1.3 CVE-2015-5464

Local Execution Code

Gemalto SafeNet Luna HSM permite a los usuarios autenticados de forma remota eludir las restricciones de exportación de claves previstas aprovechando (1) el acceso de cripto-usuario o (2) cripto-oficial a una partición de HSM.
https://nvd.nist.gov/vuln/detail/CVE-2015-5464

Categorías

CWE-284 : Control de acceso inadecuado

Referencias

CONFIRM

http://www.safenet-inc.com/technical-support/security-updates/ Vendor Advisory

CPE

cpe	iniciar	fin
Configuration 1
cpe:2.3:h:gemalto:safenet_luna_g5::::::::
cpe:2.3:h:gemalto:safenet_luna_pci-e::::::::
cpe:2.3:h:gemalto:safenet_luna_sa::::::::

REMEDIACIÓN

EXPLOTA

Exploit-db.com

id	descripción	fecha
No hay exploits conocidos

Otros (github, ...)

Url
No hay exploits conocidos

CAPEC

Common Attack Pattern Enumerations and Classifications

id	descripción	gravedad
19	Incrustación de scripts dentro de scripts Un adversario aprovecha la capacidad de ejecutar su propio script incrustándolo dentro de otros scripts que el software objetivo es susceptible de ejecutar debido a las vulnerabilidades de los programas que se producen al permitir que los hosts remotos ejecuten scripts. [Spider] Utilizando un navegador o una herramienta automatizada, un adversario registra todos los puntos de entrada de las entradas que se reflejan en un elemento de script del lado del cliente. Estos elementos de script pueden estar ubicados en el contenido HTML (head, body, comentarios), en una etiqueta HTML, XML, CSS, etc. [El adversario utiliza los puntos de entrada recogidos en la fase de "Exploración" como una lista de objetivos e inyecta varias cargas útiles de scripts comunes para determinar si un punto de entrada representa realmente una vulnerabilidad y para caracterizar el grado en que la vulnerabilidad puede ser explotada. [Robo de ID de sesión, credenciales, contenido de la página, etc.] Cuando el adversario consigue explotar la vulnerabilidad, puede optar por robar las credenciales del usuario para reutilizarlas o analizarlas posteriormente. [Navegación forzada] Cuando el adversario se dirige a la aplicación actual o a otra (a través de vulnerabilidades CSRF), el usuario será entonces quien realice los ataques sin ser consciente de ello. Estos ataques se dirigen sobre todo a los fallos de la lógica de la aplicación, pero también puede utilizarse para crear un ataque generalizado contra un sitio web concreto en la red actual del usuario (en Internet o no). [Content spoofing] Al manipular el contenido, el adversario se dirige a la información que el usuario desea obtener del sitio web.	Alto
441	Inserción lógica maliciosa Un adversario instala o añade una lógica maliciosa (también conocida como malware) en un componente aparentemente benigno de un sistema de campo. Esta lógica suele estar oculta para el usuario del sistema y funciona entre bastidores para lograr impactos negativos. Con la proliferación del almacenamiento digital masivo y los dispositivos multimedia de bajo coste, el soporte de Bluetooth y 802.11, están surgiendo nuevos vectores de ataque para la propagación de malware para cosas que antes considerábamos inocuas como tarjetas de felicitación, marcos de fotos o proyectores digitales. Este patrón de ataque se centra en los sistemas que ya están en el campo y se utilizan en la operación, en contraposición a los sistemas y sus componentes que aún están en desarrollo y forman parte de la cadena de suministro.	Alto
478	Modificación de la configuración del servicio de Windows Un adversario aprovecha una debilidad en el control de acceso para modificar los parámetros de ejecución de un servicio de Windows. El objetivo de este ataque es ejecutar un binario malicioso en lugar de un servicio existente. [El adversario debe determinar primero el sistema en el que desea modificar el registro. Tiene que ser una máquina Windows, ya que este ataque sólo funciona en el registro de Windows. [Obtener acceso al sistema] El adversario necesita obtener acceso al sistema de alguna manera para poder modificar el registro de Windows. [Modificar el registro de Windows] El adversario modificará el registro de Windows cambiando los ajustes de configuración de un servicio. Específicamente, el adversario cambiará la configuración de la ruta para definir una ruta a un binario malicioso que se ejecutará.	Alto
479	Certificado raíz malicioso Un adversario explota una debilidad en la autorización e instala un nuevo certificado raíz en un sistema comprometido. Los certificados se utilizan habitualmente para establecer comunicaciones seguras TLS/SSL en un navegador web. Cuando un usuario intenta navegar por un sitio web que presenta un certificado que no es de confianza, se mostrará un mensaje de error para advertir al usuario del riesgo de seguridad. Dependiendo de la configuración de seguridad, es posible que el navegador no permita al usuario establecer una conexión con el sitio web. Los adversarios han utilizado esta técnica para evitar las advertencias de seguridad que se dan a los usuarios cuando los sistemas comprometidos se conectan a través de HTTPS a servidores web controlados por el adversario que falsifican sitios web legítimos con el fin de recoger las credenciales de inicio de sesión.	Bajo
502	Intent Spoof Un adversario, a través de una aplicación maliciosa previamente instalada, emite una intención dirigida a un componente específico de la aplicación de confianza en un intento de lograr una variedad de objetivos diferentes, incluyendo la modificación de datos, la divulgación de información y la inyección de datos. Los componentes que han sido exportados involuntariamente y hechos públicos están sujetos a este tipo de ataque. Si el componente confía en la acción del intento sin verificación, entonces la aplicación objetivo realiza la funcionalidad a petición del adversario, ayudando a éste a lograr el impacto técnico negativo deseado.
503	WebView Exposure Un adversario, a través de una página web maliciosa, accede a la funcionalidad específica de la aplicación aprovechando las interfaces registradas a través de la API addJavascriptInterface de WebView. Una vez que una interfaz se registra en WebView a través de addJavascriptInterface, se convierte en global y todas las páginas cargadas en el WebView pueden llamar a esta interfaz.
536	Datos inyectados durante la configuración Un atacante con acceso a los archivos de datos y procesos del sistema de la víctima inyecta datos maliciosos en los datos operativos críticos durante la configuración o recalibración, haciendo que el sistema de la víctima funcione de una manera subóptima que beneficia al adversario. [Determinar el proceso de configuración] El adversario, a través de un sistema previamente comprometido, ya sea de forma remota o física, determina cuál es el proceso de configuración. Para ello, examina los archivos de configuración, los archivos de datos y los procesos en ejecución del sistema para identificar las áreas en las que podría inyectar datos maliciosos. [Determinar cuándo se produce la configuración] El adversario necesita entonces determinar cuándo se produce la configuración o recalibración de un sistema para saber cuándo inyectar datos maliciosos. [Determinar los datos maliciosos a inyectar] Observando el proceso de configuración, el adversario necesita determinar qué datos maliciosos quiere insertar y dónde insertarlos. [Inyectar datos maliciosos] Justo antes, o durante la configuración del sistema, el adversario inyecta los datos maliciosos. Esto hace que el sistema se comporte de forma beneficiosa para el adversario y suele ir seguido de otros ataques.	Alto
546	Eliminación de datos incompletos en un entorno multiusuario Un adversario obtiene información no autorizada debido a un borrado de datos inseguro o incompleto en un entorno multi-tenant. Si un proveedor de la nube no elimina por completo el almacenamiento y los datos de los sistemas/recursos de los antiguos inquilinos de la nube, una vez que estos recursos se asignan a nuevos inquilinos potencialmente maliciosos, estos últimos pueden sondear los recursos proporcionados en busca de información sensible que aún se encuentre allí.	Medio
550	Instalar nuevo servicio Cuando un sistema operativo se inicia, también inicia programas llamados servicios o demonios. Los adversarios pueden instalar un nuevo servicio que se ejecutará al inicio (en un sistema Windows, modificando el registro). El nombre del servicio puede disfrazarse utilizando un nombre de un sistema operativo relacionado o de un software benigno. Los servicios suelen ejecutarse con privilegios elevados.
551	Modificación del servicio existente Cuando un sistema operativo se inicia, también inicia programas llamados servicios o demonios. La modificación de los servicios existentes puede romper los servicios existentes o puede habilitar servicios que están deshabilitados o que no se utilizan habitualmente.
552	Instalar Rootkit Un adversario aprovecha una debilidad en la autenticación para instalar un malware que altera la funcionalidad y la información proporcionada por las llamadas a la API del sistema operativo objetivo. A menudo se denomina rootkits y se utiliza para ocultar la presencia de programas, archivos, conexiones de red, servicios, controladores y otros componentes del sistema.	Alto
556	Reemplazar manejadores de extensión de archivo Cuando se abre un archivo, se comprueba su manejador de archivos para determinar qué programa abre el archivo. Los manejadores de archivos son propiedades de configuración de muchos sistemas operativos. Las aplicaciones pueden modificar el manejador de archivos para una extensión de archivo dada para llamar a un programa arbitrario cuando se abre un archivo con la extensión dada.
558	Reemplazar ejecutable de confianza Un adversario aprovecha las debilidades en la gestión de privilegios o el control de acceso para sustituir un ejecutable de confianza por una versión maliciosa y permitir la ejecución de malware cuando se llama a ese ejecutable de confianza.	Alto
562	Modificar archivo compartido Un adversario manipula los archivos de una ubicación compartida añadiendo programas maliciosos, scripts o código de explotación al contenido válido. Una vez que el usuario abre el contenido compartido, se ejecuta el contenido contaminado.
563	Añadir archivo malicioso a Webroot compartido Un adversario puede añadir contenido malicioso a un sitio web a través del recurso compartido de archivos abierto y, a continuación, navegar hasta ese contenido con un navegador web para hacer que el servidor ejecute el contenido. El contenido malicioso suele ejecutarse bajo el contexto y los permisos del proceso del servidor web, lo que a menudo da lugar a privilegios locales del sistema o administrativos, dependiendo de cómo esté configurado el servidor web.
564	Ejecutar el software al iniciar la sesión El sistema operativo permite ejecutar scripts de inicio de sesión cada vez que un usuario o usuarios específicos inician sesión en un sistema. Si los adversarios pueden acceder a estos scripts, pueden insertar código adicional en el script de inicio de sesión. Este código puede permitirles mantener la persistencia o moverse lateralmente dentro de un enclave porque se ejecuta cada vez que el usuario o los usuarios afectados inician sesión en un ordenador. La modificación de los scripts de inicio de sesión puede eludir eficazmente los cortafuegos de las estaciones de trabajo y de los enclaves. Dependiendo de la configuración de acceso de los scripts de inicio de sesión, pueden ser necesarias credenciales locales o una cuenta administrativa remota.
578	Desactivar software de seguridad Un adversario aprovecha una debilidad en el control de acceso para desactivar las herramientas de seguridad de manera que no se produzca la detección. Esto puede tomar la forma de matar procesos, borrar claves del registro para que las herramientas no se inicien en tiempo de ejecución, borrar archivos de registro u otros métodos.	Medio

MITRE

Técnicas

id	descripción
T1014
T1027.009	Archivos o información ofuscados: Cargas útiles incrustadas
T1037	Scripts de inicialización de arranque o inicio de sesión
T1080	Contaminar contenidos compartidos
T1505.005	Componente de software de servidor: Terminal Services DLL
T1542.003	Pre-OS Boot:Bootkit
T1543	Crear o modificar un proceso del sistema
T1543.001	Crear o Modificar Proceso del Sistema: Lanzar Agente
T1543.003	Crear o Modificar Proceso del Sistema:Servicio de Windows
T1543.004	Crear o Modificar Proceso del Sistema: Lanzar Daemon
T1546.001	Ejecución activada por eventos:Cambiar la asociación de archivos por defecto
T1546.004	Ejecución activada por eventos:.bash_profile y .bashrc
T1546.008	Ejecución activada por eventos: Funciones de accesibilidad
T1546.016	Ejecución activada por eventos: Paquetes de instalación
T1547	Ejecución de arranque o inicio automático de sesión
T1547.006	Ejecución automática de arranque o inicio de sesión:Módulos y extensiones del núcleo
T1553.004	Subvertir controles de confianza:Instalar certificado raíz
T1556.006	Modificar el proceso de autenticación: Autenticación multifactor
T1562.001	Deteriorar las defensas: Desactivar o modificar herramientas
T1562.002	Deteriorar las defensas: Desactivar el registro de eventos de Windows
T1562.004	Deteriorar las defensas: Desactivar o modificar el cortafuegos del sistema
T1562.007	Deteriorar las defensas: Desactivar o modificar el cortafuegos de la nube
T1562.008	Deteriorar las defensas: Desactivar los registros en la nube
T1562.009	Deterioro de las defensas: Arranque en Modo Seguro
T1574.011	Flujo de ejecución de secuestros: Debilidad en los permisos del registro de servicios
© 2022 The MITRE Corporation. Esta obra se reproduce y distribuye con el permiso de The MITRE Corporation.

Mitigación

id	descripción
T1027.009	En Windows 10, active las reglas de reducción de la superficie de ataque (ASR) para evitar la ejecución de secuencias de comandos potencialmente ofuscadas.
T1037	Asegúrese de que se establecen los permisos adecuados para los archivos comprimidos del Registro para evitar que los usuarios modifiquen las claves de los scripts de inicio de sesión que pueden provocar la persistencia.
T1080	Protege las carpetas compartidas reduciendo al mínimo los usuarios que tienen acceso de escritura.
T1505.005	Considere la posibilidad de utilizar la directiva de grupo para configurar y bloquear las modificaciones de los parámetros de Terminal Services en el Registro.
T1542.003
T1543
T1543.001	Establezca directivas de grupo para restringir los permisos de archivo a la carpeta <code>~/launchagents</code>.
T1543.003
T1543.004
T1546.004	Hacer que estos archivos sean inmutables y sólo modificables por determinados administradores limitará la capacidad de los adversarios para crear fácilmente persistencia a nivel de usuario.
T1546.008	Para utilizar esta técnica de forma remota, un adversario debe utilizarla junto con RDP. Asegúrese de que la autenticación a nivel de red está activada para forzar la sesión de escritorio remoto a autenticarse antes de que se cree la sesión y se muestre la pantalla de inicio de sesión. Está activada por defecto en Windows Vista y posteriores.
T1547.006
T1553.004	HTTP Public Key Pinning (HPKP) es un método para mitigar posibles situaciones Adversary-in-the-Middle en las que un adversario utiliza un certificado mal emitido o fraudulento para interceptar comunicaciones cifradas imponiendo el uso de un certificado esperado.
T1556.006
T1562.001	Asegúrese de que existen los permisos de usuario adecuados para evitar que los adversarios desactiven o interfieran en los servicios de seguridad.
T1562.002
T1562.004	Asegúrese de que existen los permisos de usuario adecuados para evitar que los adversarios desactiven o modifiquen la configuración del cortafuegos.
T1562.007
T1562.008	Configure la política de cuentas por defecto para habilitar el registro. Gestione las políticas para garantizar que solo los usuarios necesarios tengan permisos para realizar cambios en las políticas de registro.
T1562.009	Asegúrese de que las defensas de punto final se ejecutan en modo seguro.
T1574.011	Asegúrese de que se establecen los permisos adecuados para los archivos comprimidos del Registro para evitar que los usuarios modifiquen las claves de los componentes del sistema que pueden conducir a una escalada de privilegios.
© 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Sherlock® flash

Haz una foto de tu red informática en unos pocos clics !

La solución de auditoría Sherlock® flash le permite realizar una auditoría para reforzar la seguridad de sus activos informáticos. Escaneo de vulnerabilidad de sus equipos físicos y virtuales. Planificación de parches por nivel de prioridad y tiempo disponible. Informes detallados e intuitivos.

Descubra esta oferta

Sherlock® flash: primera solución de auditoría de ciberseguridad instantánea