martes, 30 de abril de 2002

Retirada del borrador de RFC sobre publicación de vulnerabilidades

Los promotores del borrador de RFC "Responsible disclosure of security
vulnerabilities" del IETF lo han retirado por considerarlo demasiado
político y alejado de los protocolos técnicos, ámbito principal del
IETF.
El documento pretendía definir unas normas de conducta homogéneas en
cuanto a la manera de advertir a los fabricantes sobre vulnerabilidades
en sus productos, tanto software como hardware. La propuesta ha tenido
una gestación muy difícil, dados los intereses contrapuestos entre los
miembros de la comunidad que creen que cuanto antes se conozca un
problema antes se podrá solucionar, y la industria que desea que sus
errores sean lo menos conocidos y publicitados posible.

Entre otras secciones conflictivas, la propuesta pedía a las partes que
no difundiesen información sobre vulnerabilidades, ni mucho menos código
que permitiese explotarlas (comúnmente conocido como "exploits"). En la
práctica ello supone que los usuarios finales y la comunidad de
seguridad no tendrían ni el conocimiento del problema, ni los medios
para verificarlo o, llegado el caso, comprobar que el parche publicado
por el fabricante lo soluciona adecuadamente.

Según numerosos expertos, el documento propuesto apunta ideas
interesante, muchas de ellas necesarias, pero realiza demasiadas
"sugerencias" y fija pocos "requisitos", lo que hace factible que un
fabricante, por ejemplo, retrase los detalles de una vulnerabilidad en
su software de forma indefinida, con los riesgos evidentes que ello
supone para sus usuarios.

Existen varios código éticos para la comunicación de vulnerabilidades
informáticas, evidentemente todos ellos de cumplimiento voluntario y
puramente orientativos. En la recopilación de enlaces, al final de este
texto, se muestran varios ejemplos.

A principios de Abril, Hispasec, a través de una al día, publicó un
interesante comentario titulado 'La trastienda del "full disclosure"',
que resumen bastante acertadamente las diferentes opciones a valorar
en el mundo de la seguridad informática. El boletín está más de
actualidad que nunca con el anuncio de la retirada de este borrador.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Information Anarchy? One Simple Solution
http://www.infosecnews.com/opinion/2002/02/27_02.htm

Setback for security through obscurity scheme
http://www.theregister.co.uk/content/55/24482.html

Security-flaw guidelines hit pothole
http://news.com.com/2100-1001-862994.html?tag=cd_mh

Security Through Obscurity Considered Dangerous
http://www.ietf.org/internet-drafts/draft-ymbk-obscurity-00.txt

04/04/2002 - La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia.asp?id=1257

Full Disclosure Policy (RFPolicy) v2.0
http://www.wiretrip.net/rfp/policy.html

Full Disclosure
http://rr.sans.org/hackers/disclosure.php

The CERT/CC Vulnerability Disclosure Policy
http://www.kb.cert.org/vuls/html/disclosure



lunes, 29 de abril de 2002

Definición del estándar Intrusion Detection Exchange Protocol

Se crea un grupo de trabajo para la definición de un estándar para
"Intrusion Detection Exchange Protocol (IDXP)".
El IETF (Internet Engineering Task Force), uno de los organismos
fundamentales en el diseño de estándares en Internet, está trabajando en
una propuesta de estándar para el intercambio de información entre
sistemas detección de intrusiones informáticas.

La IETF es un grupo informal de expertos conformados en grupos de
trabajo con temáticas y objetivos concretos. Tanto la creación de grupos
de trabajo como su composición es completamente libre. De hecho
cualquier usuario de Internet puede suscribirse a las listas de correo
de un grupo de trabajo y, a todos los efectos, pasar a formar parte del
mismo. En ese sentido la experiencia de los años ha demostrado que la
IETF es muy eficiente, se elaboran estándares de forma rápida, que estos
son realmente implementables y que la carga política que puede suponer
el tener participantes que pertenezcan a grandes corporaciones de peso
se contrarresta con facilidad.

Actualmente los documentos son borradores, aunque empieza a haber
consenso para darlos por completados. En ese momento pasarán a ser una
propuesta de estándar, que será ratificada tras haber evaluado dos
implementaciones independientes de la tecnología.

Las personas y empresas responsables de desarrollos en sistemas de
detección de intrusiones (IDS) no deberían perder la oportunidad de
participar en la elaboración de este futuro estándar.



Jesús Cea Avión
jcea@hispasec.com


Más información:

The Intrusion Detection Exchange Protocol (IDXP)

draft-ietf-idwg-beep-idxp-04


http://www.ietf.org/internet-drafts/draft-ietf-idwg-beep-idxp-04.txt



domingo, 28 de abril de 2002

Problemas de seguridad en el servidor web Tomcat

Se ha conocido una vulnerabilidad por la cual un atacante podría
conocer la ruta completa del servidor web Tomcat.
El servidor web Tomcat es sin duda una de las herramientas más usadas
y estimadas del mundo Java. Este contenedor de servlet y JSP (Java
Server Pages) es la implementación de referencia de dichas
especificaciones.

En el caso que nos ocupa, este problema de seguridad es ocasionado
por la instalación por defecto de Tomcat de un directorio de ejemplos
para usuarios. Este directorio contiene archivos del tipo JSP y servlet,
en esta localización se encuentran dos servlets, el snoopServlet y el
TroubleShooter los cuales son los que tras una petición permitirán
conocer la ruta del contenedor de servlets y JSP y el sistema operativo
por el que corre Tomcat.

Como solución a este problemas se recomienda la eliminación de los
archivos (SnoopServlet.class y TroubleShooter.class) en el directorio
"TOMCAT_HOME\webapps\examples\WEB-INF\classes".

Exploit:

http://localhost:8080/examples/servlet/SnoopServlet
http://localhost:8080/examples/servlet/TroubleShooter

Los Servlets se diferencian de los Applets básicamente en que se
ejecutan en el servidor y en que no presentan ningún tipo de interfaz
gráfica puesto que están totalmente controlados por un servicio de red
como pudiera ser un servidor Web.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Tomcat real path disclosure
http://company.chinansl.com/english/hole2.htm

The Jakarta Project
http://jakarta.apache.org/tomcat

Introduction to JSP
http://developer.iplanet.com/viewsource/kuslich_jsp/kuslich_jsp.html

PROGRAMACION DE SERVLETS
http://java.programacion.net/taller/wmlservlet.php

Servlets y JSP
http://www.java.programacion.net/servlets_jsp



sábado, 27 de abril de 2002

Documento sobre firma electrónica en el Derecho privado

El doctor Don Luis Fajardo López, profesor asociado de Derecho civil de
la Universidad de Gerona, acaba de publicar un interesante documento
titulado "la firma electrónica en el Derecho privado".El artículo, escrito en un tono accesible y conciso, fue publicado en el
número 5 de la Revista Jurídica de la Universidad Autónoma de Madrid.

El documento comienza definiendo el concepto de firma electrónica y sus
fundamentos técnicos, perspectiva histórica, certificaciones y
privacidad. Seguidamente se ofrece una perspectiva jurídica, tanto a
nivel de la Unión Europea como organización, como casos concretos de
países como Alemania y España. Se analiza detalladamente, su valor legal
probatorio en las diferentes legislaciones comunitarias.

Un documento de lectura obligada para los interesados en la criptografía
y su impacto legal. Está disopnible en lengua española, en formato PDF
y HTML.



Jesús Cea Avión
jcea@hispasec.com


Más información:

La firma electrónica en el Derecho privado


http://www.fajardolopez.com/materiales/der-ntec.html

La firma electrónica en el Derecho privado


http://www.kriptopolis.com/net/article.php?sid=459



viernes, 26 de abril de 2002

Concurso de hacking de aplicaciones Web

El Instituto Seguridad Internet (http://www.instisec.com/) ha creado
el I Reto de Autenticación Web, cuyo objetivo consiste en poner a
prueba las habilidades de los concursantes para saltarse los
mecanismos de autenticación en aplicaciones Web desplegadas en
Internet.
Este reto persigue fines puramente didácticos y pretende poner de
manifiesto cuáles son los errores más comunes en los mecanismos de
autenticación habilitados en las aplicaciones Web, con el fin de que
los desarrolladores de aplicaciones y administradores de sistemas
sean conscientes de los riesgos de una programación deficiente.

No se trata por tanto de otro reto más para "demostrar" las bondades
de un producto, protocolo o algoritmo, a los que muchas compañías y
organizaciones que comercializan productos de seguridad nos tienen
acostumbrados. Se trata por el contrario de un concurso eminentemente
lúdico, donde cada uno debe demostrar sus habilidades y
conocimientos. Todas las pruebas se realizan contra un servidor
habilitado al efecto, www.boinasnegras.com, por lo que no se producen
daños a terceros.

La participación en el reto es completamente libre y gratuita. No
obstante, para concursar y optar a los premios se deben aceptar las
condiciones del reto.



Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es


Más información:

Boinas Negras - Reto de Autenticación Web
http://www.boinasnegras.com

Instituto Seguridad Internet
http://www.instisec.com

Criptonomicón
http://www.iec.csic.es/criptonomicon



jueves, 25 de abril de 2002

¿Infectado por "Klez.x"? Hora de cambiar de antivirus

La última variante del gusano "Klez" está causando furor desde la
semana pasada, alcanzando unas cifras de infecciones muy
significativas. Antes de que viera la luz esta nueva versión ya
existían técnicas para detectarlo de forma genérica, sin necesidad de
actualizaciones de última hora. Si aun teniendo un antivirus se vió
infectado por "Klez.x" de forma automática, tal vez sea hora de
plantearse un cambio de producto.
Puede llamar la atención de algunos lectores la "x" que he utilizado
en el "apellido" de esta versión de "Klez", pero ante la diversidad
de criterio de las casas antivirus, en lo que a nomenclatura se
refiere, he preferido no decantarme por ninguna de las letras
utilizadas. Es decir, cambie la "x" por "G", "H", "I" o "K", al fin
y al cabo, el nombre es lo de menos.

Aunque a día de hoy cualquier antivirus actualizado lo detecta, no
sucedió lo mismo en los primeros momentos de propagación, como suele
ocurrir cuando aparece un virus de nueva creación o variante. Dejando
a un lado la detección heurística, capaz de lo mejor y lo peor,
existe una forma muy fácil de reconocer e impedir la acción de este
tipo de gusanos.

¿Qué tienen en común, entre otros, gusanos tan extendidos como
BadTrans, Nimda o el propio Klez.x? Todos aprovechan vulnerabilidades
para forzar la ejecución, y por tanto infección, automática, sin
necesidad de que el usuario abra o ejecute un archivo, sin duda la
característica que los ha dotado de mayor poder de propagación.

Más curioso aun resulta que los tres gusanos nombrados, protagonistas
de verdaderas epidemias, explotan la misma vulnerabilidad para forzar
la ejecución automática en el cliente de correo Outlook Express
(Nimda, además de ésta, aprovecha otras vulnerabilidades para infectar
servidores IIS).

La cosa se agrava si tenemos en cuenta que la vulnerabilidad en
cuestión data de marzo de 2001, y que es muy fácil de detectar
analizando el mensaje de correo electrónico. Basta con mirar si una
cabecera MIME hace referencia a un programa ejecutable que simula ser
un formato confiable, por ejemplo un archivo de audio.

Aunque para los menos iniciados pueda sonar complicado, vamos a ver
algunos ejemplos reales de las cabeceras utilizadas por estos gusanos
para comprobar los elementos comunes, lo que convierte en trivial su
detección por cualquier antivirus para clientes, e incluso a través
de un sencillo filtro en el servidor de correo:

BadTrans-> Content-Type: audio/x-wav;
name="news_doc.DOC.scr"

Nimda-> Content-Type: audio/x-wav;
name="readme.exe"

Klez.x -> Content-Type: audio/x-wav;
name=200).exe

En definitiva, desde marzo de 2001 todos los antivirus podrían haber
detectado de forma genérica cualquier e-mail donde viaje un gusano
que intenta explotar esta vulnerabilidad del Outlook Express, para
lograr la ejecución de forma automática. Lo fácil de su detección y
lo crucial que resulta para la seguridad del usuario convierten a
este tipo de detección de ataques o "exploits" en un requisito
exigible e imprescindible en un buen antivirus.

Hay que decir que algún que otro antivirus ya cuentan con este tipo
de detecciones, sólo cabe esperar que no detecten esta noticia como
un gusano o intento de exploit por contener los anteriores ejemplos.
Si bien, dejaremos la problemática de los falsos positivos para otra
entrega.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Win32.Klez.H@mm (BitDefender)
http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=82

Win32.Klez.H (CAi)
http://www3.ca.com/solutions/collateral.asp?CT=65&ID=1705

Klez.H (F-Secure)
http://www.f-secure.com/v-descs/klez_h.shtml

Klez.H is Capable of Revealing Confidential Information (Kaspersky)
http://www.kaspersky.com/news.html?id=570164

W32/Klez.h@MM (McAfee)
http://vil.mcafee.com/dispVirus.asp?virus_k=99455

W32/Klez.G@mm (Norman)
http://www.norman.com/virus_info/w32_klez_g_mm.shtml

W32/Klez.I (Panda Software)
http://www.pandasoftware.es/enciclopedia/W32KlezI_SOLU.htm

Sybari reports KLEZ.H (Sybari)
http://www.sybari.com/home/pressrelease.asp?id=1019157407

W32.Klez.H@mm (Symantec)
http://www.sarc.com/avcenter/venc/data/w32.klez.h@mm.html

WORM_KLEZ.G (Trend Micro)
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.G

W32/Klez.h (VirusAttack)
http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=451

W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas! (VSantivirus)
http://www.vsantivirus.com/klez-h.htm



miércoles, 24 de abril de 2002

Vulnerabilidad SNMP en impresoras HP JetDirect

Las impresoras HP JetDirect se cuelgan o imprimen páginas con basura
cuando reciben un paquete SNMP ilegal.
Las impresoras HP JetDirect son impresoras en red que no necesitan estar
conectadas a ninguna máquina determinada.

Una buena implementación de red ignoraría cualquier datagrama SNMP
ilegal, pero con el "firmware" actual de estos equipos, la impresora se
queda bloqueada o imprime páginas con basura. El problema solo se
resuelve apagando la impresora y volviéndola a encender.

Debido a que el problema radica en el "firmware" instalado en la propia
impresora, la única solución consiste en filtrar los datagramas SNMP
dirigidos a las mismas provenientes de redes externas (puerto UDP 161 y
162), y cruzar los dedos para que no haya usuarios maliciosos dentro de
la propia red local.

Las versiones del "firmware" afectadas son, al menos, las "HP JetDirect
x.08.32".


Se informa, en general, de la extrema fragilidad de este "firmware", que
parece fallar bajo cualquier situación mínimamente anormal, provocable
de forma remota y, en muchas ocasiones, de forma accidental.

HP no ha publicado aún ninguna actualización del sistema operativo de la
impresora. De momento no hay otra salida que unos buenos filtros
perimetrales, aunque ello no limita posibles ataques internos.



Jesús Cea Avión
jcea@hispasec.com


Más información:

HP JetDirect SNMP Denial of Service Vulnerability
http://online.securityfocus.com/bid/4134

CERT® Advisory CA-2002-03 Multiple Vulnerabilities in Many
Implementations of the Simple Network Management Protocol (SNMP)
http://www.cert.org/advisories/CA-2002-03.html



martes, 23 de abril de 2002

Actualización de seguridad para CVS

Las versiones de CVS previas a la 1.11.1p1 son susceptibles a un ataque
de denegación de servicio y, posiblemente, a la ejecución de código
arbitrario en el servidor.
CVS (Concurrent Versions System) es un sistema de control de versiones,
muy utilizado para coordinar cambios en ficheros modificables por
usuarios distribuidos geográficamente, ya sea código fuente como
documentación y otros documentos. CVS es el sistema de control de
versiones más popular en entornos Open Source, y está disponible para
numerosos sistemas operativos, incluyendo las variantes Unix y MS
Windows.

Las versiones de CVS previas a 1.11.1p1 son susceptibles a un ataque de
denegación de servicio y, posiblemente, a la ejecución de código
arbitrario en el servidor.

El problema se localiza en el uso de una variable global no inicializada
correctamente, por lo que puede llegar a ser utilizada por el programa
conteniendo un valor indeterminado. En el mejor de los casos, el
servidor CVS morirá. En el caso peor, se puede llegar a ejecutar código
arbitrario en el servidor.

La recomendación es actualizar a la versión 1.11.1p1 de CVS o superior.
La versión 1.11.2 de CVS se acaba de publicar hace apenas unas horas.

Se puede comprobar si tenemos una versión vulnerable del sistema CVS
ejecutando el comando "cvs -f diff -C1111111111111 fichero", donde
"fichero" es algún fichero que estemos gestionando a través de CVS y que
contenga algún cambio respecto al almacén CVS. Si el comando falla,
tenemos una versión vulnerable.

Por ejemplo:

# cvs -f diff -C111111111111 z4
Index: z4
===================================================================
RCS file: /opt/src/cvsroot/olimpo/z4,v
retrieving revision 1.6
diff -C111111111111 -r1.6 z4
Terminated with fatal signal 11
#



Jesús Cea Avión
jcea@hispasec.com


Más información:

CVS
http://www.cvshome.org/

DSA-117-1 cvs -- improper variable initialization
http://www.debian.org/security/2002/dsa-117

CVS Server Global Variable Denial Of Service Vulnerability
http://online.securityfocus.com/bid/4234



lunes, 22 de abril de 2002

Vulnerabilidad en el sistema de ficheros XFS de IRIX

Las versiones de IRIX previas a la 6.5.12 contienen una importante
vulnerabilidad en la gestión del sistema de ficheros XFS.
IRIX es la versión UNIX desarrollada por SGI (antes Silicon Graphics)
para sus estaciones de trabajo y servidores UNIX. XFS es un sistema de
ficheros transaccional de altas prestaciones, incluido de serie a partir
de la versión 6.5.* del sistema operativo IRIX.

Las versiones de IRIX previas a la 6.5.12 contienen una vulnerabilidad
que permite que cualquier usuario pueda crear un fichero que mata a
cualquier proceso que intente acceder a él, lo que puede provocar un
ataque DoS (Denegación de Servicio) de forma simple.

La recomendación de SGI es actualizar el sistema operativo a la versión
6.5.12 o superior. En todo caso SGI publica parches para versiones
previas del sistema operativo.



Jesús Cea Avión
jcea@hispasec.com


Más información:

IRIX XFS filesystem denial of service attack
ftp://patches.sgi.com/support/free/security/advisories/20020402-01-P



domingo, 21 de abril de 2002

Inseguridad en cámaras inalámbricas

La mayoría de las cámaras inalámbricas del mercado son accesibles por
cualquier curioso con un nivel de conocimientos y medios mínimos.
En los últimos meses se ha popularizado enormemente el uso de cámaras
inalámbricas (de imagen fija y de televisión), típicamente con fines de
vigilancia privada, control de niños de corta edad y similares. Lo que
muchos usuarios no saben es que la imagen transmitida por la mayoría de
estas cámaras es accesible para cualquier curioso con un mínimo de
experiencia y conocimientos.

A los riesgos inherentes a que cualquier curioso a 300-500 metros de la
cámara pueda captar sus imágenes sin ningún problema ni equipo especial,
se une el hecho de que muchas de esas cámaras pueden controlarse de
forma remota para hacer zoom, orientarlas, etc.

Dejando a un margen los problemas más que evidentes de privacidad y
seguridad, el que muchas de estas cámaras puedan ser reorientadas de
forma remota permite, por ejemplo, que un ladrón pueda enfocar la cámara
que protege una puerta o una habitación, hacia el suelo o el techo,
convirtiéndola en una protección inútil. Tampoco se puede despreciar las
inmensas posibilidades que brindan estas cámaras para que sean
utilizadas como vigilancia por parte de los individuos de los que
precisamente queremos protegernos.

El problema de este tipo de cámaras es que las que utilizan tecnología
analógica se pueden recibir con cualquier televisor y una antena formada
por un par de metros de alambre, y las que son digitales se pueden
interceptar con cualquier portátil dotado de una tarjeta de red
inalámbrica. No se utiliza ningún mecanismo de cifrado o
autenticación.

Aunque este tipo de dispositivos sean indudablemente útiles para, por
ejemplo, vigilar niños pequeños (o a su niñera...) desde el trabajo y a
través de Internet, resulta muy preocupante comprobar que la seguridad
de estos equipos no está siendo considerado un factor de venta ni por
los fabricantes ni, más tremendo, por los propios consumidores.

Hoy es fácil recorrer ciertas urbanizaciones de Madrid y recibir más de
media docena de imágenes de "cámaras de seguridad" y de alguna que
otra guardería.

Ya existen precedentes similares, como los teléfonos inalámbricos
anteriores a la época CELP, pero las posibilidades de una cámara
disponible 24 horas al día y orientable por un atacante son,
sencillamente, inimaginables.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Artículo del New Yok Times
http://www.nytimes.com/2002/04/14/technology/14SPY.html

War Driving Version 2.0
http://slashdot.org/article.pl?sid=02/04/13/1838221



sábado, 20 de abril de 2002

Vulnerabilidad en los privilegios de usuario en Oracle9i

Se ha descubierto una vulnerabilidad en Oracle9i Database Server por la
cual un usuario malicioso puede obtener acceso no autorizado a datos en
el servidor de base de datos Oracle9i.
El problema reside en la posibilidad de crear un usuario en la base de
datos con privilegios limitados de forma que pueda acceder a datos
privilegiados mediante el uso de consultas SQL con outer joins. De esta
forma el atacante podrá conseguir datos que se encuentren almacenados en
la base de datos.

Esta vulnerabilidad sólo afecta a Oracle9i, ninguna de las versiones
anteriores de Oracle se ven afectadas. Oracle 9i incluye el incluye la
nueva sintaxis outer join de ANSI. Oracle continúa soportando la antigua
sintaxis SQL pero en la nueva sintaxis existe un problema de seguridad
que permite a cualquier usuario la visualización de los datos del
servidor.

Oracle ofrece un parche para cubrir esta vulnerabilidad bajo el número
de bug 2121935 disponible en http://metalink.oracle.com



Antonio Ropero
antonior@hispasec.com


Más información:

Securiteam:
http://www.securiteam.com/securitynews/5PP0L0A6UO.html

Aviso de seguridad de Oracle:
http://otn.oracle.com/deploy/security/pdf/sql_joins_alert.pdf



viernes, 19 de abril de 2002

Vulnerabilidad en Microsoft SQL Server 7.0 y 2000

Esta nueva vulnerabilidad que afecta a SQL Server en sus versiones
7.0 y 2000 permite a un atacante la realización de un ataque de
desbordamiento de bufer. Con esto conseguirá la caída del servicio
e incluso la ejecución de código en el contexto de seguridad en
el que se ejecute SQL Server.
El problema reside en los procedimientos almacenados extendidos
incluidos en SQL Server 7.0 y 2000. Un gran número de estos
procedimientos, tienen un fallo en la validación de entradas lo que
los hace susceptibles a desbordamientos de bufer.

El atacante podrá explotar esta vulnerabilidad de dos formas. En una
primera forma, el atacante intentará cargar y ejecutar una consulta a
una base de datos que llame a una de las funciones afectadas. La
segunda forma, a través de un sitio web u otro entorno o front-end
configurado para acceder y procesar consultas arbitrarias que pueda
provocar que la consulta efectúe una llamada a una de las funciones
en cuestión con los parámetros apropiados. SQL Server puede
configurarse para que se ejecute en diferentes contextos de seguridad.

El servidor del SQL se puede configurar para funcionar en un contexto de
seguridad elegido por el administrador. Por defecto, este contexto está
como usuario del dominio. Si el administrador ha seguido una política
restrictiva de privilegios, reducirá al mínimo la cantidad de daño que
un atacante podrá alcanzar.

Para evitar los efectos de esta vulnerabilidad Microsoft proporciona un
parche que puede descargarse de las siguientes direcciones:

Microsoft SQL Server 7.0:
http://support.microsoft.com/support/misc/kblookup.asp?id=Q318268

Microsoft SQL Server 2000:
http://support.microsoft.com/support/misc/kblookup.asp?id=Q316333

Tras la aplicación de este parche no es necesario reiniciar el
ordenador, tan sólo será necesario reiniciar el servicio SQL Server.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

SQL Extended Procedure Functions Contain Unchecked Buffers
http://www.microsoft.com/technet/security/bulletin/MS02-020.asp



jueves, 18 de abril de 2002

Parche para aplicaciones Microsoft sobre Macintosh

Microsoft corrige una vulnerabilidad que afecta a dos de sus
productos destinados a la plataforma Macintosh, Internet Explorer
5.1 y Office v. X.
Este parche acumulativo corrige todas las vulnerabilidades
conocidas hasta el día de su lanzamiento que afecten a Internet
Explorer y Office V.x y que corren sobre Macintosh.

Por otra parte, este parche corrige dos nuevas las dos últimas
vulnerabilidades recientemente descubiertas. La primera de ellas
afecta a Internet Explorer sobre MacOS 8 y 9 y permitiría a un
atacante realizar una petición desde una página web a un AppleScript
almacenado localmente en el ordenador de la víctima, de esta forma
podrá tomar las mismas acciones que cualquier AppleScript lanzado
legítimamente por el usuario "víctima".

La otra vulnerabilidad corregida reside en un mal procesamiento de
código HTML lo que puede permitir un desbordamiento de buffer y la
posterior ejecución de código en la máquina afectada.

Software afectado:

Microsoft Internet Explorer 5.1 for Macintosh OS X
Microsoft Internet Explorer 5.1 for Macintosh OS 8 & 9
Microsoft Outlook Express 5.0.-5.0.3 for Macintosh
Microsoft Entourage v. X for Macintosh
Microsoft Entourage 2001 for Macintosh
Microsoft PowerPoint v. X for Macintosh
Microsoft PowerPoint 2001 for Macintosh
Microsoft PowerPoint 98 for Macintosh
Microsoft Excel v. X for Macintosh
Microsoft Excel 2001 for Macintosh



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Unchecked Buffer in Internet Explorer and Office for Mac Can Cause
Code to Execute
http://www.microsoft.com/technet/security/bulletin/MS02-019.asp



miércoles, 17 de abril de 2002

Lectura de archivos a través de páginas ASP y el método "Execute"

Las páginas ASP programadas para la versión 5.0 del servidor web de
Microsoft (IIS) que hacen uso del método "Execute" pueden permitir
una escalada de directorios y dar acceso a la mayor parte de los
archivos del servidor.
El lenguaje ASP surge como una extensión al código HTML para permitir
un mayor dinamismo en la presentación de contenidos y obtener una
mayor potencia del servidor web. Pero si la programación de estas
páginas no se realiza de forma correcta puede producir graves
problemas que pueden permitir a un atacante la posibilidad de acceder
a datos, robar información e incluso llegar a tomar el control de
la maquina.

Desde la aparición de la versión 5.0 de IIS muchos programadores hacen
uso del método "Execute" para desarrollar los sitios web sin necesidad
de usar "frames" o usar la directiva "#include". De este modo es más
sencillo implementar plantillas HTML para facilitar el trabajo de los
desarrolladores.

EL problema se produce cuando se indica la página que debe de ser
cargada desde la propia URL, por ejemplo:

http://servidor/inicio.asp?file=/asp/home.asp

Mediante la modificación de la URL puede ser posible escalar directorios
mediante el uso de URL's modificadas:

http://servidor/inicio.asp?file=../../WINNT/win.ini

Esto permitirá a un atacante acceder con permisos de lectura a muchos
de los archivos del servidor, o todos si no está usando el formato de
archivos NTFS.

Un segundo problema es una posible denegación de servicio si se solicita
el mismo archivo que hace la llamada al Server.Execute:

http://servidor/inicio.asp?file=inicio.asp

Esto provocaría que el script ASP entrara en un bucle infinito que le
llevaría a usar el 100% de la CPU y grandes cantidades de memoria
mientras el script no hiciera "time out", generalmente a los 90 segundos
de haberse iniciado la petición.

Las posibles soluciones pasan por verificar que el archivo que se pasa al
método Execute no contienen cadenas como "../" o desactivar las "rutas
padre" en la configuración del propio servidor IIS.



David A. Pérez
david@hispasec.com



martes, 16 de abril de 2002

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) es una herramienta
que permite a los usuarios y administradores de sistemas Windows
verificar la configuración de seguridad, detectando los posibles
problemas de seguridad en el sistema operativo y los diversos
componentes instalados.
MBSA ha sido diseñado para analizar las máquinas que utilizan los
sistemas operativos Microsoft Windows NT 4, Windows 2000, Windows
XP (Professional y Home Edition) para determinar la presencia de
los últimos parches de seguridad publicados y, adicionalmente,
verificar la configuración de los diversos componentes para
determinar la posible presencia de configuraciones erróneas que
pueden provocar brechas en la seguridad.

MBSA incluye una versión gráfica y otra en modo texto y permite
realizar la verificación de manera local o bien remota.

MBSA utiliza la herramienta HFNetChk para determinar la presencia
de los diversos parches de seguridad. HFNetChk utiliza un archivo
XML que contiene información de los diversos parches publicados
para los diversos productos de Microsoft. La primera vez que se
ejecuta MBSA obtiene la versión más reciente de este archivo XML
(descarando un archivo .CAB, firmado digitalmente, desde la web
de Microsoft). Esta comprobación se realiza a nivel de sistema
operativo (NT 4.0, 2000 y XP), servicios de sistema (incluyendo
IIS 4.0 y 5.0), SQL Server (7.0 y 2000), Microsoft Office (2000 y
XP) e Internet Explorer 5.01 y posterior.

Por otra parte, MBSA también analiza diversos parámetros de
seguridad para detectar posibles configuraciones poco adecuadas
desde el punto de vista de la seguridad. Estas comprobaciones
incluyen un análisis simple de las contraseñas, servicios
innecesarios, etc.

Como resultado de este análisis, MBSA genera un informe donde se
indican los posibles parches que deben instalarse y cualquier
posible error en la configuración de la seguridad.



Xavier Caballé
xavi@hispasec.com



lunes, 15 de abril de 2002

Desbordamiento de búfer remoto en Webalizer

Existe un problema de desbordamiento de búfer en Webalizer, una
herramienta de análisis de logs, que puede permitir a un atacante
remoto la obtención de acceso root.
Webalizer es una herramienta de análisis de archivos de logs de
servidores web que produce estadísticas en formato html para su
visualización con un navegador. Para facilitar los resultados se
presentan en formatos de columnas y gráfico.

Webalizer 2.01-06 forma parte de la distribución Red Hat Linux 7.2 y se
encuentra activo por defecto para su ejecución diaria por el demonio
cron.

Esta herramienta tiene la capacidad de realizar búsquedas a través
de DNS inverso, si bien esta capacidad se encuentra desactivada por
defecto. En caso de que el administrador active el DNS inverso un
atacante desde su propio servicio de DNS tendrá la posibilidad de
conseguir acceso de root al sistema debido a un desbordamiento de
bufer en el código de resolución inversa.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq
http://online.securityfocus.com/archive/1/267551

Webalizer:
http://www.mrunix.net/webalizer/



domingo, 14 de abril de 2002

Encuesta del CSI sobre delitos informáticos

El Computer Security Institute (CSI) ha anunciado los resultados de su
séptima encuesta sobre delitos informáticos y seguridad en la que se
comprueba que las empresas siguen expuestas a numerosos problemas de
seguridad.
Esta encuesta que se publica bajo el título de "Computer Crime and
Security Survey" está dirigido por el CSI junto con la participación de
la brigada de intrusiones informáticas del FBI. El informe está basado
en las respuestas de 503 administradores de seguridad de empresas,
agencias del gobierno, universidades e instituciones financieras y
médicas.

Los resultados de esta encuesta confirman que los riesgos de delito
informático y otros problemas relacionados con la seguridad informática
continúan sin resolverse e incluso sus consecuencias económicas
aumentan.

Los puntos más destacados de esta encuesta desvelan que el 90% de los
encuestados (principalmente grandes empresas y agencias del gobierno)
detectaron fallos de seguridad en sus sistemas en los últimos doce
meses. Por otra parte, un 80 por ciento reconoció haber sufrido pérdidas
económicas debido a las ataques informáticos.

Un 44% de los encuestados reportaron unas pérdidas de 515 millones de
euros, aunque se destaca como problema más serio el robo de información
confidencial (41 encuestados reportaron 193 millones de euros debido a
esta causa) así como los fraudes económicos (40 encuestados reconocieron
pérdidas de 130 millones de euros). Un 40% detectó intrusiones en sus
sistemas desde el exterior, también un 40% detectaron ataques de
denegación de servicio. Un 85% de los encuestados detectaron la
presencia de virus informáticos.



Antonio Ropero
antonior@hispasec.com


Más información:

Cyber crime bleeds U.S. corporations, survey shows;
financial losses from attacks climb for third year in a row
http://www.gocsi.com/press/20020407.html



sábado, 13 de abril de 2002

Vulnerabilidad en Tivoli Storage Manager versión 4.2.x.x

Tivoli Storage Manager en sus versiones 4.2.x.x., sobre Windows 2000
y NT se ve afectado por un problema por desbordamiento de buffer, que
podrá provocar la parada de este servicio e incluso la ejecución de
código malicioso.
Si un atacante realizara una petición de aproximadamente 1292
caracteres al servidor web que por defecto se encuentra escuchando
en el puerto 1581 podría conseguir un desbordamiento de buffer y la
sobrescritura del EIP. Los descubridores de esta vulnerabilidad
hacen hincapié en la dificultad, aunque no imposibilidad de
explotarla, debido a la necesidad de basarse en caracteres de
formato widestring, este tipo de cadena de caracteres es de
longitud variable, asignadas de forma dinámica y utiliza
caracteres unicode.

En estos momentos existe un parche (V4.2.1.32) disponible para los
usuarios afectados en la dirección:

http://www.tivoli.com/support/storage_mgr/clients.html



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Tivoli Storage Manager Client Unchecked Buffer

http://www.cqure.net/advisories/tivoli_adv_dsmcad.html



viernes, 12 de abril de 2002

Bloqueo de las políticas de grupos en Windows 2000

El uso inapropiado de los tipos de acceso de lectura de los archivos de
políticas de grupos en Windows 2000 puede permitir a un atacante
bloquear dicho sistema.
La política de grupos en Windows 2000 está implementado mediante el
almacenamiento de datos en el directorio activo (Active Directory) y el
volumen de sistema en el controlador de dominio. Este almacenaje de
datos es llamado Group Policy Object (GPO). Cuando una máquina o usuario
accede a un dominio, lee el GPO y aplica las configuraciones que
contiene. La mayoría de estas configuraciones se renuevan por defecto
cada 90 minutos. Sin embargo, como en la mayoría de los sistemas
operativos Windows 2000 proporciona diversos tipos de acceso de lectura,
incluido lectura exclusiva (exclusive-read), y esto puede permitir a un
atacante bloquear los archivos de política de grupos, de esta forma
permitirá a un usuario impedir que las políticas de grupo sean aplicadas
para todos los usuarios afectados por el GPO.

Un atacante puede explotar esta vulnerabilidad accediendo al dominio de
forma normal y después abriendo los archivos de políticas de grupos con
acceso de lectura exclusiva. Tras ello, puede volver a acceder a la red
una segunda vez, como las políticas de grupo están bloqueadas el segundo
acceso ocurrirá sin que las políticas de grupo sean aplicadas. El
segundo acceso del atacante se producirá con las políticas de seguridad
que se hayan aplicado de forma más reciente.

El efecto no se limita sólo al atacante, cualquier otro usuario que
acceda a la red mientras que las políticas de grupo están bloqueadas
accederá sin que las políticas sean aplicadas. Sin embargo, los usuarios
que no estén involucrados en el ataque serán incapaces de determinar que
las políticas han sido bloqueadas.

Microsoft ha publicado los parches necesarios para paliar los efectos de
esta vulnerabilidad que puede descargarse desde la siguiente dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=36844



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-016
Opening Group Policy Files for Exclusive Read Blocks Policy Application
http://www.microsoft.com/technet/security/bulletin/ms02-016.asp



jueves, 11 de abril de 2002

CriptoRed publica 12 ponencias del CIBSI '02

CriptoRed publica una serie de interesantes artículos presentados en
el Primer Congreso Iberoamericano de Seguridad Informática CIBSI '02
celebrado recientemente en Morelia, México.
* "Arquitectura y comunicaciones en un sistema de detección de
intrusos"
URL: http://www.criptored.upm.es/guiateoria/gt_m180a.htm

* "Criptoanálisis del algoritmo A5/2 para telefonía móvil"
URL: http://www.criptored.upm.es/guiateoria/gt_m116a.htm

* "Importancia del marco jurídico en la función de auditoría
informática"
URL: http://www.criptored.upm.es/guiateoria/gt_m217a.htm

* "Informática Forense: generalidades, aspectos técnicos y
herramientas"
URL: http://www.criptored.upm.es/guiateoria/gt_m180b.htm

* "Lenguaje de especificación de restricciones de seguridad: OSCL V 1.1"
URL: http://www.criptored.upm.es/guiateoria/gt_m089a.htm

* "Los ataques spoofing. Estrategia general para combatirlos"
URL: http://www.criptored.upm.es/guiateoria/gt_m189a.htm

* "Modelo teórico de protección contra inferencia lógica en las bases
de datos estadísticas"
URL: http://www.criptored.upm.es/guiateoria/gt_m178a.htm

* "Propuestas de solución al problema de la identificación"
URL: http://www.criptored.upm.es/guiateoria/gt_m010a.htm

* "Pruebas de IPSec para IPv6 con Windows NT y 2000"
URL: http://www.criptored.upm.es/guiateoria/gt_m217b.htm

* "Sobre la Complejidad Lineal de las secuencias de longitud máxima
producidas por el generador de Pollard"
URL: http://www.criptored.upm.es/guiateoria/gt_m006a.htm

* "Tarjetas de Crédito Anónimas para garantizar la privacidad de los
ciudadanos"
URL: http://www.criptored.upm.es/guiateoria/gt_m077a.htm

* "Utilización de redes neuronales para la detección de intrusos"
URL: http://www.criptored.upm.es/guiateoria/gt_m093a.htm



Dr. Jorge Ramió Aguirre
Coordinador CriptoRed


Más información:

CriptoRed
http://www.criptored.upm.es



miércoles, 10 de abril de 2002

Diez vulnerabilidades en Internet Information Server

Se han descubierto diez nuevas vulnerabilidades de diversa índole que
afectan a Internet Information Server, el popular servidor web de
Microsoft, las más graves pueden llegar a permitir la ejecución de
código en el servidor.
Las vulnerabilidades afectan a todas las versiones de IIS 4.0, 5.0 y
5.1 y Microsoft ha publicado una actualización destinada a cubrir todos
los problemas encontrados. Los problemas encontrados pueden permitir la
ejecución de código malicioso en los servidores afectados, causar una
denegación de servicio o vulnerabilidades de Cross Site Scripting.

* Vulnerabilidad de desbordamiento de búfer en relación al mecanismo de
transferencia de codificación troceada ("chunked encoding") por páginas
asp en IIS 4.0 y 5.0. Un atacante que explote esta vulnerabilidad puede
provocar un desbordamiento provocando que el servicio IIS deje de
funcionar o lograr la ejecución de código en el servidor.

* Existe una variante de la anterior vulnerabilidad que afecta a IIS
4.0, 5.0 y 5.1 que también resulta de un error en el tratamiento de la
asignación del tamaño de los bufers para la transferencia de datos.

* Un desbordamiento de bufer en la forma en que en determinados casos
IIS 4.0, 5.0 y 5.1 procesa las cabeceras http. Un atacante que logre
explotar esta vulnerabilidad podrá conseguir una caída del servicio
IIS o bien modificar su comportamiento mediante la inclusión de un
nuevo código en el servidor.

* Se ha detectado también la existencia de un desbordamiento de bufer en
IIS 4.0, 5.0 y 5.1 que resulta de un error en comprobaciones de
seguridad que se realizan durante el proceso de server-side includes.

* Existe un desbordamiento de bufer que afecta al filtro isapi encargado
del tratamiento de los archivos htr (ism.dll) en IIS 4.0 y 5.0. Un
atacante que logre explotar esta vulnerabilidad podrá provocar una
caída del servicio IIS o incluso la ejecución de código malicioso en
el servidor.

* Vulnerabilidad de denegación de servicio en IIS 4.0, 5.0 y 5.1 en la
forma en que se trata una condición de error de los filtros ISAPI.

* Vulnerabilidad de denegación de servicio en relación a la forma en que
el servicio FTP de IIS 4.0, 5.0 y 5.1 trata una petición sobre el estado
de una sesión FTP. Un atacante que logre explotar esta vulnerabilidad
podrá provocar la interrupción del servicio FTP y web.

* Por ultimo existen tres vulnerabilidades de Cross-Site Scripting que
afectan a IIS 4.0, 5.0 y 5.1: una sobre la página de resultados que se
devuelve en la búsqueda de archivos de ayuda de IIS, una segunda en las
páginas de errores HTTP y una última en torno al mensaje de error que se
devuelve para avisar que la URL solicitada ha sido redirigida.

Microsoft ha publicado un parche que cubre todas estas vulnerabilidades
y además incluye todas las funcionalidades de los parches publicados
para IIS 4.0 desde Windows NT 4.0 Service Pack 6a, y todos los parches
publicados hasta la fecha para IIS 5.0 y 5.1.

Los parches pueden descargarse desde las siguientes direcciones:

Para Microsoft IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37931
Para Microsoft IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37824
Para Microsoft IIS 5.1:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37857



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-018:
Cumulative Patch for Internet Information Services:
http://www.microsoft.com/technet/security/bulletin/MS02-018.asp



martes, 9 de abril de 2002

WatchGuard SOHO Firewall vulnerable ante un ataque DoS

WatchGuard SOHO Firewall, se ve afectado por una vulnerabilidad que lo
hace susceptible de sufrir un ataque de denegación de servicios.
WatchGuard SOHO Firewall es un cortafuegos en forma de dispositivo
pensado para la utilización por parte de pequeñas empresas o
tele-trabajadores con oficinas en su hogar. Entre algunas de sus
características mas interesantes es la opción de poderse utilizar como
(VPN) red privada virtual.

Si un atacante malintencionado envía una serie de paquetes TCP con
características "IP OPTIONS" especialmente construidas, conseguirá que
el cortafuegos deje de funcionar, provocando su reinicio y la caída de
todas las conexiones soportadas en el momento del ataque, incluidas las
de la VPN.

Son vulnerables las versiones, Watchguard SOHO Firewall 5.0.28, 5.0.29 y
5.0.31. La versión 5.0.35 no se ve afectada por esta vulnerabilidad.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Watchguard SOHO Denial of Service
http://online.securityfocus.com/archive/1/266380

WatchGuard Technologies, Inc.
http://www.watchguard.com

IP OPTIONS
http://tiny.uasnet.mx/prof/cln/ccu/mario/REDES/node91.html

IP("Internet Protocol")
http://ditec.um.es/laso/docs/tut-tcpip/3376c23.html



lunes, 8 de abril de 2002

Denegación de servicios en Cisco Aironet

Existe una vulnerabilidad de denegación de servicio en los dispositivos
de acceso inalámbrico de la familia Cisco Aironet si estos tienen el
acceso por telnet habilitado.
Se encuentran afectadas por este problema todas las versiones excluida
la 11.21 de los Cisco Aironet Access Point 340 y 350 y del Cisco Aironet
Bridge 350. Según informa la propia Cisco es posible provocar un
reinicio de los Cisco Aironet si estos tienen el acceso Telnet activado
y se requiere una contraseña para la autenticación.

El ataque se puede realizar proporcionando un nombre de usuario y
contraseña no válidos, pero únicamente a través de telnet, ya que el
problema no puede explotarse a través del interfaz web. Si un usuario
malicioso realiza de forma repetida el ataque, provocará sucesivos
reinicios que causan la denegación de servicio.

Esta vulnerabilidad está corregida en la versión 11.21 del software que
controla estos dispositivos que Cisco ofrece a través de sus canales de
distribución. Como contramedida se recomienda deshabilitar el acceso por
telnet.



Antonio Ropero

antonior@hispasec.com


Más información:

Aviso de seguridad de Cisco:
Aironet Telnet Vulnerability
http://www.cisco.com/warp/public/707/Aironet-Telnet.shtml



domingo, 7 de abril de 2002

Vulnerabilidad en el tratamiento de MP3 de Winamp

Un problema en Winamp, el popular reproductor de música MP3, puede
permitir a un atacante incluir etiquetas html para provocarán que el
programa ejecute código html y javascript malicioso.
Winamp incluye un pequeño navegador para mostrar información sobre las
canciones que se están reproduciendo y que se encuentra activo por
defecto. Todas las canciones que se reproducen con Winamp el programa
direccionará el mininavegador a una dirección URL de la forma:
http://info.winamp.com/winamp/WA.html?Alb=&Art=&Cid=winamp&Tid=&Track=Brick
Donde Winamp coge la información de título/artista/álbum de la etiqueta
ID3v1/ID3v2 en el archivo MP3.

Se ha descubierto un problema en el programa que puede permitir a
atacantes la inclusión de etiquetas HTML en estos campos
(título/artista/álbum) que provocarán la ejecución de código html y
javascript malicioso. Esta vulnerabilidad se puede convertir en una
manera efectiva de realizar un ataque de Cross Site Scripting o para
efectuar un redireccionamiento a otra URL maliciosa.

Son vulnerables a este problema las versiones de Winamp 2.78c y
anteriores (hasta la versión 2.10) y Winamp versión 2.79



Antonio Ropero
antonior@hispasec.com


Más información:

Securiteam:
http://www.securiteam.com/windowsntfocus/5MP091P6UW.html



sábado, 6 de abril de 2002

Vulnerabilidad en el filtrado de email de ZoneAlarm

Se ha descubierto una vulnerabilidad en la característica MailSafe de
ZoneAlarms por la cual un atacante puede saltarse la protección de
filtrado de archivos adjuntos.
ZoneLabs ZoneAlarm es una conocida aplicación de cortafuegos personal
para sistemas Windows muy popular en entornos dométicos. Entre las
diversas funcionalidades que aporta se incluye MailSafe que aporta
características de filtrado de contenido para bloquear mensajes con
determinadas características.

Se ha anunciado una vulnerabilidad en la característica MalSafe de
ZoneAlarm por la cual un atacante puede evitar el bloqueo de archivos
con una determinada extensión (por ejemplo archivos .exe). Si el archivo
se envía con un punto adicional (".") al nombre completo el archivo no
será bloqueado.

ZoneLabs ha solucionado este problema para lo que se recomienda emplear
la cartacterística "Check for Update" del firewall.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad:
http://www.edvicesecurity.com/ad02-02.htm



viernes, 5 de abril de 2002

Desbordamiento de búfer en sistemas Windows a través de UNC

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en el
driver Multiple UNC Provider (MUP) de los sistemas Windows lo que puede
provocar un reinicio del sistema o permitir a un atacante local el
acceso no autorizado con permisos de sistema.
Cuando las aplicaciones en los sistemas Windows NT, 2000 y XP envían una
petición UNC (de la forma \\ip\nombrecompartido) para acceder a archivos
en otras máquinas, el sistema operativo pasará la petición para que sea
procesada por Multiple UNC Provider (MUP). MUP está implementada por
mup.sys en el kernel.

Al recibir la petición de archivo UNC, MUP primero la graba en un búfer
del kernel, con un tamaño de la petición UNC + 0x1000 bytes. Antes de
enviar la petición a un redirector, MUP la vuelve a copiar de nuevo en
el búfer, pegada detrás de la original. En el caso de que la petición
sea mayor qie 0x1000 bytes, puede sobreescribir datos de la memoria
fuera del búfer inicialmente definido provocando el desbordamiento de
búfer.

Si un atacante logra explotar esta vulnerabilidad un atacante local
podrá obtener permisos del sistema o cualquier otro privilegio.

Microsoft ha publicado las actualizaciones necesarias para paliar este
problema, que pueden descargarse desde las siguientes direcciones:

Para Microsoft Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37630

Para Microsoft Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37652

Para Microsoft Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37555

Para Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37583

Para Windows XP Edición 64-bit:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37672



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS02-017):
Unchecked buffer in the Multiple UNC Provider Could Enable Code Execution
http://www.microsoft.com/technet/security/bulletin/ms02-017.asp



jueves, 4 de abril de 2002

La trastienda del "full disclosure"

Las últimas vulnerabilidades publicadas por Guninski, antes de que
Microsoft proporcione los correspondientes parches, reaviva el
recurrente y cansino debate sobre la divulgación total en materia de
seguridad informática ("full disclosure").
Posturas iniciales

A grandes rasgos la discusión se presenta bastante simple y obvia,
al menos en su vertiente de cara a la galería. Por un lado nos
encontramos con las casas de software, que argumentan que la
publicación de detalles sobre nuevas vulnerabilidades es
contraproducente para la seguridad, ya que facilita la labor a los
potenciales atacantes.

En frente, investigadores independientes, criptólogos, hackers y
grupos de seguridad informática, entre otros, que consideran que
la información debe ser libre y divulgada a la opinión pública.
Bajo su prisma, el conocimiento permite establecer defensas contra
unos ataques cuyos detalles circularían en cualquier caso entre
los atacantes, puesto que el "underground" mantiene canales de
comunicación sobre los que no es posible ejercer ningún tipo de
control.

Situación actual

Existe un código no escrito de buenas maneras que establece que,
antes de realizar cualquier aviso público, el hacker o investigador
debe poner en sobreaviso a la empresa afectada, proporcionándole
todos los detalles sobre las vulnerabilidades que ha descubierto
en cualquiera de sus productos y, en la medida de lo posible,
ayudando en su resolución.

Esta regla suele cumplirse en la inmensa mayoría de los casos, si
bien no está exenta de problemas y contratiempos. En ocasiones
resulta toda una odisea poder, simplemente, hacer llegar la
información a la persona adecuada y/o recibir un acuse de recibo.
Por contra, y a favor de las empresas, hay que decir que algunas
cuentan con direcciones y personal dedicado exclusivamente a este
menester, como es el caso de Microsoft. En otros casos, aun
habiendo existido contacto entre descubridor de la vulnerabilidad
y desarrollador afectado, no hay un acuerdo en la importancia del
problema o en la urgencia y tiempos de resolución que requiere.

Este tipo de contratiempos suelen acabar con la publicación prematura
de los detalles de las vulnerabilidades y medidas preventivas de
carácter urgente propuestas por el descubridor, antes de que los
desarrolladores hayan facilitado un parche o aviso oficial.

En estos casos el descubridor argumenta que se ha visto obligado
a la publicación para poner en aviso a los usuarios afectados ante
un problema que considera puede afectarles, a la vez que espera
que la presión pública fuerce a la empresa a una rápida actuación
y resolución de la vulnerabilidad.

Por su parte, los desarrolladores se quejan de que el proceso de
análisis de la vulnerabilidad, diseño del parche, y posteriores
comprobaciones y tests de calidad, no es tarea fácil y requiere
más tiempo, de cara a facilitar al usuario final una solución
fiable y segura.

Lo que la verdad esconde

Como vemos, tanto unos como otros, utilizan como excusa de sus
argumentos la seguridad del usuario. Parece ilógico que teniendo
un mismo fin no se pongan de acuerdo. En realidad, como cabe pensar,
existen otros intereses más partidistas y lucrativos en juego.

La imagen, y todo lo que se deriva de ella, es realmente uno de los
principales factores que originan el debate "full disclosure". El
anuncio público de una nueva vulnerabilidad, con sus respectivos
ecos en sitios especializados y, cada vez más, en otros medios de
comunicación, lleva consigo un aumento de popularidad y publicidad
para el descubridor, mientras que para la empresa supone un duro
varapalo para su producto e imagen corporativa. En algunos casos
concretos cabe pensar que este es el interés que prima, de otro
modo costaría entender determinadas actitudes por ambas partes.

¿Qué opción es la correcta?

En mi opinión personal, si buscamos la seguridad de los posibles
usuarios afectados, no existe una única vía de actuación, no hay
que se extremistas en uno u otro sentido.

Por ejemplo, pasando por avisar en primer lugar a la empresa del
producto vulnerable, tal vez creamos conveniente dar un aviso con
algunas indicaciones para que los usuarios puedan tomar medidas
preventivas mientras se desarrolla el parche, si bien no tiene
mucha razón de ser dar todos los detalles de forma explícita o
adjuntar código de ejemplo durante esta fase.

Los problemas se presentan bien cuando el descubridor lanza los
detalles sin avisar a la empresa, bien si la empresa hace caso omiso
del aviso o no presta la atención que la vulnerabilidad se merece. En
condiciones normales, si existe ánimo de cooperación por ambas partes,
no tienen porqué existir conflictos de intereses.



Bernardo Quintero
bernardo@hispasec.com


Más información:

It´s Time to End Information Anarchy
http://www.microsoft.com/technet/columns/security/noarch.asp

¿Anarquía informativa?
http://www.hispasec.com/unaaldia.asp?id=1091

Microsoft Reveals Anti-Disclosure Plan
http://online.securityfocus.com/news/281

Full Disclosure is a necessary evil
http://online.securityfocus.com/news/238

Nueva política del CERT
http://www.hispasec.com/unaaldia.asp?id=738



miércoles, 3 de abril de 2002

Vulnerabilidades en Office XP

Descubiertas nuevas vulnerabilidades para Office XP sin que exista
hasta la fecha ningún parche de Microsoft para corregirlas. Los
problemas detectados pueden explotarse para incluir contenido activo
(objetos y scripts) en mensajes con formato HTML que se ejecutará al
reenviar o responder el e-mail, y en local para escribir archivos de
forma indiscriminada a través del componente Spreadsheet de Microsoft.
Por separado no se presentan como vulnerabilidades muy críticas, si
bien la posibilidad de que se pudieran explotar conjuntamente abre
la vía de la ejecución de código arbitrario de forma remota y
automática. Así sería necesario que el código JavaScript del e-mail
llamara a la función Host().SaveAs() del componente spreadsheet para
escribir un archivo .HTA en la carpeta Inicio local, provocando su
ejecución al reiniciar Windows.

Los detalles, incluyendo código de ejemplo, pueden ser consultados en
la dirección: http://www.guninski.com/m$oxp-2.html


Bernardo Quintero
bernardo@hispasec.com



martes, 2 de abril de 2002

Virus en cookies y otros formatos

La última vulnerabilidad de Internet Explorer, "Cookie-based Script
Execution", facilita el diseño de virus y gusanos que utilicen las
cookies como vehículo de propagación y ejecución automática. En
realidad, cualquier formato de archivo es susceptible de albergar
un virus.
Hace apenas unas semanas, un editor técnico de una conocida compañía
antivirus publicaba un artículo en el que declaraba: "Sin embargo,
mucha gente teme que en la cookie venga almacenado un virus o sirva
para que nos roben información. Eso es completamente erróneo, ya que
una cookie nunca podrá almacenar código ejecutable, que es lo que
necesita un virus para poder llevar a cabo sus acciones. E incluso en
el remoto caso de que un virus tratara de ocultarse en una cookie,
nunca habría ningún proceso que pudiera ponerlo en funcionamiento, ya
que, al no estar pensadas para eso, a ningún programador se le pasaría
por la cabeza intentar lanzar la ejecución del código de la cookie."

Nunca digas nunca jamás. La propia Microsoft describe en su último
boletín de seguridad como una vulnerabilidad de su navegador permite,
además de almacenar código en una cookie (algo que ya era posible
antes), forzar la ejecución automática del script en la zona local
del sistema del usuario que visita el web.

Las cookies no son las únicas afectadas, hemos podido ver casos
similares de formatos de archivo que a priori son seguros y que sin
embargo podían ser utilizados para ejecutar código arbitrario
aprovechando vulnerabilidades en las aplicaciones encargadas de
interpretarlos (Real Audio, ASF, MP3, Flash, etc.), en muchas
ocasiones explotando desbordamientos de buffer. El peligro en estos
casos concretos radica en la posibilidad de forzar la ejecución de
código arbitrario de forma automática, ya que el almacenar código
ejecutable bajo cualquier extensión de archivo siempre es posible.

Por ejemplo, hace tres años, durante los tests de la comparativa
antivirus 1999 de Hispasec, pude comprobar la efectividad de algunos
motores antivirus para detectar los virus scripts para IRC. Las
heurísticas y detecciones genéricas funcionaban ya que son especímenes
básicos donde es fácil identificar el código utilizado para
propagarse, en la mayoría de los casos realizando un DCC del archivo
infectado a los usuarios que entran en el canal de la víctima.

Como prueba de concepto, para su utilización exclusiva en el
laboratorio y de cara a analizar la efectividad de las soluciones
ante nuevas formas, diseñé varios especímenes con la idea de burlar
a los antivirus. Uno de ellos consistía precisamente en utilizar
un formato de archivo no considerado peligroso por los antivirus
donde almacenaría en él la mayor parte del código. De esta forma,
un archivo .TXT hospedaba la mayor parte del virus/gusano, mientras
que en el script.ini sólo incluía el código necesario para leer en
memoria los comandos del virus que había almacenado en el .TXT.
El virus resultaba operativo, era capaz de reproducirse a nuevos
usuarios enviando ambos archivos, sin embargo ningún antivirus logró
detectar por defecto el virus, ya que no analizan los archivos con
extensión .TXT.

En definitiva, aunque algunos formatos son más propensos a ser
utilizados por los virus por su facilidad de ejecución, no debemos
olvidar que cualquier formato puede contener código malicioso, bien
a la espera de que otro proceso lo lea e interprete, o provocando
la ejecución directa y automática tras explotar alguna vulnerabilidad
concreta. Por todo lo anterior, y como consejo final, no está de más
que de forma regular realicemos análisis a demanda de todo el sistema,
configurando previamente nuestros antivirus para que analicen todas
las extensiones de archivo.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Parche crítico para Internet Explorer versiones 5.01, 5.5 y 6
http://www.hispasec.com/unaaldia.asp?id=1254

Problema de seguridad en RealPlayer
http://www.hispasec.com/unaaldia.asp?id=1188

Vulnerabilidad en el procesador de archivos asf de Windows Media Player
http://www.hispasec.com/unaaldia.asp?id=1126

Nueva vulnerabilidad en Windows Media Player
http://www.hispasec.com/unaaldia.asp?id=1006

Posibilidad de ejecución de código mediante Flash
http://www.hispasec.com/unaaldia.asp?id=802

Vulnerabilidad en Winamp
http://www.hispasec.com/unaaldia.asp?id=638



lunes, 1 de abril de 2002

Parche crítico para Internet Explorer versiones 5.01, 5.5 y 6

Además de tratarse de un parche acumulativo, incluye todas las
actualizaciones hasta la fecha, elimina dos nuevas e importantes
vulnerabilidades del navegador de Microsoft. La primera de ellas
permite a un atacante lanzar desde una página web comandos y
aplicaciones ya existentes en el sistema de la víctima, la segunda
posibilita incluir scripts en una cookie y ejecutar su código de
forma local.
Las cookies que los servidores webs almacenan en nuestros ordenadores
deben ser manejadas por Internet Explorer en el contexto de seguridad
de Internet, con mayores restricciones. La vulnerabilidad detectada
permite que un servidor web incluya código en una cookie, que ésta sea
almacenada en el disco duro del usuario al visitar la página o al
incluirla en un mensaje con formato HTML, para terminar siendo
ejecutada en el contexto de seguridad local, sin restricciones, y con
acceso indiscriminado al sistema. Este problema, ejecución de scripts
inyectados en las cookies, afecta a las versiones 5.5 y 6 de
Internet Explorer.

La otra vulnerabilidad tiene que ver con la interpretación de las
etiquetas <OBJECT>, que ya fuera origen de otros problemas de
seguridad como el desbordamiento de buffer y la posibilidad de
ejecución de código arbitrario en Office 2000. En esta ocasión la
nueva vulnerabilidad afecta a la propiedad codeBase y permite ejecutar
remotamente, al visitar una página web diseñada al efecto, comandos
o aplicaciones ya existentes en el sistema de la víctima, afectando
a Internet Explorer versiones 5.1, 5.5 y 6.

Recomendamos a todos los usuarios afectados la instalación del parche,
se trata de vulnerabilidades críticas que podrían explotadas tanto en
ataques personalizados como en el diseño de gusanos de propagación
masiva.

Descarga del parche (2.xx MB según versión del IE):
http://www.microsoft.com/windows/ie/downloads/critical/Q319182/default.asp



Bernardo Quintero
bernardo@hispasec.com


Más información:

MS02-015 : 28 March 2002 Cumulative Patch for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS02-015.asp