sábado, 30 de septiembre de 2000

Parche para Microsoft Windows Media Player 7

Microsoft Windows Media Player 7 presenta problemas al manejar los
controles OCX insertados en un mensaje de correo en formato RTF. La
vulnerabilidad puede causar que los clientes Outlook y Outlook
Express dejen de funcionar tras cerrar un mensaje con las
características descritas.
Aunque la vulnerabilidad se encuentra en el reproductor multimedia de
Microsoft, el problema tan sólo se presenta cuando un cliente de
correo que soporta RTF cierra o mueve un mensaje en este formato
conteniendo el control OCX.

En principio no se esperaban ataques DoS utilizando esta técnica,
ya que no existe ningún método estándar de Microsoft para introducir
un control OCX asociado con Windows Media Player en un mensaje de
correo electrónico. Sin embargo, ya circulan utilidades que explotan
la vulnerabilidad de forma automática y totalmente transparente para
el atacante.

Las víctimas de este tipo de ataques tan sólo tienen que lanzar de
nuevo el cliente de correo y eliminar los mensajes que causaron el
error. Recomendamos a todos los usuarios de Windows Media Player 7,
disponible para Windows 9x/NT y 2000, instalen el parche facilitado
por Microsoft para corregir el problema.

Parche Windows Media Player 7
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24421



Bernardo Quintero
bernardo@hispasec.com


Más información:

Patch Available for "OCX Attachment" Vulnerability
http://www.microsoft.com/technet/security/bulletin/MS00-068.asp

Microsoft Security Bulletin (MS00-068)
http://www.microsoft.com/technet/security/bulletin/fq00-068.asp

SecurityFocus
http://www.securityfocus.com/bid/1714



viernes, 29 de septiembre de 2000

El software de comercio electrónico CyberOffice expone los datos de los usuarios

De nuevo se descubre un error en la configuración por defecto de un
software de comercio electrónico o de carrito de compra. La sencillez
con que este tipo de programas permiten montar una tienda on-line
suelen provocar problemas que pueden acarrear la obtención de la base
de datos con los pedidos de los clientes, como ocurre en esta ocasión.
Cuando se decide emplear un software comercial para montar un comercio
electrónico, una tienda en Internet, hay que leer muy bien todas las
instrucciones de instalación y proceder a una instalación cuidadosa, y
prestar atención a las partes más importantes del programa. Incluso en
ocasiones hay que llegar más allá de la propia documentación y
comprobar personalmente todos los elementos que conforman el comercio,
como si de una tienda real se tratara y pusiéramos lejos del alcance
de los clientes la caja registradora. La base de datos de productos,
de usuarios y de pedidos son datos fundamentales que deben estar
cuidadosamente protegidos, cosa que no ocurre en la instalación por
defecto de CyberOffice Shopping Cart v2 bajo Microsoft Windows NT 4.

En una instalación por defecto del programa y de acuerdo a las
instrucciones del vendedor es posible conseguir acceso a la base de
datos que mantiene la información de los pedidos de los clientes,
incluida la información de las tarjetas de crédito. Los datos se
mantienen en una base de datos Access sin cifrado no protección de
ningún tipo bajo la ruta:

http://sitio_vulnerable/_private/shopping_cart.mdb

Por defecto el directorio _private tiene lectura para todo el mundo y
es accesible por los usuarios web anónimos. En la documentación el
fabricante indica que el directorio /_private/ debe estar configurado
para que no permita listarse (lo cual no impide que si el nombre del
archivo se conoce este pueda ser sustraido de igual forma).

Para solucionar el problema se recomienda que desde la consola de
administración de Internet Infromation Server se configuren los
permisos en el directorio /_private/ como sólo de escritura y no de
lectura. Esto permitirá realizar las actualizaciones de la base de
datos tal y como requiere la aplicación, pero impedirá su recepción.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq
http://www.securityfocus.com/archive/1/136765



jueves, 28 de septiembre de 2000

La Agencia de Protección de Datos multa a Telefónica

La Agencia de Protección de Datos (APD) ha considerado que Telefónica
fue culpable de una falta grave al exponer en Internet datos de
facturación de sus clientes. La multa aplicada, de diez millones de
pesetas, es la sanción mínima que recoge la ley para este tipo de
casos.
Desde Hispasec dimos a conocer esta información el pasado mes de
febrero. El problema provenía de un fallo de programación y
configuración del servidor web. En principio, para acceder a este
servicio, que es público y está al alcance de cualquier internauta que
pase por el web de Telefónica, es necesario un nombre de usuario y
contraseña, tal y como se informa en las páginas web del operador.
Pero resultaba relativamente sencillo saltarse esta protección, por
lo que cualquier usuario podría llegar a conocer la facturación
detallada, incluyendo datos como la domiciliación bancaria, con tan
sólo introducir el número de teléfono sobre el que se deseaba obtener
información.


La resolución de la APD considera probado que durante varios días el
directorio de navegación donde se recogía la existencia de la página
para accesos internos figuró visible y accesible desde Internet. Así
como que el pasado 25 de febrero se produjeron 829 accesos no
autorizados a datos de facturación de los abonados de Telefónica,
llegando a los 6.330 accesos el día 28, si bien se incluye en la
cifra los accesos del propio personal de Telefónica.

A juicio de la Asociación de Internautas, es "insuficiente" que a la
vista de todos estos hechos se imponga una multa que "podríamos
calificar de irrisoria, si tenemos en cuenta el potencial de la
compañía sancionada".

"Tampoco entendemos -añade- cómo es posible que una infracción grave,
como la que nos ocupa, -para la que el artículo 45.2 de la Ley
Orgánica de Protección de Datos prevé una sanción de 10 a 50 millones
de pesetas-, se castigue con el mínimo permitido".



Redacción Hispasec
redaccion@hispasec.com


Más información:

Multa a Telefónica de 10 millones por las filtraciones de datos de facturación a través de Internet
http://www.internautas.org/NOTICIAS/SEP00/28c.html

Nota del Defensor del Internauta sobre la sanción de la APD a Telefónica

http://www.internautas.org/NOTICIAS/SEP00/28d.html

La APD multa a Telefónica con 10 millones por un fallo "grave" de seguridad en el sistema "online" de facturas
http://es.news.yahoo.com/000929/4/kan0.html

Las facturas de los abonados de Telefónica accesibles por Internet
http://www.hispasec.com/unaaldia.asp?id=489

FrEE exige a Telefónica que deje de jugar con nuestros datos
http://www.hispasec.com/unaaldia.asp?id=505

Agencia de Protección de Datos
https://www.agenciaprotecciondatos.org



miércoles, 27 de septiembre de 2000

Vulnerabilidad en los navegadores más populares

Cuando una vulnerabilidad o un problema de seguridad afecta a un
navegador no es habitual que afecte al resto de navegadores. En esta
ocasión, tanto Netscape Communicator como Microsoft Internet Explorer
se muestran susceptibles a un ataque por desbordamiento de búfer.
Los dos navegadores más populares se ven afectados por un problema de
desbordamiento de búfer cuando visualizan un documento html con una
etiqueta "INPUT" con el argumento "type=password" y el parámetro
"value" consistente en una cadena de más de 16 Kbytes.

Por ejemplo, el siguiente código muestra una muestra de la
construcción de una página html que provocaría el cuelgue del
navegador.


<FORM action=sorpresa method=post>
<INPUT type=password value=cadena_de_16_Kbytes_de_longitud>
</FORM>

Aunque aun no se ha comprobado, puede ser posible la ejecución de
código dependiendo de los datos introducidos. Sólo el tipo password se
ve afectado por esta vulnerabilidad. Tras sufrir un ataque el
navegador se colgará y será necesario reiniciarlo para recobrar la
funcionalidad normal.



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus
http://www.securityfocus.com/vdb/?id=1726

Bugtraq
http://www.securityfocus.com/archive/1/136137



martes, 26 de septiembre de 2000

Los documentos word pueden ejecutar programas

Georgi Guniski, el famoso cazador de vulnerabilidades, ha descubierto
una grave problema que puede hacer que al abrir un documento de MS
Office directamente desde el Explorador de Windows se ejecuten
programas.

Si determinadas dlls están presentes en el directorio actual y el
usuario efectúa un doble click sobre el documento MS Office o se abre
desde Inicio/Ejecutar se ejecutarán las dlls. Esto puede permitir la
ejecución de código nativo y puede permitir tomar el control total del
ordenador del usuario. La vulnerabilidad también se puede reproducir
con idénticos resultados sobre unidades compartidas con sus nombres
UNC.

El problema se produce cuando riched20.dll o msi.dll (cualquiera de
las dos) o bien otra dll especialmente creada se encuentra presente en
el mismo directorio que un documento word. Esto posibilita que al
efectuar un doble click en el documento desde el Explorador de Windows
se ejecute el código existente en DllMain() de la dll en cuestión. Los
documentos Excel se comportan de forma similar cuando actúa con la
librería msi.dll, si bien con riched20.dll no funciona de igual forma.

Este problema puede ser reproducido en múltiples escenarios, por
ejemplo en empresas y corporaciones suele ser habitual la existencia
de un servidor de archivos. En este caso un atacante podrá preparar
una dll maliciosa, con código maligno en el cual introducirá un
troyano, aumentará sus privilegios o cualquier acción similar y la
renombrará a riched20.dll. Tras ello bastará con dejar la dll en el
servidor de archivos junto a los documentos de MS Office. Seguramente
algún usuario abrirá algún documento desde el Explorador y provocará
(sin saberlo) que el atacante consiga su objetivo.



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus
http://www.securityfocus.com/vdb/bottom.html?vid=1699

Bugtraq
http://www.securityfocus.com/archive/1/83410



lunes, 25 de septiembre de 2000

La vulnerabilidad "locale" no afecta solo a sistemas LINUX

La vulnerabilidad "locale" no afecta sólo a sistemas Linux; se ha
comprobado que supone un problema de seguridad para la mayoría de los
Unix e, incluso, para varias librerías de ejecución del mundo Windows.
El pasado 16 de Septiembre Hispasec publicó un aviso de seguridad
referente a la librería GLIBC. Entre los problemas reseñados, se
indican fallos de programación en las rutinas de gestión de mensajes
internacionales ya que, por un lado, permiten que un usuario
especifique cualquier biblioteca de mensajes al ejecutar procesos
SETUID y, por otro lado, permite que se inserten en dicha biblioteca
secuencias de escape que permiten la ejecución de código arbitrario.
Combinando estos dos hechos, se consigue que un usuario pueda ejecutar
código arbitrario como "root" sin más que indicar una biblioteca de
traducción especialmente manipulada, a la hora de invocar un proceso
SETUID.

En el boletín se hacía referencia a la librería GLIBC (la librería
estándar C producida por el proyecto GNU). No se mencionaba en ningún
momento otras variedades de Unix, o Windows. Éste fue un movimiento
intencional, a la espera de los parches de los diferentes fabricantes,
ya que se trata de un problema *EXTREMADAMENTE* difundido, y que
parece afectar también al mundo Windows.

Tras varias semanas de conocimiento público del problema, la mayoría
de los fabricantes todavía no han publicado una solución al problema,
lo cual consideramos grave.

En concreto, el problema afecta, al menos, a los siguientes sistemas:

Linux (solucionado si se siguen los consejos del boletín anterior)
Solaris
IRIX

Se sospecha que son vulnerables: (no hay un pronunciamiento oficial)

AIX
HP-UX
Tru64 (el renombrado Digital Unix)
SCO Openserver
SCO Unixware

Se sabe que OpenBSD y FreeBSD *NO* son vulnerables a este problema.

Adicionalmente, Héctor López, de Colombia, nos dice: "Este problema
afecta a C++ versión 6".



Jesús Cea Avión
jcea@hispasec.com


Más información:

16/09/2000 - Graves problemas en la GLIBC
http://www.hispasec.com/unaaldia.asp?id=692

Vulnerabilidad de format string en locale de UNIX
http://www.core-sdi.com/advisories/locale_advisory_es.htm



domingo, 24 de septiembre de 2000

Parche para Telnet en Windows 2000

El cliente telnet (telnet.exe) que se distribuye con Windows 2000
utiliza siempre por defecto NTLM durante el proceso de autenticación.
Un atacante puede diseñar una página web o mensaje de correo HTML
que, al visualizarse en el sistema de la víctima, lance de forma
automática una sesión telnet dirigida a su sistema, y que le
permitiría capturar credenciales y comprometer las contraseñas.
NTLM (NT LanMan) es un proceso de autenticación que se incorporó
en Windows NT y que utiliza el sistema desafío/respuesta para
evitar que las contraseñas viajen por la red. Cuando el proceso
de autenticación comienza, el cliente envia una solicitud al
servidor, al que éste responde con un desafío aleatorio. El
cliente envía al servidor la respuesta, resultado de una función
hash en la que intervienen la cadena desafío y su contraseña.
Por último el servidor realiza esa misma función de forma local
y compara el resultado con la respuesta del cliente, para ver si
coinciden y, por tanto, ha utilizado la contraseña correcta.

Durante todo este proceso en ningún momento la contraseña viaja
por la red, sino el resultado de una función donde uno de los
parámetros de partida es la contraseña. Para comprometer este
sistema un atacante debe conocer tanto el desafío cómo la
respuesta, e introducir estos elementos en un programa que,
bien por fuerza bruta o diccionario, calcule una y otra vez
la función hash entre el desafío y posibles contraseñas hasta
que el resultado coincida con la respuesta, lo que indicará
que ha utilizado, y encontrado, la contraseña correcta.

La mayoría de los programas que interpretan HTML, entre ellos los
difundidos Internet Explorer, Outlook, y Netscape, lanzan de forma
automática el cliente telnet.exe cuando encuentran una URL tipo
"telnet://". Un documento HTLM puede provocar que la víctima que
los visualice lance de forma automática una sesión telnet contra
el sistema del atacante, éste a su vez intentaría acceder vía SMB
a un servidor donde la víctima tiene acceso, utilizaría a
continuación la negociación comenzada por la víctima para hacer de
puente entre el cliente telnet y el servidor SMB, lo que le permite
escuchar y capturar todo el tráfico generado en el desafío/respuesta
NTLM. Otra opción consiste en que el atacante genere de forma directa
los desafíos que el cliente telnet debe responder, lo que facilitaría
la labor de ataque al poder elegir los desafíos y no utilizar los
aleatorios que un servidor genera.

Microsoft facilita un parche que corrige este problema de Windows
2000, disponible desde la dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24399

Los usuarios de Windows NT no se encuentran afectados por esta
vulnerabilidad, ya que el cliente telnet.exe distribuido con
este sistema no utiliza NTLM.




Redacción Hispasec
redaccion@hispasec.com


Más información:

Vulnerability "Windows 2000 Telnet Client NTLM Authentication"
http://www.microsoft.com/technet/security/bulletin/ms00-067.asp

FAQ Microsoft Security Bulletin (MS00-067)
http://www.microsoft.com/technet/security/bulletin/fq00-067.asp

NTLM Replaying via Windows 2000 Telnet Client
http://www.atstake.com/research/advisories/2000/a091400-1.txt



sábado, 23 de septiembre de 2000

Vulnerabilidades en varios gestores de listas de correo electrónico

Se han descubierto problemas de seguridad en varios gestores de listas
de correo electrónico, algunos de los cuales permiten que un atacante
ejecute código arbitrario.
Los gestores de listas de correo son programas que se encargan de
automatizar tareas como la alta y baja de suscriptores, el filtrado de
contenidos, el archivado de los mensajes, etc. Existen un buen número
de paquetes con este fin, muchos de los cuales son gratuitos.

Las vulnerabilidades descubiertas son:

* "mailman" permite que un usuario local obtenga privilegios de
"root" o administrador.

Este problema afecta a las versiones previas a la 2.0b5.

* "mailman" versión 1.1 permite la ejecución de comandos arbitrarios
por parte de los administradores de las listas de correo, si está
activada la funcionalidad de "archivado externo" de mensajes.

Este problema afecta a las versiones previas a la 1.2beta.

* "listmanager" permite que un usuario local obtenga privilegios de
"root" o administrador.

Este problema afecta a las versiones previas a la 2.105.1

* Existe una vulnerabilidad de desbordamiento de búfer en el
sistema de archivo web de "listserv", pudiendo ejecutar código
arbitrario con los privilegios del demonio "listserv".

Este problema, que es explotable de forma remota, afecta a las
versiones 1.8d y 1.8c. Las versiones previas no parecen afectadas.
El fabricante proporciona un parche para la versión 1.8d. La
versión 1.8c no está soportada; los usuarios de dicha versión
deberían instalar la versión 1.8d y el parche.

* Las versiones 3 y 4 de "Lyris List Manager" permiten que cualquier
suscriptor de una lista de correo obtenga privilegios de
administrador en dicha lista.



Jesús Cea Avión
jcea@hispasec.com


Más información:

mailman
http://www.list.org/

listmanager
http://www.listmanager.org/

LISTSERV
http://www.lsoft.com/products/default.asp?item=listserv

SECURITY ADVISORY 1
http://www.lsoft.com/news/default.asp?item=Advisory1

Lyris List manager
http://www.lyris.com/lm/lm_updates.html



viernes, 22 de septiembre de 2000

El algoritmo RSA *YA* es de dominio público

El pasado 20 de Septiembre expiró la patente RSA, con lo que este
popular algoritmo pasa a ser dominio público.
RSA (nombre formado por las iniciales de sus descubridores: Rivest,
Shamir y Adleman) es, muy probablemente, el algoritmo criptográfico de
clave asimétrica más popular del mundo.

El algoritmo, tras 17 años (se registró el 20 de Septiembre de 1.983),
ha pasado a ser de dominio público. Ello quiere decir que a partir de
ahora cualquier persona u organización que desee emplear el
criptosistema RSA en sus productos, podrá hacerlo sin ningún tipo de
limitación u obligación de cara a sus descubridores.

En una jugada de marketing, la compañía RSA liberó el algoritmo RSA el
6 de Septiembre, dos semanas antes de que la oficina de patentes de
EE.UU. expirase sus derechos. Un movimiento inteligente desde el punto
de los medios de comunicación, pero sin relevancia real debido a que
la expiración real de la patente era inminente.

Si bien la patente RSA era válida exclusivamente en EE.UU. éste es un
mercado informático tan importante que cualquier compañía foranea debe
tener muy en cuenta el posible quebranto de patentes a la hora de
elaborar un software.

La finalización de la patente RSA permitirá que otras compañías creen
tecnología utilizando esta técnica criptográfica. También permitirá
que cualquier individuo utilice RSA para cualquier fin que crea
oportuno. De hecho ya se están viendo los primeros resultados: GnuPG,
una popular alternativa para PGP, acaba de incorporar RSA a su lista
de algoritmos soportados. También se ha acabado el tener que compilar
librerías criptográficas de forma diferente según estés en EE.UU. o
en otro país.

No vamos a dar en este boletín un curso sobre criptografía RSA. Los
lectores interesados pueden consultar la bibliografía que se lista a
continuación.

En el fondo subyace la cuestión de cómo es posible, en EE.UU. patentar
una simple y llana fórmula matemática...



Jesús Cea Avión
jcea@hispasec.com


Más información:

RSA Security
http://www.rsasecurity.com/
http://www.patents.ibm.com/details?&pn10=US04405829

US4405829: Cryptographic communications system and method

RSA Security Releases RSA Encryption Algorithm into Public Domain
http://www.rsasecurity.com/news/pr/000906-1.html

Taller de Criptografía
http://www.ugr.es/~aquiran/cripto/cripto.htm

Kriptopolis: Otras publicaciones
http://www.kriptopolis.com/pubs.html

GnuPG
http://www.gnupg.org/

PGP DH vs. RSA FAQ
http://www.scramdisk.clara.net/pgpfaq.html



jueves, 21 de septiembre de 2000

Resumen de la VI Reunión Española sobre Criptografía y Seguridad

A petición de un nutrido número de lectores de "una-al-día", ofrecemos
un breve resumen de lo acontecido en la VI RECSI, cuyo programa
anunciamos la semana pasada. Para la ocasión, contamos con la
inestimable colaboración de Pino Caballero Gil, Presidenta del comité
organizador del congreso. En el apartado de referencias, al final del
resumen, se puede encontrar todos los datos para conseguir el libro
de actas con las ponencias, otro de los motivos de consulta de
nuestros suscriptores.
Durante la pasada semana se celebró en Tenerife la VI Reunión Española
sobre Criptología y Seguridad de la Información (VI RECSI) organizada
por la Universidad de La Laguna. Dicho congreso congregó a casi un
centenar de personas provenientes de casi todas las universidades y
centros de investigación españoles, además de representantes de otros
países americanos y europeos. De hecho ésta ha sido la más
internacional y de mayor asistencia de todas las ediciones anteriores,
celebradas en Mallorca, Madrid, Barcelona, Valladolid y Málaga. El
hecho de que vinieran foráneos a presentar sus ponencias nos da una
cobertura más amplia, permitiéndonos creer que hemos empezado a salir
de casa. Es muy posible que la clave de ello fuera el que la IACR
hubiera colgado un enlace a la página del congreso.

También resultó alentador ver que había bastantes alumnos interesados
en el tema. Asimismo esta edición ha sido también la que mayor
expectación ha recibido por parte de patrocinadores tanto públicos
como privados.

Hay que destacar que año tras año se va superando la calidad de las
ponencias, quedando manifiesta la dificultad para incluir toda la
investigación que se realiza en España en los tres días que dura el
congreso. Una de las cuestiones más llamativas es el marcado interés
en los entornos universitarios por introducirse en el sector del
comercio electrónico, debido probablemente a que el tema está muy
verde a nivel empresarial, ya que no están las cosas claras ni los
protocolos estandarizados, y eso da mucho juego para realizar nuevas
propuestas.

El rápido crecimiento del comercio electrónico es el factor que está
impulsando la difusión de la Seguridad de la Información, pero se
deja entrever un cierto olvido de los aspectos teóricos que
fundamentan todo este comercio electrónico. Uno de los objetivos de
la Reunión fue mostrar una vez mas que ambos aspectos (teóricos y
prácticos) han de ir de la mano y que hay que seguir promoviendo la
investigación entre los sectores mas vanguardistas; lease, las
empresas que operan, comercian y viven del comercio electrónico en
Internet. Además del boom del comercio electrónico hay que destacar
otras aplicaciones "reales" de los temas de criptografía . Cuestiones
como el E-mail seguro, Webs seguros, pago electrónico, etc., han
dejado de ser algo propio del entorno "académico" para convertirse en
temas que interesan al ciudadano de a pié.

Uno de los factores más importantes del éxito de la VI RECSI fue la
gran calidad e importancia de los dos conferenciantes invitados: el
Doctor Bart Preneel, Profesor de la Universidad Católica de Lovaina de
Bélgica y director de la International Association for Cryptologic
Research, y el Doctor Thomas Beth, Profesor de la Universidad de
Karlsruhe de Alemania y responsable de numerosos proyectos de
investigación de gran importancia. Las conferencias impartidas por
ambos investigadores fueron excelentes. Sobre todo resultó de gran
aceptación la idea de dar una visión "global" de cada uno de los dos
temas presentados, en lugar de charlas "magistrales" contando sus
últimos descubrimientos.

Algunas de las ponencias más interesantes estaban dedicadas a los
protocolos criptográficos, y más concretamente a la compartición de
secretos. Otra dedicada al estudio del iris ocular como método de
autenticación, algunas de corte más teórico (como las de generadores
pseudoaleatorios y criptoanálisis de sistemas caóticos), varias de
comercio electrónico realizadas en las universidades Rovira i Virgili
y de las Islas Baleares fueron de las que mejores comentarios
recibieron.

Especial mención debe hacerse de la única ponencia del programa
dedicada a cuestiones legales sobre el Real Decreto-Ley de Firma
Digital, ya que resumió muy bien el modo en que la Criptografía y la
Seguridad de la Información se están integrando en la Sociedad. Esto
es, todo el mundo (empresas, políticos, gente de a pie) es consciente
de la necesidad de la Criptografía y la Seguridad, pero no se sabe
muy bien cómo abordarla. Se crean leyes pero, de momento,
completamente insuficientes. Se habla de distintos niveles de
seguridad, pero no se definen específicamente los requisitos que deben
cumplir los sistemas para ser considerados de uno u otro nivel.

En definitiva, en el congreso se confirmó que la Criptología y la
Seguridad de la Información se están asentando en un lugar preferente
de la Sociedad, pero sin olvidar que queda todavía mucho camino por
recorrer. En la clausura que tuvo lugar en la mañana del sábado se
comunicó que las próximas ediciones del congreso tendrán lugar en 2002
y 2004 en las Universidades de Oviedo y Carlos III respectivamente.

Varias noticias sobre el congreso han sido publicadas en los
periódicos locales (se pueden visitar en la página
http://www.ull.es/noticias/gabineteprensa/dossier/dossier.htm ).
Además en el próximo número de la revista SIC saldrá publicada una
extensa crónica. En cuanto al libro de actas, ya ha sido publicado y
distribuido en librerías por Ra-Ma:

Editorial Ra-Ma
Criptología y Seguridad de la Información.
Coordinado por Pino Caballero Gil y Candelaria Hernández Goya.
ISBN: 84-7897-431-8

Formulario de pedido:
http://www.ra-ma.es/0001519.htm



Pino Caballero Gil
Presidenta del comité organizador de la VI RECSI
virecsi@ull.es


Más información:

VI Reunión Española de Criptología y Seguridad de la Información
http://www.hispasec.com/unaaldia.asp?id=685



miércoles, 20 de septiembre de 2000

RPC.STATD permite la ejecución de código arbitrario

El demonio RPC.STATD permite la ejecución de código arbitrario en la
máquina atacada, típicamente con los privilegios de "root".
RPC.STATD es un demonio utilizado en sistemas NFS para obtener
información sobre bloqueos (locks). Un error en la comunicación entre
RPC.STATD y el demonio SYSLOGD permite que un usuario ejecute código
arbitrario en el servidor.

La solución es actualizar el RPC.STATD (en estos momentos todas las
distribuciones LINUX están ya actualizadas). No se puede eliminar el
proceso porque ello interfiere con el sistema de ficheros NFS, aunque
ello no será un problema si no se está utilizando NFS. Tampoco se
puede hacer un filtrado por cortafuegos, ya que RPC.STATD se ejecuta
sobre un puerto dinámico, como la mayoría de los procesos RPC.

El problema afecta fundamentalmente a máquinas Linux. Los sistemas
*BSD e IRIX no son vulnerables. En este momento el ataque está siendo
explotado de forma masiva, por lo que se recomienda que se verifique
la vulnerabilidad en cada sistema y se adopten las acciones
apropiadas.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT Advisory CA-2000-17: Input Validation Problem in rpc.statd
http://www.cert.org/advisories/CA-2000-17.html

Multiple Linux Vendor rpc.statd Remote Format String Vulnerability
http://www.securityfocus.com/bid/1480

rpc.statd: remote root exploit
http://www.debian.org/security/2000/20000719a



martes, 19 de septiembre de 2000

"screen" vulnerable a un ataque de formato

Las versiones de "screen" anteriores a la 3.9.8 son vulnerables a un
ataque de formato que posibilita la ejecución de código arbitrario. En
caso de que "screen" se haya instalado como SETUID "root", la
vulnerabilidad permite la ejecución de código arbitrario con
privilegios de "root". El ataque debe realizarse desde una cuenta
local.
"screen" es un programa que permite la multiplexación de múltiples
sesiones de terminal a través de una única pantalla. Permite también,
entre otras muchas cosas, el "desconectar" las sesiones y retomarlas
un tiempo más tarde desde otra localización física. Se trata, en
resumen, de un programa ampliamente utilizado por casi cualquier
administrador de sistemas, sobre todo si es responsable de numerosas
máquinas unix.

Las versiones anteriores a la 3.9.8 son vulnerables a un ataque de
formato que permite que un atacante local ejecute código arbitrario en
la máquina. En caso de que "screen" sea un proceso SETUID, el código
se ejecutará con privilegios de "root".

El ataque se realiza modificando el fichero de configuración
".screenrc", más concretamente la variable "vbell_msg".

Hay tres soluciones:

1. Segurarse de que "screen" no sea SETUID. De esta forma el atacante
ejecutará el código de ataque con sus propios privilegios.

2. Aplicar el siguiente parche (como siempre, la ventaja de disponer
del código fuente: en la línea 2314 de "screen.c", cambiar
"Msg(0,VisualBellString);" por "Msg(0,"%s", VisualBellString);".

3. Actualizar a la versión 3.9.8 o superior de "screen".



Jesús Cea Avión
jcea@hispasec.com


Más información:

screen User Supplied Format String Vulnerability
http://www.securityfocus.com/bid/1641

SCREEN
ftp://ftp.uni-erlangen.de/pub/utilities/screen/



lunes, 18 de septiembre de 2000

Aparece el primer virus "companion" para NTFS

Hace apenas unas semanas el mundo de los virus informáticos volvía
a experimentar una revolución en el campo de la investigación y el
desarrollo de nuevas técnicas de infección; en esta ocasión se ha
tratado de "Stream", que pasará a la historia por ser el primer
patógeno de tipo "companion" nativo para sistemas de tipo NTFS.
La inmensa mayoría de los virus informáticos, desde la aparición
de "Brain" en 1986, se puede subdividir en dos grandes grupos, en
función del tipo de infección aplicada a los ficheros "huésped" o
víctimas del contagio: "appending" (anexión del código maligno al
final del archivo), la más común, especialmente con la llegada de
los sistemas de 32 bits, y "prepending" (adhesión del cuerpo del
virus antes del código original), característica de un nutrido
grupo de especímenes experimentales de las primeras oleadas en la
era del DOS.

Otros métodos menos convencionales pero también frecuentados por
diversos autores han sido el de "overwriting" (sobreescritura
del fichero huésped con el código vírico) y el de "spawning" o
"companion", consistente en sustituir un programa original con
una copia del virus que, al ser ejecutada, se encargará de correr
la aplicación huésped, previamente renombrada y escondida de los
ojos del usuario afectado.

El origen de esta técnica de infección -que generalmente conserva
intacto e íntegro el código de los ficheros originales- se puede
encontrar en la jerarquía ejecutiva prevalente en el DOS, mediante
la cual un fichero de extensión COM con idéntico nombre que uno
de extensión EXE estaba dotado de preferencia. Así, se daba la
circunstancia de que si el usuario ejecutaba "programa" -sin
especificar extensión alguna- y existían los ficheros de nombre
"programa.exe" y "programa.com", era este último el primero en
el orden de ejecución.

Aprovechándose de esta característica, los virus "companion" más
antiguos lo tenían tan fácil como buscar archivos de un tipo
determinado de extensión y renombrarlos, creando una copia de
su propio código con el nombre original del fichero afectado, de
forma que la carga maligna sea ejecutada cada vez que el usuario
desee correr un programa, que acaba siempre por ser lanzado por
el propio virus, tras haber llevado a cabo sus menesteres.

Años más tarde, cuando una técnica de semejante primitivismo ya
había quedado desfasada, los autores de virus han vuelto a darle
la vuelta a la tortilla y han encontrado una manera de volver a
dar vida a un resorte de tecnología vírica que había caído en el
olvido; uno de los programadores de "Stream", el checo "Benny",
ya había pasado a la posteridad meses antes tras su participación
en la escritura de "Install", el primer virus para Windows2000.

La adaptación del mecanismo "companion" puesta en práctica por
el virus "Stream" ha sido ya bautizada como "stream companion",
de donde el patógeno ha tomado su nombre. Se trata de un método
de infección válido única y afortunadamente para ordenadores
con sistema de ficheros NTFS, el que emplean, principalmente,
tanto WindowsNT como Windows2000. El motivo radica en el hecho
de que en estas plataformas ha sido habilitado por Microsoft, su
desarrollador, un complejo mediante el cual cada fichero posee
un flujo de datos o "data stream" al que se pueden asociar otros
elementos análogos, accesibles mediante su nombre personal, que
responde al formato "nombre_fichero:nombre_flujo".

La asociación de un flujo con su fichero es permanente, y así,
resulta imposible de acceder o modificar sin previa referencia
a su "compañero", al que permanece "grapado" incluso si éste es
renombrado o borrado, algo que complica sobremanera la detección
de "Stream", al no existir herramientas incluidas por defecto
en el sistema para editar o visualizar los flujos de un archivo.

Lejos de tratarse de una técnica de implementación laboriosa,
la longitud del código de este patógeno es tan insignificante
como irrelevante, especialmente tras haber sido procesada por
el compresor "Petite", que reduce el tamaño de "Stream" a tan
solo cuatro kilobytes. Al tratarse de un espécimen de carácter
experimental, de su acción expansiva potencial podría decirse
que se encuentra en relación directamente proporcional con la
longitud del virus: su acción maligna se limita a intentar
infectar todos los ficheros del directorio actual. En caso de
fallo, "Stream" muestra el siguiente mensaje en pantalla:

[ Win2k.Stream by Benny/29A & Ratter ]

This cell has been infected by [Win2k.Stream] virus!

[ OK ]

La rutina de contagio, por su parte, se limita a acceder a cada
uno de los ficheros encontrados y a copiar el código original en
un nuevo flujo, de nombre "STR", sustituyéndolo en el "stream"
principal por una copia del virus, que, tras ser ejecutada, se
encarga de ceder el control al archivo huésped, accesible por
medio de la ruta "nombre_fichero:STR". Como nota anecdótica
cabría resaltar que -por motivos hasta ahora desconocidos- a
pesar de que la técnica de "stream companion" es perfectamente
compatible con WindowsNT, los autores de "Stream" incluyeron en
el código de su creación una rutina que le impide correr en
otras versiones del sistema operativo de Microsoft distintas a
Windows2000, reduciendo aún más si cabe el posible radio de
acción del virus en caso de ser liberado.



Giorgio Talvanti
talvanti@hispasec.com


Más información:

AVP-ES
http://www.avp-es.com/noticias/stream.html

F-Secure
http://www.f-secure.com/v-descs/w2kstrm.htm

NAi
http://vil.nai.com/vil/dispVirus.asp?virus_k=98803

Panda Software
http://www.pandasoftware.es/vernoticia.asp?noticia=759

Sophos
http://www.sophos.com/virusinfo/analyses/w2kstreams.html

Symantec
http://www.sarc.com/avcenter/venc/data/w2k.stream.html

Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=PE_STREAM.A



domingo, 17 de septiembre de 2000

Problemas con el cliente DHCP de ISC

El cliente DHCP de ISC, en versiones anteriores a las 2.0pl3 y
3.0b1pl17, es vulnerable a un ataque de desbordamiento de búfer que
permite a un atacante ejecutar código arbitrario, como "root" en la
máquina cliente.
DHCP es un protocolo por medio del cual un cliente, al arrancar el
sistema operativo, consulta a un servidor DHCP detalles de su
configuración, como su dirección IP, la tabla de rutas, el servidor
DNS, etc. Los clientes DHCP de ISC, con versiones previas a la 2.0pl3
y a la 3.0b1pl17, permiten ejecutar comandos arbitrarios -como "root"-
provenientes de un servidor DHCP malicioso.

Cualquier máquina que ejecute un cliente DHCP de ISC debe actualizarse
enseguida. En el momento de escribir este boletín existen ya versiones
actualizadas del software ISC.

El problema sólo afecta al cliente DHCP. Ni el servidor ni el agente
DHCP son vulnerables.



Jesús Cea Avión
jcea@hispasec.com


Más información:

DHCP
http://www.isc.org/products/DHCP/

dhcp client: remote root exploit in dhcp client
http://www.debian.org/security/2000/20000728

dhclient vulnerability
ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/advisories/NetBSD-SA2000-008.txt.asc



sábado, 16 de septiembre de 2000

Graves problemas en la GLIBC

Las versiones de GLIBC anteriores a la 2.0.7.19981211-6.3 y a la
2.1.3-13 son susceptibles de varios ataques que pueden permitir que un
usuario local ejecute código arbitrario como "root".

GLIBC es la librería estándar C desarrollada por GNU. Se trata de la
librería básica empleada por cualquier programa en C que utilice
funciones estándar, como "printf()" o "strcmp()". Podría decirse, por
lo tanto, que casi cualquier programa UNIX utiliza la librería LIBC,
de una forma u otra (incluso los programas en lenguajes interpretados,
como python o perl utilizan la LIBC, ya que su implementación está en
C). Existen varias implementaciones de LIBC, entre ellas la de GNU,
que es la que nos ocupa en este boletín.

En concreto, la librería GLIBC tiene las siguientes vulnerabilidades:

* El cargador dinámico "ld.so" ignorará variables de entorno como
"LD_PRELOAD" o "LD_LIBRARY_PATH" a la hora de cargar librerías
dinámicas dentro de procesos SETUID pero, bajo determinadas
circunstancias, pueden inyectarse esas variables de entorno dentro
de la ejecución de un proceso invocado desde el SETUID original.

Es decir, el problema no afectaría a los procesos SETUID propiamente
dichos, sino a los procesos que estos invoquen.

* Existen varias vulnerabilidades en la gestión de mensajes
internacionales, que permiten que un usuario cargue cualquier
fichero del sistema, usando variables de entorno tales como "LANG"
o "LC_*".

* Un error en la gestión de un "mutex" puede ocasionar que algunas
aplicaciones "multithread" (multihilo) fallen.

En el momento de escribir este boletín, todas las grandes
distribuciones LINUX disponen ya de versiones GLIBC actualizadas. Los
administradores de sistemas, no obstante, deberían probar las
actualizaciones de forma exhaustiva, ya que se ha informado de casos
de incompatibilidades. Todos los usuarios de Linux recuerdan los
problemas que en su día dió la migración de "libc5" a "libc6" y
"glibc"...



Jesús Cea Avión
jcea@hispasec.com


Más información:

bad LANGUAGE value+format strings=root
http://www-gnats.gnu.org:8080/cgi-bin/wwwgnats.pl/full/1883

Vulnerabilidad de format string en locale de UNIX
http://www.core-sdi.com/advisories/locale_advisory_es.htm

glibc vulnerabilities in ld.so, locale and gettext
http://www.redhat.com/support/errata/RHSA-2000-057-04.html

glibc: local root exploit
http://www.debian.org/security/2000/20000902



viernes, 15 de septiembre de 2000

Hackmeeting BCN

A continuación reproducimos la llamada a la participación que nos han
enviado desde el comité coordinador de "Hackmeeting BCN". Estas
jornadas, de marcado carácter "underground" y que se celebrarán el mes
que viene en Barcelona, tienen como objetivo facilitar la charla en un
ambiente distendido sobre los temas que preocupan a la comunidad de la
red, entre los que destacan los relativos a (in)seguridad informática.
Hackmeeting BCN
20.21.22 Octubre 2000
CSOA Les Naus, Barcelona.

http://www.sindominio.net/hmBCN00

INTRODUCCION

El nombre y filosofia de estas jornadas es prestado y hermano de los
hackmeetings que llevan celebrándose en Italia desde 1998
(http://www.hackmeeting.org). La intención, como allí, es charlar en
un ambiente distendido sobre los temas que preocupan a la comunidad de
la red, en todos los aspectos posibles: técnicos, políticos,
artísticos... Unir estas voces que aun creen que tenemos la fuerza,
dentro, fuera y a través de la red, animarnos mutuamente, conocernos y
discutir nuestras visiones. ¿Quiénes somos? ¿A donde queremos ir?
¿Podemos aun crear belleza con las máquinas?

TEMAS DE INTERES

El hmBCN´00 consistirá en charlas, debates y talleres, para los que se
necesitan ponentes y maestros. Su aportación podrá ser al estilo
tradicional, asistiendo al encuentro de Barcelona y poniendo la cara,
o bien virtual, enviando textos que podran ser consultados en un
espacio de la convención física y en la web.

Estos son algunos de los temas sobre los que nos gustaría hablar y que
nos hablarais en el hackmeeting, aunque seguro que hay mas.

*Presentaciones de nuevas asociaciones y grupos
*Enfopol y Echelon
*Información alternativa en la red
*Programas libres
*Telefónica y otros senyores feudales. Acceso universal y tarifa
plana
*Ciberpunk
*Corporaciones en la red
*Artivismo
*La okupacion de makinas es como la okupacion real? Asesoria legal
*Genealogía de internet y relación con los movimientos sociales
*Internet en acciones políticas
*Hackers desde dentro. Filosofía.
*Privacidad práctica
*Los medios por dentro
*María y otras formas de hackear tu mente
*No sólo de inglés vive el hombre. Otras lenguas y culturas en la
Red.
*FreeNet, Napster, Gnutella... ¿nuevo escenario?

TALLERES o Como usar las tecnologias para nuestros intereses:

*Trucos (sacar energía del teléfono, etc)
*Tarjetas inteligentes, firmas digitales.. ¿ésto que es?
*Phreak
---> Dumb y Smartcards, que son.
---> Clonaje de GSM, una realidad.
---> Las cabinas, esas grandes desconocidas.
---> Emulación de tarjetas chip.
---> PBX, PABX, y demás; ¿cómo jugar con ellas?
---> El anonimato en la RTC, ¿existe?.

*Hack
---> Explotando sistemas Unix.
---> Win2000, o como entrar por la ventana.
---> Examinando Novell Netware.
---> Vulnerabilidades en Cisco.
---> Hackeo vía CGI.
---> Ataques de DoS.
---> Ingeniería social.

>
*Crack
---> Iniciación al crackeo sobre plataformas Windows.
---> Jugando con los registros de windows.
---> Cracking sobre Linux.

*Virii
---> La nueva generación de los virus.
---> Antivirus, de que nos protegen y de que no.

*Concursos

COMO PARTICIPAR

Enviar ideas o artículos, en formato .txt o ascii, a
hackmeeting@sindominio.net y entraremos en contacto. Esta es la
dirección de la lista de correo que coordina el encuentro. Si, además
de enviar textos, hay gente interesada en aportar sus opiniones y/o
buenas energías, la lista está totalmente abierta a ellas. Para
suscribirse, enviar un mail a hackmeeting-request@sindominio.net y
escribir subscribe en el subject.

FECHAS

Deadline envio de ponencias fisicas: 30 - septiembre - 2000
Deadline envio de ponencias virtuales: sin limite
Celebracion del congreso: 20.21.22 - octubre - 2000



Redacción Hispasec
redaccion@hispasec.com



jueves, 14 de septiembre de 2000

Chat-Troyano detectado por la Guardia di Finanza italiana

El 14 de septiembre, el Núcleo Regional de la Policía Tributaria de
la Guardia di Finanza de Milan, al término de un "seguimiento
virtual", denunció a un joven de 26 años como responsable de
distribuir un cliente de charla donde previamente había introducido
un troyano.
La Guardia di Finanza es un cuerpo de policia italiana que tiene
competencia en materia de violaciones de la ley penal y fiscal en
todo el territorio nacional. Entre sus actividades, este cuerpo
lucha contra el delito informático: intrusiones no autorizadas,
escritores de virus, fraudes electrónicos, etc.

El joven denunciado introdujo una variante muy particular del troyano
Subseven y herramientas de hacking dentro del cliente chat, y comenzó
la distribución de éste a través de una web
(http://chatoneone1.supereva.it) diseñada para la ocasión. Para
promover la utilización del cliente, el atacante aprovechó diferentes
medios de contacto personal (ICQ y similares) donde promocionar las
excelencias de su particular cliente de charla, destacando sus
características multimedia que permitían el uso de tarjetas de sonido
y webcams. Se estima que alrededor de 1.000 usuarios habían descargado
el cliente de chat con el troyano, antes que la Guardia di Finanza
interviniera.

Dario Forte, especialista en seguridad informática de la Guardia di
Finanza de Milan, ha actuado como consultor en el análisis del
troyano, junto con otros técnicos especializados en ingeniería inversa
y malware. En unas declaraciones a Hispasec, Dario comenta:
"Obviamente, no estoy en disposición de aportar datos técnicos sobre
las operaciones del troyano y su conexión con el programa de charla.
Sin embargo, si puedo comentar que nos ha interesado mucho la técnica
de ingeniería social utilizada por el atacante. Ha conseguido engañar
a muchos usuarios con su "campaña de marketing", atrayéndolos con las
características multimedia de su cliente de charla, y diseñando una
atractiva web desde donde poder bajarlo. Un primer análisis del
troyano ha demostrado que algunos antivirus no podían detectarlo, al
menos cuando los ficheros se encontraban comprimidos en formato zip."

Por último, mencionar que el proveedor de servicios "Supereva"
(www.supereva.it), que concede espacio web gratis con dominios de
segundo nivel, colaboró en todo momento con el cuerpo de policía,
y queda libre de responsabilidad en todo este caso.



Bernardo Quintero
bernardo@hispasec.com



miércoles, 13 de septiembre de 2000

Ataque DoS a Windows 2000 vía RPC

Microsoft facilita un parche para eliminar una vulnerabilidad en el
servicio RPC (Remote Procedure Call) de Windows 2000, por la cual un
usuario malicioso puede provocar un ataque por denegación de
servicios.
"Remote Procedure Call", o llamada remota a procedimiento, es un
protocolo a nivel de aplicación que permite a un cliente Windows
invocar los servicios de programas que se ejecutan en otro sistema
que hace las veces de servidor.

Según informa Microsoft en su último boletín de seguridad, un
atacante puede causar una denegación de servicios en un sistema
Windows 2000 al enviar un determinado paquete RPC mal construido.
En tal caso, RPC dejaría de prestar servicios, siendo necesario
el reinicio del sistema para restaurar su funcionalidad.


Dejando a un lado los ataques internos, son los servidores Windows
2000 directamente conectados a Internet los que más riesgo corren
ante esta vulnerabilidad, si bien no se verán afectados por el
problema si se encuentran protegidos por un cortafuegos que bloquee
los puertos 135-139 y 445.

El parche, que puede encontrarse en la dirección
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24229 deberá
ser instalado en todos los servidores Windows 2000 que puedan verse
afectados por el problema, independientemente de que tengan instalado
o no el Service Pack 1 para Windows 2000.




Redacción Hispasec
redaccion@hispasec.com


Más información:

Microsoft Security Bulletin (MS00-066)
http://www.microsoft.com/technet/security/bulletin/ms00-066.asp


FAQ (MS00-066)
http://www.microsoft.com/technet/security/bulletin/fq00-066.asp

Microsoft Windows 2000 Malformed RPC Packet DoS Vulnerability
http://www.securityfocus.com/bid/1673



martes, 12 de septiembre de 2000

Trabas para analizar a "Carnívoro"

Las críticas no cesan en el caso "Carnívoro", la polémica herramienta
espía de correo electrónico del FBI. En esta ocasión las voces
parten desde las universidades, que encuentran demasiados
requerimientos y restricciones para poder realizar un análisis
profesional, objetivo e independiente.
A las duras críticas recibidas por parte de organizaciones y
activistas, que ven en "Carnívoro" una clara invasión a la privacidad,
se suman la de algunos senadores como Orrin Hatch, que teme aumente
el recelo de los usuarios a enviar información sensible por Internet
debido a la instalación de esta herramienta espía en los ISP. Según
Hatch, "Carnívoro" puede ser "uno de los principales impedimentos"
para el desarrollo del comercio electrónico. Otro senador, Patrick
Leahy, continúa argumentando que hay motivos para pensar que podría
incluso violar la Cuarta Enmienda.

El Departamento de Justicia dispuso que el FBI facilitara información
detallada sobre "Carnívoro" a equipos de investigadores de las
principales universidades, quiénes emitirían análisis para aclarar
la controversia sobre si la herramienta viola o no los derechos
civiles.

En este punto, todo parecía indicar que pronto se acabaría con las
conjeturas en torno a "Carnívoro", pero, una lista desalentadora de
requisitos y restricciones a los equipos de investigadores reaviva,
más si cabe, la polémica en este caso.

"Básicamente, el FBI puede editar y omitir secciones de los análisis",
dijo Jeffrey Schiller, experto en seguridad informática del Instituto
de Tecnología de Massachussetts. El gobierno contempla la potestad
para poder vetar a los investigadores que estimen oportunos, y la
posibilidad de acusarlos, con cargos criminales, a quiénes faciliten
información sensible.

Tom Perrine, de la Universidad de California en San Diego, comenta que
"estas estipulaciones desalientan a participar en el estudio". Debido
a estos controles, son muchas las universidades que rechazaron la
petición del Departamento de Justicia, entre otras el MIT, la UCSD y
la Universidad de Dartmouth, ya que defienden que las especificaciones
por parte del gobierno no constituyen la base para un análisis
independiente.



Redacción Hispasec
redaccion@hispasec.com


Más información:


Universities unwilling to review FBI´s `Carnivore´ system
http://www.cnn.com/2000/TECH/computing/09/06/carnivore/index.html


Senator Warns That Fbi´s `Carnivore´ Could Slow E-Commerce Growth
http://www.antionline.com/2000/09/07/cndin/4930-0002-pat_nytimes.html


FBI Defends Email Spy Tool Before Congress
http://www.zdtv.com/zdtv/zdtvnews/politicsandlaw/story/0,3685,10194,00.html


El FBI obligado a descubrir a "Carnivoro"
http://www.hispasec.com/unaaldia.asp?id=666


Primeras negaciones a la instalación de Carnívoro
http://www.hispasec.com/unaaldia.asp?id=636

Carnívoro
http://www.hispasec.com/unaaldia.asp?id=625



lunes, 11 de septiembre de 2000

"Pikachu", la "pokemanía" llega a los ordenadores

El fenómeno "pokémon" no conoce límites. Su interminable serie
de proteicas adaptaciones, que lo han llevado a quioscos, grandes
almacenes y pantallas de consolas y televisión, ha acabado por
dar recientemente con el entrañable protagonista de la serie,
"Pikachu", introduciéndose en forma de gusano de Internet
("i-worm") en un significativo número de ordenadores.
Se trata de un espécimen de unos 32 kilobytes de longitud,
programado en Visual Basic 6. Si bien su expansión hasta el
momento no ha adquirido carices alarmantes, no deja de resultar
sorprendente el hecho de que haya llegado a adquirir cierta
notoriedad en libertad ("in the wild") a pesar de depender de
la presencia del cliente de correo Microsoft Outlook y de las
librerías del lenguaje en que fue programado para ser capaz de
funcionar en sistemas foráneos.

La única explicación aparente puede radicar en la efervescencia
del propio fenómeno "pokemaníaco", que puede haberse convertido
en el vehículo y envoltorio ideales para un patógeno que no
pasará a los anales de la programación de virus informáticos
por sus características técnicas ni por su originalidad. Desde
diversas compañías antivirus se ha llegado a especular con la
posibilidad de que los propios usuarios afectados por "Pikachu"
hayan sido quienes se hayan encargado de difundir el gusano
inconscientemente entre sus contactos más allegados, acelerando
el proceso expansivo con su interacción.

El gusano no ofrece particularidad alguna frente a los demás
especímenes de su género: se presenta en nuevos ordenadores en
forma de fichero adjunto a un mensaje de correo electrónico
enviado desde una máquina infectada y, tras ser ejecutado,
instala una copia de su código en el sistema y busca direcciones
de e-mail de nuevas víctimas a las que enviarse.

Los mensajes portadores presentan el siguiente aspecto:

Remitente: (usuario infectado)
Destinatario: (futurible víctima)
Asunto: Pikachu Pokemon
Cuerpo del mensaje:

Great Friend!

Pikachu from Pokemon Theme have some friendly words to say.

Visit Pikachu at http://www.pikachu.com
See you.

En un último intento de llamar la atención de los destinatarios,
el autor de "Pikachu" no olvidó insertar como icono por defecto
del fichero adjunto, PIKACHUPOKEMON.EXE, la cara de la popular
mascota protagonista que presta su nombre a este "i-worm", así
como su propia imagen: si finalmente el receptor del mensaje se
decide a ejecutar la copia portadora del código maligno, aparecerá
en la pantalla de su ordenador un cuadro de diálogo con un dibujo
del "pokémon" más conocido, acompañado del siguiente texto:

Between millions of people around the world i found you.
Don´t forget to remember this day every time MY FRIEND!

Visit us at http://www.pikachu.com

Por divertido que pueda parecer, se trata de un patógeno poco
agradable: tras haber sido activado por el usuario, se autoenvía
a todas las cuentas almacenadas en la libreta de direcciones
del usuario, e inserta comandos en el fichero AUTOEXEC.BAT con
el fin de borrar todos los ficheros de los directorios del
sistema (\Windows y \Windows\System, por defecto) cuando se
produzca el siguiente reinicio del ordenador afectado. A pesar
de lo peligrosa que pueda parecer, la activación ha sido
implementada de una forma un tanto inocente, resultando que el
sistema advertirá al usuario y le ofrecerá la posibilidad de
cancelar la acción antes de que ésta tenga efecto.



Giorgio Talvanti
talvanti@hispasec.com


Más información:

AVP
http://www.avp.ch/avpve/worms/email/pikachu.stm

CAi
http://www.cai.com/virusinfo/encyclopedia/descriptions/pikachu.htm

NAi
http://vil.nai.com/vil/dispVirus.asp?virus_k=98696

Panda Software
http://www.pandasoftware.es/enciclopedia/gusano/IWormPikachu_1.htm

Sophos
http://www.sophos.com/virusinfo/analyses/w32pikachua.html

Symantec
http://www.symantec.com/avcenter/venc/data/w32.pokey.worm.html

Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_POKEY.A



domingo, 10 de septiembre de 2000

Ataques DoS a Microsoft WebTV

Los sistemas con Microsoft WebTV son vulnerables a recibir ataques
por denegación de servicios, los efectos comprenden desde bloqueos
hasta el reinicio de las máquinas.
WebTV es el componente principal que Microsoft introdujo a partir
de Windows 98 para el soporte de la tecnología "broadcast", y que
ha sido heredado por Windows 98 Segunda Edición, y el nuevo Windows
ME. A través de este control los usuarios pueden disfrutar de la
televisión tradicional en su escritorio junto con información
adicional de esos programas en formato web, lo que da lugar a la
"televisión interactiva".

Cuando un sistema con WebTV recibe un paquete UDP, en los puertos
comprendidos entre el 22701 y 22705, ambos inclusive, pueden
producirse diferentes errores, que varían en función de la
longitud del paquete recibido. Los usuarios afectados pueden sufrir
desde el bloqueo del programa, pasando por errores generales (las
famosas pantallas azules), hasta el reinicio del sistema.

Microsoft, que fue avisada del problema el 13 de agosto, aun no
ha puesto a disposición parche alguno para corregir la vulnerabilidad.
Los usuarios que reciban este tipo de ataques podrán evitarlos
desactivando WebTV, a la espera de la actualización pertinente.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Bugtraq
http://www.securityfocus.com/archive/1/81852

Microsoft WebTV
http://www.microsoft.com/Windows98/guide/Win98/Features/WebTV.asp



sábado, 9 de septiembre de 2000

VI Reunión Española de Criptología y Seguridad de la Información

En su sexta edición, que tiene lugar en Tenerife del 14 al 16 del
presente mes, esta importante conferencia bianual vuelve a reunir a
investigadores, fabricantes, suministradores y usuarios interesados
en la Criptología y la Seguridad de la Información.
El apretado programa, con más de 40 ponencias de gran interés, se
divide en un total de 11 sesiones temáticas repartidas entre los
3 días que dura el evento:

-Aplicaciones e Implementaciones
-Criptografía Simétrica
-Autenticación y Firma Digital
-Criptografía Asimétrica
-Compartición de Secretos
-Comercio Electrónico
-Base Teórica
-Protocolos Criptográficos
-Generadores Pseudoaletorios
-Seguridad en Redes e Internet
-Criptoanálisis

La configuración de las sesiones y los detalles de las ponencias
que las componen pueden consultarse en la página web del programa:

http://www.deioc.ull.es/virecsi/programa.htm

El congreso contará además con la participación de dos conferencias
invitadas de destacados expertos: "The State of Hash Functions", del
Profesor Bart Preneel, y "The State of Public-Key Cryptography: In
view of the possibilities of Quantum Computing", del Profesor
Thomas Beth.



Bernardo Quintero
bernardo@hispasec.com


Más información:

VI Reunión Española sobre Criptología y Seguridad de la Información
http://www.deioc.ull.es/virecsi/

Programa
http://www.deioc.ull.es/virecsi/programa.htm

CriptoRed
http://www.criptored.upm.es/paginas/eventos.htm#not3sep00

Asociación Española de Criptología y Seguridad de la Información
http://aecsi.rediris.es/



viernes, 8 de septiembre de 2000

Roban información de 15.700 tarjetas de crédito y débito

El sitio web de Western Union sufrió una intrusión el pasado viernes,
los atracadores virtuales se hicieron con la información de 15.700
tarjetas de crédito y débito de usuarios que utilizan sus servicios.
La compañía atribuye el agujero de seguridad al error de un
administrador del sistema durante unas operaciones rutinarias de
mantenimiento.
El jueves, Western Union, parte de First Data Corp, el gigante de
los pagos electrónicos, anunciaba con orgullo el lanzamiento de
MoneyZap, un nuevo servicio de pagos persona a persona vía Internet.
Un día más tarde, su sitio web (http://www.westernunion.com) sería
víctima de uno de los mayores robos de información sensible en la
historia del comercio electrónico en Internet.

El domingo, dos días después de que se detectara la intrusión, la
compañía suministró a Visa y MasterCard los números de las tarjetas
robadas. Después de ese fin de semana la Western Union comenzó a
informar de forma directa a los afectados vía teléfono, correo
tradicional, y e-mail. Hasta la fecha, no se ha detectado, o no
se ha hecho público, la utilización fraudulenta de la información
sustraída.

Sin duda, la trascendencia de este hecho no sólo perjudica a la
Wester Union, sino que salpica a todo el comercio electrónico en
Internet. Los esfuerzos por concienciar a los usuarios de la
seguridad en las transacciones por la Red sufren un desgaste
importante ante la opinión pública que recibe con alarma este
tipo de sucesos.

Hoy día existe tecnología y soluciones para proveer un nivel
de seguridad en Internet más que aceptable, superior al que podemos
encontrar en las transacciones que a diario realizamos en el mundo
"real". Si bien, cómo puede ocurrir en cualquier negocio
tradicional, no todo el mundo utiliza los sistemas de protección
apropiados ni los administra de forma adecuada, y nadie está libre
del error humano.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Western Union hacked, 15,000 CC numbers taken
http://www.theregister.co.uk/content/6/13140.html

Western Union Web Site Is Hacked
http://news.excite.com/news/ap/000910/19/western-union-hackers2

Hacker Steals Western Union Customers’ Credit-Card Data from Web Site
http://www.antionline.com/2000/09/12/krtbn/0000-0097-DP-WESTERN-UNION.html

Western Union Web Site Hacked
http://dailynews.yahoo.com/h/ap/20000911/tc/western_union_hackers_3.html

LATEST: Western Union Web site hacked
http://www.idg.net/ic_245104_1794_9-10000.html

Western Union data heist: Human error
http://www.zdnet.com/zdnn/stories/news/0,4586,2626673,00.html

Western Union
http://www.westernunion.com/



jueves, 7 de septiembre de 2000

Ejecución de código arbitrario en "PROFTPD"

Un par de lectores nos han señalado un error en el boletín
"una-al-día" titulado "Ejecución de código arbitrario en `PROFTPD´",
publicado el 29 de Agosto pasado. En él indicábamos que que la
vulnerabilidad afectaba hasta la versión 1.2.0rc2 inclusive.
Carlos Sauquillo y Jordi Bruguera nos han señalado muy acertadamente
que la vulnerabilidad está presente en las versiones hasta la 1.2.0rc2
(la última versión disponible en este momento), pero que en ésta ya ha
sido corregido el problema, cosa que hemos verificado.

Pedimos disculpas a todos nuestros suscriptores, y les agradecemos la
confianza depositada en Hispasec como fuente de información fiable en
el campo de la seguridad informática.

29/08/2000 - Ejecución de código arbitrario en "PROFTPD"
http://www.hispasec.com/unaaldia.asp?id=673




Jesús Cea Avión
jcea@hispasec.com



AIX permite borrar las estadísticas de red

Las versiones 4.x.x de AIX, el Unix de IBM, permite que cualquier
usuario local pueda borrar las estadísticas del interfaz de red.
AIX no realiza ninguna comprobación de los privilegios del usuario que
invoca el comando netstat con el parámetro -Z, lo que permite que
cualquiera, si necesidad de ser root, pueda situar a cero las
estadísticas del interfaz de red.

$ netstat -in --> muestra las estadísticas de red
$ netstat -Zi --> borra las estadísticas de red

Esta vulnerabilidad puede ser utilizada por un tercero para interferir
en programas que necesitan y/o utilizan dicha información en sus
procesos.

IBM ha solucionado el problema parcheando el sistema para que sólo
los usuarios root estén autorizados para llamar a netstat con el
parámetro -Z. La notificación oficial de IBM al respecto puede
encontrarse en el APAR (`Authorized Problem Analysis Reports´) número
IY12147.




Bernardo Quintero
bernardo@hispasec.com


Más información:

Bugtraq
http://www.securityfocus.com/archive/1/80093

AIX General Software Fixes
http://service.software.ibm.com/rs6k/fixes.html

APAR Database
http://service.software.ibm.com/rs6k/psd-adv.html

AIX
http://www.ibm.com/servers/aix/



miércoles, 6 de septiembre de 2000

Ataque DoS a Windows Media Services

Una determinada petición al servidor Windows Media Services puede
provocar la paralización del servicio "Unicast". Microsoft facilita
un parche para solucionar el problema.
La tecnología Windows Media, con su formato ASF (`Advanced Streaming
Format´), es la apuesta particular de Microsoft en la batalla por
el estándar de codificación de audio y vídeo en tiempo real para
Internet, en pugna con formatos tan extendidos como los de Real
Networks, y retando incluso al popular MP3.

Windows Media Service es la solución que propone Microsoft para los
servidores que quieran proveer contenidos con esta tecnología. Está
compuesto de cuatro servicios, "Unicast" para el suministro uno-a-uno
bajo demanda, "Station" cómo servicio uno-a-muchos, "Program" para el
control y "Monitor" para la monitorización.

Una petición determinada a un servidor Windows Media, a través del
puerto 1755, puede provocar un error por sincronización (o `race
condition´) que permite la posterior paralización del servicio
"Unicast". Para restaurar su funcionalidad es necesario reiniciar el
servicio afectado.

Una `race condition´ se produce cuando un proceso interfiere en
otro, provocando un error o malfunción en el programa. Un ejemplo
típico lo encontramos en el caso de los dos procesos que incrementan
una variable compartida, para lo cual cada uno de los procesos
primero lee el valor de la variable, a continuación suman uno, y por
último salva el valor resultante. Si no existe el control adecuado,
y los procesos se interfieren, puede suceder que uno de los procesos
lea antes que el otro salve el valor ya incrementado, por lo que
al final el resultado de los procesos tan sólo incrementa en una
unidad la variable cuando debería ser de dos unidades.

Según Microsoft, un problema por un error de sincronización es lo
que sitúa al servidor Windows Media en un estado propicio para el
ataque DoS, que se llevaría a cabo a posteriori con una petición
normalizada. En el aviso de Microsoft, como es normal, no se ofrece
información alguna sobre la construcción o naturaleza de las
peticiones que explotan la vulnerabilidad.

Los sistemas afectados, Windows NT o 2000 con Windows Media Services
4.0 o 4.1, pueden ser actualizados con el parche de Microsoft que
corrige este problema, disponible en la siguiente dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24167



Bernardo Quintero
bernardo@hispasec.com


Más información:

Patch Available for "Unicast Service Race Condition"
http://www.microsoft.com/technet/security/bulletin/MS00-064.asp

FAQ Bulletin (MS00-064)
http://www.microsoft.com/technet/security/bulletin/fq00-064.asp

Features Windows Media Technologies
http://www.microsoft.com/windows/windowsmedia/en/Features/default.asp

Real Networks
http://www.realnetworks.com/



martes, 5 de septiembre de 2000

Parche para vulnerabilidad local en Windows 2000

Una vulnerabilidad en el servicio "Still Image" de Windows 2000
permite la escalada de privilegios de forma local, de manera que
cualquier usuario que tenga acceso al sistema puede operar con el
nivel de un administrador o del propio sistema.
"Still Image" es una nueva arquitectura de Microsoft para el soporte
de dispositivos de adquisición de imágenes, tales cómo los escáneres
y las nuevas cámaras digitales. Este servicio no se encuentra por
defecto en Windows 2000, y se activa en caso de que se instale algún
dispositivo de los mencionados con anterioridad, o si un administrador
ejecuta la aplicación "stimon.exe".

Un usuario que tenga acceso local a un sistema Windows 2000 puede
aprovechar un desbordamiento de búfer en el servicio "Still Image"
para escalar privilegios hasta el máximo nivel, y obtener así el
control total del sistema.

Microsoft facilita un parche que corrige el problema, disponible en:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24200



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletin (MS00-065)
http://www.microsoft.com/technet/security/bulletin/MS00-065.asp

FAQ Microsoft Security Bulletin (MS00-065)
http://www.microsoft.com/technet/security/bulletin/fq00-065.asp

Windows Still Image Privilege Elevation (A090700-1)
http://www.atstake.com/research/advisories/2000/a090700-1.txt



lunes, 4 de septiembre de 2000

Vulnerabilidad a través de las tarjetas de identificación de Outlook 2000

Microsoft Outlook 2000 es sensible a un ataque de denegación de
servicios debido a un fallo en el tratamiento de determinados campos
de las tarjetas vcard que se incluyen en muchos casos a modo de
identificación personal.
El problema reside como en tantas ocasiones en el tratamiento de
determinados campos cuando reciben un elevado número de caracteres. Si
algunos campos de la tarjeta vcard (.vcf) contienen más de 75
caracteres, y el usuario abre dicho archivo, Outlook 2000 dejará de
responder al causar un desbordamiento de búfer o un excesivo uso de
CPU.

Las tarjetas vCard son un tipo MIME detallado en las especificaciones
que se pueden encontrar en las RFC 2425 y 2426. Es precisamente en la
RFC 2426 donde se detalla que las líneas no deben ser mayores de 75
caracteres, para que puedan ser importados con los saltos de línea tal
y como se define en [MIME-DIR]. Sin embargo, parece que Outlook no
soporta esos saltos de línea e intentará importar cualquier campo como
un solo valor.

El efecto de importar alguno de estos campos que sobrepasan los 75
caracteres en Outlook 2000 variará dependiendo del tipo de los campos
afectados. Algunos campos provocarán el consumo de todos los recursos
de la CPU y otros (especialmente los campos fecha y e-mail) harán que
Outlook termine de forma inmediata a causa de un desbordamiento.

Los campos afectados que causan la máxima utilización de la CPU son:
name:
nickname:
fn:
title:
title;language=de;value=text:
tel:
tel;:
tel;< etiqueta >,< etiqueta >:

Los campos que provocarán la terminación de Outlook 2000 son:
email:
bday; value=date



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus
http://www.securityfocus.com/vdb/?id=1633

Bugtraq
http://www.securityfocus.com/archive/1/79612

RFC2425
ftp://ftp.isi.edu/in-notes/rfc2425.txt

RFC2426
ftp://ftp.isi.edu/in-notes/rfc2426.txt



domingo, 3 de septiembre de 2000

XCHAT permite la ejecución de código arbitrario

XCHAT permite la ejecución de código arbitrario con los privilegios
del usuario que esté utilizando el programa.
XCHAT es un programa de IRC (Internet Relay Chat) para clientes
X-Window, lo que incluye UNIX en general y LINUX en particular. Un
error de programación en la gestión de URLs permite la ejecución de
código arbitrario en la máquina del usuario, con los privilegios del
usuario que esté utilizando el programa.

El problema se produce al no "escapar" de ninguna manera los posibles
caracteres especiales que se le presenten en una URL, al pulsar con el
botón derecho sobre una URL en una ventana del IRC.

Las versiones afectadas son de la 1.3.9 en adelante.

Todo usuario de XCHAT debería actualizar su versión de manera
inmediata. La nueva versión invoca al navegador directamente, sin
pasar a través del "shell".



Jesús Cea Avión
jcea@hispasec.com


Más información:

XCHAT
http://www.xchat.org/

XChat can pass URLs from IRC to a shell
http://www.redhat.com/support/errata/RHSA-2000-055-03.html

X-Chat Command Execution Via URLs Vulnerability
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D1601



sábado, 2 de septiembre de 2000

Microsoft añade control de las cookies en Explorer 5.5

Microsoft acaba de publicar un componente para Internet Explorer 5.5
que permitirá proporcionar un mayor control y seguimiento de las
cookies enviadas por los sitios web.
Microsoft publica en forma de beta lo que da en llamar Privacy
Enhancements para Internet Explorer 5.5, la última y más reciente
versión del navegador de la compañía. Según informa Microsoft en el
sitio de download este nuevo complemento proporciona una clara
comprensión de los diferentes tipos de cookies y de donde son
originarias, así como una forma sencilla de administrarlas y
eliminarlas.

Este componente ha sido recibido con el aplauso general de los
defensores de la privacidad, que consideran los peligros de las
habituales técnicas de rastreo de los usuarios en la web, realizadas
en gran medida por las cookies. Por otra parte, las compañías de
publicidad on-line han recibido con mayores dudas la nueva
característica, y se muestran preocupadas ante la posibilidad de que
las cookies eliminadas puedan limitar la efectividad de sus anuncios.

Una cookie es un archivo de texto que se situa en el disco duro del
ordenador del usuario, para permitir identificar a la persona en
subsiguientes visitas a un sitio web. Pero también se pueden recibir
otras cookies de terceras empresas, habitualmente de las compañías que
sirven banners de publicidad a través de múltiples sitios web.

El complemento para Explorer 5.5 describe las cookies existentes en el
disco del usuario, y diferencia entre las enviadas por terceras
empresas y las propias de cada sitio web. Además el propio navegador
ofrece al usuario la posibilidad de rechazar las cookies de terceras
partes.



Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Internet Explorer:
http://www.microsoft.com/windows/ie/default.htm

Wired:
http://www.wired.com/news/technology/0,1282,38578,00.html

ComputerWorld:
http://www.computerworld.com/cwi/story/0,1199,NAV47_STO49328,00.html



viernes, 1 de septiembre de 2000

Problemas en la validación de extensiones en Windows

Se ha descubierto un problema en la forma en que los sistemas Windows
manejan las extensiones de los archivos. Bajo determinadas
circunstancias un tipo de archivo desconocido (sin asociar) puede
llegar a ser abierto sin que se pregunte con que aplicación debe de
hacerse.
Generalmente cuando se abre un archivo de tipo desconocido, sobre el
que no existe ninguna asociación, al usuario se le pregunta mediante
un cuadro de diálogo con que aplicación desea abrirlo. Pero esto no
ocurre cuando se abren documentos creados con Microsoft Office desde
el Explorador de Windows.

Si un archivo creado con cualquiera de las aplicaciones Office y su
extensión se renombre a otra desconocida Windows seguirá abriendo el
fichero con la correspondiente aplicación Office. Esto es debido a que
Windows lee la cabecera de los archivos desconocidos para determinar
el tipo de fichero de que se trata realmente. Este problema se puede
reproducir en cualquiera de las plataformas Windows (98/NT y 2000) y
Office 97 y 2000.

La gravedad del problema reside en la posibilidad de su utilización
por un usuario malicioso para incluir virus de macro dentro de
documentos Office y que estos pasen el control del software antivirus.
De forma que cuando el usuario haga un doble click desde el Explorador
de Windows en el archivo infectado y renombrado se abrirá la
aplicación Office con el fichero, lo que dará lugar a la propagación
del virus en el sistema. Por otra parte hay que aclarar que la única
forma de que se produzca el problema es cuando se abre a través del
Explorador, cuando el archivo se recibe a través del correo electrónico
y se abre desde Outlook, Windows sí mostrará el cuadro de diálogo de
selección de aplicación.



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1632

Bugtraq:
http://www.securityfocus.com/templates/archive.pike?list=1&msg=200008311403.JAA14798@sqa-external.dttus.com