viernes, 30 de junio de 2000

Diversas vulnerabilidades en la familia *BSD

Las últimas versiones de los kernel de diversos miembros de la familia
*BSD son vulnerables a varios ataques de denegación de servicio
(Denial of Service) y seguridad.
*BSD es una familia de kernel Unix "Open Source", formados
principalmente por "NetBSD", "FreeBSD" y "OpenBSD". Son, en cierta
medida, comparables al popular Linux, cada uno de ellos con sus
virtudes y defectos.

En las versiones recientes de varios kernel *BSD se han encontrado las
siguientes vulnerabilidades:

* Ataque de denegación de servicio a través de la red.

Un atacante malicioso puede enviar datagramas especialmente
formateados, que pueden causar corrupción de datos en el sistema y
"kernel panic".

* La versión Alpha de FreeBSD no dispone de los dispositivos
"/dev/random" y "/dev/urandom".

Estos dispositivos proporcionan valores aleatorios obtenidos a partir
de entropía recogida en el sistema (actividad de disco y memoria,
pulsación de teclas, interrupciones, movimiento del ratón, etc).
Dichos valores aleatorios de alta calidad son utilizados como fuentes
de datos, típicamente, en aplicaciones criptográficas.

El problema es que la versión Alpha no incorpora dichos dispositivos,
por lo que muchas aplicaciones con componente criptográfico (lo cual
incluye servicios como la protección SSL de los servidores web) o bien
no funcionarán, o utilizarán valores aleatorios de muy baja calidad
(lo que puede comprometer la seguridad de claves, certificados, etc).

Una vez que el usuario instale una versión kernel actualizada, se
recomienda regenerar todas aquellas claves y certificados que se
hubieran podido crear bajo el kernel antiguo.

* La implementación "libdes" de NetBSD genera clavea de muy baja
calidad si no existe el dispositivo "/dev/urandom".

Si el kernel NetBSD se compila sin la opción "pseudo-device rnd", no
existirán los dispositivos "/dev/random" ni "/dev/urandom", y la
librería "libdes" generará claves de baja calidad.

* Ataque de denegación de servicio a través de sockets.

Escribiendo un datos con un determinado tamaño, FreeBSD produce un
"kernel panic". NetBSD y OpenBSD no se "caen", pero el soporte de red
dejará de funcionar.

* Denegación de servicio a través del sistema IPC de semáforos.

El sistema IPC (Inter Process Communication) permite la
intercomunicación de procesos a través de recursos compartidos, como
memoria o semáforos. El ataque consiste en bloquear la tabla de
semáforos, de forma que los procesos que empleen semáforos se
paralizarán.
Toda la familia *BSD ha sido actualizada ya; los usuarios que utilicen
esos kernel en sus máquinas deben acudir al web correspondiente y
asegurarse de que cuentan con una versión kernel moderna. En algunos
casos también se publican "parches" (posibles ya que el kernel es
"open source"), para que los usuarios puedan proteger sus sistemas
sin necesidad de instalar un kernel nuevo, con los posibles problemas
de integración que ello pudiera provocar.

Más información:
OpenBSD
FreeBSD
NetBSD
Remote denial-of-service in IP stack
Parche para el ataque IP
IP options processing Denial of Service
FreeBSD Alpha Port Lack Of /dev/random and /dev/urandom vulnerability
Multiple Vendor *BSD Denial of Service Vulnerability
Multiple Vendor BSD Semaphore IPC Denial Of Service Vulnerability



Jesús Cea Avión
jcea@hispasec.com



jueves, 29 de junio de 2000

Falsas alarmas en antivirus para servidores de correo

De un tiempo a esta parte venimos observando en Hispasec como se
producen continuas falsas alarmas en los productos antivirus
destinados a filtrar el correo en los servidores. Algunos de nuestros
suscriptores sufren los problemas de este mal comportamiento al
recibir las noticias "una-al-dia".
Uno de los últimos casos lo ha protagonizado la noticia "IE5 y Office
2000 permiten ejecutar comandos de forma remota", con fecha
27/06/2000, donde múltiples productos han detectado un 'Virus Script'
inexistente. Al parecer, los módulos heurísticos de los antivirus han
interpretado los ejemplos de código que incluíamos como si de un virus
se tratara. Sobra decir que el código que se incluye, en formato
texto, no realiza acción dañina alguna.

Si bien en este caso se puede atribuir el fallo a un exceso de celo de
algunos productos, al menos hay porciones de código en la noticia con
los que confundirse, en otras ocasiones las falsas alarmas no tienen
más excusa que una pobre metodología para detectar los virus. Como
ejemplo, hemos sufrido casos de falsas alarmas por incluir, en el
cuerpo de la noticia, el asunto del correo electrónico con el que se
distribuye un gusano, o por mencionar el nombre del fichero adjunto
infectado.

Agradecemos a todos los suscriptores las consultas y comentarios
sobre esta problemática, que también soportamos día a día en Hispasec
al recibir las falsas alarmas que, desde los servidores de correo,
los antivirus nos hacen llegar. Aprovechamos también la ocasión
para recomendar a las casas antivirus una revisión de sus productos.

Recordamos a los afectados por las falsas alarmas que pueden acceder
a la noticia "IE5 y Office 2000 permiten ejecutar comandos de forma
remota" a través de la web de Hispasec:

http://www.hispasec.com/unaaldia.asp?id=609




Bernardo Quintero
bernardo@hispasec.com



miércoles, 28 de junio de 2000

Ejecución automática de archivos al abrir un e-mail

Lo que parecían viejos mitos y rumores sin consistencia, cada vez se
van haciendo más reales gracias a las nuevas tecnologías y los
agujeros de los sistemas. Ahora, una nueva vulnerabilidad en Internet
Explorer y Outlook puede llegar a permitir la ejecución de código sin
el consentimiento del usuario.
Bajo determinadas circunstancias, Microsoft Internet Explorer y los
lectores de correo de Microsoft Outlook y Outlook Express pueden
recibir archivos en el directorio temporal local (TEMP) incluso si el
usuario cancela la petición para ello. Cuando ésto sucede, se puede
forzar la ejecución de dicho archivo a través de un control ActiveX
indicando como parámetro la ruta completa de la carpeta temporal del
sistema.

Un operador web malicioso puede incluir tags codificados en base 64 en
un frame para que cuando un usuario visite la página aparezca un
cuadro de diálogo de envío de archivo. Este cuadro de diálogo
preguntará al usuario si desea grabar o abrir el archivo o cancelar la
recepción. El usuario recibirá el fichero en el directorio temporal
independientemente de la opción elegida, incluso si canceló la orden.
Esta vulnerabilidad es aplicable incluso si el usuario tiene
configuradas las Zonas de Internet de Internet Explorer para
inhabilitar las recepciones de archivos.

Para provocar la ejecución del archivo una vez recibido bastará con
incluir un segundo frame html que contendrá un control ActiveX con el
identificador de clase 15589FA1-C456-11CE-BF01-00AA0055595A y un tag
que apuntará al archivo.

Se pueden obtener los mismos resultados si se envían dos mensajes
e-mail maliciosos adecuadamente creados. El primero de ellos, se
encargará de enviar el archivo independientemente de los deseos del
usuario, mientras que el segundo mensaje ejecutará el archivo
anteriormente enviado.

Más información:
Securityfocus
Bugtraq




Antonio Ropero
antonior@hispasec.com



martes, 27 de junio de 2000

IE5 y Office 2000 permiten ejecutar comandos de forma remota

Internet Explorer, en combinación con las aplicaciones de Office
2000, permite la ejecución de comandos de forma remota. Los
usuarios pueden ser víctimas de esta nueva vulnerabilidad con
tan sólo visitar una página web o leer un correo HTML diseñados
para la ocasión.
De nuevo Georgi Guninski, incansable caza-agujeros, anuncia
vulnerabilidades que afectan al software de Microsoft. En
esta ocasión los productos afectados son Access, Excel y
PowerPoint, todos ellos en su versión 2000, cuando se
utilizan para crear objetos en Internet Explorer 5.01.

A través de la etiqueta <OBJECT>, auténtico comodín de usos
múltiples para Internet Explorer, Guninski consigue abrir
una base de datos Access 2000 de forma remota.

<OBJECT data="db3.mdb" id="d1"></OBJECT>

En su interior, el fichero MDB cuenta con un formulario
que contiene los distintos comandos que se ejecutarán
aprovechando el lenguaje VBA ('Visual Basic for Applications').


Private Sub Form_Load()
On Error GoTo Err_Command0_Click
Dim stAppName As String
stAppName = "C:\Program Files\Accessories\wordpad.exe"
MsgBox ("Trying to start: " & stAppName)
Call Shell(stAppName, 1)
Exit_Command0_Click:
Exit Sub
Err_Command0_Click:
MsgBox Err.Description
Resume Exit_Command0_Click
End Sub

En este ejemplo, proporcionado por Guninski, se intenta
ejecutar la aplicación "C:\Program Files\Accessories\wordpad.exe",
trayectoria que corresponde a la ubicación por defecto
del Bloc de Notas en la versión inglesa de Windows.

En el caso de Excel, Guninski carga, también a través de la
etiqueta <OBJECT>, un fichero con extensión .XLA (complemento
o macro automática en Excel). A través del método SaveAs() que
poseen los objetos de Office, guarda el fichero con la
extensión .HTA ('HTML Applications') en la carpeta de Inicio
para forzar su ejecución al reiniciar el sistema. El contenido
del fichero ejemplo de Guninski aprovecha un objeto WSH ('Windows
Scripting Host') para mostrar una ventana de aviso con el
mensaje "Hola mundo" y abrir una sesión del interprete de
comandos.

<OBJECT ID='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'>
</OBJECT>

<SCRIPT>
alert('Hello world');
wsh.Run('c:\\command.com');
</SCRIPT>

La explotación de estas vulnerabilidades, comprobadas bajo
Windows 98, permitirían desde la introducción de un virus o
troyano, hasta el robo de información sensible, como
contraseñas.

De momento, Microsoft no ha facilitado parche alguno para estos
graves agujeros, por lo que la solución mientras tanto pasa por
desactivar la opción de Controles y Complementos Active-X en
Internet Explorer, o utilizar otro navegador y cliente de correo
diferentes a los de Microsoft, como Netscape y similares.

Más información:
Demostración vulnerabilidad IE5 y Access 2000
Demostración vulnerabilidad IE5 y Excel 2000



Bernardo Quintero
bernardo@hispasec.com



lunes, 26 de junio de 2000

Los routers Cisco vulnerables ante exploraciones de seguridad

Cisco avisa a todos los usuarios de sus routers que estos productos se
pueden ver afectados por ataques de denegación de servicios si se ven
expuestos a chequeos por programas de exploración de vulnerabilidades.
Un gran número de versiones del software IOS (Internetworking
Operating System) de Cisco se ven afectadas por un defecto que puede
provocar el reinicio del router cuando este se ve chequeado por algún
programa de comprobación de vulnerabilidades. De tal forma, que si un
usuario malicioso explota el problema de forma repetida puede provocar
un ataque de denegación de servicios.

Esta vulnerabilidad ya fue descubierta y anunciado por Cisco hace dos
meses, pero ante el gran número de usuarios que aun no han actualizado
sus sistemas, con el consiguiente peligro que ello representa, la
popular firma recuerda a sus clientes la necesidad de actualizar a las
últimas versiones del software.

El software de chequeo de vulnerabilidades provoca el fallo cuando
analiza la existencia de dos vulnerabilidades específicas de sistemas
Unix. Estos problemas no tienen ninguna relación con el software Cisco
IOS, sin embargo debido a un efecto secundario en los análisis se
produce el defecto anteriormente descrito, con el consiguiente
reinicio del dispositivo.

Más información:

Cisco
http://www.cisco.com/warp/public/707/iostelnetopt-pub.shtml

VNUnet
http://www.vnunet.com/News/1104718




Antonio Ropero
antonior@hispasec.com



domingo, 25 de junio de 2000

Vulnerabilidad en ZOPE

Las versiones anteriores a la 2.1.7 de Zope (o anteriores a la versión
2.2beta1) son vulnerables a un ataque que permite modificar el contenido
de "DTMLDocuments" y "DTMLMethods", evitando la autentificación previa.
Zope es un servidor de aplicaciones web, basado en el lenguaje Python,
constituido por objetos de diversa procedencia que interactúan entre sí.
Su extrema flexibilidad y su bajo precio (se trata de una solución "open
source") lo hacen especialmente atractivo para desarrollos intranet.

Las versiones previas a la 2.1.7 y a la 2.2beta2 son vulnerables a un
ataque que permite que un agresor modifique estructuras básicas para el
funcionamiento del sistema, sin que se le exija ninguna acreditación
para ello. El problema está provocado por la inadecuada protección de un
método en una de las clases base de Zope.

En el momento de escribir este texto, los creadores de Zope han
descartado la versión 2.1.7 y publican un parche válido para todas las
versiones 2.0, 2.1 y las recientes 2.2 alfa y beta. El motivo para ello
es posibilitar que los administradores actualicen sus instalaciones Zope
sin tener que desplegar una versión nueva, con los posibles problemas de
integración que ello podría provocar.

Por otra parte, la inminente 2.2beta2 no será vulnerable.

Más información:

Zope
http://www.zope.org/

News Item: Zope security alert and hotfix product
http://www.zope.org/Products/Zope/Hotfix_06_16_2000/security_alert

Zope +DTMLTemplates and DTMLMethods Remote Modification Vulnerability
http://www.securityfocus.com/vdb/bottom.html?vid=1354

Python language Website
http://www.python.org/




Jesús Cea Avión
jcea@hispasec.com



sábado, 24 de junio de 2000

Desbordamiento de búfer en el Netscape Enterprise Server para NetWare

Las versiones NetWare 5.1 previas al Service Pack 1, y las NetWare 5.0,
incluyen una versión del Netscape Enterprise Server (servidor web)
vulnerable a un ataque de desbordamiento de búfer, que posibilita tanto
ataques de denegación de servicio (DoS) como ejecución de código
arbitrario en el servidor.
El ataque se produce enviando al servidor Netscape una URL especialmente
formateada. En el mejor de los casos, el servidor deja de servir páginas
creadas por ejecutables (por ejemplo, "/cgi-bin/", "/lcgi/", "/perl/",
etc) y, en el peor, un atacante podrá ejecutar código arbitrario con los
mismos privilegios que tenga el servidor web.

El Service Patch 1 de la versión 5.1 de NetWare soluciona el problema.
Las versiones previas de este sistema (al menos la versión 5.0) son
vulnerables, y Novell no ha hecho público ningún parche.

Más información:

Netscape Enterprise Server for Netware Buffer Overflow Vulnerability
http://www.securityfocus.com/vdb/bottom.html?vid=1393

Novell
http://www.novell.com/




Jesús Cea Avión
jcea@hispasec.com



viernes, 23 de junio de 2000

Grave vulnerabilidad en el WU-FTPD

La versión 2.6.0 del servidor WU-FTPD padece de varios problemas de
seguridad, que permiten que un usuario remoto ejecute código arbitrario
en la máquina atacada, como "root". Para explotar esta vulnerabilidad,
el atacante ni siquiera necesita una cuenta FTP en el servidor.
WU-FTPD es uno de los servidores FTP para entorno Unix más difundidos en
todo el mundo. Es un proyecto Open Source no comercial, patrocinado
originariamente por la Universidad de Washington.

La vulnerabilidad se localiza en la gestión del comando "SITE EXEC",
generalmente utilizado para que los usuarios puedan ejecutar
determinados comandos en el servidor. La rutina en cuestión acepta
cadenas de formateo de "printf()" proporcionadas por el atacante. Ello
le permite cosas como escribir en memoria en direcciones arbitrarias, y
ejecutar código arbitrario como "root".

En el momento de escribir este boletín todavía no existe una versión
revisada del WU-FTPD, aunque sus autores han publicado un pequeño parche
que parece resolver el problema. Los administradores que ejecuten
WU-FTPD en sus máquinas deberían actualizarse a la versión 2.6.0 e
instalarse ese pequeño parche (pueden hacerlo ellos mismos, ya que
afortunadamente estamos trabajando con código fuente), a la espera de
que exista una versión oficial que solucione el problema.

Más información:

WU-FTPD
http://www.wu-ftpd.org/

Quick fixes for 2.6.0
ftp://ftp.wu-ftpd.org/pub/wu-ftpd/quickfixes/apply_to_2.6.0/

Red Hat Linux Security Advisory: "remote root exploit (SITE EXEC) fixed"
http://www.redhat.com/support/errata/RHSA-2000-039-02.html

wu-ftp: remote root exploit in wu-ftp
http://www.debian.org/security/2000/20000623




Jesús Cea Avión
jcea@hispasec.com



jueves, 22 de junio de 2000

Vulnerabilidades en Net Tools PKI Server

Net Tools PKI Server, el producto de Network Associates destinado a
proporcionar comunicación autentificada en entornos corporativos, se
ha visto recientemente afectado por dos vulnerabilidades.
El servidor de PKI se ve afectado por dos diferentes vulnerabilidades,
en primer lugar existe una condición de desbordamiento de buffer que
posibilita un ataque de denegación de servicios. Por otra parte, la
segunda vulnerabilidad puede permitir a un intruso conseguir acceso no
autorizado al sistema que aloja los servidores administrativos del
sistema PKI.

El ataque de denegación de servicios se da cuando el sistema recibe
URLs con parámetros anormalmente largos, que pueden provocar que el
servicio deje de responder. La vulnerabilidad de consecución de acceso
concierne a los archivos de plantilla XUDA, que se incluyen con el
programa. Estas plantillas no hacen referencia a rutas absolutas
cuando hacen referencia a otros archivos.

Para comprobar si algún atacante ha intentado explotar esta
vulnerabilidad se deben comprobar los archivos enroll-access.log y
admin-access.log en el directorio WebServer/logs de la instalación de
Net Tools PKI Server. Se debe buscar en los logs por entradas que
incluyan "x-templates" en la URL. Cada uno de estos accesos debe ser
verificado, para lo cual, se debe comprobar la dirección IP del
ordenador y determinar a que archivos accedió el atacante.

Network Associates ofrece un parche destinado a eliminar ambas
vulnerabilidades, y cuya instalación se recomienda a todos los
administradores de este sistema.

Más información:

Net Tools PKI Server:
http://www.pgp.com/asp_set/products/tns/ntpki_intro.asp

Aviso de Network Associates:
ftp://ftp.tis.com/gauntlet/hide/pki/hotfix.txt

Localización del parche:
ftp://ftp.tis.com/gauntlet/hide/pki/PKISERVER100-SP1-103-1.EXE




Antonio Ropero
antonior@hispasec.com



miércoles, 21 de junio de 2000

Parche de Microsoft para Windows 2000

Ya empiezan a aparecer los primeros parches para cubrir
vulnerabilidades exclusivas de Windows 2000. En esta ocasión la
actualización cubre un problema por el cual los usuarios locales
podrían aumentar sus privilegios.
El problema que anuncia Microsoft sólo afecta de forma local a las
estaciones de trabajo o servidores, es decir el atacante debe tener
acceso autorizado sobre la máquina y bajo determinadas circunstancias,
podrá elevar sus privilegios. En ningún caso se puede aprovechar esta
vulnerabilida de forma remota.

El problema se debe a una mala implementación del modelo de seguridad
del sistema operativo, que emplea una jerarquía de objetos para
separar los procesos. La vulnerabilidad resulta por que el sistema no
atribuye adecuadamente cada aplicación al escritorio apropiado, De
esta forma, una aplicación creada por un usuario malicioso podría
acceder al escritorio de otro usuario con mayores privilegios y
realizar acciones que de forma habitual no podría realizar.

Hay que tener en cuenta que bajo Windows 2000 el concepto de
escritorio toma un nuevo valor. Bajo la arquitectura de seguridad del
nuevo sistema operativo, los escritorios se emplean para encapsular
procesos, con el fin de asegurar que cada proceso está propiamente
restringido a las actividades autorizadas. Un escritorio es un objeto
contenido dentro de una estación Windows, de forma que dentro de una
estación pueden existir múltiples escritorios.

Cada sesión contiene una o más estaciones Windows, y cada una de estas
puede contener uno o más escritorios. Por diseño, los procesos se
ejecutan forzosamente dentro de una estación, mientras que los hilos
del proceso se ejecutan en uno o más escritorios. Un proceso en una
estación no debe ser capaz de acceder a escritorios pertenecientes a
otra estación diferente. Sin embargo debido a un error en la
implementación, un programa malicioso creado a tal efecto puede hacer
que esto sea posible.

Más información:

Boletín de seguridad microsoft:
http://www.microsoft.com/technet/security/bulletin/MS00-020.asp

Preguntas y respuestas sobre la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-020.asp

Parche:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20836




Antonio Ropero
antonior@hispasec.com



martes, 20 de junio de 2000

Vulnerabilidad en el servidor FTP de Netscape Professional Services

El servidor de ftp de Netscape para plataforma Sun Solaris contiene
una grave vulnerabilidad que puede dar lugar a un compromiso de la
cuenta root de forma local e incluso remota.
El servidor FTP de Netscape Professional Services se emplea en
servidores de alto rendimiento para acceder a los servidores web
virtuales, etc. Trabaja con LDAP y SUN lo vende frecuentemente para
instalaciones de ISP. Debido a una mala programación toda la
estructura virtual del servidor, el servidor LDAP y otras partes del
sistema se ven expuestas a ataques sencillos.

La vulnerabilidad consiste básicamente en un fallo del servidor ftp al
implementar un entorno de usuario restringido (chroot). Al fallar en
este punto, un usuario ftp (anónimo o atentificado) podrá descargar
cualquier archivo del sistema (incluido /etc/passwd), así como subir
ficheros que quedarán con los privilegios del demonio ftp.

Además, como el servidor ftp soporta usuarios LDAP, distintas cuentas
LDAP se sirven desde un único UID físico. Esto significa que cualquier
usuario puede acceder y eventualmente sobreescribir archivos en otras
cuentas. Como esto viene a usarse en cooperación con el servidor web
este servicio puede verse gravemente afectado.

Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1375

Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=1&msg=Pine.LNX.4.21.0006211351280.23780-100000@nimue.tpi.pl




Antonio Ropero
antonior@hispasec.com



lunes, 19 de junio de 2000

Vulnerabilidades en los archivos de ejemplo de Allaire JRun 2.3.x

Una vez más los archivos de ejemplo de un determinado servicio vuelven
a causar problemas. En este caso el sistema afectado es el JRun 2.3.x
de Allaire a través de su documentación, código de ejemplo y
tutoriales instalados en el servidor.
JRun 2.3.x incluye un gran número de ejemplos de servlets que se
localizan en el directorio JRUN_HOME/servlets. Este directorio queda
preconfigurado para que JRun 2.3.x cargue y ejecute los servlets. Los
archivos de este directorio de extensión .java o .class deberán ser
eliminados ya que exponen información segura del sitio en explotación.

De tal forma que los usuarios remotos pueden llegar a conseguir
información privilegiada sobre el sistema, como el sistema de
archivos, configuración o incluso ejecutar diversas funciones en el
servidor. Por ejemplo, http://nombre_sistema/servlet/SessionServlet
expone los identificadores de todas las sesiones http actuales.

Otro directorio que debe eliminarse de forma manual es
JRUN_HOME/jsm-default/services/jws/htdocs, que contiene diversos JSP
(Java Server Pages) de ejemplo para demostrar diversas funciones que
se ejecutan en el servidor. Algunos de estos archivos proporcionan
acceso al sistema de archivos del servidor o exponen su configuración.
Por ejemplo, en este directorio se encuentra el archivo viewsource.jsp
que puede emplearse para enviar cualquier archivo del servidor.

Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1386

Boletín de seguridad de Allaire:
http://www.allaire.com/handlers/index.cfm?ID=16290&Method=Full




Antonio Ropero
antonior@hispasec.com



domingo, 18 de junio de 2000

Vulnerabilidad en WebBBS HTTP Server en su versión 1.15

Nuevamente llega a nuestros buzones una nueva vulnerabilidad por
desbordamiento de buffer. En esta ocasión el grupo Delphis Consulting
Internet Security Team (DCIST) informa que WebBBS HTTP Server en su
versión 1.15 para Windows NT 4.0 es vulnerable a un ataque por
desbordamiento de buffer.
Un administrador que cometa el error de mantener la configuración por
defecto de este servidor web, puede recibir un ataque cuando se
realiza una conexión al puerto 80, si se le envía un archivo con una
extensión de nombre de 227 caracteres + EIP que hacen un total de 231
bytes, o, de 545 + EIP que hacen un total de 549 bytes. De esta forma
se causará un desbordamiento de memoria que podrá llegar a
sobreescribir el EIP (el EIP es la dirección de la instrucción que el
Kernel ejecuta en el momento de la caída). Esto permitirá ejecutar un
fichero con código malévolo, lo que podrá aprovechar un atacante para
tomar el control de la máquina atacada.

El "modus operandi" de este tipo de ataques es algo trivial dentro de
lo que últimamente se está realizando para hacer caer sistemas. Estos
sufren peticiones con una cantidad de caracteres lo suficientemente
largas (depende del servidor) que producen la caída del sistema y en
algunos casos, el atacante, podrá hacerse con el dominio de dicho
sistema.

A modo de recordatorio a principios de mes dimos a conocer desde
Hispasec, un desbordamiento similar al explicado, pero en este caso
fue contra el servidor de correos "ITHouse Mail Server en su versión
1.04", como curiosidad les diré que fue descubierto por el mismo
grupo.

Los problemas con este software han sido solucionados a partir de las
versiones 1.17

Más información...

Delphis Consulting Internet Security Team:
http://www.delphisplc.com/thinking/whitepapers/

WebBBS:
http://www.webbbs.org/

Hispasec:
http://www.hispasec.com/unaaldia.asp?id=584




Antonio Román
antonio_roman@hispasec.com



sábado, 17 de junio de 2000

"LifeStages", un gusano en un presunto fichero TXT

El paulatino incremento de informes de actividad vírica por parte
de diversos usuarios delatando la presencia de los síntomas de
infección típicos producidos por la irrupción de "LifeStages" en
los sistemas ha requerido una rápida intervención por parte del
Laboratorio de Hispasec, que se ha empleado a fondo a la hora de
analizar este complejo gusano y poder así ofrecer información de
primera mano en primicia a todos los lectores de "una-al-día".
Se trata, sin duda alguna, del espécimen programado en Visual
Basic Script (VBS) de mayor elaboración conocido por el momento,
debido a la interminable lista de características y mecanismos
de inteligencia pseudoartificial que han sido dispuestos por los
autores del gusano, así como, en gran parte, por lo intrincado
del código y por el novedoso formato en el que se presenta este
peculiar patógeno: el inusual SHS ('SHell Scrap'), diseñado por
los desarrolladores de Microsoft con el fin de permitir el
empaquetado de ficheros de proceso por lotes en un solo archivo,
facilitando así su distribución. Demasiadas ventajas como para
que los inquietos programadores de virus no se decidieran a la
experimentación en un nuevo campo que, a juzgar por los primeros
resultados, promete dar mucho juego mientras Microsoft no tome
cartas en el asunto o, lo que parece todavía más difícil, que
los usuarios se conciencien de las características comunes de
los peligros que les acechan en la Red.
[ Características básicas ]

"LifeStages" es un gusano con capacidad de propagación por medio
de Internet, para lo cual se vale de cuatro posibles vías: la
existencia de unidades compartidas accesibles por la máquina
infectada, el ya por todos conocido envío de autocopias a los
destinatarios cuyas direcciones se encuentran disponibles por
medio de la libreta personal del usuario, y la difusión del
código maligno por medio de los populares clientes de charlas
en directo, mIRC y PIRCH.

La vía más habitual de recepción es la del correo electrónico,
por medio del cual a las futuribles víctimas se les ofrece un
fichero adjunto aparentemente llamado "LIFE_STAGES.TXT", que en
realidad oculta una segunda extensión, "SHS", independientemente
de que el usuario haya especificado de modo explícito, en la
configuración del sistema, su deseo de que Windows muestre la
extensión de cualquier fichero, sea ésta conocida o no. Esta
grave vulnerabilidad es la que permite a "LifeStages" pasar
desapercibido a los ojos de los usuarios más concienciados, dado
que, en condiciones normales, resulta imposible infectarse con
sólo abrir un fichero de texto con el "Bloc de notas".

El origen del problema se halla en una de las llaves fijadas por
defecto en el registro de configuraciones del sistema, que es
la que especifica, a modo de excepción, que la extensión de los
ficheros de tipo "SHS" debe ser ocultada. Aquellos usuarios que
se sientan suficienemente familiarizados con la herramienta de
edición del registro pueden corregir este error con tan solo
acceder a la llave "HKCR\ShellScrap\NeverShowExt" y renombrarla
a "HKCR\ShellScrap\AlwaysShowExt".
[ Funcionamiento ]

Como en la inmensa mayoría de los casos análogos, el ciclo
vital de este espécimen puede estudiarse, desde un punto de
vista analítico, en tres fases: llegada, asentamiento y, una
vez que todos los mecanismos de autodefensa se encuentran en
disposición, expansión a otros ordenadores. Precisamente uno
de los puntos fuertes de "LifeStages" es su capacidad de
supervivencia y de adaptación al medio, factores que, con
respecto a otros elmentos de la misma especie, dificulta
sobremanera la desinfección manual del patógeno sin ayuda de
un profesional, algo que resultaba perfectamente factible en
casos ya estudiados anteriormente como "I love you" o, más
recientemente, "Timofónica".

La etapa de llegada a nuevos ordenadores resulta mucho menos
problemática que en los casos de gusanos de características
similares; así, es posible comprobar que la confianza que a
cualquier usuario le inspira un fichero de texto (extensión
TXT) es casi un factor de inducción inmediato a la posterior
ejecución de un doble clic sobre el fichero cuando llega por
medio de correo electrónico o IRC, mientras que en aquellas
máquinas cuyas unidades compartidas son accesibles por medio
de un ordenador infectado se copia directamente a la carpeta
de inicio del sistema, provocando la inminente ejecución del
código maligno, de forma automática, en el siguiente arranque.

Se trata, por tanto, de un gusano poco necesitado de los
complicados métodos de ingeniería social tan manidos por
algunos de sus congéneres, lo cual se traduce en un factor
decisivo de cara a la rápida expansión de un espécimen cuya
fulgurante actividad ha acabado por desatar una vez más las
cada vez más gastadas alarmas de compañías antivirus, casas
especializadas y demás medios de comunicación, que empiezan
a temer el hecho de poder convertirse en protagonistas de la
conocida fábula del "pastorcillo mentiroso".

"LifeStages" es, además, un nuevo integrante del selecto grupo
de i-worms que ofrecen lo que realmente prometen ser, aparte
de, por supuesto, las actividades que ejecutan en lo que se
podría denominar la "trastienda" del sistema. Así, igual que
"Happy99", "Haiku" y "Melting" -los más populares del género-
cumplen con su palabra y regalan el tan esperado espectáculo
que dicen poder representar, "LifeStages" no se queda atrás y,
para el deleite de los aficionados a los chascarrillos con los
que miles de usuarios inundan los buzones de familiares y
amigos en la Red, el gusano simula la verdadera apertura del
fichero de texto en el que aparenta viajar y muestra a su
víctima el siguiente texto:
- The male stages of life:

Age. Seduction lines.
17 My parents are away for the weekend.
25 My girlfriend is away for the weekend.
35 My fiancee is away for the weekend.
48 My wife is away for the weekend.
66 My second wife is dead.

Age. Favorite sport.
17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.

Age. Definiton of a successful date.
17 Tongue.
25 Breakfast.
35 She didn't set back my therapy.
48 I didn't have to meet her kids.
66 Got home alive.

- The female stages of life:

Age. Favourite fantasy.
17 Tall, dark and hansome.
25 Tall, dark and hansome with money.
35 Tall, dark and hansome with money and a brain.
48 A man with hair.
66 A man.

Age. Ideal date.
17 He offers to pay.
25 He pays.
35 He cooks breakfast next morning.
48 He cooks breakfast next morning for the kids.
66 He can chew his breakfast.
El primer paso que este espécimen, cuyo código se presenta en
forma cifrada a los ojos de los usuarios más curiosos, consiste
en ubicar el fichero desde el que ha sido ejecutado. Cualquier
otro gusano programado en VBS se limita a emplear una conocida
variable, "WScript.ScriptFullName", para obtener este dato. El
problema al que se enfrenta "LifeStages" radica en el hecho de
que, al encontrarse embebido en un paquete "SHS", el código VBS
es descomprimido y ejecutado desde un directorio temporal del
sistema, una ubicación distinta a la del "dropper" desde el que
el patógeno ha sido ejecutado, que es la que realmente necesita
para poder generar copias suyas en el sistema y reproducirse.
Para este proceso se vale de dos métodos: uno que ingeniosamente
se vale de Microsoft Word para localizar los ficheros de tipo
"SHS" presentes en el ordenador y otro que, en caso de que el
primero falle, efectúa búsquedas específicas por determinadas
carpetas, comparando nombres, extensiones y hasta longitudes de
ficheros con los datos originales del portador original.

Una vez concluido, "LifeStages" procura garantizar una larga
permanencia en el sistema por medio de diversas artimañas; la
primera consiste en esparcir copias y "reinstaladores" por el
sistema, con diversos nombres y ubicaciones, como la papelera
de reciclaje, el directorio de Windows, y el propio directorio
de inicio del conocido cliente de conversaciones en Internet,
"ICQ". Entre los nombres, algunos compuestos de manera aleatoria
a partir de sustantivos, guiones y extensiones, se encuentran
los siguientes, fijos (lista 1) y variables (lista 2):
(nombre del ordenador).acl -> Directorio Windows
MSINFO16.TLB -> Directorio Sistema
SCANREG.VBS -> Directorio Sistema
VBASET.OLB -> Directorio Sistema
DBINDEX.VBS -> Papelera de reciclaje
MSRCYCLD.DAT -> Papelera de reciclaje
RCYCLDBN.DAT -> Papelera de reciclaje
IMPORTANT+(-/_)+(0-999)+TXT.SHS
INFO+(-/_)+(0-999)+TXT.SHS
REPORT+(-/_)+(0-999)+TXT.SHS
SECRET+(-/_)+(0-999)+TXT.SHS
UNKNOWN+(-/_)+(0-999)+TXT.SHS
Posteriormente, con el fin de perfeccionar su camuflaje, el
gusano accede una vez más al registro de configuraciones, esta
vez para asociar el icono de los ficheros "TXT" a los "SHS",
asegurándose de tal manera de que todas las copias de su código
pasarán inadvertidas, al confundirse con corrientes archivos de
texto. Por último, y para concluir su proceso de asentamiento,
este patógeno busca una de sus principales bazas en el cambio de
nombre y ubicación del programa "REGEDIT.EXE", empleado por los
usuarios avanzados para efectuar modificaciones en llaves del
registro, uno de los principales flancos de ataque al gusano,
que envía esta aplicación a la papelera de reciclaje, en la que
es posible encontrar el ejecutable original renombrado a
"RECYCLED.VXD", y desde donde le es posible seguir funcionando
para el sistema, tras una pertinente y última modificación por
parte de "LifeStages".
[ Expansión ]

Este proceso sigue tres caminos; el primero, a través de las
versiones comerciales de Microsoft Outlook, envía una copia del
gusano a cada una de las entradas de la libreta de direcciones
del usuario, siempre y cuando en ella no existan más de cien;
en caso contrario, "LifeStages" selecciona esa cantidad como
tope y elige un número igual de destinatarios al azar, a los que
manda mensajes de correo electrónico variando el contenido del
asunto ("Fw: "+"Life stages"/"Funny"/"Jokes"+" text") y del
propio texto del mensaje ("> The male and the female stages of
life."+" Bye."), codificado en texto plano o en HTML.

El segundo consiste en la difusión de ficheros infectados por
medio de "scripts" automáticos para mIRC y PIRCH, mediante los
cuales envía copias suyas cuando un usuario entra o sale de un
canal (en un 50% de las ocasiones), cuando se envía o se recibe
un fichero de un determinado usuario o en el momento en que el
cliente de IRC detecta la presencia en la Red de alguna de las
personas cuyo "nickname" o apodo figura en la "notify list" o
lista de avisos del usuario infectado. Asimismo, "LifeStages"
es capaz de ocultar las ventanas de DCC (el protocolo por medio
del cual se intercambian ficheros en IRC), y posee la habilidad
de censurar las frases enviadas por personas que hablan acerca
de virus o troyanos y de aquéllas que se encuentran en canales
de ayuda de IRC, así como de modificar las direcciones o URL's
facilitadas por este medio, con el fin de evitar la posibilidad
de que un determinado usuario que se ha percatado de la presencia
del gusano pueda llegar a adivinar cómo puede desinfectarlo.

Por último, "LifeStages" es capaz de enumerar todas las unidades
compartidas a las que un ordenador afectado tenga acceso, y
entonces copiarse al directorio de inicio de Windows de cada
una de las nuevas máquinas disponibles o, en caso de no estar
disponible dicho directorio, a la raíz de la unidad, esperando
a que algún usuario descubra el fichero y se decida a abrirlo
e inspeccionar sus contenidos, activando así la infección.
[ Más información ]

"Stages.worm" -- A new worm with .txt extension that can shut
down e-mail servers (ZD Net/MSNBC)

http://www.zdnet.com/zdnn/stories/news/0,4586,2589845,00.html?chkpt=zdhpnews01

CA posts notice of "Scrap File" or VBS/Stages Worm (Tech Web)
http://www.techweb.com/wire/story/TWB20000619S0008

IRC/Stages.worm (Network Associates)
http://vil.nai.com/villib/dispvirus.asp?virus_k=98668

VBS.Stages.A (Symantec)
http://www.sarc.com/avcenter/venc/data/vbs.stages.a.html




Giorgio Talvanti
talvanti@hispasec.com



viernes, 16 de junio de 2000

Aviso: "LIFE_STAGES", nuevo gusano invade Internet

Llega a través de correo electrónico en un fichero adjunto con
el nombre "LIFE_STAGES.TXT.SHS", a primera vista su extensión
real queda oculta, lo que le permite pasar por un fichero en
formato texto. También se distribuye a través de clientes de
charla y unidades de red.
Tras recibir las primeras incidencias de infección por parte
de algunos usuarios, pasamos a a realizar este primer aviso
informativo, a la espera de poder ofrecer un análisis detallado
en breve, así como conocer la difusión real alcanzada, que
esperamos sea mínima debido a la rápida respuesta de las casas
antivirus.

Una de las novedades que presenta este gusano es el uso del
formato SHS de Microsoft (scrap objects), que permite empaquetar
objetos, en el caso que nos ocupa un script en Visual Basic.
Además, la extensión del fichero queda oculta aunque la
configuración de Windows establezca visualizar las extensiones
de los formatos registrados, lo que permite engañar al usuario
con mayor facilidad.

Como adelanto, indicar que en principio no se ha detectado
que el gusano lleve en su interior acción dañina alguna de
forma directa. Su única finalidad parece la reproducción,
para lo que aprovecha los recursos habituales en estos casos,
como son Outlook, clientes de IRC y unidades de red.




Bernardo Quintero
bernardo@hispasec.com



jueves, 15 de junio de 2000

Firewall-1 vulnerable ante ataques de denegación de servicio

El popular Firewall-1 de Check Point se ve amenazado ante ataques de
denegación de servicios si se realizan envíos de múltiples fragmentos
incompletos de paquetes de datos.
Es posible forzar a Firewall-1 para que consuma el 100% de los
recursos del procesador mediante el envío de paquetes fragmentados
ilegalmente construidos. Las reglas del firewall no pueden prevenir
este ataque, que además no llegará a ser registrado en el log. El
ataque se lleva a cabo debido a que Firewall-1 no inspecciona ni
guarda en el log los paquetes fragmentados hasta que estos son
ensamblados.

Como los paquetes empleados en el ataque nunca llegan a ser
completamente ensamblados, FW-1 no inspecciona ni guarda en el log los
paquetes fragmentados, lo que impide que la base de reglas de la
herramienta pueda actuar contra el ataque. Hay que tener en cuenta que
existen un gran número de estrategias y formas de construir un ataque
por fragmentación de paquetes, aunque para la demostración del
problema se ha empleado una utilidad conocida con el nombre de jolt2.

Check Point reconoce el problema y trabaja para la elaboración
definitiva, mientras tanto para evitar verse afectado por un ataque de
este tipo, se puede inhabilitar el log de la consola con el comando:

$FWDIR/bin/fw ctl debug -buf

Que deberá añadirse al comando $FWDIR/bin/fw/fwstart para que se
active cuando el firewall se reinicie.

Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1312

Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=1&msg=Pine.LNX.4.10.10006051908190.31513-100000@otto.spitzner.net

Alerta de Check Point:
http://www.checkpoint.com/techsupport/alerts/ipfrag_dos.html

VNUnet:
http://www.vnunet.com/News/1102869

Computerworld:
http://www.computerworld.com/home/print.nsf/(frames)/000607E692?OpenDocument&~f




Antonio Ropero
antonior@hispasec.com



miércoles, 14 de junio de 2000

Parche de Microsoft para SQL Server 7.0

Microsoft anuncia la publicación de un parche que elimina una
vulnerabilidad en el DTS (Data Transformation Service) que se ofrece
con SQL 7.0, por la cual, si este componente se configura
inadecuadamente puede dar lugar a la que las passwords se vean
comprometidas.
Los paquetes del servicio de transformación de datos (DTS) en SQL /.0
permiten a administradores de la base de datos crear un paquete que
realice una acción concreta en una base de datos a intervalos
regulares. Como parte del proceso de creación del paquete DTS, el
administrador debe proporcionar el nombre de usuario y password bajo
el cual se realizará la acción. Sin embargo, dicha password puede
recuperarse mediante un programa que interrogue el cuadro de diálogo
de propiedades del paquete.

Esta vulnerabilidad sólo ocurre si el sistema no sigue las prácticas
de seguridad recomendadas. En primer lugar, el creador del paquete DTS
deberá facilitar un nombre de usuario y password en vez de emplear la
autenticación Windows NT, además el paquete DTS deberá crearse sin
restringir los usuarios que pueden editarlo y por último el
administrador del servidor SQL debe permitir el acceso a la base de
datos a la cuenta Guest (invitado).

El problema radica en que si la password se almacena en el paquete DTS
al mostrar la página de propiedades queda marcada con asteriscos. Pero
si un usuario malicioso puede acceder a esta página de propiedades, a
través de un programa puede recuperar en texto plano la password
almacenada.

Más información:

Boletín de seguridad de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms00-041.asp

Preguntas y respuestas más frecuentes sobre la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-041.asp

Localización del parche:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=21905




Antonio Ropero
antonior@hispasec.com



martes, 13 de junio de 2000

Vulnerabilidad en el servidor de aplicaciones IBM WebSphere

Un nuevo aviso de seguridad por parte de Saumil Shah integrante de
foundstone alerta sobre una nueva vulnerabilidad que afecta al
servidor de aplicaciones WebSphere en todas sus versiones (incluida la
3.0.2), que corren sobre el sistema operativo Microsoft Windows NT.
Este mismo servidor de aplicaciones está disponible para sistemas
Linux aunque como posteriormente explicaremos sobre dichos sistemas no
se ve afectado. El problema radica en que un asaltante podría explotar
este problema para acceder y leer el código fuente de los archivos JSP
(Java Server Pages).

El problema se plantea cuando el servidor de aplicaciones recibe una
petición en la cual la extensión sería JSP (en mayúsculas) en lugar de
jsp (minúsculas), lo que provoca que WebSphere caiga en un error al no
encontrar una aplicación para atender la petición. Como resultado
termina por presentar la página en formato tipo "texto", sin ejecutar,
con lo que todo el código queda accesible.

En servidores Linux el error no se reproduce de igual forma, ya que
ante dicha petición el servidor de aplicaciones devolverá un error de
"archivo no encontrado"

Reproducir el problema, y conseguir el código fuente del archivo es
tan sencillo como realizar la siguiente petición:

http://sitio.con.servidor.websphere/index.JSP

En vez de la petición correcta al servidor:

http://sitio.con.servidor.websphere/index.jsp

Se puede encontrar la solución al problema en la dirección:

http://www-4.ibm.com/software/webservers/appserv/efix.html

Mas Información:

Foundstone:
http://www.foundstone.com


Antonio Román
antonio_roman@hispasec.com



lunes, 12 de junio de 2000

'Serbian Badman', la falsa alarma "infecta" los medios

Un aviso alarmista de la empresa Network Security Technologies
(NETSEC), en el que se reporta el descubrimiento de un sofisticado
troyano, ha provocado que la mayoría de los medios de comunicación
se hagan eco de una falsa alerta. Desde Hispasec os invitamos a
conocer la verdad sobre 'Serbian Badman', un troyano de lo más básico
al servicio del marketing de algunas empresas de seguridad y
organismos gubernamentales.
Según la versión de NETSEC, una vez descubierto realizan un análisis
preliminar del troyano y, debido a la supuesta amenaza global,
reportan de inmediato el caso al FBI y NIPC (National Infrastructure
Protection Center). En esos momentos comienzan las filtraciones y
notas a los medios de comunicación, que se ven fomentadas desde la
propia empresa de seguridad, mientras que el FBI confirmaba que se
encontraba en plena investigación del caso.

El viernes ya eran varios los medios de prestigio que sacaban la
noticia, un troyano, que se distribuía bajo un formato de vídeo y
había logrado infectar a 2.000 sistemas, estaba a punto de provocar
un ataque DoS masivo contra sitios Web y comercios electrónicos, lo
que con total seguridad ocasionaría importantes perdidas económicas.
Todos los sistemas infectados, la mayoría usuarios domésticos con
acceso a Internet con módem cable y conexiones permanentes, estarían
bajo el control de los dos sospechosos cuyos apodos darían nombre al
troyano, "Serbian" y "Badman". No tardaron en aparecer otras empresas
de seguridad que, a la consultas de los medios, no duraron en subirse
en la misma ola para aprovechar el impacto de la alarma.

El estudio del troyano muestra una realidad muy distinta a la versión
que estos días ha protagonizado la mayoría de las noticias al
respecto. Se trata de un simple troyano distribuido como ejecutable
.EXE, sin ningún tipo de sofisticación, que intenta simular un
video-clip a base de utilizar un icono e introducir una supuesta
extensión .MPG en el nombre del fichero. De la misma forma que
VBS.LoveLetter incluye .TXT antes de la extensión real (.VBS). Este
troyano, que no puede autoenviarse ni infectar por si mismo, tiene
como misión la descarga vía HTTP de un conocido backdoor, "SubSeven",
que al igual que BackOrifice o similares es detectado por la inmensa
mayoría de los antivirus. Además, el backdoor dejó de estar
disponible en el servidor al que "Serbian Badman" apunta, por lo que
a día de hoy la infección resulta imposible aun en los sistemas que
no dispongan de antivirus.

Todos los detalles de lo sucedido, los medios y empresas implicados,
así como las consideraciones finales sobre este asunto, pueden ser
consultadas en el avance que realizábamos hoy mismo al diario
iBrujula:

http://ibrujula.com/news/noticia.php3?id=6305




Bernardo Quintero
bernardo@hispasec.com



domingo, 11 de junio de 2000

Cómo eliminar las diez amenazas de seguridad más críticas en Internet

Sans Institute publica un documento en el que se describen los diez
problemas de seguridad más críticos y habituales en Internet
-actualmente-, con el fin de que los administradores de sistemas
cierren los problemas más comunes y más habitualmente utilizados.
El documento, en inglés (aunque existe una traducción al castellano),
se actualiza con relativa frecuencia y debería ser revisado a menudo.
Además de la vulnerabilidades en sí, se ofrecen consejos y
recomendaciones para reducir riesgos.

Las diez vulnerabilidades más comunes son:

1. BIND (named)

Es el servidor de nombres más popular de Internet, pero las
versiones anteriores a la 8.2.2patch5 son vulnerables a numerosos
ataques capaces de proporcionar nivel "root" al atacante.

2. CGIs y extensiones en los servidores web

Hay que auditar cuidadosamente todos los CGIs accesibles en los
servidores web, incluyendo los CGIs que vienen por defecto.

Adicionalmente, extensiones como FrontPage y ColdFusion pueden
ser inseguros por sí mismos, o contener ejemplos atacables.

3. Vulnerabilidades en sistemas de llamada a procedimiento remoto
(RPC), tipo rpc.ttdbserverd, rpc.cmsd y rpc.statd

Aunque son conocidos desde hace tiempo, estos fallos siguen
presentes en numerosos equipos.

4. Vulnerabilidad RDS en el servidor web de Microsoft (IIS)

Diversos errores de seguridad en el Remote Data Services (RDS)
permiten a un atacante el ejecutar comandos con privilegios de
administrador.

5. Sendmail

Sendmail es el servidor de correo (MTA) más utilizado en el mundo
UNIX. Los administradores de dichos sistemas deberían mantener
el servidor permanentemente actualizado.

6. sadmind y mountd

Estos procesos, si no han sido actualizados, contienen errores que
permiten la ejecución de código arbitrario como "root".

7. Compartición de discos e información vía NetBIOS, NFS y AppleShare

- Deben compartirse sólo los directorios imprescindibles, y sólo
desde las máquinas imprescindibles.

- El acceso por red a dichas máquinas debe ser el imprescindible.

- Las claves empleadas deben ser robustas.

- El control de acceso no debe basarse en información DNS, sino
en direcciones IP.

8. Cuentas sin clave o con claves de baja calidad

Esto es espcialmente grave cuando las cuentas en cuestión tienen
privilegios especiales.

9. Vulnerabilidades en los servidores IMAP/POP

Estos servicios gestionan los buzones de los usuarios y les
proporcionan acceso a su contenido. Normalmente no están protegidos
por cortafuegos, ya que suele ser necesario proporcionar el servicio
a usuarios desplazados fuera de la red local.

10. "Comunidades" (claves) SNMP por defecto

Numerosos equipos con capacidades de administración y monitorización
remota vía SNMP (Simple Network Management Protocol) son desplegados
sin modificar las claves (comunidades) por defecto.
Más información:

How To Eliminate The Ten Most Critical Internet Security Threats
The Experts' Consensus
http://www.sans.org/topten.htm

Cómo eliminar las diez vulnerabilidades de
seguridad en Internet más críticas
http://www.selseg.com/sans_top10/

17-9-1999 - Máquinas con fallos archiconocidos pueblan el ciberespacio
http://www.hispasec.com/unaaldia.asp?id=325

6-11-1999 - Seis problemas de seguridad en el BIND
http://www.hispasec.com/unaaldia.asp?id=375

29-12-1998 - Vulnerabilidades en BIND
http://www.hispasec.com/unaaldia.asp?id=63

16-10-1999 - Cuatro Vulnerabilidades en el Common Desktop Environment
http://www.hispasec.com/unaaldia.asp?id=354

27-12-1999 - Desbordamiento de búffer en el
demonio Sun Solstice AdminSuite "sadmind"
http://www.hispasec.com/unaaldia.asp?id=426

30-04-2000 - Nueva vulnerabilidad en NetBIOS de Windows 9x
http://www.hispasec.com/unaaldia.asp?id=551

28-11-1999 - Grave compromiso de seguridad en el servidor POP3 de
Qualcomm
http://www.hispasec.com/unaaldia.asp?id=397

1-12-1999 - Otro problema de seguridad en el servidor POP3 de
Qualcomm, solucionado
http://www.hispasec.com/unaaldia.asp?id=400




Jesús Cea Avión
jcea@hispasec.com



sábado, 10 de junio de 2000

Consideraciones sobre la cesión de datos

Más que una noticia esto no es otra cosa que una pequeña reflexión
sobre la privacidad, los datos de carácter personal; de como, por las
vulnerabilidades del sistema, unas personas se pueden beneficiar a
costa de otras, y de alguna teoría para solucionarlo, con alguna que
otra pregunta.
Había una vez una LORTAD que fue sustituida por la actual LPD, ley de
Protección de Datos de carácter personal, ley orgánica 15/99 de 13 de
diciembre. Ambas, regulaban y, regulan la cesión de datos a terceros,
bien empresas u organismos públicos. La actual ley vigente lo hace en
el art. 11, establece ciertos requisitos para que la cesión se
produzca correctamente.

Se me ocurre pensar sobre algunos aspectos de la cesión de datos.

La regla general que la ley establece supone que la cesión requerirá
consentimiento inequívoco del afectado, por supuesto dicho
consentimiento ha de ser previo a tal cesión, y además es nulo el
consentimiento dado cuando no conste la finalidad a la que se
destinarán los datos o el tipo de actividad de aquel a quien se
pretendan comunicar.

Sigo pensando, y observo que la ley no exige en ningún momento
informar al titular de esos datos si dicha información va a ser objeto
de negocio, y por tanto de posibles beneficios económicos.

Me acuerdo del art. 1271 del Código Civil, y así "pueden ser objeto de
contrato todas las cosas que no estén fuera del comercio de los
hombres, aún las futuras y también los servicios que no sean
contrarios a las leyes y a las buenas costumbres". Vaya, vaya!, lo
enlazo con el 1255 del mismo texto legal que dice "los contratantes
pueden establecer los pactos, cláusulas, condiciones que tengan por
conveniente, siempre que no sean contrarios a las leyes, moral ni al
orden público". Y entonces descubro que los datos propiedad de la
persona, relativos a su privacidad, pueden ser objeto de compraventa
por terceros, es legal comprar y vender algunas categorías de datos.
Vaya obviedad, tanto pensar para esto.

Así pues, yo cedo los datos a una empresa, que los vende y se lucra
con ello. Y, en ningún momento, ley alguna le obligó a informarme de
tal posibilidad, (aunque algunas empresas si lo incluyan en sus
formularios). ¿No es esto un vicio del consentimiento?.

Y si, se obtuvo un beneficio económico, ¿no tendré derecho a una
contraprestación o remuneración por la cesión de mis datos?. Pues, los
datos son míos, a mi me pertenecen, y al ser un derecho, que se
engloba en la categoría de derechos de la personalidad, es por ello
intransmisible, irrenunciable e imprescriptible. Es decir, el dato es
mío, aunque el fichero que lo contenga pertenezca a una empresa o
entidad determinada, y así se deduce de la legislación vigente.

Ahora ya claramente me formulo la teoría legal del 'enriquecimiento
injusto', la cual intenta evitar que alguien se enriquezca, a costa de
otro, de una forma no prevista inicialmente.

Vaya!, y el enriquecimiento injusto es objeto de indemnización, y ello
tanto en virtud del art. 19 de la Ley de Protección de Datos, como del
tan socorrido, y bueno para todo, 1902 del Código Civil, 'el que
produce un daño o lesión debe repararlo', por no decir de un buen
número de artículos civiles, y jurisprudencia para sostenerlos.

¿Nueva vía judicial?, ¿se abre la veda?, ¿posibilidad de reclamar
judicialmente una idemnización cuando alguien se lucre cediendo mis
datos, si no me ha informado de tal posibilidad?. Lo mismo empezamos a
ver correr por los tribunales demandas pidiendo indemnizaciones por
este motivo, ¿si alguien se beneficia económicamente de nuestros
datos?, ¿por qué nosotros no?, ¿quién es el destinatario final de
nuestro consentimiento originario y probablemente viciado?, ¿se podría
hablar de 'la plusvalía de los datos'?, ¿cómo se reparte esa plusvalía
a la sociedad?, ¿y a mí?. Mi privacidad y mi intimidad son mías, ¿...o
no?.




Carlos A. Bustillos
Dpto. Jurídico Hispasec.com
evalle@hispasec.com



viernes, 9 de junio de 2000

Vulnerabilidad en la versión 2.2.2 de INN

La versión 2.2.2 de INN es vulnerable a un ataque de desbordamiento de
búfer, que permite a un atacante el ejecutar código remoto con los
privilegios del usuario bajo el que se ejecuta INN.
INN (InterNet News) es el servidor de News (foros de discusión) más
utilizado en Internet, pero su versión 2.2.2 (y las anteriores) son
susceptibles a un ataque de desbordamiento de búfer a través de la
función "ARTcancelverify()". El ataque se realiza enviando una petición
de cancelación al grupo "control", con una cabecera "Message-ID"
especialmente formateada.

En el momento de escribir este mensaje todavía no existe ningún parche
oficial, pero los administradores con acceso al código fuente pueden
solucionar el problema fácilmente. Para ello basta con editar la función
"ARTcancelverify()", en el fichero "innd/artc", y buscar un segmento de
código semejante a:

if (!QE(local, p)) {
files = NULL;
(void)sprintf(buff, "\"%.50s\" wants to cancel %s by \"%.50s\"",
p, MessageID, local);
ARTlog(Data, ART_REJECT, buff);
}

Hay que modificar la línea del "sprintf()" y cambiar el "%s" por
"%.70s".

De nuevo, una de las ventajas de contar con código fuente. Podemos
solucionar el problema de forma local antes de que ISC publique la
versión 2.2.3 oficial del INN.

Más información:

INN: InterNetNews
http://www.isc.org/products/INN/

ISC innd 2.x Remote Buffer Overflow Vulnerability
http://www.securityfocus.com/vdb/bottom.html?vid=1316

Buffer overflow in inn
ftp://ftp.calderasystems.com/pub/OpenLinux/security/CSSA-2000-016.0.txt




Jesús Cea Avión
jcea@hispasec.com



jueves, 8 de junio de 2000

Actualización urgente a Linux 2.2.16

Las versiones de kernel Linux 2.2.x anteriores a la 2.2.16 contienen
diversos fallos de seguridad, algunos muy graves, por lo que se
recomienda la actualización inmediata a 2.2.16. Los kernel 2.0.x no
son vulnerables.
Algunos de los problemas de seguridad solucionados en esta versión son:

* Bajo determinadas circunstancias, la llamada "setuid()", empleada
para reducir los privilegios de un programa, puede fallar bajo la
acción de un atacante, lo que le permitiría mantener privilegios.

* Realizar múltiples conexiones simultaneas a través de un "socket()"
puede colgar la máquina.

* Las llamadas "readv()" y "writev()" pueden comportarse de manera
incorrecta cuando las entradas son demasiado grandes.

* Existe un posible agujero de seguridad en el sistema SUNRPC
(llamadas a procedimiento remoto).

* Diversos errores en el código de sockets y Appletalk permitirían
que un usuario generase notificaciones de errores en el sistema
("opsss").

* Existe un problema de seguridad en la versión SPARC (el procesador
utilizado por Sun Microsystems en sus máquinas) del kernel.

Los usuarios de Kernel 2.0.x no necesitan preocuparse, ya que estos
problemas no les afectan. Los usuarios de kernel 2.2.x deberían
actualizar sus sistemas lo antes posible, sobre todo si sus máquinas
proporcionan acceso SHELL a usuario no confiables, o se están
exportando servicios RPC.

Más Información:
Kernel 2.2.16
Caldera Advisory: serious bug in setuid()
SENDMAIL SECURITY TEAM ADVISORY
Sendmail Workaround for Linux Capabilities Bug
Linux Capabilities Vulnerability



Jesús Cea Avión
jcea@hispasec.com



miércoles, 7 de junio de 2000

Disponible el parche antivirus para Outlook

Con unas semanas de retraso según lo anunciado, ya se encuentra
disponible la actualización antivirus para la versión USA de
Outlook 98/2000. Como novedad, y con buen criterio, Microsoft
también facilita una herramienta para administradores que permite
configurar las propiedades y restricciones por defecto.
Tras el impacto causado por el gusano "ILOVEYOU", Microsoft anunció
una actualización de seguridad para evitar las facilidades que su
cliente de correo Outlook 98/2000 ofrece a este tipo de virus.
Recordemos que las principales características se resumen en:

-Seguridad para los datos adjuntos de correo electrónico

Evita que los usuarios tengan acceso a varios tipos de archivo
cuando se reciben como datos adjuntos. Entre los tipos afectados
se incluyen los ejecutables, archivos por lotes y otros formatos
que contienen código ejecutable, a menudo utilizados para
la creación y difusión de virus.

-Protección del modelo de objetos

Pregunta a los clientes con un cuadro de diálogo cada vez que un
programa externo intenta tener acceso a la libreta de direcciones
de Outlook o enviar un correo electrónico en nombre del usuario,
que es la forma en que se propagan los virus similares a "ILOVEYOU".

-Refuerzo de las zonas de seguridad

Aumenta la configuración de la zona de seguridad de Internet
predeterminada en Outlook de "Internet" a "Sitios restringidos".

Las actualizaciones y herramientas pueden ser descargadas en:
Outlook 2000 SR-1 Update: E-mail Security
Outlook 98 Update: E-mail Security
Outlook 2000 SR-1a Security Update Administrative Tools
La versión en español estará disponible en:
http://officeupdate.microsoft.com/spain/2000/articles/out2ksecarticle.htm

Más información:
Microsoft desarrolla un parche para Outlook (16-05-2000)




Bernardo Quintero
bernardo@hispasec.com



martes, 6 de junio de 2000

Cifrado débil en PassWD

PassWD es un programa para entornos Windows que permite gestionar
nombres de usuario y contraseñas junto con una URL, de forma que
almacena todos los datos necesarios para acceder a los sitios de
Internet que requieran algún tipo de autentificación. La utilización
de un pésimo algoritmo de cifrado permite a cualquiera leer de
forma fácil toda la información almacenada.
El programa, distribuido como Freeware, puede encontrarse en los
principales sitios de descarga de software, como por ejemplo en
Tucows, donde en el apartado de descripción podemos encontrar

desafortunados comentarios como: "El programa tiene una buena
seguridad y un entorno fácil de utilizar".

PassWD v1.2 basa su seguridad en cifrar todos los valores y
almacenarlos en un fichero (pass.dat), junto con la existencia
de una contraseña maestra que, en teoría, tan sólo permitiría
al usuario que la conozca acceder a la información.

El método de cifrado se basa en un valor aleatorio entre 0 y 99
como clave, en vez de utilizar la contraseña maestra, y para colmo
la almacena en el mismo fichero junto el resto de datos. Para
terminar la serie de despropósitos el algoritmo consiste en
sustituir según un juego de caracteres que rota en función
de la clave.

El autor ha lanzado una nueva versión, PassWD 2000, donde asegura
que utiliza un algoritmo de cifrado más robusto.

Más información:
SecurityFocus
PassWD



Bernardo Quintero
bernardo@hispasec.com



lunes, 5 de junio de 2000

El i-worm "Timofónica" envía mensajes a móviles

Hace apenas unas horas el laboratorio de Hispasec ha tenido la
ocasión de analizar un nuevo i-worm de origen español, similar
a "I love you" en cuanto a su funcionamiento, capaz de enviar
mensajes por medio del protocolo SMS a móviles de la conocida
compañía española de telefonía "MoviStar".
Los gusanos programados en Visual Basic Script (VBS) están de
moda. Tras la fulgurante irrupción de "I love you" y todas sus
mutaciones hace tan solo unas semanas, en esta ocasión España
sirve de cuna para un i-worm de cuya actividad "in the wild",
afortunadamente, todavía no se tiene noticia.

Se trata de un patógeno de menos de 12 kilobytes de longitud,
programado en VBS, capaz de autoenviar copias suyas por medio
de correo electrónico a todas las cuentas almacenadas en la
libreta de direcciones del usuario; lejos de conformarse con
esto, "Timofónica" manda mensajes cortos a teléfonos móviles
escogidos al azar y, por último, concluye su actividad en los
ordenadores afectados instalando un caballo de Troya que, al
siguiente arranque, borra los datos de la CMOS y formatea el
disco duro de tal manera que no se pueden recuperar los datos
perdidos por medio de ninguna aplicación específica.

¿He estado aquí?

Por medio de esta pregunta, en un código fuente íntegramente
escrito en español, "Timofónica" cuestiona la posibilidad de
estar ya presente en el sistema. Durante su instalación en
un nuevo ordenador, el gusano crea la siguiente llave en el
registro de configuraciones, a la que atribuye valor "1":

HKCU\Software\Microsoft\Windows\CurrentVersion\Timofonica

Por tanto, "Timofónica" se limita a buscar la presencia de esa
llave y, en caso afirmativo, da por hecho que no es necesario
volver a instalarse en el sistema, por lo que aborta de manera
inmediata su ejecución y devuelve el control a Windows.

Los amantes de los "trucos de la abuela" en el campo de la
informática sabrán apreciar, sin duda, la ventaja que supone
añadir manualmente la llave que el virus crea en el registro
de configuraciones al instalarse, con el fin de tener una
garantía de prevención total, aun si se incurre en el error
de hacer doble clic sobre un fichero portador.

La adecuación al sistema

Una vez que "Timofónica" se ha asegurado de no coincidir con
copias propias anteriormente instaladas, el siguiente proceso
consiste en asentarse en su nuevo hábitat. Para ello, el
i-worm lleva a cabo los siguientes pasos:

a) Inscripción de su marca de autoidentificación en el
registro de configuraciones: con el fin de evitar, como
se ha explicado en el epígrafe anterior, instalaciones
por duplicado, que acabarían por delatar su presencia.

b) Modificación de las preferencias de Outlook: inicialmente
con la intención de evitar que queden copias de aquellos
e-mails que el gusano difunde, en la bandeja de elementos
enviados del conocido cliente de correo electrónico. Esta
característica sólo funciona en las máquinas que dispongan
de la versión 9.0 de Microsoft Office.

c) Pre-ejecución de su troyano: aprovechando el momento de
efectuar altas y/o modificaciones en el registro de
configuraciones, "Timofónica" prepara el terreno para el
caballo de Troya que porta embebido en el interior de su
código y, por medio de la siguiente llave, asegura su
ejecución en el próximo arranque del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Cmos,Cmos.com

d) Copia del código maligno a un fichero: para conocer de una
manera precisa su ubicación en el sistema, "Timofónica"
crea el archivo "TIMOFONICA.TXT.vbs" en el directorio raíz
de los ordenadores afectados. Éste es el portador directo
del código del gusano, que será enviado por correo a sus
nuevos destinatarios.

e) Creación de un fichero de texto: también en el directorio
raíz, con el nombre de "TIMOFONICA.TXT", el i-worm escribe
esta carta de protesta contra Telefónica:

Comentarios
===========

....
Tarifa plana de 6000 pts/mes.
Extorsión.
A principio de 1.998 tras un seguimiento de su gestión se
descubrieron numerosas irregularidades en su gestión, amparadas
hasta el momento, en el desconocimiento que nosotros teníamos
sobre Internet. Compras de materiales, que nunca apareció por
ningún lado, pero si la factura del proveedor.
....
Yo pienso que si Timofonica (ke a fin de kuentas es la dueña de
Terra) kiere soltar dineros para una ONG, no le hace falta hacer
este tipo de acto solidario, es mas, me parece misero y ridikula
la kantidad de un millon de pesetas ..
Son unos ridikulos de mierda, un millon de pesetas para ellos
no es nada, pero un millon de hits en sus paginas mas a final
de mes supone una pekeña subidita en las acciones de Terra en
Bolsa. Total, ke Terra no son las Hermanitas de los Pobres
(pobres monjas, kompararlas kon los chupasangres de Timofonica),
NI NOSOTROS SEMOS GILIPOLLAS !!!
Podran decir ke estamos obsesionados, ke tamos en kontra de
Timofonika, ke protestamos por vicio, PERO ES KE EN 3 AÑOS KE
LLEVO EN INET SOLO LA HAN KAGADO UNA VEZ TRAS OTRA !! SI ES KE
SE LO GANAN A PULSO !!
Lo dicho , todo lo ke güele a Telefonica SUX, o en castellano
tradicional , APESTA !
....

Direcciones
===========

http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.www2.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://wwh.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html

Visita estas páginas. Estás inivitado.

f) Gestación del caballo de Troya: el penúltimo paso en el
proceso de instalación de "Timofónica" consiste en crear
el fichero "Cmos.com" en el directorio de sistema de
Windows. Este troyano, un fichero de tipo COM para DOS de
689 bytes de longitud (515 de los cuales, curiosamente,
están "vacíos" y carecen de utilidad alguna) consta de una
sucesión de bucles por medio de los cuales borra los datos
de la CMOS y formatea el disco duro de la máquina afectada,
vía int 13h.

g) Camuflaje de los ficheros .VBS: por último, "Timofónica"
se asegura de pasar desapercibido durante las siguientes
ejecuciones mediante un ingenioso truco, consistente en
asociar la activación de los archivos de código Visual
Basic Script con la apertura del fichero "TIMOFONICA.TXT",
de tal manera que cada vez que el usuario se disponga a
correr un ejecutable de extensión .VBS se abrirá el "Bloc
de notas" de Windows, mostrando el texto reivindicativo
reproducido de manera íntegra en el punto "e".

La expansión

El ciclo vital de este i-worm no podía quedar completado sin
el elemento fundamental en sus compañeros de especie, la
autorreproducción por medio de Internet. Para llevar este
proceso a cabo, "Timofónica" se vale de los tradicionales
métodos que es posible observar en otros especímenes de su
género: abre la libreta de direcciones del usuario y, de modo
iterativo, procede a enviarse a cada una de las entradas
disponibles, independientemente de la cantidad de ellas que
hayan sido almacenadas, algo que puede llevar a este gusano
a ser capaz de enviarse a cientos de ordenadores en apenas
unos minutos de conexión a la Red.

Los e-mails enviados por "Timofónica" presentan el siguiente
aspecto, que debería ser recordado por todos los lectores de
Hispasec a la hora de evitar ser afectados por este i-worm:

De : (nombre del usuario infectado)
A : (nombre del destinatario)
Tema : TIMOFONICA
Adjunto: TIMOFONICA.TXT.vbs

Es de todos ya conocido el monopolio de Telefónica pero
no tan conocido los métodos que utiliza para llegar
hasta este punto. En el documento adjunto existen
opiniones, pruebas y direcciones web con más información
que demuestran irregularidades en compras de materiales,
facturas sin proveedores, stock irreal, etc. También
habla de las extorsiones y favoritismos a empresarios
tanto nacionales como internacionales. Explica también
el por qué del fracaso en Holanda y qué hizo para
adquirir el portal Lycos. En las direcciones web del
documento existen temas relacionados para que echéis un
vistazo a los comentarios, informes, documentos, etc.
Como comprenderéis, esto es muy importante, y os ruego
que reenviéis este correo a vuestros amigos y conocidos.

Dependiendo de la configuración de cada usuario, en muchas
máquinas el fichero adjunto aparecerá sin la extensión final
".vbs", de modo que, de no reconocer el icono propio de los
archivos de esta extensión, se corre el riesgo de ejecutar
el código maligno pensando que se trata de un simple fichero
de texto que contiene la información prometida en el cuerpo
del mensaje portador.

El envío por medio de SMS

La característica más destacable de "Timofónica" consiste
en su capacidad de enviar mensajes cortos mediante SMS
('Short Message System'), el conocido protocolo empleado
por millones de teléfonos móviles para mandar y recibir
texto, en el que pueden viajar desde noticias hasta breves
avisos o divertidos dibujos basados en ASCII.

Valiéndose de lo que en la Red es conocido como técnicas
de "spamming", el i-worm de origen español explota la
facilidad de los clientes de MoviStar, compañía española de
telefonía móvil GSM perteneciente a Telefónica, de recibir
correo electrónico en sus terminales por medio de una
pasarela, correo.movistar.net, que lleva ya más de un año
funcionando.

Mediante ésta resulta posible, anteponiendo el número de
abonado como nombre de usuario, enviar e-mails a abonados
de MoviStar, de tal manera que la persona cuyo teléfono
sea 609609609 podrá recibir en su móvil todos los mensajes
que se envíen a la dirección 609609609@correo.movistar.net.

De esta forma, y por cada destinatario encontrado en la
libreta de direcciones del usuario afectado, "Timofónica"
genera un número de teléfono al azar, al que antepone uno
de los prefijos de los abonados de MoviStar (696, 609, 619,
629, 630, 639, 646, 649), y le envía un e-mail por medio
de SMS con el siguiente aspecto:

De : (nombre del usuario infectado)
A : (nombre del destinatario)
Tema: TIMOFONICA
informa que: Telefónica te está engañando.

Es importante recalcar que se trata tan solo de un simple
mensaje de texto que ni siquiera porta consigo ficheros
adjuntos, de modo que aquellos abonados que lo reciban no
correrán peligro alguno y podrán borrarlo sin problemas
de ninguna índole, ya que, aparentemente, el único objetivo
del gusano consiste en saturar la pasarela de envío de
correo electrónico a teléfonos móviles de MoviStar, algo
que, por el momento, no parece que se haya producido.

Prevención

Desde Hispasec una vez más instamos a todos los lectores a
tratar con suma cautela y desconfianza la recepción tanto
de mensajes de correo electrónico de remitentes desconocidos
como la de ficheros adjuntos no solicitados, dado el alto
índice de probabilidades de tratarse de algún tipo de
programa maligno, ya autorreproductor, ya destructivo, ya
de acción combinada, como es el caso de "Timofónica", del
que, como de costumbre, esperamos no recibir ningún tipo
de informe de actividad "in the wild".

Más información:

AVP-ES:
http://www.avp-es.com




Giorgio Talvanti
talvanti@hispasec.com



domingo, 4 de junio de 2000

Debian retira majordomo de su distribución

Una vulnerabilidad encontrada en majordomo, el conocido gestor de
listas de correo para entornos Linux, ha provocado que Debian retire
este programa de su distribución.
El paquete majordomo se distribuye dentro de la distribución Debian
GNU/Linux 2.1/slink y permite que cualquier usuario local emplear
majordomo para ejecutar código arbitrario o crear o escribir archivos
como un usuario de majordomo en cualquier lugar del sistema de
archivos.

El problema está perfectamente documentado, y las soluciones
recomendadas pasan por no permitir a usuarios en los que no se confíe
la ejecución de majordomo o bien emplear un setuid que el agente de
reparto pueda ejecutar.

Según Debian estos remedios no son suficientes. Pero como la licencia
del programa imposibilita arreglar el problema y distribuir una
versión reparada, Debian ha decidido eliminar majordomo de su
distribución y recomienda a los usuarios el uso de otras utilidades de
mantenimiento de listas de correo como fml, mailman o smartlist.

Más información:
Debian
Aviso de seguridad de Debian



Antonio Ropero
antonior@hispasec.com



sábado, 3 de junio de 2000

Vulnerabilidad a través de la ayuda

Microsoft publica un parche para eliminar una vulnerabilidad en la
propiedad de ayuda html, que se ofrece gracias a Internet Explorer.
Bajo determinadas circunstancias este problema puede dar lugar a que
un webmaster malicioso tome el control de la maquina del usuario
visitante.
La ayuda html es el sistema de ayuda que se ofrece cuando se usa un
producto Microsoft, por ejemplo al pulsar sobre la ayuda en Internet
Explorer. Las ventajas de este tipo de ayuda es que se emplea un
método estándar para la presentación del texto, permite animación,
enlaces y otras características web que permiten ofrecer una ayuda más
efectiva al usuario.

Este sistema de ayuda proporciona la posibilidad de iniciar código a
través de atajos incluidos en los archivos de ayuda html. Si un
archivo de ayuda html compilado, de extensión chm, se referencia desde
un sitio web malicioso, puede usarse para lanzar código en el
ordenador del usuario visitante sin su consentimiento. Este código
puede realizar cualquier acción que el usuario pueda realizar, lo que
incluye el añadir, cambiar, o borrar datos.

La vulnerabilidad presenta unas limitaciones que dificultan las
posibilidades de lograr un ataque exitoso, ya que el sitio web sólo
puede hacer llamadas al archivo de ayuda html si este reside bajo un
compartido UNC accesible desde la máquina del usuario, o en el propio
ordenador del usuario. Además, el archivo chm sólo puede invocarse si
se permite Active Scripting en la zona de seguridad en la que resida
el sitio malicioso.

El parche que ofrece Microsoft elimina la vulnerabilidad al permitir
únicamente llamadas a archivos html que empleen atajos si el fichero
reside en la máquina local.

Más información:
Boletín de Microsoft
Preguntas y respuestas sobre la vulnerabilidad
Parche para Internet Explorer 5.01 sobre Windows 2000
Parche para el resto de versiones



Antonio Ropero
antonior@hispasec.com



viernes, 2 de junio de 2000

Vulnerabilidad en ITHouse Mail Server en su versión V1.04

Con fecha del pasado día 31 de mayo salió a la luz una vulnerabilidad
que afecta al servidor de correo ITHouse Mail Server en su versión
1.04, que corre sobre los Sistemas Operativos de Microsoft, Windows NT
4.0 y Workstation.
Este problema, que fue descubierto por el equipo de seguridad Delphis
Consulting Internet Security Team (DCIST), se da cuando un atacante
envía un mensaje electrónico vía SMTP contra un servidor NT que
utilice Mail Server V1.04, con la peculiaridad de que el tamaño de
bytes del destinatario exceda los 2270 bytes. Esto producirá un
desbordamiento del buffer y el borrado del EIP, lo que puede permitir
al atacante poder ejecutar código malévolo en la maquina objeto del
ataque.

Ejemplo:
HELO example.org
MAIL FROM:example@example.org
RCPT TO: + EIP
DATA

.
QUIT

En este momento la rutina malévola del mensaje actuaría con la
consecuente caída del servidor y la posterior ejecución del código
arbitrario.

Mas Información:
Delphis Consulting



Antonio Román
antonio_roman@hispasec.com



jueves, 1 de junio de 2000

Piratas, crackers, la BSA y la SIIA

En estos días se hacen públicos los informes de la Asociación de la
Industria del Software y la Información (SIIA), y de la BSA (Business
Software Allince) sobre la piratería informática. Se centran
especialmente en las astronómicas pérdidas que esta actividad parece
acarrear al sector, 12.000 millones de dólares a nivel mundial. Según
dicha información, una de cada tres aplicaciones de uso en la empresa
eran copias piratas.
El 83% de las infracciones y por tanto las mayores pérdidas, se
localizan en USA, Asia y Europa Occidental. Dentro de Europa, España
sigue batiendo récords, se estima la piratería en un 53% (frente al
57% del año anterior, o el 60% de 1997), aunque tampoco somos los
primeros en este campo, siempre nos supera alguien, en este caso
Grecia (71%). La media Europea es del 35%, USA mantiene un 27%.

Desde el punto de vista de la SIIA y de la BSA, ello resulta
intolerable y supone pérdidas de puestos de trabajo, y pérdidas para
el estado (vía impuestos); también, pérdidas de beneficios
empresariales, sobre todo para el creador del software. Claro que esto
sería así si verdaderamente los beneficios se revirtieran en creación
de puestos de trabajo, y eso está por ver.

La BSA, que actúa legalmente en más de 60 países, la integran en
España compañías como por ejemplo, Microsoft, Adobe, Apple, Corel, o
Panda Software, entre otros. Aunque en algunos medios se dice que
alguna de estas empresas parecen 'hacer la vista gorda' ante el
pirateo de sus productos, o no protegen suficientemente el acceso a su
software. Todo ello para obtener así una mayor extensión y presencia
empresarial, dejando circular sus aplicaciones para después cobrar
posteriores desarrollos, o programas complementarios.

Si esto fuera cierto, desde el punto de vista económico, resultaría
que la copia ilegal además de crear un puesto de 'trabajo-sumergido'
para el que la realiza, en muchos casos su única fuente de ingresos,
también tendría efectos positivos para la empresa afectada. Que
curiosa teoría...

Esto último, desde luego no es la que piensa la BSA. Que ya intentó,
parece que con cierto éxito su programa de recompensar a los que
denunciaban estas prácticas ilegales. Este programa que comenzó el 1
de febrero de este año y duró 60 días recompensaba hasta con 500.000
pts las denuncias relativas a la piratería. Recibió más de 100
denuncias, bien vía web o telefónicamente, una línea 900 se puso a
disposición del denunciante a tal efecto.

Ahora bien, no bastaba con denunciar -a tu propia ex-empresa, por
ejemplo en más de un caso-, sino que debía ofrecerse información de
calidad que generase acciones legales contra empresas denunciadas. Una
vez denunciado se investigaba el supuesto delito, y se ponía esta
información en manos de las Fuerzas de Seguridad del estado o se
presentaba denuncia en el Juzgado, si la sentencia generaba pago de
indemnización, el denunciante recibía un 10% de la misma, con el
límite de 500.000 pts. Más que de programas de denuncia, con la ley en
la mano, tal vez habría que llamarlo programa de delaciones, ya que en
puridad jurídica más que denunciar una conducta, se delataba un hecho.

Así la denuncia según la Ley de Enjuiciamiento Criminal, ha de hacerse
ante autoridad gubernativa correspondiente (policía, por ejemplo), o
ante el Juzgado, no ante un ente privado. Es más, según el art. 259 de
la mencionada ley (LECr), el que presencia un delito debe denunciarlo
ante autoridad competente bajo pena de multa.

También no hace mucho, a principios del mes de Mayo, Estados Unidos,
inauguró su Centro de Denuncias de Fraude en Internet conocido como
IFCC, del Departamento de Justicia y formado con agentes del FBI, y
del elitista grupo NW3C. Aunque este centro tiene un alcance mayor que
el programa de denuncias de la BSA, ya que persigue cualquier tipo de
delito relacionado con la red, sorprendentemente no se ocupa de los
virus y/o sus creadores. Al menos, la denuncia se hace ante el
Departamento de Justicia.

De todas formas, menos mal que no sólo se usan los métodos represivos,
y así, desde hace unos años tanto la BSA como la SEDISI (Asociación
Española de Empresas de Tecnologías de la Información), junto con la
Administración Pública han llevado a cabo campañas informativas sobre
esta materia. En definitiva, protección y seguridad del software y
propiedad intelectual.

Atendiendo a nuestro espíritu pedagógico, opto por la segunda vía y
paso a comentar las principales conductas tipificadas y perseguidas.
La norma principal que hay que tener en cuenta es el Real Decreto
Legislativo 1/1996, en realidad aprueba el Texto Refundido sobre
Propiedad Intelectual y la protección jurídica de los programas de
ordenador, también otra norma a no perder de vista es el Código Penal.
Para no hacer una aburrida mención de artículos, paso a un resumen de
conductas perseguibles o tipificadas, así:

a) Sin permiso expreso o licencia del propietario de los derechos de
explotación, no se puede copiar, distribuir un programa, esto alcanza
también a la documentación que la acompaña, datos, códigos y manuales.

b) Uso sin licencia o autorización del fabricante, aquí es interesante
tener en cuenta lo usos en red o individualmente, los primeros deben
también tener, según la ley, su licencia correspondiente.

c) Realización de más copias de las autorizadas.

d) En las empresas, se persigue, el fomentar, consciente o
inconscientemente, permitir, obligar o presionar a los empleados a
realizar o distribuir copias no autorizadas de programas. Ceder el
programa de forma que pueda ser copiado, o el copiarlo mientras está
en posesión, en calidad de cedido o prestado.

e) Por supuesto también, como no, está prohibido, crear, importar,
poseer o negociar con artículos destinados a neutralizar cualquier
medio técnico aplicado para proteger el programa de ordenador.

Si hubiera evidencia de delito, se puede solicitar al juez medidas
tales como el registro sorpresa,(como el de mayo contra Imca
Ingenieros y Arquitectos S.A., o el de marzo contra, la conocida en el
mundo de los diseñadores, Digital Dreams Multimedia). Otras medidas
posibles son el secuestro de todos aquellos medios destinados a
suprimir los dispositivos que protegen el programa, o incluso el
cierre de la 'empresa pirata', ad cautelam.

Las penas no son pequeñas, y normalmente llevan aparejada
indemnización por daños y perjuicios. Esta indemnización, en muchos
casos supera la multa, así por ejemplo en el caso Intertex, (la AP de
Madrid confirmó la sentencia del Penal 6), se condenó a 3 meses de
prisión y un millón de pesetas de multa (la multa en penal, va a parar
a las arcas del estado), y con 5 millones de indemnización a
Microsoft, además de tener que abonar cada programa pirateado, esto
último, normalmente, será valorable, (determinar la cantidad), en fase
de ejecución de sentencia.

Mas información:

BSA:
http://www.bsa.org

SIIA (en inglés):
http://www.siia.net




Eusebio del Valle
evalle@hispasec.com