domingo, 29 de febrero de 2004

Reacciones antivirus ante las versiones C,D y E del gusano Bagle

El fin se semana ha estado protagonizado por la aparición de hasta
5 nuevas variantes del gusano Bagle, lo que ha requerido una rápida
reacción por parte de los laboratorios antivirus para ofrecer en
un tiempo récord las actualizaciones y proteger a sus clientes.

Hasta el momento las versiones más activas son Bagle.C, de la que
ya ofrecimos una descripción completa en una pasada entrega, y
Bagle.E, de similares características. Aunque el primer puesto de
la lista TOP10 de gusanos más propagados lo sigue ocupando desde
hace días Netsky.B.

A continuación ofrecemos los tiempos de reacción de las diferentes
casas antivirus en proporcionar la actualización a sus clientes
para las versiones C, D y E de Bagle, según el sistema de
monitorización 24hx7d del laboratorio de Hispasec:

Bagle.C

[Norton] 18.02.2004 18:59:44 :: W32.Beagle.A@mm
[TrendMicro] 28.02.2004 01:44:56 :: WORM_BAGLE.C
[Sophos] 28.02.2004 02:06:10 :: W32/Bagle-C
[NOD32] 28.02.2004 02:11:30 :: Win32/Bagle.C
[Kaspersky] 28.02.2004 02:44:57 :: I-Worm.Bagle.c
[McAfee] 28.02.2004 03:01:18 :: W32/Bagle.c!zip
[Panda] 28.02.2004 03:28:52 :: W32/Bagle.C.worm
[InoculateIT] 28.02.2004 07:53:53 :: Win32/Bagle.C.Worm


Bagle.D

[Norton] 18.02.2004 18:59:44 :: W32.Beagle.A@mm
[McAfee] 28.02.2004 03:01:18 :: W32/Bagle.c!zip
[Panda] 28.02.2004 13:52:10 :: W32/Bagle.D.worm
[Kaspersky] 28.02.2004 15:36:42 :: I-Worm.Bagle.d
[NOD32] 28.02.2004 18:35:31 :: Win32/Bagle.D
[TrendMicro] 28.02.2004 20:44:23 :: WORM_BAGLE.D
[Sophos] 28.02.2004 23:52:22 :: W32/Bagle-D
[InoculateIT] 29.02.2004 06:04:49 :: Win32/Bagle.D.ZIP.Worm


Bagle.E

[Panda] 28.02.2004 17:12:09 :: W32/Bagle.E.worm
[Kaspersky] 28.02.2004 17:33:11 :: I-Worm.Bagle.e
[NOD32] 28.02.2004 19:32:49 :: Win32/Bagle.E
[TrendMicro] 28.02.2004 20:44:23 :: WORM_BAGLE.E
[Sophos] 28.02.2004 23:52:22 :: W32/Bagle-E
[Norton] 29.02.2004 03:11:01 :: W32.Beagle.E@mm
[InoculateIT] 29.02.2004 06:04:49 :: Win32/Bagle.E.ZIP.Worm
[McAfee] 01.03.2004 02:21:31 :: W32/Bagle.e!zip


Como en ocasiones atneriores, en todos los casos los tiempos
mencionados son hora española (GMT+1).

En el caso de Norton destaca por detectar las variantes Bagle.C y
Bagle.D antes de su aparición, desde el 18 de febrero, a través
de la firma que desarrolló para Bagle.A (Beagle.A según su
denominación).

No ocurrió lo mismo con la variante Bagle.E, que fue detectada en
primer lugar por Panda, para la que Norton necesitó suministrar
una nueva firma, y en este caso llegó con cierto retraso frente a
otras casas, sin llegar al extremo de McAfee que registró la mayor
diferencia en la publicación de la firma oficial para Bagle.E

También destaca cierta confusión en los nombres utilizados por las
diferentes casas para Bagle.D, ya que Norton lo reconocía con la
firma del Beagle.A, McAfee como Bagle.C, y Kaspersky, que lo
detectó en un primer momento como Bagle.d, posteriormente cambiaría
a Bagle.C en la actualización del 28/02/2004 a las 17:33:11 y
posteriores.


Bernardo Quintero
bernardo@hispasec.com


Más información:

27/02/2004 - Bagle.C, nueva variante del gusano comienza su propagación
http://www.hispasec.com/unaaldia/1951

19/01/2004 - "Bagle", nuevo gusano de propagación masiva
http://www.hispasec.com/unaaldia/1912

17/02/2004 - "Bagle.b", nuevo gusano de propagación masiva
http://www.hispasec.com/unaaldia/1941

sábado, 28 de febrero de 2004

Cambios en la arquitectura de los PC

En los últimos meses, han aparecido diversos anuncios sobre los cambios
previstos en la arquitectura de los PC para aumentar la protección ante
las incidencias de seguridad.

Hace ya más de veinte años, IBM presentó su primer ordenador PC con un
procesador Intel 8088 a 4,77 MHz. Los ordenadores que hoy podemos
encontrar en cualquier tienda de informática son una evolución de aquél
diseño original, aunque básicamente los fundamentos continúan siendo
los mismos.

En la actualidad existe un consorcio de empresas, la Trusted Computing
Platform Alliance formado por Microsoft, IBM, HP, Intel, AMD y otros.
Su objetivo es cambiar la filosofía básica de los ordenadores PC. Así,
el PC dejaría de ser un equipo de propósito general donde es el usuario
quien decide el software a ejecutar (o dispone como mínimo de la
posibilidad teórica de decidirlo) para convertirse en una caja cerrada
donde sólo puede ejecutarse aquél software que el fabricante ha
autorizado expresamente.

Es decir, a grandes rasgos lo que pretenden estos fabricantes es
convertir un PC en el equivalente a una videoconsola de juegos como las
Playstation, Gameboy, Xbox y similares.

No obstante, en este boletín nos centraremos en dos cambios más
próximos y que seguramente veremos en los próximos meses: la
desaparición del BIOS y la incorporación de medidas de protección en
los procesadores.


Desaparición del BIOS

El BIOS (Basic Input/Output System, sistema básico de entrada/salida)
es el primer software que ejecuta el procesador en el momento de
arrancar (o reiniciar) el ordenador, antes de la carga del sistema
operativo. Su función básica es realizar un chequeo del ordenador y
ofrecer acceso a los periféricos conectados al sistema. El BIOS es uno
de los pocos componentes de la arquitectura de los PC que prácticamente
no ha variado desde el primer PC.

Como sustituto del BIOS, Intel y Microsoft proponen una especificación
denominada EFI (Extensible Firmware Interface). El objetivo es permitir
un arranque más rápido del ordenador. Adicionalmente permite realizar
actividades como la identificación de la presencia de virus
informáticos, especialmente aquellos que se instalan en el sector de
arranque o modifican los archivos de inicialización del sistema
operativo.


Mecanismos de protección en los procesadores

El siguiente cambio anunciado recientemente es la inclusión de
mecanismos en los procesadores para evitar que los desbordamientos de
buffer puedan ser utilizados para la ejecución de código. Básicamente
consiste en que los datos que se encuentran en el buffer son
considerados como de solo lectura y no puede ser ejecutado.

Los dos principales fabricantes de procesadores, Intel y AMD han
anunciado de forma independiente la inclusión de estos mecanismos. No
se trata, por descontado, de ninguna novedad. Ya hace años que los
procesadores SPARC de Sun disponen de mecanismos similares.

Esta protección ya forma parte de los procesadores Athlon 64 de AMD
actualmente disponibles. Por su parte, los futuros procesadores
Prescott de Intel (nombre en clave de la versión mejorada del Pentium 4
con extensiones de 64-bit) incluirán algunas prestaciones similares.

Sin una protección de este tipo, un programa que no realice una
comprobación adecuada de los datos introducidos por el usuario es
susceptible de sufrir un ataque de desbordamiento de buffer. En este
tipo de ataques, se envía una gran cantidad de datos, mayor de lo que
inicialmente está previsto.

Como el área de memoria inicialmente reservada no puede almacenar esta
gran cantidad de datos, éstos sobreescriben otras áreas de memoria. En
determinadas circunstancias, este código puede ser controlado por el
atacante para enviar código ejecutable que podrá ser utilizado de forma
remota.

Es importante indicar, no obstante, que para sacar provecho de esta
capacidad, el sistema operativo ha de incluir código para utilizar
estas nuevas funcionalidades. No es algo que automáticamente pueda ser
utilizado, sino que el sistema operativo que se ejecute debe
activarlas.


Xavier Caballé
xavi@hispasec.com



viernes, 27 de febrero de 2004

Bagle.C, nueva variante del gusano comienza su propagación

A última hora del viernes 27 hemos podido detectar en Hispasec la
propagación por e-mail de la que sería la tercera variante del gusano
Bagle, que nos ha llegado en un correo electrónico como archivo
adjunto .ZIP de unos 16KB. Bagle.C, que ha sido programado para que
cese su propagación después del día 14 de marzo de 2004, abre en los
sistemas infectados una puerta trasera en el puerto TCP 2475 que
podría permitir a un atacante controlar el equipo de forma remota.

Aunque aun es pronto para conocer indicadores de propagación e
infección, algunas casas antivirus ya lo sitúan como alerta de nivel
medio por su potencial y/o basándose en los ratios conseguidos por
sus predecesores. En una próxima entrega podremos ofrecer la tabla
completa de los tiempos de reacción de las diferentes casas antivirus
en proporcionar la actualización para Bagle.C a sus clientes, según
el sistema de monitorización 24hx7d del laboratorio de Hispasec.


Así llega Bagle.C

El e-mail en el que Bagle.C se adjunta nos llega con la dirección
de remite falseada, con el cuerpo del mensaje vacío, sin ningún
texto, y el asunto en inglés puede ser uno de los siguientes:

Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he

El archivo adjunto, donde viaja Bable.C, tiene un nombre variable
formado con caracteres al azar y extensión .ZIP, y su tamaño es de
unos 16KB. En su interior se encuentra un ejecutable .EXE comprimido
con UPX de 15.872 bytes, que si lo visualizamos desde el explorador
de Windows aparecerá con el icono de las hojas de cálculo Excel, en
un intento más de engañar al usuario.


La infección del sistema

Cuando se ejecuta el gusano, en primer lugar abre el bloc de notas de
Windows con una hoja en blanco, si bien de forma oculta al usuario
comienza la infección del sistema, copiando en el directorio de
sistema de Windows (por ejemplo WINNT\SYSTEM) los siguientes archivos:

readme.exe
onde.exe
doc.exe
readme.exeopen

A continuación introduce la siguiente entrada en el registro de
Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "gouday.exe" = %System%\readme.exe

Adicionalmente añade las siguientes entradas, que incluye el puerto
donde abre la puerta trasera y un identificador del sistema infectado:

HKEY_CURRENT_USER\Software\DateTime2 "frun"
HKEY_CURRENT_USER\Software\DateTime2 "uid"
HKEY_CURRENT_USER\Software\DateTime2 "port"


Propagación

Bagle.C incorpora su propio motor SMTP para enviarse a otros sistemas,
y recopila las direcciones de correo electrónico del ordenador
infectado buscando en los archivos con extensión .ADB, .ASP, .CFG,
.DBX, .EML, .HTM, .HTML, .MDX, .MMF, .NCH, .ODS, .PHP, .PL, .SHT,
.TXT, .WAB.

El gusano evita enviarse a las direcciones que contenga algunas de las
siguientes cadenas:

.ch
@avp.
@hotmail.com
@microsoft
@msn.com
local
noreply
postmaster@
root@


Evitando ser detectado

Bagle.C intenta evitar ser detectado, desactivando varios programas
de seguridad, como antivirus, firewalls o sistemas de actualización.
Para ello intenta finalizar los siguientes procesos si se encuentran
en la memoria del sistema infectado:

NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVLTMAIN.EXE
MCUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
AUTODOWN.EXE
ICSUPP95.EXE
LUALL.EXE
OUTPOST.EXE
UPDATE.EXE


Puerta trasera

Bagle.C abre en los sistemas infectados una puerta trasera en el
puerto TCP 2745, que permitiría a un atacante externo subir y
ejecutar programas, de forma que puede controlar el sistema de
forma remota.

Parece ser que el creador del gusano ha intentado utilizar un sistema
de notificación para conocer las direcciones IPs de los sistemas
infectados y así intentar utilizar esta puerta trasera. Se basa en
que el gusano realiza peticiones GET a las siguientes direcciones:

http://permail.uni-muenster.de/scr.php
http://www.songtext.net/de/scr.php
http://www.sportscheck.de/scr.php

Como parámetros pasa el puerto TCP abierto, el número "uid" que
almacena en una de las entradas del registro, y también quedaría
registrado en esos scripts la dirección IP desde la cual se realiza
la petición, datos más que suficientes para que el creador del
gusano intente utilizar la puerta trasera para todo tipo de fines.


Con fecha de caducidad en su rutina de propagación

Bagle.C ha sido programado para que cese su rutina de propagación a
partir del 14 de marzo, si bien la puerta trasera de los sistemas
infectados seguirá abierta mientras que no se elimine el gusano de
los equipos infectados.

Recordemos que su anterior variante, Bagle.B, dejó de propagarse el
25 de febrero, y apenas dos días después ha dado comienzo la
distribución de Bagle.C.


Prevención

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir
los foros de seguridad o listas como "una-al-día", para estar al
tanto de las últimas amenazas que nos pueden afectar.




Bernardo Quintero
bernardo@hispasec.com


Más información:

19/01/2004 - "Bagle", nuevo gusano de propagación masiva
http://www.hispasec.com/unaaldia/1912

17/02/2004 - "Bagle.b", nuevo gusano de propagación masiva
http://www.hispasec.com/unaaldia/1941

Win32.Bagle.C
http://www3.ca.com/virusinfo/virus.aspx?ID=38426

Bagle.C
http://www.f-secure.com/v-descs/bagle_c.shtml

W32/Bagle.c@MM
http://vil.nai.com/vil/content/v_101059.htm

W32/Bagle.C@mm
http://www.norman.com/virus_info/w32_bagle_c_mm.shtml

Bagle.C
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=45186

W32.Beagle.C@mm
http://www.sarc.com/avcenter/venc/data/w32.beagle.c@mm.html

WORM_BAGLE.C
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=57930&VName=WORM_BAGLE.C&VSect=T

jueves, 26 de febrero de 2004

Acceso no autorizado y denegación de servicio en dispositivos ONS de Cisco

Se han descubierto diversas vulnerabilidades en los dispositivos ONS
15327, 15454, 15454 SDH y 15600 de Cisco. Un usuario remoto puede
subir información a la tarjeta controladora o reiniciarla.

Se ha descubierto que un usuario remoto puede conectarse al servicio
TFTP en el puerto 69 de UPD y ejecutar comandos GET y PUT. Se podría
así descargar los archivos de sistema en el TCC activo en los
directorios /flash0 o /flash1. Se podría provocar una denegación de
servicio subiendo archivos de sistema ONS corruptos a la tarjeta
controladora.

Cisco ha asignado a esta vulnerabilidad el identificador CSCec17308
para los dispositivos ONS 15327, ONS 15454 y ONS 15454 SDH mientras
que el identificador es el CSCec19124 para el ONS 15600.

Se ha descubierto también que un usuario remoto puede conectar con el
puerto TCP 1080 y evitar enviar el último ACK de la comunicación para
provocar una denegación de servicio en los dispositivos ONS 15327, ONS
15454 y ONS 15454 SDH, ya que provocará la reinicialización de dichos
dispositivos. En los ONS 15454, ONS 15327, y ONS 15454 SDH, el trafico
caerá temporalmente de los canales de datos síncronos mientras las
tarjetas de control activa y en espera están reiniciandose.

También se ha detectado que un usuario remoto puede conectarse al
puerto telnet y acceder a la cuenta de superusuario que ha sido
bloqueada, desactivada o suspendida con sólo usar la clave previamente
configurada para la cuenta.

La compañía ha informado que los dispositivos ONS series 15800, ONS
series 15500 Extended Service Platform, ONS 15302, ONS 15305, ONS
series 15200 metro DWDM systems, y ONS series 15190 no están afectados
por este problema. También informa que los ONS 15327 funcionando con
el ONS Release 1.x(x) y 3.x(x), y los ONS 15454 con ONS Releases
2.x(x) y 3.x(x) tampoco están afectados.

Los Cisco ONS Release 4.6(0) no se ven afectados por estas
vulnerabilidades, pero el fabricante recomienda actualizar al Release
4.6(1).

Los procedimientos de actualización para los ONS 15327, 15454 y 15600
están disponibles en las siguientes URLs (respectivamente):
http://www.cisco.com/univercd/cc/td/doc/product/ong/15327/327doc41/index.htm
http://www.cisco.com/univercd/cc/td/doc/product/ong/15400/r46docs/index.htm
http://cisco.com/univercd/cc/td/doc/product/ong/15600/index.htm


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Advisory: Cisco ONS 15327, ONS 15454, ONS 15454 SDH, and ONS 15600 Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20040219-ONS.shtml

miércoles, 25 de febrero de 2004

Gusano Netsky.C, más de lo mismo

Algunas casas han alertado sobre este nuevo gusano, e indican que
existen incidencias relevantes en algunos países. Si bien en España,
según indicadores de Hispasec, los casos detectados hasta el momento
han sido mínimos, y queda muy lejos de los ratios que sitúan como
gusano más propagado a la variante Netsky.B, de similares
características.

La reacción de las diferentes casas antivirus en proporcionar la
actualización para Netsky.C a sus clientes, según el sistema de
monitorización 24hx7d del laboratorio de Hispasec, ha sido la
siguiente:

NOD32 25/02/2004 14:53:27 Win32/Netsky.C
Panda 25/02/2004 15:31:33 W32/Netsky.C.worm
Kaspersky 25/02/2004 17:14:57 I-Worm.Moodown.c
Sophos 25/02/2004 18:13:11 W32/Netsky-C
McAfee 25/02/2004 19:16:31 W32/Netsky.c@MM
Norton 25/02/2004 19:28:06 W32.Netsky.C@mm
TrendMicro 25/02/2004 19:30:29 WORM_NETSKY.C
InoculateIT 25/02/2004 20:19:25 Win32/Netsky.C.Worm

En estos momentos se está trabajando en la incorporación de más
motores antivirus al sistema de monitorización, por lo que esperamos
en breve aumentar el número de casas antivirus referenciadas en este
indicador. En todos los casos los tiempos mencionados son hora
española (GMT+1).

Respecto a las características de Netsky.C, como ya avanzamos en
el titular, es muy similar a sus predecesores, Netsky.A y Netsky.B,
este último de gran incidencia.


Diferencias con sus predecesores

Como principales diferencias, destaca que los ejecutables de Netsky.C
se han presentado de varias formas y tamaños al ser comprimidos por
diferentes utilidades, como Petite (25,353 bytes), Aspack
(28,160 bytes) y UPX (24,064 bytes). Esto puede representar ciertos
problemas a los motores que no reconozcan estos formatos de
compresión, haciendo necesario que introduzcan varias firmas para
detectar las diferentes formas en que puede presentarse.

Otra diferencia es que Netsky.C no muestra un mensaje de error cuando
es ejecutado, como si lo hacían Netsky.A y Netsky.B. Además incluye un
payload que se activa el 26 de febrero desde las 6 hasta las 9 de la
mañana, consistente en emitir sonidos de diferentes frecuencias por el
altavoz del ordenador, que vienen a recordar a los sonidos que
simulaban robots o computadores en las antiguas películas de ciencia
ficción.

Algunas casas antivirus han proporcionado un archivo de audio .WAV
para que los usuarios puedan escucharlo y reconocerlo sin riesgos, por
ejemplo:

http://vil.nai.com/images/101048.wav
http://www.pandasoftware.es/img/enc/W32NetskyC.wav


Infección del sistema

Cuando se ejecuta, realiza una copia de si mismo en la carpeta de
Windows como Winlogon.exe, e incluye la siguiente entrada en el
registro de Windows para asegurarse su ejecución en cada inicio de
sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ICQ Net" = "%Windir%\winlogon.exe -stealth"

Además borra diferentes valores en el registro de Windows, con el fin
de desactivar algunos gusanos que pudieran estar presentes en el
sistema, como Mydoom.A, Mydoom.B, Netsky.A, Netsky.b y Mimail.T, o
antivirus como Kaspersky.


Distribución por correo electrónico, unidades de disco, y redes P2P

Al igual que su predecesor Netsky.B, se trata de un gusano que se
distribuye principalmente a través del correo electrónico. También
puede infectar a otros equipos a través de las unidades de red (chequea
desde la C: hasta la Z:) y se copia en las carpetas cuyo nombre
contenga la cadena "Shar", que en muchos casos se corresponderán con
las carpetas compartidas de los clientes P2P (por ejemplo, el popular
KaZaa).

Para copiarse en las carpetas compartidas de los clientes P2P, como
suele ser habitual en este tipo de gusanos, utiliza nombres de
archivos con referencias a contenidos pornográficos, cracks,
aplicaciones pirateadas, archivos de música, documentos, etc.,
que pretenden ser atractivos para que otros usuarios de las redes
P2P lo descarguen y ejecuten, logrando su infección.

Por e-mail se puede presentar de múltiples formas diferentes, lo que
puede dificultar su identificación a simple vista, aunque la extensión
del archivo terminará en .ZIP, .COM, .EXE, .PIF o .SCR.

Para autoenviarse emplea su propio motor SMTP, falsificando el e-mail
del remitente, con direcciones del sistema del usuario que obtiene
rastreando entre archivos de diversas extensiones, como .adb, .asp,
.cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl,
.rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, y .wab.

El asunto del mensaje en el que viaja, el texto del cuerpo, o el
nombre del archivo, son muy variables, en función de unas extensas
listas que el gusano incorpora. Si bien destaca que todos los textos
son en inglés, lo que favorece a los usuarios de otras lenguas, como
el español, que por este motivo pueden ser más recelosos a la hora
de abrir los mensajes en el que viaja Netsky.C y sus otras variantes.


Prevención

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir
los foros de seguridad o listas como "una-al-día", para estar al
tanto de las últimas amenazas que nos pueden afectar.


Bernardo Quintero
bernardo@hispasec.com


Más información:

18/02/2004 - Nuevo gusano Netsky.B
http://www.hispasec.com/unaaldia/1942

Win32.Netsky.C@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=202

Win32.Netsky.C
http://www3.ca.com/virusinfo/virus.aspx?ID=38406

WIN32/NETSKY.C
http://www.enciclopediavirus.com/virus/vervirus.php?id=742&alerta=1

W32/Netsky.c@MM
http://vil.nai.com/vil/content/v_101048.htm

W32/Netsky.C@mm
http://www.norman.com/virus_info/w32_netsky_c_mm.shtml

Netsky.C
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=45084

W32.Netsky.C@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.c@mm.html

W32/Netsky-C
http://www.sophos.com/virusinfo/analyses/w32netskyc.html

W32/Netsky.c@MM
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Netsky.c@MM

W32/Netsky.C. Se propaga por e-mail y redes P2P
http://www.vsantivirus.com/netsky-c.htm

martes, 24 de febrero de 2004

Actualización para el reproductor Windows Media

Microsoft ha publicado una actualización que corrige algunos errores
del comportamiento de las secuencias de comando URL de su conocido
reproductor Windows Media.

Esta actualización viene a corregir unos problemas por los que un
atacante podría agregar una secuencia de comandos en un archivo de
sonido o vídeo con lo que conseguiría forzar a un usuario que intente
ejecutar estos archivos a conectar con una página web determinada.
Según fuentes de Microsoft este comportamiento es una característica
de diseño.

Específicamente, la actualización modifica el Reproductor de Windows
Media para que reconozca tres nuevos valores del Registro que permiten
a un usuario o a un administrador controlar la situaciones en las que
el reproductor ejecutará secuencias de comandos URL que se hallen
incrustados.

Productos afectados:
Microsoft Windows Media Player 9 Series for Windows XP
Microsoft Windows Media Player 9 Series for Windows 2000
Microsoft Windows Media Player 9 Series for Windows Millennium Edition
Microsoft Windows Media Player 9 Series for Windows Server 2003
Microsoft Windows Media Player for Windows XP Home Edition
Microsoft Windows Media Player for Windows XP Professional
Microsoft Windows Media Player 7.1
Microsoft Windows Media Player 6.4


Antonio Román
roman@hispasec.com


Más información:

Critical Update for Windows Media Player (All Versions) for Windows 2000,
Windows XP, and Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=af9cf65e-0c55-452e-a0fa-3aa165e667c1

Actualización del comportamiento de las secuencias de comandos URL del
Reproductor de Windows Media
http://support.microsoft.com/default.aspx?scid=kb;%5bLN%5d;828026

lunes, 23 de febrero de 2004

Escalada de privilegios en función del API de Microsoft Windows XP

Se han detectado diversas vulnerabilidades en una función nativa del API
(Application Program Interface) del núcleo de Windows XP que permitiría
a un usuario con el privilegio SeDebugPrivilege ejecutar código en modo
kernel, además de poder leer y escribir de cualquier dirección de
memoria, incluyendo la ocupada por el kernel.

El privilegio SeDebugPrivilege permite cambiar el flujo de ejecución de
cualquier proceso o matarlo (incluyendo los subsistemas de seguridad o
cualquier servidor RPC).

La función ZwSystemDebugControl(), exportada de ntdll.dll, llama a una
función del sistema llamada NtSystemDebugControl(), que es ejecutada
en modo kernel, y que se creó para ser utilizada por depuradores con
el privilegio SeDebugPrivilege.

La primera vulnerabilidad permite modificar el registro MSR
(Model-Specific Register) IA32_SYSENTER_EIP para apuntar al código
deseado y que posteriormente se ejecute con el control total del
procesador.

La segunda permite modificar una entrada IDT (Interrupt Dispatch Table)
con un puntero hacia el código deseado y ejecutar una instrucción INT n
(interrupción del sistema). Un problema de comprobación de una
estructura implicada en el proceso permite la escritura en memoria
de kernel.

La tercera es similar a la anterior, pero utiliza las sub-funciones
DebugSysReadBusData/DebugSysWriteBusData para modificar el IDT.

La cuarta aprovecha que dado que el programa en modo usuario tiene
acceso directo a hardware, también puede leer y escribir memoria del
kernel con la ayuda de hardware que tenga acceso a la RAM del
procesador. Es un proceso similar al segundo y tercero, pero más
complejo.

A efectos prácticos, un usuario con el privilegio anteriormente nombrado
podría ejecutar código arbitrario como si fuera del kernel, además de
leer y escribir cualquier dirección accesible por el mismo. El programa
podría hacer cualquier cosa que el núcleo pueda realizar, como
reprogramar el hardware del sistema, como la BIOS, o parchear el kernel
en memoria. Hay que tener en cuenta que para explotar este problema se
requiere el privilegio SeDebugPrivilege, normalmente dado sólo a
administradores, por lo que el nivel de riesgo es reducido. La posesión
de este privilegio es suficiente para comprometer el sistema por su
diseño intrínseco.

Como medida sencilla de precaución, se recomienda conceder dicho
privilegio sólo a usuarios de confianza.

Se tiene constancia de la existencia de códigos de prueba de concepto
que aprovechan este problema.


Julio Canto
jcanto@hispasec.com


Más información:

Multiple Windows XP Kernel Vulnerability Allow User Mode Programs To
Gain Kernel Privileges
http://www.securiteam.com/windowsntfocus/5TP0B2KC0K.html

domingo, 22 de febrero de 2004

Nuevo intento de estafa a los usuarios del Banco Popular

Sobre las 18 horas del domingo 22 se ha detectado un nuevo envío
indiscriminado de e-mails simulando ser un mensaje del Banco Popular,
donde se solicita a los clientes dirigirse a una dirección de su sitio
web para mejorar la seguridad de sus cuentas. En esta ocasión destaca
que el falso enlace abre 2 ventanas, la página original del Banco
Popular, mientras que en la segunda, donde se produce el robo de la
cuenta del cliente, se oculta la URL del servidor web utilizado para
este fraude, lo que puede hacer caer en el engaño a algunos usuarios.

Sin duda se trata de otra vuelta de tuerca en las técnicas conocidas
como "phishing", estafas donde se intenta suplantar la identidad de
entidades legítimas para engañar a los usuarios, y que en el caso de
España está afectando en los últimos tiempos, con especial incidencia,
a Banesto y Banco Popular.

El mensaje detectado por Hispasec, y reportado de forma inmediata al
Banco Popular, aparece con el nombre de remite "Validate", y la
dirección de correo validate@bancopopular.es. Con el asunto "Apreciado
Cliente", el mensaje HTML incluye en su inicio el logotipo del Grupo
Banco Popular, Banco de Vasconia, y un largo texto, que aquí
reproducimos en sus primeros párrafos:



Las entidades financieras del mundo entero y sus clientes siempre
sufrían por las tentativas de los criminales de recibir dinero por
dolo. Hay varios modos de efectuar dichas tentativas. (por ejemplo,
falsificación de tarjetas de crédito, uso no autorizado de teléfono
o Internet)

En el marco de nuestro compromiso de prestar óptimos servicios ("Best
Possible") a todos nuestros clientes, le rogamos validar sus cuentas
una vez al mes.


Para validar su cuenta bancaria personal online BANCO POPULAR, siga el
siguiente link: https://www.bancopopular.es

Estas medidas de seguridad son necesarias para proteger la integridad
de su cuenta. Presentamos nuestras excusas por las molestias que
puedan causar dichas medidas. Estamos convencidos de que al fin y al
cabo esta medida suplementaria de seguridad asegurará veinticuatro
horas al día la protección de sus cuentas.

A continuación se dan dos ejemplos de fraudes comunes efectuados por
Internet:

Tentativa de obtener la información de identificación del cliente
mediante el envío de e-mails que parecen ser de entidades financieras
con la petición de comunicar datos personales (por ejemplo, número
y contraseña del cliente) Creación de página web que parece a la de
una entidad financiera, pero que actúa como una página web fantasma
para la recogida de información sobre el cliente y su uso con el fin
de acceder a su cuenta

BANCO POPULAR trata de modo muy serio todos los asuntos de seguridad.
A continuación se dan algunos modos rápidos y fáciles de protección
de sus datos online.

[...]



El enlace, que en formato HTML aparece como https://www.bancopopular.es,
en realidad apunta a la dirección http://210.15.78.10/img/index.php,
que contiene un script con las siguientes instrucciones:

window.open('1,17266,logon,00.php', 'Bancopopular', 'scrollbars=yes,resizable=yes,');
window.location.href = 'http://www.bancopopular.es';

Como vemos en primer lugar abre una nueva ventana desde el mismo
servidor web falso apuntando a la página "1,17266,logon,00.php", que
aparecerá con el título Bancopopular, pero donde no se mostrará
ninguna dirección, por lo que el usuario no podrá apreciar a simple
vista que en realidad se encuentra en la página
http://210.15.78.10/img/1,17266,logon,00.php

De forma casi instantánea el usuario también observará la aparición en
la ventana original la página web del Banco Popular, donde en esta
ocasión si aparece el campo dirección con la URL
http://www.bancopopular.es

En este punto el usuario, una vez ha pinchado con el link que aparece
en el mensaje HTML como https://www.bancopopular.es, se encontrará con
dos ventanas, una que efectivamente es la del Banco Popular y donde
se aprecia la URL correcta, http://www.bancopopular.es, y una segunda
donde no se ve el apartado de dirección, pero que simula a la
perfección ser un formulario del Banco Popular donde se solicita
los datos secretos para poder acceder a sus cuentas (identificación,
contraseña, firma, número de la tarjeta y PIN).

Como en ocasiones anteriores, una vez más, recomendamos a los
usuarios, que como medida de prevención, no accedan a sitios web
sensibles, como por ejemplo la banca electrónica, pinchando en
enlaces. Sobre todo debemos desconfiar si éstos nos llegan a través
de e-mail o se encuentran en páginas de dudosa confianza.

Bernardo Quintero
bernardo@hispasec.com


Más información:

Nuevo intento de estafa sobre los usuarios de la banca electrónica de Banesto
http://www.hispasec.com/unaaldia/1921

Intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1904

sábado, 21 de febrero de 2004

Vulnerabilidad en ZoneAlarm por error en procesamiento de SMTP

Se ha descubierto una vulnerabilidad en determinadas versiones de
ZoneAlarm, ZoneAlarm Pro, ZoneAlarm Plus y el cliente de Zone Labs
Integrity. Dicha vulnerabilidad se debe a la falta de comprobación de
un búfer utilizado en el procesamiento del protocolo SMTP (Simple Mail
Transfer Protocol). Esta falta de comprobación puede aprovecharse para
provocar un desbordamiento de búfer. Para poder explotar esta
vulnerabilidad sin la ayuda del usuario, el sistema debe estar
funcionando como servidor SMTP.

ZoneAlarm es un clásico de los firewall personales para entornos Windows
que principalmente realiza dos funciones: evitar el acceso no autorizado
desde el exterior hacia el ordenador donde está instalado el cortafuegos
e identificar que aplicaciones acceden a recursos externos. La compañía
ZoneLabs no recomienda usar sus productos de seguridad orientada a
cliente en la tarea de proteger servidores.

La explotación con éxito de la vulnerabilidad (descubierta por eEye
Digital Security) puede provocar el cese de procesamiento del tráfico del
firewall, la ejecución de código arbitrario o la escalada de privilegios.

Para poder explotar el problema hace falta que se presente alguna de
estas situaciones:
* Un programa ha de estar escuchando en el puerto 25/TCP del sistema.
Esta condición suele darse solo en máquinas con servidores de este
protocolo, ya que usan ese puerto por defecto.
* Un programa malicioso corriendo en el sistema protegido podría
provocar un desbordamiento de búfer y realizar una escalada de
privilegios si el administrador le ha dado permisos para acceder a la
red. En cualquiera de los casos, el programa que pida acceso a la red
ha de ser aprobado por el usuario en la política de control de
programas.

Zone Labs recomienda a los usuarios afectados que actualicen su software
a la mayor brevedad posible. Las versiones afectadas son la 4.0 o
superior de los productos antes mencionados, ya que las anteriores no
reproducen el problema. Los productos Integrity Server e Integrity
Clientless tampoco se ven afectados por la vulnerabilidad.

- Para ZoneAlarm, ZoneAlarm Plus y ZoneAlarm Pro: se recomienda
actualizar a la versión 4.5.538.001. Para realizar este proceso, siga
los siguientes pasos:
1. Seleccionar Overview -> Preferences
2. En el área de Check for Updates, elegir el tipo de actualización:
a. Automatica: el programa notifica automáticamente cuando hay una
actualización disponible.
b. Manual: usted mismo comprueba la barra de estados para decidir sobre
la actualización. Para provocar una comprobación de forma inmediata,
pulse 'Check for Update'.
- Para Integrity 4.0: se recomienda actualizar el cliente a la versión
4.0.146.046.
- Para Integrity 4.5: se recomienda actualizar el cliente a la versión
4.5.085

Las actualizaciones de Integrity están disponible en el web de Zone Labs
Enterprise Support:
http://www.zonelabs.com/store/application?namespace=zls_enterprise&origin=enterprise_home.jsp&event=link.enterpriseHome&&zl_catalog_view_id=201


Julio Canto
jcanto@hispasec.com


Más información:

Zone Labs SMTP Processing Vulnerability
http://download.zonelabs.com/bin/free/securityAlert/8.html

EEYEB-20040213-2
http://www.eeye.com/html/Research/Upcoming/20040213-2.html

viernes, 20 de febrero de 2004

Nueva vulnerabilidad en los Kernel Linux

Se acaban de publicar las versiones 2.4.25 y 2.6.3 del kernel Linux,
que solucionan un grave problema de seguridad.

Las versiones previas del kernel contienen una vulnerabilidad en la
función "do_mremap" que permite que cualquier usuario local obtenga
privilegios arbitrarios o provoque la caída del sistema.

Todos los administradores de máquinas Linux deberían actualizar a los
kernels 2.4.25 o 2.6.3, especialmente si sus usuarios pueden ser
maliciosos. La versión 2.2.25 también es vulnerable pero, de momento,
no se ha publicado ninguna actualización.

Recordamos nuevamente la conveniencia de descargar las actualizaciones
desde puntos de Internet confiables, para evitar el riesgo de caballos
de Troya o alteraciones maliciosas o defectuosas.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Linux kernel do_mremap VMA limit local privilege escalation
vulnerability
http://www.isec.pl/vulnerabilities/isec-0014-mremap-unmap.txt

Linux Kernel 2.6.3 Has Been Released [updated]
http://slashdot.org/article.pl?sid=04/02/18/0839230

Kernel Linux
http://www.kernel.org/

jueves, 19 de febrero de 2004

Vulnerabilidad en XFree86

Las versiones no actualizadas de XFree86 son susceptibles a un ataque
que permite que cualquier usuario local obtenga privilegios de
administrador.

XFree86 es la implementación X-Window más difundida en entornos
OpenSource para procesadores x86.

Las versiones no actualizadas de XFree86 permiten que un atacante local
obtenga privilegios de administrador o "root" mediante un desbordamiento
de búfer en la gestión del fichero de configuración "font.alias".

La vulnerabilidad afecta a las versiones de XFree86 actuales (4.3.0) y
previas. Los usuarios de versiones vulnerables pueden actualizar su
sistema o recompilar el sistema X-Window con el parche disponible en
ftp://ftp.xfree86.org/pub/XFree86/4.3.0/fixes/fontfile.diff. La mayoría
de las distribuciones Linux también han actualizado sus paquetes ya.


Jesús Cea Avión
jcea@hispasec.com


Más información:

XFree86 Font Information File Buffer Overflow
http://seclists.org/lists/fulldisclosure/2004/Jan/0992.html

Parche XFree86
ftp://ftp.xfree86.org/pub/XFree86/4.3.0/fixes/fontfile.diff

XFree86
http://www.xfree86.org/

miércoles, 18 de febrero de 2004

Nuevo gusano Netsky.B

Por segundo día consecutivo un nuevo gusano de propagación masiva
vuelve a ocupar el protagonismo de nuestra información. Se trata de
la variante B del gusano Netsky, bautizado como Netsky.B que basa su
propagación en el correo electrónico y las redes de intercambio de
archivos y que en estos momentos ya ha infectado a múltiples usuarios.

Este virus se propaga a través del correo electrónico y todas las
unidades disponibles del sistema infectado (desde la C: hasta la Z:),
lo que incluye las unidades de red a las que tenga acceso. Se envía a
si mismo a las direcciones que encuentra en el sistema de la víctima y
se copia con atractivos nombres en las carpetas que contengan las
palabras "share" o "sharing" de cualquiera de las unidades, con objeto
de propiciar su distribución a través de aplicaciones P2P como KaZaA,
eMule o similares.

Netsky.B se puede presentar en múltiples formas diferentes, lo que
puede dificultar su identificación a simple vista. Para autoenviarse
emplea su propio motor SMTP, falsificando el e-mail del remitente (con
direcciones obtenidas del sistema del usuario rastreando entre archivos
de diversas extensiones, como .html, .html, .php, .eml, .msg, txt, .wab
o comprimido en un .zip). De esta forma la dirección no corresponderá
al usuario realmente infectado desde cuyo sistema se está enviando el
gusano.

Como ya dijimos ayer, la regla de oro a seguir es no abrir o ejecutar
archivos potencialmente peligrosos, sobre todo si no hemos demandado su
envío. Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir los
foros de seguridad o listas como "una-al-día", para estar al tanto de
las últimas amenazas que nos pueden afectar.

El asunto del mensaje puede ser uno de los siguientes:
fake
for
hello
hi
immediately
information
it
read
something
stolen
unknown
warning
you

El cuerpo del mensaje es una frase corta en inglés elegida
aleatoriamente entre más de 40 diferentes. De forma similar ocurre con
el nombre del archivo adjunto, cuya extensión puede variar entre .doc,
.htm, .rtf o .text, seguido de .com, .exe, .pif o .scr para lograr su
ejecución.

El gusano se copia a si mismo en la carpeta %WinDir% (Windows) con el
nombre de archivo "services.exe". Y se crea la siguiente clave del
registro para asegurarse su ejecución cada vez que el usuario inicie el
sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "service" = C:\WINNT\services.exe -serv

El virus elimina las siguientes claves del registro provocando entre
otros efectos la desactivación de los gusanos Mydoom.A y Mydoom.B en el
caso de encontrarse en el sistema infectado:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Taskmon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KasperskyAv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run system.


Antonio Ropero
antonior@hispasec.com


Más información:

W32/Netsky.b@MM
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=101034&cid=9647

Netsky.B
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=44815&sind=0

W32.Netsky.B@mm
http://www.sybari.com/alerts/alertdetail.asp?Name=W32.Netsky.B@mm

Win32.Netsky.B
http://www3.ca.com/virusinfo/virus.aspx?ID=38332

W32/Netsky-B
http://www.sophos.com/virusinfo/analyses/w32netskyb.html

I-Worm.Moodown.b
http://www.viruslist.com/eng/alert.html?id=989639

W32/Netsky.B@mm
http://www.norman.com/virus_info/netsky_b_mm.shtml

I-Worm.Moodown.b
http://www.viruslist.com/eng/alert.html?id=989639

W32.Netsky.B@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.b@mm.html

WORM_NETSKY.B
http://es.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_NETSKY.B

martes, 17 de febrero de 2004

"Bagle.b", nuevo gusano de propagación masiva

Llega adjunto en el correo electrónico en un archivo con nombre
aleatorio y extensión .EXE. Algunos textos fijos en el asunto y el
cuerpo del mensaje permiten identificarlo de forma fácil a simple
vista. El gusano incluye una puerta trasera que se abre en los
sistemas infectados en el puerto TCP/8866. El creador del gusano
lo ha programado para que deje ejecutarse después del 25 de
febrero.

El asunto del mensaje donde viaja Bagle.B comienza por "ID", seguido
de unos caracteres aleatorios, y finaliza con "... thanks". El cuerpo
del mensaje comienza por "Yours ID", seguido de una cadena aleatoria,
y finaliza con "Thank". A continuación reproducimos el aspecto de
un mensaje infectado:



De: [dirección de e-mail falseada]
Para: dirección e-mail del destinatario

Asunto: ID mdjpvgkgqik... thanks

Cuerpo:

Yours ID lmxlirpbr
---
Thank

Adjunto: pwxyicp.exe



El ejecutable, comprimido con UPX, tiene un tamaño de unos 11Kbs
(11.264bytes). Si el usuario abre el archivo, el gusano ejecuta la
Grabadora de sonidos de Windows (sndrec32.exe) en un intento de
engañar al usuario, mientras que de forma oculta comienza su rutina
de infección del sistema y propagación.

En primer lugar realiza una copia del ejecutable infectado en el
directorio de sistema de Windows con el nombre de archivo "au.exe",
e introduce la siguiente entrada en el registro de Windows para
asegurarse su ejecución cada vez que el usuario inicie el sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"au.exe" = "%system%\au.exe"

Adicionalmente el gusano crea esta otra entrada en el registro:
HKEY_CURRENT_USER\SOFTWARE\Windows2000

Para propagarse el gusano busca direcciones de correo en el sistema
infectado, recolectando los e-mails que encuentra en los archivos
con extensión .WAB, .TXT, .HTM y .HTML. Utilizando su propio motor
SMTP, se autoenvía a las diferentes direcciones recolectadas, con
la excepción de aquellas cuyo dominio sea @hotmail.com, @msn.com,
@microsoft o @avp. El gusano falsifica el e-mail de remite, de
forma que no corresponderá al usuario realmente infectado desde
cuyo sistema se está enviando el gusano.

De forma periódica intenta conectar con los siguientes sitios
webs, incluyendo en la petición el puerto abierto en el sistema
infectado e ID, en lo que parece ser un sistema de notificación
ideado por el creador del virus para tener controlados los
sistemas infectados:

www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php


Por defecto el gusano abre una puerta trasera en el puerto TCP/8866,
utilizando otro puerto en el caso de que éste no estuviera
disponible. A través de él, un atacante con acceso a dicho puerto,
podría ejecutar comandos, descargar y ejecutar aplicaciones, todo
de forma remota.


Prevención

Como siempre la regla de oro a seguir es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir
los foros de seguridad o listas como "una-al-día", para estar al
tanto de las últimas amenazas que nos pueden afectar.

La reacción de las diferentes soluciones antivirus, en ofrecer la
actualización pertinente a sus usuarios para detectar el nuevo
gusano, ha sido la siguiente:

Sophos 17/02/2004 14:06:46 :: W32/Tanx-A
Panda 17/02/2004 14:23:37 :: W32/Yourid.A.worm
NOD32 17/02/2004 14:54:52 :: Win32/Bagle.B
Kaspersky 17/02/2004 14:55:02 :: I-Worm.Bagle.b
TrendMicro 17/02/2004 17:33:58 :: WORM_BAGLE.B
McAfee 17/02/2004 17:53:08 :: W32/Bagle.b@MM

Estos datos pertenecen a las soluciones antivirus monitorizadas
24hx7d por el laboratorio de Hispasec. Donde las horas mencionadas
son hora española (GMT+1). Comentarios adicionales:

Panda, que reconoció la muestra infectada a las 14:23:37 como
"W32/Yourid.A.worm", lo detecta como "W32/Bagle.B.worm" a partir de
la actualización registrada a las 17:15:53.

NOD32, que incluyó la firma específica a las 14:54:52 reconociéndolo
como "Win32/Bagle.B", nos informa de que su motor residente, que
incluye la función de heurística avanzada, ya reconocía este
espécimen sin necesidad de la firma.


Bernardo Quintero
bernardo@hispasec.com


Más información:

W32/Bagle.b@mm
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/Bagle.b@mm

Win32.Bagle.B
http://www3.ca.com/virusinfo/virus.aspx?ID=38323

I-Worm.Bagle.b
http://www.viruslist.com/eng/alert.html?id=983343

W32/Bagle.b@MM
http://vil.nai.com/vil/content/v_101030.htm

Win32/Bagle.B
http://www.nod32.com/msgs/bagleb.htm

W32/Bagle.B@mm
http://www.norman.com/virus_info/w32_bagle_b_mm.shtml

Bagle.B
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=44777

W32.Alua@mm
http://www.sarc.com/avcenter/venc/data/w32.alua@mm.html

WORM_BAGLE.B
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_BAGLE.B

lunes, 16 de febrero de 2004

Denegación de servicio en Dream FTP Server 1.02

Dream FTP Server se ve afectado por un problema de seguridad por el
que un atacante remoto podría causar una denegación de servicio.

Dream FTP Server, es un servidor FTP de fácil uso y configuración que
corre sobre los sistemas operativos de Microsoft.

Si un atacante conecta con el servidor ftp y al identificarse con el
nombre de usuario envía una cadena especial de caracteres de la forma
"%n%n%n", podría conseguir la caída del servicio e incluso lograr la
ejecución de código en el sistema atacado.

En estos momentos no hay ningún parche que corrija esta vulnerabilidad.


Antonio Román
roman@hispasec.com


Más información:

DreamFTP Server 1.02 Format String
http://www.security-protocols.com/modules.php?name=News&file=article&sid=1722

Dream FTP Server Format String Flaw Lets Remote Users Crash the FTP Service
http://www.securitytracker.com/alerts/2004/Feb/1008976.html

BolinTech
http://www.bolintech.com/

domingo, 15 de febrero de 2004

¿Cuánto se tarda en resolver una vulnerabilidad?

En el momento en que se anunció la disponibilidad del parche para la
vulnerabilidad en la biblioteca ASN.1 de Windows, los descubridores del
problema mostraron públicamente su queja por el prolongado periodo de
tiempo que transcurrió entre el descubrimiento y la disponibilidad del
parche, especialmente teniendo en cuenta la criticidad del problema.

Cuando se publicó el reciente parche MS04-007, eEye (la empresa que
había descubierto el problema) publicó un boletín con la descripción
técnica el problema, como suele hacer.

Pero en esta ocasión, el boletín era ligeramente diferente. Para
ilustrar el prolongado lapso de tiempo que transcurrió entre el
descubrimiento y notificación del problema (finales de julio de 2003)
y la disponibilidad del parche (febrero de 2004), eEye añadió un
preámbulo al boletín con el texto de una canción.

Por si no fuera poco, eEye explicaba: "Nos hubiera gustado escribir un
poema del tipo 'Una noche antes de Navidad', pero el fabricante ha
dejado pasar algunas fechas, por lo que debemos de acudir a MC(SE)
Hammer". A continuación, publicaban la letra de la canción "U Can't
Trust This" ("No puedes confiar en esto"). Esta canción, por
descontado, incluye un buen número de referencias a los diversos
problemas de seguridad que ha sufrido recientemente Windows.

En varias ocasiones, desde Hispasec, hemos comentado el método
tradicional (y no escrito) utilizado por la comunidad especializada
en seguridad informática en lo referente al descubrimiento de
vulnerabilidades. Así, tradicionalmente, se suele poner en preaviso
a la empresa afectada, facilitando toda la información técnica y
todos los detalles conocidos en primer lugar a la empresa y, en la
medida que sea posible, colaborar en la resolución del problema.

Por su parte, el descubridor de la vulnerabilidad asume el compromiso
moral de no desvelar la existencia de la misma hasta que el fabricante
no distribuya públicamente la actualización necesaria para eliminar el
problema.

¿Es normal tardar más de 28 semanas en publicar un parche para una
vulnerabilidad tan importante como esta?

Se puede aducir, por parte del fabricante, que el desarrollo de una
actualización no es una tarea trivial, ya que se hace necesario
investigar y verificar que las modificaciones efectuadas no afectan
negativamente al funcionamiento normal y esperado del producto.
Igualmente, deben utilizarse unos mecanismos muy precisos para
garantizar que las modificaciones efectuadas pasan a formar parte
del repositorio oficial del producto (evitando, de esta forma, los
problemas de regresiones).

Pero incluso asumiendo estos condicionantes que acabamos de citar, un
periodo de 28 semanas (200 días) es muy difícil de justificar. Durante
todo este tiempo Microsoft ha conocido la existencia de una importante
vulnerabilidad de seguridad, que afectaba a un gran número de sus
productos (incluyendo sus buques insignias) y que podía ser utilizada
por atacantes remotos para ejecutar código de forma impune e
incontrolable.


Otras vulnerabilidades

eEye parece que se ha cansado de esperar indefinidamente la respuesta
de Microsoft a los problemas que van descubriendo. Así, acaba de
publicar una página de "próximos avisos", indicando la fecha de la
notificación y el número de días que han transcurrido sin que Microsoft
aporte una solución.

En esa relación de vulnerabilidades existentes y no solucionadas, por
lo que cualquier intruso que conozca su existencia puede sacar provecho
de las mismas, eEye avisa de la existencia de cinco vulnerabilidades
críticas (aquellas que permiten la ejecución de código por un atacante
remoto) que afectan potencialmente a varios centenares millones de
usuarios. También se citan tres vulnerabilidades de severidad media y
una vulnerabilidad de severidad baja.

Todas estas vulnerabilidades han sido convenientemente notificadas a
Microsoft y el lapso de tiempo que ha transcurrido es, en el momento de
redactar este boletín, entre 0 y 98 días. Sin llegar, de momento, al
extremo recientemente vivido con la vulnerabilidad en la biblioteca
ASN.1, a mi entender 98 días ya es un periodo de tiempo demasiado
prolongado para una vulnerabilidad crítica.


Xavier Caballé
xavi@hispasec.com



sábado, 14 de febrero de 2004

Actualización para Microsoft Windows Small Business Server 2003

Microsoft ha publicado un parche de actualización para su sistema
Windows Small Business Server 2003 que corrige un problema con el
correo electrónico.

Windows Small Business Server 2003, es un sistema dirigido cien por
cien a las pequeñas empresas que entre algunas de sus características
cuenta con e-mail, conectividad segura a Internet, Intranet en el
negocio, soporte para dispositivos móviles y capacidades de back-up
y recuperación de datos.

Se ha detectado que las descargas de correo pueden fallar cuando se
usa el conector de POP3 para dicho sistema operativo. Este problema
hace que el proceso IMBDOWNL.EXE se cuelgue y consuma un 25, 50
o incluso el 100% de CPU, lo que puede llevar a una denegación de
servicio.

Cuando se presenta este problema se muestra un mensaje de alerta con
identificador 1067 en el log del servidor POP3.

La dirección para la descarga del parche de actualización que corrige
este problema es:
http://download.microsoft.com/download/1/9/8/19864dbf-741d-48ad-93cb-737ba7302068/SBS2003-KB833992-X86-ENU.EXE


Antonio Román
roman@hispasec.com


Más información:

POP3 Connector Fails to Download Mail with Windows Small Business Server
2003
http://www.microsoft.com/downloads/details.aspx?FamilyID=206e4e32-1e37-4836-b4f7-8d6a543a7c7f&DisplayLang=en

viernes, 13 de febrero de 2004

Filtraciones del código fuente de Windows NT y 2000

Microsoft reconoce en una escueta nota de prensa estar investigando
la publicación en Internet de porciones incompletas del código fuente
de Windows NT y Windows 2000. En lo que a seguridad se refiere, la
filtración de su código fuente podría facilitar la detección y
explotación de nuevas vulnerabilidades en Windows.

Lo que empezó como un rumor en algunos foros de Internet parece que
se confirma con el paso de las horas, si bien aun no se ha hecho
público ningún análisis riguroso que demuestre que realmente se
trata de porciones del código fuente de Windows, a que módulos
corresponderían, y las implicaciones en materia de seguridad que
esta filtración podría ocasionar. Sin embargo, el hecho de que
Microsoft trate el asunto de forma oficial, con declaraciones de
portavoces y publicación de nota de prensa en su web, apuntan a la
veracidad del incidente.

Los únicos detalles que se conocen por el momento es la circulación
por varias redes P2P de un archivo comprimido de 203.84 Megabytes,
"windows_2000_source_code.zip", conteniendo 660MB de código fuente,
y que está difundiéndose a gran velocidad. También hemos constatado
que el contenido de este archivo ya circula por otras redes y en
diferentes formatos.

Aun es pronto para hacer valoraciones sobre las implicaciones reales
que este incidente podría tener. A la falta de un análisis minucioso
del código que circula, lo que podría llevar bastante tiempo, todo
lo que se maneja son vagas hipótesis.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Statement from Microsoft Regarding Illegal Posting of Windows Source Code
http://www.microsoft.com/presspass/press/2004/Feb04/02-12windowssource.asp

Microsoft probes Windows code leak
http://news.com.com/2100-7349_3-5158496.html?part=rss&tag=feed&subj=news

Windows 2000 and Windows NT Source Code Leaked to the Web?
http://www.winnetmag.com/Article/ArticleID/41767/41767.html

jueves, 12 de febrero de 2004

Nokia admite fallos de seguridad en teléfonos móviles con Bluetooth

Nokia ha admitido que varios de sus modelos de teléfonos móviles son
vulnerables a ataques de "bluesnarfing", método por el cual alguien puede
introducirse en nuestro móvil y copiar, ver o incluso modificar ciertas
partes como la guía telefónica o el calendario, todo ello se realiza desde
un dispositivo cercano sin alertar en ningún momento al propietario.

Bluetooth es un sistema de comunicaciones inalámbricas de corto alcance, su
uso en todo tipo de dispositivos móviles empieza a ser generalizado (lo
podemos encontrar integrado en cualquier teléfono móvil de gama media).

El uso convencional de esta tecnología es principalmente el intercambio de
datos entre dispositivos cercanos (10 metros) evitándonos el uso de cables.
Su adopción nos está trayendo consigo un nuevo vocabulario de palabras muy
sonoras tales como "bluesnarfing" (anteriormente mencionada) o "bluejacking",
que consiste en el envío de mensajes anónimos a dispositivos cercanos
(entiéndase como una nueva forma de bombardearnos con mensajes indeseados).

La confirmación de los problemas de seguridad por parte de Nokia llega tras
hacerse público que el bluesnarfing afectaba gravemente a varios de sus
modelos (Nokia 6310, 6310i, 8910 y 8910i) así como en menor medida a otros
modelos de Sony Ericsson y Ericsson.

Uno de los problemas se centra en la posibilidad de que alguien de nuestro
entorno cercano pueda acceder a la información contenida en nuestro
dispositivo a pesar de que esté configurado en modo "invisible", para ello
existen ya varias herramientas en la red que permiten encontrar los
dispositivos mediante el uso de fuerza bruta.

El problema más grave que afecta al Nokia 7650 y al 6310i (este último sin
confirmar por la compañía) y permitiría en envío de SMS y la navegación web
de terceros terminales a través de los modelos afectados.

Por último el modelo Nokia 6310i permite un ataque de denegación de servicio
mediante el envío de un mensaje bluetooth especialmente construido, lo que
provocará el reinicio del terminal.

Nokia ha negado que vaya a arreglar estos problemas y aconseja a los usuarios
de sus teléfonos la activación del modo "invisible" cuando se encuentren en
lugares públicos.

Desde Hispasec como siempre aconsejamos que los servicios se utilicen
únicamente cuando son realmente necesarios. Esto es, en este caso, activar
únicamente Bluetooth cuando se va a realizar un intercambio de datos.


Francisco Javier Santos
fsantos@hispasec.com


Más información:

Serious flaws in bluetooth security lead to disclosure of personal data
http://www.bluestumbler.org/

Bluetooth phones at risk from 'snarfing'
http://news.zdnet.co.uk/communications/wireless/0,39020348,39145881,00.htm

Nokia admits multiple Bluetooth security holes
http://news.zdnet.co.uk/0,39020330,39145886,00.htm

miércoles, 11 de febrero de 2004

Vulnerabilidad en ASN.1 de Windows permite la ejecución de código

Dentro del conjunto de parches de Microsoft de febrero, y del que
Hispasec ya realizó un adelanto en el una-al-día de ayer, se ha
anunciado la existencia de una grave vulnerabilidad de seguridad en
la librería Microsoft ASN.1 que puede permitir la ejecución de código
en los sistemas afectados. La vulnerabilidad, provocada por un búfer
sin comprobar en dicha librería, puede permitir la realización de
ataques de desbordamiento de búfer.

Abstract Syntax Notation 1 (ASN.1) es un estándar de datos empleado
en múltiples aplicaciones y dispositivos para la normalización y
entendimiento de datos entre diversas plataformas.

Un atacante que logre explotar exitosamente este desbordamiento de
búfer podrá lograr la ejecución de código con privilegios del sistema
en los sistemas afectados. El atacante podrá entonces realizar
cualquier acción en el sistema, instalar programas, visualizar,
modificar o eliminar datos, o crear nuevas cuentas de usuario con
plenos privilegios.

Este problema afecta a los sistemas Windows 2000, Windows Server 2003,
Windows XP y Windows NT 4.0. Pero la publicación de estos parches,
también ha estado rodeada de ciertos comentarios dentro del mundo de
la seguridad. Este fallo que ha sido declarado por algunos como
posiblemente el mayor fallo de Windows encontrado.

El problema es de gran gravedad al permitir la entrada de virus,
ataques, etc. por un agujero en un componente común de los sistemas
operativos, de igual forma que el problema de seguridad empleado por
el gusano Blaster el pasado año.

eEYe, firma que reportó los problemas a Microsoft, confirma que los
problemas se anunciaron a la empresa de Redmon hace 200 días. Unos
seis meses ha tardado Microsoft en publicar las actualizaciones
necesarias para evitar un problema de gran gravedad.

Según Microsoft este tiempo tan elevado se debe a que las respuestas
de seguridad requieren un delicado equilibrio entre velocidad y
calidad. Esta investigación ha requerido la evaluación de múltiples
aspectos y casos de esta funcionalidad para la creación de un parche
de gran calidad.

Sin duda, Microsoft ha contado con el apoyo de la compañía que
descubrió el problema que no notificó en ningún momento un problema
de tal gravedad. Pero si la vulnerabilidad hubiera salido a la luz,
Microsoft se hubiera sentido mucho más presionada para la publicación
de la actualización. Aunque para muchos, siempre quedará la duda de si
problemas de este tipo son explotados de forma anónima por usuarios o
agencias que no divulgan sus descubrimientos.

Actualizaciones publicadas:

Microsoft Windows NT Workstation 4.0 Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=92400199-B3D5-4826-98D4-F134849F5249&displaylang=en
Microsoft Windows NT Server 4.0 Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=E8315430-90CD-4B20-8F54-58527932B588&displaylang=en
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
http://www.microsoft.com/downloads/details.aspx?FamilyId=D83B39D3-FF13-4D0B-B406-A225AED0D659&displaylang=en
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service
Pack 3, Microsoft 2000 Windows Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=191853C4-A4D2-4797-A8C6-A2E663A53698&displaylang=en
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=0CC30297-D4AE-48E9-ACD0-1343D89CCBBA&displaylang=en
Microsoft Windows XP 64-Bit Edition, Microsoft Windows XP 64-Bit
Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=383C397F-9318-4AD5-9C2C-0577118A1E68&displaylang=en
Microsoft Windows XP 64-Bit Edition Versión 2003, Microsoft Windows XP
64-Bit Edition Versión 2003 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=FA280168-66E1-4B5F-958F-E178C3F61F7C&displaylang=en
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=3D7FFFF9-A497-42FF-90E7-283732B2E117&displaylang=en
Microsoft Windows Server 2003 64-Bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=FA280168-66E1-4B5F-958F-E178C3F61F7C&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

MS04-007 - ASN.1 Vulnerability Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/ms04-007.asp

Microsoft ASN.1 Library Length Overflow Heap Corruption
http://www.eeye.com/html/Research/Advisories/AD20040210.html

Advisory: Microsoft Windows ASN.1 Library Bit String
http://www.eeye.com/html/Research/Advisories/AD20040210-2.html

Microsoft ASN flaw may be biggest flaw ever found
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci949830,00.html

martes, 10 de febrero de 2004

Microsoft publica el conjunto de parches de febrero

Fiel a su nueva política de publicación de parches, y tras haber
publicado la esperada actualización de Internet Explorer la pasada
semana, Microsoft ha publicado hoy, segundo martes de febrero el
conjunto de parches desarrollados desde su última actualización en
enero. En esta ocasión los productos para los que se publican nuevas
actualizaciones son sistemas Windows (Windows 2000, NT, XP y 2003) y
Virtual PC for Mac.

Microsoft ha liberado tres nuevos parches para corregir fallos de
seguridad en su software. El primero de los problemas hace relación a
una vulnerabilidad en el soporte que los servidores hacen del servicio
WINS (Windows Internet Naming Service) catalogado con una importancia
desde baja a importante en función de la plataforma afectada.

De importancia crítica se considera la vulnerabilidad en el soporte
del tipo de datos ASN.1 realizado por Windows NT, 2000, XP y Windows
Server 2003 y que puede dar lugar a la ejecución de código remota en
los sistemas afectados. Dentro del conjunto de actualizaciones de
Windows y dado que se ha publicado en el último mes, también incluye
el parche ya publicado para Internet Explorer.

Por último, se informa de una vulnerabilidad en Virtual PC for Mac,
catalogada como importante. Esta aplicación de Microsoft permite a los
usuarios de la plataforma Macintosh hacer uso de programas Windows.

Volviendo a los parches de este mes, desde Hispasec, en nuestra línea,
dedicaremos diversos boletines a la descripción detallada de los
mismos, así como cualquier otro incidente destacable que pueda
derivarse por problemas o incompatibilidades con los mismos.

A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y la
descarga de los parches.

* Actualización acumulativa de seguridad para Internet Explorer
(MS04-004)
Afecta a Windows NT Workstation 4.0, Windows NT Server 4.0 Service
Pack 6a, Windows NT Server 4.0 Terminal Server, Windows 2000, Windows
XP y Windows Server 2003.

* Vulnerabilidad en ASN .1 puede permitir la ejecución de código
(MS04-007)
Afecta a Windows NT Workstation 4.0, Windows NT Server 4.0, Windows
NT Server 4.0 Terminal Server, Windows 2000, Windows XP y Windows
Server 2003.

* Vulnerabilidad en Windows Internet Naming Service (WINS) puede
permitir la ejecución de código (MS04-006)
Afecta a Microsoft Windows NT Server 4.0, Windows NT Server 4.0
Terminal Server, Windows 2000 Server, y Windows Server 2003.

* Vulnerabilidad en Virtual PC for Mac puede provocar elevación de
privilegios (MS04-005)
Afecta a Microsoft Virtual PC for Mac versiones 6.0, 6.01, 6.02 y
6.1.


Antonio Ropero
antonior@hispasec.com


Más información:

MS04-004 - Cumulative Security Update for Internet Explorer (832894)
http://www.microsoft.com/technet/security/bulletin/ms04-004.asp

MS04-007 - ASN .1 Vulnerability Could Allow Code Execution (828028)
http://www.microsoft.com/technet/security/bulletin/ms04-007.asp

MS04-006 - Vulnerability in the Windows Internet Naming Service (WINS)
http://www.microsoft.com/technet/security/bulletin/ms04-006.asp

MS04-005 - Vulnerability in Virtual PC for Mac could lead to privilege
elevation (835150)
http://www.microsoft.com/technet/security/bulletin/ms04-005.asp

una-al-dia (03/02/2004) Microsoft corrige la vulnerabilidad de
falsificación de URLs en Internet Explorer
http://www.hispasec.com/unaaldia/1927

lunes, 9 de febrero de 2004

Gusano Doomjuice aprovecha la puerta trasera de Mydoom

El nuevo gusano Doomjuice no se propaga a través del correo
electrónico, en su lugar aprovecha la puerta trasera abierta en los
sistemas infectados por Mydoom para instalarse. Sus principales
objetivos son atacar la web de Microsoft y distribuir el código
fuente del gusano Mydoom.A, en lo que parece una estrategia para
dificultar la localización del autor original o facilitar la
aparición de nuevas variantes.

Como describimos en su día, Mydoom (versiones A y B) incorporaba
un componente que hacía funciones de backdoor o puerta trasera,
abriendo el puerto TCP 3127. Doomjuice basa su sistema de
propagación e infección en esta puerta trasera, ya que realiza
barridos de direcciones IPs buscando este puerto abierto. Cuando
localiza uno, establece una conexión y envía una copia del
ejecutable de Doomjuice, que el backdoor de Mydoom se encarga de
recibir y ejecutar en el sistema.

De entrada, al propagarse exclusivamente mediante este puerto,
Doomjuice sólo puede infectar de forma directa y automática a
los sistemas que se encuentren afectados por Mydoom, lo que limita
mucho su capacidad de propagación. Además, Doomjuice se puede
encontrar con problemas adicionales, ya que muchos de los equipos
infectados con Mydoom, y potencialmente víctimas de su ataque,
no podrán ser accesibles ya que se encontrarán protegidos con
barreras perimetrales. Por ejemplo, un usuario de ADSL puede estar
infectado por Mydoom pero su router impediría que Doomjuice pueda
acceder desde Internet al puerto abierto en su PC. Por todo lo
anterior, no se prevé una propagación explosiva de este gusano,
como ocurrió en el caso de Mydoom.

Como curiosidad, y ahondando en una de las soluciones que
propusimos en una entrega anterior, Doomjuice es una prueba más
de como sería posible desinfectar de forma automática los equipos
de forma remota aprovechando la puerta trasera. Si en vez de
descargar e instalar un nuevo gusano, en su lugar, instalara una
vacuna que desinfectara Mydoom. En realidad no se trata de un
concepto nuevo, en la "prehistoria" de los virus informáticos
se pueden encontrar casos similares, si bien como comentamos este
tipo de soluciones de desinfección global e indiscriminada chocan
con cuestiones éticas y legales.


Breve descripción

Doomjuice se instala como intrenat.exe en el directorio de sistema
de Windows, e incluye las siguientes entradas en el registro para
asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Gremlin" = "%system%\intrenat.exe"

HKKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Gremlin" = "%system%\intrenat.exe"

Como curiosidad copia en varias carpetas del sistema infectado (en
el raíz, Windows, System, temporal, etc.) el archivo comprimido
sync-src-1.00.tbz, que contiene el código fuente del Mydoom
original. Algunos interpretan esta acción como parte de una
estrategia para dificultar la localización del autor original,
que en principio era el único poseedor del código fuente del
gusano como creador del mismo. Por otro lado, esta difusión del
código fuente también abre la puerta a que otros programadores
realicen modificaciones del mismo y aparezcan nuevas variantes.

Por último, como en el caso de Mydoom, el gusano Doomjuice también
incorpora una rutina de ataque DoS, en este caso exclusivamente
contra el dominio www.microsoft.com. La diferencia es que en el
caso de Doomjuice no hay fecha de caducidad, y las peticiones a
la web de Microsoft serán perennes mientras que existan equipos
infectados. Si bien, hasta el momento, y también a diferencia de
www.sco.com,la web de Microsoft no se ha visto afectada.


Reacción de las soluciones antivirus

La reacción de las diferentes soluciones antivirus en proporcionar
la actualización a sus clientes fue la siguiente:

[Kaspersky] 09.02.2004 18:58:11 :: Worm.Win32.Doomjuice
[Panda] 09.02.2004 19:33:49 :: W32/Doomjuice.A.wor
[Sophos] 09.02.2004 20:53:38 :: W32/Doomjuice-A
[NOD32] 09.02.2004 21:26:22 :: Win32/Doomjuice.A
[TrendMicro] 09.02.2004 22:47:11 :: WORM_DOOMJUICE.A
[McAfee] no
[Norton] no
[InoculateIT] no

Estos resultados son extraídos del sistema de monitorización 24hx7d
de Hispasec. Los antivirus interesados en integrarse en este sistema
y aparecer en el listado deben ponerse en contacto con el
laboratorio de Hispasec.

Como datos significativos llama la atención la no detección de
McAfee, Norton e InoculateIT, si bien estas casas antivirus han
proporcionado descripciones y facilitan archivos de firmas
específicos para detectar a Doomjuice.

La razón de que no aparezcan se debe a que estas soluciones no han
proporcionado aun la actualización oficial que sus productos
descargan de forma automática. Por ejemplo, en el caso de McAfee
será el DAT 4323, que anuncia publicará el 11/02/2004. A efectos
prácticos significa que los usuarios de estos productos aun no
se encuentran protegidos, ya que la inmensa mayoría utiliza la
función de actualización automática o a demanda que incorpora el
producto.

Hispasec considera que, aunque es posible la descarga manual del
archivo de firmas específico (que también tendría que ser instalado
manualmente en la mayoría de los casos), es más real indicar en los
resultados la fecha y hora en que las soluciones son capaces de
actualizarse de forma automática, puesto que en la mayoría de los
casos los usuarios no están atentos a descargar e instalar archivos
de forma manual (ni consideramos que sea su función).

En el caso de Symantec/Norton, según publica existe actualización
para Doomjuice desde última hora del día 9, tanto a través del
Intelliger Update como mediante su servicio automático Live Update.
Si bien en nuestro sistema de monitorización ha sido incapaz de
reconocer la muestra del gusano con dichas actualizaciones, y
pruebas realizadas con otras versiones/motores de sus antivirus,
en diferentes sistemas, tampoco han logrado detectarlo. En este
caso parece que existe algún error en la firma incorporada por
Symantec para detectar el virus.


Bernardo Quintero
bernardo@hispasec.com


Más información:

30/01/2004 - Gusano Mydoom, la epidemia continúa
http://www.hispasec.com/unaaldia/1923

27/01/2004 - Reacción de los antivirus y análisis del gusano Mydoom/Novarg
http://www.hispasec.com/unaaldia/1920

26/01/2004 - Alerta: gusano de propagación masiva (Novarg/Mydoom/Mimail.R)
http://www.hispasec.com/unaaldia/1919

Win32.Worm.Doomjuice.A
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=188

Win32.Doomjuice.A
http://www3.ca.com/virusinfo/virus.aspx?ID=38238

WIN32/DOOMJUICE.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=723

Worm.Win32.Doomjuice
http://www.viruslist.com/eng/alert.html?id=930701

W32/Doomjuice.worm.a
http://vil.nai.com/vil/content/v_101002.htm

Doomjuice.A
http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=44510

W32/Doomjuice-A
http://www.sophos.com/virusinfo/analyses/w32doomjuicea.html

W32.HLLW.Doomjuice
http://www.sarc.com/avcenter/venc/data/w32.hllw.doomjuice.html

WORM_DOOMJUICE.A
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_DOOMJUICE.A

W32/Doomjuice.A. Utiliza PCs infectadas por Mydoom
http://www.vsantivirus.com/doomjuice-a.htm

domingo, 8 de febrero de 2004

Un 90% de las aplicaciones web son inseguras

Según un estudio realizado durante los últimos cuatro años por
WebCohort, tan solo un 10 por ciento de las aplicaciones web pueden
considerarse seguras ante cualquier tipo de ataque. En estos datos
se incluyen sitios de comercio electrónico, banca online, B2B, sitios
de administración, etc.

Los estudios realizados han concluido que al menos un 92% de las
aplicaciones web eran vulnerables a algún tipo de ataque. Los
problemas más comunes son las vulnerabilidades de cross-site
scripting (80%), inyección SQL (62%) y falsificación de parámetros
(60%). En las auditorías realizadas por Hispasec Sistemas también
hemos podido comprobar como este tipo de problemas son más habituales
de lo que cabría desear, lo que evidencia que la mayoría de las
empresas no aseguran adecuadamente sus sitios web, aplicaciones y
servidores contra cualquier tipo de intrusión.

La gravedad de estos problemas reside en como los ataques se realizan
contra la propia aplicación web, el uso de las defensas habituales
como firewalls, detectores de intrusos, etc. en la mayoría de los
casos se muestran ineficientes. Los atacantes podrán acceder a datos
de usuarios, de la empresa, detener sitios web, modificar la
información del sitio web, e incluso llegar a ejecutar comandos
en el servidor sin ser detectado en ningún momento.

Ya en el 2001, Gartner Group anunció que el 75% de los ataques
informáticos a través de Internet eran realizados a través de las
aplicaciones web. En la actualidad es fácil comprobar como persiste
el mismo problema.


Antonio Ropero
antonior@hispasec.com


Más información:

Only 10% of Web Applications are Secured Against Common Hacking
Techniques
http://www.webcohort.com/web_application_security/company/news/020204.html

una-al-dia (04/03/2003) Curso Seguridad en aplicaciones .NET
http://www.hispasec.com/unaaldia/1591

una-al-dia (04/12/2002) Guía para el desarrollo de aplicaciones web
seguras
http://www.hispasec.com/unaaldia/1501

sábado, 7 de febrero de 2004

Múltiples vulnerabilidades en RealOne Player y RealPlayer

Recientemente se han dado a conocer una serie de problemas de seguridad en RealOne Player y RealPlayer que podrían permitir a un atacante la ejecución de código en un sistema en el que corran estos populares reproductores.

Para ser víctima de este tipo de ataques bastará con que el usuario visite un sitio web en el que el atacante haya introducido código especialmente creado para explotar estas vulnerabilidades.

Uno de los problemas localizado en los archivos de extensión ".RMP"
puede ser explotado para descargar y ejecutar código arbitrario en el
sistema de un usuario.

Otro de los problemas es un error en la validación de archivos ".SMIL", que permite la ejecución de Javascript de forma remota al visitar una URL. Esta vulnerabilidad también afecta a los archivos ".RP", ".RT" y ".RAM"

El tercer problema permitiría conseguir un desbordamiento de búfer en la máquina de la víctima si llega a ejecutar un archivo multimedia especialmente mal construido.

Los productos afectado por este problema son:

RealPlayer 8
RealPlayer 10 Beta
RealOne Player
RealOne Player v2
RealOne Enterprise Desktop / RealPlayer Enterprise

El vendedor ha puesto a disposición de sus usuarios una nueva versión
que corregiría estos problemas, para ello el usuarios tendría que
realizar los siguientes pasos.

Los clientes de RealOne Player, RealOne Player v2

En el menú Herramientas, seleccione Buscar actualizaciones.
Seleccione la casilla junto al componente "RealPlayer 10" (inglés) o
"RealOne Player" (localizado).
Haga clic en el botón Instalar para descargar e instalar la
actualización.

RealPlayer 8 (versión 6.0.9.584):

Menú Ayuda.
Seleccione "Buscar actualizaciones".
Seleccione la casilla junto al componente "RealPlayer 10" (inglés) o
"RealOne Player" (localizado).
Haga clic en el botón Instalar para descargar e instalar la
actualización.


Antonio Román
roman@hispasec.com


Más información:

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.
http://service.real.com/help/faq/security/040123_player/EN/

RealPlayer & RealOne Player Buffer Overruns
http://www.nextgenss.com/advisories/realone.txt

Multiple File Format Vulnerabilities In REALOne/RealPlayer
http://www.securiteam.com/windowsntfocus/5AP051FC0C.html

viernes, 6 de febrero de 2004

Tres interesantes análisis retrospectivos sobre seguridad en el año 2003

Net Security publica tres interesantes análisis retrospectivos sobre
seguridad en el año 2003: Redes inalámbricas, MS Windows y Linux.

En el artículo sobre MS Windows se detallan los demoledores efectos del
gusano "Slammer", la problemática del despliegue de los parches de
seguridad entre el público, la iniciativa de "informática confiable"
que, de momento, no muestra resultados visibles, el estreno de MS
Windows 2003 y sus problemas de seguridad asociados, y los ataques DDoS
contras servidores web de Microsoft.

En el artículo sobre Linux se describen ciertos problemas con el soporte
de determinadas distribuciones Linux, la obtención de una certificación
de seguridad del gobierno federal norteamericano para el uso de Linux en
sus sistemas, y la intrusión en varios servidores importantes, como
Debian o GNU.

En cuanto al artículo sobre seguridad en redes inalámbricas, tema
candente por su rápido crecimiento, básicamente se confirma una y otra
vez el hecho de que son tremendamente inseguras sin mecanismos
criptográficos adicionales, como pudiera ser IPSec.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Looking Back At Windows Security In 2003
http://slashdot.org/article.pl?sid=03/12/22/2213225

An In-Depth Look Into Windows Security in 2003
http://www.net-security.org/article.php?id=621

Reflecting on Linux Security in 2003
http://slashdot.org/articles/03/12/26/0125257.shtml

Reflecting On Linux Security In 2003
http://www.net-security.org/article.php?id=623

The Year 2003 in Wireless Network Security
http://slashdot.org/article.pl?sid=03/12/27/1628225

Looking Back At Wireless Security In 2003
http://www.net-security.org/article.php?id=624