domingo, 28 de febrero de 1999

Netscape afectado por la falsificación de ventanas

Guninski, otro clásico de nuestro servicio de noticias, ha
descubierto recientemente un nuevo bug en Netscape Communicator
que podría dar lugar a la falsificación de contenidos de una
página web.
No es la primera vez que en una-al-día nos hacemos eco de una
vulnerabilidad descubierta por Guninski. En este caso aunque los
efectos puedes ser muy similares a la anteriormente conocida como
"frame spoopìng" la vulnerabilidad es totalmente diferente,
produciendo la falsificación total de una ventana.

El problema afecta a las versiones 3.04, 4.06 y 4.5 para
Windows 95 y 4.08 para Windows NT de Netscape Communicator, y
puede dar lugar a una situación de "Window spoofing". Tras visitar
una página hostil o acceder a un enlace hostil, se abre una
ventana con la localización de un sitio de confianza. Sin
embargo, el contenido de la ventana no será el del sitio
original, sino que será suplantado por el propietario de la
página hostil.

De esta forma, el usuario es desorientado pues cree que está
navegando por un sitio de confianza mientras que en realidad se
encuentra en una página falsa en la que puede proporcionar
información sensible como el número de tarjeta de crédito. El bug
puede darse tanto a través de una página web como en un mensaje
e-mail con html, aunque para que se produzca el lenguaje
Javascript debe de estar habilitado.

Más información:
http://www.nat.bg/~joro/b14.html
http://www.whitehats.com/guninski/b14.html



Antonio Ropero



sábado, 27 de febrero de 1999

Nuevo gusano con múltiples técnicas reproductoras

Bajo el nombre de IRC-Worm.Septic se ha encontrado un nuevo gusano
capaz de reproducirse por múltiples vías, desde el irc, hasta los
ficheros html o los bat.
El virus se manifiesta los días 1 y 2 de cada mes, mostrando un
mensaje y reproduciendo un efecto de vídeo, mediante el uso de
funciones VGA el virus cambia los colores del monitor realizando
fundidos al negro. El primer día muestra el siguiente mensaje:
«Only in your dreams you can be truly free! ~ÅDarK.MeSsiAhÅ~
written by SeptiC [TI] », mientras que el segundo cambia para
presentar lo siguiente: «Pure evil comes from within!
~ÅDarK.MeSsiAhÅ~ Written by SeptiC [TI]».

El virus también soporta una protección para deshabilitar rutinas
infecciosas. Cuando se ejecuta una copia del virus, se busca el
archivo c:\_vac.txt, en caso de encontrarlo regresa inmediatamente
al programa infector, mostrando el mensaje: «You are protected by
a devine power ~ÅDarK.MeSsiAhÅ~ will not touch your files».

La parte principal del virus está formada por un infector DOS
ordinario, con encriptación. De tal forma que cuando se ejecuta
el bucle de desencriptación restaura el código del virus a su
forma no encriptada, saltando a la rutina vírica principal. En
ese momento busca ejecutables DOS, tanto exe como com, procediendo
a su infección, proceso para el que se encripta y escribe su
código al final del archivo modificando la cabecera de este.

Septic busca ficheros en el directorio en que se encuentra, en
los directorios superiores y en general en el árbol de
directorios de todas las unidades desde la C: hasta G:. Se
realiza un chequeo de nombres de los archivos para evitar
infectar COMMAND, ?GA*, ??NP*, ???GW*. Si encuentra alguno de
los ejecutables del cliente mIRC de IRC, también ejecuta una
rutina de infección del script de dicho programa.

Para protegerse de cualquier antivirus procede a dañar los
ficheros claves para la mayorçia de productos (F-*, TO*, TB*,
SC*, AV* de F-PROT, TBAV, SCAN y AVP respectivamente), de tal
forma que al ejecutar el antivirus mostrará el mensaje:
«~ÅDarK.MeSsiAhÅ~ a Digital Touch of DarKness! Written by
SeptiC [TI]» regresando al DOS.

El virus también busca ficheros bat y html, para proceder a su
infección. En la infección a ficheros bat añade al final del
archivo una serie de comandos para reemplazar por un conjunto de
dos instrucciones la order "dir" del DOS. La primera ejecuta el
lanzador de virus porno.com, la segunda ejecuta la propia orden
dir, de tal forma que cualquier instrucción "dir" el lanzador del
virus es ejecutado. El lanzador del virus, llamado porno.com es
creado en el directorio command de Windows (C:\WINDOWS\COMMAND,
C:\WIN95\COMMAND o C:\WIN98\COMMAND).

Para infectar ficheros html, el programa crea otro infector
distinto bajo el nombre de patch.com, añadiendo al final de cada
página html una serie de instrucciones para mostrar el mensaje:
«Download The Latest Patch! Click Here!». Donde, «click here»
creara un link para realizar un download o ejecución del archivo
infecto PATCH.COM.

Para la infección del cliente mIRC emplea la técnica ya utilizada
por otros virus de modificar el archivo script.ini, añadiendo
multitud de comandos. La principal modificación recae sobre el
conjunto de instrucciones de envío de ficheros, cuando el usuario
envíe o reciba archivos, el virus enviará su propio infector
«porno.com». El virus también enviará mensajes al canal, y a los
usuarios, donde se encuentre el cliente infectado. Bajo el nick
de "SeptiC_dm" enviará el mensaje «I am your servant! I have been
turned into a zealot of darkness». También mostrará distintos
mensajes o realiza acciones si determinadas cadenas de texto
aparecen en los mensajes que se escriban en el canal.

Más información:
http://www.avp.com/septic/septic.html


Antonio Ropero



viernes, 26 de febrero de 1999

El Pentium III al descubierto

Antes de la aparición del chip en el mercado una publicación
alemana ha confirmado su capacidad para reventar el polémico
número de identificación incluido en los nuevos procesadores
de Intel.
Durante los últimos meses, la polémica ha venido de la mano de
Intel y su nuevo Pentium III por la decisión de incorporar un
número de identificación a todos los chips. Este número conocido
como PSN (Pentium Serial Number) ofrece la posibilidad de
acceder a él desde las aplicaciones e, incluso, desde Internet.
Intel justifica dicha inclusión alegando su utilidad para las
transacciones electrónicas, ya que así les da una mayor
seguridad

Pero la medida del número identificativo no resultó del agrado
de una gran parte de los usuarios, así como de los defensores
de la privacidad en Internet. En sus argumentaciones se exponía
la posibilidad que tendría cualquier administrador para acceder
a dicho valor. Con dicho número sería posible identificar el
equipo y por tanto al dueño de forma inequívoca, algo que para
muchos recordaba al mito del «Gran Hermano» de George Orwell en
su novela 1984.

Para evitar esta posibilidad y acallar las quejas, Intel optó
por ofrecer los chips con dos posiciones para el acceso al
código. Por defecto, los procesadores se distribuirán con dicha
característica cerrada, dejando al usuario la decisión de
activarla mediante un programa proporcionado por la propia
compañía. La multinacional del Chip, aseguraba que no sería
posible acceder al número de serie si el usuario dejaba
desactivada dicha opción.

Pero la revista C´t, una publicación técnica alemana, ha
anunciado que uno de sus ingenieros ha sido capaz de
desarrollar un programa capaz de acceder al número de serie
incorporado en el procesador incluso sin que el usuario haya
permitido el acceso al código. Esto va en contra de todas las
afirmaciones de Intel y daría lugar a que la privacidad del
usuario se viera vulnerada.


La posibilidad de acceder a este código deja al descubierto el
valor relativo de la información del número identificativo. Si
se puede acceder por software sin permiso del usuario, también
será posible modificarlo, o devolver un número falso cuando se
solicite. Por ello, ha quedado demostrada la falta de claridad
de este valor para cualquier transacción segura.

A pesar de todo ello, la compañía sigue convencida para incluir
esta característica en sus chips, y tiene pocas intenciones de
retroceder en sus planes, asegurando que a la larga el número
identificativo será aceptado. La única medida que Intel piensa
tomar, es dar un valor de 64 bits al PSN, en vez de los
precedentes 32 bits.

Tras el anuncio de la revista C´t diversos grupos defensores del
derecho a la privacidad han solicitado a los fabricantes y
ensambladores de PCs que suspendan la venta de sistemas con
Pentium III.

Más información:
Intel: http://www.intel.com
Computer Technology: http://www.heise.de/ct/english/99/05/news1/
Campaña anti Intel: http://www.bigbrotherinside.com/


Antonio Ropero



jueves, 25 de febrero de 1999

Problemas en Outlook Express con PGP 6.02i

El plug-in para Outlook Express, que se distribuye con la última
versión freeware de PGP para Windows, puede causar daños en el
cliente de correo. Network Associates España, en conversación con
HispaSec, ha confirmado el problema y facilita la solución.
En HispaSec ya pudimos comprobar este problema durante las primeras
pruebas a las que la nueva versión de PGP fue sometida. Al día
siguiente no tardaron en llegar los emails de algunos usuarios que
se encontraban en la misma situación. Según Network Associates
España, "se tiene conocimiento de que en determinadas configuraciones
y/o versiones de Outlook Express se dan problemas tras instalar el
plug-in para dicho cliente de correo".

La solución que nos reporta, que se encuentra también disponible en
la web internacional de PGP (http://www.pgpi.com/bugs/win.shtml), es
muy simple y consiste en:

1.-Realizar una copia del fichero MSIMN.EXE, que se puede localizar
en el directorio donde se instala el Outlook Express. Si fuera
necesario podríamos recurrir a la opción de Buscar del Explorador de
Windows para encontrar su localización. En los sistemas con versiones
españolas suele ser en la trayectoria:
C:\Archivos de Programa\Outlook Express\

2.-Instalar PGP 6.02i, plug-in para Outlook Express incluido.

3.-Iniciar Outlook Express y comprobar que tenemos el problema. En
este caso, en vez de aparecer Outlook Express, una ventana nos
mostrará el siguiente mensaje: "The PGP Outlook Express plug-in was
not installed correctly, or someone has deleted the Outlook Express
program. Please re-install Outlook Express, then re-install the
plug-in."

4.-Renombrar la copia del fichero MSIMN.EXE, que habíamos realizado
en el punto 1, a PGPMSIMN.EXE. Una vez renombrado el fichero,
proceder a copiarlo en el subdirectorio del Outlook Express.

Una vez realizado estos pasos podremos ejecutar sin problemas el
cliente de correo. A partir de ahora nos encontraremos con un nuevo
icono, "Launch PGPKeys", así como la incorporación de un nuevo
elemento en el menú, a través de los cuales podremos acceder a las
funciones de PGP. Para los usuarios que ya se encuentren afectados,
la solución pasa por reinstalar de nuevo Outlook Express, y volver a
instalar PGP según los pasos anteriormente comentados. Otra vía, más
rápida, consiste en hacerse con el ejecutable MSIMN.EXE, de otro
sistema que cuente con la misma versión de Outlook Express,
renombrarlo como PGPMSIMN.EXE y copiarlo en el subdirectorio. De
esta forma se ahorran todos los procesos de reinstalación del
Outlook y PGP.

Más información:
Bugs PGP: http://www.pgpi.com/bugs/


Bernardo Quintero



miércoles, 24 de febrero de 1999

Cuartango descubre una nueva vulnerabilidad del Explorer

Juan Carlos García Cuartango nos informa de la existencia de
un nuevo agujero en el Microsoft Internet Explorer por el cual
es posible acceder desde una página web al contenido del
portapapeles.
Hace un mes (http://www.hispasec.com/unaaldia.asp?id=88),
Cuartango descubrió una vulnerabilidad en el Microsoft
Internet Explorer por la que se demostraba que el contenido
del portapapeles era totalmente accesible a través de
Internet. En aquella ocasión el agujero venía dado por el
uso del objeto ActiveX TexBox de Microsoft Forms 2.0.

En esta ocasión Cuartango informa de un problema similar, pero
mucho más general. En la ocasión anterior era necesario tener
instalado Microsoft Office 97, Microsot Outlook 98, Microsoft
Project 98 o Microsoft Visual Basic 5.0 para verse afectado
por el problema, mientras que a través de este nuevo
descubrimiento cualquier usuario de Explorer está afectado.

El problema afecta tanto al navegador como al lector de correo,
por lo que según Cuartango, en conversación con HispaSec, «el
contenido del portapapeles puede ser "visto" por una página
web o por un correo electrónico con formato html. En ambos
casos la vulnerabilidad se manifiesta a través de unas cuantas
líneas de instrucciones JavaScript.».

Para llevar a cabo la captura del portapapeles, se emplea el
control Microsoft Web Browser ActiveX y a través de este objeto
se realiza la acción de pegado. Como podemos comprobar en la
página de Cuartango (http://pages.whowhere.com/computers/cuartangojc/cb.html)
el script es realmente sencillo y se realiza a través de 10
líneas.

El propio Cuartango se puso en contacto con Microsoft la cual
«ha confirmado el problema que será arreglado por un nuevo
"Service Pack" para el Internet Explorer 4 de próxima aparición».

En HispaSec hemos podido comprobar que este error afecta a las
versiones 4.0 de Internet Explorer, sin poder reproducirlo con
betas de Internet Explorer 5.0.

Más información:
http://pages.whowhere.com/computers/cuartangojc/cb.html


Antonio Ropero



martes, 23 de febrero de 1999

Microsoft ofrece un parche para una vulnerabilidad en el block de tareas

Microsoft ha lanzado un nuevo parche para cubrir una vulnerabilidad
propiciada por una característica del block de tareas (Taskpads),
proporcionado dentro del Windows 98 Resource Kit, Windows 98
Resource Kit Sampler y BackOffice Resource Kit (segunda edición).
Esta vulnerabilidad podría permitir a un webmaster malicioso ejecutar
programas en el ordenador de un visitante del web. Sólo aquellos
usuarios que tengan instalado alguno de los productos afectados, con
cuya máquina naveguen por el web están en peligro por este problema.

Taskpads es una característica incluida en muchos kits de recursos de
Microsoft, formando parte del Resource Kits' Tools Management Console
Snap-in y permitiendo a los usuarios visualizar y ejecutar herramientas
del kit de recursos desde una página html. La vulnerabilidad se produce
porque ciertos métodos proporcionados por Taskpads son marcados de
forma incorrecta como «seguros para scrips» y pueden ser abusados por
un webmaster para invocar ejecutables en la estación de trabajo del
usuario visitante sin su conocimiento o sin su consentimiento.

Los productos afectados, no se instalan ni vienen por defecto con los
sistemas operativos de Microsoft, el kit de recursos de Windows 98 y
los ejemplos de dicho kit, sólo pueden ser instalados bajo Windows 98.
En cambio el kit de recursos de BackOffice se puede instalar en los
tres sistemas operativos (95/98/NT), pero comúnmente se instala bajo
servidores Windows NT, los cuales, por las prácticas de seguridad
recomendadas no suelen emplearse para navegar por la red.

Más información:
Información original de Microsoft:
http://www.microsoft.com/security/bulletins/ms99-007.asp
Parche para Windows 98 Resource Kit, Windows 98 Resource Kit
Sampler, y BackOffice, segunda edición para Windows 95 y 98
ftp://ftp.microsoft.com/reskit/win98/taskpads/tmcpatch.exe
Parche para BackOffice Resource Kit segunda edición para Windows NT:
ftp://ftp.microsoft.com/reskit/nt4/x86/taskpads/itmcpatch.exe



Antonio Ropero



lunes, 22 de febrero de 1999

La versión internacional de PGP 6.0.2i ya está disponible

Tras una larga espera, la versión freeware internacional de PGP 6.0.2
ya está disponible para download.
Prety Good Privacy, más conocido como PGP, es el software de
encriptación más extendido a nivel mundial y candidato a convertirse
en todo un estándar gracias al número de usuarios de todas sus
versiones. Las de sobra conocidas limitaciones a la exportación de
software de los Estados Unidos impedían el uso de este software fuera
de USA de forma legal. La compra de PGP por Network Associates ha
facilitado a los usuarios disponer de un soporte para versiones
comerciales del producto, pero aun son muchos los usuarios que
prefieren recurrir al software de libre distribución.

Para evitar todas las trabas legales los creadores del programa
lograron encontrar una solución que se ha demostrado como totalmente
efectiva. Exportar el código fuente en formato no electrónico, sobre
el cual no hay limitaciones y una vez en Europa proceder a escanear
los 12 libros y más de 6.000 páginas que conforman el código del
programa. Para posteriormente crear una versión internacional
totalmente legal.

De esta forma, usar PGP de forma legal, los usuarios de fuera de los
Estados Unidos deberán recurrir a esta versión internacional, que
puede recibirse de http://www.pgpi.com.

La versión 5.0 del software, así como la 5.5.3 ya sufrieron este
proceso, y ahora la última y más reciente versión ha pasado a ser de
dominio público y mundial. Entre las novedades incluidas en ella se
cuenta la inclusión de plug-ins para OutLook Express, OutLook 98 y
Eudora.

En esta última versión se ha mejorado la integración con las
aplicaciones, gracias a la bandeja PGP o PGPtray se puede encriptar,
desencriptar, verificar o firmar con la mayoría de aplicaciones sin
la necesidad de emplear el portapapeles de forma explícita. También
se incluye acceso directo a las funcionalidades de PGP desde el
Explorador de Windows, con tan sólo pulsar el botón derecho.

También se incluye el software PGPdisk con el que se pueden encriptar
y desencriptar discos y directorios de forma rápida y automática
empleando todas las características de PGP. Lo cual confiere una gran
seguridad y protección de los datos mantenidos que se mantienen en el
disco duro.

Más Información:
http://www.pgpi.com
http://www.pgp.com

HispaSec informa:
-----------------
Las páginas web de HispaSec están en continua actualización, una
prueba de ello son las nuevas secciones que se han inaugurado
recientemente:
La sección "Eventos" (http://www.hispasec.com/eventos.asp) trata de
exponer todos los acontecimientos, cursos, presentaciones, ferias,
etc. que tengan como protagonista el mundo de la seguridad
informática.

Por otra parte hemos creado un apartado en el que daremos cabida a
todas aquellas noticias que aun siendo de suficiente importancia, no
llegan a entrar en nuestra noticia diaria. Por lo que de una forma
breve informaremos completamente de todas las novedades en lo que
atañe a vulnerabilidades, parches, etc. Se puede encontrar este
espacio en la página http://www.hispasec.com/breves.asp que se
actualizará de forma continua.

Ambas secciones son accesibles desde la página principal de HispaSec
(http://www.hispasec.com).

Por otra parte, HispaSec está abierta a todo tipo de comentarios y
colaboraciones, abriendo la comunicación entre nuestros suscriptores
y usuarios del web. Podeis entrar en contacto con nosotros a través
de las direcciones e-mail hispasec@hispasec.com o
noticias@hispasec.com.


Antonio Ropero



domingo, 21 de febrero de 1999

Agujero de seguridad remoto en Mail-Max

El servidor de SMTP Mail-Max, disponible para las últimas versiones
de Windows (tanto 95/98 como NT), contiene un fallo que permite
ejecutar código arbitrario, con lo que se puede lograr un control
remoto total de la máquina atacada.
Así pues, tenemos otro típico caso de un buffer overflow provocado
por la carente comprobación de las cadenas de entrada al programa.
Todo ello es debido a que el servidor de correo Mail-Max al recibir
los comandos no comprueba la longitud de la línea, con lo que es
posible sobreescribir la memoria hasta llegar a la pila. Un atacante
puede hacer que la dirección de retorno (que se encuentra,
lógicamente, en la pila) apunte a un código que hábilmente haya
metido entre la cadena que copia a la memoria. De esta forma puede
lograr la ejecución del código que desee.

Además, debemos de tener en cuenta la insistencia de Mail-Max a
tener la versión 1.5c de sus drivers ODBC. Durante la instalación
del servidor, y en caso de la ausencia de estos controladores, nos
ofrece de nuevo la posibilidad de instalarlos. El resultado es que
el prácticamente la mayoría de los sistemas cuentan con esta versión
de los drivers, lo que hace aún más fácil explotar la máquina.
Resulta más sencillo el poder encontrar una instrucción "jmp",
gracias a la cual se hace saltar el contador de instrucciones del
procesador hacia la dirección de memoria que se indique, y ejecutar
el código que allí se encuentre.

Aunque este problema es común en multitud de software, resulta,
cuando menos, una triste sorpresa en este caso en particular. Los
autores de dicho programa no desconocen la existencia de este tipo
de ataques, ni tampoco la fácil manera de evitarlos. Es algo que se
logra simplemente comprobando el tamaño de la cadena recibida antes
de hacer nada con ella, o limitando la lectura de dicha cadena a un
número máximo de caracteres. Estas medidas son las que pusieron en
práctica en el programa popmax distribuido con Mail-Max, ó en otros
de sus productos como ftpmax. En estos casos, y al mandar una cadena
excesivamente larga, el software te notifica que estás intentando
sobreescribir un buffer de memoria, evitando así el ataque.

Más información:
SmartMax Software: http://www.smartmax.com


Javier Polo



sábado, 20 de febrero de 1999

Microsoft soluciona el problema del acceso a dlls

Ayer nos hacíamos eco de una nueva vulnerabilidad de Windows NT.
Hoy debemos reflejar la reacción de Microsoft publicando un boletín
informando del problema y la solución para remediar los efectos del
nuevo agujero.
Microsoft ha reaccionado rápidamente al descubrimiento de L0pht y
en menos de 24 horas ha ofrecido un boletín informando de la
posibilidad que tiene cualquier usuario local de conseguir
privilegios de administrador sobre una estación Windows NT. En
nuestra noticia de ayer, ya explicábamos la causa del problema y
el parche ofrecido por los propios descubridores para solucionarlo.

Ahora la empresa de Bill Gates ofrece otra solución, la consecución
de privilegios puede ser evitada añadiendo una clave en el registro.
Se trata de una configuración ya recomendada en múltiples directivas
de seguridad sobre Windows NT. A pesar de ello, ofrece esta solución
de forma eventual, pues informa que está desarrollando un parche
para cambiar la configuración por defecto del control de acceso en
datos relevantes del sistema operativo, para eliminar completamente
la vulnerabilidad.

Microsoft advierte que el problema sólo afecta a la máquina a la que
el usuario ha accedido de forma local. De esta forma un usuario de
una estación de trabajo puede llegar a conseguir derechos de
administración local, pero no puede usarse directamente para
conseguir administración en el dominio.

Para habilitar una mayor protección en la base del sistema como la
lista de KnownDLLs, origen del problema, Microsoft recomienda
modificar un valor en el registro. En la clave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager
debe ajustarse el valor de ProtectionMode a 1.

Más información:
Información de Microsoft:
http://www.microsoft.com/security/bulletins/ms99-006.asp
Información original del problema: http://www.l0pht.com/advisories.html
Consejos de instalación y configuración segura de Windows NT:
http://www.microsoft.com/security/resources/whitepapers.asp
http://www.microsoft.com/ntserver/security/exec/overview/Secure_NTInstall.asp



Antonio Ropero



viernes, 19 de febrero de 1999

Agujero que permite control total de NT 4.0

Un nuevo problema de seguridad en el sistema operativo Windows
NT 4.0, puede permitir que cualquier usuario con acceso local
a la máquina consiga derechos de administrador.
El conocido grupo L0pht ha hecho público un nuevo problema de
seguridad. No es la primera vez que esta agrupación aparece en
nuestras noticias por este tipo de descubrimientos. Esta vez, el
problema parece ser bastante grave, ya que permitiría a cualquier
usuario local con acceso a una máquina Windows NT 4.0 , lograr
derechos de administrador, independientemente de los permisos
originales que disponga el usuario.

El problema radica en la implementación en Windows NT de una zona
de memoria caché destinada al mapeado de objetos, con el propósito
de cargar librerías de acceso dinámico (dlls) lo más rápido
posible. Esta caché de objetos, se crea con los permisos
necesarios para que el grupo de todos los usuarios tenga control
total sobre ella. Por tanto, y en este punto reside la
vulnerabilidad, es posible borrar objetos de esta caché y
reemplazarlos por otros que apunten a diferentes dlls.

Cuando se crea un proceso, se carga el ejecutable importando las
dlls en el espacio de procesos. Si en esta zona existe un objeto
dll cachéado, se asocia en el espacio de procesos antes que ir al
disco. Por lo tanto, hay una condición explotable cuando un
usuario sin privilegios reemplaza una dll en la caché por una dll
troyana, seguido de un acceso con privilegios lanzando el proceso.
El proceso con privilegios mapeará la dll falsa y su código
ejecutable en beneficio del usuario sin privilegios.

L0pht ha desarrollado una dll troyana basada en el kernel32.dll
para demostrar la vulnerabilidad de esta forma de administrar la
creación de procesos. La dll troyana realiza las llamadas a las
funciones de la dll original, aunque incluye una función DllMain()
diferente, que se ejecuta cuando se carga la librería maligna. Una
aplicación se encarga de sustituir el mapeado al kernel32.dll de
la caché del sistema por la dll maliciosa.

De igual forma, ha desarrollado un parche para cubrir los peligros
de esta vulnerabilidad y que presenta en forma de servicio Win32
para ser instalado por el administrador del sistema. El parche se
configura a sí mismo para ejecutarse cada vez que se inicia el
sistema y antes de que el usuario tenga oportunidad de ejecutar
un programa ajusta los permisos de la caché a unos valores más
seguros.

Todos los detalles técnicos del problema, el modo de funcionamiento
del espacio de memoria en el que se almacenan las dlls o el parche
(y el código fuente) que soluciona la vulnerabilidad se encuentran
en http://www.l0pht.com/advisories.html.

Más información:
Información original del problema: http://www.l0pht.com/advisories.html
Dll troyana: http://www.l0pht.com/advisories/hackdll.zip
Parche: http://www.l0pht.com/advisories/dllfix.zip
System Internals (herramienta WinObj v2.0): http://www.sysinternals.com


Antonio Ropero



jueves, 18 de febrero de 1999

Buffer Overflow en "Super"

Se ha descubierto una vulnerabilidad en la utilidad "Super",
distribuida con Debian Linux, que permite llevar a cabo ataques
que comprometen el nivel root del sistema.
"Super" es una utilidad de administración de sistemas que
facilita el autorizar, a determinados usuarios, la ejecución
de algunos comandos con privilegios de root. Ha sido diseñada
para constituir una alternativa a los scripts setuid, que ya de
por si resultaban peligrosos para la seguridad de los sistemas.

Aplicando a "Super" la técnica de buffer overflow, ya comentada
en noticias anteriores, un atacante puede llegar a obtener
privilegios de root.

Las versiones afectadas por esta vulnerabilidad son las
comprendidas entre la 3.9.6 y la 3.11.6. Dentro de este espectro
se encuentran todas las versiones que acompañan a la distribución
Debian Linux. El resto de distribuciones pueden ser afectadas, ya
que la utilidad "Super" puede ser instalada y configurada en
muchas variantes Unix.

Para comprobar si nos encontramos afectados bastará con
comprobarlo mediante el comando: # /usr/bin/super -V
Si la versión mostrada es vulnerable podremos deshabilitar
la utilidad con: # chmod 755 /usr/bin/super

Se recomienda actualizarse inmediatamente a la versión 3.11.7,
cuya fuente puede obtenerse integra en:

ftp://ftp.ucolick.org/pub/users/will/super-3.11.7.tar.gz
ftp://ftp.onshore.com/pub/mirror/software/super/super-3.11.7.tar.gz

También existe la posibilidad de parches:
Parche para la v. 3.11.6
ftp://ftp.onshore.com/pub/mirror/software/super/super-3.11.6.patch1

Parche para migrar de la 3.11.6 a la 3.11.7
ftp://ftp.onshore.com/pub/mirror/software/super/super-3.11.6-3.11.7

Más información:
Boletín CIAC, información original:
http://www.ciac.org/ciac/bulletins/j-031.shtml


Bernardo Quintero



miércoles, 17 de febrero de 1999

Seguridad en Linux World Conference and Expo

En San José, California, tendrá lugar la conferencia mundial del
popular sistema operativo Linux. Entre los días 1 y 4 de Marzo, en los
que se desarrollará el evento, se llevarán a cabo numerosas
ponencias y tutoriales con una importante presencia de los temas
relacionados con la seguridad informática.
La exposición, dedicada principalmente al ámbito corporativo y de
los negocios, cuenta con la presencia y el apoyo de los grandes nombres
del mercado informático: IBM, SUN, Hewlett Packard, Compaq, Corel,
Oracle ó Sybase entre otros. Además de las firmas, y entre otras
personalidades del mundo Linux, ya tiene confirmada su presencia
Linus Torvalds, padre del sistema operativo. El evento cuenta
con interesantes conferencias y tutoriales, a continuación nos hacemos
eco de aquellas que están relacionadas con la seguridad:

El lunes, 1 de Marzo, tendrá lugar el tutorial "Bulletproof UNIX
Programming", donde Chip Salzenberg explicará como realizar programas
seguros, evitando los agujeros clásicos mediante algunas reglas
básicas a tener en cuenta en la fase de diseño. Ese mismo día se
dará otro tutorial bajo el nombre de "Linux Security for the System
Administrator", en la que Jim Dennis guiará a través de ejemplos
practicos los aspectos básicos sobre la eliminación de servicios
innecesarios para limitar los accesos, politica de administración de
usuarios y características especiales del kernel.

El martes, 2 de Marzo, David Sifry nos enseñará a contruir redes
privadas virtuales, basándose en casos reales, bajo el nombre de
"Building Linux-Based Virtual Private Networks". En la misma fecha Paul
Russell y Michael Neuling presentarán "Linux Packet Filtering". En
este tutorial se explorarán varios aspectos del filtrado de paquetes
en Linux: conceptos, necesidad, seguridad, configuración, cortafuegos,
masquerading/NAT ó filtrado de IPv6 entre otros.

El miercoles, 3 de Marzo, y ya en el formato de conferencia, los mismos
protragonistas ampliarán aspectos del filtrado de paquetes en la
presentación "Future plans for IP Packet Filtering under Linux".

Otro evento similiar, International Linux Conference and Exposition
(LINC), ha hecho publico un comunicado en el que se une a esta
exposición debido a la similitud entre ambas. Por su parte la Fifth
Annual Linux Expo, que tendrá lugar entre el 18 y el 22 de mayo en
Raleigh NC, anuncía entre sus contenidos títulos tan sugerentes
como: "Firewall Technologies with Linux as a case study", "Understanding
Encryption & Digital Signatures" y "Managing Security Threats".

Más información:
Linux World Conference and Expo: http://www.linuxworldexpo.com
International Linux Conference and Exposition (LINC):
http://www.lincexpo.org
Fifth Annual Linux Expo: http://www.linuxexpo.org


Antonio Román



martes, 16 de febrero de 1999

Ataques a sistemas con Mini-SQL

Una consulta remota a las estadísticas de este motor de
base de datos puede suministrar información sensible. Los
sistemas Unix que dispongan de este software pueden ser
motivo de acceso incontrolado a bases de datos, ataques de
denegación de servicios, y a exponer otras vulnerabilidades
de su sistema al ofrecer esta información.
Entre los datos sensibles que resultan expuestos se encuentra
la tabla de conexiones. Esta tabla es un finger que muestra
en todo momento los usuarios conectados al servidor, sus
direcciones, y las bases de datos a las que están accediendo.

Debido a que mSQL utiliza un sistema de autentificación que
se basa en los usuarios y sus direcciones, esta tabla revela
todos los datos necesarios para acceder a una base de datos
concreta.

Entre otra información sensible, a la que también se puede acceder,
destaca los datos sobre el número máximo de conexiones que
soporta el sistema y las conexiones actuales. Con esta
información se facilita el poder llevar a cabo con éxito un
ataque por denegación de servicio.

Otros datos accesibles a tener en cuenta son la versión que se
está utilizando de Mini-SQL, que pudiera dar lugar a ataques
basados en vulnerabilidades específicas de esa versión en
particular. En ese mismo sentido resulta peligroso el que se
pueda conocer el nombre y el id de usuario del proceso msqld,
ya que facilita el averiguar la versión del sistema operativo
que se está utilizando.

Para evitar los ataques se recomienda actualizarse a la última
versión de Mini-SQL, v.2.0.7, disponible desde el 15 de febrero.
En esta nueva versión se ha deshabilitado las estadísticas
remotas, con lo que se ataja de raíz todos los problemas
anteriormente comentados.

Mini-SQL v.2.0.7 disponible en:
http://www.hughes.com.au/software/msql2/msql-2.0.7.tar.gz

Más información:
KSR[T], información original: http://www.ksrt.org/adv10.html
Hughes Technologies, Mini-SQL: http://www.hughes.com.au



Bernardo Quintero



lunes, 15 de febrero de 1999

Autorización para exportar cifrado de 128 bits

Son de sobra conocidas las limitaciones para la exportación de
productos criptográficos establecidas por la administración
americana, recientemente una compañía ha recibido el permiso para
la exportación de software de cifrado de 128 bits.
A pesar de las fuertes medidas para la limitación de exportación de
productos de cifrado impuestas por la administración estadounidense
se empiezan a evidenciar comportamientos que podrían llegar a
terminar en una relajación de dichas normas. A finales de año, nos
hicimos eco del alivio en la normativa que establecía el límite en
40 bits, para pasar a permitir la exportación de software de hasta
56 bits, con lo que productos que emplearan el DES ya podían
exportarse a todo el mundo. (http://www.hispasec.com/unaaldia.asp?id=64)

Recientemente, la empresa WatchGuard Technologies ha recibido la
autorización del United States Bureau of Export Administration
(BXA, Departamento de Exportación de Estados Unidos) para exportar
productos con tecnologías de 128 bits y encriptación Triple DES.

La concesión otorga libertad para exportar el componente Virtual
Private Network (VPN, Red Privada Virtual) del Sistema de Seguridad
WatchGuard (WatchGuard Security System) a 41 países aprobados por
el BXA. Este sistema de seguridad es una solución que integra un
firewall, la Red Privada Virtual y capacidades de actualización
automáticas. El sistema está diseñado para pequeñas y medianas
empresas que carecen de los recursos para instalar un firewall
complejo y realizar una labor de monitorización continua para el
tratamiento de nuevos riesgos.

El algoritmo TRipleDES empleado en la Red Privada Virtual de
WatchGuard, es una variante avanzada del ya conocido DES. Se trata
de otro algoritmo de clave simétrica, pero que basa su efectividad
en emplear tres veces un cifrado DES (de ahí su nombre). A pesar de
emplear en cada proceso una clave de 56 bits, la iteración del
proceso le confiere una longitud efectiva de 112 bits. Este
algoritmo, por su robustez, es uno de los algoritmos destinados a
sustituir en los próximos años al ya debilitado DES.

Aunque se trata de una medida concreta, es evidente que sienta un
precedente y no podemos por menos que alegrarnos ante esta noticia,
esperando que signifique una mayor apertura en lo que a la
exportación de productos criptográficos se refiere.

Más información:
http://www.watchguard.com


Antonio Ropero



domingo, 14 de febrero de 1999

El problema del 2000 durará más de un año

El año 2000 y los problemas que traerá consigo siguen siendo la causa
de muchas conversaciones, actualización y de productos para testeo de
equipos y aplicaciones, pero no sólo hay que vigilar el día en el que
el calendario cambie de año.
Todos los expertos parecen estar de acuerdo en una cosa, no se podrá
bajar la guardia durante mucho tiempo, aun pasado el 1 de enero del
2000. Tan sólo un ocho por ciento de los errores que puedan darse por
el cambio de fecha tendrán lugar dicho día. Los tres próximos años
serán susceptibles a la aparición de errores y problemas con igual
probabilidad a la de cualquier otro día.

Otra fecha clave será el tres de enero, ya que el primer día del año
cae en sábado y muchas oficinas no abrirán hasta pasado el fin de
semana. Pero incluso fechas más avanzadas en el año pueden
considerarse peligrosas, ya que no todas las aplicaciones se ejecutan
todos los días.

Otras fechas a tener en cuenta son los comienzos del año fiscal, que
en muchos casos suele tener lugar a mediados de año. Para muchas
organizaciones el verdadero peligro del 2000 se sitúa en esa fecha y
no en otra. Por ejemplo el gobierno americano inicia el año fiscal el
1 de octubre del 2000, mientras que el japonés o el canadiense lo
hacen el 1 de abril.

Además hay que tener en cuenta que un error en cualquiera de los
sistemas puede afectar y extenderse rápidamente a otros ordenadores
conectados a él. Por eso no hay que prestar solamente atención a un
día en especial, no basta con poner la fecha del ordenador a 1 de
enero y comprobar que todo funciona correctamente, los tests deben
ser mucho más profundos.

No sólo habrá que prestar atención a los ficheros de datos, las
aplicaciones, scripts, etc. que hagan uso de ellos también deberán
ser testados y modificados para aceptar las fechas con el año en
formato de cuatro dígitos. No servirá de nada modificar las fechas
en un fichero de datos, si tras él existen aplicaciones que no
reconocen correctamente dicho formato.


Antonio Ropero



sábado, 13 de febrero de 1999

Primer virus que elimina virus

La amenaza vírica no descansa, cada día aparecen nuevos virus, y
nuevas técnicas de infección. En esta ocasión un nuevo virus de
macro elimina otro virus al realizar la infección.
El virus denominado W97M.Ethan funciona de forma similar a la
mayoría de virus de macro y sólo infecta ficheros de Word. El
virus es fácilmente detectable por la acción que realiza, ya que
en un 30 por ciento de los casos cambia el nombre del documento a
"Ethan Frome", el nombre de una novela escrita por Edith Wharton.
También cambia el nombre del autor a "EW/LN/CB".

La infección tiene lugar cuando se cierra un documento Word
infectado, permitiendo al virus propagarse a si mismo a la
plantilla normal.dot. Con unas 50 líneas de código, el virus se
puede considerar único o novedoso ya que es el primer virus que
elimina otro virus.

Ethan borra el archivo class.sys, en el cual se esconde el virus
de macro W97M.Class. El virus Class no es un virus dañino, su
acción se limita a emitir insultos y obscenidades a los usuarios
en determinados días del mes. Aunque no se sabe exactamente la
causa de dicha eliminación, se supone que puede ser debida a
incompatibilidades entre ambos.

Más información:
http://beta.nai.com/public/datafiles/valerts/vinfo/ethan.htm


Antonio Ropero



viernes, 12 de febrero de 1999

Nuevos problemas con las cookies

Uno de los temas polémicos al tratar la privacidad y la seguridad
de los navegadores, es el uso de las cookies. En esta ocasión,
debido a un problema sin establecer aun concretamente, un sitio
web ha podido tener acceso a datos sensibles de sus usuarios.
Las cookies son pequeños ficheros que se graban en el disco duro
del usuario, y sirven para que al acceder a un sitio web, este
pueda optimizar su presentación atendiendo a nuestras anteriores
navegaciones sobre él. Personalizando las secciones que ha
registrado que más nos gustan, etc. En este archivo, también
se pueden almacenar datos como las veces que hemos visitado el
web, la fecha en que se hizo, etc. Toda esta informaciónsólo es
accesible por el sitio web que genera la cookie y «en teoría»
no deben suponer ningún problema de seguridad.

Todas las quejas sobre el uso de cookies han venido por los
defensores de la privacidad, ya que el mayor abuso que puede
realizarse con ellas, es un control sobre nuestras visitas al
sitio web.

Pero el tema vuelve a saltar con más importancia que nunca, pues
un sitio web (http://consumer.net) ha anunciado que en sus logs
se estaba recogiendo información de los usuarios proveniente de
cookies de otros servidores. Entre los datos que se pueden
encontrar en los registros, se pueden observar direcciones de
correo, passwords, etc.

El problema en esta ocasión radica en que un sitio web, ha podido
acceder al contenido de las cookies de otros servidores, cosa que
teóricamente debe ser imposible. Aun no se sabe la causa, ya que
tanto los navegadores de Microsoft como los de Netscape se ven
afectados por el problema, y ninguna de las firmas han sido
capaces de obtener una causa del problema.

En principio se pensó que era debido a un bug en los navegadores,
opción que finalmente parece descartarse. Todo indica que el
error proviene más de un fallo imprevisto en el archivo de la
cookie. Los archivos mostrados por el administrador de
consumer.net muestran que Netscape pierde un comando de retorno
de carro al final de algunas entradas de cookies, haciendo que
el servidor siga leyendo cuando debería de haber parado. Aunque
también enfatiza que se trata de un descubrimiento preliminar,
y que el problema es raro.

Sigue sin aclararse de que forma los archivos de las cookies se
corrompieron, aunque las causas más comunes son los «cuelgues»
del sistema o apagar el ordenador sin cerrar el sistema
operativo.

De momento el tema sigue abierto, y la problemática y el debate
sobre el uso (y abuso) de las cookies vuelve a abrirse una vez
más. Por otra parte, aunque la situación dada en consumer.net
haya sido un tanto extraña se abre la posibilidad de leer desde
un servidor cookies que no le pertenecen, lo cual si se consigue
explotar de alguna forma sí podría representar un grave problema
de seguridad.

Más información:
Ejemplos de los logs: http://onlineprivacy.com/cookiebug/
Consumer.net: http://consumer.net



Antonio Ropero



jueves, 11 de febrero de 1999

Inseguridad en el webmail

Recientemente se han descubierto problemas en los servicios de email
gratuitos a través de web (como hotmail) por los que pueden ser
utilizados para mandar spam o emails maliciosos.
El principal problema, en esta ocasión, es que usuarios que naveguen
por la web pueden ser los principales sospechosos, al utilizarse sus
navegadores para cometer la fechoría sin el conocimiento de ellos.

Es de sobra conocido el uso de estos servicios gratuitos por parte de
gran número de usuarios para mantener el anonimato. En ocasiones,
son también utilizados por personas maliciosas para mandar correos
dañinos, creyendo que no pueden ser identificados al utilizar este
método. Pero esto no es totalmente cierto, pues no se llega a
ofrece tal grado de anonimato. En casos de sospecha de actividad
ilegal se puede requerir vía judicial los logs de los servidores.

El nuevo agujero, fue descubierto por Bennett Haselton, quien lo
demostró utilizando el servicio de Hotmail. El autor explica que
problema está basado en un código malicioso en JavaScript, que se
puede utilizar en Netscape o Internet Explorer por el que se hace
posible que los logs apunten hacia IPs de usuarios inocentes y
ajenos a estos actos delictivos.


El atacante utiliza una web tipo "caballo de troya". Lo que
aparentemente parece una página atractiva guarda en su interior
el código javascript maligno que provocará el envío de emails
utilizando el navegador de la víctima. Todo este proceso se
lleva a cabo sin el conocimiento del usuario, que irá dejando
en el servicio de correo gratuito su IP como autor del remitente
de los emails.

Según Laura Norman Gerente de Hotmail, los logins y passwords de
sus usuarios no se ven afectados por este problema ya que mediante
este código no es posible acceder a ellos. Así mismo, en prevención
de posibles problemas están preparando un parche que estará
disponible en breve.


Antonio Román



miércoles, 10 de febrero de 1999

Ataque remoto a servidores FTP

Las últimas versiones de ProFTPD (1.2.0pre1) y de Wuarchive ftpd
(2.4.2-academ[Beta-18]) son vulnerables a un ataque remoto que
compromete el nivel de root de los sistemas unix.
Wu-ftpd es instalado y habilitado por defecto en muchas de las
distribuciones de Linux, como RedHat y Slackware. En cuanto a
ProFTPD, se trata de un software de reciente aparición que
ha sido adoptado por muchas empresas en Internet por su
rendimiento y fiabilidad.

Existe un ataque clásico, buffer overflow, que consiste en
provocar la ejecución, sin autorización, de comandos con
privilegio de root. Se basa en las deficiencias en el
código a la hora de controlar los tamaños de algunas entradas,
lo que puede provocar un desbordamiento en el espacio de la pila.

Es decir, se provoca que el sistema intente almacenar demasiada
información en poco espacio. Al ser la información excesiva se
produce una sobreescritura de los datos sobrantes en otra parte
de la memoria. Este hecho puede ser aprovechado por un hacker
para introducir comandos en código máquina en la cadena de entrada
que provoca el desbordamiento, de manera que al posicionarse
directamente en la memoria el sistema los ejecute. De esta forma
se consigue vulnerar los controles de acceso y poder ejecutar
programas arbitrariamente.

La versión actual de ProFTPD, 1.2.0pre1 del 19 de Octubre de 1998,
es vulnerable a este tipo de ataque, así como todas las versiones
anteriores. El problema será corregido en la 1.2.0pre2, hasta
la aparición de esta nueva versión se puede aplicar el parche
disponible en:

ftp://ftp.proftpd.org/patches/proftpd-1.2.0pre1-path_exploit.patch

En el caso del wu-ftpd se recomienda actualizarse a las series VR,
que se encuentran libre de esta vulnerabilidad a partir de la
versión 2.4.2 (beta 18) VR12, disponible en:

ftp://ftp.vr.net/pub/wu-ftpd/wu-ftpd-2.4.2-beta-18-vr12.tar.Z
ftp://ftp.vr.net/pub/wu-ftpd/wu-ftpd-2.4.2-beta-18-vr12.tar.gz

RedHat, cuya versión 5.2 y anteriores son vulnerables, ofrece el
parche en:

ftp://updates.redhat.com/5.2//wu-ftpd-2.4.2b18-2.1..rpm

En el caso de Slackware, en el que todas sus versiones son
vulnerables, los parches se encuentran en:

ftp://ftp.cdrom.com/pub/linux/slackware-3.6/slakware/n8/tcpip1.tgz
ftp://ftp.cdrom.com/pub/linux/slackware-current/slakware/n8/tcpip1.tgz
El resto de información y parches para otros sistemas pueden
encontrarse en la dirección original que ofrece esta información:

http://www.netect.com/advisory_0209.html


Bernardo Quintero



martes, 9 de febrero de 1999

La instalación de BackOffice compromete la seguridad

Un par de archivos generados durante la instalación de BackOffice 4.0
para Windows NT 4.0 dejan vulnerable el sistema, exponiendo en texto
plano y sin cifrar los nombres de usuario y passwords de cuentas de
administración de los servicios instalados.
La utilidad de instalación de Microsoft BackOffice 4.0 crea un
fichero llamado «reboot.ini» dentro del directorio «\Program
Files\Microsoft BackOffice». Este archivo contiene en texto plano
el nombre de usuario, password (y nombre del servidor) de las
cuentas de administración de servicios tan importantes como el
servidor SQL, el Servidor Exchange y el Servidor de Transacciones
(Transaction Server).

Este archivo que queda «olvidado» tras la instalación, aunque ésta
haya finalizado sin problemas, está al acceso de cualquier usuario
sin restricciones de ningún tipo. Todo ello, con el consiguiente
riesgo para el sistema, al ofrecer todos los datos necesarios para
acceder con pleno derecho a servicios fundamentales de Microsoft
BackOffice. Por otra parte, en dicho archivo también se guarda
información sobre la configuración de cada una de las extensiones
instaladas.

Otro peligro asociado a los restos olvidados por la instalación de
BackOffice recae en que en el mismo directorio se puede encontrar
una copia del «regedit.exe». Pero en esta ocasión el editor del
registro, está al acceso con todos los permisos para cualquier
usuario. Aunque los propios permisos del registro deben prevenir
accesos indebidos, el Administrador siempre desea tener el control
de uso de este ejecutable. Por ello, no existe ninguna razón por la
que este fichero deba existir en dicho directorio, ya que su
existencia podría (entre otras cosas) permitir su uso sin auditar.




Antonio Ropero



lunes, 8 de febrero de 1999

Un error en el SP 4 permite acceder a NT sin password

Microsoft acaba de publicar un parche para una nueva vulnerabilidad
en NT 4.0 con Service Pack 4, por la que debido a un error en el
proceso de autentificación se podría acceder a los recursos del
ordenador introduciendo la password en blanco.
Debido a un error en el Service Pack 4 para Windows NT 4.0, bajo
determinadas circunstancias, podría permitir que un usuario accediera
a un sistema y se conectara a los recursos compartidos introduciendo
una password en blanco. El problema afecta mayoritariamente, aunque
no de forma exclusiva, a los servidores NT que actuan como
controladores de dominio en entornos con clientes DOS, Windows 3.1x,
OS/2 o Macintosh. En general los usuarios que emplean en sus
estaciones de trabajo clientes Windows NT y Windows 95/98 no se ven
afectados por esta vulnerabilidad.

Microsoft ofrece un parche y total soporte sobre este, recomendando
a sus clientes evalúen el riesgo de su sistema, y en caso de necesidad
se proceda a su instalación.

El problema proviene del sistema en que Windows NT almacena y gestiona
las contraseñas. El archivo o base de datos SAM (Security Account
Manager) contiene las cuentas de usuarios del sistema, junto con los
nombres de usuario almacena el valor hash (o resumen) de las passwords
en dos formas diferentes, «NT hash» y «LM hash». Básicamente ambas
contienen la misma información pero claramente diferenciada, la primera
se emplea para la autentificación de clientes Windows NT, mientras que
la segunda para el mismo proceso bajo plataformas Windows 95/98 y
clientes a un nivel inferior, como DOS, Windows 3.1x, OS/2 y Macintosh.

Cuando un usuario cambia su password desde un Windows NT, 95 o 98 ambos
valores hash se actualizan en el archivo SAM de forma adecuada. Pero
cuando el usuario actualiza su password desde otro sistema sólo se
actualiza el valor «LM hash» (LanManager hash) dejando el «NT hash»
en blanco. Esta es la forma normal de proceder. Cuando un usuario
intenta entrar en el sistema o conectar a un recurso compartido desde
otro NT, el proceso de autentificación de Windows NT usa la forma «NT
hash» del archivo SAM. Si este resumen es nulo, se emplea el hash
LanManager (que nunca es nulo) para la verificación.

El error en el Service Pack 4 recae en que acepta, de forma incorrecta,
el valor nulo como «NT hash» para la autorización desde sistemas NT. El
resultado es que si la clave del usuario fue cambiada desde un cliente
DOS, Windows 3.1x, OS/2 o Macintosh se podrá acceder en dicha cuenta
desde un Windows NT usando una password en blanco (simplemente pulsando
Enter).

Las máquinas afectadas por esta vulnerabilidad son los servidores
Windows NT 4.0 con Service Pack 4.0 instalado, actuando como
controladores de dominio en redes que contengan cualquiera de los
clientes indicados anteriormente. Sin embargo, cualquier servidor o
estación de trabajo con NT 4.0 SP 4 que contenga un archivo SAM con
cuentas de usuarios que se comuniquen con los sistemas indicados
también están bajo riesgo.

Una vez instalado el parche Microsoft aclara que no existe ninguna
necesidad de actualizar las passwords, incluso en los sistemas
afectados. Ya que las entradas el el archivo SAM son totalmente
correctas, el error proviene de la forma en que el Service Pack
trata dichas entradas, aceptando un «NT hash» en blanco como resumen
válido, y no obviándolo y realizar la comprobación a partir del
resumen LanManager.

Más información:
http://www.microsoft.com/security/bulletins/ms99-004.asp
http://support.microsoft.com/support/kb/articles/q214/8/40.asp
Parche para x86: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP4/Msv1-fix/msv-fixi.exe


Antonio Ropero



domingo, 7 de febrero de 1999

Nuevo ataque vírico a la gama Office

Los usuarios de los productos de la gama Office tienen, desde
hace unos días, una amenaza vírica más de la que preocuparse.
Esta vez la noticia viene de la mano de un virus que es capaz
de funcionar bajo varios programas del paquete Office97 y que
se ha colocado "in the wild" en apenas unos días, gracias a su
capacidad de expansión a través de Internet.
El virus, llamado "Triplicate", viene a ser una secuela de la
moda de infectores multiplataforma, iniciada en general por el
Esperanto de Mister Sandman (PC/Mac), y, en la gama Office, por
el Teocatl de Reptile (Excel/Word) y el Cross de VicodinES
(Access/Word), casi a la vez.


En esta ocasión las plataformas afectadas son Word, Excel y
PowerPoint, esta última recientemente "abierta" por el propio
autor del "Triplicate", un tal 1nternal, responsable a su vez
de virus de formato VBS y HTML, así como de un generador de
infectores de dichos formatos.

El "Triplicate", compuesto por tres procedimientos distintos y
específicos para cada plataforma, que a su vez están ramificados
en tres rutinas de infección para cada uno de los formatos, es la
cuarta versión de una serie de experimentos efectuados por el autor
del virus. Mientras que la segunda y la tercera son simplemente
correcciones de "bugs" de las versiones previas, la generación que
se ha puesto "in the wild" incorpora una novedad con respecto a las
anteriores, que es precisamente la que proporciona una mayor
predisposición al virus de cara a expandirse con gran rapidez a
través de Internet.


El origen de todas las infecciones registradas hasta el momento está
en la página web de 1nternal, ubicada en el "Geocities del
underground", Source Of Kaos (sourceofkaos.com/homes/1nternal), en la
que se ofrece un fichero con cientos de claves de acceso a servidores
web de contenido pornográfico. Todo visitante que descargue dicho
documento y lo abra en su ordenador sin haberse desconectado estará
expuesto, por culpa de un fallo de seguridad de Word97, a ser infectado
por el virus "Triplicate". Esto se debe a que, por medio de una
referencia especial, el documento que el usuario ha descargado fuerza
al Word a descargar del mismo servidor una plantilla infectada por el
virus, que es la que se encargará de extenderse por el ordenador
afectado, ya que ninguna alarma antivirus se percata de este truco.

Una vez que el virus ha llegado en forma de plantilla al ordenador, el
primer paso consiste en deshabilitar la seguridad antivirus por medio
de comandos escritos en VBA, modificando determinados valores del
registro de Windows por medio del comando RegWrite. Tras esto y un
pequeño chequeo de la plantilla NORMAL.DOT para evitar reinfecciones,
el virus procede a infectar de manera metódica cada uno de sus
objetivos: Word, Excel y PowerPoint.

La infección de Word es tan sencilla como copiar el código del
documento actual a la plantilla NORMAL.DOT, tal y como se viene
haciendo desde siempre, para así poder manipular cada fichero por
medio de su función "Document_Close()". La infección de Excel es,
como cabe esperar, más complicada; para llevarla a cabo el virus
comienza creando una instancia de la aplicación Excel por medio de
la función "CreateObject", para después comprobar si esta plataforma
ya ha sido afectada. En caso negativo, "Triplicate" procede a crear
un nuevo "workbook" y copiar su código en él; este "workbook"
será guardado en el directorio de inicio de Excel con el nombre
"BOOK1", de forma que será cargado en memoria cada vez que se
inicie la aplicación, posibilitando así la ejecución de la función
"Workbook_Deactivate()" del virus. Por su parte, la infección de
PowerPoint, que es la tercera rama, sigue una guía paralela a la
de Excel, por medio del fichero "Blank Presentation", dentro del
cual crea un módulo denominado "Triplicate" (el que le da nombre
al virus), que es el que permite la activación de la función
vírica "actionhook()". En este proceso, por último, el virus
"Triplicate" procede a infectar el documento Word actual.


Por último habría que destacar que el virus, además de desactivar
constantemente la protección antivirus por medio del registro de
Windows para evitar que el usuario sea informado de actividades
"oscuras", se vale de otros trucos elegantes, como por ejemplo la
infección de NORMAL.DOT por medio de la función de Word "GetObject",
evitando así correr el riesgo de no poder abrir dicha plantilla
para escritura en caso de que otra instancia de Word la haya
abierto previamente.


Afortunadamente, "Triplicate" es un virus meramente orientado al
"research", mediante el cual 1nternal, su autor, tan sólo ha
tratado de demostrar la posibilidad de escribir, sin demasiadas
complicaciones, un virus multiplataforma para Office97 con
capacidad de clara expansión por medio de Internet, aprovechándose
de los agujeros de seguridad tanto en Word como en el propio
sistema de protección de las aplicaciones Office, cuya
vulnerabilidad aparece tan fácilmente violable como simplemente
modificar los parámetros de seguridad que los propios programas
del paquete escriben, en el momento de su instalación, en el
registro de Windows.


Por el momento, y a la espera de algún parche, por suerte evitar
ser afectado por el virus es algo tan fácil como no descargar el
documento que 1nternal ofrece por medio de su página web. Pero es
obvio que el peligro en un futuro próximo no acaba ahí, y que
los desarrolladores de Office tendrán que tomar algún tipo de
medida para poner remedio a este problema.

Más información:
http://www.avp.ch/avpve/macro/xmulti/triplic.stm
http://sourceofkaos.com/homes/1nternal



Giorgio Talvanti



sábado, 6 de febrero de 1999

Vulnerabilidad en bases de datos Access 97

Las bases de datos de Access 97 protegidas con password dejan esta al
descubierto, perdiendo toda protección, al ser vinculadas en otra
base de datos.
Microsoft Access 97 almacena en texto llano, sin encriptar, la
contraseña de las bases de datos protegidas. El problema ocurre
cuando se vincula una tabla de la base de datos protegida, dentro de
otra base de datos. El proceso de importar está libre de este
problema.

Al vincular una tabla protegida en una nueva base de datos se debe
introducir la password, a partir de ese momento será posible editar
los registros de la tabla protegida sin necesidad de reintroducir la
contraseña. Pero la gravedad del problema radica en que en el
interior de la nueva base de datos se almacena el nombre de la
protegida y la clave.

Se puede acceder a la password editando el archivo de la base de
datos y buscando la cadena PWD, al lado aparecerá la clave sin cifrar
en la forma: «MS Access;PWD=password;Nombre_Tabla» y justo delante de
estos datos aparece la ruta completa a la base de datos protegida.

El disponer de la password permite desbloquear la base de datos
protegida, con permisos para consultar sus objetos y dando a conocer
conexiones con otras bases de datos, código fuente o manipular los
datos. Muchas bases de datos y programas pueden comprometerse
empleando este método.




Antonio Ropero



viernes, 5 de febrero de 1999

Virus de macro contra PGP

Un nuevo virus de macro, W97M/Caligula, roba los ficheros de llaves
del popular programa de encriptación PGP. Un ataque posterior a estos
ficheros por fuerza bruta podría permitir abrir los archivos
encriptados.
La multinacional de la seguridad Data Fellows (http://www.data-fellows.com)
ha hecho público un análisis en el que Katrin Tocheva, uno de sus
técnicos, describe este virus de macro. Entre los efectos visibles
encontramos que el 31 de cada mes muestra el siguiente mensaje:

WM97/Caligula (c) Opic [CodeBreakers 1998]
No cia,
No nsa,
No satellite,
Could map our veins.

Otra secuela que el virus deja a su paso la podemos observar en la
información de los documentos infectados que pasa a ser la siguiente:

Title: WM97/Caligula Infection
Subject: A Study In Espionage Enabled Viruses
Author: Opic
Keywords: / Caligula / Opic / Codebreakers /
Comments: The Best Security Is Knowing The Other
Guy Hasn't Got Any

Pero sin duda la parte que mas ha sorprendido de este virus es
su habilidad para copiar el fichero secreto de llaves de PGP
(SECRING.SKR) y posterior envío vía FTP al servidor donde se
aloja su creador (codebreakers.org).

El análisis de Katrin Tocheva concluye comentando que mediante
un ataque por fuerza bruta a esos ficheros se podría encontrar
la frase utilizada como clave, con lo cual sería factible el
abrir los ficheros encriptados por la víctima.

¿Cuál es la verdadera repercusión de este virus?

Una utilización efectiva de este virus cabe dentro del apartado de
troyano dirigido a un sistema concreto. Aun en ese caso el atacante
debería poder llegar a interceptar los mensajes encriptados de la
víctima. No tiene mucha utilidad para el autor que el virus se
distribuya entre usuarios desconocidos. Para hacerlo efectivo el
virus debería informar al atacante de los sistemas infectados y
abrir una puerta trasera a través de la cual pudiera robar también
los ficheros encriptados.

Así mismo tendría que contar con que la víctima utilice una frase
clave muy debil que hiciera factible un ataque por diccionario. El
ataque por fuerza bruta resulta, a priori, poco recomendable si
tenemos en cuenta la longitud que puede alcanzar una frase.

Mucho me temo que la única razón por la que este virus roba el
fichero de PGP es para convertirse en el primero con esta
característica y obtener así la máxima notoriedad.

Un ataque más efectivo podría llevarse a cabo introduciendo
capacidades de "keylogger", es decir, capturar las letras que
vamos pulsando. De esta manera no tendríamos que recurrir al ataque
por diccionario o fuerza bruta para obtener la frase clave. Otras
opciones pasan por aprovechar que algunos sistemas permiten acceder
a páginas de memoria o archivos temporales donde podemos encontrarnos
las passwords sin cifrar.

Más información:
Análisis del virus:
http://www.data-fellows.com/v-descs/calig.htm
FAQ sobre la frase clave en PGP:
http://www.stack.nl/~galactus/remailers/passphrase-faq.html


Bernardo Quintero



jueves, 4 de febrero de 1999

Parche para vulnerabilidad en el servidor ftp de Microsoft

Microsoft ha publicado un parche para una vulnerabilidad en los
servidores ftp del Internet Information Server, por la cual un
usuario malicioso podría conseguir una denegación de servicio o
incluso la ejecución de código sobre el servidor.
El problema afecta a todos los servidores Internet de Microsoft
ya que tanto la versión 3.0 como la más reciente 4.0 se ven afectadas
por el problema. El agujero radica en la existencia de un buffer sin
comprobar en un componente que procesa los comandos "list" dentro del
servicio FTP del IIS (Internet Information Server). Esta ausencia de
verificación ofrece una vulnerabilidad que presenta dos amenazas para
la seguridad del sistema.

La primera es una amenaza de denegación de servicio (el sistema deja
de ofrecer servicios) surge a través de una petición "list" mal
construida, lo que puede provocar un desbordamiento de buffer causando
un cuelgue del servidor. La segunda es mucho más extraña, y puede ser
mucho más difícil de explotar, aunque no por ello imposible. De nuevo
a través de una petición "list", esta vez cuidadosamente construida,
se puede conseguir la ejecución arbitraria de código en el servidor
por una clásica técnica de desbordamiento de buffer. Ninguna de estas
dos variantes puede ser explotada accidentalmente, debiendo diseñarse
las peticiones de forma intencionada.

Hay que hacer notar que el comando "list" sólo está disponible a los
usuarios después de su autentificación en el servidor. Por ello, sólo
los usuarios autorizados a usar el servicio de ftp podrán realizar un
ataque, y su presencia en el servidor puede ser auditada, con lo que
se podría saber quien realizó la irrupción. Aunque por otra parte,
muchos sitios ofrecen cuentas de invitado o permiten accesos anónimos,
en cuyo caso un usuario malicioso sí podría atacar el sistema de forma
anónima.

Microsoft recomienda a los administradores que se puedan ver afectados
por esta vulnerabilidad la instalación del parche que se encuentra en
http://www.microsoft.com/security/bulletins/ms99-003.asp. Aunque hay
que señalar que están diseñados para ser instalados sobre un NT 4.0
con el Service Pack 4.0. Como es habitual, Microsoft ha publicado los
parches en inglés, por lo que los usuarios con Windows NT en español
tendrán que dejar sus servidores desprotegidos a la espera de que
aparezcan las versiones adecuadas.

Más información:
http://www.microsoft.com/security/bulletins/ms99-003.asp
http://support.microsoft.com/support/kb/articles/q188/3/48.asp



Antonio Ropero



miércoles, 3 de febrero de 1999

Virus para Linux

Linux.Vit.4096, bajo este nombre se ha anunciado por parte de la casa
antivirus AVP (http://www.avp.ru) la aparición de un nuevo virus que
afecta al sistema operativo Linux.
Se trata de un virus no residente en memoria que es capaz de replicarse
en ejecutables con formato ELF. El proceso de infección lo lleva a cabo
insertando su código, 4096 bytes, después de la cabecera ELF en la
primera sección de código del fichero. Durante la replicación el virus
utiliza un fichero temporal VI324.TMP, de donde ha derivado, según sus
descubridores, la denominación del virus (VIxxx.Txx).

La primera noticia que se conoce sobre virus para Linux se remonta a
Septiembre de 1996, cuando en algunas news (comp.security.unix,
alt.comp.virus y comp.os.linux.misc) se difundió en un mensaje la
versión alpha de Bliss, considerado como el primer virus para Linux.
El autor advertía en el mensaje que se trataba de un virus que no
tenía fines destructivos, pero que podía acarrear problemas al
sistema debido a errores en su programación. El fin de Bliss, según
su autor, era demostrar que es factible la construcción de virus en
entornos Unix.

Bliss, escrito en GNU C, podía ser compilado para SunOS, Solaris y
OpenBSD, además de Linux. Una vez se ejecutaba intentaba infectar
copiándose a si mismo en todos los binarios a los que tuviera acceso
según los derechos del usuario, y mantenía un registro de todas sus
acciones en /tmp/.bliss. Por aquel entonces fue McAfee
(http://www.mcafee.com) el primer antivirus en sacar su antídoto al
mercado.

A diferencia de los sistemas operativos de Microsoft, entorno natural
de los virus, Linux mantiene restricciones de acceso según el usuario,
con lo que la acción del virus era muy limitada si no se había
ejecutado como superusuario (root). Debemos de sumar también que los
usuarios de Linux tienen como norma general y recomendada el no
utilizar ejecutables que no hayan compilado ellos mismos y así evitar
estos problemas al poder realizar un estudio previo de sus fuentes.

Sigue llamando la atención que este tipo de virus sea detectado por
aplicaciones antivirus para los entornos Microsoft, donde estos
engendros no tienen ningún sentido. Los usuarios de Linux, fieles a
su filosofía, siguen manteniendo que no son necesarios los antivirus,
y que se pueden evitar este tipo de programas siguiendo unas normas
mínimas de seguridad. Mucho menos están dispuestos a introducir en
sus sistemas software sin tener acceso a sus fuentes.

Ante esto todo parece indicar que, tanto Bliss como VIT, vienen a
engordar las ya de por sí exageradas estadísticas de los productos
antivirus, más que a ofrecer una protección real.


Bernardo Quintero



martes, 2 de febrero de 1999

Se celebra el IV Congreso Nacional de Usuarios de Internet

El miércoles 3 de febrero dará comienzo Internet´99, la feria que con
Internet como marco central, pretende reunir a los profesionales
españoles del sector.
En el Palacio de Congresos y Exposiciones de Madrid y desde el
miércoles 3 de febrero hasta el sábado 6, tendrá lugar el IV Congreso
Nacional de Usuarios de Internet e Intranet. Organizado por la AUI
(Asociación de Usuarios de Internet) el evento espera reunir a los
mayores especialistas de la materia durante sus 4 días de duración.
Simultáneamente y para dar más fuerza al acto se viene celebrando
una exposición comercial, en la que las principales firmas del
sector muestran sus avances en Internet como medio.

Respecto a la seguridad, el día fuerte será el jueves 4, día en el
que durante toda la mañana importantes expertos impartirán un ciclo
de conferencias con dicha materia como marco central. Así, Gurutze
Marijun Angulo de Bilbomática tratará sobre el «Desarrollo de un
Plan Corporativo de Seguridad Integral», mientras que Gustavo San
Felipe de INNOSEC describirá en su ponencia la situación de los
«Centros de Supervisión y Control de Seguridad en Internet».

En la ponencia «Los Escáneres de Seguridad como Herramienta para la
Detección de vulnerabilidades en Redes de Ordenadores», Joaquín
López Lérida del E.I.T. CESAT, expondrá el tema de la idoneidad de
los escáneres de seguridad como herramientas válidas para certificar
la existencia de vulnerabilidades en redes de ordenadores. El tema
de la encriptación y la problemática de exportación de tecnologías
de esta materia, será tratado por Dianelos Georgoudis (presidente
de TecApro Internacional) en el informe «Encriptación Fuerte en
Internet: Realidad y Mito».

Christopher Adelman, Product Manager del Area de Seguridad
Corporativa ADD, en la conferencia «Política de Seguridad sobre
Contenidos» analizará los riesgos de seguridad que corre una
organización conectada a la Red en relación con los contenidos que
recibe. Por último, la mañana terminará con una ponencia
desarrollada por Fernando de la Cuadra de Panda Software, que bajo
el título de «Los Virus y su Protección en Internet a diferentes
Niveles», cubrirá la problemática vírica con relación a Internet.

Más información:
AUI: http://www.aui.es


Antonio Ropero



lunes, 1 de febrero de 1999

Intel y su Pentium III bajo sospecha

EPIC (Electronic Privacy Information Center) comunicó el
viernes que ha solicitado a la agencia FTC (Federal Trade
Comission) que investigue a Intel por entender que los nuevos
chips atentan contra la privacidad del usuario.
Hace unos días (http://www.hispasec.com/unaaldia.asp?id=90)
nos hacíamos eco del sistema que integraba el nuevo Pentium III
para generar números aleatorios, y las ventajas de esta
implementación en la criptografía y la seguridad. Pero no todas
las aportaciones de Intel han sentado bien a la comunidad
en pro de la privacidad en la Red.

"El nuevo chip permitirá recoger información de los consumidores
a través de Internet sin su conocimiento y atenta de forma directa
a la privacidad.", dijo David Banisar, director de EPIC en
Washington, D.C.

El origen de la discordia se encuentra en un número de serie,
PSN (Processor Serial Number), que contendrá cada Pentium III,
el cual podrá ser accesible vía software y consultado a través de
Internet a través del navegador cuando estemos visitando una página web.

Intel defiende que esta tecnología mejorará la seguridad de las
transacciones en línea, y que en cualquier caso los consumidores
tienen la opción de utilizarla o no. Esta ultima afirmación hace
referencia a un parche vía software que la multinacional ha
ofrecido a los usuarios que quieran deshabilitar el número de serie
en sus Pentium III.

Según Banisar, "El parche anunciado por Intel no es suficiente para
eliminar los problemas de privacidad del usuario. La utilidad no está
siendo introducida en los sistemas OEM con Pentium III. De todas
formas, y aun con el parche instalado, se podría hacer que un programa
habilitara de nuevo el número de serie sin el consentimiento del
usuario".

EPIC insiste en que el problema debe ser atajado de raíz, y que la
solución pasa por el rediseño a nivel hardware del nuevo chip de Intel.
De momento, y a la espera de las actuaciones que pueda llevar acabo la
FTC, EPIC junto a otras organizaciones llevan a cabo una campaña-boycott

contra Intel basada en su popular logo "intel inside", al que le ha
cambiado el texto por "big brother inside".

Más información:
Campaña contra Intel: http://www.bigbrotherinside.com
EPIC: http://www.epic.org
Intel: http://www.intel.com
FTC: http://www.ftc.gov



Bernardo Quintero