sábado, 31 de enero de 2004

Envío de un virus desde el Centro de Alerta Temprana Antivirus

En la mañana del sábado 31 de enero se ha detectado el envío de un
virus a los suscriptores de las alertas del Centro de Alerta Temprana
Antivirus. Los primeros indicios apuntan a que un fallo en la
configuración de la lista de distribución ha permitido al gusano
Sober.C enviarse como si se tratara de un mensaje legítimo del CATA
a todos sus suscriptores, a través de su propio servidor de correo.

El Centro de Alerta Temprana Antivirus
(http://www.alerta-antivirus.es/) es un servicio ofrecido por red.es,
Entidad Pública Empresarial adscrita al Ministerio de Ciencia y
Tecnología a través de la Secretaría de Estado de Telecomunicaciones y
para la Sociedad de la Información. Entre sus servicios ofrece la
posibilidad de suscribirse a unas listas de correo de informes sobre
los últimos virus informáticos.

A partir de las 12 del mediodía del sábado 31 de enero los
suscriptores del servicio de alertas del Centro de Alerta Temprana
Antivirus han podido recibir en sus buzones un mensaje, enviado desde
la dirección cat@alertaantivirus.es, con el asunto "a trojan is on
your computer" y el siguiente texto:



hi, I am from Austria and you'll don't believe me,
but a trojan horse in on your pc.
I've scanned the network-ports on the internet. (I know, that's
illegal)
And I have found your pc. Your pc is open on the internet for
everybody!
Because the lsass.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!

On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!

Sorry for my bad english!

greets



El mensaje contenía adjunto un archivo con nombre
"remove-Isass-patch.exe" que en realidad era una copia del gusano
"Sober.C".

Las cabeceras del mensaje indican que el origen del mensaje puede ser
una IP que corresponde a una ADSL de Telefónica, probablemente un
usuario infectado por el gusano. La hipótesis que se maneja de momento
es que un error en la configuración del sistema de moderación y
publicación de las listas del CATA ha podido causar que el mensaje, una
vez recibido por el servidor del CATA, haya sido distribuido a todos
sus suscriptores como un envío legítimo.

El texto del mensaje no tiene la forma de las habituales alertas del
CAT, y además está en inglés, lo que ha podido levantar rápidamente
las sospechas de los usuarios que lo hayan recibido y minimizar el
impacto del mismo. Sin embargo, no descartamos que el hecho de que
apareciera enviado desde el CAT pueda haber confundido a los usuarios
menos precavidos y haber provocado alguna infección aislada.

Desde Hispasec hemos enviado varios mensajes a direcciones del CATA
advirtiendo del incidente, sin que al final del día hayamos recibido
respuesta alguna. Pasadas más de 12 horas desde el envío del gusano
tampoco se ha detectado que el CATA haya alertado a través de su
lista a los posibles suscriptores afectados.

A la espera de la versión oficial y conocer con exactitud los
detalles del incidente, consideramos que premia avisar a los usuarios
para evitar, en la medida de la posible, cualquier infección.


Antonio Ropero
antonior@hispasec.com
Bernardo Quintero
bernardo@hispasec.com



viernes, 30 de enero de 2004

Gusano Mydoom, la epidemia continúa

Cuando aun no habían transcurrido 48 horas desde la explosión del
gusano Mydoom, epidemia que a día de hoy perdura, apareció una
segunda versión que, hasta el momento, apenas se hace notar. La
lucha continúa en la desinfección del Mydoom original, desde
Hispasec analizamos los problemas y proponemos nuevos enfoques.

La reacción de las diferentes soluciones antivirus, en ofrecer la
actualización pertinente a sus usuarios para detectar la nueva
variante del gusano, fue la siguiente:

[TrendMicro] 28/01/2004 18:09:56 :: WORM_MYDOOM.B
[Kaspersky] 28/01/2004 19:13:33 :: I-Worm.Mydoom.b
[Panda] 28/01/2004 19:47:46 :: W32/Mydoom.B.worm
[NOD32] 28/01/2004 20:38:44 :: Win32/Mydoom.B
[McAfee] 28/01/2004 20:57:17 :: W32/Mydoom.b@MM
[Sophos] 28/01/2004 20:57:40 :: W32/MyDoom-B
[InoculateIT] 28/01/2004 23:05:09 :: Win32/Mydoom.B.
[Norton] 29/01/2004 00:45:41 :: W32.Mydoom.B@mm

Datos obtenidos por el sistema de monitorización 24hx7d del
laboratorio de Hispasec.

Con respecto al gusano original, rebautizado como Mydoom.A para
diferenciarlo de esta nueva versión, destaca que incluye a
www.microsoft.com como objetivo del ataque distribuido por
denegación de servicio, que en el caso del servidor de Microsoft
comenzaría el próximo 3 de febrero.

Como funcionalidad adicional, Mydoom.B también modifica el
archivo hosts de Windows, con la intención de impedir que el
sistema infectado pueda acceder a determinados dominios de
Internet, la mayoría relacionados con la actualizaciones de
antivirus, actualizaciones de Microsoft, y sitios web de
seguridad informática. Con esta acción, el autor del gusano
intenta que los usuarios infectados no puedan acceder vía
Internet a las herramientas para desinfectar sus equipos y
mejorar la seguridad de los mismos.


Luchando contra la epidemia

La mayoría de las casas antivirus están proporcionando herramientas
gratuitas para detectar y desinfectar a Mydoom, si bien el número
de mensajes infectados que circulan sigue siendo muy elevado.

Para muchos Mydoom ya no representa un problema vírico para sus
sistemas, ya que cuentan con la protección adecuada, sino de puro
spam masivo que sus buzones o servidores de correo siguen sufriendo
con la llegada de mensajes infectados.

En este punto se supone que la mayoría de empresas y usuarios con
soluciones antivirus se encuentran protegidas, pese a que algunos
pudieron caer en las primera fase de propagación del gusano por
no contar con la actualización pertinente.

El problema ahora se encuentra en localizar y desinfectar aquellos
sistemas de usuarios que no tienen una cultura de seguridad, que
no cuentan con herramientas para protegerse, y ni siquiera tienen
información al respecto. Resultará complicado acabar por completo
con Mydoom mientras que existan usuarios que no saben que sus
sistemas se encuentran infectados y propagando el gusano. Aunque
Mydoom.A viene con fecha de caducidad, y cesará su actividad en
febrero, está por ver posibles nuevas variantes.


Un nuevo enfoque contra los gusanos con puerta trasera

Un enfoque diferente al de los antivirus tradicionales, que permite
detectar y actuar sobre los sistemas infectados, consiste en
aprovechar la puerta trasera del gusano.

Mientras que un antivirus tradicional requiere que el usuario del
sistema infectado sea consciente de la infección y realice una serie
de operaciones a demanda, como instalar un antivirus o acceder a un
servicio de este tipo a través de Internet, este nuevo enfoque
permite que un tercero detecte los sistemas infectados y,
dependiendo de las características de la puerta trasera del virus,
hasta proceder a su desinfección remota.

La detección remota de esos sistemas se presenta relativamente
fácil, una vez que se conoce que puertos específicos abre un
espécimen para permitir la entrada. En el caso de Mydoom se pueden
obtener datos con un simple escáner que dado un rango realice un
barrido TCP entre los puertos 3127 y 3198, detectando las IPs de
los sistemas que tienen activos esos puertos.

Para una detección más fiable, y minimizar los falsos positivos, sobre
todo si se trata de puertos más comunes, habría que interactuar con el
servicio para confirmar que se trata de la puerta trasera del
espécimen. Si la puerta trasera permite ejecutar comandos sobre el
sistema, o descargar y ejecutar aplicaciones, la solución podría
automáticamente desinfectar la máquina de forma remota.

Las experiencias de Hispasec con este tipo de soluciones son bastante
positivas en redes corporativas, donde existe un buen conocimiento de
los sistemas y control total.

En el aire quedan las implicaciones éticas y legales de una hipotética
desinfección a gran escala, dedicando sistemas a realizar este tipo de
operaciones de detección y desinfección remota a través de Internet de
forma indiscriminada contra sistemas ajenos. También hay que valorar
las dificultades técnicas adicionales que podríamos encontrar,
incluyendo máquinas que no podría detectar por encontrarse detrás de
otros sistemas, por ejemplo un simple router ADSL, o problemas que
pudiera ocasionar la propia vacuna.


Bernardo Quintero
bernardo@hispasec.com


Más información:

26/01/2004 - Alerta: gusano de propagación masiva (Novarg/Mydoom/Mimail.R)
http://www.hispasec.com/unaaldia/1919

27/01/2004 - Reacción de los antivirus y análisis del gusano Mydoom/Novarg
http://www.hispasec.com/unaaldia/1920

jueves, 29 de enero de 2004

Vulnerabilidad Cross-Site Scripting en Oracle HTTP Server

Se ha descubierto un error de validación en Oracle HTTP Server. Este
problema puede permitir a un atacante remoto realizar ataques del tipo
Cross-Site Scripting (XSS).

Se ha descubierto que el script 'isqlplus' no filtra adecuadamente las
entradas dadas por los usuarios en los parámetros 'action', 'username'
y 'password'. Un usuario remoto puede enviar una URL especialmente
creada que, una vez cargada por la víctima, permitirá la ejecución de
código script en el navegador de la víctima.

Como resultado, este código puede acceder a las cookies asociadas con
el sitio web (lo que incluye las de autenticación), o incluso acceder
a datos enviados recientemente por la víctima, o realizar acciones en
el web actuando como dicha víctima.

Se han dado algunas URLs como ejemplo:

http://[target]/isqlplus?action=logon&username=sdfds%22%3e%3cscript%3ealert('XSS')%3c/script%3e\&password=dsfsd%3cscript%3ealert('XSS')%3c/script%3e

http://[target]/isqlplus?action=

Por el momento la compañía no ha publicado parches para corregir este
problema, por lo que se recomienda utilizar, por ejemplo, un proxy o
un firewall que filtre las entradas maliciosas.


Julio Canto
jcanto@hispasec.com


Más información:

Oracle HTTP Server 'isqlplus' Input Validation Flaws Let Remote Users
Conduct Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2004/Jan/1008838.html

miércoles, 28 de enero de 2004

Nuevo intento de estafa sobre los usuarios de la banca electrónica de Banesto

Se ha detectado un nuevo envío masivo de e-mails que simula ser un
mensaje de Banesto, donde se solicita a los clientes dirigirse a su
sitio web para reactivar su cuenta atendiendo a un nuevo sistema de
seguridad. Aunque en este caso el enlace incluido en el mensaje no
aprovecha la conocida vulnerabilidad de Internet Explorer, si obtiene
ventaja de una práctica insegura de la que suelen adolecer los webs
de las entidades bancarias a la hora de solicitar los datos al usuario.

A últimas horas de la tarde del miércoles 29 de enero, varios lectores
del servicio "una-al-día" de Hispasec nos hacían llegar el mensaje
sospechando que se trataba de un nuevo caso de estafa. A continuación
reproducimos el e-mail fraudulento:



Apreciado Cliente:

- Nuestro nuevo sistema de seguridad le ayudara a evitar frecuentes
transacciones de fraude y a guardar sus aportaciones.

- A causa de la modernizacion tecnica le aconsejamos a reactivar su
cuenta.

Haga "click" en la referencia de abajo para entrar y empezar a usar su
cuenta renovada.

Para entrar en su cuenta, por favor, visite http://www.banesto.es/

En caso Ud. tenga preguntas acerca de su relacion financiera online,
por favor, mandenos un Bank Mail o llamenos.

Apreciamos mucho su negocio. Atenderle es un verdadero placer para
nosotros.

Banesto Cuidado del cliente

Esta carta electronica es solo para informacion. Para contactarnos,
por favor, entre en su cuenta y envienos un Bank Mail.



El mensaje, en formato HTML, incluye el logotipo de Banesto, si bien
no está perfectamente construido (ni siquiera incluye tildes) y
presenta un aspecto bastante diferente al de otras campañas de la
entidad bancaria.

En el cuerpo del mensaje aparece como link http://www.banesto.es,
pero el enlace en realidad apunta a la dirección http://218.27.91.130
que lleva a una copia exacta de la portada del banco, incluido interfaz,
logotipos, número de teléfono, etc. donde se encuentra un formulario
para introducir el número de NIF o CIF, y la identificación (código de
usuario) y contraseña de acceso a la banca electrónica.

Sin embargo, al contrario que en otros casos de estafa, como el que
reportamos anteriormente sobre el Banco Popular, no se aprovecha de la
vulnerabilidad de Internet Explorer para ocultar la URL real por lo
que el fraude puede ser fácilmente detectado al ver en la barra de
direcciones la dirección http://218.27.91.130/.

A partir de una vista preliminar al código de la página, se desprende
que los datos recogidos se envían a dos cuentas correo electrónico
(vtlbxrdd@myway.com y catlady@linkline.com).


Prácticas inseguras de las webs de banca

Si hubieran utilizado la comentada vulnerabilidad del Internet
Explorer, que permite enlazar con la web de los estafadores mientras
que se muestra en la barra de direcciones la URL legítima del banco,
el usuario no tendría forma de detectar a simple vista que se
encuentra en un servidor ajeno.

En estos casos se suele recomendar que el usuario compruebe el
certificado de seguridad (pinchando en el candado que aparece en el
navegador), para ver si coincide con los datos de la entidad.

El problema es que las webs de muchas entidades bancarias, como es el
caso de Banesto, incluyen el formulario de autenticación del usuario
y clave en la página principal, a la que normalmente se accede sin
conexión segura (como http://www.banesto.es, sin anteponer el https://).

De forma que cuando el usuario introduce su código y clave, lo está
haciendo en una página donde no puede comprobar el certificado de
seguridad, aunque a posteriori, cuando pulsa el botón de Aceptar,
ese código y clave se envíen cifrados mediante conexión segura.

En el caso de Banesto, al posicionar el cursor encima del botón
Aceptar aparece el mensaje "El usuario y clave que ha introducido
se transmite por la red bajo servidor seguro (cifrado 128 bits)".
Éste aviso no ofrece ningún tipo de garantías, de hecho la web
falsa de los estafadores a las que nos estamos refiriendo visualiza
también de forma exacta el mismo mensaje. Además, si el usuario
introduce sus datos, el servidor de los estafadores, tras robar
el código y clave, redirige al usuario de forma automática y
transparente al servidor seguro de Banesto, de forma que a simple
vista es difícil que pueda detectar alguna anormalidad.

Esta forma de proceder facilita la labor de los estafadores, ya que
el usuario de entrada, cuando introduce su código y clave, no tiene
la posibilidad de verificar mediante el certificado de seguridad que
se encuentra realmente en la web de la entidad.

Desde Hispasec recomendamos a las entidades bancarias y servicios
sensibles que modifiquen la configuración de sus servidores webs,
o el diseño de las páginas, para que por defecto se fuerce a los
navegadores a establecer una conexión segura (https) cuando se
accede a las páginas donde se encuentran los formularios de
autentificación de los usuarios.

En el caso de Banesto, los usuarios pueden establecer la conexión
segura desde el primer momento anteponiendo el https en la dirección
(https://www.banesto.es).


Más vale prevenir

Desde Hispasec no descartamos que tras este primer intento, se
realicen nuevos envíos masivos más elaborados, en los que si se
intente suplantar la URL en la barra de direcciones, y sí llegue
a ver la URL del banco en vez de la falsa.

Una vez más, recomendamos a los usuarios, que como medida de
prevención, no accedan a sitios web sensibles, como por ejemplo la
banca electrónica, pinchando en enlaces. Sobre todo debemos desconfiar
si éstos nos llegan a través de e-mail o se encuentran en páginas de
dudosa confianza.

Los usuarios con dudas sobre el funcionamiento de la mencionada
vulnerabilidad de Internet Explorer para falsear las URLs
(http://www.hispasec.com/unaaldia/1873), pueden comprobar los
efectos, sin ningún tipo de riesgos, en la página de demostración
que Hispasec desarrolló el pasado mes como prueba de concepto:
http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html


Bernardo Quintero
bernardo@hispasec.com
Antonio Ropero
antonior@hispasec.com


Más información:

Falsificación de URL y ataque DoS recursivo en Internet Explorer
http://www.hispasec.com/unaaldia/1873

Demostración vulnerabilidad falsificación URL
http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html

una-al-dia (11/01/2004) Intento de estafa a los usuarios del Banco
Popular
http://www.hispasec.com/unaaldia/1904

martes, 27 de enero de 2004

Reacción de los antivirus y análisis del gusano Mydoom/Novarg

Tal y como alertábamos en la anterior nota, este nuevo gusano ha
protagonizado una propagación explosiva, llegándose a contabilizar
cientos de miles de mensajes infectados en apenas sus primeras horas
de vida. Durante toda la madrugada la actividad de los laboratorios
antivirus ha sido frenética, y a primera hora de la mañana todos
contaban con la correspondiente actualización. En esta entrega
analizaremos además la estrategia seguida por el gusano para engañar
e infectar a los usuarios, así como el resto de características.

La reacción de las diferentes soluciones antivirus, en ofrecer la
actualización pertinente a sus usuarios para detectar el nuevo
gusano, ha sido la siguiente:

TrendMicro, el 26/01/2004 a las 23:52:29 como WORM_MIMAIL.R
NOD32, el 27/01/2004 a las 00:55:43 como Win32/Mydoom.A
Antigen, el 27/01/2004 a las 01:39:51 como MyDoom.A@mm
Norton, el 27/01/2004 a las 01:50:13 como W32.Novarg.A@mm
Kaspersky, el 27/01/2004 a las 02:08:53 como I-Worm.Novarg
Sophos, el 27/01/2004 a las 02:09:19 como Win32/MyDoom-A
InoculateIT, el 27/01/2004 a las 02:28:42 como Win32.Shimg.Worm
Panda, el 27/01/2004 a las 05:39:04 como W32/Mydoom.A.worm
McAfee, el 27/01/2004 a las 05:57:49 como W32/Mydoom@MM

Estos datos pertenecen a las soluciones antivirus monitorizadas
24hx7d por el laboratorio de Hispasec. Destacan los distintos nombres
con los que el gusano ha sido bautizado (Mimail.R, Mydoom, Novarg y
Shimg), y como en prácticamente 6 horas se han concentrado todas
las actualizaciones de los diferentes productos, muestra del
peligro que representa el gusano.


Táctica del gusano para engañar a los usuarios

Este gusano no infecta de forma automática a los sistemas, a
diferencia de aquellos, como Blaster, que se aprovechaban de
vulnerabilidades de los productos de Microsoft. En este caso, el
usuario debe abrir y ejecutar el archivo que contiene el gusano para
infectar su sistema.

Para engañar a los usuarios, el gusano suele llegar adjunto en un
mensaje que simula haber tenido algún problema con el servidor de
correo. Entre otras "excusas", el mensaje del gusano puede indicar
que el correo electrónico contenía caracteres no válidos y ha
requerido enviarlo como archivo binario adjunto. Algunos de estos
mensajes "trampa" son:

- "The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment".

- "The message contains Unicode characters and has been sent as a
binary attachment."

- "Mail transaction failed. Partial message is available."

Aunque también se han recibido muestras con otros textos o con el
cuerpo del mensaje vacío.

Los textos más comunes que aparecen en el asunto del mensaje son:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error


El archivo adjunto, donde viaja el código del gusano, es un ejecutable
con extensión .BAT, .CMD, .EXE, .PIF, .SCR o como ZIP, su icono en
Windows simula ser un archivo de texto y también se han detectado
casos en los que aparece como acceso directo de MsDos, entre los
nombres más comunes reportados se encuentran:

readme
file
text
doc
hello
body
message
test
document
data

Cuando se ejecuta en un sistema crea los siguientes archivos:

- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system)
de Windows

El archivo "Message" lo crea con caracteres al azar, y muestra su
contenido ilegible con el bloc de notas. Con este efecto el gusano
intenta engañar al usuario, para que crea que el archivo adjunto en
el e-mail que ha ejecutado era sólo texto sin sentido debido a algún
error del correo electrónico, cuando en realidad ha activado el gusano
y da comienzo su rutina de infección y propagación.


Infección del sistema

Añade las siguientes entradas en el registro de Windows para
asegurarse su ejecución en cada inicio del sistema:

- HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe

El archivo "taskmon.exe", puede sobreescribir a un ejecutable
legítimo de Windows que tiene el mismo nombre, por lo que los usuarios
no se deben alertar por encontrar únicamente este nombre de archivo en
sus sistemas. Para corroborar la infección deben comprobar el resto de
síntomas aquí descritos o utilizar un antivirus puntualmente
actualizado.

Adicionalmente crea las siguientes entradas en el registro de Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\
ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
ComDlg32\Version


Puerta trasera

El archivo "shimgapi.dll" es inyectado en el ejecutable de Windows
"explorer.exe" a través de la siguiente entrada en el registro:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer3
2
"(Default)" = %SysDir%\shimgapi.dll

Esta DLL actúa como proxy, abriendo un puerto TCP en el sistema en el
rango 3127-3198, que permite el acceso de terceras personas. Además
cuenta con funcionalidades para descargar y ejecutar programas de
forma arbitraria, lo que posibilita todo tipo de acciones.


Propagación por correo electrónico

Una vez infecta un sistema, el gusano recoge direcciones de correo a
las que enviarse buscando en los archivos con extensión .htm, .sht,
.php, .asp, .dbx, .tbb, .adb, .pl, .wab y .txt. El formato del
mensaje en el que se autoenvía es el que describimos con anterioridad,
haciéndose pasar por un problema en el envío o visualización del
correo electrónico.

Como curiosidad, parece ser que el autor del gusano ha querido tener
cierto trato de favor con las universidades de Estados Unidos, ya que
evita enviarse a las direcciones de e-mail que finalizan en .edu


Propagación a través del cliente KaZaa (red P2P)

En los sistemas que infecta localiza la carpeta de archivos
compartidos del cliente P2P KaZaa y se copia con la extensión .pif,
.scr, .bat o .exe y alguno de los siguientes nombres:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp

Para que otro usuario se infecte a través de esta vía, es necesario
que realice en la red P2P una búsqueda por alguno de los nombres
utilizados por el gusano, que proceda a su descarga, y ejecute el
archivo.

En realidad esta vía de contagio es apenas insignificante en
comparación con la propagación alcanzada por correo electrónico.


Ataque por denegación de servicio distribuido

El gusano contiene un payload o efecto que se activa a partir del 1 de
febrero, dejará de propagarse a través del correo electrónico para
iniciar un ataque por denegación de servicio contra el dominio
www.sco.com. Este ataque también tiene fecha de caducidad, ya que el
gusano dejará de realizar peticiones GET al puerto 80 de sco.com a
partir del 12 de febrero, fecha a partir de la cual sólo quedará activa
la puerta trasera en el sistema infectado a través del puerto TCP
abierto.

Al parecer el creador del gusano tiene interés en perjudicar al
grupo SCO, empresa que está en los últimos tiempos en el punto de
mira de la comunidad Linux, ya que demandó a IBM argumentando que el
código fuente de Linux contiene fragmentos copiados del Unix de SCO,
supuesto plagio que hasta el momento ha sido incapaz de demostrar.


Prevención

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir
los foros de seguridad o listas como "una-al-día", para estar al
tanto de las últimas amenazas que nos pueden afectar.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Alerta: gusano de propagación masiva (Novarg/Mydoom/Mimail.R)
http://www.hispasec.com/unaaldia/1919

lunes, 26 de enero de 2004

Alerta: gusano de propagación masiva (Novarg/Mydoom/Mimail.R)

Detectada a última hora del lunes 26 un nuevo gusano que se distribuye de forma masiva a través del correo electrónico y que ha irrumpido en
Internet con mucha fuerza, a juzgar por el número de mensajes infectados que circulan desde sus primeras horas de vida. En el
momento que escribimos esta noticia algunas casas antivirus ya alertan sobre el gusano, bautizándolo como Novarg, Mydoom o Mimail.R, entre
otros nombres, si bien la inmensa mayoría aun no han distribuido la actualización correspondiente para proteger a sus usuarios.

El nuevo gusano, que tiene un tamaño de 22.528 bytes, se distribuye vía correo electrónico a través de archivos adjuntos con la extensión
.BAT, .CMD, .EXE, .PIF, .SCR y .ZIP, y con su icono en Windows simula ser un archivo de texto.

El formato del mensaje en el que viaja es variable, la dirección de remite es falseada, el asunto es variable, habiéndose detectado los
siguientes textos:

- "Error"
- "Status"
- "Server Report"
- "Mail Transaction Failed"
- "Mail Delivery System"
- "hello"
- "hi"

Como cuerpo del e-mail se han podido confirmar los siguientes textos:

- "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment".
- "The message contains Unicode characters and has been sent as a binary attachment."
- "Mail transaction failed. Partial message is available."
- "test"

Cuando se ejecuta en un sistema crea los siguientes archivos:

- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system) de Windows

El archivo "Message" lo crea con caracteres al azar, y muestra su contenido con el bloc de notas. Con este efecto el gusano intenta
engañar al usuario, para que crea que el archivo adjunto en el e-mail que ha ejecutado era sólo texto sin sentido, cuando en
realidad ha activado el gusano y da comienzo su rutina de infección y propagación.

Añade las siguientes entradas en el registro de Windows para asegurarse su ejecución en cada inicio del sistema:

- HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe

También intenta reproducirse a través de redes P2P copiándose en la carpeta de archivos compartidos de Kazaa con las extensiones .PIF, .SCR .BAT y los siguientes nombres:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Por último se ha detectado que el gusano abre el puerto TCP 3127 en los sistemas infectados, lo que podría sugerir funcionalidades
de puerta trasera.

En el momento de redactar esta nota, sólo TrendMicro reconocía el gusano desde últimas horas del lunes 26 como "WORM_MIMAIL.R",
NOD32 lo hacía durante las primeras horas de la madrugada del ya martes 27 como "Win32/Mydoom.A", seguido a los pocos minutos por
Antigen como "MyDoom.A@m".

Symantec tiene publicada la alerta en su web como categoría 4 (en una escala de 1 a 5), y Network Associates (McAfee) define la
alerta como "High-Outbreak", si bien ambas aun están analizando el gusano y no han proporcionado la actualización oficial a los
usuarios de sus antivirus. En el caso de McAfee sí dispone ya de una firma adicional (Extra DAT) para actualizar a demanda.
Igualmente no reconocen aun el nuevo gusano las soluciones InoculateIT, Kaspersky, Panda y Sophos.

Desde Hispasec seguiremos durante la madrugada analizando el gusano, monitorizando su actividad, y comprobando las respuestas de las
diferentes soluciones antivirus, de forma que en las próximas horas ofreceremos información más detallada al respecto.

Bernardo Quintero
bernardo@hispasec.com

Más información:

WORM_MIMAIL.R
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=57511&VName=WORM_MIMAIL.R&VSect=T

W32.Novarg.A@mm
http://www.sarc.com/avcenter/venc/data/w32.novarg.a@mm.html

W32/Mydoom@MM
http://vil.nai.com/vil/content/v_100983.htm

domingo, 25 de enero de 2004

El día de la seguridad para Microsoft

Los próximos días 5 y 12 de febrero, en Barcelona y Madrid respectivamente, Microsoft celebrará un evento sobre seguridad en el
que en tan sólo un día tiene como objetivo mostrar cómo proteger al máximo los sistemas.

Desde Microsoft el compromiso por aumentar cada día más la seguridad de los entornos informáticos de sus clientes es cada vez mayor. El
desarrollo de la conectividad ha aportado grandes beneficios pero también algunos riesgos, con el Security Day ("Día de la seguridad")
pretende descubrir las herramientas, trucos y pasos necesarios para evitarlos.

Según la propia Microsoft este evento, cuya asistencia es gratuita, está dirigido a todos los profesionales cuyo trabajo esté relacionado
con operaciones de gestión de seguridad y necesiten más información técnica sobre la Gestión de Parches de Seguridad o para Ingenieros
de Sistemas interesados en la Gestión de Seguridad.

En la propia información de Microsoft se ofrecen los siguientes datos sobre esta interesante jornada:

Resumen del Seminario:

Fallar en la implementación de una completa estrategia de gestión de parches puede tener severas consecuencias para las empresas -algunos
sistemas críticos de producción de negocio pueden fallar o sistemas de seguridad delicados pueden ser malversados- pero, sobre todo, puede
producirse una potencial pérdida de la productividad, tiempo, acceso a aplicaciones de negocio y las subsiguientes pérdidas en los ingresos.

Este seminario ahondará en las Operaciones de Gestión de Parches de Seguridad y presentará los detalles de manera lógica y concisa. Se
harán extensas demostraciones aplicables a la plataforma Windows, que ilustrarán en el uso de las herramientas de gestión de parches de
seguridad para mantener seguros los entornos.

El seminario explora los pasos necesarios para estar un paso por delante de las vulnerabilidades e incluye herramientas para conocer
los últimos parches de Microsoft en la configuración de sistemas, para valorar el nivel de vulnerabilidad y para utilizar, gestionar y
mantener el entorno resultante. MBSA (Microsoft Baseline Security Analyzer), SMS, SUS y Windows Update se presentarán, junto con otras
herramientas, como parte de las mejores prácticas y referentes para la Gestión de Parches de Seguridad.


Ponentes de este Seminario:

Por la mañana: Claudio Vacalebre, Consultor senior de Microsoft Consulting Services, nos ofrecerá una amplia visión sobre la Gestión
de Parches de Seguridad en entornos Microsoft. (Con traducción simultánea)

Por la tarde: Carlos Lacuna, IT Manager de Microsoft Ibérica, presentará la experiencia interna de Microsoft en la implementación de
la seguridad en su propia red corporativa en entornos Wireless y accesos remotos con Smart Card seguros.

¿Donde y cuando tendrá lugar?

Barcelona: 5 de Febrero de 2004
Dirección: Auditorio del Palacio de Congresos Avda. María Cristina, s/n

Madrid: 12 de Febrero de 2004
Dirección: Auditorio del Palacio de Congresos paseo de la Castellana, 99

Horario: jornada completa - de 09:00 a 17:00

Precio: gratuito



Todos los interesados en acudir a este seminario pueden obtener toda la información, agenda y registrarse desde la dirección:
http://www.microsoft.com/spain/technet/comunidad/eventos/seguridad/security_day.asp

Antonio Ropero
antonior@hispasec.com

Más información:

TechNet Security Day
http://www.microsoft.com/spain/technet/comunidad/eventos/seguridad/security_day.asp

sábado, 24 de enero de 2004

Vulnerabilidades en productos de Voz de Cisco sobre servidores IBM

Se ha detectado que la instalación por defecto de los productos de Voz de Cisco sobre plataformas IBM instalan el Director Agent de una forma
no segura, lo que deja en un estado vulnerable a los servicios Director. De tal manera que se podría acceder a la administración remota o
realizar ataques de denegación de servicio.

Estas vulnerabilidades pueden ser mitigadas mediante cambios en la configuración, y Cisco ofrece un script de reparación que cerrará los
puertos vulnerables y pondrá al agente Director en un estado seguro sin la necesidad de una actualización para corregir este problema.

El script se puede obtener desde la dirección:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des

Los productos de voz que se ejecutan en servidores IBM con configuraciones por defectos se ven afectadas si dejan el puerto 14247
(tanto TCP como UDP) abierto. Para comprobar esta vulnerabilidad, el administrador tan solo necesita abrir una ventana de comandos y ejecutar
netstat -a. En caso de que ese puerto esté abierto, el servidor será vulnerable a ataques de administración remota no autorizada y
denegación de servicio.

Los productos afectados son los siguientes:
Cisco CallManager
Cisco IP Interactive Voice Response (IP IVR)
Cisco IP Call Center Express (IPCC Express)
Cisco Personal Assistant (PA)
Cisco Emergency Responder (CER)
Cisco Conference Connection (CCC)
Cisco Internet Service Node (ISN) (ejecutándose en un IBM con una
versión de las afectadas).

Los modelos de IBM afectados son los siguientes:
IBM X330 (8654 or 8674)
IBM X340
IBM X342
IBM X345
MCS-7815-1000
MCS-7815I-2.0
MCS-7835I-2.4
MCS-7835I-3.0

Las versiones de SO afectadas son todas las que corran en esos IBM anteriores a 2000.2.6.

Julio Canto
jcanto@hispasec.com

Más información:

Cisco Security Advisory: Voice Product Vulnerabilities on IBM Servers
http://www.cisco.com/warp/public/707/cisco-sa-20040121-voice.shtml

viernes, 23 de enero de 2004

Estadísticas anuales del CERT

El CERT (Computer Emergency Response Team) acaba de publicar las estadísticas de incidentes tratados en el pasado año. En este informe se ofrecen los datos comparativos desde el inicio de funcionamiento del CERT en 1998 hasta la actualidad.

Desde enero hasta diciembre de 2003, el CERT/CC recibió 542.754mensajes de correo y más de 934 llamadas informando de incidentes de seguridad informática o solicitando información. Se recibieron 3.784 avisos de vulnerabilidades y trató 137.529 incidentes de seguridad durante dicho periodo.

Estos datos resultan interesantes al notar un descenso frente a las 4.129 vulnerabilidades reportadas en el 2002, pero un sustancial incremento en el número de incidentes que en 2002 fueron 82.094.

Durante el 2003 el CERT publicó 28 avisos de seguridad, 4 notas de
incidentes y 255 notas de vulnerabilidades. Entre las incidencias de
intrusiones tratadas y de las que el CERT/CC publicó información se pueden recordar entre otras las vulnerabilidades en implementaciones SSL/TLS, diversos desbordamientos de búfer en Sendmail, las vulnerabilidades en el interfaz RPC de los sistemas Microsoft, el gusano Blaster y el desbordamiento de entero en rutinas de las librerías Sun RPC XDR.


Antonio Ropero
antonior@hispasec.com


Más información:

CERT/CC Statistics 1988-2003
http://www.cert.org/stats/cert_stats.html

jueves, 22 de enero de 2004

Cross-Site Scripting en Symantec Web Security

Se ha identificado una vulnerabilidad en Symantec Web Security que puede ser explotada por usuarios malintencionados para perpetrar
ataques del tipo cross-site scripting (XSS).

Según la propia Symantec, este producto "protege el gateway HTTP/FTP de una organización contra virus y otras amenazas para brindar un
acceso a Internet seguro y productivo. Symantec Web Security usa las tecnologías escalables e integradas de filtrado de contenidos y
protección antivirus que Symantec desarrolla y soporta para realizar análisis simultáneos de virus y contenido de Web."

La vulnerabilidad, se debe a la falta de una validación correcta de las entradas de las páginas bloqueadas por defecto devueltas a los
clientes. Un atacante podría incluir scripts maliciosos en la URL, con lo que el cliente los ejecutará en el contexto del sitio especificado
en dicha URL en el caso de que haya sido bloqueada por el programa.

La vulnerabilidad está confirmada en las versiones 2.5, 3.0.0 y 3.0.1 (con build anterior al 62 en esta última).

Se recomienda actualizar a la versión 3.0.1 build 62, aunque el programa puede configurarse para que en las respuestas de los bloqueos
no se incluya la URL, por lo que este procedimiento puede usarse como medida preventiva.

Julio Canto
jcanto@hispasec.com

Más información:

Symantec Web Security Cross-Site Scripting Vulnerability
http://www.sarc.com/avcenter/security/Content/2004.01.13.html

Symantec Web Security
http://enterprisesecurity.symantec.com/products/products.cfm?productid=60&EID=0

miércoles, 21 de enero de 2004

El Gobierno español accede al código fuente de Windows

A continuación reproducimos de forma íntegra nota de prensa facilitada por Microsoft sobre el acuerdo que han firmado con el Centro Nacional de Inteligencia, por el que facilitan a expertos del CNI acceso al código fuente de Windows. Al final de la misma, desde Hispasec, realizamos algunos apuntes sobre el particular.


Madrid, 20 de enero de 2004.- Microsoft anuncia hoy la firma de un acuerdo con el Gobierno español, que se adhiere así al Programa de Seguridad para Gobiernos (Government Security Program, GSP). Este acuerdo significa que los expertos en seguridad del Centro Nacional de Inteligencia (CNI), dependiente del Ministerio de Defensa, podrán acceder al código fuente de Windows, así como a toda la información técnica que precisen para auditar las características de seguridad mejoradas de la plataforma Windows.

Con la firma de este acuerdo, el Gobierno español se suma a los de otros países como Reino Unido, Rusia, Noruega, China o Taiwan, que ya participan en el Government Security Program de Microsoft, y a organizaciones como la O.T.A.N.

El Programa de Seguridad para Gobiernos fue puesto en marcha por Microsoft en enero de 2003 para proporcionar a gobiernos e instituciones gubernamentales el acceso al código fuente de Windows y una amplia información técnica que les permita proteger mejor sus sistemas. Está diseñado para cumplir con las elevadas exigencias de seguridad de los gobiernos de todo el mundo y proporciona la posibilidad de auditar el código fuente de Windows mediante una herramienta de revisión específica.

Además, los gobiernos que participan en el GSP reciben información técnica confidencial con la que pueden desarrollar e implantar sus propias infraestructuras informáticas con los máximos niveles de seguridad.

"La evaluación de los mecanismos de seguridad de un producto de las Tecnologías de la Información, y la posterior verificación de su integridad, es el único medio para determinar su capacidad de protección. Tanto la evaluación como la certificación de la integridad son tareas complejas y no pueden iniciarse sin conocer completamente cómo está constituido el hardware y el software del producto", ha declarado D. Jorge Dezcallar, Secretario de Estado y Director del CNI, quien añade que "en este sentido, el Centro Criptológico Nacional del Centro Nacional de Inteligencia valora muy positivamente el ofrecimiento de Microsoft para proporcionar acceso a módulos sensibles de su código fuente. Microsoft, de esta manera, proporciona una muestra de confianza al poner a nuestra disposición su activo más valioso. El acceso al código fuente permitirá al Centro Criptológico Nacional evaluar los mecanismos de los productos de Microsoft que sean considerados necesarios para incrementar la seguridad a determinados sistemas de Tecnologías de la Información de la Administración".

"Estamos muy satisfechos de que el Gobierno español haya decidido participar en nuestro Programas de Seguridad para Gobiernos y materialice su decisión en la firma de este acuerdo, como ya han hecho otros países", ha manifestado Steve Ballmer, presidente ejecutivo de Microsoft Corporation, quien añade que "el acuerdo proporciona al Centro Nacional de Inteligencia la oportunidad de evaluar la seguridad y la integridad de nuestra plataforma Windows, de manera que podrá incrementar la seguridad de las infraestructuras de Tecnologías de la Información de la Administración española".

"La seguridad de los sistemas de información es un objetivo prioritario de la industria y Microsoft ha asumido su papel dentro de esta misión, de manera que estamos colaborando con gobiernos, instituciones y empresas para que puedan obtener el máximo nivel de seguridad e integridad utilizando nuestras soluciones", ha declarado Rosa María García, consejera delegada de Microsoft Ibérica, quien añade que "dado que entendemos que los gobiernos que utilizan nuestro software son socios de confianza, nos satisface especialmente que el Gobierno español, a través del CNI, haya accedido a colaborar con
nosotros en una labor que es clave para el desarrollo de la sociedad de la información".

El acuerdo prevé también el establecimiento de una serie de canales de comunicación preferentes entre los técnicos de Microsoft y los expertos en seguridad del CNI, lo que facilitará la participación de éstos últimos tanto en los procesos de desarrollo, testeo e implantación de Windows como en proyectos de seguridad de carácter específico.

Lectura desde Hispasec

Government Security Program (GSP) es una iniciativa de Microsoft en respuesta a la apuesta de algunos gobiernos por el software 
con licencia Open Source, entre otros Rusia, Alemania o Francia. Al margen de los costes y otras consideraciones, la seguridad es una de las principales razones por la que estos gobiernos han mostrado públicamente sus reticencias a usar software propietario  que no pueden auditar, como es el caso de Windows.

Este fue el argumento esgrimido por Rusia, que ante la no disponibilidad del código fuente e información técnica detallada
de las soluciones de Microsoft, optó por desplegar soluciones Open Source que podían examinar, auditar, modificar y adaptar según sus
criterios y necesidades en servicios críticos. 

Esta corriente, además de penalizar la implantación de las soluciones Microsoft en organismos gubernamentales, también se traducía en una
imagen negativa frente a la opinión pública y/o políticas que podían favorecer a sistemas Open Source frente a Windows. Microsoft, en
respuesta a estas demandas y frente la amenaza a sus intereses, inauguró el programa GSP con las firmas de Rusia y la OTAN, en enero
de 2003.

No obstante este programa no sitúa al software de Microsoft en el mismo plano que la licencia Open Source con respecto a los gobiernos.
Entre otras muchas limitaciones, el gobierno no puede distribuir, modificar, o compilar el código fuente al que tiene acceso.

En cualquier caso, desde Hispasec vemos de forma muy positiva las iniciativas que Microsoft está llevando a cabo para compartir con
terceros su código fuente, y esperamos que en un futuro no muy lejano le sigan iniciativas más abiertas.


Bernardo Quintero bernardo@hispasec.com
Más información: Microsoft Shared Source Initiative http://www.microsoft.com/resources/sharedsource/default.mspx Government Security Program http://www.microsoft.com/resources/sharedsource/Licensing/GSP.mspx Microsoft Announces Government Security Program http://www.microsoft.com/presspass/press/2003/jan03/01-14GSPrelease.asp

martes, 20 de enero de 2004

Denegación de servicio en productos Cisco por implementación H.323

Diversos productos Cisco contienen vulnerabilidades en la implementación del protocolo H.323 que pueden ser explotadas por
usuarios maliciosos para provocar una denegación de servicio.

H.323 es un estándar que especifica componentes, protocolos y procedimientos para el funcionamiento de comunicaciones multimedia
(audio en tiempo real, vídeo y comunicaciones de datos) en redes basadas en paquetes, incluyendo el protocolo IP con el que funciona
Internet.

Las vulnerabilidades se deben a diversos errores en el tratamiento de los mensajes H.225.0 y Q.931 sobre TCP, lo que puede ser explotado con
el envío de mensajes especialmente construidos a los sistemas afectados (al puerto 1720 de TCP por defecto).

La explotación con éxito de esta técnica interrumpirá la ejecución, colgará o reiniciará los dispositivos vulnerables o aplicaciones.

Los siguientes productos son los afectados:
* Cisco IOS versión 11.3T y posteriores
* Cisco CallManager versiones de la 3.0 a la 3.3
* Cisco Conference Connection (CCC)
* Cisco Internet Service Node (ISN)
* Cisco BTS 10200 Softswitch
* Cisco 7905 IP Phone H.323 Software Version 1.00
* Cisco ATA 18x series con H.323/SIP en versiones anteriores a la 2.16.1


Julio Canto
jcanto@hispasec.com

Más información:

Cisco Security Advisory: Vulnerabilities in H.323 Message Processing
http://www.cisco.com/warp/public/707/cisco-sa-20040113-h323.shtml#

Vulnerability Issues in Implementations of the H.323 Protocol
http://www.uniras.gov.uk/vuls/2004/006489/h323.htm

lunes, 19 de enero de 2004

"Bagle", nuevo gusano de propagación masiva

Se ha detectado en las últimas horas un aumento significativo del número de mensajes infectados con "Bagle", un nuevo gusano que viene
con fecha de caducidad, ya que dejará de propagarse el 28 de enero.

El formato del mensaje en el que viaja "Bagle" permite a los usuarios reconocerlo a simple vista, ya que en esta primera versión del gusano
(de momento única) utiliza algunos textos fijos:

Asunto: Hi
Cuerpo:
Test =)
[caracteres aleatorios]
--
Test, yep.

Adjunto: [nombre aleatorio].exe

El ejecutable que contiene el gusano, de 15.872 bytes de tamaño, construye su nombre de forma aleatoria, con una longitud que puede 
variar de 3 a 11 caracteres, y se presenta con el icono de la calculadora de Windows.

Cuando un usuario lo ejecuta, y siempre que la fecha del sistema no sea igual o mayor al 28 de enero de 2004, el gusano ejecuta la
calculadora de Windows para que el usuario no sospeche y crea que en realidad se trata de esta utilidad. Sin embargo, sin que el usuario
pueda percatarse a simple vista, "Bable" comenzará su rutina de infección y propagación.

En primer lugar se copia en el directorio de sistema de Windows como bbeagle.exe e introduce la siguiente entrada en el registro de Windows
para asegurarse su ejecución en cada inicio de sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe

Adicionalmente crea las siguientes entradas:

HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"

La propagación se realiza a través de su propio motor SMTP, buscando las direcciones a las que autoenviarse en los archivos del sistema
con extensión .wab, .txt, .htm y .html. Además, para dificultar la labor de detectar los sistemas infectados desde los que se envía,
"Bable" falsea la dirección de remitente.

El gusano lleva en su código una serie de textos, que corresponden a dominios, de forma que evita enviarse a las direcciones que los
contengan: @hotmail.com, @msn.com, @microsoft y @avp.

"Bable" también incluye capacidades de backdoor o puerta trasera, ya que abre en los ordenadores infectados el puerto TCP 6777 para
permitir el acceso remoto. El gusano incluye en su código una rutina que se conectaba a diferentes sitios para intercambiar datos, si
bien todas las páginas PHP a las que hacía referencia han sido anuladas.

La reacción de las diferentes casas antivirus en proporcionar la actualización pertinente a sus usuarios para que pudieran reconocer
a "Bagle" fue la siguiente:

Kaspersky el 18/01/2004 a las 15:03:52 como I-Worm.Bagle
NOD32 el 18/01/2004 a las 19:10:16 como Win32/Bagle.A
Sophos el 19/01/2004 a las 03:08:01 como W32/Bagle-A
TrendMicro el 19/01/2004 a las 03:25:55 como WORM_BAGLE.A
McAfee el 19/01/2004 a las 06:48:04 como W32/Bagle@MM
Norton el 19/01/2004 a las 07:24:13 como W32.Beagle.A@mm
Panda el 19/01/2004 a las 09:29:10 como W32/Bagle.A.worm
InoculateIT el 19/01/2004 a las 16:43:48 como Win32/Bagle.A.Worm


Bernardo Quintero bernardo@hispasec.com
Más información: I-Worm.Bagle http://www.viruslist.com/eng/viruslist.html?id=789296 Win32/Bagle.A http://www.nod32.com/msgs/baglea.htm W32/Bagle-A http://www.sophos.com/virusinfo/analyses/w32baglea.html WORM_BAGLE.A http://es.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_BAGLE.A W32/Bagle@MM http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100965 W32.Beagle.A@mm http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.a@mm.html Bagle.A http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=43789 Win32.Bagle.A http://www3.ca.com/virusinfo/virus.aspx?ID=38019

domingo, 18 de enero de 2004

Vulnerabilidades en FreeProxy/FreeWeb

FreeProxy/FreeWeb en su versión 3.61 y anteriores, se ve afectado por varias
vulnerabilidades que amenazan la integridad de la máquina sobre la que corre
este software.

FreeProxy es un software gratuito que corre sobre Windows 98, NT, 2000, XP y
2003 Server, que permite la utilización de una conexión Internet por varios
ordenadores. Entre algunas de las características interesantes de este proxy
es la posibilidad de filtrado por URL´s, IP´s y puertos.

Una de las vulnerabilidades que afectan a este software de interconexión
reside en una escalada de directorios que permite a un atacante el acceso
a cualquier archivo del sistema.

La segunda vulnerabilidad permitirá la realización de ataques de denegación
de servicio mediante una petición HTTP que llame a la función "CreateFile".


Antonio Román
roman@hispasec.com


Más información:

FreeProxy/FreeWeb Multiple Vulnerabilities
http://www.securiteam.com/windowsntfocus/5QP0F0ABPK.html

FreeProxy/FreeWeb v3.61 Multiple Vulnerabilities
http://packetstorm.linuxsecurity.com/0401-exploits/sp-x08-advisory.txt

FreeProxy
http://www.alphalink.com.au/~gregr/freeproxy.htm

sábado, 17 de enero de 2004

Actualización de ZOPE

La corporación Zope ha publicado las versiones 2.6.3 y 2.7beta4 de Zope,
que solucionan varios problemas de seguridad.

Zope es un servidor de aplicaciones, escrito en lenguaje Python.
Su extrema flexibilidad, características novedosas (base de datos de
"objetos", fácil extensibilidad, componentes) y su bajo precio (se trata
de una solución "open source") lo hacen especialmente atractivo para
desarrollos web.

Las versiones 2.6.3 y 2.7beta4 de Zope suponen una puesta al día de la
seguridad del servidor de aplicaciones Zope a la luz de los cambios en
las versiones recientes del lenguaje de programación Python.
Oficialmente Zope requiere usar la versión 2.1.3 de Python, cuando la
versión actual del lenguaje es la 2.3.3. La actualización a Python 2.3.3
como versión recomendada de Python para ejecutar las futuras versiones
de Zope (2.7) ha supuesto una auditoría intensa y detallada de su
código.

Los cambios son especialmente importantes si la instalación ZOPE permite
la ejecución de código proveniente de fuentes no confiables, como
scripts python, DTML o plantillas ZPT.

Se recomienda a los administradores de entornos Zope que actualicen a la
nueva versión del servidor de aplicaciones, aunque se siga desplegando
bajo Python 2.1.3, ya que la actualización corrige otro tipo de
problemas, denegación de servicio, CSS, etc.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Zope 2.6.3
http://www.zope.org/Products/Zope/2.6.3/

Zope 2.6.3: Changes
http://www.zope.org/Products/Zope/2.6.3/CHANGES.txt

Zope
http://www.zope.org/

viernes, 16 de enero de 2004

Escalada de privilegios en Symantec LiveUpdate

Se ha anunciado una vulnerabilidad en el componente Automatic
LiveUpdate de Symantec. Dicho problema puede ser explotado por
usuarios locales maliciosos para realizar un ataque de escalada de
privilegios en un sistema afectado.

LiveUpdate es una herramienta incluida en muchos productos Symantec
que sirve para descargar actualizaciones de los servidores de la
compañía. Forma parte de, por ejemplo, el famoso paquete Norton
Antivirus.

Cuando una versión vulnerable de Automatic LiveUpdate se lanza
inicialmente en el arranque, se le asignan derechos de sistema.
Mientras la sesión está disponible, un usuario con privilegios menores
podría manipular la funcionalidad del GUI de LiveUpdate para realizar
la escalada de privilegios en la máquina local. Esto le daría la
posibilidad de, por ejemplo, tener acceso a los archivos del sistema,
adquirir todos los permisos para ficheros y directorios o
sencillamente, incluirse en el grupo de administradores.

La vulnerabilidad afecta a los siguientes productos:
* Symantec LiveUpdate, de la versión 1.70.x a la 1.90.x
* Norton SystemWorks 2001-2004
* Norton AntiVirus 2001-2004
* Norton Internet Security 2001-2004
* Symantec AntiVirus for Handhelds v3.0

No afecta a los siguientes:
* Symantec Windows LiveUpdate v2.x
* Symantec Java LiveUpdate (todas las versiones)
* Symantec Enterprise products (no soportan el Automatic LiveUpdate)

Para comprobar la versión de LiveUpdate que estamos utilizando sólo es
necesario acceder al "About LiveUpdate".

Se recomienda actualizar con LiveUpdate o instalar manualmente
LiveUpdate 2.0, disponible en la siguiente dirección:
http://www.symantec.com/techsupp/files/lu/lu.html


Julio Canto
jcanto@hispasec.com


Más información:

Symantec Automatic LiveUpdate Local User Elevation of Privilege
http://www.sarc.com/avcenter/security/Content/2004.01.12.html

jueves, 15 de enero de 2004

Desbordamiento de búfer en MDAC de diversos sistemas Windows

Dentro del conjunto de parches de Microsoft de enero, y del que
Hispasec ya realizó un adelanto en el una-al-día de ayer, se encuentra
la actualización para la colección de componentes de acceso a base de
datos MDAC (Microsoft Data Access Components) en sus versiones MDAC 2.5
a 2.8, incluidos en Windows 2000, SQL Server 2000, Windows XP y Windows
Server 2003.

Cuando un cliente de una red intenta visualizar la lista de sistemas
con SQL Server existentes en la red, se envía una petición broadcast a
todos los dispositivos que se encuentran en la red. Debido a una
vulnerabilidad en un componente MDAC, un atacante podrá responder a
dicha petición con un paquete específicamente creado que provocará un
desbordamiento de búfer.

Si un atacante logra explotar exitosamente esta vulnerabilidad podrá
conseguir el mismo nivel de privilegios sobre el sistema como el
programa que inició la petición broadcast. Las acciones que podrá
realizar el atacante en tal caso, dependerán directamente de los
permisos bajo los que se ejecute el programa que use MDAC.

Microsoft recomienda consultar la versión de MDAC instalada, debido a
que la versión original de MDAC del sistema puede haberse actualizado
en algún momento. Para consultar la versión de MDAC puede emplearse la
utilidad Component Checker, disponible en:
http://download.microsoft.com/download/8/4/7/8479c13c-aacd-4b79-bc1b-d64c683191a7/cc_pkg.exe
O en el registro, en la clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

Microsoft ha publicado las siguientes actualizaciones:

Para:
MDAC 2.5 (incluido con Microsoft Windows 2000)
MDAC 2.6 (incluido con Microsoft SQL Server 2000)
MDAC 2.7 (incluido con Microsoft Windows XP)
MDAC 2.8 (incluido con Microsoft Windows Server 2003)
Se publica la misma actualización
http://www.microsoft.com/downloads/details.aspx?FamilyId=39472EE8-C14A-47B4-BFCC-87988E062D91&displaylang=en

Para MDAC 2.8 (incluido con Windows Server 2003 64-Bit Edition) se
publica la actualización disponible en:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1D93D9E4-2B22-4595-B8C5-643824857EC0&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

MS04-003 - Buffer Overrun in MDAC Function Could Allow Code
Execution
http://www.microsoft.com/technet/security/bulletin/ms04-003.asp

Microsoft Windows Security Bulletin Summary for
January 2004
http://www.microsoft.com/technet/security/bulletin/winjan04.asp

una-al-dia (14/01/2004) Microsoft publica el conjunto de parches de
enero
http://www.hispasec.com/unaaldia/1907

miércoles, 14 de enero de 2004

Microsoft publica el conjunto de parches de enero

Fiel a su nueva política de publicación de parches, ayer como segundo
martes del mes de enero, Microsoft publicó el conjunto de parches
desarrollados desde su última actualización en noviembre del año
pasado. En esta ocasión los productos para los que se publican nuevas
actualizaciones son Exchange Server 2003, Microsoft ISA Server 2000 y
los componentes de acceso a base de datos MDAC.

Microsoft ha liberado tres nuevos parches para corregir fallos de
seguridad en su software. La vulnerabilidad en ISA Server 2000 se
cataloga por la propia Microsoft como crítica, el problema en MDAC
(que afecta a las versiones de MDAC incluidas en Windows 2000, XP y
Server 2003) se califica como importante mientras que la que afecta
a Exchange Server 2003 tiene un nivel de riesgo moderado.

Hay que recordar que desde el 11 de noviembre de 2003 Microsoft no ha
publicado ninguna actualización de seguridad, lo que hace dos meses
sin parches y productos sin parches. También hay que señalar que
productos como Internet Explorer cuentan con vulnerabilidades
anunciadas, probadas, y explotándose en la actualidad con grave riesgo
para los usuarios y sin que se publiquen las actualizaciones
apropiadas, ¿tendremos que esperar hasta el 10 de febrero para ver el
parche para la vulnerabilidad de falsificación de URLs en Internet
Explorer?.

Volviendo a los parches de este mes, desde Hispasec, en nuestra línea,
dedicaremos diversos boletines a la descripción detallada de los
mismos, así como cualquier otro incidente destacable que pueda
derivarse por problemas o incompatibilidades con los mismos.

A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y la
descarga de los parches.

* Vulnerabilidad en Exchange Server 2003 puede permitir la elevación
de privilegios (MS04-002)
Afecta a Microsoft Exchange Server 2003

* Desbordamiento de búfer en MDAC puede permitir la ejecución remota
de código (MS04-003)
Afecta a Microsoft Data Access Components 2.5 (incluido con
Microsoft Windows 2000), Microsoft Data Access Components 2.6
(incluido con Microsoft SQL Server 2000), Microsoft Data Access
Components 2.7 (incluido con Microsoft Windows XP) y Microsoft Data
Access Components 2.8 (incluido con Microsoft Windows Server 2003)

* Vulnerabilidad en filtro H.323 de Microsoft Internet Security and
Acceleration (ISA) Server 2000 puede permitir la ejecución remota de
código (MS04-001)
Afecta a Microsoft Internet Security and Acceleration Server 2000,
Microsoft Small Business Server 2000 (que incluye Microsoft Internet
Security and Acceleration Server 2000) y Microsoft Small Business
Server 2003 (que incluye Microsoft Internet Security and Acceleration
Server 2000).


Antonio Ropero
antonior@hispasec.com


Más información:

MS04-002 : Vulnerability in Exchange Server 2003 Could Lead to
Privilege Escalation (832759)
http://www.microsoft.com/technet/security/bulletin/MS04-002.asp

MS04-001 : Vulnerability in H.323 Filter can Allow Remote Code
Execution (816458)
http://www.microsoft.com/technet/security/bulletin/MS04-001.asp

MS04-003 : Buffer Overrun in MDAC Function Could Allow code execution
(832483)
http://www.microsoft.com/technet/security/bulletin/MS04-003.asp

una-al-dia (15/12/2003) Explicaciones de Microsoft sobre su nueva
política de actualizaciones
http://www.hispasec.com/unaaldia/1877

una-al-dia (24/12/2003) Respuestas a la política de actualizaciones de
Microsoft
http://www.hispasec.com/unaaldia/1886

una-al-dia (09/12/2003) Microsoft no distribuye los parches de
diciembre
http://www.hispasec.com/unaaldia/1871

una-al-dia (11/12/2003) Falsificación de URL y ataque DoS recursivo en
Internet Explorer
http://www.hispasec.com/unaaldia/1873

una-al-dia (30/11/2003) Múltiples vulnerabilidades en Microsoft
Internet Explorer
http://www.hispasec.com/unaaldia/1862

martes, 13 de enero de 2004

Informe SANA de diciembre: 754 alertas en un mes

Un total de 754 alertas emitidas durante el mes de diciembre a través
del servicio SANA de alertas y vulnerabilidades a medida de Hispasec
Sistemas.

El Servicio de Análisis, Notificación y Alertas (SANA) de Hispasec
Sistemas documentó y distribuyó más de 24 nuevas alertas de seguridad
y parches diarias durante el pasado mes de diciembre. A pesar de las
fechas navideñas, durante las cuales se ha apreciado una cierta
relajación de diversos fabricantes a la hora de publicación de parches
y alertas, la media de avisos se mantiene en los mismos rangos que en
meses anteriores. También cabe destacar la ausencia de parches de
Microsoft en este mes de diciembre, a pesar de la gravedad demostrada
de algunas vulnerabilidades como la de falsificación de URLs en
Internet Explorer.

El listado de fabricantes se ve encabezado por IBM con un total de 173
alertas publicadas, lo que representa un 22,9%, seguido por los
sistemas de Sun con 164 informaciones emitidas (un 21,7% de los
avisos) y de los sistemas y aplicaciones de HP con un total de 138
alertas publicadas (18,3%), Red Hat con 23 y Microsoft con 21.

Según la clasificación de SANA, 139 (un 18,4%) de las alertas se han
considerado de riesgo alto, el 6,8% Medio-Alto, 225 de ellas (el
29,8%)
de nivel medio, mientras que el resto recibió una calificación de
riesgo medio-bajo y bajo. Porcentajes que se mantienen en el mismo
orden que los alcanzados en meses anteriores.

Una gran mayoría de las alertas, 669 en concreto (un 88,7%), trataban
de parches propiamente dichos o de vulnerabilidades que contaban con
actualizaciones para corregirlas. Mientras que para el resto Hispasec
documentó contramedidas y acciones preventivas adicionales a la espera
de la solución oficial.

El Servicio SANA de Hispasec Sistemas nació como una versión
profesional de una-al-dia, al ofrecer un servicio de información sobre
seguridad informática personalizado según el perfil de cada cliente,
sin ningún tipo de limitaciones de horario o cantidad de información.
Los suscriptores de SANA reciben puntualmente, en tiempo real, la
información sobre nuevas vulnerabilidades que realmente puedan afectar
a los sistemas de su empresa, junto con las medidas preventivas y/o
parches para subsanarlas.

Todos los lectores de una-al-dia pueden realizar, desde la portada de
la web de Hispasec (http://www.hispasec.com), un seguimiento en tiempo
real del número de alertas publicadas por SANA.


Antonio Ropero
antonior@hispasec.com


Más información:

Servicio SANA de Hispasec Sistemas:
http://www.hispasec.com/directorio/servicios/sana

una-al-dia (03/12/2003) Informe SANA de noviembre: 762 alertas en un
mes
http://www.hispasec.com/unaaldia/1865

una-al-dia (20/05/2002) ¿Gastan los profesionales de seguridad mucho
tiempo buscando información?
http://www.hispasec.com/unaaldia/1303

lunes, 12 de enero de 2004

Vulnerabilidad en autenticación de Cisco Personal Assistant

La compañía Cisco ha detectado que su producto Personal Assistant
puede permitir el acceso sin autorización a usuarios a través del
interfaz web. Una vez se ha conseguido dicho acceso, pueden manipularse
las preferencias y configuración general del usuario, con lo que un
usuario malicioso podría modificar redirecciones de teléfono en su
provecho.

Cisco Personal Assistant es una aplicación basada en Microsoft Windows
2000 que forma parte de la solución AVVID (Architecture for Voice,
Video and Integrated Data) y ayuda a sus usuarios a la hora de
determinar cómo y dónde se puede contactar con ellos.

La vulnerabilidad es explotable si se presentan estas dos condiciones:
1. El administrador de Personal Assistant ha activado la opción de
"Allow Only Cisco CallManager Users" en System -> Miscallenous
Settings (por defecto, esta opción no está activa).
2. La configuración de Personal Assistant Corporate Directory hace
referencia al mismo servicio de directorio que es utilizado por Cisco
CallManager.

Si estas dos condiciones se cumplen, la autenticación por clave de
Personal Assistant se desactiva, lo que permitirá a cualquiera que
tenga un identificador de usuario válido entrar sin conocer la clave
asociada.

Un atacante puede aprovechar este acceso de manera que, si modifica
la configuración de un usuario, puede cambiar las redirecciones de
llamadas para, por ejemplo, intentar suplantar a alguien o para
apuntar a un número de teléfono de tarificación especial.

Esta vulnerabilidad no afecta al acceso a Personal Assistant a través
del interfaz telefónico.

Este problema afecta a las versiones 1.4 del producto, ya que versiones
anteriores como la 1.3 no lo reproducen. Para comprobar la versión de
Personal Assistant que está utilizando siga los siguientes pasos:

1. Conecte al Personal Assistant por el interfaz web
2. Vaya a Help -> About Cisco Personal Assistant
3. Pulse el botón de Detalles y aparecerá una ventana con el número
de versión completo

Para eliminar la vulnerabilidad basta con desactivar la selección del
checkbox "Allow Only Cisco CallManager Users" en la página System ->
Miscellaneous Settings del sitio web de administración de Personal
Assistant.


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Personal Assistant User Password Bypass Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20040108-pa.shtml

Cisco Personal Assistant
http://www.cisco.com/en/US/products/sw/voicesw/ps2026/

Cisco AVVID
http://www.cisco.com/en/US/netsol/ns340/ns19/net_solution_home.html

domingo, 11 de enero de 2004

Intento de estafa a los usuarios del Banco Popular

Detectado un envío masivo de e-mails que simula ser un mensaje del
Banco Popular solicitando a los clientes dirigirse a una dirección de
su sitio web para mejorar la seguridad de sus cuentas. El enlace, que
en apariencia conecta con el dominio bancopopular.es, en realidad
utiliza una vulnerabilidad de Internet Explorer para engañar a los
usuarios y hacer que éstos introduzcan sus datos en la página web de
los estafadores.

En la madrugada del sábado al domingo 11 de enero, varios lectores del
servicio "una-al-día" de Hispasec nos hacían llegar el mensaje
sospechando que se trataba de una estafa. A continuación reproducimos
el e-mail fraudulento:



De: Grupo Banco
Para: [e-mail destinatario]
Asunto: Importante informacion sobre la cuenta de Grupo Banco

iQuerido y apreciado usuario de Grupo Banco!

Como parte nuestro servicio de proteccion de su cuenta
y reduccion de fraudes en nuestro sitio web, estamos pasando
un periodo de revision de nuestras cuentas de usuario. Le
rogamos visite nuestro sitio siguiendo link dado abajo. Esto
es requerido para que podamos continuar ofreciendole un
entorno seguro y libre de riesgos para enviar y recibir dinero en
linea, manteniendo la experincia de Grupo Banco.Despues del
periodo de verificacion, sera redireccionado a la pagina principa
de Grupo Banco. Gracias.
https://www2.bancopopular.es/AppBPE/servlet/servin?p_pm=bo&p_pf=c&p_id=esp



El enlace, que a primera vista parece conectar con el servidor seguro
del Banco Popular, en realidad lleva incrustada una URL en formato
HTML especialmente diseñada para aprovechar una vulnerabilidad de
Internet Explorer y redirigir al usuario a la dirección
http://www.newmonc.com/gb/servin.php

En esta dirección nos encontramos con una página web aparentemente del
Banco Popular, incluido interfaz, logotipos, número de teléfono, etc,
donde debemos identificarnos a través de varias opciones, que incluye
el número de tarjeta y PIN, o nuestra identificación y contraseña de
la banca electrónica.

Debido a la vulnerabilidad de Internet Explorer, el usuario no percibe
a simple vista que se encuentra en realidad en otro servidor, ya que
en todo momento en la barra de direcciones del navegador aparecerá la
URL http://www2.bancopopular.es en lugar de la dirección real en la
que se encuentran.

El pasado 11/12/2003 publicamos en Hispasec una noticia sobre esta
vulnerabilidad (http://www.hispasec.com/unaaldia/1873), advirtiendo
especialmente de las posibles estafas en los servicios de banca
electrónica. Desgraciadamente nuestra predicción se ha cumplido
al pie de la letra transcurrido un mes, tiempo en el cual Microsoft
sigue sin facilitar un parche para corregir este problema.

Ya entonces recomendábamos a los usuarios, como medida de prevención,
que no accedieran a sitios web sensibles, como por ejemplo la banca
electrónica, pinchando en enlaces. Sobre todo debíamos desconfiar si
éstos nos llegaban a través de e-mail o se encuentran en páginas de
dudosa confianza.

Los usuarios de Internet Explorer que quieran comprobar los efectos
de la vulnerabilidad, sin ningún tipo de riesgos, pueden dirigirse a
la página de demostración que Hispasec desarrolló el pasado mes como
prueba de concepto:
http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html


Bernardo Quintero
bernardo@hispasec.com


Más información:

Falsificación de URL y ataque DoS recursivo en Internet Explorer
http://www.hispasec.com/unaaldia/1873

Demostración vulnerabilidad falsificación URL
http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html

sábado, 10 de enero de 2004

Eliminación de información oculta en archivos de Office 2003/XP

Microsoft ha publicado una herramienta que ayuda a crear documentos
Office - Word, Excel y PowerPoint - sin información oculta y de
colaboración (como el control de versiones y similares).

Cuando se distribuye de forma pública un documento de Office, puede
ser que éste contenga información a la que no quiera que se tenga
acceso, como la que se ha identificado como oculta, o la que se
utiliza para trabajar en equipo. Dicha herramienta, publicada por
Microsoft el pasado día 5, crea - si así se indica de forma expresa -
una copia sin ésta información personal u oculta que no se ve de forma
directa cuando se abre en una aplicación de Microsoft Office.

En su momento, en Hispasec ya hablamos de las connotaciones de
seguridad que esta información puede tener (como el famoso caso de
la administración británica en la guerra de Irak) y se analizó de
forma detallada en un boletín posterior.

La dirección para descargar esta herramienta es la siguiente:
http://download.microsoft.com/download/b/d/5/bd5f9762-d2a8-422c-a612-0841df9342f7/rhdtool.exe

Ésta herramienta puede ser utilizada desde dentro de la aplicación
Office en sí o desde la línea de comandos. Las instrucciones para
su uso en cualquiera de los dos casos vienen incluidas en la descarga,
concretamente en el archivo Offrhdreadme.htm.

La compañía advierte acerca de que la herramienta es soportada por
Windows XP y que no ha sido probada convenientemente en Windows 2000.
Por otra parte, avisan de que no puede ser instalada en máquinas con
Windows 98 o Millenium Edition.


Julio Canto
jcanto@hispasec.com


Más información:

Office 2003/XP Add-in: Remove Hidden Data
http://www.microsoft.com/downloads/details.aspx?FamilyID=144e54ed-d43e-42ca-bc7b-5446d34e5360&DisplayLang=en

Los documentos de Word esconden información sensible
http://www.hispasec.com/unaaldia/1757

Detalles sobre los datos ocultos en el informe sobre Irak
http://www.hispasec.com/unaaldia/1758

El editor de textos Microsoft Word pone en ridículo al gobierno británico
http://ww2.grn.es/merce/2003/word.html

viernes, 9 de enero de 2004

Gusanos con talón de Aquiles

A finales de diciembre nos sorprendió un nuevo gusano que se propagaba
a través del MSN Messenger. Aunque los ecos del gusano han perdurado
por varios días, "Jitux", como fue bautizado, en realidad vio capada
su propagación a las pocas horas de haber nacido debido a debilidades
en su diseño.

En primer lugar veamos los tiempos de reacción de diferentes casas
antivirus en proporcionar la actualización a sus usuarios para
detectar a "Jitux", según datos monitorizados por Hispasec:

Panda, el 30/12/2003 a las 13:29, como "W32/Jitux.A.worm"
NOD32, el 30/12/2003 a las 18:31, como "Win32/Jitux.A"
Antigen, el 30/12/2003 a las 19:30, como "I-Worm.Jitux.A"
Kaspersky, el 30/12/2003 a las 19:32, como "MSN-Worm.Jitux"
TrendMicro, el 30/12/2003 a las 22:09, como "WORM_JITUX.A"
Norton, el 30/12/2003 a las 22:59, como "Download.Trojan"
Sophos, el 31/12/2003 a las 11:33, como "W32/Jitux-A"
McAfee, el 31/12/2003 a las 19:11, como "W32/Jitux.worm"
InoculateIT, el 06/01/2004 a las 00:41, como "Win32/Jitux.A.Worm"

En la mayoría de los casos, cuando los antivirus ofrecieron a los
usuarios la actualización, "Jitux" ya había conseguido infectar a
muchos usuarios y su ciclo de propagación se vio interrumpido de forma
brusca.

La debilidad de "Jitux" residía en su sistema de propagación,
consistente en buscar entre todos los contactos de Messenger del
sistema infectado, y enviarles mensajes con la URL del gusano
(http:/ /www.home.no/jberg/jituxramon.exe). El usuario que recibía el
mensaje debía de pinchar en el enlace, descargar y ejecutar el EXE
para infectarse.

Pese al método rudimentario de propagación, "Jitux" consiguió en muy
poco tiempo un número de infecciones significativas. A las pocas horas
de iniciarse la propagación de "Jitux" el ejecutable jituxramon.exe
fue retirado de la página web, por lo que los usuarios que recibían el
mensaje no podían descargarlo e infectarse.

El talón de Aquiles de "Jitux" fue depender de un sólo punto, en este
caso un servidor web, para distribuir el ejecutable. Esta es una
diferencia importante con la mayoría de gusanos de Internet, cuya
potencia reside precisamente en la capacidad de propagación
distribuida, al convertir cada PC infectado en un nuevo servidor de
transmisión del gusano.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Win32.Jitux.A
http://www3.ca.com/virusinfo/virus.aspx?ID=37887

W32/Jitux.worm
http://vil.nai.com/vil/content/v_100931.htm

MSN-Jitux
http://www.viruslist.com/eng/viruslist.html?id=666827

W32/Jitux.A.worm
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=43211&sind=0

W32/Jitux-A
http://www.sophos.com/virusinfo/analyses/w32jituxa.html

W32.Jitux.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.jitux.worm.html

WORM_JITUX.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_JITUX.A

jueves, 8 de enero de 2004

Virus dañados e inofensivos

El pasado 30 de diciembre se enviaron miles de e-mails falsos que
simulaban ser un envío del Banco de Inglaterra. El mensaje solicitaba
a los usuarios que ejecutaran el archivo adjunto, antikeylog2004.exe.
Aunque algunos antivirus lo detectan como troyano, el archivo se
encontraba corrupto y nunca pudo ejecutarse ni causar daño alguno.

El e-mail enviado a modo de spam tenía el siguiente formato:



Remite: admin@bankofengland.co.uk
Asunto: security notification
Adjunto: antikeylog2004.exe
Cuerpo:

Dear customer,

The security of your personal and account information is
extremely important to us. By practicing good security habits,
you can help us ensure that your private information is protected.
Please install our special software, that will remove all the
keyloggers and backdoors from your computer.

And will help us to prevent credit card fraud in future.

Thank you.

Best regards,

Bank of England



Este tipo de mensajes con troyano ha sido enviado de forma masiva
en varias ocasiones simulando proceder de diversas instituciones,
como Citibank, E-Loan, Wells Fargo y U.S.Bank. En estos casos el
troyano sí era funcional, y descargaba un segundo componente que
permitía robar las contraseñas o conectar con el sistema infectado,
entre otras funciones.

En el caso del Banco de Inglaterra el ejecutable se encontraba
corrupto y no podía ejecutarse, por lo que los usuario no sufrieron
daño alguno. En cualquier caso, algunas compañías antivirus han
decidido incorporarlos a sus bases de actualización, según datos
de Hispasec, así lo hicieron:

Sophos, el 30/12/2003, a las 14:05, como "Troj/Antikl-Dam"
Antigen, el 30/12/2003, a las 21:23, como "Troj/Antikl-Dam"
McAfee, el 31/12/2003, a las 19:14, como "Downloader-DI.dam"
Norton, el 02/01/2004, a las 21:38, como "Download.Berbew.dam"
Panda, el 05/01/2004, a las 17:23, como "Troj./Downloader.V.dam"

A fecha de hoy, antivirus como InoculateIT, Kaspersky, NOD32 o
Trendmicro, no lo han incluido. En este aspecto hay cierta
divergencia entre los desarrolladores antivirus, mientras algunos
consideran que deben incluir este tipo de firmas de archivos
dañados, otros optan por no introducirlas argumentando que no
representan un peligro real para los usuarios y pueden causar
falsas alarmas.

En este caso, la inclusión o no de la firma es inocuo para el
usuario, ya que el ejecutable no representa ningún peligro. En
todo caso se trata de un archivo sin ninguna utilidad que puede
ser eliminado manualmente, y si nuestro antivirus lo detecta lo
hará por nosotros de forma automática.

En cualquier caso, y para evitar falsas alarmas, es conveniente
que observemos el uso del sufijo "dam" (damaged) en la
nomenclatura de los virus, troyanos y malware en general para
designar aquellos especímenes que no son funcionales . De forma
que cuando nuestro antivirus detecte un virus cuyo nombre termina
con el sufijo ".dam", sepamos que se trata de un archivo dañado
que no puede habernos causado ningún problema en el sistema, pero
que debemos eliminarlo ya que no tiene ninguna utilidad.

Información adicional sobre los nombres de los virus puede
ser consultada en la nota "Bautizar un virus" en la dirección
http://www.hispasec.com/unaaldia/1523


Bernardo Quintero
bernardo@hispasec.com


Más información:

Bank of England: Alert to Fraudulent E-mail
http://www.bankofengland.co.uk/pressreleases/2003/176.htm

Bank of England hit by hoax e-mail
http://www.cnn.com/2003/WORLD/europe/12/30/uk.bankhoax/

Downloader-DI.dam
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100487

Trj/Downloader.V.dam
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=43345

Download.Berbew.dam
http://securityresponse.symantec.com/avcenter/venc/data/download.berbew.dam.html

miércoles, 7 de enero de 2004

Solicitud de comentarios sobre las extensiones de seguridad en el protocolo DNS

El grupo de trabajo de la IETF responsable de la definición de las
extensiones de seguridad en el protocolo DNS ha solicitado a la
comunidad su opinión sobre los cambios propuestos.

El DNS, sistema de nombre de dominios, es uno de los protocolos más
importantes utilizados actualmente en Internet. Se trata de una base
de datos distribuida con la información necesaria para poder realizar
la traducción los nombres de dominio en sus direcciones IP asociadas
(y a la inversa).

El correcto funcionamiento del DNS es un aspecto básico para que los
otros protocolos "funcionen" ya que, habitualmente, todos ellos
dependen de una forma u otra de la capacidad de resolver un nombre de
dominio en su correspondiente dirección IP numérica.

El protocolo utilizado para la resolución de nombres fue originalmente
definido en los RFC 1034 y 1035, a los que con posterioridad se han
realizado diversas actualizaciones. En el momento de realizar la
especificación original, la seguridad no fue considerada como un
elemento prioritario, por lo que se carecen de funciones para la
autenticación y la verificación de la integridad de la información.

Con el objeto de superar estas limitaciones, se estableció un grupo de
trabajo de la IETF (Internet Engineering Task Force, el "brazo armado"
de Internet encargado de la definición de los protocolos utilizados en
Internet). Este grupo ha trabajado durante los últimos cinco años en
el desarrollo de un conjunto de extensiones de seguridad para el DNS.

Como estas extensiones van a tener un impacto significativo en el
funcionamiento del DNS, se ha realizado un llamamiento para que toda
la comunidad implicada en el funcionamiento de este servicio revise
las especificaciones. La idea es que la comunidad determine que las
nuevas especificaciones no contienen ambigüedades y que su
implementación es factible.

Los documentos que deben ser analizados son:

* Introducción y requerimientos de seguridad del DNS
http://www.ietf.org/internet-drafts/draft-ietf-dnsext-dnssec-intro-08.txt

* Registros de recursos para las extensiones de seguridad del DNS
http://www.ietf.org/internet-drafts/draft-ietf-dnsext-dnssec-records-06.txt

* Modificaciones del protocolo para las extensiones de seguridad del
DNS
http://www.ietf.org/internet-drafts/draft-ietf-dnsext-dnssec-protocol-04.txt

Estos tres documentos definen los cambios propuestos al protocolo DNS
para permitir que los clientes y servidores puedan realizar
transferencias de datos de forma segura, garantizando la identidad de
cada una de las partes y la integridad e inviolabilidad de los datos
transmitidos.

La fecha límite para presentación de alegaciones relacionadas con
estos documentos es el próximo 15 de enero.


Xavier Caballé
xavi@hispasec.com


Más información:

WGLC on DNSSEC bis document set
http://groups.google.com/groups?dq=&hl=en&lr=&ie=UTF-8&oe=UTF-8&group=comp.protocols.dns.std&c2coff=1&selm=brrkfj%2415fh%241%40sf1.isc.org

Grupo de trabajo DNSEXT
http://www.ietf.org/html.charters/dnsext-charter.html

DNSSEC - DNS Security Extensions
http://www.dnssec.net/

martes, 6 de enero de 2004

Escalada de privilegios en función mremap del kernel de Linux

Se ha descubierto una vulnerabilidad en la llamada de sistema mremap que puede ser explotada por usuarios locales maliciosos para perpetrar una escalada de privilegios.

La función mremap da la capacidad de cambiar el tamaño o mover áreas de memoria virtual (VMAs) o parte de ellas. Una VMA típica suele ocupar al menos una página de memoria (que tiene un tamaño de 4kB en la arquitectura i386). Una comprobación incorrecta de tamaños descubierta dentro del código de kernel do_mremap(), que realiza el remapeo de una zona de memoria virtual puede llevar a la creación de una VMA de longitud 0.

El problema se basa en el problema de mremap, al remapear dos páginas dentro de una VMA, crea un agujero de memoria del tamaño de una página pero un VMA adicional de dos. En el caso del remapeo de una de tamaño 0, no se crea el agujero de VMA, pero se crea un descriptor adicional también de tamaño 0. Un área de memoria virtual maliciosa como esa puede desestabilizar las operaciones de otras rutinas de manejo de memoria.

Ya que no se requieren privilegios especiales para utilizar la llamada mremap, cualquier proceso puede hacer uso de este problema para desestabilizar el subsistema de manejo de memoria del kernel. La explotación con éxito de esta vulnerabilidad puede permitir la escalada local de privilegios, incluyendo la ejecución de código arbitrario con acceso a nivel kernel. Se tiene constancia de la existencia de códigos de demostración de la vulnerabilidad que crean shells con privilegios de root en sistemas vulnerables.

Demostrando agilidad a la hora de responder al problema, gran cantidad de distribuciones Linux han publicado ya actualizaciones para corregir este problema, entre las que se encuentran las siguientes:

Astaro
http://www.astaro.org/showflat.php?Cat=&Number=34176&page=0&view=collapsed&sb=5&o=&fpart=1

Conectiva
http://distro.conectiva.com.br/atualizacoes/index.php?id=a&anuncio=000799

Debian
http://www.debian.org/security/2004/dsa-413

EnGarde
http://www.linuxsecurity.com/advisories/engarde_advisory-3904.html

Fedora
http://www.redhat.com/archives/fedora-announce-list/2004-January/msg00000.html

Red Hat
https://rhn.redhat.com/errata/RHSA-2003-417.html

SuSE
http://lists.suse.com/archive/suse-security-announce/2004-Jan/0001.html

Turbo Linux
http://www.turbolinux.com/security/2004/TLSA-2004-1.txt


Julio Canto
jcanto@hispasec.com


Más información:

Linux kernel do_mremap local privilege escalation vulnerability
http://isec.pl/vulnerabilities/isec-0013-mremap.txt