viernes, 31 de octubre de 2003

Nuevo fallo en los parches ya revisados de Microsoft

Microsoft se ha visto obligada a publicar una tercera versión de los
últimos parches de seguridad al detectarse problemas durante algunas
instalaciones.

Tal y como hemos venido informando en Hispasec, el 15 de octubre
Microsoft publicó de forma conjunta siete parches para corregir
sendas vulnerabilidades en Windows y Exchange. Se trataba del primer
conjunto de actualizaciones mensuales, según la nueva política de
distribución de parches de Microsoft, que justificaba por la
necesidad de facilitar la tarea a los usuarios y profesionales.

Pasados siete días, el 22 de octubre, Microsoft confirmaba los
problemas detectados en versiones "extranjeras" de sus parches,
incluida la versión español, y proporcionaba una actualización de los
mismos para resolver ciertas incompatibilidades y deficiencias.

De nuevo siete días después, 29 de octubre, Microsoft se ve forzada
a "reparchear" algunas de sus actualizaciones, en esta ocasión las
correspondientes a los boletines MS03-042 (Windows 2000), MS03-043
(Windows 2000, Windows XP, Windows Server 2003), y MS03-045
(Windows XP).

Los problemas se han detectado en algunos casos en los que el
sistema se bloquea durante el proceso de instalación de los parches.
Cuando esto ocurre, si se comprueba la actividad del sistema, se
observará que Update.exe está utilizando la mayor parte de los
recursos de CPU.

Este problema puede reproducirse si el derecho de usuario de
SeDebugPrivilege ha sido revocado de todos los usuarios y grupos,
incluidos los administradores (por defecto, dicho derecho esta asignado a
los administradores). También puede reproducirse si la
actualización que se intenta instalar contiene la versión
5.3.23.4 de Update.exe, que requiere el derecho anteriormente
comentado para funcionar correctamente.

Microsoft ha publicado una nueva versión de estos parches donde
incluye la versión 5.4.1.0 de Update.exe, corrigiendo este problema.
Si durante la instalación de las actualizaciones no sufrió los
problemas descritos, no tiene que instalar esta nueva versión de
los parches.


Bernardo Quintero
bernardo@hispasec.com


Más información:

15/10/2003 Siete nuevas vulnerabilidades/parches de Microsoft
http://www.hispasec.com/unaaldia/1816

24/10/2003 Fallos en los parches de Microsoft
http://www.hispasec.com/unaaldia/1825

Buffer Overflow in Windows Troubleshooter ActiveX Control Could Allow Code
Execution
http://www.microsoft.com/technet/security/bulletin/MS03-042.asp

Buffer Overrun in Messenger Service Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-043.asp

Buffer Overrun in the ListBox and in the ComboBox Control Could Allow Code
Execution
http://www.microsoft.com/technet/security/bulletin/MS03-045.asp

jueves, 30 de octubre de 2003

Acceso a ficheros restringidos en Oracle Collaboration Suite

Se ha descubierto una vulnerabilidad en Oracle Collaboration Suite que permitiría a usuarios maliciosos el acceso a ficheros restringidos.

Collaboration Suite es un producto de la compañía Oracle (que en el 2001 puso la etiqueta 'Unbreakable' a su software) que integra
diversos servicios para facilitar el trasiego de información a nivel corporativo, enfocado principalmente en reducir los recursos
necesarios para conseguirlo y potenciar la colaboración entre los usuarios. Oracle Files es un componente del producto anteriormente
nombrado. Básicamente es el encargado de almacenar los archivos de forma fiable, escalable y segura, todo en un sistema repositorio
propio.

El problema consiste en que Oracle WebCache almacena temporalmente los archivos con los que se trabaja. Aunque dichos ficheros tengan
restricciones asignadas que evitarían su acceso no autorizado, ese almacenamiento temporal daría la oportunidad a usuarios locales
maliciosos para tener acceso a ellos.

Oracle WebCache y Oracle Files son instalados por defecto como parte de Oracle Collaboration Suite. El problema afecta a las versiones
9.0.3.1.x, 9.0.3.2.0 y 9.0.3.3.x de Oracle Files, mientras que la 9.0.3.3.6 y la 9.0.4.1.x están libres de dicha vulnerabilidad.

Se recomienda actualizar a la mayor brevedad posible. La dirección para descargar el parche que corrige esta vulnerabilidad es la
siguiente:
http://metalink.oracle.com/

Julio Canto
jcanto@hispasec.com

Más información:

Unauthorized Access to Restricted Content in Oracle Files
http://otn.oracle.com/deploy/security/pdf/2003alert60.pdf

Oracle pide silencio a los hackers éticos
http://www.diarioti.com/gate/n.php?id=4220

miércoles, 29 de octubre de 2003

Vulnerabilidad en la JVM de Sun

Se ha descubierto una vulnerabilidad en la implementación de la máquina virtual Java (JVM) de la compañía Sun. Dicha vulnerabilidad
permite la creación de un applet que esquiva completamente las restricciones del sandbox.

La vulnerabilidad se debe a que las comprobaciones del cargador de clases no son suficientes respecto al acceso a paquetes. De hecho,
debido a un error lógico en la implementación del método loadClass de la clase sun.applet.AppletClass, es posible cargar cualquier clase en
la máquina virtual sin tener que realizar una llamada al método checkPagkageAcess del Security Manager.

La técnica consiste en sustituir los '.' por '/' a la hora de realizar el nombrado dentro del árbol de un paquete. En condiciones normales, por política estándar de seguridad, un acceso al paquete 'sun.' provocaría una excepción de seguridad. Sin embargo, la comprobación se hace verificando esos '.', así que debido a que de forma interna se utiliza también el carácter '/' para acceder a diferentes partes del árbol, se podría hacer una llamada a 'sun/paquete_arbitrario/clase_arbitraria' sin que se active el anteriormente nombrado mecanismo de seguridad.

Esta vulnerabilidad permitiría la creación de applets maliciosos que pueden saltarse completamente las restricciones del sandbox. Se han
realizado experimentos con códigos de 'prueba de concepto' que han tenido éxito explotándola en navegadores como Netscape 6 y 7 (además
de Mozilla) que utilizan versiones vulnerables de dicha máquina virtual. Las versiones vulnerables (en el SDK y JRE) son 1.4.1_03 y
anteriores, 1.3.1_08 y anteriores, y 1.2.2_015 y anteriores.

Ya que la vulnerabilidad afecta a un componente tan importante, es conveniente reseñar que este problema puede afectar potencialmente a
todos los usuarios que utilicen este plugin en sus navegadores. Además de los anteriormente nombrados, otros como Opera y Internet Explorer
podrían verse afectados, aunque no se ha confirmado.

La compañía Sun fue informada de este problema a principios de junio de este año, y los ha corregido en las últimas versiones publicadas
del SDK y JRE. La dirección para descargarse una versión actualizada del plugin para plataformas Windows, Linux, Solaris y Macintosh es la
siguiente:
http://www.java.com/es/download/manual.jsp


Julio Canto
jcanto@hispasec.com


Más información:

A Vulnerability in JRE May Allow an Untrusted Applet to Escalate Privileges
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57221

martes, 28 de octubre de 2003

"una-al-día" cumple cinco años

Hoy, 28 de octubre, se cumple el 5º aniversario de "una-al-día", primer diario de información técnica sobre seguridad informática
en español.

Cinco años dan para mucho, buena muestra de ello podemos dar en Hispasec. Si bien, no deja de ser anecdótico que echando una mirada
a los primeros titulares con los que nació "una-al-día" nos encontramos con temas sospechosamente familiares y actuales.

28/10/1998 - Service Pack 4, los problemas de la solución 24/10/2003 - Fallos en los parches de Microsoft

La primera noticia hacía referencia a los problemas de incompatibilidad con componentes de terceros detectados en el Service
Pack 4 de Windows NT 4.0. Hace apenas unos días avisábamos de los problemas e incompatibilidades que presentaban los últimos parches
de Microsoft.

29/10/1998 - "Snork", ataque DoS (Denial of Service) contra Windows NT
11/08/2003 - W32/Blaster, un gusano con una alta incidencia

La segunda noticia de la historia de "una-al-día" informaba sobre un nuevo ataque DoS a través del puerto TCP/135 basado en una
vulnerabilidad del servicio RPC (Remote Procedure Call) de Windows NT. A través del mismo puerto, y aprovechando una nueva
vulnerabilidad en el mismo servicio RCP de Windows, irrumpiría cinco años más tarde "Blaster", uno de los gusanos de más rápida
propagación en la historia de Internet.

30/10/1998 - Navegadores inseguros
07/09/2003 - Alerta: Agujero crítico en Internet Explorer

En la tercera entrega de 1998 comentamos las últimas vulnerabilidades que afectaban a Netscape e Internet Explorer, destacando los problemas
detectados por Cuartango en el navegador de Microsoft. Mucho más crítico resulta el último agujero detectado el pasado mes en la
última versión de Internet Explorer.

Aunque estas similitudes puedan invitar a cierto pesimismo, parece que cinco años más tarde seguimos con los mismos problemas o, si
cabe, aun peores, la realidad es que existe un avance continuo en materia de seguridad.

Aun recuerdo, por ejemplo, como por aquellos tiempos podías encontrar en Internet multitud de sistemas totalmente abiertos a través de
NetBIOS, incluidos PCs corporativos que comprometían al resto de la red privada. Hoy día los firewalls y sistemas de protección
perimetrales son elementos fijos en las empresas, mientras que los firewalls personales son muy populares entre los usuarios y tienen
viso de convertirse en un elemento por defecto.

Si bien es cierto que al avance en materia de seguridad le sigue de forma paralela, y siempre con algo de ventaja, la aparición continua
de nuevas amenazas y vulnerabilidades que aprovechan las últimas tecnologías. Si a esto le sumamos un parque cada vez mayor de sistemas
y nuevos usuarios, todos interconectados a través de Internet, es lógico pensar que los incidentes no hagan más que aumentar.

Al margen de la eterna carrera entre vulnerabilidades y parches, virus y antivirus, intrusiones y sistemas de autentificación, amenazas
y sistemas de protección en general, lo que si ha cambiado es nuestra relación con la tecnología y, sobre todo, nuestra dependencia. Sobran
los ejemplos, eche la vista atrás cinco años y compare, bien sea en el entorno corporativo o en su propia casa. Servicios a través de
Internet, digitalización de la información, dispositivos móviles de última generación, etc.

Es este uso masivo y cotidiano de la tecnología de la información a todos los niveles, ya sea en operaciones críticas o como simple
elemento de ocio, lo que crea una mayor dependencia de la misma, convirtiendo a la seguridad en un factor crítico de cara a garantizar
su disponibilidad y buen funcionamiento.

Conscientes de la importancia de la seguridad en el campo de las nuevas tecnologías de la información, Hispasec quiere agradecer a todos,
usuarios, empresas y organismos, el interés demostrado por "una-al-día", principal estímulo de nuestro trabajo.

Bernardo Quintero
bernardo@hispasec.com



lunes, 27 de octubre de 2003

Desbordamiento de búfer en línea de comandos de Oracle

Se ha descubierto una vulnerabilidad en el sistema gestor de bases de datos Oracle que puede permitir a un usuario local malicioso ejecutar
código arbitrario para conseguir una escalada de privilegios en un sistema vulnerable.

El problema reside en que un usuario local puede dar una cadena muy larga a la base de datos que provoca un desbordamiento de búfer, lo
que dejaría abierta la posibilidad a la ejecución de código arbitrario en el sistema.

Se ha detectado este problema en los binarios 'oracle' y 'oracleO', con lo que la ejecución del código será con los privilegios de dichos
programas.

Oracle ha confirmado la existencia de la vulnerabilidad en los sistemas Oracle 9i Database Release 2, Versión 9.2.x y Oracle 9i Database Release
1, Versión 9.0.x en todos los distemas UNIX y Linux soportados. Además se tiene constancia de la existencia de código de demostración de la
explotación de la vulnerabilidad.

Oracle recomienda desactivar el permiso de ejecución del grupo "other" asociado con los binarios afectados, de la siguiente forma:
# cd $ORACLE_HOME/bin
# chmod o-x oracle oracleO

Se ha publicado una versión interna de un parche para las versiones Oracle 9i Database Release 9.2.0.4 para Linux x86, disponible en
http://metalink.oracle.com con en número de parche 3157063.


Julio Canto
jcanto@hispasec.com


Más información:

Buffer Overflow in Oracle Database Server Binaries
http://otn.oracle.com/deploy/security/pdf/2003alert59.pdf

Oracle Database Command Line Buffer Overflow Lets Local Users Gain Elevated Privileges
http://www.securitytracker.com/alerts/2003/Oct/1007956.html

domingo, 26 de octubre de 2003

Nueva versión 0.30c de eMule

Disponible la versión 0.30c de eMule que, entre otras mejoras, viene a corregir una vulnerabilidad que podía provocar una denegación de
servicio.

Emule es un popular programa de intercambio de archivos en código libre, para Windows, que usa el protocolo P2P de EDonkey, trabaja
sobre sus mismos servidores y añade nuevas características y funcionalidades que mejoran la disponibilidad de los ficheros y
castigan a los usuarios que no comparten.

Hace unos días nos hacíamos eco en Hispasec de una vulnerabilidad causada por un error en el servidor web del cliente eMule, que no era
capaz de manejar correctamente entradas muy largas en el formulario de entrada, concretamente en el campo "password". Un atacante podría
explotar esta vulnerabilidad para provocar la caída de los clientes con el servidor web activado.

La nueva versión 0.30c, que corrige esta vulnerabilidad e incluye otras mejoras, puede ser descargada desde la web oficial del proyecto
http://www.emule-project.net/content.php?s=downloads


Bernardo Quintero
bernardo@hispasec.com

Más información:

22/10/2003 - Denegación de servicio en eMule
http://www.hispasec.com/unaaldia/1823

sábado, 25 de octubre de 2003

Parche de actualización para soporte TCP/IP en Solaris 9

Sun ha publicado un parche de actualización para el soporte TCP/IP de Sun Solaris 9 que corrige un par de problemas que pueden afectar al
funcionamiento normal del mismo.

El primero de los problemas reside en que no se ha implementado una alerta de enrutamiento en mld_sendpkt, mientras que el segundo consiste
en que una alerta válida de enrutamiento genera información de depuración ip de nivel 0.

El parche de actualización para corregir estos problemas está disponible en las siguientes direcciones (según plataforma):

SPARC:
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=112904&method=f

x86:
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=114337&method=f


Julio Canto
jcanto@hispasec.com


Más información:

SunOS 5.9: tcp/ip Patch
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fpatches/112904

SunOS 5.9_x86: kernel/drv/tcp kernel/drv/ip patch
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fpatches/114337

viernes, 24 de octubre de 2003

Fallos en los parches de Microsoft

El conjunto de actualizaciones para Windows y Exchange que Microsoft
distribuyó el pasado 15 de octubre presentan problemas e
incompatibilidades en diversos sistemas. Se confirman que se
encuentran afectados al menos dos de los parches en sus versiones para
diversos idiomas, entre otros, español, portugués, italiano, brasileño
o ruso. Microsoft solicita la instalación de nuevos parches para
corregir los problemas de los anteriores.

Microsoft ha confirmado los problemas detectados en versiones
"extranjeras" de sus parches, y proporciona una actualización de los
mismos para resolver ciertas incompatibilidades y deficiencias.
A efectos prácticos estos problemas se traducen en sistemas que se
bloquean o continúan siendo vulnerables tras instalar las
actualizaciones.

En concreto, se encuentra afectada la actualización correspondiente al
boletín MS03-045, que corregía un desbordamiento de buffer explotable
en los controles ListBox y ComboBox. Pueden presentar problemas con
software de terceros los sistemas Windows 2000 con Service Pack 4 que
hayan instalado esta actualización en algunos de los siguientes
lenguajes: brasileño, checo, danés, español, finlandés, húngaro,
italiano, noruego, polaco, portugués, ruso, sueco y turco.

El nuevo parche puede descargarse desde la dirección
http://www.microsoft.com/downloads/details.aspx?FamilyId=379F234D-CE7E-4897-
8D29-0764997F1E42&displaylang=es

Por otro lado la actualización correspondiente al boletín MS03-047,
que corregía una vulnerabilidad del tipo XSS (Cross-Site Scripting)
en Exchange Server 5.5 Outlook Web Access, era efectiva únicamente
para los idiomas inglés, alemán, francés y japonés. El resto de
versiones se encuentran vulnerables y tendrán, por tanto, que
instalar el nuevo parche para esta vulnerabilidad revisado a
posteriori.

Se echa en falta por parte de Microsoft información más clara sobre
estos problemas, ya que quitando la fecha de revisión del boletín
que aparece al comienzo del mismo, los detalles de las versiones y
lenguajes afectados no se detallan hasta llegar a la sección de FAQ.
Por no citar las versiones web de los boletines de Microsoft España,
que a día de hoy permanecen con el aviso original del día 15 y no
recogen nada sobre los problemas detallados, pese a que afecta de
lleno a los usuarios españoles.

No es de extrañar que a la hora de instalar servidores y puestos
críticos se elijan versiones en inglés, ya que suelen tener un
trato preferente en lo que respecta a actualizaciones y
documentación.

En definitiva, todo un despropósito para la primera actualización
mensual de Microsoft, que enmarca dentro de su nueva política que
justificaba por la necesidad de que los usuarios no tuvieran que
estar continuamente instalando parches.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletin MS03-045
http://www.microsoft.com/technet/security/bulletin/MS03-045.asp

Microsoft Security Bulletin MS03-047
http://www.microsoft.com/technet/security/bulletin/MS03-047.asp

jueves, 23 de octubre de 2003

Denegación de servicio con coreutils - /bin/ls

Se han descubierto dos vulnerabilidades en ls que pueden ser
explotadas por usuarios malintencionados para provocar una denegación
de servicio en aplicaciones como wu-ftpd.

El programa ls es equivalente al dir de DOS (y Windows por herencia de
este último), y sirve para visualizar el contenido de directorios en
un sistema de archivos mientras que Wuarchive-ftpd, más conocido como
WU-FTPD es el demonio servidor FTP para sistemas Unix más utilizado en
Internet.

Un usuario malicioso puede provocar que dicho programa realice un gran
consumo de memoria dándole un valor muy grande al parámetro "-w". Un
ejemplo de este ataque DoS (Denegación de Servicio) en wu-ftpd sería
el siguiente:
ls -w 1000000 -C

También es posible provocar un desbordamiento de entero, pero se cree
que este problema no es explotable. Un ejemplo del desbordamiento de
entero se provocaría con este comando:
ls -w 1073741828 -C

Estas vulnerabilidades se pueden utilizar de forma remota en
aplicaciones que utilicen "ls" sin un filtrado adecuado (como por
ejemplo WU-FTPD).

Un ejemplo del desbordamiento de entero se provocaría con este
comando:
ls -w 1073741828 -C

Las vulnerabilidades han sido corregidas en la revisión 1.343 y están
disponibles en el CVS de la siguiente dirección:
http://savannah.gnu.org/


Julio Canto
jcanto@hispasec.com



miércoles, 22 de octubre de 2003

Denegación de servicio en eMule

Se ha descubierto una vulnerabilidad en eMule que puede ser explotada
por usuarios malintencionados para provocar una denegación de
servicio.

Dicha vulnerabilidad está causada por un error en el webserver, que no
es capaz de manejar correctamente entradas muy largas en el formulario
de entrada, más concretamente en el campo "password". Esto puede ser
explotado por un atacante que edite la página HTML para quitar la
restricción de "maxlength" e introducir luego una cadena de caracteres
muy larga (unos 4000), lo que provoca la caída de eMule.

La vulnerabilidad se ha confirmado en la versión 0.29c pero no en la
0.30b.

Se recomienda desactivar este componente del programa, o restringir el
acceso al puerto correspondiente (4711 de TCP) para permitir el acceso
sólo a IPs de confianza.


Julio Canto
jcanto@hispasec.com


Más información:

eMule Can Be Crashed By Remote Users Sending Long Password Values
http://www.securitytracker.com/alerts/2003/Oct/1007963.html

martes, 21 de octubre de 2003

Ejecución de código por desbordamiento de búfer en Opera

Se ha descubierto una vulnerabilidad en el navegador y cliente de correo Opera que permite a usuarios maliciosos comprometer el sistema.

Opera es un popular cliente web multiplataforma que entre otras cosas incluye búsqueda integrada, un mecanismo de eliminación de ventanas pop-up y cliente de correo.

El problema reside en un fallo de dicho navegador cuando interpreta HTML. Ciertas etiquetas HREF pueden provocar un desbordamiento de heap, lo que permitiría al atacante sobreescribir bits arbitrarios en dicha zona de memoria y así comprometer el sistema que ejecuta el programa.

Dichos HREFs deben contener códigos ilegales en la URL para provocar el fallo por desbordamiento. En ocasiones la interrupción de la ejecución se experimentará de forma inmediata, mientras que en otras ocurrirá al cerrar el programa (presumiblemente mientras se liberan los recursos). Un ejemplo de dichos HREFs nocivos es la siguiente:



Un usuario malicioso puede enviar un mensaje especialmente construido que contenga HTML, o también crear una página web que contenga dicho código para que se provoque ese desbordamiento.

Opera ha publicado una nueva versión de su software (7.21), disponible en la siguiente dirección:
http://www.opera.com/download/


Julio Canto
jcanto@hispasec.com


Más información:

Opera HREF Escaped Server Name Overflow
http://www.atstake.com/research/advisories/2003/a102003-1

Opera Change Log:
http://www.opera.com/windows/changelogs/721

lunes, 20 de octubre de 2003

Ejecución de código por vulnerabilidad en Exchange Server

Como venimos comentando y analizando en los últimos días, la semana
pasada Microsoft publicó siete actualizaciones diferentes en un mismo
día. Dentro de ese conjunto de parches se encuentran los necesarios
para evitar una vulnerabilidad de desbordamiento de búfer en el
servicio SMTP de los servidores Exchange, problema que la empresa de
Redmon califica de crítico.

En Exchange Server 5.5, existe una vulnerabilidad en el Internet Mail
Service que puede permitir a un atacante no autenticado conectar al
puerto SMTP del servidor Exchange y enviar una petición especialmente
creada de un comando extendido que provocará la asignación de una gran
cantidad de memoria. Esto puede llegar a provocar la caída del
Internet Mail Service o incluso llegar hasta que el servidor deje de
responder debido al consumo total de la memoria.

En Exchange 2000 Server, la vulnerabilidad se reproduce de forma
similar al permitir la conexión de un usuario no autenticado al puerto
SMTP del servidor Exchange y el envío de una petición especialmente
creada de un comando extendido. Esta petición podrá provocar una
denegación de servicio de forma similar a como ocurre en Exchange 5.5.
Pero bajo esta plataforma el atacante puede explotar la vulnerabilidad
para lograr la ejecución de programas maliciosos en el contexto de
seguridad del servicio SMTP.

Actualizaciones publicadas por Microsoft:

Para Microsoft Exchange Server 5.5 con Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=A9E872EA-54B0-4179-8AE9-5648BFB46459&displaylang=en

Para Microsoft Exchange 2000 con Server Service Pack 3
http://www.microsoft.com/downloads/details.aspx?FamilyId=7BAF5394-1B4E-4937-A570-9F232AE49F01&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS03-046
Vulnerability in Exchange Server Could Allow Arbitrary Code Execution
http://www.microsoft.com/technet/security/bulletin/ms03-046.asp

domingo, 19 de octubre de 2003

Múltiples vulnerabilidades en Novell iChain

La compañía Novell ha publicado un parche de actualización para
iChain. Dicho parche corrige diversas vulnerabilidades (además de
otros problemas de funcionamiento general) que pueden ser explotadas
por usuarios maliciosos para secuestrar sesiones de otros usuarios,
provocar denegaciones de servicio o incluso comprometer un sistema
vulnerable.

Este producto de Novell es un servicio para el control centralizado de
los recursos existentes en las corporaciones: aplicaciones, servicios
web y recursos de red. El objetivo de iChain es separar los controles
de seguridad de las aplicaciones y servicios web, de forma que pueda
aplicarse una política de seguridad coherente en toda la red.

El problema de secuestro de sesión se debe a que un usuario puede
secuestrar la sesión de otro si la del nuevo usuario se abre en el
mismo puerto que la del original. La denegación de servicio puede
provocarse utilizando WGET contra el servidor. Wget es una aplicación
gratuita que sirve para descargar archivos mediante HTTP, HTTPS y FTP,
especialmente práctica para ser utilizada desde scripts, tareas
programadas, etc. El producto presenta también las vulnerabilidades
recientemente descubiertas en OpenSSL (referidas a la interpretación
de ASN.1). Dichas vulnerabilidades podrían permitir comprometer un
sistema, aunque aún no hay confirmación sobre la posibilidad de
explotación de este problema.

Se recomienda instalar el parche iChain 2.2 Suport Pack 2 beta,
disponible en la siguiente dirección:
http://support.novell.com/servlet/filedownload/sec/ftf/b1ic22sp2.exe


Julio Canto
jcanto@hispasec.com


Más información:

iChain 2.2 Support Pack 2 beta - TID2967175:
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2967175.htm

Vulnerabilidades en OpenSSL en el análisis de ASN.1
http://www.hispasec.com/unaaldia/1801

sábado, 18 de octubre de 2003

Ejecución de código por vulnerabilidad en un Control ActiveX

Dentro del conjunto de parches publicado por Microsoft esta semana,
se encuentra la actualización para evitar una vulnerabilidad de
seguridad en el control ActiveX Microsoft Local Troubleshooter
(Solucionador de problemas local de Microsoft). Esta vulnerabilidad
en Windows 2000 se debe a que este control (Tshoot.ocx) se ve afectado
por un desbordamiento de búfer que puede permitir a un atacante la
ejecución de código en los sistemas afectados.

Como este control está marcado como seguro para las secuencias de
comandos ("safe for scripting"), un atacante podrá explotar esta
vulnerabilidad si convence a un usuario para visualizar una página
HTML especialmente creada que referencie este control ActiveX. El
control ActiveX Microsoft Local Troubleshooter se instala por
defecto en los sistemas Windows 2000. También es posible explotar
la vulnerabilidad para a través de un e-mail html específicamente
creado.

En el peor de los casos, esta vulnerabilidad permitirá a un atacante
cargar código malicioso en el sistema del usuario y tras ello ejecutar
dicho código, que se ejecutará bajo el contexto de seguridad del
usuario.

El riesgo de ataque a través de e-mails html puede reducirse si se
encuentra instalada la última actualización para Microsoft Internet
Explorer, si se usa Internet Explorer 6 o posterior, o si se usa
Microsoft Outlook Email Security Update o Microsoft Outlook Express
6.0, o Microsoft Outlook 2000 en sus configuraciones por defecto

Los parches publicados por Microsoft se encuentran disponibles en:

Para Microsoft Windows 2000 con Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=48D16574-9B17-463B-A5D2-D75BA5128EF9&displaylang=es

Para Microsoft Windows 2000 con Service Pack 3 o Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=FC1FD84B-B3A4-43F5-804B-A2608EC56163&displaylang=es


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS03-042
Buffer Overflow in Windows Troubleshooter ActiveX Control Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/ms03-042.asp

viernes, 17 de octubre de 2003

Actualización de mIRC para evitar vulnerabilidad

El autor de mIRC ha publicado una actualización de su programa, que
soluciona la grave vulnerabilidad (anunciada recientemente por Hispasec)
en las comunicaciones DCC.

mIRC es un cliente de IRC para Windows, creado por Khaled Mardam-Bey,
y que goza de gran popularidad. DCC es un protocolo utilizado para el
intercambio de archivos con otros usuarios, a través de IRC.

En el último fin de semana se descubrió una grave vulnerabilidad en
las versiones recientes de mIRC, que permiten a cualquier usuario del
IRC el realizar un DoS (Denegación de servicio) sobre cualquier otro
usuario. La vulnerabilidad, cuyos detalles son públicos y se está
explotando de forma muy activa, fue descrita en un boletín anterior,
en este mismo medio.

Khaled Mardam-Bey, el autor del mIRC, acaba de publicar en su web una
actualización del programa: la versión 6.12. Se recomienda a todos los
usuarios de mIRC que actualicen a la nueva versión con la mayor premura
posible.

En previsión de que el sitio web original del mIRC esté saturado y haya
que recurrir a sitios de descarga alternativa, el hash MD5 del fichero
original parece ser "e4be097180f95967b48209381589d1e2". Es conveniente
verificarlo si la descarga se realiza desde un sitio no oficial.

Los usuarios que hayan utilizado el "apaño" del boletín anterior,
ignorar los "DCC's" a través del comando "/ignore -wd *", pueden
reactivar estas funcionalidades a ejecutando el comando
"/ignore -wrd *".


Jesús Cea Avión
jcea@hispasec.com


Más información:

mIRC
http://www.mirc.com/

mIRC DCC Exploit
http://www.irchelp.org/irchelp/mirc/exploit.html

12/10/2003 - Denegación de servicio en mIRC
http://www.hispasec.com/unaaldia/1813

01/10/2003 - Vulnerabilidad por desbordamiento de búfer en mIRC
http://www.hispasec.com/unaaldia/1802

[NT] mIRC USERHOST Buffer Overflow
http://www.derkeiler.com/Mailing-Lists/Securiteam/2003-09/0092.html

jueves, 16 de octubre de 2003

Ejecución de código por vulnerabilidad en la verificación Authenticode

Dentro del reciente conjunto de vulnerabilidades anunciadas por Microsoft,
entre las clasificadas como críticas se encuentra la existencia de una
vulnerabilidad en Authenticode que, bajo determinadas condiciones de
poca memoria, puede permitir la descarga de un control ActiveX e su
instalación sin presentar el cuadro de diálogo para su aprobación.

El problema afecta a Microsoft Windows 2003 Server, Windows 2000,
Windows NT 4.0 y Windows XP. Para explotar esta vulnerabilidad el
atacante deberá hospedar un sitio web malicioso diseñado para sacar
provecho de ella. Si el atacante persuade al usuario para visitar
dicho sitio podrá lograr la instalación y ejecución en el sistema
del usuario de un control ActiveX. De forma alternativa, el atacante
también podrá explotar la vulnerabilidad a través de un e-mail html
maliciosamente creado, de forma que si el usuario visualiza dicho
mensaje, se podrá lograr el mismo efecto (descarga y ejecución no
autorizada de un control ActiveX).

En ambos escenarios la vulnerabilidad en Authenticode podrá permitir
a un control ActiveX no autorizado la instalación y ejecución en el
sistema del usuario atacado con los mismos permisos de dicho usuario,
sin preguntar en ningún caso por su aprobación.

El riesgo de ataque a través de e-mails html puede reducirse si se
encuentra instalada la última actualización para Microsoft Internet
Explorer, si se usa Internet Explorer 6 o posterior, o si se usa
Microsoft Outlook Email Security Update o Microsoft Outlook Express
6.0, o Microsoft Outlook 2000 en sus configuraciones por defecto.

Por defecto, Internet Explorer en Windows Server 2003 se ejecuta en
Enhanced Security Configuration que bloquea este ataque.

Microsoft ha publicado las siguientes actualizaciones para evitar esta
vulnerabilidad:
Microsoft Windows NT Workstation 4.0, Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=921466F5-BC40-4E8E-BB57-6B81B57C21B6&displaylang=en

Microsoft Windows NT Server 4.0, Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=21F64FF0-9175-42BE-A8E4-BDC59A98BDF2&displaylang=en

Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6
http://www.microsoft.com/downloads/details.aspx?FamilyId=C6688576-4682-4A30-BBD7-1817F2944890&displaylang=en

Microsoft Windows 2000, Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=C862E049-58B2-4486-8D98-23183D7EE17D&displaylang=en

Microsoft Windows 2000, Service Pack 3, Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=90D27AEC-7D2A-45FD-B85A-E98E574338F1&displaylang=en

Microsoft Windows XP Gold, Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=6CDF5303-D767-4D68-9BA7-055E93E87847&displaylang=en

Microsoft Windows XP 64-bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=D92EF2E8-C03A-43C0-B428-D76C4B669151&displaylang=en

Microsoft Windows XP 64-bit Edition Version 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=4DFF5AAB-FA62-4B81-9C08-5C9FCB905E11&displaylang=en

Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=135D8C00-7B4B-4C21-8EAA-D58814635E0D&displaylang=en

Microsoft Windows Server 2003 64-bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=4DFF5AAB-FA62-4B81-9C08-5C9FCB905E11&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerability in Authenticode Verification Could Allow Remote Code
Execution
http://www.microsoft.com/technet/security/bulletin/MS03-041.asp

miércoles, 15 de octubre de 2003

Siete nuevas vulnerabilidades/parches de Microsoft

Microsoft distribuye en el mismo día los avisos correspondientes a
siete nuevas vulnerabilidades, cinco de ellas consideradas críticas.
Comienza de esta forma su nueva política de distribución de parches
que, públicamente, persigue simplificar la tarea a los usuarios.

Tal y como adelantábamos hace apenas unos días en Hispasec, en la
noticia "Microsoft: marketing vs. seguridad", el gigante de Redmon
ha decidido distribuir de forma conjunta todos los parches una vez
al mes, en vez de hacerlo paulatinamente según se van desarrollando.

De entrada, como ya comentamos, esta nueva política supone un aumento
en la ventana de tiempo en la que los sistemas se encuentran
vulnerables, entre que se detecta el agujero de seguridad y se
dispone del parche.

Microsoft justifica esta iniciativa amparándose en que facilitará
la labor a los usuarios, ya que la publicación de los parches será
más previsible y permitirá planificar mejor su implantación, además
de que anuncia mejoras en el empaquetado de las actualizaciones y
la información que proporciona sobre las mismas.

La verdad es que Microsoft podría publicar actualizaciones y
resúmenes mensuales sin necesidad de renunciar a la publicación
puntual de los parches, de forma que obtendría las ventajas de
ambas políticas, que de ningún modo son excluyentes.

En una próxima entrega de "una-al-día" analizaremos con detalle los
pros y contras de esta nueva política, así como otros objetivos
ocultos que podrían estar detrás de esta decisión.

En lo que respecta a las vulnerabilidades del presente conjunto de
actualizaciones, además de los boletines individuales, Microsoft
publica dos avisos resumen. El primero contiene un listado de cinco
vulnerabilidades que afectan a Windows, mientras que el segundo
engloba dos vulnerabilidades de los servidores Exchange.

Microsoft Windows Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/winoct03.asp

Microsoft Exchange Server Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/excoct03.asp

En el caso de Windows todas sus versiones, Me, NT, 2000, XP y
2003, se encuentran afectadas por una o varias de las
vulnerabilidades, 4 de ellas consideradas críticas ya que permiten
la ejecución de código arbitrario, mientras que la última facilita
la escalada de privilegios local.

En el segundo grupo, la primera vulnerabilidad también se considera
crítica por permitir la ejecución de código arbitrario y afecta a
Exchange en sus versiones 5.5 y 2000, mientras que la segunda
vulnerabilidad es del tipo Cross-Site Scripting (XSS) y se
localiza únicamente en Exchange 5.5.

Dada la importancia de las vulnerabilidades, Hispasec dedicará
próximas entregas a describir con más detalle cada una de las
actualizaciones, en nuestra línea habitual. Recomendamos a los
usuarios utilicen el servicio Windows Update para parchear sus
sistemas de forma transparente, tal y como hacían hasta ahora.


Bernardo Quintero
bernardo@hispasec.com


Más información:

13/10/2003 - Microsoft: marketing vs. seguridad
http://www.hispasec.com/unaaldia/1814

Revamping the Security Bulletin Release Process
http://www.microsoft.com/technet/security/bulletin/revsbwp.asp

Microsoft Windows Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/winoct03.asp

Microsoft Exchange Server Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/excoct03.asp

Vulnerability in Authenticode Verification Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-041.asp

Buffer Overflow in Windows Troubleshooter ActiveX Control Could Allow Code
Execution
http://www.microsoft.com/technet/security/bulletin/MS03-042.asp

Buffer Overrun in Messenger Service Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-043.asp

Buffer Overrun in Windows Help and Support Center Could Lead to System
Compromise
http://www.microsoft.com/technet/security/bulletin/MS03-044.asp

Buffer Overrun in the ListBox and in the ComboBox Control Could Allow Code
Execution
http://www.microsoft.com/technet/security/bulletin/MS03-045.asp

Vulnerability in Exchange Server Could Allow Arbitrary Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-046.asp

Vulnerability in Exchange Server 5.5 Outlook Web Access Could Allow
Cross-Site Scripting Attack
http://www.microsoft.com/technet/security/bulletin/MS03-047.asp

martes, 14 de octubre de 2003

Escalada de directorios en Shell Folders de Windows Server 2003

Se ha identificado una vulnerabilidad en Internet Explorer de Windows
Server 2003 que puede ser explotada por usuarios maliciosos para abrir
archivos arbitrarios en un sistema vulnerable.

La vulnerabilidad se debe a la falta de validación correcta de una
entrada, que puede ser explotada para abrir archivos arbitrarios cuya
posición es conocida fuera de los directorios "Shell Folders". Esto se
consigue construyendo un enlace que use el handler URI "shell:" y que
contenga secuencias "\..". Un ejemplo sería el siguiente:


Estos ShellFolders incluyen gran cantidad de información sensible,
como datos sobre aplicaciones, cookies, enlaces a favoritos,
documentos recientes utilizados, etc.

El uso con éxito de esta técnica permitirá acceder al directorio
%USERPROFILE" (i.e. "C:\Documents and Settings\%USERNAME%") sin tener
que conocer el nombre de usuario.

La vulnerabilidad en si no es considerada como de nivel crítico, pero
puede convertirse en una grave amenaza si se combina con
vulnerabilidades que pueden ser explotadas para subir archivos
maliciosos al sistema del usuario.

Para solucionar el problema se recomienda el uso de un servidor proxy
o un firewall con capacidad de filtrado que elimine las referencias
"shell:" de las páginas web.


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft Windows Server 2003 "Shell Folders" Directory Traversal
Vulnerability:
http://www.geocities.co.jp/SiliconValley/1667/advisory08e.html

lunes, 13 de octubre de 2003

Microsoft: marketing vs. seguridad

En octubre de 2001 Microsoft lanzaba Strategic Technology Protection
Program (STPP), que anunciaron como una iniciativa sin precedentes que
mejoraría la seguridad de sus sistemas operativos y su respuesta ante
nuevos problemas de seguridad. Pasados dos años, donde los incidentes
de seguridad que aprovechan vulnerabilidades de Microsoft no han hecho
más que aumentar, vuelven a realizar nuevas promesas.

De nuevo el marketing se adelanta a la tecnología. Durante una
conferencia de partners la pasada semana, Steve Ballmer anunció nuevas
iniciativas que harán de Windows un sistema menos vulnerable a los
ataques. De entrada ha adelantado que estas funcionalidades se
ofrecerán gratuitamente en el próximo service pack para Windows XP y
Windows Server 2003. No sabemos si este anuncio debe interpretarse
como que los usuarios de versiones anteriores de Windows, incluido
Windows 2000, tendrán que migrar forzosamente si quieren acceder a
este nuevo y prometido nivel de seguridad.

Además del anuncio público, de cara a mitigar el aluvión de críticas
que está padeciendo Microsoft por el verano negro que ha protagonizado
en materia de seguridad, tan sólo han transcendido vagas pinceladas
sobre las medidas reales que implantarán. Desde la activación por
defecto del firewall que incluye Windows, hasta una nueva política de
avisos, parches y actualizaciones que pasarán a ser mensuales, en vez
de los más periódicos como nos tenía acostumbrado hasta ahora.

Este último punto parece más una idea de un creativo de marketing que
de un analista técnico. Desde el punto de vista de seguridad todo son
desventajas. En palabras de Amy Carroll, director de producto de la
unidad de negocio de seguridad de Microsoft, esta cambio facilitará
a los usuarios la localización e instalación de las actualizaciones
de seguridad.

Microsoft ha recibido en los últimos tiempos muchas críticas por los
continuos parches de seguridad que deben aplicarse en Windows, lo que
dificulta la labor a los profesionales y es poco práctico para los
usuarios finales que no tienen porqué estar pendientes continuamente
de las actualizaciones. Parece que Microsoft ha optado por simplificar
el problema y reducirlo a lo absurdo: si no quieren muchos parches
pequeños de forma periódica, daremos uno grande una vez al mes.

Los riesgos son evidentes, por un lado la ventana de tiempo entre que
una vulnerabilidad es descubierta y la corrección está disponible será
aun mayor, por otro lado los macro-parches, que tienen que modificar
múltiples componentes del sistema, son más proclives a los problemas
de compatibilidad e interferencias con el software ya existente.

Como anécdota, la misión principal de la iniciativa STPP era disminuir
el tiempo que transcurre desde que es descubierta la vulnerabilidad
hasta que el sistema del cliente es actualizado, y de esta forma
disminuir el riesgo de que los sistemas resulten dañados. Ahora parece
que dan la vuelta a la tortilla.

Como ya hiciéramos en su día en Hispasec, a través de la noticia
"Microsoft STPP, ¿estrategia tecnológica o lavado de cara?", de nuevo
hacemos hincapié en que es una simplificación subjetiva y partidista
del problema que sitúa al usuario como principal responsable al no
actualizar periódicamente sus productos. A Microsoft le ha faltado de
nuevo autocrítica en el planteamiento de la estrategia, y el anuncio
de iniciativas encaminadas a corregir el problema en su origen. Más
vale prevenir que curar.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft to improve Windows security for free
http://www.ctv.ca/servlet/ArticleNews/story/CTVNews/1065786669603_38///?hub=SciTech

Microsoft STPP, ¿estrategia tecnológica o lavado de cara?
http://www.hispasec.com/unaaldia/1213

Microsoft Strategic Technology Protection Program
http://www.microsoft.com/security/mstpp.asp

domingo, 12 de octubre de 2003

Denegación de servicio en mIRC

Se ha descubierto una nueva vulnerabilidad en mIRC, que puede ser
explotada para provocar una denegación de servicio durante una
comunicación por DCC.

mIRC es uno de los clientes de IRC (Internet Relay Chat) para entornos
Windows más populares entre los usuarios de dicho servicio y DCC es un
protocolo utilizado para el intercambio de archivos con otros usuarios
a través de IRC.

La vulnerabilidad descubierta se debe a un error durante el proceso
peticiones DCC, que puede ser explotado para interrumpir la ejecución
del cliente del usuario. No se ha querido dar una información más
detallada acerca de la naturaleza del problema que permite este
ataque, aunque se sabe que acepta a todas las versiones 6.x, incluida
la recientemente lanzada 6.11.

Se tiene constancia de que hay código de explotación de esta
vulnerabilidad circulando por la red, y que está siendo utilizado de
forma activa contra canales (tirando a todos los ops para conseguir
hacerse con ellos) y usuarios.

El autor del cliente de IRC ha sido informado de dicha vulnerabilidad,
pero mientras una actualización salga a la luz, se recomienda ignorar
las peticiones DCC de todos los usuarios excepto de los de confianza.
Si se quiere cortar por lo sano, se pueden ignorar todas las
peticiones DCC, con tan sólo escribir este comando:
/ignore -wd *


Julio Canto
jcanto@hispasec.com


Más información:

mIRC DCC Exploit
http://www.irchelp.org/irchelp/mirc/exploit.html

mIRC
http://www.mirc.com/

sábado, 11 de octubre de 2003

Desbordamiento de heap en Windows Message Queuing

Se ha descubierto una vulnerabilidad en Windows 2000 que puede ser
explotada por usuarios maliciosos para comprometer un sistema
vulnerable.

La tecnología MSMQ permite a aplicaciones comunicarse a través de
redes heterogéneas y mediante sistemas que pueden estar desactivados
temporalmente. Las aplicaciones envían y leen los mensajes
directamente de esas colas, lo que permite un rutado eficiente y dar
prioridades a las comunicaciones.

El problema reside en un fallo al controlar el tamaño de los búfers en
ese servicio de encolado de mensajes (mqsvc.exe), que no controla
correctamente el tamaño de ciertos datos al manejar criterios de
búsqueda en los paquetes "MQLocateBegin". La técnica de explotación de
la vulnerabilidad consiste en enviar un paquete a dicho servicio
(concretamente al parámetro "pRestriction") con una estructura muy
larga, especialmente construida a tal efecto, lo que provoca un
desbordamiento de heap. Si esto se realiza con éxito, se dejará la
puerta abierta a la ejecución de código arbitrario en el sistema con
la vulnerabilidad descrita.

Este fallo ha sido reproducido en máquinas Windows 2000 con el Service
Pack 2 instalado, aunque existe la posibilidad de que afecte a
ordenadores que cuenten con otros parches.

El problema se vuelve especialmente peliagudo si tenemos en cuenta que
ya hay códigos de prueba de concepto circulando por la red.

Se recomienda instalar el Service Pack 4, ya que en él se especifica
que dicho error ha sido corregido. La dirección para descargar dicho
parche de actualización es la siguiente:
http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.asp


Julio Canto
jcanto@hispasec.com


Más información:

Lista de Errores Corregidos en Windows 2000 Service Pack 4
http://support.microsoft.com/?kbid=327194

viernes, 10 de octubre de 2003

Las 20 vulnerabilidades más críticas en Internet

SANS Institute actualiza su lista Top 20 de las vulnerabilidades más
críticas explotadas en Internet.

Hace tres años, SANS Institute, el FBI (policía federal de los Estados
Unidos) y el NIPC (Centro de Protección de la Infraestructura Nacional
de los Estados Unidos), confeccionaron la primera versión de esta
lista con las 10 vulnerabilidades de seguridad más críticas. Como en
las últimas entregas, en esta cuarta revisión podemos encontrar dos
listas, con 10 entradas cada una, separando las vulnerabilidades por
plataforma según afectan a Windows o Unix.

Aunque estas vulnerabilidades son aprovechadas en un alto porcentaje
de los ataques que actualmente se suceden en Internet, especialmente
por gusanos, herramientas automáticas, y script kiddies, la realidad
es que estos sistemas operativos se encuentran afectados por muchos
más problemas de seguridad. De forma que, si bien es muy recomendable
repasar esta lista para asegurar que nuestros sistemas no se
encuentran afectados, no debemos bajar la guardia respecto al resto
de vulnerabilidades y las de nueva aparición, que pueden ser
igualmente críticas.

Entre los problemas de seguridad más comunes, en especial en entornos
corporativos, se encuentran las dificultades para hacer el seguimiento
de todas las actualizaciones, nuevas vulnerabilidades, y amenazas que
pueden afectar a un parque heterogéneo de sistemas. Servicios como
"una-al-día" pueden ayudar en parte a esta tarea, aunque la realidad
es que la media de amenazas que aparecen cada jornada supera con creces
la vulnerabilidad por día.

Un indicador más claro y real del número de amenazas que surgen puede
observarse en las estadísticas de SANA, el Servicio de Análisis,
Notificación y Alertas de Hispasec, dirigido a profesionales y
corporaciones. Ahora, desde la portada de la web de Hispasec
(http://www.hispasec.com), en la columna derecha, es posible acceder
a una gráfica y obtener datos cuantitativos en tiempo real sobre el
número de avisos (vulnerabilidades, actualizaciones, etc.) que emite
el servicio.

Volviendo al TOP 20 de SANS, las listas de vulnerabilidades quedan
de esta forma:

Windows

W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
W3 Windows Authentication
W4 Internet Explorer (IE)
W5 Windows Remote Access Services
W6 Microsoft Data Access Components (MDAC)
W7 Windows Scripting Host (WSH)
W8 Microsoft Outlook Outlook Express
W9 Windows Peer to Peer File Sharing (P2P)
W10 Simple Network Management Protocol (SNMP)

Unix

U1 BIND Domain Name System
U2 Remote Procedure Calls (RPC)
U3 Apache Web Server
U4 General UNIX Authentication Accounts with No Passwords or Weak Passwords
U5 Clear Text Services
U6 Sendmail
U7 Simple Network Management Protocol (SNMP)
U8 Secure Shell (SSH)
U9 Misconfiguration of Enterprise Services NIS/NFS
U10 Open Secure Sockets Layer (SSL)

En la página http://isc.sans.org/top20.html pueden encontrarse la
descripción de cada una de las entradas, sistemas afectados, métodos
para determinar si un sistema es vulnerable, y las medidas de
corrección y prevención que se deben adoptar.


Bernardo Quintero
bernardo@hispasec.com


Más información:

The SANS Top 20 Internet Security Vulnerabilities
http://www.sans.org/top20/

07/10/2002 - Actualización de las "20 vulnerabilidades de seguridad más críticas en
Internet"
http://www.hispasec.com/unaaldia/1443

03/10/2001 - Las 20 vulnerabilidades de seguridad más críticas
http://www.hispasec.com/unaaldia/1074

11/06/2000 - Cómo eliminar las diez amenazas de seguridad más críticas en Internet
http://www.hispasec.com/unaaldia/593

jueves, 9 de octubre de 2003

Segundo Congreso Iberoamericano de Seguridad Informática (CIBSI '03)

Del 28 al 31 de este mes de octubre de 2003, se celebrará en México DF
el Segundo Congreso Iberoamericano de Seguridad Informática, CIBSI '03,
teniendo como anfitrión a la Escuela Superior de Cómputo del Instituto
Politécnico Nacional IPN.

En esta ocasión se cuenta con cuatro conferenciantes invitados: el Dr.
Alfred Menezes de la Universidad de Waterloo (Canadá), autor del libro
"Handbook of Applied Cryptography", el Dr. René Peralta de la
Universidad de Yale (USA), el Dr. Adriano Mauro de la Universidad
Estadual Paulista (Brasil) y el Dr. Hugo Krawczyk de IBM Thomas J.
Watson Research Center (USA), cuyas conferencias magistrales tratarán
sobre curvas elípticas, detección de intrusos, comercio electrónico y
protocolos IPSEC e IKE.

Sobre un total de 53 ponencias enviadas para su evaluación, un Comité
de Programa compuesto por 18 expertos en seguridad informática de
Argentina, Brasil, Colombia, Cuba, España, México, Portugal y
Venezuela, han seleccionado 37 ponencias para ser presentadas por
autores de diversos países de Iberoamérica en este evento.

En ese mismo marco, se contempla además una reunión de miembros de la
Red Temática Iberoamericana de Criptografía y Seguridad de la
Información CriptoRed, en la que se debatirán entre otros temas una
primera toma de conciencia sobre el desarrollo de la seguridad
informática en nuestros países y posibles proyectos de cooperación
entre instituciones iberoamericanas.

El programa de CIBSI '03 y más información sobre este congreso pueden
encontrarse en los servidores Web que se indican.

Página Web CIBSI'03: http://www.escom.ipn.mx/cibsi/
Espejo Web CIBSI'03: http://siberiano.aragon.unam.mx/cibsi/


Jorge Ramió Aguirre
Miembro Comité Organizador
Coordinador de CriptoRed


Más información:

Última llamada a ponencias del CIBSI'03
http://www.hispasec.com/unaaldia/1690

Call for papers CIBSI'03 - México
http://www.hispasec.com/unaaldia/1500

CriptoRed publica 12 ponencias del CIBSI '02
http://www.hispasec.com/unaaldia/1264

miércoles, 8 de octubre de 2003

Múltiples vulnerabilidades en Adobe SVG Viewer

Se han descubierto tres vulnerabilidades en el visor SVG de Adobe, que
permitirían a usuarios maliciosos comprometer la seguridad de un
sistema vulnerable.

SVG (Scalable Vector Graphics) es un formato de archivo gráfico y
lenguaje de desarrollo web basado en el ya omnipresente XML. Esto
permite a los desarrolladores y diseñadores crear gráficos a partir de
datos dinámicos, acompañados de los métodos para controlarlos
adecuadamente.

La primera de estas tres vulnerabilidades permite la ejecución de
código script activo incluso si esa opción ha sido desactivada en el
Internet Explorer. La razón para que esto ocurra es que este visor
lanza su propia instancia del motor JScript de Microsoft, lo que
permite esquivar el filtro de la configuración del navegador. La
presencia de dicho motor interno se debe a que así se puede ejecutar
código JavaScript en máquinas que no soportan la conexión entre el
plug-in y el motor de script de la máquina en sí, como el caso del
Internet Explorer para Mac.

Los métodos "postURL" y "getURL" permiten realizar peticiones HTTP
asíncronas al servidor. Estas peticiones están restringidas de tal
manera que sólo pueden acceder a recursos dentro del mismo dominio,
pero si se proporciona una URL válida a éstos métodos y luego se
redirecciona a un archivo local o remoto, el contenido de dicho
archivo se devuelve, permitiendo a un atacante leer cualquier archivo
del ordenador del usuario y máquinas remotas. Las cookies son enviadas
a sistemas remotos, por lo que el problema de seguridad es bastante
grave. Un Internet Explorer que tenga instalado el SP1 evitará la
navegación por sus contenidos locales desde la zona Internet, lo que
evitará que se lean sus archivos locales mediante esta vulnerabilidad,
pero eso no evita que se pueda utilizar el método de la lectura remota
de URLs.

Cuando un documento muestra un diálogo de alerta, el script se detiene
hasta que el usuario acepta. Sin embargo, un thread diferente puede
cambiar la URL de la ventana mientras se espera esa respuesta del
usuario. De esa manera, el script inicial tiene ahora acceso al nuevo
objeto padre, que potencialmente puede dar acceso a la zona local,
incluyendo la posibilidad de ejecución de código arbitrario.

Estas vulnerabilidades han sido descubiertas en la versión 3.0 y
anteriores.

Se recomienda actualizar a la mayor brevedad posible a la versión 3.01
del programa, disponible en la siguiente dirección:
http://www.adobe.com/svg/viewer/install/


Julio Canto
jcanto@hispasec.com


Más información:

Adobe SVG Viewer Active Scripting Bypass
http://sec.greymagic.com/adv/gm002-mc/

Adobe SVG Viewer Local and Remote File Reading
http://sec.greymagic.com/adv/gm003-mc/

Adobe SVG Viewer Cross Domain and Zone Access.
http://sec.greymagic.com/adv/gm004-mc/


martes, 7 de octubre de 2003

La NSA publica una nueva actualización de su distribución Linux

La NSA acaba de hacer pública una actualización de sus distribución
"segura" de Linux, basado en un kernel Linux 2.4.22 y 2.6.0-test6.

SELinux es una distribución de Linux, con licencia GPL, realizada por
la NSA para cubrir las necesidades de un sistema operativo que cumpla
los criterios "Trusted" y disponible en código fuente, y poder así
hacer frente a la eventualidad de que desapareciesen los sistemas
actualmente en uso, como Trusted Solaris (Sun), Trusted AIX (IBM)
o Trusted IRIX (SGI, antigua Silicon Graphics).

Desde que se publicó la primera versión, en Diciembre de 2000, se han
descubierto algunos problemas, y las actualizaciones han sido
constantes, tanto para solucionar bugs como para actualizar componentes.
Los usuarios de la versión Linux de la NSA deben actualizar su
distribución de forma periódica, preferiblemente de manera frecuente.

La última versión de SELinux se publicó el 1 de Octubre de 2003, y
está basada en un kernel Linux 2.4.22, que es la última versión
disponible de la serie estable 2.4.*. También existe una versión basada
en 2.6.0-test6.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Security-Enhanced Linux
http://www.nsa.gov/selinux/

What's New with Security-Enhanced Linux?
http://www.nsa.gov/selinux/news.html


lunes, 6 de octubre de 2003

Parche para actualización del Kernel de Solaris 7

Se han descubiertos múltiples errores y una vulnerabilidad en Sun
Solaris 7, que tanto afectan al funcionamiento normal del sistema como
a la seguridad del mismo.

Los fallos anunciados (y corregidos) son los siguientes:

* Hay problemas con las opciones TCIflush y TCIO tcflush().
* Mensaje de pánico en flk_process_request() debido a que l_next sea
NULL.
* Hay una vulnerabilidad no especificada por la compañía en sysinfo.
* Si prom_cpu tiene el lock tomado, prom_thread podría dormir en
espera.
* La validación TOD de la velocidad del reloj produce falsos mensajes
de error.
* Clusternode 3.0 generará un mensaje de pánico si ufs_si_store es
llamada desde ufs_acl_set.

Las direcciones para la descarga de la actualización que corrige
dichos problemas son las siguientes (según plataforma):

Sparc:
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=106541&method=f

x86:
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=106542&method=f


Julio Canto
jcanto@hispasec.com


Más información:

SunOS 5.7: Kernel Update Patch
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fpatches/106541

domingo, 5 de octubre de 2003

Microsoft publica la esperada actualización para Internet Explorer

Microsoft ha publicado el parche de actualización para la
vulnerabilidad de Internet Explorer que Hispasec anunció hace
prácticamente un mes y que permitía la ejecución de código arbitrario
en sistemas Windows con Internet Explorer con tan solo visitar una
página.

La compañía norteamericana finalmente ha publicado el parche
acumulativo de actualización que corrige la grave vulnerabilidad de la
etiqueta Object. Recomendamos encarecidamente la instalación de dicho
parche, ya que como ya comentábamos en el una-al-día del 7 de
septiembre, dicho error permite la ejecución de forma transparente de
código arbitrario.

Tal y como ya describíamos en Hispasec, la vulnerabilidad se debe a la
falta de comprobación correcta del tipo de objeto devuelto por un
servidor web en una ventana emergente. Un atacante puede, de esa
manera, hacer creer a Internet Explorer que cualquier ejecutable es
seguro y lanzarlo de forma automática sin pedir autorización alguna
al usuario.

El parche también modifica el método que IE utiliza para controlar el
comportamiento del HTML dinámico en la zona restringida, ya que
también se permitiría ejecutar código script en el contexto de
seguridad de la zona Internet.

Utilizando la vulnerabilidad antes descrita, un atacante podría
utilizar la capacidad de apertura de URLs del Windows Media Player
para construir un ataque. Por ello, Microsoft recomienda también la
instalación de un parche de actualización para el Media Player que
restringe la habilidad de dicho programa para lanzar URLs en la zona
de la máquina local desde otras zonas.

Si se quiere comprobar la gravedad de la vulnerabilidad descrita (con
test inocuos pero reveladores), recomendamos pasar los test que
Hispasec creó a tal efecto en la siguiente dirección:
http://www.hispasec.com/unaaldia/1778

Una vez instalado el parche, el problema de ejecución transparente
desaparecerá, tal y como se verá si se pasan de nuevo los test.

La dirección de descarga del parche para todos los sistemas menos
Windows 2003 Server es la siguiente:
http://www.microsoft.com/windows/ie/downloads/critical/828750/default.asp

La dirección con el parche específico para Windows 2003 Server:
http://www.microsoft.com/windows/ie/downloads/critical/828750s/default.asp

Si se desea actualizar también el Windows Media Player:
http://www.microsoft.com/windows/windowsmedia/download/default.asp


Julio Canto
jcanto@hispasec.com


Más información:

Alerta: Agujero crítico en Internet Explorer
http://www.hispasec.com/unaaldia/1778

Security Update for Microsoft Internet Explorer
http://www.microsoft.com/security/security_bulletins/ms03-040.asp

sábado, 4 de octubre de 2003

Robado el código fuente de Half Life 2

A mediados de esta semana Valve, compañía desarrolladora de Half Life, con
ampliaciones tan jugadas en Internet como 'Counter Strike', 'Team Fortress' o
'Day of Defeat' confirmaba la noticia: el código fuente de la segunda parte
de su esperado juego, aun en desarrollo, había sido robado y difundido
por la red.

Según fuentes de la compañía se sospecha que el robo se remonta a una fecha
cercana al 11 de septiembre, cuando alguien consiguió instalar en varios
equipos, incluido el de Gabe Newell (fundador de Valve), un programa de
registro de escritura para capturar claves. Se cree que el ataque se originó a
través de algún agujero de seguridad en Outlook. Recordemos por ejemplo que
Microsoft aun tiene varios fallos sin parchear en Internet Explorer, del que
Outlook hace uso al mostrar los mensajes html.

A las pocas horas de conocerse el robo ya se podía encontrar el código
totalmente distribuido en las redes p2p, este no contiene los archivos
multimedia necesarios para el juego pero si el motor (el núcleo del juego) y
multitud de archivos de proceso que podrían utilizarse para crear nuevos
juegos con diferentes gráficos.

Una de las preocupaciones que han saltado en la comunidad de jugadores es la
posibilidad de que la distribución del código facilite el encontrar como hacer
trampas en el modo de juego en red. Esto supondría un gran perjuicio para la
compañía cuyo principal interés es que los jugadores online tengan las mismas
posibilidades.

Una vez mas se demuestra que en la seguridad la cadena es tan frágil como el
mas frágil de sus eslabones, de nada sirve tener todos nuestros sistemas
parcheados y nuestra red segura con cifrado, vpn's, etc. si luego el portátil
con el que accedemos es completamente inseguro.


Francisco Santos
fsantos@hispasec.com


Más información:

Half-Life 2 Forums > Half-Life 2 Discussion > I need the assistance of the community
http://www.halflife2.net/forums/showthread.php?s=c0c30e01df3715c2d4459b40273d93c4&threadid=10692

Half-Life 2
http://www.halflife2.net/

Game Biz Mystified by Code Theft
http://www.wired.com/news/games/0,2101,60701,00.html

Source code for popular game leaked on the net
http://www.theage.com.au/articles/2003/10/03/1064988378345.html

IE Gets Blame for Theft of Half Life 2 Code
http://www.eweek.com/article2/0,4149,1307532,00.asp

Hacker spoils game for software firm
http://www.msnbc.com/news/975464.asp?0cv=TA00&cp1=1

viernes, 3 de octubre de 2003

Divulgación de información en Novell Netware Broker

Recientemente se ha conocido una vulnerabilidad que afecta a Novell
Netware Broker en sus versiones 5.1 y 6.0.

NDPS Servicios de Impresión Distribuidos de Novell puede administrar
todo un entorno de impresión y está compuesto por el agente de
impresora, Gestor del NDPS, Gateway y Broker ( o intermediario) de NDPS.
El broker (intermediario) del NDPS es el elemento que nos proporciona
servicios de soporte de red, permitiendo a los usuarios la localización
de impresoras, notificación de eventos y la administración de recursos.

Debido a la falta de autenticación en el acceso, un atacante podría
obtener la información necesaria para saber si corre o no en esos
momentos el Broker en la máquina de la víctima, pudiendo recopilar
información sensible de Novell Distributed Print Services (NDPS), y los
servicios que ofrece.

Se podría obtener información del NDPS con el siguiente ejemplo:

:8008/Broker"http://:8008/Broker

Con el fin de paliar este problema Novell recomienda restringir el
acceso al puerto 8008/tcp


Antonio Román
roman@hispasec.com


Más información:

You can see NDPS Broker stats at http://:8008/Broker
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10087316.htm

Novell NetWare Broker Information Disclosure Vulnerability
http://www.securityfocus.com/bid/8715

jueves, 2 de octubre de 2003

QHosts/Delude, el troyano secuestrador

Un nuevo troyano que infecta automáticamente un ordenador con sólo
visualizar una página HTML con Microsoft Internet Explorer o Microsoft
Outlook. Si bien no es especialmente peligroso, existen un par de
consideraciones que lo hacen merecedor de su propio boletín: se
instala incluso si se ha aplicado el parche más reciente de Internet
Explorer y modifica la configuración de TCP/IP en el ordenador
infectado.

QHosts/Delude es un troyano que tiene la capacidad de instalarse
automáticamente con sólo visualizar una página HTML con Internet
Explorer o bien un mensaje en formato HTML con Microsoft Outlook.

Esas páginas o mensajes HTML contienen un código VBScript (x.hta) que
contiene el troyano y se ejecuta con solo visualizar la página o
mensaje. Esto sucede incluso si se está al día de las actualizaciones
de seguridad, lo que incluye el último boletín acumulativo de
Microsoft publicado a finales de agosto.

Cuando consigue introducirse en un ordenador, este troyano realiza una
serie de cambios en la configuración del protocolo TCP/IP. Modifica
las direcciones de los servidores de DNS y crea un nuevo archivo HOSTS
para, de esta forma, poder redireccionar de forma transparente
determinadas peticiones de acceso a servicios de Internet como pueden
ser buscadores o directorios.

El troyano es fácilmente identificable debido a la serie de
modificaciones que realiza en el sistema infectado, que afectan al
acceso a determinadas páginas de Internet especialmente populares como
Google o Altavista.

Cuando se abre una página o mensaje HTML que contiene el código del
troyano, éste procede a descargar archivo AOLFIX.EXE en el directorio
temporal (%TEMP%) o en el directorio de sistema (%SYSTEM%). A
continuación lo ejecuta realizando estas operaciones:

1. Crea un directorio oculto c:\Bdtmp\Tmp
2. Dentro de este directorio, se genera un archivo batch, cuyo nombre
es un nombre aleatorio entre el 100 y el 9999. A continuación lo
ejecuta y lo borra.

Este archivo batch, por su parte, realiza estas acciones:

1. Crea los archivos %WinDir%\o.reg, %WinDir%\o2.reg y %WinDir%\o.vbs
2. Ejecuta los dos archivos .REG para aplicar una serie de
modificaciones en el registro:

En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\MS TCP
añade los siguientes valores:

* "EnableDNS"="1"
* "NameServer"=[Dirección IP indicada en el archivo batch]
* "Hostname"="host"
* "Domain"="mydomain.com"

De esta forma se modifica la dirección del servidor de DNS configurado
en el ordenador infectado para que, en su lugar, se utilice un
servidor de nombres bajo el control del creador del troyano.

En HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
modifica la configuración de Internet Explorer para que no
utilice ningún servidor intermedio (Proxy):

* "ProxyEnable"="0"
* "MigrateProxy"="0"

A continuación configura el buscador por defecto de Internet Explorer
para que se utilice Google (que posteriormente será también
redireccionado)

* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
* "User Search Asst"="no"
* Search Page"="http://www.google.com"
* "Search Bar"="http://www.google.com/ie"

* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL
* ""="http://www.google.com/keyword/%%s"
* "provider"="gog1"

* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
* "SearchAssistant"="http://www.google.com/ie"

Por último, añade el valor

"r0x"="your s0x"

en las siguientes claves del registro

* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Tcpip\Parameters\interfaces\windows
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Tcpip\Parameters\interfaces\windows

3. Crea un nuevo archivo HOSTS en %WinDir%\Help que contiene una
relación de nombres de dominio populares, apuntando a una dirección IP
fija. Para que el sistema utilice este archivo HOSTS, modifica
nuevamente el registro:

* HKEY_LOCAL_MACHINA\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
* "DataBasePath"="%SystemRoot%\Help"

4. Crea un archivo indicador de que el troyano se encuentra en el
sistema: %WinDir%\winlog

Una vez infectado, cualquier intento de acceder a determinadas
direcciones de Internet serán automáticamente redireccionadas hacia
una página con publicidad muy especifica.

Prevención

La forma más eficiente de prevenir este troyano en concreto consiste
en aplicar la versión más reciente del archivo de firmas del antivirus
presente en el ordenador. Afortunadamente se trata de un troyano
fácilmente identificable por los antivirus, por lo que no debería
ocasionar grandes problemas. De hecho, su grado de distribución puede
considerarse casi testimonial.

No obstante, para prevenir otros troyanos que utilicen la misma
técnica deberemos esperar a que Microsoft publique un nuevo parche
para Internet Explorer que impida la ejecución automática de scripts
VBScript con solo visualizar una página o un mensaje HTML. Este
parche, hoy por hoy, todavía no existe.


Xavier Caballé
xavi@hispasec.com


Más información:

QHosts-1
http://vil.nai.com/vil/content/v_100719.htm

Delude
http://www.f-secure.com/v-descs/delude.shtml

Trojan.Qhosts
http://securityresponse.symantec.com/avcenter/venc/data/trojan.qhosts.html

Hatoy.A
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=40821

VBS.QHOSTS
http://www3.ca.com/virusinfo/virus.aspx?ID=37191

TROJ_QHOSTS.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_QHOSTS.A

Trojan.Qhosts
http://securityresponse.symantec.com/avcenter/venc/data/trojan.qhosts.html

Trojan hijacks web browsers
http://www.theregister.co.uk/content/56/33187.html

miércoles, 1 de octubre de 2003

Vulnerabilidad por desbordamiento de búfer en mIRC

Se ha descubierto una vulnerabilidad en mIRC, que puede ser explotada
por usuarios maliciosos para comprometer el sistema de un usuario.

mIRC es un cliente de IRC para Windows, creado por Khaled Mardam-Bey,
y que goza de gran popularidad .

La vulnerabilidad se debe a un desbordamiento de búfer del programa,
que no es capaz de tratar correctamente una respuesta a una petición
de USERHOST de más de 110 caracteres de largo. Si un servidor IRC
envía una cadena más larga, provocará el desbordamiento, lo que
permite la ejecución de código arbitrario en la máquina del cliente.

La víctima no necesita realizar dicha petición de USERHOST ('/dns'),
ya que mIRC la realiza automáticamente cuando se conecta a un servidor
para recibir información sobre este.

Un atacante necesitaría hacer que la víctima se conectase al servidor
IRC malicioso y comprobar la versión de cliente que utiliza (el
problema se ha detectado en versiones desde la 6.01 a la 6.1,
publicada el pasado agosto).

Ya hay un exploit de ejemplo publicado y disponible en la siguiente
dirección:
http://www.securitylab.ru/_exploits/userhost.zip

El creador de mIRC está al corriente del problema desde el pasado mes
de septiembre, y afirma que será corregido en la siguiente versión que
se publique. Hasta que aparezca un parche corrector del problema, se
recomienda conectar sólo a servidores de confianza, o utilizar un
producto diferente.


Julio Canto
jcanto@hispasec.com


Más información:


mIRC USERHOST Buffer Overflow
http://www.derkeiler.com/Mailing-Lists/Securiteam/2003-09/0092.html

Página oficial de mIRC:
http://www.mirc.com