WAT que causa BSOD

Otra ves tenemos llamadas de varias gente preguntando sobre un mismo sintoma de fallas en sus sistemas, y ahora pues diciendoles que se la buscaron merecidamente.

Pues durante dias pasados se ha liberado la controvertida tecnologia WAT de windows a traves de un parche marcado como crìtico en windows 7. Lo cual a mi parecer esta un poco más tenebroso puesto que parece ser que se mete a fuerzas en el sistema a pesar de haber marcado el windows update para que no descargue parches.

El parche del WAT es un removedor de 5 cracks muy usados para piratear el windows 7, mas aparte de la instalación de un monitor para vigilar que el windows sea genuino, y no solo eso, cada 90 días llamara a casa para asegurarse que todo sea como microsoft manda.

En los casos que me han tocado atender en los ultimos tres días, se encuentran personas buscando como volver a crackear el windows (sorry ya no se puede por ahora a menos que desconectes definitivamente tu pc de la red para que no entre el parche), pero los más casos son de aquellos que compraron una PC nueva o que la llevaron a formatear al ciber de la esquina y les pusieron el windows 7 sin darse noción de que era pirata o por la novedad que lo querian pero sin pagar, bueno pues es inevitable que problemas como los que tienen ahora pues eran latentes.

Me meti algo de tiempo a ver más de cerca esta consecuencia de la instalación del WAT y en lo personal no me gusto lo que vi. El fin no justifica los medios.

- Como ya habia mencionado, parece ser que el parche se mete a las de afuerzas sin preguntarle al usuario. Incluso a los que tienen configurado el no descargar parches o descargar y preguntar antes de instalar, de repente entre el domingo y martes al apagar la pc vieron que entraba el windows en la demora mientras instala parches.

- Si detecta la presencia de un crack/activador, elimina el crack, elimina el numero de serie y comienzan a aparecer los globitos de mensaje de que el windows esta a punto de expirar el periodo de evaluacion.

- Desactiva el rearme del periodo de prueba. Cuando instalas un windows y aun no le pones el serial, entra en periodo de evaluación por 30 días, pero puedes reactivar la cuenta 3 veces dando un total de 120 días de prueba. Si el WAT detecto un crack presente, te cancela todos los rearmes de prueba que tengas disponibles.

- Entre dos y tres horas despues de que hayas iniciado la PC, se reseteara violentamente sin advertencia previa, es un reboot en frio, todo lo que tengas abierto se pierde. Inclusive puede haber daño en el sistema de archivos.

- Si entras a la configuración de mi pc y activas la opción de no reiniciar despues de una falla. vas a ver que en cada reset repentino en realidad es una pantalla azul BSOD con los codigos de error 0x0000000000098 END_OF_NT_EVALUATION_PERIOD

Que quiere decir?, que el kernel de windows intencionalmente manda un pantallazo azul con un crash violento, todo a causa de ese código de error por tener un windows caducado/pirata.

subire una imagen en cuanto logre atrapar un caso y tenga una camara a la mano.

04 Mar, 2010 | hmier |

Nueva historia vieja: 2WIRE GATEWAY AUTHENTICATION BYPASS

Esto ya lo he visto antes, y por lo tanto, pues hay una perspectiva de como se puede poner en el futuro.

Debido a la presencia en las casas y negocios de los routers 2wire, pues parece ser que habra mucho trabajo por hacer.

Se me ocurren un par de formas de podría funcionar un ataque basado en esta técnica usando correos, archivos executables o javascript, así que hay definitivamente un enorme potencial de daños.

Interesante que venga firmado por hackers mexicanos ademas.

2WIRE GATEWAY AUTHENTICATION BYPASS & PASSWORD RESET
====================================================


DESCRIPTION
-----------------
There is an authentication bypass vulnerability in page=CD35_SETUP_01
that allows you to set a new password even if the password was
previously set.

By setting a new password with more than 512 characters the password
gets reset and next time you access the router you will be prompted for
a new password.


VULNERABLE
----------------
2Wire 2071 Gateway
2Wire 1800HW
2Wire 1701HG

Firmware
5.29.51
3.17.5
3.7.1

NOT VULNERABLE
--------------------
Firmware
5.29.135.5 or later


DISCLOSURE TIMELINE
-------------------------
03/27/2009 - 2wire Contacted
no satisfactory response
07/11/2009 - Sent complete details to 2wire
no response
07/17/2009 - Sent advisory with video demo to 2wire
ticket status escalated, but no response
08/02/2009 - Made public @ Defcon 17


EXPLOIT/POC
-----------------
Authentication Bypass - just use this page to set a new password

http://gateway.2wire.net?xslt?page=CD35_SETUP_01

Video: http://www.hakim.ws/2wire/2wire_CD35_Bypass.ogv


Password Reset - using the same form but sending a password > 512
characters

http://gateway.2wire.net/xslt?PAGE=CD35_SETUP_01_POST&password1=*Ax512*&password2=*Ax512*

Video: http://www.hakim.ws/2wire/2wire_CD35_Reset.ogv


GREETS
------------
sdc lightos pcp nitr0us 0xf alt3kx darko DeadSector Etal gwolf
h4ckult1m4t3 hackerss hd k00l kaz Kbrown mendozaaaa nahual Napa nediam
raza-mexicana roa Setting sla.ckers thornmaker tr3w vandida vi0let
xianur0 Yield

Comunidad Underground de Mexico : https://www.underground.org.mx


h k m
http://www.hakim.ws


12 Aug, 2009 | hmier |

Microsoft publica una actualización crítica fuera de ciclo

OK, esta es historia vieja que vuelve a ver la luz del dia.

Se trata de una nueva vulnerabilidad critica en los mismos servicios que ataco Blaster (RPC en el puerto 443) y Sasser (LSAS en el mismo puerto 139 y 443) asi que podriamos decir que es la conjuncion de ambas.

El parche es obligatorio aplicarlo de inmediato.

La prevencion es un firewall que impida la comunicación a los puertos de 135, 139 y 443, aunque esto sacrificaria el uso de carpetas e impresoras compartidas.

La detección de cualquier cosa que atacara seria algo parecido a lo que vimos con blaster y sasser, la aparicion de una ventana con un contador regresivo y posterior reinicio de maquina. El trafico de red hay que vigilarlo. Es posible que boten tambien alertas del servicio de prevencion de ejecución de codigo en el stack de memoria de windows, asi que cuando ocurran cosas extrañas, deberiamos de revisar el visor de sucesos en la parte de sistema a ver si no hay alertas.

La reacción a una infeccion sería desconectando la pc de la red, hacer el procedimiento de limpieza habitual para cualquier gusano, y antes de volver a conectarla a la red, verificar la presencia del parche o del firewall. Recomiendo usar el microsoft baselina analyzer.

Ah! como extraño los viejos tiempos de los supergusanos del 2005, aunque los tiempos han cambiado, a ver que pasa, a ver si no hay otro apagon.

PD. Microsoft dijo que solo publicaria parches fuera de su ciclo cuando de veras haya algo importante, así que solo ha habido 3 hasta ahorita de modo que esto no hay que dejarlo pasar.

---------- Forwarded message ----------
From:
Date: 2008/10/23
Subject: una-al-dia (23/10/2008) Microsoft publica una actualización crítica fuera de ciclo
To: unaaldia@hispasec.com



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 23/10/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Microsoft publica una actualización crítica fuera de ciclo
----------------------------------------------------------

Hoy no es el segundo martes del mes (conocido como Patch Tuesday), pero
Microsoft acaba de publicar el boletín de seguridad MS08-067 de carácter
crítico, en el que se soluciona un problema de seguridad en el servicio
Server de las distintas versiones del sistema operativo Windows. Debido
a su gravedad, el fallo podría ser aprovechado por un atacante remoto
para ejecutar código arbitrario y comprometer por completo un sistema
vulnerable.

Este boletín de seguridad, el número 12 publicado durante octubre, es de
carácter "crítico" para los sistemas equipados con Windows 2000, Windows
XP o Windows Server 2003, mientras que para los sistemas con Windows
Vista o Windows Server 2008 el problema está calificado como
"importante".

La vulnerabilidad reside en el procesamiento de peticiones RPC (Remote
Procedure Call) que efectúa el servicio Server. Un atacante remoto
podría ejecutar código arbitrario a través de peticiones RPC
especialmente manipuladas.

En el nuevo índice de explotabilidad introducido este mes, el problema
está catalogado como "Consistent exploit code likely", es decir, que es
probable la creación de un exploit consistente. En este caso, Microsoft
informa de que se han detectado exploits para Windows XP y Server 2003
que se aprovecharían de la vulnerabilidad, aunque por el momento no se
ha hecho pública ninguna prueba de concepto. También se avisa que la
vulnerabilidad es susceptible de ser explotada por medio de un gusano.

La última vez que Microsoft publicó una actualización de seguridad de
este tipo, fuera de su ciclo habitual de actualizaciones, fue el 3 de
abril de 2007, cuando se lanzó el boletín MS07-017 que solucionaba hasta
siete problemas de seguridad en motor GDI (Graphics Device Interface) de
Windows. La principal finalidad de aquel parche era corregir un grave
fallo en el tratamiento de cursores animados (ANI). Dicho problema ya
había sido reconocido por Microsoft unos días antes y por la red ya
estaban circulando exploits se aprovechaban de la vulnerabilidad y
parches no oficiales que intentaban mitigarla.

Dada la gravedad de las vulnerabilidades se recomienda la actualización
de los sistemas con la mayor brevedad posible, mediante Windows Update o
descargando los parches, según versión, desde las siguientes
direcciones:

* Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?familyid=E22EB3AE-1295-4FE2-9775-6F43C5C2AED3&displaylang=es

* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=es

* Windows XP Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=es

* Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25&displaylang=es

* Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25&displaylang=es

* Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D&displaylang=es

* Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D&displaylang=es

* Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400&displaylang=es

* Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400&displaylang=es

* Windows Server 2003 con SP1 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF&displaylang=es

* Windows Server 2003 con SP2 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF&displaylang=es

* Windows Vista y Windows Vista Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=18FDFF67-C723-42BD-AC5C-CAC7D8713B21&displaylang=es

* Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=A976999D-264F-4E6A-9BD6-3AD9D214A4BD&displaylang=es

* Windows Server 2008 para 32-bit Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=25C17B07-1EFE-43D7-9B01-3DFDF1CE0BD7&displaylang=es

* Windows Server 2008 para x64-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=7B12018E-0CC1-4136-A68C-BE4E1633C8DF&displaylang=es

* Windows Server 2008 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=2BCF89EF-6446-406C-9C53-222E0F0BAF7A&displaylang=es

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3652/comentar

Más información:

Microsoft Security Bulletin Advance Notification for October 2008
http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx

Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

15/10/2008 Boletines de seguridad de Microsoft en octubre
http://www.hispasec.com/unaaldia/3644/boletines-seguridad-microsoft-octubre

05/04/2007 El boletín MS07-017 de Microsoft soluciona varios problemas
de seguridad
http://www.hispasec.com/unaaldia/3085


Pablo Molina
pmolina@hispasec.com


Tal día como hoy:
-----------------

23/10/2007: La epidemia del "Storm Worm", algunas cifras
http://www.hispasec.com/unaaldia/3286

23/10/2006: Múltiples vulnerabilidades en Novell eDirectory 8.x
http://www.hispasec.com/unaaldia/2921

23/10/2005: Denegación de servicio en Squid 2.5 por problema con sesiones FTP
http://www.hispasec.com/unaaldia/2556

23/10/2004: Escalada de privilegios en Speedtouch USB Driver
http://www.hispasec.com/unaaldia/2191

23/10/2003: Denegación de servicio con coreutils - /bin/ls
http://www.hispasec.com/unaaldia/1824

23/10/2002: Nueva edición On-Line de "Handbook of Applied Cryptography"
http://www.hispasec.com/unaaldia/1459

23/10/2001: Vulnerabilidad en diferentes versiones de WebCart
http://www.hispasec.com/unaaldia/1094

23/10/2000: Ejecución de comandos sin autorización sobre Cisco Catalyst 3500
http://www.hispasec.com/unaaldia/729

23/10/1999: Parche para cubrir dos vulnerabilidades en Excel
http://www.hispasec.com/unaaldia/361


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)

iQEcBAEBAgAGBQJJALvpAAoJENe2Eih95ryuHH4H/0sqCDE0Mb+YEJcmLNvJH3ON
GRcrsGX52EKWPHB2wcarrgtmviV+jG9+tG8iEo9c9We4pglXpZaaljwyLsw3A198
+kK5DQHGFsGqXXkmZxkLDCGTuk0bhIGbfXlJwosv1urL1DCGNlLi6h18EXH6Ue7P
H3KzLxlWxFIGqFiQDxU4Zn+ZsJ/cPTW/mC9gnnO9p7qdtb7N/GJY68wgYx9zEZ+r
OUZFFuWpH7tT5Yh7Hotm+6OmS88c/9WCjAsOFRii9LFU4NLBlSJU6qRm7yYrYhoQ
tRuL5mnm/JvT4/SX0c1ImLhue7knXb6vDtKWb0OEQdiO1s0azmJy97h6Vsv3rH8=
=d/Lq
-----END PGP SIGNATURE-----


23 Oct, 2008 | hmier |