Cross-Site Scripting Práctico (XSS)

Espero que éste artículo le sirva de ayuda a mucha gente que, como yo, se vió engañada por el timo de blogspot.es. Si has sido engañado por blogspot.es y te encuentras con que tienes un blog personal inútil lo que tienes que hacer es aplicar esta técnica

¡BLOGSPOT.ES ES UN TIMO. NO TIENE NADA QUE VER CON BLOGGER NI CON GOOGLE!

Publiqué aquí hace poco una entrada que avisaba de que Blogspot.es es es un timo. Lo es. Pero también tengo una solución para olvidarnos de ellos si alguna vez nos engañaron. La publiqué en otro blog, uno de montaña, al que el año pasado le he dedicado mucho tiempo pero quiero volver a publicar cosillas aquí. Veo que aún mucha gente visita mis artículos y de vez en cuando todavía recibo comentarios de agradecimiento por ciertas informaciones que aquí he puesto.

Copio aquí aquel artículo tal cuál lo escribí en mi blog de montaña. No me importan los motores de búsqueda, el texto es mío y lo copio donde yo quiera. Lo que escribí es lo siguiente:

Este es un truco para redirigir a los visitantes desde antiguo tu blog en blogspot.es a tu nueva página personal o blog.

Antes de crear éste blog nos registramos en blogspot.es y al rato nos dimos cuenta de lo malo que era el portal. Era un timo, un fraude, un engañabobos que se basaba en el nombre del dominio y al querer darnos de baja para registrarnos en Blogspot.com nos fue totalmente imposible. Intentamos contactar con ellos pero al no recibir respuesta e investigando un poquito llegamos al siguiente truco que redirige a todos los visitantes al nuevo blog.

Para este post voy a utilizar casi integramente un e-mail que he mandado a una amiga que nos preguntaba lo siguiente:

Quisiera saber como has conseguido desviar las entradas de blogspot. al blog de blogspot.com. Muchas gracias.

Mi respuesta ha sido la siguiente:

Hola *****, lo he hecho utilizando un «hack»… (Un truquito  XSS ó Cross Site Scripting)

¿Sabes informática? Te lo explico lo mejor que pueda y te dejo un ejemplo al final donde solo tienes que sustituir tublog.blogspot.com por lo que quieras. Es muy fácil, de verdad.

Se trata de poner en el título de tu blog un código (te puedo ayudar a hacerlo, es fácil) que lo que hace es redirigir al usuario a la página que tu le digas. No encontrarás esta información en ningún sitio (así, tan directa) Dí con la solución probando durante horas.

El truco es el siguiente:

Queremos que la página redireccione a «http://tublog.blospot.com» y para eso tenemos que escribir el siguiente código en la página:

Para convertir el primer código a números utilizo esta página:

http://jdstiles.com/java/cct.html

poniendo el primer código donde pone Web design y dándole a charCodeAt() te aparece una ristra de números separados por comas: (con ese código salen éstos: 60, 115, 99, 114, 105, 112, 116, 62, 119, 105, 110, 100, 111, 119, 46, 108, 111, 99, 97, 116, 105, 111, 110, 61, 34, 104, 116, 116, 112, 58, 47, 47, 116, 117, 98, 108, 111, 103, 46, 98, 108, 111, 103, 115, 112, 111, 116, 46, 99, 111, 109, 34, 59, 60, 47, 115, 99, 114, 105, 112, 116, 62 )

Entonces, cogemos esos números y los ponemos en el segundo código y nos queda lo siguiente:

<script language=javascript>eval(String.fromCharCode( 60, 115, 99, 114, 105, 112, 116, 62, 119, 105, 110, 100, 111, 119, 46, 108, 111, 99, 97, 116, 105, 111, 110, 61, 34, 104, 116, 116, 112, 58, 47, 47, 116, 117, 98, 108, 111, 103, 46, 98, 108, 111, 103, 115, 112, 111, 116, 46, 99, 111, 109, 34, 59, 60, 47, 115, 99, 114, 105, 112, 116, 62  ))</script>

Ese código adaptado a ti es lo que tienes que poner en el título de tu blog. Ve a http://jdstiles.com/java/cct.html, traduce  y pega esos números en vez de los que he puesto yo y lo habrás conseguido.

Creo que voy a hacer una entrada en mi blog con esta información. Espero que te haya sido útil. Ya me contarás.

Visita mountain-weekends.blogspot.com de vez en cuando.
(o el .es si quieres XD )

Un saludo

JxXx

—

La entrada original ha sido publicada en http://mountain-weekends.blogspot.es, un blog que llevo a medias con un gran amigo, y ha sido comentada y enlazada en varios blogs personales y sitios web. Espero que, después de varios meses, haya hecho bastante daño a la gente de blogspot.es. Lo dije en su día y hoy lo repito alto y claro:

¡BLOGSPOT.ES ES UN TIMO!

A los timadores y ladrones hay que denunciarlos públicamente. Si estuvieran en España les denunciaría por uso fraudulento de Internet y por utilización indebida de marca comercial entre otras cosas…

No espero comentarios en ésta entrada. Si has sido engañado por blogspot.es y te encuentras con que tienes un blog personal inútil lo que tienes que hacer es aplicar esta técnica. Créate un blog en blogger o donde tu quieras y redirige tu tráfico ahí.

Un  saludo

JxXx

¿Y ahora que?

He terminado la carrera. ¿Y ahora qué?

El último año he sacado todo tercero trabajando de programador por las tardes, 10 asignaturas entre febrero y junio además de todo lo que he aprendido en el trabajo (MFC´s, Web Services, C#, asp .net, algo de Mono, administración de IIS y WS2K3, metodologías, entornos de trabajo, herramientas y demás) y dos facilitas en septiembre trabajando durante 8 horas desde Julio, casi sin vacaciones pues cogí días para exámenes… Nadie dijo que fuera facil y no lo fué.

El caso es que ahora salgo pronto de trabajar me veo con tiempo y habrá quien me comprenda cuando diga que necesito estudiar mas y que hecho de menos la sana sensación de saciar mi curiosidad aprendiendo cosas interesantes.

¿Y ahora qué?

Estoy mirando cursos de domótica y cosas a distancia, también existe la posibilidad de sacarme el carnet de Instalador Electricista, también a distancia, cosa que me ha llamado la atención puesto que me podría preparar el examen tranquilamente aunque no tengo muy claro cuanto cuesta. Se que no tiene nada que ver con lo mio pero es lo que quiero, complementar con algo que me pueda ser útil.

Quizá algún curioso pueda recomendarme algo…

Un saludo

JxXx

Vulnerabilidad Adobe Reader

11/02/2008 Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware

El día 6 de febrero Adobe publicaba una nueva versión del popular Adobe Reader que solucionaba varios problemas de seguridad. Sin dar apenas detalles, se recomendaba la actualización a la versión 8.1.2 que solucionaba «múltiples vulnerabilidades de impacto desconocido». Durante el fin de semana se ha sabido que uno de estos fallos está siendo aprovechado de forma masiva para instalar malware… desde hace semanas.La versión 8.1.2 apareció el día 6 de febrero, pero no ha sido hasta el día 9 que Idefense hizo público varios boletines que en los que, sin dar detalles técnicos, se adjudicaba el descubrimiento. Según el boletín, Adobe fue notificado de las vulnerabilidades a principios de octubre de 2007. El fallo en concreto que está siendo explotado está relacionado con desbordamientos de memoria intermedia a través de JavaScript. Inmunity, empresa desarrolladora de CANVAS, publicó por su parte en cuanto estuvo disponible la actualización de Adobe, un exploit para sus suscriptores.

Durante el fin de semana se ha sabido que desde al menos el día 20 de enero, uno de estos fallos está siendo aprovechado para instalar malware, en concreto Zonebac. El usuario quedaría infectado con sólo abrir un archivo PDF con Adobe Acrobat anterior a la versión 8.1.2 y el malware se ejecutaría con los permisos del usuario ejecutando la aplicación vulnerable. Zonebac es un malware especializado en adware y el payload del ataque se descarga, como viene siendo habitual, de un servidor remoto (no va incluido en el PDF que está siendo distribuido).

Al parecer Zonebac fue también el malware que instalaba la famosa vulnerabilidad descubierta en octubre y que afectaba a RealPlayer. En aquella ocasión, el fallo se dio a conocer cuando ya estaba siendo aprovechado por malware. Incluso fue descubierto por esa misma razón. También en octubre se detectaron PDFs que aprovechaban una vulnerabilidad compartida entre Microsoft Windows y Adobe Reader, y que también descargaba de forma automática malware en el sistema.

Durante este último fin de semana, ningún antivirus era capaz de detectar un PDF que intentase aprovechar el fallo. Una de las muestras que ha llegado a través de VirusTotal, es hoy detectada por:

AVG Generic_c.GGU
Fortinet W32/AdobeReader!exploit
F-Secure Exploit.Win32.Pidief.a
Kaspersky Exploit.Win32.Pidief.a
Microsoft Exploit:Win32/Pdfjsc.A
Symantec Trojan.Pidief.C
Webwasher-Gateway Exploit.PDF.ZoneBac.gen (suspicious)

Aunque hay que advertir que pronto será detectada por más motores (dado el impacto mediático del asunto). También es necesario tener en cuenta la capacidad de detección del payload en sí, que es descargado por separado, puesto que el archivo PDF es solo el vehículo para la ejecución inadvertida. Este puede ser reemplazado en el servidor en cualquier momento.

Como curiosidad, la muestra que hemos estudiado está creada con iText 2.0.7, una librería Java de código abierto usada para generar y manipular archivos PDF. Y su fecha de creación según el código (que posiblemente no tenga nada que ver con la realidad) es del 28 de enero.

Adobe ha decidido no actualizar la rama 7.x de su producto, con lo que la solución pasa por actualizar a la 8.1.2 desde su web oficial, o utilizar (si es posible) alternativas como Foxit Reader.

13/02/2008 Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader: Reacción de los Antivirus

Durante el fin de semana se ha dado a conocer una nueva vulnerabilidad en el kernel de Linux que permite a los usuarios conseguir privilegios de root. El problema es que también se ha hecho público, al mismo tiempo, un exploit que permite aprovechar la vulnerabilidad de forma sencilla. Lo mismo ha ocurrido con un fallo en Adobe Reader, pues durante el fin de semana se ha detectado que una vulnerabilidad estaba siendo aprovechada de forma masiva. Como simple experimento curioso, hemos comparado la reacción de los AV ante estas dos nuevas amenazas.¿Cómo han reaccionado las casas antivirus ante este par de vulnerabilidades? Pertenecen a mundos distintos, una permite elevación de privilegios en el kernel (a través de una llamada a vmsplice) y otra ejecución de código en Windows con los privilegios del usuario que ejecute Adobe Reader. Una la sufren los kernel de Linux y otra los usuarios de Adobe en Windows, y los antivirus han reflejado esta disparidad en su capacidad y velocidad de reacción.

Durante el fin de semana, nada más ser descubierta, ningún antivirus detectaba los archivos PDF que intentasen aprovechar la vulnerabilidad en Adobe para ejecutar código. No fue hasta el lunes a primera hora que apenas seis casas antivirus comenzaron a detectar la muestra analizada. Hoy son ya 14 los antivirus que reconocen el archivo PDF como una amenaza. Y es cuestión de tiempo que todos lo reconozcan por igual, pues el impacto mediático del problema está siendo importante.

http://www.virustotal.com/analisis/85630b830a06246ba16d19d342c4bb0c

El impacto mediático de la elevación de privilegios en el kernel también está siendo notable. Son decenas de distribuciones afectadas y al existir exploit disponible público, conseguir privilegios de root en un kernel vulnerable se convierte en un juego de niños. Hemos compilado el exploit y enviado el ejecutable ELF a VirusTotal para comprobar que (como esperábamos) ni un solo motor lo detecta. Ni durante el fin de semana ni días después de que la noticia saltara en todos los medios.

http://www.virustotal.com/es/analisis/a258aaa05e20f8c0bd27c28cd3a9a115

Se puede considerar normal que los antivirus tomen una amenaza para Linux como un «mal menor» teniendo en cuenta que no todos poseen soluciones adaptadas a escritorio para a este sistema operativo. Pero dadas ciertas circunstancias, sí que tendría sentido que los motores detectaran una amenaza así, incluyendo la firma en su base de datos. Por ejemplo en soluciones perimetrales, o para análisis en frío de discos duros con alguna distribución instalada… son situaciones donde podría resultar útil la detección (aparte de las puramente marketoides).

Por otro lado, para conocer comportamientos anteriores ante amenazas específicas para Linux, hemos enviado a VirusTotal una muestra compilada de un exploit que igualmente permitía elevar privilegios, pero en este caso mucho más antiguo. En concreto, conocido y público desde julio de 2006. El resultado es que nada menos que 12 casas antivirus lo detectan, que no es poco (incluso es un ratio mayor que algunas muestras actuales de malware para Windows).

http://www.virustotal.com/analisis/0802cf8b3e30d7ea7efc69cf44752b2c

Cabe pensar que tarde o temprano, al igual que ha ocurrido con este exploit de hace casi dos años, detectarán el nuevo exploit para el kernel, pero desde luego la reacción es mucho mas pausada comparada con la de cualquier amenaza para Windows. Quizás dentro de meses sea reconocida, pero ni de lejos es prioridad. Por supuesto, y dadas las circunstancias de saturación de muestras, la prioridad para las casas antivirus es proteger a los usuarios Windows… y no es poco trabajo.

¿Qué se está vendiendo como antivirus para Linux?

Los antivirus para Linux comparten en general la misma base de datos de firmas que sus versiones Windows. Es decir, detectan el mismo tipo de malware. Y los laboratorios antivirus están especializados en la detección de malware para Windows, que es donde se libra la gran batalla y donde, lógicamente, está el negocio.

La utilidad de un antivirus para Linux es muy cuestionable bajo esas premisas, a no ser que la máquina forme parte de un esquema de red o proporcione servicios a sistemas Windows. Por ejemplo, un servidor de correo, de archivos, etc. En estos casos el antivirus para Linux se convierte en una especie de filtro perimetral de las máquinas Windows que se conectan a él, al poder evitar que el código malicioso pase a través del servidor, pero no en una solución para esta plataforma en sí.

La realidad es que como antivirus para la propia plataforma Linux, las versiones actuales no están optimizadas. No tanto por el motor, sino porque las empresas antivirus no invierten en recursos especializados en identificar las amenazas para esta plataforma. Si bien no tienen nada que ver con la acaparadora e inmensa problemática del malware en Windows, también existen sus códigos maliciosos como cualquier otra.

Fuente: Hispasec