miércoles, 31 de marzo de 2004

Exploit para múltiples dispositivos de red Cisco

Cisco ha publicado un aviso para alertar acerca de la distribución
de un exploit que saca provecho de diversas vulnerabilidades que
afectan a un gran número de dispositivos de red.

Si bien se trata de vulnerabilidades antiguas, que son conocidas
desde octubre de 2000 a junio de 2002, la novedad radica en la
disponibilidad de un simple exploit escrito en PERL que permite
atacar a los dispositivos vulnerables.

Las vulnerabilidades utilizadas por este exploit permiten
realizar diversos ataques de denegación de servicio contra
diversos dispositivos Cisco y, en un caso concreto, la ejecución
de órdenes en el dispositivo vulnerable por usuarios remotos sin
necesidad de autenticarse.

Concretamente, este exploit se aprovecha de las siguientes
vulnerabilidades:

* Desbordamiento de búfer en el servidor Telnet de CBOS (el
sistema operativo de los routers de la serie 600).

* Denegación de servicio en el servidor HTTP incluido en IOS
versión 11.3 y posteriores.

* Vulnerabilidad en el sistema de autenticación utilizado por
el servidor HTTP del IOS versión 11.3 y posteriores.

* Vulnerabilidad en el servidor SSH incluido en el sistema
operativo de los switches Cisco Catalyst (series 6000, 5000 y
4000).

* Denegación de servicio en la administración web del router
Cisco 675.

* Ejecución de órdenes arbitrarias, sin necesidad de
autenticación, en los swicthes Cisco Catalyst 3500 XL.

* Vulnerabilidades que permiten ataques de denegación de servicio
en el servidor HTTP del IOS, versiones 12.0 a 12.1

* Inundación UDP en el router Cisco 514.

En el caso del router Cisco 675, por el momento no hay ninguna
solución por lo que Cisco recomienda cambiar el puerto asociado
al servidor web de administración.

La recomendación de Cisco es que los administradores de redes
verifiquen que han tomado las medidas que en su día indicó para
cada una de las vulnerabilidades, que pueden encontrarse en los
diversos boletines publicados en su día (y que indicamos en el
apartado de más información).


Xavier Caballé
xavi@hispasec.com



martes, 30 de marzo de 2004

Actualización de seguridad para Samba

Las versiones no actualizadas de Samba contienen un desbordamiento de
búfer que permite que un usuario local obtenga privilegios de
administrador o "root".

Samba es una implementación Unix "Open Source" del protocolo
SMB/NetBIOS, utilizada para la compartición de archivos e impresora en
entornos Windows. Gracias a este programa, se puede lograr que máquinas
Unix y Windows convivan amigablemente en una red local, compartiendo
recursos comunes. Incluso es factible utilizar un servidor Samba para,
por ejemplo, actuar como controlador de un dominio Microsoft Windows.

Las versiones no actualizadas de Samba contienen una vulnerabilidad que
permite que un usuario local obtenga privilegios de administrador o
"root".

La vulnerabilidad consiste en un desbordamiento de búfer en la
aplicación "smbmnt", que permite que cualquier usuario local "monte"
particiones MS Windows externas. Esta aplicación se instala "setuid" por
defecto.

La recomendación de Hispasec es actualizar cuanto antes a la versión
2.2.8a o a la 3.0.2a de Samba.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Debian Security Advisory
DSA-463-1 samba -- privilege escalation
http://www.debian.org/security/2004/dsa-463

SAMBA
http://www.samba.org/

lunes, 29 de marzo de 2004

Actualización de Squid para Red Hat Linux 9

Red Hat ha publicado un paquete de Squid actualizado que corrige una
vulnerabilidad en la decodificación de URLs y ofrece un nuevo tipo ACL
(Acess Control List) para proteger a clientes vulnerables.

Squid es un proxy cache Web clásico, con gran cantidad de
funcionalidades (como soporte para HTTP, FTP, trabajo con SSL,
jerarquías de cache, etc.

Se ha descubierto un error en el tratamiento de caracteres codificados
con % en URLs en versiones 2.5.STABLE4 y anteriores de Squid. Si la
configuración de dicho programa utiliza listas de control de acceso
(ACLs), un atacante remoto puede crear URLs que no serán procesadas
correctamente por Squid, lo que permitiría a los clientes acceder a
páginas que normalmente estarían restringidas.

Además de corregir el problema, se ha añadido un nievo tipo de control
de acceso "urllogin" que puede ser usado para proteger clientes de
Microsoft Internet Explorer del acceso a URLs que contengan información
de acceso, ya que con frecuencia esas URLs son utilizadas por webs
fraudulentas para que los usuarios revelen información sensible.

La configuración por defecto de Squid no usa este nievo tipo de control
de acceso, por lo que si se quiere utilizar hay que especificarlo de
forma explícita según las políticas concretas del sitio en el que se
utilice.

Las URLs para descargar el paquete actualizado que corrige este
problema son las siguientes (según formato):

ftp://updates.redhat.com/9/en/os/SRPMS/squid-2.5.STABLE1-3.9.src.rpm
ftp://updates.redhat.com/9/en/os/i386/squid-2.5.STABLE1-3.9.i386.rpm


Julio Canto
jcanto@hispasec.com


Más información:

Squid-2.5STABLE5 fixes and features for URL encoding tricks
http://www.squid-cache.org/Advisories/SQUID-2004_1.txt

CAN-2004-0189
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0189

domingo, 28 de marzo de 2004

Múltiples vulnerabilidades en HP Web JetAdmin

Se han descubierto vulnerabilidades en HP Web JetAdmin 7.5.2546 que
pueden permitir a usuarios maliciosos comprometer los sistemas
afectados.

HP Web Jetadmin es un programa de administración de periféricos basado
en Web para la instalación, configuración y en general control de una
amplia variedad de dispositivos de red de HP (y otros fabricantes).

La primera de las vulnerabilidades consiste en que se pueden subir
archivos HTS a través de "/plugins/hpjwja/script/devices_update_printer_fw_upload.hts".
Los archivos subidos quedarán almacenados en el directorio
"/plugins/hpjwja/firmware/printer/".

El segundo de los problemas se debe a que la entrada al parámetro
"setinclude" de "/plugins/hpjdwm/script/test/setinfo.hts" no se
verifica de forma correcta. Esta falta de verificación puede utilizarse
para leer archivos arbitrarios mediante una escalada de directorios
clásica a base de secuencias de "../".

También se ha detectado que es posible la inyección de comandos que se
ejecutarán en el servicio cuando se reinicie. Hay publicados ejemplos
en los que, por ejemplo, se podría añadir al sistema un nuevo usuario
con derechos de administrador.

A la espera del parche de actualización que corrija este problema, se
recomienda restringir el acceso para asegurar que sólo usuarios de
confianza se conecten al servicio vulnerable.


Julio Canto
jcanto@hispasec.com


Más información:

HP Web Jetadmin Printer Firmware Update Script Arbitrary File Upload Weakness
http://www.securityfocus.com/bid/9971

HP Web Jetadmin setinfo.hts Script Directory Traversal Vulnerability
http://www.securityfocus.com/bid/9972

HP Web Jetadmin Remote Arbitrary Command Execution Vulnerability
http://www.securityfocus.com/bid/9973

sábado, 27 de marzo de 2004

Análisis de la velocidad de propagación de Witty

CAIDA publica un estudio donde se analiza la velocidad de
propagación del gusano "Witty". Es interesante conocer qué
velocidad ha alcanzado "Witty" ya que es uno de los primeros
gusanos de distribución masiva con una capacidad altamente
destructiva.

"Witty" es un gusano descubierto el 19 de marzo que utiliza una
vulnerabilidad existente en diversos productos de ISS (BlackICE,
RealSecure Network, RealSecure Desktop, RealSecure Guard y
RealSecure Sentry). Concretamente la vulnerabilidad se encuentra
en la función de proceso de las respuestas ICQ de los módulos de
análisis (PAM) de estos productos de ISS.

Una vez infectado un equipo, Witty empieza su distribución
enviando copias de si mismo de forma indiscriminada. La
propagación se realiza mediante paquetes UDP (puerto 400), con
direcciones IP de orígenes falsificados, enviados a direcciones y
puertos aleatorios.

Una característica peculiar de Witty es que actúa de forma
cíclica: primero envía un número predeterminado de paquetes con
copias del gusano. Completado este número, realiza una operación
destructiva en el ordenador infectado: sobrescribe 64 KB del
disco duro, borrando cualquier información que pueda estar
almacenada en su interior. A continuación vuelve a iniciar el
envío de otros 20.000 paquetes y sobrescribe otra área del disco,
repitiendo esta operación mientras sea posible.

Si bien este gusano no ha salido nunca en las estadísticas,
debido al número reducido de objetivos vulnerables, si es de
destacar este componente destructivo. No estamos acostumbrados a
gusanos que actúen de esta forma en los sistemas infectados.

CAIDA, una organización independiente creada por la Universidad
de California en San Diego y patrocinada por diferentes
fabricantes tecnológicos. El estudio recién publicado analiza
cual ha sido la velocidad de propagación de Witty. Una
característica que destacan es que, si bien el número de sistemas
infectados es relativamente bajo, éstos destacan por disponer de
una buena conexión.

Gracias a esta situación particular, muchos sistemas infectados
se convirtieron en auténticos sistemas de propagación, con una
capacidad de envío de paquetes media situada en los 3 Mbps (357
paquetes por segundo), con situaciones extremas de equipos que
enviaban a una velocidad de 80 Mbps de forma continuada durante
más de una hora.

Otra característica a destacar de Witty es que se ha mostrado
especialmente eficiente en infectar equipos situados detrás de
dispositivos que realizaban traducción de direcciones (NAT).

Nos encontramos, tal como advierte el estudio, ante un precedente
grave. Witty muestra que un gusano puede tener efectos
destructivos y una gran capacidad de propagación. Si hubiera
utilizado alguna vulnerabilidad más extendida, los efectos generales
podrían haber sido mucho más graves.


Xavier Caballé
xavi@caballe.com


Más información:

The Spread of the Witty Wom
http://www.caida.org/analysis/security/witty/

Alert - Black Ice Worm
http://isc.sans.org/diary.html?date=2004-03-20

Vulnerability in ICQ Parsing in ISS Products
http://xforce.iss.net/xforce/alerts/id/166

Internet Security Systems PAM ICQ Server Response Processing Vulnerability
http://www.eeye.com/html/Research/Advisories/AD20040318.html

Witty Worm: Important Information for Internet Security Systems Customers
http://www.iss.net/support/wittyworm.php

Anàlisi del cuc "Witty"
http://www.quands.info/2004/03/27.html#a2011

Witty Worm Analysis
http://www.lurhq.com/witty.html

Black Ice Worm Disassembly
http://www.caida.org/analysis/security/witty/BlackIceWorm.html

viernes, 26 de marzo de 2004

Flecos de las soluciones antivirus

En plena oleada de gusanos informáticos son más evidentes los
problemas que originan, como efecto colateral, algunas características
de las soluciones antivirus. Aunque no dejan de ser incidentes que en
teoría no afectan de forma directa a la seguridad del sistema, la
realidad es que pueden desembocar en todo tipo de situaciones.

Uno de los problemas más comunes son los avisos que originan algunas
soluciones antivirus para alertar y avisar a los remitentes de los
mensajes infectados. En un principio podía considerarse una función
útil, pero hace ya tiempo que la mayoría de los gusanos falsean la
dirección de remite cuando se propagan. El resultado es que estas
soluciones antivirus envían un mensaje alertando a una dirección de
correo que en realidad no ha enviado el virus.

Muchos de nosotros habremos recibido algún que otro mensaje
avisándonos de que hemos enviado un virus y estamos infectados,
cuando en realidad lo único que ha sucedido es que el gusano ha
enviado desde otro ordenador infectado, que nada tiene que ver con
nosotros, un mensaje con nuestro e-mail como remite falseado.

A partir de aquí se originan situaciones para todos los gustos.
Desde aquellos usuarios que se creen el aviso y optan por apagar el
sistema y buscar ayuda, hasta aquellos que escriben al destinatario
para recomendarle que cambie de solución antivirus y que deje de
alertar a los usuarios.

Además, por si no fuera poco con el spam y los propios gusanos,
hemos de soportar el tráfico de esta nueva plaga de mensajes no
deseados, que bien podríamos considerar también spam, no en vano
los avisos suelen incluir el nombre del antivirus y un enlace.
Primero te dicen que estás infectado, y luego te envían a la
herramienta que lo detecta y desinfecta, no hay publicidad más
directa.

La solución más simple pasa por que las soluciones antivirus no
contemplen la funcionalidad de aviso a los remitentes de mensajes
infectados. Otra opción, más elegante, y que permite mantener la
utilidad de las notificaciones, es que los antivirus no realicen
el aviso de forma indiscriminada, como hasta ahora, sino que sólo
lo hagan en el caso de virus, troyanos, o gusanos que no realizan
la falsificación del remitente, algo muy fácil para ellos, ya que
les basta con incluir una simple marca en las firmas de detección
para reconocer en que casos no deben avisar.

Otro de los efectos colaterales más comunes se detecta en aquellas
soluciones antivirus de servidor de correo que desinfectan el
archivo adjunto infectado pero que dejan pasar el mensaje del
gusano, a veces con parte de los archivos adjuntos incluido. Son
muchos los usuarios que se alertan al recibir este tipo de mensaje,
ya que creen que se trata de mensajes infectados, y reclaman a los
administradores de sistemas.

Como anécdota, una importante organización ha enviado recientemente
un comunicado a todos sus usuarios avisándoles que los mensajes
en inglés que reciben ya han sido desinfectados, en un intento de
tranquilizarlos y evitar las continuas alarmas. La realidad es que
la solución puede ser peor que el problema, ¿qué ocurrirá cuando
de verdad se les cuele un gusano por el antivirus perimetral? ¿los
usuarios creerán que es inofensivo porque ya ha sido desinfectado?

De nuevo la solución está en manos de las casas antivirus, ya que
es muy fácil mantener una lista o una marca en las firmas de virus
para reconocer los gusanos "puros", especímenes que crean todo
el mensaje y se autoenvían. En estos casos de gusanos "puros" la
solución antivirus debería eliminar por completo, tanto el archivo
adjunto como el mensaje, y que el usuario (destinatario) no reciba
absolutamente nada, evitando cualquier tipo de confusión y un
tráfico totalmente innecesario.


Bernardo Quintero
bernardo@hispasec.com



jueves, 25 de marzo de 2004

Desbordamiento de búfer en versiones no actualizadas de Python

Las versiones de Python 2.2.* no actualizadas contienen un
desbordamiento de búfer que permite que un atacante remoto tire un
servicio o, en el peor de los casos, ejecute código arbitrario en la
máquina del usuario.

Python es un lenguaje de programación sencillo pero extremadamente
potente y versátil, cuya popularidad crece día a día.

Las versiones de python 2.2.* no actualizadas, cuando se compilan sin
soporte de IPv6, contienen una vulnerabilidad en la gestión de nombres
DNS (rutina "getaddrinfo()"). Un atacante malicioso puede devolver una
dirección IPv6 y "tirar" el servicio o provocar la ejecución de código
arbitrario.

Esta vulnerabilidad solo afecta a las versiones 2.2.* de Python, y solo
si se han compilado sin soporte IPv6.

Los usuarios que precisen usar la versión 2.2 de Python deben actualizar
a la versión 2.2.3, publicada en Mayo de 2003. Los usuarios que no
dependan de una versión determinada de Python deberían utilizar la
última versión que, en este momento, es la 2.3.3, publicada en Diciembre
de 2003.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Buffer overflow in the getaddrinfo in Python 2.2 allows remote attackers
to executer arbitrary code via an IPv6 address that is obtained using
DNS.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0150

Debian Security Advisory
DSA-458-1 python2.2 -- buffer overflow
http://www.debian.org/security/2004/dsa-458

MandrakeSoft Security Advisory MDKSA-2004:019 : python
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:019

Python
http://www.python.org/

Python 2.2.3
http://www.python.org/2.2.3/

Python 2.3.3
http://www.python.org/2.3.3/

miércoles, 24 de marzo de 2004

Gusano Netsky.P el más propagado en las últimas 24 horas

Una vez más una nueva variante del gusano Netsky lidera la lista de
los virus más propagados. El correo electrónico sigue siendo su
principal vía de transmisión, si bien también intenta infectar
por otros medios copiándose en las carpetas de archivos compartidos
de los clientes P2P, FTP y descargas HTTP.

La reacción de las casas antivirus en proporcionar la actualización de
la firma específica para que sus clientes pudieran detectar a
Netsky.P, según el sistema de monitorización 24hx7d del laboratorio de
Hispasec, fue la siguiente:

[Panda] 21.03.2004 17:02:41 :: W32/Netsky.P.worm
[Kaspersky] 21.03.2004 20:52:43 :: I-Worm.Netsky.q
[NOD32] 21.03.2004 21:34:42 :: Win32/Netsky.Q
[Sophos] 22.03.2004 03:41:53 :: W32/Netsky-P
[TrendMicro] 22.03.2004 16:42:49 :: WORM_NETSKY.P
[McAfee] 22.03.2004 16:57:36 :: W32/Netsky.p@MM!zip
[Norton] 22.03.2004 20:41:22 :: W32.Netsky.P@mm
[InoculateIT] 23.03.2004 08:57:55 :: Win32/Netsky.P.Worm

Como en ocasiones anteriores, los tiempos mencionados son hora
española (GMT+1).

El mensaje que utiliza el gusano para propagarse por correo
electrónico puede aprovechar una antigua vulnerabilidad que afectaba
a Internet Explorer 5.x, y que fue corregida por Microsoft el 29
de marzo de 2001. Básicamente esta vulnerabilidad permite ejecutar
un archivo adjunto de forma automática con tan sólo visualizar
el mensaje, sin necesidad de que el usuario abra o ejecute el
archivo.

Los usuarios de Internet Explorer 6 y/o que mantengan su sistema
Windows actualizado, no se encuentran afectados por la ejecución
automática del gusano. Si bien, no están libres de la infección si
intentan abrir el archivo adjunto de forma manual.

Si ejecutamos el archivo adjunto infectado, el gusano se copia en
la carpeta de Windows como FVProtect.exe, además de crear los
siguientes archivos en el mismo directorio:

userconfig9x.dll
base64.tmp
zip1.tmp
zip2.tmp
zip3.tmp
zipped.tmp

Como suele ser habitual en estos casos, para asegurar su ejecución
en cada inicio de sistema, incluye la siguiente entrada en el
registro de Windows, simulando ser un componente del antivirus
Norton:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Norton Antivirus AV" = %WinDir%\FVProtect.exe

Utilizando su propio motor SMTP, como en versiones anteriores de
Netsky, se envía a las direcciones que recolecta de diversos
archivos del sistema infectado. La dirección de remite es falseada,
y los textos del asunto los elige de una lista, entre los que
se encuentran:

Re: Administration
Re: Bad Request
Re: Delivery Protection
Re: Delivery Server
Re: Encrypted Mail
Re: Error
Re: Extended Mail
Re: Extended Mail System
Re: Failure
Re: Mail Authentification
Re: Mail Server
Re: Message Error
Re: Notify
Re: Protected Mail Delivery
Re: Protected Mail Request
Re: Protected Mail System
Re: Secure delivery
Re: Secure SMTP Message
Re: SMTP Server
Re: Status
Re: Test
Re: Thank you for delivery
Mail Delivery (failure )


El cuerpo también lo compone con varios textos en inglés escogidos
de dos listas, añadiendo al final un tercer texto para simular que
el mensaje ha sido analizado por algún antivirus y que está libre
de virus:

+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com


+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com


+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com


+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com


+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com


++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com


++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com


++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de


La extensión del archivo adjunto infectado puede ser .exe, .pif, .scr,
y .zip, y el nombre también es bastante variable.

Para infectar a través de las redes P2P, servidores FTP y HTTP, el
gusano intenta copiarse en las carpetas cuyo nombre contenga alguno
de los siguientes textos, que corresponden entre otros a los
directorios de archivos compartidos de varios clientes P2P
(Kazaa, edonkey, emule,...):

bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
my shared folder
shar
shared files
upload

Los nombres de archivo con los que se copia en esas carpetas,
simulando diversas aplicaciones y contenidos, y que deben evitarse
en las descargas P2P, son los siguientes:

Kazaa Lite 4.0 new.exe
Britney Spears Sexy archive.doc.exe
Kazaa new.exe
Britney Spears porn.jpg.exe
Harry Potter all e.book.doc.exe
Britney sex xxx.jpg.exe
Harry Potter 1-6 book.txt.exe
Britney Spears blowjob.jpg.exe
Harry Potter e book.doc.exe
Britney Spears cumshot.jpg.exe
Harry Potter.doc.exe
Britney Spears fuck.jpg.exe
Harry Potter game.exe
Britney Spears.jpg.exe
Harry Potter 5.mpg.exe
Britney Spears and Eminem porn.jpg.exe
Matrix.mpg.exe
Britney Spears Song text archive.doc.exe
Britney Spears full album.mp3.exe
Eminem.mp3.exe
Britney Spears.mp3.exe
Eminem Song text archive.doc.exe
Eminem Sexy archive.doc.exe
Eminem full album.mp3.exe
Eminem Spears porn.jpg.exe
Ringtones.mp3.exe
Eminem sex xxx.jpg.exe
Ringtones.doc.exe
Eminem blowjob.jpg.exe
Altkins Diet.doc.exe
Eminem Poster.jpg.exe
American Idol.doc.exe
Cloning.doc.exe
Saddam Hussein.jpg.exe
Arnold Schwarzenegger.jpg.exe
Windows 2003 crack.exe
Windows XP crack.exe
Adobe Photoshop 10 crack.exe
Microsoft WinXP Crack full.exe
Teen Porn 15.jpg.pif
Adobe Premiere 10.exe
Adobe Photoshop 10 full.exe
Best Matrix Screensaver new.scr
Porno Screensaver britney.scr
Dark Angels new.pif
XXX hardcore pics.jpg.exe
Microsoft Office 2003 Crack best.exe
Serials edition.txt.exe
Screensaver2.scr
Full album all.mp3.pif
Ahead Nero 8.exe
netsky source code.scr
E-Book Archive2.rtf.exe
Doom 3 release 2.exe
How to hack new.doc.exe
Learn Programming 2004.doc.exe
WinXP eBook newest.doc.exe
Win Longhorn re.exe
Dictionary English 2004 - France.doc.exe
RFC compilation.doc.exe
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
Keygen 4 all new.exe
Windows 2000 Sourcecode.doc.exe
Norton Antivirus 2005 beta.exe
Gimp 1.8 Full with Key.exe
Partitionsmagic 10 beta.exe
Star Office 9.exe
Magix Video Deluxe 5 beta.exe
Clone DVD 6.exe
MS Service Pack 6.exe
ACDSee 10.exe
Visual Studio Net Crack all.exe
Cracks & Warez Archiv.exe
WinAmp 13 full.exe
DivX 8.0 final.exe
Opera 11.exe
Internet Explorer 9 setup.exe
Smashing the stack full.rtf.exe
Ulead Keygen 2004.exe
Lightwave 9 Update.exe
The Sims 4 beta.exe

Adicionalmente Netsky.P borra varias entradas del registro de Windows,
siendo capaz de desactivar ciertas variantes del gusano Bagle. En
el código de Netsky.P también se pueden encontrar varios textos
insultando al creador de Bagle.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Win32.Netsky.P@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=220

Win32.Netsky.P
http://www3.ca.com/threatinfo/collateral.aspx?areaid=635&cid=57180

WIN32/NETSKY.Q
http://www.enciclopediavirus.com/virus/vervirus.php?id=785

NetSky.P
http://www.f-secure.com/v-descs/netsky_p.shtml

I-Worm.Netsky.q
http://www.viruslist.com/eng/viruslist.html?id=1209723

W32/Netsky.p@MM
http://vil.nai.com/vil/content/v_101119.htm

Netsky.P
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=45740

W32/Netsky-P
http://www.sophos.com/virusinfo/analyses/w32netskyp.html

W32.Netsky.P@mm
http://www.sarc.com/avcenter/venc/data/w32.netsky.p@mm.html

WORM_NETSKY.P
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_NETSKY.P

W32/Netsky.Q. Puede ejecutarse sin abrir el mensaje
http://www.vsantivirus.com/netsky-q.htm

martes, 23 de marzo de 2004

Aumentan los problemas ocasionados por códigos maliciosos

De acuerdo a la novena encuesta anual de los laboratorios ICSA sobre
la influencia de los virus se agravan los problemas provocados por
los códigos maliciosos.

El estudio desvela que los desastres víricos y los costos de
recuperación se han elevado considerablemente durante el pasado año,
muestra de ello es que un 88 por ciento de los encuestados describieron
el problema como peor que en el 2002.

El sondeo se ha llevado a cabo entre 300 compañías y agencias
gubernamentales de todo el mundo en relación al problema de los códigos
maliciosos en sus redes informáticas incluyendo los ordenadores de
escritorio.

Según refleja la encuesta el 88% de los encuestados consideran que el
problema de los códigos maliciosos (virus, gusanos, troyanos, etc.) es
peor o mucho peor respecto del 2002, mientras que solo un 12% declaran
que la situación es igual o mejor en el 2003.

También se refleja un aumento del número de desastres víricos, 92 de
los 300 encuestados sufrieron una infección grave de este tipo en sus
sistemas en el 2003, un incremento del 15 por ciento respecto del 2002.
Según la ICSA para considerar una infección como desastre vírico, se
deben infectar 25 o más PCs o servidores al mismo tiempo por el mismo
virus, o un incidente vírico que cause un daño significativo o pérdidas
económicas significativas para la organización.

Los efectos del código malicioso en las organizaciones provocaron
graves pérdidas económicas en el 2003, los costos de recuperación de
desastres se vieron incrementados en un 23% hasta aproximadamente
80.500 euros de media por organización en cada incidente.


Antonio Ropero
antonior@hispasec.com


Más información:

Malicious Code Problem Continues to Worsen, According to 9th Annual
ICSA Labs Virus Prevalence Survey
http://www.trusecure.com/company/press/pr_20040322.shtml

Executive summary of the Virus Prevalence Survey
http://www.trusecure.com/cgi-bin/download.cgi?ESCD=W0168&file=wp_VPS2003_ExecSum.pdf

lunes, 22 de marzo de 2004

Denegación de servicio en Apache 2

Se ha detectado una vulnerabilidad en Apache 2 que puede ser explotada
por usuarios maliciosos para provocar una denegación de servicio.

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.

El problema consiste en que cuando se utilizan varios sockets a la
escucha, una conexión de vida corta en un socket utilizado raramente
provoca que un proceso hijo deje bloqueado un mutex que evita que se
sirvan nuevas conexiones hasta que otra conexión utilice dicho socket.

Un mutex es un recurso utilizado para evitar problemas de concurrencia
que pueden presentarse cuando diversos procesos utilizan un mismo
recurso. Normalmente, un proceso toma 'posesión' de dicho mutex, y el
resto espera a que el que lo ha tomado lo libere para realizar
operaciones sobre dicho recurso sin que haya interferencia entre unos y
otros.

Este problema se ha detectado en la versión 2.0.48 de Apache, y sólo en
algunas versiones de las plataformas AIX, Solaris y Tru64 por lo que
otras plataformas sobre las que corre este servidor (como Linux, FreeBSD
y Windows) no se ven afectadas.

Se recomienda actualizar a la versión 2.0.49 (que corrige otros
problemas detectados anteriormente), disponible en la siguiente dirección:
http://httpd.apache.org/download.cgi


Julio Canto
jcanto@hispasec.com


Más información:

Apache HTTP Server 2.0.49 Released
http://www.apache.org/dist/httpd/Announcement2.html

domingo, 21 de marzo de 2004

Desbordamiento de búfer en Symantec Norton AntiSpam e Internet Security 2004

Se ha descubierto una vulnerabilidad en los productos Norton AntiSpam
2004 y Norton Internet Security 2004 de Symantec que puede ser explotada
por usuarios maliciosos para comprometer el sistema de un usuario.

Symantec Norton Internet Security es un paquete que incluye diversas
herramientas para protección contra virus, intrusiones en el sistema o
amenazas contra la privacidad en general. Norton AntiSpam es un filtro
para el correo para luchar contra mensajes no solicitados, que funciona
con cualquier programa de correo que use el protocolo POP3, además de
dar otras funcionalidades como bloquear popups.

Esta vulnerabilidad, descubierta por NGSsoftware, está causada por la
falta de comprobación de tamaños de un bufer en el componente ActiveX
SymSpamHelperClass (syspam.dll). El problema puede ser explotado para
provocar un desbordamiento de bufer al enviar un parámetro
especialmente largo al método "LaunchCustomRuleWizard". La explotación
con éxito de esta vulnerabilidad requiere que la víctima visualice un
archivo HTML malicioso, lo que permitiría la ejecución de código
arbitrario en el sistema del usuario.

La compañía Symantec ha publicado un parche para corregir esta
vulnerabilidad, disponible a través de LiveUpdate. Se recomienda activar
a mano esta herramienta para asegurar que se corrige este problema.


Julio Canto
jcanto@hispasec.com


Más información:

Norton AntiSpam Remote Buffer Overrun:
http://www.ngssoftware.com/advisories/antispam.txt

Symantec Norton Internet Security and Norton AntiSpam Remote Access Vulnerability:
http://www.sarc.com/avcenter/security/Content/2004.03.19.html

sábado, 20 de marzo de 2004

Compromiso de certificados de servidor en HP HTTP Server 5.x

Se ha descubierto una vulnerabilidad en el servidor HP HTTP Server
(versiones desde la 5.0 a la 5.92), un componente del software HP
Web-enabled Management y los agentes HP Insight Managemet. Esta
vulnerabilidad podría ser explotada por un usuario malicioso para
comprometer el certificado del servidor.

HP ha informado de que cuando se activa el acceso anónimo, un usuario
remoto puede enviar unas peticiones de configuración de grupo
especialmente construidas al servidor blanco del ataque para
comprometer sus certificados. La opción de conexión anónima
está desactivada en la configuración por defecto. HP no ha dado
detalles acerca del problema que provoca esta vulnerabilidad.

La compañía ha publicado una versión corregida (5.93) que está
disponible como parte del parche de seguridad de HP Web-Enabled
Management Software versión 5.93B y es descargable como el SoftPaq
SP25747, disponible en la siguiente dirección:
http://h18023.www1.hp.com/support/files/Server/us/download/20197.html


Antonio Román
roman@hispasec.com


Más información:

HP HTTP Server Certificates Can Be Uploaded By Remote Users to Gain
Access to Managed Hosts
http://www.securitytracker.com/alerts/2004/Mar/1009411.html

viernes, 19 de marzo de 2004

Vulnerabilidad en GroupWise WebAccess 6.0 y 6.5

Se ha descubierto una vulnerabilidad en GroupWise WebAccess cuando se
ejecuta con un servidor web Apache para NetWare. Un usuario remoto
podría tener acceso a todos los directorios y archivos del servidor
web.

Novell ha informado de un problema de seguridad en la configuración
por defecto de GroupWise WebAcess con Apache Web Server 1.3x para
NetWare. Los sistemas que ejecuten GroupWise 6 o 6.5 WebAccess en
NetWare con Apache 1.3x pueden verse afectados si Apache se carga
utilizando el archivo GWAPACHE.CONF. La compañía afirma que otros
servidores web no deberían verse afectados por este problema.

La dirección para la descarga de una versión que no presenta esta
vulnerabilidad (6.5 SP2 WebAccess) es la siguiente:
http://support.novell.com/filefinder

Para evitar el acceso no autorizado a GroupWise WebAccess Server,
se puede editar los permisos de GWAPACHE.CONF, para ello tendrá
que editar el archivo con las siguientes instrucciones:


Options FollowSymLinks
AllowOverride None
Order deny,allow
deny from all


La configuración por defecto incluye:
# First, we configure the "default" to be a very restrictive set of
# permissions.
#

Options FollowSymLinks
AllowOverride None



Antonio Román
roman@hispasec.com


Más información:

Potential security issue with GroupWise WebAccess 6.0 and 6.5
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10091330.htm

GroupWise WebAccess With Apache on NetWare Has Configuration Flaw
That May Grant Web Access to Remote Users
http://www.securitytracker.com/alerts/2004/Mar/1009417.html

jueves, 18 de marzo de 2004

Vulnerabilidad de denegación de servicio en FreeBSD

Las versiones no actualizadas de FreeBSD contienen una vulnerabilidad
que permite que un atacante remoto bloquee o "tire" una máquina con
dicho sistema operativo.

FreeBSD es un sistema operativo OpenSource gratuito y de alta calidad,
perteneciente a la familia *BSD, como NetBSD u OpenBSD.

El problema radica en la gestión de la recepción de datagramas TCP
desordenados. El protocolo TCP posibilita la transmisión de datos de
forma fiable y ordenada. Para ello, si se reciben datos desordenados, el
sistema operativo los almacenará hasta que lleguen los datos que faltan
y transferírselos así a la aplicación.

Lo normal en estos casos sería almacenar esos datagramas desordenados
durante un tiempo acotado. Si al cabo de dicho tiempo no llegan el resto
de datagramas, se eliminarán los que tengamos, como si se hubieran
perdido en tránsito. Lamentablemente las versiones no actualizadas de
FreeBSD no eliminan esos datagramas hasta que o bien lleguen los que
faltan o la aplicación cierre la conexión TCP/IP.

Esto puede ser aprovechado por un atacante malicioso para consumir
recursos sin más que establecer una conexión TCP/IP con la máquina
FreeBSD víctima y enviarle posteriormente datagramas desordenados. El
efecto final es la caida del servidor.

La recomendación de Hispasec es actualizar los sistemas FreeBSD a la
última versión estable de las ramas "4-STABLE", "RELENG_5_2",
"RELENG_4_9", o "RELENG_4_8".


Jesús Cea Avión
jcea@hispasec.com


Más información:

many out-of-sequence TCP packets denial-of-service
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/%20FreeBSD-SA-04:04.tcp.asc

miércoles, 17 de marzo de 2004

Actualización de la librería OpenSSL

El proyecto OpenSSL ha publicado actualizaciones para las ramas 0.9.6 y
0.9.7 de su librería SSL, que solucionan dos ataques de denegación de
servicio (DoS).

La librería OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como
para emplear sus componentes criptográficos individuales (funciones de
cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).

Las versiones no actualizadas de OpenSSL son susceptibles a dos ataques
de denegación de servicio (DoS) que permiten que un atacante remoto
"mate" el proceso que esté usando la librería SSL. Las dos
vulnerabilidades son:

* Un atacante malicioso puede forzar una negociación SSL/TLS
especialmente manipulada para inducir un bug en la librería OpenSSL,
provocando el uso de un puntero "NULL", ilegal.

* Cuando se usan autentificaciones Kerberos, un atacante remoto podría
forzar una negociación SSL/TLS especialmente manipulada para inducir un
bug en el código Kerberos de la librería, provocando la caída del
servicio.

La recomendación de Hispasec es actualizar a la versión 0.9.6m o 0.9.7d
de la librería OpenSSL.


Jesús Cea Avión
jcea@hispasec.com


Más información:

OpenSSL: The Open Source toolkit for SSL/TLS
http://www.openssl.org/

OpenSSL Security Advisory [17 March 2004]
http://www.openssl.org/news/secadv_20040317.txt

martes, 16 de marzo de 2004

Escalada de privilegios en diversos productos Macromedia

Se ha descubierto una vulnerabilidad en las versiones Apple Mac OS X
de los instaladores de diversos productos Macromedia en el cliente
de e-licensing. Un usuario local malicioso podría aprovechar esta
vulnerabilidad para llevar a cabo una escalada de privilegios.

Macromedia ha informado que el software instala el archivo
'AuthenticationService' con unos permisos que dejan a usuarios locales
escribir en el fichero, y también con privilegios setuid. El informe
indica que si un usuario sin privilegios administrativos modifica el
archivo, el sistema operativo eliminará la configuración setuid, pero
el usuario puede modificar el archivo y provocar que otro usuario
ejecute el servicio directamente (no a traves de un producto
Macromedia) para ejecutar código arbitrario con los privilegios del
usuario blanco del ataque.

Los productos afectados por el problemas son Macromedia Contribute 2,
Studio MX 2004, Flash MX y Fireworks MX 2004 y Dreamweaver MX 2004.

La dirección para la descarga del parche de actualización que corrige
este problema es la siguiente:
http://www.macromedia.com/go/DMJL_AAAZ

Un usuario con privilegios de administrador y su correspondiente
contraseña puede cambiar manualmente los permisos y resolver el
problema. Para ello tendrá que activar una sesión de terminal y desde
la línea de comando teclear [sudo chmod 4775 "/Library/Application
Support/Macrovision/AuthenticationService"]


Antonio Román
roman@hispasec.com


Más información:

Potential Security Risk with Macromedia E-Licensing Client Activation Code
http://www.macromedia.com/devnet/security/security_zone/mpsb04-03.html

lunes, 15 de marzo de 2004

Administración de parches en la red de Microsoft

Microsoft publica un documento donde explica como realizan la gestión
de parches y actualizaciones de seguridad en su red corporativa.

En repetidas ocasiones, dentro de esta misma tribuna de "una-al-día",
nos hemos referido a la problemática que supone mantener los sistemas
informáticos actualizados con los últimos parches de seguridad.

Algunos de los incidentes de seguridad con un mayor impacto (desde Code
Red hasta W32.Blaster, pasando por SQLsnake por citar tres ejemplos) se
han basado en la utilización de vulnerabilidades para las que ya
existía una actualización disponible, pero no ampliamente desplegada.
En el caso de SQLsnake, el gusano se aprovechaba de un problema para el
que hacía meses que estaba disponible el parche.

Microsoft ha publicado recientemente una nota técnica y una
presentación de soporte (disponibles en los enlaces que facilitamos en
el apartado de "Más información") donde explica como se realiza la
gestión de los parches dentro de la red corporativa de Microsoft,
incluyendo aquellos sistemas que se encuentran accesibles en Internet.
Esta red está formada por 6.000 servidores (repartidos por todo el
mundo), recibe unos 2.500 ataques diarios, mensualmente se identifican
125.000 mensajes con virus, etc...

La gestión de parches, que tiene como objetivo garantizar que todos los
servidores estén actualizados al nivel más reciente, se compone de
diversas fases:

* Monitorización de los boletines de seguridad y actualizaciones
* Determinación del nivel de riesgo
* Pruebas
* Despliegue del parche
* Notificación

Las herramientas utilizadas por Microsoft son Systems Management Server
2003, Microsoft Baseline Security Analyzer 1.2 y diversas bases de
datos de soporte.


Xavier Caballé
xavi@hispasec.com


Más información:

Server Patch Management at Microsoft. Sharing the Microsoft IT experiences
http://download.microsoft.com/download/8/b/d/8bd07eb0-a1bd-40c7-bca8-d1326ede89e8/ServerPatchMgmtTWPPpt.ppt
http://download.microsoft.com/download/8/b/d/8bd07eb0-a1bd-40c7-bca8-d1326ede89e8/SMS2003ServerPatchManagementTWP.doc

domingo, 14 de marzo de 2004

Vulnerabilidad en Cisco CSS 11000 por paquetes UDP mal construidos

Los switches Cisco CSS 11000 (Content Services Switches) son
vulnerables a una denegación de servicio provocada al recibir
paquetes UDP mal construidos sobre el puerto de administración.

Si un atacante envía paquetes UDP mal construidos al puerto UDP 5002,
el puerto por defecto para app-udp, en el puerto de administración de
los CSS 11000 con Cisco WebNS versiones 5.0(x) y 6.10(x) podrá
provocar el reinicio del dispositivo. Esta vulnerabilidad existe
incluso cuando la característica Network Proximity no esté configurada
en el dispositivo.

El acceso al puerto administrativo en los switches CSS 11000 Series
Content Services está disponible únicamente a través del interfaz
físico administrativo; acceso a través de circuito VLANs no está
implementado, y la vulnerabilidad solo puede ser explotada a través
del puerto administrativo.

Se ven afectados los CSS 11000 Series Content Services Switches
(también conocidos como Arrowpoint) consistente en las plataformas de
hardware CSS 11050, CSS 11150 y CSS 11800. Estos ejecutan el software
Cisco WebNS.

El procedimiento para actualizar a una versión de software corregida
está detallado en:
http://www.cisco.com/en/US/products/hw/contnetw/ps789/products_administration_guide_chapter09186a0080176d04.html


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco CSS 11000 Series Content Services
Switches Malformed UDP Packet Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20040304-css.shtml

sábado, 13 de marzo de 2004

Escalada de privilegios en db2rcmd.exe de IBM DB2

Se ha descubierto una vulnerabilidad en el SGBD DB2 de IBM,
concretamente en el proceso db2rcmd.exe, que puede ser explotada por
un usuario remoto para realizar una escalada de privilegios.

DB2 es un sistema gestor de bases de datos muy potente de la compañía
IBM. Uno de sus componentes, el Remote Command Server, es el que
contiene la vulnerabilidad que puede ser explotada.

La compañía NGSSoftware ha anunciado que un usuario remoto autenticado
puede enviar un comando a través de un pipe con nombre (DB2TEMOTECMD)
para ejecutar comandos arbitrarios con los privilegios de la cuenta
db2admin. Un usuario remoto autenticado (incluyendo los que tienen
cuenta de invitado), puede conseguir así privilegios de administrador
de la base de datos en el sistema vulnerable.

IBM ha publicado un parche de actualización disponible en la siguiente
dirección:
http://www.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/v8fphist.d2w/report


Julio Canto
jcanto@hispasec.com


Más información:

IBM DB2 'db2rcmd.exe' Lets Remote Authenticated Users Execute Commands With Elevated Privileges
http://www.securitytracker.com/alerts/2004/Mar/1009355.html

IBM DB2 Remote Command Execution Privilege Upgrade
http://www.ngssoftware.com/advisories/db2rmtcmd.txt

viernes, 12 de marzo de 2004

Guía de gestión de incidentes de seguridad del NIST norteamericano

El NIST (National Institute of Standards and Technology, instituto
nacional de estándares y tecnología) norteamericano ha publicado un
documento federal para que sirva de guía en la gestión de incidentes
de seguridad informática.

El documento, elaborado por Tim Grance, Karen Kent y Brian Kim, consta
de 148 páginas, disponible en formato PDF. El fichero mide 2.7 Megabytes
y se distribuye de forma gratuita por Internet.

La recomendación se divide en 8 capítulos y tres apéndices, en los
que se cubre cómo estructurar la organización para hacer frente a
la gestión de incidentes, cómo gestionarlos de forma global, y cómo
hacer frente a diversas variantes, como ataques DoS (denegación de
servicio), código malicioso (gusanos y caballos de troya), accesos
no autorizados, uso inapropiado, etc.

Su lectura es recomendable, aunque puede resultar excesivamente extensa
para lo que se podría describir con detalle en la mitad de páginas. Pero
puede servir como una referencia más a aquellas organizaciones que aún
no hayan establecido una política de seguridad corporativa.


Jesús Cea Avión
jcea@hispasec.com


Más información:

NIST Releases Guide to Cyber Attacks
http://slashdot.org/article.pl?sid=04/01/22/2339259

Computer Security Incident Handling Guide
http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf

jueves, 11 de marzo de 2004

Publicado Service Pack 3 para Office XP

Microsoft ha publicado el Service Pack 3 para su Office XP, que
contiene diversas mejoras, además de modificaciones de seguridad y
mejoras de estabilidad y rendimiento del producto. Se trata de una
actualización acumulativa, que por tanto incluye lo ya publicado en
SP1 y SP2.

Entre los problemas corregidos en este Service Pack se encuentran los
siguientes:
* El descrito en el boletín de seguridad MS02-044 (sobre funciones no
seguras en Office Web Components)
* El descrito en el boletín de seguridad MS02-059 (error en Word y
Excel puede provocar la revelación de información sensible)
* El descrito en el boletín de seguridad MS02-067 (error en
procesamiento de cabecera de e-mails puede provocar el fallo de
Outlook 2002)
* El descrito en el boletín de seguridad MS03-003 (error en Outlook
2002 con certificados de Exchange Server Security puede llevar a la
revelación de información sensible)
* El descrito en el boletín de seguridad MS03-035 (error en Microsoft
Word puede permitir la ejecución automática de macros)
* El descrito en el boletín de seguridad MS03-036 (desbordamiento de
búffer en conversor de WordPerfect puede permitir la ejecución de
código)
* El descrito en el boletín de seguridad MS03-037 (error en Visual
Basic For Applications podría permitir la ejecución de código
arbitrario)
* El descrito en el boletín de seguridad MS03-038 (falta de
comprobación de búffer en Microsoft Access Snapshot Viewer puede
permitir la ejecución de código)
* El descrito en el boletín de seguridad MS04-004 (vulnerabilidad en
Microsoft Outlook puede permitir la ejecución de código)

El service pack incluye además todas las actualizaciones publicadas
para Office XP:
* Service Pack 1
* Service Pack 2
* Actualización de Excel 2002 del 16 de octubre de 2002
* Actualización de Word 2002 del 16 de octubre de 2002
* Actualización de Outlook 2002 del 4 de diciembre de 2002
* Actualización de Outlook 2002 del 22 de enero de 2003
* Actualización de herramientas de gramática en Italiano para Office
XP (B813682)
* Parche de seguridad para Office XP (KB822036)
* Parche de seguridad para Access 2002 Snapshot Viewer (KB826293)
* Parche de seguridad para convertidor de WordPerfect 5.x de Office XP
(KB824938)
* Parche de seguridad para Word 2002 (KB824934)
* Parche de seguridad para Excel 2002 (KB830350)
* Parche de seguridad para Word 2002 (KB830346)

Este Service Pack 3 se instalará correctamente en el sistema aunque ya
haya instalado cualquiera de los anteriormente nombrados Service Packs
o actualizaciones e incluye algunas mejoras de la estabilidad del
producto realizadas a raíz de peticiones de usuarios realizadas
mediante la herramienta Error Reporting Tool y desde la central de
soporte de productos Microsoft.

Las direcciones para la descarga de los parches de actualización son
las siguientes:

Español:
http://download.microsoft.com/download/f/b/e/fbe59942-ed69-4d58-ac98-d93fe44f191a/OfficeXpSp3-kb832671-client-esn.exe
http://download.microsoft.com/download/f/b/e/fbe59942-ed69-4d58-ac98-d93fe44f191a/OfficeXpSp3-kb832671-fullfile-esn.exe

Inglés:
http://download.microsoft.com/download/9/1/f/91ffc6b2-0745-470b-8dd3-1285b85db12b/OfficeXpSp3-kb832671-client-enu.exe
http://download.microsoft.com/download/9/1/f/91ffc6b2-0745-470b-8dd3-1285b85db12b/OfficeXpSp3-kb832671-fullfile-enu.exe

* Las versiones fullfile, de alrededor de 60 megas de peso, son las
adecuadas si no dispone en ese momento del CD de Office XP, ya que
esta actualización se lo requerirá durante el proceso de instalación.


Julio Canto
jcanto@hispasec.com


Más información:

Office XP Service Pack 3 (SP3)
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=85af7bfd-6f69-4289-8bd1-eb966bcdfb5e

miércoles, 10 de marzo de 2004

Parches para Windows 2000, MSN Messenger, Office XP y Outlook 2002

Siguiendo la política de distribución de parches de seguridad de
Microsoft, se publica en el segundo martes del mes el paquete de
actualizaciones correspondientes a marzo.

En esta ocasión los sistemas afectados son Windows 2000, con una
denegación de servicio, Outlook 2002 con una vulnerabilidad crítica
que permite la ejecución de código remoto, y MSN Messenger que
facilitaría que desde Internet un atacante remoto pueda leer archivos
del sistema de los usuarios afectados.

La vulnerabilidad más crítica, que permite la ejecución de código
remoto a través de Outlook 2002, fue detectada por iDEFENSE el 10 de
octubre de 2003 y notificada a Microsoft el 12 de noviembre. Una
filtración de la misma comenzó a circular a partir del 21 de noviembre
cuando iDEFENSE notificó la vulnerabilidad a sus clientes. Aunque a
juzgar por el tiempo de reacción, parece que no ha condicionado mucho
a Microsoft.

El problema se basa en la posibilidad de inyectar código a través de
URLs "mailto" (RFC 2368), que se ejecutaría en la zona de seguridad
local del sistema, con los mismos privilegios que el usuario afectado.

La explotación de la vulnerabilidad podría realizarse de forma
automática con tan sólo visualizar páginas webs o mensajes de correo
electrónico en formato HTML diseñados para la ocasión, sin necesidad
de que el usuario realice ninguna acción adicional.

En cualquier caso la explotación con éxito de esta vulnerabilidad
tiene un importante condicionante, ya que necesita que la página por
defecto en Outlook 2002 sea la preconfigurada en la instalación. Si
el usuario ha dado de alta alguna cuenta de correo, esta página por
defecto será sustituida automáticamente por la bandeja de correo
entrante "Inbox", mitigando las posibilidades del ataque.

Los detalles de la vulnerabilidad están disponibles en la dirección:
http://www.idefense.com/application/poi/display?id=79&type=vulnerabilities

El parche específico para esta vulnerabilidad en Outlook 2002,
según idioma, puede encontrarse en:
http://www.microsoft.com/office/ork/updates/xp/olk1007a.htm#sub_2

Para corregir esta vulnerabilidad en Outlook 2002 y todas las
anteriores detectadas en cualquiera de las otras aplicaciones que
se incluyen en Office XP (Word, Excel, Access,...) se encuentra
disponible el Service Pack 3 para Office XP en la dirección:
http://www.microsoft.com/downloads/details.aspx?familyid=85AF7BFD-6F69-4289-8BD1-EB966BCDFB5E&displaylang=es

La otras dos vulnerabilidades que afectan a Windows 2000 y MSN
Messenger serán tratadas con más detalles en próximas entregas.

El parche para Windows 2000 puede ser descargado desde:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7F4C067C-5D34-48FB-A9FA-C2200243D4D2&displaylang=es

En el caso de MSN Messenger, la solución pasa por instalar la última
versión, disponible en la dirección:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d83d02b2-c82c-4ba1-aec2-584aabb057eb&DisplayLang=es


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletin MS04-008
Vulnerability in Windows Media Services Could Allow a Denial of Service (832359)
http://www.microsoft.com/technet/security/bulletin/ms04-008.mspx

Microsoft Security Bulletin MS04-009
Vulnerability in Microsoft Outlook Could Allow Code Execution (828040)
http://www.microsoft.com/technet/security/bulletin/ms04-009.mspx

Microsoft Security Bulletin MS04-010
Vulnerability in MSN Messenger Could Allow Information Disclosure (838512)
http://www.microsoft.com/technet/security/bulletin/ms04-010.mspx

Microsoft Outlook "mailto:" Parameter Passing Vulnerability
http://www.idefense.com/application/poi/display?id=79&type=vulnerabilities

The mailto URL scheme (RFC 2368)
http://www.ietf.org/rfc/rfc2368.txt

martes, 9 de marzo de 2004

Gusano Sober.D se presenta como Alerta de Microsoft

Detectada en las últimas horas la nueva variante Sober.D, gusano que
en un primer momento también ha recibido el nombre de "Roca". Su
detección es fácil a simple vista, ya que se propaga a través de un
e-mail con el asunto "Microsoft Alert: Please Read!", que simula ser
un parche de Microsoft contra una variante del gusano "Mydoom".

Aunque son varios los usuarios que nos han hecho llegar algunas
muestras sospechando de que se trataba de un nuevo espécimen, no hemos
detectado hasta el momento evidencias de una propagación masiva de
Sober.D en España, situándose en posiciones atrasadas del TOP 20 de
las últimas 24 horas. Puede que en paises anglosajones el gusano esté
consiguiendo un mayor número de infecciones, ya que algunas casas
antivirus con sedes en EE.UU., como NAi o symantec, lo han situado
como alerta media.

La reacción de las casas antivirus en proporcionar la actualización de
la firma específica para que sus clientes pudieran detectarlo, según
el sistema de monitorización 24hx7d del laboratorio de Hispasec, fue
la siguiente:

[Sophos] 08.03.2004 05:14:41 :: W32/Roca-A
[Panda] 08.03.2004 08:59:16 :: W32/Roca.A.worm
[Kaspersky] 08.03.2004 09:04:26 :: I-Worm.Sober.d
[NOD32] 08.03.2004 10:04:42 :: Win32/Sober.D
[TrendMicro] 08.03.2004 12:22:10 :: WORM_SOBER.D
[McAfee] 08.03.2004 13:49:57 :: W32/Sober.d@MM!zip
[Symantec] 08.03.2004 21:39:27 :: W32.Sober.D@mm
[eTrustAV-Inoc] 08.03.2004 21:58:27 :: Win32/Sober.D.Worm

Como en ocasiones anteriores, los tiempos mencionados son hora
española (GMT+1).

En el caso de NOD32, reconocía a éste espécimen desde el momento de
su aparición como "probaly unknow NewHeu_PE virus", a través de la
función de heurística avanzada del monitor residente, e incluiría
la firma específica en la hora mencionada en la tabla. En cuanto a
Panda, que en un primer momento lo detectó como "W32/Roca.A.worm",
a partir de la actualización de las 12:18:41 cambió su denominación
por "W32/Sober.D.worm".

Sober.D se propaga a través del correo electrónico en un archivo
adjunto con extensión .EXE o .ZIP. Los textos del mensaje pueden ser
en inglés o alemán, idioma éste último que solo utiliza si la
dirección del destinatario incluye la cadena "@gmx" o finaliza en
.de, .ch, .at o .li.

El asunto del mensaje en el que se distribuye Sober.D es un texto
fijo, lo que permite reconocer su llegada a simple vista. En el
caso de que la dirección tenga alguna cadena de las mencionadas
anteriormente, el texto en alemán comienza por "Microsoft Alarm:
Bitte Lesen!", mientras que para el resto de la gran mayoría de
destinatarios el asunto aparecerá en inglés como "Microsoft
Alert: Please Read!".

La dirección de remite la falsea y construye a partir del esquema
@microsoft.

Donde puede ser alguno de los siguientes:

Info
Center
UpDate
News
Help
Studio
Alert
Patch
Security

y elige entre:

.de
.at
.com

De forma que algunos de los posibles remite podría ser, por ejemplo,
Info@microsoft.de, News@microsoft.com, Alert@microsoft.at, etc.

El cuerpo del mensaje puede ser uno de los siguientes, dependiendo
de la versión en inglés o alemán:


New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly
through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails
contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released
patches.

+++ ©2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19



Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im
Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten
Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen
Trojaner!
F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des
W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem
Schädling zu sch?zen!

+++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943


El archivo adjunto infectado, desarrollado en Visual Basic y comprimido
con UPX, puede presentarse con la extensión .EXE o .ZIP. El nombre
del archivo lo compone a través de una lista de posibles textos:

Patch
MS-Security
MS-UD
UpDate
sys-patch
MS-Q

A lo que les adjunta un número al azar de entre 5 o 10 dígitos. De
esta forma un posible nombre de archivo adjunto podría ser, por
ejemplo: Patch04813.exe

Si el usuario intenta abrir este archivo adjunto, el gusano comienza
su rutina de infección. El usuario visualizará una ventana imitando
que el supuesto parque de Microsoft ha sido correctamente instalado.
Mientras tanto, Sober.D ya se habrá copiado en la carpeta de sistema
de Windows. El nombre utilizado lo forma uniendo varias cadenas de
una lista que lleva el gusano en su código, lo que da lugar a un
gran número de posibles combinaciones y nombres. La lista de cadenas
que utiliza es:

sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

De forma que el gusano podría instalarse en la carpeta de sistema
de Windows como, por ejemplo, "diagwinhost.exe", resultado de unir
las cadenas "diag" + "win" + "host".

En la misma carpeta también crea otros archivos, que pueden ser
indicativos de la presencia del gusano en un sistema:

Humgly.lkur
temp32x.data
wintmpx33.dat
yfjq.yqwm
zmndpgwf.kxx

A continuación, y como suele ser habitual en este tipo de gusanos,
modifica las siguientes entradas en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

El nombre utilizado en el registro también lo construye como en
el caso del nombre de archivo, dando lugar a muchas posibles
combinaciones.

Sober.D, que incluye su propio motor SMTP, recopila direcciones a
las que enviarse buscando, en el sistema infectado, dentro de los
archivos con extensión log, mdb, tbb, abd, adb, pl, rtf, doc, xls,
txt, wab, eml, php, asp, shtml, dbx, ttt, wab y tbb.

El gusano evita enviarse a las direcciones de correo electrónico
que contengan alguna de las siguientes cadenas:

@arin
@avp
@foo.
@iana
@ikarus.
@kaspers
@messagelab
@msn.
@nai.
@ntp.
@panda
@sophos
abuse
admin
antivir
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
google
host.
hotmail
info@
linux
microsoft.
mozilla
ntp-
ntp@
office
password
postmas
redaktion
service
spybot
support
symant
t-online
time
variabel
verizon.
viren
virus
winrar
winzip


El consejo, como siempre, es no abrir o ejecutar archivos
potencialmente peligrosos, sobre todo si no hemos demandado su envío.
Adicionalmente, contar con soluciones antivirus correctamente
instaladas y puntualmente actualizadas. También resulta útil seguir
los foros de seguridad o listas como "una-al-día", para estar al
tanto de las últimas amenazas que nos pueden afectar.

En el caso específico de este gusano, que una vez más intenta
imitar un parche de Microsoft, recordar que en ningún caso Microsoft
distribuye actualizaciones o herramientas a través del correo
electrónico, por lo que debemos desconfiar y eliminar cualquier
mensaje en términos similares.


Bernardo Quintero
Bernardo@hispasec.com


Más información:

Win32.Sober.D@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=212

Win32.Sober.D
http://www3.ca.com/virusinfo/virus.aspx?ID=38525

WIN32/SOBER.D
http://www.enciclopediavirus.com/virus/vervirus.php?id=761

W32/Sober.D@mm
http://www.f-prot.com/virusinfo/descriptions/sober_d.html

Sober.D
http://www.f-secure.com/v-descs/sober_d.shtml

W32/Sober.d@MM
http://vil.nai.com/vil/content/v_101081.htm

W32/Sober.D@mm
http://www.norman.com/virus_info/w32_sober_d_mm.shtml

Sober.D
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=45378

W32.Sober.D@mm
http://www.sarc.com/avcenter/venc/data/w32.sober.d@mm.html

W32/Roca-A
http://www.sophos.com/virusinfo/analyses/w32rocaa.html

WORM_SOBER.D
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=58017&VName=WORM_SOBER.D

W32/Sober.D. Asunto: "Microsoft Alert: Please Read!"
http://www.vsantivirus.com/sober-d.htm

lunes, 8 de marzo de 2004

Vulnerabilidad en Acrobat Reader 5.1

Una vulnerabilidad en Acrobat Reader V.5.1 podría permitir un
desbordamiento de buffer y la posterior ejecución de código.

Recientemente se ha descubierto una vulnerabilidad en Adobe Acrobat
Reader, el popular visualizador de documentos "pdf", que puede permitir
a un atacante provocar un desbordamiento de buffer y la posterior
ejecución de código.

El problema reside en el tratamiento de archivos XFDF (XML Forms Data
Format), de forma que si un atacante crea un archivo especialmente mal
construido en este formato cuando se abra con las versiones de Acrobat
vulnerables se provocará el desbordamiento de buffer y la consiguiente
ejecución de código.

Se recomienda a los usuarios afectados la actualización a las ultimas
versiones 6.x, que no se ven afectadas por este problema.

Descargar Adobe Reader
http://www.adobe.es/products/acrobat/readstep2.html


Antonio Román
roman@hispasec.com


Más información:

Adobe Acrobat Reader XML Forms Data Format Buffer Overflow
http://www.nextgenss.com/advisories/adobexfdf.txt

Adobe Acrobat Reader Buffer Overflow in Parsing XML Forms Lets Remote Users
Execute Arbitrary Code
http://www.securitytracker.com/alerts/2004/Mar/1009312.html

domingo, 7 de marzo de 2004

Nuevos contenidos en CriptoRed (febrero 2004)

Breve resumen de los últimos contenidos incorporados durante el mes de
febrero de 2004 en CriptoRed, la Red Temática Iberoamericana de
Criptografía y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Códigos Correctores y Protocolos de Votaciones Electrónicas
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

- Diseño de Bases de Datos para Oracle9i Label Security
http://www.criptored.upm.es/paginas/docencia.htm#gtletraD

- Evaluation of Elliptic Curves Operations over Optimal Extension on
TMS320VC5402 Digital Signal Processor
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

- Herramienta Didáctica para Inserción y Detección de Marcas de Agua en
Señales de Audio Digital
http://www.criptored.upm.es/paginas/docencia.htm#gtletraH

- Opúsculos Criptográficos para Matemáticos
http://www.criptored.upm.es/paginas/docencia.htm#gtletraO

- Sellado y Datación de Ubicación e Itinerario
- Sistema Votescript: una Propuesta Innovadora Desarrollada para
Resolver los Problemas Clásicos de la Votación Electrónica
http://www.criptored.upm.es/paginas/docencia.htm#gtletraS

- Un Ataque sobre Texto Cifrado para una Clase de Generadores de
Secuencias Pseudoaleatorias
http://www.criptored.upm.es/paginas/docencia.htm#gtletraU

Puedes encontrar otros documentos en:
http://www.criptored.upm.es/paginas/docencia.htm#gteoria


2. SOFTWARE NUEVO PARA SU DESCARGA

- genRSA: generador de claves y cifra RSA con Crypto++
http://www.criptored.upm.es/paginas/software.htm#propio

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION:

Abril 13 al 14 de 2004: Second Wokshop on Security in Information
Systems (Portugal)
http://www.iceis.org/

Abril 22 al 24 de 2004: Congreso Iberoamericano de Auditoría, Seguridad
y Forensia Informática (Argentina)
http://www.ciasfi.org.ar/

Mayo 10 al 15 de 2004: VII Seminario Iberoamericano de Seguridad en
Tecnologías de la Información (Cuba)
http://www.informaticahabana.com/evento_seguridad_tic_tematica.asp

Mayo 14 al 17 de 2004: Workshop sobre Internet Communications Security
(Italia)
http://163.117.149.66/iccsa04/

Junio 8 al 11 de 2004: Congreso Applied Cryptography and Network
Security (China)
http://www.rsasecurity.com/rsalabs/staff/bios/mjakobsson/ACNS.htm

Junio 21 al 24 de 2004: 1st Technical Session on Web Services Security
(Estados Unidos)
http://alarcos.inf-cr.uclm.es/tswss2004/

Junio 24 al 25 de 2004: IV Jornada Nacional de Seguridad Informática
(Colombia)
http://www.acis.org.co/Paginas/eventos/ferias.html

Junio 25 al 26 de 2004: 1st European PKI Workshop Research and
Applications (Grecia)
http://www.aegean.gr/EuroPKI2004/

Julio 25 al 28 de 2004: IFIP Working Conference on Data and Applications
Security (España)
http://www.udl.es/usuaris/n7807592/dbsec2004/

Agosto 24 al 27 de 2004: Primer Encuentro Internacional de Hackers
(Colombia)
http://www.umanizales.edu.co/programas/ingenieria/

Agosto 30 al 3 Septiembre de 2004: 1st Conference on Trust and Privacy
in Digital Business (España)
http://www-ifs.uni-regensburg.de/trustbus04/

Septiembre 13 al 15 de 2004: 9th European Symposium Computer Security
(Francia)
http://esorics04.eurecom.fr

Septiembre 22 al 24 de 2004: VIII Reunión Española sobre Criptología y
Seguridad de la Información (España)
http://www.uc3m.es/recsi

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. CURSOS DE ESPECIALIDAD Y POSTGRADO:

Master en Tecnologías de Seguridad Informática esCERT-UPC (España)
http://escert.upc.es/se_mtsi2.php

Master Tecnologías Información y Seguridad en la UCLM (España)
http://mtic.inf-cr.uclm.es

Especialización en Criptografía y Seguridad Teleinformática
http://www.ingenieriaest.iese.edu.ar/posgrado/m-seguInCrip.htm

Diplomado en Seguridad Computacional en la Universidad de Chile (Chile)
http://www.clcert.cl/capacita/dipl2004/resumen.html

Diplomados en Seguridad Informática (México)
http://siberiano.aragon.unam.mx
http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/
http://siberiano.aragon.unam.mx/diplomadoseguridad/uanl/

Diplomado en Auditoría y Seguridad de Tecnologías de la Información -
COMMON-PERU (Perú)
http://www.cosapidata.com.pe/common/diciembre2003/mail.htm

Curso Experto en Seguridad Informática U. Mondragón (España)
http://iraunkor.eps.mondragon.edu/curso.php?id=cas&tc=3&area=10&cur=250&anio=2004

Curso de Postgrado Criptosistema RSA - CSIC (España)
http://www.csic.es/postgrado/cursos.html

Cursos de Seguridad Informática del Instituto para la Seguridad en
Internet ISI (España)
http://www.hispasec.com/formacion/

Programa de Formación en Gestión de la Seguridad de la Información de
AENOR (España)
http://www.aenor.es/

Cursos de CYBSEC (Argentina - Ecuador)
http://www.cybsec.com/

Talleres de Seguridad Informática en la UNAM (México)
http://siberiano.aragon.unam.mx/Talleres/

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE DICIEMBRE DE 2003:

- Seminario Gratuito Symantec IT Security Roadshow 2004 (España)
http://www.symantec.com/region/es/security_roadshow/madrid/index.html

- XV edición del Congreso de Seguridad en Tecnologías de Información y
Comunicaciones Securmática (España)
http://www.securmatica.com/

- Primera Edición Curso Experto en Seguridad Informática (España)
http://iraunkor.eps.mondragon.edu/curso.php?id=cas&tc=3&area=10&cur=250&anio=2004

- CFP Sexta Conferencia Internacional ICICS '04 (España)
http://icics04.lcc.uma.es/

- Diplomados en Seguridad Informática (México)
México DF: http://siberiano.aragon.unam.mx/
Juriquilla, Querétaro:
http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/
Monterrey, Nuevo León:
http://siberiano.aragon.unam.mx/diplomadoseguridad/uanl/

- Talleres de Seguridad Informática (México)
http://siberiano.aragon.unam.mx/Talleres/

- Página Web Working Conference on Data and Applications Security (España)
http://www.udl.es/usuaris/n7807592/dbsec2004/

6. OTROS TEMAS DE INTERES:

- Número actual de miembros en la red: 431
http://www.criptored.upm.es/paginas/particulares.htm

- Número actual de universidades y centros de investigación
representados en la red: 134
http://www.criptored.upm.es/paginas/miembros_red_inst.htm

- 12.370 accesos y 10.078 descargas desde el servidor en febrero de 2004
(AWStats)
http://www.criptored.upm.es/paginas/estadisticas.htm#anyo2004

- Sede de CIBSI '05: Valparaíso - Viña del Mar (Chile - diciembre de 2005)
Anfitrión: Universidad Técnica Federico Santa María
http://www.utfsm.cl/


Jorge Ramió Aguirre
Coordinador General CriptoRed


Más información:

Red Temática Iberoamericana CriptoRed
http://www.criptored.upm.es/

sábado, 6 de marzo de 2004

Nueva actualización de seguridad de Mac OS X

Apple acaba de publicar una nueva actualización de seguridad para su
sistema Mac OS X.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La última actualización de seguridad de Apple, la 2004-02-23, soluciona
diversas vulnerabilidades en la implementación IPSec, QuickTime Server,
y tcpdump, además de solucionar otros problemas.

La actualización, gratuita, está disponible para 10.2.8 ("Jaguar") y el
último 10.3.2 ("Panther").


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apple Security Updates
http://www.apple.com/support/security/security_updates.html

viernes, 5 de marzo de 2004

10 años sufriendo SPAM

El 5 de marzo de 1994, un bufete de abogados norteamericano
enviaba un mensaje a diversos grupos de noticias ofreciendo
sus servicios a los interesados en participar en el sorteo
de permisos de trabajo para inmigrantes en los Estados
Unidos.

Si en el párrafo anterior eliminamos la fecha, el resto de
la frase difícilmente nos llamaría la atención. Casi todas
las personas que disponen de acceso al correo electrónico
reciben a diario varios mensajes con un contenido similar.
Mensajes que en la mayoría de los casos son borrados casi de
forma instintiva, prácticamente sin ver su contenido.

Han pasado diez años. Lo que en su día fue vista como una
muestra de mala educación se ha convertido en una autentica
lacra que pone en peligro la viabilidad del correo
electrónico.

En la actualidad, según diversas estadísticas, el correo
comercial no deseado ya representa más de la mitad del
volumen total del correo electrónico. En el caso de aquellos
que vemos nuestra dirección de correo publicada en diversas
páginas web seguramente superamos este porcentaje.

A pesar que a primera vista el correo basura no es otra cosa
que un incordio y una muestra de mala educación por parte de
aquellos que utilizan tácticas comerciales tan poco éticas,
a nivel global se trata de un negocio extraordinariamente
lucrativo. Sólo en los Estados Unidos, el SPAM consiguió
atraer casi doce millardos de dólares.

Y por si fuera poco, ahora el correo basura ya no proviene
únicamente de los desaprensivos que basan su negocio en
molestar a todo el mundo. Un volumen significativo de correo
basura es generado automáticamente por algunos de los
gusanos y virus más significativos.


Combatir el correo basura

Después de diez años conviviendo con el SPAM, todavía no
disponemos de ningún sistema que nos elimine de la tortura
diaria de ver inundado nuestro buzón de correo. Incluso los
sistemas más fiables disponibles en la actualidad, basados
en la utilización de algoritmos estadísticos y de
inteligencia artificial, no consiguen identificar con
fiabilidad todos el correo basura. Tienen un elevado
porcentaje de acierto y nos libran de un buen número, pero
algunos mensajes logran saltarse estos filtros.

Los que no han optado por aplicar estos sistemas de filtro,
han seleccionado otra opción: el bloqueo de fuentes
potenciales, utilizando sistemas de listas negras. Esta
opción todavía se ha mostrado más ineficaz que la
utilización de filtros.

Estamos en un momento de plena efervescencia en el estudio
de nuevos mecanismos y sistemas que pretenden erradicar el
SPAM. De su éxito dependerá en gran medida que en los
próximos años continuemos utilizando el correo electrónico.
Si se consigue algún sistema para erradicar la recepción del
correo basura, evitando que llene los buzones de correo y
consuma un elevado porcentaje de ancho de banda, el correo
electrónico tal como lo entendemos actualmente, continuará
utilizándose.

Si por el contrario no somos capaces de frenar el correo
basura y este continúa su exponencial crecimiento, deberemos
buscar un nuevo sistema de comunicación. Si entre todos no
conseguimos erradicar el SPAM o como mínimo frenarlo y
reducirlo de una forma significativa, el concepto de correo
electrónico está condenado de muerte.


Xavier Caballé
xavi@hispasec.com



jueves, 4 de marzo de 2004

Nueva versión del libro electrónico de Criptografía y Seguridad Informática

Publicado en el servidor de la red temática CriptoRed, la versión v3.2
del libro electrónico "Seguridad Informática y Criptografía" del
profesor de la Universidad Politécnica de Madrid, España, Dr. Jorge
Ramió Aguirre

La versión v3.1 de marzo de 2003 alcanzó durante un año un total de
26.301 descargas desde dicho servidor. Este material docente de libre
distribución de 5.3 Mbytes contiene los siguientes documentos:

Documentos en formato Word:
- Portada.doc: Portada del libro, 1 página.
- Prologo.doc: Prólogo de la versión y de versiones anteriores, 5 páginas.
- CripClas.doc: Criptosistemas Clásicos, 106 páginas.
- PregunSI.doc: Preguntas del Libro Electrónico, 12 páginas.

Documentos en formato Power Point:
- SIpresen.ppt: Presentación de Libro Electrónico, 27 diapositivas.
- SItema01.ppt: Una Introducción a la Criptografía, 13 diapositivas.
- SItema02.ppt: Introducción a la Seguridad Informática, 54 diapositivas.
- SItema03.ppt: Calidad de la Información y Virus, 25 diapositivas.
- SItema04.ppt: Introducción a la Seguridad Física, 36 diapositivas.
- SItema05.ppt: Teoría de la Información, 57 diapositivas.
- SItema06.ppt: Teoría de los Números, 67 diapositivas.
- SItema07.ppt: Teoría de la Complejidad Algorítmica, 27 diapositivas.
- SItema08.ppt: Sistemas de Cifra Clásicos, 37 diapositivas.
- SItema09.ppt: Sistemas de Cifra Modernos, 33 diapositivas.
- SItema10.ppt: Sistemas de Cifra en Flujo, 49 diapositivas.
- SItema11.ppt: Cifrado Simétrico en Bloque, 87 diapositivas.
- SItema12.ppt: Cifrado Asimétrico con Mochilas, 28 diapositivas.
- SItema13.ppt: Cifrado Asimétrico Exponencial, 58 diapositivas.
- SItema14.ppt: Funciones Hash en Criptografía, 30 diapositivas.
- SItema15.ppt: Autenticación y Firma Digital, 54 diapositivas.
- SItema16.ppt: Certificados Digitales, 10 diapositivas.
- SItema17.ppt: Aplicaciones Criptográficas, 93 diapositivas.
- SItema18.ppt: Protocolos y Esquemas Criptográficos, 72 diapositivas.
- SItema19.ppt: Bibliografía, Enlaces y Tablas, 41 diapositivas.
- SItema20.ppt: Software de Prácticas de la Asignatura, 17 diapositivas.

Total documentación:
- 124 páginas en formato Word.
- 915 diapositivas en formato Power Point.

Puede descargar este libro gratuito desde la siguiente dirección:
http://www.criptored.upm.es/descarga/SItemas.zip




Más información:

Libro electrónico "Seguridad Informática y Criptografía V3.2
http://www.criptored.upm.es/descarga/SItemas.zip

Dr. Jorge Ramió Aguirre
http://www.lpsi.eui.upm.es/~jramio/

Otros documentos, libros y software de libre distribución en:
http://www.criptored.upm.es/

miércoles, 3 de marzo de 2004

Problemas de los antivirus perimetrales con algunas versiones de Bagle

Algunas de las numerosas variantes de Bagle aparecidas en estos
últimos días, y que forman parte de la plaga de gusanos que nos azota
actualmente, tienen la particularidad de propagarse como un archivo
ZIP protegido con contraseña. Esta característica ha supuesto un
contratiempo para los antivirus, en especial para los situados en
los servidores de correo, que en principio no contaban con mecanismos
para detectar este tipo de archivos, de forma que estas muestras
llegaban infectadas al buzón de los usuarios.

Este problema ya lo predecíamos en Hispasec el pasado diciembre, bajo
el título "Gusano invisible a filtros y antivirus perimetrales"
(http://www.hispasec.com/unaaldia/1863). A continuación reproducimos
un par de extractos de aquella nota:

"Desde el punto de vista de un antivirus en el perímetro la detección
se produce a través del análisis del código. Una vez extraído el
ejecutable que se encuentra en el ZIP, se compara su código con una
base de datos de firmas de virus (porciones de código de los virus
conocidos). Si existe coincidencia, hemos encontrado al gusano.

Si además de comprimir, utilizamos funciones de contraseña y cifrado,
podemos obtener un archivo que contiene un ejecutable que los
antivirus no pueden extraer y, por tanto, comprobar si se trata de un
virus o no. Para que el virus sea efectivo debe, mediante algún tipo
de engaño, proporcionar la contraseña al usuario y convencerlo para
que lo descomprima y ejecute."

[..]

"Pero, ¿que ocurre si el gusano es capaz de comprimirse y cifrarse en
base a una contraseña al azar antes de cada autoenvío?. En ese caso
tendríamos envíos de archivos con aspectos externos diferentes, ya que
la contraseña se utiliza como clave para el cifrado simétrico del
archivo, dando como resultado diferentes archivos, con diferentes
firmas, según la contraseña utilizada.

Llegados a este punto tendríamos un archivo protegido, de forma que
los antivirus no pueden examinar su interior, y que tampoco podrían
reconocerlo por su aspecto exterior ya que varía en cada envío al
utilizar diferentes contraseñas."

Esta técnica ha sido la utilizada por algunas variantes de Bagle, que
llegan al usuario en un mensaje donde se le facilita una contraseña
para que puedan abrir el archivo ZIP adjunto. Veamos algunos mensajes
de ejemplo, algunos más elaborados como:

Dear user, the management of [dominio del destinatario] mailing
system wants to let you know that, Your e-mail account has been
temporary disabled because of unauthorized access.

Advanced details can be found in attached file.

In order to read the attach you have to use the following
password: 21049.


O tan simples como:

archive password: 38902

Si tenemos un antivirus instalado en nuestro PC, en estos casos el
problema es menor, ya que en vez de detectar el gusano cuando llega
a nuestro buzón, simplemente lo detectaría más tarde, si engañados
por el mensaje introducimos la contraseña e intentamos acceder al
interior del ZIP. Al extraerlo o ejecutarlo se realiza una copia
del ejecutable original en el disco, momento en el cual nuestro
antivirus residente puede identificarlo sin problemas.

El auténtico problema de esta técnica se presenta en los antivirus
perimetrales, por ejemplo los que están instalados en el servidor
de correo. Cuando el ZIP protegido con contraseña pasa por el servidor
de correo, el motor antivirus no podía examinar los archivos que
esconde en su interior y determinar si están infectados o no. El
resultado es que el archivo ZIP pasa al buzón de los usuarios, y éstos
pueden tener una falsa sensación de seguridad al creer que su servidor
de correo les detecta cualquier tipo de virus o gusano.

En la nota del pasado diciembre, donde comentábamos este tipo de
problemas, también apuntábamos una posible solución en el caso de los
ZIP protegidos con contraseña:

"Si nos basamos en el formato ZIP, que ya de por si tiene algunas
debilidades por diseño en su algoritmo, existen diversas soluciones
para atajar este hipotético gusano en tránsito, por ejemplo se
almacena en el ZIP en texto claro algunos datos como el nombre,
tamaño o CRC del archivo original, que podría permitir detectarlo de
forma rápida si el gusano no utiliza funcionalidades extras para
modificar algunos de sus aspectos más externos."

Este método es el utilizado por soluciones antivirus como NOD32,
que nos conste el primero en detectar las variantes de ZIP con
contraseñas, o Panda, que también incorpora este tipo de
reconocimiento. Estas soluciones pueden detectar los ZIP protegidos
que Bagle infecta, sin necesidad de conocer la contraseña.

Otras casas han optado por otro camino, por ejemplo Kaspersky o
BitDefender, que consiste en identificar la contraseña en el cuerpo
del mensaje y utilizarla para poder abrir el ZIP protegido y
analizar el ejecutable de su interior.

Sin entrar en detalles, tampoco se trata de dar ideas, es bastante
obvio que ambos métodos tienen sus propias debilidades intrínsecas,
y que podrían ser también burladas por futuras variantes de forma
fácil. En cualquier caso lo importante es la capacidad de reacción
que algunas casas antivirus están demostrando para adaptarse a las
nuevas amenazas, y exigir al resto de motores antivirus, que no lo
hayan hecho ya, incorporen cuanto antes éstas u otras soluciones.

Dejando a un lado las soluciones antivirus, otras medidas que se
están mostrando eficaces contra este tipo de gusanos van desde
simples políticas en el tipo de archivos permitidos en el correo
electrónico, filtros por contenidos, o filtros antispam.

Por último, hacer hincapié una vez más, que si bien los antivirus
y filtros perimetrales representan una capa importante en la
protección de una red, el punto crítico a proteger sigue siendo
el PC o la estación de trabajo, ya que por definición hay formatos
o protocolos que no permiten analizar los contenidos desde el
perímetro. Por eso nunca debemos descuidar el antivirus en nuestro
ordenador de trabajo, de manera independiente a las soluciones
de seguridad instaladas en el servidor de correo o similares.


Bernardo Quintero
bernardo@hispasec.com


Más información:

01/12/2003 - Gusano invisible a filtros y antivirus perimetrales
http://www.hispasec.com/unaaldia/1863