Ejecución de codigo remoto en Google Earth permite robo de cookies y muchas otras cosas

Ejecución de codigo remoto en Google Earth permite robo de cookies y muchas otras cosas

Los productos de Google tienen una buena reputación y son sinónimo de niveles de seguridad razonablemente altos y confiables. Sin embargo, en esta oportunidad, el investigador argentino Fabián Cuchietti pudo descubrir y explotar una vulnerabilidad de ejecución de código remoto en Google Earth Pro, evadiendo la famosa caja de arena (sandbox) lo que permitía al atacante secuestrar una cuenta de Google (@gmail.com), leer y descargar archivos locales, usando Google Earth Pro como vector de ataque.

Este problema de seguridad se encontraba en el contenido de los archivos con extensión *.kmz y *.kml. KMZ es un tipo de archivo comprimido que contiene archivos KML (Keyhole Markup Language) en su interior. Además, KML es un tipo de notación XML que se utiliza para agregar información geográfica relacionada con mapas basados en Internet, como Google Maps.

KML es un formato de archivo que se utiliza para mostrar datos geográficos en Google Earth y puede incluir ubicaciones, imágenes, marcas, modelos 3D y descripciones de texto. Estos tipos de archivos son un buen formato para propagar código dañino. No es un formato de archivo sospechoso como binarios ejecutables, por ejemplo. También hace que sea difícil detectar el código malicioso en el interior debido a su compresión.

La vulnerabilidad mencionada ya ha sido informada al equipo de seguridad de Google y la misma fue corregida en la versión 7.3.2 el 1 de junio pasado.

En DEFCON China I se realizó la presentación de Fabian Cuchietti y Gonzalo Sanchez presentando “Google Nice Quilombo” con la explotación de diferentes vectores de ataques, incluyendo el robo de cookies.

Google pública 70 parches de seguridad de Android

Google pública 70 parches de seguridad de Android

Hace algunas horas, Google ha hecho públicos 70 parches de seguridad de Android correspondientes a julio de 2018 junto con la información correspondiente sobre ellos. Como suele ser habitual, la compañía ha dividido estos nuevos parches de seguridad en dos, un primer parche, lanzado ya el día 1 de julio de 2018, que corrige fallos de seguridad en el propio sistema Android y el framework multimedia, y un segundo parche, lanzado hoy día 5 de julio de 2018, que se centra en corregir las vulnerabilidades en el Kernel de y los controladores del sistema operativo.

De las 70 vulnerabilidades corregidas con estos dos parches, 40 de ellas han sido descubiertas por los propios trabajadores de Google (y es de las que se ha dado información), siendo las 30 de ellas reveladas por investigadores de seguridad y de las cuales, por seguridad, no se ha filtrado información adicional.

De todos los fallos solucionados con esta nueva actualización de Android, el más peligroso se encontraba en el Framework Multimedia (para variar) y podía permitir a un pirata informático utilizar un fichero modificado para conseguir ejecutar código con permisos de root en el dispositivo sin permiso.

70 parches de seguridad importantes para Android pero que solo verán una pequeña parte de los usuarios

Google ya ha lanzado estos parches, pero solo para sus dispositivos Pixel/XL, Pixel 2/XL, Pixel C, Nexus 5X y Nexus 6P, quienes ya los están recibiendo vía OTA. El resto de usuarios de Android, como es habitual, no van a recibir, al menos a corto plazo, estos parches de Google para proteger sus dispositivos. La gama alta de este sistema operativo puede que sí termine recibiendo la actualización (aunque dentro de unos meses), pero las gamas media y baja, las más extendidas, quedarán sin actualizarse.

Google sigue teniendo dos problemas muy graves con Android. Uno de ellos es la fragmentación, y es que, mientras la compañía trabaja ya para lanzar Android 9.0 “P”, el 20% de los usuarios aún utiliza la versión 6.0, y casi otro 20% de usuarios aún utiliza la 7.0, siendo la cuota de mercado de Android 8.0 “Oreo”, la versión más reciente de Android, de tan solo el 3%. El segundo de los problemas es el nulo interés de Google por las actualizaciones de seguridad, ya que no le importa que un fabricante venda un móvil recién lanzado y no lance ni una sola actualización de seguridad durante los siguientes dos años de vida del dispositivo.

Si queremos tener nuestro smartphone Android actualizado a la última versión, y con los últimos parches de seguridad casi desde su lanzamiento os recomendamos intentar instalar una ROM alternativa, como LineageOS, ya que tienen un soporte infinitamente superior al de Google, al menos en lo relacionado con la seguridad.

Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecución remota de código

Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecución remota de código

La vulnerabilidad, la cual requiere encontrarse autenticado, es posible debido a un fallo de “Inclusión de fichero Local” (Local File Inclusion, LFI) .

El equipo de seguridad ChaMD5 ha encontrado una vulnerabilidad del tipo “Inclusión de Fichero Local” (Local File Inclusion, LFI) que permitiría la ejecución de código remoto (Remote Code Execution, RCE) en la versión 4.8.1 de PhpMyAdmin, una conocida aplicación web que permite trabajar con bases de datos MySQL del servidor.

La vulnerabilidad se encuentra en la función ‘checkPageValidity’, del fichero ‘/libraries/classes/Core.php’ de PhpMyAdmin, la cual se encarga de comprobar que el fichero a cargar usando el parámetro ‘target’ de ‘index.php’ es válido. Mediante una doble codificación, es posible saltar la restricción para cargar un archivo local arbitrario. Un ejemplo sería: ‘/index.php?target=db_sql.php%253f/etc/passwd’.

Además, para conseguir la ejecución remota de código, puede aprovecharse que PhpMyAdmin almacena en ficheros de sesión las sentencias SQL introducidas en su interfaz. Así pues, introduciendo una sentencia como “select ‘[?php phpinfo();exit;?]'”, y obteniendo el id de sesión gracias a la cookie ‘phpMyAdmin’, puede ejecutarse código PHP arbitrario, el cual podría llamar a comandos del sistema. Un ejemplo completo sería el siguiente:

'index.php?target=db_sql.php%253f/../../../../../../../../
var/lib/php/sessions/sess_d41d8cd98f00b204e9800998ecf8427e'

Aunque se requiera estar autenticado para la explotación de esta vulnerabilidad, el uso de credenciales por defecto, fuerza bruta u otra vulnerabilidad que permita acceder sin credenciales, podrían permitir el control de la máquina debido a este fallo.
A día de hoy ya se encuentra disponible versión PhpMyAdmin 4.8.2. que soluciona el fallo.

Para evitar la explotación de vulnerabilidades como esta, es importante restringir el acceso a herramientas de administración. Una posible solución es limitar la conexión a IPs autorizadas, o el uso de autenticación Basic Auth con una conexión HTTPS.