martes, 30 de noviembre de 1999

El lado oscuro de SET

SET (Secure Electronic Transaction) es un protocolo transaccional
orientado a las aplicaciones de comercio electrónico a través de
tarjetas de crédito. A diferencia de otros protocolos seguros de
carácter general como SSL (Secure Sockets Layer), SET fue
expresamente diseñado para el comercio electrónico y no sirve para
ninguna otra cosa, por eso no supone ninguna mejora en cuanto a la
seguridad en la comunicación propiamente dicha, pero mejora las
condiciones en las que el proceso de comercio electrónico tiene
lugar.
Una vez que cada participante ha obtenido un certificado, SET se rige
por un diálogo entre tres entidades:

- - El poseedor de la tarjeta de crédito o comprador.
- - El comerciante.
- - La pasarela de pago, que está controlada por un banco.

La seguridad del protocolo se basa fundamentalmente en un sistema
estricto de certificación (norma X509) y en que cada uno de los
agentes conoce exclusivamente la información que le concierne y que
le es estrictamente necesaria para poder realizar la compra, la venta
o la transacción. Así el comerciante no llegará a saber cual es el
número de tarjeta de crédito del comprador, ni la pasarela de pago
cuales son los productos comprados por el consumidor. Quizás la
manera más gráfica de comprender algunos de lo mecanismos de SET es
ver algunos ejemplos de mejoras respecto a los modelos tradicionales.

Ejemplos de fraudes:

- - El comerciante "misssing in the wind": El típico "hacker" de 18
años que se monta un servidor en Singapur o en algún otro paraíso
legal de Internet vendiendo memorias, discos duros o lo que sea a
mitad de precio. Por supuesto que el servidor utiliza la última
versión de SSL con cifrado fuerte y todo lo demás. Como la
comunicación es segura el comprador incauto adquiere varios cientos
de unidades facilitando su número de tarjeta de crédito sin pedir más
referencias. A las dos semanas el servidor desaparece de Internet y
el comerciante del mapa, por supuesto que de las memorias compradas
no se vuelve a oír hablar, el hacker puede entonces utilizar toda la
información que ha adquirido sobre el comprador para hacer cientos de
cosas perversas de las que mejor no hablar. Nada de esto hubiese
pasado si el comprador hubiese exigido un certificado electrónico,
expedido por una autoridad de certificación de confianza, que
acreditase que ese comerciante era quien decía ser y no un estafador
de tres al cuarto. Es cierto que SSL permite la utilización de
certificados pero por desgracia nadie los exige, ni los comerciantes
ni los consumidores en la red. SET, por construcción, obliga a que
todos los agentes que intervienen en el proceso de comercio
electrónico estén debidamente certificados por una autoridad de
confianza.

- - El comprador fantasma: El comprador fantasma es una persona con
conocimientos de Internet y de como funciona la compra-venta con
tarjetas de crédito, un día hurgando el la basura de su vecino o
mirando en su buzón, encuentra una de sus facturas que contiene un
número de tarjeta de crédito (un ticket del restaurante o de la
gasolinera que normalmente todos tiramos a la papelera sin darle
mayor importancia también vale). Con ese número de tarjeta y dando el
nombre de su vecino el desalmado compra varias docenas de CD en su
tienda electrónica favorita y hace que se los envíen a una dirección
en la que él sabe que no vive nadie en ese momento. Cuando el cartero
llega, como no hay nadie, se deja una nota en el buzón indicando que
se puede recoger el paquete en correos, ahora solo queda hacerse
pasar por el vecino para disfrutar de un montón de CD que él ha
pagado pero que nunca verá. Que el importe de los CD termine
pagándolos el vecino o la tienda que los vende por Internet es algo
que el banco resolverá cuando se presenten la denuncia
correspondiente, lo que sí es seguro es que los CD no los vuelve a
ver ninguno de los dos. Como en el caso anterior, esto no hubiese
pasado si el comerciante hubiese pedido un certificado electrónico al
comprador, además de su número de tarjeta.

- - Daños colaterales: Este es un ejemplo interesante que demuestra que
aunque el comerciante y el comprador sean honrados y pongan toda su
buena voluntad también pueden suceder desastres. Imaginemos esa
tienda "on line" que tiene miles de compradores que confían en ella.
La tienda está basada en varios servidores seguros que utilizan SSL.
Los compradores habituales son introducidos en una base de datos que
contiene su nombre, dirección y su número de tarjeta de crédito, así
cada vez que uno de estos clientes quiere adquirir un producto se le
piden solamente las primeras cifras del número de tarjeta para
asegurarse de su identidad, evitando así que el número deba ser
transmitido de nuevo por la red. Desgraciadamente el cortafuegos de
la red corporativa del comerciante tiene un agujero de seguridad que
permite a un cracker penetrar en su intranet y llegar a la máquina
que contiene la base de datos de los clientes, al día siguiente
circula por las news un fichero con miles de números de tarjetas de
tarjetas de crédito de honrados compradores. En este caso el fallo
fundamental es que, dada la arquitectura de SSL, el comerciante debe
conocer el número de tarjeta de crédito del cliente para poder cobrar
el importe de la venta. SET evita este tipo de problemas haciendo que
el comprador cifre su número de tarjeta de crédito con la clave
pública de la pasarela de pago. De este modo el comprador recibe un
paquete cifrado que es como un cheque, él no puede ver el número de
tarjeta de crédito pero puede guardarlo y enviárselo al banco cuando
crea conveniente, el banco, cuando lo reciba su pasarela de pago,
podrá descifrarlo y comprobar que el número de tarjeta facilitado
corresponde realmente con un número válido. A continuación la
cantidad convenida podrá ser transferida a la cuenta del comerciante.

Como ya hemos visto SET supone un avance considerable en cuanto a la
seguridad de las transacciones monetarias por comercio electrónico en
Internet, no obstante no hay que creer que todo son ventajas:

- - El protocolo es robusto pero a costa de ser muy pesado y muy
costoso en ancho de banda requerido y en tiempo de cómputo
criptográfico. En particular el sistema de certificación jerárquico
puede ser realmente penoso. Esto hace que SET esté muy bien adaptado
para transacciones de gran valor, pero muy mal adaptado para
transacciones de pequeñas cantidades de dinero, en esta línea se
están desarrollando toda una familia de protocolos que se denominan
de "micropagos" que prometen ser de gran utilidad en el futuro.

- - El protocolo surge de un estándar propuesto por las empresas VISA y
MasterCard. Algunas otras grandes empresas como IBM, Microsoft,
Netscape, etc. se han ido adhiriendo, el resultado final el que SET
es controlado por un consorcio que impone sus propias normas, las que
a ellos les interesan, esto ha hecho que algunos comerciantes hayan
hecho saltar la voz de alarma por temor a que gran parte del negocio
se les escape en función de comisiones. Así algunos empresarios
prefieren decidirse por soluciones propietariasque son capaces de
controlar mejor.

- - El hecho de que los certificados y las claves secretas deban estar
almacenados en el disco duro del ordenador de compradores y
comerciantes puede ser fuente de un gran número de problemas. En este
sentido la utilización de tarjetas inteligentes protegidas por
sistemas biométricos supondría un gran avance, de hecho en Francia se
está desarrollando un nuevo estándar basado en SET que utiliza
tarjetas inteligentes como medio de almacenamiento de certificados y
claves secretas. Este nuevo estándar se denomina C-SET.

En definitiva, SET es un protocolo robusto y que ofrece un nivel de
seguridad suficiente pero a costa de hacerlo muy pesado y complejo de
utilizar. La implantación de SET está siendo bastante lenta, a día de
hoy la mayoría de los comerciantes y bancos interesados en hacer
negocio por la red optan por soluciones basadas en SSL. Además están
surgiendo constantemente nuevos protocolos y sistemas de pago seguros
que compiten seriamente con SET. Todo esto hace pensar, que si bien
el protocolo no está muerto, deberá mejorar si quiere imponerse como
estándar de comercio electrónico en el nuevo milenio.




Luis López Fernandez
jlopezf@iies.es
Ing. Telec. ENST Telecom-Paris
Publicado en Criptonomicón #61
http://www.iec.csic.es/criptonomicon



lunes, 29 de noviembre de 1999

Cae la protección criptográfica de los DVDs

Desde hace unas pocas semanas están disponibles en la red
documentación técnica y software para decodificar y copiar discos
DVDs, saltándose las protecciones criptográficas diseñadas para
este sistema, denominadas CSS (Content Scrambling System).
Un equipo noruego, autodenominado MoRE ("Masters of Reverse
Engineering"), ha hecho público un programa, llamado DeCSS, capaz
de saltarse la protección CSS, pudiendo leer y reproducir
cualquier disco DVD. El programa puede copiar una película DVD en
un disco duro, dejándola sin ningún tipo de protección.

Cada disco DVD está cifrado mediante una clave única de 40 bits.
Ello supone un grave riesgo en sí mismo, ya que 40 bits es un
valor lo bastante pequeño como para que sea factible un ataque
por fuerza bruta. Pero, por si ello no fuera suficiente, el
algoritmo de cifrado (diseñado de forma privada, lejos de los
foros académicos y de la luz pública) tiene graves defectos
criptográficos que hacen que la clave efectiva sea de apenas 25
bits, prácticamente atacable por cualquier programador con un par
de horas libres.

El primer problema, pues, es doble: por un lado, el limitar la
clave de cifrado a 40 bits y, por otro, el haber diseñado un
algoritmo privado cuya seguridad, como se ha comprobado, deja
mucho que desear (clave efectiva de 25 bits).

Pero los problemas no acaban ahí. Como ya se ha dicho, cada DVD
se cifra con una clave aleatoria de 40 bits. Esa clave de sesión
se cifra con la clave de apertura de cada fabricante de hardware
o software reproductor. En la práctica eso implica que la clave
de sesión aparece grabada en el DVD unas 400 veces, una vez por
cada fabricante reconocido.

Cuando un reproductor (ya sea hardware o software) va a leer un
disco DVD, lee la clave de sesión cifrada con su clave de
apertura, la descifra (usando su clave de apertura) y luego la
utiliza para reproducir la película.

Obviamente si fuese posible obtener la clave de apertura de
algún reproductor "legal" de DVD, podría leerse cualquier
película, sin necesidad de atacar por "fuerza bruta" su clave
de sesión (aunque ya hemos explicado que esto es bastante
sencillo y rápido también).

Los reproductores hardware son un objetivo complicado pero
para el sistema operativo Microsoft Windows existen un buen
número de reproductores DVD por software. Son programas. Y,
como tales, pueden ser estudiados y analizados hasta en sus
más íntimos detalles.

La mayoría de los reproductores software protegen su clave de
apertura mediante operaciones complicadas, pero existe al
menos uno que apenas protege su clave de apertura. Se trata
del reproductor XingDVD, realizado por una filial de la
conocida RealNetworks.

Una vez obtenida su clave de apertura, se tiene acceso a
cualquier DVD. Es más, con esa clave de apertura es posible
obtener el resto de claves de apertura mediante un ataque
por "fuerza bruta" de bajo coste: sencillamente se toma un
DVD cualquiera y se obtiene su clave de sesión mediante la
clave de apertura del XingDVD. Seguidamente se toman el
resto de claves cifradas y se intentan descifrar mediante
claves aleatorias hasta obtener de nuevo la clave de sesión.

Utilizando esta técnica, los autores del DeCSS han encontrado
unas 170 claves, de las 400 que existen en un DVD actual,
en apenas unas pocas horas de cálculo.

Como nota curiosa, la motivación inicial era el disponer de
un reproductor de DVDs para el sistema operativo Linux. El
resultado final sobrepasa sobradamente dichas expectativas.

Más información:

Divulgación:
DVD Piracy: It Can Be Done
Why the DVD Hack Was a Cinch
Why the DVD Hack Was a Cinch (2)
The DVD Hack: What Next?
Blame US Regs for DVD Hack
DVD encryption break is a good thing

Información técnica y software:
http://www.neophile.net/~hammer/index2.htm
Cryptanalysis of DVD Contents Scrambling System
Some CSS related Livid posts
[Livid-dev] Re: CSS
[Livid-dev] CSS Status
css-auth source and DeCSS mirrors
Linux DVD, DeCSS sources and DeCSS mirror list



Jesús Cea Avión
jcea@hispasec.com



domingo, 28 de noviembre de 1999

Grave compromiso de seguridad en el servidor POP3 de Qualcomm

Se ha descubierto un grave problema de seguridad en las betas
de la versión 3.0 del servidor POP3 de Qualcomm, conocido como
Qpopper 3.0b. El fallo de seguridad permite que cualquier
usuario remoto pueda ejecutar código arbitrario con
privilegios de administrador o "root".
Qpopper es uno de los servidores POP3 (correo electrónico) más
populares en el mundo internet, por sus buenas prestaciones y
por ser completamente gratuito.

Todas las versiones 3.0beta son vulnerables, al menos hasta
la versión 3.0b20. Las versiones antiguas del servidor (2.53)
no son vulnerables a este ataque. Se recomienda, por tanto,
que los administradores que puedan migrar, reinstalen la
versión 2.53.

Qualcomm ha respondido en un plazo de horas, publicando la
versión 30.b21, que parece solucionar el problema.

Los administradores que tengan instalada la versión 3.0b20
y no deseen descargar la 3.0b21, pueden instalar el siguiente
parche:


--- pop_msg.c.old Mon Nov 29 23:42:03 1999
+++ pop_msg.c Mon Nov 29 23:52:08 1999
@@ -65,7 +65,7 @@
/* Append the message (formatted, if necessary) */
if (format) {
#ifdef HAVE_VPRINTF
- vsprintf(mp,format,ap);

+ vsnprintf(mp,MAXLINELEN - 100, format,ap);
#else
# ifdef PYRAMID
arg1 = va_arg(ap, char *);
@@ -74,9 +74,9 @@
arg4 = va_arg(ap, char *);
arg5 = va_arg(ap, char *);
arg6 = va_arg(ap, char *);
- (void)sprintf(mp,format, arg1, arg2, arg3, arg4, arg5, arg6);
+ (void)sprintf(mp,MAXLINELEN - 100, format, arg1, arg2, arg3,
arg4, arg5, arg6);
# else
- (void)sprintf(mp,format,((int *)ap)[0],((int *)ap)[1],((int
*)ap)[2],
+ (void)sprintf(mp,MAXLINELEN - 100, format,((int *)ap)[0],((int
*)ap)[1],((int *)ap)[2],
((int *)ap)[3],((int *)ap)[4]);
# endif
#endif


Más información:
Qpopper Home Page
Servidor FTP con los servidores Qualcomm Qpopper



Jesús Cea Avión
jcea@hispasec.com



sábado, 27 de noviembre de 1999

Resumen de Bugtraq del 21-11-1999 al 27-11-1999

Una semana más Bugtraq-es nos aporta el resumen de todas las
vulnerabilidades encontradas durante los últimos días.
1. Múltiples vulnerabilidades en el NetTerm FTP Server
2. Vulnerabilidad de redirección XML HTTP en Microsoft IE5 XML
3. Vulnerabilidad de fallo de restricción por IP en el Sun Java
IDE Webserver
4. Vulnerabilidad de DoS en el CWD del Vermillion FTPd
5. Vulnerabilidad de DoS por Overflow en el Mdaemon WebConfig
6. Vulnerabilidad de DoS por ARP Flood en el Cabletron SSR
7. Vulnerabilidad por Argumento ASP largo en el Netscape
Navigator
8. Vulnerabilidad de DoS por URL largo en Deerfield WorldClient
9. Vulnerabilidad de Buffer Overflow en el SCO Xsco
10. Vulnerabilidad de Buffer Overflow en SCO xlock(1) (nombre de
usuario largo)
11. Vulnerabilidad de Buffer Overflow en SCO su(1)

1. Múltiples vulnerabilidades en el NetTerm FTP Server
BugTraq ID: 819
Remoto: Sí
Fecha de publicación: 22-11-1999
URL Relevante:
http://www.securityfocus.com/bid/819
Resumen:

La suite de InterSoft para Internet incluye un servidor FTP al
cual se le han encontrado numerosas vulnerabilidades. Entre ellas:

La configuración por defecto (por default) permite el acceso de
lectura/escritura al directorio raíz del disco C: a usuarios
anónimos. Este acceso de escritura incluye la posibilidad de
sobreescribir y borrar. Si se instala el servidor con las
opciones por defecto, los usuarios anónimos remotos tienen acceso
total a los archivos de datos y ejecutables del sistema operativo.

No existe una cuenta de administrador, lo que significa que
cualquier usuario con acceso a la consola puede cambiar la
configuración del servidor.

El método de cifrado usado en los passwords para las cuentas de
usuario es débil y fácilmente rompible.

También existen múltiples buffer overflows. Si se le pasan
argumentos de mas de 1024 caracteres de largo a los siguientes
comandos el servidor se caerá: dir, ls, mkdir, delete y rmdir.
También, aunque el buffer para el comando PASS se trunca a 16
caracteres para los usuarios con cuentas, este límite no existe
para el usuarioanónimo (para permitir el ingreso de la dirección
de email como password) y una cadena de 1024 caracteres hará que
el servidor se caiga si el nombre de usuario empleado es
'anonymous'. Todos estos desbordamientos se pueden explotar para
ejecutar código arbitrario.

2. Vulnerabilidad de redirección XML HTTP en Microsoft IE5 XML
BugTraq ID: 815
Remoto: Sí
Fecha de publicación: 22-11-1999
URL Relevante:
http://www.securityfocus.com/bid/815
Resumen:

El método empleado por IE5 para procesar los datos XML ofrece una
vulnerabilidad por la que un propietario malicioso de un sitio
web puede leer archivos de la computadora del usuario que visite
el sitio. Es posible crear una pagina web que contenga un objeto
tipo XML con instrucciones para leer archivos conocidos en el
host del visitante (o en el dominio). El cliente IE5 va a
permitir que el redireccionamiento XML acceda archivos dentro de
su propio dominio.

3. Vulnerabilidad de fallo de restricción por IP en el Sun Java
IDE Webserver
BugTraq ID: 816
Remoto: Sí
Fecha de publicación: 23-11-1999
URL Relevante:
http://www.securityfocus.com/bid/816
Resumen:

Estas aplicaciones de desarrollo Java incluyen un servidor httpd
para realizar pruebas. El servidor se puede configurar para
responder sólo aquellas solicitudes que provengan de ciertas
direcciones IP. Sin embargo, el mecanismo falla y todas las
peticiones se reciben y responden.

El servidor permitirá acceso de lectura a cualquier archivo del
filesystem al cual tenga acceso, incluso en el directorio raíz.
En el producto Netbeans, esta es la configuración por defecto. En
el producto Forte, las direcciones IP deben ser agregadas
manualmente a una lista de clientes permitidos.
Una vez que se añade una dirección IP, cualquier pedido,
sin importar su procedencia, será respondido.

4. Vulnerabilidad de DoS en el CWD del Vermillion FTPd
BugTraq ID: 818
Remoto: Sí
Fecha de publicación: 22-11-1999
URL Relevante:
http://www.securityfocus.com/bid/818
Resumen:

El Vermillion FTP daemon (VFTPD) dejará de prestar servicio si
recibe tres comandos CWD consecutivos con argumentos de 504
caracteres de largo.

5. Vulnerabilidad de DoS por Overflow en el Mdaemon WebConfig
BugTraq ID: 820
Remoto: Desconocido
Fecha de publicación: 24-11-1999
URL Relevante:
http://www.securityfocus.com/bid/820
Resumen:

El servidor de mail Mdaemon para Windows incluye un servidor web
para administración remota. Este webserver es vulnerable debido a
un buffer no chequeado que maneja los pedidos GET entrantes. Una
URL anormalmente larga enviada al servicio WebConfig en el puerto
2002 hará caer al servicio.

6. Vulnerabilidad de DoS por ARP Flood en el Cabletron SSR
BugTraq ID: 821
Remoto: Si
Fecha de publicación: 24-11-1999
URL Relevante:
http://www.securityfocus.com/bid/821
Resumen:

El router Cabletron SmartSwitch 8000 con firmware revisión 2.x se
ha mostrado susceptible a un ataque de negación de servicio. El
SSR solo puede manejar aproximadamente 200 pedidos ARP por
segundo. Si un atacante puede enviar trafico ICMP al router, es
posible inundarlo (flood) con pedidos ARP, deteniendo su
funcionamiento por el tiempo que dure el ataque.

7. Vulnerabilidad por argumento ASP largo en Netscape
Communicator 4.7
BugTraq ID: 822
Remoto: Sí
Fecha de publicación: 26-11-1999
URL Relevante:
http://www.securityfocus.com/bid/822
Resumen:

Se ha observado que el Netscape Communicator 4.7 se cuelga cuando
se pasa un parámetro de 800 caracteres a un comando en una pagina
asp. Parte de la información enviada como argumento logra llegar
a los registros EIP y EBP, lo que abre la posibilidad de la
ejecución de código arbitrario. El overflow puede ser embebido en
un enlace dentro de una pagina web o en un mensaje de email por
atacantes remotos.

8. Vulnerabilidad de DoS por URL largo en Deerfield WorldClient
BugTraq ID: 823
Remoto: Sí
Fecha de publicación: 26-11-1999
URL Relevante:
http://www.securityfocus.com/bid/823
Resumen:

El WordClient de Deerfield es un servidor web para correo email
que permite a sus usuarios emplear HTTP para obtener sus
mensajes. Es susceptible a ataques de negación de servicio debido
a un buffer no chequeado en el administrador de peticiones. Si se
le envía una dirección URL larga el servidor caerá.

9. Vulnerabilidad de Buffer Overflow en el SCO Xsco
BugTraq ID: 824
Remoto: No
Fecha de publicación: 25-11-1999
URL Relevante:
http://www.securityfocus.com/bid/824
Resumen:

Bajo ciertas versiones de Unixware, el programa SUID Xsco es
vulnerable a un ataque de buffer overflow. El problema está en
que el Xsco no hace pruebas de validación en los datos
suministrados por el usuario.

10. Vulnerabilidad de Buffer Overflow en SCO xlock(1) (nombre de
usuario largo)
BugTraq ID: 825
Remoto: No
Fecha de publicación: 25-11-1999
URL Relevante:
http://www.securityfocus.com/bid/825
Resumen:

Ciertas versiones de Unixware contienen una versión de xlock
vulnerable a un ataque de buffer overflow. el programa xlock(1)
bloquea la pantalla X local hasta que se introducen un nombre de
usuario y password. En esta instancia, el usuario puede ingresar
un nombre de usuario excesivamente largo con lo que provoca el
buffer overflow en xlock(1). Dado que xlock(1) corre SUID root
este resulta en el compromiso del root.

11. Vulnerabilidad de Buffer Overflow en SCO su(1)
BugTraq ID: 826
Remoto: No
Fecha de publicación: 25-11-1999
URL Relevante:
http://www.securityfocus.com/bid/826
Resumen:

Ciertas versiones de Unixware contienen una versión de su(1)
vulnerable a un ataque de buffer overflow. Este ataque es posible
porque su(1) falla al realizar pruebas de validación sobre los
datos que se le pasan. En este caso, un nombre de usuario que se
le introduce en la línea de comandos. Ya que su(1) es SUID root
este ataque puede dar como resultado la obtención de los
privilegios de root.




Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo - CoreLabs - Core SDI
http://www.core-sdi.com



viernes, 26 de noviembre de 1999

Europa quiere protegerse de los Pentium III

El Parlamento Europeo aconsejado por un grupo de expertos en
seguridad informática se plantea la posibilidad de prohibir la
instalación de procesadores Intel Pentium III en Europa.
Un grupo de expertos encargados del asesoramiento del Parlamento
Europeo en lo concerniente a seguridad en las comunicaciones,
sistemas informáticos y protección de datos, ha realizado un
informe denominado "Cifrado y criptosistemas en la vigilancia
electrónica". En este documento se aconseja al Parlamento que
tome medidas para incluso prohibir la instalación de los
microprocesadores Pentium III en CPU´s de ciudadanos europeos,
con el fin de proteger su privacidad.

Así mismo, en el mencionado informe se requiere información de la
NSA y el FBI norteamericanos para que informen que parte de
implicación han tenido estos en el desarrollo de estos
procesadores. Ya que podría ser que estos organismos con la
excusa de la seguridad nacional realicen "espionaje en redes" y
se encuentren detrás del numero de identificación único que
poseen estos chips.

Para refrescar la memoria de nuestros lectores les remitiré a las
noticias distribuidas pos HispaSec en el mes de febrero de este
mismo año. En las que se hacía un análisis del compromiso de
privacidad de los usuarios poseedores de este producto de Intel.

Todos los Pentium III poseen un numero de serie PSN (Processor
Serial Number), el cual puede ser accesible mediante software
mientras estemos navegando por Internet. Este número es único por
cada microprocesador, por lo cual se podría decir que viene a ser
como si nos colocaran un localizador en el cuello al mejor estilo
de las películas de ciencia-ficción, pudiéndonos rastrear en
cualquier momento.

Intel publicó un parche que deshabilitaba el PSN, pero según
David Banisar, director de EPIC (Electronic Privacy Information
Center) este parche resulta inútil ya que es fácil crear un
programa que reactive el PSN sin el conocimiento del usuario.
Intel respondió con la afirmación de que sería imposible activar
el PSN sin el conocimiento del usuario. Afirmación que quedó en
entredicho ya que este programa de activación fue una realidad a
los pocos días de esta declaración ya que un técnico de una
publicación técnica alemana "C´t" realizó dicho programa.

Más información:
Encryption and cryptosystems in electronic surveillance:
a survey of the technology assessment issues
El Pentium III al descubierto
Intel y su Pentium III bajo sospecha
Advisory group asks EU to consider Pentium III ban



Antonio Román
antonio_roman@hispasec.com



jueves, 25 de noviembre de 1999

Overflow en Netscape Communicator 4.7

Se ha demostrado la posibilidad de colgar a Netscape Communicator
4.7 a través de un parámetro demasiado largo en una página asp.
Cuando se introduce un argumento de 800 caracteres en una página
asp Netscape Communicator se cuelga de forma irremediable. Tras
el error el usuario deberá reiniciar el ordenador. Parte de los
datos pasados como argumento aparecen en los registros EIP y EBP
por lo que se da la posibilidad de explotar el desbordamiento y
lograr ejecución de código malicioso en la máquina atacada. El
overflow puede ser incluido dentro de un enlace en una página
web o incluso en un e-mail para realizar ataques remotos.

Para probar el problema basta con introducir una cadena de gran
tamaño como parámetro de la página asp. Por ejemplo, si se
introduce el valor hexadecimal 0xAAAAA.... tras la dirección http://host.com/pagina.asp?, Netscape se cuelga y muestra el
siguiente error:

NETSCAPE caused an invalid page fault in module at
0084:41414141.

Registers:
EAX=00000000 CS=015f EIP=41414141 EFLGS=00010246
EBX=00954c84 SS=0167 ESP=00b486f4 EBP=41414141

ECX=0000003f DS=0167 ESI=000031d2 FS=0fdf

EDX=00b47dd3 ES=0167 EDI=00b4c160 GS=0000

Bytes at CS:EIP:

Volcado de la pila: 41414141 41414141 41414141 41414141 41414141
41414141 41414141 41414141 41414141 41414141 41414141 41414141
41414141 41414141 41414141 41414141

Más información:
Bugtraq



Antonio Ropero
antonior@hispasec.com



miércoles, 24 de noviembre de 1999

Corregida la vulnerabilidad en Lettera

Rápida reacción de Yupi.com ante la noticia de HispaSec
sobre la vulnerabilidad en Lettera, su servicio de correo
gratuito. El problema, que dejaba las contraseñas de los
usuarios al descubierto, fue corregido apenas unas horas
después de emitirse nuestro boletín. A continuación
reproducimos de forma íntegra las declaraciones oficiales
de Yupi.com a HispaSec.
Miami, 25 de noviembre de 1999

Gustavo Morles Miralles
Delegado General, España
YUPI Internet, Inc

Tenemos mucho gusto en informarles que el fallo de seguridad
de nuestro servicio de correo electrónico Lettera ha sido
solucionado. Tan pronto tuvimos noticias de este enojoso
asunto requerimos de la empresa que provee el servicio tomar
medidas preventivas y correctivas. A escasos minutos luego de
recibida la noticia se implementaron medidas que permitieron
resolver totalmente la situación.

En YUPI Internet, Inc. estamos convencidos de que nuestro
deber es respetar y proteger a nuestros usuarios. Este fallo
de seguridad es intolerable y nos ha obligado a reevaluar
nuestras relaciones con el proveedor del servicio. Si bien
reconocemos que este mismo proveedor brinda servicios
similares a otras empresas de primera linea alrededor del
mundo, no podemos aceptar ningun compromiso con la privacidad
de los datos de nuestros usuarios. Hemos exigido a este
proveedor que implemente medidas oportunas para que esta
situación no vuelva a repetirse en el futuro.

Queremos agradecer al equipo de Hispasec la oportuna
información enviada a nuestra compañía. Vuestra contribución
nos ha permitido mejorar nuestros servicios y por ello
consideramos que es sumamente valiosa. No tengan duda en
comunicarse con nosotros de nuevo ya que consideramos
indispensable conocer la opinión de nuestros usuarios.




Bernardo Quintero
bernardo@hispasec.com



martes, 23 de noviembre de 1999

Denegación de Servicios en SQL Server 7.0

Microsoft SQL Server 7.0 deja de trabajar de forma silenciosa
cuando se envía un paquete TCP que contenga más de dos NULLs como
datos.
Microsoft SQL Server 7.0, el servidor de bases de datos más
importante de Microsoft, es vulnerable a un ataque de denegación
de servicios. Si la librería de comunicaciones TCP/IP se
encuentra activa y el servidor recibe un paquete TCP que contenga
tres o más NULL como datos se colgará de forma irremediable.

El problema puede pasar inadvertido ya que al contrario de lo que
suele ser habitual no se genera ningún tipo de pantalla azul o
similar. Simplemente se genera un evento en el log con ID 17055 y
descripción "fatal exception EXCEPTION_ACCESS VIOLATION".

Los dos primeros bytes nulos no afectan al sistema, pero no así a
partir del tercero. Por otra parte para reanudar el servicio
basta con reiniciar el Servidor SQL.

Más información:
Security Focus
BugTraq


Antonio Ropero
antonior@hispasec.com



lunes, 22 de noviembre de 1999

ALERTA: Contraseñas al descubierto en www.lettera.net

HispaSec hace pública una grave vulnerabilidad existente en
Lettera, uno de los servidores de correo gratuito más importantes
del mundo hispano. El conocido servicio proporcionado por
Lettera está afectado por un problema por el que cualquier
usuario de Internet puede llegar a conocer la password de las
cuentas de e-mail de lettera que desee.
www.lettera.net es un servicio de cuentas de correo gratuitas
especialmente dirigido al público hispano. Miles de usuarios
hacen uso de forma diaria de las cuentas de e-mail de este
sistema, pero existe una grave vuilnerabilidad en el servicio
por la cual cualquier usuario de Internet puede conseguir la
password del correo de cualquier cuenta de lettera en pocos
segundos.

No hace falta conocer al usuario, ni saber ningún dato de él,
es suficiente con conocer el nombre de la cuenta para conseguir
la password de correo y de forma inmediata el acceso a todos
los mensajes.

El servicio de cuentas de lettera está ofrecido por CommTouch,
una organización líder en servicios y software de correo
electrónico, ofrecidos en asociación con comerciantes de primeras
marcas del mercado. Aunque por otra parte www.lettera.net forma
parte de un gran conjunto de sitios web mucho más conocidos
para los usuarios hispanos, como www.yupi.com, www.ciudadfutura.com
o www.metabusca.com.

Cuando aun están presentes los graves fallos de seguridad en
Hotmail que permitían el acceso a las cuentas de algunos usuarios
mediante complejas técnicas, esta vulnerabilidad deja pequeños
dichos problemas. La importancia de esta noticia ha movilizado a
todo el equipo técnico de HispaSec que se ha puesto a investigar
las causas y el alcance pleno de esta vulnerabilidad.

Para garantizar la seguridad de los datos de los usuarios de
Lettera hemos evitado desvelar el medio con que se puede conseguir
la password de las cuentas de este servicio. La gravedad del fallo
y la sencillez con la que se pueden conseguir las passwords nos
obligan a no difundir el método a la espera de una actuación por
parte de Lettera.

Por otra parte, las investigaciones del equipo de HispaSec parecen
indicar que esta vulnerabilidad y la forma de obtener las passwords
ya lleva unos días circulando por los entornos underground. Esto
hace aun más grave el problema, ya que todo parece indicar que se
trata de una puerta trasera y los administradores y responsables
del sistema no han actuado todavía para evitar la vulnerabilidad.
Y si el problema es conocido en determinados entornos desde hace
unos días los usuarios han podido seguir haciendo uso de los
servicios sin saber que sus datos pueden estar expuestos.

Como corresponde en estos casos HispaSec ha avisado a los
administradores de www.lettera.net, yupi.com y de www.commtouch.com
para que solucionen lo antes posible este fallo. Por parte de
HispaSec queda el compromiso de seguir investigando este problema
y comunicar a los usuarios todas las novedades que surjan o
encontremos en torno a él.

Para finalizar, podemos dar unos consejos a los usuarios de
Lettera que crean que pueden tener su correo comprometido. En
cualquier caso hay que tratar de evitar emplear la pareja
nombre_de_usuario/contraseña en las cuentas de otros servicios.
De no seguir esta regla, si alguien conoce nuestra password en
Lettera puede robar todas las contraseñas del resto de las cuentas,
de acceso ftp a websites,etc. Por ello, y aunque de forma indirecta,
muchos otros sistemas se encuentran comprometidos.

También recomendamos a todos los usuarios que cambien sus
contraseñas en los servicios que compartan la misma cuenta que en
www.lettera.net, así como a borrar todos los mensajes del buzón.
En todo caso, es conveniente estar alerta porque se puede robar
la identidad de cualquier usuario de forma fácil, haciéndose pasar
por ellos de cara a terceros.

Detrás de Lettera se encuentra la solvencia de empresas de
reconocido prestigio, como Yupi o Commtouch, dentro de la actual
Internet. Yupi.com, fundada en 1996, es un portal que ofrece su
motor de búsqueda que enlaza con mas de 150 millones de páginas
web, 12 canales de navegación organizados por tema (por ejemplo,
noticias, deportes, entretenimiento, salud, etc.), correo
electrónico, chats, anuncios clasificados, foros de discusión y
tarjetas virtuales. Commtouch, por su parte, es una gran
multinacional en expansión, que cuenta con partners como Microsoft,
Excite International, Ziff Davis, TalkCity, Fortune City, Discover
Channel, Medscape, y BusinessWeek.




Antonio Ropero
antonior@hispasec.com



domingo, 21 de noviembre de 1999

China prepara un ejército cibernético

Según fuentes de "The Washington Times" todo hace pensar que en
China se está gestando el primer cuerpo de élite, dentro de un
ejército, especializado en lucha con métodos "hackers", que
tendría como campo de batalla Internet.
En un artículo publicado recientemente en el diario oficial de
las Fuerzas Armadas chinas se hace un apartado especial y se
especula con la posibilidad de dotar de una infraestructura
potente y eficaz para la realización de ataques a los sistemas
financieros y de comunicaciones de sus potenciales enemigos. Para
ello, prevén dotarse de la última tecnología con la idea de
monitorizar toda la información que circula por Internet, con la
finalidad de poder bloquear o saturar los sistemas de sus
enemigos.

Este nuevo modo de guerra electrónica da un paso más hacia
delante del "conocido" Echelon, que teóricamente está dedicado a
la protección de algunos países frente ataques terroristas o de
grupos organizados. Esta "Fuerza Net" como es calificada por el
diario "El Mundo" tendría categoría de cuerpo especial, con el
mismo nivel que los del Ejercito de Tierra, Armada o Aire.

Así mismo, el FBI en un reciente informe ha dado a conocer que se
ha detectado un notable incremento de ataques provenientes de
China a organizaciones gubernamentales, como el sitio Web de la
Casa Blanca. Este informe que fue presentado el pasado mes de
mayo advertía que estos ataques no habían sido realizados por
personas a nivel individual, sino que eran dirigidos, organizados
y ejecutados por el Ejercito chino.

Más información:
El Mundo
The Washington Times



Antonio Román
antonio_roman@hispasec.com



sábado, 20 de noviembre de 1999

Graves compromisos de seguridad en la base de datos ORACLE, bajo entornos UNIX

Se ha descubierto un grave compromiso de seguridad en la base de datos
ORACLE, que permite a cualquier usuario local el crear archivos
arbitrarios como administrador o "root".
El problema se localiza en el programa "dbsnmp", SUID como "root". Al
ejecutar este programa sin la variable de entorno "ORACLE_HOME" activa,
se vuelcan 400 bytes de información sobre los ficheros "dbsnmpc" y
"dbsnmpt", en el directorio actual desde el que se invoca al programa.
Dichos ficheros son creados con permisos 666 (lectura y modificación
para todo el mundo). Si los ficheros ya existen, se añaden esos 400
bytes al final de los mismos, sin realizar ninguna comprobación y sin
modificar los permisos existentes.

Este error permite, por ejemplo, crear archivos en cualquier lugar del
sistema con privilegios de administrador, usando enlaces simbólicos.
También es posible escribir en esos archivos (tienen privilegios de
escritura para todo el mundo) y llenar una partición de disco sin que se
pueda localizar al usuario hostil.

Mientras se investigaba esta vulnerabilidad en diferentes sistemas, se
encontró que la versión Oracle 8.0.5 para Linux no tiene el programa
"dbsnmp" pero, en cambio, incluye otro llamado "tnslsnr" que crea un
fichero "listener.log", con las mismas propiedades.

También se ha descubierto que el fichero
"$ORACLE_HOME/network/agent/config/nmiconf.tcl", que se lee al ejecutar
el "dbsnmp", puede ser modificado por cualquier usuario del sistema.

Versiones vulnerables:

No se dispone de una lista exhaustiva de versiones vulnerables (o
inmunes) a este ataque. Tan solo se pueden mostrar algunas referencias

* Vulnerables

Oracle 8.1.5

Oracle 8.0.5
Oracle 8.0.5.1
Oracle 8.0.4
Oracle 8.0.3
Oracle 7.3.4
Oracle 7.3.3

* Aparentemente No Vulnerables

Oracle 8.0.6
Oracle 8.1.6

Más información:
Oracle Intelligent Agent Vulnerability
ISS Security Advisory August 23, 1999
Additional Root Compromise Vulnerabilities in Oracle 8
Mensaje original
Oracle ha publicado un parche disponible en:

Oracle Intelligent Agent
Oracle Intelligent Agent Security Issue

Parece que el parche se limita a no seguir enlaces simbólicos. Para la
versión 8.1.5 no hay parche; hay que instalar la versión 8.0.5,
parchearla, y esperar a que se publique la versión 8.1.6.

No parece haber parche para las versiones previas.




Jesús Cea Avión
jcea@hispasec.com



viernes, 19 de noviembre de 1999

Resumen de BugTraq del 15-11-1999 al 21-11-1999

A partir de hoy contaremos con la colaboración de Hernán Ochoa,
miembro del Equipo de Investigación y Desarrollo de CoreLabs
(http://www.core-sdi.com). Como moderador de BugTraq-ES, Ochoa
tiene entre sus funciones la traducción al español del resumen
semanal que recoge lo más destacado de la archiconocida BugTraq,
la lista de seguridad más importante a nivel mundial, y sus
homónimas en español y japonés.
1. Vulnerabilidad de Attachment en respuesta del FormHandler.cgi
2. Vulnerabilidad de Buffer Overflow en E-MailClub
3. Vulnerabilidad de Buffer Overflow en Cgitest.exe del W4 Server
4. Vulnerabilidad de Buffer Overflow en WebBBS login & password
5. Vulnerabilidad de verificación en Lynx en el parámetro "secure"
en URLs Internas
6. Vulnerabilidad DoS Buffer Overflow en Gene6 G6 FTP Server
7. Vulnerabilidad en Tektronix PhaserLink Webserver
8. Vulnerabilidad de Buffer Overflow en Microsoft Riched20.dll
9. Vulnerabilidad de DoS en syslogd de Linux
10. Vulnerabilidad de Pine en Expansión de Variables de Entorno
en URLS
11. Vulnerabilidad de DoS en Solaris rpc.ttdbserver
12. Vulnerabilidad ProFTPD mod_sqlpw
13. Vulnerabilidad de DoS en ZetaMail Login
14. Vulnerabilidad DoS con URL largos en el HP JetDirect
Internal Webserver

RESUMEN DE BUGTRAQ del 15-11-1999 al 21-11-1999
-----------------------------------------------

1. Vulnerabilidad de Attachment en respuesta del
FormHandler.cgi
BugTraq ID: 799
Remoto: Si
Fecha publicación: 16-11-1999
URL relevante:
http://www.securityfocus.com/bid/799
Resumen:

Todo archivo al que FormHandler.cgi tenga acceso de lectura (el
cgi se ejecuta comúnmente como el usuario 'nobody' en sistemas unix)
se puede especificar como un attachment en una respuesta a un email.
Esto puede permitir a un atacante obtener acceso a archivos
importantes como /etc/passwd mediante la simple modificación del
document form.

2. Vulnerabilidad de Buffer Overflow en el E-MailClub
BugTraq ID: 801
Remoto: Si
Fecha publicación: 15-11-1999
URL relevante:
http://www.securityfocus.com/bid/801
Resumen:

Ciertas versiones de EmailClub, un paquete de servidor de mail de
Admiral Systems Inc., son vulnerables a un buffer overflow remoto.
Este overflow es explotable mediante el server POP3 de EmailClub
el cual falla al realizar chequeos de límites en la cabecera 'From:'
de los e-mail entrantes.

Este desbordamiento compromete totalmente la maquina Windows
95/98 que es blanco del ataque. Es posible que también afecte de la
misma manera a instalaciones en Windows NT. Sin embargo, no está
claro si EmailClub corre con privilegios de Administrador en éstas.

3. Vulnerabilidad en el Cgitest.exe del W4 Server
BugTraq ID: 802
Remoto: Si
Fecha publicación: 15-11-1999
URL relevante:
http://www.securityfocus.com/bid/802
Resumen:

Ciertas versiones del W4-Server 32-bits personal webserver por
Antelope Software vienen con un script vulnerable, Cgitest.exe.
Este script CGI compilado no realiza apropiadamente el chequeo de
límites en la información que le es dada por el usuario y es
vulnerable a un buffer overflow.

4. Vulnerabilidad de Buffer Overflow en WebBBS login &
password
BugTraq ID: 803
Remoto: Si
Fecha publicación: 15-11-1999
URL relevante:
http://www.securityfocus.com/bid/803
Resumen:

Ciertas versiones de WebBBS por Mike Bryeans de International
TeleCommunications contienen un fallo en el programa inicial de
acceso. La información dada por el usuario como nombre de usuario
y contraseña no se chequeada apropiadamente y puede provocar un
buffer overflow. Esto puede llevar a comprometer al sistema
corriendo WebBBS.

5. Vulnerabilidad de verificación en Lynx en el parámetro
"secure" en
URLs Internas
BugTraq ID: 804
Remoto: Si
Fecha publicación: 17-11-1999
URL relevante:
http://www.securityfocus.com/bid/804
Resumen:

Lynx generalmente clasifica las páginas web como internas o
externas. Las páginas web internas son aquellas que se usan para
cosas como la configuración, manejo de archivos bajados, etc. las
páginas web externas son aquellas normalmente visitadas por un
navegador y se encuentran en un servidor web en algún lugar
"externo" al cliente.

Para prevenir que autores de páginas maliciosas comprometan al
cliente, los creadores de Lynx ponen un numero de restricciones
para la manipulación de los URLS internos. Lo primero es un valor
escondido en el form que se pasa a las paginas internas llamado
"secure". Desgraciadamente, el valor no hace honor a su nombre, ya
que esta basado en la función time(). El siguiente método es
verificar si la página que contiene URLS internos tiene permiso
o no. Esto se lleva a cabo al comparar los títulos de las páginas,
verificándose contra lo que deberían ser (si fueran legales). La
sección de código que hace esta ingenua prueba es la siguiente:

[...]

(!strncmp(links[curdoc.link].lname,
"LYNXDOWNLOAD:", 13) &&
strcmp((curdoc.title ? curdoc.title :""),
DOWNLOAD_OPTIONS_TITLE)) ||
(!strncmp(links[curdoc.link].lname,
"LYNXHIST:", 9) &&
strcmp((curdoc.title ? curdoc.title :""),
HISTORY_PAGE_TITLE) &&

[...]

Es posible que un atacante (localmente) convenza al usuario a
entrar a una pagina de configuración ('0') en lynx, el valor de
"secure" puede ser obtenido a través de una llamada a utime()
en el archivo temporal creado en /tmp (que es donde lynx crea
las páginas html temporales). Una vez que se obtiene el valor
de "secure", una página maliciosa titulada apropiadamente puede
pasar valores de configuración como valores escondidos de un
form a LYNXOPTIONS://, quien los tomará gustosamente y modificará
las opciones de configuración del usuario silenciosamente (por
ejemplo, configurando el editor a lo que el atacante desee).
Existe la posibilidad de que esto sea explotado remotamente si se
adivina el valor de "secure".

Existen más vulnerabilidades expuestas por este problema como
son buffer overflows explotables debido al manejo erróneo de las
opciones de configuración. Se conoce la falta de chequeo de
límites en los buffers que guardan (al menos temporalmente) los
valores de las opciones: "user agent", "preferred language" y
"preferred charset".

6. Vulnerabilidad DoS Buffer Overflow en Gene6 G6 FTP Server
BugTraq ID: 805
Remoto: Si
Fecha publicación: 17-11-1999
URL relevante:
http://www.securityfocus.com/bid/805
Resumen:

El G6 FTP Server, por Gene6, es vulnerable a un ataque de buffer
overflow. Si se envían 2000 caracteres como nombre de usuario
o contraseña, el software usará toda la memoria y tiempo de CPU
disponible congelando al host atacado.

7. Vulnerabilidad en Tektronix PhaserLink Webserver
BugTraq ID: 806
Remoto: Si
Fecha publicación: 17-11-1999
URL relevante:
http://www.securityfocus.com/bid/806
Resumen:

Ciertas versiones de la impresora Tektronix PhaserLink vienen con
un servidor web para facilitar la configuración del dispositivo.
Este servicio tiene esencialmente nivel de acceso de
administrador, ya que puede modificar completamente las
características del sistema, reiniciar la máquina, asignar
servicios, etc.

En al menos una versión de esta impresora existen una serie de
URLs no documentadas que permitirán a usuarios remotos obtener la
contraseña del administrador. Una vez que el atacante haya
obtenido esta contraseña podrá manipular la impresora a su antojo.

8. Vulnerabilidad de Buffer Overflow en Microsoft
Riched20.dll
BugTraq ID: 807
Remoto: Si
Fecha publicación: 17-11-1999
URL relevante:
http://www.securityfocus.com/bid/807
{* HispaSec: http://www.hispasec.com/unaaldia.asp?id=386 *}
Resumen:

Riched20.dll, usado por el Wordpad para parsear archivos con
formato Rich Text (RTF), contiene un buffer overflow el cual
permite la ejecución de codigo arbitrario. El código puede ser
puesto en un archivo .rtf y enviado por email a la víctima.
Luego, si la víctima abre el documento con el Wordpad, el código
será ejecutado con el nivel de privilegio del usuario.

9. Vulnerabilidad de DoS en syslogd de Linux
BugTraq ID: 809
Remoto: No
Fecha publicación: 19-11-1999
URL relevante:
http://www.securityfocus.com/bid/809
Resumen:

Syslogd usa un unix domain stream socket (/dev/log) para recibir
mensajes de log del sistema. Los Unix domain stream sockets
requieren que se realice una conexión entre el cliente y el
servidor, lo que significa que por cada cliente atendido se crea
un proceso separado.

Es posible causar una negación de servicio (DoS) abriendo muchas
conexiones locales al syslog en un periodo de tiempo corto.
Desgraciadamente, no se tienen mas detalles sobre esta
vulnerabilidad.

10. Vulnerabilidad de Pine en Expansión de Variables de Entorno
en URLS
BugTraq ID: 810
Remoto: Si
Fecha publicación: 18-11-1999
URL relevante:
http://www.securityfocus.com/bid/810
Resumen:

Cuando Pine manipula emails formateados o con HTM, al seleccionar
las urls que contienen variables de shell definidas en la máquina
local donde el cliente se ejecuta estas se expanden. Esto puede
causar muchos problemas de seguridad, desde enviar variables
expandidas a webservers en forma de parámetros cgi (luego logueados
para recolectar información acerca del sistema/usuario atacado)
hasta posiblemente ejecutar comandos arbitrarios en el host atacado
a través de emails maliciosos.

El siguiente ejemplo fue dado por Jim Hebert
en un mensaje a BugTraq:

echo 'setenv WWW www.securityfocus.com' >> .tcshrc
source .tcshrc
pine
(ver un link que me envié a mi mismo como: http://$WWW )
funciona, yo visité securityfocus.

11. Vulnerabilidad de DoS en Solaris rpc.ttdbserver
BugTraq ID: 811
Remoto: Si
Fecha publicación: 19-11-1999
URL relevante:
http://www.securityfocus.com/bid/811
Resumen:

Es posible hacer caer al rpc.ttdbserver mediante el uso de un
exploit para un viejo buffer overflow del ttdbserver. Este problema
está causado por un puntero NULL referenciado cuando la función 15
de rpc es llamado con basura. No es posible hacer que rpc.ttdbserver
ejecute código arbitrario con esta vulnerabilidad. La consecuencia
al explotar esta vulnerabilidad es una condición de negación de
servicio (rpc.ttdbserver).

12. Vulnerabilidad ProFTPD mod_sqlpw
BugTraq ID: 812
Remoto: No
Fecha publicación: 19-11-1999
URL relevante:
http://www.securityfocus.com/bid/812
Resumen:

El compilar el módulo mod_sqlpw para ProFTPD hace posible que los
usuarios locales vean las contraseñas de los usuarios que se han
conectado al servidor ftp. Cuando se usa el módulo éste escribe
información a wtmp. Desafortunadamente, escribe la contraseña a
wtmp donde debería estar el nombre de usuario. Las contraseñas se
pueden ver cuando un comando como 'last' se usa localmente.

13. Vulnerabilidad de DoS en ZetaMail Login
BugTraq ID: 813
Remoto: Si
Fecha publicación: 1999-11-18
URL relevante:
http://www.securityfocus.com/bid/813
Resumen:

El servidor de mail ZetaMail caerá si el cliente proporciona un
par nombre de usuario/contraseña de más de 3500 caracteres.

14. Vulnerabilidad DoS con URL largos en el HP JetDirect
Internal
Webserver
BugTraq ID: 814
Remoto: Si
Fecha publicación: 18-11-1999
URL relevante:
http://www.securityfocus.com/bid/814
Resumen:

El módulo JetDirect J3111A se usa para conectar muchos modelos de
las impresoras HP a una red. Este incluye un servidor web para la
administración remota de la impresora. Este servidor es
vulnerable a causa de un buffer overflow en el código que maneja
las URLs entrantes. Si se solicita una URL de más de 256 caracteres
la impresora se colgará.




Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo - CoreLabs - Core SDI
http://www.core-sdi.com



jueves, 18 de noviembre de 1999

Tutorial en castellano sobre cómo escribir programas seguros para Unix

Originariamente publicado como un artículo en la revista en papel Linux
Actual, su autor ha decidido publicarlo de forma abierta y dejarlo a
disposición de todas aquellas personas (especialmente programadores en C
y lenguajes similares, en entornos UNIX) interesadas en descargarlo y
leerlo.
El tutorial repasa las fuentes de problemas de seguridad más habituales
a la hora de programar un servicio accesible por usuarios potencialmente
hostiles, así como sus soluciones más habituales.

Aunque es imposible abordar todas las posibles circunstancias de error
en un programa, sobre todo teniendo en cuenta los entornos complejos
como Unix y lenguajes de programación como el C, el texto pretende
servir como una primera guía a la hora de auditar, a nivel de seguridad,
programas ajenos. También sirve como un recetario básico de qué no hacer
o qué tener en cuenta a la hora de escribir software propio.


En la misma dirección web se disponen del resto de artículos publicados
en la revista Linux Actual, incluyendo dos extensos y detallados
artículos sobre el CHROOT y sus aplicaciones como medida de seguridad
adicional.

Más información:
¿Cómo Escribir Programas Seguros?
Artículos Hacking y Seguridad



Bernardo Quintero
bernardo@hispasec.com



miércoles, 17 de noviembre de 1999

Buffer Overflow en Wordpad

Una clásica vulnerabilidad por desbordamiento de buffer puede
provocar la ejecución de código arbitrario a través de la
aplicación Wordpad. Hasta el momento Microsoft no ha facilitado
parche o información adicional para este problema que convierte
a los archivos con formato RTF (Rich Text Format) en
potencialmente peligrosos.
La vulnerabilidad se presenta en la librería RICHED20.DLL,
utilizada por Wordpad para manejar los RTF, presente en las
versiones Windows 98/NT/2000. Para provocar el desbordamiento
basta con incluir 32 caracteres después del identificador "\rtf\"
que encabeza la primera línea de los archivos con formato RTF.

Ejemplo de primeras líneas de un archivo RTF:

{\rtf1\ansi\ansicpg1252\uc1
\deff0\deflang1033\deflangfe3082{\fonttbl{\f0\froman\fcharset0\fp
rq2{\*\panose 02020603050405020304}Times New
Roman;}{\f1\fswiss\fcharset0\fprq2{\*\panose
020b0604020202020204}Arial;}}{\colortbl;\red0\green0\blue0;

Para conseguir el buffer overflow habría que modificar la
primera línea incluyendo 32 caracteres después de "\rtf1\",
como por ejemplo:

{\rtf1\AAAAAAAAAAAAAAAAAAAAAAAAAAAAAansi\ansicpg1252\uc1

Al abrir con la aplicación Wordpad el documento modificado se
produce el desbordamiento y devuelve la EIP 41414141. Esto quiere
decir que se ha modificado el indicador que apunta a la
siguiente dirección de ejecución (Extended Instruction Pointer,
EIP) con el carácter utilizado para el desbordamiento
(hexadecimal del carácter "A", 41). Al intentar ejecutar la
instrucción ubicada en la dirección 0x41414141 se produce un
error, conocido como violación de acceso, al no encontrar una
instrucción válida. Aunque esta muestra tan solo produce un
ataque DoS, la modificación del EIP lo convierten en un buffer
overflow potencialmente fácil de explotar.

Más información:
Bugtraq



Bernardo Quintero
bernardo@hispasec.com



martes, 16 de noviembre de 1999

El SP6 de Windows NT impedía el acceso a Lotus Notes

Microsoft publica un parche para la corrección de un bug en el
Service Pack 6 de Windows NT por el cual se impedía el acceso a
Lotus Notes a usuarios sin privilegios de administración
La instalación del Service Pack 6 ha provocado que un gran número
de sistemas las llamadas Winsock no funcionen de forma correcta.
Generalmente el problema se manifiesta cuando un programa intenta
acceder a un servidor, generando un error que puede visualizar
los mensajes "Could not connect to server" o bien "Access
denied".

Este problema afectaba especialmente a los usuarios de Lotus
Notes, que han visto como el sistema les imposibilitaba acceder
al servidor Notes si no tenían derechos de administración. El
extenso uso de este sistema de trabajo en grupo, y la
imposibilidad de prescindir de él, ha podido obligar en algún
caso a elevar los derechos de los usuarios de forma temporal, y
otorgar así, privilegios de adminitración para permitir el uso de
Lotus Notes.

El parche de Microsoft para solucionar este problema se ecuentra
disponible en
http://support.microsoft.com/support/kb/articles/Q245/6/78.asp

Más información:
Microsoft
Cnet
InfoWorld



Antonio Ropero
antonior@hispasec.com



lunes, 15 de noviembre de 1999

Consecuencias Jurídicas del "DEFECTO 2000": Responsabilidad Civil

El Colegio de Abogados de Barcelona organizó el pasado día 12 de
noviembre una jornada sobre las consecuencias jurídicas del
denominado Efecto 2000. Intervinieron en el coloquio D. Luis
Rodríguez Vega, Magistrado Juez titular del Juzgado de
1ª Instancia 26 de Barcelona, D. José Luis Barrón de Benito,
Presidente de la Comisión de Derecho de Seguros de la Unión
Internacional de Abogados, y Carlos Sánchez Almeida, Abogado y
Vocal de la Comisión de Entidades Aseguradoras y Responsabilidad
Civil.
Pese a su gran contribución a las ventas de informática, el
llamado "bug" del milenio es contemplado desde una perspectiva
escéptica en ámbitos jurídicos. Los ponentes coincidieron en que
el sistema judicial español cuenta con herramientas suficientes
para hacer frente a la situación planteada. Desde la perspectiva
de los juristas, incluso podría discutirse el nombre, y hablar de
Defecto 2000, al amparo de la legislación vigente en materia de
daños causados por productos defectuosos.

Barrón de Benito presentó una amplia perspectiva del problema,
analizando las posibles acciones que asisten a particulares y
empresas ante un eventual daño informático. Puede actuarse
judicialmente tanto por incumplimiento de contrato, como mediante
la acción de responsabilidad civil extracontractual, a fin de
garantizar los derechos de los perjudicados.

Con todo, no es previsible un incremento de la litigiosidad por
fallos informáticos, dado que las campañas de concienciación han
acelerado en los últimos años la adopción de medidas de precaución.
Ello no obstante, también sería discutible quién ha de asumir el
coste de dichas medidas: las empresas y particulares afectados
pueden, en todo caso, repercutir el coste de actualización frente
a los diseñadores de software defectuoso. También suscitó un ameno
debate la eventual cobertura por parte de las entidades aseguradoras.
Las cláusulas de exoneración suscritas en los últimos años podrían
constituir abuso de derecho, al afectar a contratos en vigor cuyo
redactado no contemplaba inicialmente la exclusión de tal
eventualidad.

Puede consultarse la ponencia presentada por el Sr. Barrón en

http://www.bufetalmeida.com/ef2000.htm

Más información:
Bufet Almeida




Bernardo Quintero
bernardo@hispasec.com



domingo, 14 de noviembre de 1999

Vulnerabilidad en la versión de Outlook para MacOS

Una vulnerabilidad en Outlook Express 5.0 para Macintosh permite,
a través de un mensaje de correo HTML, descargar un archivo en el
sistema del receptor de forma remota.
El archivo descargado de forma automática se almacena en la
carpeta para "Download" por defecto, sin que se produzca ningún
aviso al usuario. El archivo puede ser de cualquier formato, por
lo que esta vulnerabilidad puede ser aprovechada para introducir
troyanos.

Microsoft, que ha confirmado el problema, y asegura que en la
actualidad trabaja en un parche para solucionarlo, recuerda
que esta vulnerabilidad no permite ejecutar de forma remota
el archivo descargado.

Sin embargo, el peligro continúa existiendo, ya que los usuarios
pueden ejecutar a posteriori, y de forma directa, estos archivos.
Una vez más, se recomienda a los usuarios que no abran ningún
archivo del que desconozcan su procedencia de la carpeta de
descarga por defecto.

Más información:
MS flags OE 5 security threat (MacWEEK)
Outlook Express 5 for Macintosh Readme file (Microsoft)



Bernardo Quintero
bernardo@hispasec.com



sábado, 13 de noviembre de 1999

Disponible la Guía de Seguridad del Administrador de Linux

Ya se encuentra disponible la traducción al español de
la Guía de Seguridad del Administrador de Linux, GSAL,
original de Kurt Seifried.
El documento contiene mas de 200 páginas de texto con
información orientada a reforzar la seguridad del sistema
operativo Linux en sus múltiples variantes.

Está dirigida tanto a administradores de redes como a usuarios
habituales de Linux, si bien se requiere cierta experiencia en
el manejo del sistema operativo.

Vienen recogidos aspectos como la instalación, el núcleo del
sistema, seguridad física, contraseñas, seguridad de red,
seguridad TCP-IP, Cortafuegos, Proxies, protocolos y servicios
de red: Telnet, SSH, Web, FTP, Correo, IPSec, herramientas de
administración, monitorización y registro de logs, métodos de
detección de intrusos, copias de seguridad, ataques,
criptografía, PGP...y un largo etcetera.

La Guía de Seguridad del Administrador de Linux puede
encontrarse en:

http://segurinet.com/gsal/default.htm

Más información:
Versión original de GSAL



Jose Antonio Revilla
revilla@segurinet.com



viernes, 12 de noviembre de 1999

Chequeo de archivos de forma remota con IE5 y Active-X

El control Active-X "Windows Media Player", que acompaña a
Internet Explorer 5, puede utilizarse para comprobar de
forma remota, a través de una página HTML, la existencia
de archivos y directorios de un sistema local.
Esta característica se debe a que el control WMP devuelve un
código de error específico, "-2147220970", cuando intenta
acceder a un archivo local que no existe. Basándose en este
código un atacante podría averiguar importantes datos sobre
la configuración del sistema en base a la existencia o no de
determinados archivos.

El descubridor, Georgi Guninski, habitual ya en nuestras
noticias, ha facilitado una página web donde podemos
comprobar la vulnerabilidad. La demostración consiste en una
página HTML que contiene un formulario a través del cual
podremos chequear la existencia de un directorio o archivo
en nuestro sistema:

http://www.nat.bg/~joro/mscheckf.html

El código de ejemplo es el siguiente:


<object id="wm" WIDTH=0 HEIGHT=0
classid="clsid:22D6F312-B0F6-11D0-94AB-0080C74C7E95" >
</object>
<SCRIPT>
// -2147220970
function checkfile()
{
b=document.all.wm;
b.FileName=document.forms[0].elements[0].value;
if (b.ErrorCode == -2147220970)
alert("File does not exist")
else
alert("File exists");
}
</SCRIPT>
<FORM>
<INPUT TYPE="TEXT" VALUE="C:\AUTOEXEC.BAT" SIZE=60>
<INPUT TYPE="SUBMIT" VALUE="Check file" onclick="checkfile()">
</FORM>

La vulnerabilidad puede ser también explotada desde clientes de
correo como Outlook que permiten la visualización de páginas
HTML. Las plataformas afectadas son Windows 9x/NT, y la
solución, típica, pasa por desactivar la Secuencia de comandos
Active-X o la secuencia de comandos de los controles Active-X
marcados como seguros, ambas opciones accesibles a través del
menú Herramientas -> Opciones de Internet -> Seguridad (pestaña)
-> Personalizar Nivel.

Más información:
Bugtraq



Bernardo Quintero
bernardo@hispasec.com



jueves, 11 de noviembre de 1999

Buffer overflow remoto en Windows 95/98

Una vulnerabilidad permite, a través de una página web o un
mensaje de correo electrónico, ejecutar código arbitrario en
todos los sistemas Windows 95 y 98. Microsoft facilita un
parche que soluciona este grave problema de seguridad.
La vulnerabilidad "File Access URL", como ha sido bautizada por
la propia Microsoft, está basada en un desbordamiento del
buffer en el software encargado de procesar las cadenas de
acceso a ficheros locales y remotos. Si se pasa como parámetro
una cadena arbitraria excesivamente larga se produce el bloqueo
del sistema. Esta misma cadena puede ser construida a conciencia
para aprovechar el buffer overflow y ejecutar código con acceso
total al sistema.

Para explotar remotamente esta vulnerabilidad basta con utilizar
la forma "file://[URL_excesivamente_larga]" en una página web o
mensaje de correo electrónico. Hay que hacer hincapié en que no
es necesario que el usuario haga click en el enlace, la simple
visualización de la página web o el mensaje de correo provocará
el buffer overrun. Así mismo, recordar que la vulnerabilidad no
pertenece a Internet Explorer o Outlook, sino que afecta a los
sistemas operativos Windows 95 y 98, de manera independiente al
navegador o cliente de correo utilizados.

Parches:

Windows 95
Windows 98

Más información:
Microsoft Security Bulletin (MS99-049)
Frequently Asked Questions MS Bulletin (MS99-049)



Bernardo Quintero
bernardo@hispasec.com



miércoles, 10 de noviembre de 1999

Buffer overflow en Interscan VirusWall NT 3.23/3.3

Un desbordamiento de buffer en el gateway SMTP del programa
antivirus VirusWall permite la ejecución de código arbitrario
en el servidor. Trend Micro facilita un parche para eliminar
la vulnerabilidad de su producto.
InterScan VirusWall es un producto que integra la protección
contra virus en servidores Internet analizando, en tiempo real,
el tráfico que circula por SMTP, HTTP y FTP.

El ataque puede llevarse a cabo enviando un comando HELO con
un argumento suficientemente largo como para desbordar el
buffer encargado de recoger esta cadena. Ejemplo:

telnet servidor.com 25
Connected to servidor.com.
Escape character is '^]'.
220 servidor.com InterScan VirusWall NT ESMTP 3.23 (build
9/10/99) ready at Sun, 07 Nov 1999 03:38:44 -0800 (Pacific
Standard Time)
HELO [2048 caracteres]

Código fuente del exploit
http://www.beavuh.org/exploits/vwxploit.asm

Exploit ejecutable
http://www.beavuh.org/exploits/vwxploit.exe

Parche (no oficial)
http://www.beavuh.org/exploits/V323PTCH.COM

Parche (Trend Micro)
http://download.antivirus.com/ftp/products/patches/isvw331_patch.zip

Más información:

InterScan VirusWall
Aviso en Bugtraq



Bernardo Quintero
bernardo@hispasec.com



martes, 9 de noviembre de 1999

Microsoft publica un parche para la vulnerabilidad de Outlook

Hace pocos días HispaSec informaba sobre una nueva vulnerabilidad
descubierta por Juan Carlos García Cuartango y que podía dar
lugar a la ejecución de los archivos adjuntos sin pedir
confirmación.
El parche de Microsoft elimina una vulnerabilidad en un
componente ActiveX destinado a la instalación de software, más
conocido como "Active Setup Component". Como ya informamos
anteriormente, la vulnerabilidad podía permitir la creación de
un e-mail malicioso, incluso cuando se siguen las normas básicas
de seguridad, se puede recibir una acción dañina.

El mencionado control ActiveX permite lanzar y ejecutar archivos
CAB, los conocidos ficheros de instalación de Windows. Esto puede
permitir a un mensaje html que contenga un archivo CAB malicioso
pasar camuflado como si fuera de un formato inofensivo (wav,
mid...). Si un usuario intenta abrir el archivo, la operación
fallará, pero podrá dejar una copia del fichero en una
localización conocida. Por lo que el control ActiveX podrá ser
empleado mediante un script incluido en el mensaje y ejecutar la
copia y por tanto el código malicioso.

La vulnerabilidad solo puede ser explotada en aquellos casos en
que el lector empleado esté configuado para permitir scripts en
mensajes html y almacene los ficheros temporales en localizaciones
conocidas. El parche publicado por Microsoft restringe la
posibilidad del control para ejecutar archivos CAB sin firmar que
hayan sido descargados desde la máquina local.

Más información:
Boletín de seguridad de Microsoft
FAQ sobre el problema
Disponibilidad del parche
http://windowsupdate.microsoft.com
http://www.microsoft.com/msdownload
http://www.microsoft.com/msdownload/iebuild/ascontrol/en/ascontrol.htm



Antonio Ropero
antonior@hispasec.com



lunes, 8 de noviembre de 1999

Signcryption: firma y cifrado en una única operación

Una nueva técnica criptográfica, denominada "signcryption" (contracción
de "signature" (firma) y "encryption" (cifrado)), permite firmar y
cifrar documentos con un coste computacional y una sobrecarga en tamaño
menor que la firma más cifrado tradicionales.
Como bien saben todos nuestros usuarios, la criptografía de clave
pública, además de sus ventajas inherentes, suele permitir que sea
empleada para firmar un documento, de forma tal que cualquier persona
interesada pueda verificar que:

* El documento proviene de otro usuario determinado
* El documento no ha sido modificado
* El usuario original no puede negar que ha generado el documento

Es muy habitual que un documento se firme con la clave privada del
su autor, y luego se cifre con la clave pública del destinatario. Se
acostumbra a seguir este orden para que el destinatario pueda no ya
verificar la identidad e integridad del documento, sino que sólo él
pueda hacerlo. Otro usuario con acceso al documento no puede identificar
su procedencia, porque necesita descifrarlo primero utilizando la clave
privada del destinatario legítimo.

Usando las técnicas tradicionales, las etapas de firma y cifrado son
independientes y se realizan de forma consecutiva. Dado que la
criptografía de clave pública exige unos recursos de cálculo y memoria
muy elevados, cualquier mejora que permita reducir el coste de
implementar dos operaciones de clave pública resulta muy bienvenida,
sobre todo cuando se piensa en entornos como el de las tarjetas chip o
en circuitos de comunicaciones.

"Signcryption" se sitúa en ese contexto, ya que permite firmar y cifrar
un documento con un coste inferior al que requeriría el realizar las dos
operaciones por separado, como viene haciéndose habitualmente. Se trata
de una tecnología muy reciente y todavía en desarrollo, además de que
podría quedar cubierta con patentes a medida que los investigadores van
encontrando alternativas eficientes.

En la actualidad, se han descubierto al menos técnicas "signcryption"
derivadas de los criptosistemas ElGamal y curvas elípticas.

Más información:
Cryptography research - Cypto'97 Papers Online
A Selected List of Publications by Dr Yuliang Zheng
Proxy-Signcryption
IEE P1363a Plans and Submissions
Shortened Digital Signature, Signcryption and Compact and Unforgeable Key Agreement Schemes



Jesús Cea Avión
jcea@hispasec.com



domingo, 7 de noviembre de 1999

Compromiso de seguridad en algunas instalaciones de la herramienta de backup "AMANDA"

Se ha descubierto un compromiso de seguridad en algunas instalaciones de
la herramienta de backup "AMANDA" ("Advanced Maryland Automatic Network
Disk Archiver"), que permite la ejecución de código arbitrario como
"root".
Amanda es un sistema de backup para entorno Unix, que permite realizar
copias de seguridad en red, utilizando un único servidor de backup
centralizado para salvaguardar información contenida en diferentes
máquinas de una red local. Aunque Amanda funciona sólo en sistemas UNIX,
permite también hacer copias de seguridad de máquinas Windows 95/98/NT
mediante el sistema SAMBA.
Existen, básicamente, tres vulnerabilidades en algunas instalaciones de
Amanda:

1. "runtar" se instala como SET-UID "root".

Ello quiere decir que la utilidad "runtar" se ejecuta con privilegios
de administrador. Lamentablemente el programa no comprueba que los
ficheros que seleccionamos para leer o escribir sean accesibles para
el usuario que ejecuta "runtar" por lo que es trivial copiar y
sobreescribir cualquier fichero del sistema.

2. "tar" tiene un desbordamiento de búffer

Aunque la vulnerabilidad anterior lo hace innecesario, "tar"
tiene un desbordamiento de búffer que permite la ejecución de código
arbitrario.

Habitualmente esto no sería un problema, porque "tar" se ejecuta
con los privilegios del propio usuario, así que no puede hacer
ningún daño que no pueda cometer directamente.

Pero como "tar" es invocado también desde "runtar", y "runtar"
se ejecuta como "root" o administrador, cualquier usuario local puede
ejecutar código arbitrario como "root".

3. "amandad" sigue enlaces simbólicos

"amandad" es el demonio que se ejecuta en las máquinas remotas (de
las que se quiere hacer copia de seguridad). Este programa crea el
fichero "/tmp/amandad.debug" sin comprobar si se trata de un enlace
simbólico. Si un usuario local malicioso crea un enlace simbólico
en "/tmp/amandad.debug", puede sobreescribir cualquier fichero del
sistema con información de depuración del demonio "amandad".

Ello es posible porque, aunque "amandad" no es SET-UID ni SET-GID,
suele ser ejecutado por "root".

En la lista BUGTRAQ se han discutido una serie de posibilidades:

* "runtar" debería ser ejecutable sólo por "root" y por un grupo
cerrado de usuarios (típicamente el grupo "sys"). No debe ser
ejecutable por otros usuarios del sistema.

Con esto eliminamos el primer y segundo problema.

Por lo que parece, ésta es la instalación por defecto si se instala el
programa compilando los propios fuentes. No obstante algunas
distribuciones RPM, *BSD, etc. dejan a "runtar" como ejecutable
por cualquier usuario del sistema.

La instalación de Amanda desde los fuentes parece ser segura, por
tanto. Al menos en lo que respecta a los dos primeros puntos.

* Las últimas versiones parecen mucho más seguras en lo que respecta a
la tercera vulnerabilidad, ya que todos los ficheros de depuración
son creados dentro de un directorio configurable y seguro.

Aunque se siguen enlaces simbólicos, Amanda se preocupa de no
modificar ningún fichero que ya exista, aunque puede ser utilizado
para crear ficheros nuevos, vajo ciertas circunstancias.

Aunque parece que la mayoría de los problemas (al menos de los graves)
son debidos a un sistema de instalación de paquetes deficiente, no a
Amanda, se recomienda que los administradores utilicen la versión más
actualizada posible de Amanda que, en el momento de escribir este
documento, es la "2.4.1p1". Amanda debe ser instalado desde los propios
fuentes, no utilizando paquetes precompilados. Amanda disfrutó de una
auditoría de seguridad intensiva antes de publicar la versión "2.4.0";
no se recomienda el uso de versiones previas.

Más Información:
Amanda: The Advanced Maryland Automatic Network Disk Archiver
Multiple Vendor Amanda 'runtar' permissions Vulnerabilities
Multiple Vendor Amanda 'amandad' Symlink Vulnerability



Jesús Cea Avión
jcea@hispasec.com



sábado, 6 de noviembre de 1999

Seis problemas de seguridad en el BIND

BIND, el servidor de DNS más utilizado en Internet, tiene seis fallos de
seguridad que comprometen la estabilidad del servicio de nombres a
escala mundial. Uno de los problemas permite que un atacante remoto
ejecute código arbitrario en el servidor.
Las versiones anteriores a la 8.2.2 patchlevel3 del servidor BIND tienen
los siguientes problemas de seguridad. Se recomienda actualizar los
servidores BIND *inmediatamente*.

* Bug "NXT"

Este fallo permite, teóricamente, ejecutar código arbitrario en el
servidor, con los privilegios con los que se ejecute el demonio BIND
(típicamente, "root"). El ataque es posible tanto de forma local como
remota.

* Bug "solinger"

Se trata de un ataque de denegación de servicio, por medio del cual un
atacante (local y remoto) puede parar la ejecución del demonio BIND
durante intervalos de hasta 120 segundos, utilizando sesiones TCP con un
formato especial.

* Bug "fdmax"

Otro ataque de denegación de servicio. Un atacante puede matar el
servidor BIND, forzándole a utilizar todo los descriptores de ficheros
que el sistema operativo permite para un proceso.

Ataque local y remoto.

* Bug "sig"

Otro ataque DoS (denegación de servicio). El servidor BIND muere si
procesa registros SIG convenientemente manipulados.

Ataque local y remoto.

* Bug "naptr"

Cuando el servidor de DNS lee los registros de disco para sus zonas
locales, puede morir si los registros NAPTR se formatean adecuadamente.
Se trata, pues, de otro ataque de denegación de servicio.

Este ataque no puede realizarse de forma remota, sino que deben
manipularse los propios ficheros de configuración de zonas DNS del
servidor. Ello hace que el ataque sea bastante improbable ya que,
normalmente, esos ficheros están tan protegidos como el código del
propio servidor.

* Bug "maxdname"

Otro ataque DoS, debido a un desbordamiento de búffer, realizable tanto
de forma local como remota. Dadas las características de las estructuras
que se desbordan, no parece que el ataque pueda emplearse para ejecutar
código arbitrario, aunque sí para matar el servidor BIND.

Además de instalar la versión 8.2.2-P3 o superior, se recomienda
instalar un parche de una línea, para corregir un séptimo problema.

Más información:
BIND Vulnerabilities
Domain Name System Security Extensions
CERT Advisory CA-99-14: Multiple Vulnerabilities in BIND



Jesús Cea Avión
jcea@hispasec.com



viernes, 5 de noviembre de 1999

ALERTA: "BubbleBoy" siembra el pánico por e-mail

Para muchos escritores de virus era un sueño. Para la mayoría de
las compañías antivirus, una utopía. Desde ayer mismo, para la
totalidad de los usuarios de Outlook, una pesadilla. "BubbleBoy",
un i-worm escrito en VBS (Visual Basic Script) acaba de abrir la
caja de Pandora, al ser el primer virus compatible con e-mail
capaz de activarse sin que el usuario ejecute, abra, o incluso
guarde en su disco cualquier tipo de fichero adjunto recibido.
Basta con leer. Recibimos un e-mail, lo leemos, y mientras esto
sucede el i-worm ya ha comenzado a llevar su trabajo, una tarea
bifásica, a cabo. El funcionamiento de "BubbleBoy" se basa en
la compatibilidad con el formato HTML de la gama Outlook, de tal
forma que, mediante código VBS embebido en nuestro correo, así
como con la inestimable ayuda de un agujero de seguridad, este
i-worm consigue crear en el menú de inicio de los ordenadores
afectados un "dropper" incrustado en una página web, la cual se
activará en cada arranque del ordenador y procederá a difundir
nuevos e-mails con "BubbleBoy" a cada una de las entradas que
se encuentren en nuestra libreta de direcciones. Así de simple,
y, a la vez, así de complicado.

La pesadilla se ha convertido en realidad. Era un hecho cuya
predictibilidad crecía día a día, virus a virus. Y lo cierto
es que basta con examinar la fértil y pujante producción de su
autor para comprobar cuáles han sido los metódicos pasos de lo
que cierta eminencia literaria habría catalogado como "crónica
de una irrupción vírica anunciada". En HispaSec hemos hecho
horas extra para ofrecer a nuestros lectores, como siempre, lo
más destacado de la seguridad informática. Pero no nos hemos
conformado con quedarnos en lo meramente técnico. Esta vez el
esfuerzo está justificado en un trabajo que combina una parte
de documentación y otra de, inevitablemente, reconstrucción
histórica, con el fin de ofrecer lo que nadie había ofrecido
hasta ahora: una versión diacrónica de los hechos, analizando
los cómos y los porqués de la aparición de "BubbleBoy".
Hasta el día de hoy
-------------------
La historia se remonta a aquel famoso bulo tipo "chain-letter"
que en los albores de Internet nos alertaba asegurando que, si
recibíamos un e-mail con "Good Times" como tema, estaríamos
expuestos a que un temible virus infectase nuestro ordenador y
borrase nuestros ficheros en caso de leer el contenido del
mensaje portador. Han pasado desde entonces unos cuantos años
y, lo que hace 24 horas era blanco, a partir de hoy será negro.
Atrás quedan esos cientos de miles de comentarios -por parte de
expertos y no tan expertos- en los que uno podía encontrar el
paradigma platónico de isostasia, representado por las justas
dosis de prepotencia, arrogancia, autosuficiencia, compasión e
incluso sarcasmo, que, siempre acompañados de la pertinente
palmadita en la espalda, nos convencían de la imposibilidad de
que un virus de las características de "Good Times" era, más
que inviable, ciencia ficción hollywoodiense.

Pero no adelantemos los acontecimientos. Tenemos que situarnos
en torno al inicio de 1999 para encontrar algún tipo de indicio
de actividad por parte de Zulu, un escritor y coleccionista de
virus argentino, responsable de "BubbleBoy". Ya en sus tímidos
comienzos el autor dejó entrever algunos detalles técnicos,
tales como la creación de un "dropper" vírico en el menú de
inicio de Windows. Tras coquetear con la encriptación de datos
en virus VBS como pionero y, hasta ahora, único desarrollador,
su primer aviso serio vino de la mano del virus "Freelinks",
originalmente bautizado como "Cucu", capaz de difundirse por
medio de Outlook, mIRC y PIRCH a través de Internet, hechos que
lo llevaron a ser el primer virus escrito en VBS en expandirse
"in the wild".

No obstante, su salto definitivo a la fama vino de la mano del
gusano "Monopoly", que mostraba una imagen con la cara de Bill
Gates incrustada en un tablero del conocido juego de mesa que
presta su nombre a este agente infeccioso, mientras las copias
del gusano estaban siendo enviadas a cada uno de los usuarios
registrados en la libreta de direcciones del propietario de la
máquina afectada por "Monopoly".

Llegados a este punto es necesario efectuar un paréntesis, con
el fin de poner a nuestros lectores en antecedentes. Corría el
21 de agosto cuando un servidor tenía el honor de firmar una
noticia mediante la cual informábamos en nuestro servicio de
"una-al-día" acerca de una importante vulnerabilidad encontrada
por el búlgaro Georgi Guninski en la versión 5.0 del conocido
navegador Internet Explorer. El famoso caza-agujeros acababa de
descubrir la posibilidad de escribir código de manera remota
desde una página web ubicada en Internet, algo que, según nos
advertía el propio Guninski, también afectaba al e-mail. Zulu,
que según hemos deducido está suscrito a "una-al-día", no dudó
un instante y decidió aprovechar el tiempo para, en un período
relativamente corto de tiempo, sacar a la luz a "Chango", un
troyano escrito específicamente para explotar la vulnerabilidad
descubierta por Guninski y sobreescribir los ficheros LOGOS.SYS
y LOGOW.SYS de las máquinas afectadas de una manera similar a
la seguida por "BubbleBoy" para autoenviarse por e-mail.

Semanas después aparece un nuevo gusano, "VanHouten", escrito
por el mismo autor y causante de unas reacciones similares a
las provocadas por "Monopoly", al que se asemeja en una buena
cantidad de rutinas de funcionamiento interno. Como punto y
seguido, ayer tuvo lugar la puesta en blanco de "BubbleBoy",
un i-worm (gusano capaz de expandirse por Internet) en el que
su autor combina, a grandes rasgos, las rutinas de autoenvío
empleadas en "Freelinks", "Monopoly" y "VanHouten", la creación
de un "dropper" vírico en el menú de inicio de Windows, como en
"Zulu", su primer espécimen, y, sobre todo, el aprovechamiento
del agujero descubierto por Guninski, del que tuvimos un justo
anticipo con el troyano "Chango". A esto habría que añadirle
el hecho de que hasta ahora se han distribuído dos versiones
de "BubbleBoy", 1.0 y 1.1, que se diferencian entre sí por la
inclusión de rutinas de encriptación, empleadas por Zulu como
ya es acostumbrado en él desde su virus "Lanus".
Hoy
---
En estos momentos nos encontramos ante un virus que, si bien
no se encuentra "in the wild", ha disparado los sistemas de
alarma de las compañías antivirus más importantes en menos de
24 horas. Es ahora cuando recordamos de qué modo el despliegue
mediático y la rápida intervención por parte de HispaSec de
cara a la concienciación preventiva, en colaboración con un
buen número de desarrolladores de antivirus, dejó reducido a
prácticamente cero el número de casos de infección producidos
a raíz del i-worm "Cholera" y del virus "CTX", hecho que nos
anima mantener la guardia bien alta también en el caso de esta
nueva amenaza vírica para la comunidad informática, y, así, a
cooperar en la medida de lo posible en esta clase de campañas
de prevención entre nuestros lectores.

"BubbleBoy" no presenta ninguna característica de especial
relevancia en el plano técnico salvo la rutina de "exploit"
del agujero de seguridad descubierto por Guninski, catalogado
por Microsoft como "scriptlet.typelib". Esta vulnerabilidad
tiene su origen en un control ActiveX destinado de manera
específica a la construcción de librerías para scriptlets, y
el código de ejemplo empleado por el búlgaro, adaptado por
Zulu y orientado a la propagación de su i-worm, tenía, allá
por agosto, el siguiente aspecto:

<object id="scr" classid="clsid:06290BD5-48AA-11D2-8432-006008C3FBFC">
</object><script>
scr.Reset();
scr.Path="C:\\Windows\\Start Menu\\Programs\\StartUp\\Guninski.hta";
scr.Doc="<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'>
</object><script>
alert('Written by Georgi Guninski http://www.nat.bg/~joro');
wsh.Run('c:\\command.com');</"+"script>";
scr.write();
</script></object>


De una manera similar empieza el código VBS de "BubbleBoy" que
podemos encontrar en los e-mails portadores. El siguiente paso
consiste en la creación del fichero "UPDATE.HTA" en el menú de
inicio de Windows de las versiones inglesa y/o española (este
i-worm, a diferencia de "VanHouten", no es compatible con la
versión portuguesa del sistema operativo). El código HTML que
el "BubbleBoy" inyecta en este fichero es ejecutado tras el
siguiente arranque, momento en el que, sin que el usuario lo
perciba, el i-worm procederá a alterar, por medio del registro
de configuraciones, el nombre de usuario registrado y el de su
compañía por "BubbleBoy" y "Vandelay Industries". A partir de
aquí, ejecutará una sesión de Outlook en "background" y, tras
procesar las entradas de la libreta de direcciones, comenzará
a enviarse por e-mail a cada uno de los usuarios incluídos en
dicha lista por medio del protocolo MAPI. Una vez concluído
este trabajo, el i-worm cierra su ciclo vital "firmando" en el
registro de configuraciones, de manera que no se volverá a
enviar por correo electrónico a más direcciones y su actividad
en el ordenador afectado habrá terminado, y mostrando un cuadro
de diálogo de error con el siguiente texto, que induce al
usuario a ser él mismo quien se deshaga del "dropper" vírico:
System error, delete "UPDATE.HTA" from the startup folder to
solve this problem.
El código de "BubbleBoy" está plagado de referencias en sus
etiquetas a nombres de personajes de la serie norteamericana
"Seinfeld", a la que, de hecho, debe su nombre. La explicación
se encuentra en la propia página a la que hace referencia el
i-worm en el texto de los e-mails por medio de los cuales se
envía (http://www.towns.com/dorms/tom/bblboy.htm). El lógico
aluvión de visitas a esta URL ha provocado una reacción por
parte de su propietario, que advierte al comienzo de la misma
a los visitantes por medio del siguiente texto:
It has come to my attention that some nefarious netizen has
been distributing a "bubbleboy virus"; while I relish the
attention this has brought my page I certainly had nothing to
do with this stupidity. People have enough problems with their
PCs (and Microsoft products) without me adding to them.
Como reacción paralela, la URL ha cambiado, desconocemos si
de manera temporal o definitiva, la cadena "tom" por "rick",
con el fin de desviar la atención de quienes acudan a ella a
partir del link facilitado por "BubbleBoy".
Mañana
------
Las soluciones a este problema no se han hecho esperar. Pero
quizás antes de nada sería conveniente delimitar qué usuarios
están fuera de peligro, con el fin de evitar que haya quien,
innecesariamente, se tome las molestias de parchear su sistema
o se preocupe por una posible infección cuando en realidad se
encuentra fuera de todo peligro. Así, "BubbleBoy" no tendrá
validez en los ordenadores que:
a) No usen ningún producto de la gama Outlook de Microsoft.
b) No tengan activada la ejecución de comandos ActiveX.
c) Hayan desactivado el reconocimiento de ficheros "HTA".
d) No tengan su directorio del sistema en C:\WINDOWS.
e) Corran una versión de Windows que no sea inglesa o española.
f) No hagan un uso activo de la libreta de direcciones.
Asimismo, recordamos a nuestros lectores y suscriptores que el
i-worm no posee ningún tipo de rutina destructiva. De hecho,
lo peor que nos puede suceder si "BubbleBoy" infecta nuestro
ordenador es que éste se envíe por e-mail a nuestros amigos, o
a aquellas personas que tengamos en la libreta de direcciones,
empleando nuestro nombre. Las mejores medidas de prevención,
atendiendo parcialmente a las excepciones libres de virus que
acabamos de exponer, son las siguientes:
a) No abra (= lea) ningún mensaje que llegue al buzón de su
Outlook si el tema de éste es "BubbleBoy is back!", aún
si quien lo envía es un conocido o amigo suyo.

b) Instale el parche que Microsoft ha puesto a disposición de
todos los usuarios de Windows a partir de la URL:

http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP

c) Si no suele emplear aplicaciones HTML (ficheros HTA), es
posible desactivar su asociación con Internet Explorer:

c1) Doble click en "Mi PC".
c2) Menú "Ver" -> "Opciones (de carpeta)".
c3) Pestaña "Tipos de archivo".
c4) Lista "Tipos de archivo registrados".
c5) Seleccionar "HTML Application".
c6) "Quitar" -> "Aceptar" -> "Cerrar".

d) Traslade los datos contenidos en su libreta de direcciones a
cualquier otro soporte, de manera que "BubbleBoy" no podrá
enviarse a ningún usuario desde su ordenador, y así frenará
su expansión.

e) Si posee conocimientos suficientes como para desenvolverse
con el registro de configuraciones, cree una llave con el
siguiente nombre y valor:

HKLM\Software\OUTLOOK.BubbleBoy\="OUTLOOK.BubbleBoy 1.0 by Zulu"

De este modo, "BubbleBoy", durante la comprobación que lleva
a cabo para no autoenviarse más de una vez desde una máquina,
pensará que ya ha actuado con anterioridad en su ordenador.
Por último, existen tres métodos infalibles para saber si está
infectado por el i-worm:

a) Despliegue el menú "Inicio" de su ordenador y compruebe, a
partir de los menús "Programas" e "Inicio", el contenido de
esta última carpeta. Si encuentra el fichero "UPDATE.HTA"
en su interior, bórrelo sin dilación alguna.

b) Si por alguna circunstancia usted ha ignorado o no se ha
apercibido de la presencia de la ventana que "BubbleBoy"
muestra tras haberse enviado por e-mail a otras máquinas
desde la suya, es posible comprobar algún indicio de una
pretérita actividad vírica buscando la siguiente llave en
el registro de configuraciones de Windows por medio de la
opción "Buscar" (menú "Edición" o Ctrl+B) del programa
"regedit.exe" que podrá encontrar en el directorio Windows
de su ordenador:

HKLM\Software\OUTLOOK.BubbleBoy\="OUTLOOK.BubbleBoy 1.0 by Zulu"

c) Al hilo de la casuística del ejemplo anterior, es posible
comprobar el nombre de usuario y la compañía a la que está
registrada su copia de Windows por medio de la opción de
menú "Acerca de Windows" que encontrará, por ejemplo, en
el menú "Ayuda" del Explorador de Windows.
A partir de los consejos que acabamos de dar, si algún lector
detectase la presencia de "BubbleBoy" en su sistema, bastaría
con borrar el fichero "UPDATE.HTA" del menú de inicio, y, con
la ayuda del citado "regedit.exe", borrar la llave introducida
por el i-worm y restaurar los datos personales de registro de
la copia propia de Windows. En caso de indecisión, no dude ni
un solo instante en solicitar la ayuda de algún especialista o
en ponerse en contacto con cualquier miembro de HispaSec.

En cualquier caso, y según nos han comunicado varias compañías
antivirus, por el momento no se ha dado ningún caso particular
de infección ni parece que esta tendencia vaya a cambiar, ya
que el autor de "BubbleBoy" se ha limitado a publicar el
código de este i-worm por medio de su página web, como hizo
en anteriores ocasiones con la mayor parte de sus creaciones.
Lo que sí parece claro es que la aparición de este i-worm va
a suponer una revolución en la escena vírica, así como un
nuevo enfoque posible para los escritores del lado "VX", que
ven en esta nueva forma de expansión un auténtico filón para
innovar y distribuír sus virus con mayor efectividad. Por
otra parte, el hecho de que Zulu ofrezca en su página web el
código fuente de "BubbleBoy" supone el germen de lo que desde
HispaSec vaticinamos como una auténtica avalancha de "strains"
y demás mutaciones o variantes de este i-worm, que ha marcado
un pasado y un futuro, un ayer y un mañana, en el terreno de
la virología informática.

Más información:
NAi
TrendMicro
AVP
CNET
ZDNet
TheStandard
Symantec
DataFellows
Panda



Giorgio Talvanti
talvanti@hispasec.com