jueves, 28 de febrero de 2002

Vulnerabilidad en la subida de archivos de PHP

El sistema de páginas dinámicas PHP es actualmente uno de los módulos
más populares para el servidor web Apache. Se han descubierto múltiples
vulnerabilidades relacionadas con la subida de archivos al servidor
(HTTP POST) en prácticamente todas las versiones de PHP.
PHP soporta la subida de archivos POST mediante "multipart/form-data"
siguiendo el RFC1867. El problema ocurre cuando, pasados unos campos
MIME especialmente creados, la rutina que calcula sus límites coloca
un puntero al final de la cadena, entonces se analiza la cabecera
"Content-disposition". Un flag en esta rutina provoca una cuenta
errónea del número de bytes, que bajo ciertas circunstancias
producirá un desbordamiento de un byte en la memoria heap.

Los desbordamientos en la memoria heap son difíciles de utilizar debido
a sus características móviles. El modo de utilización de la memoria de
los servidores web, así como la constante ampliación y localización
dinámica de ésta, provoca que las posibilidades de un ataque
satisfactorio disminuyan. Si bien, en algunas versiones podemos
encontrar fallos en las comprobaciones de los límites, lo que dará
una mayor facilidad para la creación de exploits.

Únicamente la versión 4.2.0 de desarrollo no se encuentra afectada
debido a que todo el código para subir archivos ha sido escrito de
nuevo. Se recomienda a los afectados la actualización a la versión 4.1.2.



Francisco Santos
fsantos@hispasec.com


Más información:

PHP remote vulnerabilities
http://security.e-matters.de/advisories/012002.html

Descarga PHP
http://www.php.net/downloads.php



miércoles, 27 de febrero de 2002

Versión 2.0 de la metodología OSSTMM para verificación de la seguridad

La organización Ideahamster publica la versión 2.0 de su manual con la
metodología para la verificación de la seguridad de los sistemas.
OSSTMM (Open Source Security Testing Methodology Manual) es el estándar
más completo existente en la actualidad con una metodología para la
verificación de la seguridad de los sistemas y las redes que disponen de
una conexión a Internet.

Esta metodología, desarrollada por la Organización Ideahamster, se
encuentra en constante evolución y es fruto de la colaboración de más de
150 colaboradores de todo el mundo. Gracias a este número de
colaboradores, el documento incorpora los más recientes cambios y nuevos
desarrollos relacionados con la seguridad informática.

Antes de la OSSTMM no existía ningún documento que recogiera, de forma
abierta y estandarizada, las diferentes necesidades del profesional de
la seguridad durante la realización de las verificaciones de seguridad.
Si bien existen otras metodologías equivalentes, ninguna hasta la fecha
se había publicado con la intención de estar disponible y mantenida por
la propia comunidad profesional.

Por otra parte, en los últimos meses han aparecido un gran número de
empresas que ofrecen verificaciones de seguridad. Hasta ahora tampoco se
disponía de ningún esquema de certificación o estándar que garantizara
la realización de la verificación de seguridad de acuerdo a un conjunto
estándar aceptable.

La metodología OSSTMM cambia esta situación, al ofrecer un marco
estándar y consistente así como unos resultados claramente
cuantificables. Gracias a esto, es posible garantizar los resultados, la
exactitud y la validez de las pruebas realizadas.

Metodología del Computer Security Resource Center (CSRC-NIST)

De forma independiente y sin ninguna relación con el manual publicado
por la organización Ideahamster, el Computer Security Resource Center
(organismo que depende del NIST, National Institute of Standards and
Technology del departamento de comercio de los Estados Unidos) ha
publicado su metodología para la verificación de la seguridad de los
sistemas y de las políticas de seguridad.

Este documento está dividido en cuatro secciones: una introducción a la
metodología, la descripción de los métodos de verificación y el conjunto
de seguridad, la definición de los métodos y objetivos de las pruebas de
seguridad y, en la última sección, que elementos deben tener prioridad
cuando se realizan las verificaciones con unos recursos limitados.



Xavier Caballé
xavi@hispasec.com



martes, 26 de febrero de 2002

Más de 3 vulnerabilidades diarias

Después de 3 meses de funcionamiento de SANA, el Servicio de Análisis,
Notificación y Alertas de Hispasec, se han detectado y documentado
289 alertas, lo que arroja una media de más de 3 nuevas vulnerabilidades
al día. Microsoft, Linux y Solaris encabezan el listado de plataformas
afectadas.
La aparición de nuevas amenazas para la seguridad de nuestros sistemas
es una constante, tal y como podemos comprobar a diario a través de
las noticias de "una-al-día", donde recogemos la información de la
jornada que creemos más significativa o de mayor interés general. Sin
embargo, el volumen y la diversificación de las incidencias es tan
elevado que dificulta en gran medida el seguimiento de los riesgos que
pueden afectar a nuestros sistemas.

Para solucionar esta problemática, y como respuesta a la demanda de
empresas y profesionales, nació SANA. Este servicio de información
personalizado sobre seguridad informática notifica, en tiempo real,
la aparición de nuevas vulnerabilidades que puedan afectar a los
sistemas, junto con las medidas preventivas y/o parches para
subsanarlas.

Se puede ampliar la información sobre el servicio SANA en

http://www.hispasec.com/sana/



Hispasec Sistemas
hispasec@hispasec.com


Más información:

Hispasec: Servicio SANA
http://www.hispasec.com/sana/


lunes, 25 de febrero de 2002

Corrección de una vulnerabilidad de Microsoft Commerce Server 2000

Microsoft publica una corrección destinada a paliar un problema de
seguridad en Commerce Server 2000 que permitiría a un atacante
poder hacerse con el control del servidor atacado.
Microsoft Commerce Server 2000, instala por defecto una dll con un
filtro ISAPI, que permite al servidor proporcionar respuestas a
determinados acontecimientos que corran sobre el servidor. El filtro
en cuestión se denomina "AuthFilter" y es el encargado de apoyar una
amplia variedad de métodos de autenticación.

AuthFilter se ve afectado por una vulnerabilidad por la cual un
atacante podría realizar una serie de peticiones malintencionadas dando
como resultado un desbordamiento de buffer. El problema se agrava al
ofrecer al atacante la también posibilidad de ejecución de código en el
contexto de seguridad del proceso del Servidor de Comercio electrónico.
Esto daría al atacante pleno control del sistema atacado.

Aunque Microsoft Commerce Server 2000 confía en IIS para hacer correr
sus servicios bajo web, el filtro afectado no forma parte del mismo,
por lo que los administradores y usuarios de IIS no tienen por que
tener ningún temor de verse afectados por este problema, según fuentes
de Microsoft.

El parche que corrige esta vulnerabilidad puede descargarse desde:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=36683



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Unchecked Buffer in ISAPI Filter Could Allow Commerce Server Compromise
http://www.microsoft.com/technet/security/bulletin/MS02-010.asp



domingo, 24 de febrero de 2002

Vulnerabilidad en "ettercap"

Las versiones de "ettercap" previas a la 0.6.4 son susceptibles a un
desbordamiento de búfer que permite la ejecución de código arbitrario
como administrador o "root".
"ettercap" es un "sniffer", una herramienta que permite capturar y
analizar el tráfico de red. Aunque puede tener muchos usos maliciosos,
resulta extremadamente útil a los administradores de redes, para
diagnóstico de problemas.

Las versiones de "ettercap" previas a la 0.6.4 contienen un
desbordamiento de búfer que puede permitir la ejecución de código
arbitrario en el servidor, en redes cuyo MTU (Maximun Transfer Unit,
tamaño máximo de cada paquete) sea superior a 1500 bytes.

Dado que las redes Ethernet tienen un MTU de 1500 bytes, no se puede
explotar el problema en las LAN más habituales. No obstante un atacante
local puede utilizar el "loopback", interfaz que tiene un MTU de unos
16Kbytes. Se pueden explotar otras tecnologías LAN no ethernet:

MTU Tecnología
65535 Hyperchannel
17914 16 Mbit/sec token ring
8166 Token Bus (IEEE 802.4)
4464 4 Mbit/sec token ring (IEEE 802.5)
1500 Ethernet
1500 PPP (típico, pero varía ampliamente)

La recomendación es actualizar a 0.6.4, que soluciona algunos problemas
de seguridad menores adicionales.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Ettercap, remote root compromise
http://www.ngsec.com/docs/advisories/NGSEC-2002-1.txt

Exploit
http://www.ngsec.com/downloads/exploits/ettercap-x.c

ettercap
http://ettercap.sourceforge.net/

29/12/2001 - Vulnerabilidad "ettercap"
http://www.hispasec.com/unaaldia.asp?id=1161



sábado, 23 de febrero de 2002

Vulnerabilidad en Internet Explorer 5.01, 5.5 y 6.0

Un atacante podría construir una web con distintos frames para leer
información de otros sitios, por ejemplo la contraseña que utilizamos
para acceder a nuestra cuenta bancaria por Internet o la tarjeta de
crédito con la que compramos. Por último, haciendo referencia a las
unidades locales, también podría leer los archivos del sistema de
la víctima.
La vulnerabilidad permite que desde un frame se puedan leer los
datos contenidos en un segundo frame correspondiente a otro sitio
o dominio. El ataque podría ser llevado a cabo desde una página
web o un e-mail con formato HTML. El problema se encuentra en el
lenguaje de Microsoft Visual Basic Script (VBS) interpretado por
Internet Explorer, no es posible por ejemplo aprovechar la
vulnerabilidad programando con JavaScript.

Los usuarios afectados deberán instalar el parche correspondiente
al lenguaje de su versión Windows, disponible desde la siguiente
dirección:

http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp



Bernardo Quintero
bernardo@hispasec.com


Más información:

Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files
http://www.microsoft.com/technet/security/bulletin/MS02-009.asp



viernes, 22 de febrero de 2002

Ataque de denegación de servicio sobre SQUID

Las versiones de SQUID previas a la 2.4.STABLE4 contienen varias
vulnerabilidades que permiten que un atacante remoto pueda provocar la
caída del servicio.
SQUID es un servidor caché/proxy (HTTP, FTP, WAIS y Gopher) de alta
capacidad y rendimiento, con código fuente abierto, muy utilizado en
entornos Unix y servidores empotrados dedicados.

Las versiones de SQUID previas a la 2.4.STABLE4 contienen varios
problemas a través de los cuales un atacante remoto puede conseguir la
caída del servicio. Los ataques se realizan especificando una URL que
cumpla determinadas características, como la creación de un nuevo
directorio FTP.

Se recomienda a todos los usuarios de SQUID que actualicen a la versión
2.4.STABLE4. Si ello no es posible, se recomienda aplicar los parches
que se van publicando en la página web del programa.



Jesús Cea Avión
jcea@hispasec.com


Más información:

[TL-Security-Announce] squid-2.4.STABLE2-3 TLSA2002003
http://lwn.net/alerts/Turbolinux/TLSA2002003.php3

DoS against squid-2.4STABLE1
http://www.squid-cache.org/bugs/show_bug.cgi?id=233

Squid-2.4 Patches
http://www.squid-cache.org/Versions/v2/2.4/bugs/

Squid version 2.4
http://www.squid-cache.org/Versions/v2/2.4/

Squid Caché
http://www.squid-cache.org/



jueves, 21 de febrero de 2002

Visualización y ejecución de archivos con Apache y PHP para Windows

Mediante una petición HTTP es posible llamar al interprete PHP.EXE
para visualizar archivos fuera del directorio público. También es
posible ejecutar archivos con cualquier extensión como si de un
archivo PHP se tratara.
En la documentación de PHP se recomienda que en la instalación en
Windows se inserten las siguientes líneas en el archivo httpd.conf
para que Apache trabaje con el ejecutable CGI de PHP:

ScriptAlias /php/ "c:/php/"
AddType application/x-httpd-php .php
Action application/x-httpd-php "/php/php.exe"

Gracias a la primera de las líneas podremos acceder a c:/php para
llamar y ejecutar PHP.EXE con una petición tipo:

http://www.servidor.xxx/php/php.exe

Entre otras posibilidades, facilita la lectura de cualquier archivo
fuera del ámbito público del servidor web. Por ejemplo, la siguiente
petición permite descargar el archivo de claves de un servidor
Windows NT:

http://www.servidor.xxx/php/php.exe?c:\winnt\repair\sam

Si el servidor permite subir archivos, pongamos por ejemplo imágenes,
un atacante podría hospedar archivos con código PHP y extensión .GIF.
Posteriormente bastaría con llamar al intérprete PHP.EXE para llevar
a cabo su ejecución:

http://www.servidor.xxx/php/php.exe/directorio_subida/codigo.gif

En el caso de que el servidor no permita subir archivos existen otras
formas de conseguir ejecutar código arbitrario y conseguir el control
total del sistema afectado. Por ejemplo introduciendo el comando a
ejecutar en una petición HTTP para que quede registrado en el archivo
log de Apache:

http://www.servidor.xxx/

Posteriormente bastaría con llamar al log con el interprete PHP para
que ejecute el comando:

http://www.servidor.xxx/php/php.exe?c:\apache\logs\access.log



Bernardo Quintero
bernardo@hispasec.com


Más información:

PHP for Windows Arbitrary Files Execution (GIF, MP3)
http://www.securiteam.com/windowsntfocus/5YP0L0U60C.html



miércoles, 20 de febrero de 2002

Grave vulnerabilidad en MS SQL Server 7.0 y 2000

Un desbordamiento de buffer permite la ejecución de código arbitrario
de forma remota en SQL Server 7.0 y 2000. Se aconseja a todos los
afectados instalen a la mayor brevedad el parche proporcionado por
Microsoft para corregir la vulnerabilidad.
SQL Server admite dos convenciones de nomenclatura de objetos de datos
remotos, los nombres de cuatro partes para un servidor vinculado que
funciona como elemento de abstracción para un origen de datos OLE DB,
y nombres ad hoc que se basan en la función OPENROWSET o OPENDATASOURCE
e incluyen toda la información de la conexión cada vez que se hace
referencia una tabla remota. En teoría, los servidores vinculados se
utilizan en las conexiones a datos remotos que se realizan con
regularidad, mientras que se usan los nombres ad hoc para las
conexiones circunstanciales o menos frecuentes.

El desbordamiento de buffer se ha detectado en las funciones que deben
manejar el nombre del proveedor OLE DB que se pasa como parámetro en
las conexiones de tipo ad hoc. Como suele ser habitual en estos casos,
las implicaciones de seguridad pueden ir desde la denegación de servicios,
pasando por el acceso a toda la información almacenadas en las bases de
datos, hasta llegar a la ejecución de código arbitrario en el sistema.
Dependiendo del contexto de seguridad en el que se ejecute el servidor
SQL, la explotación de esta vulnerabilidad podría utilizarse para lograr, de
forma remota, el control total del sistema afectado.

En respuesta a esta vulnerabilidad, Microsoft proporciona parches
acumulativos para SQL Server en sus versiones 7.0 y 2000 en las
siguientes direcciones:

SQL Server 7.0:
http://support.microsoft.com/support/misc/kblookup.asp?id=Q318268

SQL Server 2000:
http://support.microsoft.com/support/misc/kblookup.asp?id=Q316333



Bernardo Quintero
bernardo@hispasec.com


Más información:

SQL Server Remote Data Source Function Contain Unchecked Buffers
http://www.microsoft.com/technet/security/bulletin/MS02-007.asp



martes, 19 de febrero de 2002

Microsoft STPP, ¿estrategia tecnológica o lavado de cara?

La iniciciativa de Microsoft, Strategic Technology Protection Program
(STPP), ha generado opiniones para todos los gustos, tanto a favor
como en contra. El simple hecho de que Microsoft plantee una nueva
estrategia de seguridad ya es de agradecer, si bien las últimas
actuaciones e incidencias siguen alimentando el escepticismo.
Dejando a un lado la crítica gratuita a la que Microsoft es sometida
constantemente, en cualquiera de sus actuaciones, por una comunidad
de detractores incondicionales, hay que reconocer que STPP puede
suponer un antes y un después para la seguridad informática. No ya por
la estrategia en sí, visto que de momento no aporta nada nuevo, sino
por el poder de arrastre que las iniciativas de Microsoft tienen en
el sector.

Bajo este prisma, STPP será beneficioso para todos en lo que a
concienciación se refiere, si bien aun está por comprobar el efecto
real de la estrategia, algo que sólo podrá verse a medio-largo plazo,
por mucho que se empeñen tanto seguidores como detractores en evaluar
el impacto de la iniciativa en sus comienzos.

En estos momentos estamos ante una campaña de marketing acompañada
por algunas medidas de urgencia de sobra conocidas en el sector,
basadas en su mayoría en soluciones que Microsoft ya tenía a
disposición del público, aunque tal vez no fueran muy conocidas.
Tanto la actualización y notificación automatizada, como las
herramientas de chequeo, ya estaban aquí.

Hoy día es fácil encontrar que la mayoría de los productos nos
avisen y se autoactualicen de forma automática a través de Internet,
desde la utilidad donde reproducimos los MP3, pasando por la
actualización automatizada y centralizada de los antivirus en una
red corporativa. Microsoft no era una excepción, ya vimos como a
partir de Windows 98 incluyó Windows Update, una herramienta que a
demanda chequeaba, notificaba y lanzaba de forma automática las
nuevas actualizaciones. Otras herramientas menos conocidas, como
HFNetChk, llevan también un tiempo entre nosotros.

STPP, de momento, es más de lo mismo, con el anuncio de que las
nuevas herramientas incorporarán administración centralizada para
entornos corporativos y notificación automática, no a demanda del
usuario como hasta ahora. Algo que parece obvio pero que no deja
de ser un avance positivo.

En palabras de Microsoft, con esta estrategia se intenta disminuir
el tiempo que transcurre desde que es descubierta la vulnerabilidad
hasta que el sistema del cliente es actualizado, y de esta forma
disminuir el riesgo de que los sistemas resulten dañados.

Aunque es cierto, esto no deja de ser una simplificación subjetiva
y partidista del problema que sitúa al usuario como principal
responsable al no actualizar periódicamente sus productos. A
Microsoft le ha faltado autocrítica en el planteamiento de la
estrategia y el anuncio de iniciativas encaminadas a corregir el
problema en su origen. Esperamos que esto sea sólo un problema de
comunicación, y que internamente la estrategia STPP tengas otras
actuaciones de cara a mejorar el diseño de su software y las
actualizaciones.

Con esto no quiero decir que Microsoft, ni nadie, pueda concebir
programas 100% seguros y libres de fallos. Las vulnerabilidades
pueden aparecer en cualquier sistema y no dejarán de existir. Pero
tampoco es menos cierto que Microsoft tiene una responsabilidad
muy directa en muchos problemas, y sigue evidenciándolos con nuevos
incidentes aun en plena campaña STPP (graves problemas de diseño
en la protección contra desbordamiento de buffer en
Visual C++.Net, o los fallos del último parche para su navegador
Internet Explorer 6).

Por ejemplo, si nos fijamos tan sólo en lo que a actualizaciones y
parches se refiere, motivo principal de la campaña STPP, podemos
observar algunos problemas que siguen sin resolver.

- Regresión de vulnerabilidades

Microsoft, en comparación con el resto de plataformas, tiene el
mayor índice de regresión de vulnerabilidades. Es decir, la
instalación de un parche ha provocado en ocasiones que en nuestro
sistema aparezcan vulnerabilidades anteriores ya corregidas.

- Aparición de nuevas vulnerabilidades

En ocasiones se aprovechan los parches de seguridad para incluir
actualizaciones con nuevas funcionalidades, obviamente esto aumenta
el riesgo de aparición de nuevas vulnerabilidades.

- Problemas de inestabilidad

En parte por los puntos anteriores, son muchos los casos detectados
de incompatibilidades o mal funcionamiento del sistema con el
hardware/software ya existente tras haber realizado una actualización
de seguridad, fomentando la máxima "si funciona, no lo toques",
contraria a la propia iniciativa STPP.

- Discriminación según lengua

Otra máxima conocida entre administradores de servidores Windows es
"siempre versión USA". No en vano esta versión es la primera en
disponer de las soluciones a problemas de seguridad críticos, mientras
que el resto de versiones de otros lenguajes deben permanecer
vulnerables durante días, incluso semanas, a la espera de su
correspondiente parche. La propia STPP ha evidenciado este hecho,
con un desfase de meses entre la presentación de la iniciativa en
USA y España, por ejemplo.

En definitiva, la campaña STPP es beneficiosa, si bien debe ser
considerada sólo como un primer paso en la carrera que Microsoft
debe seguir para lograr un mayor grado de seguridad en sus productos.
Esperamos que así sea.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft lanza en España su iniciativa STPP
http://www.hispasec.com/unaaldia.asp?id=1212



lunes, 18 de febrero de 2002

Microsoft lanza en España su iniciativa STPP

Bajo el nombre de Strategic Technology Protection Program (STPP)
Microsoft presenta una iniciativa que pretende mejorar la seguridad de
sus sistemas operativos y su respuesta ante nuevos problemas de
seguridad.
El programa Strategic Technology Protection Program (STPP) es una
iniciativa que fue anunciada en Estados Unidos el pasado mes de octubre
y, después de diversos procesos de adaptación, funciona ya en España.

A través de dos fases consecutivas, denominadas "Get secure" y "Stay
secure", Microsoft proporciona herramientas gratuitas, así como soporte
técnico, a empresas de cualquier tamaño. Primero, para que comprueben
que sus entornos informáticos se encuentren perfectamente "sanos" o, en
caso de no ser así, puedan subsanar los daños que se hubiesen producido;
en segunda instancia, para dotarles de todo lo necesario a fin de que la
seguridad obtenida se prolongue en el tiempo.

La fase "Get Secure" tiene el propósito de asegurar que los clientes
actualizan correctamente sus sistemas desde el punto de vista de la
instalación de actualizaciones de seguridad. Propone como medidas un
teléfono de asistencia gratuita (902 197 198) para ayudar a los clientes
a resolver incidencias originadas por un virus, así como asesoramiento
acerca del modo de instalar actualizaciones de seguridad.

Microsoft también se compromete a publicar de forma sistemática y
bimensual los conjuntos de actualizaciones de seguridad. Cada dos meses,
se ofrecerán todas estas actualizaciones para ser instaladas en un sólo
paso con un único reinicio del equipo. Así se facilitará enormemente la
labor de los administradores de los sistemas

La fase "Stay Secure", se plantea como una segunda parte del STPP mucho
más estratégica y diferenciadora. Su propósito es mantener la seguridad
que los clientes han conseguido con Get Secure y prolongarla en el
tiempo. Esto se pretende conseguir mediante el "Windows Update Corporate
Edition Program", un sistema mediante el cual el administrador tendrá un
control total sobre cómo mantener sus sistemas actualizados, decidiendo
de qué forma quiere instalar la actualización en cada servidor o sistema
de sobremesa (de forma atendida o desatendida, en modo de prueba o no, a
qué hora o durante qué día...).

Microsoft es consciente del gran problema que representa la tardanza en
las actualizaciones de los sistemas desde que se descubre la
vulnerabilidad. Aunque Microsoft publique la actualización de forma
puntual, el mayor problema proviene del tiempo desde que se publica una
actualización hasta que esta se encuentra instalada en todos los
sistemas de los usuarios. Un claro ejemplo se ha podido ver con los
últimos virus, como Nimda o similares, que explotaban vulnerabilidades
corregidas por Microsoft con varios meses de antelación.

Con estas dos fases Microsoft intenta disminuir el tiempo que transcurre
desde que es descubierta la vulnerabilidad hasta que el sistema del
cliente es actualizado, y de esta forma disminuir el riesgo de que los
sistemas resulten dañados.



Antonio Ropero
antonior@hispasec.com



domingo, 17 de febrero de 2002

Parche acumulativo para Microsoft Internet Explorer

Microsoft anuncia la disponibilidad de un parche acumulativo para
Internet Explorer, que incluye la solución a todas las vulnerabilidades
de seguridad conocidas hasta la fecha, así como seis nuevas
vulnerabilidades. Algunas de estas nuevas vulnerabilidades son realmente
críticas.
Este parche, una vez instalado, elimina todas las vulnerabilidades de
seguridad previamente conocidas que afectan a Internet Explorer
(versiones 5.01 - únicamente cuando se ejecuta en Windows 2000--,
5.5 (SP1 y SP2) y 6.0) y descritas en los diferentes boletines que
Microsoft ha ido publicado. Adicionalmente, se aprovecha la publicación
de este parche acumulativo para incluir la solución a seis nuevas
vulnerabilidades.

Es de destacar que diversas de las nuevas vulnerabilidades son
especialmente críticas ya que pueden ser utilizadas para ejecutar código
en la máquina del usuario de Internet Explorer.

El parche ha sido publicado para todos los idiomas soportados por
Internet Explorer.

Aplicando las nuevas normas de Microsoft, la información facilitada
sobre los diferentes problemas es bastante breve y resumida.

* Desbordamiento de memoria intermedia en directiva HTML

Existe un desbordamiento de memoria intermedia en la directiva HTML
utilizada para incorporar un documento dentro de una página web. Esta
vulnerabilidad afecta a Internet Explorer 5.5 y 6.0.

Un atacante puede aprovecharse de esta vulnerabilidad para crear una
página web que invoque la directiva con una serie de atributos
especiales, permitiendo al atacante ejecutar código arbitrario en la
máquina del usuario de Internet Explorer.

Se trata de la vulnerabilidad nueva más crítica solucionada por este
parche acumulativo, ya que puede ser utilizada para la ejecución de
código arbitrario en la máquina del usuario de Internet Explorer sin
conocimiento por parte de éste. La única existencia de esta
vulnerabilidad ya aconseja la instalación del parche.

* Lectura de archivos mediante la función GetObject

Es una vulnerabilidad asociada a la función GetObject. Cuando se pasa
como parámetro un manejador de un archivo representado de una forma
especial, es posible saltarse los mecanismos de protección existentes.
Esto puede ser utilizado por un atacante para acceder al contenido de
los archivos almacenados en el ordenador del usuario de Internet
Explorer.

Esta vulnerabilidad afecta a Internet Explorer 5.01, 5.5 y 6.0.

* Suplantación del nombre de archivo en el cuadro de diálogo de descarga
de archivos

En el momento de iniciar la descarga de un archivo desde una sede web
aparece un cuadro de diálogo que informa el nombre del archivo y
solicita al usuario que acción desea realizar.

Mediante el envío de cabeceras HTML (Content-Type y Content-Disposition)
especialmente formateadas, un atacante remoto puede suplantar el nombre
del archivo de forma que el usuario de Internet Explorer pueda creer que
se trata de un tipo de archivo inofensivo o diferente al que en realidad
se procederá a descargar.

Esta vulnerabilidad afecta a Internet Explorer 5.01, 5.5 y 6.0.

* Invocación de aplicación mediante Content-Type

Esta vulnerabilidad permite a un atacante remoto enviar, dentro de la
cabecera HTML, un campo Content-Type de forma que permita invocar
directamente una aplicación existente en el ordenador del usuario de
Internet Explorer para abrir un archivo que se descarga desde la sede
web del atacante, saltándose los mecanismos de protección del navegador
web.

Esta vulnerabilidad afecta a Internet Explorer 5.01, 5.5 y 6.0.

* Ejecución de scripts

Es una vulnerabilidad que permite al atacante remoto forzar la ejecución
de los scripts almacenados dentro de una página web incluso cuando
Internet Explorer ha sido configurado con el soporte de scripts
deshabilitado.

Esta vulnerabilidad afecta a Internet Explorer 5.5 y 6.0.

* Verificación del dominio en los marcos mediante la función
Document.Open

Se trata de una nueva variante de la vulnerabilidad conocida como "Frame
Domain Verification" y publicada en el boletín MS01-058. Esta
vulnerabilidad permite a un administrador de una sede web maliciosa
abrir dos ventanas del navegador, una en el dominio de la sede web y la
segunda en el sistema de archivos local del usuario de Internet Explorer
y utilizar la función Document.Open para pasar información de esta
segunda ventana a la primera.

Esta vulnerabilidad afecta a Internet Explorer 5.5 y 6.0.



Xavier Caballé
xavi@hispasec.com



sábado, 16 de febrero de 2002

Curso de seguridad Internet en routers Cisco

Nuevo curso del Instituto para la Seguridad en Internet donde los
asistentes obtendrán una amplia visión de las amenazas y riesgos a
los que los routers están sometidos. Además, serán capaces de
implantar las medidas oportunas para minimizar los riesgos y para
realizar un correcto seguimiento de los posibles incidentes.
Motivación

Tradicionalmente la seguridad de las conexiones a Internet se basa
sólo y exclusivamente en la compra e instalación de un cortafuegos.
Los administradores de seguridad expertos saben que la existencia de
un cortafuegos ayuda, pero está muy lejos de ser la solución
definitiva. Se deben configurar de forma adecuada todos los
dispositivos o servidores involucrados en dicha conexión, de forma
continua y profunda.

Los routers suelen situarse en una posición de alto riesgo en las
conexiones a Internet. Normalmente están situados antes del
cortafuegos, con lo que carecen de la protección que tienen el resto
de los sistemas. Esto significa que el tráfico que les llega a ellos
no esta protegido, ni filtrado, ni monitorizado.

Los routers Cisco poseen una gran cantidad de características de
seguridad que permiten al administrador configurarlo de forma correcta
para asegurar su funcionamiento, así como para proteger los sistemas
internos como si de un verdadero cortafuegos se tratara.

A diferencia de los cursos tradicionales que suelen tener una
orientación teórica este curso centra sus contenidos en la realización
de numerosas prácticas sobre los conceptos tratados.

Audiencia

El curso está dirigido a los administradores de comunicaciones que
poseen dispositivos conectados a Internet. Es recomendable para
administradores de sistemas que realicen sus conexiones a Internet a
través de dispositivos Cisco.

Objetivo

Después de la realización del curso los asistentes habrán obtenido una
amplia visión de las amenazas y riesgos a los que los routers están
sometidos. Además, serán capaces de implantar las medidas oportunas
para minimizar los riesgos y para realizar un correcto seguimiento de
los posibles incidentes.

Características generales

La duración del curso es de 15 horas repartidas en 3 sesiones. Se
entrega un manual de documentación en castellano y un CD-ROM con las
numerosas herramientas utilizadas durante el curso.

Cada asistente dispondrá de un router Cisco para realizar las
prácticas de ataque y defensa. A su vez dispondrán de un ordenador
con dos sistemas operativos instalados - Windows 2000 y Linux - para
configurar los routers del aula y realizar los ataques que se explican
en el curso.

Los asistentes realizan ataques reales contra Internet con las mismas
herramientas utilizadas por los intrusos (hackers). Cada aspecto se
plantea inicialmente desde el lado del intruso, una vez comprendido,
se mostrará su posible solución, y lo que es más importante, las
medidas preventivas necesarias para evitarlo.

Requisitos

Conocimientos de la interfaz CLI del IOS Cisco y TCP/IP.



Redacción Hispasec
hispasec@hispasec.com


Más información:

Programa del curso
https://www.hispasec.com/formacion/programacisco.htm

Inscripción
https://www.hispasec.com/formacion/inscripcisco.htm

Otros cursos Seguridad Internet
https://www.hispasec.com/formacion/



viernes, 15 de febrero de 2002

Las cookies tendrán que identificarse en Francia

Una enmienda al proyecto de ley para la reforma de la normativa
informática presentada por tres diputados del PS, obligaría a la
identificación del uso de las cookies en los sitios web alojados en
servidores franceses.
Las cookies son pequeños ficheros de texto mantenidos por el propio
navegador que almacenan información sobre la personalización del
usuario para cada sitio web. Se utilizan para "entrenar" a los
servidores sobre nuestros gustos, hábitos de navegación, o incluso
para almacenar nombres de usuarios y passwords. El principio de diseño
siempre debería ser utilizar las cookies sólo lo imprescindible y
"siempre" informar al navegante de para qué se van a utilizar.

El acceso a los sitios web franceses que utilicen cookies, será
realizado mediante la identificación y posterior aceptación por parte
del usuario de las cookies, para todo ello, estos sitios web deberán
de informar de la utilización de la información recogida por las
cookies. Esta futura legislación se une a la alemana en defensa de la
privacidad de los usuarios.

Los sitios web que no cumplieran esta ley podrían ser sancionados
penalmente con hasta cinco años de prisión y multas que podrían llegar
a 300.000 Euros.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Francia aprueba una enmienda contra las "cookies"
http://www.iactual.com/iActual-Home.cfm?Action=Noticia&IDN=15456

Parlamento Europeo restringe el uso de "cookies"
http://www.aldeaeducativa.com/aldea/Articulo.ASP?which1=954

El parlamento europeo debate el uso de "cookies" y "spam"
http://www.hispasec.com/unaaldia.asp?id=1131

Posibilidad de acceso remoto a datos de las cookies
http://www.hispasec.com/unaaldia.asp?id=1113



jueves, 14 de febrero de 2002

Datos relevantes en la encuesta del CIS

El Centro de Investigaciones Sociológicas ha sacado a la luz datos
relevantes en cuanto a la sensación de falta de seguridad que los
internautas tienen en el uso de Internet.
Un dato importante y esclarecedor, es el que se refiere a la sensación
de falta de seguridad en las comunicaciones por correo electrónico. En
este apartado, los encuestados contestan a la pregunta "¿Piensa que está
garantizada la confidencialidad de sus mensajes con el correo
electrónico?" un 46% opinan que falta seguridad, frente a un 38% que la
encuentran suficiente; esta pregunta sólo fue realizada a usuarios de
correo electrónico.

En general los encuestados, tanto internautas como no, desconfían de
cualquier utilización de sus datos, cuando estos se relacionan con
transacciones económicas, algo que a priori puede resultar lógico.

Algo que a mi entender es muy importante, es el hecho de que hacer la
declaración de la renta por Internet merece una mayor confianza, que
hacer operaciones bancarias por teléfono o enviar un cheque por correo.
Sin ánimo de hacer un estudio sociológico del tema, parece resaltar que
más que en el medio, el internauta desconfía del receptor de los datos y
el uso que hará de ellos.

En otro punto del informe nos encontramos que realizar operaciones
bancarias por Internet ofrece una mayor credibilidad a los usuarios que
dar el número de tarjeta de crédito por teléfono para realizar una
compra. Nuevamente resurge la desconfianza en los receptores de la
información en este caso un operario frente a una "hipotética máquina".

Confianza en operaciones - % mucha o bastante

Pagar en un establecimiento con tarjeta de crédito - 53
Hacer la Declaración de la Renta por Internet - 29
Realizar operaciones bancarias por teléfono - 22
Enviar un cheque por correo - 20
Realizar operaciones bancarias por Internet - 15
Dar el número de su tarjeta por teléfono para hacer compras - 11
Dar el número de su tarjeta por Internet para hacer compras - 8



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Las nuevas tecnologías de la comunicación
http://www.cis.es/boletin/27/tecnologia.htm

Datos de opinión del CIS
http://www.cis.es/boletin/27/index.html



miércoles, 13 de febrero de 2002

"Kernel Panic" en FreeBSD

Las versiones del kernel FreeBSD previas a las revisiones del 2002/01/17
son susceptibles a un ataque local de denegación de servicio sobre la
máquina, produciendo un "Kernel Panic".
FreeBSD es un sistema UNIX perteneciente a la familia *BSD (FreeBSD,
OpenBSD y NetBSD) "Open Source".

El problema reside en una "race condition" entre el borrado de un
fichero y la función "fstatfs()". El problema puede ser explotado por
cualquier usuario local, matando el sistema.

La recomendación es actualizar el kernel FreeBSD a una versión posterior
a las revisiones del 2002/01/17. Si eso no es posible se puede parchear
el kernel directamente, gracias a disponer de su código fuente. El
parche es:




Index: vfs_syscalls.c
===================================================================
RCS file: /home/ncvs/src/sys/kern/vfs_syscalls.c,v
retrieving revision 1.151.2.9
diff -u -r1.151.2.9 vfs_syscalls.c
- --- sys/kern/vfs_syscalls.c 12 Aug 2001 10:48:00 -0000 1.151.2.9
+++ sys/kern/vfs_syscalls.c 16 Jan 2002 22:56:04 -0000
@@ -678,6 +678,8 @@
if ((error = getvnode(p->p_fd, SCARG(uap, fd), &fp)) != 0)
return (error);
mp = ((struct vnode *)fp->f_data)->v_mount;
+ if (mp == NULL)
+ return (EBADF);
sp = &mp->mnt_stat;
error = VFS_STATFS(mp, sp, p);
if (error)






Jesús Cea Avión
jcea@hispasec.com


Más información:

fstatfs race condition may allow local denial of service via procfs
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02%3A09.fstatfs.asc

Parche
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:09/fstatfs.patch



martes, 12 de febrero de 2002

Grave vulnerabilidad en el protocolo SNMP

El mundo de la seguridad se vio sobresaltado ayer por la tarde por una
importante noticia, el descubrimiento de una serie de vulnerabilidades
en la mayoría de implementaciones del protocolo SNMP. El problema es
tal, que cientos de dispositivos, sistemas y fabricantes se ven
afectados.
SNMP (Simple Network Management Protocol) es un protocolo estándar para
la administración de red en Internet. Prácticamente todos los sistemas
operativos, routers, switches, modems cable o ADSL modem, firewalls,
etc. se ofrecen con el servicio SNMP.

En general cualquier fabricante o producto que soporte el protocolo SNMP
puede verse afectado por estos problemas (ordenadores, sisteams
operativos, routers, switches, nodos de acceso, etc.). Estas
vulnerabilidades pueden permitir el acceso a privilegios no autorizados,
ataques de denegación de servicio o provocar comportamientos inestables.

La versión 1 del protocolo SNMP (SNMPv1) define múltiples tipos de
mensajes SNMP que se emplean para petición de información o cambios de
configuración, respuestas de las peticiones, enumeración de objetos SNMP
y envío de alertas. El OUSPG, Grupo de Programación Segura de la
Universidad de Oulu (Finlandia), ha reportado numerosas vulnerabilidades
en las implementaciones SNMPv1 de diferentes dispositivos de un gran
número de fabricantes.

Existe una herramienta diseñada para enviar cientos de eventos de prueba
a los demonios SNMP desde un sistema remoto para descubrir fallos de
programación o vulnerabilidades explotables. Esta herramienta tiene
capacidades para provocar la caída de demonios SNMP y dispositivos
hardware que ejecuten SNMP.

El OUSPG ha desarrollado una suite de aplicaciones bajo el nombre de
PROTOS, diseñada para enviar cientos de pruebas a los demonios SNMP
desde un sistema remoto con el objetivo de descubrir fallos de
configuración o vulnerabilidades explotables. Esta herramienta tiene la
capacidad de provocar la caída de demonios SNMP y dispositivos de
hardware con SNMP.

Si se emplea un sistema con SNMP se recomienda revisar su configuración
y proceder a una correcta configuración del sistema. Estas
vulnerabilidades pueden causar problemas de denegación de servicios,
interrupciones de servicio e incluso permitir al atacante conseguir
acceso sobre el dispositivo afectado.

Como medidas para evitar los problemas se recomienda:

Aplicar el parche correspondiente del vendedor del producto afectado.

Por otra parte se recomienda deshabilitar el servicio SNMP. Si bien en
algunos casos los productos afectados pueden presentar un comportamiento
inesperado o denegaciones de servicio incluso si SNMP no se encuentra
activo.

También se recomienda, como medida temporal para limitar el alcance de
estas vulnerabilidades, bloquear el acceso a los servicios SNMP en la
red perimetral.

Otra medida recomendada es cambiar las "community strings" por defecto.
Esto es debido a que una gran parte de los productos se distribuyen con
"comunities" de acceso sólo lectura como "public" y "private" para
acceso de escritura. Se recomienda cambiar estas cadenas por defecto por
algo a elección del administrador.

En este caso cabe felicitar la labor realizada por el CERT/CC en su aviso
de seguridad, ya que cubre de una forma adecuada todos los fabricantes
afectados y las medidas recomendadas para cada caso. Recomendamos a todos
los administradores que hagan uso de este protocolo consulten dicho aviso
y las páginas de los productos que puedan verse afectados.



Antonio Ropero
antonior@hispasec.com


Más información:

CERT Advisory CA-2002-03
Multiple Vulnerabilities in Many Implementations of the Simple Network
Management Protocol (SNMP):
http://www.cert.org/advisories/CA-2002-03.html

Internet Security Systems Security Alert
http://www.iss.net/security_center/alerts/advise110.php

Aviso de seguridad de Microsoft MS02-006
http://www.microsoft.com/technet/security/bulletin/MS02-006.asp

Cisco Security Advisory: Malformed SNMP Message-Handling Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-malformed-snmp-msgs-pub.shtml

PROTOS - Security Testing of Protocol Implementations
http://www.ee.oulu.fi/research/ouspg/protos/



lunes, 11 de febrero de 2002

Curso de seguridad informática en formato PowerPoint

Disponible una nueva edición del curso de seguridad informática en
diapositivas de Jorge Ramió Aguirre, coordinador de CriptoRed (Red
Temática Iberoamericana de Criptografía y Seguridad de la
Información) y profesor de Seguridad Informática en la Universidad
Politécnica de Madrid.
Además de la actualización e incorporación de nuevos temas,
llegando a un total de 687 diapositivas, cuenta con la novedad de
que el formato es compatible con su impresión en papel.

A continuación incluimos el índice de los 17 temas del curso, entre
paréntesis se indica el número de diapositivas que comprende cada
uno de ellos.

SIcurso.ppt: Presentación del Curso (12)
SItema00.ppt: Una Introducción a la Criptografía (14)
SItema01.ppt: Conceptos Básicos de Seguridad Informática (51)
SItema02.ppt: Calidad de Información y Virus (23)
SItema03.ppt: Seguridad Física (39)
SItema04.ppt: Teoría de la Información (50)
SItema05.ppt: Teoría de los Números (61)
SItema06.ppt: Teoría de la Complejidad (29)
SItema07.ppt: Criptosistemas Clásicos (15)
SItema08.ppt: Introducción a los Criptosistemas Modernos (31)
SItema09.ppt: Cifrado en Flujo con Clave Secreta (40)
SItema10.ppt: Cifrado en Bloque con Clave Secreta (71)
SItema11.ppt: Cifrado con Mochilas de Clave Pública (24)
SItema12.ppt: Cifrado Exponencial (32)
SItema13.ppt: Funciones Hash (29)
SItema14.ppt: Autenticación y Firma Digital (40)
SItema15.ppt: Certificados y Autoridades de Certificación (10)
SItema16.ppt: Correo Electrónico Seguro (68)
SItema17.ppt: Protocolos Criptográficos (48)

El curso puede ser descargado en formado comprimido (2,8 MBytes) desde
CriptoRed en la dirección:

http://www.criptored.upm.es/descarga/SItemas.zip



Bernardo Quintero
bernardo@hispasec.com


Más información:

Libro Electrónico de Seguridad Informática en Diapositivas
http://www.criptored.upm.es/guiateoria/gt_m001a.htm



domingo, 10 de febrero de 2002

Campaña USA para proteger los PCs domésticos

Bajo la bandera de la National Cyber Security Alliance, un grupo de
agencias estatales de los EE.UU. y empresas tecnológicas han lanzado
una campaña para concienciar y educar a los usuarios domésticos en
materia de seguridad informática.
Con un discurso de marcado carácter patriótico, la campaña "Stay Safe
Online" hace un llamamiento a la seguridad de los PCs domésticos y
de pequeñas empresas como pieza fundamental para la protección de la
infraestructura Internet de los EE.UU.

A efectos prácticos la iniciativa deja bastante que desear, al menos
de momento, pues brilla por la escasez y pobreza de sus contenidos,
así como la falta de utilidades y/o servicios gratuitos para que los
usuarios puedan mejorar la seguridad de sus sistemas.

Todo lo que podemos encontrar en http://www.staysafeonline.info/ se
reduce a una encuesta, un glosario de apenas 15 términos y una lista
de 10 recomendaciones básicas sin ningún tipo de detalle concreto
y/o práctico. Esperemos que la iniciativa crezca y no termine aquí
con la publicación de la nota de prensa.

Nada que ver con experiencias similares en España, como la 1ª Campaña
Nacional Anti Virus y especialmente la reciente Campaña de Seguridad
en la Red.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Stay Safe Online
http://www.staysafeonline.info/

Help arrives to improve home PC security
http://zdnet.com.com/2100-1105-832670.html

Campaña Nacional Anti Virus
http://www.sinvirus.com/

Capaña de Seguridad en la Red
http://seguridad.internautas.org/

Campaña Nacional Anti Virus
http://www.hispasec.com/unaaldia.asp?id=629

Finaliza con éxito la Campaña de Seguridad en la Red
http://www.hispasec.com/unaaldia.asp?id=1156



sábado, 9 de febrero de 2002

Manipulación de atributos en OpenLDAP

Las versiones de OpenLDAP previas a la 2.0.20 permiten que un atacante
remoto elimine información de la base de datos.
OpenLDAP es una implementación "Open Source" del estándar LDAP, versión
2 y 3.

Las versiones de OpenLDAP previas a la 2.0.20 contienen una
vulnerabilidad que permite que cualquier usuario autentificado sustituya
el valor del atributo de un objeto por el conjunto vacío. Si estamos
ejecutando OpenLDAP 2.0.7 o inferior, ni siquiera es necesario estar
autentificado para aprovechar la vulnerabilidad.

El problema radica en que OpenLDAP no valida los permisos del usuario
con las reglas de acceso, cuando la operación es la asignación del
conjunto vacío a un atributo de un objeto. Ello permite que cualquier
atacante remoto elimine información de la base de datos, siempre que
esté autentificado.

La solución consiste en actualizar a la versión 2.0.20, o superior, de
OpenLDAP.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Re: unauthorized entity may delete attributes (ITS#1530)
http://www.openldap.org/lists/openldap-bugs/200201/msg00049.html

OpenLDAP 2.0 Security Advisory
http://www.openldap.org/lists/openldap-announce/200201/msg00002.html

OpenLDAP Authenticated User Object Attribute Deletion Vulnerability
http://www.securityfocus.com/bid/3945

OpenLDAP
http://www.openldap.org/



viernes, 8 de febrero de 2002

Desbordamiento de búfer en mIRC

Las versiones de mIRC previas a la 6.0 contienen un desbordamiento de
búfer que permite la ejecución de código arbitrario en la máquina del
cliente.
mIRC es un popularísimo cliente de IRC (Internet Relay Chat) para
entornos Windows.

Las versiones de mIRC previas a la 6.0 contienen un desbordamiento de
búfer en la gestión de cambios de nick propio. Si el cliente mIRC se
conecta a un servidor de IRC malicioso, y éste envía un cambio de nick
de cliente de más de 100 bytes, se produce un desbordamiento de búfer
que permite la ejecución de código arbitrario en la máquina del usuario.

Para poder explotar la vulnerabilidad es preciso conectarse a un
servidor malicioso. Un atacante lo bastante determinado lo puede
conseguir fácilmente, mediante ingeniería social o utilizando una URL
del tipo "irc://" en una página web o en un mensaje de correo en formato
HTML, sobre todo si se utilizar Microsoft Outlook o o Microsoft Internet
Explorer.

Todos los usuarios de mIRC deberían actualizar a la versión 6.0.

Como curiosidad, la versión 6.0 del mIRC muestra los "away" en la
ventana del usuario; si queremos enviar esos mensajes a la ventana de
status, como en las versiones previas de mIRC, podemos definir un
"remote" de la forma:

raw 301:*:/echo -st 3- ¦ haltdef



Jesús Cea Avión
jcea@hispasec.com


Más información:

mIRC Nickname buffer overflow
http://www.uuuppz.com/research/adv-001-mirc.htm

mIRC
http://www.mirc.com/



jueves, 7 de febrero de 2002

Impulso por parte de la abogacía a la "firma digital"

La Comisión permanente del Consejo General de la Abogacía Española
(CGAE), da un fuerte impulso a la firma electrónica, con la creación
del carné digital del letrado.
La implantación de esta firma por parte de la CGAE, no pretende ser la
única que acredite a los abogados ante las administraciones públicas,
pero sí intentará ser reconocida ante todas y cada una de ellas. Con
todo ello se pretende simplificar los actos de presentación de
documentación de los letrados ante las administraciones.

Para conseguir este empeño el Consejo General de la Abogacía Española,
tendrá que erigirse como entidad certificadora. La fecha en la que
estará operativo este servicio no está aún definida, pero se estima
que pudiera ser en varios meses.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

La Abogacía impulsará la "firma digital" de los letrados
http://www.negocios.com/cgi-bin/show_news.pl?fecha=20020204&seccion=civilizacion&orden=d0020

Consejo General de la Abogacía Española
http://www.CGAE.es



miércoles, 6 de febrero de 2002

Divulgación de información con MSN Messenger

El cliente de mensajería instantánea Windows Messenger, también conocido
como MSN Messenger, revela el nombre y los contactos a los usuarios
remotos.
Se ha reportado una vulnerabilidad de divulgación de información en el
cliente de mensajería instantánea Messenger de Microsoft, de forma que
un usaurio remoto puede crear una página web o un e-mail html que
provoque que el Messenger del receptor muestren el nombre y los
contactos.

Un usuario remoto puede crear un javascript que provoque que MSN
Messenger o Windows Messenger divulguen la información personal
almacenada. El atacante podrá conocer el nombre del usuario en Messenger
así como toda su lista de contactos. Si el usuario no ha configurado su
nombre en Messenger ("nombre para mostrar") entonces se recuperará su
dirección de e-mail.

Se ha reportado que ciertos sitios web de Microsoft, así como los
dominios listados en el registro podrán obtener el nombre de usuario y
su dirección e-mail. La lista de dominios que tienen completo acceso a
la funcionalidad de Messenger se encuentra localizada en la clave del
registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MessengerService\Policies\Suffixes
con valores "Suffix0", "Suffix1", etc.

La única forma que el usuario tiene de evitar que accedan a su
información personal es abandonar Messenger antes de visitar la página
web maliciosa.



Antonio Ropero
antonior@hispasec.com


Más información:

Windows Messenger (aka MSN Messenger) Instant Messaging Client
Discloses Display Name and Contacts to Remote Users
http://securitytracker.com/alerts/2002/Feb/1003436.html



martes, 5 de febrero de 2002

Compromiso remoto del servidor Oracle 9iAS

Se han detectado múltiples desbordamientos de búfer en el módulo PL/SQL
del servidor de aplicaciones Oracle 9iAS con servidores web Apache.
Estos problemas pueden ser explotados por un atacante para lograr la
ejecución de código en el sistema vulnerable.
El servidor de aplicaciones Oracle 9i incluye el servidor web Apache y
y soporte para entornos de aplicaciones como SOAP, PL/SQL, XSQL y JSP.
Pero se han detectado múltiples vulnerabilidades de desbordamiento de
búfer en el módulo PL/SQL de Apache que pueden permitir la ejecución
de código arbitrario.

El módulo PL/SQL existe para permitir a los usuarios remotos efectuar
llamadas a procedimientos exportados por un paquete PL/SQL almacenado en
el servidor de base de datos. Este módulo puede desbordarse al efectuar
una petición de gran tamaño al módulo plsql; al establecer una password
demasiado larga en la cabecera de autorización HTTP del cliente; con un
nombre de directorio de cache excesivamente largo en el formulario de
cache o al fijar una contraseña larga en el formulario adddad.

Algunos de estos ataques requieren que el usuario malicioso conozca el
nombre de la ruta de administración (adminPath), mientras que otros no
lo precisan.

En sistemas Windows NT/2000 el servidor web Apache de Oracle se ejecuta
por defecto en el contexto de la cuenta del sistema, por lo que si el
atacante logra ejecutar código en el servidor lo hará con todos los
privilegios posibles.

Oracle ha publicado un parche para evitar este problema que los usuarios
registrados podrán descargar desde su sitio Metalink
(http://metalink.oracle.com).



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de NGSSoftware
http://www.nextgenss.com/advisories/oraplsbos.txt



lunes, 4 de febrero de 2002

Denegación de servicio remota en BlackICE

Se ha detectado una vulnerabilidad de denegación de servicio que podrá
permitir a atacantes remotos desestabilizar o provocar el fallo de los
productos de cortafuegos y de detección de intrusos BlackICE Defender,
BlackICE Agent y RealSecure Server Sensor.
Todas las versiones actuales de BlackICE Defender, BlackICE Agent y
RealSecure Server Sensor bajo Windows 2000 o Windows XP pueden ser
desactivadas de forma remota mediante un ataque modificado de ping
flood. La vulnerabilidad está causada por un fallo en las rutinas
empleadas para capturar los paquetes transmitidos. Un atacante puede
llegar a sobreescribir la memoria de tal forma que el motor de estos
programas falle o se comporte de una manera impredecible.

El riesgo de esta vulnerabilidad para los entornos corporativos es
mínimo, debido a que la mayoría de firewalls corporativos ya bloquean el
tráfico ICMP desde direcciones Ips externas. Es muy improbable que los
sistemas localizados tras un cortafuegos corporativo se vean afectados
por ataques basados en ICMP.

Las versiones afectadas por este problema son las siguientes:

BlackICE Defender 2.9 en Microsoft Windows 2000 y XP
BlackICE Defender for Server 2.9 en Microsoft Windows 2000 y XP
BlackICE Agent for Workstation 3.0 y 3.1 en Microsoft Windows 2000 y XP
BlackICE Agent for Server 3.0 y 3.1 en Microsoft Windows 2000 y XP
RealSecure Server Sensor 6.0.1 y 6.5 en Microsoft Windows 2000

Se recomienda instalar las actualizaciones para estos sistemas tan
pronto como estas estén disponibles. Los usuarios de BlackICE Defender
podrán instalar las actualizaciones accediendo al menú "Tools", y la
opción "Download Updates". Los usuarios corporativos de BlackICE Agent
pueden instalar las actualizaciones de forma centralizada mediante
ICEcap Management Console, o de forma manual en los sistemas
individuales.



Antonio Ropero
antonior@hispasec.com


Más información:

ISS. Remote Denial of Service Vulnerability in BlackICE Products
http://xforce.iss.net/alerts/advise109.php

ISS X-Force. BlackICE Defender ping flood denial of service
http://xforce.iss.net/static/8058.php

ISS Download Center
(para actualizaciones de BlackICE Agent yRealSecure Server Sensor)
http://www.iss.net/eval/eval.php

BlackICE Product Download page
(para actualizaciones de BlackICE Defender)
http://www.networkice.com/downloads/index.html



domingo, 3 de febrero de 2002

Fallo de verificación de usuarios en los dominios de confianza

Microsoft publica el primer boletín de seguridad del año 2002 para hacer
frente a un problema existente en las relaciones de confianza en los
servidores Windows NT y Windows 2000.
Las relaciones de confianza se crean entre dominios Windows NT o Windows
2000 para permitir a los usuarios de un dominio acceder a los recursos
de otros dominios sin necesidad de que sea necesario autenticarse de
forma separada en cada dominio.


Cuando un usuario en un dominio en el que se confía accede a un recurso
de un dominio de confianza, el dominio en el que se confía proporciona
los datos de autorización en forma de una lista de Identificadores de
Seguridad (Security Identifiers, SIDs) que indican la identidad del
usuario y los grupos a los que pertenece. Los dominios de confianza
emplean estos datos para determinar cuando deben permitir la petición
del usuario.


Existe una vulnerabilidad debido a que los dominios de confianza no
verifican que el dominio en que confían está autorizado actualmente para
todos los SIDs existentes en los datos de autorización. Si uno de estos
SIDs en la lista identifica a un usuario o grupo que no se encuentra en
el dominio en que se confía, el dominio de confianza podrá aceptar la
información y usarla para subsiguientes decisiones de control de acceso.


Si un atacante inserta SIDs de su elección en los datos de autorización
al dominio de confianza, podrá conseguir elevar sus privilegios a
aquellos asociados con cualquier usuario o grupo, incluido el grupo de
Administradores de Dominio, en el dominio de confianza. Esto podrá
permitir a un atacante lograr acceso total de Administrador de Dominio.


Explotar esta vulnerabilidad puede ser difícil, y en primer lugar
requiere privilegios de administración en el dominio en que se confía,
así como llevar a cabo la modificación a bajo nivel de las estructuras
de datos y funciones del sistema.


Microsoft ha desarrollado un mecanismo que bajo el nombre de "SID
Filtering" elimina esta vulnerabilidad y añade una mayor protección
entre los dominios de confianza. Cuando se encuentra instalado y
activado en los controladores de dominio de un dominio de confianza, SID
Filtering hace que el sistema inspeccione todos los datos de
autorización entrantes y elimine todos los SIDs que no identifiquen a un
usuario o grupo de seguridad definido en el dominio confiable.


El parche para Windows NT 4.0 Server se encuentra incluido en el Windows
NT 4.0 Security Roll-Up Package disponible en:
http://www.microsoft.com/downloads/release.asp?ReleaseID=31240


El parche para Windows 2000 Server se encuentra incluido en el Windows
2000 Security Roll-up Package 1 disponible en
http://www.microsoft.com/windows2000/downloads/critical/q311401/default.asp





Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS02-001)
Trusting Domains Do Not Verify Domain Membership of SIDs in
Authorization Data
http://www.microsoft.com/technet/security/bulletin/ms02-001.asp



sábado, 2 de febrero de 2002

Revelación remota de archivos con MRTG

Se ha descubierto una vulnerabilidad en MRTG por la cual un atacante
remoto podría obtener acceso a archivos del sistema incluido el archivo
de passwords.
Multi Router Traffic Grapher, también conocido como MRTG es un sistema
de monitorización de red, ideal para controlar y observar los consumos
de red de diferentes usuarios y aplicaciones.

Se ha descubierto una vulnerabilidad en el script cgi por la que no
valida de forma adecuada la entrada del usuario. El usuario remoto podrá
acceder a visualizar la primera cadena de cualquier archivo en el
sistema donde el script se encuentre instalado.

Se ha informado que las siguientes URLs pueden provocar la
vulnerabildiad:

http://[target]/cgi-bin/14all.cgi?cfg =../../../../../../../../etc/passwd
http://[target]/cgi-bin/14all-1.1.cgi?cfg=../../../../../../../../etc/passwd
http://[target]/cgi-bin/traffic.cgi?cfg=../../../../../../../../etc/passwd
http://[target]/cgi-bin/mrtg.cgi?cfg=../../../../../../../../ etc/passwd

Según el informe original de la vulnerabilidad se proporciona la
siguiente contramedida para evitar el problema:
$input =~ s/[(\.\.)¦\/]//g;



Antonio Ropero
antonior@hispasec.com


Más información:

Security tracker:
http://securitytracker.com/alerts/2002/Feb/1003426.html



viernes, 1 de febrero de 2002

Interesante actualización para Windows 2000

Bajo el nombre de Windows 2000 Security Rollup Package 1 (SRP1)
Microsoft distribuye, una actualización que incluye todas las
actualizaciones de seguridad publicadas desde la distribución del
Service Pack 2 para Windows 2000.
Windows 2000 Service Pack 2 (SP2) fue publicado el 16 de mayo de 2001.
Esta actualización requiere la instalación previa del Service Pack 2
para Windows 2000.

SRP1 incluye todas las actualizaciones de seguridad posteriores a SP2
distribuidas a través de Boletines de Seguridad Microsoft. Además
incluye un pequeño número de actualizaciones que no han llegado a ser
discutidas con anterioridad. Estas pequeñas actualizaciones no ofrecen
un peligro inmediato para los sistemas, por lo que Microsoft incluye
dichas actualizaciones dentro del SRP en vez de los habituales boletines
de seguridad. En total incluye 43 actualizaciones.

El SRP1 tiene un tamaño de 17 Megas y está disponible en todos los
idiomas en la dirección:
http://www.microsoft.com/windows2000/downloads/critical/q311401/



Antonio Ropero
antonior@hispasec.com


Más información:

Windows 2000 Security Rollup Package
http://www.microsoft.com/windows2000/downloads/critical/q311401/

Microsoft Knowledge Base (KB) Article Q311401
http://support.microsoft.com/support/misc/kblookup.asp?ID=311401