sábado, 27 de noviembre de 2004

Vulnerabilidad en Citrix 8.0 y anteriores

Las versiones 8.0 y anteriores de Citrix MetaFrame se ven afectadas
por un problema de seguridad por el que un atacante podría capturar
las pulsaciones en el teclado de un usuario sin que este fuera
consciente del hecho.

Citrix posee una funcionalidad que por defecto viene desactivada
que permite a los usuarios crear un registro de la utilización del
teclado durante un sesión ICA, con el fin de poder depurar posibles
errores. Esta opción puede ser activada mediante CPN (Citrix Program
neighbourhood) o modificando manualmente el archivo APPSRV.INI que
por defecto en la instalación de los sistemas W2000/XP se sitúa en:
"\Document and Settings\%username%\Application Data\ICAClient\"

Un atacante podría activar el modo de depuración en cuestión,
previamente a la utilización del usuario legítimo y capturar de
dicha forma su sesión de trabajo, con el consiguiente problema
de seguridad.

Las versiones 8.1 y superiores no se ven afectadas por este problema,
por lo que la compañía recomienda actualizarse a estas versiones,
para ello pueden visitar la siguiente dirección:
http://www.citrix.com/site/SS/downloads/index.asp


Antonio Román
roman@hispasec.com


Más información:

MetaFrame Presentation Server Client for Win32 debugging functionality could
be misused
http://support.citrix.com/kb/entry.jspa?externalID=CTX105215

Citrix MetaFrame information disclosure
http://xforce.iss.net/xforce/xfdb/18179

ANALYSIS: Citrix Keyboard Logger
http://www.hoffmannbv.nl/forensisch/nieuws/citrixkeyboardlogger.html
http://www.hoffmannbv.nl/pdf/fd/citrixkeylogger.pdf