domingo, 30 de junio de 2002

Diferentes vulnerabilidades en Windows Media Player

Microsoft publica un nuevo conjunto de parches para eliminar tres
vulnerabilidades descubiertas recientemente y que afectan a Windows
Media Player 6.4, 7.1 o Windows Media Player para Windows XP.
Este es un parche es acumulativo ya que además incluye la funcionalidad
de todos los parches previamente lanzados para las versiones afectadas.

La primeras de las nuevas vulnerabilidades y la más grave, se trata de
un problema de divulgación de información que puede proporcionar al
atacante la capacidad para ejecutar código en el sistema del usuario.

La segunda de las vulnerabilidades permite a un atacante tras el acceso
local a un sistema Windows 2000 e iniciar una sesión la elevación de
privilegios hasta conseguir permisos de administración.

La tercera de las vulnerabilidades podría facilitar a un atacante la
ejecución de código en la máquina valiéndose de una página web
especialmente construida al efecto. Esto es posible a una mala
interpretación por parte de Windows Media Player de algunos scripts.

Igualmente con este nuevo parche se ofrece a los usuarios unas nuevas
funcionalidades de seguridad en la configuración de Windows Media
Player para los usuarios u organizaciones que deseen tomar
precauciones extras en su utilización.

Los parches están disponibles en las siguientes direcciones:
Microsoft Windows Media Player 6.4:
http://download.microsoft.com/download/winmediaplayer/Update/320920/W98NT42KMe/EN-US/wm320920_64.exe

Microsoft Windows Media Player 7.1:
http://download.microsoft.com/download/winmediaplayer/Update/320920/W982KMe/EN-US/wm320920_71.exe

Microsoft Windows Media Player para Windows XP:
http://download.microsoft.com/download/winmediaplayer/Update/320920/WXP/EN-US/wm320920_8.exe

Tras la instalación del parche correspondiente deberá reiniciar el
sistema, como advertencia indicaremos que estos parches no son
desinstalables.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Cumulative Patch for Windows Media Player
http://www.microsoft.com/technet/security/bulletin/MS02-032.asp



sábado, 29 de junio de 2002

Pocas semanas para la propuesta del estándar IDMEF

Última oportunidad para hace comentarios y sugerencias a "Intrusion
Detection Message Exchange Format (IDMEF) Data Model and Extensible
Markup Language (XML) Document Type Definition", la propuesta de
estándar para intercambio de información entre sistemas detección
de intrusiones informáticas.
La IETF acaba de publicar la última oportunidad para realizar
comentarios y sugerencias a "Intrusion Detection Message Exchange Format
Data Model and Extensible Markup Language (XML) Document Type
Definition", antes de que se convierta en una propuesta de estándar
formal.

El IETF (Internet Engineering Task Force), uno de los organismos
fundamentales en el diseño de estándares en Internet, está trabajando en
una propuesta de estándar para el intercambio de información entre
sistemas detección de intrusiones informáticas.

La IETF es un grupo informal de expertos conformados en grupos de
trabajo con temáticas y objetivos concretos. Tanto la creación de grupos
de trabajo como su composición es completamente libre. De hecho
cualquier usuario de Internet puede suscribirse a las listas de correo
de un grupo de trabajo y, a todos los efectos, pasar a formar parte del
mismo. En ese sentido la experiencia de los años ha demostrado que la
IETF es muy eficiente, se elaboran estándares de forma rápida, que estos
son realmente implementables y que la carga política que puede suponer
el tener participantes que pertenezcan a grandes corporaciones de peso
se contrarresta con facilidad.

Actualmente los documentos son borradores, aunque se consideran
prácticamente definitivos a falta de sugerencias adicionales por parte
de la comunidad. En ese momento -cuestión de semanas- pasarán a ser una
propuesta de estándar, que será ratificada tras haber evaluado dos
implementaciones independientes de la tecnología.

Las personas y empresas responsables de desarrollos en sistemas de
detección de intrusiones (IDS) no deberían perder la oportunidad de
participar en la elaboración de este futuro estándar.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Intrusion Detection Message Exchange Format
Data Model and Extensible Markup Language (XML)
Document Type Definition
http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-07.txt

IETF
http://www.ietf.org/

29/04/2002 - Definición del estándar Intrusion Detection Exchange
Protocol
http://www.hispasec.com/unaaldia.asp?id=1282



viernes, 28 de junio de 2002

Microsoft anuncia problemas en Commerce Server

Microsoft ha anunciado la existencia de cuatro vulnerabilidades en los
productos Commerce Server 2000 y Commerce Server 2002 que son servidores
web de Microsoft destinados a la creación de sitios de comercio
electrónico. Estos productos proporcionan herramientas y características
que simplifican el desarrollo e implantación de soluciones e-commerce,
de igual forma al administrador se le proporcionan utilidades para el
análisis del uso del sitio.
El primero de los problemas hace relación a un problema de
desbordamiento de bufer en el servicio de perfiles ("Profile Service")
en el tratamiento de determinados tipos de llamadas a la API. Este
servicio puede emplearse para permitir a los usuarios administrar su
propia información de perfil y para consultar el estado de sus pedidos.
Si un atacante proporciona datos específicamente construidos a
determinadas llamadas del servicio de perfiles podrá provocar un
desbordamiento de bufer que de lugar a la ejecución de código en el
contexto de seguridad de LocalSystem.

Existe otra vulnerabilidad de desbordamiento de bufer en el paquete de
instalación de Office Web Components (OWC) empleado por Commerce Server.
Un atacante que proporcione datos específicamente construidos como
entrada al instalador OWC podrá provocar que el proceso falle o incluso
la ejecución de código en el contexto de seguridad local del sistema.

También existe otro problema asociado al paquete de instalación Office
Web Components (OWC) de Commerce Server. Si un atacante efectúa una
llamada al instalador de una determinada forma podrá provocar la
ejecución de comandos en Commerce Server de acuerdo al nivel de
privilegios asociados a las credenciales del atacante. Este problema
sólo afecta a Commerce Server 2000.

Por último se ha detectado una variante de la vulnerabilidad en el
filtro ISAPI discutida en el boletín de seguridad MS02-010 publicado
este año.

Microsoft proporciona los parches necesarios para cubrir estos problemas
y que pueden descargarse desde las siguientes direcciones:
Para Microsoft Commerce Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39591
Para Microsoft Commerce Server 2002:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39550



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-033
Unchecked Buffer in Profile Service Could Allow Code Execution in
Commerce Server
http://www.microsoft.com/technet/security/bulletin/MS02-033.asp



jueves, 27 de junio de 2002

Publicadas las vulnerabilidades de OpenSSH

Se han publicado las dos vulnerabilidades que afectan a las versiones
2.9.9 hasta la 3.3 de OpenSSH. Ambas se encuentran en el manejo de las
respuestas de desafío ("Challenge Responses") presentes únicamente en la
versión 2 del protocolo.
OpenSSH es una versión gratuita, ampliamente utilizada, de SSH (Shell
Seguro) que reemplaza protocolos como Telnet, Ftp, Rsh, etc, empleando
cifrado y que es resistente a técnicas como la monitorización de
red, escucha y ataques "hijack".

La primera de las vulnerabilidades se centra en el desbordamiento de la
variable que contiene el numero de respuestas recibidas durante la
autenticación. Para que sea explotable, el servidor debe estar
configurado para que las respuestas de desafío estén activadas y el
sistema este usando o bien "SKEY" o "BSD_AUTH". Un ataque en este caso
puede provocar una ejecución arbitraria de código.

La segunda de las vulnerabilidades consiste en un desbordamiento de
búfer también sobre el numero de respuestas recibidas. Independientemente
de la configuración de las respuestas de desafío, el problema se centra
en los sistemas que usan alguno de los módulos PAM que usan autenticación
interactiva por teclado "PAMAuthenticationViaKbdInt". Actualmente se
desconoce si existe la posibilidad de explotar esta última.

Es importante actualizarse a la última versión disponible debido a la
posibilidad de que un atacante remoto pueda obtener privilegios de
root, identidad bajo la cual suele correr este servicio.

Se pueden evitar los efectos de estas vulnerabilidades modificando
adecuadamente el archivo de configuración:

/etc/ssh/sshd_config:
ChallengeResponseAuthentication no
PAMAuthenticationViaKbdInt no
KbdInteractiveAuthentication no

Igualmente es muy recomendable establecer la separación de
privilegios (por defecto en las ultimas versiones) para mitigar
el efecto de futuras vulnerabilidades.

/etc/ssh/sshd_config:
UsePrivilegeSeparation yes

A pesar de las primeras informaciones emitidas sobre las
vulnerabilidades, no todos los proveedores se ven afectados y la gran
mayoría ya han emitido parches para las mismas. Parece que esta vez
ISS ha resuelto la publicación de la vulnerabilidad más adecuadamente
tras las críticas recibidas por parte de la comunidad. Recordemos que
hizo publica la vulnerabilidad del servidor Apache tan solo unas horas
después de haberlo avisado al "Proyecto Apache".



Francisco Javier Santos
fsantos@hispasec.com


Más información:

Página oficial de OpenSSH:
http://www.openssh.com

CERT® Advisory
OpenSSH Vulnerabilities in Challenge Response Handling
http://www.cert.org/advisories/CA-2002-18.html

Center for Information Technology Integration
Privilege Separated OpenSSH:
http://www.citi.umich.edu/u/provos/ssh/privsep.html

Próxima vulnerabilidad en OpenSSH
http://www.hispasec.com/unaaldia.asp?id=1338



miércoles, 26 de junio de 2002

Vulnerabilidad en Netware DHCP Server

Se ha conocido recientemente la posibilidad de causar un problema de
Denegación de servicio sobre Netware DHCP Server.

El servidor DHCP de Netware, se ve afectado por una vulnerabilidad por la
que un atacante podría causar una denegación de servicio, consiguiendo
el reinicio del servidor.

Un atacante únicamente tendría que usar una petición no estándar de
gran tamaño al servidor DHCP para conseguir que la máquina se
reinicie.

Actualmente no se encuentra disponible ningún parche que permita evitar
los efectos de esta vulnerabilidad. Las pruebas de comprobación de este
problema se han realizado sobre Novell Netware FTP server y corría en
Netware 6.0 SP 1.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

cqure.net.20020604.netware_dhcpsrvr
http://www.cqure.net/advisories/netware_dhcpsrvr.html

Novell, Inc
http://www.novell.com



martes, 25 de junio de 2002

Vulnerabilidad Cross Site Scripting (XSS) en archivos Macromedia Flash

Cross Site Scripting es una vulnerabilidad muy común en muchos
servidores web, sobre todo en aquellos que usan páginas dinámicas para
generar el contenido. La vulnerabilidad se basa en inyectar código
malicioso en una página web para modificar su apariencia, ejecutar
scripts en los navegadores o, en algunos casos, para robar cookies
almacenadas en los ordenadores de los usuarios.
El 5 de Junio la gente de EyeonSecurity ha publicado un documento
titulado "El ataque Flash!" donde describen un método para inyectar
código JavaScript malicioso en archivos Macromedia Flash.

A pesar de que la vulnerabilidad no hace más peligroso el Cross Site
Scripting, abre nuevas vías desconocidas hasta el momento para realizar
este tipo de ataques. La solución más simple para evitar esta variante
de Cross Site Scripting consiste en no permitir a los usuarios incrustar
objetos Flash en las páginas con contenido dinámico.



David A. Pérez
david@hispasec.com


Más información:

EyeonSecurity:
http://eyeonsecurity.com/

Bypassing JavaScript Filters - the Flash! Attack:
http://eyeonsecurity.net/papers/flash-xss.pdf

Macromedia® Flash:
http://www.macromedia.com/flash/

The Cross Site Scripting FAQ:
http://www.cgisecurity.com/articles/xss-faq.shtml

Cross Site Scripting Vulnerabilites:
http://www.cert.org/archive/pdf/cross_site_scripting.pdf

Vulnerabilidad: Cross Site Scripting (XSS):
http://www.kamborio.com/?Section=Articles&Mode=select&ID=30



lunes, 24 de junio de 2002

Próxima vulnerabilidad en OpenSSH

Está prevista la publicación de una nueva vulnerabilidad para OpenSSH
la próxima semana. A pesar de la carencia de detalles concretos, que
serán desvelados una vez se haga pública, se sabe que cuando OpenSSH
sshd(8) se ejecute con separación de privilegios el bug no debería
poderse explotar.
No obstante se hace necesaria la actualización a OpenSSH 3.3p
publicada hace escasos días. Pese a que esta versión no solucionará de
por si el posible bug, permite evitarlo mediante la configuración de
privilegios separados:

/etc/ssh/sshd_config:

UsePrivilegeSeparation yes


OpenSSH es una distribución gratuita que implementa los protocolos SSH
versión 1 y 2, que nos proporciona la posibilidad de mantener sesiones
interactivas encriptadas.

La introducción de privilegios separados en OpenSSH es bastante
reciente, a penas unos 3 meses, y aún no está completamente
desarrollada para todos los sistemas. Esto significa que al utilizarla
perderemos probablemente algunas características (en algunos sistemas)
como es la compresión de datos.

En general, la separación de privilegios viene en un esfuerzo por
mejorar la seguridad de este servicio, diferenciando en dos las
distintas partes del código, una que necesariamente deberá correr como
root en el sistema, y el resto que se introduce en una jaula "chroot"
exenta de privilegios.

Al actualizar a la versión 3.3 notaremos que se usa por defecto la
opción "UsePrivilegeSeparation", lo que nos obligará a tener que hacer
unas modificaciones en nuestro sistema, como son tener que dar de alta
un nuevo usuario sin privilegios y un directorio vacío para la jaula.
Tras ello, observaremos que por cada conexión tendremos dos procesos,
uno poseído por el usuario y otro que será el monitor de privilegios
del anterior.



Francisco Javier Santos
fsantos@hispasec.com


Más información:

Página oficial de OpenSSH:

http://www.openssh.com

OpenSSH 3.3 released:


http://www.mindrot.org/pipermail/openssh-unix-announce/2002-June/000040.html

Upcoming OpenSSH vulnerability:


http://www.mindrot.org/pipermail/openssh-unix-announce/2002-June/000041.html

Center for Information Technology Integration

Privilege Separated OpenSSH:


http://www.citi.umich.edu/u/provos/ssh/privsep.html



domingo, 23 de junio de 2002

¿Cuánto durará el blindaje de la nueva web del presidente ruso?

La Agencia Federal de comunicación e Información del gobierno ruso ha
declarado a todo bombo y platillo que el nuevo sitio web del presidente
ruso, www.president.kremlin.ru está blindado contra ataques
cibernéticos.
Según fuentes rusas, de las 500.000 personas que visitaron el sitio web
en sus primeros días de vida unas 96 habían sido para atacarlo.
Convendría comprobar detenidamente que tipos de ataques son los
recibidos pero la experiencia demuestra que este tipo de declaraciones
lo único que consiguen es incrementar el número y pericia de los
ataques. Un buen ejemplo lo tenemos en el servidor de base de datos
Oracle 9i, que a pesar de contar con un gran número de vulnerabilidades
a sus espaldas aun se sigue promocionando como Irrompible
("Unbreakable").

El interés que puede motivar a un atacante a este tipo de webs, es
únicamente el de la notoriedad, ya que en él no se alberga, a priori,
ninguna información de interés.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Kremlin Web site stands up to hackers
http://www.cnn.com/2002/TECH/internet/06/21/kremlin.internet.reut/index.html



sábado, 22 de junio de 2002

Nuevos parches para Excel y Word

Microsoft publica un conjunto de parches acumulativos para Excel y Word
que ofrecen la protección de todos los parches publicados hasta la fecha
y además cubren cuatro nuevas vulnerabilidades que permitirían a un
atacante la ejecución de macros en el sistema.
La primera de las vulnerabilidades que puede permitir la ejecución de
macros de Excel está relacionada con el tratamiento de macros asociadas
con objetos. La vulnerabilidad puede permitir que las macros se ejecuten
y eviten el modelo de seguridad cuando un usuario pulsa en un objeto en
un libro de Excel.

También existe una vulnerabilidad en Excel en el tratamiento de las
macros en libros de Excel cuando se abren a través de un enlace en
una imagen de otro libro. Una macro maliciosa puede ser activada de
forma que se ejecute de forma automática.

La tercera vulnerabilidad se puede producir al abrir un libro Excel con
una hoja de estilo XSL con scripts HTML. El script dentro de la hoja de
estilos XSL se ejecutará en la zona de seguridad local del ordenador.

Por último, una nueva variante de la vulnerabilidad publicada en el 2000
sobre la función Mail Merge. Esta nueva vulnerabilidad puede permitir la
ejecución de código automáticamente si el usuario tiene instalado Access
y selecciona un documento mail merge grabado anteriormente en formato
HTML.

Los problemas afectan a Microsoft Excel y Office 2000, Excel y Office
2002 y Office XP.

Las actualizaciones se pueden descargar desde el sitio de actualización
de Office en http://office.microsoft.com/productupdates/default.aspx

Actualizaciones para Microsoft Excel 2000:
Instalación de cliente:
http://office.microsoft.com/downloads/2000/exc0901.aspx
Instalación administrativa:
http://www.microsoft.com/office/ork/xp/journ/exc0901a.htm

Actualizaciones para Microsoft Excel 2000
Instalación de cliente:
http://office.microsoft.com/downloads/2002/exc1002.aspx
Instalación administrativa:
http://www.microsoft.com/office/ork/xp/journ/exc1002a.htm

Actualizaciones para Microsoft Word 2002:
Instalación de cliente:
http://office.microsoft.com/downloads/2002/wrd1004.aspx
Instalación administrativa:
http://www.microsoft.com/office/ork/xp/journ/wrd1004a.htm



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-31
Cumulative Patches for Excel and Word for Windows
http://www.microsoft.com/technet/security/bulletin/MS02-031.asp



viernes, 21 de junio de 2002

Desbordamiento de búfer remoto en SQL Server 2000

Se ha descubierto un desbordamiento de búfer en el servidor de bases de
datos de Microsoft SQL Server 2000, en la función OpenDataSource cuando
se combina con MS Jet Engine.
Mediante la construcción de una consulta SQL específica y usando la
función OpenDataSource un atacante remoto podrá provocar un
desbordamiento de búfer de forma que consiga el control del sistema.
Por defecto, el servidor SQL Server 2000 se instala con privilegios del
sistema, por lo que cualquier código introducido por el atacante se
ejecutará sin ninguna limitación.


Debemos hacer hincapié en que esto puede ser lanzado a través de una
aplicación web si es vulnerable a la inyección SQL, lo que quiere decir
que aunque no pueda conseguirse el acceso directo al servidor SQL desde
Internet esto signifique que sea seguro. Todos los sistemas que ejecuten
SQL Server deberán verificar la actualización de sus servidores.


Microsoft recomienda a los usuarios la actualización de la versión de
Jet (publicada el 14 de mayo de 2002) que puede descargarse desde:
http://www.microsoft.com/windows2000/downloads/recommended/q282010/default.asp





Antonio Ropero
antonior@hispasec.com


Más información:

OpenDataSource Buffer Overflow
http://www.nextgenss.com/advisories/mssql-ods.txt



jueves, 20 de junio de 2002

Se publica la actualización de Apache

La fundación Apache ha publicado actualizaciones para sus servidores
HTTPD, que solucionan graves problemas de seguridad.
Apache es el servidor web más popular del mundo, con más del 60% de
cuota de mercado. Se trata de un proyecto de Código Abierto, con
versiones disponibles para casi cualquier sistema operativo imaginable.

Las versiones de Apache previas a la 1.3.26 y 2.0.39 son susceptibles a
un ataque realizado a través de cabeceras incorrectas en los "chunked
data". Los "chunked data" (datos troceados) permiten enviar segmentos de
datos de forma paulatina, por ejemplo, si no conocemos el tamaño final
de los datos pero queremos realizar la transmisión a medida que los
vamos obteniendo, en vez de esperar a tenerlos todos. Se trata de una
modalidad de protocolo HTTP poco utilizada.

Las versiones de Apache previas a la 1.3.26 y 2.0.39 no gestionan
adecuadamente la presencia de valores ilegales en la cabeceras "chunked
data". Los efectos que esto provoca son:

a) Si el servidor es 1.3.* y está ejecutándose bajo plataformas Unix y
CPU 32 bits, el ataque sólo consigue matar un proceso Apache hijo. Dado
que Apache 1.3.* está diseñado para utilizar un proceso padre como
monitor, y varios procesos hijos para atender las peticiones en sí, con
cada proceso atendiendo una petición concreta en cada momento, este
ataque simplemente obliga al proceso padre monitor a lanzar un nuevo
proceso hijo. Ello supone un pequeño incremento del consumo de CPU. Se
trataría, por tanto, de un ataque DoS (Denegación de Servicio), pero de
baja incidencia y efectividad, dependiendo del sistema operativo.

b) Si el servidor es 1.3.*, está ejecutándose bajo plataforma UNIX y la
CPU es de 64 bits, el atacante puede lograr, bajo ciertas condiciones y
sistemas operativos, ejecutar código arbitrario en el sistema, con los
privilegios del proceso Apache.

c) Si el servidor es 1.3.* y está ejecutándose bajo MS Windows, el
atacante puede ejecutar código arbitrario en el servidor, con los
privilegios del proceso Apache.

d) Si el servidor es 2.0.*, el atacante puede desencadenar un ataque DoS
(Denegación de Servicio), cuya efectividad depende de la plataforma y de
los detalles de configuración del servidor Apache.

Existen ya "exploits" que aprovechan esta vulnerabilidad. Se recomienda
a todos los usuarios de Apache que actualicen cuanto antes a la versión
1.3.26 o 2.0.39.

Es de destacar que Apache haya publicado actualizaciones de su servidor
web apenas dos días después de que se hiciese pública la vulnerabilidad,
tal y como se publicó en uno de nuestros boletines "una-al-día" del
pasado lunes.

Enhorabuena a la fundación Apache por su velocidad de respuesta, y tirón
de orejas a ISS por publicar la vulnerabilidad sin advertir previamente
a Apache.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache HTTP Server Project
http://httpd.apache.org/

Boletín de seguridad Apache
http://httpd.apache.org/info/security_bulletin_20020617.txt

CERT® Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html

17/06/2002 - Vulnerabilidad en Apache
http://www.hispasec.com/unaaldia.asp?id=1331



miércoles, 19 de junio de 2002

La XBOX al descubierto (II)

Se difunde detallada documentación técnica, obtenida a través de
ingeniería inversa, sobre la consola Microsoft XBOX.
XBOX es una consola de videojuegos diseñada por Microsoft. Consta de una
CPU x86 a 733Mhz, 64 Mbytes de memoria RAM, un chip gráfico de última
generación, un lector de DVD y un disco duro. En realidad, se trata,
prácticamente, de un PC casi estándar. La XBOX, no obstante, dispone de
diversas contramedidas para evitar la piratería de videojuegos y la
elaboración de software de forma no autorizada por Microsoft.

El pasado Enero, HispaSec publicó un boletín en este mismo medio,
informando de la publicación del código objeto de la BIOS de la XBOX. En
esta ocasión, Andrew "bunnie" Huang descibe los fundamentos
criptográficos internos de la consola utilizados, por ejemplo, para
verificar la integridad y no alteración de la BIOS de la misma.

El documento, 15 páginas en inglés y disponible en PDF, proporciona una
lectura más que interesante a los aficionados a la ingeniería inversa.
Se publica, con todo lujo de detalles, el proceso de arranque de la
consola, y las relaciones criptográficas puestas en juego.

La XBOX arranca desde un bloque de 512 bytes integrado en el diseño del
propio "chipset" de la consola. Dicho bloque realiza una inicialización
básica del sistema, carga el "bootloader" desde la memoria FLASH, lo
descifra, verifica su integridad y le pasa el control de la ejecución.
El "bootloader", a su vez, completa la inicialización de la máquina,
carga una imagen kernel desde la memoria FLASH, la descifra, la
descomprime y verifica su integridad, pasándole el control.

De esta forma Microsoft se asegura que el sistema operativo almacenado
en la memoria FLASH no sea analizable y, sobre todo, modificable por
terceras partes.

La clave del ataque consiste en identificar el hecho de que el arranque
del sistema se realiza a través del bloque oculto en el "chipset", y no
en el vector de arranque de la memoria FLASH, que contiene rutinas
aparentemente fidedignas pero que no funcionan correctamente. Una vez
conocido este hecho, es tarea relativamente simple interceptar el bus
que va del "chipset" a la CPU y capturar el sector de arranque realmente
ejecutado por la consola cuando se inicializa.

Una vez capturado dicho bloque, que está en texto claro para poder ser
ejecutado por la CPU, se obtienen las rutinas de descifrado del
"bootloader" y su clave asociada. Con esta información resulta trivial
elaborar un nuevo "bootloader" y un nuevo "kernel", y reprogramar la
memoria FLASH con ellos. También, por supuesto, se puede utilizar esta
información para analizar el contenido de la memoria FLASH original de
la videoconsola.

El total, toda la experiencia consumió apenas 3 semanas de trabajo de
una persona, y 50 dólares en equipamiento.

Un detalle importante ha sido el descubrimiento de que el software de la
consola tiene acceso al número de serie hardware de la máquina. Ello
abre un mundo de posibilidades una vez que la consola se conecta a
Internet, por ejemplo, desde el punto de vista de identificar y seguir a
usuarios y sus hábitos.

También se ha encontrado una importante vulnerabilidad en el código de
arranque del "chipset", ya que para la inicialización del hardware de la
consola toma valores de una tabla, no cifrada, contenida en la memoria
FLASH. Alterando dicha tabla, que no está cifrada ni autentificada,
puede conseguirse alterar el arranque del equipo, saltándose las rutinas
de descifrado y verificación. Ello permitiría reprogramar la FLASH con
código propio, sin tener que preocuparse de obtener la clave de cifrado
del sistema.

La ingeniería inversa con fines de "interoperatividad" está protegida
por ley en muchos países del mundo, incluyendo EE.UU. y España. En ese
sentido, este "ataque", que abre la puerta a la posibilidad de ejecutar
código propio en la consola, sería legal.

Estos descubrimientos facilitan enormemente iniciativas como la de
desarrollar una versión de Linux para la XBOX. Esto es extremadamente
interesante, porque la XBOX se convertiría en un potente ordenador a muy
bajo coste.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Keeping Secrets in Hardware: the Microsoft XBox TM Case Study
ftp://publications.ai.mit.edu/ai-publications/2002/AIM-2002-008.pdf
http://web.mit.edu/bunnie/www/proj/anatak/AIM-2002-008.pdf


Keeping Secrets in Hardware: Xbox Case Study
http://slashdot.org/article.pl?sid=02/06/01/1656228&mode=thread&tid=172

bunnie's adventures hacking the Xbox
http://web.mit.edu/bunnie/www/proj/anatak/xboxmod.html

MIT grad student hacks into Xbox
http://www.msnbc.com/news/761330.asp?cp1=1

Un estudiante consigue las claves de seguridad de la Xbox
http://www.idg.es/pcworld/noticia.asp?idn=23867

Hackeando una XBox
http://barrapunto.com/article.pl?sid=02/06/01/230248&mode=thread&threshold=

03/01/2002 - Xbox al descubierto
http://www.hispasec.com/unaaldia.asp?id=1166



martes, 18 de junio de 2002

Microsoft rectifica el parche para la vulnerabilidad de MSN Chat

El pasado 11 de mayo Hispasec informó de una vulnerabilidad que
podía permitir la ejecución de comandos en usuarios que utilicen MSN
Messenger, MSN Chat y Exchange Instant Messenger. Se ha comprobado
que el parche que ofrecía Microsoft para solucionar el problema no
actuaba correctamente.
MSN Chat Control, MSN Messenger en sus versiones 4.5 y 4.6, y Exchange
Instant Messenger 4.5 y 4.6 están afectados por un problema de
seguridad que podría permitir a un atacante ejecutar comandos en la
máquina de la víctima. Para ello el atacante utiliza la posibilidad de
causar un desbordamiento de búfer en "ResDLL", un parámetro del
control ActiveX MSN Chat, con ello conseguiría la ejecución de código
en la máquina afectada con los privilegios del usuario atacado.

La multinacional del software a podido comprobar que el anterior
parche ofrecido a sus usuarios no ofrecía los parámetros de seguridad
deseados. Por ello, pone a disposición de sus usuarios un nuevo
parche, que esta vez esperemos tenga el efecto deseado.
Igualmente están a disposición de los usuarios versiones corregidas
para el software afectado.

MSN Chat control:
http://chat.msn.com

MSN Messenger:
http://messenger.msn.com/download/download.asp?client=1&update=1

Exchange Instant Messenger:
http://www.microsoft.com/Exchange/downloads/2000/IMclient.asp

Parche disponible en la dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39632



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Unchecked Buffer in MSN Chat Control Can Lead to Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-022.asp

Grave problema de seguridad en MSN Chat
http://www.hispasec.com/unaaldia.asp?id=1294

Problemas de seguridad en MSN Messenger
http://www.hispasec.com/unaaldia.asp?id=272



lunes, 17 de junio de 2002

Vulnerabilidad en Apache

Todas las versiones del servidor web Apache se ven afectadas por
una vulnerabilidad en las funciones encargadas de procesar las
peticiones erróneas codificadas de forma troceada. Se trata de
una vulnerabilidad explotable de forma remota.
Las versiones de Apache hasta la 1.3.24 (incluida) y hasta la
2.0.36 (incluida) tienen un problema en las funciones que
procesan las peticiones erróneas recibidas que estén codificadas
de forma troceada ("chunked encoding").

Cuando un atacante remoto envíe una serie de peticiones
codificadas de una forma especial, la vulnerabilidad puede
provocar la finalización del proceso hijo que está procesando la
petición. Por tanto el atacante puede provocar una condición de
denegación de servicio.


Adicionalmente, en las versiones 1.x de Apache, además, se
produce un desbordamiento de memoria intermedia. En las
plataformas Unix de 32-bit, este desbordamiento originará una
violación de segmentación y el proceso finalizará. En las
plataformas de 64-bit, en cambio, este desbordamiento puede
llegar a ser controlado por el atacante para forzar la ejecución
de código. Por lo que se refiere a la plataforma Windows, ya se
ha verificado la posibilidad de ejecutar código arbitrario en el
servidor.

Las versiones 2.x de Apache detectan de forma correcta la
situación de error, por lo que no es posible que el atacante
ejecute código en el servidor.

Esta vulnerabilidad ha sido reportada inicialmente por ISS, que
ha facilitado un parche para el código fuente de Apache. No
obstante, según informan desde el proyecto Apache el parche
propuesto por ISS no soluciona la vulnerabilidad.

Se espera que en las próximas horas estén disponibles versiones
actualizadas de Apache 1.3 y 2.0 que eliminen esta
vulnerabilidad. Aprovechamos para recordar que muchos otros
productos (IBM WebSphere, Oracle 9ias...) incluyen servidores web
basados en Apache que son, igualmente, vulnerables a este
problema.



Xavier Caballé
xavi@hispasec.com


Más información:

Apache Security Advisory (June 17, 2002)
http://httpd.apache.org/info/security_bulletin_20020617.txt

Remote Compromise Vulnerability in Apache HTTP Server
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20502

Vulnerabilitat a Apache
http://www.quands.info/alertes/html/apache020617.html

CERT® Advisory CA-2002-17
Apache Web Server Chunk Handling Vulnerability
http://www.cert.org/advisories/CA-2002-17.html



domingo, 16 de junio de 2002

Elevación de privilegios local a través del RAS phonebook

El Servicio de Acceso Remoto (RAS) incluye una libreta de direcciones
para teléfonos (phonebook), utilizada para almacenar información sobre
la configuración de las conexiones de acceso remoto. Un desbordamiento
de buffer en esta aplicación permitiría a un atacante local ejecutar
código arbitrario con los máximos privilegios.
La vulnerabilidad afecta a Windows NT 4.0, Windows 2000 y Windows XP,
si bien las mayores implicaciones de seguridad se presentan en las
máquinas que ofrezcan servicios de Terminal Server, ya que los usuarios
remotos podrán llevar a cabo el ataque de forma local en el servidor.

Microsoft ha publicado los siguientes parches según versión:

Microsoft Windows NT 4.0


http://www.microsoft.com/ntserver/nts/downloads/security/q318138/default.asp

Microsoft Windows NT 4.0 running RRAS (sólo versión en inglés)


http://www.microsoft.com/ntserver/nts/downloads/security/q318138/default.asp

Microsoft Windows NT 4.0 Terminal Server Edition

http://www.microsoft.com/ntserver/terminalserver/downloads/security/q318138/default.asp

Microsoft Windows NT 4.0 Terminal Server Edition running RRAS (sólo inglés)


http://www.microsoft.com/ntserver/terminalserver/downloads/security/q318138/default.asp

Microsoft Windows 2000


http://www.microsoft.com/windows2000/downloads/security/q318138/default.asp

Microsoft Windows XP


http://www.microsoft.com/downloads/release.asp?ReleaseID=38833

Microsoft Windows XP 64-bit Edition


http://www.microsoft.com/downloads/release.asp?ReleaseID=39011



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletin MS02-029


http://www.microsoft.com/technet/security/bulletin/MS02-029.asp



sábado, 15 de junio de 2002

La criptografía pone en peligro la historia de Noruega

La muerte del responsable de la conservación y archivado de los más
importantes documentos históricos de Noruega los había dejado
completamente inaccesibles.
Los documentos se conservaban cifrados, y la única persona que conocía
la clave ha muerto y nunca se la comunicó a nadie más.

Ottar Grepstad, director del Centro Nacional de Lenguaje y Cultura de
Noruega, realizó un llamamiento mundial solicitando ayuda para atacar el
cifrado o sus contraseñas, y así recuperar los documentos.

Las buenas noticias son que, apenas cinco horas más tarde, un
programador sueco envió la clave: LADEPUJD. Hasta el momento, se han
recibido más de un centenar de correos electrónicos indicando la clave
correcta.

La clave, aunque parece aleatoria, se trata, en realidad, del nombre
escrito al revés del propietario original de los archivos. Esa
información se indicaba en el "dossier" publicado con los antecedentes
de los archivos, con la esperanza de que proporcionasen alguna pista
sobre la clave utilizada, como así ha sido.

Resulta interesante reflexionar sobre a) No haber tomado medidas para
evitar que la clave de cifrado de documentos tan importantes no
estuviesen en manos de una única persona y b) La baja calidad de la
clave seleccionada por dicha persona, que la hacía completamente
predecible...



Jesús Cea Avión
jcea@hispasec.com


Más información:

Crack a Password, Save Norwegian History
http://slashdot.org/article.pl?sid=02/06/05/0650234

Dead Men Tell No Passwords
http://www.wired.com/news/culture/0,1284,52997,00.html

Los muertos no revelan jamás las contraseñas
http://barrapunto.com/article.pl?sid=02/06/10/0943203

Hackers respond to password challenge
http://www.norwaypost.com/content.asp?folder_id=1&cluster_id=19820

Noruega pide ayuda a 'hackers' para abrir un archivo digital histórico
http://www.elpais.es/suple/ciberpais/articulo.html?d_date=20020613&xref=20020613elpcibenr_1&type=Tes&anchor=elpcibred

The password mystery
http://webon.prodat.no/wsp/aasentunet/webon.wsp?func=list&table=CONTENT&func_id=20020606&template=content

Aasentunet
http://www.aasentunet.no/

A Swedish Solution of the Password Mystery
http://webon.prodat.no/wsp/aasentunet/webon.wsp?func=list&table=CONTENT&func_id=20020610b&template=content



viernes, 14 de junio de 2002

Ejecución de código en SQL Server 2000 vía SQLXML

SQLXML permite a Microsoft SQL Server 2000 procesar tanto consultas
como respuestas basadas en XML (Extensible Markup Language). Se han
detectado dos vulnerabilidades en este componente, la primera permite
la ejecución de código arbitrario en el servidor IIS donde se
hospedara SQL Server, la segunda inyectaría código script en los
sistemas de los usuarios que accedieran al servidor SQL afectado.
La primera de las vulnerabilidades se puede explotar a través de un
desbordamiento de buffer detectado en el filtro ISAPI SQLXML. Las
implicaciones son máximas, ya que se podría ejecutar código arbitrario
de forma remota y por tanto lograr el control total del sistema
afectado. En la instalación predeterminada el filtro SQLXML no se
activa por defecto, por lo que en los servidores afectados esta
extensión del IIS habrá sido configurada de forma manual por el
administrador de sistemas.

La segunda de las vulnerabilidades se puede explotar incluyendo código
script en el parámetro Root de una consulta XML al servidor SQL. El
código inyectado en esta etiqueta podrá formar parte de la respuesta
del servidor SQL a la consulta de cualquier otro usuario y ejecutarse
en su sistema bajo los privilegios de la Zona Intranet.

Microsoft facilita los siguientes parches según versión:

Microsoft SQLXML (versión distribuida con SQL 2000 Gold)
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39547

Microsoft SQLXML versión 2
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38480

Microsoft SQLXML versión 3
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38481



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletin MS02-030
http://www.microsoft.com/technet/security/bulletin/MS02-030.asp



jueves, 13 de junio de 2002

Usabilidad y seguridad. Kazaa como ejemplo a no seguir

Un reciente estudio muestra como las deficiencias de usabilidad
en la interfaz de usuario de Kazaa puede comprometer la seguridad
y privacidad de los usuarios, sin el conocimiento de éstos.
En los últimos años diversos investigadores han analizado la
usabilidad del software en general, identificando diversas
prácticas que tienden a dificultar la utilización de los
programas informáticos por parte de los usuarios.

Centrándonos en los productos específicos de seguridad, los
diversos estudios efectuados han puesto de relieve la existencia
de importantes carencias en todo aquello que concierne a la
usabilidad. Estos análisis habitualmente se realizan combinando
el estudio las decisiones tomadas en el desarrollo de la interfaz
de usuario con las directrices de lo que se entiende por un buen
diseño y el 'estudio de campo': enfrentar a un usuario con el
programa y ver como responde ante el mismo.

La existencia de las carencias en la usabilidad provocan que los
usuarios tengan dificultades en la utilización de los productos,
tengan que navegar por las diferentes opciones o sistemas de
ayuda para localizar una opción en concreto, seleccionen de forma
inadecuada una función errónea o, en la peor de las situaciones,
convencer al usuario de algo totalmente incorrecto.

El estudio concreto que comentamos en este boletín, realizado un
investigador de HP y otro de la universidad de Minnesota, se
centra en uno de los productos más populares para el intercambio
de archivos entre usuarios: Kazaa.

Si bien Kazaa no es un producto de seguridad, es obvio que su
utilización tiene importantes implicaciones en la seguridad del
ordenador. El hecho de poder compartir archivos, que serán
accesibles por el resto de los usuarios. Conociendo esto, durante
el diseño del producto deberían haberse tomado las medidas
necesarias para impedir que los usuarios compartieran, sin su
expreso conocimiento, la información privada y los datos
personales existentes en su ordenador.

El estudio analiza dos situaciones: los usuarios son conscientes
de las opciones del programa para compartir archivos y ¿existen
usuarios que utilizan Kazaa para localizar información
confidencial de otros usuarios?

Para responder a la primera situación, se enfrentó a un grupo de
doce usuarios con el programa y se les planteó que determinaran
cuales eran los archivos y carpetas del sistema que eran
accesibles por los usuarios externos. Muchos de estos usuarios
habían utilizado previamente otros productos de intercambio de
archivos (Napster, Morpheus o el propio Kazaa). Su perfil era el
de un usuario habitual de los ordenadores e Internet, con una
media de diez horas semanales ante el ordenador.

Los resultados son bien explícitos: únicamente dos usuarios
fueron capaces de determinar correctamente los archivos que se
encontraban compartidos y sólo uno indicó correctamente que
cualquier tipo de archivo en el ordenador puede ser visible por
los usuarios externos y no únicamente los archivos de música y
las películas.

En lo que se refiere a la utilización que actualmente se hace de
Kazaa para obtener datos confidenciales, los investigadores
colocaron un ordenador con diversos archivos que, por su nombre,
se identificaban como contenedores de información potencialmente
privada: "CreditCard.xls". Sólo fue necesario que transcurriera
un día para que cuatro usuarios distintos de Kazaa accedieran a
este archivo.

Los investigadores también trataron de localizar a usuarios que
estuvieran compartiendo su correo electrónico, identificando a
varios centenares de usuarios distintos que no sólo ofrecían sus
archivos de correo electrónico sino que, en muchas ocasiones,
todo el contenido de su disco.

A partir de estos hechos, se realiza un análisis de los motivos
por los cuales los usuarios de Kazaa acaban configurando el
producto para permitir un acceso completo al material
confidencial y privado de sus ordenadores. Todos estos problemas
son atribuidos directamente a problemas de usabilidad en Kazaa.

Como hemos indicado anteriormente lo peor que puede hacer un
programa es confundir a sus usuarios y hacerles creer que la
situación es una cuando en realidad sucede algo diametralmente
opuesto. Esto es lo que pasa con Kazaa: muchos de sus usuarios
desconocen que la utilización de este producto y su configuración
errónea puede poner todo el contenido de su máquina al alcance
del resto de la comunidad de usuarios de Kazaa.



Xavier Caballé
xavi@hispasec.com


Más información:

Usability and privacy: a study of Kazaa P2P file-sharing
http://hpl.hp.com/shl/papers/kazaa

Report: Kazaa Insecure, Users Oblivious
http://www.newsfactor.com/perl/story/18136.html

User Interaction Design for Secure Systems
http://www.sims.berkeley.edu/~ping/sid/

Why Johnny can't encrypt: A usability evaluation of PGP 5.0
http://www.cs.cmu.edu/~alma/johnny.pdf

Usability of Security: A Case Study
http://reports-archive.adm.cs.cmu.edu/anon/1998/abstracts/98-155.html



miércoles, 12 de junio de 2002

Ejecución de código vía .HTR en Internet Information Server

Microsoft publica un parche que corrige una vulnerabilidad en el
filtro ISAPI HTR, su explotación permitiría la ejecución de
código arbitrario en Internet Information Server versiones 4.0
y 5.0 para plataformas Windows NT y 2000.
La explotación de la vulnerabilidad, a través de un desbordamiento
de buffer, puede acarrear al menos una denegación de servicios (DoS),
siendo necesario que el administrador de sistemas reinicie Internet
Information Server 4.0 para que vuelva a funcionar de forma correcta.
En la versión 5.0 de IIS el reinicio del servicio de producirá
automáticamente.

Construyendo un ataque más elaborado es posible lograr la ejecución
de código arbitrario de forma remota. Las implicaciones de seguridad
serán mayores en Internet Information Server 4.0 ya que el código
del atacante se ejecutará con los máximos privilegios, lo que
posibilita que pueda lograr el control total del sistema. En IIS 5.0
el filtro ISAPI HTR se ejecuta bajo el contexto de seguridad de la
cuenta Web Application Manager sin permisos de administrador, lo
que no impide que el atacante pueda aprovechar este primer acceso
para escalar privilegios a través de otras acciones.

Microsoft ha publicado los siguientes parches:

IIS 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39579

IIS 5.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39217

Sin embargo, desde Hispasec, recomendamos la desactivación permanente
del filtro ISAPI HTR, origen de numerosas vulnerabilidades, que no
será necesario en la mayoría de las configuraciones.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletin MS02-028


http://www.microsoft.com/technet/security/bulletin/MS02-028.asp



martes, 11 de junio de 2002

Dos nuevas vulnerabilidades en servidores Oracle

Se han descubierto dos nuevas vulnerabilidades de desbordamiento de
búfer en productos de Oracle. Ambos problemas pueden considerarse de
gravedad al permitir a un atacante tomar el control total de la máquina
afectada.
El primero de los problemas afecta a los servidores Windows con
cualquier versión de Oracle 9i. En estos sistemas el Oracle Net Listener
escucha en el puerto TCP 1521 las peticiones de los clientes para el uso
de la base de datos. La petición, empaquetada en un paquete TNS válido
tiene la forma:

(DESCRIPTION=(ADDRESS=
(PROTOCOL=TCP)(HOST=x.x.x.x)
(PORT=1521))(CONNECT_DATA=
(SERVICE_NAME=oraclesvr.unsistema.com)
(CID=
(PROGRAM=X:\\ORACLE\\iSuites\\BIN\\SQLPLUSW.EXE)
(HOST=foo)(USER=bar))))

Si el atacante modifica este paquete de forma que el parámetro
SERVICE_NAME incluya una cadena de gran longitud, al construir el
mensaje de error para grabarlo en el archivo de registro se producirá el
desbordamiento de búfer con la posibilidad de ejecución de código
arbitrario.

El código proporcionado por el atacante se ejecutará en el contexto de
seguridad del sistema por lo que podrá conseguir el control total del
sistema.

Por otra parte, el segundo de los problemas afecta a cualquier sistema
que ejecute Oracle 9i Application Server. En esta ocasión el Report
Server de Oracle contiene el desbordamiento de búfer en uno de los
programas basados en cgi. Al enviar un nombre de base de datos muy
largo como parámetro de rwcgi60 con el método setauth, el atacante
remoto conseguirá desbordar el búfer con la consiguiente posibilidad
de ejecución de código. En esta ocasión, el código se ejecutará en el
contexto de seguridad de la cuenta bajo la que se ejecute el servidor
web. Normalmente, en las plataformas Unix esta cuenta tiene privilegios
restringidos, sin embargo en los sistemas Windows el servidor web se
ejecuta con permisos del sistema.

Oracle ofrece los parches necesarios para cubrir estas vulnerabilidades,
que pueden descargarse desde la dirección http://metalink.oracle.com con
los números de parche 2367681 y 2224724 respectivamente.



Antonio Ropero
antonior@hispasec.com


Más información:

Buffer Overflow Vulnerability in Oracle9iAS Reports Server
http://otn.oracle.com/deploy/security/pdf/reports6i_alert.pdf

Buffer Overflow Vulnerability in Oracle Net (Oracle9i Database Server)
http://otn.oracle.com/deploy/security/pdf/net9_dos_alert.pdf

Oracle TNS Listener Buffer Overflow
http://www.nextgenss.com/advisories/oratns.txt

Oracle Reports Server Buffer Overflow
http://www.nextgenss.com/advisories/orarep.txt



lunes, 10 de junio de 2002

Hispasec participa en la segunda campaña de seguridad en la Red

Hoy se ha presentado la II Campaña de Seguridad en la Red, que concluirá
el próximo 31 de julio de 2002. Con esta iniciativa de la Asociación de
Internautas, y en la que participa Hispasec se pretende poner un grano
de arena en la necesaria labor de información y formación a la comunidad
internauta sobre el uso y conocimiento de herramientas y conductas
entorno a una convivencia segura en Internet.
La Asociación de Internautas ha constatado la necesidad que tienen
muchos internautas de información especifica sobre seguridad, debido a
la proliferación de virus informáticos, intrusiones en ordenadores
ajenos, confianza en sus transacciones comerciales y un debate sobre la
violación de las comunicaciones electrónicas.

La Asociación de Internautas para paliar esa demanda sobre información
de utilización de herramientas que garanticen seguridad en todos los
aspectos necesarios, ha desarrollado un espacio dentro de su sitio web
http://seguridad.internautas.org. Este apartado estará accesible desde
el lunes 10 de junio hasta el miércoles 31 de julio, bajo el título de
"II CAMPAÑA DE SEGURIDAD EN LA RED".

Al igual que en la primera edición de esta campaña, celebrada a finales
del pasado año, Hispasec participa de forma activa en esta segunda
edición. La primera edición de la campaña se pudo calificar de todo un
éxito con un total de paginas 3.960.000 de páginas vistas y más de
14.000 descargas del programa Checkdialer, desarrollado por Hispasec
Sistemas, para el control y protección de acceso a teléfonos 906.

Los objetivos de esta campaña son los siguientes:

* Limpiar los Ordenadores de virus.
* Navegar con seguridad.
* Preservar la Intimidad de las comunicaciones electrónicas.
* Evitar las intrusiones en los ordenadores.
* Formar e informar a los internautas sobre el uso de herramientas de
seguridad
* Informar sobre las posibilidades de las herramientas software
gratuitas de libre utilización en la Red.
* Favorecer el uso protegido, responsable y no intrusivo de las nuevas
tecnologías de la información.
* Estimular el conocimiento tecnológico, la netiqueta y la
responsabilidad ciudadana de los Internautas
* Estimular la confianza en el uso de la Red, para fines sociales,
formativos, informativos, comerciales y transaccionales
* Involucrar a los agentes sociales, empresas y organizaciones en la
extensión del concepto de seguridad de uso de Internet



Antonio Ropero
antonior@hispasec.com


Más información:

II Campaña de seguridad en la Red:
http://seguridad.internautas.org



domingo, 9 de junio de 2002

Inyección de código en Internet Explorer vía FTP

Internet Explorer permite ejecutar scripts y comandos de forma
arbitraria a través de una vulnerabilidad existente en la
funcionalidad "Habilitar la lista de carpetas para los sitios FTP"
activada por defecto. En el momento de redactar esta nota no había
constancia de ninguna solución por parte de Microsoft.
Para que la vulnerabilidad se pueda explotar es necesario que el
Explorador de Windows tenga señalada la opción "como una página Web"
en el menú Ver o "Permitir la existencia de contenido web en las
carpetas" en el menú Herramientas, según la versión de Windows, si
bien son opciones que se encuentran activadas por defecto.

El código inyectado en la dirección del servidor FTP se ejecutará en
la zona de seguridad local, con mayores privilegios sobre el sistema.
El problema se explota a través del archivo FTP.HTT, invocado por la
funcionalidad "Habilitar la lista de carpetas para los sitios FTP".

Microsoft fue avisada el 21 de diciembre de 2001, sin que hasta la
fecha haya hecho público ningún aviso ni corrección al respecto. La
vulnerabilidad ha sido probada con éxito sobre IE versiones 5.5 y 6.0

Para evitar la vulnerabilidad se recomienda desactivar las opciones
"Habilitar la lista de carpetas para los sitios FTP" que se encuentra
en Internet Explorer, menu Herramientas, en Opciones de Internet.
Mientras que en Explorer de Windows deberíamos desactivar la opción
"como una página Web" en el menú Ver o "Permitir la existencia de
ontenido web en las carpetas" en el menú Herramientas, según la
versión de Windows que tengamos (9x/NT/2000).

Una demostración de la vulnerabilidad puede encontrarse en la
dirección: http://www.geocities.co.jp/SiliconValley/1667/advisory02e.html



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Internet Explorer 'Folder View for FTP sites' Script
Execution Vulnerability
http://www.geocities.co.jp/SiliconValley/1667/advisory02e.html



sábado, 8 de junio de 2002

Vulnerabilidad "gopher" en Internet Explorer

Microsoft Internet Explorer incluye un cliente gopher que contiene un
desbordamiento de buffer explotable. Un atacante podría aprovechar
esta vulnerabilidad para ejecutar código arbitrario en el sistema de
la víctima. En el momento de la redacción de esta nota Microsoft no
ha proporcionado aun el parche para corregir el problema.
Gopher es un protocolo desarrollado en la Universidad de Minnesota a
principios de los años 90 a través del cual los servidores ofrecían
servicios de acceso a directorios y ficheros ordenados de forma
jerárquica. Este protocolo caería en desuso con la aparición del HTTP
y la Word Wide Web.

Microsoft Internet Explorer incluye un cliente gopher que permite
acceder a este tipo de servicios a través de URLs que comiencen con
"gopher://". El módulo de IE encargado de establecer e interpretar
este protocolo contiene un desbordamiento de buffer que resulta
especialmente cómodo para inyectar código y conseguir ejecutar
cualquier comando de forma remota. Según los descubridores de la
vulnerabilidad, han podido explotar el desbordamiento de buffer con
éxito en varias versiones de Internet Explorer, incluidas IE 5.5 y
6.0.

El ataque puede ser lanzado a través de una página web o un mensaje
de correo electrónico con formato HTML que redirigiera a la víctima,
de forma automática, al servidor gopher preparado por el atacante.
El servidor gopher puede ser muy básico, simplemente un programa
que escuche en un puerto TCP y devuelva unos datos, ya que no es
necesario tener un servidor gopher totalmente funcional para llevar
a cabo el ataque.

Una vez que la víctima ha sido conducida al servidor gopher preparado
por el atacante, la explotación de la vulnerabilidad permite llevar
a cabo cualquier tipo de operación sobre el sistema, como robar
datos sensibles, borrar información, descargar y ejecutar programas,
etc.

A la espera del parche de Microsoft, los usuarios que se conecten
a través de un proxy puede protegerse definiendo un servidor proxy
inexistente en el apartado gopher, por ejemplo introduciendo
localhost como direccion y 1 como puerto.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Buffer overflow in Microsoft Internet Explorer gopher code
http://www.solutions.fi/index.cgi/news_2002_06_04?lang=eng



viernes, 7 de junio de 2002

Desbordamiento de búfer en eDonkey 2000

El popular programa para compartir ficheros eDonkey 2000 se ve afectado
por un problema por el cual un atacante podría causar un desbordamiento
de búfer.
Si bien eDonkey 2000 tiene clientes que corren sobre plataformas
Windows, Linux y Mac, es la primera de estas la que se ve afectada por
el problema. Aunque en el momento de la aparición de esta noticia sólo
se había comprobado esta vulnerabilidad en la versión v35.16.59 se
estima que las demás versiones que corren sobre Windows se ven
igualmente afectadas.

Una de las características más atractivas del cliente es el soporte del
protocolo virtual "ed2k" que permite a las direcciones URLs comenzar una
transferencia directa a través del cliente. Para ello basta con incluir
un enlace dentro de una página web o un e-mail. Esto ha permitido una
gran proliferación de sitios webs dedicados a proporcionar este tipo de
enlaces. El protocolo ed2k únicamente llama a "gdonkey %1", donde "%1"
es la dirección url solicitada.

Ejemplo:
<A
href="ed2k://¦file¦QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ
QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ
QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ
QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQBBBBAAA¦1¦1111111111111111
1111111111111111¦">Desbordamiento de búfer de Ed2k</A>

Si un usuario se encontrara esta url, lógicamente camuflada como un link
normal, activaría el eDonkey con el fin de agregar, esta dirección
maliciosamente construida, junto a las direcciones pendientes de bajada.
Pero lo que conseguiría realmente es que el cliente fallara y se
cerrara.

Existe una nueva versión del cliente Windows de eDonkey que soluciona el
problema y se encuentra disponible en la dirección:
eDonkey2000 v35.16.61 Windows 9x/ME/XP/NT/2000
http://www.edonkey2000.com/files/eDonkey61.exe



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

eDonkey 2000 ed2k: URL Buffer Overflow


http://online.securityfocus.com/archive/1/275708



jueves, 6 de junio de 2002

Vulnerabilidad en el componente ASP.NET de Microsoft

Un problema en el tratamiento de cookies en el componente ASP.NET puede
dejar vulnerables a un ataque de desbordamiento de búfer a determinadas
aplicaciones desarrolladas bajo el entorno .NET de Microsoft.
ASP.NET es una colección de tecnologías de Microsoft destinadas a ayudar
a los desarrolladores a construir aplicaciones web. En cualquier caso,
las aplicaciones web, incluyendo las construidas mediante la utilización
de ASP.NET dependen del protocolo http para proporcionar la
conectividad. Una característica de este protocolo es que este no tiene
información sobre el estado anterior, lo que quiere decir que cada
petición de una página de un usuario a un sitio es considerada como una
nueva petición, independientemente de lo que haya ocurrido
anteriormente. Para compensar esto, ASP.NET proporciona una
administración del estado de la sesión a través de diferentes modos.

Uno de estos modos es el modo StateServer. A través de este modo, se
almacena la información del estado de la sesión en un proceso diferente.
Existe una vulnerabilidad de desbordamiento de búfer en una de las
rutinas que realiza el tratamiento de las cookies en el modo
StateServer.

Un ataque con éxito podrá provocar el reinicio de la aplicación ASP.NET.
Esto ocasionará que todos los usuarios de la aplicación web vean como
esta se cierra y pierdan todos los datos de la sesión en uso. Como
efecto más grave el atacante podrá lograr la ejecución de código en el
servidor afectado.

Como factores atenuantes se destacan que el modo StateServer no es el
modo por defecto, además deberá hacer uso de cookies para que la
aplicación sea vulnerable.

Microsoft ha publicado una actualización para evitar este problema que
se puede descargar desde la siguiente dirección:
Microsoft .NET Framework version 1.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39298



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-026.
Unchecked Buffer in ASP.NET Worker Process
http://www.microsoft.com/technet/security/bulletin/ms02-026.asp



miércoles, 5 de junio de 2002

SSH, o como establecer conexiones y copiar ficheros de forma segura

Cuando se necesita administrar una máquina UNIX de forma remota, lo
primero que viene a la cabeza es "telnet". Pero, ¿qué ocurre si la
máquina en cuestión está al otro lado del mundo y las redes de datos que
debemos atravesar no nos merecen confianza?.
Para hacer frente al problema de acceder a máquinas remotas para
administrarlas, y para copiar ficheros de forma segura, hace años que se
definió un estándar informal denominado SSH (Secure SHell). A través de
este protocolo, un administrador puede:

a) Copiar ficheros desde y hacia máquinas remotas, de forma segura.

b) Acceder a dichas máquinas remotas de forma segura.

c) Poder canalizar cualquier conexión TCP/IP, de forma similar a una
VPN, de forma segura.

d) Ambos extremos de la conexión se autentifican mutuamente. Es decir,
el servidor sabe que somos su administrador, y nosotros sabemos que
-efectivamente- nos estamos conectando a nuestro servidor, no a una
máquina intermedia maliciosa.

Todo ello a través de un protocolo muy ligero y relativamente sencillo,
al menos si se compara con una VPN actual. No debemos olvidar que cuando
se definió el protoclo SSH no existía el concepto de VPN como tal.

Aunque el desarrollador original de SSH tiene productos comerciales,
existe una implementación gratuita y de código fuente abierto llamada
"OpenSSH". La implementación, disponible para casi cualquier sistema
Unix, permite utilizar los protocolos SSH de forma simple y efectiva.
Existen infinidad de implementaciones SSH para Windows e, incluso,
clientes JAVA. Se puede obtener más información á través de los enlaces
incluidos al final de este boletín.

En resumen, SSH es un protocolo con el que cualquier administrador de
entornos UNIX debería estar familiarizado, ya que permite despreocuparse
de la seguridad de las líneas de comunicaciones que utilicemos.

En los enlaces que siguen se pueden encontrar tres interesantes
artículos detallando el uso de las claves asimétricas en SSH.



Jesús Cea Avión
jcea@hispasec.com


Más información:

La suite SSH (Secure SHell)

http://bernia.disca.upv.es/~iripoll/seguridad/09-ssh/09-ssh.html

OpenSSH

http://www.openssh.com/

SSH

http://www.ssh.com/

Common threads: OpenSSH key management, Part 1

http://www-106.ibm.com/developerworks/linux/library/l-keyc.html

Common threads: OpenSSH key management, Part 2

http://www-106.ibm.com/developerworks/linux/library/l-keyc2/

Common threads: OpenSSH key management, Part 3

http://www-106.ibm.com/developerworks/linux/library/l-keyc3/?loc=dwmain



martes, 4 de junio de 2002

Vulnerabilidad DoS remota en servidores DNS ISC BIND 9

Se ha descubierto una vulnerabilidad en ISC BIND versión 9 que puede
permitir a un atacante remoto neutralizar los servidores DNS.
ISC BIND y sus derivados es el software de servidor de DNS predominante
en Internet. El DNS se emplea para efectuar la traslación los nombres de
host o de dominio, sencillos de recordar por el usuario, en sus
correspondientes direcciones IP. Los atacantes podrán emplear esta
vulnerabilidad para provocar la caída de los servidores DNS. Como
efecto, al no funcionar el servidor encargado de efectuar la traducción
entre nombres y direcciones IP, dejarán de funcionar todos los servicios
dependientes de dicho DNS.

El ISC (Internet Software Consortium) es una organización sin ánimo de
lucro que produce y mantiene proyectos de software Open Source y opera
uno de los servidores raíz de DNS de Internet. ISC BIND está incluido en
la gran mayoría de los sistemas operativos basados en UNIX.

Existe un problema en BIND que puede permitir a un atacante remoto
provocar un error y consecuentemente la caída del programa servidor
(named). El servidor deberá ser reiniciado de forma manual. Esta
vulnerabilidad está presente en la rutina dns_message_findtype(). Bajo
condiciones normales de operación, la variable rdataset no es NULL. El
exploit fuerza a rdataset a que sea null o vacía, lo que provoca un
error y la llamada a abort(), que cierra el servidor DNS.

Se recomienda a los administradores de BIND 9 la actualización a la
versión 9.2.1. Las versiones 4 y 8 no se ven afectadas por el problema.



Antonio Ropero
antonior@hispasec.com


Más información:

CERT Advisory CA-2002-15

Denial-of-Service Vulnerability in ISC BIND 9


http://www.cert.org/advisories/CA-2002-15.html

Remote Denial of Service Vulnerability in ISC BIND


http://www.iss.net/security_center/alerts/advise119.php

ISC BIND:


http://www.isc.org/products/BIND/



lunes, 3 de junio de 2002

Nuevo resumen trimestral del CERT

El CERT acaba de publicar un nuevo resumen trimestral sobre las
vulnerabilidades más difundidas y los ataques más en boga en Internet.
Las vulnerabilidades más explotadas en los últimos tres meses son:

* Vulnerabilidades en el MS SQL Server.

* Desbordamientos de búfer en el ActiveX del Microsoft MSN Chat.

* Error de formato en el servidor DHCP de ISC.

* Desbordamiento de búfer en el demonio CacheFS.

* Diversas vulnerabilidades en el IIS de Microsoft.

* Múltiples vulnerabilidades en las bases de datos Oracle.

* Ataques de ingeniería social sobre IRC, Chat y mensajería instantánea.

En el documento CERT se incluyen enlaces a los avisos de seguridad
referentes a cada ataque, en los que se detalla su casuística y la
situación de vulnerabilidad de cada fabricante, parches, etc.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT® Summary CS-2002-02
http://www.cert.org/summaries/CS-2002-02.html



domingo, 2 de junio de 2002

Vulnerabilidad en routers 3Com OfficeConnect Remote 812 ADSL

Se ha detectado la existencia de un problema de seguridad en los routers
3Com OfficeConnect Remote 812 ADSL Router, los instalados por Telefónica
en su servicio ADSL, que puede permitir a un atacante remoto realizar
escaneos de puertos de los ordenadores instalador tras el router.
El problema reside en PAT(Port Address Translation), que puede permitir
el acceso a los puertos del ordenador situado tras el router. Al
intentar conectar a un puerto que no está redirigido al ordenador tras
el router, este se comporta de forma correcta y no hay ningún problema,
el dispositivo impide la conexión. Pero si antes de realizar la conexión
al puerto redirigido con PAT y de forma inmediata se intenta la conexión
con otro puerto no redireccionado el router permite las conexiones
sucesivas a cualquier puerto.

El problema se puede reproducir tanto con puertos UDP como con TCP y ha
sido probado con las versiones del firmaware V1.1.9 y V1.1.7. Al
permitir el acceso de a los puertos del ordenador tras el router, abre
nuevas posibilidades de ataque a un posible usuario malicioso. Para
evitar este problema se recomienda el uso de firewalls personales.



Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerability in 3Com OfficeConnect Remote 812 ADSL Router
http://online.securityfocus.com/archive/1/274239



sábado, 1 de junio de 2002

Denegación de servicio en Exchange 2000

Microsoft Exchange 2000 se ve afectado por un problema de denegación de
servicio, que puede permitir a un atacante lograr el consumo del 100% de
los recursos de la CPU. Microsoft ha publicado un parche para cubrir
este problema.
Con el objeto de soportar el intercambio de mensajes entre diferentes
sistemas, Exchange emplea los atributos de los correos SMTP que se
especifican en las RFCs 821 y 822. Sin embargo existe un fallo en la
forma en que Exchange 2000 realiza el tratamiento de mensajes con los
atributos modificados de forma maliciosa.

Cuando Exchange recibe el correo modificado, el servicio de
almacenamiento intenta procesarlo, pero a causa del error este servicio
provoca que la CPU alcance el 100% de consumo. De esta forma un atacante
puede realizar un ataque de denegación de servicio. Los efectos de este
ataque son peores, ya que reiniciar el servicio o el sistema no evita el
problema, al volver a iniciarse Exchange el almacén continuará con el
procesamiento del mensaje y alcanzará de nuevo el 100% de consumo de
CPU. Será necesario esperar a que Exchange termine de procesar dicho
mensaje para recuperar el funcionamiento habitual.

Microsoft ha publicado un parche con el que se evita este problema,
disponible para su descarga en:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38951



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS02-025):
http://www.microsoft.com/technet/security/bulletin/MS02-025.asp

Descarga de parche para Exchange 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38951