jueves, 31 de enero de 2002

Denegación de servicio remota sobre Snort IDS

El Sistema de Detección de Intrusiones Snort de Marty Roesch se ve
afectado por una vulnerabilidad de denegación de servicio que posibilite
a un atacante detener la funcionalidad de este servicio y por tanto,
proceder a un ataque posterior sin problemas al resto de la red.
Snort es un sistema de detecciones de intrusos open-source diseñado para
ser simple y ligero. Snort implementa funcionalidades de registro de
paquetes, análisis de protocolos, comparación de firmas de ataques y
capacidades de reconocimiento.

Un atacante remoto podrá enviar paquetes ICMP especialmente manipulados
al sistema detector de intrusos lo que provocará un fallo de
segmentación que causará la caida del motor de Snort. Si el atacante
consigue lanzar un ataque exitoso contra una red protegida por Snort,
toda la funcionalidad de detección de intrusiones se verá deshabilitada
hasta que el sistema se reinicie manualmente.

Se ven afectadas por este problema todas las versiones inferiores a
Snort 1.8.3 para todas las plataformas soportadas. Se ha publicado un
exploit que demuestra un error en la funcionalidad de tratamiento del
protocolo ICMP. Snort maneja de forma incorrecta paquetes ICMP "Echo" e
ICMP "Echo-Reply" que contengan menos de 5 bytes de datos ICMP. Si Snort
encuentra un paquete de esta forma dejará de funcionar y terminará su
funcionamiento.

Se recomienda a todos los usuarios de Snort que instalen el parche
publicado por Snort.org o se actualicen a la última versión del
programa.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de Seguridad de ISS:
http://xforce.iss.net/alerts/advise108.php

ISS: Snort specially-crafted ICMP packet denial of service
http://xforce.iss.net/static/7874.php

Marty Roesch Snort

http://www.snort.org



miércoles, 30 de enero de 2002

Lectura del portapapeles desde Internet Explorer 5

Existe un problema en Internet Explorer 5 que puede permitir al
administrador de un sitio web malicioso acceder a la información
contenida en el portapapeles del usuario. Lo que puede dar lugar
a una divulgación de información, en algunos casos incluso datos
confidenciales.
Microsoft Internet Explorer 5 proporciona a las aplicaciones web
funciones de acceso al portapapeles. IE5 implementa un objeto,
clipboardData, que proporciona acceso a la información del portapapeles
a scripts. Este objeto se proporciona para permitir el almacenamiento
temporal de datos y manipulación del portapapeles por aplicaciones
legítimas, como facilitar las operaciones de arrastrar y soltar.

Desafortunadamente, esta posibilidad puede provocar un potencial
problema de divulgación de información sensible a un sitio web
malicioso. No se puede considerar como una vulnerabilidad, aunque sí se
trata de un comportamiento peligroso. El navegador implementa opciones
para desactivar este comportamiento, sin embargo por defecto se permiten
estas operaciones sin consultar al usuario.

Para deshabilitar esta funcionalidad se recomienda desde el menú Tools
(Herramientas) seleccionar la opción Internet Options (Opciones
Internet)/Security (Seguridad)/Select Zone (Seleccionar Zona)/Custom
Level (Personalizar Nivel). Bajo scripting (Archivos de comandos),
deshabilitar "Allow paste operations via script" (Permitir opciones de
pegado) o configurarlo para "prompt" (Pedir datos) si se desea que se
informe cuando este tipo de operaciones vaya a ser realizado.



Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Internet Explorer Clipboard Reading Vulnerability
http://www.securityfocus.com/bid/3862



martes, 29 de enero de 2002

WLAN comprometida con Compaq Intel PRO/Wireless 2001B LAN USB

El controlador de este dispositivo para redes inalámbricas almacena la
clave WEP (Wired Equivalent Privacy) en el registro de Windows sin
cifrar y con permisos relajados, lo que facilita el ataque local y
posterior compromiso de la red.
Las redes inalámbricas de área local (WLAN) son especialmente
propensas a sufrir ataques basados en la escucha de su tráfico, a
diferencia de las LAN no hay elementos físicos de protección, como
paredes o puertas, que impidan tener acceso a las ondas de radio.
Wired Equivalent Privacy (WEP) es un protocolo de seguridad que fue
diseñado para cifrar todo el tráfico de estas redes y minimizar así
el éxito de este tipo de ataques.

Compaq Intel PRO/Wireless 2001B LAN USB permite la conexión de
dispositivos compatibles WLAN Ethernet a través del puerto USB del
ordenador. Se ha detectado que el controlador para Windows, en sus
versiones 1.5.16.0 y 1.5.18.0, almacena la clave WEP en el registro
de Windows, sin cifrar y con permisos de lectura para todos los
usuarios locales.

Un atacante local podría acceder a la clave y utilizarla para escuchar
y descifrar todo el tráfico de la red inalámbrica protegido con WEP.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Intel WLAN Driver storing 128bit WEP-Key in plain text!
http://www.securityfocus.com/archive/1/252607

IBM presenta una herramienta de seguridad para redes inalámbricas
http://www.hispasec.com/unaaldia.asp?id=993



lunes, 28 de enero de 2002

Actualización de seguridad para RSYNC

Las versiones de RSYNC previas a la 2.5.2 contienen diversos fallos de
seguridad que permiten, si las circunstancias son propicias, que un
atacante ejecute código arbitrario tanto en el servidor como en el
cliente RSYNC.
RSYNC es una excepcional herramienta de sincronización de ficheros, que
permite que un cliente y un servidor se mantengan sincronizados sin
enviar los ficheros cambiados y sin que sea necesario mantener un
histórico de cambios. Se trata de una herramienta extraordinariamente
útil.

Las versiones de RSYNC previas a la 2.5.2 contiene varias
vulnerabilidades en la lectura de números enteros provenientes de la
red, lo que puede permitir la corrupción de memoria del proceso y, si la
corrupción está especialmente diseñada, permitir la ejecución de código
en la máquina de la víctima.

Aunque los servidores RSYNC son los más vulnerables, ya que pueden
sufrir ataques por parte de clientes maliciosos, sobre todo porque
existen servidores RSYNC que permiten el acceso anónimo (por ejemplo, el
servidor que hospeda http://www.kernel.org/, distribuidor oficial del
kernel Linux), las vulnerabilidades también pueden ser explotadas en los
clientes, si se conectan a servidores RSYNC maliciosos.

Se recomienda actualizar cuanto antes a la versión 2.5.2 de RSYNC. Si
ello no es posible por problemas de compatibilidad, hay actualizaciones
disponibles para las versiones 2.4.x y 2.3.x, también.



Jesús Cea Avión
jcea@hispasec.com


Más información:

RSYNC
http://rsync.samba.org/



domingo, 27 de enero de 2002

Gusano "Myparty", producto de ingeniería social

El gusano llega en un e-mail con el asunto "new photos from my party!"
y el archivo adjunto "www.myparty.yahoo.com". El nombre del archivo,
simulando un enlace a una dirección web, es la causa de que muchos
usuarios se confundan y ejecuten el código vírico al hacer doble click
en la supuesta URL.
"MyParty" no incorpora ninguna característica técnica destacable, que
esté alcanzado una distribución considerable en sus primeras horas de
existencia se debe únicamente al uso de la ingeniería social a la hora
de presentarse ante sus víctimas. En esta ocasión el reclamo es
una supuesta dirección de Internet que nos llevará a una página web
con fotos.

Pese a que el texto que utiliza el gusano está en inglés, desde
primeras horas de esta mañana hemos recibido en Hispasec las primeras
muestras de infecciones de "MyParty" en España, lo que indica que su
propagación puede llegar a ser también significativa en los paises
de habla hispana.

El hecho de que los textos del e-mail sean fijos facilitará que
los usuarios puedan reconocer la llegada del gusano por su aspecto
más externo:

Asunto: new photos from my party!

Cuerpo:

Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Archivo adjunto: www.myparty.yahoo.com

"MyParty" es un ejecutable escrito en Visual C++ con un tamaño final
de 29.696 bytes tras haber sido comprimido con la utilidad UPX. Cuando
un usuario lo ejecuta el gusano se autocopia como
C:\Recycled\regctrl.exe en el caso de los sistemas Windows NT/2000/XP,
mientras que aparecerá como c:\regctrl.exe bajo Windows 9x/ME.

"MyParty" comprueba la fecha y la configuración del teclado del
sistema antes de lanzar su ataque, ya que sólo procederá a
distribuirse del 25 al 29 de enero de 2002 desde aquellos ordenadores
que no tengan configurado el soporte del lenguaje ruso.

A continuación, si se cumplen las condiciones programadas por el autor
del virus, lee la siguiente entrada del registro de Windows para
recoger los datos del servidor de envío de correo (SMTP) utilizado por
la víctima:

HKEY_CURRENT_USER\Software\Microsoft\Internet Account
Manager\Accounts\00000001

Una vez que tiene la información del servidor de correo, procede a
autoenviarse a través de él a todas las direcciones que recolecta de
la libreta de direcciones de Windows (.WAB) y la de Outlook Express
(.DBX).

En el caso de los sistemas Windows NT/2000/XP el gusano crea un
segundo archivo, con funciones de backdoor, bajo el nombre msstask.exe
en la carpeta de Inicio de Windows, de esta forma asegura su ejecución
cada vez que se inicie el sistema.

"MyParty" también envía desde todos los ordenadores infectados un
mensaje en blanco a la dirección napster@gala.net, que pertenece a
un servidor ruso, un indicador más que situaría su origen en Rusia.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Symantec: W32.Myparty@mm
http://www.sarc.com/avcenter/venc/data/w32.myparty@mm.html

Panda Software: W32/Myparty@MM
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Myparty@MM

McAfee: W32/Myparty@MM
http://vil.nai.com/vil/content/v_99332.htm

TrendMicro: WORM_MYPARTY.A
http://www.antivirus.com/homepage/link.asp?URL=/vinfo/&loc=5

Sophos: W32/MyParty-A
http://www.sophos.com/virusinfo/analyses/w32mypartya.html

AVP: I-Worm.Myparty
http://www.avp.ch/avpve/worms/email/myparty.stm

Norman: W32/MyParty.A
http://www.norman.no/virus_info/w32_myparty_a_mm.shtml

Computer Associates: Win32.MyParty
http://www3.ca.com/virus/virus.asp?ID=10930



sábado, 26 de enero de 2002

Desbordamiento de búfer en AOL ICQ

Existe un desbordamiento de búfer explotable de forma remota en el
popular cliente de mensajería instantánea ICQ. Los atacantes que logren
explotar esta vulnerabilidad podrán ejecutar código arbitrario en el
sistema remoto con los privilegios del usuario atacado.
El uso de ICQ está ampliamente extendido entre un gran número de
usuarios de la Red, según cifras de ICQ Inc (subsidiaria de AOL Time
Warner) más de 122 millones de usuarios. El problema existe en un
desbordamiento en el proceso de un mensaje de petición de la
característica Voice Video & Games.

Este mensaje malicioso se supone debe ser una petición de otro usuario
de ICQ invitando a la víctima a participar de forma interactiva en una
aplicación de un tercer fabricante. En las versiones anteriores a la
2001B, el desbordamiento ocurre dentro del propio código del cliente
ICQ, mientras que en la versión 2001B el código que contiene el
desbordamiento se ha trasladado a un plug-in externo.

Esta diferencia en la situación del código vulnerable hace que todas las
versiones anteriores a la ultima distribución 2001B sean vulnerables ya
que tras la conexión a un servidor AOL ICQ, las versiones vulnerables de
la versión 2001B reciben instrucciones del servidor para deshabilitar el
plug-in vulnerable. Como las versiones del cliente ICQ anteriores a la
2001B no tienen un plug-in externo para desactivarlo seguirán
vulnerables incluso tras la conexión al servidor.

AOL ha modificado la infraestructura de los servidores ICQ para filtrar
los mensajes maliciosos que intenten explotar esta vulnerabilidad. Sin
embargo puede explotarse mediante otros medios ya que incluso las
últimas versiones de ICQ pueden ser configuradas para aceptar conexiones
directas de cualquier usuario. Como las peticiones pueden enviarse de un
cliente a otro, el bloqueo de peticiones maliciosas a través de un
servidor central no es una solución efectiva. Por ello, se recomienda
por ello que todos los usuarios actualicen las versiones vulnerables de
ICQ a la versión 2001B Beta v 5.18 Build #3659.



Antonio Ropero
antonior@hispasec.com


Más información:

Descarga de ICQ:
http://www.icq.com/download

CERT Advisory CA-2002-02 Buffer Overflow in AOL ICQ:
http://www.cert.org/advisories/CA-2002-02.html



viernes, 25 de enero de 2002

Problema de seguridad en RealPlayer

RealNetworks ha publicado un parche para cubrir una importante
vulnerabilidad en el popular reproductor RealPlayer 8 por la cual un
sitio web malicioso puede llegar a ejecutar código en el ordenador de
los usuarios.
El problema reside en un desbordamiento de búfer en el código encargado
del tratamiento de lectura de los archivos RM, más exactamente en las
cabeceras de estos archivos. Este desbordamiento puede ser explotable y
empleado para la ejecución de código en el sistema del usuario.

El parche publicado para corregir el bug incrementa la robustez del de
archivos, de forma que si RealPlayer encuentra archivos modificados para
tratar de explotar el fallo, informará de que dicho archivo es corrupto.

RealPlayer 8 es empleado por millones de usuarios de Internet para
reproducir archivos multimedia tanto de audio como de vídeo. El problema
afecta a múltiples versiones del reproductor en diferentes plataformas,
tanto Real Player 7 como RealPlayer 8 bajo Windows, Unix y Macintosh.

Los usuarios de RealOne y RealPlayer 8, podrán emplear la opción Update
del menú Tools, mientras que los usuarios de RealPlayer 7 deberán
actualizar completamente el reproductor a RealPlayer 8.

Los usuarios de RealPlayer 8 para Linux deberán descargar la siguiente
actualización y copiar el archivo "rmffplin.so.6.0" en el directorio
~/RealPlayer8/Plugins.

Para Linux 2.0:
http://docs.real.com/docs/playerpatch/RP8_gold/rmffplin.so.6.0-linux-2.0-libc6-i386.gz
Para Linux 2.2:
http://docs.real.com/docs/playerpatch/RP8_gold/rmffplin.so.6.0-linux-2.2-libc6-i386.gz

Las actualizaciones para Solaris y HP-UX estarán disponibles la semana
que viene.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de RealPlayer:
http://www.service.real.com/help/faq/security/bufferoverrun.html

Aviso de Sentinel Chicken Networks:
http://sentinelchicken.com/advisories/realplayer/

Newsbytes:
http://www.newsbytes.com/news/02/173936.html



jueves, 24 de enero de 2002

Vulnerabilidad en el servidor "nsd" de IRIX

El servidor "nsd" de IRIX es susceptible de un ataque remoto que puede
provocar el consumo de todo el espacio de disco del servidor.
"nsd" es un demonio disponible en multitud de UNIX. Su misión es servir
de "caché" global del sistema en lo relativo a resolución de nombres y
datos similares.

La implementación "nsd" de IRIX contiene un error en la rutina que
controla el crecimiento de los ficheros de caché del demonio, lo que
implica que estos puedan crecer de forma ilimitada. Una vez consumido
todo el espacio en disco, el servidor se vuelve inestable y es incapaz
de continuar funcionando correctamente.

Se trata, por tanto, de un problema que facilita ataques de denegación
de servicio, máxime cuando este ataque puede desencadenarse de forma
remota.

El servidor "nsd" se instala por defecto en todas las versiones 6.5.x de
IRIX. La vulnerabilidad ha sido solucionada en la versión 6.5.12m/f del
sistema operativo.

Se recomienda a todos los administradores de máquinas con sistema
operativo IRIX (SGI, antes Silicon Graphics) que actualicen a 6.5.12.



Jesús Cea Avión
jcea@hispasec.com


Más información:

IRIX nsd vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020102-01-I

IRIX nsd vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020102-03-P

IRIX nsd vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020102-03-P

CAN-2002-0038 (under review)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0038



miércoles, 23 de enero de 2002

Vulnerabilidad en PINE

Las versiones de PINE previas a la 4.44 permiten que un atacante remoto
ejecute comandos arbitrarios en la máquina del usuario, con sus propios
privilegios.
PINE es un cliente de correo electrónico y "news" en modo texto, muy
popular en entornos Unix.

La vulnerabilidad radica en la gestión de URLs presentes en un mensaje.
PINE permite lanzar un navegador al seleccionar una URL, pero no
verifica la existencia de metacaracteres por lo que, cuando se invoca el
navegador, se pueden estar pasando al "shell" (el intérprete de comandos
de los sistemas UNIX) parámetros y comandos adicionales. El efecto neto
es que un atacante malicioso puede enviar un mensaje conteniendo una URL
que, cuando el receptor del mensaje la selecciona, ejecute comandos
arbitrarios en su sistema, con sus privilegios.

La recomendación es actualizar a PINE 4.44.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Pine Information Center
http://www.washington.edu/pine/

Changes from Pine 4.43 to 4.44
http://www.washington.edu/pine/changes/4.43-to-4.44.html

pine port insecure URL handling [REVISED]
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02%3A05.pine.asc



martes, 22 de enero de 2002

Vulnerabilidad en routers Efficient SpeedStream 5660 (ADSL de Telefónica)

Los usuarios de ADSL de Telefónica con routers Efficient SpeedStream
5660 instalados por Telefónica y Terra pueden ver su configuración
gravemente afectada, de forma que pueden perder conectividad a la Red o
incluso que sus máquinas queden accesibles para todo Internet.
Según nos ha informado directamente el Instituto para la Seguridad en
Internet el software 2.2.1 (9R1) de los routers Efficient SpeedStream
5660 de ADSL instalados por Telefónica y Terra posee una grave
vulnerabilidad de seguridad que permite a un atacante remoto tomar
control total del mismo.

La versión del software afectada tiene fecha de 6 de junio, por lo que
todos los usuarios cuya instalación sea posterior a dicha fecha se verán
afectados por este problema. Como en muchas otras ocasiones el problema
se agrava por la facilidad con que puede explotarse esta vulnerabilidad.
Por ello, desde Hispasec recomendamos a todos los usuarios de ADSL de
Telefónica y Terra que verifiquen la versión de su router. Para ello
bastará con efectuar telnet IP_del_router y tras introducir la
contraseña emplear el comando "show" que mostrará la versión de software
(Software Version), si este valor es igual a 2.2.1(9R1) el router estará
afectado por el problema.

El firmware de estos routers incluye un sistema de protección que impide
a un atacante externo acceder a su configuración interna. Sin embargo,
la vulnerabilidad descubierta por el Instituto para la Seguridad en
Internet permite a cualquier persona tomar control total del
dispositivo. Entre las acciones que un intruso podría llevar a cabo, se
incluirían, pero no se limitarían a, la desconfiguración total y
permanente del router, la inhabilitación permanente del acceso a
Internet mediante este router o la redirección de puertos a máquinas
internas, que haría visibles a éstas desde Internet.

Cómo corregir la vulnerabilidad

La solución técnica descrita a continuación es delicada y requiere
conocimientos técnicos básicos, por lo que se desaconseja a los usuarios
inexpertos que la pongan en práctica. En su lugar, deberían llamar a un
técnico autorizado de Telefónica para que acudiera a su hogar u oficina
a realizar el cambio. Se advierte que llevar a cabo esta actualización
de forma incorrecta puede conducir al daño irreversible del router.
Para corregir esta grave vulnerabilidad de seguridad, debe conectarse al
sitio Web de Efficient en
http://support.efficient.com/drivers/spain/index.shtml y descargar la
utilidad de actualización de firmware para el router SpeedSream 5660
Version 2.3.0B4R1. Este software consta de tres ficheros:

* El fichero 5660Update.exe es el fichero ejecutable que contiene la
aplicación de actualización de software para su SS5660.
* Fichero con el firmware que se va a cargar en el router ss5660 (tiene
extension img).
* Fichero con instrucciones de uso.

A continuación se explican los pasos necesarios para realizar la
actualización de su firmware, elaboradas a partir las instrucciones
facilitadas por Efficient en el fichero de instrucciones.

La actualización firmware de su SS5660 se realizará usando el servidor
FTP incluido en su SS5660 y haciendo uso del interfaz Ethernet que
conecta su ordenador y su SS5660.

Precaución

El proceso de actualización del software de su SS5660 lleva entre 1 y 2
minutos. Recuerde que una vez comenzado, el proceso de actualización no
debe ser interrumpido. Cualquier tipo de interrupción causaría graves
daños en su SS5660. Si su ordenador es portátil, conecte la alimentación
del mismo para evitar una interrupción del proceso de descarga de
Software en su SS5660 en la eventualidad de que las baterías se agoten.

No interrumpa el proceso de carga de Software en su SS5660 hasta después
de que tenga lugar el auto reinicio de su SS5660.

Antes de iniciar la actualización del Software de su SS5660 asegúrese
de:

1. Su ordenador personal esta conectado vía Ethernet con el SS5660, a
ser posible, directamente. Se recomienda que durante el proceso de
actualización, la conexión entre su ordenador y el SS5660 sea directa
para evitar cualquier tipo de interrupción que causaría graves daños en
su SS5660. Si su ordenador es portátil, conecte la alimentación para
evitar una interrupción del proceso en la eventualidad de que las
baterías se agoten.

2. Tenga a mano la dirección IP del interfaz Ethernet del router, así
como la contraseña si usted ha modificado las de su configuración
original de su router SS5660.

3. Tenga a mano la ubicación en su unidad de almacenamiento en la que
esta almacenada la nueva versión de software que va a cargar en su
SS5660.

Pasos para actualizar el Software de su SS5660:

1. Ejecute el programa 5660Update.exe.

2. El programa se conectará vía Ethernet a su router SS5660. El mensaje
"Ready!" aparece en la parte superior de la ventana cuando la utilidad
de actualización de firmware para el SS5660 ha encontrado su router. En
el caso de que la configuración original se haya modificado, la utilidad
de actualización de firmware para el SS56660 le puede pedir la dirección
IP del interfaz Ethernet de su router, la contraseña de su router ss5660
o ambas.

3. En el campo "versión actual del firmware" aparece la versión de
software que tiene usted cargada en su SS5660 en la actualidad.

4. En el campo "Nombre del fichero que contiene el firmware" escriba la
ruta de acceso y nombre completos del fichero que contiene el software a
cargar.

5. Sin tocar ningún botón, el campo "fichero de información" le muestra
la versión del firmware que usted ha seleccionado.

6. Para comenzar la carga, pulse el botón "Download new firmware". La
tecla "retorno" no activará la carga, debe usted pulsar el botón.
Recuerde que una vez pulsado el botón, el proceso de carga comenzará y
no debe ser interrumpido hasta que haya concluido totalmente.

7. Recuerde que todo este proceso es automático, el usuario no debe
interrumpir la conexión entre el router y el ordenador personal ya que
podría dañar su SS5660. El proceso dura entre 1 y 2 minutos. Al comenzar
el proceso de descarga, en la ventana de la herramienta de actualización
de firmware para el SS5660 aparecerán sucesivamente los siguientes
mensajes:

Enviando al SS5660 el Nuevo firmware ...
La configuración se esta grabando en memoria ...
Reiniciar el 5660

8. En este momento el router se reinicia automáticamente, sin ser
necesario que el usuario intervenga en forma alguna. Cuando su SS5660
vuelve a estar operativo, la Utilidad de actualización de firmware para
el SS5660 trata de encontrarlo de nuevo. Cuando lo consigue el mensaje
"Ready!" aparece en la parte superior de la pantalla cuando la utilidad
de actualización de firmware para el SS5660 ha encontrado su router.

9. El proceso de descarga esta terminado. En el campo de "Version actual
del firmware" aparecerá la versión del firmware que acaba usted de
descargar en su router SS5660.

10. Para salir de la herramienta, cierre a ventana con el botón que
aparece en la parte superior derecha.

Factores mitigantes

Cambiando la contraseña por defecto de los routers se pueden evitar las
consecuencias de esta vulnerabilidad.

Relación con el vendedor

El Instituto para la Seguridad en Internet contactó con Telefónica para
avisarles de esta vulnerabilidad, lo que ha ayudado a detener la
instalación de los routers afectados. Si bien, también describe las
dificultades encontradas para lograr que Telefónica comunique de una
forma apropiada a todos los usuarios afectados la necesidad de
actualizar su instalación.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso del Instituto para la Seguridad en Internet
http://www.instisec.com/publico/avisos.asp?id=20020122

Actualización del firmware (versión 2.3.0B4R1)
http://www.telefonicaonline.com/on/pub/ServNav?servicio=entrada&entrada=hayudainst&v_segmento=AHOG

Página de soporte en línea de Efficient
http://support.efficient.com/drivers/spain/index.shtml

Cursos de Seguridad en Internet de Hispasec y el Instituto para la
Seguridad en Internet
http://www.hispasec.com/formacion/



lunes, 21 de enero de 2002

Denegación del servicio SMS en terminales Siemens 3568i

Se ha hecho público un exploit capaz de reiniciar los terminales
del teléfono móvil 3568i e inferiores de la empresa Siemens.
Tal y como dimos a conocer en nuestro Servicio de Análisis,
Notificación y Alertas (SANA) el pasado 13 de enero, los terminales
del teléfono móvil modelo Siemens 3568i se ven afectados por un
problema por el que un atacante podría enviar múltiples mensajes a un
usuario logrando impedir el uso de la funcionalidad de la mensajería
SMS en este tipo de dispositivos.

Esto ocurre debido a un tratamiento inadecuado al mostrar
caracteres excepcionales en mensajes SMS y a la imposibilidad de
eliminar el mensaje malicioso. De forma que la múltiple recepción de
estos mensajes maliciosamente creados puede llegar a impedir el uso
de la funcionalidad SMS del terminal.

Se recomienda no mostrar los mensajes SMS recibidos de extraños. Para
borrar el mensaje malicioso deberá emplearse alguna utilidad de
software a tal propósito.

El exploit puede descargarse desde la direcciones:

http://www.xfocus.org/download.php?id=11

http://www.benjurry.org/en/program/smsdos.zip



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Siemens Mobie SMS Exceptional Character Vulnerability
http://www.xfocus.org/adv.php?id=3

S.A.N.A
http://www.hispasec.com/sana



domingo, 20 de enero de 2002

Directivas sobre cortafuegos y política de filtraje

Publicado un excelente documento con una serie de directivas y consejos
sobre la instalación y configuración de los cortafuegos.
El Computer Security Resource Center del National Institute of Standards
and Technology, organismo dependiente de la administración de comercio
de los Estados Unidos, ha publicado un excelente documento con una serie
de directivas y consejos para ayudar a los administradores de seguridad
en la implementación de los sistemas de filtrado perimetral. El
documento trata de aspectos relacionados con el diseño, selección,
despliegue y gestión de los cortafuegos.

El documento está organizado en tres partes separadas: una revisión del
protocolo TCP/IP y una introducción a los principales tipos de
cortafuegos: filtrado de paquetes, cortafuegos stateful y proxy de
aplicaciones.

En la segunda parte se describen diversos entornos de cortafuegos (la
combinación de componentes que, en su conjunto, constituyen el sistema
cortafuegos), incluyendo sugerencias para la colocación de los
cortafuegos dentro de la red y su integración con los otros sistemas de
seguridad. En esta parte también se discuten de aspectos incluidos en
los sistemas modernos de cortafuegos tales como las redes privadas
virtuales (VPN), traducción de direcciones IP y filtrado de contenido.

La tercera parte contiene información de interés para aquellos
encargados de los cortafuegos y la configuración de la política del
cortafuegos. Dentro de este apartado se incluyen un gran número de
ejemplos prácticos de cómo implementar las medidas de filtrado en los
diferentes servicios.

En su conjunto se trata de un muy buen resumen de la tecnología de
cortafuegos y su integración dentro de los entornos de red actuales, que
ayudará en la definición de los recursos mínimos para cualquier
cortafuegos y en la definición de la política corporativa.

Por último a destacar la inclusión de una relación de enlaces y recursos
para ampliar la información: libros sobre cortafuegos y sistemas de
detección de intrusos y sedes web que tratan de aspectos relacionados.



Xavier Caballé
xavi@hispasec.com



sábado, 19 de enero de 2002

Vulnerabilidad en STUNNEL

Una vulnerabilidad en "stunnel" permite que un servidor malicioso
ejecute código arbitrario en la máquina cliente del usuario.
"stunnel" es una herramienta, con un componente cliente y otro
componente servidor, que permite la negociación y el establecimiento de
conexiones SSL, para canalizar a través suya la comunicación entre
clientes y servidores que no soportan SSL.

Las versiones de "stunnel" previas a la 3.22 contienen un error en las
cadenas de formato que permite que un servidor malicioso envíe una
cadena especialmente formateada al cliente y éste la ejecute de forma
local, con los privilegios que esté utilizando el cliente "stunnel".

Se recomienda a todos los usuarios de "stunnel" que actualicen cuanto
antes a la versión 3.22. Si no es posible realizar la actualización,
gracias a ser "open source", los clientes pueden aplicar el siguiente
parche:



- --- protocol_original.c Tue Dec 18 15:01:24 2001
+++ protocol.c Tue Dec 18 15:02:10 2001
@@ -103,7 +103,7 @@
do { /* Copy multiline greeting */
if(fdscanf(c->remote_fd, "%[^\n]", line)<0)
return -1;
- - if(fdprintf(c->local_wfd, line)<0)
+ if(fdprintf(c->local_wfd, "%s", line)<0)
return -1;
} while(strncmp(line,"220-",4)==0);

@@ -169,7 +169,7 @@
log(LOG_ERR, "Unknown server welcome");
return -1;
}
- - if(fdprintf(c->local_wfd, line)<0)
+ if(fdprintf(c->local_wfd, "%s", line)<0)
return -1;
if(fdprintf(c->remote_fd, "STLS")<0)
return -1;
@@ -216,7 +216,7 @@
log(LOG_ERR, "Unknown server welcome");
return -1;
}
- - if(fdprintf(c->local_wfd, line)<0)
+ if(fdprintf(c->local_wfd, "%s", line)<0)
return -1;
if(fdprintf(c->remote_fd, "STARTTLS")<0)
return -1;






Jesús Cea Avión
jcea@hispasec.com


Más información:

stunnel: multiplatform SSL tunneling proxy
http://stunnel.mirt.net/

stunnel.org
http://www.stunnel.org/

There is a format string vulnerability in stunnel.
http://www.linuxsecurity.com/advisories/other_advisory-1769.html



viernes, 18 de enero de 2002

Se presenta la especificación SAML para su revisión pública

Acaba de publicarse el borrador de SAML, un intento de crear un estándar
para el intercambio de información de autorización y autenticación.
Security Assertion Markup Language (SAML, que se pronuncia samul) es un
entorno basado en XML especialmente diseñado para facilitar el
intercambio de información de autenticación y autorización entre los
diferentes componentes de la infraestructura de seguridad informática.

El objetivo de SAML es definir todos los componentes necesarios para
garantizar que cualquier aplicación u entorno pueda intercambiar la
información sobre autenticación (identificación de usuarios) y
autorización (control de acceso) de forma transparente. La adopción de
este estándar podría ser un gran paso para facilitar la adopción de los
entornos de single sign-on (identificación única del usuario en un único
punto, independiente de la aplicación utilizada).

El comité encargado del desarrollo de este estándar ha publicado un
borrador de la especificación. El objetivo es que este documento sea
analizado y comentado por los interesados durante estos los dos próximos
meses, de forma que pueda presentarse la versión definitiva del estándar
el próximo mes de junio.

SAML es fruto del trabajo de un comité que cuenta con representantes de
las principales empresas fabricantes de productos de PKI y soluciones de
single sign-on para la web: Tivoli, Entegrity, RSA, Netegrity, Entrust y
otras.



Xavier Caballé
xavi@hispasec.com


Más información:

XML-Based Security Services TC (SSTC). Security Assertion Markup
Language
http://www.oasis-open.org/committees/security/index.shtml

Repositorio de documentos relacionados con la especificación
http://www.oasis-open.org/committees/security/docs/

Secure XML specification ready for review
http://searchsecurity.techtarget.com/qna/0,289202,sid14_gci790516,00.html



jueves, 17 de enero de 2002

Vulnerabilidad en SUDO

Las versiones de SUDO previas a la 1.6.4 contienen una vulnerabilidad
que puede permitir a un atacante local obtener privilegios de
administrador o "root".
SUDO es una utilidad UNIX que posibilita delegar privilegios de
administrador a ciertos usuarios y para ciertas tareas concretas. Se
trata de un programa muy útil en entornos corporativos y universitarios,
ya que es posible otorgar a determinadas personas privilegios especiales
muy específicos y sin tener que proporcionarle una clave de
administrador.

Las versiones de SUDO previas a la 1.6.4 permiten invocar el MTA local
(Mail Transfer Agent; se trata del servidor de correo) con un entorno
contaminado, lo que puede permitir la escalada de privilegios hasta
lograr "root".

La vulnerabilidad radica en una invocación "contaminada" del MTA local
cuando un usuario intenta acceder a privilegios que SUDO no le
proporciona. En esos casos, si se configura en ese sentido, SUDO
notifica al administrador del sistema del intento de acceso, a través de
correo electrónico. Dicha notificación se realiza con privilegios de
"root", lo que puede comprometer el sistema si el atacante ha
configurado el entorno de ejecución de forma maliciosa.

Se recomienda a todos los administradores de sistemas que utilicen SUDO
que actualicen a la versión 1.6.4, que realiza la llamada al MTA con los
privilegios del usuario que invoca el programa.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Sudo Main Page
http://www.sudo.ws/

DSA-101-1 sudo: Local root exploit
http://www.debian.org/security/2002/dsa-101

[suse-security-announce] SuSE Security Announcement: sudo
(SuSE-SA:2002:002)
http://www.suse.com/de/support/security/2002_002_sudo_txt.txt



miércoles, 16 de enero de 2002

Vulnerabilidad en XCHAT

Las versiones de XCHAT anteriores a la 1.8.7 son susceptibles a una
vulnerabilidad por medio de la cual un atacante remoto puede enviar
comandos arbitrarios al servidor de IRC al que la víctima esté
conectada, haciéndose pasar por ella.
XCHAT es un cliente de IRC (Internet Relay Chat) muy popular en el mundo
Unix, especialmente en Linux y *BSD. También existe una implementación
para MS Windows, aunque en este entorno es mucho menos utilizado.

Las versiones de XCHAT previas a la 1.8.7 contienen una vulnerabilidad
que permite que un atacante malicioso envíe comandos a una víctima que,
a su vez, los enviará al servidor al que está conectado. Es decir, un
atacante puede conseguir que un XCHAT víctima envíe a su servidor los
comandos que desee.

El problema radica en la expansión de caracteres en el gestor CTCP PING.
Inyectando un %010 en la petición CTCP PING, el atacante consigue que el
ping de respuesta conste de dos líneas, la segunda de las cuales será
interpretada por el servidor como otro comando proveniente de la
víctima. Dicho comando enviado al servidor puede realizar acciones
arbitrarias.

Se recomienda a todos los usuarios de XCHAT que actualicen a la versión
1.8.7 o superior. Si eso no es posible, deben ejecutar un comando "/set
percascii 0" para desactivar la expansión de caracteres.



Jesús Cea Avión
jcea@hispasec.com


Más información:

xchat - IRC (chat) client for UNIX
http://www.xchat.org/

xchat 1.4.2 and 1.4.3 IRC session hijacking vulnerability
http://www.securityfocus.com/archive/1/249113

DSA-099-1 xchat: IRC session hijacking
http://www.debian.org/security/2002/dsa-099



martes, 15 de enero de 2002

Las incidencias por problemas de seguridad se duplican en el último año

El CERT ha publicado el informe de estadísticas del pasado año 2001. La
compación con los datos de años anteriores revela un elevado crecimiento
en incidencias y vulnerabilidades.
Las incidencias reportadas al CERT/CC durante el pasado año 2001 alcanzó
la cifra de 52.658, una media de unas 15 incidencias diarias. Esta cifra
duplica ampliamente el número de incidencias recibidas durante el año
anterior, en el 2000 se recibieron 21.756 incidencias. En tan sólo 2
años, el número de incidentes se ha visto multiplicado por cinco, ya que
en 1999 la cifra ni siquiera alcanzaba las 10.000 incidencias.

Estas cifras también revelan un alto crecimiento de las incidencias en
los tres últimos meses del año 2001. Según el anterior informe publicado
con las estadísticas de los tres primeros trimestres del año, el número
de incidentes ascendía a 34.754, lo que revela que durante los tres
últimos meses del año se registraron 17.904 incidencias. Una cantidad
desproporcionada en comparación con los nueve primeros meses del año.

Por otra parte, el número de vulnerabilidades reportadas sigue una línea
creciente bastante similar. En 1999 el número de vulnerabilidades se
cifraba en 417, para pasar a 1.090 en el pasado 2000 y alcanzar la cifra
de 2.437 en el 2001.

En el informe también abarca otros datos estadísticos, como las 41
alertas de seguridad publicadas en el 2001, las 341 notas de seguridad
publicadas, o la asombrosa cifra de 118.907 mensajes recibidos en el
centro durante el 2001.



Antonio Ropero
Antonior@hispasec.com


Más información:

CERT/CC Statistics 1988-2001
http://www.cert.org/stats/cert_stats.html

una-al-dia (17/10/2001) Estadísticas del CERT para los tres primeros
trimestres de 2001
http://www.hispasec.com/unaaldia.asp?id=1088



lunes, 14 de enero de 2002

Nuevo gusano escrito en JavaScript: Gigger

Un nuevo gusano, escrito en JavaScript, está empezando a circular. Se
distribuye mediante Microsoft Outlook y mIRC, con un comportamiento
especialmente agresivo.
El gusano se distribuye mediante un mensaje con el siguiente aspecto:

Tema: "Outlook Express Update"
Texto del mensaje: MSNSofware Co.
Archivo asociado: Mmsn_offline.htm
Este mensaje induce a pensar al receptor acerca de la posible existencia
de una actualización del programa de correo Outlook. Si el usuario abre
el archivo saciado, el gusano entra en acción.

Que hace

En primer lugar crea cuatro archivos en el sistema infectado:

* C:\Bla.hta
* C:\B.htm
* C:\Windows\Samples\Wsh\Charts.js
* C:\Windows\Help\Mmsm_offline.htm
A continuación, añade la siguiente línea al archivo AUTOEXEC.BAT

ECHO y¦format c:

Esta línea puede llegar a provocar, si el sistema operativo está en
lengua inglesa, que al reiniciar la máquina se proceda a formatear la
unidad de disco duro C:.

Para intentar su propagación mediante mIRC, crea un archivo SCRIPT.INI
que contiene el código del gusano. Este código es autoenviado a cada
usuario que se conecta al mismo canal donde esté conectado el usuario
infectado con el virus.

También añade en el registro del sistema las siguientes entradas:

* HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout
* HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0
También añade a la entrada

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

el valor

NAV DefAlert %Windows%\SAMPLES\WSH\Chart.vbs.

(si la entrada NAV DefAlert ya existe, por tener instalado el equipo el
Norton Antivirus, modifica su valor por el que se indica en este
boletín).

Realizadas estas modificaciones, determina todas las unidades de disco
(locales o de red) del sistema y se copia él mismo en cada unidad como

\Windows\Start Menu\Programs\StartUp\Msoe.hta

También localiza todos los archivos del tipo .HTM, .HTML y .ASP y añade
el código del virus dentro de los mismos

Por ultimo, empieza a borrar todos los archivos existentes en la unidad
de disco local.



Xavier Caballé
xavi@hispasec.com



domingo, 13 de enero de 2002

Cambio de identidad en slash

Existe una vulnerabilidad en slash (software para la administración de
weblogs) que permite a un usuario cambiar su identidad, consiguiendo el
control absoluto del sistema.
slash (Slashdot Like Automated Storytelling Homepage) es un software que
facilita la publicación de artículos con foro de debate, ampliamente
utilizado para la creación de weblogs: sedes web especializadas en la
publicación de forma constantemente actualizada de noticias y
comentarios. Existen una gran cantidad de weblogs sobre los temas más
variados que uno pueda imaginarse. Slash es ampliamente utilizado en
algunos de los weblogs más populares, entre los que podemos destacar
Slashdot.org y Barrapunto.com

Se ha descubierto una vulnerabilidad en las versiones 2.1.x y 2.2.x de
slash que puede ser utilizada por un usuario para modificar su identidad
de cada al sistema. Esto es especialmente grave ya que cualquier usuario
puede convertirse en administrador, con todos los privilegios que esto
comporta: publicar y borrar artículos, editar los registros de usuarios,
publicar comentarios con la identidad de otro usuario, etc.

Para evitar esta vulnerabilidad es necesario instalar la versión 2.2.3
de slash. Si esto no fuera posible, debe impedirse la ejecución de
admin.pl y users.pl (por ejemplo, borrando estos archivos o eliminando
los permisos de ejecución, reiniciando a continuación Apache).
Adicionalmente, se aconseja comprobar que usuarios del sistema disponen
de privilegios de administrador. Para obtener una relación de estos
usuarios puede utilizarse la siguiente sentencia SQL:

mysql> SELECT uid, nickname, seclev FROM users WHERE seclev >= 100;



Xavier Caballé
xavi@hispasec.com



sábado, 12 de enero de 2002

Error de diseño en el plugin para Outlook de PGP 7.0

El plugin que integra la encriptación de PGP dentro de Outlook tiene un
error de diseño que provoca el almacenamiento, en determinadas
circunstancias y de forma automática, del texto sin cifrar de los
mensajes cifrados recibidos.
PGP es el estándar "de facto" para la encriptación de archivos y correo
electrónico mediante un sistema de tecnología híbrida de clave pública y
cifrado simétrico. La versión 7.0 amplia las prestaciones de
encriptación y se convierte en un sistema de seguridad personal,
incluyendo un cortafuegos personal, un sistema de detección de intrusos,
un cliente de redes privadas virtuales, etcétera.

Para la integración del sistema de encriptación de correo electrónico
con Microsoft Outlook se utiliza un plugin, que se instala de forma
automática durante el proceso de instalación. Este plugin es el
encargado de realiza la tareas de cifrado y decrifrado los mensajes de
forma transparente para el usuario final.

Se ha descubierto la existencia de un error de diseño que puede
provocar, en determinadas circunstancias, el almacenamiento de una copia
en texto claro de un mensaje recibido que esté cifrado.

El problema únicamente sucede cuando el receptor de un mensaje responde
a un mensaje cifrado con PGP y la opción "Automatically decrypt/verify
when opening messages" esté activada mientras que la opción "Always use
Secure Viewer when decrypting" esté desactivada.

Dentro de esta configuración pueden producirse dos situaciones:

* Si el receptor recibe un mensaje cifrado, lo abre y descrifa y a
continuación cierra el mensaje, éste se conserva de forma cifrada en la
carpeta de correo del receptor. Se trata, pues, del comportamiento
esperado.

* Si el receptor recibe un mensaje cifrado, lo abre y
descrifra y a continuación procede a responderlo, la copia descrifrada
que ha generado el plugin se conserva en el disco duro del receptor. En
ningún momento se notifica de esto al receptor.

Se trata pues de un error en el diseño del plugin que no debería
conservar esta copia descifrada del mensaje.

Para prevenir este comportamiento anómalo debe procederse a activar la
opción "Always use secure viewer when decrypting" o bien desactivar la
opción "Automatically decrypt/verify when opening messages".

El problema afecta únicamente a las siguientes versiones de PGP:

* PGP 7.0 ejecutándose en Microsoft Windows 95, 98, ME, 2000 y NT 4.0
* PGP 7.0.3 ejecutándose en Microsoft Windows 95, 98, 2000 y NT 4.0
* PGP 7.0.4 ejecutándose en Microsoft Windows 95, 98, 2000 y NT 4.0

Por otra parte, el plugin para Outlook incluido en la versión 7.1.1 de
PGP Corporate Desktop, recientemente publicada, ya incorpora la solución
a este problema.



Xavier Caballé
xavi@hispasec.com



viernes, 11 de enero de 2002

Se publica el número 58 de "Phrack"

Acaba de publicarse el número 58 del conocido E-Zine "Phrack".
"Phrack", que cuenta ya con más de 16 años de historia, se centra en los
campos de "exploits" y nuevas tecnologías de "hacking", fundamentalmente
en entornos informáticos.

En este último número, publicado el pasado 28 de Diciembre de 2001,
podemos encontrar artículos sobre:

* Nuevas técnicas de explotación de desbordamientos de búfer
* Cifrado de ejecutables ELF
* Diversas técnicas de ataque a un kernel Linux para ocultar la presencia de un intruso.
* Parcheo de rutinas Kernel "al vuelo"
* "Shellcode" para microprocesadores ARM
* Desbordamientos de búfer en HP PA-RISC
* Estudio de seguridad del sistema operativo "Inferno"
* Nuevos sistemas RPC: XML-RPC y SOAP

y otros temas menores.

De lectura recomendable para conocer el "estado del arte" en el mundo
"Underground".



Jesús Cea Avión
jcea@hispasec.com


Más información:

Phrack #58
http://www.phrack.org/show.php?p=58&a=1

Phrack
http://www.phrack.org/



jueves, 10 de enero de 2002

Primer virus del mundo para la plataforma .NET de Microsoft

Ayer miércoles, 9 de enero de 2002, las principales compañías
antivirus recibieron de la mano de su autor una muestra de W32/Donut,
el primer virus diseñado para afectar archivos con formato MSIL
(Microsoft Intermediate Language) de la plataforma .NET de Microsoft.
Con esta noticia se confirma el análisis publicado hace una semana por
Hispasec en el que pronosticamos lo que nos podía deparar el futuro
más inmediato en el terreno vírico.
"De momento nos quedamos con .NET y MSIL (Microsoft Intermediate
Language) como candidatos a caldo de cultivo para una nueva generación
de virus y gusanos.", con esta frase damos por concluida la trilogía
destinada a repasar la historia moderna de los gusanos de Internet
desde sus comienzos hasta nuestros días, incluida la última entrega
dedicada a pronosticar sobre el futuro más inmediato:

01/01/2002 - Gusanos de Internet: pasado, presente y futuro (III)
http://www.hispasec.com/unaaldia.asp?id=1164

"W32/Donut" es una prueba de concepto, un virus de laboratorio, que
no afectará a los usuarios, igual que ocurre con el reciente virus
destinado a infectar los archivos de Shockwave Flash. Sin embargo,
en este caso puede ser la primera semilla de una importante corriente
de virus y gusanos para la plataforma .NET, no en vano estamos
hablando de una tecnología de Microsoft que, como suele ocurrir, se
espera termine implantándose de forma global a casi todos los niveles,
de ahí su interés.

"W32/Donut" o "dotNET", nombre original con el que fue bautizado por
su autor, Benny del grupo 29A, es un infector de archivos EXE con
formato MSIL (Microsoft Intermediate Language). En realidad el virus
aprovecha una característica de estos ejecutables que, según
Microsoft, no se encontrará en la versión final. Así en la Beta 2 de
.NET, la utilizada por el autor del virus, los ejecutables MSIL
aun mantienen 5 bytes que no son independientes de la plataforma,
encargados de llamar a la función CorExeMain() de mscoree.dll para
dar paso a la interpretación del código en MSIL.

El virus aprovecha para modificar la instrucción existente en esos
5 bytes de forma que modifica el salto para que apunte a una
dirección en la última sección del ejecutable a partir de la cual
inserta el código del virus escrito en ensamblador, que se ejecutará
como aplicación Win32. "W32/Donut" recalcula y actualiza el campo donde
se recoge un checksum de la cabecera del ejecutable, de esta forma
consigue aparecer a todos los efectos como una imagen MSIL válida.
El virus también inserta una porción de código escrito en MSIL
encargado del payload o efecto, de forma que en 1 de cada 10
ejecuciones se visualiza una ventana con el siguiente texto:

.NET.dotNET by Benny/29A
This cell has been infected by dotNET virus!

En cada ejecución el virus crea una copia temporal del ejecutable
donde está hospedado, con el mismo nombre antecedido por un espacio,
que incluye la cabecera MSIL original, sin modificar. Este archivo
es el que ejecuta después del código vírico, de forma que la
aplicación original funcionará con total normalidad.

Como vemos el virus no explota las funcionalidades propias de la
tecnología .NET, sino que aprovecha una característica puntual de
una versión BETA para hacer un virus compatible capaz de infectar
ejecutables MSIL en Windows. De todas formas es un ejemplo claro de
que los ojos están puestos en esta nueva plataforma, de ahí que es
más que probable que surjan especímenes con nuevas técnicas de
infección y propagación más optimizadas.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Virus Targets Microsoft Web Services Software
http://news1.iwon.com/article/id/200727|top|01-10-2002::00:09|reuters.html

Virus writers take an early crack at .Net
http://investor.cnet.com/investor/news/newsitem/0-9900-1028-8424382-0.html?tag=ats

NAi - W32/Donut
http://vil.nai.com/vil/virusSummary.asp?virus_k=99300

F-Secure Donut
http://www.f-secure.com/v-descs/dotnet.shtml

Symantec - W32.Donut
http://www.sarc.com/avcenter/venc/data/w32.donut.html

Computer Associates - W32.Donut
http://www3.ca.com/virus/virus.asp?ID=10759

Sophos - W32/Donut-A
http://www.sophos.com/virusinfo/analyses/w32donuta.html

Norman - W32/Donut.A
http://www.norman.com/virus_info/w32_celt_a.shtml

Panda Software - W32/Donut
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Donut

Gusanos de Internet: pasado, presente y futuro (III)
http://www.hispasec.com/unaaldia.asp?id=1164

Virus para Macromedia Shockwave Flash
http://www.hispasec.com/unaaldia.asp?id=1171



miércoles, 9 de enero de 2002

Rebrote del falso virus "Sulfnbk.exe"

Estos últimos días ha resurgido con fuerza el hoax que intenta engañar
al usuario con la alerta sobre la existencia de un supuesto virus en
el archivo "sulfnbk.exe" que ningún antivirus consigue detectar. En
realidad el virus no existe, el archivo "sulfnbk.exe" corresponde a
una utilidad legítima que se distribuye con Windows 98/Me.
Este hoax ya alcanzó una gran difusión en mayo del pasado año y desde
Hispasec informamos convenientemente de su existencia. Aunque en la
actualidad han aparecido algunas variantes en los textos del hoax,
los mensajes siguen advirtiendo de un nuevo virus y facilitan unos
sencillos pasos para poder comprobar si estamos infectados. El
método sobre el que informa el mensaje consiste en buscar el fichero
sulfnbk.exe en nuestro sistema, si lo encontramos supuestamente
estaremos infectados y deberemos proceder a su eliminación.

"sulfnbk.exe" es en realidad una utilidad distribuida con Windows
que permite salvar y restaurar los nombres largos de los archivos
si han sido reemplazados por el formato corto compatible con
MS-DOS (8.3). El hecho de que muchos de los usuarios detecten este
archivo en sus sistemas, cuya existencia y utilidad no son muy
conocidas, provoca que el "hoax" sea más creíble. Alertados por
el suceso reenvían el bulo a sus contactos y la cadena de histeria
colectiva sigue aumentando.

Los usuarios que reciban un mensaje similar deberán ignorarlo,
como recomendación adicional podrán avisar al remitente del error
que está cometiendo al reenviar un bulo y evitar así que continúe
la difusión del "hoax".

Son muchos los usuarios que han caído en el engaño y han borrado
este ejecutable, para todos los que lo eliminaron y desean
recuperarlo pueden proceder de la siguiente forma:

Localizar el archivo Precopy1.cab en el CD de Windows 98 CD en el
directorio Win98. Mediante alguna utilidad como Winzip abrir dicho
archivo para localizar en su interior el ejecutable Sulfnbk.exe y
extraerlo para copiarlo a su directorio original (C:\Windows\Command).
También se puede extraer el archivo de la polémica con la utilidad
Extract del sistema operativo, mediante la instrucción
EXTRACT /Y /L c:\windows\command PRECOPY1.CAB SULFNBK.EXE



Bernardo Quintero
bernardo@hispasec.com


Más información:

una-al-dia (10/05/2001) Sulfnbk.exe, historia de un virus inexistente
http://www.hispasec.com/unaaldia.asp?id=928

una-al-dia (30/05/2001) A vueltas con Sulfnbk.exe
http://www.hispasec.com/unaaldia.asp?id=948



martes, 8 de enero de 2002

Virus para Macromedia Shockwave Flash

Bautizado como SWF.LFM.926, este virus es capaz de infectar los
archivos de Shockwave Flash (extensión .swf). Se trata de una prueba
de concepto, un virus muy primitivo que tiene sus capacidades de
infección y propagación muy limitadas, por lo que este espécimen en
concreto no supone un riesgo real para los usuarios.
El que este virus sea motivo de noticia se debe únicamente al hecho de
ser el primero con la capacidad de infectar archivos Flash. Tal y como
hemos podido ver en otras ocasiones con virus similares para CorelDraw
o AutoCad, se trata de un espécimen rudimentario que tiene como único
objetivo demostrar que es posible crear un virus para un nuevo
formato, pero que no representa una amenaza por sí mismo.

Para que SWF.LFM.926 entre en acción es necesario que abramos un
archivo .swf infectado de forma local, el virus no es capaz de
infectar desde una animación Flash visualizada en una página web.
Además será necesario que contemos con una versión de Shockwave que
soporte ActionScript, el lenguaje de script en el que está escrito el
código del virus.

En caso de abrir un archivo .swf infectado, el virus muestra el
mensaje "Loading.Flash.Movie..." mientras abre una sesión DOS para
crear y ejecutar el archivo V.COM, de 296 bytes, encargado de infectar
otros archivos .swf sólo en el mismo directorio. El virus deja de
infectar si no encuentra archivos con el formato de Shockwave o si
alguno de ellos tiene atributo de sólo lectura.

Una limitación más consiste en que para abrir la sesión DOS el virus
llama a CMD.EXE, el intérprete de comandos en Windows NT/2000/XP, por
lo que SWF.LFM.926 no funcionará bajo Windows 9x/Me donde debería
llamar a COMMAND.COM.

De momento la única preocupación para el usuario debe consistir en
asegurarse de que la configuración actual de su antivirus contempla
el chequeo de los archivos con extensión .swf, de cara a futuras
versiones más optimizadas en lo que a propagación se refiere.
También deberá extremar las preocupaciones si recibe un archivo
.swf, ya que cabe la posibilidad de que contenga en su interior un
virus o troyano.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Panda Software: SWF/LMF_926
http://service.pandasoftware.es/enciclopedia/fichaVirus.jsp?Virus=SWF/LMF_926

Symantec: SWF.LFM.926
http://www.sarc.com/avcenter/venc/data/swf.lfm.926.html

McAfee: SWF/LFM.926
http://vil.nai.com/vil/virusSummary.asp?virus_k=99297

Sophos: SWF/LFM-926
http://www.sophos.com/virusinfo/analyses/swflfm926.html

F-Secure: SWF.LFM.926
http://www.f-secure.com/v-descs/swflfm.shtml

Norman: SWF/LFM.926
http://www.norman.com/virus_info/swf_lfm_926.shtml



lunes, 7 de enero de 2002

Ejecución de órdenes arbitrarias del shell en PINE

Se ha descubierto la existencia de una vulnerabilidad en el programa de
correo electrónico PINE que puede ser aprovechada por un atacante para
ejecutar órdenes arbitrarias del shell en el ordenador del receptor de
un mensaje.
PINE es un popular cliente de correo electrónico y news, que se
encuentra disponible en una gran cantidad de plataformas (diversos
sistemas Unix y Windows).

Las versiones de PINE anteriores a la 4.40 tienen una vulnerabilidad en
la forma en que tratan las URL incluidas en los mensajes. PINE permite a
los usuarios ejecutar un navegador web para visitar una URL incluida
dentro de un mensaje. Debido a un error de programación, PINE no filtra
correctamente las secuencias de escape existentes en la URL antes de
pasar la orden al sistema operativo como parámetro del navegador web.

Un atacante malévolo puede aprovecharse de esta vulnerabilidad enviando
un mensaje con un enlace que contenga una URL especialmente formateada.
Por ejemplo, si el usuario hace clic a una URL como esta:

http://servidor/'&/algún/programa${IFS}con${IFS}argumentos&'

Se ejecutan dos programas. Por un lado se abrirá el navegador web con la
dirección

http://servidor/

Y por el otro se ejecutará la orden

/algún/programa con argumentos

Ambos programas (el navegador y el otro programa) serán ejecutados
dentro del contexto de seguridad del usuario receptor del mensaje que
haya abierto la URL desde dentro de PINE.

En ocasiones puede ser difícil detectar la presencia de los caracteres
especiales dentro de la URL ya que pueden ser ocultados. Por tanto,
aconsejamos no abrir nunca la URL desde dentro del programa de correo.
En su lugar, es mucho más seguro copiarla y pegarla en el navegador.



Xavier Caballé
xavi@hispasec.com


Más información:

FreeBSD Security Advisory: pine port insecure URL handling
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:05.pine.asc

PINE 4.33 (at least) URL handler allows embedded commands
http://msgs.securepoint.com/cgi-bin/get/bugtraq0201/28.html

PINE Environment Variable Expansion in URLS Vulnerability
http://www.securityfocus.com/bid/810

PINE
http://www.washington.edu/pine/



domingo, 6 de enero de 2002

Borrador de anteproyecto de Ley de firma electrónica

El Ministerio de Ciencia y Tecnología español ha elaborado, en estrecha
colaboración con los Ministerios de Justicia, Economía, Interior y
Administraciones Públicas, un nuevo Anteproyecto de Ley de firma
electrónica. Este Anteproyecto de Ley estará abierto para comentarios
durante todo el mes de enero de 2002.
Este borrador está basado en la Directiva 1999/93/CE
(http://www.setsi.mcyt.es/legisla/comunita/l_01320000119es00120020.pdf),
que reemplazará al Real Decreto-Ley 14/1999
(http://www.setsi.mcyt.es/legisla/internet/rdley14_99.htm), de 17 de
septiembre, y tiene en cuenta los avances producidos en el terreno
normativo y tecnológico.

El Ministerio de Ciencia y Tecnología ofrece en la dirección
http://www.setsi.mcyt.es/novedad/firma271201.html toda la información
sobre este borrador y lo pone a disposición de todos aquellos
interesados para su discusión y mejora. Este Anteproyecto de Ley tiene,
así mismo, como finalidad dar cumplimiento al compromiso adquirido tras
la convalidación del Real Decreto-Ley 14/1999, para su tramitación como
Proyecto de Ley.

La evolución de los servicios de certificación en España y las
exigencias de seguridad que derivan del desarrollo del comercio
electrónico aconsejan la elaboración de una nueva norma que incorpore
las modificaciones y elementos necesarios para dinamizar el uso de la
firma electrónica en las transacciones y comunicaciones por vía
electrónica.

El Anteproyecto de Ley realiza diversas reformas en la regulación
vigente, que afectan, entre otros aspectos, a las obligaciones de
comprobación previas a la emisión de certificados reconocidos, a las
circunstancias y forma de revocación de los certificados, al régimen de
responsabilidad de los prestadores de servicios de certificación o a la
eficacia de la firma electrónica en entornos cerrados.

Se introducen, como novedad, la regulación del DNI electrónico y de los
certificados de personas jurídicas. El DNI electrónico es una tarjeta
equivalente al DNI actual, al que se añadirán facilidades de firma
electrónica, y que podrá ser utilizada en las relaciones con cualquier
Administración Pública y con los particulares y empresas. Con los
certificados de personas jurídicas, la Ley reconoce las prácticas que
tienen lugar en Internet, donde es habitual que las empresas utilicen su
propia firma para fines diversos.

El Anteproyecto de Ley estará abierto para comentarios durante todo el
mes de enero de 2002 y puede consultarse en la dirección
http://www.setsi.mcyt.es/novedad/firma271201.PDF o
http://www.setsi.mcyt.es/novedad/firma271201.doc. Todos los comentarios,
opiniones, sugerencias, etc. sobre esta futura Ley podrán enviarse a la
dirección de correo electrónico anteproyecto.firma@setsi.mcyt.es.

Tal y como informa el propio Ministerio de Ciencia y Tecnología, se
tendrán en cuenta todos los comentarios recibidos para la elaboración de
un nuevo borrador revisado, que con los trámites oportunos, será elevado
a las Cortes Generales para su aprobación como Ley.



Antonio Ropero
antonior@hispasec.com


Más información:

Ministerio de Ciencia y Tecnología:
Información sobre el Anteproyecto de Ley de firma electrónica
http://www.setsi.mcyt.es/novedad/firma271201.html

Borrador de Anteproyecto de Ley de firma electrónica
http://www.setsi.mcyt.es/novedad/firma271201.PDF
http://www.setsi.mcyt.es/novedad/firma271201.doc



sábado, 5 de enero de 2002

Grave problema de seguridad en AOL Instant Messenger

Se ha detectado una grave vulnerabilidad en el conocido cliente de
mensajería instantánea AOL Instant Messenger (AIM) por la cual un
atacante podría lograr ejecutar cualquier programa en el ordenador de
los usuarios de este servicio.
La vulnerabilidad reside en el código que analiza las solicitudes de
juego, ya que se ve afectado por un desbordamiento de búfer que puede
permitir a un usuario remoto obtener los mismos privilegios con los que
cuente el usuario que actualmente se encuentre en el sistema.

El problema se ve agravado ya que el usuario no tiene ninguna forma de
evitar la petición maliciosa. Todas las versiones de AOL Instant
Messenger para Windows desde la 4.3 hasta la 4.7.2480 e incluso la beta
AOL Instant Messenger 4.8.2616 se ven afectadas por este problema, si
bien AOL ha realizado modificaciones en sus servidores de AIM para
evitar que esta vulnerabilidad desde sus servidores. Sin embargo, el
problema subyacente sigue existiendo en el cliente y puede ser
explotable empleando alguna técnica similar al hombre en el medio (man
in the middle) o si el atacante logra evitar los filtros de los
servidores AIM.

Este software cuenta con más de 100 millones de usuarios registrados y
más de 29 millones de usuarios activos en todo el mundo, por lo que si
un atacante logra explotar una vulnerabilidad de este puede emplearla
para la distribución de virus, de herramientas de denegación de servicio
distribuido, etc.

Si un administrador desea evitar o controlar el uso de AOL Instant
Messenger puede bloquear la dirección "login.oscar.aol.com" y el puerto
5190 en el firewall, con lo que impedirá el acceso al servicio AIM.



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/bid/3769

AOL Instant Messenger (AIM):
http://www.aim.com/index.adp

Xforce ISS:
http://xforce.iss.net/alerts/advise107.php

Aviso w00w00!
http://www.w00w00.org/advisories/aim.html

CNN
http://www.cnn.com/2002/TECH/ptech/01/02/aol.security.ap/index.html

MSNBC
http://www.msnbc.com/modules/exports/ct_email.asp?/news/680950.asp



viernes, 4 de enero de 2002

Informe sobre las pérdidas económicas debidas a virus

Las perdidas causadas este año por la acción de los virus informáticos
ascienden a 2,42 billones de pesetas (14.544 millones de euros).
Aunque el año que vamos a abandonar ha sido prolífico en la
acción de los virus informáticos, la cifra dada ha conocer por
Computer Economics en su estudio anual sobre las consecuencias
económicas de la actividad vírica, es sensiblemente inferior a la del
año 2000.

En el pasado año la cantidad estimada en perdidas causadas por la
acción de los agentes víricos fue de 3,2 billones, cantidad
sensiblemente superior a los 2,42 billones de pesetas del actual año.

La mayor parte de las perdidas contabilizadas por las empresas
afectadas por virus informáticos se deben a la acción de tres virus de
todos conocidos. Code Red se encuentra en primer lugar de este
peculiar ranking con unas perdidas estimadas de 491.000 millones de
pesetas (casi 3.000 millones de euros), seguido a distancia por otro
conocido gusano, el Sircam con perdidas ocasionadas por valor de
216.000 millones (cerca de 1.300 millones de euros), el último
lugar de la clasificación lo ocupa Nimda con 119.000 millones de
pesetas (715 millones de euros).

Todo hace pensar que las empresas dedicadas a los antivirus han estado
este año más alerta, después de los quebraderos de cabeza que ocasiono
el virus que más ríos de tinta ha conseguido verter, el I Love You. El
solo ocasiono perdidas estimadas por valor de 1,64 billones de
pesetas (9.850 millones de euros).

Los datos de este estudio realizado por Computer Economics contemplan
gastos ocasionado por la desinfección así como los ocasionados por
perdida de productividad. Este tipo de estudios se deben coger siempre
con reservas en la cuantificación de perdidas, ya que las empresas
tienden a inflar los gastos ocasionados por cualquier tipo de
incidentes o catástrofes.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Economic Impact of Malicious Code Attacks
http://computereconomics.com/cei/press/pr92101.html

Alerta sobre una grave amenaza a Internet.
http://www.hispasec.com/unaaldia.asp?id=1007

W32/Nimda: llegó, vio e infectó
http://www.hispasec.com/unaaldia.asp?id=1061

SirCam, gusano de propagación masiva
http://www.hispasec.com/unaaldia.asp?id=997



jueves, 3 de enero de 2002

Xbox al descubierto

Poco más de un mes ha durado la integridad de la esperada consola de
videojuegos Xbox de Microsoft, tras haberse publicado el código de su
BIOS.
Un estudiante del Instituto de Tecnología de Massachusetts, ha sido la
persona que se ha encargado de realizar esta acción. Y no
conformándose con esta "grave" afrenta a la por todos conocida
multinacional del software, ha continuado publicando este código así
como todo el proceso en su página web, junto con la inclusión de
documentación varia.

El estudiante en cuestión, tras recibir una llamada de un empleado de
Microsoft, la grabó en un MP3 y la colgó de su web. Esta se puede
escuchar en la dirección:
http://web.mit.edu/bunnie/www/proj/anatak/xboxedited.mp3

Podemos considerar a todos los efectos la Xbox como un ordenador con
todas las palabras, entre sus características mas destacables haremos
hincapié en que cuenta con una CPU a 733 MHz. Como procesador gráfico
nos encontramos con un Chip de 250MHz, desarrollado por Microsoft y
nVidia y una Memoria total 64 MB.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Socket for your TSOP FLASH (29F080A-70) in the XBOX
http://web.mit.edu/bunnie/www/proj/anatak/xboxmod.html

TSOP FLASH
http://web.mit.edu/bunnie/www/proj/anatak/xbox.bin

Un estudiante de EE.UU. hackea la Xbox de Microsoft y publica su código
http://www.aldia.net/noticias.asp?id=12082

Instituto de Tecnología de Massachusetts
http://web.mit.edu/

La Xbox frente a sus rivales
http://www.microsoft.com/latam/juegos/xbox



miércoles, 2 de enero de 2002

Congresos y seminarios de seguridad informática 2002

De la mano de CriptoRed nos llega un listado con los congresos
y seminarios con fechas vigentes donde son protagonistas las
temáticas relacionadas con la seguridad informática.
+ 1er Congreso Iberoamericano de Seguridad Informática
18-22 febrero 2002 (México)

http://www.congresoseg.itmorelia.edu.mx/

+ VI Seminario Iberoamericano de Seguridad en NTIs
18-23 febrero 2002 (Cuba)
i2002@seg.inf.cu

+ I Congreso Internacional de la Sociedad de la Información
27 febrero - 1 marzo 2002 (España)
http://www.cisic.org/

+ 4th International Conference on Enterprise Information Systems
3-6 abril 2002 (España)
http://www.iceis.org/

+ Workshop sobre Seguridad Informática
3-6 abril 2002 (España)
http://www.iceis.org/workshops/sis/sis-cfp.htm

+ Taller de Seguridad en Redes
6-10 mayo 2002 (República Dominicana)
http://www.walc2002.pucmm.edu.do/index1.htm

+ Jornadas Nacionales de Seguridad Informática
27-28 Junio 2002 (Colombia)

http://www.acis.org.co/Paginas/eventos/jornadaseguridadII01.html

+ 1er Evento Internacional de Matemática para Ingeniería
12-14 julio 2002 (Cuba)
mat@fie.uo.edu.cu

+ 6th Multi-Conference on Systemics, Cybernetics and Informatics
14-18 Julio 2002 (USA)
http://www.iiis.org/sci2002/

+ Workshop Trust and Privacy in Digital Business
2-6 septiembre 2002 (Francia)
http://www.wi-inf.uni-essen.de/~trustbus02/

+ VII Reunión Española de Criptología RECSI
5-7 septiembre 2002 (España)
http://enol.etsiig.uniovi.es/viirecsi/



Bernardo Quintero
bernardo@hispasec.com


Más información:

CriptoRed
http://www.criptored.upm.es



martes, 1 de enero de 2002

Gusanos de Internet: pasado, presente y futuro (III)

En la última entrega de esta trilogía sobre gusanos de Internet vamos
a abordar que nos puede deparar el futuro más inmediato en el terreno
de los códigos víricos.
Hablar de futuro en el mundillo de los virus supone un ejercicio de
responsabilidad, ya no tanto por el grado de acierto que se pueda
tener, de cara a la galería, entre las ideas expuestas y lo que
finalmente suceda, sino por la posibilidad de que algún comentario
resulte ser original y se convierta en la semilla de algún nuevo
virus.

En este sentido recuerdo que dejé de escribir un artículo, durante
los primeros años de Windows 95 y la generalización de Internet, sobre
el peligro que entrañaría el desarrollo de un gusano que explotara la
compartición de recursos aprovechando que Windows 95 "montaba" por
defecto NetBIOS sobre TCP/IP. El resultado era que las máquinas que
compartían sus recursos en una red local, como puede ser un disco
duro, también lo hacían automáticamente para cualquier usuario de
Internet.

Por aquel entonces era un agujero de seguridad muy generalizado, que
Microsoft nunca reconoció como tal y por tanto no existía aviso ni
parche oficial, de forma que escanear de forma arbitraria una clase C
en Internet devolvía la mayoría de las veces algunas máquinas con
este grave problema donde no faltaban las que compartían todo el
disco duro. Que el gusano realizara una copia de si mismo en la
carpeta de Inicio de Windows en el disco duro remoto no era empresa
difícil, de forma que la próxima vez que se iniciara Windows el virus
se ejecutaría automáticamente y procedería a buscar nuevas víctimas
una vez conectado a Internet. Por fortuna, nunca sabremos el impacto
que un gusano de este tipo pudo haber causado en aquellas
circunstancias.

La verdad es que aquellos años los creadores de virus estaban más
ocupados investigando a fondo los entresijos de Windows 95 para poder
crear virus compatibles con el nuevo sistema y formato de ejecutables.
Se abría un periodo de adaptación para trasladar y adaptar todas las
técnicas que habían venido utilizando hasta la fecha en la antigua
escuela aprovechando todo los recovecos del DOS. No perdieron el
tiempo, la innovación en el terreno de los virus Win32 ha sido
constante, con la incorporación de nuevas técnicas que nunca
llegamos a imaginar.

De un modo u otro, lo que está claro es que Microsoft juega un papel
fundamental en el terreno de los virus informáticos. Dejando a un
lado que por diseño sus sistemas sean más o menos seguros y que
faciliten en parte la vida a los virus, su importancia viene de la
posición predominante que ocupa en el mercado de los sistemas
operativos, aplastante en el caso de los usuarios domésticos y puestos
clientes. Si el fin de un virus es sobrevivir y reproducirse al
máximo, lo normal es que se diseñe para que pueda afectar al mayor
número de víctimas posibles, y hoy día en el caso de la informática
eso se traduce en la compatibilidad con Windows y productos Microsoft.

Además de los virus para DOS y la nueva generación Windows ya
comentada, la historia deja claro que la aparición de nuevas clases
o familias de virus se basa en los nuevos productos o tecnologías
Microsoft. Si con Office asistimos al nacimiento de la plaga de los
virus de macro, con gusanos como "Melissa", la incorporación por
defecto del interprete Windows Scripting Host en Windows 98 y
posteriores nos trajo el aluvión de gusanos escritos en Visual Basic
Script (VBS), como "ILoveYou" y compañía.

Visto ésto, para hablar de futuro en el mundo de los virus
informáticos, que mejor que darse una vuelta por la web de Microsoft
para ver las nuevas tecnologías y productos que con casi total
seguridad terminarán implantándose de forma global.

Tanto si visitamos www.microsoft.com, como si somos asiduos a las
noticias de tecnología, veremos que Microsoft ha puesto mucho
hincapié en introducirnos a su nueva tecnología .NET, que se hará
notar tanto en los sistemas operativos como en las aplicaciones.
.NET nos abrirá la puerta a la informática distribuida con nuevas
funcionalidades que facilitarán la conexión de componentes a través
de redes, un ambiente que a buen seguro aprovecharán los creadores
de virus.

Si profundizamos en .NET, en lo que desarrollo se refiere, podemos
ver nuevos conceptos como el Common Language Runtime, un modelo
que busca integrar el código generado por los compiladores de manera
independiente al lenguaje utilizado. Para lograrlo aparece un nuevo
lenguaje y su correspondiente formato de archivo, Microsoft
intermediate language (MSIL), que además amenaza con que su código
es independiente al juego de instrucciones de la CPU, en su búsqueda
por convertirse en un estándar que termine por implantarse también
en otras plataformas. El sueño de cualquier creador de virus, un
formato que le permita de forma fácil diseñar gusanos multiplataforma.

En futuras entregas, fuera de esta trilogía, abordaremos algunas
funcionalidades y características de .NET y las implicaciones que
pueda tener en la seguridad de nuestros sistemas. De momento nos
quedamos con .NET y MSIL (Microsoft intermediate language) como
candidatos a caldo de cultivo para una nueva generación de virus
y gusanos.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft .NET
http://www.microsoft.com/net/

Gusanos de Internet: pasado, presente y futuro (I)
http://www.hispasec.com/unaaldia.asp?id=1158

Gusanos de Internet: pasado, presente y futuro (II)
http://www.hispasec.com/unaaldia.asp?id=1160