lunes, 30 de junio de 2003

Historia del "bug" informático

El término "bug" ha sido asociado a interferencias y malfuncionamiento
desde mucho tiempo antes de que existieran los ordenadores modernos,
siendo Thomas Edison uno de los primeros en acuñar este significado.
Si bien fue una mujer, Grace Murray Hopper, quién en 1945 documentó
el primer "bug" informático.

"bug", traducido literalmente del inglés como "bicho", adquiere otro
significado cuando hablamos de informática. Esta otra acepción se
refiere a elementos y circunstancias en el software o hardware,
involuntarios e indeseados, que provocan un malfuncionamiento. A lo
largo de los años este término se ha popularizado y hoy día se
utiliza comúnmente para referirse a los errores en los programas
informáticos. La relación con la seguridad informática es directa,
ya que muchas de las vulnerabilidades que día a día vemos en Hispasec
están asociadas a "bugs".

Grace Murray Hopper (1906-1992), graduada en matemáticas y física por
el Vassar College, y doctora en matemáticas por la universidad de
Yale, ha pasado a la historia por ser una innovadora programadora
durante las primeras generaciones de ordenadores.

En 1943, durante la segunda guerra mundial, decidió incorporarse a la
marina estadounidense. Fue destinada al laboratorio de cálculo Howard
Aiken en la Universidad de Harvard, donde trabajó como programadora
en el Mark I.

El 9 de septiembre de 1945 el grupo de trabajo de Aiken y Grace se
encontraba en la sala del Mark II intentando averiguar porqué el
ordenador no funcionaba adecuadamente. Tras un examen concienzudo
lograron detectar que la culpable era una polilla de dos pulgadas que
se había colado entre los contactos de unos de los relés del Mark II.
Más tarde, Grace registraría el incidente en el cuaderno de bitácoras,
pegó la polilla que causó el problema y anotó debajo la frase
"First actual case of bug being found".

Puede verse una foto de la anotación original del primer "bug" en:
http://www.history.navy.mil/photos/images/h96000/h96566k.jpg

A partir de entonces, cada vez que algún ordenador daba problemas
ellos decían que tenía "bugs" (bichos o insectos). Años más tarde
Grace también acuñaría el término "debug" para referirse a la
depuración de programas.

Además de los fines militares, única razón de ser de los primeros
ordenadores, cuentan que Grace fue de las primeras personas en buscar
utilidades civiles a la informática. Entre sus muchos méritos destaca
la creación del lenguaje Flowmatic, el desarrollo del primer
compilador, o su trabajo en la primera versión del lenguaje COBOL.

Grace continuó con sus avances en computación y tuvo numerosos
reconocimientos a lo largo de su carrera. Entre otros, recibió el
premio Hombre del Año en las Ciencias de Cómputos por la Data
Processing Management Association. Fue la primera mujer nombrada
Distinguished fellow of the British Computer Society, y la primera
y única mujer almirante en la marina de los Estados Unidos hasta la
fecha.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Grace Brewster Murray Hopper
http://www-history.mcs.st-andrews.ac.uk/history/Mathematicians/Hopper.html

Rear Admiral Grace Murray Hopper
http://www.history.navy.mil/photos/pers-us/uspers-h/g-hoppr.htm

First Computer Bug, 1945
http://www.history.navy.mil/photos/images/h96000/h96566k.jpg

domingo, 29 de junio de 2003

Error de diseño en la versión freeware de ZoneAlarm

Un reciente mensaje en la lista de correo BugTraq revela la existencia
de una importante vulnerabilidad debida a un error de diseño en la
versión freeware del cortafuegos personal ZoneAlarm que puede, en
teoría, ser utilizado para abrir una conexión a Internet que pase
totalmente inadvertida a través del cortafuegos.

ZoneAlarm es un cortafuegos personal para ordenadores que ejecuten el
sistema operativo Windows que realiza dos funciones: evitar el acceso
no autorizado desde el exterior hacia el ordenador donde está
instalado el cortafuegos e identificar que aplicaciones están
accediendo a recursos externos.

La vulnerabilidad descubierta está originada por un error de diseño de
ZoneAlarm, que no controla adecuadamente la información que se
transmite. El atacante debería introducir un troyano en el ordenador
de la víctima que tendría como misión abrir una conexión contra un
servidor externo.

Para el acceso a este servidor externo, en lugar de realizar la
conexión directa, el troyano debería utilizar la función ShellExecute
de la API de Windows. Cuando se le pasa como parámetro una URL,
Windows invoca el programa asociado. Como la mayoría de los usuarios
permiten la conexión de este programa a Internet, el cortafuegos
personal permite esta conexión.

A pesar de que no se tiene constancia de que este ataque se esté
utilizando de forma activa (y ni tan siquiera exista ningún troyano
que se aproveche de la misma), las posibilidades de que aparición de
malware que utilice este problema es muy elevada.

Este problema afecta únicamente a la versión freeware de ZoneAlarm. En
la versión "pro", existen funciones adicionales que permiten evitar
este tipo de ataque si se establece el control del programa a nivel
alto (lo que significa que debe autorizarse expresamente cualquier
acceso realizado por el programa o cualquier DLL utilizada por el
mismo).

Mientras no exista una actualización de seguridad que elimine esta
vulnerabilidad (lo que, según el descubridor puede ser difícil ya que
es un problema que afecta al diseño del cortafuegos), es conveniente
que no se permite a ninguna aplicación el acceso por defecto a la red
y se tenga especial cuidado ante la posible introducción de malware de
nuestro ordenador. Es de esperar que, en breve, se disponga de una
nueva versión de este cortafuegos que solucione el problema.


Xavier Caballé
xavi@hispasec.com


Más información:

Bypassing ZoneAlarm (limited)
http://www.securityfocus.com/archive/1/326371/2003-06-17/2003-06-23/1

ZoneAlarm bells ring over freeware vuln
http://www.theregister.co.uk/content/55/31481.html

Zonelabs
http://www.zonelabs.com/

sábado, 28 de junio de 2003

Fallo en control ActiveX de Media Player 9 permite acceso a librería multimedia

Un control ActiveX incluido con Windows Media Player 9 permite a los
autores de páginas web la creación de páginas que puedan reproducir
medios audiovisuales y proporcionar un interfaz de usuario para que se
controle la reproducción. Existe un fallo en este control ActiveX de
forma que se proporciona al atacante acceso a información del
ordenador del usuario.

Un atacante podrá crear una página web que haga uso del control
ActiveX vulnerable de forma que le permita el acceso para visualizar y
manipular los metadatos contenidos en la librería de medios del
ordenador del usuario.

Para explotar esta vulnerabilidad el atacante deberá disponer de una
página web maliciosa diseñada para explotar el fallo y persuadir al
usuario a que visite dicho sistema.

El atacante únicamente tendrá acceso a manipular los datos de la
librería multimedia del sistema del usuario, lo que incluye
información sobre los archivos multimedia, lo que incluye título de
canciones, nombre de artistas, álbunes, etc.

El parche publicado puede descargarse desde:
http://microsoft.com/downloads/details.aspx?FamilyId=36814221-8194-4492-BB29-94DB3D4CB682&displaylang=en

Para Windows 2003 desde:
http://microsoft.com/downloads/details.aspx?FamilyId=82CD6192-15D8-4E28-9B14-F9B78FF01D8A&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Flaw In Windows Media Player May Allow Media Library Access
http://www.microsoft.com/technet/security/bulletin/MS03-021.asp

What You Should Know About Microsoft Security Bulletin MS03-021
Security Update for Windows Media Player
http://www.microsoft.com/security/security_bulletins/ms03-021.asp

viernes, 27 de junio de 2003

Microsoft publica el Service Pack 4 para Windows 2000

Microsoft acaba de publicar el cuarto Service Pack (SP4) para los sistemas
operativos Windows 2000 (Professional, Server y Advanced Server).

Los Service Pack son el conjunto de actualizaciones más conocido y demandado
por los usuarios de los sistemas operativos de Microsoft, al incluir dentro de
un único paquete todas las actualizaciones de los diversos componentes del
sistema operativo disponibles hasta la fecha de su publicación. Las
actualizaciones incluidas cubren las áreas de seguridad, compatibilidad con
las aplicaciones, instalación y fiabilidad del sistema operativo.

Este nuevo Service Pack, que en el momento de redactar este boletín únicamente
está disponible para las versiones en inglés y alemán (aunque es de esperar la
pronta disponibilidad en los otros idiomas) es compatible con las versiones
Professional, Server, Small Business Server, Server with Appliance Kit y
Advanced Server de Windows 2000. En el caso de la versión Datacenter Server es
responsabilidad de los diferentes OEM ofrecer la adaptación de este SP4 para
el hardware utilizado. Adicionalmente, el Service Pack 4 incluye las últimas
actualizaciones para el Internet Explorer 5.01 y para Outlook Express 5.5.

Además de reunir las diferentes actualizaciones publicadas hasta la fecha,
este nuevo SP4 incluye algunas funcionalidades nuevas, tales como el soporte
de USB 2.0 EHCI y soporte para el protocolo de autenticación 802.1x para redes
inalámbricas.

En los enlaces que facilitamos a continuación se encuentra la relación de
todas las actualizaciones incluidas en el SP4, así como los boletines de
seguridad que también se encuentran integrados en este Service Pack. Por otra
parte, también incluimos el enlace a la "Release Notes" y al "Readme" que
incluyen información de interés referente a la instalación del Service Pack y
el impacto que puede tener sobre las aplicaciones existentes.


Xavier Caballé
xavi@hispasec.com



jueves, 26 de junio de 2003

Ejecución de código a través de los Servicios de Windows Media

Se ha anunciado la existencia de una vulnerbailidad en Servicios de
Windows Media, una característica de Microsoft Windows 2000, por la
cual un atacante podría llegar a tomar el control de los servidores
afectados.
Servicios de Windows Media es una característica de Microsoft Windows
2000 Server, Advanced Server, y Datacenter Server y también está
disponible para descargarse para Windows NT 4.0 Server. Servicios de
Windows Media no se instala por defecto en Windows 2000, y debe ser
descargado para instalarlo en Windows NT 4.0.

Servicios de Windows Media contiene el soporte para un método de
distribución de contenido multimedia a clientes a través de una red
como flujo multidifusión. Sin embargo, de esta forma el servidor no
tiene conexión o conocimiento de los clientes que pueden estar
recibiendo el contenido desde el servidor. Para facilitar la
identificación de la información del cliente para el servidor Windows
2000 incluye una funcionalidad específicamente diseñada a tal
propósito. Windows 2000 incluye capacidades de acceso para
transmisiones multidifusión.

Esta capacidad se implementa a través de la extensión ISAPI (Internet
Services Application Programming Interface) nsiislog.dll. Servicios de
Windows Media debe ser agregado en Windows 2000 a través de la opción
Agregar o quitar programas lo que hace que nsiislog.dll en el
directorio Scripts de Internet Information Server (IIS). Tras realizar
la instalación de Servicios de Windows Media, IIS cargará y utilizará
nsiislog.dll de forma automática.

Se ha detectado un problema en la forma en que nsiislog.dll procesa
las solicitudes de clientes entrantes. Mediante el uso de esta
vulnerabilidad un atacante podría enviar solicitudes http
especialmente construidas al servidor que podrían provocar fallos en
IIS o incluso permitirle ejecutar código en el sistema del usuario.

Hay que aclarar que Servicios de Windows Media no se instala de forma
predeterminada en Windows 2000.

La actualización publicada para corregir esta vulnerabilidad puede
descargarse desde:
http://microsoft.com/downloads/details.aspx?FamilyId=F772E131-BBC9-4B3
4-9E78-F71D9742FED8&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Flaw in ISAPI Extension for Windows Media Services Could Cause Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-022.asp

What You Should Know About Microsoft Security Bulletin MS03-022
Security Update for Microsoft Windows
http://www.microsoft.com/security/security_bulletins/ms03-022.asp

miércoles, 25 de junio de 2003

Sobig.E, gusano que llega en un .zip

Aunque en las últimas horas se ha detectado un aumento considerable en
su propagación y las casas antivirus ya lo sitúan en alerta media,
parece que podrá ser muy fácil de parar en el perímetro al usar un
texto fijo en el cuerpo del mensaje utilizado para distribuirse. Amén
de que viene con fecha de caducidad, el gusano autodesactiva su
propagación el 14 de julio del presente año.

Los administradores de servidores de correo pueden aplicar sencillos
filtros, o aleccionar a la utilidad antispam de turno, para reconocer
a Sobig.E y evitar que llegue a los usuarios. El mensaje en el que
viaja el gusano tiene las siguientes características:

Cuerpo del mensaje:

Please see the attached file for details.


Asunto (alguno de los siguientes):

referer.pif
004448554.pif
re.document.pif
new_document.pif
submited.pif
Screensaver.scr
movie.pif
Applications.pif
Application.pif
Your application
Re: Re: Document
Re: Re: Application ref. 003644
Re: Documents
Re: Screensaver
Re: Submited (Ref: 003746)
Re: Movies
Re: Movie
Re: Application

Archivo adjunto (alguno de los siguientes):

your details.zip (contiene comprimido el archivo details.pif)
application.zip (contiene comprimido el archivo application.pif)
document.zip (contiene comprimido el archivo document.pif)
screensaver.zip (contiene comprimido el archivo sky.world.scr)
movie.zip (contiene comprimido el archivo Movie.pif)

Por lo demás, esta versión del gusano es similar a sus predecesores,
se distribuye a través de los recursos compartidos de las redes
locales y por e-mail. Las direcciones a las que se envía las recoge
de los archivos con extensión .WAB, .DBX, .HTM, .HTML, .EML y .TXT
que encuentra en los sistemas infectados.

Para aquellos sistemas que hayan sido infectados, es posible la
desinfección manual con unos sencillos pasos:

1. En Windows 9x/ME reiniciar el sistema en modo seguro.
En Windows NT/2000/XP finalizar el proceso winssk32.exe

2. Eliminar los siguientes archivos de la carpeta de Windows

winssk32.exe
msrrf.dat

3. Eliminar las entradas "SSK Service" de las claves del registro
de Windows

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "SSK Service" = %WinDir%\winssk32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SSK Service" = %WinDir%\winssk32.exe

4. Si el gusano se ha distribuido a través de los recursos compartidos
de la red local, revisar y eliminar ejecutables sospechosos de las
siguientes carpetas

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
C:\Windows\All Users\Start Menu\Programs\Startup\


Bernardo Quintero
bernardo@hispasec.com


Más información:

W32/Sobig.e@MM
http://vil.nai.com/vil/content/v_100429.htm

Sobig.E
http://www.pandasoftware.es/virus_info/enciclopedia/detalles.aspx?idvirus=39928

W32/Sobig-E
http://www.sophos.com/virusinfo/analyses/w32sobige.html

W32.Sobig.E@mm
http://www.sarc.com/avcenter/venc/data/w32.sobig.e@mm.html

WORM_SOBIG.E
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.E

martes, 24 de junio de 2003

Se publican los "logs" de Infosec'2003

Tras la celebración de las jornadas, la semana pasada, la organización
de Infosec'2003 pone las ponencias a disposición del público.

Este segundo congreso sobre seguridad informática en UniNet,
Infosec'2003, se celebró del 16 al 20 de Junio de 2003, inclusive, y la
asistencia "virtual" a la misma era libre y gratuita. Las conferencias
del congreso se podían seguir en directo a través de IRC (Internet Relay
Chat). Los idiomas de las conferencias eran español e inglés, con
traducción simultanea.

Las ponencias disponibles son:

* "UNIX host-based intrusion detection and audits, a look at current
development" (Javier Fernandez-Sanguino). Español e inglés

* "Strategies for the detection of internet worms" (Jose Nazario).
Español e inglés.

* "Herramientas Libres para reconocimientos de intrusos" (Gustavo
González y Carlos Olaya). Español.

* "CryptoMark2 -- kernel-enforced signed executables" (Seth Arnold).
Español e inglés.

* "Test of Penetration in a Data Network" (Oscar E. Ruiz Bermúdez).
Español e inglés.

* "Spam Analysis" (Jose Nazario). Español e inglés.

* "In front of front-end security" (Offtopic (Moscú), 3APA3A (Nizhny
Novgorod)). Español e inglés.

* "Playing with IPv6 at home (ADSL/CABLE)" (Ismael Briones). Inglés.

* "About IPv6 security" (Arrigo Triulzi). Inglés.

* "Experiencia de INFOMED en la lucha contra los virus informaticos"
(Roger Peña Escobio). Español e inglés.

* "Content filtering using SquidGuard" (Daniel Elías Robles). Español.

* "Introduction to PKI systems" (Polkan García). Español.

* "Spamikaze: an automatic spam blacklist system" (Rik van Riel).
Español e inglés.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Logs de InfoSec!2003
http://infosec.uninet.edu/infosec2003/des.html

18/06/2003 - Infosec'2003 en UniNet
http://www.hispasec.com/unaaldia/1697

lunes, 23 de junio de 2003

Symantec abre un agujero de seguridad en los PCs

El servicio online gratuito Symantec Security Check, destinado a
detectar vulnerabilidades y virus en los sistemas, instala un control
ActiveX vulnerable que podría permitir a un atacante ejecutar código
arbitrario y obtener el control de los sistemas de los usuarios.

El servicio Symantec Security Check instala entre otros el control
ActiveX "Symantec RuFSI Utility Class", que puede ser encontrado en
la carpeta "Downloaded Program Files" de Windows. Aunque no está
documentada la funcionalidad de este control, según la descripción
"Norton Internet Security Registry and File Information", parece que
tiene como fin recoger o comprobar información del registro de Windows
y archivos del sistema del usuario.

La vulnerabilidad detectada en este control ActiveX se basa en un
desbordamiento de buffer que se provoca al pasarle un parámetro muy
largo al método "CompareVersionStrings". El control, que Symantec
marca y registra en el sistema del usuario como "seguro" al utilizar
su servicio online, podría ser invocado posteriormente por un
atacante para explotar el desbordamiento de buffer y ejecutar código
arbitrario.

Las implicaciones en materia de seguridad son críticas, desde la
introducción de virus, troyanos, hasta el control total del sistema
afectado. La prevención pasa por no utilizar el mencionado servicio de
Symantec, o borrar el citado control ActiveX en el caso de que
hubiéramos accedido a dicho servicio.

Las posibilidades de explotación aumentan ya que la vulnerabilidad,
reportada por Cesar Cerrudo, circula por varias listas de seguridad
públicas e incluye detalles para reproducirla.

Por su parte, Symantec, que mantiene un sistema de notificación sobre
vulnerabilidades y avisos de seguridad, no ha publicado ninguna
información al respecto. Otra cuestión que queda en el aire es si
incluirá la firma de su control ActiveX en las próximas definiciones
de virus de sus productos, ya que debería ser identificado como
código peligroso para la seguridad de los usuarios.

Mientras redactamos este "una-al-día" observamos que Symantec ha
actualizado el control ActiveX a fecha 23/06/2003 18:16. Suponemos que
habrán corregido la vulnerabilidad, si bien esperamos que finalmente
publiquen información al respecto por transparencia y tranquilidad
de los usuarios.

Como anécdota, reproducimos uno de los puntos de la FAQ de Symantec
Security Check donde trata el tema de la seguridad de los controles
ActiveX utilizados durante su servicio:



¿Los controles ActiveX no son peligrosos o poco seguros por definición?

Sí y no. Los controles ActiveX son tan seguros como la empresa que los
ha creado. Si un control tiene una firma digital, significa que el
control no ha sido manipulado y que se garantiza que está igual que
cuando el fabricante de software lo creó. Los controles ActiveX que
utilizamos tienen firmas digitales de Symantec Corporation. Cuando
aparezca el cuadro de diálogo Advertencia de seguridad, compruebe si
aparece la frase "La autenticidad del editor ha sido comprobada por
VeriSign". Esta frase garantiza que el control no ha sido manipulado
desde que fue firmado por Symantec.




Bernardo Quintero
bernardo@hispasec.com


Más información:

Symantec Security Check (servicio vulnerable)
http://www.symantec.com/securitycheck/

FAQ Symantec Security Check
http://security.symantec.com/ssc/faq.asp

[Full-Disclosure] Symantec ActiveX control buffer overflow
http://lists.netsys.com/pipermail/full-disclosure/2003-June/010692.html
http://lists.netsys.com/pipermail/full-disclosure/2003-June/010728.html

domingo, 22 de junio de 2003

Vulnerabilidad DoS remota en el sistema operativo AIX

AIX, la versión de Unix desarrollada por IBM para sus servidores de la
serie pSeries es vulnerable a un ataque de denegación de servicio, que
puede ser lanzado de forma remota. Como consecuencia de esta
vulnerabilidad, un atacante remoto puede consumir toda la CPU del
servidor, dejando el resto de servicios totalmente inoperativos.

AIX dispone de un área de memoria, denominada mbuf, utilizada para la
gestión del tráfico de red de entrada y salida. Si se inunda un equipo
que ejecute AIX 4.3.3 o 5.x con una gran cantidad de paquetes TCP, con
todos los campos de flags con valor cero, el sistema no libera
correctamente la memoria utilizada por mbuf. Como consecuencia de
esto, el sistema entra en una espiral de consumo de recursos del
procesador hasta llegar al punto en que se utiliza toda la capacidad
de proceso. El umbral de paquetes necesarios para provocar la
condición de denegación de servicio se sitúa hacia los 2,8 Mbps.

IBM ha publicado los parches necesarios para eliminar este problema.
Debido a la posibilidad de ser utilizado de forma remota, se aconseja
aplicar estos parches a la mayor brevedad posible en aquellos sistemas
AIX que de una forma u otra son visibles desde Internet.

Para IBM AIX 4.3.3:
http://techsupport.services.ibm.com/server/fixdist/fixsearch?fixdb=aix4&srchtype=apar&query=IY31641

Para IBM AIX 5.x:
http://techsupport.services.ibm.com/server/fixdist/fixsearch?fixdb=aix4&srchtype=apar&query=IY31940



Xavier Caballé
xavi@hispasec.com



sábado, 21 de junio de 2003

Vulnerabilidades en Novell iChain Server

Se ha anunciado la existencia de dos vulnerbailidades en iChain de
Novell, un componente básico de Novell Nsure. Se trata de un servicio
para el control centralizado de los recursos existentes en las
corporaciones: aplicaciones, servicios web y recursos de red. El
objetivo de iChain es separar los controles de seguridad de las
aplicaciones y servicios web, de forma que pueda aplicarse una
política de seguridad coherente en toda la red.

iChain dispone de una interfaz de administración basada en web. Se ha
descubierto la existencia de una vulnerabilidad de desbordamiento de
búfer en el proceso de autenticación. La utilización de un nombre de
usuario extraordinariamente largo puede llegar a provocar la ejecución
de código arbitrario en el servidor iChain, lo que puede ser utilizado
por un atacante para obtener privilegios administrativos en la red.
Una vez conseguidos estos privilegios, el atacante dispone de barra
libre en toda la red a nivel corporativo.

Adicionalmente, la versión 2.2 de iChain dispone de una segunda
vulnerabilidad. Existe un servicio, no necesario para el correcto
funcionamiento del programa, asociado al puerto 6901/tcp. Este
servicio puede ser utilizado para un acceso remoto, sin necesidad de
autenticación, a las áreas protegidas de la red corporativa.

Novell ha confirmado la existencia de estas vulnerabilidades de
seguridad, facilitando sendos parches para su eliminación.


Xavier Caballé
xavi@hispasec.com


Más información:

Buffer Overflows in Novell iChain Authentication Product
http://lists.netsys.com/pipermail/full-disclosure/2003-June/010190.html

Anuncio de Novell: iChain 2.1 Field Patch 3
http://archives.neohapsis.com/archives/bugtraq/2003-06/att-0052/NOVL-2003-
2966207_-_iChain_2.1_Field_Patch_3.txt

Anuncio de Novell: iChain 2.2 Field Patch 1a
http://archives.neohapsis.com/archives/bugtraq/2003-06/0053.html

Novell iChain Server Remote Authentication Username Buffer Overrun
Vulnerability
http://www.securityfocus.com/bid/7839

Novell iChain Server Unauthorized Resource Access Vulnerability
http://www.securityfocus.com/bid/7840

Novell iChain
http://www.novell.com/products/ichain/quicklook.html

viernes, 20 de junio de 2003

Vulnerabilidades en diversos visualizadores de archivos .PDF

Recientemente se han descrito diversas vulnerabilidad en diversos
programas para la visualización de archivos PDF que puede permitir la
ejecución de código arbitrario en el momento de acceder al contenido
de un archivo PDF expresamente creado.

Concretamente, la vulnerabilidad se encuentra en el hecho de que los
enlaces que hacen referencia a programas externos pueden incluir
algunos caracteres de control, lo que puede ser aprovechado para
forzar la ejecución de órdenes arbitrarias, dentro del contexto de
seguridad del usuario que está visualizando el archivo PDF.

Los programas vulnerables a estos problemas de seguridad son Adobe
Acrobat Reader (versiones 4.x y 5.x, confirmado en las versiones para
Unix y probablemente también en las versiones para Mac y Windows) y
Xpdf 1.0. Es posible que otros programas visualizadores de archivos
.PDF también se vean igualmente afectados.

En el momento de redactar este boletín, no hay versiones de ninguno de
estos programas que eliminen las vulnerabilidades, por lo que
aconsejamos a los lectores de "Una al día" aplicar criterios de
prudencia antes de abrir un archivo PDF.


Xavier Caballé
xavi@hispasec.com


Más información:

Xpdf Command Execution
http://www.secunia.com/advisories/9037/

Adobe Acrobat Reader Command Execution
http://www.secunia.com/advisories/9038/

Vulnerability Note VU#200132: Various *NIX PDF readers/viewers execute
commands embedded within hyperlinks
http://www.kb.cert.org/vuls/id/200132

Adobe Acrobat Reader
http://www.adobe.com/products/acrobat/readermain.html

Xpdf
http://www.foolabs.com/xpdf/about.html

jueves, 19 de junio de 2003

Burlar el antivirus de Hotmail por Cross-Site Scripting

Cross site scripting (XSS) es una de las vulnerabilidades más comunes
hoy día de los sitios web, y también es una de las que menos atención
se le presta, pese a que puede tener importantes implicaciones para
la seguridad del cliente. En esta ocasión se demuestra como a través
de XSS es posible burlar la protección antivirus que ofrece Hotmail.

El ataque típico de Cross site scripting (XSS) suele llevarse a cabo
a través de un enlace que apunta a un servidor web afectado. La URL
se construye de forma especial para que incluya un script del atacante
que será transmitido por el servidor afectado al cliente que utilice
el enlace para visitar el web.

Dado por ejemplo un sitio web que permite realizar búsquedas:

http://sitio/busqueda.asp?busca=texto

El XSS podría darse a través de una URL tipo:

http://sitio/busqueda.asp?busca=

Las posibilidades de ataque a través de XSS son varias, las más
comunes suelen ser la captura de cookies e identificadores, que
permiten capturar sesiones y suplantar la identidad de los afectados,
o la modificación de contenidos para engañar al visitante víctima
del XSS, con la posibilidad de construir formularios para robar
datos sensibles, como contraseñas, datos bancarios, etc.


Hotmail y archivos adjuntos

El sistema de descarga de archivos adjuntos de Hotmail se lleva a
cabo a través de una URL donde se pasan como parámetros, entre otros,
el identificador del usuario y del mensaje. En esa misma URL se
encuentra al final un parámetro (vscan) que de forma evidente es el
que da la orden para que en el momento de la descarga por parte del
usuario se realice el análisis del antivirus.

La URL de descarga de adjuntos tiene un aspecto como el siguiente:

http://by7fd.bay7.hotmail.msn.com/cgi-bin/getmsg?curmbox=F000000001&
a=[id_del_usuario]&msg=[id_del_mensaje]&start=XXXXXX&len=XXXX&
mimepart=4&vscan=scan

El exploit de infohacking está basado en un XSS presente en Hotmail
a través de los archivos adjuntos mediante el cual consigue tener
acceso al identificador del usuario y del mensaje. Gracias a estos
datos que puede conseguir a través del XSS, construye una URL de
descarga donde omite el parámetro del antivirus.

El resultado es que el atacante puede enviar adjunto un archivo .htm
que contiene el exploit XSS y un segundo archivo con un virus. La
víctima, al abrir el primer adjunto .htm, provoca la redirección a
la nueva URL construida que descarga el segundo archivo adjunto
infectado (el virus) sin pasar por el análisis del antivirus de
Hotmail.

El exploit de infohacking es una prueba de concepto que puede no
reproducirse en todas las circunstancias. Principalmente se debe
al uso de referencias absolutas (slice) para delimitar la cadena
principal desde donde extrae los parámetros e identificadores. Una
pequeña variación para recoger esta cadena de forma más dinámica
según separadores (split) puede hacer más portable el exploit, sin
depender de la longitud exacta de la URL según varíe el servidor
o la longitud de los parámetros.

Bernardo Quintero
bernardo@hispasec.com


Más información:

HOTMAIL XSS and AV bypass exploit
http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/Hotmail/index.htm

miércoles, 18 de junio de 2003

Infosec'2003 en UniNet

Se está desarrollando, durante estos días, el ciclo de conferencias
virtuales Infosec'2003, organizadas por UniNet. Se trata del segundo año
de vida de la iniciativa, y cuenta con una gran aceptación entre los
usuarios.

Este segundo congreso sobre seguridad informática en UniNet, Infosec'2003
se celebra del 16 al 20 de Junio de 2003, inclusive, y la asistencia
"virtual" a la misma es libre y gratuita.

Las conferencias del congreso pueden seguirse en directo a través de IRC
(Internet Relay Chat), en el canal "#infosec" en el nodo
"irc.uninet.edu". Los idiomas de las conferencias son español e inglés,
con traducción simultanea.

Las conferencias tratan temas tan diversos e interesantes como el análisis
del spam, seguridad en IPv6, sistemas PKI o la detección de intrusos. Los
"logs" de las sesiones estarán disponibles online en breve plazo.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Comienza Infosec'2003 en UniNet
http://barrapunto.com/article.pl?sid=03/06/16/0040256

II Information Security Congres at UniNet
http://infosec.uninet.edu/

II Congreso sobre Seguridad de la Información en UniNet
http://barrapunto.com/article.pl?sid=03/04/01/0624200

martes, 17 de junio de 2003

Cross-Site Scripting en Internet Explorer a través de XML

Se ha identificado una vulnerabilidad en Internet Explorer 5.5 y 6
que puede explotarse por un usuario malicioso para construir ataques
de cross-site scripting contra un usuario.

La vulnerabilidad está provocada por un error de validación de entrada
en el tratamiento de archivos XML. El problema reside en que Internet
Explorer muestra la URL del archivo solicitado, cuando se encuentra un
error al analizar el archivo.

Este problema puede provocar la ejecución de código script arbitrario
en la sesión del navegador del usuario mediante la inserción del código
en un enlace.

Para explotar con éxito esta vulnerabilidad un usuario malicioso
deberá crear un archivo XML que no sea tratado adecuadamente por
el IE o MSXML. El usuario malicioso deberá engañar a un usuario a
visitar el sitio web con el archivo malicioso o pulsar sobre un enlace
malicioso.

Ej:
http://[Sistema_con_xml_no_tratable]/flaw.xml?


Antonio Ropero
antonior@hispasec.com


Más información:

Cross-Site Scripting in Unparsable XML Files
http://security.greymagic.com/adv/gm013-ie/

lunes, 16 de junio de 2003

Spam y troyanos

Algunos medios de comunicación se han hecho eco estos días de la
distribución de un troyano que permitiría enviar spam desde los PCs
infectados. Por otro lado desde Hispasec venimos observando, cada vez
con más frecuencia, el uso del spam para la distribución de troyanos
y dialers.

El spam, el correo basura o envío masivo e indiscriminado de mensajes
no deseados, es sin duda la plaga del momento en Internet. Si los
virus y gusanos informáticos nos suelen llegar de vez en cuando a
nuestro buzón, el chorreo de mensajes no deseados es constante,
llegando en algunas ocasiones a superar en número a los e-mails
legítimos que recibimos.

¿Soluciones? No existen. Sí, ya se que hay multitud de servicios y
programas antispam, tanto a nivel de servidores de correo como
clientes, y que día a día se optimizan las técnicas basadas en filtros
bayesianos, listas negras, filtros basados en aprendizajes de
patrones, etc, etc.

De manera independiente al conjunto de técnicas empleadas, al final
todo se reduce a analizar cada uno de los mensajes que nos llega
para decidir si es spam o no. Vamos a ser optimistas, supongamos que
nuestro sistema tiene una fiabilidad del 99,xx%. El hecho de que
se nos cuele algún mensaje no deseado será anecdótico, recibir uno
de cada 100 mensajes basura ya es todo un alivio.

El problema es que estás técnicas que consiguen porcentajes tan
elevados de acierto tienen fallos, tanto de falsos negativos como
positivos. Es decir, al igual que de vez en cuando puede colarse
algún mensaje basura, también puede marcar como spam un mensaje
legítimo. Llegados a este punto la pregunta es ¿quién se puede
permitir el lujo de perder e-mails legítimos? tal vez el mensaje de
un cliente que solicita nuestros servicios, o una declaración de
amor. Sería desastroso para nuestros intereses perder cualquiera
de ellos.

Como son muchos los que no están dispuestos a la posibilidad de
perder mensajes más o menos importantes, legítimos en cualquier
caso, utilizan los programas antispam conjuntamente con reglas de
correo, de forma que los mensajes marcados como spam son también
recibidos y automáticamente almacenados en una carpeta independiente.
La supuesta ventaja es que no te llega a la carpeta principal la
mayoría del correo no deseado, el inconveniente es que, aunque en
parte lo facilita, de forma regular tienes que revisar la carpeta
de spam para verificar que no se ha colado ningún mensaje legítimo y
eliminar el resto. En definitiva, poco se ha avanzado, si al final
seguimos recibiendo el spam y revisándolo.

Troyanos spammers

Cuando se detecta un spam masivo es muy común que se denuncie el
caso al responsable del servidor de correo o ISP desde el que se ha
detectado el envío. El administrador del servidor o servicio puede
entonces tomar medidas al respecto, bien llamando la atención al
infractor, bien denegándole el servicio directamente para que no
pueda volver a utilizar su infraestructura para realizar el spam.

Para evitar ser detectados, los spammers suelen recurrir a servidores
de correo que permiten relay, es decir, que se encuentran mal
configurados y permiten que cualquier usuario, aun sin tener cuenta
en el sistema, pueda enviar correo a través de ellos.

Una de las técnicas anti-spam existentes consiste en mantener listas
negras de dominios que, bien permiten relay, bien se ha detectado que
suelen ser utilizados para enviar spam, de forma que los servidores
de correo no admiten ningún mensaje que provenga de algunos de los
servidores de la lista negra.

Como comentaba al inicio, se ha detectado el uso de troyanos que
tienen como fin el envío de spam desde los sistemas infectados. Al
realizarse el envío de forma distribuida entre múltiples sistemas
es mucho más complicado identificar todos los puntos de envío para
introducirlos en las listas negras. Aun cuando se hiciera, el
principal perjudicado, al aparecer en las listas negras, sería el
usuario infectado por el troyano.

Spam de troyanos y dialers

Otra modalidad en boga es el uso del spam para distribuir troyanos y
dialers, estos últimos tienen como fin realizar llamadas a números
de tarificación especial (906 o similares). Los mensajes suelen tener
reclamos erótico/pornográficos, solicitando la ejecución del archivo
adjunto para poder acceder a dichos contenidos.

En la mayoría de los casos que hemos detectado desde Hispasec, los
archivos adjuntos suelen estar comprimidos (.zip), por lo que
pasan a través de los servidores de correo que mantienen filtros de
contenidos basados en extensiones de archivos potencialmente
peligrosas (.exe, .com, .pif, .scr, etc.).

Como siempre recordamos la regla de oro: no abrir o ejecutar
archivos adjuntos no solicitados, aunque provengan de remites
confiables. Ante la duda, más vale prevenir y pedir confirmación al
remitente antes de abrir el adjunto. Con respecto al spam, paciencia.
Hay muchas iniciativas en marcha, y no menos servicios y productos,
pero es un terreno que se encuentra aun en pañales.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Spam virus 'hijacks' computers
http://news.bbc.co.uk/2/hi/technology/2987558.stm

Spammers use Trojans to enslave home PCs
http://www.vnunet.com/News/1141610

Nueva forma de spam a través de mensajes emergentes de Windows
http://www.hispasec.com/unaaldia/1587

Spam Conference
http://www.hispasec.com/unaaldia/1574

2002, el año del spam
http://www.hispasec.com/unaaldia/1525

Spam de troyanos
http://www.hispasec.com/unaaldia/1489

"Spam" para robar datos sensibles
http://www.hispasec.com/unaaldia/1298

domingo, 15 de junio de 2003

Se publica el kernel Linux 2.4.21

Se acaba de publicar la versión 2.4.21 del kernel Linux, que da
solución a numerosos problemas de seguridad anunciados en las
últimas semanas.

Las vulnerabilidades eliminadas son, al menos, las siguientes:

* Obtención de privilegios de administrador "root" utilizando las
funcionalidades "ptrace".

* Ataque de denegación de servicio por colisiones en la estructura
HASH de caché de rutas.

* Posibilidad de acceso indebido de lectura y escritura a ciertos
puertos.

Aunque se disponía de parches para todas estas vulnerabilidades en el
mismo momento de publicarse, no ha sido hasta ahora que se distribuye
una actualización "oficial" del kernel Linux.

Han transcurrido seis meses desde la publicación del kernel 2.4.20.
Esperemos que con este nuevo kernel 2.4.21, Marcelo Tosatti reanude la
costumbre de publicar una actualización de kernel cada dos o tres meses,
sobre todo cuando haya implicaciones de seguridad.

Se recomienda a todos los usuarios de los kernel 2.4.* que actualicen
cuanto antes a la versión 2.4.21.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Kernel linux 2.4.21
http://barrapunto.com/article.pl?sid=03/06/13/2018205

Change Log 2.4.21
http://kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.21

Debian Security Advisory
DSA-311-1 linux-kernel-2.4.18 -- several
http://www.debian.org/security/2003/dsa-311

The Linux Kernel Archives
http://www.kernel.org/

26/05/2003 - Ataque DoS sobre el sistema operativo Linux
http://www.hispasec.com/unaaldia/1674

27/05/2003 - Obtención de privilegios especiales en Linux
http://www.hispasec.com/unaaldia/1675

sábado, 14 de junio de 2003

Escalada de privilegios en Solaris a través de "utmp_update"

Se ha identificado una vulnerabilidad en Sun Solaris, que puede ser
explotado por un usuario local malicioso para elevar sus privilegios
en los sistemas vulnerables.

La vulnerabilidad está provocada por un error de límites en
"/usr/lib/utmp_update". Este problema puede ser explotado por el
atacante local para provocar un desbordamiento de búfer, que potencialmente
puede permitir la ejecución de código arbitrario con privilegios de
"root".

Se ven afectados por este problema las versiones de Sun Solaris 2.6, 7, 8 y 9

Se recomienda aplicar los parches publicados por Sun:
Para plataforma SPARC
Solaris 2.6:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113754&rev=02
Solaris 7:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113752&rev=02
Solaris 8:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113650&rev=02
Solaris 9:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113718&rev=02

Para plataforma x86
Solaris 2.6:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113755&rev=02
Solaris 7:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113753&rev=02
Solaris 8:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113651&rev=02
Solaris 9:
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=113996&rev=02


Antonio Ropero
antonior@hispasec.com


Más información:

A Security Vulnerability With The "/usr/lib/utmp_update" Command May
Allow Local Unauthorized Privileges
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F55260&zone_32=category%3Asecurity

viernes, 13 de junio de 2003

Microsoft y el mercado antivirus

El pasado martes, 10 de junio, Microsoft distribuía una nota de prensa
donde anunciaba la adquisición de la tecnología antivirus de GeCAD
Software, un peso pluma en el mercado de la seguridad. La expectación
ante este movimiento es máxima, sobre todo entre las casas antivirus,
a la espera de conocer las intenciones y planificación de Microsoft en
este terreno.

La nota de prensa de Microsoft es lo suficientemente ambigua como para
mantener la incertidumbre. Por un lado habla de aprovechar los
conocimientos y experiencia de GeCAD para dotar a la plataforma de
Windows de nuevas funcionalidades que aumenten y faciliten la
integración de soluciones antivirus de terceros, pero por otro lado
no se descarta que Microsoft termine por ofrecer su propio motor
antivirus basándose en el producto de GeCAD.

Si a esta última posibilidad se le une la tendencia de Microsoft a
integrar en Windows los productos que pueden tener una competencia
dominante en el mercado (recordar los casos de Internet Information
Server o Internet Explorer), no es de extrañar el revuelo que la
nota de prensa causó entre las firmas antivirus.


Experiencias anteriores

El escenario no sería nuevo, en 1993 Microsoft hizo una incursión en
este mercado con MSAV (MicroSoft Anti-Virus) que distribuía junto a
la versión 6.0 de MS-DOS. El antivirus de Microsoft era una versión
de CPAV (Central Point Anti-Virus), un producto con solera en
aquellos años que finalmente sería adquirido por Symantec.

El resultado fue nefasto, MSAV quedaba fuera de juego en poco tiempo
por una mala política de actualizaciones que lo situó en clara
desventaja respecto a sus competidores. En una comparativa realizada
en enero de 1995, con la participación de más de 20 productos, MSAV
quedaba en último lugar con resultados muy pobres en todos los
apartados, incluyendo índices más que preocupantes en la detección
de la colección In-The-Wild (los virus más extendidos).

En esa misma comparativa CPAV, que seguía su desarrollo y
mantenimiento independiente a MSAV, consiguió resultados muy por
encima a la solución de Microsoft. MSAV desapareció con la entrada
en juego de Windows 95.

Extrapolando esta experiencia a la situación actual, Microsoft al
menos puede estar seguro de que el antivirus de GeCAD no podrá
superarle en ningún caso, ya que ha adquirido tanto el producto,
RAV antivirus, como a su equipo de desarrollo y mantenimiento,
incluyendo en el acuerdo cláusulas para impedir que puedan
desarrollar otras soluciones antivirus. Con respecto a los problemas
de actualización con que se toparon en MSAV, hoy día no sería
mayor problema, teniendo en cuenta que Microsoft se ha convertido
en el rey del parche con Windows Update y, además, ya cuentan con
un público sumiso a la necesidad de las actualizaciones continuas.


RAV antivirus de GeCAD, ¿qué ha comprado Microsoft?

Definitivamente Microsoft no ha comprado tecnología de última
generación, RAV es un antivirus clásico de detección por firmas,
que no destaca por su innovación o funcionalidades proactivas. Eso
sí, todo indica que en los últimos tiempos han inflado sus cifras
incluyendo todo tipo de firmas, lo que en comparativas basadas en
porcentajes de detección en colecciones zoo puede dar una falsa
sensación de buen producto.

Particularmente no he evaluado RAV antivirus desde el año 2000,
cuando participó en la comparativa de Hispasec de ese año, quedando
fuera de la lista de los 10 mejores productos antivirus tras obtener
un pésimo 17,32% de detección en la colección de troyanos.

Tras el anuncio de Microsoft he descargado e instalado la última
versión de RAV, y lo que primero destaca es la cifra de más de
79.000 especímenes de malware que afirma identificar. Esta cifra
tan elevada, muy por encima de productos destacados en el sector,
apunta a que RAV es un claro exponente del "efecto zoo" (producto
que artificialmente aumenta el número de virus detectados
incluyendo firmas innecesarias con el único fin de alcanzar
buenos resultados en comparativas, certificaciones y en la publicidad
basada en números cuantitativos).

De las sospechas a las evidencias. Enfrentado contra una colección
de falsos virus, RAV detecta muchas muestras que en realidad no
pueden causar daño alguno, desde archivos dañados que no se pueden
ejecutar, a los que RAV identifica con el sufijo "remnants",
pasando por la detección de simples magazines sobre virus,
herramientas clientes de seguridad y hacking, o muestras que suelen
formar parte de las colecciones ZOO no depuradas, pero que en
realidad no pueden ser clasificadas como malware.

Llegados a este punto, cabría preguntarse porqué Microsoft ha escogido
a GeCAD. Bien porque se ha dejado llevar por los cantos de sirena de
sus cerca de 80.000 virus que anuncia detectar, bien porque buscaba
en la sección oportunidades y la empresa rumana era de las más baratas
en comparación con otras que ya cuentan con un buen posicionamiento
en el mercado, bien porque no quería irrumpir en el mercado como un
elefante en una cacharrería y buscaba un peso pluma para no tener que
elegir y decantarse por alguna de las grandes.

Si realmente lo único que quería era un antivirus clásico basado
principalmente en la detección por firmas y su base de datos histórica,
la elección en lo económico no es mala, ya que la tecnología es
relativamente simple y similar en cualquiera de los productos y
RAV/GeCAD debe ser con mucha diferencia la opción más barata que puede
adquirir a día de hoy.

Si lo que pretendía era dar un vuelco a la seguridad de Windows con
respecto a los virus y gusanos que les azotan, la compra del antivirus
de GeCAD sirve de muy poco. Microsoft puede mejorar mucho en la lucha
contra el malware si realiza modificaciones en la base, ya que
presenta muchas debilidades por diseño. Pero integrar en Windows un
antivirus basado en la detección de firmas supone un nuevo parche al
ya de por sí parcheado sistema, y seguir un modelo de antivirus
reactivo que día a día se muestra insuficiente para frenar a los
especímenes que explotan el potencial de Internet para propagarse en
cuestión de minutos.


¿Qué puede ocurrir?

Si finalmente la compra de GeCAD por parte de Microsoft sólo tiene
como fin la investigación y desarrollo de nuevas funcionalidades en
Windows que faciliten el trabajo de terceras casas antivirus, el
mercado y los usuarios no deben de notar cambios bruscos. La vida
seguirá igual.

Si por el contrario Microsoft pretende integrar el antivirus de GeCAD
en Windows, queda claro que supondrá un duro varapalo para las
firmas actuales. Bajo este escenario, las casas antivirus, en clara
desventaja, sólo podrían competir (mejor dicho, adaptarse e intentar
complementar al antivirus de Microsoft) innovando en nuevas técnicas
antivirus más proactivas, productos especializados, y marcando
diferencias en los servicios y tiempos de respuesta, donde a buen
seguro serán mucho más ágiles y efectivos que Microsoft.


¿Mejoraría la seguridad del usuario?

Situándonos en el escenario más cambiante, la integración de un motor
por detección de firmas en Windows, queda claro que supondrá la
existencia de un antivirus en todos los sistemas Microsoft y que
podría asegurarse su actualización con algún método agresivo (forzar
la actualización automática, sin depender de la acción del usuario).
En este punto la mejora parece evidente.

Pero si la entrada de un antivirus de Microsoft supone finalmente
un claro predominio sobre el sector y la desaparición de la mayoría
del resto de casas antivirus, el usuario está en peligro.

Por un lado la falta de competencia real, que hoy día está
garantizada entre las diferentes firmas, supondría un relajamiento en
la necesidad de ofrecer respuestas inmediatas y mejoras en los
productos. Por otro lado, el escenario de un antivirus común en todos
los sistemas Windows da lugar a un sistema de seguridad muy homogéneo,
que facilita enormemente la vida a los creadores de virus y permitiría
epidemias más globales.

Mientras que hoy día un creador de virus debe diseñar su espécimen para
que pueda burlar a una veintena de productos antivirus, cada uno con
sus funcionalidades, firmas genéricas y heurísticas (cosa fácil, como
demostramos en e-gallaecia), el día que reine un único producto en la
mayoría de los sistemas sólo deberá dedicar "esfuerzos" (cosa de niños)
para burlar esa protección a sabiendas de que afectará al 90% del
parque mundial.


¿Podría Microsoft vender su antivirus sin integrarlo en Windows?

La posibilidad siempre existe, aunque la historia y la razón no apuntan
hacia esa vía. También plantearía un dilema ético, que por un lado las
debilidades de diseño de sus plataformas facilitaran la vida a los
virus y que por otro se dedicara a vender la protección a su propia
incompetencia.


En definitiva, finalmente deberemos esperar la jugada de Microsoft para
ver como puede afectar esta adquisición a la situación actual de los
antivirus, de momento todo son conjeturas e hipótesis.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft to Acquire Antivirus Technology From GeCAD Software
http://www.microsoft.com/presspass/press/2003/jun03/06-10GeCadPR.asp

GeCAD's Antivirus technology to be acquired by Microsoft
http://www.gecad.ro/page_press.php?date=2003-06-10&language=1

Antivirus: el efecto "zoo"
http://www.hispasec.com/unaaldia/1562

Comparativa AntiVirus 2000
http://www.hispasec.com/directorio/laboratorio/articulos/Comparativa2000

jueves, 12 de junio de 2003

Llamada a ponencias para el Chaos Communication Camp 2003

El "Chaos Computer Club e.V." realiza una llamada a ponencias para su
segundo "Chaos Communication Camp", a celebrar del 7 al 10 de agosto
de 2003 cerca de Berlín, en Alemania.

El "Chaos Computer Club e.V." es una de las organizaciones de "hacking"
(en el buen sentido de la palabra) con mayor solera y visibilidad. Su
"campamento" pretende ser una ocasión para reunir a la comunidad de
seguridad e intercambiar conocimientos y experiencias. También dispone
de vertientes políticas y sociales muy marcadas.

Aunque se aceptan ponencias de casi cualquier tipo, los temas
principales que se pretenden potenciar, entre otros, son:

* Tecnología: Redes P2P, seguridad en móviles, robots, seguridad
biométrica, seguridad "Open Source", vigilancia y pinchazos
electrónicos, mensajería instantánea, impresión bajo demanda, satélites
artificiales, reingeniería.

* Política y filosofía: interdependencias y complejidades de segundo
orden, I+D en el mundo civil y militar, verdad, confianza y la gestión
de la percepción, "lobbying".

* Arte: Poesía, música, DJ's, pintura, flash, animaciones, escultura.

Las ponencias deben presentarse en inglés y el plazo de entrega expira
el 1 de Julio de 2003. Deben cubrir entre una y dos horas de tiempo,
incluyendo el turno de preguntas.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Call for Papers: Chaos Communication Camp 2003
http://slashdot.org/article.pl?sid=03/04/24/1413258

Camp . Main . Call for Papers
https://wiki.camp.ccc.de/Camp/view/Main/CallForPapers

CCC | Chaos Computer Club e.V.
http://www.ccc.de/

miércoles, 11 de junio de 2003

Última llamada a ponencias del congreso iberoamericano de seguridad CIBSI'03

Remitimos la última llamada a ponencias para el congreso iberoamericano
de seguridad CIBSI'03, a celebrar en Méjico del 28 al 30 de Octubre de
2003.



Ultima Llamada para CIBSI '03

Estimado/a amigo/a:

Como sabes, del 28 al 31 de octubre se celebrará en México DF en Segundo
Congreso Iberoamericano de Seguridad Informática, CIBSI '03, evento que
organizan el Instituto Politécnico Nacional (México), la Universidad
Nacional Autónoma de México, el Instituto Tecnológico de Morelia
(México) y la Universidad Politécnica de Madrid (España) y en el que ya
han confirmado su participación como conferenciantes invitados los
doctores Alfred Menezes de la Universidad de Waterloo (Canadá), René
Peralta de la Universidad de Yale (USA) y Adriano Mauro de la
Universidad Estadual Paulista (Brasil).

FECHAS DE INTERÉS:
*** Final de la convocatoria para el envío de trabajos: 30 de junio de
2003 ***
Notificación de aceptación y petición de correcciones: 31 de julio de
2003
Notificación de aceptación definitiva: 15 de septiembre de 2003.

NOTA:
Si te encuentras trabajando en tu/s ponencia/s y crees que puedes tener
algún inconveniente para cumplir con la fecha del 30 de junio, por favor
ponte en contacto conmigo por email jramio@eui.upm.es.

TEMÁTICA:
Los temas de interés incluyen, entre otros: Administración de Redes,
Criptografía y Criptoanálisis, Análisis Forense, Arquitecturas de
Seguridad , Auditoría Informática, Certificaciones de Seguridad, Código
Malicioso y Virus, Comercio Electrónico Seguro, Criptografía con Curvas
Elípticas, Delitos Informáticos, Detección de Intrusiones, Estándares de
Seguridad, Infraestructuras de Llave Pública, Legislación en Seguridad,
Notarización Electrónica, Políticas de Seguridad, Protocolos
Criptográficos, Protecciones de Red y Cortafuegos, Redes Privadas
Virtuales, Seguridad en Agentes Móviles, Seguridad en Bases de Datos,
Seguridad en Redes Inalámbricas, Seguridad en Sistemas Operativos,
Servidores y Redes Seguras, Sistemas de Autenticación, Tarjetas
Inteligentes, Votaciones Electrónicas.

INSTRUCCIONES PARA LOS AUTORES:
Los trabajos se enviarán a la siguiente dirección de e-mail:
cibsi@siberiano.aragon.unam.mx.
Todos los trabajos deben incluir: nombre del trabajo, nombre de los
autores, dirección postal, números de teléfono y fax, país de origen,
institución o empresa, dirección de correo electrónico.
La estructura del trabajo debe incluir al menos lo siguiente: resumen,
antecedentes, trabajos previos o relacionados, problema, propuesta o
solución, desarrollo, resultados, conclusiones, referencias.
Todos los trabajos deberán ser originales y estar contenidos en un
mínimo de 5 cuartillas y en un máximo de 15.
El formato estándar será PDF, según modelo que se puede descargar desde
la página Web de CIBSI '03.

COMITÉ DE PROGRAMA:
Javier Areito, U. de Deusto (España)
Pino Caballero, U. La Laguna (España)
Jeimy Cano, U. Los Andes (Colombia)
Hugo Coyote, I. P. Nacional (México)
Ricardo Dahab, UNICAMP (Brasil)
Jorge Dávila, U. P. Madrid (España)
Enrique Daltabuit, UNAM (México)
Jorge Estrada, ICIMAF (Cuba)
Amparo Fúster, CSIC (España)
Emilio Hernández, U. S. Bolívar (Venezuela)
Marco Henriques, UNICAMP (Brasil)
Javier López, U. Málaga (España)
Julio López, U. del Valle (Colombia)
Edmundo Monteiro, U. Coimbra (Portugal)
Arturo Ribagorda, U. Carlos III (España)
Hugo Scolnik, U. B. Aires (Argentina)
Miquel Soriano, U. P. Catalunya (España)
Horacio Tapia, UNAM (México)

Más información en la página Web del congreso:
http://www.escom.ipn.mx/cibsi/




Jesús Cea Avión
jcea@hispasec.com


Más información:

Congreso Iberoamericano de seguridad CIBSI'03
http://www.escom.ipn.mx/cibsi/

03/12/2002 - Call for papers CIBSI'03 - México
http://www.hispasec.com/unaaldia/1500

martes, 10 de junio de 2003

Nuevas versiones de OpenSSL

Se han publicado versiones nuevas de la librería OpenSSL, que solucionan
dos graves problemas de seguridad. Concretamente, 0.9.6j y 0.9.7b.

La librería OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).

Las versiones no actualizadas de OpenSSL son susceptibles, al menos, a
dos tipos de ataque:

- Ataque Klima-Pokorny-Rosa:

Este ataque es una evolución del ataque "Bleichenbacher", descrito en
el boletín de Hispasec del 22 de Febrero de 2001.

El ataque permite obtener el equivalente a una operación
criptográfica con la clave secreta del servidor, sin comprometer la
seguridad de dicha clave.

Para llevarse a cabo el atacante debe establecer millones de
conexiones con el servidor, lo que lo convierte en un ataque
poco práctico a través de Internet.

El parche para las versiones no actualizadas de la librería es
trivial y está disponible en los enlaces al final de este boletín.
No obstante el movimiento más recomendable consiste en actualizar
la librería OpenSSL instalada en el sistema.

- Ataque por control de tiempos:

Mediante esta vulnerabilidad, un atacante remoto puede deducir la
clave privada de una instalación OpenSSL observando las pequeñas
diferencias en el tiempo de ejecución de las operaciones
criptográficas a medida que se van introduciendo diferentes
argumentos. Este ataque se ha utilizado de forma clásica, por
ejemplo, para obtener las claves privadas de las tarjetas
inteligentes.

La solución consiste en que las operaciones criptográficas consuman
aproximadamente un tiempo similar, independientemente de los datos.
Dado que ello supone frenar las operaciones "rápidas" para
equipararlas en velocidad a las operaciones "lentas", en general
se producirá una pérdida de rendimiento criptográfico. Oficialmente
la penalización en OpenSSL es de unos pocos puntos percentuales,
típicamente del orden del 2% al 10%, por lo que no debería ser un
problema grave.

Nuevamente, el parche para las versiones no actualizadas de la
librería es trivial y está disponible en los enlaces al final de este
boletín. No obstante el movimiento más recomendable consiste en
actualizar la librería OpenSSL instalada en el sistema.

La recomendación de Hispasec es actualizar las instalaciones OpenSSL a
las versiones 0.9.6j o 0.9.7b, según la versión instalada. Dado que es
una librería, habrá que reiniciar los procesos que la empleen como
librería compartida, y recompilar los que hagan uso de ella de forma
estática.


Jesús Cea Avión
jcea@hispasec.com


Más información:

OpenSSL: The Open Source toolkit for SSL/TLS
http://www.openssl.org/

Timing-based attacks on RSA keys
http://www.openssl.org/news/secadv_20030317.txt

N-061: OpenSSL Timing-based Attacks on RSA Keys
http://www.ciac.org/ciac/bulletins/n-061.shtml

Multiple Security Vulnerabilities in OpenSSL
ftp://patches.sgi.com/support/free/security/advisories/20030501-01-I

OpenSSL and other crypto library timming attack vulenrability
http://www.securitybugware.org/Other/6066.html

Remote timing attacks are practical
http://crypto.stanford.edu/~dabo/abstracts/ssl-timing.html

Remote RSA Timing Attacks Practical
http://slashdot.org/article.pl?sid=03/03/14/0012214

Klima-Pokorny-Rosa attack on RSA in SSL/TLS
http://www.openssl.org/news/secadv_20030319.txt

Report "Attacking RSA-based Sessions in SSL/TLS" by V. Klima, O.
Pokorny, and T. Rosa:
http://eprint.iacr.org/2003/052/

The Common Vulnerabilities and Exposures project (cve.mitre.org) has
assigned the name CAN-2003-0131 to this issue.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0131

Recuperación de clave de sesión en SSH-1
http://www.hispasec.com/unaaldia/851

lunes, 9 de junio de 2003

Denegación de servicio en "in.telnetd" de Sun Solaris

Se ha anunciado la existencia de una vulnerabilidad en Solaris que
puede ser explotada por usuarios locales maliciosos para provocar una
denegación de servicio en los sistemas vulnerables.

La vulnerabilidad se presenta en el demonio "in.telnetd" y puede ser
explotada para provocar que este entre en un bucle infinito. Esto
provocará que se consuma grandes cantidades de CPU llegando a provocar
una denegación de servicio en el sistema.

Se ven afectados por el problema los sistemas Sun Solaris 2.6, 7, 8 y 9, en sus versiones para Sparc y x86. Sun no ha facilitado información adicional sobre el problema.

Se recomienda aplicar los parches publicados:
Solaris 2.6 (Sparc):
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=106049&rev=05
Solaris 7 (Sparc):
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=107475&rev=05
Solaris 8 (Sparc):
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=110668&rev=04
Solaris 9 (Sparc):
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=114729&rev=01

Plataforma x86:
Solaris 2.6 (x86):
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=106050&rev=05
Solaris 7 (x86):
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=107476&rev=05
Solaris 8 (x86):
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=110669&rev=04
Solaris 9 (x86):
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=114730&rev=01


Antonio Ropero
antonior@hispasec.com


Más información:

A System Wide Denial of Service May be Caused Through The in.telnetd(1M) Daemon
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F54181&zone_32=category%3Asecurity

domingo, 8 de junio de 2003

Descripción del gusano "Mapson"

Bautizado finalmente como "Mapson" por las firmas antivirus, el gusano
del que nos hacíamos eco el pasado sábado ha conseguido cierta
propagación entre los países de habla hispana. Recordamos que entre
los muchos mensajes que utilizaba el espécimen para intentar engañar a
los usuarios se encontraba uno que hacía referencia a Hispasec.

La verdad sea dicha, no esperaba tener que dedicar un nuevo
"una-al-día" al gusano en cuestión, ya que pudimos apreciar desde el
primer momento que presentaba un claro talón de Aquiles: el uso de
hotmail.com para distribuirse por correo electrónico.

Dado que el servicio Hotmail integra el antivirus de McAfee, era sólo
cuestión de horas que la casa antivirus incluyera la actualización y
que el motor situado en Hotmail bloqueara cualquier nuevo intento de
envío del gusano.

De momento los plazos venían cumpliéndose, nosotros detectamos al
gusano el sábado a las 17:00h, alcanzando picos de máxima actividad a
las 23:00h del mismo día, según el tráfico de entrada que como efecto
colateral nos llegaba al servidor. La reacción de las casas antivirus
fue buena, comenzando por PER Antivirus, HackSoft y Symantec, que
reaccionaron el mismo sábado, mientras que McAfee, Kaspersky, Panda
y NOD32 hicieron lo propio el domingo. Tirón de orejas a Trend Micro
y Sophos porque a primera hora del lunes aun no cuentan con protección
para sus usuarios.

Llegados a este punto, lo normal es que el ciclo de vida de "Mapson"
hubiera finalizado prácticamente el domingo. La sorpresa es que,
24 horas después de la actualización de McAfee, Hotmail sigue sin
detectar el gusano y la propagación sigue su curso. Habrá que
preguntar al servicio de correo gratuito de Microsoft cual es su
política de actualización del antivirus. En cualquier caso esperamos
que la solución llegue en cuestión de horas.

El problema no es nuevo, desde Hispasec hemos denunciado
irregularidades en el servicio antivirus de Hotmail desde 1999. Uno
de los casos más sonados fue a principios de 2001, cuando se detectó
que el motor antivirus llevaba 6 meses sin actualizarse. Al contactar
con Microsoft y McAfee respecto a la vulnerabilidad encontrada en los
servidores de Hotmail, la firma antivirus indicó que se trataba de un
fallo de Microsoft, que la firma de Redmon rehusaba realizar la
implementación de las nuevas actualizaciones.

Descripción de "Mapson"

Como adelantábamos el sábado, se trata de un gusano escrito en Delphi
de 180.736 bytes de tamaño, resultado de comprimir con UPX el
ejecutable original de 438.784 bytes. Además de su distribución por
correo electrónico a través de Hotmail a todas las direcciones que
encuentra en la libreta de contactos de MSN Messenger, el gusano se
copia en las carpetas compartidas de varias aplicaciones P2P de
intercambio de archivos: KaZaA, KaZaA Lite, eDonkey2000, Gnucleus,
Limewire, Morpheus, Grokster e ICQ.

Cuando se ejecuta en un sistema, lo primero que realiza es varias
copias de si mismo en la carpeta de sistema de Windows con los
siguientes nombres de archivo:

amigos.pif
amigototote.pif
amor-por-ti.pif
antiwinlogon.pif
antrox.scr
BigBrother.pif
bugmsn.pif
chistesgraficos.pif
chupamelo.pif
comotegustan.pif
CracksPPZ.pif
cristina-aguilera.pif
defaced-madonna-site.pif
eggbrother.exe
EICAX.COM
existeee.pif
financiamiento.pif
GEDZAC.PIF
grancarnal.exe
grande.pif
hackeahotmail.pif
historial.pif
hotmail.pif
kamasutra.pif
lacosha@hotmail.com
LatinCard.pif
linuxandmicrosoft.pif
Lorenaaaa.pif
Madonna_sEXY.pif
MariaVirgen.pif
Matrix-Trailer.pif
mujeres.pif
Música.pif
No-Spam.exe
nuevovirus.txt .pif
Oradores.pif
osamabinhuevoback.exe
parejaideal.txt.pif
petardas.pif
porqueteamo.pif
projimo.pif
relacionsexual.pif
resetarios.pif
SARS.pif
seguridad_en_hotmail.pif
serhacker.pif
Shakira.pif
solo-a-ti.pif
Spamno.pif
te-pido.scr
teamo.exe
test-idiota.pif
testpasion.pif
thalialoca.pif
TutorialVBSvirus.pif
WindowsMediaPlayerBug.pif
www.mfernanda.com
www.vsantiviru.com
www.zonaviru.com
zorrotttas.pif


Mientras que en la raíz del disco C: copia los siguientes archivos:

lorraine.exe
lorraine.hta
lorraine.vxd


Incluye la siguiente entrada en el registro de Windows para
autoejecutarse en cada inicio de sesión:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "SYSTEMSTART" = "Lorraine.exe"


En su intento de propagarse a través de las aplicaciones P2P, se
copia en las carpetas:

\KaZaA\My Shared Folder
\edonkey2000\incoming
\gnucleus\downloads
\icq\shared files
\kazaa lite\my shared folders\v
\limewire\shared
\morpheus\my shared folder
\Grokster\My Grokster


Con los siguientes nombres de archivo:

Ad-aware.exe
Adobe Acrobat Reader (32-bit).exe
AOL Instant Messenger (AIM).exe
Biromsoft WebCam.exe
Copernic Agent.exe
crack all versions.exe
Cracked.exe
Delphi 6.exe
Diet Kaza.exe
DirectDVD.exe
DivX Video Bundle.exe
Download Accelerator Plus.exe
FireWorks 4.exe
FIreWorks MX.exe
Full version.exe
Global DiVX Player.exe
Grokster.exe
ICQ Lite.exe
ICQ Pro 2003a beta.exe
iMesh.exe
JetAudio Basic.exe
Kaspersky Antivirus.exe
Kazaa Download Accelerator.exe
Kazaa Media Desktop.exe
KeyGen.exe
Matrix Movie.exe
McAfee Antivirus.exe
Microsoft Internet Explorer.exe
Microsoft Office XP.exe
Microsoft Windows 2003.exe
Microsoft Windows Media Player.exe
Morpheus.exe
msn hack.exe
MSN Messenger (Windows NT/2000).exe
Nero Burning ROM.exe
NetPumper.exe
Network Cable e ADSL Speed.exe
Norton Antivirus.exe
Office 2003.exe
Panda Antivirus.exe
PerAntivirus.exe
Pop-Up Stopper.exe
QuickTime.exe
RealOne Free Player.exe
Registry Mechanic.exe
SnagIt.exe
SolSuite 2003: Solitaire Card Games Suite.exe
Spybot - Search & Destroy.exe
Trillian.exe
Virtual Girl Sofía.exe
Visual Studio Net.exe
Winamp.exe
WinMX.exe
WinRAR.exe
WinZip.exe
WS_FTP LE (32-bit).exe
XoloX Ultra.exe
ZoneAlarm.exe
Alejandra Guzman.gif.exe
Angelica Vale.gif.exe
Brenda.gif.exe
Britney Spears.gif.exe
Cameron dias.gif.exe
Celine Dion.gif.exe
Desnuda en la playa.gif.exe
Francini.gif.exe
Galilea Montijo.gif.exe
Halle berry.gif.exe
Kylie Minogue.gif.exe
las pelotas de.gif.exe
Laura Pausini.gif.exe
Lili Brillanti.gif.exe
Lorena.gif.exe
Nude Pic.gif.exe
Paulina Rubio.gif.exe
Pink.gif.exe
Sexo en la playa con.gif.exe
Sexy Beach.gif.exe
Shakira.gif.exe
Thalia.gif.exe


En la distribución por e-mail el adjunto llega con extensión .PIF,
.COM o .EXE, y el aspecto del mensaje puede ser, entre otros, uno
de los siguientes:

De: bigbrother@bigbrother.tv
Asunto: Big Brother te espera
Cuerpo: Felicidades! le hemos enviado este E-Mail porque usted ha
ganado un pasaje a México al programa Reality show BigBrother,si usted
quiere participar en este programa deberá abrir el archivo adjunto.
Adjunto: BigBrother.pif

De: support@hotmail.com
Asunto:Su cuenta de hotmail sera eliminada
Cuerpo:Estimado usuario de hotmail,debido al trafico en el servidor y
a las fallas que se han venido presentando en este presente mes,hemos
de informarle que su cuenta será removida de nuestra base de datos en
menos de 24 horas, le rogamos por favor lea el adjunto con los pasos
para evitar que esto suceda. Atentamente el Equipo tecnico de Hotmail.
Adjunto: hotmail.pif

De: support@passport.com
Asunto:10 reglas de seguridad para su cuenta de hotmail
Cuerpo: Amable Usuario de hotmail, la razón de este mail es para
darle a conocer las 10 reglas de seguridad que un usuario de passport
debe tener en cuenta para evitar que su cuenta sea borrada, hackeada
etc...las reglas están en el adjunto.Atentamente equipo tecnico de
passport
Adjunto: seguridad_en_hotmail.pif

De: hacker@hotmail.com
Asunto:+Puedo ser hacker en 24 horas?
Cuerpo: No. La respuesta es un no rotundo. Ni en 24 ni en 48 horas :)
Pero en este tiempo sí puedes tener una idea aproximada y muy básica
de lo que es y de lo que no es un hacker y decidir si quieres
convertirte en uno de ellos. Te recomiendo que leas el archivo que
te mando, esta en español y es muy interesante acerca de estos temas
(hacking,cracking,vulnerabilidades)
Adjunto: serhacker.pif

Asunto:Problema de seguridad en Windows Media Player
Cuerpo: Windows Media Player, el reproductor multimedia que acompaña
gratuitamente a los sistemas Microsoft, se ve afectado por un
problema de seguridad que puede permitir la ejecución de código en
la máquina del usuario atacado.por lo que recomendamos leer más
acerca de este bug en el adjunto y aplicar los correspondientes
parches de seguridad.
Adjunto: WindowsMediaPlayerBug.pif

Asunto: ¿Cómo hackear hotmail?
Cuerpo: Hola, he estado buscando en la red y encontré esta guía de
hacking que enseña como hackear hotmail,orienta al robo de cuentas,
imagínate robarle la cuenta a tu novia, tu amigo etc.. a quien
quieras, te lo aseguro yo ya lo leí y lo comprobé, disfrútalo.
Adjunto: hackeahotmail.pif

De: notice@madonna.com
Asunto:Hackean pßgina de Madonna sospechosa de envenenar KaZaA
Cuerpo: Tras sospecharse que Madonna contaminó la red KaZaA con
algunos archivos envenenados, un grupo hacker ha contraatacado
asaltando su página y colgando algunos de los temas de su último
álbum en formato MP3.más de esta revelante noticia en el adjunto.|
Adjunto: defaced-madonna-site.pif

Asunto:+Que le atrae a las mujeres?
Cuerpo: Un reciente estudio del comportamiento en la mujer afirma
que a ellas les atrae de los hombreses la cara, las manos y su
movimiento, si quiere saber más lea por favor el articulo que le
adjuntamos
Adjunto: mujeres.pif

De: Anti-Spam@campaña.com
Asunto:SPAM La proxima gran epidemia
Cuerpo: El Spam esta avanzando constantemente y a logrado saturar
nuestros correos electronicos tal vez sea el principio de una
epidemia mundial de esta peste que nos tiene cansados de la publicidad
Adjunto: No-Spam.exe

De: test@hispasec.com
Asunto:Tests antivirus para comprobar la protección del e-mail
Cuerpo: Hispasec pone a disposición de todos los usuarios dos tests
para comprobar el correcto funcionamiento de la protección antivirus
del correo electrónico. El primero de ellos nos indicará la correcta
instalación y buen funcionamiento del antivirus, mientras que el
segundo determinará la capacidad de detección proactiva para
identificar gusanos que explotan vulnerabilidades conocidas.
Adjunto: EICAX.COM

De: Amor@teamo.com
Asunto:Te amo
Cuerpo: Lo amo a usted por que es la persona más linda del mundo.
Adjunto: teamo.exe

De: Latincards@latincards.com
Asunto:LatinCards
Cuerpo: Le han enviado una LatinCard para poder visualizarla abra el
adjunto Gracias.
Adjunto: LatinCard.pif

Asunto: Chistes Grßficos
Cuerpo: Estos son los chistes grßficos que mßs me han gustado espero
que a ti también.
Adjunto: chistesgraficos.pif

De: lorena@hotmail.com
Asunto: Te Amo
Cuerpo: Averigua por que.....
Adjunto: porqueteamo.pif

Asunto: Test de pasi
Cuerpo: Test de pasión para usted y su pareja, contéstelo y descubra
cuanto desea y quiere a su pareja.
Adjunto: testpasion.pif

De: Maria_fernanda@mfernanda.com
Asunto: Re: Dime que te parece
Cuerpo: Hola, como estás? hace tiempo que no se nada de ti... quería
hablar contigo sobre un tema. Se trata de mi nuevo portal en el que
quiero ofrecer toda mi recopilación de links en espanol. Me gustaría
que le echaras un vistazo y me dijeras que tal lo ves tu, si te
gusta o cambiarías algo
Adjunto: www.mfernanda.com

Asunto: RE: Test de idiotes
Cuerpo: Compruebe si usted es un verdadero idiota.
Adjunto: test-idiota.pif

Asunto: Kamasutra
Cuerpo: Kamasutra el arte del sexo
Adjunto: kamasutra.pif

De: Webmaster@vsantiviru.com
Asunto: Informate de los virus
Cuerpo: Hola, soy el webmaster de VSANTIVIRUS, estamos realizando
una camapaña Contra los virus informaticos y nuestro deber es
informarle a los usuarios como usted Que es un virus, las acciones
que causan y como desinfectarse.Si usted desea acceder a toda esta
información haga el favor de hacer clic en el link que le
adjuntamos. Gracias
Adjunto: www.vsantiviru.com

De: Webmaster@zonaviru.com
Asunto: Zona Virus.com tu Zona Antivirica en español
Cuerpo: Hola, soy el webmaster de zonaviru y quiero invitarlo a
visitar mi sitio web, usted podrá informarse sobre los últimos
virus aparecidos, también sabrá como se crean estas alimañas
informáticas,quienes los crean, como desinfectarse etc... mucha
mucha más información.Cuento con su visita Gracias Atentamente
el Webmaster de ZonaVirus
Ajunto: www.zonaviru.com

De: cristina_aguilera@cristina-aguilera.com
Asunto: Cristina Aguilera Puta de medio tiempo o mentira?
Cuerpo: es la mera neta.
Adjunto: cristina-aguilera.pif


El gusano lleva un payload consistente en aparecer una ventana
haciendo referencia al apodo del autor si el mes de la fecha del
sistema coincide con julio.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Atención: Gusano simula ser un test de Hispasec
http://www.hispasec.com/unaaldia/1685

Win32/Mapson.A, sólo para el mundo hispano
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=162

W32/Lorra.A@MM
http://www.hacksoft.com.pe/virus/w32_lorra_a.htm

W32/Mapson@MM
http://vil.nai.com/vil/content/v_100364.htm

Mapson
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=39
830&sind=0

W32/Lorraine@mm, W32/Mapson@mm, W32/Lorra@mm
http://www.perantivirus.com/sosvirus/virufamo/lorraine.htm

W32.Mapson.Worm
http://www.sarc.com/avcenter/venc/data/w32.mapson.worm.html

W32/Mapson (W32/Lorra), un gusano con poco futuro
http://virusattack.virusattack.com.ar/noticias/VerNoticia.php3?idnotas=353

W32/Mapson.A. Gusano que hace referencia a VSAntivirus
http://www.vsantivirus.com/lorra-a.htm

una-al-dia (31/01/2001) HotMail con problemas frente a los virus
http://www.hispasec.com/unaaldia.asp?id=829

una-al-dia (11/10/1999) Hotmail sigue siendo un lugar cómodo para los virus
http://www.hispasec.com/unaaldia/359

sábado, 7 de junio de 2003

Parche acumulativo para Internet Explorer

Microsoft distribuye un nuevo parche acumulativo para Internet
Explorer versiones 5.01, 5.5, 6.0 y 6.0 para Windows Server 2003.
Además de incluir todas las correcciones anteriores publicadas hasta
la fecha, esta actualización soluciona dos nuevas vulnerabilidades
consideradas como críticas.

La primera de las nuevas vulnerabilidades se origina por un
desbordamiento de buffer en el tratamiento de las etiquetas de
los objetos que devuelve un servidor web (módulo urlmon.dll de
Internet Explorer). La explotación de esta vulnerabilidad podría ser
aprovechada por un atacante para ejecutar código arbitrario de forma
automática al visitar la víctima una página web o recibir un mensaje
HTML diseñados al efecto.

La segunda de las vulnerabilidades también puede ser aprovechada para
ejecutar código arbitrario en un sistema. En esta ocasión el problema
se ha detectado en el módulo (shdocvw.dll) encargado de mostrar los
cuadros de diálogo de descarga de archivos. La vulnerabilidad se
provoca cuando se presentan múltiples cuadros de diálogo de descarga
de archivos lo que consigue finalmente la ejecución automática de
los archivos. Al igual que el problema anterior, el ataque puede
llevarse a cabo mediante una página web o un e-mail en formato HTML.

Los parches pueden instalarse de forma automática mediante el servicio
Windows Update, o descargarse desde las siguientes direcciones:

Para todas las versiones de Internet Explorer, excepto Windows 2003
http://www.microsoft.com/windows/ie/downloads/critical/818529/default.asp

Internet Explorer 6.0 para Windows Server 2003
http://www.microsoft.com/windows/ie/downloads/critical/818529s/default.asp


Bernardo Quintero
bernardo@hispasec.com


Más información:

Descarga y ejecución automática de archivos en Internet Explorer
http://www.hispasec.com/unaaldia/1669

Cumulative Patch for Internet Explorer (818529)
http://www.microsoft.com/technet/security/bulletin/MS03-020.asp

viernes, 6 de junio de 2003

Atención: Gusano simula ser un test de Hispasec

Un nuevo gusano se está distribuyendo por e-mail simulando ser un
test enviado desde Hispasec. El archivo que se adjunta es en realidad
un nuevo gusano que está siendo distribuido desde Hotmail. Recordamos
a todos nuestros lectores que el origen y autenticidad de las notas
de Hispasec pueden comprobarse por la firma PGP y a través de su
publicación simultanea en nuestro sitio www.hispasec.com. Deben de
ignorar cualquier mensaje que no cumpla ambos requisitos.

La distribución se está realizando desde Hotmail, y el mensaje
tiene el siguiente aspecto:

Remite: "test@hispasec.com"
Asunto: "Tests antivirus para comprobar la protección del e-mail"
Adjunto: "eicax.com"

Cuerpo: "Hispasec pone a disposición de todos los usuarios dos tests
para comprobar el correcto funcionamiento de la protección
antivirus del correo electrónico. El primero de ellos nos
indicará la correcta instalación y buen funcionamiento del
antivirus, mientras que el segundo determinará la capacidad
de detección proactiva para identificar gusanos que explotan
vulnerabilidades conocidas."

El adjunto tiene un tamaño de 180.736 bytes, resultado de comprimir
con UPX el ejecutable original de 438.784 bytes, al parecer escrito
en Delphi. En el código se puede apreciar como, además del mensaje
simulando un envío de Hispasec, se encuentran otros muchos textos
para construir otros e-mails y utilizarlos como anzuelo. Entre otras
temáticas, hacen referencia a Hotmail, Microsoft, Madonna, Spam,
SARS, otros sitios de información sobre virus y seguridad (además
de Hispasec), chistes, etc., todos en español.

Además del e-mail, el gusano utiliza los programas de archivos de
intercambio P2P, entre otros Kazaa, eDonkey o Morpheus, copiando el
gusano en las carpetas que estos programas utilizan para compartir
los archivos e infectar así al resto de la comunidad.

El sistema de monitorización de nuestro servidor ha detectado un
aumento inusual en el tráfico de entrada, lo que ha permitido
detectarlo de forma temprana. Este tráfico era provocado por rebotes
provenientes de Hotmail debido a que el e-mail con el que se ha
distribuido tenía como "reply-to" una cuenta que simulaba nuestro
dominio de origen. Si en las próximas horas se detectan incidencias
reales de usuarios infectados, procederemos a enviar una nueva nota
ya con un análisis más detallado.


Bernardo Quintero
bernardo@hispasec.com



jueves, 5 de junio de 2003

"BugBear.B": descripción y soluciones

Como ya adelantamos en el "una-al-día" de ayer, BugBear.B está
protagonizando una de las distribuciones más explosivas que se
recuerdan, por el gran número de mensajes infectados que circulan en
las primeras horas. Aunque este nuevo incidente invita a la
reflexión, vamos a dedicar la entrega de hoy a la descripción del
espécimen y a las soluciones que se están facilitando para desinfectar
los sistemas afectados.

"BugBear.B" tiene funcionalidades propias de un gusano, un virus,
y un troyano de puerta trasera. Además de distribuirse de forma
masiva a través del e-mail y por los recursos compartidos de las
redes locales, es capaz de infectar determinados ejecutables de
Windows, captura todas las pulsaciones de teclado, y abre una puerta
trasera en los sistemas infectados que permite el acceso y control
indiscriminado de forma remota.

Escrito en Microsoft Visual C++, el virus original tiene un tamaño
de 170KB, si bien ha sido comprimido con la utilidad UPX para su
distribución, por lo que nos llega con un tamaño de unos 72Kb
(72,192 bytes).


La instalación en el sistema

Cuando es ejecutado e infecta un sistema procede a copiarse en la
carpeta de inicio como .EXE con un nombre al azar, de esta forma se
asegura su ejecución cada vez que iniciemos una sesión en Windows.
Además copia tres archivos .DLL en el directorio de sistema de
Windows, uno de ellos es el "keylogger" que captura y archiva las
pulsaciones de teclado, información accesible de forma remota
gracias a la puerta trasera que abre "BugBear.B". Adicionalmente
crea también dos archivos con nombres al azar, uno con extensión
.DAT en la carpeta de Windows y el segundo con extensión .TMP en
la carpeta temporal del sistema.


Infección de otros ejecutables

En su faceta como virus, "BugBear.B" contiene en su interior una
lista de archivos "víctimas" a los que infectar:

scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe


Infección en redes locales

Además del sistema local, la búsqueda e infección de los archivos de la
lista anterior se extiende a todos los recursos compartidos de la red a
los que tenga acceso, donde adicionalmente el gusano realiza copias de
si mismo bajo extensión .EXE y con nombres de archivo al azar en las
carpetas de inicio, con el fin de provocar la infección de esos
sistemas al iniciar una nueva sesión.


Troyano y puerta trasera

Como ya hemos avanzado, "BugBear.B" cuenta con un módulo "keylogger"
encargado de espiar y archivar todas las pulsaciones de teclado del
sistema infectado. De esta forma quedaría recogida toda la información
que el usuario escribe, incluido datos sensibles como contraseñas.

Para tener acceso a la información y control del sistema infectado,
"BugBear.B" abre una puerta trasera en el puerto TCP/1080 que queda
a la escucha de las ordenes remotas. Entre las acciones que pueden
llevarse a cabo destacan:

- listado, copia y eliminación de archivos y directorios
- listado y finalización de procesos y aplicaciones en memoria
- descarga y ejecución arbitraria de archivos
- acceso a la información capturada por el "keylogger"
- abrir un servidor HTTP (TCP/80) para navegar por las unidades del
sistema infectado de forma indiscriminada
- información diversa sobre el sistema y listado de recursos de la
red local


Finalización de antivirus y firewalls personales

"BugBear.B" contiene una rutina que tiene como fin desactivar una serie
de procesos y aplicaciones del sistema infectado, que corresponden a
productos antivirus y firewalls personales, para evitar así que estas
soluciones puedan "entorpecer" su misión. Según el siguiente listado:

ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXE
VSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE
VET95.EXE TDS2-NT.EXE TDS2-98.EXE TCA.EXE
TBSCAN.EXE SWEEP95.EXE SPHINX.EXE SMC.EXE
SERV95.EXE SCRSCAN.EXE SCANPM.EXE SCAN95.EXE
SCAN32.EXE SAFEWEB.EXE RESCUE.EXE RAV7WIN.EXE
RAV7.EXE PERSFW.EXE PCFWALLICON.EXE PCCWIN98.EXE
PAVW.EXE PAVSCHED.EXE PAVCL.EXE PADMIN.EXE
OUTPOST.EXE NVC95.EXE NUPGRADE.EXE NORMIST.EXE
NMAIN.EXE NISUM.EXE NAVWNT.EXE NAVW32.EXE
NAVNT.EXE NAVLU32.EXE NAVAPW32.EXE N32SCANW.EXE
MPFTRAY.EXE MOOLIVE.EXE LUALL.EXE LOOKOUT.EXE
JEDI.EXE IOMON98.EXE IFACE.EXE ICSUPPNT.EXE
ICSUPP95.EXE ICMON.EXE ICLOADNT.EXE ICLOAD95.EXE
IBMAVSP.EXE IBMASN.EXE IAMSERV.EXE IAMAPP.EXE
FRW.EXE FPROT.EXE FP-WIN.EXE FINDVIRU.EXE
F-STOPW.EXE F-PROT95.EXE F-PROT.EXE F-AGNT95.EXE
ESPWATCH.EXE ESAFE.EXE ECENGINE.EXE DVP95_0.EXE
DVP95.EXE CLEANER3.EXE CLEANER.EXE CLAW95CF.EXE
CLAW95.EXE CFINET32.EXE CFINET.EXE CFIAUDIT.EXE
CFIADMIN.EXE BLACKICE.EXE BLACKD.EXE AVWUPD32.EXE
AVWIN95.EXE AVSCHED32.EXE AVPUPD.EXE AVPTC32.EXE
AVPM.EXE AVPDOS32.EXE AVPCC.EXE AVP32.EXE
AVP.EXE AVNT.EXE AVKSERV.EXE AVGCTRL.EXE
AVE32.EXE AVCONSOL.EXE AUTODOWN.EXE APVXDWIN.EXE
ANTI-TROJAN.EXE ACKWIN32.EXE _AVPM.EXE _AVPCC.EXE
_AVP32.EXE LOCKDOWN2000.EXE


Distribución por e-mail

Esta es sin duda la funcionalidad estrella a la que debe la alta
propagación conseguida. Destaca la capacidad de recoger información
de otros mensajes que se encuentran en el sistema infectado para
confeccionar el e-mail que distribuye al gusano. Esto dota de un
mayor realismo a los mensajes que envía el gusano, ya que suelen
contar con asuntos y cuerpos reales, escritos en el lenguaje de
la víctima, simulando ser una respuesta o un reenvío de un mensaje
original.

Los destinatarios de los mensajes los recolecta de la bandeja de
entrada del sistema infectado, y adicionalmente de archivos con
extensión:

.mmf
.nch
.mbx
.eml
.tbb
.dbx
.ocs

El gusano cuenta con su propio motor SMTP, no necesitando contar
con un cliente de correo determinado para propagarse. Los datos
del servidor SMTP los recoge de la clave del registro de Windows:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

Al igual que ocurre con el famoso "Klez", el gusano falsea la
dirección del remitente, lo que dificulta conocer y avisar a los
sistemas que realmente están infectados y distribuyen el virus.

El nombre del archivo adjunto con el gusano lo selecciona de los
archivos que encuentra en la carpeta del usuario, según la clave
del registro de Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders\[usuario]

o de la carpeta Mis Documentos del sistema infectado que
tenga alguna de las siguientes extensiones:

.reg .ini .bat .diz .txt .cpp .html .htm .jpeg
.jpg .gif .cpl .dll .vxd .sys .com .exe .bmp


Al nombre de archivo seleccionado le añade la segunda extensión
real, que puede ser:
.scr .pif .exe

Por lo que el archivo adjunto puede tener el siguiente aspecto:

nombrededocumento.DOC.PIF
archivografico.JPG.EXE
hojadecualquiercosa.XLS.SCR

Además puede crear y enviarse en mensajes nuevos, contando con una
lista fija de posibles asuntos:

Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
Re:
$150 FREE Bonus!
Your News Alert
Hi!
Get 8 FREE issues - no risk!
Greets!

También cuenta con una lista fija de posibles nombres de archivo:

DATA
SONG
MUSIC
VIDEO
PHOTO
RESUME
PICS
IMAGES
IMAGE
NEWS
DOCS
CARD
SETUP
README

De forma aleatoria, el mensaje infectado puede incluir la explotación
de la conocida vulnerabilidad "IFRAME/MIME", también aprovechada por
gusanos como "Klez", que provocaría la ejecución automática del
adjunto al visualizar el mensaje en aquellos sistemas no actualizados.

"BugBear.B" evita enviarse a direcciones de correo que contentan
alguna de las siguientes cadenas:

list localdomain localhost lyris mailer-daemon
majordom nobody@ noreply postmaster@ recipients
remove root@ spam talk ticket
trojan undisclosed virus


Efectos colaterales y otras curiosidades

Al igual que ocurre con otros gusanos que se distribuyen a través
de las redes locales, "BugBear.B" no distingue entre los recursos
compartidos las unidades de red y las impresoras, por lo que en
ocasiones intentará copiarse a una impresora, provocando que ésta
imprima "basura".

El "keylogger", preparado para el idioma inglés, no funciona de
forma adecuada con el carácter tilde "´", de forma que no permite
poner el acento ortográfico en la vocal y lo duplica a continuación,
por ejemplo "informa´´tica".

"BugBear.B" cuenta con un listado interno de más de mil dominios
pertenecientes a entidades bancarias. Cuando detecta que ha
infectado un sistema cuya cuenta de dirección de correo electrónico
pertenece a uno de estos dominios, activa la clave de auto-dialing
en el registro de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings
"EnableAutodial"="0000001"


Soluciones

Como ya avanzamos en la anterior entrega de "una-al-día", las medidas
de prevención pasan por no abrir archivos adjuntos no solicitados, y
en esta ocasión atendiendo especialmente a aquellos que nos lleguen
con las extensiones .EXE, .PIF o .SCR, teniendo en cuenta el uso de la
doble extensión por parte del gusano. Por su parte los administradores
de servidores de correo también puede aplicar sencillos filtros para
evitar este tipo de archivos adjuntos.

La inmensa mayoría de las casas antivirus ya cuentan con la
actualización pertinente, por lo que los usuarios de estas soluciones
deberán forzar la actualización a demanda de su producto para contar
con la protección adecuada y poder desinfectar sus sistemas.

Además, las diferentes firmas antivirus han puesto a disposición de
los usuarios de forma gratuita diversas utilidades específicas de
detección y desinfección de "BugBear.B". A continuación listamos
algunas de las que tenemos conocimiento en este momento (en nuestra
página web actualizaremos el listado con la información que nos hagan
llegar al respecto las casas antivirus):

BitDefender
http://www.bitdefender.com/descarga/evaluacion/Antibugbear-es.exe

Panda Software
http://updates.pandasoftware.com/pq/gen/bugbearb/pqremove.com

Symantec
http://securityresponse.symantec.com/avcenter/FixBugb.exe


Bernardo Quintero
bernardo@hispasec.com


Más información:

Alerta gusano: BugBear.B
http://www.hispasec.com/unaaldia/1683

Bugbear.B
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2644

Win32.BugBear.B@mm
http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=153

Win32.Bugbear.B
http://www3.ca.com/virusinfo/virus.aspx?ID=35384

WIN32/BUGBEAR.B
http://www.enciclopediavirus.com/virus/vervirus.php?id=381

Win32.Bugbear.b
http://www.esafe.com/home/csrt/analysis.asp?virus_no=11494&cf=tl

Bugbear.B
http://www.f-secure.com/v-descs/bugbear_b.shtml

W32/BugBear.B@MM
http://www.hacksoft.com.pe/virus/w32_bugbear_b.htm

W32/Bugbear.b@MM
http://vil.mcafee.com/dispVirus.asp?virus_k=100358

W32/Bugbear.B@mm
http://www.norman.com/virus_info/w32_bugbear_b_mm.shtml

Bugbear.B
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=39
823&sind=0

BUGBEAR.B
http://www.perantivirus.com/sosvirus/virufamo/bugbearb.htm

Win32/Bugbear.B@mm
http://www.ravantivirus.com/virus/showvirus.php?v=190

W32/Bugbear-B
http://esp.sophos.com/virusinfo/analyses/w32bugbearb.html

W32/Bugbear-B
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Bugbear-B

W32.Bugbear.B@mm
http://www.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.html

PE_BUGBEAR.B
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_BUGBEAR.B

I-Worm.Tanatos.b (aka Bugbear.b)
http://www.viruslist.com/eng/viruslist.html?id=60814

W32/Bugbear.B. Peligroso gusano de gran propagación
http://www.vsantivirus.com/bugbear-b.htm