativo suspeito ou por meio de um site especificamente criado para isso. Em ambos os casos, os invasores fazem com que as vitimas executem arquivos maliciosos (em formato .MKV), tirando proveito do bug do plugin “mediaserver”. Isto causa uma queda na função do plugin forçando o dispositivo Android a reinicializar, saindo do controle do usuário, até que ele reinicia, caindo num loop infinito.

Como se livrar desta falha?

Se o bug atingiu um de seus dispositivos você pode fazer um truque simples. Tudo que precisa é reiniciar seus dispositivos em modo de segurança. Este modo irá desativar todos os aplicativos e informações de terceiros, permitindo que você continue usando seus dispositivos Android até que uma correção oficial seja liberada pela Google.

Acesse a notícia completa no link.

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/dPchlNbKRfk/

Descoberta vulnerabilidade que permite atacar smartphones Android através de MMS

Descoberta vulnerabilidade que permite atacar smartphones Android através de MMS

Android FTWPesquisadores da Zimperium Mobile Security anunciaram a descoberta de uma nova vulnerabilidade que afeta cerca de 950 milhões de smartphones com sistema Android. A vulnerabilidade está no sistema de trocas de mensagens de texto com multímidia (MMS).

Não foram divulgados muitos detalhes sobre a falha, apenas que ela pode ser explorada através do envio de um código específico disfarçado de mensagem de vídeo. O invasor pode então executar códigos de maneira remota, comprometendo as câmeras, o microfone e uma série de outras funções importantes. No caso das versões mais vulneráveis do Android, não era preciso nem interagir com as mensagens.

Criar um patch para esse bug não foi um grande problema para a Google – a empresa já o completou e enviou para as fabricantes de smartphones. O problema é que muitas ainda não repassaram o update para seus usuários. Os proprietários de smartphones com ROMs customizadas pela fabricante devem ficar ainda algum tempo esperando a correção.

Acesse a notícia completa no link.

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/wyJfN2K_-vM/

Vazamento de empresa hackeada revela grave vulnerabilidade no Flash

Vazamento de empresa hackeada revela grave vulnerabilidade no Flash

A empresa de spyware Hacking Team foi invadida no começo da semana, vazando 400 GB de arquivos confidenciais e códigos fontes. Além de documentos mostrando que a empresa italiana prestava serviços para ditaduras, os arquivos mostram que a Hacking Team explorava graves vulnerabilidades em softwares bastante populares.

Segundo o site The Register, os documentos vazados revelam que a empresa descobriu duas falhas que, até agora, eram desconhecidas. Elas afetariam o Adobe Flash e um driver de fontes, também da Adobe no Windows.

A Hacking Team descreve a falha no programa da Adobe como “a mais bela vulnerabilidade no Flash dos últimos quatro anos”, sugerindo que a empresa poderia estar usando o bug para praticar spyware há algum tempo. Os documentos mostram que a Hacking Team usou essa vulnerabilidade para instalar malwares que monitoravam e controlavam remotamente outros PCs.

A falha permitia que invasores executem códigos na máquina da vítima por meio de um site. A falha afeta as versões do software para Windows, OS X e Linux, e pode ser usada contra navegadores como o Internet Explorer, Mozilla Firefox, Google Chrome e o Safari, da Apple.

A Adobe declarou que tomou ciência da vulnerabilidade e está planejando lançar uma correção ainda nesta quarta-feira (8). 

A outra falha afeta um driver de fontes da Adobe no Windows. Todas as versões de 32-bit e 64-bit do Windows são afetadas pelo bug, desde o Windows XP até a versão 8.1 do sistema operacional, segundo os pesquisadores.

A vulnerabilidade permite que invasores aumentem o nível de privilégios que possuem em uma máquina para o grau de administrador, e deveria seria usada simultaneamente à vulnerabilidade no Flash.

“Acreditamos que o risco é limitado para os consumidores em geral, já que, sozinha, essa vulnerabilidade não pode permitir que um adversário tome controle de uma máquina”, afirmou um porta-voz da Microsoft ao site The Verge. “Encorajamos os clientes a aplicar a atualização da Adobe e estamos trabalhando em uma correção.”

Fonte: The Register

Plantão – Segurança – INFO

Vulnerabilidade no schannel permite execução remota de código no Windows

Vulnerabilidade no schannel permite execução remota de código no Windows

A Microsoft revelou um total de 33 vulnerabilidades no Windows, Internet Explorer e Office, sendo a MS14-066 (CVE-2014-6321) potencialmente catastrófica e afetando praticamente todas as versões do Windows. Usuários do sistema operacional, sobretudo servidores web, devem instalar imediatamente um patch de correções da Microsoft, divulgado no dia 11 de novembro. Até o momento, 14 atualizações de segurança já foram liberadas e duas (MS14-068 e MS14-075) ainda não tiveram suas data de lançamento determinadas.

A vulnerabilidade MS14-066 reside no pacote de segurança Canal Seguro (Schannel) que implementa os protocolos de segurança sockets layer e Transport Layer Security (TLS), de acordo com o comunicado da Microsoft. A incapacidade de filtrar adequadamente pacotes especialmente formados torna possível para os atacantes executarem código de ataque de sua escolha através do envio de tráfego malicioso para um servidor baseado em Windows.

Embora a vulnerabilidade afete principalmente servidores Windows, também é classificada como crítica para as versões cliente, uma indicação de que o bug de execução remota de código também pode ameaçar usuários de desktops e laptops Windows. Amol Sarwate, diretor de engenharia da Qualys, disse que a falha deixa máquinas cliente abertas se os usuários estiverem executando softwares que monitoram as portas de Internet e aceitam conexões criptografadas.

A divulgação da falha implica que todos os principais stacks TLS, incluindo Apple SecureTransport, GNUTLS, OpenSSL, NSS, e agora a Microsoft SChannel, tiveram uma vulnerabilidade grave este ano. Em alguns casos, as falhas meramente permitiam os atacantes contornarem as proteções de criptografia, enquanto outros, mais notavelmente o bug Heartbleed no OpenSSL e a MS14-066 no Windows, permitiam os adversários roubarem dados altamente sensíveis e executarem códigos maliciosos em sistemas vulneráveis, respectivamente.

A correção da vulnerabilidade foi uma das 16 atualizações da Microsoft programadas para este mês. Elas incluem uma correção para uma vulnerabilidade zero-day que já vem sendo explorada em ataques de espionagem altamente segmentados. Vale ressaltar que levou menos de 12 horas após a divulgação do Heartbleed para que ele fosse utilizado contra o Yahoo e outros sites. Assim sendo, qualquer pessoa que utiliza um computador com o Windows, especialmente se ele é executado em um servidor, deve garantir que atualização esteja instalada.

Para mais informações acesse este link.

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/F0FUEVN_MEs/

Pesquisadores encontram nova vulnerabilidade em computadores da Lenovo

Pesquisadores encontram nova vulnerabilidade em computadores da Lenovo

Três meses depois de pesquisadores de segurança da informação descobrirem que a Lenovo estava instalando software malicioso em seus computadores, a maior fabricante de PCs do planeta é alvo de uma nova vulnerabilidade.

A empresa de segurança da informação IOActive afirma ter descoberto grandes vulnerabilidades no sistema de atualização da Lenovo, que permitiria a hackers que superassem verificações de identificação, troquem programas legítimos da Lenovo por software malicioso e consigam comandar o sistema remotamente.

Por meio de uma das vulnerabilidades, os invasores podem criar um certificado falso para arquivos executáveis, permitindo que software malicioso se disfarce de software oficial da Lenovo. As falhas estariam presentes na atualização 5.6.0.27 do Lenovo System Update e nas versões anteriores.

As vulnerabilidades foram informadas em fevereiro à fabricante, que conseguiu desenvolver uma solução para elas. Em uma atualização lançada em abril, os bugs são removidos. Mas os donos de computadores da Lenovo precisam baixar a atualização de segurança para evitar que suas máquinas sejam expostas ao que a IOActive chama de “grande risco de segurança”.

Fonte: IOActive

Plantão – Segurança – INFO