jueves, 31 de octubre de 2002

Comentarios sobre los antivirus perimetrales

Siendo el correo electrónico el principal medio de propagación e
infección de virus informáticos y gusanos, parece lógica la implantación
de sistemas antivirus a nivel de servidores de correo, así como en
otros puntos críticos de la red, por ejemplo un proxy, por donde se
canalizan las conexiones de los usuarios corporativos a Internet.

No obstante la implantación de estos sistemas antivirus no está exenta
de problemas, en especial a nivel de rendimiento cuando se trata de
servidores que manejan un gran volumen de tráfico. Si un usuario es
capaz de notar que su PC se enlentece o se vuelve inestable al instalar
determinado producto antivirus, el caso se complica aun más cuando
hablamos de un servicio tan crítico para la empresa como es el correo
electrónico. A buen seguro son muchos los sufridos administradores de
sistemas los que pueden contarnos más de una batallita en este sentido.

Para contrarrestar este tipo de efectos, o como causa de ellos,
algunos sistemas antivirus hace dejación de sus funciones. Así, por
ejemplo, en algunos casos nos hemos podido encontrar con sistemas
que dejan de analizar mensajes de forma arbitraria cuando hay mucha
carga de trabajo, o aquellos otros que para aumentar su velocidad de
análisis no soportan ciertos formatos de empaquetado o la mayoría de
formatos de compresión, lo que abre en ambos casos una ventana a
la entrada de e-mails infectados.

Aunque los avances son constantes en este terreno, siendo muchos los
servidores de correo que ya incorporan interfaces específicos para
facilitar la función a los antivirus, la propia naturaleza de los
antivirus los penaliza. Esto es así ya que cada día que pasa aumenta
la base de datos de firmas que tienen que contrastar para identificar
a los virus, así como aumenta las formas y formatos en que éstos
pueden ocultarse y presentarse.

También por la propia funcionalidad de los virus y gusanos
tradicionales (dejando a un lado los gusanos para servidores web
y similares), la capacidad de detección los antivirus, sobre todo
a nivel de heurística y proactividad, siempre será menor en un
servidor perimetral que en una estación de trabajo o PC. No en
vano, el servidor perimetral no deja de ser un punto de tránsito
para el virus, mientras que se desenmascara y procede a la
infección y resto de acciones en la estación de trabajo, por lo
que es más fácil detectarlo en esta última.

Para terminar de poner trabas a los antivirus perimetrales, tampoco
hay que pasar por alto que son muchos los casos donde se instala
la misma marca de antivirus en todos los puntos de la red, tanto en
servidores perimetrales como en las estaciones de trabajo, fruto de
"paquetes oferta" o recomendaciones del distribuidor. En estos casos
se está multiplicando el número de análisis que se realizan sobre los
contenidos que llegan a la empresa, pero no su calidad, ya que las
soluciones de la misma marca comparten el fichero de firmas de virus
reconocidos. Si un virus es identificado en el servidor de correo,
también lo sería en la estación de trabajo, y si burla uno de los puntos
probablemente lo hará con el resto. (Antivirus corporativo: dos
(diferentes) mejor que uno. http://www.hispasec.com/unaaldia.asp?id=1388).

Llegados a este punto hay que decir que las soluciones antivirus
perimetrales son recomendables, se trata de una capa más de protección.
Aunque queda claro que están lejos de ser la panacea, y que su
implantación requiere un análisis concienzudo que comprenda una
comparativa de productos con diversos tests sobre la casuística
particular del entorno corporativo donde se ha de instalar. En
algunos casos especiales su instalación puede ser no recomendable,
y en su lugar será más fácil y adecuado, y no por ello menos efectivo,
implantar una política especial de filtros a nivel de contenidos.

Por último, recomendamos que su implantación sea transparente al usuario
y que se haga hincapié en la necesidad de no bajar la guardia a nivel
de estaciones de trabajo, ya que en muchas ocasiones el saber que
existe un antivirus perimetral puede crear una falsa sensación de
seguridad, que conlleva el descuidar las prácticas más básicas de
prevención.


Bernardo Quintero
bernardo@hispasec.com



miércoles, 30 de octubre de 2002

Desbordamiento de buffer en el demonio de administración de Kerberos

Se ha descubierto una vulnerabilidad en las implementaciones de Kerberos
realizadas por el MIT y KTH, así como otras distribuciones derivadas de
las mismas. Un atacante remoto puede conseguir privilegios de root en el
servidor master del reino Kerberos. Se tiene constancia de la existencia
de un exploit que utiliza esta vulnerabilidad.

Kerberos es un protocolo que permite la centralización de los procesos
de autenticación dentro de una red, estando especialmente pensado para
ser utilizado en redes heterogéneas y de grandes proporciones.
Básicamente permite que un cliente autenticado por el servidor central
pueda utilizar su credencial ("ticket") para acceder a los servicios de
la red.

Se ha descubierto que diversas implementaciones de Kerberos tienen
vulnerabilidades de desbordamiento de buffer en el demonio de
administración, kadmind. Este desbordamiento puede ser utilizado por un
atacante remoto para obtener privilegios de root en la máquina que está
ejecutando el demonio vulnerable.

kadmind es un demonio utilizado en las solicitudes que modifican la base
de
datos central de Kerberos, como pueden ser las solicitudes de cambio de
contraseña. Este demonio se ejecuta en el servidor master KDC (Key
Distribution
Center) del reino Kerberos.

El desbordamiento se produce en el código que ofrece compatibilidad
descendente con Kerberos 4. Datos enviados por el cliente son utilizados
como argumento de la función memcpy() sin haber sido anteriormente
validados de forma adecuada, pudiendo llegar a producir el
desbordamiento de buffer y la sobre escritura de la pila. Como el
demonio kadmind se ejecuta con privilegios de root, el código incluido
en el ataque se ejecutará con los máximos privilegios. El ataque puede
ser realizado de forma remota y sin necesidad de que el atacante se
identifique.

Esta vulnerabilidad afecta a la implementación de Kerberos del MIT
(versiones 4 y versiones 5 hasta la krb5-1.2.6, incluida) y también a la
implementación de Kerberos realizada por Kungi Tekniska Högskolan, KTH
(versiones de eBones anteriores a la 1.2.1 y versiones de Heimdal
anteriores a la 0.5.1).

Así mismo, existen diversas implementaciones de Kerberos derivadas del
código del MIT y de KTH que también son vulnerables. Entre estas se
incluyen la versión para MacOS X 10.0, las incluidas en diversas
distribuciones de Linux (Conectiva, Red Hat, SuSE), diversas
implementaciones BSD (FreeBSD, NetBSD, OpenBSD).

Para evitar este problema se recomienda la instalación del parche
apropiado facilitado por el distribuidor de la implementación. Otra
posibilidad es deshabilitar el soporte de Kerberos 4 si éste no es
imprescindible. También es muy recomendable bloquear, en los sistemas de
protección perimetral, cualquier acceso al servicio de administración
que tenga como origen una red que no sea de confianza.



Xavier Caballé
xavi@hispasec.com



martes, 29 de octubre de 2002

4º aniversario de "una-al-día"

Tal día como ayer, 28 de octubre de 1998, se publicó la primera
noticia "una-al-día". Nacía el primer diario de seguridad informática
con un enfoque técnico y práctico para el mundo hispano. Cuatro años
después de actividad ininterrumpida, tiempo más que considerable en
términos de Internet, hacemos balance y abordamos una nueva etapa.

Su nacimiento nada tuvo que ver con una idea preconcebida o un
plan de negocio, ni contó con ningún tipo de ayuda o capital externo.
Partió como una iniciativa entre un reducido grupo de personas
independientes que tenían en la seguridad informática tanto su hobby
como su trabajo, con el propósito de compartir información y fomentar
el conocimiento sobre la seguridad informática.

Al principio fue una lista de distribución privada a la que se
suscribían principalmente técnicos de compañías de seguridad y revistas
especializadas en informática, que conocían de su existencia por el
boca a boca. Dos meses más tarde, promovidos en parte por la buena
aceptación en este ámbito, y con la idea de que pudiera llegar a más
personas interesadas en este sector, se hizo pública su existencia en
la web. Todas las expectativas fueron desbordadas.

Desde ese momento Hispasec ha estado inmersa en una espiral de crecimiento
originada principalmente por la demanda de servicios profesionales, si
bien ha guardado especial celo en conservar y fomentar la independencia
y objetividad de sus orígenes. En estos momentos, y desde hace más de
dos años, es un laboratorio de seguridad independiente, Hispasec Sistemas,
sin ningún tipo de participación ni interés externo, cuyos socios son los
fundadores de "una-al-día", a los que hay que sumar un equipo de
especialistas y expertos en diferentes tecnologías que vienen sumándose
al equipo de trabajo.

Hispasec Sistemas no distribuye ningún tipo de producto o servicios de
terceros, ni mantiene acuerdos tecnológicos con plataformas o sistemas
concretos, lo que la convierte en independiente a la hora de abordar
análisis y proponer soluciones. Por ejemplo, si una empresa necesita
escoger una estrategia antivirus, un sistema IDS, firewalls o implantar
una VPN, nosotros no podemos/queremos venderle ninguna solución
concreta e interesada. En su lugar, obtendrá un estudio personalizado
de los sistemas y procesos, un análisis para determinar que soluciones
se adaptan mejor a las necesidades del cliente, llegando incluso, a demanda
de la empresa, a participar en la negociación de compra, implantación,
configuración, o administración de los mismos, siempre sentados del lado
de la empresa cliente, no como distribuidores o vendedores.

A los servicios de consultoría hay que sumar los de auditorías,
desarrollos, planificación, mantenimiento, formación y sistemas de
alertas e información, además de abordar proyectos específicos y
personalizados según necesidades.

La incursión en el terreno empresarial, lejos de suponer una traba a
"una-al-día" y resto de servicios gratuitos que ofrece Hispasec, nos
ha permitido poder contar con más recursos para soportar el continuo
crecimiento de éstos. Algunas cifras atendiendo sólo a "una-al-día":

* 1.464 noticias "una-al-día" publicadas hasta la fecha
* 41.273 suscriptores diarios por e-mail, activos a día de hoy
* 15 GBs de tráfico mensual derivado sólo del envío de "una-al-día"

Durante estas últimas semanas se viene trabajando en la migración del
sistema de envío y gestión de "una-al-día", cuyas mejoras se harán
aun más patentes para los suscriptores en breve. En los próximos
días se publicará en la web la comparativa antivirus anual
correspondiente al presente año y se liberará la versión 1.0 de
CheckDialer.

Aun hay más, en apenas tres meses Hispasec anunciará un nuevo servicio
gratuito, inédito hasta la fecha a escala mundial, que estamos
convencidos será utilidad para todas las empresas y usuarios finales.

Por último, en nombre de todo el equipo de Hispasec, agradecerles
el apoyo y confianza que han depositado en nuestro trabajo, y animarles
a seguir con nosotros para abordar nuevos servicios en pro de su
seguridad.



Bernardo Quintero
bernardo@hispasec.com



lunes, 28 de octubre de 2002

Preguntas y respuestas sobre los ataques a los servidores raíz del DNS

Tal como recogieron numerosos medios de comunicación, el pasado lunes
día 21 se realizó un ataque distribuido de denegación de servicio contra
los servidores raíz del servicio de nombres de dominio.

¿Qué es el DNS?

El DNS (servicio de nombres de dominio) es el servicio responsable de
realizar la conversión entre los nombres de dominio y sus
correspondientes direcciones IP. Esta conversión puede realizarse en
ambos sentidos: a partir de un nombre de dominio se puede obtener la
dirección IP asociada y viceversa.

El DNS se utiliza para facilitar la identificación de los sistemas
conectados a la red por parte de los seres humanos. A todos nosotros nos
resulta mucho más fácil recordar un nombre de máquina que no su
dirección IP.

La importancia del DNS viene a que, en su ausencia, no es posible
realizar la conversión de direcciones. Como los ordenadores no utilizan
los nombres de dominio en las conexiones, sino que utilizan directamente
las direcciones IP, la ausencia del servicio de conversión hace que,
desde el punto de vista del usuario, "la red no funciona".


¿Qué son los servidores raíz?

Cada vez que se escribe un nombre, éste debe ser traducido a una
dirección IP numérica. Cada ordenador tiene la dirección del servidor de
nombres local, habitualmente configurado por el ISP. Si este servidor de
nombres local no conoce la conversión a realizar, pasa la solicitud de
conversión al servidor responsable del dominio .COM (dominio de primer
nivel). En el caso de que no sepa cuál es el servidor responsable del
dominio de primer nivel, realiza la consulta a uno de los servidores
raíz.

Estos servidores raíz disponen de punteros a todos los servidores
responsables de los dominios de primer nivel: .com, .net, .org, .es,
.uk, .info...

Por ejemplo, cuando intentamos acceder a http://www.hispasec.com un
servidor de DNS realiza los siguientes pasos:

* Consulta a un servidor raíz para conocer que servidor dispone de
información acerca del dominio .COM (dominio de primer nivel).

* Con la información obtenida, conecta al servidor con información del
dominio .COM y solicita que servidor dispone de información del dominio
HISPASEC.COM (dominio de segundo nivel). ?

* Una vez determinado el servidor del dominio HISPASEC.COM, conecta
directamente con él y solicita la dirección IP asociada al nombre de
máquina WWW.HISPASEC.COM

Evidentemente para optimizar todo este proceso, los servidores de
nombres disponen de memorias caché para reducir, siempre que sea
posible, las consultas a los servidores raíz y los servidores
responsables de los dominios de segundo nivel. Cada servidor raíz
atiende, aproximadamente, 270 millones de consultas cada día.

Existen 13 servidores raíz en todo el mundo: diez de ellos están
situados en Estados Unidos, dos en Europa (Londres y Estocolmo) y el
último en Japón. Esta distribución deja un poco que desear, ya que hay
una elevada concentración de servidores en áreas geográficas muy
reducidas. Así hay cuatro servidores en la costa oeste de los Estados
Unidos (todos ellos en California) y seis en la costa este (cuatro en
Virginia y dos en Maryland). Los interesados en conocer la ubicación de
cada uno de los servidores y las organizaciones responsables de los
mismos, pueden ver un mapa en http://www.quands.info/misc/websf1.gif.


¿Qué impacto tiene si los servidores raíz dejan de funcionar?

Como ya hemos indicado antes, para los usuarios el DNS es un servicio
fundamental ya que, en su ausencia, nos vemos obligados a utilizar las
direcciones IP para poder acceder a los sistemas existentes en la red.
Cualquier intento de utilizar los nombres, si estos no están en las
memorias caché de nuestro servidor de nombres, generará un error al no
poder realizar la conversión.

Según diversos expertos, el servicio de resolución de nombres puede
funcionar sin problemas para el usuario final siempre que exista un
mínimo de cinco servidores operativos.


¿Qué sucedió el pasado lunes 21 de octubre?

Durante aproximadamente una hora, entre las 22:45 y las 23:45 (hora
central europea), se detectó un ataque distribuido de denegación de
servicio contra todos los servidores raíz. A pesar que no se conocen
muchos detalles sobre el ataque, ya que está siendo investigado por el
FBI, se sabe que durante el apogeo del ataque un máximo de siete
servidores raíz tuvieron problemas.

No obstante, el alcance del ataque parece que fue relativamente
reducido, ya que se calcula que únicamente un 6% de las peticiones de
resolución no fueron atendidas.

Lo más significativo de este ataque fue que tenía como objetivo todos
los servidores raíz, de forma simultánea.


¿Tuvo algún efecto el ataque en los usuarios finales?

No. Debido a que el ataque únicamente duró una hora, antes de que
pudiera ser atajado, evitó problemas a los usuarios finales. La
existencia de memorias caché en todos los puntos y el hecho que, una
servidor de nombres bien configurado, raramente realiza peticiones
directamente a los servidores raíz, evitó que los usuarios finales
notaran ningún efecto.


He leído que este ataque fue el "más sofisticado jamás realizado" ¿Es
cierto?

Sin conocer los detalles específicos del ataque, es difícil valorar.
Posiblemente la principal novedad es que el ataque se lanzó
simultáneamente contra todos los servidores raíz.

La descripción realizada parece, visto desde fuera, más como una forma
de llamar la atención de los medios de comunicación que no como una
descripción realista de lo sucedido.

Con anterioridad han existido algunos problemas con la resolución de
nombres con un impacto más grande. Así, por ejemplo, en abrid de 1997,
el sistema de resolución de nombres no funcionó durante varías horas
debido a que un router, por error en su configuración, se anunció el
mismo en Internet como el camino más rápido para acceder a otras
direcciones. Esto causó que todas las peticiones intentaran utilizar
este servidor, provocando el colapso de la red.


Xavier Caballé
xavi@hispasec.com



domingo, 27 de octubre de 2002

Nuevas versiones de Bugzilla

Las versiones de Bugzilla previas a la 2.14.4 o 2.16.1 contienen varias
vulnerabilidades de seguridad.

Bugzilla es un sistema de base de datos para comunicar bugs y asignarlos
a desarrolladores, obteniendo una gran simplificación administrativa
respecto a la gestión manual de bugs. Bugzilla se utiliza en numerosos
proyectos, sobre todo del tipo "Open Source".

Los problemas solucionados son:

- Inyección de código SQL arbitrario.

- Inyección de comandos arbitrarios para la ejecución en el sistema.

- Obtención de privilegios adicionales, bajo ciertas condiciones.

La recomendación es actualizar cuanto antes a Bugzilla 2.14.4 o 2.16.1.
Los usuarios de 2.14.* deberían actualizar a corto plazo a 2.16.*, ya
que la rama 2.14.* pronto dejará de mantenerse de forma activa.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Bugzilla
http://www.bugzilla.org/

sábado, 26 de octubre de 2002

Nueva librería GLIBC

Se publica una nueva versión de la GLIBC, con varios problemas de
seguridad subsanados.
GLIBC es la "GNU LIB C". La "librería C" es librería estándar del
lenguaje C, usada por prácticamente cualquier programa que se compile en
un entorno UNIX. La GLIBC es la versión de "LIBC" creada por el proyecto
GNU, y utilizada por prácticamente todas las distribuciones LINUX.

La nueva versión de GLIBC soluciona problemas con desbordamientos
matemáticos en "calloc()", desbordamientos de búfer en las rutinas de
resolución de DNS y diversos problemas en la gestión de la
deserialización XDR.

La recomendación es actualizar la librería GLIBC utilizando los
mecanismos de actualización del fabricante. En caso de no ser posible,
se recomienda instalar la versión 2.3.1 de GLIBC. Esta librería es
crítica para el funcionamiento del sistema, por lo que HispaSec
recomienda ser especialmente cuidadoso con el procedimiento de
actualización: asegurarse de hacer copia de seguridad y asegurarse de
poder arrancar la máquina (por ejemplo, desde un disco de arranque) en
caso de corromper el archivo. No hay que olvidar que esta librería es
usada por casi todos los programas, así que si la destruimos
prácticamente no podremos ejecutar ningún comando, ningún demonio ni
ningún proceso.


Jesús Cea Avión
jcea@hispasec.com


Más información:

GNU C Library
http://www.gnu.org/software/libc/libc.html

Updated glibc packages fix vulnerabilities in resolver
http://rhn.redhat.com/errata/RHSA-2002-197.html

viernes, 25 de octubre de 2002

Vulnerabilidades locales en los kernel Linux

Las versiones 2.2.* y 2.4.* no actualizadas de los kernel Linux
contienen diversos errores que podrían ser explotados por un usuario
local.

Durante una auditoría rutinaria del código fuente del kernel LINUX, se
encontraron usos inadecuados de enteros con signo, desbordamientos
numéricos y problemas similares.

Los problemas detectados son teóricos, ya que no se conoce ninguna
herramienta capaz de explotarlos, aún. En cualquier caso, de existir, el
ataque solo podría realizarse de forma local.

La recomendación es que todos los usuarios de la versión 2.2.* del
kernel actualicen al futuro 2.2.23, y los usuarios de 2.4.* actualicen
al inminente 2.4.20.

Si no se puede esperar al nuevo kernel, la mayoría de las distribuciones
LINUX han publicado ya actualizaciones. Si no se puede usar un kernel de
una distribución, es conveniente aplicar los parches disponibles es
Internet.

Recalcamos, nuevamente, que los problemas detectados son teóricos y, de
verificarse su gravedad, necesitarían poder ejecutar código de forma
local en la máquina.



Jesús Cea Avión
jcea@hispasec.com


Más información:

New kernel fixes local security issues
https://rhn.redhat.com/errata/RHSA-2002-206.html

Kernel Linux
http://www.kernel.org/



jueves, 24 de octubre de 2002

Nueve (9) nuevas vulnerabilidades en Internet Explorer 5.x y 6.0

Se ha informado, en la lista BugTraq, del descubrimiento de nueve (9)
nuevas vulnerabilidades en Internet Explorer 5.5 y 6.0. Todas las
vulnerabilidades surgen de deficiencias en los mecanismos de seguridad
que Internet Explorer utiliza para verificar la transferencia de datos
entre diversas ventanas.

Hace unos días (ver "Una al día" del pasado 15 de octubre) se informó de
la existencia de una vulnerabilidad en los mecanismos de protección que
impone Internet Explorer a la transferencia de datos entre dos ventanas.

Básicamente, Internet Explorer realiza unas verificaciones para
comprobar que la comunicación de datos se realiza entre ventanas que se
encuentran dentro de la misma zona de seguridad y en el mismo dominio.

Las investigaciones efectuadas por la empresa israelita GreyMagic
Software han puesto de relieve la existencia de un total de nueve (9)
nuevas vulnerabilidades que pueden ser utilizadas para acceder a
cookies, suplantar el contenido de páginas web, acceso en modalidad de
lectura a archivos del ordenador del usuario de Internet Explorer o,
incluso, la ejecución de programas.

Todas estas vulnerabilidades están relacionadas con el tratamiento de
los objetos cacheados y muchas de ellas pueden clasificarse como
críticas. El cacheado de objetos tiene lugar cuando el atacante abre una
ventana con una página que se encuentra en su servidor web. A
continuación se modifica la URL de esta ventana para que haga referencia
a una página almacenada en el ordenador de la víctima. No obstante, las
referencias presentes en la caché continúan activas, ofreciendo un
acceso directo al nuevo documento.

Los siguientes métodos tienen vulnerabilidades que permiten al atacante
acceder a cualquier archivo existente en el disco duro del usuario de
Internet Explorer, ejecutar programas, suplantar el contenido de páginas
web o leer el contenido de las cookies:

1. showModalDialog (en Internet Explorer 6.0 el acceso queda
restringido a la zona "Mi PC").
2. external
3. createRange
4. elementFromPoint
5. getElementById
6. getElementsByName
7. getElementsByTagName

Existen dos procedimientos adicionales en los que también se han
identificado vulnerabilidades:

1. execCommand: permte leer el contenido de otras ventanas abiertas.
2. clipboardData: permite leer y escribir en el portapapeles.

Todos estos problemas afectan a las versiones 5.x y 6.0 del Internet
Explorer. Las versiones más anteriores, así como la versión 6.0 con
Service Pack 1 no son vulnerables.

GreyMagic Software ha publicado una prueba de concepto que muestra el
efecto de estas vulnerabilidades.



Xavier Caballé
xavi@hispasec.com



miércoles, 23 de octubre de 2002

Nueva edición On-Line de "Handbook of Applied Cryptography"

La última edición (Agosto de 2001) de "Handbook of Applied
Cryptography", una de la mejores "Biblias" en el mundo de la
criptografía, está disponible también On-Line, de forma gratuita.

"Handbook of Applied Cryptography" consta de más de ochocientas páginas
repletas de información de alta calidad, especialmente apta para
desarrolladores y estudiosos del mundo de la criptografía. La primera
edición del libro vio la luz en 1996, y la quita edición es bastante
reciente: Agosto de 2001.

El libro, como ya se ha comentado, no tiene como fin el servir como
introducción al mundo de la criptografía, objetivo que es cubierto con
una perfección envidiable por otro libro, "Applied Cryptography",
lamentablente no disponible "online". Por el contrario, "Handbook of
Applied Cryptography" es, como su nombre dice, un manual de consulta y
referencia que cubre casi cualquier aspecto de la criptografía moderna.

Aunque los lectores que dispongan de 95 dólares podrán comprar el
volumen original, y beneficiarse así de una encuadernación profesional,
desde hace unos meses el libro está disponible íntegro en Internet, con
todas las bendiciones de su editorial y de sus autores.

La edición Internet tiene numerosas ventajas. Al margen del precio, es
la versión siempre más actualizada y dispone de una página de erratas
con actualizaciones permanentes.

El libro, dividido por capítulos, está disponible tanto el formato
PostScript como en PDF.

La cuarta edición de este libro se publicó en Julio de 1999, y su
distribución On-Line fue anunciada también en este mismo medio en Marzo
de 2000.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Handbook of Applied Cryptography
Fifth Printing (August 2001)
http://www.cacr.math.uwaterloo.ca/hac/

Libro de criptografía en la red
http://barrapunto.com/article.pl?sid=02/09/12/0918245

Handbook of Applied Cryptography
http://developers.slashdot.org/article.pl?sid=02/09/11/1616231

Código C
http://www.mindspring.com/~pate/crypto.html

12-03-2000 - Una de las biblias de la criptografía moderna, en Internet
http://www.hispasec.com/unaaldia.asp?id=502


martes, 22 de octubre de 2002

Se inicia OpenHack 4

Acaba de dar comienzo la cuarta edición de la competición OpenHack,
que durante 17 días pondrá a prueba las habilidades de los hackers
mas cualificados.

En esta cuarta entrega OpenHack vuelve a sus orígenes proponiéndonos
como en sus dos primeras ediciones el compromiso de aplicaciones, las
elegidas para este año han sido Microsoft y Oracle.

Por desgracia la competición es únicamente para ciudadanos
norteamericanos, lo que no quita que el resto del mundo pueda probar
el reto, eso si, sin optar a los jugosos premios:
1.000 $ por modificar alguna de las páginas web de OpenHack.
1.000 $ por obtener el código fuente de uno de los sitios web.
500 $ por realizar un ataque de cross-site scripting.
1.500 $ por obtener información de tarjetas de crédito.
1.000 $ por enviar comandos SQL maliciosos (inyección SQL).

Para este año está prevista una alta participación. Según los datos
de eWeek empresa organizadora del concurso, en el último OpenHack
realizado en Febrero de 2001 se realizaron 5,4 millones de intentos en
17 días por cerca de 40.000 participantes. Es esta última ocasión el
premio quedó desierto.



Francisco Javier Santos
fsantos@hispasec.com


Más información:

OpenHack 4
http://www.openhack.com

OpenHack 4: The Hacking Has Begun
http://www.eweek.com/article2/0,3959,644757,00.asp


lunes, 21 de octubre de 2002

Se publica un tutorial sobre "GNU Privacy Guard"

Se publica un tutorial sobre GNUPG, como introducción a la teoría y
práctica de esta tecnología criptográfica.

GNUPG es un software "Open Source" (GPL) y gratuito, que permite la
firma y cifrado de documentos mediante criptografía simétrica y
asimétrica. GNUPG está inspirado en el popular PGP (Pretty Good
Privacy), y nació como respuesta a la introducción de las variantes
PGP comerciales. GNUPG cumple el estándar OpenPGP. Aunque GNUPG es
una herramienta fundamentalmente UNIX y línea de comando, existen
implementaciones también para plataformas Windows, y frontales
gráficos para un uso más simple.

En el tuturial se hace una introducción a las aplicaciones prácticas de
GNUPG, tanto a nivel de empresas como personal, y se describen
someramente los comandos, opciones y procedimientos más habituales.

Aunque este tutorial resulta muy básico para cualquier usuario
mínimamente avanzado de PGP o GNUPG, resulta muy adecuado como punto de
partida para los recién llegados a la tecnología de firma y cifrado de
datos.



Jesús Cea Avión
jcea@hispasec.com


Más información:

An Introduction to GNU Privacy Guard
http://yro.slashdot.org/article.pl?sid=02/09/26/145220

An Introduction to GNU Privacy Guard (Part 1)
http://www.desktoplinux.com/articles/AT3341468184.html

An Introduction to GNU Privacy Guard (Part 2)
http://www.desktoplinux.com/articles/AT7966076367.html

The GNU Privacy Handbook
http://www.gnupg.org/gph/en/manual.html

Guía de "Gnu Privacy Guard"
http://www.gnupg.org/gph/es/manual.html

The GNU Privacy Guard
http://www.gnupg.org/

Enigmail
http://enigmail.mozdev.org/


domingo, 20 de octubre de 2002

Denegación de servicio en switches Cisco Catalyst

Los switches Cisco Catalyst con versiones del software Cisco CatOS
desde la 5.4 hasta la 7.3 que contengan un "cv" en el nombre de imagen
se ven afectadas por un desbordamiento de búfer en el servidor HTTP
incluido.

Si el servidor HTTP está activo el desbordamiento de búfer
puede ser explotado de forma remota y provocar la caída del
dispositivo y su reinicio. La vulnerabilidad puede ser explotada
repetidas veces y lograr de esta forma una denegación de servicio.

Si el servidor HTTP está activo en un switch Cisco Catalyst con una
versión afectada de CiscoView una petición HTTP de gran longitud
provocará el desbordamiento de búfer y el reinicio del switch. El
servidor HTTP está deshabilitado por defecto.

Cisco publica actualizaciones del software que deberá actualizarse en
función de la versión de CatOS instalada:

Versiones 5.x actualizar a 5.5(17)
Versiones 6.x actualizar a 6.3(9)
Versiones 7.3 aun sin corregir
Versiones 7.4 actualizar a 7.4(1)


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco CatOS Embedded HTTP Server Buffer Overflow
http://www.cisco.com/warp/public/707/catos-http-overflow-vuln.shtml

sábado, 19 de octubre de 2002

Elevación de privilegios en tareas web de SQL Server

Se ha anunciado la existencia de una vulnerabilidad en SQL Server 7.0 y
2000 debido a fallos en la funcionalidad de tareas web de los servidores
de bases de datos de Microsoft que permitirán a un atacante elevar sus
privilegios.

SQL Server 7.0 y 2000 proporcionan la capacidad de uso de procedimientos
almacenados que son una colección de declaraciones Transact-SQL
almacenadas bajo un nombre y procesadas como un grupo. El procedimiento
almacenado xp_runwebtask falla al realizar la asignación de permisos
cuando se ejecuta y corre con los privilegios de SQL Server.

xp_runwebtask puede ser ejecutado por 'PUBLIC', de igual forma los
permisos de la tabla que almacena las tareas web, msdb.dbo.mswebtasks,
están mal asignados permitiendo a cualquiera realizar inserciones,
actualizaciones, borrados o consultas (INSERT, UPDATE, DELETE y SELECT).
Un atacante sin privilegios podrá emplear la combinación del
procedimiento xp_runwebtask y la debilidad de los permisos sobre la
tabla msdb.dbo.mswebtasks para conseguir elevar sus privilegios y
ejecutar comandos del sistema o incluirse dentro del grupo SYSADMIN.

Microsoft ha publicado los parches necesarios para evitar esta
vulnerabilidad disponibles en:
Microsoft SQL Server 7.0:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q327068&sd=tech
Microsoft SQL Server 2000:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q316333&sd=tech


Antonio Ropero
antonior@hispasec.com


Más información:

Elevation of Privilege in SQL Server Web Tasks
http://www.microsoft.com/technet/security/bulletin/MS02-061.asp

Microsoft SQL Server Webtasks privilege elevation
http://www.nextgenss.com/advisories/mssql-webtasks.txt

viernes, 18 de octubre de 2002

Ayuda y Centro de Soporte de Windows XP permiten el borrado de archivos

Se ha anunciado la existencia de una vulnerabilidad en las Ayuda y
Centro de Soporte de Windows XP que puede permitir a un atacante
el borrado de cualquier archivo o directorio del disco duro de los
usuarios de este sistema operativo.

En Windows XP, Help y Support Center proporcionan a los usuarios
proporciona una infraestructura centralizada a través de la cual los
usuarios pueden obtener asistencia sobre una variedad de temas. Así,
esto proporciona documentación de producto, asistencia en
compatibilidad de hardware, acceso a Windows Update, ayuda online de
Microsoft, etc.

Existe una vulnerabilidad en la Ayuda y Centro de Soporte de Windows
XP como resultado de que un archivo concebido únicamente para su uso
por el sistema está, por el contrario, disponible para su uso por
cualquier página web. El propósito de este archivo es permitir que con
el permiso del usuario se puedan subir archivos de información de
hardware de forma anónima, de forma que Microsoft pueda evaluar para
que dispositivos los usuarios no encuentran controladores adecuados.
Esta información es empleada para trabajar con los fabricantes de
hardware y equipos de dispositivos para mejorar la calidad y cantidad
de controladores disponibles en Windows. Por diseño, después de
intentar subir un archivo XML que contenga la información de hardware
el sistema lo borra.

Un atacante podrá explotar la vulnerabilidad mediante la construcción
de una página web que, cuando se abra, pueda llamar la función y
proporcionar como argumento el nombre de un archivo o carpeta
existente. El intento de subir el archivo o carpeta fallará, pero el
archivo será eliminado. La página para explotar la vulnerabilidad
podrá ser hospedada en un sitio web para atacar a los usuarios que
visiten el sitio o podrá ser enviada como un mensaje HTML para atacar
al receptor del mensaje.

Los usuarios de Windows XP con Service Pack 1 instalado están libres
de este problema.

Microsoft publica actualizaciones para solventar esta vulnerabilidad:
Microsoft Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43681
Microsoft Windows XP 64-bit Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43676



Antonio Ropero
antonior@hispasec.com


Más información:

Flaw in Windows XP Help and Support Center Could Enable File Deletion
http://www.microsoft.com/technet/security/bulletin/MS02-060.asp


jueves, 17 de octubre de 2002

Uso de documentos Word y Excel para robo de información sensible

Una funcionalidad incluida en Word y Excel puede ser empleada por un
usuario malicioso para el robo de información sensible, especialmente
en entornos donde se intercambian documentos de estas aplicaciones. Un
usuario podrá enviar un documento a otro para su revisión de forma que
cuando este se lo devuelva editado o revisado, incluya en el documento
información sensible sin su conocimiento.

Word y Excel proporcionan un mecanismo a través del cual los datos de
un documento se puedan insertar y actualizar en otro documento. Este
mecanismo, conocido como códigos de campo en Word y actualizaciones
externas en Excel, puede ser automatizado para reducir la cantidad de
trabajo manual requerido por el usuario.

Existe una vulnerabilidad debida a la posibilidad de uso malicioso de
estos mecanismos para robar información de un usuario sin su
conocimiento. Determinados eventos, como grabar un documento, pueden
accionar la actualización de un código de campo o actualización
externa. Normalmente el usuario es conscientes de que ocurren estas
actualizaciones, sin embargo puede emplearse un código de campo o
actualización externa específicamente creado para provocar una
actualización sin avisar al usuario.

Esto podrá permitir a un atacante la creación de un documento que
cuando se abra pueda actualizarse a sí mismo para incluir los
contenidos de un archivo del ordenador del usuario.

Esto puede emplearse en un entorno de intercambio de documentos, en el
que se transfieren documentos para su edición o revisión. Esto es así,
ya que el atacante deberá enviar un documento malicioso al usuario,
este usuario deberá abrir el documento, momento en que sin su
conocimiento se incluirá el contenido de algún archivo de su disco
duro, tras lo cual el usuario deberá devolver el archivo al emisor
original.

Microsoft publica las actualizaciones necesarias para evitar este
problema, de forma que se evita la introducción automática de datos en
archivos sin conocimiento del usuario.
Microsoft Word 2002:
http://office.microsoft.com/downloads/2002/wrd1005.aspx
Microsoft Word 2000:
http://office.microsoft.com/downloads/2000/wrd0902.aspx
Word 97/Word 98(J):
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q330080
Word X for Macintosh:
http://www.microsoft.com/mac/download/security.asp
Word 2001 for Macintosh:
http://www.microsoft.com/mac/download/security.asp
Word 98 for Macintosh:
http://www.microsoft.com/mac/download/security.asp
Excel 2002:
http://office.microsoft.com/downloads/2002/exc1003.aspx


Antonio Ropero
antonior@hispasec.com


Más información:

Flaw in Word Fields and Excel External Updates Could Lead to Information Disclosure
http://www.microsoft.com/technet/security/bulletin/MS02-059.asp

miércoles, 16 de octubre de 2002

Denegación de servicio en My Web Server 1.0.2

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en My
Web Server 1.0.2.

My Web Server es un paquete de software distribuido por MyWebserver LLC
con múltiples características como servidor web, y desarrollado para
sistemas de Microsoft.

Recientemente se ha dado a conocer un problema de seguridad que afecta
a este paquete, por el que un atacante que realice una petición de una
URL con una cadena de caracteres especialmente larga provocará la
inestabilidad del servidor y llegará a conseguir una denegación de
servicios en el sistema atacado. Debiendo este ser reiniciado
manualmente para conseguir su funcionamiento optimo.

Ejemplo:
http://servidor_afectado/AAA...(aprox. Ax994)...AAA



Antonio J. Román Arrebola
roman@hispasec.com


Más información:


Long URL crashes My Web Server 1.0.2
http://online.securityfocus.com/archive/1/295006

My Web Server
http://www.mywebserver.org/us/


martes, 15 de octubre de 2002

Salto de restricciones iframe en Microsoft Internet Explorer 5.5 y 6.0

Se ha descubierto una vulnerabilidad en Microsoft Internet Explorer 5.5
y 6.0 que permite a una web o mensaje e-mail malicioso acceder a
contenido del disco duro del cliente remoto, leer archivos e incluso
ejecutar programas de forma remota.

Esta nueva vulnerabilidad se basa en una original forma de evitar las
restricciones de seguridad impuestas por las etiquetas e