sábado, 31 de marzo de 2001

Un nuevo gusano amenaza el mundo LINUX

El gusano Lion (león) infecta máquinas Linux no actualizadas,
comprometiendo su seguridad y propagándose de forma exponencial.
Lion utiliza una vulnerabilidad en el servidor de nombres "bind", el más
utilizado en Internet. Dicha vulnerabilidad fue solucionada hace ya dos
meses, pero todavía existen infinidad de sistemas no actualizados
conectados a Internet.

El nuevo gusano busca servidores aleatorios en Internet, intentando
localizar una versión del "bind" vulnerable. En cuanto localiza una,
aprovecha la vulnerabilidad para ejecutar código en dicho servidor que:

a) Instala el "rootkit" t0rn. Un "rookit" son un conjunto de
herramientas diseñadas para hacer más difícil la detección y
extirpación de un intruso informático, y suelen incorporar puertas
traseras para proporcionar un subsiguiente acceso fácil al sistema
por parte del atacante.

b) Envía los ficheros "/etc/passwd", "/etc/shadow" y varios datos de
red a una dirección bajo el dominio "china.com".

c) Elimina "/etc/hosts.deny", suprimiendo la protección perimetral
del software "tcp wrapper".

d) Instala puertas traseras de shells "root" en los puertos 60008
y 33567.

e) Instala una puerta trasera "SSH" en el puerto 33568.

f) Mata al proceso "syslogd", encargado de los logs del sistema.

g) Instala un troyano en "login".

h) Busca claves en "/etc/ttyhash".

i) Se sustituye el demonio "/usr/sbin/nscd" (un demonio de caché
del servicio de nombres) por un troyano SSH.

j) El "rootkit" sustituye los siguientes ejecutables, para ocultar la
intrusión: du, find, ifconfig, in.telnetd, in.fingerd, login, ls,
mjy, netstat, ps, pstree, top.

k) Se instala un shell con privilegios de "root" o administrador en
"/usr/man/man1/man1/lib/.lib/.x".

Una vez que Lion se instala en una nueva máquina, dicha máquina inicia
sondeos aleatorios de la red, en busca de más sistemas vulnerables. Su
propagación, por tanto, es exponencial.

SANS Institute, organización especializada en seguridad informática, ha
desarrollado una herramienta para detectar los archivos instalados por
Lion, llamada "lionfind". Su URL se encuentra al final de este
documento.

La recomendación es:

- Verificar si nuestra versión de "bind" es vulnerable.
- Si es el caso:
a) Desconectar la máquina de la red.
b) Verificar si hemos sido atacados ya por Lion.
- Si es así, desinfectar el sistema
c) Instalar una versión actualizada de "bind".

Como ya hemos dicho, la vulnerabilidad que aprovecha este gusano está
solucionada desde hace dos meses; los administradores de sistemas que
mantienen sus máquinas actualizadas, estarán seguros.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Lion Worm:
http://www.sans.org/y2k/lion.htm

SANS Institute: Alert - A Dangerous new worm is spreading on de
Internet:
http://lwn.net/daily/lion-worm.php3

Virus: Linux/Lion.worm, amenaza para servidores Linux:
http://terra.canalsw.com/actualidad/noticias/noticias.asp?id=10789

LIONFIND:
http://www.sans.org/y2k/lionfind-0.1.tar.gz

Analysis of the T0rn rootkit:
http://www.sans.org/y2k/t0rn.htm

Vulnerabilidades en BIND:
http://www.argo.es/~jcea/artic/hispasec127.htm

21/01/2001 - Un gusano muy activo afecta a sistemas Linux de todo el
mundo:
http://www.hispasec.com/unaaldia.asp?id=819



viernes, 30 de marzo de 2001

Bea Weblogic Server 6.0 posibilita el listado de directorios

Bea Weblogic Server en su versión 6.0 se ve afectado por una
vulnerabilidad de fácil explotación, por la cual un atacante tendría
la capacidad de obtener un listado de loas archivos almacenados en
cualquier directorio del web, independientemente de la existencia
del documento por defecto.
WebLogic es un servidor de aplicaciones de la empresa BEA Systems,
especialmente indicado para entornos dirigidos al comercio electrónico.
Lo que añade a esta vulnerabilidad un peligro adicional.

A un posible atacante le bastará con generar una dirección URL
terminada con determinados caracteres unicode y mediante un
navegador dirigirla a un servidor Bea Weblogic. Mediante este simple
ataque el servidor será confundido y mostrará los contenidos del
directorio indicado en la URL. La información conseguida podrá
favorecer un posterior ataque, ya que suele ser habitual incluir
directorios y archivos para administración que suelen pasar
desapercibidos al no aparecer en ningún enlace. Sin embargo,
quedarán al descubierto mediante este ataque.

El atacante sólo deberá introducir las direcciones de la siguiente
forma para conseguir su objetivo:
http://servidor/%00/
http://servidor/images/%2e/
http://servidor/passwords/%2f/
http://servidor/creditcard/%5c/
Bea pone a disposición de sus usuarios un parche que elimina esta
vulnerabilidad. (Service Pack 1 para Bea Weblogic 6.0).

http://commerce.bea.com/downloads/weblogic_server.jsp#wls



Antonio Román
antonio_roman@hispasec.com


Más información:

Bea Weblogic Unicode Directory Browsing:
http://www.net-security.org/text/bugs/985658808,90631,.shtml

Defcom Labs:


http://www.defcom.com

BEA Systems, Inc:
http://www.bea.com



jueves, 29 de marzo de 2001

Winux, primer virus para ejecutables de Windows y Linux

Este espécimen merece nuestra atención sólo por tratarse del primer
virus que infecta ejecutables tanto en Windows como Linux. No se han
detectado, ni se esperan, casos de infecciones significativas, ya que
se trata de una prueba de concepto bastante primitiva no optimizada
para su propagación.
Winux, también conocido como Lindose, es un virus escrito en
ensamblador 80386 que infecta ejecutables Windows (PE) y Linux (ELF)
por acción directa (no queda residente en memoria). Su única acción
consiste en buscar ficheros con estos formatos en el directorio
actual, además de en los superiores en el caso de Windows, para
proceder a su infección. No posee ningún tipo de efecto destructivo.

La infección desde un sistema a otro sólo se puede dar al compartir
ejecutables infectados, por lo que su capacidad de reproducción con
respecto a otros tipo de especímenes es bastante reducida. En el caso
de infecciones entre plataformas es aun más complicado, ya que
tendría que darse el caso de que un sistema Windows tuviera
almacenados ficheros binarios de Linux, o viceversa, para poder
infectarlos y que a posteriori el usuario los compartiera con la otra
plataforma.

En el interior del virus podemos encontrar una cadena con el apodo
del autor, Benny, y con referencias a 29A, el famoso grupo de
creadores de virus conocido por sus innovaciones en este mundillo. De
este mismo grupo ya tuvimos ocasión de examinar años atrás a
Esperanto, primer virus multiplataforma y multiprocesador (PC/Mac)
creado por Mister Sandman, hoy día fuera del grupo 29A. Puede
encontrarse una completa descripción sobre Esperanto en el libro
"Virus 99, guía en 10 minutos", de Jose Manuel Soto, editorial
Pretince Hall, ISBN: 8483221454, en el que colaboré en un par de
capítulos.

Otros especímenes multiplataforma que marcaron época los podemos
encontrar en el apartado de macros para Office, como el Teocatl de
Reptile (Excel/Word) y el Cross de VicodinES (Access/Word), este
último creador saltaría a la fama por escribir el virus Melissa,
precursor de los actuales gusanos de Internet.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Virus hits both Linux and Windows
http://www.zdnet.com/zdnn/stories/news/0,4586,2701765,00.html

Experts debate severity of Winux virus
http://www.zdnet.com/zdnn/stories/news/0,4586,2702054,00.html

Winux
http://www.avp.ch/avpve/newexe/unix/winux.stm

W32/Lindose.2132
http://vil.nai.com/vil/dispvirus.asp?virus_k=99060

W32.PEElf.2132
http://www.sarc.com/avcenter/venc/data/w32.peelf.2132.html

PE_LINDOSE.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_LINDOSE.A

Windows/Linux virus poses low threat
http://www.sophos.com/virusinfo/articles/lindose.html



miércoles, 28 de marzo de 2001

Vulnerabilidades en Insight Manager de Compaq

Una serie de vulnerabilidades que afectan al sistema de administración
vía web de Compaq posibilitan la realización de ataques contra las
máquinas de la intranet.
El software afectado es el Compaq Insight Manager, que se incluye con
algunos de sus productos con el fin de facilitar la administración por
web de los sistemas. Una de las vulnerabilidades afecta cuanto el
producto queda con su configuración por defecto, en este caso, puede
utilizarse como servidor proxy y permitirá las conexiones tanto desde
el exterior de la red al interior y viceversa. Esta opción deberá ser
desactivada con el fin de no ser objeto de este problema.

El administrador por web Insight Manager, trabaja a través del puerto
2301, por lo que lógicamente este puerto deberá ser de uso exclusivo
para el administrador web, pero esto no ocurre así. Un atacante podría
acceder al interior de la intranet a través del puerto 2301 y
posteriormente explotar vulnerabilidades propias del sistema, con la
finalidad de hacerse con el control de la máquina atacada.

Es por todo ello, por lo que desde Hispasec recordamos a los
administradores de sistemas que no deben de abandonar la actualización
de seguridad de las máquinas de su sistema, ni hacer recaer toda su
seguridad en proxys o cortafuegos. Compaq recomienda a sus usuarios la
utilización de Insight Manager para la administración dentro de las
intranets y el uso de otras protecciones para evitar de acceso a redes
externas.

Compaq pone a disposición de sus usuarios dos parches con el fin de
evitar los problemas que afectan al software de administración web
referido, y que se pueden encontrar en la siguietne dirección:

ftp://ftp.compaq.com/pub/softpaq/sp16001-16500/



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

Bugtraq. Compaq Insight Manager Proxy Vuln:
http://www.securityfocus.com/archive/1/170820

Compaq management software security vulnerability (SSRT0715):
http://www.compaq.com/products/servers/management/mgtsw-advisory.html



martes, 27 de marzo de 2001

Cifrado de baja calidad en los Nortel CES

Los servidores VPN (redes privadas virtuales) Nortel CES con una versión
del sistema inferior a 3.50 realizan un intercambio de claves protegido
sólo por DES de 56 bits.
Nortel CES son concentradores VPN que soportan el protocolo IPSEC. IPSEC
es una extensión del protocolo IP actual para proporcionar túneles,
autentificación y confidencialidad a nivel de datagrama.

La vulnerabilidad se refiere al hecho de que aunque el administrador
especifique un cifrado de calidad (por ejemplo, 3DES), el intercambio de
claves en sí (no el intercambio de información a través del túnel, que
sí usa el nivel de seguridad configurado) está protegido exclusivamente
por DES de 56 bits, lo que se ha demostrado (por varias vías) que puede
romperse en menos de 24 horas, por un coste muy reducido.

La solución es actualizar los Nortel CES a la versión 3.50 o superior
(algo aparentemente no soportado en los CES 600 y los CES 1000), y el
software "Extranet Access Client" (el software que se instala en los
equipos remotos, para crear la VPN) a la versión 2.62 o superior.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Nortel:
http://www.nortelnetworks.com/

IP Security Protocol (ipsec):
http://www.ietf.org/html.charters/ipsec-charter.html



lunes, 26 de marzo de 2001

Microsoft y certificados falsos de VeriSign

VeriSign, la empresa líder en emisión de certificados para Internet,
acaba de protagonizar uno de los fiascos más importantes de su
historia que compromete de lleno la seguridad de los usuarios de
Windows. La emisión de dos certificados a un impostor que se hizo
pasar por trabajador de Microsoft permitiría firmar virus y cualquier
software malicioso como si fueran aplicaciones originales de Microsoft.
A efectos prácticos y en líneas generales, el trabajo de VeriSign raíz
del problema consiste en hacer las veces de notario mediante la
emisión de certificados digitales (autoridad de certificación). Las
empresas que quieren certificar la autenticidad de sus aplicaciones
ante los usuarios solicitan a VeriSign un certificado con el que
firmar digitalmente su código. Además de exigir el pago
correspondiente, VeriSign tiene un protocolo para verificar la
identidad del solicitante, es decir, la empresa o persona con los
privilegios adecuados a nombre de la cual se emite el certificado.
A todas luces este paso crítico ha fallado en el incidente que nos
ocupa.

Estos certificados permiten que el sistema del usuario distinga que el
código que va a ejecutar ha sido firmado digitalmente por un
certificado de VeriSign emitido a nombre de una determinada empresa.
Este esquema nos proporciona autenticación, evitando troyanos que se
hagan pasar por software original, e integridad, impidiendo que la
aplicación haya podido sufrir modificaciones desde su origen hasta
llegar a nuestras manos.

Microsoft es la gran consumidora de certificados digitales, ya que
basa gran parte de su seguridad en la tecnología Authenticode. El
ejemplo más claro lo encontramos en las diferencias entre los applets
de Java y los controles Active-X. Sun pensó en la seguridad mientras
diseñaba el lenguaje de programación y, a posteriori, con la máquina
virtual de Java, que impide a los applets acceder de forma directa al
sistema del usuario y verifica el byte-code antes de su ejecución para
comprobar que cumple con todas las normas de seguridad. Microsoft
apostó porque los controles Active-X pudieran llevar a cabo cualquier
tipo de acción en el sistema con la única condición de que el usuario
sea informado con anterioridad del origen del control para que pueda
decidir si quiere ejecutar o no el código según el nivel de
confiabilidad que le merezca el certificado que lo acompaña o su
ausencia.

Los certificados fraudulentos de clase 3 fueron emitidos el 29 y 30 de
enero de este año y pueden ser utilizados para firmar aplicaciones,
tales como controles Active-X o macros de Office. Hasta el momento no
se ha detectado su utilización, al menos de forma notoria y masiva
como podría ser la distribución de un virus o un gusano al ser
lanzados desde una página Web o un mensaje de correo electrónico,
posibilidad que decrece a medida que pasa el tiempo. Otras hipótesis
apuntan a que ya se hayan utilizado para llevar a cabo un ataque
dirigido a una corporación determinada.

En cualquier caso, los usuarios puede identificar los certificados a
través de los datos que se visualizarían en el cuadro de diálogo que
aparecería al intentar ejecutar una aplicación firmada con ellos:

Certificado 1
Issued by VeriSign Commercial Software Publishers CA
Validity period is 1/29/2001 to 1/30/2002
Serial number is 1B51 90F7 3724 399C 9254 CD42 4637 996A

Certificado 2
Issued by VeriSign Commercial Software Publishers CA
Validity period is 1/30/2001 to 1/31/2002
Serial number is 750E 40FF 97F0 47ED F556 C708 4EB1 ABFD

También se encuentran en la siguiente lista de revocación de
certificados que se puede descargar en:

http://crl.verisign.com/Class3SoftwarePublishers.crl

La imagen de VeriSign se ha visto manchada por partida doble. Por un
lado comete el error en el proceso más básico, pero al mismo tiempo
más crítico, en el que se basa su negocio; por otro, involucra a la
empresa de software más importante que engloba a todos los usuarios de
sus populares sistemas operativos. Microsoft en este caso concreto no
tiene responsabilidad, ni se le puede reprochar su actitud ya que ha
informado de forma pública sobre el incidente y está trabajando en un
parche para evitar males mayores. Poco más puede hacer, a no ser que
se plantee la reestructuración de toda su estrategia de seguridad.

Otros actores secundarios en este drama son las empresas antivirus.
Tanto Network Associates (McAfee) y Symantec (Norton) han saltado a la
arena para anunciar que sus antivirus cuentan con actualizaciones para
detectar los certificados fraudulentos, como si de un virus se tratara.
Además de la labor preventiva de esta iniciativa, sin olvidar también
cierto grado de oportunismo desde el punto de vista de marketing, el
anuncio del incidente por parte de las casas antivirus tiene una
segunda lectura algo más escondida que ha pasado desapercibida y sobre
la que reflexionaremos en una próxima entrega.



Bernardo Quintero
bernardo@hispasec.com


Más información:

VeriSign Security Alert Fraud Detected in Authenticode Code Signing
Certificates:
http://www.verisign.com/developer/notice/authenticode/index.html

Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard:

http://www.microsoft.com/technet/security/bulletin/MS01-017.asp

CERT Advisory CA-2001-04 Unauthentic "Microsoft Corporation" Certificates:

http://www.cert.org/advisories/CA-2001-04.html

Invalid Certificate:
http://vil.nai.com/vil/virusSummary.asp?virus_k=99058

Symantec First to Provide Anti-Virus and Enterprise Security Management
Protection Against Recently Issued Fraudulent Verisign Digital Certificates:
http://www.symantec.com/press/2001/n010324.html

Invalid Certificate:
http://www.sarc.com/avcenter/venc/data/invalid.certificate.html

Advertencia sobre certificados digitales falsos:
http://videosoft.tripod.com/vulms01-017.htm

Microsoft, VeriSign y los certificados digitales:
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=35

FAQ: Microsoft security breach:
http://www.zdii.com/industry_list.asp?mode=news&doc_id=ZD5080023

VeriSign erroneously issues Microsoft digital certificates:
http://www.computerworld.com/cwi/story/0,1199,NAV47_STO58857,00.html

Network Associates AVERT and COVERT Labs Advise of Invalid VeriSign Digital Certificates:
http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&STORY=/www/story/03-25-2001/0001454858&EDAT



domingo, 25 de marzo de 2001

Vulnerabilidad en Novell NetWare

Las versiones de Novel NetWare entre 3.1 y 5.1 permiten que un usuario
malicioso haga "log in" (acceda) en el sistema sin más que introducir un
nombre de un servidor de impresora como nombre de usuario. Ello es
debido a que, por defecto, los servidores de impresora tienen asignada
una clave en blanco.
Cuando un usuario utilida esta vulnerabilidad para acceder a la red
Novell NetWare, tendrá los mismos privilegios del contenedor en el que
resida.

Dado el sistema de funcionamiento de los servidores de impresión
NetWare, es dudoso que esto cambie, por lo que se recomienda a todos los
administradores Novell NetWare que configuren adecuadamente su
contenedor para restringir los privilegios de este tipo de cuentas a los
mínimos imprescindibles. Lamentablemente ello supone mantener
privilegios de acceso y modificación de las colas, algo que se sabe que
ha sido utilizado por atacantes maliciosos para almacenar en ellas
ficheros de dudosa legalidad, o para "engañar" al sistema de cuotas de
disco.

El problema parece no afectar a los servidores de impresión NDPS, sólo a
los servidores de colas.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Novell GroupWise Network Directory Browsing Vulnerability:
http://www.securityfocus.com/bid/2365

Novell:
http://www.novell.com/



sábado, 24 de marzo de 2001

Vulnerabilidad en Eudora 5.02

Una vulnerabilidad detectada en el cliente de correo Eudora 5.02 permite
la ejecución de un archivo al leer el mensaje recibido sin que el
destinatario sea avisado de ello.
Para que se pueda explotar esta vulnerabilidad del Eudora 5.02, es
necesario tener Microsoft Internet Explorer como navegador
predeterminado para la lectura de mensajes html (a través de la opción
"use Microsoft viewer" del lector de correo). Igualmente el visor web
deberá tener habilitado las opciones "mostrar imágenes" y "Ejecutar
programas y archivo en IFRAME".

El ataque se basa en engañar al navegador con dos falsas imágenes, la
primera incluye el ejecutable malicioso mientras que la segunda contiene
una llamada a un programa simple en Javascript y un control ActiveX. Con
esta estrategia el programa conseguiría la ejecución del archivo ".exe"
simulado en la primera imagen.

La peligrosidad de esta vulnerabilidad es evidente, debido a que cada
día es mas fácil encontrar por Internet lugares donde encontrar virus,
gusanos etc, que pueden facilitar la explotación de este tipo de
problemas y dejan la seguridad de nuestras máquinas en entredicho.

Mientras sale a la luz pública un parche que evite este problema,
aconsejamos a los usuarios del cliente de correo Eudora en su versión
5.02 que desactiven del lector de correo la opción "use Microsoft
viewer"

Un ejemplo del mensaje HTML, que explotaría la mencionada vulnerabilidad
quedaría de la siguiente forma.

≶img SRC="cid:archivo.malicioso" style="display:none">
≶img id=W0W src="cid:malware.com" style="display:none">≶BR>
≶center>≶h6>Mensaje malicioso para Eudora≶/h6>≶/center>
≶IFRAME id=malware width=10 height=10 style="display:none">≶/IFRAME>

≶script>
// 18.03.01 http://www.malware.com/
malware.location.href=W0W.src
≶/script>



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

Problemas en Eudora 5.02:
http://www.net-security.org/text/bugs/985136999,53955,.shtml



viernes, 23 de marzo de 2001

Actualización de Apache

Se ha publicado una nueva versión de Apache, la 1.3.19, que soluciona
varios problemas de seguridad.

Apache es un servidor web "Open Source", disponible para entornos Unix y
Windows, y se trata del servidor web más popular en Internet, con
diferencia. En la última estadística (Febrero de 2.001) Apache
representa casi el 60% de los servidores web de Internet. Por
comparación, el segundo clasificado, el Internet Information Server de
Microsoft, no llega al 20%.

Las versiones de Apache previas a la 1.3.19 son susceptibles a un ataque
que permite obtener el listado de un directorio determinado, en vez del
fichero índice personalizado por idioma. El problema se debe a una
interacción entre los módulos "mod_negotiation", "mod_dir" y
"mod_autoindex", cuando se solicita una URL muy larga. En la versión
1.3.19 de Apache, se devuelve un código 403 FORBIDDEN (acceso denegado).

Se recomienda actualizar a Apache a 1.3.19, ya que soluciona varios
problemas más, aparte del descrito.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache:
http://httpd.apache.org/

Apache 1.3.19 Released:
http://httpd.apache.org/dist/Announcement.html

Cambios:
http://httpd.apache.org/dist/CHANGES_1.3

The Netcraft Web Server Survey:
http://www.netcraft.com/survey/



jueves, 22 de marzo de 2001

Graves problemas de seguridad en scripts para IRC

IRC-Hispano alerta sobre graves problemas de seguridad existentes
en scripts muy difundidos entre los usuarios de IRC. Las
vulnerabilidades detectadas permiten ejecutar cualquier comando en la
máquina de la víctima, facilitando a un potencial atacante acceso
total al sistema del usuario.
A continuación reproducimos la nota de prensa emitida por IRC-Hispano
al respecto.



NOTA DE PRENSA OFICIAL DE IRC-HISPANO

(esta nota está disponible online en
http://www.irc-hispano.org/noticias/nota_prensa1.html)

Madrid, 22 de Marzo de 2.001

PROBLEMAS DE SEGURIDAD EN SCRIPTS IRC POPULARES

Muchos de los scripts utilizados por los usuarios de IRC (Internet
Relay Chat), para potenciar sus funcionalidades y facilidad de uso,
adolecen de graves problemas de seguridad.

IRC-Hispano está llevando a cabo estos días un muestreo de seguridad
de los scripts más populares que se usan en esta red de IRC.

Despues de numerosas comprobaciones, hoy podemos asegurar que VARIOS
de los scripts más populares que utilizan los usuarios ponen en
peligro su privacidad y seguridad.

Los scripts problemáticos detectados hasta este momento, y con cierta
relevancia en el ámbito del IRC mundial, tienen en común una total
desprotección de sus usuarios, aunque en cada caso el error se
localiza en gestores de eventos remotos diferentes. Las
vulnerabilidades permiten ejecutar cualquier tipo de comando en la
máquina de la víctima dejando, por tanto, el disco duro del usuario y
la integridad del sistema en manos del atacante.

Este error que se ha descubierto en el "Xcript" primero y luego en
varios scripts más, como el "IRCap", script de uso mayoritario en
IRC-Hispano, "Mesias", "Orion", "Cascabel", "oo7script", y una lista
interminable...

IRC-Hispano tiene un solución online para solventar el problema del
"Xcript" y "Mesias": ejecutando el comando "/whois test", las versiones
vulnerables de estos scripts cierran la vulnerabilidad automáticamente.
El autor del "IRCap" ha publicado también una actualización del popular
script.

IRC-Hispano, según fuentes fiables, es la única red del mundo que ha
publicado estos fallos de los scripts, y ha aportado soluciones para
que sus usuarios no vean comprometida su seguridad y privacidad.
Seguimos testando scripts para que los usuarios de IRC de IRC-Hispano
y el resto de redes de IRC del planeta estén seguros y protegidos
ante ataques que se aprovechen de errores de programación en los
scripts más habituales.

Se recuerda a los usuarios que el uso de un script en IRC no es algo
necesario y que, en determinados casos, incluso puede ser algo muy
poco recomendable. Un script debe considerarse igual a cualquier otro
programa que ejecutemos en nuestras máquinas, con las precauciones
habituales sobre virus, caballos de troya, etc. Se puede acceder a
todas las funcionalidades de la tecnología IRC sin necesidad de
instalar ningún tipo de script adicional.

Los usuarios que deseen seguir utilizando scripts deben preocuparse de
mantenerlos permanentemente actualizados, y revisar frecuentemente sus
sistemas en busca de virus, gusanos y caballos de troya.

De cara a todos los usuarios, IRC-Hispano recomienda las medidas de
profilaxis estándar en Internet: no aceptar ficheros de desconocidos,
no lanzar programas de procedencia dudosa y no ejecutar comandos en
nuestro sistema, a petición de otro usuario, cuya utilidad o
implicaciones desconozcamos.

Para más información, dirigirse a
http://www.irc-hispano.org/ayuda/seguridad.html

Esta nota de prensa está disponible online en
http://www.irc-hispano.org/noticias/nota_prensa1.html

INFORMACIÓN ADICIONAL PARA MEDIOS DE COMUNICACIÓN

Los datos de contacto de la asociación IRC-Hispano están en
http://www.irc-hispano.org/contacto/



INFORMACIÓN SOBRE IRC-HISPANO

IRC-Hispano es una red de IRC en castellano formada en 1.996 y
constituida formalmente como asociación en 1.999. Supera
rutinariamente los 36.000 usuarios simultaneos y el medio millón de
accesos diarios. Constituye la mayor red de IRC del mundo, en
castellano.

Los estatutos de la asociación IRC-Hispano se pueden consultar en
http://www.irc-hispano.org/admin/estatutos.html.



INFORMACIÓN SOBRE IRC

IRC (Internet Relay Chat) es un protocolo Internet por medio del cual
los usuarios pueden establecer conversaciones en tiempo real con otros
miles de usuarios y servicios, en cualquier lugar del mundo. Los
usuarios pueden establecer conversaciones tanto privadas uno-a-uno
como conversaciones abiertas dentro de canales temáticos. Cualquier
usuario puede crear canales de temática arbitraria, para contener
comunidades interesadas en dicha temática.



ENLACES RELACIONADOS:

IRC-Hispano
http://www.irc-hispano.org/

Estatutos IRC-Hispano
http://www.irc-hispano.org/admin/estatutos.html

IRC-Hispano: Bug de seguridad detectado en varios scripts
http://www.irc-hispano.org/ayuda/seguridad.html

"Xcript" y "Mesias"
http://www.relativo.com/

IRCap
http://www.ircap.net/





Jesús Cea Avión
jcea@hispasec.com



miércoles, 21 de marzo de 2001

Análisis del polifacético y peligroso Magistr

Este espécimen con características de gusano de Internet y virus para
Win32 ya fue protagonista de una anterior entrega donde alertábamos de
su peligrosidad. Hoy conoceremos más de cerca a Magistr y
descubriremos nuevas facetas de su funcionamiento. Aunque ha decaído
la atención de los medios y casas antivirus sobre él, desde Hispasec
seguimos detectando cierta actividad que podría ser más evidente
dentro de unas semanas cuando Magistr lleve a cabo los efectos dañinos
que guarda en su interior.

Como ya avanzamos se trata de un virus residente y polimórfico para
Win32 que infecta ficheros con formato PE (Portable Executable). En su
faceta como gusano destacamos su capacidad para cambiar el nombre
del fichero y el aspecto del mensaje en el que se auto envía a través
de una rutina SMTP propia. Magistr también asegura su lanzamiento en
memoria cada vez que se inicia el sistema introduciendo una entrada
en el registro de Windows y en el fichero WIN.INI que apunta al primer
fichero que logra infectar. En el apartado de payloads tampoco
escatima y cuenta con rutinas para borrar los discos duros, la CMOS y
la Flash BIOS, así como efectos gráficos en el escritorio.
Comenzaremos con la explicación de sus efectos dañinos.

Payloads

El efecto menos dañino se puede catalogar como una "broma gráfica".
Atendiendo a unos contadores internos el virus comenzará a mover los
iconos del escritorio de Windows cuando detecta que se acerca a uno de
ellos el puntero del ratón, impidiendo que nos podamos situar sobre
ellos, dando la sensación de que escapan porque no quieren ser
pinchados.

Desgraciadamente lo anterior es sólo una anécdota, pasado un mes de la
primera infección el virus desata una rutina que tiene como misión
borrar la información de todas las unidades locales y de red a las que
tiene acceso para ello sobrescribe todos los ficheros con la cadena
"YOUARESHIT" en un intento de impedir su recuperación.

Con el primer disco duro local llega a sobrescribir directamente el
primer sector a través de los puertos 1F0h-1F7h. También inicializa
la información de la CMOS con ceros a través de los puertos 70h y 71h,
y por último borra la Flash BIOS mediante la misma rutina que ya
hiciera famoso al virus CIH. Estos últimos payloads sólo se reproducen
en los sistemas Windows 9x ya que necesita llevarlos a cabo desde
Ring-0.

Después de llevar a cabo las acciones destructivas muestra el
siguiente mensaje:

   Another haughty bloodsucker.......
   YOU THINK YOU ARE GOD ,
   BUT YOU ARE ONLY A CHUNK OF SHIT

Instalación en el sistema

Cuando ejecutamos un fichero infectado el virus se sitúa residente en
memoria de forma oculta al instalarse como un componente del proceso
ya existente EXPLORER.EXE. Para lograrlo modifica este proceso en
memoria para añadir una entrada que apunte al cuerpo principal del
virus, así consigue que éste se ejecute como un hilo de EXPLORER.

Pasados 3 minutos el virus busca el primer fichero con formato PE del
directorio de Windows, lo infecta, y lo copia en WINDOWS\SYSTEM con
el último carácter del nombre modificado. A continuación añade una
entrada en el registro de Windows para que el fichero infectado se
ejecute cada vez que se inicie el sistema
(HKLM\Software\Microsoft\Windows\CurrentVersion\Run), y con el mismo
fin añade una instrucción "run=" en el fichero WIN.INI. En este punto
Magistr también es muy cuidadoso, el virus no devuelve el control a
la aplicación infectada cuando es llamada al iniciar el sistema,
impidiendo su ejecución, ya que de lo contrario podría alertar al
usuario el ver que algo extraño ocurre al encender su ordenador.

El virus también posee una rutina que busca otros ficheros (.EXE y
.SRC) con formato PE para proceder a su infección, comenzará su
búsqueda por los directorios WINNT, WINDOWS, WIN95 y WINDOWS98
de todas las unidades a las que tiene acceso y añadirá la entrada
"run=" en el fichero WIN.INI para que apunte al primer fichero
infectado. De esta forma consigue que ordenadores de la red local
comiencen el proceso de infección la próxima vez que inicien el
sistema.

Para infectar los ficheros Win32 PE en primer lugar cifra el cuerpo
del virus y lo sitúa al final del fichero junto con la rutina
polimórfica para descifrarlo, a continuación modifica la cabecera del
fichero con otra rutina polimórfica para que apunte al virus. De esta
forma se asegura que al lanzar un programa infectado primero se
ejecute el virus y a continuación pase el control a la aplicación
original, las rutinas polimórficas modifican el aspecto del código
de una infección a otra en un intento de dificultar su detección.

Magistr como gusano de Internet

Otras de las acciones que lleva a cabo Magistr consiste en recopilar
los emails de las libretas de direcciones de Windows y los clientes
de correo de Microsoft y Netscape. El virus cuenta con su propia
rutina SMTP para proceder al envío, configurado para apuntar
al servidor de correo que el usuario tenga configurado como
predeterminado en el registro de Windows.

Cómo ya comentamos en el primer aviso sobre Magistr, destaca su
habilidad para cambiar el aspecto de los mensajes que envía. Para
lograrlo el virus busca párrafos y cadenas en documentos y textos
(.DOC y .TXT), y a partir de esa información construye el asunto y el
cuerpo del mensaje. Esta forma de proceder da un mayor realismo al
mensaje, ya que suelen tener relación con la actividad que desempeña
el usuario infectado. Además cumple con la misión de modificar su
aspecto de forma continua en cada envío, lo que impide que el gusano
pueda ser reconocido por su aspecto más externo. El virus, ante la
falta de documentos o ficheros de textos, también cuenta en su código
con una serie de frases en inglés, francés y español que puede
seleccionar para este menester.

El nombre del fichero que adjunta tampoco supone una pista ya que
busca entre los ficheros infectados del sistema en el que se encuentra
uno que no supere los 132kb, con lo que suele cambiar de una infección
a otra. Junto con el fichero infectado el virus también puede adjuntar
en el mismo mensaje otros ficheros que escoge al azar entre las
extensiones .DOC, .TXT y .JS (Java Script). Además de poder despistar
aun más al destinatario, esta característica tiene el peligro añadido
de que el virus puede enviar información confidencial del sistema
infectado.

Otras características destacables, que ya avanzábamos en la primera
entrega, son la capacidad de modificar la dirección de respuesta del
remitente en sus envíos (para lo cual añade o elimina caracteres), la
posibilidad de enviar el mensaje a diferentes destinatarios, o como
lleva un registro de las direcciones a las que se envía para evitar
repetirse. A nivel más interno destacan las técnicas anti-debugging
que incluye para dificultar su análisis con programas especializados
como Soft-Ice.

En el interior del virus encontramos el siguiente texto a modo de
supuesta marca del autor:

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler.
by: The Judges Disemboweler.
written in Malmo (Sweden)

Medidas preventivas

Repetimos, seguir la regla básica que siempre debemos tener presente:
no abrir los ficheros adjuntos en mensajes de correo electrónico que
no hayamos solicitado, en caso de duda confirmar con el remitente antes
de abrirlo. En segundo lugar, recordamos a los usuarios de antivirus
que deben mantenerlos actualizados de forma permanente.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Alerta: Magistr, un virus/gusano sofisticado y muy destructivo:
http://www.hispasec.com/unaaldia.asp?id=872

W32/Magistr@mm:
http://www.norman.no/virus_info/w32_magistr.shtml

Virus "Magistr" - Una peligrosa combinación:
http://www.avp-es.com/virus/magistr.html

W32/Disemboweler, alias "W32/Magistr@mm":
http://www.pandasoftware.es/library/gusano/W32Disemboweler_EN_1.htm

W32/Magistr@MM. Gusano y virus, en formato .EXE:
http://videosoft.tripod.com/magistr.htm

W32/Magistr:
http://members.es.tripod.de/virusattack/base/magistr.htm



martes, 20 de marzo de 2001

Actualización de SUDO

Las versiones de "sudo" previas a la 1.6.3p6 contienen un problema de
desbordamiento de búfer que permite que cualquier usuario local ejecute
código arbitrario en el servidor, con privilegios de "root" o
administrador.
SUDO es una herramienta de administración que permite delegar
privilegios de "root" a determinados usuarios y para ciertos comandos en
concreto. Ello posibilita, por ejemplo, que determinado grupo de
usuarios tenga acceso a ciertas herramientas, con privilegios de
administrador.

Las versiones de "sudo" anteriores a la 1.6.3p6 contienen un
desbordamiento de búfer que, convenientemente explotado, permite que
cualquier usuario local ejecute código arbitrario con privilegios de
"root".

El problema se localiza en la gestión de los parámetros de la línea de
comandos, donde es posible provocar un desbordamiento una vez que se
imprima el mensaje de error. No es necesario disponer de acceso a las
herramientas protegidas con "sudo" para poder aprovecharse de este
problema de seguridad; cualquier usuario local puede utilizar esta
vulnerabilidad.

La recomendación es actualizar "sudo" a la versión 1.6.3p6 o superior,
sobre todo si existen usuarios potencialmente maliciosos con acceso al
sistema.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Sudo Main Page:
http://www.courtesan.com/sudo/

Bugzilla: Possible Buffer Overflow in sudo:
http://www.courtesan.com/bugzilla/show_bug.cgi?id=27

DSA-031-2 sudo: buffer overflow:
http://www.debian.org/security/2001/dsa-031

MandrakeSoft Security Advisory: SUDO:
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-024.php3?dis=7.2



lunes, 19 de marzo de 2001

Denegación de servicio contra SSH Secure Shell

Las versiones Windows de SSH Secure Shell se ven afectadas por un
problema de denegación de servicio basado en establecer múltiples
conexiones contra el servidor.
El problema reside en la versiones Windows de sshd, más exactamente en
la versión 2.4, la última publicada. La vulnerabilidad consiste en el
tratamiento realizado por sshd a las conexiones consecutivas, ya que es
incapaz de manejar 64 conexiones simultaneas. Como resultado, si un
atacante llega a realizar estas 64 conexiones sshd fallará y dejará de
funcionar.

El problema radica en ssheloop.c donde las pruebas de comprobación
fallan. El Visor de Eventos muestra el siguiente mensaje una vez que se
han realizado las 64 conexiones.

FATAL ERROR: E:\src\lib\sshutil\ssheloop\win32\ssheloop.c:1597
SshEventLoop
(function name unavailable) Assertion failed:
ssh_adt_num_objects(ssh_eloop_events) < 64
SSH Communications Security ha informado la próxima publicación de la
versión 2.5 en la que se corregirá el problema. Mientras tanto han
proporcionado como contramedida fijar la entrada MaxConnections en el
archivo sshd2_config a un valor inferior a 64, con lo que se evita el
problema descrito:

# General settings
MaxConnections 50

Al configurar el número máximo de conexiones a 50 deja un margen de
seguridad para eventos adicionales que se generan dependiendo del
entorno.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de USSR Labs:
http://www.securityfocus.com/advisories/3158

SSH Communications Security:
http://www.ssh.com/

Respuesta de SSH Communications Security:
http://www.securityfocus.com/archive/1/169398



domingo, 18 de marzo de 2001

Denegación de servicios contra los sistemas de detección de Intrusos

Se ha descubierto la existencia de una nueva herramienta capaz de
provocar un ataque de denegación de servicios contra los sistemas de
detección intrusos. De forma que estos queden sin efectividad y dejen
expuestos ante cualquier otro ataque el resto de sistemas de la red
corporativa.
El propio NIPC (National Infrastructure Protection Center) norteamericano
se ha hecho eco del problema y alerta a todos los administradores de la
existencia de dicha herramienta. Este nuevo programa, bautizado por sus
creadores como "stick" consigue reducir el rendimiento e incluso llegar
a la denegación del servicio de una gran mayoría de los productos de
detección de intrusos. Stick envía cientos de falsos ataques contra el
sistema, lo que hace que el proceso adicional para manejar la gran
cantidad de alertas llegue a consumir toda la carga del sistema y cause
la denegación del servicio de detección.

Stick no emplea ningún método de ataque novedoso ni deja al descubierto
nuevas vulnerabilidades en los sistemas de detección de intrusos. Stick
emplea una técnica directa de dirigir múltiples ataques aleatorios desde
direcciones IP igualmente aleatorias. Todo ello con el propósito de
activar los eventos del servicio de detección de intrusos. Como en todo
este tipo de ataques, su efectividad y éxito depende en gran medida del
ancho de banda del atacante.

ISS avisa de que las versiones para Windows NT y Windows 2000 de su
producto RealSecure Network Sensor 5.0 son vulnerables ante este
problema, mientras que la versión para Solaris parece quedar a salvo.
La firma ha publicado dos parches que limitan el riesgo del ataque por
Stick.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de ISS:
http://xforce.iss.net/alerts/advise74.php

Aviso del NIPC:
http://www.nipc.gov/warnings/assessments/2001/01-004.htm



sábado, 17 de marzo de 2001

El 25% de las agencias gubernamentales norteamericanos son vulnerables

Un informe del IRS (Internal Revenue Service) informa que el 25% de las
agencias gubernamentales norteamericanas son vulnerables a un ataque de
sus sistemas.
En un informe presentado por investigadores norteamericanos se ha
confirmado lo que en ciertos entornos se sabía o sospechaba, las
agencias gubernamentales son vulnerables a ataques externos. El problema
es mucho más graves al verse afectados por métodos tan simples como la
comprobación de contraseñas manualmente, algo así como ir probando
contraseñas de las denominadas no seguras (apellidos del usuario, lugar
de origen etc.).

Estos auditores de sistemas pudieron acceder a datos tan sensibles como
los números de la seguridad social, importes pagos a la agencia de
tributación norteamericana, etc. Según Bob Dacey, Director de seguridad
de la General Accounting Office y autor del estudio
informó "Nosotros podíamos acceder a todo lo archivado
electrónicamente".

Lo que es bastante extraño es la afirmación que se realiza en este
estudio, acerca de que el pasado año no hubo ninguna intrusión en los
sistemas del IRS (Servicio Interno Fiscal de los Estados Unidos), cuando
a la vez se afirma que no estaban preparados para detectar dichas
intrusiones. Al final del informe se comunica que todas las
vulnerabilidades detectadas dentro de los servicios auditados han sido
solucionadas.

Al ver este estudio y conscientes de la importancia que se da a la
seguridad en los organismos oficiales en general, nada nos hace
descartar que en agencias gubernamentales (no norteamericanas) también
se den este tipo de problemas. Es necesario que todos los usuarios y más
aún las instituciones encargadas de velar por nosotros tengan más
conciencia de la necesidad de instaurar políticas de seguridad.



Antonio Román Arrebola

antonio_roman@hispasec.com


Más información:

Report: Tax Returns Prone to Hackers:
http://www2.startribune.com/stOnLine/cgi-bin/article?thisStory=83793160

Internal Revenue Service:
http://www.irs.gov/

General Accounting Office:
http://www.gao.gov/

National Taxpayers Union:
http://www.ntu.org/


viernes, 16 de marzo de 2001

Nueva versión del troyano SubSeven

SubSeven es uno de los troyanos de Internet más clásicos, junto con
NetBus y BackOrifice ocupa los primeros puestos en este tipo de
programas maliciosos. Este troyano se hace aun más peligroso con la
aparición de la versión 2.2 que aporta novedosas características.
SubSeven se ha convertido en los últimos tiempos en uno de los troyanos
contra máquinas Windows más populares, debido principalmente a sus
capacidades de modificación y las posibilidades de control que aporta a
los atacantes. La anterior versión que data de principios del pasado año
fue analizada en Hispasec cuando apareció.

Entre las acciones que podían llevarse a cabo con la anterior versión se
contaba el apagado del ordenador remoto, recuperación de las passwords
grabadas, grabador de pulsaciones de teclado, visor de portapapeles,
información del ordenador atacado, movimiento del ratón remoto, abrir y
cerrar la unidad del CD-ROM, control del sistema de archivos (creación,
borrado y edición de archivos y directorios) y un largo etcétera de
posibilidades.

Ahora, en la nueva versión, se han incluido nuevas funcionalidades
destinadas a potenciar su poder dañino y dificultar la acción de los
antivirus y de localización de atacante. Mediante el soporte de proxy
SOCKS4/SOCKS5 un atacante podrá camuflar su localización verdadera al
ordenador atacado al poder emplear una máquina intermedia como proxy
entre el ordenador del usuario infectado y el del atacante.

Mediante un interfaz gráfico que facilita el uso SubSeven incluye un
sniffer de paquetes, una de las herramientas más temidas de la red. De
esta forma el atacante podrá escuchar y monitorizar todo el tráfico de
red que pasa por la máquina atacada. Esta información podrá quedar
grabada en un log que será fácilmente recuperado por el atacante. Así
podrá conseguir información no sólo de la máquina atacada, sino de todas
las que conforman la red.

Para dificultar aun más su localización SubSeven 2.2 incluye una nueva
característica por la cual el módulo servidor, el instalado en el
ordenador atacado, podrá escuchar en un puerto diferente cada vez que se
inicia. El propio programa se puede configurar para que notifique al
atacante del cambio de puerto de escucha.

La captura de passwords y textos introducidos en el teclado es aun mucho
más sencilla para un atacante. Aunque la posibilidad de capturar y
almacenar las pulsaciones del teclado era una posibilidad ya existente
en anteriores versiones, en SubSeven 2.2 se posibilita el envío
automático de dichas grabaciones de teclado de forma automática a una
dirección de e-mail. De esta forma se puede conseguir información sobre
passwords capturadas en cuadros de diálogo, passwords de red, de correo,
de conexión a Internet, etc.

Pero lo que aun lo hace más peligroso es su diseño modular. El grupo
creador de esta herramienta anuncia la próxima publicación de un SDK
(Software Development Kit) para la creación de plugins o módulos a
medida. Esto en combinación con la arquitectura modular del programa,
hará que al popular troyano sea más difícil de detectar que las
anteriores versiones.



Antonio Ropero
antonior@hispasec.com


Más información:

Hispasec 27/1/2000. SubSeven 2.1 Gold, un nuevo troyano entra en escena:
http://www.hispasec.com/unaaldia.asp?id=457

SubSeven:
http://www.sub7files.com/

Internet Security Systems (ISS) X-Force:
http://xforce.iss.net/alerts/advise73.php

ZDNet. Updated backdoor tool gets even nastier:
http://www.zdnet.com/zdnn/stories/news/0,4586,2695851,00.html



jueves, 15 de marzo de 2001

Alerta: Magistr, un virus/gusano sofisticado y muy destructivo

Escrito íntegramente en ensamblador este espécimen combina la
capacidad de infectar ficheros Windows con formato PE con la de
propagarse a través de mensajes de correo electrónico y redes locales.
Lo peor está aun por llegar, en su interior contiene varios efectos
que se disparan pasado un tiempo de la infección, entre los que
destacan el sobrescribir todos los discos duros y unidades de red a
las que tiene acceso, así como el borrado de la CMOS y la Flash BIOS
en los sistemas Win9x. En España ya se han detectado las primeras
infecciones.
¿Como podemos detectar que llega a nuestro ordenador?

Cuando de i-worms (gusanos de Internet) se trata en muchas ocasiones
podemos avisar bajo que nombre de fichero se esconde o el texto que
aparece en el asunto del mensaje donde se adjunta y autodistribuye
a través del correo electrónico. En esta ocasión el reconocimiento a
primera vista resulta algo más complicado, ya que Magistr utiliza
varias técnicas para cambiar su aspecto más superficial.

En primer lugar tanto el asunto como el cuerpo del mensaje lo
construye de forma aleatoria buscando palabras y frases que busca en
documentos (.DOC) y ficheros de texto (.TXT) del sistema infectado
(incluyendo todos los discos duros y unidades de red). Además posee
una lista interna de posibles asuntos en Español, Francés e Inglés
que puede escoger al azar. El nombre de fichero donde se esconde
también cambia ya que puede ser uno cualquiera de los que se
encuentren en el sistema y haya infectado, por lo que la única pista
que podemos tener es que se trata de un ejecutable (.EXE).

Por si fuera poco el gusano también tiene la habilidad de adjuntar
otros ficheros (.DOC, .TXT o .JS) del sistema junto con el ejecutable
infectado, de esta forma puede confundir aun más al que recibe el
mensaje y, además, implica que puede estar enviando información
sensible del usuario infectado de forma indiscriminada.

La cosa no acaba aquí, Magistr también tiene la capacidad de modificar
la dirección de respuesta del remitente, añadiendo o eliminando
caracteres, por lo que si recibimos el gusano y lo detectamos tal vez
no podamos avisar al remitente de que está infectado. En cuanto a las
direcciones de e-mail a las que se envía, el gusano es capaz de
recolectarlas de las libretas y bandejas de varios clientes de correo.

Además de la vía de propagación masiva que supone el autoenvío a
través del correo electrónico, no debemos olvidar que Magistr puede
llegar a nosotros a través de la red local o infectarnos como si de
un virus tradicional se tratara al ejecutar aplicaciones desde CDs o
discos ya contaminados.

Aun hay más...

En la descripción anterior sólo se encuentran algunas de las
características más superficiales de Magistr. En su interior nos
encontramos con un elaborado código con rutinas polimórficas y
técnicas anti-debugging que intentan dificultar su estudio.

Desde Hispasec procederemos a una segunda entrega sobre Magistr con
una descripción completa y análisis al detalle, si bien consideramos
lanzar esta primera alerta para que los usuarios tomen precauciones
al respecto.

Medidas a tomar

En primer lugar seguir la regla básica que siempre debemos tener
presente: no abrir los ficheros adjuntos en mensajes de correo
electrónico que no hayamos solicitado, en caso de duda confirmar con
el remitente antes de abrirlo. En segundo lugar, recordamos a los
usuarios de antivirus que deben mantenerlos actualizados de forma
permanente, de forma especial aconsejamos que lo hagan cuando lean
estas líneas, ya que la mayoría de las casas antivirus disponen ya
de la actualización para detectar a Magistr.



Bernardo Quintero
bernardo@hispasec.com



miércoles, 14 de marzo de 2001

Parche para el problema de IIS 5.0 con WebDAV

Recientemente informábamos de una vulnerabilidad descubierta por
Guninski y que hacía referencia a Internet Information Server con las
extensiones WebDAV, hasta el momento la única solución posible para
el problema pasaba por desactivar dichas extensiones en los sistemas
afectados. Ahora Microsoft corrige el problema y publica un parche
para cubrir la vulnerabilidad.
El pasado día 9 de marzo informábamos sobre una vulnerabilidad
descubierta por Georgi Guninski en la cual se hacía referencia a un
problema de denegación de servicios debido a la posibilidad de
reiniciar remotamente todos los servicios relacionados con IIS
mediante una petición creada de forma especial.

WebDAV es una extensión del protocolo http que permite la colaboración
remota y la administración de contenidos web. En la implementación en
Windows 2000 de este protocolo IIS 5.0 realiza el tratamiento inicial de
todas las peticiones WebDAV para luego pasar los comandos apropiados al
procesador WebDAV. Sin embargo, existe un defecto en la forma en que
WebDAV maneja un tipo particular de petición maliciosamente construida.
Si se envían diversas peticiones a un servidor afectado, podrá llegar a
provocarse el consumo de todos los recursos de la CPU disponibles.

Microsoft publicó un boletín en el que se explicaban una serie de
contramedidas consistentes en modificar los permisos de la dll encargada
de proporcionar los servicios WebDAV. Ahora, Microsoft publica una
revisión del anterior boletín junto con el parche que cubre
correctamente el problema. Además recomienda la instalación de esta
nueva actualización al cambio de permisos anteriormente indicado.

El parche puede recibirse de la siguiente dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=28564



Antonio Ropero
antonior@hispasec.com


Más información:

Hispasec 9/3/2001. Denegación de servicios en IIS 5.0:
http://www.hispasec.com/unaaldia.asp?id=866

Boletín de seguridad de Microsoft (MS01-016):
http://www.microsoft.com/technet/security/bulletin/ms01-016.asp

Georgi Guninski:
http://www.guninski.com/iispropover.html

WebDAV:
http://www.webdav.org/



martes, 13 de marzo de 2001

Democracia electrónica ¿a la vuelta de la esquina?

Las votaciones a través de Internet vuelven a estar en el candelero y
en boca de políticos y periodistas tras la aprobación en el Senado de
la creación de una comisión de estudio del voto electrónico. Esta
iniciativa, impulsada por el senador popular guipuzcoano Gonzalo
Quiroga ante la tensión vivida por el electorado en pequeñas
localidades vascas, tiene como objetivo evaluar la viabilidad
tecnológica y social de la implantación de aplicaciones de voto por
Internet. Una vez más, se pretende así situar a España a la cabeza de
las iniciativas comunitarias en el ámbito de la nueva Sociedad de la
Información, como abanderada de la democracia electrónica.
Al margen de demagogias y oportunismos, todos los políticos y
analistas coinciden en señalar que la mayor preocupación que suscita
el voto electrónico es la seguridad. Los sistemas de votación a
través de Internet constituyen una de las aplicaciones más complejas
que se han propuesto hasta la fecha en el contexto de las nuevas
tecnologías. Sus retos, tanto desde un punto de vista técnico como
sociopolítico, son difíciles de solucionar y todavía ninguna empresa
ni gobierno ha encontrado la piedra filosofal que los resuelva de
manera completa y cerrada

En primer lugar, conviene recordar cuáles son los requisitos de
seguridad que deben exigirse a todo sistema de votación electrónica
para poder ser considerado viable:

- - Anonimato: no resultará posible vincular el contenido del voto con
quien lo emitió. Además, la aplicación no permitirá que los votantes
puedan demostrar cuál fue su voto, ya que así se elimina la
posibilidad de compra de votos o de extorsión, problema especialmente
puesto de relieve en la crisis política del País Vasco.

- - Corrección: la aplicación de votación electrónica no admitirá la
alteración de un voto que haya sido previamente validado ni permitirá
la inclusión fraudulenta de votos no autorizados.

- - Democracia: la aplicación sólo permitirá el voto a miembros
autorizados del electorado y, por supuesto, sólo se podrá votar una
vez.

- - Verificabilidad: los votantes podrán comprobar, de manera
independiente, que sus propios votos han sido realmente incluidos en
el recuento final. En caso de que no sea así, el votante podrá
demostrar el fraude sin necesidad de que se revele cuál era el
contenido de su voto. La verificabilidad universal permitiría que
cualquier votante verificase la integridad de todo el conjunto de
votos, no sólo del suyo propio.

Como puede intuirse, se trata de un conjunto de requisitos a menudo
contradictorios y de muy difícil cumplimiento. Empresas españolas
como Indra (www.indra.es) o Isoco (www.isoco.com) ofrecen soluciones
de voto electrónico, aunque de momento operativas solamente es
escenarios reducidos y controlados. Y es que los problemas de
seguridad, habida cuenta del estado actual de la tecnología, resultan
ahora mismo insalvables.

Pero supongamos que una empresa da con el sistema perfecto, que
garantiza los cuatro servicios de seguridad arriba mencionados. Por
desgracia, como bien saben los ingenieros, no es lo mismo considerar
una solución en un entorno controlado de laboratorio, donde los
ordenadores son seguros y los usuarios, expertos, que desplegar la
misma solución en un escenario real: los usuarios no están
familiarizados con la tecnología, se les puede engañar fácilmente,
sus ordenadores son inseguros, su acceso se puede comprometer, son
vulnerables a todo tipo de ataques, la red puede encontrarse bajo
ataque, los ordenadores centrales de voto pueden resultar
comprometidos, ...

En primer lugar, la identificación de los usuarios constituye un
problema peliagudo, que se resolverá por medio de certificados
digitales cuyo uso, como bien señala el senador Quiroga, está
recogido en nuestra legislación, por lo que un sistema de este tipo
sería completamente válido y legal. Lo que no llega a señalar es que,
hoy por hoy, son perfectamente inseguros. Actualmente se almacenan en
el disco duro del usuario sin ni siquiera protección con contraseña.
Cualquiera con acceso físico al disco (y con Windows 9x, el sistema
operativo de la casi totalidad de usuarios domésticos, esto significa
literalmente "cualquiera") puede robar el certificado. Es más, dado
que estos usuarios domésticos desconocen y no se protegen ante los
riesgos de seguridad de una conexión a Internet, sucumben fácilmente
víctimas del ataque de hackers, caballos de Troya y, por qué no, de
otro miembro de la familia o del despacho. En definitiva, un
certificado digital, tal y como se gestiona, no ofrece ninguna
garantía de identificación del usuario. Se puede argumentar que las
tarjetas inteligentes resuelven el problema. Sí, pero, ¿cuántos
usuarios poseen un lector de tales tarjetas? ¿Cuántos años pasarán
antes de que una masa crítica del electorado los adquiera?

Está bien, imaginemos que los certificados se almacenan y gestionan
de forma segura y responsable en una tarjeta inteligente resistente a
manipulaciones por usuarios domésticos concienciados y educados en
las nuevas tecnologías de la información. Se habría resuelto, al
menos a primera vista, el problema de los ataques en el extremo del
cliente. ¿Y los ataques al sistema central de voto? ¡Qué botín tan
apetitoso! Y no sólo para hackers quinceañeros aburridos de jugar a
la PlayStation. Estamos hablando de agencias de inteligencia de
gobiernos rivales, de organizaciones criminales y grupos terroristas,
de ataques que contarían con los recursos humanos y económicos como
para disfrutar de unas posibilidades de éxito respetables. Ataques de
denegación de servicio, para impedir el voto; ataques que modifiquen
los votos; o simplemente ataques que hagan dudar de si se corrompió o
no el proceso electoral. ¿Cómo se reaccionaría? ¿Pulsando el botón de
reset y anunciando al electorado que, bueno, ejem, ha habido un
problemilla y vamos todos a votar otra vez el próximo domingo? ¿Y si
pasa una segunda vez? ¿Y una tercera? Evidentemente, se terminaría
abandonando este sistema en favor de la urna y papeletas de toda la
vida.

Otro tema interesante es el de la movilidad, es decir, la
multiplicidad de puntos y medios de acceso para votar. ¿Hasta qué
extremo puede uno fiarse de un ordenador desconocido cuyo software no
controla? Se habla de terminales instalados en los colegios
electorales para dar soporte a los usuarios que carecen de ordenador
en su vivienda. ¿Cómo sé que cuando introduzco mi tarjeta con mi
certificado en su interior el ordenador usa mi firma digital para
firmar la papeleta virtual y no la de algún otro? ¿Cómo sé que vota
al candidato que he elegido? ¿Quién me asegura que no se esconde un
caballo de Troya en el software? Solamente un hardware seguro puede
proporcionar ese nivel de garantía, nunca un ordenador de propósito
general. Un nuevo y apetitoso punto de ataque. ¿Y qué me cuentan del
acceso móvil, vía WAP, UMTS o lo que sea? Las redes inalámbricas no
se están caracterizando precisamente por su seguridad.

Por no hablar de la brecha entre la población conectada y la no
conectada, los ilustrados y los analfabetos digitales. ¿Quedarán de
lado los ciudadanos marginados en la incipiente Sociedad de la
Información? ¿Se va a tachar de un plumazo al 90% del electorado?
Según Quiroga, "el voto por Internet no sólo sería útil para la
situación actual del País Vasco. También facilitaría el voto de los
españoles en el extranjero, el de los enfermos, personas mayores y el
de personas con discapacidades". Claro, como que mi abuela es una
gurú de Internet y cuando viajo al extranjero encuentro ordenadores
seguros para el voto.

Ante todos los desafíos que la democracia electrónica plantea, nos
encontramos con que ni la sociedad ni la tecnología en su estado
actual están preparados para afrontar el reto. A corto plazo, el voto
electrónico resulta inviable. Sin embargo, a medida que las
soluciones de PKI, aún en gestación, vayan madurando y se vaya
acortando el abismo social que separa las capas digitalizadas de la
sociedad de las aún desconectadas, seremos testigos de experiencias
piloto que conducirán de forma gradual y escalonada a la
regularización y legitimación del voto electrónico por Internet. El
sueño de Pericles se verá cumplido.



Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es


Más información:

Criptonomicon:
http://www.iec.csic.es/criptonomicon/

El Mundo:
http://www.el-mundo.es/navegante/2001/03/07/esociedad/983955601.html

IDG:
http://www.idg.es/comunicaciones/mainart.asp?id=14530



lunes, 12 de marzo de 2001

Confirmación de la existencia de Echelon

Aunque tarde, una comisión de la eurocámara ha presentado un informe en
el cual reconoce la existencia de una red internacional de
interceptación de información.
Este informe, encargado a algunos europarlamentarios tiene su raíz en la
demanda interpuesta por algunos gobiernos comunitarios por el posible
espionaje comercial a favor de empresas norteamericanas y en el que se
sospecha intervinieron nuestros aliados británicos.

Dentro de este informe se establece la necesidad de intervención de
varios países para poder realizar un proyecto del tamaño de "Echelon".
Recordemos que las primeras informaciones que nos llegaron sobre la
existencia de esta red dirigían nuestras miradas a los Estados Unidos,
Gran Bretaña, Nueva Zelanda y Australia.

Para los propósitos de esta red de interceptación mundial surge la
necesidad de cubrir con estaciones de seguimiento e interceptación de
comunicaciones puntos estratégicos de los océanos Índico, Pacífico y
Atlántico. En la Comunidad Europea sólo existen dos países con
territorios en estos enclaves estratégicos, Francia y Gran Bretaña. En
la actualidad, países de la importancia de Rusia, China o Japón no
dispondrían de la posibilidad de realizar este tipo de espionaje tan
global, ya que no poseen por si solos territorios en los lugares antes
mencionados. Esto no descarta que en el pasado, hubieran podido existir
sistemas parecidos a Echelon, pertenecientes a países aliados de los
considerados anteriormente satélites soviéticos.

Entre las recomendaciones que nos hacen llegar a los ciudadanos europeos
nuestros representantes, está la utilización del cifrado en las
comunicaciones. Este loable consejo llega en un mes salpicado de
informaciones contradictorias, en las que el encargado de los sistemas
de cifrado de la Comisión Europea, el británico Desmond Perkins,
confirmó la existencia de una verificación regular de los sistemas de
cifrado utilizados por los estamentos y agencias europeas por parte de
la NSA (la Agencia de Seguridad Nacional norteamericana). Esta
afirmación fue desmentida con posterioridad por parte de Lodewijk Briët,
superior de Perkins. Realmente, es por lo menos inquietante el cruce de
informaciones contradictorias en temas tan delicados y trascendentales
para la seguridad de la Unión Europea.



Antonio Román Arrebola
antonio_roman@hispasec.com


Más información:

European Commission responds to press allegations on handling of
secure communications:
http://www.europa.eu.int/rapid/start/cgi/guesten.ksh?p_action.gettxt=gt&doc=IP/01/3100RAPID&lg= EN

Una comisión de la Eurocámara confirma la existencia de Echelon:br>
http://www.elmundo.es/navegante/2001/03/08/seguridad/984041457.html

La UE advierte del peligro de espionaje industrial que facilita
Echelon:
http://www.elmundo.es/navegante/2001/03/07/seguridad/983985863.html

El Parlamento Europeo votó por la investigación de Echelon:
http://www.hispasec.com/unaaldia.asp?id=619

Francia demandará a EE.UU. y al Reino Unido por la red ECHELON:
http://www.hispasec.com/unaaldia.asp?id=479

Documentos desclasificados confirman la existencia de "Echelon":
http://www.hispasec.com/unaaldia.asp?id=469

1999 STOA Report on communications intelligence The original 1988
ECHELON report:
http://www.gn.apc.org/duncan/echelon-dc.htm


domingo, 11 de marzo de 2001

Desbordamiento de búfer en Netscape Directory Server

El servidor de directorio de Netscape que se distribuye con Netscape
Messaging Server contiene una vulnerabilidad por la cual un atacante
puede causar un problema de denegación de servicio o incluso disponer de
la posibilidad de ejecutar código en la máquina atacada.
Netscape Directory Server que se incluye con Netscape Messaging Server
4.15SP3 es vulnerable a un desbordamiento de búfer si se realiza una
consulta especialmente construida. Messenger emplea el servidor LDAP
para almacenar diversa información sobre los usuarios. El desbordamiento
puede provocar tanto una denegación de servicio como la ejecución de
código en el servidor, sin embargo, en la versión Directory Server 4.12
la ejecución de código no es posible.

Durante la instalación del servicio de mensajería de Netscape el
programa preguntará por el servidor LDAP que deberá usar, por defecto
instala y emplea su propia copia de Directory Server 4.1. Ambos
servidores están disponibles para diversas plataformas tanto Unix como
Windows NT, y se emplean habitualmente para el correo corporativo.

El problema ocurre cuando un usuario manipula el campo de la dirección
destinataria de un mensaje (campo RCPT TO:) con una cantidad excesiva de
caracteres " (Hex 0x22). Tras enviar el mensaje con dicha
característica, el servicio SMTP conecta con el servidor de directorio
para ejecutar las consultas. En este caso se ejecutará la función
escape_string_with_punctuation() en la librería libslapd.dll. Esta
función llama a una función auxiliar la cual sobreescribe el búfer de la
pila, lo que provoca las condiciones explotables.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de @stake:
http://www.atstake.com/research/advisories/2001/a030701-1.txt



sábado, 10 de marzo de 2001

Microsoft y el FBI alertan sobre las vulnerabilidades más comunes

El FBI y Microsoft se hacen eco del incremento en las intrusiones en
sistemas informáticos y publican una serie de recomendaciones a seguir
por los sistemas que pueden verse afectados.
El Centro de Protección de Infraestructura Nacional del FBI (National
Infrastructure Protection Center o NIPC) ha publicado un aviso en el que
se hace eco de recientes intrusiones en sistemas informáticos de
comercio y banca electrónica. Según el FBI más de 40 compañías en 20
estados diferentes fueron atacadas y en algunos casos se llegó a la
sustracción de bases de datos de clientes e información de números de
tarjetas de crédito.

El aviso del FBI hace referencia a que en la mayoría de los casos los
intrusos emplearon vulnerabilidades conocidas y no parcheadas para
acceder a los sistemas y los datos. Por ese motivo, Microsoft se une a
la recomendación del NIPC sobre la necesidad de actualización de los
sistemas y publica un boletín en el que informa de las vulnerabilidades
más graves y empleadas por los intrusos.

En el aviso publicado por Microsoft, la empresa de Redmon recuerda su
compromiso en proporcionar información sobre las vulnerabilidades en sus
sistemas y como protegerse ante ellos. Aunque muchas veces sería de
agradecer que ese compromiso se hiciera patente con actuaciones más
rápidas a la hora de publicar determinados parches y a la hora de
realizar las adaptaciones de estos a otros idiomas. Aunque también hace
hincapié, y en eso no le falta razón, en que son los propios usuarios
los que deben instalar los parches en sus sistemas.

Microsoft recomienda a todos los usuarios la revisión de una serie de
boletines de seguridad publicados con anterioridad y que se aseguren de
que se han tomado las que las medidas apropiadas. Los boletines y
vulnerabilidades sobre los que incide Microsoft son los siguientes:

Boletín MS99-025: Acceso no autorizado a servidores IIS a través del
acceso a datos ODBC con RDS.

Boletín MS00-014: Abuso de SQL Query.

Boletín MS00-095: Permisos del Registro. (Este parche elimina todas las
permisos erróneos en el Registro comentados en el boletín MS00-008)

Boletín MS00-086: Salto de interpretación de archivos en el Servidor
Web.



Antonio Ropero
antonior@hispasec.com


Más información:

Hispasec. Microsoft recuerda una vulnerabilidad en el ODBC:
http://www.hispasec.com/unaaldia.asp?id=265

Hispasec. Vulnerabilidad de inspección de nombre en CGIs:
http://www.hispasec.com/unaaldia.asp?id=737

Hispasec. Permisos erróneos en el registro de Windows NT:
http://www.hispasec.com/unaaldia.asp?id=778

Aviso de seguridad del NIPC del FBI:
http://www.nipc.gov/warnings/advisories/2001/01-003.htm

Boletín MS99-025:
http://www.microsoft.com/technet/security/bulletin/ms99-025.asp

Boletín MS00-014:
http://www.microsoft.com/technet/security/bulletin/ms00-014.asp

Boletín MS00-095:
http://www.microsoft.com/technet/security/bulletin/MS00-095.asp

Boletín MS00-086:
http://www.microsoft.com/technet/security/bulletin/MS00-086.asp



viernes, 9 de marzo de 2001

Denegación de servicios en IIS 5.0

Georgi Guninski publica un aviso de seguridad en el que informa de un
problema de denegación de servicios que afecta a Internet Information
Server 5.0 cuando se configura con las extensiones WebDAV.
El problema de denegación de servicios reside en la posibilidad de
reiniciar remotamente todos los servicios relacionados con IIS mediante
una petición creada de forma especial. Gunninki califica el riesgo de
este fallo como medio aunque puede volverse más serio debido a tratarse
de un problema parecido a un desbordamiento de búfer, por lo que podría
llegar a explotarse si la petición se realiza de forma cuidadosa.

El problema reside en una petición propfind muy larga, aunque construida
de forma válida.

<?xml version="1.0"?>
<a:propfind xmlns:a="DAV:" xmlns:u="over:"><a:prop><a:displayname
/><u:cadena_larga /></a:prop>
</a:propfind>

Donde la longitud de cadena_larga es aproximadamente 128.008. La
primera vez que se realiza esta petición IIS responde con un error 500
... Exception. Pero si el atacante repite la petición provocará el
reinicio de los servicios relacionados con el servidor web.

La contramedida para evitar este problema pasa por desactivar las
extensiones WebDAV y PROPFIND, aunque si no se hace uso del sistema de
colaboración y distribución aportado por WebDAV es recomendable eliminar
totalmente el soporte de esta tecnología.



Antonio Ropero
antonior@hispasec.com


Más información:

Georgi Guninski:
http://www.guninski.com/

WebDAV:
http://www.webdav.org/



jueves, 8 de marzo de 2001

Escalada de directorios en War FTPD

WAR FTP es el servidor de FTP de Jgaa muy extendido por su facilidad de
uso e implementación, así como por su gran versatilidad y con las
valoraciones más elevadas en los sitios más populares de descarga de
software. Este popular demonio FTP para máquinas Win32 permite la
escalada de directorios de forma que las peticiones pueden escapar de la
raíz del servidor FTP.
Una vulnerabilidad existente en el WarFTP posibilita a un atacante
escapar de la raíz del servidor FTP mediante el uso de rutas relativas.
Por ejemplo, al conectar a una máquina vulnerable y realizar la petición
"dir *./../.." el atacante obtendrá el listado del contenido del
directorio situado un nivel por encima del directorio raíz del FTP.

El problema parece limitarse a las series 1.67 del programa, ya que las
versiones 1.7/8 no parecen estar afectadas por esta vulnerabilidad. El
fabricante de este software ha publicado la versión 1.67b05 que corrige
este fallo y se que se encuentra disponible en
http://support.jgaa.com/index.php?cmd=DownloadVersion&ID=32.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad en Jgaa:
http://support.jgaa.com/index.php?cmd=ShowArticle&ID=31

Actualización recomendada:
http://support.jgaa.com/index.php?cmd=DownloadVersion&ID=32

NTSecurity.net:
http://www.ntsecurity.net/Articles/Index.cfm?ArticleID=20218



miércoles, 7 de marzo de 2001

Una de espías

Tras el revuelo producido por el arresto del agente del FBI, Robert
Hanssen, el FBI sigue una nueva línea de investigación que les lleva a
contemplar la posibilidad de que datos sensibles de los servicios de
investigación estatales hayan estado expuestos a la substracción por
parte de agentes rusos.
Se especula que Robert Hanssen pudo desarrollar en el pasado un programa
que abriría una puerta trasera en los sistemas informáticos del FBI, lo
que daría facilidad a agentes rusos de poder sustraer información
clasificada de alto secreto de la red Intelink. Intelink es la red
dedicada y protegida que tienen los servicios de seguridad
norteamericanos con el fin de intercambiarse información sensible para
agilizar sus investigaciones.

Según fuentes del FBI, en la actualidad se investiga si Hanssen tenía
acceso a la mencionada red, fuentes de la investigación especulan con
la posibilidad de que el espía hubiera desarrollado una puerta trasera.
Pero debido a la posibilidad de que fuera descubierta por las
comprobaciones que se hicieron en los sistemas de las agencias de
seguridad estatales para prevenir el efecto 2000 los destruyera, no
quedando evidencia de su existencia. El FBI espera poder demostrar sus
conjeturas con la declaración del ex-agente detenido.



Antonio Román Arrebola
antonio_roman@hispasec.com


Más información:

The Register:
http://www.theregister.co.uk/content/8/17359.htm



martes, 6 de marzo de 2001

Vulnerabilidad en Orange Web Server v2.1

Orange Web Server v2.1 se ve afectado por una vulnerabilidad que
posibilita a un usuario malicioso la realización de un ataque de
denegación de servicios.
Este servidor web perteneciente a GoAhead Technology y que corre sobre
todas las plataformas Microsoft Windows, facilita el convertir nuestro
ordenador en un potente servidor web.

La denegación de servicio que afecta a Orange Web Server v2.1 es
sorprendente por la facilidad de su explotación. Un atacante tan sólo
tendría que hacer un Telnet al puerto 80 de la dirección objeto de su
investigación y realizar una petición tipo GET A, con esta simple
petición podrá conseguir la caída del servidor. Dando como resultado un
volcado del tipo:

Petición:

telnet 192.168.0.20 80
GET A

Volcado:

ORANGEWEBSERVER caused an invalid page fault
in module ORANGEWEBSERVER.EXE at
016f:00409694.
Registers:
EAX=49703d50 CS=016f EIP=00409694
EFLGS=00010246 EBX=009dfe84 SS=0177
ESP=009dfbb8 EBP=009dfe8c ECX=00000000
DS=0177 ESI=00416362 FS=84cf EDX=00000000
ES=0177 EDI=00000000 GS=0000 Bytes at CS:EIP:
f7 71 04 5e 8b c2 c3 90 90 90 90 90 56 8b 74 24
Stack dump:
00416350 004094a7 00000000 00416350 ffffffff
009dfbf0 009dfe8c 009dfe84 00418644 ffffffff
006d8e8c 00410b62 00000000 00416350 006d949c
00000000



Antonio Román Arrebola
antonio_roman@hispasec.com


Más información:

Orange Web Server v2.1 DoS:
http://www.securityfocus.com/archive/1/165658



lunes, 5 de marzo de 2001

Modificación de configuración de usuarios en PHP-Nuke

El conocido sistema para la creación de portales PHP-Nuke se ve afectado
por una vulnerabilidad por la cual un atacante podrá llegar a modificar
los valores de la cuenta de un usuario.
PHP-Nuke es un paquete open source que permite crear y administrar un
portal con noticias y artículos, Este software es un sistema bastante
extendido para la creación de portales con sistemas de menús, usuarios,
noticias, etc. La sencillez con la que se puede crear y mantener un
sitio web hace que sea ampliamente empleado por un gran número de
usuarios para desarrollar sus contenidos.

Este programa se está viendo afectado por un gran número de problemas
que involucran la seguridad de los usuarios y de todo el sistema. En
esta ocasión las comprobaciones que realiza la función saveuser() no son
suficientes para bloquear que se pase información específica a la
consulta de MySQL.

La vulneraridad permite a un atacante modificar la dirección de e-mail
de la configuración de los usuarios, lo que puede combinarse
posteriormente con la opción de recordar password y de esta forma
obligar al sistema a que envíe dicha información a la dirección de
correo electrónico anteriormente proporcionada.

De igual forma el ataque deberá ser combinado con otro tipo de
comprobaciones por fuerza bruta que le permitan obtener el UID de cada
uno de los usuarios.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Argentinian Security Group:
http://www.rdcrew.com.ar/files/rdC270201.adv.es



domingo, 4 de marzo de 2001

El virus de la mujer desnuda

En las últimas horas se anuncia la propagación de un nuevo gusano que
esconde su maliciosa intención bajo la intención de mostrar un película
Flash con mujer desnuda.
Network Associates califica el virus W32/Naked@MM virus, como de alto
riesgo mientras que Symantec y Trend Micro lo sitúan como alerta media.
Este virus también conocido como "Naked Wife" (Esposa Desnuda) tratará
de enviarse a sí mismo a todas las direcciones existentes en la libreta
de direcciones de Outlook, aunque su payload más dañino pasa por el
borrado de todos los archivos .BMP, .COM, .DLL, .EXE, .INI, y .LOG que
se encuentren en los directorios WINDOWS y WINDOWS\SYSTEM.

El gusano esta escrito en Visual Basic y necesita del runtime de Visual
Basic 6 para poder funcionar y presenta un archivo adjunto con el nombre
"NakedWife.exe" que bajo ningún concepto se deberá ejecutar. Cuando se
ejecuta el programa se copia al directorio temporal y mostrará una
ventana con el título "Flash", en la que se leerá "JibJab Loading".

El mensaje recibido tiene el siguiente aspecto:

Asunto del mensaje: Fw: Naked Wife
Texto del mensaje:
My wife never look like that! ;-)
Best Regards,
(Nombre del que hace el envío)
Adjunto: NakedWife.exe

En caso de que se llegue a ejecutar el archivo adjunto la eliminación de
todos los ejecutables existentes en las carpetas Windows y
Windows/System dejará el sistema inoperativo por lo que será necesario
reinstalar Windows de nuevo.

Más información:

Network Associates:
http://hq.mycio.com/dispVirus.asp?virus_k=99035

Trend Micro:
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NAKEDWIFE

Symantec:
http://service1.symantec.com/sarc/sarc.nsf/html/W32.Naked@mm.html

AVP:
http://www.avp.ch/avpve/worms/email/naked.stm

Command Antivirus:
http://www.commandcom.com/virus/nakedwife.html

Panda Software:
http://www.pandasoftware.es/enciclopedia/gusano/W32Naked_1.htm




Antonio Ropero
antonior@hispasec.com



sábado, 3 de marzo de 2001

Vulnerabilidades en HTTPD v1.1 y FTPD v1.0 SlimServe

Dos vulnerabilidades que afectan a los servidores Web y Ftp de SlimServe
podrán permitir a un usuario malicioso la realización de un ataque de
denegación de servicios sobre el servidor Web y conseguir cualquier
archivo del servidor incluso sobrepasando la raíz en el servidor Ftp.
HTTPd v1.1 y FTPd v1.0 SlimServe son respectivamente un servidor web y
un servidor FTP para Microsoft Windows 95/98/NT 4.0 y 2000, que están
disponibles para su bajada en las direcciones www.whitsoftdev.com y
www.download.com.

El servidor web se ve afectado por un ataque por denegación de servicio,
por el cual un atacante puede enviar una petición al servidor con una
cadena de caracteres extremadamente larga. El atacante deberá enviar mas
de 80000 caracteres, con lo que conseguirá la caída del servidor.

En caso de denegación de servicio, la respuesta del servidor será:

SLIMHTTP caused an invalid page fault in
module SLIMHTTP.EXE at 017f:004021db.
Registers:
EAX=ffffffff CS=017f EIP=004021db EFLGS=00010286
EBX=00412678 SS=0187 ESP=00eafa1c EBP=000400a4
ECX=81726914 DS=0187 ESI=00eb0000 FS=3b57
EDX=8172691c ES=0187 EDI=00000068 GS=402e
Bytes at CS:EIP:
8a 06 3c 0d 75 05 c6 06 00 eb 04 3c 0a 74 1a 66
Stack dump:
00eafe99 00eafd5d 00000000 0000000f
00000000 00000001 00000068 00000000
00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000

La vulnerabilidad que afecta a FTPd en su versión 1.0 es mucho más grave
ya que permitirá a un atacante sobrepasar la raíz del servidor, lo que
permitirá obtener cualquier archivo del servidor. Para ello, bastará
realizar una escalada de directorios mediante rutas relativas (como "...").

% ftp localhost
Connected to xxxxxxxxxx.com.
220-SlimServe FTPd 1.0 :: www.whitsoftdev.com.
220 127.0.0.1 connected to xxxxxxxxxx.com.
User (xxxxxxxxxx.com:(none)): anonymous
230 User anonymous logged in, proceed.
ftp> cd ...
250 CWD command successful.
ftp> get autoexec.bat
200 PORT command successful.
150 Opening data connection for "/.../autoexec.bat".
250 RETR command successful.
ftp: 383 bytes received in 0.16Seconds 2.39Kbytes/sec.
ftp>



Antonio Román Arrebola
antonio_roman@hispasec.com


Más información:

Vulnerabilidad en SlimServe FTPd:
http://www.securityfocus.com/archive/1/165819

Escalada de directorios en SlimServe FTPd:
www.ntsecurity.net/Articles/Index.cfm?ArticleID=20168

Vulnerabilidad DOS en SlimServe HTTPd:
http://www.securityfocus.com/bid/2318



viernes, 2 de marzo de 2001

La password de los Palm no sirven como protección

Los dispositivos Palm ofrecen una funcionalidad de bloqueo del sistema
por la cual el organizador no será operativo hasta que se introduzca la
password correcta. Pero una puerta trasera en el PalmOS permitirá
acceder a todos los datos bloqueados por la contraseña.
La puerta trasera existente en el sistema operativo para proporcionar
acceso a debug a nivel fuente y ensamblador de los ejecutables y bases
de datos existentes en el dispositivo. Aunque esta puerta trasera se
encuentra documentada con propósitos de depuración, puede accederse a
ella incluso si la función de bloqueo por password se encuentra
activada. Esto podrá permitir a un usuario sin autorización ejecutar
determinados comandos, entre los que se cuenta recuperar la password del
sistema codificada, obtener toda la información de las bases de datos y
registros, así como instalar o borrar aplicaciones.

Para poder acceder a la puerta trasera el atacante debe tener acceso
físico al dispositivo Palm. Basta dibujar un gráfico especial (una l
minúscula) para acceder a uno de los dos interfaces proporcionados por
el Palm Debugger y monitorizar el puerto serie de comunicaciones. No
sólo es posible recuperar la password cifrada mediante el comando de la
consola «export 0 "Unsaved Preferences"», sino que además se puede
acceder a un gran número de comandos que posibilitan el acceso a todas
las bases de datos.

Todos los problemas de seguridad relacionados con este tipo de
dispositivos son de especial gravedad debido a la popularidad y auge que
están obteniendo los organizadores en el mundo corporativo. Además los
datos e información almacenada en los organizadores perdonales puede
considerarse altamente confidencial, por lo que la importancia de
mantenerla a salvo de miradas ajenas es primordial.

Más información:

Aviso de seguridad de @stake:
http://www.atstake.com/research/advisories/2001/a030101-1.txt

Palm OS Programming Development Tools Guide:
http://www.palmos.com/dev/tech/docs/devtoolsguide.zip




Antonio Ropero
antonior@hispasec.com