miércoles, 14 de agosto de 2013

BREACH o cómo romper HTTPS en sólo 30 segundos

BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) es una nueva herramienta que utiliza una técnica mediante la cual es posible extraer tokens de logins, IDs de sesión y otra información sensible a partir de tráfico web cifrado SSL/TLS y en ¡sólo 30 segundos!.

Esto significa que podría permitir a un atacante descifrar fácilmente un canal HTTPS de un banco o de un sitio de venta online }:)



Fue presentada en la última conferencia Black Hat y se aprovecha varias vulnerabilidades de forma similar a lo que hacía CRIME con deflate, es decir, ataca al algoritmo de compresión aunque en las respuestas HTTP. Eso sí, como comentamos la información sensible ha de estar en las respuestas HTTP, el servidor por supuesto ha de utilizar compresión HTTP y el exploit requiere que la víctima visite primero un enlace malicioso.

Más información en: http://breachattack.com

Paper: http://www.iacr.org/cryptodb/archive/2002/FSE/3091/3091.pdf

Presentación: http://breachattack.com/resources/BREACH%20-%20BH%202013%20-%20PRESENTATION.pdf

Demo:


 

sábado, 3 de agosto de 2013

Janicab.A y el truco del carácter U+202E

Estaba leyendo acerca de una nueva familia de malware que puede propagarse tanto en Windows como en OS X. A parte de eso, me llamó también la atención que Janicab.A, como se conoce al troyano, también utiliza un viejo truco para engañar al usuario: el carácter especial Unicode U+202E conocido como una anulación de derecha a izquierda para hacer que el archivo malicioso aparezca como un documento PDF en lugar de un archivo ejecutable potencialmente peligroso.

Nada más fácil de realizarse. Por ejemplo, imagina que nuestro server es cmd.exe:

1. Abrimos el mapa de caracteres de Windows (inicio, ejecutar, charmap)


2. Buscamos y copiamos el carácter Unicode U+202E. Fijaros que en la parte inferior izquierda se muestra el valor ASCII de los caracteres.



3. Pegamos (Ctrl+V) el carácter justo antes del punto de la extensión: cmd[[Unicode U+202E]].exe


4. Escribimos la extensión que queremos pero al revés, por ejemplo, si queremos "doc" escribiremos "cod" o si queremos "pdf" escribiremos "fdp".

Y al final el resultado visual será cmdexe.doc:



Por último para "endulzar" el vector de infección simplemente tendríamos que cambiar el icono con reshack u otro y utilizar un nombre algo más disimulado teniendo en cuenta que el "exe" o la extensión original debe permanecer. Por ejemplo: