ElevenPaths ElevenPaths Radio – 1×07 Entrevista a Paloma Llaneza ¿Te preocupa la privacidad de tus datos? A Paloma Llaneza también. Nuevo capítulo de ElevenPaths Radio, la identidad digital: bajo lupa.
CSAs de ElevenPaths Binary leaks: desde bases de datos de ciudadanos a contraseñas expuestas, los ejecutables de los gobiernos analizados Hemos descubierto desde contraseñas hasta bases de datos que no deberían ser públicas en programas proporcionados por gobiernos de habla hispana.
ElevenPaths Qué hemos presentado en el Security Day 2016 (I) El pasado 26 de mayo, celebramos la tercera edición de nuestro evento anual de seguridad, ElevenPaths Security Day 2016, bajo el lema “Security Evolution”.Durante la jornada presentamos nuestras nuevas...
ElevenPaths Back to school! Traemos la agenda de eventos de septiembre en ciberseguridad y hacking Volvemos con las pilas cargadas para empezar septiembre con una selección de diferentes eventos en los que desde ElevenPaths participaremos en charlas y conferencias. ¡Toma nota y participa! Encuentro Nacional...
Sergio De Los Santos Desencuentros en el mundo de los certificados y las CA: Google contra el mundo Ninguna industria se libra de miserias internas, peleas y desencuentros entre sus principales actores. En estos días, (o meses, o años) la industria de los certificados digitales se transforma...
Fran Ramírez Nuevo paper publicado “Second Factor Web Browsing: detección de amenazas a través del uso de un doble canal” La utilización de un doble canal para tener una segunda vía de acceso en caso de que nuestro canal principal esté comprometido, es un factor realmente importante a tener...
Área de Innovación y Laboratorio de ElevenPaths Detectamos una extensión activa desde febrero en Chrome Web Store que roba tarjetas de crédito Hemos detectado una extensión para Google Chrome, aún activa, que roba los datos de los formularios de las páginas que son visitadas por las víctimas. El complemento, que aún se...
ElevenPaths ¿Cómo hemos vivido la RSA Conference 2018? La ciudad californiana de San Francisco recibió a más de 48.000 visitantes expertos del sector de la seguridad que se reunieron en el centro de convenciones más grande de...
ElevenPaths ElevenPaths Radio – 1×07 Entrevista a Paloma Llaneza ¿Te preocupa la privacidad de tus datos? A Paloma Llaneza también. Nuevo capítulo de ElevenPaths Radio, la identidad digital: bajo lupa.
Sergio De Los Santos Desencuentros en el mundo de los certificados y las CA: Google contra el mundo Ninguna industria se libra de miserias internas, peleas y desencuentros entre sus principales actores. En estos días, (o meses, o años) la industria de los certificados digitales se transforma...
ElevenPaths Latch, mejor app móvil del 2015 ¡Somos ganadores! Latch, nuestra app móvil que permite implementar un pestillo de seguridad a nuestras identidades digitales cuando no estamos conectados, ha recogido hoy el premio a mejor app móvil...
Área de Innovación y Laboratorio de ElevenPaths PoC: CapaciCard ya trabaja con el touchpad de los portátiles Hemos seguido desarrollando CapaciCard para que trabaje con el touchpad de del ordenador, de la misma forma en la que ya lo hace con la pantalla de cualquier móvil....
La lucha de Windows contra la ejecución de código: Éxitos y fracasos (VI): Attack Surface ReductionSergio De Los Santos 11 febrero, 2019 Es complicado entender todo el entramado que está montando Microsoft alrededor de Windows 10, con medidas de seguridad cada vez más integradas y complejas. Es muy positivo, si no fuera porque algunas medidas están adquiriendo una complejidad tal, que para el usuario medio (poco instruido en seguridad), le resultan poco menos que esotéricas, incompresibles y por tanto, inútiles si no están activadas por defecto (que muchas no lo están). Hablamos en esta entrega del ASR: Attack Surface Reduction, que comenzó como un sistema de bloqueo de carga de DLLs en EMET, pero que ahora pretende frenar ataques muy concretos de forma muy específica. No dispone de interfaz gráfica, pero es bastante potente. Como ya examinamos, ASR se incluyó en EMET 5 en 2014, funcionaba sin interfaz gráfica de manera muy arcaica. Luego se mejoró su fórmula y su manejo, como introdujimos en la primera parte de La lucha de Windows contra la ejecución de código: Éxitos y fracasos. Vamos a ver ahora en qué consiste exactamente ASR hoy por hoy. ASR engloba ahora mucho más, a falta de una explicación mejor, ASR son una serie de reglas configurables destinadas a mitigar de raíz problemas comunes, relacionados con el hecho de que, desde una tecnología, se llame a otra, reduciendo su superficie de ataque. Por ejemplo, desde Office a las macros, o exploits; o desde el email a scripts, o desde USB a ejecutables no firmados. Así que básicamente, son soluciones muy ad-hoc para ciertas circunstancias y que permite combatir las macros en Office, bloquear scripts, emails, proteger programas peligrosos como Adobe Reader, y la entrada de ejecutables potencialmente dañinos a través de memorias USB. Ahora bien… ¿funciona de verdad? ¿Cómo funciona? Es sencillo, pero se trabaja principalmente desde la línea de comando de powershell (como administrador). También a través del gpedit.msc, pero en todo caso, siempre debemos conocer los GUIDs. Microsoft nos propone una serie de GUIDs, cada uno correspondiendo a una medida. En un principio, sobre 2016, eran muy pocas; pero en cada nueva versión de Windows 10 se han incorporado nuevas. Actualmente se pueden personalizar 14 reglas de reducción de superficie de ataque, daremos una breve explicación propia de cada una de ellas y comprobaremos si funcionan o no. En esta entrada evaluaremos tres de ellas.: Bloquear todas las aplicaciones de Office para que no creen procesos secundarios (Block all Office applications from creating child processes): D4F940AB-401B-4EFC-AADC-AD5F3C50688A Por supuesto, siempre leedlo en inglés. En castellano lo más probable es que no tenga ningún sentido. Ojo, no confundir con esta funcionalidad genérica de los antiexploits que se muestra en la imagen. Esta receta de ASR aplica solo a Office, mientras que en la configuración de antiexploits, podría incluirse cualquier programa. Por experiencia personal, sabemos que aplicar esta receta ASR en Office permite trabajar con él, mientras que evitar de forma genérica los procesos secundarios en Word, por ejemplo, hará que el procesador no funcione correctamente. Para activarla, sería necesario ejecutar en un powershell con privilegios de administrador: Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enable Carlos Pérez realizó hace algún tiempo un análisis sobre Block All Office applications hablando de qué bloquea y qué no bloque esta receta. Hemos reproducido parte de sus experimentos y al parecer no han variado nada en la última versión de Windows 10. Por ejemplo, esta receta bloqueará estas macros: Pero se le escapa cualquier proceso creado a través de WMI. Esta macro, por ejemplo, no es bloqueada: Lo que hace totalmente inútil esta regla… Hasta ahora, porque luego veremos que Windows creó una regla específica para impedir esta ejecución, pero lo hizo meses después en una segunda tanda de GUIDs. Pero volvamos a esta regla en particular, por sí misma, es poco potente. Hay que recordar que ni la propia herramienta de prueba que realizó Microsoft para comprobar su eficacia, era capaz de bloquear un simple ataque. Hace un tiempo, Microsoft anunciaba una herramienta (muy cutre) realizada en .NET y llamada ExploitGuard Demo que permitía evaluar la eficacia de ASR. Se basaba en establecer las reglas y la herramienta simulaba una serie de ataques de prueba. En aquel momento solo existían algunas de las recetas de ASR de las que disponemos hoy, en concreto, cuando esta herramienta simulaba la ejecución de un proceso para que la regla D4F940AB-401B-4EfC-AADC-AD5F3C50688A, lo detuviese, no lo conseguía. Si reverseamos el código (fácil en .NET) vemos cómo llama a la ejecución: Desde que le indicamos esto a Microsoft, han retirado la página donde se anuncia la herramienta, pero aún es visible en archive.org. Pasemos a otra de las recetas destinadas a bloquear los problemas que nos traen las macros. Bloquear llamadas de API de Win32 desde macros de Office (Block Win32 API calls from Office macro): 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B Esta regla bloquea la importación de las API desde una macro, algo bastante común entre el malware de macro, puesto que habitualmente necesitará llamar a APIs del kernel (u otras librerías útiles) para completar el ataque. Esta, al contrario que la anterior, es una de las reglas más eficaces contra el malware de macro: es sencilla de implementar, no sabemos aún cómo eludirla y realmente supone un problema para los atacantes. Por ejemplo en la siguiente macro, la detendrá por la importación de la función del kernel, no por la llamada. Y este es el efecto conseguido. Seguiremos en la siguiente entrega analizando el resto de recetas de ASR. » La lucha de Windows contra la ejecución de código: Éxitos y fracasos (I) » La lucha de Windows contra la ejecución de código: Éxitos y fracasos (II) » La lucha de Windows contra la ejecución de código: Éxitos y fracasos (III) » La lucha de Windows contra la ejecución de código: Éxitos y fracasos (IV) » La lucha de Windows contra la ejecución de código: Éxitos y fracasos (V) Analizando el impacto de las vulnerabilidades FakesApp y descifrando el tráfico de WhatsApp Web con “Whatsapp Decoder” (Parte 2/2)Las cualidades de nuestra tecnología SmartPattern en ICISSP 2019
ElevenPaths ElevenPaths Radio – 1×07 Entrevista a Paloma Llaneza ¿Te preocupa la privacidad de tus datos? A Paloma Llaneza también. Nuevo capítulo de ElevenPaths Radio, la identidad digital: bajo lupa.
Sergio De Los Santos Desencuentros en el mundo de los certificados y las CA: Google contra el mundo Ninguna industria se libra de miserias internas, peleas y desencuentros entre sus principales actores. En estos días, (o meses, o años) la industria de los certificados digitales se transforma...
Fran Ramírez Nuevo paper publicado “Second Factor Web Browsing: detección de amenazas a través del uso de un doble canal” La utilización de un doble canal para tener una segunda vía de acceso en caso de que nuestro canal principal esté comprometido, es un factor realmente importante a tener...
Diego Samuel Espitia Metathief, exfiltrando secretos corporativos en Metadatos Nueva herramienta de ElevenPaths tipo PoC que determina el nivel de protección ante una fuga de información que utilice metadatos.
CSAs de ElevenPaths Binary leaks: desde bases de datos de ciudadanos a contraseñas expuestas, los ejecutables de los gobiernos analizados Hemos descubierto desde contraseñas hasta bases de datos que no deberían ser públicas en programas proporcionados por gobiernos de habla hispana.
Sergio De Los Santos Facebook firmaba una de sus apps con una clave privada compartida con otras apps de Google Play desde 2015 Hemos comprobado que Facebook compartía claves privadas con apps de origen chino en Google Play desde 2015 que podrían llegar a influir en la app original.
