viernes, 31 de enero de 2003

Nueva versión de MySQL

La nueva versión 3.23.55 de MySQL soluciona un ataque de denegación de
servicio sobre esta popular base de datos.

MySQL es un servidor de bases de datos SQL, "open source", de altas
prestaciones, extremadamente difundido en el mundo Linux.

La versión 3.23.55 soluciona un ataque de denegación de servicio sobre
el servidor MySQL, cuando éste es accesible desde entornos no fiables.

El problema radica en una doble liberación de un puntero en la función
"mysql_change_user()", que puede ocasionar la caída del servicio y, bajo
circunstancias muy especiales, la ejecución de código arbitrario en el
servidor.

Para poder explotar esta vulnerabilidad, el atacante debe disponer de un
usuario/contraseña válido para acceder al servicio.

La recomendación es actualizar a la versión 3.23.55 de MySQL, ya
disponible.


Jesús Cea Avión
jcea@hispasec.com


Más información:

D.3.2 Changes in release 3.23.55 (23 Jan 2003)
http://www.mysql.com/doc/en/News-3.23.55.html

Re: MySQL 3.23.54a can be crased with a exploit for 3.23.53
http://groups.google.com/groups?hl=en&lr=&ie=UTF-8&oe=UTF-8&threadm=b0jpcr%24cir%241%40FreeBSD.csie.NCTU.edu.tw&rnum=1&prev=/groups%3Fq%3Dmysql%2B3.23.55%2Bsecurity%26hl%3Den%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26selm%3Db0jpcr%2524cir%25241%2540FreeBSD.csie.NCTU.edu.tw%26rnum%3D1

MySQL 3.23.55 is released
http://groups.google.com/groups?q=mysql+3.23.55&hl=en&lr=&ie=UTF-8&oe=UTF-8&selm=b0rci5%242pgb%241%40FreeBSD.csie.NCTU.edu.tw&rnum=1

MySQL
http://www.mysql.com/

jueves, 30 de enero de 2003

Nueva versión de Apache 2.0.*

Se acaba de publicar la versión 2.0.44 de Apache, que soluciona graves
problemas de seguridad en entornos MS Windows.

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows y Novel NetWare.

Las versiones previas de Apache 2.0.* contienen las siguientes
vulnerabilidades:

* Una verificación incorrecta en la función "ap_directory_walk" permite
un ataque de denegación de servicio contra el servidor Apache, cuando
éste está siendo ejecutado bajo la plataforma MS Windows 9x o
Millenium. Se produce cuando el atacante solicita una URL referida a
un fichero reservado, como "aux" o "com1".

* Igualmente, bajo MS Windows 9x o Millenium, es posible conseguir que
el servidor ejecute código arbitrario mediante la redirección de un
CGI.

* Bajo todas las versiones de MS Windows, Apache puede devolver ficheros
arbitrarios cuando se le envía una URL con caracteres ilegales, como
el signo "<".

Estas vulnerabilidades no afectan a las versiones 1.3.* de Apache. La
recomendación es que todos los usuarios de Apache 2.0.* actualicen
cuanto antes a la versión 2.0.44, ya disponible, sobre todo si el
servidor Apache se despliega en entornos MS Windows.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache HTTP Server Path Parsing Errata
http://www.securitybugware.org/Other/5947.html

Apache before 2.0.44, when running on unpatched Windows 9x and Me
operating systems, allows remote attackers to cause a denial of service
or execute arbitrary code via an HTTP request containing MS-DOS device
names.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0016

Apache 2.0 before 2.0.44 on Windows platforms allows remote attackers to
obtain certain files via an HTTP request that ends in certain illegal
characters such as ">", which causes a different filename to be
processed and served.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0017

Apache Web Server 2.x Windows Device Access Flaw Lets Remote Users Crash
the Server or Possibly Execute Arbitrary Code
http://www.securitytracker.com/alerts/2003/Jan/1005963.html

Apache Web Server Path Parsing Flaw May Allow Remote Users to Execute
Code in Certain Configurations
http://www.securitytracker.com/alerts/2003/Jan/1005962.html

Apache 2.0.44 Released
http://apache.slashdot.org/article.pl?sid=03/01/21/1446233

Apache 2.0.44 Released
http://www.apache.org/dist/httpd/Announcement2.html

Apache HTTP Server Source Code Distributions
http://httpd.apache.org/dist/httpd

Apache
http://httpd.apache.org/

miércoles, 29 de enero de 2003

Certificación profesional para el verificador de la seguridad informática

En las próximas semanas se celebrarán las primeras sesiones para poder
obtener el certificado profesional que garantiza tanto el conocimiento
teórico como la aplicación práctica de la metodología abierta para la
verificación de la seguridad (OSSTMM).

Isecom (antiguamente Ideahamster) es una organización internacional, sin
ánimo de lucro, que tiene como objetivo desarrollar conocimientos y
herramientas relacionadas con la seguridad, ofreciéndolas bajo una
licencia de código abierto que permite su libre utilización.

Uno de los primeros proyectos en los que trabaja Isecom es la OSSTMM,
una metodología para la realización de las verificaciones de seguridad
en Internet. Se trata del principal proyecto existente en la actualidad
para definir una metodología formal que permita verificar la seguridad
informática de los equipos, desarrollado de una forma independiente y
totalmente abierto. Otros proyectos en los que se está trabajado son la
metodología para la programación segura y la "Hacker High School", que
ya hemos comentado en anteriores ediciones de "una-al-día" de Hispasec.

El disponer de una metodología de trabajo estandarizada significa que
permita garantizar el nivel de pruebas que se realizan en el momento de
verificar la seguridad. No pretende especificar una lista de pruebas
concretas a realizar, sino los elementos que deben verificarse, tanto
desde el exterior como el interior.

Un aspecto importante a señalar es que la OSSTMM ha sido diseñada para
cubrir los aspectos técnicos establecidos por diversas legislaciones.
Así, en el caso concreto de España, la OSSTMM incluye los requerimientos
establecidos tanto por la ley de protección de datos (incluyendo la
clasificación de datos y componentes) y la LSSICE. Estos requerimientos
formarán parte integral de la versión 2.5 de la metodología, disponible
durante el próximo mes de febrero.

Como un paso más en el establecimiento de la OSSTMM, durante los
próximos meses se celebrarán las primeras sesiones que permitirán a los
profesionales de la seguridad informática obtener el certificado que
garantice el conocimiento de esta metodología.

Se trata de una sesiones en donde se desarrollarán los aspectos técnicos
que establece la OSSTMM para la realización de la verificación de la
seguridad así como la visión de negocio necesaria para poder justificar
y entender las necesidades de seguridad y su adecuación con la realidad
de negocio.

Así, algunos de los principales aspectos que se desarrollan durante
estas sesiones incluyen:

* ¿En qué consiste la profesión del verificador de seguridad?
* Comprender porqué la verificación de la seguridad no es únicamente
identificar las vulnerabilidades de seguridad.
* Comprender el alcance de la OSSTMM y su aplicación.
* Utilización de herramientas para la verificación de la seguridad.
* Funcionamiento de las redes y sus implicaciones en la seguridad.
* Realización de pruebas de verificación de la seguridad.
* Identificar cual es el alcance que debe tener la prueba de
verificación de la seguridad.
* Tareas a realizar para la verificación de la seguridad de las
comunicaciones, seguridad física, seguridad de conexiones inalámbricas.

Las primeras sesiones se realizarán en Barcelona, en dos tandas. La
primera se realizará durante el mes de febrero (del 13 al 15 y del 20 al
22; 44 horas de prácticas y teoría más 4 horas para la realización del
examen) mientras que la segunda se desarrollará durante el mes de marzo
(del 17 al 21; 36 horas más 4 horas para el examen). Los detalles
concretos sobre estas sesiones están disponibles en la web de Isecom.


Xavier Caballé
xavi@hispasec.com



martes, 28 de enero de 2003

El servicio KCMS de Solaris permite el acceso a cualquier archivo

Un atacante puede acceder a cualquier archivo existente en una máquina
Solaris donde se ejecute el daemon kcms_server.

KCMS ("Kodak Color Management System") es un conjunto de funciones,
incorporadas en el sistema operativo Solaris, que mejoran la apariencia
y ofrecen una reproducción adecuada de las imágenes digitales a color
obteniendo las máximas prestaciones tanto de los ordenadores como de los
dispositivos asociados. Las funciones de esta biblioteca realizan las
manipulaciones y correcciones de color necesarias.

kcms_server es un daemon que permite a la biblioteca KCMS acceder a los
perfiles almacenados en máquinas remotas. Estos perfiles se encuentran
almacenados en los directorios /etc/openwin/devdata/profiles y
/usr/openwin/etc/devdata/profiles.

Existe una vulnerabilidad de escalada de directorios en la función
KCS_OPEN_PROFILE que puede ser utilizada para acceder a cualquier
archivo existente en un sistema remoto vulnerable. Dado que el
kcms_server se ejecuta con privilegios de root, esta vulnerabilidad
permite a un atacante acceder a cualquier archivo de un sistema
vulnerable.

Esta vulnerabilidad afecta a todas las versiones de Solaris posteriores
a la 2.5.1 y hasta la versión 9 (incluida) en las plataformas Sparc e
Intel.

Para determinar si una máquina Solaris ejecuta este kcms_server, puede
ejecutarse el siguiente mandato:

$ ps -ef | grep kcms_server

root 484 156 0 15:12:01 ? 0:00 kcms_server

Si lo que desea es determinar el puerto tcp utilizado por el demonio, es
preciso utilizar el programa rpcinfo:

$ rpcinfo -p | grep 100221
100221 1 tcp 32781

$ netstat -a | grep 32781

*.32781 Idle
*.32781 *.* 0 0 24576 0 LISTEN

en este caso, el servicio está operativo y asociado al puerto 32781/tcp

Hasta el momento en que Sun facilite el parche que elimine esta
vulnerabilidad, se aconseja deshabilitar el servicio kcms_server. Para
ello es preciso editar el archivo /etc/inetd.conf y comentar la línea

#
# Sun KCMS Profile Server
#
100221/1 tli rpc/tcp wait root /usr/openwin/bin/kcms_server kcms_server

y reiniciar inetd. Si esto no es posible, como mínimo deben configurarse
las medidas de protección perimetrales para impedir la utilización del
servicio desde redes inseguras, como puede ser Internet.


Xavier Caballé
xavi@hispasec.com



lunes, 27 de enero de 2003

Lecciones del gusano MS-SQL

La historia se repite. Tal y como ocurriera con "Code Red", de nuevo
un gusano que aprovecha una vulnerabilidad en un producto de Microsoft
provoca el colapso en Internet. Con respecto a los antivirus, en esta
ocasión tampoco han podido detenerlo, ni siquiera a posteriori, ya que
la tecnología que utilizan en sus productos les impide desarrollar
firmas de detección contra este tipo de gusanos que no se escriben en
disco. ¿Cuando será la próxima?

Como ya adelantamos el sábado en Hispasec, "SQLSlammer", "Sapphire",
"SQLExp", o cualquiera de los otros nombres con que ha sido bautizado
este nuevo gusano para MS-SQL/MSDE 2000, aprovecha una vulnerabilidad
de julio de 2002, y su prevención pasa por haber aplicado el parche
específico, alguno de los acumulativos posteriores, o el Service
Pack 3 de MS-SQL. Otras medidas proactivas pasan por establecer reglas
correctas a nivel de tráfico, impidiendo el acceso indiscriminado a
los servicios de MS-SQL, en esta ocasión especialmente al puerto
UDP/1434.

En caso de que el sistema ya se encontrara infectado y colapsado por
el bombardeo de paquetes del gusano, las buenas prácticas recomiendan
la desconexión de la red (para evitar que se reinfecte mientras
aplicamos el parche), reiniciar el sistema (para que desaparezca
de memoria el código del gusano), aplicar la actualización (que
impide que vuelva a infectarse), y volver a iniciar el sistema
conectándolo a la red para restaurar sus servicios.

Una vez pasada la crisis que provocó la rutina de propagación del
gusano, cuyos efectos más notables duraron unas horas el sábado (ni
se trataba de un ciberataque a EE.UU., ni Internet se va a venir
abajo en las próximas horas), podemos sacar algunas conclusiones
a bote pronto:

* Internet: el gusano ha puesto de manifiesto la debilidad de la Red,
si bien esta misma infraestructura ha permitido una rápida reacción
coordinada de forma espontánea por parte de todos y corregir en
horas un problema de tal envergadura (no había más que ver el
sábado la avalancha de mensajes en los foros de seguridad donde
prácticamente en tiempo real se analizaba el gusano y se proponían
soluciones y medidas preventivas).

* Antivirus: en este caso no han podido proteger a sus clientes, ni
antes ni después, ya que la inmensa mayoría basan su tecnología en
la identificación de firmas en objetos del disco (archivos,
sectores...). El gusano, al infectar directamente a través de un
desbordamiento de buffer y situarse en memoria, sin necesidad de
hospedarse en el sistema de archivos, queda fuera del alcance de
estos productos. Eso explica que, pese a que sí han lanzado avisos
sobre el gusano, las empresas antivirus no han podido actualizar
sus motores de detección para parar a este gusano. No tienen
responsabilidad directa en este incidente, en cualquier caso han
intentado ayudar con avisos públicos, si bien debemos ser
conscientes de sus limitaciones como solución de seguridad.

* Microsoft: Si con "Code Red" fue Internet Information Server, en
este caso ha sido MS-SQL, de nuevo una vulnerabilidad en un
producto de Microsoft pone en peligro no ya sólo a sus clientes,
sino al resto de Internet. Vulnerabilidades tienen todos los
sistemas, no es un problema en exclusiva de Microsoft, pero este
caso viene a poner el dedo en la llaga cuando ya hace más de un
año del lanzamiento de su iniciativa de seguridad STPP.
"Strategic Technology Protection Program (STPP)" tiene como
principal misión acelerar la actualización de los sistemas de
Microsoft, intentando disminuir el tiempo que transcurre desde
que es descubierta la vulnerabilidad hasta que el sistema del
cliente es actualizado. La vulnerabilidad aprovechada por el
gusano de MS-SQL data de julio del 2002.

* Productos de terceros: La vulnerabilidad no se ha limitado a
MS-SQL/MSDE 2000, sino que se extiende a muchos más productos de
otros fabricantes que utilizan estos componentes de Microsoft
como parte de sus soluciones. El resultado es que el servicio
vulnerable se ha encontrado en sistemas en los que a priori los
administradores de sistemas desconocían que debía aplicarse las
actualizaciones. En una de las alertas sobre el gusano MS-SQL,
que Hispasec emitió a los suscriptores del servicio SANA, se
listaban más de 50 soluciones que podían instalar el componente
afectado y como comprobar su existencia para evaluar si era
necesario parchearlos. Para prevenir estas situaciones, una
buena medida en lo sucesivo sería que esas casas de software
avisaran a sus clientes cuando se publica una actualización que
afecta a uno de los componentes que integra sus soluciones.

* Parches: La disponibilidad de un parche no asegura la protección
de los sistemas, es necesario que los administradores o usuarios
lo apliquen. Si bien es cierto que en algunos casos puede ser un
problema por dejadez, falta de tiempo o simple desconocimiento,
existe también ciertas reticencias a su instalación inmediata en
ambientes en producción. No es que los administradores tengan
manías, sino todo lo contrario, es por experiencia propia:
parches que se superponen, regresiones de vulnerabilidades,
problemas de estabilidad o incompatibilidad con otros componentes.

Para ejemplos, vamos a ver algo referente a esta vulnerabilidad:

Existe un parche para MS-SQL 2000 de cara a corregir un problema
que bajo ciertas circunstancias puede derivar en consumos de
memoria no recuperables por el sistema, hasta poder llegar a
la denegación de servicios (Q317748):
http://support.microsoft.com/default.aspx?scid=KB;EN-US;q317748

Este parche no había sido incluido en el parche específico para
la vulnerabilidad que aprovecha el gusano, ni en los siguientes
acumulativos de seguridad aplicables a MS-SQL con Service Pack
2. De forma que si un administrador quería aplicar el parche
para evitar las posibles pérdidas de memoria, debía aplicar la
actualización disponible en Q317748.

El problema es que si se aplica después de algunos de los
parches de seguridad, el sistema se vuelve vulnerable, ya que
esta actualización intenta instalar una versión anterior de
la biblioteca ssnetlib.dll, sobreescribiendo la ya parcheada
que evita la acción del gusano.

Dado que el primer parche de seguridad de la vulnerabilidad
que aprovecha el gusano data de julio de 2002, y este parche
para evitar pérdidas de memoria es de octubre de ese mismo
año, es bastante probable que más de un sistema hubiera sido
parcheado correctamente en julio y que en octubre volviera a
ser vulnerable por la instalación de este segundo parche.

Esto no es un caso aislado en las actualizaciones de Microsoft.

Para evitar este contratiempo, ya el domingo 26, Microsoft
lanzó un nuevo parche acumulativo para Service Pack 2 que
incluye las correcciones de seguridad anteriores y el parche
Q317748. De forma que sus recomendaciones son, bien utilizar
este nuevo parche (MS02-061) sobre SP2:

http://www.microsoft.com/technet/security/virus/alerts/slammer.asp

Bien instalar directamente el Service Pack3, que es lo que
recomendábamos desde Hispasec el sábado:

http://www.microsoft.com/sql/downloads/2000/sp3.asp

* Administradores: Queda claro que parte de la responsabilidad de
las incidencias causadas por este gusano la tienen los
administradores de sistemas que no han actualizado puntualmente
sus servidores. En cualquier caso, como acabamos de ver, no
todo se limita a instalar parches de forma indiscriminada (se ve
muy fácil desde la barrera), y en ocasiones los problemas han
podido venir por otras causas ajenas a su responsabilidad más
directa (regresión de vulnerabilidades por problemas de los
parches de Microsoft, o instalación de esos componentes por
parte de aplicaciones de terceros). De todas formas, bien es
cierto que a nivel de administración/configuración deben de tomar
medidas más proactivas, y evitar el acceso indiscriminado a los
servicios que no requieran ser públicos, lo que también habría
evitado la mayoría de infecciones.

* Comunidad GNU: sale reforzada de este incidente. Además del hecho
de que haya sido una vulnerabilidad de un producto de Microsoft
la que ha causado el incidente, lo que podrá ser para algunos
simple casualidad y para otros una evidencia más, si es cierto
que las primeras reacciones vinieron del mundo GNU, tanto a nivel
de detecciones como medidas preventivas. Por ejemplo, cuando aun
no había comunicado de Microsoft, ni avisos de las casas
antivirus, ya estaban disponibles en Internet las primeras
reglas para identificar al gusano a través de Snort, el popular
IDS que se distribuye gratuito y con acceso público a su código
fuente. La propia coordinación de los administradores en los
primeros momentos, a través de los foros de Internet, fue más
propia de este tipo de movimientos, más que de iniciativas
privadas.

* Sistemas de Alertas: En este caso la utilidad de un sistema de
alerta en tiempo real sobre nuevas amenazas e incidentes se
presenta vital. Así como sistemas de monitorización, que avisen
e informen a los administradores, a cualquier hora y en
cualquier momento, sobre los problemas y actuaciones que atañen
a sus sistemas.

* Seguridad Proactiva: Queda patente que la seguridad reactiva,
como la instalación de parches o la actualización de firmas una
vez se detecta un incidente, no es efectiva contra las nuevas
amenazas que aprovechan el potencial de Internet. Tenemos que
hacer hincapié en el concepto de seguridad de partida, tanto a
la hora de configurar correctamente un sistema como al
desarrollar una aplicación, y solicitar soluciones de seguridad
más genéricas, que vayan más allá de la mera identificación de
un incidente conocido.


Bernardo Quintero
bernardo@hispasec.com


Más información:

18/02/2002 Microsoft lanza en España su iniciativa STPP
http://www.hispasec.com/unaaldia.asp?id=1212

19/02/2002 Microsoft STPP, ¿estrategia tecnológica o lavado de cara?
http://www.hispasec.com/unaaldia.asp?id=1213

30/12/2002 Actualizaciones de Microsoft, un arma de doble filo
http://www.hispasec.com/unaaldia.asp?id=1527

SANA. Servicio de Análisis, Notificación y Alertas
http://www.hispasec.com/sana/

Alerta: Gusano para MS-SQL
http://www.hispasec.com/unaaldia.asp?id=1554

domingo, 26 de enero de 2003

Alerta: Gusano para MS-SQL

Adelantamos unas horas la salida del "una-al-día" correspondiente al
día 26 para informar del incremento de tráfico UDP/1434 detectado
hoy sábado en Internet por la acción de un nuevo gusano para MS-SQL.
"Saphire", "MS-SQL Slammer" o "W32.SQLExp.Worm", como ha sido
bautizado, aprovecha un desbordamiento de buffer para infectar de
forma automática los servidores vulnerables.

Microsoft SQL Server 2000 y Microsoft Desktop Engine 2000 permiten
hospedar múltiples instancias del servidor SQL en el mismo ordenador,
cada uno de los cuales funcionaría, a todos los efectos, como
servidores independientes. Como todas estas instancias no pueden
atender al mismo tiempo las peticiones por el puerto estándar de
MS-SQL, TCP/1433, se asigna a cada uno de los servidores SQL virtuales
un puerto TCP diferente. Para que los clientes pueda consultar cual
es el puerto TCP asignado a un servidor SQL virtual en particular,
existe un servicio de resolución que escucha en el puerto UDP 1434.

El gusano actúa enviando un paquete UDP de 376 bytes al puerto 1434,
y aprovecha una vulnerabilidad de desbordamiento de buffer existente
en este servicio para forzar la ejecución automática del código. Esta
vulnerabilidad fue documentada por Microsoft el 24 de julio de 2002,
fecha desde la que está disponible un parche específico para
corregirla: http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

Los servidores MS-SQL que no instalaran el parche específico o el
Service Pack 3, se infectarán al recibir el paquete UDP de 376 bytes,
la longitud total de este pequeño gusano. Como dificultad añadida,
el gusano no se escribe como archivo, sólo existe en la memoria de los
sistemas infectados, lo que sin duda complicará la detección por parte
de los antivirus.

Cada vez que el gusano infecta un servidor MS-SQL, comienza su rutina
de propagación aprovechando la API "GetTickCount" para construir
direcciones IP al azar a las que enviar su código al puerto UDP 1434.
El gusano envía paquetes multicast, de forma que en cada envío el
código puede llegar hasta 255 máquinas de una subred, dotándolo de
una velocidad inaudita hasta la fecha en este tipo de gusanos. El
ancho de banda que consume es tal que puede provocar denegaciones
de servicios y un enlentecimiento generalizado en las comunicaciones
debido al tráfico del gusano.

- Hispasec recomienda a los servidores afectados y/o vulnerables
la instalación inmediata del Service Pack 3 para MS-SQL:
http://www.microsoft.com/sql/downloads/2000/sp3.asp

- Como medida preventiva adicional, bloquear a nivel de firewall
el tráfico indiscriminado hacia el puerto UDP 1434. Vigilar el
tráfico de la red para detectar envíos masivos de paquetes
UDP/1434 e identificar así a servidores que pudieran haber sido
infectados.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

CERT Advisory CA-2003-04 MS-SQL Server Worm
http://www.cert.org/advisories/CA-2003-04.html

W32/SQLSlammer.worm
http://vil.nai.com/vil/content/v_99992.htm

W32.SQLExp.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.html

sábado, 25 de enero de 2003

Consideraciones de seguridad de la mensajería instantánea

¿Son seguras las aplicaciones de mensajería instantánea? Un estudio de
Symantec analiza el impacto que tienen las principales aplicaciones de
mensajería instantánea en la seguridad así como su creciente utilización
para la distribución de malware.

La mensajería instantánea se está convirtiendo, cada vez más, en un
sistema popular para el intercambio de mensajes. A diferencia del correo
electrónico tradicional, la comunicación entre los participantes es en
tiempo real y, además, el programa nos informa cada vez que uno de
nuestros contactos se conecta.

Los diversos productos de mensajería instantánea están basados en una
tecnología cliente servidor. Los usuarios utilizan un cliente para
conectar con un servidor externo, que centraliza todas las conexiones.

Actualmente existen diferentes productos de mensajería instantánea y,
por lo general, se trata de aplicaciones totalmente incompatibles. Es
decir, los usuarios de un servicio sólo pueden comunicarse con otros
usuarios del mismo servicio. Existen algunas utilidades y clientes que
disponen de capacidad "multiservicio", aunque se trata de productos
desarrollados de forma externa a los principales servicios existentes.

Cada usuario del servicio de mensajería electrónico debe disponer de un
identificador único que lo identifica ante el sistema y el resto de los
usuarios. Por tanto, el usuario al conectar al servicio debe facilitar
ese identificador y la contraseña establecida.

En líneas generales, el intercambio de mensajes se realiza siempre a
través del servidor. Así cuando el usuario A envía un mensaje a B, el
proceso esquemático es el siguiente:

* A escribe el mensaje en el cliente de mensajería.
* El programa cliente envía el texto al servidor central.
* El servidor recibe el mensaje y lo envía al cliente de B.
* B recibe el mensaje y lo visualiza en su cliente de mensajería.

Normalmente los programas de mensajería siempre utilizan el servidor
central para el intercambio de mensajes; no obstante, existen algunos
programas que una vez establecida la conexión establecen una conexión
directa entre A y B, de forma que sus mensajes no pasan por el servidor
central.

Los programas de mensajería instantánea actuales, como el MSN Messenger
(también conocido como Windows Messenger), Yahoo! Messenger y ICQ, no se
limitan al intercambio de mensajes de texto, también ofrecen la
posibilidad de intercambiar cualquier tipo de archivos.

Por otra parte, algunos programas también permiten que los usuarios
compartan los archivos de una carpeta con sus interlocutores. Esta
compartición se realiza a través de la misma conexión establecida para
el intercambio de mensajes. Incluso es posible compartir toda la unidad
de disco, para que ésta quede a la disposición del interlocutor.

Todo esto convierte los programas de mensajería instantánea en
potenciales puertas traseras de la seguridad perimetral. Un atacante
puede utilizar un programa de mensajería instantánea para enviar un
Caballo de Troya que contenga una puerta trasera.

Como en el mismo momento en que consigue enviar un archivo el canal de
comunicación ya está establecido, el atacante no tiene por que
preocuparse en identificar la dirección IP de la víctima... para él, su
víctima no es otra cosa que un simple nombre en la lista de contactos.
Esto es una gran ventaja cuando se desea obtener el control del
ordenador de un usuario que conecta mediante módem o con dirección IP no
fija. Aunque su dirección IP en la red cambie, lo más probable es que su
identificador continúe siendo el mismo.

Durante los últimos meses se han dado a conocer, como hemos recogido en
algunos boletines previos de "una-al-día", diversos problemas de
seguridad y la existencia de gusanos específicos contra estos servicios
de mensajería instantánea.

Este hecho es especialmente grave al considerar que todavía ningún
programa antivirus controla de forma eficaz las conexiones de los
programas de mensajería electrónica, debido básicamente a la dificultad
en la monitorización del tráfico y a los frecuentes cambios en los
métodos de comunicaciones utilizados.

Otro aspecto a considerar es la posibilidad de que nuestro interlocutor
no sea realmente quien pensamos que es. Habitualmente los programas de
mensajería guardan la configuración de contactos en el servidor, lo que
permite la movilidad del usuario. De esta forma, cuando conectamos al
servidor desde un ordenador que no es el nuestro, nos aparecen nuestros
contactos habituales.

Pero esto también significa que si un atacante consigue acceder al
servidor utilizando la contraseña de uno de nuestros contactos, a
nuestros ojos aparecerá como si fuera nuestro interlocutor legítimo. Si
tenemos archivos compartidos, el atacante podrá acceder libremente a los
mismos.

La obtención de las credenciales de un usuario puede ser una tarea
relativamente simple. En muchos casos, es posible que la contraseña
asociada al identificador de un usuario sea algo fácilmente asociable,
como el teléfono, la fecha de nacimiento, el nombre del perro...

Pero incluso si la contraseña es muy compleja, como la mayoría de
protocolos utilizados transmiten la información en claro, sin cifrado,
pueden realizarse ataques de suplantación que permitan suplantar una
conexión establecida. Para algunos programas de mensajería concretos,
incluso existen programas que automatizan todo este proceso.

Por último, y no por ello menos importante, una aplicación de mensajería
electrónica puede ser utilizada para la fuga de información
confidencial. A diferencia del correo electrónico, donde se pueden
aplicar mecanismos para identificar posibles pérdidas, es muy difícil
llegar a identificar cualquier fuga que se realice a través de una
conexión de este tipo.


Xavier Caballé
xavi@hispasec.com



viernes, 24 de enero de 2003

Vulnerabilidad remota en CVS

Detectada una vulnerabilidad en las versiones de CVS (Concurrent
Versions Systems) anteriores a la 1.11.4 que puede ser utilizada por un
atacante remoto para ejecutar código arbitrario en el servidor
vulnerable, con privilegios de 'root'.

CVS es un software que actúa como repositorio y sistema de control de
versiones. Centraliza todos los archivos que forman parte de un conjunto
y mantiene un histórico de los cambios efectuados en cada archivo,
quedando constancia de cuando y quien ha realizado el cambio. Cuando el
servidor CVS está accesible a través de Internet, su utilización
facilita el control de cambios dentro de un proyecto con participantes
dispersos geográficamente.

Aunque el uso más frecuente de CVS es el de almacén de código fuente, su
utilización es igualmente interesante en cualquier otro entorno donde
exista un conjunto de archivos sobre los que se realicen cambios,
especialmente cuando éstos son realizados por varias personas. Así, CVS
es realmente útil para almacenar los archivos de configuración de los
servidores Unix, por citar únicamente un ejemplo.

Durante la realización de una auditoría de seguridad en el código fuente
de CVS, se ha descubierto una vulnerabilidad de seguridad en la función
que gestiona la petición de un directorio.

Si se envía un nombre de directorio mal formado al servidor CVS, es
posible provocar una condición de error que provocará la finalización de
dicha función. Esta finalización se realizará después de que una
variable puntero de ámbito global haya sido inicializada, pero a la que
todavía no se ha asignado ningún valor.

En el momento en que se realice una nueva petición de directorio, se
producirá nuevamente la inicialización de ese puntero, lo que puede
provocar la corrupción de la pila. Realizando otras peticiones
adicionales al servidor CVS es posible forzar la ejecución de código
arbitrario en aquellos sistemas operativos vulnerables a este tipo de
problemas. Esto incluye Linux, *BSD, Solaris y, probablemente, Windows.

El impacto de esta vulnerabilidad depende en gran medida de la
configuración del servidor CVS. Si el servidor se ejecuta directamente
mediante inetd, el atacante podrá ejecutar código arbitrario en el
servidor con privilegios de root. Si por el contrario, el servidor CVS
se ejecuta en una celda 'chroot', el ataque sólo tendrá efecto dentro de
la celda. No obstante, en ambos casos, el atacante dispondrá de un
completo acceso sobre los archivos almacenados en CVS.

Por tanto, es importante instalar a la mayor brevedad posible la versión
1.11.5 de CVS que elimina esta vulnerabilidad.

Por otra parte, es bueno recordar que CVS dispone de dos órdenes
(Update-prog y Checkin-prog) que pueden ser utilizadas por cualquier
usuario de CVS con acceso de escritura para ejecutar órdenes del shell
directamente en el servidor. Se trata de dos opciones poco documentadas
y que no pueden ser desactivadas a través de los archivos de
configuración.

Para poder desactivar estas dos opciones, muy peligrosas desde el punto
de vista de la seguridad, se puede aplicar un parche del código fuente.
Este parche es válido para las versiones 1.11.4 y 1.11.5 y se encuentra
disponible en:

http://security.e-matters.de/patches/cvs_disablexprog.diff


Xavier Caballé
xavi@hispasec.com


Más información:

Concurrent Versions System
http://www.cvshome.org/

Concurrent Versions System - Project Download List
http://ccvs.cvshome.org/servlets/ProjectDownloadList

Aviso 01/2003 - CVS Remote Vulnerability
http://security.e-matters.de/advisories/012003.html

Aviso del CERT (CA-2003-02)
Double-Free Bug in CVS Server
http://www.cert.org/advisories/CA-2003-02.html

Vulnerability Note VU#650937
Concurrent Versions System (CVS) server improperly deallocates memory
http://www.kb.cert.org/vuls/id/650937

Double-free vulnerability in CVS 1.11.4 and earlier
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0015

CVS execution of arbitrary code
http://www.secunia.com/advisories/7909/

Remote Root Exploit in CVS
http://developers.slashdot.org/developers/03/01/21/1752251.shtml?tid=128

CVS Remote Vulnerability
http://www.securiteam.com/unixfocus/5VP0P0A8UQ.html

Dangerous CVS hole identified
http://news.zdnet.co.uk/story/0,,t269-s2129188,00.html

Chrooted SSH CVS server HOW-TO
http://www.netsys.com/library/papers/chrooted-ssh-cvs-server.txt

Bug de Doble Liberación en el Servidor CVS
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-002.html

jueves, 23 de enero de 2003

Vulnerabilidad en servicio Localizador de diferentes sistemas Windows

Microsoft ha anunciado la existencia de una vulnerabilidad en el servicio Localizador presente en Windows NT 4.0, Windows 2000 y Windows XP por la cual un atacante podría llegar a ejecutar código en los sistemas afectados.
El servicio Localizador (Locator) de Microsoft es un servicio de nombres
que mapea nombres lógicos a nombres específicos de red. Este se incluye
con Windows NT 4.0, Windows 2000 y Windows XP. Por defecto, el servicio
Locator está activo sólo en controladores de dominio Windows 2000 y
controladores de dominio Windows NT 4.0; no está activo en estaciones de
trabajo Windows NT 4.0 o servidores miembros, estaciones de trabajo
Windows 2000 o servidores miembros, o Windows XP.

Se produce una vulnerabilidad de seguridad de un búfer sin comprobar en
el servicio Locator. Mediante el envío de una petición mal construida al
servicio Locator, un atacante puede provocar la caída del servicio, o
incluso la ejecución de código en el sistema. Un atacante podrá explotar
la vulnerabilidad construyendo una llamada RPC que haga uso del servicio
Locator para resolver un nombre lógico, y usando la llamada RPC para
pasar los datos mal construidos.

Microsoft publica los siguientes parches para evitar el problema:
Windows NT 4.0:
http://microsoft.com/downloads/details.aspx?FamilyId=F92D1E86-590A-4DA5-93F2-FCC6300A1A43&displaylang=en
Windows NT 4.0 Terminal Server:
http://microsoft.com/downloads/details.aspx?FamilyId=EB651162-97F2-47F9-8E99-016B35B7646D&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=33FF827A-D5DB-4F92-9DEF-4D91A140E0E0&displaylang=en
Windows XP 32-bit: http://microsoft.com/downloads/details.aspx?FamilyId=DF24197E-6217-4ABD-A244-0A53320B2813&displaylang=en
Windows XP 64-bit:
http://microsoft.com/downloads/details.aspx?FamilyId=B8999D16-3DAD-4E20-B46E-E1AEFB1F6673&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS03-001
Unchecked Buffer in Locator Service Could Lead to Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-001.asp

What You Should Know About Microsoft Security Bulletin MS03-001
Security Update for Microsoft Windows
http://www.microsoft.com/security/security_bulletins/MS03-003.asp

miércoles, 22 de enero de 2003

Datos privados en discos duros de segunda mano

Durante los dos últimos años, dos estudiantes del MIT han adquirido
discos de segunda mano a través de subastas en Internet y tiendas de
segunda mano. De un total de 129 discos adquiridos y operativos, fue
posible recuperar archivos en un total de 69. Y de éstos, en 49 había
información "privada": datos médicos, cartas de amor, pornografía y más
de 5.000 números de tarjetas de crédito.

Esto puede poner los pelos de punta al indicar que, según algunas
estimaciones, durante el año 2002 un total de 150.000 discos duros
fueron "jubilados". Si bien la mayoría de estos discos retirados acaban
en la papelera, un porcentaje significativo de los mismos pasa al
mercado de segunda mano.

Hoy en día los en los discos duros de todos nosotros tenemos almacenada
una gran cantidad de información altamente sensible, que bajo ningún
concepto deseamos pueda llegar a manos de cualquier otra persona.

Cuando borramos un archivo, en realidad lo que hacemos es indicarle al
sistema operativo que lo marque como borrado y que su espacio en el
disco pase a ser reutilizable. Pero los datos del archivo continúan en
el disco hasta que no son sobrescritos.

De la misma forma, formatear un disco no siempre borra los datos. Con el
fin de hacer la operación lo más breve posible, en muchas ocasiones sólo
se rescriben las cabeceras de los sectores del disco.

Es un hecho que, cada vez con más frecuencia (y no siempre de forma
debidamente justificada), la vida operativa de los ordenadores
personales se acorta. Por eso no es extraño que, llegado el momento de
la ampliación o cambio, deseemos recuperar algo de la inversión
efectuada procediendo a la subasta o venta del equipo antiguo.

En el caso de las empresas, la situación todavía es más común. Hoy en
día no es nada raro que las medianas y grandes empresas, en lugar de
adquirir directamente los ordenadores tengan su parque de informática
personal bajo leasing o renting. Por tanto, pasado el período de vida,
estos equipos son devueltos a la empresa arrendataria.

Un destino tradicional de estos equipos procedentes del leasing/renting
es, al igual que sucede con los particulares, que pasen a propiedad de
empresas especializadas en subastas o venta de equipos a precio de
saldo. Hoy en día existe un importante mercado de venta de equipos con
dos/tres años de antigüedad que se nutre, precisamente, de los equipos
que han finalizado su periodo de vida en las medianas y grandes
empresas.

El estudio efectuado por los dos estudiantes del MIT se realiza a partir
de discos que proceden de subastas en Internet o tiendas de segunda
mano. Durante un período de dos años, se adquirieron un total de 158
discos duros, de los cuales 129 eran operativos.

En el momento de recibir cada disco, se conectaban a un ordenador
ejecutando FreeBSD 4.4 y se realizaba una copia, bloque a bloque del
disco duro en un archivo imagen (mediante la utilidad dd del sistema
operativo). Al finalizar la copia, se intentaba montar el disco mediante
diversos sistemas de archivo. Si se podía montar el archivo, se copiaban
todos los archivos reconocidos con tar y se procedía al análisis de
estos archivos. En total, los dos estudiantes del MIT obtuvieron 75 GB
de datos (71 GB correspondían a las imágenes de particiones recuperadas
y 3,7 GB eran archivos tar comprimidos).

Los datos obtenidos son apabullantes. Del total de discos adquiridos,
únicamente 12 (un 9%) habían pasado por un proceso de limpieza para
garantizar el borrado de la información. 83 discos (64%) contenían
particiones FAT16 o FAT32 directamente accesibles. El resto, 46 discos
no contenían ninguna partición que pudiera ser accedida.

De los 83 discos con particiones, 51 aparentemente habían sido
formateados ya que no había ningún archivo. Otros seis discos si bien
habían sido formateados, disponían de los archivos del sistema operativo
(DOS o Windows) necesarios para arrancar la máquina.

Pero en los discos no formateados también fue posible encontrar datos.
Entre los 46 discos sin particiones, en 30 se pudo extraer información
leyendo los diversos sectores del disco.

Una vez identificados los discos, se procedió a recuperar los archivos:
675 documentos DOC, 274 hojas de cálculo XLS, 20 bases de mensajes PST,
566 presentaciones PPT. Algunos de estos archivos almacenaban datos
especialmente sensibles: documentos de una empresa referentes al
personal, una carta a un médico quejándose del tratamiento recibido para
curar un cáncer, plantillas de fax de un hospital para niños, cartas de
amor, imágenes pornográficas...

Para profundizar todavía más, se escribió un programa que rastreaba los
discos en busca de datos de tarjetas de crédito (series de números que
se ajustan al formato de las tarjetas de crédito y que son reconocidos
como tales mediante el algoritmo de verificación). Entre todos los
discos, en 42 de ellos se obtuvieron números aparentemente válidos de
tarjetas de crédito. Uno de estos discos, contenía un gran número de
tarjetas de crédito (más de 2.800 números). El análisis más detallado
del mismo llega a la conclusión que el disco pertenecía a un cajero
automático.

Otro disco duro almacenaba los números de más de 3.700 tarjetas de
crédito dentro de lo que se asemejaba a un archivo log. En otro caso, la
tarjeta de crédito estaba dentro de un archivo procedente de la memoria
caché del navegador web.

Existen un gran número de herramientas útiles cuando se intenta
recuperar los datos que una vez estuvieron almacenados en un disco. En
el apartado de "Más información" incluimos los enlaces a diversas
herramientas, como TestDisk (una herramienta para acceder a los datos de
particiones borradas, con soporte para particiones FAT, FAT32, Linux,
NTFS, BeFS, NetWare...) y The Coroner's Toolkit (un conjunto de
utilidades para investigaciones forenses que se puede utilizar para
acceder a datos borrados).

También incluimos los enlaces de AutoClave, un sistema para el borrado
seguro de los datos del disco duro y un par de comparativas de diversas
herramientas para el borrado seguro de los datos.

Otra alternativa es el cifrado de los datos. Algunos sistemas
operativos, como Windows 2000/XP, incorporan de serie la posibilidad de
cifrar los datos almacenados en el disco. También PGP permite crear
discos virtuales cuyo contenido está permanentemente cifrado. De esta
forma, si alguien dispone de acceso al disco, a pesar de que pueda
recuperar los datos, lo tendrá muy difícil para poder visualizar la
información.


Conclusión

Las conclusiones que se obtiene de todo este estudio es que antes de
deshacerse de un disco duro, hay que tomar una serie de medidas
adecuadas para garantizar que los datos almacenados en su interior son
totalmente borrados. Las recomendaciones que se realizan son:

* Los usuarios deben conocer las técnicas necesarias para el borrado
seguro de la información.

* Las organizaciones deben establecer políticas para el borrado de todos
los sistemas de almacenamientos que son vendidos, destruidos o devueltos
al fabricante. Como ejemplo, en el apartado de más información incluimos
las recomendaciones que realiza al respecto la NASA.

* Los fabricantes de sistemas operativos deberían incluir herramientas
de sistema para el borrado seguro de los datos.

* En el futuro, los sistemas operativos deberían realizar la operación
de borrado seguro de forma automática.

* Siempre que se posible, es conveniente utilizar sistemas de archivos
que incorporen funciones de cifrado.

* Los fabricantes de discos deben facilitar herramientas para garantizar
la confidencialidad de los datos almacenados.


Xavier Caballé
xavi@hispasec.com



martes, 21 de enero de 2003

Graves vulnerabilidades en CUPS

Las versiones de CUPS no actualizadas contienen numerosas
vulnerabilidades que permiten matar el servidor, sobreescribir ficheros
arbitrarios en la máquina y obtener privilegios adicionales como los
usuarios "root" y "lp".

CUPS ("Common Unix Printing System") es un sistema de impresión en red
de entornos UNIX, basado en el primitivo IPP ("Internet Printing
Protocol"). Actualmente se está perfilando como un estándar "de facto",
permitiendo la impresión remota en impresoras "raster" y PostScript, a
través de una red de datos, y de forma multiplataforma. CUPS está
soportado por numerosos fabricantes, aparte de los distribuidores
habituales de Linux y *BSD, notablemente Apple en su Mac OS X.

Las versiones de CUPS no actualizadas permiten que un atacante remoto
logre, en el peor de los casos, acceso al servidor con privilegios de
administrador o "root".

Las vulnerabilidades detectadas son:

* Varios desbordamientos aritméticos: Permiten obtener privilegios
de usuario "lp", del grupo "sys", típicamente.

* "Race condition" en "/etc/cups/certs/": Esta vulnerabilidad permite
que un usuario del sistema sobreescriba cualquier archivo del mismo
con privilegios de administrador o "root".

* Error de diseño del mecanismo para añadir impresoras de forma remota:
CUPS permite añadir impresoras de forma remota, enviando al servidor
un datagrama UDP apropiado. Un atacante malicioso puede enviar
un nombre de impresora especialmente formateado que, al seleccionarla,
desencadene varios bugs que le permitan obtener privilegios
adicionales. Dado que la única manera de eliminar esa impresora es
seleccionándola en la interfaz gráfica, el ataque tiene éxito.

* Enviar peticiones CUPS incorrectas puede matar el servidor,
provocando un ataque DoS (Denegación de Servicio).

* Desbordamientos de búfer varios que pueden lograr privilegios
de administrador o "root" para el atacante.

* Pérdida de descriptores de fichero: Ante determinadas peticiones,
CUPS puede "perder" un descriptor de fichero. Dado que el número
de descriptores que un proceso puede mantener abiertos es un recurso
limitado, un ataque continuado puede provocar un DoS sobre el
servidor CUPS.

La recomendación es que todas las instalaciones de CUPS actualicen
cuanto antes a la versión 1.1.18. Si ello no es posible, deben filtrar
el acceso al demonio CUPS en los routers o cortafuegos, para reducir el
riesgo de un ataque externo. En todo caso, la mayoría de los
fabricantes, incluido Apple, ya han publicado actualizaciones.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Multiple Security Vulnerabilities in Common Unix Printing System (CUPS)
http://www.idefense.com/advisory/12.19.02.txt

CUPS Security Vulnerabilities
http://slashdot.org/article.pl?sid=02/12/20/0140249

CUPS
http://www.cups.org/

lunes, 20 de enero de 2003

Elcomsoft declarado "inocente"

En un juicio que terminó hace un mes, la empresa rusa Elcomsoft ha sido
declarada inocente de violar la ley americana denominada DMCA ("Digital
Millennium Copyright Act").

Elcomsoft es una empresa rusa que elabora software para saltarse las
protecciones criptográficas de varios tipos de documentos. En Agosto de
2001 Dimitry Sklyarov, programador de Elcomsoft fue detenido acusado de
violar la DMCA, debido a una denuncia de Adobe, mientras impartía una
conferencia en un conocido encuentro de seguridad en Las Vegas.

Adobe inició el proceso judicial debido a que uno de los productos
desarrollados por Elcomsoft permite romper el cifrado de los libros
electrónicos en formato PDF, formato propietario de Adobe, muy popular
en Internet.

Aunque Adobe, tras un considerable clamor popular, retiró los cargos
contra Sklyarov, prosiguió una acusación de oficio por parte del
gobierno norteamericano. Sklyarov fue liberado a cambio de declarar en
contra de la empresa en la que trabaja, Elcomsoft, que aceptó este hecho
por no considerar haber violado ninguna ley, y por el bien de Dimitry y
su familia.

La tecnología de Elcomsoft puede utilizarse para romper el cifrado de
los documentos PDF y promover la piratería, pero tiene también
innumerables posibilidades positivas, como el permitir el acceso a los
documentos por parte de personas discapacitadas, o poder acceder al
mismo desde dispositivos "no oficiales", como el PDA de un comprador. De
hecho Adobe no pudo encontrar ningún documento protegido con
sus claves en los circuitos de "piratería", roto a través de la
tecnología de Elcomsoft. Se da la curiosa circunstancia de que entre los
clientes de Elcomsoft se cuentan numerosas agencias gubernamentales
norteamericanas e, increíblemente, la propia compañía Adobe.

Para cerrar el proceso, el juez designado instruyó al jurado para que
valorase si Elcomsoft había creado su software con la clara intención de
violar derechos de propiedad intelectual (copyright). Dados los
evidentes usos "legales" de esa tecnología, el jurado concluyó que no
era el caso.

Aparte de las evidentes buenas noticias que esta resolución supone para
toda la comunidad dedicada a la seguridad informática, persisten algunos
negros nubarrones que prometen ocasionar más de un problema en el
futuro:

* La DMCA no se ha derogado. Sigue en vigor y podrá volver a ser
utilizada en el futuro, con los abusos que ello supone.

* Aunque la DMCA fuese legal (algo de lo que muchos dudamos), Elcomsoft
es una compañía rusa, y Dimitry Sklyarov es un ciudadano ruso y
desarrolló su trabajo dentro de Rusia, donde las leyes
norteamericanas, obviamente, no tienen ninguna validez. Que bajo esas
circunstancias Sklyarov fuese arrestado y acusado de un crimen
inexistente bajo las leyes rusas, sienta un peligrosísimo precedente.

La próxima vez que viajemos a un país de tradición musulmana no solo
tendremos que tener en cuenta el no violar las leyes de dicho país
durante nuestra estancia allí, sino que habrá que valorar si las
hemos violado cuando estábamos en nuestra propia casa. Dado que cada
país del mundo tiene una legislación propia, estamos sujetos a ser
encarcelados en cuanto atravesemos cualquier frontera, por actos
cometidos bajo nuestro propio techo y que no constituyen un delito
en nuestro país.

Las implicaciones que supone esta actuación norteamericana se me
escapan por completo, pero me parecen francamente peligrosas.

* La DMCA penaliza la elaboración o posesión de cualquier herramienta
susceptible de ser empleada para violar derechos de propiedad
intelectual. Esto es muy grave y no me parece que se le esté dando la
importancia que merece: *NO* se está penalizando la violación de
la propiedad intelectual (copyright), sino que se declara ilegal
la mera posibilidad de poder hacerlo. No se declara ilegal el cometer
un delito, sino el que exista esa posibilidad.

En la práctica cualquiera con un ordenador puede violar un copyright
por instalar una copia ilegal de Microsoft Windows. Pero el que comete
el delito es esa persona, y no el fabricante del ordenador. Lo mismo
se aplica a las videograbadoras, que pueden usarse para copiar
películas y no por ello es ilegal fabricarlas o poseerlas.

La DMCA invierte esa lógica y convierte en delito, por ejemplo, la
investigación académica sobre tecnología anticopia.

Es evidente que algo no funciona aquí tampoco.

* La DMCA condiciona "usos aceptables" en bienes adquiridos. Aunque
un CD comprado para reproducción privada (lo normal) no pueda ser
utilizado en una emisora de radio sin pagar un canon adicional, la
CMDA va mucho más allá. Por ejemplo, la legislación de "uso aceptable"
norteamericana permite que si yo poseo un CD comprado legalmente,
pueda hacer una copia legal del mismo si es para uso personal. Un
ejemplo paradigmático sería el poder usar ese CD en el automóvil,
sin riesgo de causar desperfectos al original

Ahora que algunos CDs de audio empiezan a incorporar sistemas
anticopia, aunque legalmente pudiese hacer esa copia, mis equipos
informáticos no me lo permitirán, no de forma legal, sino técnica.
Es decir, se negarán a realizar esa copia "legal". Si "fuerzo" el
sistema para hacer la copia, por ejemplo, el uso de un simple
rotulador negro para inhabilitar el segmento anticopia de mi CD
adquirido legalmente, para hacer uso de mi derecho legal a la copia
de uso personal, estaré violando la DMCA.

En el caso de los libros electrónicos yo puedo adquirir un libro
protegido para uso exclusivo en sistemas MS Windows. Pero si yo tengo
un Linux o un Macintosh no lo podré leer. Si uso una herramienta como
la de Elcomsoft para romper el cifrado y poder leer ese libro, que he
comprado legalmente, en mi propio equipo informático, acabo de
violar la ley. Si *SOLO* existe la versión Windows, o adquiero
un ordenador con dicho sistema operativo o simplemente no podré usar
algo que he comprado y que no está disponible para mis equipos.

Es más, si tengo MS Windows y adquiero ese libro, sólo lo podré leer
con el software "autorizado", aunque el libro sea de mi propiedad.
Si dicho software no funciona correctamente, estoy perdido. No existen
alternativas que pueda emplear legalmente. Si soy ciego y ese
programa no soporta leer el texto en voz alta (con voz sintetizada)
o salida a una pantalla Braille, no puedo usarlo. Si uso un
sintetizador de voz, estoy violando la ley.

* Aunque Elcomsoft ha sido declarada inocente, se le ha prohibido
seguir distribuyendo ese software. Dejando al margen este hecho
y que personalmente considero la DMCA ilegal incluso en EE.UU.,
me resulta curioso que un tribunal estadounidense se tome la
libertad de imponer sanciones legales a una empresa extranjera.

Poca importancia tiene que ese software permita innegables
aplicaciones legales, y que la propia Adobe esté entre sus clientes.

* La DMCA se está utilizando de forma activa con fines de censura y
abuso de posición dominante, como se comprueba en algunos de los
enlaces proporcionados más abajo. Una gran cadena comercial
norteamericana ha conseguido, por ejemplo, que muchos comercios
tengan que retirar listas de precios de dicha cadena, filtrados
antes de su publicación oficial. Muchas compañías de peso pueden
conseguir que los ISPs retiren contenidos "inconvenientes" de sus
servidores con el mero pretexto de violar la DMCA, y pocas empresas
pequeñas se plantean siquiera dudar de ese hecho y acudir a juicio,
por una simple razón de coste y recursos humanos y materiales. Ello
da lugar a una censura encubierta de consecuencias imprevisibles a
medio plazo.

En Noviembre de 2001 HispaSec, a través de este mismo medio, publicó un
extenso boletín sobre la DMCA y sus peligros. Más de un año más tarde,
sigue conservando toda su actualidad. Lamentablemente, no se ha avanzado
mucho...

Recomiendo a todos los lectores de "Una-Al-Día" que echen un detenido
vistazo a los enlaces que siguen y al artículo original de Noviembre de
2001.


Jesús Cea Avión
jcea@hispasec.com


Más información:

ElcomSoft Verdict: Not Guilty
http://slashdot.org/article.pl?sid=02/12/17/1840246

Elcomsoft not guilty - DoJ retreats from Moscow
http://www.theregister.co.uk/content/55/28612.html

So sorry Adobe urges more DMCA busts
http://www.theregister.co.uk/content/6/28654.html

Sklyarov Discusses the ElcomSoft Trial
http://yro.slashdot.org/article.pl?sid=02/12/20/1631207

Sklyarov reflects on DMCA travails
http://news.com.com/2100-1023-978497.html

US v. ElcomSoft & Sklyarov FAQ:
Frequently Asked Questions (and Answers) About the Dmitry Sklyarov &
ElcomSoft Prosecution
http://www.eff.org/IP/DMCA/US_v_Elcomsoft/us_v_sklyarov_faq.html

Internet Sites Delete News of Sales by Big Retailers
http://www.nytimes.com/2002/11/21/technology/21COPY.html

'Prices are trade secrets' - stores unite to make DMCA look stupid
http://www.theregister.co.uk/content/6/28223.html

Big Retailers Squeeze FatWallet
http://www.wired.com/news/business/0,1367,56504,00.html

DMCA, Black Friday - where we stand, and what we are doing about it.
http://www.fatwallet.com/forums/messageview.cfm?catid=18&threadid=126042

Wal-Mart backs away from DMCA claim
http://news.com.com/2100-1023-976296.html

[HACK] Sklyarov free
http://mailman.argo.es/pipermail/hacking/2002-December/001276.html

14/11/2001 - Legislación norteamericana contra los análisis de seguridad
http://www.hispasec.com/unaaldia.asp?id=1116

domingo, 19 de enero de 2003

Cursos de Seguridad Informática e Internet 2003

El Instituto para la Seguridad en Internet (ISI), con la colaboración
de Hispasec Sistemas, presentan la oferta de cursos para el primer
trimestre de este nuevo año. Una vez más destacan la actualización de
sus contenidos, el enfoque eminentemente práctico, y el nivel de los
expertos que los impartirán.

La filosofía de los cursos se basa en que primero es necesario conocer
el modo de actuación de los atacantes y, una vez comprendido, estudiar
las posibles soluciones y las medidas preventivas que se deben adoptar
para paliar los ataques.

Cada aspecto se plantea inicialmente desde la perspectiva del intruso,
los asistentes conoceran al detalle las técnicas utilizadas, sus
herramientas, y realizarán ataques reales contra Internet.
Posteriormente aplicarán el conocimiento de esas técnicas desde el
punto de vista del administrador de sistemas o desarrollador, en la
defensa y prevención de los sistemas, estudiando las medidas a
adoptar para minimizar los riesgos y realizar un correcto seguimiento
de los posibles incidentes.

Los cursos se imparten presencialmente en Madrid en aulas
acondicionadas para la ocasión, con ordenador por alumno, conexión a
Internet y videoproyector para la fácil realización de prácticas y
seguimiento del curso. A los asistentes se les entrega manual de
documentación en castellano y CD-ROM con las numerosas herramientas
utilizadas durante los cursos.

Otro de los factores a destacar de estos cursos es la calidad técnica
de sus autores. Han sido diseñados, documentados y, además, serán
impartidos por auténticos expertos en la materia: Juan Carlos García
Cuartango, Cristóbal Bielza, Pedro Pablo Pérez y Gonzalo Álvarez
Marañon.

Cursos previstos para el primer trimestre:

* Seguridad Internet en servidores Windows 2000
(11-14 Febrero y 11-14 Marzo)
http://www.hispasec.com/formacion/intro.htm

* Desarrollo de aplicaciones Internet seguras con tecnologías Microsoft
(18-21 Febrero)
http://www.hispasec.com/formacion/intropro.htm

* Seguridad Internet en servidores UNIX
(24-27 Febrero)
http://www.hispasec.com/formacion/introunix.htm


Bernardo Quintero
bernardo@hispasec.com



sábado, 18 de enero de 2003

Detectado un problema de seguridad en Microsoft Smartphone

Se ha descubierto la existencia de una vulnerabilidad de seguridad en el
teléfono SPV distribuido por la operadora británica Orange. Se trata del
primer teléfono móvil basado en Microsoft Smartphone.

Microsoft Smartphone es una versión de Windows CE (la versión de Windows
para dispositivos móviles) especialmente diseñada para teléfonos
móviles. Se trata de un sistema operativo que integra las funciones de
asistente personal con las comunicaciones telefónicas. Incluye, además,
versiones de Microsoft Messenger, Internet Explorer, Pocket Outlook y
Media Player.

El primer modelo de teléfono basado en Smartphone es el SPV, distribuido
por la operadora británica Orange. Se trata de un teléfono GSM tribanda
(900/1800/1900 MHz), con soporte de GPRS. Actualmente únicamente se
comercializa en el Reino Unido y Francia.

El sistema operativo incluido en el teléfono dispone de la opción de
instalar software adicional, que debe ser descargado a través del
operador de telefonía. En teoría, únicamente es posible la instalación
de software que haya sido certificado por el operador, no estando
permitida la instalación de software por parte del usuario.

La vulnerabilidad descubierta permite saltarse esta "protección" y
consiste en editar manualmente dos archivos del Smartphone. Esto puede
hacerse directamente desde el PC, transfiriendo los archivos con el
software estándar de sincronización. Una vez realizada esta
modificación, es posible la instalación de cualquier software en el
teléfono.


Decidir quien puede instalar software

Existe una tendencia, cada vez más generalizada, por parte de los
fabricantes de dispositivos a querer ejercer un control sobre el
software que se instala en los mismos. En el caso que nos ocupa en este
boletín, las aplicaciones que funcionan dentro de la plataforma
Smartphone 2002 de Microsoft deben estar firmados. La decisión final
sobre que programas disponen de firma y cuáles no, corresponde en
exclusiva al operador de telefonía móvil.

En el caso de los PC, existe una posibilidad de que algo parecido a esto
puedo llegar a suceder también. Como ya hemos indicado en diversos
boletines de "una-al-día" de Hispasec, la industria informática está
trabajando en la implantación de TCPA (Trusted Computing Platform
Alliance).

Si TCPA (o Palladium, que es como la conoce Microsoft) se convierte en
realidad algún día, alguien que no sea el usuario será quien decidirá
qué software podrá ejecutarse en los ordenadores. Si el software no está
digitalmente firmado, será imposible su ejecución.

Personalmente espero que esta situación sólo sea una pesadilla temporal,
un simple efecto post-11 de septiembre y que nunca un "gran hermano" sea
quien tenga la potestad de decidir que programas puedo ejecutar en mi
ordenador (o en mi teléfono, que no deja de ser un ordenador de tamaño
reducido). De lo contrario, el escenario de control que dibujó George
Orwell en su novela '1984' se convertiría en la más absoluta de las
realidades.




Xavier Caballé
xavi@hispasec.com



viernes, 17 de enero de 2003

Múltiples desbordamientos de memoria en DHCPD

Se ha informado de la existencia de diversos desbordamientos de memoria
intermedia en el servidor DHCP desarrollado por el Internet Software
Consortium (ISC).

El protocolo DHCP (Dynamic Host Configuration Protocol) tiene como
objetivo la asignación automática de direcciones IP y otros parámetros
de la configuración de red en los sistemas clientes.

En una red que utilice este protocolo, cada vez que un equipo se inicia
envía un mensaje de broadcast a la red para solicitar la concesión de
una dirección. El servidor DHCP de la red es el encargado de recibir
este mensaje y conceder, si procede, la dirección. De la misma forma, en
el momento en que caduque la concesión de la dirección IP, el cliente
solicita al servidor DHCP la renovación de la concesión.

La utilización de DHCP en una red facilita las tareas administración de
configuración de los parámetros de comunicaciones en los equipos, ya
que todo se realiza de forma centralizada. Además, al ser un sistema
automático, se evitan los problemas originados por la duplicación de
direcciones IP o la modificación de la configuración por parte de las
estaciones clientes.

Una de las versiones más utilizadas del protocolo DHCP es el servidor
desarrollado por el Internet Software Consortium (ISC), una organización
sin ánimo de lucro dedicada al desarrollo de las implementaciones de
referencia de los principales protocolos básicos utilizados en Internet.

Durante la realización de una auditoría de seguridad del código fuente
de esta implementación de DHCP, se ha descubierto la existencia de
diversos desbordamientos de memoria intermedia en las funciones de
control de errores de la biblioteca MINIRES. Esta biblioteca es
utilizada cuando se realiza la actualización dinámica del servidor de
nombres.

Estos desbordamientos de memoria intermedia pueden llegar a ser
explotados de forma remota enviando por un atacante que envíe un mensaje
DHCP al servidor que contenga un nombre de máquina muy largo. No
obstante, no se tiene constancia de la existencia de ningún exploit que
se aproveche de esta vulnerabilidad.

La vulnerabilidad está presente en las versiones 3.0 de DHCPD anteriores
a la versión 3.0p2 y 3.0.1rc11. Los usuarios de las versiones
vulnerables deben instalar el parche facilitado por ISC o bien
deshabilitar temporalmente la actualización dinámica del servidor de
nombres.


Xavier Caballé
xavi@hispasec.com



jueves, 16 de enero de 2003

Documento sobre la seguridad de un servicio de anonimato para web

En Febrero de 2002, David Martin y Andrew Schulman publicaron un
interesante informe sobre la seguridad del servicio de navegación
anónima "SafeWeb". Aunque dicho documento está ya anticuado,
refleja con una claridad diáfana los problemas a los que debe
enfrentarse un servicio de este tipo.

"SafeWay" era un servicio que permitía a los usuarios navegar por
Internet de forma anónima, tanto para los servidores web a los que se
conecte el usuario, como para cualquier curioso que pudiese haber entre
"SafeWay" y la máquina del usuario. Un ejemplo sería el sistema de
control de contenidos corporativo. Para ello se establece un túnel SSL,
entre "SafeWay" y el navegador del usuario. El usuario no requiere
ningún software específico; basta con un navegador con soporte SSL.
Cualquiera con menos de 5 años de antigüedad, prácticamente.

La mayor parte de los problemas de "SafeWay" vienen derivados de
intentar "limpiar" el posible código JavaScript que pudiera existir en
las páginas web. Dado que JavaScript es un lenguaje "completo", resulta
imposible asegurar su "limpieza" de forma estática (principio de
Turing). Sería necesario implementar un intérprete JavaScript nuevo.

Otros servicios de anonimato, reconociendo el problema, optan por
eliminar todo el código JavaScript de las páginas web. Esto es más
seguro y simple, pero existen dos problemas: a) hay páginas que no
funcionan sin JavaScript y b) un atacante suficientemente motivado puede
codificar el JavaScript de forma tal que sea reconocido por el navegador
pero no por el filtro. Naturalmente este último problema se puede
considerar un "bug" y las nuevas versiones del filtro lo irían
aliviando.

Lamentablemente "SafeWay" intentó preservar al máximo las
funcionalidades de las páginas originales, lo que supone soportar
JavaScript. Pero, por el principio de Turing, no es posible saber, de
forma estática, si un programa tiene efectos maliciosos o no. "SafeWay"
optó simplemente por restringir el acceso a determinadas funcionalidades
consideradas peligrosas. Pero esto tiene dos problemas: a) Hay funciones
peligrosas "desconocidas" y que, por tanto, no se filtran adecuadamente
y b) Pueden invocarse funciones peligrosas usando como primitivas
funciones seguras. El caso más evidente del segundo punto sería, por
ejemplo, el construir una cadena "prohibida" mediante la concatenación
de subcadenas "permitidas". Si la palabra "prohibido" está prohibida y
se filtra, podemos construirla como "proh"+"ibido" o
"pro"+"hi"+"bi"+"do". Un escáner estático como el que usaba "SafeWay" es
incapaz de enfrentarse a esquemas de este tipo.

Con ello, David y Andrew demostraron que, en la práctica, un servidor
web malicioso puede ejecutar código JavaScript arbitrario en el
navegador del usuario. Ello permitiría, por ejemplo, acceso a "cookies"
o a la IP real del usuario, comprometiendo el anonimato garantizado en
la navegación.

Pero los problemas realmente graves son:

* Acceso a cualquier "cookie" de cualquier página web que haya visitado
el usuario a través de "SafeWay".

* Creación y modificación de cualquier "cookie" que se quiera, para
cualquier página que se desee.

* Posibilidad de realizar un seguimiento de todas las páginas web
a las que el usuario acceda, vía "SafeWay".

Hay que señalar que estas vulnerabilidades, muy graves, existen debido
al uso de "SafeWay" por parte del usuario. Es decir, que este servicio,
no solo no garantiza el anonimato en la navegación, sino que introduce
gravísimos problemas de seguridad adicionales, que un usuario "no
anónimo" no padece.

El documento es una lectura recomendable de 24 páginas, en PDF. Sirve
como un excepcional ejemplo de como no hacer las cosas.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Deanonymizing Users of the SafeWeb Anonymizing Service
http://www.cs.bu.edu/techreports/pdf/2002-003-deanonymizing-safeweb.pdf

Deanonymizing SafeWeb Users
http://www.linuxsecurity.com/articles/privacy_article-4444.html

SafeWeb's Holes Contradict Claims
http://www.wired.com/news/politics/0,1283,50371,00.html

SafeWeb holes emerge, said fixed
http://www.theregister.co.uk/content/6/24105.html

miércoles, 15 de enero de 2003

Se publica un interesante informe sobre el impacto económico de los "bugs"

El informe de más de 300 páginas, de 1.35 MBytes y disponible en formato
PDF, analiza con gran detalle y rigor la estructura de costes de los
fallos informáticos, tanto desde la perspectiva de sus productores como
de las organizaciones usuarias.

El estudio se limita a EE.UU., y centra en dos industrias concretas:
servicios financieros e industria de fabricantes de medios de
transporte.

La conclusión no puede ser más espectacular: los problemas informáticos
derivados de una incorrecta verificación de errores por parte del
fabricante cuestan, a la economía norteamericana, unos 60.000 millones
de dólares al año, sólo en esas dos áreas. Ello supone aproximadamente
el 0.6% de todo el "Producto Interior Bruto" norteamericano.

Lectura más que recomendable, tanto para productores de hard/soft como
para usuarios de sistemas informáticos.


Jesús Cea Avión
jcea@hispasec.com


Más información:

The Economic Impacts of Inadequate Infrastructure for Software Testing
http://www.nist.gov/director/prog-ofc/report02-3.pdf

martes, 14 de enero de 2003

Acceso a cualquier archivo a través de plantillas en ColdFusion MX

Se ha anunciado la existencia de una vulnerabilidad en ColdFusion MX Enterprise Edition a través de la cual un usuario puede conseguir acceso no autorizado a cualquier archivo del sistema.
El problema reside en las etiquetas y de
ColdFusion MX, ya que estas aceptan nombres de archivos con rutas
relativas como argumento. El servidor no realiza la comprobación de la
configuración de permisos en el Sandbox Security Files/Dirs de forma
previa a la inclusión de los archivos mediante esas etiquetas. Esto
permite a una plantilla acceder a datos no autorizados mediante su uso.

Para evitar este problema se recomienda instalar el parche publicado por
Macromedia y disponible en
http://download.macromedia.com/pub/security/coldfusion/60/48718.jar.
Este parche deberá instalarse en el directorio
{cf_root}/runtime/servers/lib (en versiones Unix) o en
{cf_root}\runtime\servers\lib (en versiones Windows). Por último deberá
reiniciarse el servidor ColdFusion MX.


Antonio Ropero
antonior@hispasec.com


Más información:

MPSB03-01 - Patch available for ColdFusion MX Enterprise Edition sandbox
security issue that allows templates to include arbitrary files
http://www.macromedia.com/v1/handlers/index.cfm?ID=23638

ColdFusion access to arbitrary files
http://www.secunia.com/advisories/7864/

lunes, 13 de enero de 2003

"Sobag": nuevo gusano de propagación masiva

Hoy, día 13, se ha detectado una explosión en la propagación de este
gusano, especialmente en EE.UU. y países anglosajones. El número de
incidencias contrasta con su simpleza y fácil detección, por lo que
desde Hispasec esperamos no cause excesivas molestias. Ante el probable
desembarco en el resto de países durante las próximas horas, haremos
hincapié en su aspecto más externo, lo que nos permitirá detectarlo
y prevenirlo de forma sencilla.

La utilización de textos fijos para componer los mensajes a través
de los que se distribuye es su particular talón de Aquiles, ya que
facilita al usuario detectarlo por sus rasgos más externos.
Característica que también augura a "Sobag" un ciclo de vida muy
corto.

Remitente:
big@boss.com

Posibles Asuntos:
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

Nombres de archivo adjunto:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

Sobag se distribuye a través del correo electrónico, recolectando
direcciones de los archivos con extensiones *.WAB, *.DBX, *.HTM,
*.HTML, *.EML, *.TXT que encuentra en los equipos que infecta.

Cuando logra ejecutarse en un sistema, Sobag se copia en el
directorio de Windows con el nombre WINMGM32.EXE y se asegura
su lanzamiento cada vez que se inicia el sistema con las siguientes
entradas en el registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = \winmgm32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = \winmgm32.exe

El gusano también enumera todos los recursos compartidos en las
redes locales, e intenta copiarse con el nombre de WINMGM32.EXE
en los siguientes directorios:

Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\

La situación en estos directorios le permite autoejecutarse de
forma automática cuando se inicia el sistema, consiguiendo su
infección.

Soab también intentaba descargar un troyano desde un servidor
web, que copiaba en el directorio de Windows con el nombre de
DWN.DAT y posteriormente ejecutaba. Si bien la página web que
albergaba el troyano ha sido eliminada, por lo que las copias
que se están distribuyendo en la actualidad no pueden llevar
a cabo esta acción.

Como hemos visto se trata de un gusano muy simple que tiene
sus días contados. Una sencilla regla de filtrado, tanto a
nivel de servidor como cliente de correo, permite que podamos
prevenirlo.


Bernardo Quintero
bernardo@hispasec.com


Más información:

WORM_SOBIG.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.A

W32/Sobig-A
http://www.sophos.com/virusinfo/analyses/w32sobiga.html

I-Worm.Sobig
http://www.avp.ch/avpve/worms/email/sobig.stm

W32.Sobig.A@mm
http://www.sarc.com/avcenter/venc/data/w32.sobig.a@mm.html

W32/Sobig
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=37926&sind=0

W32/Sobig@MM
http://vil.nai.com/vil/content/v_99950.htm

domingo, 12 de enero de 2003

Denegación de servicio en routers Speedstream serie 5800

Se ha descubierto una vulnerabilidad de denegación de servicio en los routers ADSL Speedstream serie 5800 de la firma Efficient Networks.

Cuando se hace uso del filtro IP integrado para bloquear paquetes TCP SYN un simple escaneo de puertos al interface WAN del router provocará su bloqueo y finalmente su reinicio.

Paa evitar el problema se recomienda configurar el router para reenviar todo el tráfico (no filtrarlo en el router) a otro sistema de la red, preferiblemente un firewall que pueda efectuar el filtrado adecuadamente.


Antonio Ropero
antonior@hispasec.com


Más información:

Efficient Networks 5861 DSL Router Denial of Service Vulnerability
http://www.net-security.org/vuln.php?id=2356

Efficient xDSL router Denial of Service
http://www.secunia.com/advisories/7852/

sábado, 11 de enero de 2003

Descubierto un problema de seguridad en múltiples controladores de dispositivos Ethernet

Un grupo de investigadores ha descubierto la existencia de un importante problema de seguridad, que afecta a un gran número de controladores de dispositivos Ethernet.
El estándar IEEE define que los paquetes transmitidos en una red Ethernet deben tener un tamaño mínimo de 46 bytes y un máximo de 1500 bytes. Cuando se utilizan algunos protocolos de comunicaciones, como es el caso del protocolo IP, que requieren un tamaño inferior al mínimo establecido, es necesario completar el espacio libre con valores nulos (véase, por ejemplo, el RFC 894).

Se ha descubierto que muchos controladores de dispositivo Ethernet no realizan esta operación sino que, en su lugar, cuando deben enviar un paquete con un tamaño inferior al mínimo establecido por el estándar, se reutilizan los bytes contenidos en paquetes anteriores.

El siguiente fragmento de código C muestra la vulnerabilidad:

01 void xmit_frame(char *frame_buf, int frame_len)
02 {
03 int length;
04
05
06 if (frame_len < MIN_FRAME_SZ)
07 length = MIN_FRAME_SZ;
08 else
09 length = frame_len;
10
11 copy_to_tx_buf(frame_buf, length);
12
13 return;
14 }

La función xmit_frame() tiene dos parámetros, el primero de ellos es una variable que contiene el búfer a transmitir por la red, mientras que el segundo parámetro es la longitud del macro contenido en el búfer. La función verifica que el marco se ajusta a la longitud mínima establecido por el estándar (línea 06). En caso de que sea inferior, inicializa la variable length al valor mínimo (línea 07); si es superior, asigna el valor del parámetro (línea 09).

Esta longitud se utiliza para copiar el marco y transmitirlo a la red (línea 11). Es en este punto donde se produce la vulnerabilidad de seguridad. Si el marco a transmitir es inferior al valor mínimo, el espacio que hay entre frame_len y length contendrá bytes procedentes del contenido de un paquete anterior. Este vestigio de información es la información que se divulgará.

Esto, que a simple vista puede parecer de poca importancia, puede convertirse en un problema de seguridad muy serio en determinados entornos. Si se utiliza un controlador de dispositivo Ethernet que no realiza el rellenado con valores nulos de los bytes libre en los paquetes, éstos pueden incluir información sensible procedente de otros paquetes.

Utilizando el ejemplo de código anterior, debería efectuarse la siguiente modificación para eliminar la vulnerabilidad:

...
06 if (frame_len < MIN_FRAME_SZ) {
07 length = MIN_FRAME_SZ;
08 memset(frame_buf + frame_len, 0, length - frame_len);
09 } else
...

Esta vulnerabilidad está presente en un gran número de controladores de dispositivo Ethernet, en diversos sistemas operativos incluyendo, pero no limitado, a Linux, *BSD y Windows.



Xavier Caballé
xavi@hispasec.com



viernes, 10 de enero de 2003

Problemas de seguridad en Nettelephone

Netfone en su versión 3.5.6 cifra almacena el nombre de usuario en modo
texto a lo que hay que sumar el modo simple en el que cifra su clave. El
robo de estos datos permitiría a un atacante usar fraudulentamente la
cuenta en cuestión.

Nettelephone es un proveedor de servicios de PC a Teléfono, que cuenta
con un desarrollo de un dialer con el fin de realizar llamadas
internacionales a un menor costo. El dialer en cuestión es Netfone.exe
en su versión 3.5.6, el cual se ve afectado por un problema de seguridad
en el almacenamiento de la clave de usuario.

El mencionado programa almacena el número de cuenta de usuario y la
contraseña en el registro en:
"HKEY_CURRENT_USER\Software\MediaRing.com\SDK\NetTelephone\settings". El
número de cuenta, con una longitud de 12 caracteres, se guarda en text o
plano, mientras que el "pin", con una longitud de 6 caracteres, se
almacena cifrada. La inseguridad viene dada por el cifrado tan simple
que utiliza, al permitir ser atacada con facilidad utilizando un simple
sistema de sustitución, para lo que se emplea la siguiente tabla.

|---1--2--3--4--5--6-
|
|
(0) 75 76 79 7E 65 6E
|
|
(1) 74 77 78 7F 64 6F
|
|
(2) 77 74 7B 7C 67 6C
|
|
(3) 76 75 7A 7D 66 6D
|
|
(4) 71 72 7D 7A 61 6A
|
|
(5) 70 73 7C 7B 60 6B
|
|
(6) 73 70 7F 78 63 68
|
|
(7) 72 71 7E 79 62 69
|
|
(8) 7D 7E 71 76 6D 66
|
|
(9) 7C 7F 70 77 6C 67

Las columnas indican la posición del dígito y la columna su valor. Si el
valor cifrado en el registro es "70727A7C656B", se separa en seis grupos
de valores hexadecimales, para obtener "70" "72" "7A" "7C" "65" "6B".
Ahora, se busca el número correspondiente a la primera columna, el 70,
que se encuentra en la quinta fila. Así el valor descifrado para el
primer valor de la clave es 5. Basta seguir el proceso para obtener el
valor final (en este ejemplo "543205").


Antonio J. Román Arrebola
roman@hispasec.com


Más información:


Multiple Issues in Nettelephone Dialer
http://www.securiteam.com/windowsntfocus/5YP072A8UU.html

Nettelephone
http://www.nettelephone.com/

jueves, 9 de enero de 2003

Versiones del gusano Lirva (alias Avril, Avron, Naith)

Tal y como adelantamos ayer, este nuevo gusano ha mantenido un ritmo
de propagación al alza en las últimas 24 horas, hasta el punto de
situarse en segunda posición en los indicadores de infección, sólo
por debajo del casi sempiterno Klez. Parte de culpa en la escalada
de Lirva la tienen las nuevas versiones aparecidas, la última, hasta
el momento, presenta la novedad de que descarga e instala el troyano
BackOrifice en los equipos infectados.

Además de las acciones que llevaba a cabo la primera versión del
gusano, y que ya comentamos en el "una-al-día" de ayer, Lirva.C
conecta con el sitio http://web.host.kz/ y descarga el troyano
BackOrifice, lo copia en la carpeta de sistema de Windows bajo el
nombre de fichero Bo2k.exe y crea la siguiente entrada en el registro
para asegurar la ejecución de esta puerta trasera cada vez que se
inicie el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SocketListner = C:\Windows\System\Bo2k.exe

El gusano intenta la descarga de otro fichero, si bien éste no se
encuentra disponible hasta al momento en el sitio web.

Las nuevas versiones del gusano también incorporan nuevos textos con
los que presentarse por correo electrónico antes los usuarios. A
continuación actualizamos los asuntos, cuerpos y nombres de archivos
adjuntos según variante.

El asunto del e-mail puede ser uno de los siguientes:

Versión A:

Fw: IREX Fields Description
Re: ACCELS Awards results for 2003
Re: Avril Fans will rock you
Fw: Avril Lavigne - the best
Re: Antique themes
Re: ACTR/ACCELS Transcriptions

Versión B:
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purges Statement
Fw: Avril Lavigne - CHART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U requested Avril Lavigne bio?
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters - dont miss it!
Fwd: RFC-0245 Specification requested...
Fwd: RFC-0841 Specification requested...
Fw: F. M. Dostoyevsky "Crime and Punishment"
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?

Versión c:
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header


El cuerpo del mensaje puede variar entre:

Variante A:

1)
EDUCATIONAL PURPOSE
Avril fans subscription
I wish you the sweetest thing

2)
Restricted area response team (RART)

Attachment you sent to %random worm% is really good :-)
Well done!

SMTP session error #450: service not ready

3)
>See this in attached files
>>New PICS of Avril Lavigne!!!
>>It is honourable when you do it!!!


Variante B:

1)
Network Associates weekly report:
Microsoft has identified a security vulnerability in Microsoft IIS 4.0
and 5.0 that is eliminated by a previously-released patch. Customers who
have applied that patch are already protected against the vulnerability and
do not need to take additional action. to apply the patch immediately.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not
already done so Patch is also provided to subscribed list of Microsoft Tech
Support:
Patch :
Dateÿ:

2)
Restricted area response team (RART) Attachment you sent to %s is intended
to overwrite start address at 0000:HH4F To prevent from the further buffer
overflow attacks apply the MSO-patch

3)
Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony Vote for I'm with you! Admission form attached
below

4)
AVRIL LAVIGNE - THE CHART ATTACK!
Vote fo4r Complicated!
Vote fo4r Sk8er Boi!
Vote fo4r I'm with you!
Chart attack active list:

Variante c:

1)
Microsoft has identified a security vulnerability in Microsoft IIS 4.0
and 5.0 that is eliminated by a previously-released patch. Customers who
have applied that patch are already protected against the vulnerability and
do not need to take additional action. to apply the patch immediately.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not
already done so
Patch is also provided to subscribed list of Microsoft® Tech Support:

2)
Restricted area response team (RART) Attachment you sent to %s is intended
to overwrite start address at 0000:HH4F To prevent from the further buffer
overflow attacks apply the MSO-patch

3)
Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony Vote for I'm with you! Admission form attached
below


El nombre del archivo adjunto infectado puede ser:

Variante A:
Resume.exe
ACTR_Form.exe
AvrilFans.exe
PDF_Desc.exe
XXX_Teens.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe

Variante B:
Resume.exe
ADialer.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
TrickerTape.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe

Variante c:
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe


Aunque en estos momentos la mayoría de las casas antivirus ya sitúan
al gusano Lirva como alerta, los indicios apuntan a que se trata de
un espécimen con un ciclo de vida bastante más corto en comparación,
por ejemplo, con Klez. Entre otras razones, Lirva tiene la debilidad
de obtener los textos de asunto, cuerpo y nombre de archivo de una
lista delimitada, tal y como acabamos de ver, lo que permite a los
usuarios reconocerlo de forma fácil por su aspecto más externo y, a
los administradores, detener su llegada con simples filtros en el
servidor de correo.

También resulta curioso el ligero retraso y/o recelo de algunas casas
antivirus y sitios similares en dar la alerta sobre Lirva, pese a
que el día 8 había indicios de una actividad importante. Con respecto
a las casas antivirus, de un tiempo a esta parte, se pone especial
cuidado en no caer en hypes o alertas injustificadas, ya que ese
tipo de prácticas daba una imagen negativa al sector. Ahora hay que
buscar un punto intermedio, ya que el tiempo en dar una alerta cuando
hablamos de un espécimen con propagaciones tan explosivas se presenta
vital.

Por lo demás, este gusano, con sus respectivas variantes, vuelve a
poner el dedo en la llaga de las soluciones antivirus actuales, que
adolecen de ser sistemas reactivos, sin ofrecer una protección real
durante las primeras horas de vida de un gusano de alta propagación,
siendo igualmente ineficaces ante un ataque dirigido con un espécimen
no conocido o modificado para la ocasión.

Ante estas limitaciones, y aunque los intereses nos quieran presentar
a los antivirus como panacea o solución única, recomendamos a los
usuarios a que conozcan y sean en todo momento conscientes del grado
de protección real que ofrecen estos productos. Siendo necesario una
utilización responsable de la informática, de forma que con nuestra
conducta paliemos la falta de proactividad de los antivirus (no abrir
archivos adjuntos no solicitados, actualizar puntualmente nuestro
sistema, mantenerse informado sobre las alertas de seguridad, etc).

No en vano, una de las mayores vulnerabilidades es la falsa sensación
de seguridad.


Bernardo Quintero
bernardo@hispasec.com


Más información:

08/01/2003 - Gusano de alta propagación: Lirva / Avril / Avron / Naith
http://www.hispasec.com/unaaldia.asp?id=1536