viernes, 31 de agosto de 2001

Degradación de cache en servidores DNS de Microsoft

Se han detectado degradaciones de cache en sistemas con Microsoft DNS
Server. Las configuraciones por defecto o las configuraciones
incorrectas de este software permiten que se almacenen en cache datos
provenientes de servidores maliciosos o incorrectamente configurados.
Esta degradación puede provocar información de resolución de nombres DNS
erronea.
En la configuración por defecto el servidor DNS de Microsoft acepta
falsos registros de servidores no-delegados. Estos falsos registros se
añaden a la cache cuando un cliente intenta resolver un nombre
particular de host a través de un servidor DNS malicioso o
incorrectamente configurado.

En la actualidad se han detectado sitios ocupados de forma activa en
esta falsa resolución de nombres. Estos servidores DNS maliciosos están
proporcionando registros para dominios genéricos de primer nivel
(gtld-servers.net) lo que provoca de forma potencial resultados erroneos
para cualquier petición DNS.

Tanto con Windows NT 4.0 Service Pack 4 (SP4) o posterior como con
Windows 2000 el servidor DNS de Microsoft puede filtrar las respuestas
para los registros no seguros. En ambos casos, para habilitar esta
característica es necesario proceder de la siguiente forma:

1. Iniciar el Editor del Registro (Regedt32.exe).

2. Localizar la entrada:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters

3. En el menú Editar seleccionar Añadir valor e introducir el siguiente


valor de registro:
Nombre: SecureResponses
Tipo de datos: REG_DWORD
Valor: 1 (Para eliminar datos no seguros)

4. Salir del Editor de Registro.

Por defecto esta clave no existe y los datos no seguros no se eliminan
de las respuestas.

Por defecto esta clave no existe y los datos no seguros no se eliminan
de las respuestas.

En Windows 2000 también se puede llevar a cabo desde el propio interfaz
gráfico, para lo cual desde la consola de administración DNS
seleccionando: Inicio, Programas, Herramientas Administrativas, DNS.
Seleccionar con el botón derecho el nombre del servidor en el panel
izquierdo y seleccionar Propiedades. En la ventana seleccionar la
pestaña Propiedades y marcar el cuadro Asegurar cache.



Antonio Ropero
antonior@hispasec.com


Más información:

CERT Incident Note IN-2001-11:
http://www.cert.org/incident_notes/IN-2001-11.html

Microsoft: How to Prevent DNS Cache Pollution (Q241352):
http://support.microsoft.com/support/kb/articles/Q241/3/52.asp
http://msdn.microsoft.com/library/en-us/regentry/46753.asp



jueves, 30 de agosto de 2001

Comentarios sobre la encuesta antivirus 2001

A continuación se ofrecen algunos comentarios e interpretaciones que
he podido extraer de los resultados de la encuestra antivirus 2001
que Hispasec propuso a los participantes del test EICAR.
Los datos cuantitativos se encuentran en:

http://www.hispasec.com/unaaldia.asp?id=1035

Como suele ocurrir en toda encuesta, la lectura de unos mismos
datos puede hacerse desde muchos prismas diferentes y/o dar lugar
a interpretaciones muy diversas. A continuación ofrezco unos breves
apuntes a nivel personal, e invito a los que difieran de esta visión,
o quieran puntualizar o ampliar algún otro aspecto, a dar su propio
punto de vista en el apartado de opinión al final de la noticia.

Los primeros resultados dibujan el parque de antivirus que los
encuestados tienen instalados atendiendo a sus respectivas marcas.
A primera vista no hay sorpresas, con los dos primeros puestos para
McAfee y Norton, que suelen ocupar estas posiciones en ventas a nivel
mundial, seguidos de Panda, AVP e InoculateIT.

Si es cierto que esperaba a Panda con un porcentaje mayor por tratarse
de una empresa que al parecer lidera las ventas en su país de origen,
España, y porque la encuesta se realizó en español, lo que tal vez
inclinaría la balanza a su favor. Una posible interpretación de este
dato pasa por suponer que Panda cuenta con menos implantación en otros
paises de habla hispana en comparación con España, por lo que al final
se ha podido equilibrar cualquier ventaja adicional.

La siguiente pregunta en la encuesta intentaba, por primera vez,
calcular el porcentaje de antivirus que son instalados de forma
ilegal. Queda claro que pudieron ser muchos los que se enfrentaran
a esta pregunta de forma recelosa, sobre todo teniendo que haber
introducido su dirección de correo antes de contestar a la encuesta.
En cualquier caso, desde Hispasec hicimos hincapié en que los datos
sólo se recogían de forma cuantitativa e impersonal a efectos de
estadística, como así ha sido. Sin embargo, calculo que debe existir
un margen de error especial en este resultado a favor del indicador
de los productos comprados y en detrimento de los pirateados.

Un 09,67% para el parque de antivirus piratas (que en realidad, a mi
entender, debe ser mayor), y un 26,59% para las versiones shareware,
freeware y promociones diversas. Mirando este indicador por marcas,
nos encontramos con que Panda es el antivirus menos pirateado, no en
vano es el que cuenta con mayores protecciones a la hora de que sólo
los usuarios registrados puedan actualizar convenientemente el
antivirus, solicitando usuario y contraseña. AVP se presenta como el
producto más pirateado, cosa que al parecer tampoco preocupa muchos a
sus creadores, o esa impresión quieren dar, ya que en alguna ocasión
al preguntarles por ello han respondido que se sienten en cierta
manera orgullosos porque haya tanto interés por su producto.

InoculateIT aparece con un 0% en instalaciones piratas, lo que es una
buena noticia para la encuesta, que viene a demostrar el bajo índice
de error y la exactitud con la que ha sido contestada por parte de los
participantes. La explicación de que InoculateIT no aparezca como
pirateado la tenemos en que su versión para uso personal es freeware,
por lo que no es necesario piratearla. El 71,19% de los encuestados lo
tienen en esta modalidad.

El siguiente resultado que nos encontramos nos muestra la frecuencia
con que los participantes suelen actualizar su antivirus para
poder reconocer los últimos virus aparecidos. En los datos globales
me ha sorprendido el resultado de un 23,46% que actualizarían todos
los días. Me extraña que tanta gente actualice sistemáticamente,
día a día, su antivirus, así que particularmente interpreto este
indicador como el porcentaje de personas que actualizan muy amenudo
su producto, junto con el 15,64% que apuntan lo hacen cada tres o
cuatro días y el 29,62% una vez a la semana. En total obtenemos
que casi un 70% de los encuestados llevan a cabo la actualización
regularmente.

Mirando este indicador por marcas, según los 5 productos más
utilizados en la encuesta, observamos diferencias significativas.
Así destacan AVP y Panda, cuyos usuarios se presentan como los
que más actualizan su antivirus y, por tanto, mejor protegidos
contra los nuevos virus. Por la parte baja nos encontramos a
Norton y, en especial, a McAfee. Tal vez estas últimas compañías
deberían tomar nota de las políticas de actualización de las
que ocupan los primeros puestos, y que al parecer están dando
resultados entre los usuarios.

En cuanto a la nota que le merecen los 5 productos más utilizados,
los encuestados los califican con un notable que va desde el
alto otorgado a AVP (8,65), hasta al notable raspado de InoculateIT
(7,06). En medio Norton (8,03), McAfee (7,83), Panda (7,44).

En los resultados de la encuesta correspondientes al test EICAR
propuesto por Hispasec, que tiene como misión comprobar el correcto
funcionamiento de los antivirus al recibir una fichero infectado
por correo electrónico, destacan Panda y Norton, seguidos en un
termino medio por McAfee y AVP, y bastante rezagado nos encontramos
a InoculateIT. Estos datos concuerdan con los análisis de la
comparativa 2001 de Hispasec, que apuntaban a Panda, Norton y
McAfee como los productos que mejor analizan las vías de entrada
específicas de Internet, cómo el correo electrónico.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Resultados de la encuesta antivirus test EICAR
http://www.hispasec.com/unaaldia.asp?id=1035

Compruebe el funcionamiento de su programa antivirus:
http://www.hispasec.com/unaaldia.asp?id=976

Test Antivirus (EICAR) vía e-mail:
http://www.hispasec.com/avtest.asp

Encuesta (es necesario pasar primero por el Test EICAR):
http://www.hispasec.com/encuesta.asp



miércoles, 29 de agosto de 2001

Múltiples vulnerabilidades en Cisco 600

Han sido detectada una serie de vulnerabilidades en Broadband
Operating System (CBOS), que trabaja sobre los routers de la serie 600
de Cisco.
Una gran cantidad de peticiones de acceso mediante Telnet o HTTP
(puertos 21 y 80), conseguirá parar el servicio, lo que hará necesario
reiniciar el dispositivo con el fin de recuperar el normal funcionamiento
del router.

La utilidad de administración mediante web de Cisco Broadband
Operating System (CBOS) en los Cisco de la serie 600 viene habilitada
por defecto.

Los conmutadores afectados por el mal funcionamiento de Cisco
Broadband Operating System (CBOS), son:

Cisco Routers 627, 633, 673, 675, 675E, 677, 677i y 678.

CBOS: 2.0.1, 2.1.0, 2.1.0a, 2.2.0, 2.2.1, 2.2.1a, 2.3, 2.3.2,
2.3.5, 2.3.7, 2.3.8, 2.3.9, 2.4.1, 2.4.2 y 2.4.2ap.

Estos problemas están resueltos con las versiones 2.4.2b y 2.4.3.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Cisco CBOS Multiple TCP Connection Denial of Service Vulnerability

http://www.securityfocus.com/bid/3236



martes, 28 de agosto de 2001

Se prevén ingresos de 2.5 billones anuales en seguridad para el 2005

Según un informe de la compañía International Data Group (IDG), el
crecimiento anual esperado para llegar a la cifra de 2.5 billones es
de un 23%, aunque importante y alentador no es ilógico ya que el pasado
año el crecimiento experimentado fue de un 33%.
Los principales mercados por su crecimiento son los de los cortafuegos,
soluciones de seguridad y cifrado, administración y programas de
cifrado y aplicaciones antivirus. Lo que no cambia es quien estará en
cabeza de este espectacular aumento del mercado que será como siempre
USA, que acaparará un montante del 52% del volumen facturado en el
2005.

Esta noticia es de especial interés ya que podemos sacar la
conclusión, de que por fin se le está prestando atención por parte
de las empresas a la necesidad de tomar medidas para evitar la fuga
de información de sus sistemas.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

El mercado de la seguridad en Internet generará ingresos superiores a
los 2,5 billones de pesetas para el 2005.
http://www.idg.es/computerworld/noticia.asp?id=17953



lunes, 27 de agosto de 2001

Vulnerabilidad en Outlook Web Access

Los sistemas que utilizan Outlook Web Access se ven afectado por un
problema por denegación de servicio.
Outlook Web Access, es un componente opcional de Microsoft Exchange
que permite a los usuarios poder acceder a la bandeja de entrada del
mencionado servicio de mensajería mediante el uso de un navegador
web.

Un atacante podría introducir un cadena de caracteres "%" en el campo
Log On a través del administrador vía web "Outlook Web Access". Cuando
el atacante recibe la petición de introducción del campo
correspondiente a nombre de usuario y contraseña podrá introducir una
cadena de caracteres de más de treinta "%", lo que da como resultado que
WWW Publishing Service e IIS Administration Service se paren.

Una posible solución a la espera del correspondiente parche es no
permitir el acceso mediante OWA.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Microsoft Outlook Web Access Denial of Service Vulnerability
http://www.securityfocus.com/bid/3223

Microsoft Outlook Web Access vulnerable to a DoS
http://www.securitywatch.com/scripts/news/list.asp?AID=9258



domingo, 26 de agosto de 2001

Lectura de archivos con Trend Micro Officescan Corporate 3.54

Se ha detectado un problema en Trend Micro Officescan Corporate
Edition que puede permitir a un atacante remoto la lectura de cualquier
archivo con privilegios IUSER.
El problema se detectó primeramente en la versión japonesa del producto,
conocida como Trend Micro Virus Buster Corporate Edition, para
posteriormente confirmarse que también se ve afectada la versión
inglesa.

Trend Micro Officescan Corporate Edition proporciona informes víricos
centralizados, actualizaciones de los archivos de firmas automáticas y
consola de administración remota vía web. Se ha detectado una grave
vulnerabilidad que reside en cgiWebupdate.exe, uno de los programas CGI
empleados para la administración remota. Este problema podrá permitir a
usuarios remotos la lectura de archivos arbitrarios con privilegios de
IUSER.

Trend Micro publicó en primer lugar el parche para las versiones japonesas
del programa, pero la propia forma confirma que dicha actualización puede
aplicarse sobre cualquier otra versión para evitar los efectos de la
vulnerabilidad.

Más información:

Aviso SNS:
http://www.lac.co.jp/security/english/snsadv_e/40_e.html

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=3216




Antonio Ropero
antonior@hispasec.com



sábado, 25 de agosto de 2001

Resultados de la encuesta antivirus test EICAR

A continuación ofrecemos los resultados obtenidos en la encuesta a la
que fueron invitados los participantes en el test EICAR. Desde marcas,
valoraciones de los productos o promedio de actualizaciones, hasta el
porcentaje de antivirus pirateados.
Los usuarios que participaron en el test EICAR, propuesto por Hispasec
para comprobar el correcto funcionamiento de los productos antivirus,
fueron invitados a rellenar un pequeño formulario a modo de encuesta.

A diferencia de otras encuestas típicas en Internet, en esta ocasión
los usuarios llamados a participar no conocían previamente la
existencia de la encuesta, por lo que se evita de entrada la
participación interesada de terceros que pudieran votar
indiscriminadamente y desequilibrar la balanza en un sentido concreto.
Por ello el sistema controlaba el acceso vía e-mail y contraseña,
contabilizando tan sólo un voto por usuario registrado en el test
EICAR.

Por contra, la participación fue limitada a los primeros 2.000
usuarios que utilizaron el test EICAR propuesto por Hispasec. Además
esta muestra puede tener un perfil más o menos determinado que puede
no ser representativa de todos los usuarios de antivirus: lectores
de "una-al-dia", mayoría de lengua española, preocupados o
interesados por el correcto funcionamiento de sus antivirus, ya que
participaron en el test EICAR.

Todo lo anterior deberá ser tenido en cuenta a la hora de realizar la
lectura de los diferentes indicadores que, sin llegar a ser los
resultados de una encuesta masiva, creemos pueden ser de interés.

Resultados:

antivirus utilizado por el usuario (resultados de los 5 primeros)























virusscan (mcafee) 30,55%
norton antivirus 22,72%
panda 15,27%
avp - kaspersky 13,13%
inoculateit 07,44%


Modalidad en que lo instaló

Comprado (registrado/licencia)
Prueba (promoción/shareware/freeware)
Pirateado (crack/serial/warez)














Comprado



63,74%



Prueba



26,59%



Pirata



09,67%


Resultados sobre los 5 más utilizados







































comprado prueba pirateado
panda 82,50% 13,33% 4,17%
virusscan (mcafee) 80,58% 13,22% 6,20%
norton antivirus 62,92% 21,91% 15,17%
avp - kaspersky 36,27% 39,22% 24,51%
inoculateit 28,81% 71,19% 0,00%


Actualización, ¿cada cuanto actualiza su antivirus?



































todos los días 23,46%
dos o tres veces por semana 15,64%
una vez a la semana 29,62%
dos o tres veces al mes 14,10%
una vez al mes 11,28%
trimestralmente 02,82%
no suelo actualizarlo 01,41%
nunca lo actualizo/no puedo 01,67%


Todos los días (resultado sobre los 5 más utilizados)
% sobre los usuarios del antivirus























avp - kaspersky 44,23%
panda 39,66%
inoculateit 27,11%
norton antivirus 14,44%
virusscan (mcafee) 8,26%


Nota que le merece su antivirus (resultado sobre los 5 más utilizados)
Nota media de 1 a 10






















avp - kaspersky 8,62
norton antivirus 8,03
virusscan (mcafee) 7,83
panda 7,44
inoculateit 7,06


Resultado test EICAR (resultado sobre los 5 más utilizados)

Detección inmediata (bien)
Lo detectó después, al intentar guardar el archivo (regular)
No lo detectó en ningún caso (mal)







































bien regular mal
panda 69,42% 23,14% 07,44%
norton antivirus 64,25% 29,05% 06,70%
virusscan (mcafee) 44,77% 50,20% 05,02%
avp - kaspersky 42,72% 53,40% 03,88%
inoculateit 18,64% 72,88% 08,47%


Las valoraciones sobre estos indicadores, así como otros resultados
que se derivan de la encuesta, serán comentados en una segunda
entrega.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Compruebe el funcionamiento de su programa antivirus:
http://www.hispasec.com/unaaldia.asp?id=976

Test Antivirus (EICAR) vía e-mail:
http://www.hispasec.com/avtest.asp

Encuesta (es necesario pasar primero por el Test EICAR):
http://www.hispasec.com/encuesta.asp



viernes, 24 de agosto de 2001

Denegación de servicio en Lotus Domino

Un problema en el servidor de correo de Lotus Domino en sus versiones
R4.63, R5.01, R5.05 y R5.08 puede permitir a un usuario malicioso la
realización de un ataque de denegación de servicio sobre el sistema.
Determinados tipos de mensajes, dependiendo de cómo estén estos creados,
pueden hacer que Lotus Domino entre en un bucle rutando el correo y
consuma el 100% de los recursos de CPU.

El problema se produce cuando se envía un mensaje al servidor Lotus
Domino con una cabecera similar a:

MAIL FROM:<bounce@[127.0.0.1]>
RCPT TO:<address@domain.com>

donde domain.com no es local al servidor en cuestión.

La vulnerabilidad se ha podido reproducir en Lotus Domino R4.63, R5.01,
R5.05 y R5.08, aunque posiblemente afecte a otras versiones.

En la actualidad Lotus no dispone de ningún parche para evitar este
problema. En caso de verse afectado será necesario detener el servidor
de correo, eliminar el mensaje malicioso de la cola de envío y reiniciar
el servidor.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/bugtraq/archive



jueves, 23 de agosto de 2001

Denegación de servicio por el controlador IrDA en Windows 2000

Microsoft anuncia la existencia de una vulnerabilidad de denegación
De servicio en el soporte de comunicación por infrarojos, también
conocido como IrDA, de los sistemas Windows 2000.
Microsoft Windows 2000 proporciona conectividad a través de puertos y
dispositivos infrarojos mediante protocolos desarrollados por la
Infrared Data Association (IRDA). Estos dispositivos pueden emplearse
para imprimir o compartir archivos. Pero el software encargado de
controlar los dispositivos contiene un bufer sin comprobar en el
código que trata determinados paquetes IrDA.

Esto provoca una vulnerabilidad de seguridad al permitir que un usuario
malicioso envíe un paquete IrDA especialmente creado al sistema de la
víctima. Este ataque causará una violación de acceso que obligará al
usuario a reiniciar el sistema. La vulnerabilidad no permite la
ejecución de código malicioso en el ordenador atacado.

Hay que tener presente que este ataque sólo será posible sobre sistemas
que cuenten con puerto de infrarojos (generalmente ordenadores
portátiles) y para su desarrollo el atacante deberá situarse a una
corta distancia para enviar el paquete malicioso por este puerto.

Para paliar los efectos de esta vulnerabilidad Microsoft publica un
parche que se encuentra disponible para su descarga en la siguiente
dirección:
http://www.microsoft.com/windows2000/downloads/critical/q252795/default.asp



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de Seguridad Microsoft (MS01-046):
http://www.microsoft.com/technet/security/bulletin/MS01-046.asp



miércoles, 22 de agosto de 2001

Problemas de incompatibilidad entre Internet Explorer y QuickTime

Un parche para el navegador de Microsoft Internet Explorer en sus
versiones 5.5 y 6, ha generado una incompatibilidad con el
visualizador de videos QuickTime de Apple.
El problema en sí surge tras aplicar el último Service Pack para el
navegador de Microsoft Internet Explorer en su versión 5.5. Estos
Service Packs son algo habitual para los usuarios de Microsoft, pero
normalmente vienen a solucionar problemas no a generarlos.

Dentro de la misma tónica se ha podido comprobar que la versión 6
también es incompatible con el mencionado reproductor.

Microsoft ha comunicado que su navegador sigue siendo compatible con
otros reproductores de video como RealPlayer, Shockwave o Acrobat
Reader.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Surgen problemas de incompatibilidad entre QuickTime e Internet Explorer
http://www.zdnet-es.com/canales/zdnn/mostrarnoticias.html?id=3269



martes, 21 de agosto de 2001

Fallo de seguridad en Hotmail

Un fallo de seguridad en Hotmail, permite a un atacante leer el correo
electrónico de cualquier usuario.
Para explotar este fallo el atacante introducirá el nombre de usuario
de un cliente de Hotmail, esta parte es fácil debido a la saturación
del servicio, ¿A quien no le han devuelto el típico mensaje?, "Error
de registro: alguien ha elegido ya ***", posteriormente el atacante
procederá a introducir el número de sesión que viene en un formato
tipo "MSG943322803%2e16", siendo el numero final el utilizado con el
fin de explotar esta vulnerabilidad.

El problema en sí está agravado en este caso debido a que el numero de
sesión que utiliza Hotmail es correlativa, pero por otro lado la
facilidad de acceso se ve restringida a un único mensaje de correo
electrónico por cada intento, no a la bandeja de entrada en general,
lo que hace de la explotación de esta vulnerabilidad sea algo tediosa
y poco fructífero.

Pero nuevamente tenemos que dar malas noticias a los usuarios de
Hotmail, el grupo Root Core, descubridor de esta vulnerabilidad, ha
desarrollado un programa que prueba a una velocidad de un mensaje
por segundo la validez de los números de sesión.

Recomendamos a los usuarios de Hotmail que borren los mensajes después
de ser leídos, o que lo copien a su ordenador y posteriormente ejecuten
el primer paso.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Three Steps To View Someones Emails In Hotmail (rev.2)
http://rootcore.can-host.com/files/hackhotmail.txt

Hotmail
http://www.hotmail.com/



lunes, 20 de agosto de 2001

Parche para vulnerabilidad en Outlook por control ActiveX

El 16-7-2001 Hispasec informó de una vulnerabilidad en Outlook a
través de un control Active X, por la cual un atacante podría borrar
correo, cambiar la información del calendario, o llevar a cabo
cualquier otra acción a través de Outlook incluyendo la ejecución
de código arbitrario en la máquina del usuario.
En el momento de publicar la información original Microsoft sólo ofrecía
la posibilidad de establecer una contramedida mientras se desarrollaba
el parche adecuado. Tras dicho desarrollo ofrece el parche que cubre
esta vulnerabilidad.

El control Microsoft Outlook View es un control ActiveX que permite la
visualización de las carpetas de correo Outlook como páginas web. El
control sólo debe permitir operaciones pasivas como la visualización del
correo o los datos del calendario. Pero en realidad existe una función
en este control que permite a la página web manipular los datos Outlook.
Esto permitirá a un atacante borrar correo, cambiar la información del
calendario, o llevar a cabo cualquier otra acción a través de Outlook
incluyendo la ejecución de código arbitrario en la máquina del usuario.

Los sitios web maliciosos exponen el mayor riesgo respecto a esta
vulnerabilidad. Si un usuario visita una página web controlada por un
atacante un script en la página podrá llamar al control cuando la página
se abra, en ese momento el script empleará el control para llevar a cabo
cualquier acción deseada sobre los datos Outlook del usuario.

El atacante puede intentar reproducir el efecto desde un e-mail html
enviado al usuario. En este e-mail se efectúa la llamada al control de
igual forma que a través de una página web, sin embargo, si se encuentra
instalado el Outlook E-mail Security Update se detendrá esta forma de
ataque. Ya que esta actualización hace que los e-mails html se abran en
la zona de sitios restringidos (Restricted Sites Zone), donde los
controles ActiveX se inhabilitan por defecto.

El parche para evitar esta vulnerabilidad en Outlook 2000 se puede
descargar de:
http://office.microsoft.com/downloads/2000/outlctlx.aspx
Para Outlook 2002 en:
http://office.microsoft.com/downloads/2002/OLK1003.aspx

Microsoft no ofrece soporte para Outlook 98 por lo cual ya no publica
parches para este software. Se recomienda actualizar a una versión más
reciente o inhabilitar los controles ActiveX controls en la Zona
Internet para protegerse contra el ataque descrito anteriormente.



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-038):
http://www.microsoft.com/technet/security/bulletin/MS01-038.asp

una-al-dia (16/07/2001) Un control ActiveX deja vulnerable a Outlook
http://www.hispasec.com/unaaldia.asp?id=995

Aviso de Guninski:
http://www.guninski.com/vv2xp.html



domingo, 19 de agosto de 2001

Parche para Microsoft ISA Server 2000

La actualización de seguridad corrige tres nuevas vulnerabilidades en
Microsoft Internet Security & Acceleration Server 2000 que pueden
provocar ataques por denegación de servicios y cross-site scripting.
Las dos primeras vulnerabilidades afectan al servicio H.232 Gatekeeper
encargado de la transmisión de voz sobre IP y al Proxy. El envío
continuado de datos especialmente malformados a alguno de estos dos
servicios provoca un aumento en el consumo de memoria que puede llegar
a degradar el servicio hasta el punto de interrumpir todo el tráfico
a través del cortafuegos. En el caso del Proxy el ataque sólo puede
llevarse a cabo por un usuario interno, mientras que el servicio H.232
se encuentra expuesto a cualquiera a través de Internet.


La tercera vulnerabilidad permite el ataque conocido como cross-site
scripting, que permite a usuarios remotos crear URLs especialmente
modificadas que contienen código que será ejecutado en los navegadores
de los clientes que enlacen con dichas direcciones. Esta
vulnerabilidad afecta a las páginas web de error que ISA Server 2000
genera y presenta al usuario en respuesta a una petición fallida y
que incluiría el script introducido por el atacante en la URL.


El peligro de este tipo de ataques proviene de que el navegador del
usuario afectado interpreta el código script según el nivel de
confianza del dominio al que enlazaba la URL, si éste era considerado
seguro, por ejemplo por ser el dominio de la propia corporación, el
script se encontrará con unas reglas de seguridad relajadas para
llevar a cabo sus acciones.

Los sistemas afectados pueden corregir dichas vulnerabilidades con
la instalación del parche de Microsoft disponible en la dirección
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32094



Bernardo Quintero
bernardo@hispasec.com


Más información:


Microsoft ISA Server
http://www.microsoft.com/ISAServer/


Microsoft Security Bulletin MS01-045
http://www.microsoft.com/technet/security/bulletin/MS01-045.asp



sábado, 18 de agosto de 2001

HFNETCHK, interesante utilidad de Microsoft

Microsoft ha publicado una interesante utilidad para los administradores
de redes Windows, con la que se puede determinar rápidamente la presencia
o ausencia de las diferentes actualizaciones de seguridad en uno o varios
ordenadores.
Esta utilidad, que funciona desde la línea de órdenes del sistema, permite
conocer la relación de actualizaciones y parches de seguridad instalados
en uno o varios ordenadores. El producto da soporte a los siguientes
productos de Microsoft:

* Microsoft Windows NT 4.0
* Microsoft Windows 2000
* Internet Information Server (IIS) 4.0
* Internet Information Server (IIS) 5.0
* Microsoft SQL Server 7.0
* Microsoft SQL Server 2000
* Microsoft Internet Explorer 5.01 y versiones posteriores

Para obtener la información, la utilidad utiliza un archivo de
configuración en formato XML que contiene la relación de los diferentes
boletines de seguridad de Microsoft y los productos afectados por las
diferentes actualizaciones.

La primera vez que se ejecuta la utilidad, se encarga de bajar la versión
más actualizada del archivo de configuración (se encuentra dentro de un
archivo .CAB firmado digitalmente, que es bajado de la web de Microsoft).
A continuación realiza una búsqueda de los productos instalados en el
ordenador (o grupo de ordenadores) que se analiza e identifica las
diversas actualizaciones disponibles para los productos existentes.

A continuación intenta determinar (consultando el registro y los detalles
de los archivos) la presencia de cada actualización y presenta la
información al administrador.

La utilidad puede realizar la verificación en una única máquina o bien en
un conjunto de máquinas (por dirección IP, dominio, nombre de máquinas,
etc...).



Xavier Caballé
xcaballe@quands.com



viernes, 17 de agosto de 2001

Jornadas sobre elecciones electrónicas confiables

El instituto tecnológico de California organiza unas jornadas sobre voto
electrónico y elecciones electrónicas confiables. El evento tendrá lugar
los próximos 26 a 29 de Agosto de 2.001 en Tomales Bay, California.
Se adjunta la nota de prensa traducida:

"WOTE'01 es un pequeño seminario orientado a la investigación y dedicado
al progreso de la tecnología aplicada a la integridad electoral y el
secreto del voto. Los organizadores de este encuentro son David Chaum y
Ronald L. Rivest.

Las areas que siguen ilustran los temas que se consideran apropiados
para las presentaciones y/o discusiones en estas jornadas:

* Protocolos criptográficos de voto, incluyendo:
* Redes de mezcla
* Firmas ciegas
* Cifrado Homomórfico
* Esquemas "Receipt-freeness"

* Integridad y secreto en el voto remoto y voto por correo.

* Integridad en el registro y la autentificación del votante.

* Verificabilidad universal de la integridad electoral y el
secreto del voto.

* Grabación redundante de los votos y datos del recuento.

* Procedimientos de seguridad para los representantes electorales

* Documentar Técnicas de seguridad relevantes para las elecciones

* Equipo de voto a prueba de intrusiones.

* Sistemas electorales software, y "Open Source"

* Seguridad informática en las plataformas de voto y tabulación.

* Registros de auditoría, tanto en papel como electrónicos.

* Criterios y requerimientos para los sistemas electorales.

* Evaluación y certificación de sistemas de voto.

* Diseños de seguridad para los sistemas de voto actuales y futuros.

Otras consideraciones, como el coste, la facilidad de uso, la
fiabilidad, etc., no son apropiadas para este encuentro. Por supuesto
que son importantes, pero no entran dentro del enfoque de estas
jornadas.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Workshop on Trustworthy Elections
http://www.vote.caltech.edu/wote01/index.html



jueves, 16 de agosto de 2001

Parche de Microsoft para Internet Information Server

Microsoft publica un nuevo parche para Internet Information Server. Se
trata de un parche acumulativo que incluye las funcionalidades de todos
los parches publicados hasta la fecha para IIS 5.0, y todos los parches
publicados para IIS 4.0 desde el Service Pack 5. Además este parche
viene a cubrir cinco nuevas vulnerabilidades.
Además de incluir todos los parches previamente publicados, este parche
también cubre cinco nuevas vulnerabilidades de denegación de servicios
que afectan a IIS 4.0 y 5.0:

* Una denegación de servicios que puede permitir a un atacante que el
servicio IIS deje de funcionar si la redirección de URL está activada.

* Una denegación de servicio que puede permitir a un atacante
interrumpir temporalmente el correcto funcionamiento de IIS 5.0. WebDAV
no trata de forma correcta determinadas peticiones demasiado largas.
Tales peticiones harán que IIS 5.0 deje de funcionar, aunque por defecto
el servicio se reiniciará de forma automática.

* Otra denegación de servicio tiene relación con la forma en que IIS 5.0
interpreta los contenidos de cabeceras MIME no válidas.

* Existe una vulnerabilidad de desbordamiento de bufer en el código que
ejecuta las directivas server-side include (SSI).

* El parche también cubre una vulnerabilidad de elevación de privilegios
existente en una tabla que IIS 5.0 consulta para determinar los procesos
que deben ejecutarse internamente o externamente.

Este parche se encuentra disponible en las siguientes direcciones:
Para Microsoft IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
Para Microsoft IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft (MS01-044):
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp



miércoles, 15 de agosto de 2001

Vulnerabilidad en phpBB

phpBB es un popular de sistema para la inclusión de foros de discusión,
públicos o privados, dentro de sedes web. Acaba de publicarse un exploit
con el que un atacante malévolo puede obtener privilegios de
administración.
phpBB [1] es un sistema, de código abierto, para añadir foros de discusión
dentro de sedes web. Hace aproximadamente una semana, kill-9 de
modernhacerks.com publicó [2] un exploit que podía ser utilizado por un
atacante remoto para obtener acceso a nivel de administración a un
servidor vulnerable.

En el mensaje se incluyen unas instrucciones paso a paso (y simples) para
aprovecharse de la vulnerabilidad:

1. Crear una cuenta en el servidor víctima que utiliza phpBB versión 1.4.x

2. Abrir la siguiente URL, sustituyendo "sitenam" por la dirección del
servidor víctima y "l337h4xOr" por el nombre de
usuario:

http://sitename/phpBBfolder/prefs.php?save=1
&viewemail=1´,user_level%3D´4´%20where%20username%3D´l337h4x0r´%23

3. Hacer clic en "Administration Panel", situado cerca de la parte
inferior de la página.

El problema viene originado por una comprobación inadecuada de los datos
incluidos en la URL. Así, la URL indicada anteriormente ha incluido unos
valores adicionales:

,user_level=´4´ where username=´l337h4x04´

en la sentencia SQL definida por la variable $viewemial del archivo
PREFS.PHP:

$sql_query = "UPDATE users SET
user_viewemail=´$viewemail´,
user_theme=´$themes´,
user_attachsig=´$sig´, ...

Esta vulnerabilidad está siendo utilizada de forma activa para tomar el
control de las diversas sedes web en donde está instalado phpBB 1.4.x.

Se recomienda la rápida adopción de medidas preventivas, que pueden
encontrarse detalladas en un mensaje publicado en bugtraq [3].



Xavier Caballé
xcaballe@quands.com


Más información:

[1] phpBB
http://www.phpbb.com/

[2] Exploit para phpBB 1.4.x
http://archives.neohapsis.com/archives/bugtraq/2001-08/0056.html

[3] Medidas de prevención
http://archives.neohapsis.com/archives/bugtraq/2001-08/0060.html

Versión en catalán de esta noticia
http://www.quands.com/misc/html/phpbb.html



martes, 14 de agosto de 2001

Nuevo frente contra &quot;Carnívoro&quot;

Un grupo de consumidores norteamericano interpone una demanda ante un
juez federal requiriendo un mayor acceso a documentación relacionada
con el funcionamiento y la legalidad de "Carnívoro".
Durante el pasado año la (EPIC) The Electronic Privacy Information
Center, ha investigado los más de 2000 documentos a los que ha
tenido acceso basándose en una ley que protege la libertad de acceso a
la información. Tras un minucioso estudio de la documentación
recopilada no se pudo observar en ningún capitulo información
relacionada sobre la legalidad del polémico software de control y
captura de información en Internet.

Por los documentos técnicos a los que se ha podido tener acceso, se ha
observado, como ya se intuía, que la captura y el almacenamiento de
datos es indiscriminado. Esto a todas luces es considerado por parte
de la EPIC como inconstitucional, por ello pide un mayor control por
parte del aparato judicial a la hora de permitir la captura y el
posterior almacenamiento de dato de los ciudadanos.

Otra polémica que surge tras la investigación del funcionamiento de
Carnívoro, es la facilidad para la manipulación de las pruebas
capturadas por el polémicos software por parte de terceras personas,
esto hace crecer aún más si cabe el rechazo por parte de la comunidad
de Internet al uso de este tipo de programas.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Group asks Court to get info on FBI e-mail snooping tool
http://www.newsbytes.com/news/01/168926.html

EPIC´s filing
http://www.epic.org/privacy/carnivore/discovery_motion.pdf



lunes, 13 de agosto de 2001

Recomendaciones de la NSA sobre el correo electrónico

La Agencia Nacional de Seguridad (NSA) de los Estados Unidos ha
publicado una serie de documentos sobre los diversos incidentes
de seguridad ocurridos últimamente y que han tenido como nexo
común su distribución mediante el correo electrónico.
En los últimos meses han empezado a proliferar los programas de
tipo "malware" (virus, gusanos, caballos de troya y similares)
que se aprovechan de la inmediatez del correo electrónico para
su distribución. Recordemos los casos del "I Love You" [1],
Magistr [2] y Sircam [3], por citar únicamente a tres de los
más conocidos.

Debido a este incremento y al impacto que tienen sobre la
normal utilización de los sistemas, la NSA ha decidido publicar
estas recomendaciones que tienen un doble objetivo: permitir
conocer la amenaza existente y determinar las posibles medidas
preventivas para evitar, en la medida de lo posible, el
problema.

Los documentos publicados son tres:

- "Seguridad del correo ante los recientes incidentes con
código malévolo" en el que se realiza una descripción de los
diversos mecanismos utilizados para la distribución de código
malévolo ("malware") a través del correo y que medidas de
prevención deben aplicarse: antivirus, protección de programas,
fortalecimiento del sistema operativo, etc.

- "Guía para la configuración y administración segura de
Microsoft Exchange". Manual para administradores del servidor
de correo (basado en el producto de Microsoft) en vistas a
reducir las posibles debilidades en la configuración que
puedan contribuir a la propagación del malware.

- "Riesgos de seguridad y medidas de prevención para el
código ejecutable incluido en documentos Microsoft Office
97". Las medidas de prevención a aplicar para la prevención
de los virus de macro en los documentos de Microsoft Office.



Xavier Caballé
xcaballe@quands.com


Más información:

[1] 01-05-00: Alerta: VBS.LoveLetter infecta miles de sistemas
http://www.hispasec.com/unaaldia.asp?id=552

[2] 15-03-01: Alerta: Magistr, un virus/gusano sofisticado y muy
destructivo
http://www.hispasec.com/unaaldia.asp?id=872

[3] 18-07-01: SirCam, gusano de propagación masiva
http://www.hispasec.com/unaaldia.asp?id=997

E-mail and Executable Content Security Guides
http://nsa1.www.conxion.com/emailexec/index.html

Versión en catalán de esta noticia
http://www.quands.com/misc/html/nsa-email.html



domingo, 12 de agosto de 2001

Desbordamiento de bufer en Xlock de Solaris

Se ha descubierto una vulnerabilidad de desbordamiento de bufer en
xlock en el tratamiento de algunas variables de entorno que afecta a
los sistemas Solaris 2.6 y Solaris 7.
Xlock es una utilidad de Solaris OpenView para bloquear la pantalla.
Consigue bloquear el servidor X hasta que se introduce la password.
Esta utilidad se instala como suid root por defecto.

El problema consiste en el tratamiento realizado a dos variables de
entorno: "XFILESEARCHPATH" y "XUSERFILESEARCHPATH". Xlock proporciona
un espacio de memoria de 1024 bytes para dichas variables, pero no
realiza ninguna comprobación sobre dicho tamaño, de forma que en caso
de que se configuren con un valor mayor a 1024 bytes, se producirá el
desbordamiento de bufer. Si un atacante logra explotar esta
vulnerabilidad con éxito puede lograr privilegios de root.

Sun ha desarrollado parches para este problema que se anuncia serán
publicados a finales de mes.
Los parches serán publicados de acuerdo a la siguiente numeración:
Para Solaris 7: 108376-30
Para Solaris 2.6: 105633-60

Como contramedida se propone eliminar el atributo de suid root a xlock:
# chmod a-s /usr/openwin/bin/xlock



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/vdb/?id=3160

Bugtraq:
http://www.securityfocus.com/archive/1/203298



sábado, 11 de agosto de 2001

Varias vulnerabilidades en Snapstream Personal Video Station

Una primera vulnerabilidad permitiría a un atacante acceder a la
máquina atacada, que junto al segundo problema consistente en la
falta de cifrado de datos sensibles por parte de Snapstream PVS, forman
un cóctel explosivo.
Snapstream PVS, es una aplicación que corre sobre plataforma Windows
que permite a los usuarios grabar vídeo en su ordenador, localmente o
mediante un entorno web al cual se accede por el puerto 8129.

La primera vulnerabilidad permite a un atacante poder utilizar las
secuencias de caracteres "../" de las peticiones web, que en este caso
no son filtradas, para conseguir escalar directorios y así acceder a
información sensible.

El segundo problema afecta a la falta de cifrado de la información del
usuario. Esto es debido a que dichos datos se guardan sin cifrar en el
archivo "SSD.INI". En este archivo no sólo se almacena los datos de
los usuarios sino que también podemos encontrarnos entre otros, la
localización de árbol de directorio del servicio en cuestión.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Snapstream PVS Directory Traversal Vulnerability
http://www.securityfocus.com/bid/3100

Snapstream PVS Plaintext Password Vulnerability
http://www.securityfocus.com/bid/3101



viernes, 10 de agosto de 2001

Vulnerabilidades en implementaciones LDAP

Varias implementaciones LDAP sufren de diversos problemas de seguridad
que permiten ataques de denegación de servicio y accesos no autorizados.
LDAP (Lightweight Directory Access Protocol) es un protocolo de
directorio jerárquico basado en el proyecto X.500 de OSI. El sistema
X.500, como otros muchos proyectos OSI (por ejemplo, el X.400 de
mensajería electrónica) era muy ambicioso y no ha llegado a tener
impacto comercial directo, pero las ideas y fundamentos que lo sostienen
se han reutilizado en otros contextos simplificados, como es el caso de
LDAP.

Diversas implementaciones LDAP contienen varios errores de seguridad que
permiten ataques de denegación de servicio y accesos no autorizados.
Están afectados, al menos, los siguientes productos:

* iPlanet Directory Server, version 5.0 Beta y versiones hasta la 4.13,
inclusive
* IBM SecureWay V3.2.1, bajo Solaris y Windows 2000
* Lotus Domino R5 Servers (Enterprise, Application, y Mail), versiones
previas a la 5.0.7a
* Teamware Office para Windows NT ySolaris, anterior a la versión 5.3ed1
* Qualcomm Eudora WorldMail para Windows NT, versión 2
* Microsoft Exchange 5.5 antes de Q303448 y Exchange 2000 antes de
Q303450
* Network Associates PGP Keyserver 7.0, antes del Hotfix 2
* Oracle Internet Directory, versiones 2.1.1.x y 3.0.1
* OpenLDAP, 1.x anteriores a 1.2.12 y 2.x anteriores a 2.0.8

Las vulnerabilidades han sido detectadas por el proyecto PROTOS,
utilizando herramientas automáticas en dos áreas: enviando paquetes con
codificaciones ilegales y enviando paquetes ilegales bajo la semántica
LDAP.

El resultado de utilizar dichas herramientas contra varias
implementaciones LDAP es descorazonador: muchos sistemas, incluyendo los
comerciales, fallan estrepitosamente y, en algunos casos, incluso pueden
llegar a permitir la ejecución de código arbitrario en el servidor.

Los detalles, implementación a implementación, se ilustran en los
boletines cuyo enlace se muestran al final.

La conclusión es clara: si usamos LDAP en nuestra red, debemos
asegurarnos de estar ejecutando la última versión. Esto es válido tanto
para implementaciones comerciales como para el proyecto OpenLDAP.
También es conveniente limitar el acceso al directorio LDAP lo máximo
posible, utilizando medidas perimetrales como cortafuegos o reglas de
acceso.

Debemos recordar que incluso el caso relativamente benigno de denegación
de servicio, la caída del servicio LDAP puede tener efectos muy graves
en el sistema o en toda una red, ya que el directorio puede contener
información necesaria para el correcto funcionamiento de la entidad
(claves criptográficas, direcciones de buzones de correo, directorio
telefónico, etc).



Jesús Cea Avión

jcea@hispasec.com


Más información:

CERT Advisory CA-2001-18 Multiple Vulnerabilities in Several
Implementations of the Lightweight Directory Access Protocol (LDAP)
http://www.cert.org/advisories/CA-2001-18.html

Múltiples Vulnerabilidades en Varias Implementaciones de LDPA
(Lightweight Directory Access Protocol)
http://www.unam-cert.unam.mx/Boletines/boletin-UNAM-CERT-2001-019.html



jueves, 9 de agosto de 2001

Vulnerabilidad en el servidor de Quake III Arena

El software servidor de Quake III Arena, que permite el desarrollo
de partidas multijugador, se ve afectado por un problema de
desbordamiento de buffer que podría hacer caer el servidor y
una posterior ejecución de código en la máquina afectada.
Un atacante podría dejar fuera de servicio al servidor, por lo que los
usuarios que lo estén utilizando perderían la conexión y por
consiguiente la partida quedaría inacabada, esto generaría un gran
malestar entre los jugadores.

Las versiones afectadas por este problema son las versiones beta de
Quake III 1.29f y 1.29g. La vulnerabilidad se debe solucionar con la
nueva versión 1.29h, por lo que se recomienda a los usuarios del
popular juego que se actualicen a esta última versión.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Buffer overflow bug shakes Quake
http://www.theregister.co.uk/content/55/20791.html

Quake 3 Arena Possible Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/3123



miércoles, 8 de agosto de 2001

Vulnerabilidades en varios demonios Telnet

Muchas implementaciones Telnet contienen una vulnerabilidad en la
gestión de opciones telnet que, en algunas circunstancias, podrían
permitir la ejecución de código arbitrario en el servidor, con
privilegios de administrador o root.
Telnet es el protocolo de acceso remoto por antonomasia, a pesar del
problema de seguridad que supone el envío de las claves en texto claro
(por ello existe, por ejemplo, el protocolo SSH). El protocolo Telnet
define capacidades de negociación (will, won·t, do, don·t) durante el
establecimiento de la conexión.

La mayoría de las implementaciones de demonios Telnet son susceptibles a
un ataque que permite la ejecución de código arbitrario en el servidor,
con los privilegios del usuario que ejecuta el demonio telnet,
típicamente el administrador o root.

La vulnerabilidad consiste en un desbordamiento de búfer durante la
gestión de la negociación, y parece afectar a todas las implementaciones
derivadas del sistema Telnet BSD original, lo que implica que la mayoría
de los Unix actuales están afectados.

El problema es grave tanto por su difusión como por el hecho de que no
es necesario que el atacante tenga ningún tipo de privilegio de acceso
en el servidor, ya que la negociación problemática tiene lugar durante
el establecimiento de la conexión, y antes de solicitar el nombre de
usuario y la contraseña.

Los administradores de sistemas UNIX con el servicio Telnet habilitado
(la norma a menos que se disponga de SSH y se elimine el telnet en sí)
deben actualizar sus sistemas con la mayor brevedad. Si ello no es
posible, debe deshabilitarse el servicio Telnet y/o filtrarlo en el
perímetro, usando un cortafuegos (TCP, puerto 23).

El número de implementaciones vulnerables es muy alto. Consulte con su
proveedor de sistema operativo.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT Advisory CA-2001-21 Buffer Overflow in telnetd
http://www.cert.org/advisories/CA-2001-21.html

Multiple vendor Telnet Daemon vulnerability
http://archives.neohapsis.com/archives/vulnwatch/2001-q3/0002.html



martes, 7 de agosto de 2001

Primer gusano del mundo en PDF

Hispasec descubre OUTLOOK.PDFWorm, el primer gusano que se presenta en
un archivo PDF (Portable Document Format), el conocido formato de
Adobe Acrobat. No es la única novedad: este espécimen se distribuye
utilizando funciones de Outlook nunca vistas antes en un gusano.
Aunque es un virus de laboratorio que apenas ha visto la luz, se trata
de una importante semilla que puede hacer proliferar este tipo de
virus insertados en archivos PDF, un formato hasta ahora considerado
seguro por los usuarios.

Diseñado como prueba de concepto, este gusano no está optimizado para
su distribución masiva. Entre otras limitaciones de diseño, es
necesario que el usuario a infectar tenga instalado Outlook y una
versión completa de Acrobat, ya que no funciona sólo con Acrobat
Reader, que es la aplicación de distribución gratuita que la mayoría
de los usuarios suele tener instalada.

El desarrollador de este gusano es Zulu, un argentino ampliamente
conocido en el mundo vírico por sus constantes innovaciones en el
sector de los i-worms, autor entre otros de "BubbleBoy", "Freelinks",
"The_Fly", "Monopoly" y "Life_Stages". A continuación vamos a
describir algunas de las funcionalidades más destacadas de
OUTLOOK.PDFWorm.

Así llega...

El creador se ha tomado algunas molestias para dotar a este espécimen
de cierto polimorfismo en su aspecto a primera vista. El gusano nos
puede llegar adjunto en un correo electrónico con uno de los
siguientes textos que elige al azar para componer el asunto, cuerpo y
nombre de archivo con el que se envía:

Asunto (elegido al azar entre):

"You have one minute to find the peach"
"Find the peach"
"Find"
"Peach"
"Joke"

Con una probabilidad del 50%, el asunto puede ir precedido de la
cadena "Fw:" para simular un reenvío y/o con el signo "!" al final,
mientras que existe una posibilidad de 1 entre 3 de que el texto del
asunto vaya escrito en mayúsculas en su totalidad.

Cuerpo (elegido al azar entre):
"Try finding the peach"
"Try this"
"Interesting search"
"I don't usually send this things, but..."
[o el texto elegido para el asunto]

Al igual que con el asunto, el gusano puede realizar algunas
modificaciones en el cuerpo del mensaje, como comenzar con la cadena
"> ", convertir todo el texto en mayúsculas o terminar con el signo de
exclamación "!". Por último, con una probabilidad del 80%, puede
incluir alguno de los siguientes emoticones: " :-)", " :)", " =)" o
" :-]".

El nombre del archivo adjunto se elige entre los siguientes:
"find.pdf"
"peach.pdf"
"find the peach.pdf"
"find_the_peach.pdf"
"joke.pdf"
"search.pdf"

Con una probabilidad de 1 entre 3, el nombre del archivo puede
aparecer en mayúsculas o, con esa misma probabilidad, escribir en
mayúscula sólo la primera letra.


Intenta engañarnos simulando un juego...


Cuando el usuario abre el archivo adjunto, para lo que necesita tener
instalado Acrobat, puede visualizar una pantalla que simula un juego
a manera de broma:

"You have un minute to find the peach!"
[¡Tienes un minuto para encontrar el melocotón!]

Debajo de este texto, aparece un gráfico compuesto de cuadrícula de
18x13 con miniaturas de traseros desnudos. Puede ver la imagen en
http://www.hispasec.com/pdfworm.gif

A continuación, se nos invita a hacer doble clic en un icono para ver
la solución del juego, lo que en realidad activará el gusano, escrito
en Visual Basic Script, que viaja adjunto en el archivo PDF.

Por último, encontramos una nota que intentará impedir que el usuario
ejecute el script desde una versión incompleta de Adobe Acrobat, como
es el caso de Acrobat Reader.

"Note: Acrobat full version (not Acrobat Reader) is needed to show de
solution."

Si se intenta ejecutar desde Acrobat Reader, el gusano no puede llevar
a cabo su acción y aparecen mensajes de error indicando que algunos
métodos o funciones no están disponibles.

El gusano toma el control...

Si el usuario tiene la versión completa de Adobe Acrobat y hace doble
clic en el icono, se ejecuta el gusano desarrollado en Visual Basic
Script. Existen tres versiones que se diferencian principalmente en la
extensión y uso de cifrado según el formato utilizado: 1.0 en VBS
(Visual Basic Script), 1.1 en VBE (VBScript Encoded) y 1.2 en WSF
(Windows Script File), pero todas realizan prácticamente las mismas
funciones.

La primera acción del gusano, para no alertar al usuario y seguir la
simulación del supuesto juego, consiste en crear un archivo .JPG y
mostrar esta imagen, que puede ver en http://www.hispasec.com/pdfworm2.gif

Después, el gusano comienza su rutina de propagación, para lo que
primero debe localizar el archivo PDF en el que viajar adjunto. Esto
se hace necesario porque Adobe Acrobat utiliza un directorio temporal
de Windows para almacenar y ejecutar el archivo adjunto recibido
inicialmente (el .VBS, .VBE o .WSF según versión), y el gusano no
conoce la trayectoria exacta de la ubicación del PDF en el que
viajaba.

Para localizar el archivo, el virus utiliza como referencia la
extensión y el tamaño, buscando archivos PDF entre 168.230 y 168.250
bytes. En el código del gusano encontramos dos rutinas para este
procedimiento, una que utiliza Word en el caso de que el usuario lo
tenga instalado en el sistema y que consigue realizar la búsqueda en
todas las unidades existentes, mientras que la otra rutina, si no se
utilizan las funciones de Word, busca recursivamente en los
directorios a través de código en Visual Basic Script.

Rutina de propagación...

Una vez localizado el archivo PDF en el que viajará adjunto, el gusano
busca las direcciones de correo a las que autoenviarse. El método
utilizado es otra de las innovaciones nunca vista en otro espécimen,
y que se diferencia de la típica rutina basada en objetos de Outlook
que pusiera de moda Melissa. En esta ocasión, se recorren todas las
carpetas de Outlook y todos los contactos de la libreta de direcciones
(buscando hasta las tres primeras direcciones de cada contacto),
reuniendo en una variable dimensionada todas las direcciones de correo
electrónico detectadas.

A continuación, realiza un filtrado de todas las direcciones
recolectadas en la variable dimensionada para evitar duplicados y
también filtra la dirección del usuario ya infectado que recoge de la
configuración SMTP existente en el registro de Windows. Mantiene un
límite máximo de 100 mensajes por infección y evita propagarse dos
veces desde un mismo sistema, para lo que deja la siguiente marca
en el registro de Windows que indicará la infección:

HKLM\Software\OUTLOOK.PDFWorm\"Version 1.x. By Zulu"

El número máximo de las 100 direcciones recolectadas se incluye en el
campo CCO (con copia oculta) de un mensaje de correo electrónico cuyas
características (asunto, cuerpo y archivo adjunto) ya se han descrito
al principio de este análisis. Por último, se asegura de borrar el
mensaje una vez enviado, así como el archivo PDF situado en la carpeta
temporal, para evitar que el usuario los detecte.


Últimas consideraciones...


Cómo suele ser habitual, Zulu no ha incluido ninguna rutina
destructiva. El objetivo del gusano consiste en demostrar la
posibilidad de que los archivos PDF puedan contener virus, troyanos
u otro código dañino.

A partir de ahora, los usuarios deberán de extremar las precauciones
con los archivos PDF no solicitados, mientras que los programas
antivirus tendrán que soportar un nuevo formato para proteger a sus
usuarios. Hasta la fecha ninguna de estas aplicaciones es capaz de
detectar este gusano, ni mucho menos limpiar un equipo infectado.




Bernardo Quintero
bernardo@hispasec.com



lunes, 6 de agosto de 2001

Análisis del gusano "Code Red II"

Durante las últimas horas, ha aparecido una mutación del gusano "Code Red"
especialmente peligrosa cuyo único parecido con la versión original es el
mecanismo de propagación. Una de las características de esta nueva
mutación es el abrir diversas puertas traseras en la máquina infectada.
Este nuevo gusano fue detectado por primera vez durante la tarde del pasado
4 de agosto. En este artículo hacemos un resumen de los diferentes análisis
en profundidad realizado al código del virus.

Vulnerabilidad explotada

Esta variante del gusano utiliza el mismo mecanismo de la versión original de
"Code Red" para infectar los servidores vulnerables. Es decir, el gusano busca
servidores con Internet Information Server (IIS) a los que no se ha instalado
la actualización necesaria para solucionar el desbordamiento de memoria
intermedia existente en IDQ.DLL o bien no se han eliminado los mapeos de los
scripts ISAPI. Para más información sobre esta vulnerabilidad, podéis consultar
los boletines que en su día emitió Hispasec: [1] y [2].

Excepto en el mecanismo de infección utilizando este desbordamiento de memoria
intermedia para ejecutar el código del gusano en el servidor vulnerable, el resto
del gusano es totalmente nuevo y muy diferente de las diversas variedades de
"Code Red" conocidas hasta la fecha (Code Red CRv1 y Code Red CRv2). [3]


---

Nota: Según el estudio de eEye, el código de este gusano sólo funciona
correctamente en los sistemas Windows 2000 que tengan una versión vulnerable
de IIS. Los servidores basados en Windows NT simplemente quedarán colgados
en el momento de ejecutar el código del gusano. Los experimentos que hemos
realizado, así como los comentarios de otros analistas parecen demostrar este
punto.

---

Puerta trasera

La característica más peligrosa de este nuevo gusano es hecho que crea una
puerta trasera (backdoor) en los servidores infectados, dejándolos por tanto
a la merced de cualquier atacante.

El gusano copia el archivo %windir%\CMD.EXE en los siguientes directorios:

c:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\inetpub\scripts\root.exe
d:\progra~1\common~1\system\MSADC\root.exe

La instalación de estas copias de CMD.EXE permite a cualquier atacante ejecutar
órdenes arbitrarias del sistema en la máquina comprometida.

Además, el gusano crea una copia modificada del EXPLORER.EXE, tal como
describiremos más adelante. Si se utiliza esta versión modificada, IIS hará que
los directorios raíz de las unidades C: y D: del servidor sean accesibles para
cualquier atacante remoto, incluso si el programa ROOT.EXE (CMD.EXE) ha sido
borrado de los directorios SCRIPTS y MSADC.

Versión modificada de EXPLORER.EXE

El gusano transporta su propia versión del archivo EXPLORER.EXE y se encarga
de copiarla en los directorios C:\ y D:\. El hecho que sea copiado en estos
directorios hace que Windows los encuentre y ejecute con preferencia a la
versión real de EXPLORER.EXE, debido a la forma en que Windows busca los
archivos ejecutables.

Si no se ha instalado la actualización que elimina la vulnerabilidad de las
vías de acceso relativas, la próxima vez que un usuario abra una sesión en el
sistema se ejecutará esta versión modificada de EXPLORER.EXE (para más
detalles sobre esta vulnerabilidad y la actualización publicada por Microsoft,
se pueden consultar [4] y [5].

Cuando se ejecuta esta versión modificada de EXPLORER.EXE, el gusano se
encarga de ejecutar la versión autentica del programa de forma que el usuario
no advierte ningún problema. A continuación, inicia a modificar el contenido
del registro del sistema.

En primer lugar, añade a HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogin
el valor SFCDisable=0xFFFFFF9D. Con esto deshabilita completamente el
mecanismo de protección de archivos de Windows (Windows File Protection,
WFP). WFP es quien se encarga de prevenir la sobreescritura de determinados
archivos del sistema. Para más detalles acerca de WFP, consultar [6].

El segundo paso es la modificación de una serie de directorios virtuales dentro
del registro:

- Asigna a
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\cripts
el valor ",,217"

- Asigna a
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\msadc
el valor ",,217"


El valor "217" indica que tanto el directorio SCRIPTS como el directorio
MSADC (en donde, recordemos, se ha copia el archivo ROOT.EXE, una copia de
CMD.EXE) tienen permiso de lectura, escritura y ejecución.

Por último, la versión modificada de EXPLORER.EXE crea dos directorios virtuales
nuevos:

- Crea
SYSTEM\Current\ControlSet\Services\W3SVC\Parameters\Virtual Roots\c
con el valor "c:\,,217"


- Crea
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d
con el valor "d:\,,217"

Estos dos directorios virtuales, que habitualmente no existen, permiten acceder
remotamente a los directorios raíz de las unidades C: y D: mediante el servidor
web, con permisos de lectura, escritura y desarrollo.

---

Nota: Según el análisis de eEye, el objetivo de estos directorios virtuales es
permitir la instalación de una puerta trasera en el sistema incluso cuando el
archivo ROOT.EXE ha sido borrado del directorio /scripts. El atacante puede
continuar comprometiendo el sistema con un ataque como este:

http://IP/c/inetpub/scripts/root.exe?/c+dir
(Si root.exe continua en el directorio scripts)

http://IP/c/winnt/system32/cmd.exe?/c+dir
(Donde "dir" puede ser cualquier orden que desee ejecutar el atacante).

---

Es importante indicar que hay suficiente con ejecutar una única vez la versión
modificada del EXPLORER.EXE para que se realicen estos cambios en el sistema.
Desde el momento en que se hagan estas modificaciones y se reinicie IIS, las
puertas traseras estarán activas. Es más, éstas continuaran activas con
independencia de si EXPLORER.EXE está funcionando o no.

Incluso, el hecho de detener el proceso de la versión modificada de EXPLORER.EXE
no elimina las puertas traseras. Detener EXPLORER.EXE y borrar las copias de
ROOT.EXE, así como borrar las entradas del registro *tampoco* eliminan las
puertas traseras. En el momento en que vuelva a ejecutarse la versión modificada
de EXPLORER.EXE (por ejemplo, cuando un nuevo usuario accede al sistema) se
volverán a realizar los cambios en el registro y por tanto los directorios
estarán de nuevo accesibles desde el exterior desde el mismo momento en que se
reinicie el IIS (Para más detalles acerca de los directorios virtuales de IIS
se puede consultar [7]).


Como consideración final, debe indicarse que el borrar las entradas del
registro, borrar las copias de ROOT.EXE y borrar la versión modificada de
EXPLORER.EXE puede no ser suficiente para limpiar un sistema infectado. Desde
el momento en que existe una puerta trasera en el sistema, hay la posibilidad
más que real de que un atacante instale otras puertas traseras que no estén
relacionadas de ninguna forma con este gusano.

El proceso de la versión modificada de EXPLORER queda suspendido la mayor
parte del tiempo, aunque cada diez minutos comprueba los valores de las
variables modificadas en el registro. De esta forma, si un administrador de
la máquina detecta los cambios y los borra, el gusano se encargará de
restaurar estos valores a los pocos minutos.

Propagación


El método utilizado por el gusano varia en función de si el idioma chino está
instalado en la máquina víctima. Si lo está, el gusano lanzará 600 threads
que intentarán propagar el gusano a otros sistemas durante 48 horas.

Si el idioma chino no está instalado, el gusano lanza 300 threads y el periodo
de propagación es de 24 horas.

Una vez transcurrido el periodo de propagación, el gusano fuerza una detención
del sistema y su reinicio. De esta forma, el gusano desaparece de la memoria
del ordenador, aunque las puertas traseras continuan activas.

Esta versión del gusano envía un paquete ligeramente diferente al atacar una
máquina:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%
u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b0
0%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 200 152 "-" "-"

Selección de víctimas

Los threads utilizados para la propagación (300 ó 600) funcionan de forma
simultánea. Cada uno de ellos selecciona una dirección IP de forma
aleatoria y a continuación aplica una de las siguientes máscaras
de red con un índice de probabilidades. Esto hace que la propagación
del gusano se realice preferentemente en las máquinas con direcciones
IP cercanas a las del ordenador infectado:

Máscara Índice probabilidad Resultado

-------- ------------- -------------------
0.0.0.0 12,5% Dirección aleatoria
255.0.0.0 50,0% Dentro de la misma clase A
255.255.0.0 37,5% Dentro de la misma clase B

Las direcciones IP de las clases 127.x.x.x y 224.x.x.x son excluidas, así como
las direcciones 0 y 255 de cada red. Tampoco intenta infectarse él mismo.


Proceso de infección


Antes de realizar una conexión a una posible nueva víctima, el gusano
realiza una comprobación de la fecha del sistema: si el año es inferior al
2002 y el mes anterior a octubre. Sino se cumple alguna de estas dos
condiciones, el gusano finaliza su ciclo de propagación y reinicia el
servidor. Esto significa que el gusano dejará de propagarse el próximo 1
de octubre del presente año.


En vistas a mejorar el rendimiento, el gusano utiliza un socket sin bloqueo
para conectar con la posible víctima. Como consecuencia, si un thread queda e
la espera de la respuesta debido a una conexión lenta, esto no afectará al resto
de threads.


Una vez finalizada la conexión TCP/IP con la posible víctima, el gusano envía
todo el código a la vez y queda a la espera del acuse de recibo. A continuación,
prueba de infectar a otra posible víctima.


Al llegar a una víctima, lo primero que comprueba el gusano es si la máquina ya
ha sido infectada. En caso afirmativo, queda deshabilitado. La forma de comprobar
la existencia consiste en determinar si se ha establecido el átomo CodeRedII
mediante GlobalFindAtomA. Si encuentra la existencia de este átomo, queda en
estado de suspensión. En caso de no existir, el gusano continua con su proceso
normal de ejecución.




Xavier Caballe
xcaballe@quands.com


Más información:


[1] 18-06-01: Grave desbordamiento de búfer en todas las versiones de IIS
http://www.hispasec.com/unaaldia.asp?id=967


[2] 19-07-01: Un nuevo gusano, .ida Red Code, ataca a los servidores IIS
http://www.hispasec.com/unaaldia.asp?id=998


[3] 28-07-01: Alerta sobre una grave amenaza a Internet. Deben tomarse
medidas antes del 31 de julio
http://www.hispasec.com/unaaldia.asp?id=1007



[4] 27-07-00: Vulnerabilidad "Relative Shell Path" en Windows NT y 2000
http://www.hispasec.com/unaaldia.asp?id=640


[5] Boletín de Microsoft sobre la vulnerabilidad de las vías de
acceso relativas
http://www.microsoft.com/technet/security/bulletin/MS00-052.asp


[6] Descripción de WFP (Windows File Protection)
http://support.microsoft.com/support/kb/articles/Q222/1/93.ASP


[7] Installing Web sites
http://www.avdf.com/jan98/art_ot001.html


Versión desensamblada del gusano y de la versión modificada de
EXPLORER.EXE
http://www.eikon.tum.de/~simons/ida_root/


Análisis de eEye y versión desensamblada del gusano
http://www.eeye.com/html/advisories/coderedII.zip


Versión binaria del gusano
http://www.unixwiz.net/techtips/CodeRedII.html


Análisis de CoreCode
http://archives.neohapsis.com/archives/incidents/2001-08/0092.html


Análisis de NAI
http://vil.nai.com/vil/virusChar.asp?virus_k=99177


Análisis de SecurityFocus
http://archives.neohapsis.com/archives/bugtraq/2001-08/0066.html


Versión en catalán de esta noticia
http://www.quands.com/alertes/html/code-red-ii.html



domingo, 5 de agosto de 2001

Vulnerabilidad de acceso a ficheros en servidores web Roxen

El servidor web Roxen es un extendido servidor http que corre bajo
Unix y Windows. Se ha descubierto una vulnerabilidad en este software
que puede permitir a cualquier usuario conseguir cualquier archivo de
la máquina.
Roxen Webserver 2.0 hasta la versión 2.0.92 y 2.1 hasta la versión
2.1.264 se ve afectado por una vulnerabilidad que puede permitir a un
usuario recuperar cualquier archivo del sistema con los privilegios
del servidor web. Si el módulo CGI se encuentra activo el problema se
magnifica ya que puede posibilitar la ejecución de cualquier programa.

Se ha publicado una paquete de actualización bajo el nombre de "Fix
for file access vulnerability" (corrección para vulnerabilidad de
acceso a ficheros) para los usuarios de las versiones 2.1.247 y 2.1.262.
Se puede emplear el interfaz de administración para descargar e instalar
esta actualización. El servidor deberá ser reiniciado tras la
instalación del parche.

Los parches y las instrucciones de cómo aplicarlos para todas las
versiones 2.x están disponibles en http://download.roxen.com/
Parche para Roxen 2.1 roxen-2.1.247.diff.gz
http://download.roxen.com/2.1/patch/roxen-2.1.247.diff.gz
Parche Roxen 2.0 roxen-2.0.diff.gz
http://download.roxen.com/2.0/patch/roxen-2.0.diff.gz



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/vdb/?id=3145

Bugtraq:
http://www.securityfocus.com/archive/1/201499



sábado, 4 de agosto de 2001

Desbordamiento de búfer en dtmail de Solaris

dtmail es un agente de correo que se distribuye como parte de Solaris
y que se instala como setgid mail por defecto. Un desbordamiento de
búfer en esta aplicación puede permitir a un atacante la ejecución
de código con premisos del grupo mail.
El problema de esta nueva vulnerabilidad reside en un desbordamiento
de búfer en el dtmail de Solaris en el tratamiento de la variable de
entorno MAIL. El desbordamiento se produce si dicha variable tiene
una longitud excesiva (más de 1.500 bytes). Si un atacante logra
explotar esta vulnerabilidad podrá conseguir la ejecución de código
arbitrario con los privilegios del grupo mail.

Las versiones Sun Solaris 2.6 y Sun Solaris 7 se ven afectadas por
esta vulnerabilidad, aunque hay que señalar que Solaris 2.6 con el
parche 105338-27 no se ve afectado. Solaris 8 tampoco no se ve
afectado de ninguna forma por este problema.

Para evitar este problema se recomienda eliminar el atributo de sgid
mail en dtmail:

# chmod g-s /usr/dt/bin/dtmail.

Existe una demostración de código para este bug disponible en la
dirección: http://www.nsfocus.com/proof/sol_sparc_dtmail_MAIL_ex.c



Antonio Ropero
antonior@hispasec.com


Más información:

NSFocus:

http://www.nsfocus.com/english/homepage/sa01-04.htm



viernes, 3 de agosto de 2001

Diversas vulnerabilidades en Oracle

Se han dado a conocer varias vulnerabilidades en el software de base
de datos Oracle que afectan a versiones desde la 8.0.5 hasta la 9i.
Las vulnerabilidades pueden permitir a un atacante conseguir desde el
control de la base de datos hasta permisos de root en el sistema.
La primera de las vulnerabilidades hace referencia a un desbordamiento
de búfer en Oracle si la variable de entorno ORACLE_HOME se define con
un tamaño mayor de 749 bytes. Si tras sobrecargar dicha variable se
efectúa una llamada al binario dbsnmp
(/usr/local/oracle/app/oracle/product/8.1.6/bin/dbsnmp)
se producirá el desbordamiento que podrá permitir que usuarios que
pertenezcan al grupo oracle obtengan euid=0.

El desbordamiento se reproduce en las versiones 8.1.6, 8.1.7 y 9i,
aunque es posible que también afecta a versiones anteriores.

El segundo de los problemas radica en un desbordamiento de búfer en
el binario otrcrep de Oracle y que puede llegar a ser empleado por
usuarios locales para obtener euid de usuario oracle y egid del grupo
dba, lo cual puede permitirle acceder a la base de datos y comprometer
su contenido. Este fallo afecta a Oracle en su versión 8.0.5.

Por último, existe un error en la comprobación de los permisos de
escritura en el binario Oracle en las versiones 8.0.5 a 8.1.6 y que
puede ser empleado por cualquier usuario local para escribir en
cualquier archivo perteneciente a Oracle, con la posibilidad de
corromper la base de datos, sobreescribir binarios de Oracle, etc.

A la espera de que Oracle publique los parches adecuados se pueden
corregir estos problemas efectuando un cambio de los permisos mediante
Chmod -s.



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/vdb/?id=3129

Bugtraq:
http://www.securityfocus.com/archive/1/201294
http://www.securityfocus.com/archive/1/201295
http://www.securityfocus.com/archive/1/201303



jueves, 2 de agosto de 2001

Reinicio inesperado de Windows NT/2000 desde una consola DOS

Se ha descubierto un nuevo y curioso fallo que puede permitir el
reinicio de un sistema Windows NT y 2000 desde una ventana del
intérprete de comandos.
El problema es fácilmente reproducible, basta abrir una consola del
intérprete de comandos en Windows NT o Windows 2000 (cmd.exe) tras lo
cual se ejecuta
cualquier comando (un simple ping es suficiente) y mientras dura la
ejecución de dicho comando se debe pulsar la combinación de teclas F7 y
ENTER (basta con una sola vez). Al finalizar la ejecución del comando el
sistema se reiniciará.

Tan curioso como eso, pulsar F7 y Enter mientras se ejecuta cualquier
comando y el sistema se reiniciará limpiamente. Por fortuna el sistema
no se queda colgado lo cual podría ser mucho más grave y facilitar los
ataques de DOS.

La tecla de función F7 es la encargada de mostrar el histórico de
comandos dentro del interprete. En este caso, las teclas de función no
están implementadas dentro de cmd.exe sino que residen en csrss.exe,
específicamente en winsrv.dll.

La razón por la que el sistema se reinicia reside en csrss.exe (el
proceso que implementa el subsistema win32) que produce una excepción no
controlada y muere. El sistema operativo es incapaz de continuar su
correcto funcionamiento sin dicho proceso fundamental por lo que se
produce el reinicio de todo el sistema.



Antonio Ropero
antonior@hispasec.comq


Más información:

Securityfocus:
http://www.securityfocus.com/vdb/?id=3115

Bugtraq:
http://www.securityfocus.com/archive/1/200118
http://www.securityfocus.com/archive/1/201151


miércoles, 1 de agosto de 2001

Actualización de Microsoft con todos los parches tras el SP 6a

Como ya informamos anteriormente Microsoft no publicará más Service Pack
para Windows NT 4.0, sin embargo la demanda sobre este sistema operativo
es tan grande que se ve obligada a distribuir una actualización que
incluye todos los parches publicados tras el Service Pack 6a.
Tras la comunicación de no publicar el Service Pack 7, Microsoft anuncia
lo que da en llamar Security Rollup Package (SRP) para Windows NT 4.0.
Este paquete incluye las funcionalidades de todos los parches de
seguridad publicados para Windows NT 4.0 desde la publicación de Windows
NT 4.0 Service Pack 6a (SP6a).

El SRP incluye los parches para el núcleo del propio sistema Windows
NT 4.0, para Internet Information Server 4.0, para Index Server y para
las extensiones Front Page.

Esta actualización puede descargarse de:

http://download.microsoft.com/download/winntsp/Patch/q299444/NT4/EN-US/Q299444i.exe

Esta actualización incluye más de 50 parches, lo que lo convierte en un
producto sumamente interesante y de instalación casi obligada. Entre
otros incluye el parche de mayor actualidad en estos días, el destinado
a evitar la vulnerabilidad en el soporte del ISAPI de.ida y .idq y que
es empleada por el gusano "Code Red" para su propagación.



Antonio Ropero
antonior@hispasec.com


Más información:

Post-Windows NT 4.0 Service Pack 6a Security Rollup Package:

http://www.microsoft.com/technet/itsolutions/security/news/nt4srp.asp