domingo, 31 de diciembre de 2000

Creación insegura de ficheros temporales en el "patchadd" de Solaris

Las versiones actuales de la herramienta "patchadd" crean tres
ficheros temporales de forma insegura, y les asigna permisos de
lectura y escritura para todos los usuarios de la máquina. La
vulnerabilidad puede explotarse para obtener permisos de escritura
para todos los usuarios, sobre cualquier fichero del sistema.
"patchadd" es una herramienta del sistema operativo Solaris de Sun,
diseñada para aplicar "parches" al sistema y a las aplicaciones
instaladas.

La única solución de momento, mientras Sun no publique una
actualización del script, consiste en arrancar la máquina en modo
"single" (monousuario) antes de aplicar los parches. Ello tiene el
efecto doble de borrar el directorio "/tmp" (donde se origina el
ataque) y no permitir el acceso de usuario desde otro medio que no sea
la propia consola de la máquina.

Lamentablemente esta solución tiene sus inconvenientes, como el hecho
de tener que interrumpir el servicio mientras se aplican los parches
(algo no necesario, en general), y la necesidad de que el
administrador de sistemas esté físicamente delante del equipo a la
hora de actualizarlo, en vez de poder hacerlo de forma remota a través
de la red. En el momento de escribir este documento, todas las
versiones de "patchadd" son vulnerables: Solaris 2.5.1, 2.6, 7 y 8.

Un ingeniero de Sun ha publicado un parche extraoficial -bastante
extenso, razón por la que no lo reproducimos aquí- para salir del
paso, a la espera de que la empresa revise el problema en profundidad
y haga pública la actualización.

De hecho el problema es más complicado de lo que parece, ya que si
bien la vulnerabilidad descrita está ocasionada por el propio
"patchadd", este script está escrito en "shell", y Sun todavía no ha
actualizado sus versiones de los "shells" para hacer frente a las
vulnerabilidades publicadas el 10 y el 29 de Diciembre.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Solaris patchadd Race Condition Vulnerability
http://www.securityfocus.com/bid/2127

29/12/2000 - Más problemas de seguridad en los "shell" Unix
http://www.hispasec.com/unaaldia.asp?id=796

10/12/2000 - Fallo de seguridad en el "tcsh"
http://www.hispasec.com/unaaldia.asp?id=777

Sun
http://www.sun.com/



sábado, 30 de diciembre de 2000

Documentación sobre voto electrónico

Una página de Internet da paso a abundante información sobre voto
electrónico, incluyendo una tesis doctoral sobre la materia.
Tras el desaguisado de las últimas elecciones presidenciales
norteamericanas, se han alzado muchas voces pidiendo un sistema
electoral más automatizado, rápido y -sobre todo- fiable. Para muchos,
la panacea es el voto electrónico.

No es oro, no obstante, todo lo que reluce. El voto electrónico no
constituye solo un problema tecnológico, sino cultural y demográfico
(por ejemplo, el voto electrónico podría incrementar el porcentaje de
votos emitidos por parte de personas de nivel cultural medio-alto, en
detrimento de gente menos formada o con menos recursos).

Hace unos meses Hispasec se hizo eco de una tesis doctoral española
(aunque escrita en inglés) sobre los aspectos tecnológicos del voto
electrónico. Dicho boletín, titulado "¿Voto electrónico a la vuelta de
la esquina?", está disponible en
http://www.hispasec.com/unaaldia.asp?id=470

En esta ocasión nos hacemos eco de una nueva tesis doctoral, en este
caso norteamericana, acompañada de un buen número de documentación
complementaria.

Aunque en inglés, se trata de una lectura más que recomendable.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Electronic Voting
http://www.notablesoftware.com/evote.html

¿Voto electrónico a la vuelta de la esquina?
http://www.hispasec.com/unaaldia.asp?id=470



viernes, 29 de diciembre de 2000

Más problemas de seguridad en los "shell" Unix

El "Bourne shell" (sh), el "Korn shell" (ksh) y "bash" son vulnerables
a un ataque sobre la creación de ficheros temporales mediante la
sintaxis "<<".
Los "shell" son las interfases de línea de comandos del mundo Unix, a
través de las cuales se interactúa con el sistema (cuando no se emplea
un entorno gráfico).

La vulnerabilidad fue detectada en el "tab c shell" (tcsh) hace algún
tiempo, siendo publicada en Hispasec el pasado 10 de Diciembre, a
través de un titulado "Fallo de seguridad en el `tcsh´" y disponible
en http://www.hispasec.com/unaaldia.asp?id=777. Lamentablemente,
existen problemas idénticos en "sh", "ksh" y "bash", en la mayoría de
sus versiones.

El problema se produce cuando el "shell" crea un fichero temporal para
soportar la sintaxis "<<". El nombre del fichero creado es fácilmente
calculable y, por otra parte, el fichero en sí se abre de forma
insegura, lo que permite ataques, por ejemplo, tipo enlace simbólico.



Jesús Cea Avión
jcea@hispasec.com


Más información:

10/12/2000 - Fallo de seguridad en el "tcsh"
tcsh
ftp://ftp.astron.com/pub/tcsh/

Korn Shell Redirection Race Condition Vulnerability
http://www.securityfocus.com/bid/2148

MandrakeSoft Security Advisory MDKSA-2000:075 : bash1
http://www.linux-mandrake.com/en/security/MDKSA-2000-075.php3?dis=7.2

bash creates insecure temp files
http://www.calderasystems.com/support/security/advisories/CSSA-2000-042.0.txt

unsecure temp files in tcsh
http://www.calderasystems.com/support/security/advisories/CSSA-2000-043.0.txt



jueves, 28 de diciembre de 2000

La NSA publica una versión "segura" de Linux

La Agencia de Seguridad Nacional (NSA) norteamericana acaba de hacer
pública una versión "segura" del popular sistema operativo Linux.
Recientemente, varios organismos oficiales norteamericanos habían
demostrado interés en disponer de un sistema operativo de calidad y
"seguro", con código fuente, para poder hacer frente a la eventualidad
de que desapareciesen los sistemas actualmente en uso, como Trusted
Solaris (Sun), Trusted AIX (IBM) o Trusted IRIX (SGI, antigua Silicon
Graphics).

La NSA norteamericana acaba de hacer pública una versión de Linux que
cumple los criterios "Trusted", basada en el kernel Linux 2.2.12 y en
la distribución RedHat 6.1, bajo licencia GNU GPL (GNU General Public
License). En el web del proyecto se puede encontrar todo el código
fuente, documentación, listas de correo, etc.

No cabe duda de que este movimiento del gobierno norteamericano
consolidará Linux como una alternativa confiable en el mundo comercial
y en entornos especialmente sensibles a la seguridad, como pueda serlo
la propia NSA.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Security-Enhanced Linux
http://www.nsa.gov/selinux/

NSA Releases High Security Version Of Linux
http://slashdot.org/article.pl?sid=00/12/22/0157229&mode=nocomment

GNU General Public License
http://www.gnu.org/copyleft/gpl.html



miércoles, 27 de diciembre de 2000

Vulnerabilidades en Oracle Internet Application Server

Se han encontrado varios problemas que pueden ocasionar
vulnerabilidades en el servidor de aplicaciones Internet de Oracle en
todas sus plataformas. La primera vulnerabilidad se pueden encontrar
en el componente WebDB/Portal Listener y modplsql, la segunda
vulnerabilidad afecta a todas las versiones del gateway PL/SQL lo que
incluye Oracle Application Server (OAS), WebDB/Portal listener e iAS
(Internet Aplication Server).
El primero de los fallos hace referencia a un problema de
configuración asociado a Portal Listener y modplsql. Cuando estos
componentes se encuentran instalados la configuración por defecto
permite a todos los usuarios el acceso a las páginas de administración
de Listener y modplsql.

La segunda vulnerabilidad puede ocurrir si el administrador concede
acceso público a los procedimientos PL/SQL. En particular a aquellos
con acceso a la base de datos Oracle, como OWA, SYS y DBMS. Puesto que
se puede acceder a los procedimientos públicos a través de una URL,
esto puede permitir a un usuario invocar dichos procedimientos desde
una URL y provocar la ejecución de expresiones SQL en la base de datos
Oracle.

El primero de los fallos descritos puede ocurrir si no se cambian los
permisos por defecto para las páginas de administración tras la
instalación de WebDB/Portal. El segundo depende del diseño de la
aplicación que hace uso del gateway PL/SQL, pero puede ocurrir siempre
que un procedimiento tenga acceso público.

Para evitar estos problemas será necesario especificar que el Listener
y el administrador de modplsql deben ser uno o más usuarios conocidos.
Esto se puede hacer fácilmente editando el archivo de configuración
wdbsvr.app en WebDB/Portal. Al comienzo del archivo hay un campo
titulado "administrators=", en el que se deberán especificar los
nombres de los usuarios con privilegios administrativos.

Como medida de seguridad adicional, el administrador puede modificar
la ruta de las páginas empleadas para la administración. La ruta por
defecto es "admin_", pero puede modificarse en el archivo wdbsvr.app
por cualquier otra cadena.

Para evitar los problemas producidos por los procedimientos PL/SQL con
acceso público es recomendable cancelar el acceso público a
procedimientos como OWA, SYS y DBMS que pueden permitir a un usuario
la ejecución de comandos SQL especificados.



Antonio Ropero
antonior@hispasec.com


Más información:

Oracle
http://www.oracle.com



martes, 26 de diciembre de 2000

Vulnerabilidad en la utilidad catman de Sun Solaris

Se ha descubierto una vulnerabilidad en la utilidad catman de Sun
Solaris por la cual un usuario local podrá sobreescribir o corromper
archivos cuyo propietario sea otro usuario diferente.
catman es una utilidad para crear páginas de manual de referencia
(man) preformateadas, que se distribuye como parte del Sistema
Operativo Solaris. Un problema existente en esta aplicación podrá
permitir a los usuarios locales sobreescribir o corromper archivos
cuyo propietario sea otro usuario.

El problema ocurre en la creación de archivos temporales por la
aplicaicón catman. Durante la ejecución catman crea archivos en el
directorio /tmp con el nombre sman_, donde pid es el id del
proceso en ejecución de catman. La creación de un enlace simbólico
desde /tmp/sman_ a un archivo cuyo propietario sea otro usuario,
podrá provocar que el archivo sea sobreescrito o que se corrompa en
el caso de un archivo del sistema.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq
http://www.securityfocus.com/archive/1/151967

Securityfocus
http://www.securityfocus.com/vdb/?id=2149



lunes, 25 de diciembre de 2000

Desbordamiento de búfer en BEA WebLogic Server

Una URL especialmente mal formada provoca un desbordamiento de búfer
en BEA WebLogic Server 4.0x, 4.5x y 5.1x, en sus versiones para
Windows y Unix. La vulnerabilidad puede ser explotada para realizar
ataques DoS o ejecutar código arbitrario.
WebLogic es un servidor de aplicaciones especialmente diseñado para
el comercio electrónico. La metodología del ataque es bastante
simple, únicamente es necesario realizar una petición URL que
comienza con dos puntos (..) seguidos de una larga cadena de
caracteres. Dependiendo de los caracteres introducidos, se provocará
una denegación de servicio o la ejecución de código arbitrario en
el contexto "LocalSystem". En el caso de un ataque DoS debe
reiniciarse la aplicación para reanudar el servicio.

El problema es corregido en la versión 5.1 con el Service Pack 7,
los usuarios afectados podrán actualizarse desde la dirección:
http://commerce.beasys.com/downloads/weblogic_server.jsp



Antonio Román
antonio_roman@hispasec.com


Más información:

BEA WebLogic Server Double Dot Buffer Overflow Vulnerability
http://www.securityfocus.com/archive/1/152151

BEA Systems, Inc
http://www.bea.com



domingo, 24 de diciembre de 2000

Estudio sobre la seguridad de ActiveX

El CERT ha publicado un documento que resume las conclusiones de
una veintena de expertos en relación a la seguridad de los controles
ActiveX.
En agosto de este año el CERT invitó en Pittsburgh, Pennsylvania,
a un grupo de especialistas en un taller donde discutir sobre la
situación actual de la seguridad en los controles ActiveX, con el
fin de identificar bajo que situaciones esta tecnología puede ser
usada de forma segura. El CERT acaba de publicar un documento
resultado de las reuniones que se mantuvieron durante los dos días
que duró el encuentro.

La primera parte del documento introduce al lector en la tecnología
ActiveX. En un segundo apartado, más extenso y práctico, se ofrecen
una serie de sugerencias y configuraciones detalladas para aplicar
de forma correcta esta tecnología según perfil y necesidades. Por
último nos encontramos con tres apéndices, el primero recuerda las
direcciones del CERT y Microsoft para reportar problemas de seguridad,
el segundo lista todas las vulnerabilidades conocidas de la tecnología
ActiveX, y el tercero ofrece algunos enlaces como referencia para
ampliar información.

El documento puede descargarse en formato PDF (515Kb) desde la
siguiente dirección: http://www.cert.org/reports/activeX_report.pdf



Bernardo Quintero
bernardo@hispasec.com


Más información:

Results of the Security in ActiveX Workshop
http://www.cert.org/reports/activeX_report.pdf

Chequeo de archivos de forma remota con IE5 y Active-X
http://www.hispasec.com/unaaldia.asp?id=381

Vulnerabilidades en dos controles ActiveX
http://www.hispasec.com/unaaldia.asp?id=307

Agujeros en Windows 98 a través de controles Active-X
http://www.hispasec.com/unaaldia.asp?id=280

Puerta trasera en los Compaq Presario
http://www.hispasec.com/unaaldia.asp?id=278



sábado, 23 de diciembre de 2000

Vulnerabilidad en IIS con Extensiones FrontPage

Microsoft ha publicado un parche para elimar una vulnerabilidad de
seguridad en un componente que se incluye como parte de Internet
Information Server. La vulnerabilidad puede permitir a un usuario
malicioso la realización de un ataque que impida al servidor web
prestar un servicio adecuado.
El problema proviene de la instalación e las extensiones de servidor
de FrontPage, elemento que se incluye y se instala por defecto como
parte de IIS 4.0 y 5.0. Las funciones de estas extensiones permiten la
administración del servidor, el control del contenido, y determinadas
interacciones con el usuario. Por todo ello se emplean habitualmente
para la realización de aplicaciones web, especialmente en entornos de
desarrollo junto con Visual Interdev.

La vulnerabilidad recae en una de las funciones proporcionadas para
ayudar en el procesamiento de formularios web. Si un usuario malicioso
construye una respuesta especialmente formada y la envía a un servidor
afectado por el problema, podrá hacer que el servidor IIS se bloquee y
deje de prestar servicio.

La vulnerabilidad no proporciona la oportunidad de abusar de
cualquiera de las funciones administrativas o de gestión de contenido
de las extensiones FrontPage. Para reponer el servidor web a su
funcionamiento habitual el administrador deberá reiniciar el servicio,
aunque si el servidor atacado es un IIS 5.0 el propio servicio, por
defecto, se reiniciará de forma inmediata automáticamente.

El parche publicado por Microsoft puede encontrarse en las siguientes
direcciones, para IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=26277
y para Microsoft IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=26704.

Aun así, desde Hispasec recomendamos la desinstalación de las
extensiones de servidor de FrontPage en todos los servidores en los
que no se empleen.



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft
http://www.microsoft.com/technet/security/bulletin/ms00-100.asp



viernes, 22 de diciembre de 2000

Vulnerabilidad en Modo de Recuperacion de Windows 2000

Se ha descubierto una vulnerabilidad que afecta a los controladores de
dominio basados en Windows 2000 Server y Advanced Server. La
vulnerabilidad podría permitir a un usuario malicioso con acceso
físico al ordenador la instalación de software en el sistema.
Al igual que Windows 98, Windows 2000 proporciona múltiples modos
diferentes de operación que pueden elegirse en el arranque del sistema
para permitir al administrador solucionar problemas y restaurar una
máquina con la configuración dañada. El Modo de Recuperación de
Servicio de Directorio (Directory Service Restore Mode) está diseñado
para permitir que el Directorio Activo sea reparado y restablecido en
un controlador de dominio. Como es habitual se requiere una password
para operar el sistema bajo este modo, sin embargo, si se ha empleado
la herramienta "Configurar su Servidor" (Configure Your Server) cuando
la máquina fue originalmente ascendida a controlador de dominio la
password estará en blanco.

Esto puede permitir que un usuario malicioso acceda al servidor en el
Modo de Recuperación de Servicio de Directorio. Una vez dentro del
sistema, el atacante podrá alterar los componentes del sistema o
instalar software malicioso, que se ejecutará de buena fe por el
administrador una vez que este acceda de forma normal al sistema.

El impacto de la vulnerabilidad de ve limitado por importantes
factores. En primer lugar el atacante necesita tener acceso físico a
la máquina atacada para poder entrar en el Modo de Recuperación
indicado, lo cual según las prácticas habituales de seguridad no debe
estar permitido a los usuarios sin autorización. De igual forma, la
vulnerabilidad sólo ocurre cuando se ha empleado la herramienta
"Configurar su Servidor" (Configure Your Server) para el paso a
controlador de dominio, si se empleó la utilidad DCPROMO el sistema
no se verá afectado.



Antonio Ropero
antonior@hispasec.com


Más información:

Parche
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=26483

Boletín de seguridad de Microsoft
http://www.microsoft.com/technet/security/bulletin/MS00-099.asp



jueves, 21 de diciembre de 2000

Criptografía cuántica: la última frontera (2ª)

Si en la primera parte nos estremecíamos con los peligros que
representa la computación cuántica para la criptografía, dada la
longitud actual de claves, que debería ser doblada, nos fascinaremos
a continuación con la forma como la criptografía cuántica sería capaz
de implementar por primera vez una cinta aleatoria segura, soslayando
el talón de Aquiles de su precaria distribución. Lo que con una mano
quita la computación cuántica, con la otra repone.
La piedra angular de la criptografía cuántica es el principio de
incertidumbre de Heisenberg, que, como aprendimos en la Universidad,
nos enseña que no pueden conocerse simultáneamente con exactitud dos
variables complementarias, como la posición y la velocidad, de una
partícula. Supongamos entonces que tenemos un fotón que puede estar
polarizado en una de cuatro direcciones distintas: vertical (|),
horizontal (--), diagonal a la izquierda (\) o diagonal a la derecha
(/). Estas cuatro polarizaciones forman dos bases ortogonales: | y
- --, y / y \, respectivamente.

Pues bien, el principio de incertidumbre de Heisenberg, por
irracional que nos parezca, impide que podamos saber en cuál de las
cuatro posibles polarizaciones se encuentra el fotón. Para conocerla,
deberíamos utilizar un filtro, que podríamos imaginarnos como una
ranura en una lámina, que tuviera la orientación, por ejemplo,
vertical (|). Es evidente que los fotones con la misma polarización
pasarán, mientras que los polarizados horizontalmente, y por lo
tanto, perpendiculares al filtro, no pasarán. Sorprendentemente, ¡la
mitad de los polarizados diagonalmente pasarán y serán reorientados
verticalmente! Por lo tanto, si se envía un fotón y pasa a través del
filtro, no puede saberse a ciencia cierta si poseía polarización
vertical o diagonal, tanto \ como /. Igualmente, si no pasa, no puede
afirmarse que estuviera polarizado horizontal o diagonalmente. En
ambos casos, un fotón con polarización diagonal podría pasar o no con
igual probabilidad.

Para utilizar estos increíbles resultados en criptografía, se acuerda
representar un 1 ó un 0 de información según la polarización de los
fotones que se envían. Así, en la base rectangular, que llamaremos
(+), un 1 vendría representado por una polarización |, mientras que
un 0, por --; mientras que en la base diagonal (x), el 1 sería la
polarización / y el 0, \. En estas condiciones, para enviar un
mensaje binario, Alicia va enviando fotones a Bernardo con la
polarización adecuada, cambiando aleatoriamente de una base a otra.

Si un intruso, Ignacio, intercepta los fotones y mide su polarización
utilizando un filtro, digamos (|), debido al principio de
incertidumbre nunca podrá saber si los fotones pertenecían a la base
+ o x, y por lo tanto nunca sabrá qué mensaje se envió, da igual qué
tipo de filtro utilice. Ahora bien, algún lector ya se estará dando
cuenta de que si Ignacio se encuentra con este dilema, lo mismo le
ocurrirá a Bernardo.

Efectivamente, emisor y receptor no pueden acordar de antemano qué
bases se utilizarán para enviar cada fotón, porque entonces nos
encontraríamos con el problema de cómo hacerse llegar mutuamente de
forma segura esa lista de bases y volveríamos al principio. Tampoco
pueden utilizar RSA, porque, si recuerdan, la criptografía cuántica
la habría hecho zozobrar. ¿Qué solución tomar entonces?

En 1984 Charles Bennet y Gilles Brassard idearon el siguiente método
para hacer llegar el mensaje al destinatario sin necesidad de
recurrir a otros canales de distribución. En primer lugar, debe
allanarse el camino mediante los siguientes tres pasos:

Paso 1: Alicia le envía a Bernardo una secuencia aleatoria de 1´s y
0´s, utilizando una elección aleatoria entre las bases + y x.

Paso 2: Bernardo tiene que medir la polarización de estos fotones.
Para ello, utiliza aleatoriamente las bases + y x. Claro está, como
no tiene ni idea de qué bases utilizó Alicia, la mitad de las veces
estará eligiendo mal la base, por lo que, en promedio, 1 de cada 4
bits que Bernardo recibe serán erróneos.

Paso 3: para resolver esta situación, Alicia llama a Bernardo por
teléfono, o se conectan a un chat, o utilizan cualquier otro canal de
comunicaciones inseguro, sin preocuparles si son espiados por
Ignacio, y le cuenta qué base de polarización utilizó para cada fotón
que envió, + o x, aunque no le dice qué polarización concreta. En
respuesta, Bernardo le cuenta a Alicia en qué casos ha acertado con
la polarización correcta y por lo tanto recibió el 1 ó 0 sin error.
Ahora ya, ambos eliminan los bits que Bernardo recibió con las bases
erróneas, quedando una secuencia menor que la original, que
constituye la clave de una cinta aleatoria 100% segura, puesto que se
generó de forma completamente aleatoria por ser derivada de una
secuencia original de 1´s y 0´s aleatoria.

¿Y qué ocurre con el malvado Ignacio? Para su desgracia, aunque
intercepte los mensajes de Alicia y Bernardo, no obtendrá ninguna
información útil para él, ya que nunca sabrá qué polarizaciones
concretas en que cada base utilizó Alicia. Más aún, la mera
presencia de Ignacio en la línea será detectada, ya que si mide la
polarización de un fotón con el detector equivocado, la alterará.
Lamentablemente, como el lector avispado se dará cuenta, esta
alteración impediría que Alicia y Bernardo pudieran ponerse de
acuerdo acerca de la secuencia aleatoria a usar como cinta, debido a
que, si Ignacio cambió la polarización de un fotón por el camino,
podrían obtener distintos bits incluso aunque utilicen las mismas
bases.

Por consiguiente, hace falta un método para detectar que Ignacio no
esté haciendo de las suyas. En realidad, resulta tan sencillo como
sigue: Bernardo le cuenta a Alicia, utilizando el mismo u otro canal
inseguro, cuáles son los primeros, digamos que, 50 bits de su clave
aleatoria. Si coinciden con los de Alicia, entonces saben que Ignacio
no les espió ni el canal tiene ruido y utilizan con seguridad el
resto de los bits generados. Si no coinciden, ya saben que Ignacio
metió la manaza por medio o utilizaron un canal muy ruidoso y por lo
tanto deben desechar la clave entera.

En 15 años, puede decirse que no se han producido muchos más avances
teóricos en el campo de la criptografía cuántica, aunque se han dado
pasos de gigante en cuanto a la implementación tecnológica de lo que,
de otra forma, habrían terminado como elucubraciones mentales para
juegos de salón. Manipular fotones individuales constituye todo un
desafío de ingeniería, que fue aceptado con entusiasmo por Bennet y
un estudiante. Y así, en 1989, consiguieron la primera transmisión de
señales cuánticas de la historia a una distancia de 32 cm. ¡El sueño
de la distribución cuántica de claves (QKD) por fin se hacía
realidad! En 1995, investigadores de la Universidad de Ginebra lo
consiguieron utilizando una fibra óptica de 23 km de longitud.
Actualmente, el récord de distancia de transmisión lo ostenta el
laboratorio de Los Álamos en 50 km. Por su parte, en enlaces aéreos
la distancia más larga ha sido de 1.6 km. Si se progresara en las
transmisiones inalámbricas, incluso podría utilizarse la QKD en
comunicaciones por satélite, aunque hoy por hoy todavía son
inalcanzables.

Queda por resolver la cuestión de cuán segura es la QKD, ya que en la
práctica el protocolo presenta ligeras debilidades (¿cómo sabe Alicia
que está hablando con Bernardo?, ¿qué ocurre si alguien interrumpe su
comunicación?), y el estado del arte actual de la tecnología no es
capaz de fabricar aún fibras, transmisores y detectores con la
perfección requerida por la QKD, como para evitar otros ataques
basados en física cuántica (espejos en la fibra que dejan pasar la
mitad del fotón, emisión de dos fotones simultáneamente, etc.). Hasta
ahora, la única prueba rigurosa de la seguridad de QKD se debe a los
investigadores Lo y Chau, quienes demostraron que, contando con la
existencia de ordenadores cuánticos, la distribución cuántica de
claves a lo largo de distancias arbitrarias puede tener lugar de
forma incondicionalmente segura. Claro que, dado que ni en la
actualidad ni en un futuro cercano se prevé la existencia de tales
ingenios, el problema de la seguridad de la QKD con los sistemas
actuales permanece como un problema abierto.

Estos primeros resultados en cualquier caso tan alentadores permiten
acariciar la idea de anillos de fibra óptica para redes LAN o
pequeñas redes WAN que conecten de la forma más segura jamás conocida
distintos edificios ministeriales u oficinas bancarias de una misma
ciudad. Sería el Olimpo de la criptografía. El triunfo definitivo de
la seguridad y la privacidad.

Citando una vez más las palabras de Simon Singh, autor de la
excelente obra "The Code Book", si los ingenieros consiguen hacer
funcionar la criptografía cuántica a través de largas distancias, la
evolución de los algoritmos de cifrado se detendrá. La búsqueda de la
privacidad habrá llegado a su fin. La tecnología garantizaría las
comunicaciones seguras para gobiernos, militares, empresas y
particulares. La única cuestión en el tintero sería si los gobiernos
nos permitirían a los ciudadanos usarla. ¿Cómo regularán los Estados
la criptografía cuántica, enriqueciendo la Era de la Información,
pero sin proteger al mismo tiempo las actividades criminales?



Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es


Más información:

Computación cuántica: la última frontera (1ª parte)
http://www.iec.csic.es/criptonomicon/susurros/susurros28.html

26/11/2000 Computación cuántica: la última frontera (1ª parte)
http://www.hispasec.com/unaaldia.asp?id=763

From Quantum Cheating to Quantum Security
http://www.physicstoday.org/pt/vol-53/iss-11/p22.html

Centre for Quantum Computation
http://www.qubit.org

A Bibliography of Quantum Cryptography
http://www.cs.mcgill.ca/~crepeau/CRYPTO/Biblio-QC.html

Criptonomicon
http://www.iec.csic.es/criptonomicon/



miércoles, 20 de diciembre de 2000

Iraq importa PlayStation 2: ¿juguete o arma?

Estados Unidos investiga la posibilidad de que Iraq esté importando un
gran número de PlayStation 2, la videoconsola de Sony, para construir
ordenadores con fines bélicos. Esta supuesta treta de Saddam Hussein
eludiría el embargo que Naciones Unidas mantiene en materia de
hardware y tecnología a Iraq.
Las primeras hipótesis fueron recibidas entre bromas y escepticismo,
pero las sospechas aumentan tras el último informe de la Agencia de
Inteligencia de Defensa, donde se revela la compra en Estados Unidos
de 4.000 unidades exportadas a Iraq en apenas dos meses. A la
investigación militar se suma ahora el FBI, con el fin de estudiar la
posibilidad de que las consolas de juego de Sony puedan estar siendo
utilizadas utilizadas para construir ordenadores que den soporte a
sistemas bélicos.

La potencia gráfica de la PlayStation 2, capaz de generar 75 millones
de polígonos por segundo, la convierte en una herramienta poderosa
para la generación de superficies de modelos en tres dimensiones, muy
útiles por ejemplo a la hora de diseñar sistemas de pilotaje remoto
para aviones teledirigidos, sin tripulación. Según fuentes militares,
Iraq lleva tiempo trabajando en este tipo de aviones cómo plataforma
para lanzar sus armas químicas.

Otra posibilidad que se estudia es la utilización del hardware de
varias unidades para construir sistemas distribuidos o paralelos que
palien el déficit de procesamiento que tiene Iraq, lo que le
permitiría poder acometer con mayor facilidad los cálculos de
balística para los misiles de largo alcance o el diseño de armas
nucleares. No debemos olvidar que estas consolas de juego vienen
dotadas de un procesador "Emotion Engine" de 128 bits a 294,912 MHz
y 32 MB de memoria.

Naciones Unidas mantiene un embargo para impedir la venta o
transferencia de hardware y tecnología a Iraq, sin embargo las
videoconsolas de juego no están contempladas dentro de esta
prohibición, lo que podría estar siendo aprovechado por Iraq
para burlar las restricciones y conseguir hardware de última
generación.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Why Iraq´s buying up Sony PlayStation 2s
http://www.worldnetdaily.com/bluesky_exnews/20001219_xex_why_iraqs_bu.shtml

Playing games with Iraq
http://www.worldnetdaily.com/bluesky_btl/20001220_xcbtl_playing_ga.shtml



martes, 19 de diciembre de 2000

Check Point publica el Servivice Pack 3 para Firewall-1

Check Point distribuye un nuevo Service Pack debido a la existencia de
una vulnerabilidad en FireWall-1 4.1 SP2 que posibilita a un atacante
establecer conexiones a través del firewall que bloqueen servicios
TCP.
El Service Pack 3 se publica para cubrir una nueva vulnerabilidad en
relación con paquetes TCP fragmentados asociados con el uso de la
opción de Modo Rápido (Fast Mode) para servicios TCP individuales. Hay
que hacer notar que el Modo Rápido, Fast Mode, es sinónimo de
"Fastpaht" en la interfaz gráfica del producto.

Según analiza Check Point las mejoras realizadas en el rendimiento de
las últimas versiones de VPN-1/FireWall-1 permiten eliminar la
necesidad de emplear la opción de Modo Rápido, por lo que será
eliminada en la siguiente versión mayor del producto.

El problema se produce cuando está habilitado el Modo Rápido en
cualquiera de las reglas y puede permitir a un atacante que conozca o
pueda descubrir la dirección de una máquina protegida realizar
conexiones no autorizadas a dicho servidor. Para ello, el usuario
malicioso deberá enviar una serie de paquetes TCP fragmentados
especialmente creados.

Para mantener los niveles de seguridad y rendimiento adecuados, Check
Point recomienda a los usuarios de VPN-1/FireWall-1 version 4.1 la
actualización con el Service Pack 3. Si se dispone de VPN-1/FireWall-1
version 4.0 deberá actualizarse con el SP8 que se publicará el 31 de
diciembre de 2000. En caso de que no sea posible actualizar el
firewall se recomienda desactivar el Modo Rápido en todas las reglas
en que se emplee.



Antonio Ropero
antonior@hispasec.com


Más información:

Check Point:
http://www.checkpoint.com/techsupport/alerts/fastmode.html

Aviso de seguridad de dataprotect:
http://www.dataprotect.com/fw1/



lunes, 18 de diciembre de 2000

Vulnerabilidades en AOL Instant Messenger

Se ha descubierto la existencia de múltiples vulnerabilidades de
desbordamiento de búfer en el cliente de mensajería instantánea de AOL
que pueden dar lugar a la ejecución de código en la máquina atacada.
El problema se agrava al no ser necesario que este programa esté en
ejecución sino que basta con haberlo instalado para que el sistema sea
vulnerable.
AOL Instant Messenger (AIM) se ha convertido, junto con ICQ, en el
cliente más popular de mensajería instantánea con más de 64 millones
de usuarios en todo el mundo. Una de las causas que ha popularizado su
difusión ha sido la inclusión por defecto dentro de las distribuciones
del navegador Netscape Communicator, aparte de estar disponible para
su descarga como producto independiente.

Pero esta conocida aplicación posee una vulnerabilidad que podría ser
empleada por un atacante para lograr la ejecución de código malicioso
y por extensión conseguir el control de la máquina atacada. El
problema se agrava al no ser necesario que AOL Instant Messenger esté
en ejecución para lograr reproducir el problema, basta con que este
cliente se haya instalado anteriormente para que el ordenador pueda
ser comprometido.

Al realizar la instalación de AOL Instant Messenger también se
registra el protocolo URL "aim:" y se trata como un ejecutable. Esto
permite que los usuarios del cliente de mensajería puedan publicar su
nombre en AOL en una página web y que de esta forma otros usuarios
puedan incluirlo en su agenda ("Buddy List") con sólo pulsar en un
enlace.

Para que esto sea posible cada url "aim://" se pasa directamente al
cliente de AOL como si se tratará de una línea de comando con
distintos parámetros. Por ejemplo, si se escribe en un navegador
"aim:goim?Screenname=usuario&Message=Hola" se abrirá una caja de
mensaje preparada para enviarlo al usuario indicado.

Desafortunadamente, el cliente AOL tiene numerosas vulnerabilidades
que pueden permitir la creación de URLs maliciosas que desborden el
búfer interno del programa, y de esta forma obtener el control del
programa e incluso lograr la ejecución de código. Algunos de los
desbordamientos de búfer quedan demostrados si se escribe en un
navegador las siguientes urls: "aim:goim?=+-restart" o
"aim:buddyicon?screenname=abob&groupname=asdf&Src=http://localhost/AA(..3000
caracteres)AA".

Para remediar este problema AOL ha publicado una nueva versión de
Instant Messenger. Por lo que desde Hispasec recomendamos a todos los
usuarios de este programa actualizarse a la versión 4.3.2229 en la
cual ya se han corregido los problemas descritos.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de @Stake:
http://www.atstake.com/research/advisories/2000/a121200-1.txt

AOL Instant Messenger:
http://www.aol.com/aim/home.html



domingo, 17 de diciembre de 2000

Intrusión en los sistemas de un hospital

Datos de más de 5.000 pacientes fueron copiados desde los sistemas del
Washington Medical Center, el mayor hospital universitario de Seattle.
Un hecho que hubiera pasado desapercibido de no ser por el aviso del
intruso a determinados foros de seguridad. ¿Se trata de un caso
aislado? ¿Son adecuadas las medidas adoptadas por los centros
sanitarios? ¿Está nuestra historia clínica al alcance de cualquiera?
El intruso, apodado "Kane", aprovechó algunas vulnerabilidades en el
servidor del departamento de patología del hospital para realizar
su primera incursión. Una vez dentro de este servidor, instaló
"sniffers" para escuchar el tráfico de la red y conseguir así los
nombres de usuarios y contraseñas del personal del hospital. Gracias
a estas credenciales pudo acceder a miles de ficheros en los
departamentos de cardiología y rehabilitación.

Según fuentes del propio hospital, se tuvieron sospechas de la
intrusión a finales del verano pasado, pero se desconocía el alcance
real del incidente. El anuncio de "Kane" a determinados foros de
seguridad, entre ellos SecurityFocus, y el envío de algunos ficheros
sensibles como muestra de lo ocurrido, terminó por alertar a los
responsables del hospital que denunciaron el hecho al FBI.

En estos momentos todo sigue su cauce previsible: el hospital resta
importancia al hecho, argumentando que tan sólo estuvieron expuestos
datos administrativos y estudios de investigación, no así la
historia clínica de sus pacientes. Desde los foros de seguridad se
habla de la ética hacker y de que la única intención de "Kane" era
avisar de las vulnerabilidades descubiertas, y en ningún caso dañar
el sistema o aprovecharse de la información obtenida. Por último,
el FBI intenta encontrar el origen de la intrusión, que según los
primeros indicios apuntan a Europa.

¿Se trata de un caso aislado?

No, este mismo caso es un ejemplo claro de que la mayoría de las
incursiones con éxito pasan desapercibidas para las víctimas, a no
ser que el atacante sea tosco en sus acciones y/o haga alardes
posteriores. Por cada intrusión de la que se hacen eco los medios
de comunicación existen cientos que pasan desapercibidas para las
víctimas, y este mismo número se multiplica aun más para contar
los casos que no trascienden a la opinión pública por los propios
intereses de los afectados.

¿Son adecuadas las medidas adoptadas por los centros sanitarios?

No, en general. Miremos a nuestro entorno más cercano, hospitales y
centros de atención primaria en España, podremos ver que la seguridad
brilla por su ausencia en muchos casos. Servidores web con
vulnerabilidades, servidores departamentales independiente conectados
a las redes locales y con acceso desde Internet, almacenamiento de
los datos sensibles en bases de datos estándar con sistemas de
protección propietarios, y débiles, que sólo contemplan la seguridad
a nivel de acceso o en las aplicaciones. No se aplica la criptografía
"seria" en el almacenamiento ni en las comunicaciones de los datos
sensibles, escasa formación al usuario en materia de seguridad,
intrusismo profesional en el personal responsable de los departamentos
de informática (médicos frente a informáticos), escasez de recursos,
y descentralización en las políticas de seguridad.

¿Está nuestra historia clínica al alcance de cualquiera?

Si nos basamos en el párrafo anterior, la respuesta no puede ser
optimista. Tampoco sería justo, ni real, decir que las historias
clínicas están accesibles desde Internet por "cualquiera". Podemos
dejar la respuesta en tablas: el nivel de seguridad ofrecido por
las instituciones y centros sanitarios es bastante heterogéneo,
y en casos concretos es factible que un atacante llegue a obtener
información sensible de los pacientes a través de Internet. Esto
no debe suponer una alarma generalizada, sino un toque de atención
que sirva para replantearse la puesta en práctica real de los
medios que velen por la seguridad de nuestros datos más sensibles,
al fin y al cabo un derecho público amparado por ley.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Hospital confirms copying of patient files by hacker
http://www.idg.net/crd_hospital_316005_102.html



sábado, 16 de diciembre de 2000

Débil cifrado de contraseñas en los clientes de FTP de CoffeeCup

Los dos clientes de FTP de CoffeeCup, el CoffeeCup Direct FTP y el
CoffeeCup Free FTP, utilizan un algoritmo propietario de cifrado de
contraseñas que, como cabe esperar, resulta ser bastante débil.
En el fichero C:\Program Files\CoffeeCup Software\Free FTP\
FTPServers.ini existe una entrada que almacena la configuración de
cada uno de los servidores de FTP, incluída su contraseña de acceso.

El algoritmo de cifrado es sencillo pero interesante. El algoritmo de
descifrado asociado es: D(c1c2c3c4c5c6c7c8.....c2n-1c2n) =
= ASCII(0x(c3c4-c1c2))ASCII(0x(c5c6-c1c2))...ASCII(0xc(2n-1c2n-c1c2))

(Obsérvese que cualquier contraseña se codifica con un número par de
caracteres)

Por ejemplo:


D(1444)=D(1E4E)=D(1040)=D(0B3B)=ASCII(0x30)=ASCII(48)=0

Por tanto, hay 256 cifrados diferentes para cada contraseña dada,
dependiendo de cuál sea el valor inicial (c1c2) que el algoritmo
seleccione.

Otro ejemplo sería:

D(1182887683858A) =
= ASCII(0x82-11)ASCII(0x88-11)ASCII(0x76-11)ASCII(0x83-11)
ASCII(0x85-11)ASCII(0x8A-11) =
= ASCII(0x71)ASCII(0x77)ASCII(0x65)ASCII(0x72)ASCII(0x74)
ASCII(0x79) =
= qwerty


Recomendamos a los usuarios de estos dos programas que se abstengan
de guardar información confidencial sobre servidores de ftp no
anónimos, puesto que cualquier persona que tenga acceso de lectura al
fichero FTPServers.ini podrá recuperarla sin ninguna dificultad.



Julio César Hernández
Grupo de Seguridad
Departamento de Informática
Universidad Carlos III de Madrid
jcesar@hispasec.com


Más información:

CoffeeCup Software
http://www.coffeecup.com

Débil sistema de cifrado en WS_FTP
http://www.hispasec.com/unaaldia.asp?id=274

Descifrado de WS_FTP Pro 6.0 en línea
http://www.hispasec.com/wsftp.asp



viernes, 15 de diciembre de 2000

Denegación de servicio en ColdFusion a través de scripts de ejemplo

ColdFusion es un popular software de servidor de aplicaciones web,
ampliamente utilizado en entornos empresariales, para ofrecer
soluciones Internet e Intranet. Como ocurre en otros servidores web,
las páginas y aplicaciones instaladas como ejemplo permiten realizar
ataques a la máquina, en este caso, es el propio servicio ColdFusión
afectado por un problema de denegación de servicios.
Durante la instalación de ColdFusion el administrador tiene la
posibilidad de instalar una serie de scripts de ejemplo. Uno de estos
scripts es un motor de búsqueda con capacidades de indexado de
directorios para realizar su función. Este motor es capaz de detectar
cuando los directorios del servidor sobre los que se realiza la
búsqueda están indexados o no, en caso de que no estén indexados la
aplicación llamará a un segundo script que indexará los directorios
deseados.

El trabajo de indexado de los directorios es una tarea que consume una
gran carga de CPU, y aquí radica el problema, ya que el script
encargado de realizar el indexado puede ser ejecutado por un atacante
remoto a través de una petición web. Aunque la labor de indexado no
llega a tomar más de un 70% de carga de CPU, no hay ninguna limitación
que impida al atacante realizar diversas peticiones, hasta conseguir
alcanzar el 100% de carga de CPU.

Cuando se alcanza el 100% de carga de CPU el servicio de ColdFusion se
queda bloqueado, por lo que será necesario reiniciarlo para restaurar
el correcto funcionamiento del servidor. Como medida para solucionar
el problema, Allaire (fabricante de ColdFusion) recomienda borrar los
scripts de ejemplo , que se encuentran en el directorio CFDOCS, que se
encuentra localizado bajo la raíz del web.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/archive/1/149913

Securityfocus:
http://www.securityfocus.com/vdb/?id=2094

Información de seguridad de Allaire:

http://www.allaire.com/Handlers/index.cfm?ID=16258&Method=Full



jueves, 14 de diciembre de 2000

Denegación de servicios en la familia de routers Cisco 600

Existe una vulnerabilidad en la familia de routers DSL 600 de Cisco
con sistema operativo CBOS anteriores a la versión 2.3.8, por la cual
un usuario malicioso podrá provocar un ataque de denegación de
servicios contra el router.
Para hacer posible este tipo de ataque será necesario tener habilitada
la posibilidad de acministración del router a través del interfaz de
administración web. El atacante realizará una llamada HTTP construida
de forma maliciosa mediante Telnet al router. Una vez conectado con
el interfaz de administración web, el atacante realizará una llamada
tipo "GET ? \n \n" esto producirá el cierre de la sesión Telnet y la
caída del router.

Para recuperar el correcto funcionamiento del dispositivo será
necesario realizar un nuevo ciclo de apagado y encendido. Actualmente,
la única solución disponible es desactivar el Interfaz de
Administración Web del Router, para ello se deberán introducir los
siguientes comandos:

cbos# set web disabled
cbos# write
cbos# reboot

Existen otras vulnerabilidades de denegación de servicios que afectan
a toda la familia 600 de enrutadores de Cisco. El router se verá
afectado de forma similar a la descrita anteriormente cuando reciba
una cadena de paquetes TCP SYN o con el envío de paquetes ICMP ECHO
(ping) de gran tamaño. En general Cisco recomienda proceder a la
actualización del sistema operativo del router para evitar todos estos
problemas.



Antonio Román Arrebola
antonio_roman@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/bid/2012

Aviso y recomendaciones de Cisco:
http://www.cisco.com/warp/public/707/CBOS-multiple.shtml



miércoles, 13 de diciembre de 2000

Novedad Hispasec: Alertas de seguridad informática vía SMS

Fruto de la colaboración tecnológica entre Hispasec y MyAlert,
empresas pioneras en su género, y el apoyo estratégico de la
Asociación de Internautas, se presenta el primer servicio de alertas
de virus y seguridad informática vía SMS que todos los usuarios
interesados podrán recibir de forma gratuita.
Una vez más Hispasec da un paso adelante, y crea con la colaboración
tecnológica del portal MyAlert el primer servicio de información de
alertas víricas y de seguridad a través de SMS. El objetivo principal
de este nuevo servicio es ofrecer la información más puntual y
actualizada a todos los interesados en mantener la seguridad de sus
equipos protegidos de los principales riesgos de la Red. La Asociación
de Internautas, convencida del interés general que presenta este
servicio, se une al proyecto con el objeto de hacer llegar a todos los
internautas estas alertas.

Este servicio difiere en gran medida de una-al-día, ya conocido por
todos nuestros suscriptores, en diversos aspectos. Este nuevo sistema
de alarma sólo se pondrá en funcionamiento de forma puntual para
alertar de casos graves que afecten al usuario final, como pueden ser
virus de propagación masiva o potencialmente dañinos, agujeros de
seguridad que puedan afectar a la mayoría de los usuarios o noticias
de especial relevancia.

El medio de distribución de las alertas es mediante avisos cortos en
teléfonos móviles a través de tecnología SMS. Esto aporta grandes
ventajas frente al e-mail, ya que se trata de un sistema de alerta
inmediato (no como el correo que es necesario recogerlo del servidor).
Por otra parte, ante un ataque virulento de un gusano que pudiera
colapsar los servidores de correo e impedir su correcto funcionamiento
la alerta SMS llegará a todos los usuarios.

El anuncio de este nuevo servicio coincide con la llegada de las
fechas navideñas, época aprovechada por múltiples virus y gusanos para
su reproducción en forma de felicitaciones virtuales. Mediante esta
alerta todos los usuarios podrán estar informados de forma puntual de
los nuevos virus que surjan.

El mismo equipo técnico de una-al-día es el encargado de elaborar la
información para este servicio que se prestará en distintos idiomas.
En esta primera etapa las alertas SMS están disponibles en cinco
idiomas diferentes: español, inglés, francés, italiano y catalán.

La suscripción a este nuevo servicio es gratuita y sencilla, basta
acceder a la página http://www.hispasec.com/alertasms.htm e introducir
los datos solicitados.



Antonio Ropero
antonior@hispasec.com


Más información:

Suscripción a Alertas Hispasec SMS
http://www.hispasec.com/alertasms.htm

MyAlert
http://www.myalert.es

Asociación de Internautas
http://www.internautas.org



martes, 12 de diciembre de 2000

Problemas de seguridad en el Helix GNOME Installer

Las versiones del Helix GNOME Installer entre 0.1 y 0.5 permiten que
un usuario local pueda dañar archivos del sistema e instalar paquetes
RPM arbitrarios.
Helix GNOME Instaler es una utilidad para entorno GNOME que descargar
automáticamente paquetes actualizados e instalarlos en el sistema.

Las versiones entre 0.1 y 0.5 copian diversos ficheros del sistema
operativo en el directorio "/tmp", los modifica y los deposita en su
posición original. Un usuario local puede crear un directorio con el
mismo nombre, con lo que la operación de copia fallará y destruirá
los ficheros originales.

Por otra parte, el programa emplea el directorio "/tmp/helix-install"
para descargar en él los paquetes que se van a actualizar. Si dicho
directorio es creado por un usuario local, éste puede depositar en su
interior paquetes RPM arbitrarios.

La recomendación es que todos los usuarios que utilicen este servicio
actualicen a la versión 0.6 del mismo.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Última versión del instalador, incluyendo versiones para las
distribuciones linux más populares
http://spidermonkey.helixcode.com/



lunes, 11 de diciembre de 2000

Permisos erróneos en el registro de Windows NT

Microsoft avisa de la existencia de permisos incorrectos en múltiples
claves del registro de Windows NT 4.0. Los permisos por defecto pueden
permitir a un usuario malicioso conseguir mayores privilegios en la
máquina afectada.
Existen tres claves del registro con permisos por defecto inadecuados.
La primera de las claves afectadas es la encargada de proporcionar
determinados parámetros SNMP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters,
proporciona el nombre de comunidad SNMP y los identificadores de
administración SNMP, si existen. La lectura de esta información puede
permitir a un usuario malicioso pasar como un administrador SNMP para
cualquier comunidad a la que pertenezca el máquina afectada.

También resultan inadecuados los permisos de la clave de
administración RAS, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAS, que
proporciona una forma para instalar productos RAS de terceras partes
que trabajen con el servicio nativo RAS de Windows NT. Al modificar
alguno de los valores de esta clave un atacante podrá especificar el
código malicioso que desee como una herramienta de administración de
otra compañía. Dicho código se ejecutará entonces dentro del contexto
de la cuenta del sistema lo que permitirá al atacante tomar el control
del sistema.

La última clave afectada, hace referencia a la administración de
paquetes MTS, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Transaction
Server\Packages. Esta clave incluye información sobre los usuarios con
permisos para instalar y modificar paquetes MTS. Si en este punto, el
atacante se añade a si mismo como administrador MTS podrá conseguir la
facultad de añadir, borrar o modificar paquetes MTS.

Para realizar los cambios necesarios en estas claves Microsoft ha
publicado una herramienta que se puede encontrar en:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24501



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft (MS00-095)
http://www.microsoft.com/technet/security/bulletin/ms00-095.asp

Preguntas y respuestas sobre la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq00-095.asp



domingo, 10 de diciembre de 2000

Fallo de seguridad en el "tcsh"

Las versiones de "tcsh" previas a 6.09.00-10 permite sobreescribir
cualquier archivo del sistema, o crear archivos nuevos.
"tcsh" es un shell Unix utilizado en multitud de instalaciones.

Las versiones previas a 6.09.00-10 crean ficheros temporales de forma
insegura, al emplear la sintaxis "<<". Los ficheros temporales
generados tienen nombres predecibles, se almacenan en "/tmp"
-directorio que suele tener permiso de escritura para todos los
usuarios del sistema- y no verifica ataques tipo "enlace simbólico".

El efecto neto es que cualquier usuario del sistema puede
sobreescribir cualquier fichero o crear ficheros nuevos sin más que
crear enlaces simbólicos en "/tmp" con los nombres apropiados. La
próxima vez que un usuario 8en particular, "root", ejecute un script
shell que contenga "<<" (bastante frecuente), el ataque surtirá efecto.

Se incluye un parche para "tcsh" 6.09 en las URLs al final de este
boletín.



Jesús Cea Avión
jcea@hispasec.com


Más información:

tcsh: local exploit
http://www.debian.org/security/2000/20001111a

tcsh Here-document /tmp Symbolic Link Vulnerability
http://www.securityfocus.com/bid/1926

Parche
http://www.securityfocus.com/data/vulnerabilities/patches/tcsh.patch



sábado, 9 de diciembre de 2000

"3DStars" mezcla características de gusano con puerta trasera

La versatilidad de virus informáticos e "i-worms" o gusanos de
Internet es una de sus armas más peligrosas, ya que son capaces de
combinar e incorporar habilidades de otros géneros de "malware",
como caballos de Troya o bombas lógicas. Uno de los ejemplos que se
pueden encontrar más recientemente es el de "3DStars", un peligroso
espécimen que se reproduce a través de la Red y, al mismo tiempo,
crea puertas traseras en las máquinas afectadas.
Se trata de un patógeno de unos 70 kilobytes de longitud, programado
en VisualBasic, y que, afortunadamente, se expande con dificultad
debido a la existencia de varios errores letales de programación, que
han llegado a mermar la capacidad de difusión de su código por medio
de Internet de manera decisiva.

El gusano se presenta en forma de fichero adjunto a mensajes de
correo electrónico caracterizados por uno de los siguientes pares
de asunto/cuerpo, elegido de manera aleatoria:

Hey, now we can talk with this.. :-)
Hello
I wrote a new messenger, so that we can talk with it.
Install the self extractable zip attached

My movie clips..
Hiii
I got a webcam, and I captured few movie clips of me. Extract the
attached self extractable, to see them.

A lil naughty stuff..
Hey..
I got few great, erotic movie clips included in the self extractable

I downloaded these MP3s yesterday..
Howdy..
Hey, they r really great.. Extract the selfextractable zip to see
them..

Just a little naughty stuff from me..
Hehehe..
See the cake I prepared for you.. bye 4 now buddy..

Virus Warning..
Hey, take care..
Forward this mail to everyone you know. Today, [%CurrentDate%] FBI
announced that a serious virus is spreading. It is a file with a .VBS
extension, much like Love Bug. See the zip for it

A Business Issue..
Sir,
My company is interested in the opportunities of creating a new
partnership with you. The presentation is attached, kindly see it and
reply soon.

Legal Notice..
Sir/Madam
We are forced by our client to forward a legal notice to you dated
[%CurrentDate%]. Kindly see the attached details, and reply as soon
as possible

Greeting Card 4 You..
Greeeeetings..
Hope you are doing fine. See the ECard attached 4 you..

Donde [%CurrentDate%] es la fecha actual del sistema en el momento
en que el e-mail portador fue enviado. En caso de que el destinatario
se decida a ejecutar el fichero EXE adjunto, "3DStars" pasará a
mostrar un mensaje de error en pantalla, con el fin de distraer la
atención del usuario y evitar cualquier tipo de sospechas:

[ Microsoft Windows ]

The application %ApplicationName caused a general protection fault
in module Kernel.exe, and it will be terminated. Press OK to continue

[ OK ]

Donde %ApplicationName% es el nombre del programa portador del código
del gusano. Mientras esto sucede de cara al propietario de la máquina
afectada, "3DStars" ya ha completado un proceso de instalación, por
medio del cual ha ubicado una copia de su código en los directorios
de Windows y de sistema, bajo el nombre de "SysTray.exe" y
"SysCheck.exe", paso tras el cual habrá procedido a añadir las
siguientes entradas en el registro de configuraciones de Windows,
con el fin de asegurarse de que ambos programas son ejecutados en
cada arranque:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemTray = %WindowsDir%\SysTray.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemCheck = %SystemDir%\SysCheck.exe

Una vez culminado el proceso de instalación en el sistema, "3DStars"
está en condiciones de lanzar su rutina de reproducción por medio
de la Red, por medio de la cual abre la libreta de direcciones del
usuario afectado, y envía una copia de su código a cada una de las
entradas existentes, así como un duplicado a vb.master@angelfire.com
(probablemente, la cuenta del autor), cuyo cometido parece atender
a razones de carácter censual.

Concluido el ciclo vital del gusano, el control pasa automáticamente
a la puerta trasera que éste instala en el sistema, mediante la cual
su autor es capaz de acceder a máquinas remotas y llevar a cabo
acciones tales como listar unidades a las que copiar ficheros o de
las que borrar cualquier tipo de datos, enviar mensajes electrónicos,
ejecutar programas o incluso cerrar la sesión de Windows. Esta parte
del espécimen está bautizada como "3DStars server", de donde luego
ha tomado su nombre.

Ya por último, cabe destacar que el patógeno posee una activación
de carga maligna que, el día 4 de cada mes, en caso de haber sido
ejecutado antes de las cinco de la mañana, sobreescribe el fichero
AUTOEXEC.BAT con un troyano que elimina todos los ficheros almacenados
en la carpeta de documentos del usuario, así como los archivos DLL
(librerías de código) existentes en las carpetas del sistema. Mientras
lleva a cabo su acción destructiva, "3DStars" muestra en pantalla
el siguiente mensaje:

Please wait while setup update files. This may take a few minutes...
Now loading Windows..



Giorgio Talvanti
talvanti@hispasec.com


Más información:

I-Worm.3DStars
http://www.avp.ch/avpve/worms/email/3dstars.stm

W32.3Dstars.Worm
http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=29039



viernes, 8 de diciembre de 2000

Desbordamiento de búfer en "ncurses"

Las versiones de "ncurses" anteriores a la 5.1 son vulnerables a un
ataque de desbordamiento de búfer, que permite la ejecución de código
arbitrario en el servidor. Esta ejecución puede obtener privilegios
especiales no accesibles al usuario atacante, cuando el programa
ejecutado es un proceso SETUID o SETGID.
"ncurses" es una librería de gestión de terminales en modo texto,
bastante potente y muy difundida en entornos Unix.

La vulnerabilidad se localiza en la gestión de los movimientos del
cursor. El ataque se realiza invocando al programa susceptible con
ficheros "termcap" y "terminfo" especialmente formateados.

La recomendación es actualizar a la versión 5.2 (la actual) o
superior.



Jesús Cea Avión
jcea@hispasec.com


Más información:

ncurses allows local privilege escalation
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00%3A68.ncurses.asc

buffer overflows in ncurses
http://www.calderasystems.com/support/security/advisories/CSSA-2000-036.0.txt

ncurses
ftp://ftp.gnu.org/gnu/ncurses



jueves, 7 de diciembre de 2000

Vulnerabilidad en los procedimientos almacenados de SQL Server

Microsoft SQL Server, el conocido servidor de bases de datos de
Microsoft, contiene múltiples vulnerabilidades de desbordamiento de
búfer que pueden ser empleadas para lograr la ejecución de código de
forma remota en la máquina atacada.
Los procedimientos almacenados extendidos (Extended Stored Procedures,
XPs) son DLLs que pueden ser instaladas por el administrador de SQL
Server para proporcionar mayores funcionalidades. El problema radica
en srv_paraminfo(), la API de SQL Server empleada para comprobar los
parámetros de entrada para los XPs, ya que no proporciona ningún medio
para indicar al procedimiento la longitud necesaria del búfer. Y como
no todos los procedimientos incluidos en SQL Server son capaces de
realizar esa comprobación, un usuario malicioso podrá proporcionar un
parámetro demasiado largo a un XP afectado para lograr el
desbordamiento de búfer.

Los procedimientos almacenados extendidos pueden ser ejecutados por
cualquier componente cliente que pueda realizar una consulta SQL, como
Microsoft Access, o MSQuery o la utilidad ISQL incluida en SQL Server.
La sintaxis para ejecutar un procedimiento almacenado es como sigue:

exec , , ...

Cuando se proporciona un parámetro con una cadena demasiado larga a
múltiples de estos procedimientos el búfer se desbordará. Lo más
curioso es que estos desbordamientos se producen en la parte de las
llamadas al manejo de excepciones que SQL Server realiza para
protegerse a si mismo.

Los procedimientos vulnerables son múltiples, entre los afectados se
encuentran los siguientes xp_displayparamstmt, xp_enumresultset,
xp_showcolv y xp_updatecolvbm. El problema se agrava al tener en
cuenta que cada uno de estos procedimientos pueden ser ejecutados por
PUBLIC, esto es, cualquiera que pueda conectar con el servidor de
bases de datos, incluso con los privilegios más bajos. Pero por el
contrario si el desbordamiento se llega a producir y un atacante lo
emplea para lograr la ejecución de código lo realizará bajo el
contexto de la cuenta SYSTEM, es decir con todos los privilegios.

Microsoft ha publicado un boletín en el que informa de este problema y
proporciona a los usuarios un parche para su solución. Como
recomendación también se puede proceder a inhabilitar a la cuenta
PUBLIC el acceso de ejecución a los procedimientos almacenados
extendidos.

El parche proporcionado por Microsoft se puede encontrar en la
siguiente URL:
http://support.microsoft.com/support/sql/xp_security.asp



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de Seguridad de Microsoft (MS00-092)
http://www.microsoft.com/technet/security/bulletin/ms00-092.asp

Preguntas y respuestas acerca de la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq00-092.asp

Avisos de seguridad de @Stake
http://www.atstake.com/research/advisories/2000/a120100-1.txt
http://www.atstake.com/research/advisories/2000/a120100-2.txt



miércoles, 6 de diciembre de 2000

El virus "Doser" bombardea varios servidores de Internet

Tras la aparición de "Hortiga", un espécimen capaz de emplear los
ordenadores infectados como servidores proxy a través de los cuales
sería posible llevar a cabo cualquier tipo de acción de manera
completamente impune, acaba de salir a la luz "Doser", un patógeno
cuya misión consiste en bombardear varios servidores de Internet
utilizando máquinas infectadas como "esclavos".
Programado en ensamblador y capaz de funcionar en sistemas Win32
(95, 98, ME, NT, 2000, CE), este virus polimórfico, relacionado con
la familia "AOC", una serie anterior de especímenes muy similares
en cuanto a estructura y código con "Doser", no presenta ninguna
cualidad técnica reseñable, salvo la capacidad ya comentada de lanzar
ataques contra diversos servidores de Internet.

El funcionamiento de este patógeno es estándar: busca ficheros de
formato PE (`Portable Executable´) con extensión DLL o EXE en los
directorios de Windows y de sistema, así como en el directorio raíz
y en el que está siendo ejecutado, y los infecta, añadiendo su
código al de la última sección de sus víctimas, a las que además
escribe la cadena de texto "DDoS" en un espacio vacío y no usado de
la cabecera PE. Este identificador, obviamente, hace alusión a la
capacidad de "Doser" de provocar denegaciones de servicio -cuando
menos, en teoría- por medio de bombardeos cibernéticos.

Una vez que el proceso infeccioso ha sido completado, el virus se
dispone a lanzar esta peculiar rutina, que, dependiendo del día de
la semana, elige uno de varios servidores de una lista compuesta
por dos desconocidos, además de los siguientes:

ctwl.citeweb.net
centralcommand.com
lockdown2000.com
europe2.f-secure.com
zonelabs2.brainstorm.net

Afortunadamente, el escaso éxito que este virus ha tenido tras haber
sido puesto "en libertad" (`in the wild´) hace pensar que cualquier
posibilidad de que su rutina maliciosa llegue a provocar una seria
amenaza de denegación de servicio para alguno de los anteriormente
citados servidores es bastante lejana, si bien, como resulta obvio,
"Doser" no supone más que un primer paso de lo que podría ser una
nueva estirpe de virus capaces de "noquear" servidores de Internet
por medio de la aparición de usuarios infectados a través de la Red.



Giorgio Talvanti
talvanti@hispasec.com


Más información:

Win32.Doser
http://www.avp.ch/avpve/newexe/win32/doser.stm



martes, 5 de diciembre de 2000

Vulnerabilidad en el cifrado de la password de KMail

KMail es un cliente de correo electrónico muy difundido porque forma
parte del conocido entorno KDE. Desafortunadamente, tiene una grave
vulnerabilidad que permite que cualquier persona con acceso de lectura
al fichero de configuración pueda descifrar inmediatamente la
contraseña de correo.
La configuración de las cuentas se guarda en el fichero
.kde/share/config/kmailrc, en el cual hay una entrada denominada
passwd que guarda la contraseña para acceder al servicio POP3. Esta
contraseña se guarda cifrada, pero el algoritmo de cifrado es tan
simple que convierte en trivial la tarea de recuperarla. El algoritmo
de cifrado puede expresarse como: E(c) = ASCII(287-ASCII(c))

Por ejemplo,

E(ñ) = ASCII(287-ASCII(ñ)) = ASCII(287-241) = ASCII(46) = .

y

E(kde) = E(k) E(d) E(e) =
= ASCII(287-ASCII(k)) ASCII(287-ASCII(d)) ASCII(287-ASCII(e)) =
= ASCII(287-107) ASCII(287-100) ASCII(287-101) =
= ASCII(180) ASCII(187) ASCII(186) =
= ´»º

Evidentemente, este hecho supone una seria amenaza para la seguridad
de las contraseñas cifradas. Afortunadamente, KMail por defecto no
guarda la contraseña POP3 sino que para hacerlo hay que activar la
opción "Store password in config file". A la vista del método de
cifrado utilizado, recomendamos encarecidamente no utilizar dicha
opción, a pesar de la incomodidad que ello supone.

Existe, además, el problema adicional de que al borrar una cuenta toda
la información de ésta, incluída la contraseña débilmente cifrada,
permanece en el fichero de configuración.



Julio César Hernández
jcesar@hispasec.com


Más información:

KDE
http://www.kde.org/



lunes, 4 de diciembre de 2000

El gusano "Energy", capaz de insertarse en ficheros RAR

Desde la aparición de "Happy99", el primer "i-worm" conocido, ya hace
casi dos años, este género de "malware" ha evolucionado rápidamente,
y ha llegado a convertirse en la mayor amenaza para el usuario final,
debido a la versatilidad reproductiva que caracteriza a la práctica
totalidad de los especímenes que lo integran. Sin embargo, también
existe un hueco para la originalidad y la innovación: es el caso de
"Energy", un gusano de laboratorio muy peculiar, pero con escasas
posibilidades de llegar a encontrarse "en libertad" (`in the wild´).
La causa que evidencia la baja probabilidad de llegar a dar con el
gusano "Energy" en un ordenador infectado es precisamente su gran y
más importante característica: la innovadora capacidad que tiene de
introducirse en archivos comprimidos de tipo RAR, sin que el usuario
que los está mandando se percate de ello. Además hay que sumar otro
importante factor a sus limitaciones de expansión, ya que "Energy"
está diseñado para ejecutarse como un servicio NT, restringiendo su
campo de acción a sistemas Windows NT y 2000.

El funcionamiento del patógeno es sencillo: una persona envía a otra
un mensaje de correo electrónico, al que adjunta una serie de datos,
comprimidos en formato RAR. Uno de los ficheros presentes dentro de
ese archivo será "SETUP.EXE", el programa portador del código maligno
de "Energy", que ha sido insertado por el propio gusano.

Una vez ejecutado, suponiendo que haya llamado la atención de quien
haya recibido el documento RAR y se haya decidido a explorar su
contenido, el espécimen crea una copia de su código y la ubica en
el directorio de sistema, con el nombre "ENERGY.EXE", registrándola
como servicio de Windows, con el fin de permanecer residente en la
RAM, sin levantar sospechas.

Instalado en memoria, "Energy" busca procesos activos que empleen
alguna de las funciones de la librería MAPI (empleada para enviar
datos por medio de correo electrónico) y, en caso de encontrarlos,
se copia a ellos para interceptar las llamadas a "MAPISendMail", el
servicio empleado por aplicaciones tales como clientes de e-mail
para enviar mensajes por medio de Internet.

Tras haber completado este paso, el patógeno queda a la espera del
envío por parte del usuario infectado de algún fichero adjunto de
formato RAR, circunstancia que desencadenaría la activación final o
reproductora de este "i-worm", que pasaría a insertar una nueva
copia de su código, bajo el nombre "SETUP.EXE", con el fin de cerrar
su ciclo de expansión en la Red. Sin embargo, debido al predominio
del empleo del formato ZIP en detrimento del RAR por parte de una
inmensa mayoría de usuarios en Internet, cabe pensar que Benny, el
autor de origen checo, perteneciente al grupo de escritores de virus
29A, ha pretendido hacer de "Energy" un gusano de laboratorio, con
el fin de demostrar la posible aplicación de la técnica de inserción
de agentes infecciosos dentro de ficheros comprimidos.



Giorgio Talvanti
talvanti@hispasec.com


Más información:

I-Worm.Energy
http://www.avp.ch/avpve/worms/email/energy.stm

WNT.Energy.worm
http://www.symantec.com/avcenter/venc/data/wnt.energy.worm.html

TROJ_ENERGY.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ENERGY.A



domingo, 3 de diciembre de 2000

Parche para cuatro vulnerabilidades en Internet Explorer

Microsoft lanza un nuevo parche para su navegador que corrige, en
esta ocasión, cuatro vulnerabilidades. La primera de ellas, "Browser
Print Template", permite ejecutar controles ActiveX no seguros. En
segundo lugar nos encontramos con "File Upload via Form", descubierta
por el español Cuartango, que permite leer desde un sitio web ficheros
de los visitantes. Por último se corrigen dos nuevas variantes de
"Scriptlet Rendering" y "Frame Domain Verification", que también
pueden ser aprovechadas para leer ficheros locales de los usuarios.
- "Browser Print Template"

Esta vulnerabilidad afecta sólo a Internet Explorer 5.5, ya que se
basa en una nueva característica, conocida como "Print Templates",
que se introdujo en esta versión. El fin de estas plantillas de
impresión es permitir especificar diferentes aspectos de las
páginas web a la hora de la previsualización e impresión de éstas.
Un error de implementación por parte de Microsoft permite que desde
un sitio web se pueda llamar a esta funcionalidad para ejecutar
cualquier control ActiveX, esté o no firmado cómo seguro.

- "File Upload via Form"

Esta vulnerabilidad afecta a las versiones de Internet Explorer 5.0
hasta la 5.5. El fallo se basa en la posibilidad de enviar datos
a través de un formulario, mediante la etiqueta INPUT TYPE se
pueden especificar diferentes métodos. Uno de ellos,
INPUT TYPE="file", permite especificar al usuario el nombre de un
fichero que mandará al sitio web. Cuartango ha descubierto que es
posible que el webmaster asigne el nombre de fichero a través de
un script, y que el usuario lo envíe sin su conocimiento. En la
demostración que facilita, Cuartango pide que se introduzca texto
al azar en la casilla de un formulario, y por cada tecla que
pulsemos podemos ver cómo se completa progresivamente el nombre de
fichero "C:\TEST.TXT" en una segunda casilla INPUT TYPE "files", lo
que desemboca en que el fichero "C:\TEST.TXT" sea enviado al sitio web
sin haber sido seleccionado por el usuario. La demostración está
disponible en: http://www.s21sec.com/greatson.htm

- "Scriptlet Rendering" y "Frame Domain Verification"

Se trata de nuevas variantes de dos vulnerabilidades ya conocidas,
y cuya explotación permite leer ficheros del sistema local de los
usuarios que visiten una página web diseñada al efecto. Ambas
vulnerabilidades ya fueron tratadas en "una-al-día", y pueden ser
consultadas en: http://www.hispasec.com/unaaldia.asp?id=656

-Parche

Microsoft facilita un parche para corregir estas cuatro
vulnerabilidades, cuya instalación recomendamos a todos los usuarios
afectados. Actualización (1,46-1,86Mb según versión) disponible en:

http://www.microsoft.com/windows/ie/download/critical/279328.htm

Los usuarios deben tener especial cuidado a la hora de elegir el
parche apropiado según su versión de Internet Explorer: 5.01 SP1,
5.5 ó 5.5 SP1. De elegir una versión equivocada, el parche mostrará
el mensaje "This update does not need to be installed on this system",
(Esta actualización no necesita ser instalada en este sistema), que
puede hacer creer al usuario de que su sistema no se encuentra
afectado por la vulnerabilidad, cuando en realidad se trata de que
no ha elegido la versión del parche adecuada.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletin (MS00-093)
http://www.microsoft.com/technet/security/bulletin/MS00-093.asp

FAQ (MS00-093)
http://www.microsoft.com/technet/security/bulletin/fq00-093.asp



sábado, 2 de diciembre de 2000

"Icecubes" simula buscar datos secretos en el sistema

La semana pasada llegaba al laboratorio de Hispasec "Icecubes", uno
de los gusanos de Internet más originales que se han descubierto
hasta el momento; mediante un brillante truco de ingeniería social,
este espécimen se hace pasar por un programa encargado de buscar en
el sistema un nuevo tipo de datos secretos, los "icecubes" (cubos
de hielo).
Se trata de un "i-worm" de una longitud aproximada de 18 kilobytes,
programado en lenguaje ensamblador, que se presenta en forma de
fichero adjunto a mensajes de correo electrónico con la frase
"Windows Icecubes !" como asunto, y el siguiente texto como cuerpo:

I almost forgot. Look at what I found on the web. This tool scans
your system for hidden Windows settings, better known as -Windows
Icecubes-. These secret settings were built in by the Windows
programmers. I think you might want to change them a little, just
take a look ! :)

De esta forma, el autor de "Icecubes" inventa el concepto de los
"cubos de hielo", que, supuestamente, son una serie de registros
ocultos, creados por los programadores de Windows para condicionar
el comportamiento del sistema operativo. Una vez ejecutado el
fichero adjunto, "ICECUBES.EXE", es posible descubrir más acerca
de esta divertida invención; el gusano, para distraer la atención
del usuario mientras se instala en su ordenador, simula buscar en
el sistema todos los "cubos de hielo" existentes y, una vez que
la pantomima ha terminado, muestra el siguiente cuadro de diálogo:

[ Windows Icecubes ]

Manufacturer´s default settings (not to be edited)

Endurance options

[X] Crash every (2) (days)
[X] Crash after (5000) bytes of un-saved changes

Save options

[X] Create incredibly large files
[ ] Allow me to carry on typing during AutoRecovery saves
Fail AutoRecovery at (17) percent

Other options

[X] Decrease boot speed by 70%
Annoy me with that sodding paperclip
( ) constantly
(X) when i less expect it

[ Ok ] [ Cancel ]

Por su parte, la instalación del gusano en el sistema es similar a
la de "Happy99" en cuanto al procedimiento empleado: se copia al
directorio de sistema como WSOCK2.DLL, intenta infectar el original
de la librería de funciones de Internet (WSOCK32.DLL) y, en caso de
estar en uso, crea una copia con el nombre WSOCK32.INF, la infecta,
y crea un comando en el fichero WININIT.INI para reemplazar la DLL
original con el INF portador del código maligno en el siguiente
arranque del sistema.

El funcionamiento del gusano es también muy semejante a "Happy99"
cuando, al monitorizar todos los datos enviados por medio de la
Red (con la función "send"), espera a que el usuario infectado
envíe un mensaje de correo electrónico, tras lo cual el espécimen
procede a usar las mismas cabeceras enviadas al servidor SMTP
correspondiente, con el fin de generar un e-mail extra que dirigir
al mismo destinatario, portando el mensaje específico y adjuntando
una copia del código maligno, codificada en base64 con cabeceras de
tipo MIME (el estándar más común en Internet).

Asimismo, "Icecubes" es capaz de monitorizar nombres de usuario y
contraseñas enviadas durante las sesiones de Internet, grabando
todos los datos en el fichero "ICECUBES.TXT", que se encuentra en
el directorio de Windows, si bien en ningún momento llega a enviar
o publicar este archivo a ninguna dirección de correo electrónico
por medio de la Red.

Por último, el gusano muestra el siguiente mensaje el día 1 de
julio de cada año:

[ W9x.Icecubes / f0re [lz0] ]

Windows detected icecubes on your harddrive.
This may cause the system to stop responding.
Do you want Windows to remove all icecubes ?



Giorgio Talvanti
talvanti@hispasec.com


Más información:

I-Worm.Icecubes
http://www.avp.ch/avpve/worms/email/icecubes.stm

W32/IceCube@M

http://vil.nai.com/vil/dispVirus.asp?virus_k=98902

TROJ_ICECUBES.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ICECUBES.A



viernes, 1 de diciembre de 2000

"Santa": los gusanos hacen su agosto en navidad

Siguiendo con la tradición navideña, y sin haber entrado todavía de
lleno en la euforia festival propia de esta época, virus, gusanos y
demás géneros de "malware" siguen aprovechando el tirón, abusando de
la excesiva confianza de algunos usuarios; tras el impacto causado
por "Navidad", uno de los "i-worms" más recientes, acaba de aparecer
"Santa", un gusano de Internet que, afortunadamente, no contiene
ningún tipo de carga dañina o destructiva.
Siguiendo los exitosos pasos de otros especímenes de características
similares, como "I love you", este patógeno está programado en VBS
(`Visual Basic Script´), un lenguaje de "script" puesto por Microsoft
a disposición de todos los usuarios de Windows -e instalado por
defecto en todas las configuraciones desde hace dos años- con el
fin de facilitar la automatización de ciertas tareas tediosas (cuando
menos, a priori), como, por ejemplo, la impresión de varios ficheros,
los accesos a determinados valores del registro de configuraciones,
o el envío de un número elevado de mensajes de correo electrónico a
diversas direcciones.

Es precisamente esta última posibilidad la que el género de gusanos
de Internet programdos en VBS, iniciado por "Monopoly", aprovechan
para difundir su código y hacerlo llegar a todas o alguna de las
entradas de la libreta de direcciones del usuario infectado, si bien
este proceso es posible sólo en caso de encontrar instalada una
copia de Microsoft Outlook (versión 98 como mínimo), la variante
comercial de Outlook Express, el cliente de correo que Microsoft
distribuye por defecto en todas las instalaciones de Windows.

El gusano "Santa" llega en forma de fichero adjunto a mensajes de
correo electrónico con la frase alemana "News vom Weihnachtsmann
" por asunto, bajo el nombre "XMAS.VBS". El cuerpo del e-mail
contiene el siguiente texto:

Guten Tag,
es ist bald Weihnachten.
Und wie sieht´s aus mit schönen Geschenken ?
Hierzu ein Tip vom Weihnachtsmann:
Unter www.leos-jeans.de gibt es die besten Geschenke im Web !
Das bedeutet absolut stressfreies Einkaufen, schnelle
und unkomplizierte Lieferung, riesige Auswahl.


Also nichts wie hin, und Frohe Weihnachten.

En caso de que el destinatario se decida a ejecutar el archivo
portador de "Santa", el patógeno pasará a acceder a la libreta de
direcciones del sistema, de la cual seleccionará las 50 primeras
cuentas de correo, en caso de existir, y enviará un mensaje
electrónico idéntico al descrito anteriormente.



Giorgio Talvanti
talvanti@hispasec.com


Más información:

I-Worm.Santa
http://www.avp.ch/avpve/worms/email/santa.stm

Jean
http://www.f-secure.com/v-descs/santa.htm

VBS.Jean.A@mm
http://www.sarc.com/avcenter/venc/data/vbs.jean.a.html

VBS/Jean@
http://vil.nai.com/vil/dispVirus.asp?virus_k=98903

VBS/Jean-A
http://www.sophos.com/virusinfo/analyses/vbsjeana.html