viernes, 30 de abril de 2004

Denegación de servicio en diversos productos Symantec Client Firewall

Se ha descubierto una vulnerabilidad en varios productos de Symantec
Client Firewall que puede ser explotada por usuarios maliciosos para
provocar una denegación de servicio dejando el sistema colgado.

Los productos afectados son los siguientes:
* Symantec Norton Internet Security y Professional 2003, 2004
* Symantec Norton Personal Firewall 2003, 2004
* Symantec Client Firewall 5.01, 5.1.1
* Symantec Client Security 1.0, 1.1

La vulnerabilidad existe en SYMNDIS.SYS cuando intenta analizar las
Opciones TCP de un paquete TCP. Cuando el atacante crea un paquete
TCP con una opción TCP de SACK (05) o Alternate Checksum Data (0F)
seguido de una longitud de 00, el controlador SYMNDIS.SYS cae en un
bucle infinito y provoca que el sistema operativo se cuelgue
completamente, hasta el punto de que sea imposible acceder al sistema
desde cualquier parte del GUI o del teclado o ratón.

La única forma de recuperar la funcionalidad del sistema será
reiniciar el ordenador. El atacante sólo necesitará enviar el paquete
malicioso a cualquier puerto del sistema independientemente de que el
puerto esté abierto o no.

Se recomienda a los usuarios afectados actualizar a la mayor brevedad
posible. Los parches están disponibles mediante LiveUpdate.


Antonio Ropero
Antonior@hispasec.com


Más información:

EEYEB-20040309
http://www.eeye.com/html/Research/Upcoming/20040309.html

Symantec Client Firewall Denial of Service Vulnerability
http://www.sarc.com/avcenter/security/Content/2004.04.20.html

jueves, 29 de abril de 2004

Desbordamiento de búffer por nombres largos en Windows e Internet Explorer

Se ha descubierto una grave vulnerabilidad en Windows e Internet
Explorer que podría ser explotada por usuarios maliciosos para
comprometer el sistema de un usuario.

La vulnerabilidad, descubierta en su momento por Rodrigo Gutierrez se
debe a una falta de comprobación de tamaños en variables dinámicas, y
provoca un desbordamiento de búffer que afecta tanto al Explorador de
Windows como el de Internet. El problema puede presentarse cuando se
realiza una conexión a un servidor de ficheros que contenga recursos
compartidos cuyo nombre sea especialmente largo (de unos 300 bytes) y
que no tenga letras en minúscula.

Si se consigue engañar a un usuario para que acceda a un recurso de este
tipo, ya sea en una página web o un servidor de archivos, se podría
ejecutar código remoto en su sistema.

Según un artículo del Knowledge Base de Microsoft con código 322857 y
con fecha de última revisión de 23 de junio del 2003, este problema ya
estaría resuelto con los Service Pack 1 para XP y 4 para Windows 2000.
Sin embargo, la vulnerabilidad ha sido reproducida en sistemas
totalmente parcheados y también afecta a las versiones 95, 98 y Me de
Windows. No se ha comprobado si el problema es reproducible en NT 4.0 y
2003. Las versiones afectadas de Internet Explorer serían 5.01, 5.5 y 6.

A la espera de un parche de la compañía de Redmond que corrija esta
vulnerabilidad se recomienda:
* Restringir el tráfico al exterior para delimitar zonas de confianza en
entornos con sistemas de archivos compartidos.
* Desactivar "Clientes para redes Microsoft" en los dispositivos de red.
De esta forma se evitará la compartición de recursos.


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft's Explorer and Internet Explorer long share name buffer overflow
http://lists.netsys.com/pipermail/full-disclosure/2004-April/020524.html

Microsoft KB article 322857
http://support.microsoft.com/default.aspx?scid=kb;en-us;322857

miércoles, 28 de abril de 2004

Información y software de criptografía de libre distribución

A raíz del criptojuego de una-al-dia son muchos los lectores que se
han mostrado interesados por conocer más detalles sobre los algoritmos
de cifrado clásico y la criptografía en general. Una excelente fuente
de información puede encontrarse en la versión v3.0 del cuaderno de
prácticas en html de la asignatura Seguridad Informática que imparte
el profesor de la Universidad Politécnica de Madrid, Dr. Jorge Ramió
Aguirre. Todo el material docente, así como las aplicaciones para su
desarrollo, son de libre distribución.

Esta nueva versión cuenta con 33 enunciados de prácticas, con sus
correspondientes preguntas de informe final y 15 test de evaluación
por bloques de prácticas.

Bloque Fundamentos Teóricos:
Entropía de la Información
Características del Lenguaje
Operaciones Básicas en Matemática Discreta
Generadores de un Cuerpo y Problemas NP

Bloque Cifradores Clásicos:
Cifrado por Desplazamiento Puro
Cifrado por Decimación Pura
Cifrado por Decimación y Desplazamiento
Cifrado de Vigenère
Cifrado de Beaufort
Cifrado de Clave Continua
Cifrado de Vernam
Cifrado por Filas
Cifrado por Columnas
Cifrado de Playfair
Cifrado de Hill Digrámico
Cifrado de Hill N-grámico

Bloque Cifradores Simétricos:
DES Modo ECB
Debilidades y Ataques a DES
IDEA Modo ECB

Bloque Funciones Hash:
Función hash MD5
Función hash SHA-1

Bloque Cifradores Asimétricos:
Mochila de Merkle-Hellman
Intercambio de Clave de DH
Generación de Claves RSA
Cifrado RSA con gen RSA
Cifrado RSA con ExpoCrip
Firma Digital RSA
Cifrado ElGamal
Firma Digital ElGamal
Firma Digital DSS

Bloque Aplicaciones Criptográficas:
PGP Versión 2.6.3i
Creación de Claves y Cifrado Convencional con PGP 8.0
Gestión de Claves y Cifrado Híbrido con PGP 8.0

Descarga del cuaderno de prácticas en html:
http://www.criptored.upm.es/descarga/Labsegur.zip

Descarga del software de cifra RSA, ElGamal y DSS:
http://www.criptored.upm.es/descarga/ExpoCrip.zip

Descarga del software de generación de claves y cifra RSA
http://www.criptored.upm.es/descarga/genRSA.zip

Descarga del software de cifra y ataques al DES:
http://www.criptored.upm.es/descarga/safeDES.zip

Descarga del software de cifrado y ataques a Hill:
http://www.criptored.upm.es/descarga/Hill.zip

Descarga del software de funciones hash MD5 y SHA-1:
http://www.criptored.upm.es/descarga/MD5-SHA1.zip

Descarga del software de cifra y gestión de claves con IDEA:
http://www.criptored.upm.es/descarga/cryptoidea.zip

Descarga del software del tutorial en html de PGP 263i
http://www.criptored.upm.es/descarga/tutorialPGP.zip

Descarga del software para operaciones con números grandes
http://www.criptored.upm.es/descarga/fortaleza.zip

Descarga del software libro electrónico de criptografía clásica
http://www.criptored.upm.es/descarga/setuplecc.zip

Descarga del software de cifra y ataques a mochilas MH
http://www.criptored.upm.es/descarga/mochilas.zip

Descarga del software de cifra y ataques en criptografía clásica
http://www.criptored.upm.es/descarga/cripclas.zip


Bernardo Quintero
bernardo@hispasec.com


Más información:

Dr. Jorge Ramió Aguirre
http://www.lpsi.eui.upm.es/~jramio/

Otro software de libre distribución
http://www.criptored.upm.es/paginas/software.htm

martes, 27 de abril de 2004

Nueva variante del gusano Bagle se distribuye junto a fotografías

Detectada en las últimas horas una importante propagación de la nueva
variante del gusano Bagle que, entre otras formas de envío, puede
simular ser un mensaje de una mujer, contando con diferentes
fotografías que incluye en los e-mails para dotarlos de mayor
realismo. Además de autoenviarse desde los sistemas infectados por
e-mail e intentar propagarse por las redes de intercambio P2P, el
gusano incluye una puerta trasera que permite a un atacante acceder
de forma remota a los ordenadores afectados.

Desde su detección existe cierta confusión en su denominación, ya
que según la casa antivirus puede aparecer con el sufijo W, X, Y,
Z o AA:

eTrustAV -> Win32/Bagle.W.Worm
Kaspersky -> I-Worm.Bagle.y
McAfee -> W32/Bagle.z@MM
NOD32 -> Win32/Bagle.X
Norman -> Bagle.AA@mm
Panda -> W32/Bagle.AA.worm
Sophos -> W32/Bagle-W
Sybari -> I-Worm.Bagle.Y
Symantec -> W32.Beagle.W@mm
TrendMicro -> WORM_BAGLE.X

Por si los diferentes sufijos no fueran suficiente, hay que añadir
además que esta variante de Bagle se puede presentar de diversas
formas, como por ejemplo un dropper en un archivo .VBS, o en un
.ZIP protegido con contraseña, lo que a su vez origina nuevas
denominaciones como "Win32/Bagle.X.dropper" o "W32/Bagle.z!vbs",
entre otras.

A modo de resumen, esta nueva versión de Bagle se propaga a través
del correo electrónico con diferentes textos y tipos de archivo,
además se copia en las carpetas del sistema que contengan la cadena
"shar" en su nombre, que coincide con los directorios de archivos
compartidos de varias aplicaciones P2P como KaZaa, Bearshare o
Limewire.

En su faceta como troyano, el gusano instala una puerta trasera en
el puerto TCP 2535 para permitir la entrada al ordenador de forma
remota.


Desinfección manual

En caso de infección, es posible desinfectar el sistema con unos
sencillos pasos:

* Reiniciar el sistema en Modo Seguro (pulsando la tecla F8 antes
de que comience la carga de Windows).

* Borrar del directorio sistema de Windows (por defecto
c:\Windows\system o c:\Winnt\system32) los siguientes archivos:

drvsys.exe
drvsys.exeopen
drvsys.exeopenopen

* Borrar la entrada "drvsys.exe" en la siguiente clave del registro
de Windows (con la utilidad regedit.exe):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


Así nos llega por e-mail

El mensaje, en el que se propaga a través del correo electrónico,
tiene las siguientes características:


Remitente (puede ser uno de los siguientes):

lizie@[dominio]
annie@[dominio]
ann@[dominio]
christina@[dominio]
secretGurl@[dominio]
jessie@[dominio]
christy@[dominio]


Asunto (puede ser uno de los siguientes):

Hello!
Hey!
Let's socialize, my friend!
Let's talk, my friend!
I'm bored with this life
Notify from a known person ;-)
I like you
I just need a friend
I'm a sad girl...
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
Re: Incoming Fax
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Request response
Site changes
Re: Hi
Encrypted document
Hello [nombre],
Dear [nombre],
Dear [nombre], It's me ;-)
Hi [nombre],
Hey [nombre], It's me ->
Hi, It's me
[nombre],
Hey [nombre],
Hey,
Hello,
Hi,
I Like You!
Don't you remember me?
Kewl :-)
I need a friend...
I just want to talk with someone...
I like reading the books and socializing, let me talk with you...
It's time to find a friend!


cuerpo:

Está compuesto por varias secciones en las que puede seleccionar
diferentes textos, si bien los omitimos por espacio, ya que listar
todas las opciones sería muy extenso y no se considera información
estrictamente necesaria. Como muestra un ejemplo de los diferentes
cuerpos que puede componer el gusano:

Hey [nombre destinatario],

It's me -> [fotografía JPG de una mujer]

Searching for the right person,for real man, who will really cares and love me.

For details see the attach.

Cheers, Christy


Adjunto:

Formado por alguno de los siguientes nombres:

Information
Details
Readme
Document
Info
Details
MoreInfo
Message


Con alguna de las siguientes extensiones:

.hta
.vbs
.exe
.scr
.com
.cpl
.zip (protegido con contraseña)

El archivo comprimido con contraseña puede contener en su interior,
además del ejecutable del gusano con un nombre al azar, otros archivos
con extensión .txt, .doc, .vxd, .bat o .dll, en un intento de modificar
el tamaño y aspecto del .ZIP para dificultar la labor de detección por
parte de los antivirus.

La contraseña, que permite al usuario descomprimir el archivo .ZIP
protegido, se encuentra en el cuerpo del mensaje infectado.


Infección y propagación

Si un usuario ejecuta el archivo infectado, aparecerá una ventana
con el siguiente texto: "Can't find a viewer associated with the file."

A continuación el gusano se copia con los nombres drvsys.exe,
drvsys.exeopen y drvsys.exeopenopen en la carpeta de sistema de
Windows. Además incluye una entrada en el registro de Windows,
descrita anteriormente en el apartado de desinfección manual, para
asegurarse la ejecución del gusano en cada inicio de sistema.

El gusano contiene una larga lista de nombres (omitida por su
extensión) correspondientes a procesos de antivirus, firewalls
personales, y otras soluciones de seguridad, que podrían poner
trabas a su misión. Si encuentra alguno de estos procesos en memoria
procede a finalizarlos.

Para propagarse por e-mail, el gusano recolecta las direcciones de
correo electrónico que encuentra en los archivos del sistema infectado
con extensión .adb .asp .cfg .cgi .dbx .dhtm .eml .htm .jsp .mbx .mdx
.mht .mmf .msg .nch .ods .oft .php .pl .sht .stm .tbb .shtm .txt .uin
.wab .wsh .xls .xml

A la hora de enviarse, evita hacerlo a direcciones que contengan
algunas de las siguientes cadenas: @hotmail @msn @microsoft rating@
f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@
info@ nobody@ noone@ kasp admin icrosoft support ntivi unix bsd linux
listserv certific sopho @foo @iana free-av @messagelab winzip google
winrar samples abuse panda cafee spam pgp @avp. noreply local root@
postmaster@

En un intento de propagarse a través de las redes P2P, el gusano
se copia en las carpetas que contengan la cadena "shar" con los
siguientes nombres de archivos:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

De forma que estos ejecutables, que simulan diversos programas y
utilidades, y que en realidad contienen el código del gusano, pasarán
a ser compartidos en las redes P2P y podrán ser descargados por otros
usuarios que se infectarán si los llegan a ejecutar.


Puerta trasera

Como ya comentamos, el gusano instala una puerta trasera en los
sistemas infectados a través del puerto TCP 2535. En lo que parece
un intento de notificar al creador del gusano las direcciones de los
sistemas infectados, el gusano llama a un script PHP en diferentes
sitios webs.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Win32.Bagle.W
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=38985

Bagle.Y
http://www.f-secure.com/v-descs/bagle_y.shtml

W32/Bagle.z@MM
http://vil.nai.com/vil/content/v_122415.htm

W32/Bagle.AA.worm
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=46632

W32/Bagle-W
http://www.sophos.com/virusinfo/analyses/w32baglew.html

W32.Beagle.W@mm
http://www.sarc.com/avcenter/venc/data/w32.beagle.w@mm.html

lunes, 26 de abril de 2004

Solución al criptojuego de "una-al-dia"

Coincidiendo con la entrega número 2.000 de "una-al-dia" introducimos
al inicio de los boletines, sin previo aviso, un texto cifrado. En la
entrega de hoy desvelamos el contenido y premiamos a los lectores más
curiosos.

La idea era hacer un guiño a los lectores de una-al-dia proponiendo
un pequeño reto para conmemorar el número redondo que supone superar
las 2.000 entregas de nuestras noticias diarias. Con el ánimo de que
todo el mundo pudiera participar se optó por utilizar un algoritmo de
cifrado clásico fácil de descifrar.

Tal vez lo más complicado era percatarse de la existencia del texto
cifrado, situado al comienzo del boletín en un espacio reservado en
ocasiones para anuncios, por lo que sin duda para muchos de nuestros
lectores pasó desapercibido. Una vez identificado, había que dedicar
algo de tiempo a su análisis sin tener un fin justificado. Apelábamos
a la curiosidad.

A continuación reproducimos una de las cabeceras publicadas:

---------------------- criptograma ----------------------
bvs pl vmc km zxsheulk zp cmqrsqvd dgw opt wctjiiha
wcvae gzbw iepxq h tsqojevvzad ajvqii zxsheulk hjnls evu
sctww fl ymt swe vhzvt
---------------------- criptograma ----------------------


Lista de los 5 primeros lectores que nos enviaron el texto descifrado:

- Sebastian García
Investigador en Seguridad Informática
Buenos Aires

- Iñaki Páramo Bocigas
Programador Web
Bizkaia

- "hathor"
Ing. T. Telecomunicaciones sector privado
Madrid

- Antonio Izquierdo Manzanares
Grupo de Seguridad T.I y C., dep. Informática. Univ. Carlos III
Madrid

- Jose Antonio López
Ing. Telecomunicaciones, administrador de sistemas E.P.S. Castelldefels
Barcelona

Como premio simbólico, a todos ellos se les enviará una camiseta
conmemorativa con el eslogan "yo una-al-dia" en el dorso y, en la
espalda, una de nuestras claves públicas PGP con algunos caracteres
resaltados, de forma que en la distancia se puede leer el texto
"HISPASEC".

Detalle en la espalda de las camisetas:
http://www.hispasec.com/images/laboratorio/unaaldia/pgpcamiseta.png


La mayoría coinciden en que en primer lugar pensaron que se trataba de
un cifrado de César y, tras no obtener resultados, como segunda opción
probaron con el algoritmo de Vigenère de formas más o menos intuitivas,
basadas en sospechar parte del texto en claro o la clave.

Efectivamente el texto cifrado utilizaba el algoritmo de Vigenère,
basado en un sistema de sustitución, que se diferencia con el de César
en que en vez de ser monoalfabético se utilizan sucesivamente varios
valores según una clave.

Aplicando al texto cifrado el algoritmo de Vigenère con la clave
"hispasec" obtenemos:

---------------------- criptograma ----------------------
una al dia de hispasec ha cumplido dos mil entregas
envia este texto a laboratorio arroba hispasec punto com
antes de que sea tarde
---------------------- criptograma ----------------------

Por último, en nombre de todo el equipo de Hispasec, quiero agradecer
a todos los lectores, usuarios, empresas y organismos, el apoyo e
interés demostrados por una-al-dia, principal estímulo de nuestro
trabajo y auténticos "culpables" de que ya pensemos en celebrar el
próximo número redondo.

¡A por los 3.000!


Bernardo Quintero
bernardo@hispasec.com



domingo, 25 de abril de 2004

Desbordamiento de búffer en Apache Web Server 1.3.29

Se ha anunciado la existencia de un desbordamiento de búfer en
los servidores web Apache instalados en entornos de 8 y 16 bits.

Se ha descubierto un desbordamiento de búfer en el servidor web
Apache cuando se ejecuta en una arquitectura que no sea de 32 bits. Un
usuario remoto podría aprovechar este problema para ejecutar código
arbitrario.

El problema se presenta por un error en la función ebcdic2ascii() que
se encuentra en el archivo 'src/ap/ap_ebcdi.c', y es debido a que se
copia un valor de 64 bytes a una variable que puede no tener el tamaño
adecuado en algunas arquitecturas antiguas. De acuerdo con el informe,
varias funciones hacen llamadas a dicha función vulnerable, como
mod_auth, mod_auth3 y mod_auth4.


Julio Canto
jcanto@hispasec.com


Más información:

Apache Web Server Has Buffer Overflow in ebcdic2ascii() on
Older Processor Architectures
http://www.securitytracker.com/alerts/2004/Apr/1009934.html

sábado, 24 de abril de 2004

Microsoft alerta sobre la explotación de una vulnerabilidad en sus sistemas

A continuación reproducimos el comunicado que Microsoft está haciendo
llegar a sus clientes, a través de e-mail y web, alertando sobre la
explotación de la vulnerabilidad por desbordamiento de buffer en el
protocolo Private Communications Transport (PCT) de la librería
Microsoft Secure Sockets Layer (SSL), descrita y parcheada en el
boletín MS04-11.



Estimado cliente,

Hoy Microsoft tuvo conocimiento de la disponibilidad de código en
Internet que tiene como objetivo aprovechar las vulnerabilidades
publicadas en el boletín de seguridad del pasado 13 de Abril.
Probablemente, usted o alguien de su compañía recibiera dicho boletín,
en el que se anunciaban las actualizaciones de seguridad.

Como cliente, nos ponemos nuevamente en contacto con usted para
asegurarnos de que cuenta con la información y con los recursos
necesarios para afrontar cualquier incidencia de seguridad que pudiera
surgir. Si usted todavía está evaluando estas actualizaciones, le
recomendamos que acelere dicho proceso de análisis y las instale de
manera inmediata.

Detalles de la alerta:

- Microsoft es consciente de la disponibilidad de código en Internet,
que persigue aprovechar las vulnerabilidades anunciadas en el boletín
de seguridad del pasado 13 de Abril. Estamos analizando la situación
para ayudar a nuestros clientes a estar protegidos. Específicamente,
los informes detallan el aprovechamiento del código que intenta
utilizar una vulnerabilidad en IIS PCT/SSL en aquellos servidores que
utilicen Internet Information Services y que tengan activada la
autentificación de Secure Socket Layer. Esta vulnerabilidad está
recogida en el boletín MS04-11. Aquellos clientes que ya lo hayan
implementado están protegidos contra este riesgo.

- Microsoft considera creíbles estas informaciones e insta a todos los
clientes a instalar inmediatamente la actualización MS04-11, así como
el resto de actualizaciones críticas anunciadas el pasado 13 de Abril.

- Aquellos clientes que estén evaluando MS04-11, deben seguir los
pasos especificados para la vulnerabilidad PCT/SSL descrita en MS04-11.
Adicionalmente, Microsoft ha publicado un artículo, en el cual,
proporciona más información sobre SSL y cómo desactivar PCT sin
necesidad de instalar MS04-11. Dicho artículo está disponible en el
siguiente enlace:
http://support.microsoft.com/default.aspx?scid=kb;en-us;187498

- Es posible que en las próximas semanas aparezcan nuevos códigos y
pruebas de concepto, incluyendo gusanos y virus, que aprovechen las
vulnerabilidades del boletín de seguridad de Abril de 2004.

Si después de leer el boletín mencionado anteriormente, tiene alguna
pregunta sobre las actualizaciones de seguridad y/o su implementación,
le recomendamos que se ponga en contacto con el Servicio de Soporte
de Microsoft [teléfono según pais].






Más información:

14/04/2004 - Actualización crítica para sistemas Windows
http://www.hispasec.com/unaaldia/1998

Information about code that attempts to exploit PCT in SSL
http://www.microsoft.com/security/incident/pctdisable.asp

viernes, 23 de abril de 2004

Guía para la instalación de OpenSSH (y II)

Aprovechando la reciente publicación de la versión 3.8.1 de
OpenSSH, la versión libre de la familia de protocolos SSH,
ofrecemos una breve guía sobre como obtenerlo, verificar su
integridad, compilarlo, instalarlo, así como unas nociones
básicas acerca la configuración del mismo.

Instalación

Finalizada la compilación sin errores disponemos de una copia
personalizada de OpenSSH lista para su instalación, realizando
los siguientes pasos:

$ su
Password:

# find /* > OpenSSH1
# make install
# find /* > OpenSSH2
# diff OpenSSH1 OpenSSH2 > OpenSSH-Installed

Los pasos que realizamos son los siguientes:

En primer lugar, nos hacemos administrador del sistema, debido a
que la instalación de OpenSSH debe realizarse en determinados
directorios sobre los que únicamente el administrador tiene
privilegios de escritura.

A continuación obtenemos una relación de todos los archivos
existentes en el sistema y la salvamos en un archivo temporal.

El tercer paso consiste en ejecutar make install para proceder a
la instalación de OpenSSH.

Repetimos la operación de obtener un listado de todos los
archivos existentes en el sistema. Comparando con diff las dos
listas, antes y después de la instalación, obtendremos la
relación de todos los cambios que ha realizado la instalación de
OpenSSH en nuestro sistema.


Verificación

La forma más simple de verificar que la nueva versión es
totalmente operativa consiste en probarla. Para ello, es
necesario ejecutar el servidor de SSH y realizar una serie de
comprobaciones básicas

# /usr/sbin/sshd
# telnet localhost 22
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
SSH-2.0-OpenSSH_3.8.1p1

Hasta ahora todo parece correcto. A continuación, podemos
utilizar el cliente ssh para realizar una conexión al servidor:

# ssh usuario@localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is 05:75:98:18:fd:52:ae:1b:8a:2f:7f:1c:0b:5b:ff:d6.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
usario@localhost's password:
$

El cliente SSH ha podido establecer la conexión con el servidor,
nos avisa de que no puede establecer la autenticidad del servidor
ya que no identifica la clave pública del mismo dentro del
archivo de sistemas de confianza por lo que nos pide si realmente
queremos conectar con él. A continuación pide la contraseña del
usuario y, si facilitamos la correcta, nos devuelve el indicador
del shell.

Si esto no funciona. es hora de utilizar las funciones de
depuración, tanto en el servidor (/usr/sbin/sshd -d3) como en el
cliente (ssh -v) que son de gran ayuda para identificar los
problemas.


Configuración de SSH

Si lo que hemos realizado es una actualización de OpenSSH, ya
hemos terminado.

En cambio, si es una instalación nueva, existe un paso adicional:
crear los archivos de configuración del servidor (sshd) y del
cliente (ssh). Vamos a mostrar una configuración simple que pueda
servir de base para personalizar a los requerimientos especiales
de cada instalación.


Archivo de configuración del servidor SSH

Editar el archivo /etc/ssh/sshd_config tomando como ejemplo el
que incluimos a continuación:

--- sshd_config ---

Port 22
Protocol 2
ListenAddress x.x.x.x
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 768
LoginGraceTime 60
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts yes
IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding no
X11DisplayOffset 10
PrintMotd yes
KeepAlive yes
SyslogFacility AUTHPRIV
LogLevel INFO
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication no
PasswordAuthentication yes
PermitEmptyPassowrds no
AllowUsers sysadmin
UsePrivilegeSeparation yes
Subsystem sftp /usr/libexec/openssh/sftp-server

--- sshd_config ---

En esta configuración, indicamos que sólo se utiliza el protocolo
SSHv2, la interfaz (indicada por la dirección IP) asociada al
servidor, la ubicación de las claves del servidor, el tamaño de
la clave y la auto-regeneración automática de la misma, ignorar
los archivos rhosts y shosts, los tipos de autenticación que se
permiten (como hemos configurado el servidor para que sólo
utilice SSHv2, no permitimos la utilización de claves RSA para la
autenticación), etc.

Todos los parámetros que utilizamos en esta configuración están
pensados para un servidor SSH con autenticación de usuarios
mediante contraseña y utilizando las diversas opciones de
seguridad disponibles.


Archivo de configuración del cliente SSH

El archivo de configuración del cliente es /etc/ssh/ssh_config. Aconsejamos
utilizar las siguientes opciones:

--- ssh_config ---

Host *
ForwardAggent no
ForwardX11 no
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication no
PasswordAuthentication yes
FallBackToRsh no
UseRsh no
BatchMode no
CheckHostIP yes
StrictHostKeyChecking yes
IdentityFile ~/.ssh/identity
IdentityFile ~/.ssh/id_dsa
IdentityFile ~/.ssh/id_rsa
Port 22
Protocol 2
Cipher blowfish
EscapeChar ~

Host x.x.x.x
# Opciones especificas para
# un servidor SSH concreto

--- ssh_config ---

En este archivo de configuración se activan las características
generales de seguridad del cliente SSH para realizar únicamente
conexiones con protocolo SSHv2, permitiendo la autenticación
mediante contraseñas.

Asimismo se deshabilitan expresamente algunas opciones que pueden
provocar agujeros en la seguridad, como la posibilidad de
utilizar rsh si no es posible establecer una conexión SSH.

Adicionalmente, en función de la versión del sistema operativo
que se utilice existen otros archivos que puede ser necesario
configurar, tales como la configuración del soporte PAM de
OpenSSH (habitualmente, /etc/pam.d/sshd) y el script para
ejecutar sshd automáticamente cada vez que arranca el sistema.
Debido al carácter general de este boletín, no podemos cubrir
todas las posibles variantes, por lo que el lector deberá acudir
a la documentación específica de su sistema.


Xavier Caballé
xavi@hispasec.com


Más información:

OpenSSH
http://www.openssh.org

jueves, 22 de abril de 2004

Guía para la instalación de OpenSSH (I)

Aprovechando la reciente publicación de la versión 3.8.1 de
OpenSSH, la versión libre de la familia de protocolos SSH,
ofrecemos una breve guía sobre como obtenerlo, verificar su
integridad, compilarlo, instalarlo, así como unas nociones
básicas acerca la configuración del mismo.

OpenSSH es una implementación libre (se distribuye bajo una
licencia BSD) de la familia de protocolos SSH, que ofrecen una
alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp
y similares. Todo el tráfico entre un servidor SSH y un cliente
SSH se realiza de forma cifrada y se aplican fuertes mecanismos
para garantizar la autenticación.

Telnet y FTP fueron, en su origen, unos protocolos básicos para
la administración de sistemas. Hoy, no obstante, se consideran
totalmente obsoletos y muchos sistemas ya no los incluyen en su
configuración por defecto. El motivo es que toda la información
(incluyendo las credenciales del usuario) se transmite en claro
por la red, de forma que pueden ser fácilmente interceptadas. SSH
soluciona esto cifrando todo el tráfico.

En este boletín, explicamos los pasos necesarios para obtener,
compilar e instalar OpenSSH en un sistema Linux.


Obtención y verificación de OpenSSH

Como hemos indicado, OpenSSH se distribuye bajo licencia BSD lo
que permite descargarlo de la red con su código fuente completo.
Actualmente, la mayoría de distribuciones de Linux (y otros
sistemas operativos) ofrecen paquetes que permiten su rápida
instalación. No obstante, estos paquetes generalmente no están
optimizados para cada plataforma e incluyen diversas opciones que
no siempre son interesantes desde el punto de vista de la
seguridad.

Como veremos, con muy poco esfuerzo podemos realizar todo el
proceso de instalación de una forma rápida. De esta forma, el
administrador de una máquina sabrá exactamente las opciones del
programa.

Para descargar OpenSSH tenemos que acceder a la página web del
producto, http://www.openssh.org. OpenSSH dispone de dos líneas
de desarrollo: la nativa, para el sistema operativo OpenBSD y la
portable que funciona en virtualmente cualquier sistema operativo
derivado de Unix. A nivel funcional, ambas versiones son
idénticas.

En el caso de Linux, necesitamos la versión portable. Para
obtenerla, hay que ir a http://www.openssh.org/portable.html y,
en la lista de servidores, seleccionar uno que sea cercano a
nuestra ubicación geográfica.

En el caso de España, para descargar la última versión utilizamos
el servidor de RedIRIS. Una forma rápida de descargarlo es
utilizando la utilidad WGET:

$ wget ftp://ftp.rediris.es/mirror/OpenBSD/OpenSSH/portable/openssh-3.8p1.tar.gz

Una vez descargado y antes de realizar cualquier operación es
preciso verificar su integridad para tener la certeza que el
archivo no ha sido modificado de ninguna forma.

Existen dos métodos para verificar la integridad:

a) Verificación de la suma de comprobación md5. No es el mejor
método de garantizar la integridad del archivo, pero es fácil de
realizar:

$ md5sum openssh-3.8.1p1.tar.gz
1dbfd40ae683f822ae917eebf171ca42 openssh-3.8.1p1.tar.gz

El código que indica la utilidad md5sum es la suma de
comprobación. En el anuncio de cada nueva versión de OpenSSH se
indica esta suma, lo que nos permite comprobar la integridad del
archivo.

b) El segundo método consiste en verificar la firma digital del
archivo. En la misma ubicación donde se encuentra OpenSSH,
podemos obtener la firma digital del archivo.

Una práctica habitual consiste en descargar la firma digital de
un servidor diferente. Como en todos los servidores en teoría los
archivos son iguales, es indiferente si verificamos la firma
descargada de un servidor con el archivo descargado de otro. De
esta forma, lo que conseguimos es reducir la posibilidad –ínfima-
que un atacante haya conseguido modificar la firma digital del
archivo

Así pues, descargamos la firma digital del archivo, por ejemplo
desde un servidor en Noruega:

$ wget ftp://ftp.inet.no/pub/OpenBSD/OpenSSH/portable/openssh-3.8.1p1.tar.gz.sig

Y verificar la integridad del archivo:

$ gpg --verify openssh-3.8.1p1.tar.gz.sig
gpg: Signature made Sun 18 Apr 2004 02:52:21 PM CEST using DSA key ID 86FF9C48
gpg: Good signature from "Damien Miller (Personal Key) "

Esta operación nos garantiza que el archivo que hemos descargado
es una copia literal y no modificada del archive original firmado
(en esta caso) por Damien Miller. Una vez más, deberemos cotejar
con la documentación de OpenSSH si esta firma es la que
esperamos.

Puede suceder que nuestro archivo de firmas no disponga de la
clave pública de la persona que ha firmado el programa:

$ gpg --verify openssh-3.8.1p1.tar.gz.sig
gpg: Signature made Sun 18 Apr 2004 02:52:21 PM CEST using DSA key ID 86FF9C48
gpg: Can't check signature: public key not found

En este caso, es preciso importar la firma dentro de nuestro
anillo de firmas, firmarla y repetir la operación:

$ wget ftp://ftp.rediris.es/mirror/OpenBSD/OpenSSH/portable/DJM-GPG-KEY.asc

$ gpg --import DJM-GPG-KEY.asc
gpg: key 86FF9C48: public key imported
gpg: Total number processed: 1
gpg: imported: 1

$ gpg --sign-key djm@mindrot.org

pub 1024D/86FF9C48 created: 2001-02-26 expires: never trust: -/-
sub 2048g/AA2B1C41 created: 2001-02-26 expires: never
(1). Damien Miller (Personal Key)


pub 1024D/86FF9C48 created: 2001-02-26 expires: never trust: -/-
Fingerprint: 3981 992A 1523 ABA0 79DB FC66 CE8E CB03 86FF 9C48

Damien Miller (Personal Key)

How carefully have you verified the key you are about to sign actually belongs
to the person named above? If you don't know what to answer, enter "0".

(0) I will not answer. (default)
(1) I have not checked at all.
(2) I have done casual checking.
(3) I have done very careful checking.

Your selection? 2

$ gpg --verify openssh-3.8.1p1.tar.gz.sig
gpg: Signature made Sun 18 Apr 2004 02:52:21 PM CEST using DSA key ID 86FF9C48
gpg: Good signature from "Damien Miller (Personal Key) "
gpg: checking the trustdb
gpg: checking at depth 0 signed=4 ot(-/q/n/m/f/u)=0/0/0/0/0/1
gpg: checking at depth 1 signed=1 ot(-/q/n/m/f/u)=4/0/0/0/0/0


Compilación de OpenSSH

Después de descargar y verificar la integridad de OpenSSH,
podemos empezar propiamente dicha la compilación:

$ tar xvfz openssh-3.8.1p1.tar.gz
$ cd openssh-3.8.1p1

En vistas a personalizar y optimizar nuestra copia podemos
instruir al compilador de C para que saque el máximo provecho de
las características de cada procesador.

Así, si nuestro ordenador tiene un procesador es un Intel Pentium
4, podemos instruir al compilador para que optimice el código a
dicho procesador de la siguiente forma:

$ CFLAGS=”-O2 –march=i686 -funroll-loops”; export CFLAGS

En el caso de un procesador AMD K6, los parámetros serían:

$ CFLAGS=”-O2 -march=k6 -funroll-loops”; export CFLAGS

Nuevamente, consultando la documentación del compilador de C
podemos identificar los parámetros adecuados para nuestra
configuración

A continuación, ejecutamos el programa ./configure que tiene como
misión adaptar el proceso de compilación a las particularidades
de nuestro sistema.

Habitualmente se ejecuta ./configura sin ningún parámetro, aunque
también existen diversas opciones:

$ ./configure --prefix=/usr --sysconfdir=/etc/ssh \
--libexecdir=/usr/libexec/openssh --mandir=/usr/share/man \
--with-pam --with-ipaddr-display --with-ipv4-default \
--with-md5-passwords --with-zlib

Algunas de estas opciones son los valores por defecto en la
versión actual, pero pueden variar en próximas versiones.
Indicándolos expresamente nos aseguramos que se utilizaran los
valores indicados por nosotros.

La explicación de estos parámetros es la siguiente:

--prefix=/usr
--sysconfdir=/etc/ssh
--libexecdir=/usr/libexec/openssh
--mandir=/usr/share/man

Estas cuatro opciones son utilizadas para establecer las
ubicaciones por defecto utilizadas por SSH para los archivos de
configuración, las bibliotecas de soporte y las páginas man de
ayuda.

--with-pam

Habilitamos el soporte de PAM (Pluggable Authentication Module),
el sistema estándar de Linux y otros sistemas operativos que
permiten configurar los mecanismos de autenticación del usuario,
como la longitud de la contraseña, el período de validez de la
misma, etc…

--with-ipaddr-display

Utilizar la dirección IP en lugar del nombre de máquina.

--with-ipv4-default

Utilizar el protocolo IPv4.

--with-md5-passwords

Utilización de contraseñas cifradas con el algoritmo MD5

--with-zlib

Utilizar la biblioteca ZLIB para la compresión de las
comunicaciones.

./configure realizará la verificación de que disponemos de un
entorno válido para la compilación de OpenSSH y nos informará si
falta alguna dependencia o biblioteca de soporte.

Si el proceso finaliza sin ningún error, podemos empezar la
compilación del programa:

$ make

Este proceso se tomará su tiempo, que puede variar dependiendo de
la velocidad del ordenador y del disco duro. Es un buen momento
para levantarse, ir a la nevera y tomar un refresco.

[Continuará...]


Xavier Caballé
xavi@hispasec.com


Más información:

OpenSSH
http://www.openssh.org

miércoles, 21 de abril de 2004

Acceso a la clave de grupo en clientes Cisco IPSec VPN

Se ha descubierto una vulnerabilidad en el cliente Cisco IPsec VPN por
la cual un usuario local con posibilidad de ver la memoria de
aplicaciones puede determinar la clave de grupo de IPsec.


Cisco publicó una alerta de seguridad (con identificador 50600)
confirmando un problema anteriormente detectado con la implementación
de su IPSec VPN, y afirma que hay código de explotación en circulación.

En el aviso se confirma que las claves de grupo usada por el cliente
de IPSec para VPNs pueden ser tomadas de memoria tanto en plataformas
Linux como Windows.

La compañía no ha aportado una solución al problema por el momento,
pero recomienda que los usuarios de esta tecnología utilicen PKI y que
evalúen con cuidado los riesgos de utilizar esquemas de autenticación
basadas en claves de grupos.


Antonio Román
roman@hispasec.com


Más información:

Cisco Security Notice: Cisco IPsec VPN Implementation Group
Password Usage Vulnerability
http://www.cisco.com/warp/public/707/cisco-sn-20040415-grppass.shtml

martes, 20 de abril de 2004

Vulnerabilidades en el protocolo TCP

El CERT acaba de publicar un aviso ("Vulnerabilities in TCP") sobre una
vulnerabilidad en el protocolo TCP que puede ser utilizada por realizar
ataques de Denegación de Servicio (DoS) en aquellos servicios que se
basan en la utilización de sesiones TCP permanentes.

Potencialmente, el protocolo más afectado por esta vulnerabilidad es
BGP, Border Gateway Protocol, utilizado para el intercambio de
información de enrutamiento y de uso común en básicamente utilizado por
proveedores de acceso a Internet para mantener las tablas de
enrutamiento de las direcciones IP. Este protocolo utiliza conexiones
TCP persistentes, sin ningún tipo de autenticación entre los dos
extremos de la comunicación.

La vulnerabilidad descubierta (documentada en "Vulnerabilities Issues
in TCP" y verificable mediante una prueba de concepto que será
presentada en breve en una conferencia de seguridad) puede permitir a
un atacante remoto la finalización de las sesiones establecidas
(originando el ataque de denegación de servicio).

Por ahora únicamente se ha verificado con el protocolo BGP pero hay
otros protocolos, como DNS y los protocolos que utilizan cifrado SSL,
que son también potencialmente vulnerables puesto que también mantienen
conexiones permanentes.

Cuando se establece una sesión TCP, las dos partes negocian el tamaño
de la ventana TCP. Esta ventana reduce el número de paquetes que un
atacante necesita enviar para conseguir que un paquete TCP falsificado
sea aceptado por la víctima, ya que no preciso enviar todas las
posibles combinaciones válidas de número de secuencia. Únicamente
tendrá que calcular un número que corresponda al número de secuencia
esperado más/menos la mitad del tamaño de la ventana.

Según el estudio publicado, todo esto permite la rápida identificación
de los números de secuencia a utilizar en los paquetes falsificados:
una conexión con una ancho de banda de unos 80 Kbps (línea DSL típica)
puede insertar un paquete falsificado en cualquier conexión permanente
en aproximadamente cinco minutos. Con más ancho de banda (línea T-1, de
1,5 Mbps) se puede llegar a insertar el paquete en sólo 15 segundos.

Por lo general cualquiera protocolo que se base en la utilización de
conexiones TCP persistentes (larga duración), que utilicen un puerto
TCP de origen fácilmente identificable y con direcciones IP del origen
y el destino identificables pueden llegar a ser vulnerables.

Como medida de protección se sugiere la utilización de IPSEC, la
autenticación MD5 en las cabeceras TCP o establecer algún sistema de
autenticación entre las dos partes de la comunicación TCP.

Muchos fabricantes están afectados por esta vulnerabilidad. Al
documento dónde se describe la vulnerabilidad se mantiene un apartado
dónde se informa de las medidas y recomendaciones de cada fabricante
concreto.


Xavier Caballé
xavi@hispasec.com


Más información:

Vulnerabilities Issues in TCP
http://www.uniras.gov.uk/vuls/2004/236929/index.htm

Vulnerabilities in TCP
http://www.us-cert.gov/cas/techalerts/TA04-111A.html

TCP flaw threatens Net data connections
http://news.com.com/2100-1002_3-5195909.html?part=rss&tag=feed&subj=news

Vulnerabilitat al protocol TCP
http://www.quands.info/2004/04/20.html#a2259

lunes, 19 de abril de 2004

Denegación de servicio en RealNetworks Helix Universal Server 9.0

Se ha descubierto una vulnerabilidad en RealNetworks Helix Universal
Server que permitiría a usuarios maliciosos provocar una denegación de
servicio.

RealNetworks Helix Universal Server es una plataforma de publicación de
medios digitales, con diversos servicios como distribución integrada de
contenidos o soporte para servicios Web.

La vulnerabilidad reside en el tratamiento de peticiones GET de HTTP
especialmente mal construidas, que provocan un uso no válido de punteros,
lo que en este caso conduce al cese de la ejecución del programa. Si el
servidor utiliza las opciones "--no-crash-avoidance" y "--no-auto-restart",
el servicio no se reiniciará, provocando una denegación de servicio
permanente (por lo que se recomienda no utilizarlos).

Se ha confirmado que esta vulnerabilidad afecta a las versiones 9.0.2
para Linux y 9.0.1 para Windows.

RealNetworks ha publicado una versión actualizada (9.0.3) que corrige
este problema y que está disponible en su página web:
http://www.realnetworks.com.


Julio Canto
jcanto@hispasec.com


Más información:

RealNetworks Helix Universal Server Denial of Service Vulnerability
http://www.idefense.com/application/poi/display?id=102&type=vulnerabilities

domingo, 18 de abril de 2004

Un promedio de 28 programas espías en cada ordenador que accede a Internet

Un estudio realizado por uno de los más importantes proveedores de acceso a
Internet nos permite conocer, con detalle, el gran impacto de los programas
espías instalados en los ordenadores de los usuarios que acceden a
Internet.

Earthlink es uno de los principales proveedores de acceso a Internet en los
Estados Unidos, con ya una decena de años a sus espaldas y un historial de
implicación con la comunidad de usuarios. Una de las últimas muestras de
participación es el estudio efectuado recientemente que permite cuantificar
el impacto real del spyware en los ordenadores de los usuarios.

Por spyware entendemos todas aquellas tácticas utilizadas para,
literalmente, espiar la actividad de los usuarios. Habitualmente estos
mecanismos de espionaje son utilizados por empresas de publicidad con el
objeto de rastrear, identificar y perfilar las actividades de los usuarios.
Este espionaje se realiza frecuentemente totalmente a espaldas del usuario,
de forma poco ética.

Entre los mecanismos de espionaje utilizados encontramos desde la
utilización de cookies en las páginas web, utilizadas para determinar las
páginas visitadas por los usuarios y así ofrecerles una publicidad más "a
medida" de su perfil, hasta la instalación de programas en el ordenador que
se encargan de que cada intento de acceso a una determinada dirección (por
ejemplo, un buscador) sea redirigida hacia otra dirección.

Mención aparte dentro del spyware merecen aquellos programas que no sólo
son utilizados para perfilar al usuario sino que van más allá y registran
indiscriminadamente toda la actividad del ordenador: todo lo que se escribe
y se visualiza en pantalla).

EarthLink acaba de presentar un servicio denominado "SpyAudit" que consiste
en ofrecer a los usuarios de este ISP la posibilidad de detectar la
presencia de spyware en sus ordenadores. El objeto de este servicio es
mostrar el autentico alcance del problema y la importancia que está
alcanzando. La idea es que, conociendo el alcance del problema, los
usuarios podrán ser conscientes del mismo y aplicar las medidas de
protección para evitarlo.

Los primeros resultados de este estudio comprenden el período de tiempo
entre el 1 de enero y el 31 de marzo del presente año. Durante este tiempo
se han realizado un total de 1.062.756 comprobaciones de presencia de
spyware, lo que ha permitido detectar un total de 29.540.618 instancias de
programa espías... o lo que es lo mismo: casi 27,8 programas espías por
ordenador con spyware.

Entre los programas espías encontramos diversas familias. La más frecuente
es la utilización de cookies en los navegadores web que pueden ser
utilizadas para rastrear al usuario. Las cookies son un valioso mecanismo
para la construcción de webs interactivas, pero utilizadas de forma poco
ética por parte de las empresas de publicidad, permiten identificar las
áreas de interés y los hábitos de utilización de páginas web por parte de
los usuarios. En el periodo de tiempo analizado, EarthLink ha detectado un
total de 23.826.785 cookies utilizadas con finalidad de espionaje.

El segundo sistema más habitual es el conocido como adware. Son los
programas que incluyen sistemas de espionaje. El más habitual es la
visualización de publicidad mientras se está utilizando el programa aunque
existen otros que van más allá y, sin informar al usuario (o incluso,
cuando el usuario expresamente no autoriza esta actividad) instalan
componentes en el ordenador para registrar la información personal del
usuario. De este tipo, EarthLink ha detectado 5.344.355 instancias.

El tercer grupo es lo que se conoce como monitores del sistema que capturan
virtualmente todo aquello que el usuario realiza en su ordenador y la
almacenan en un archivo cifrado en el propio ordenador o, incluso, puede
ser enviada automáticamente. Se trata de una violación flagrante de la
intimidad y privacidad de los usuarios del ordenador. Un total de 184.559
programas de monitorización han sido identificados entre los usuarios de
EarthLink.

El cuarto y último tipo de programas espía son los caballos de Troya. De
hecho, este tipo de aplicaciones más que spyware o programas espías pueden
considerarse ya como autentico malware o programas que realizan acciones
negativas de cara al usuario. Entre los caballos de Troya encontramos
sistemas de acceso remoto, destrucción de archivos en el ordenador,
instalación automática de programas... De este tipo de spyware/malware,
EarthLink ha detectado 184.919.


Evitar el spyware

Desgraciadamente no es fácil evitar la entrada de spyware en nuestro
sistema cuando utilizamos determinados servicios de Internet. Esto es
especialmente cierto en el caso de las cookies, ya que generalmente los
usuarios tienen sus navegadores configurados para permitir el acceso a las
mismas y no siempre es fácil discernir entre las cookies utilizadas
legítimamente y aquellas utilizadas por empresas de publicidad con
finalidades poco éticas.

En lo referente al adware, los monitores del sistema y los caballos de
Troya el usuario si que puede aplicar una medida de protección básica:
aplicar el sentido común ("el menos común de los sentidos").

A las clásicas medidas de no abrir archivos asociados en mensajes que no
esperamos recibir (vía habitual de entrada de los caballos de Troya y los
monitores del sistema), el usuario debe ser consciente de los posibles
riesgos asociados a la instalación de determinados programas y el acceso a
determinado contenido.


Programas de eliminación de spyware

Existen diversos programas que permiten detectar la presencia de Spyware.
No obstante es preciso indicar que muchos de estos programas en realidad
utilizan esta presunta acción de detección y eliminación de spyware como
sistema para la instalación de programas espías. Conviene evitar aquellos
programas que carecen de reputación o se presentan ofreciendo 'milagros'.

El autor del presente boletín lleva varios años utilizando un producto,
denominado "Spybot Search & Destroy". Se trata de una aplicación para los
usuarios de Windows que detecta la presencia de diversas formas de spyware
en el sistema y ofrece al usuario la posibilidad de eliminarlo. Spybot
utiliza un archivo de firmas utilizado para la identificación del spyware,
que es actualizado frecuentemente. Otro producto similar es Ad-aware, que
además está disponible en versiones que no sólo buscan la presencia de
spyware sino que son capaces de detectar los intentos de entrada en tiempo
real.


Xavier Caballé
xavi@hispasec.com


Más información:

EarthLink and Webroot track the growth of spyware
http://www.earthlink.net/about/press/pr_spyAudit/

Spyaudit - Estadísticas
http://www.earthlink.net/spyaudit/press/

Spyaudit
http://www.earthlink.net/spyaudit/

Earthlink finds rampant spyware, Trojans
http://www.nwfusion.com/news/2004/0415earthfinds.html

Vint-i-vuit Spyware de mitjana als ordinadors dels usuaris de Windows
http://www.quands.info/2004/04/16.html#a2216

PCs 'infested' with spy programs
http://news.bbc.co.uk/1/hi/technology/3633167.stm

Spybot Search & Destroy
http://www.safer-networking.org/index.php?lang=es

Ad-aware
http://lavasoft.element5.com/default.shtml.es

sábado, 17 de abril de 2004

Actualizaciones de seguridad de los kernel Linux

Las versiones no actualizadas de los kernel Linux contienen diversas
vulnerabilidades que permiten que un usuario local obtenga privilegios
de administrador o "root", o tirar el sistema.

Las versiones del kernel Linux anteriores a la 2.4.26 o 2.6.6-rc1
permiten que un usuario local malicioso obtenga privilegios de
administrador o "root", o tirar el sistema, explotando diversas
vulnerabilidades:

1. El módulo "isofs" (ISO9660), que se encarga de gestionar el sistema
de ficheros estándar de los CD-ROM, contiene un desbordamiento de búfer
en la gestión de enlaces simbólicos. Un usuario malicioso puede montar
un disco CD-ROM especialmente formateado para explotar la vulnerabilidad
en el sistema, cuando se acceda al mismo. Dependiendo de la
configuración del sistema, puede ser posible que el usuario pueda
obtener el mismo resultado montando un fichero como partición "iso" a
través de las funcionalidades de "loopback" de los kernel linux.

2. Debido a diversos defectos en los módulos ext3, XFS y JFS, un usuario
local podría tener acceso a datos potencialmente delicados, como claves
criptográficas, o fragmentos de ficheros y memoria ajena.

3. Una vulnerabilidad en el módulo OSS que gestiona las tarjetas de
sonido SoundBlaster16 o similares puede permitir que un usuario local
reinicie o bloquee la máquina. Ésta última vulnerabilidad muy antigua:
junio de 2002.

La recomendación de Hispasec es que todos los administradores de
entornos LINUX con usuarios locales potencialmente maliciosos actualicen
con urgencia a la versión 2.4.26 o 2.6.6-rc1 del kernel. La mayoría de
las distribuciones Linux ya han publicado actualizaciones para sus
productos.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Buffer Overflow in ISO9660 File System Component of Linux Kernel
http://www.idefense.com/application/poi/display?id=101&type=vulnerabilities&flashstatus=true

[PATCH] SB16: 2.4.18 lockup on odd-numbered 16bit sound input
http://www.uwsg.iu.edu/hypermail/linux/kernel/0206.0/0087.html

Kernel 2.4.26 Out
http://slashdot.org/article.pl?sid=04/04/14/2020251

Kernel Linux
http://kernel.org/

viernes, 16 de abril de 2004

Denegación de servicio en Macromedia ColdFusion MX 6.1

Se ha descubierto una vulnerabilidad en Macromedia ColdFusion MX 6.1 que
puede permitir a usuarios maliciosos provocar una denegación de servicio
si un usuario realiza repetidas veces un proceso de subida de archivos
interrumpiendo dicha subida antes de terminar.

ColdFusion es un popular software de servidor de aplicaciones web,
ampliamente utilizado en entornos empresariales para ofrecer soluciones
Internet e Intranet.

La vulnerabilidad, se provoca comenzando la subida de un archivo a dicho
programa mediante un formulario HTML e interrumpiéndola antes de terminar.
El espacio de disco utilizado para esto en el servidor no puede ser
liberado cuando la plantilla de ColdFusion MS termina de procesar.

Macromedia ha descrito el problema como importante y recomienda a los
usuarios aplicar el parche a las versiones afectadas (ColdFusion MX 6.1
y 6.1 J2EE) a la mayor brevedad posible.

La dirección para la descarga del parche de actualización que corrige
este problema es la siguiente:
http://download.macromedia.com/pub/security/mpsb04-06.zip


Julio Canto
jcanto@hispasec.com


Más información:

Security Patch available for ColdFusion MX 6.1 File Upload Denial of service
http://www.macromedia.com/devnet/security/security_zone/mpsb04-06.html

jueves, 15 de abril de 2004

Desbordamiento de búfer en Perl 5.8.3 para Windows

Se ha descubierto una vulnerabilidad en Perl y ActivePerl que podría ser
explotada por usuarios maliciosos para comprometer un sistema vulnerable.

Perl (Practical Extraction and Report Language) es un lenguaje de
programación de scripts creado por Larry Wall que está disponible para
una gran cantidad de plataformas (UNIX, Linux, Windows, OS/2, Macintosh,
etc). Es utilizado comúnmente para la automatización de procesos de
shell y el desarrollo de CGIs.

La vulnerabilidad, descubierta por iDEFENSE, se debe a la falta de
comprobación correcta de tamaños en búfers utilizados en la función
win32_stat(). Este problema puede ser aprovechado para provocar un
desbordamiento de búfer al enviar un nombre de archivo muy largo y con
una barra invertida ("/") al final de dicha cadena. La explotación con
éxito de esta técnica permitiría la ejecución de código arbitrario en un
entorno donde un usuario pueda dar un nombre formado como lo
anteriormente descrito, como por ejemplo un servidor web.

La vulnerabilidad ha sido confirmada en las versiones 5.8.3 y anteriores
para la plataforma Windows y será corregida en la versión 5.8.4.

Ya hay disponibles parches de actualización para ActivePerl en las
siguientes direcciones (según versiones):

Perl 5.9.x (desarrollo):
http://public.activestate.com/cgi-bin/perlbrowse?patch=22466

Perl 5.8.x (producción):
http://public.activestate.com/cgi-bin/perlbrowse?patch=22552


Julio Canto
jcanto@hispasec.com


Más información:
http://www.idefense.com/application/poi/display?id=93&type=vulnerabilities

miércoles, 14 de abril de 2004

Actualización crítica para sistemas Windows

Dentro del conjunto de parches de Microsoft del mes de abril,
publicado el pasado martes, se incluye una actualización para
la mayoría de los sistemas operativos de la firma que corrige
hasta un total de catorce vulnerabilidades muchas de ellas
calificadas como críticas, al permitir a un atacante llegue
ejecutar código remotamente en los sistemas vulnerables.

Las vulnerabilidades corregidas, cuya gravedad se evidencia en su descripción, son las siguientes:

* Vulnerabilidad de desbordamiento de búfer en Windows 2000 y Windows
XP en LSASS que puede permitir la ejecución de código remota. En
Windows Server 2003 y Windows XP 64-Bit Edition Version 2003 la
vulnerabilidad solo puede ser explotada por un administrador local,
mientras que Windows NT 4.0 no se ve afectado por la vulnerabilidad.

* Denegación de servicio en LDAP. Un atacante que envíe un mensaje
LDAP específicamente creado a un controlador de dominio Windows 2000
podrá provocar el servicio responsable de autenticar usuarios en el
Directorio Activo (Active Directory) deje de responder. Windows NT 4.0
y Windows XP no se ven afectados por esta vulnerabilidad.

* Vulnerabilidad PCT. Existe un desbordamiento de búfer en el
protocolo Private Communications Transport (PCT), que forma parte de
la librería Microsoft Secure Sockets Layer (SSL). Solo son vulnerables
los sistemas con SSL habilitado y en algunos casos controladores de
dominio Windows 2000. Un atacante que logre explotar exitosamente esta
vulnerabilidad podrá tomar el control completo de un sistema afectado.

* Vulnerabilidad en Winlogon. Desbordamiento de búfer en el proceso de
logon de Windows (Winlogon). Solo están afectados sistemas Windows NT
4.0, Windows 2000, y Windows XP que sean miembros de un dominio.

* Vulnerabilidad Metafile. Desbordamiento de búfer en el tratamiento
de imágenes Windows Metafile (WMF) y Enhanced Metafile (EMF) que
pueden permitir la ejecución de código remota en los sistemas
afectados. Windows Server 2003 no está afectado por esta
vulnerabilidad.

* Vulnerabilidad en Centro de Soporte y Ayuda. Vulnerabilidad de
ejecución de código remota en el Centro de Soporte y Ayuda (Help and
Support Center) en la forma en que trata la validación HCP URL.

* Vulnerabilidad de escalada de privilegios en Utility Manager.
Windows NT 4.0, Windows XP y Windows Server 2003 no están afectados.

* Vulnerabilidad de escalada de privilegios en Windows XP en la forma
en que permite la creación de tareas. Un usuario sin privilegios podrá
crear una tarea que se ejecute con permisos del sistema y de esa forma
tomar el control del sistema.

* Vulnerabilidad de escalada de privilegios en la tabla local de
descriptores (Local Descriptor Table, LDT). Windows XP y Windows
Server 2003 no están afectados por este problema.

* Vulnerabilidad de ejecución remota de código en el tratamiento de
peticiones mal construidas del protocolo H.323. Este problema no
afecta a Windows NT 4.0.

* Vulnerabilidad de escalada de privilegios en la máquina virtual DOS.
Windows XP y Windows Server 2003 no se ven afectados por esta
vulnerabilidad.

* Vulnerabilidad de desbordamiento de búfer en el interfaz Negotiate
Security Software Provider (SSP). Este problema puede permitir la
ejecución remota de código. Este problema no afecta a Windows NT 4.0.

* Vulnerabilidad de denegación de servicio en la librería SSL.

* Vulnerabilidad de ejecución remota de código en la librería ASN.1.


Las actualizaciones se encuentran disponibles en las siguientes
direcciones:

Microsoft Windows NT Workstation 4.0 Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=7F1713FC-F95C-43E5-B825-3CF72C1A0A3E&displaylang=en

Microsoft Windows NT Server 4.0 Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=67A6F461-D2FC-4AA0-957E-3B8DC44F9D79&displaylang=en

Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
http://www.microsoft.com/downloads/details.aspx?FamilyId=62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=en

Microsoft Windows 2000 Service Pack 2, 3 o 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en

Microsoft Windows XP y Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

Microsoft Windows XP 64-Bit Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=C6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en

Microsoft Windows XP 64-Bit Edition Version 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en

Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=EAB176D0-01CF-453E-AE7E-7495864E8D8C&displaylang=en

Microsoft Windows Server 2003 64-Bit Edition
http://downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Actualizaciones de seguridad de Microsoft (abril 2004)
http://www.hispasec.com/unaaldia/1997

Security Bulletin MS04-011: Security Update for Microsoft Windows
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

martes, 13 de abril de 2004

Actualizaciones de seguridad de Microsoft (abril 2004)

Microsoft acaba de publicar una tanda de actualizaciones de seguridad
para las diversas versiones de los sistemas operativos Windows. Un total
de cuatro boletines con sendas actualizaciones que eliminan un gran
número de vulnerabilidades críticas.

Hoy, segundo martes del mes de abril, Microsoft ha procedido a liberar
diversos boletines de seguridad, con sus respectivos parches asociados.
Tres de estos boletines han sido marcados como críticos mientras que el
cuarto ha recibido la calificación de importante. En todos los casos se
trata de vulnerabilidades que, en determinadas circunstancias, pueden
permitir la ejecución remota de código en los sistemas vulnerables.

* MS04-011: Actualización crítica de Windows (versiones 98, ME, NT 4.0,
2000, XP y Server 2003). Elimina varias vulnerabilidades (catorce...
¡¡¡14!!!) en diversos componentes del sistema operativo que pueden ser
utilizadas para permitir que un atacante llegue a ejecutar remotamente
código en los sistemas vulnerables.

* MS04-012: Actualización crítica de Windows (NT, 2000, XP y Server
2003). Elimina una vulnerabilidad en la biblioteca RPC que puede ser
utilizada para la ejecución remota de código a los sistemas
vulnerables, dos vulnerabilidades que se podan utilizar en ataques de
denegación de servicio y una última que permite obtener información de
los sistemas afectados.

* MS04-013: Actualización crítica de Outlook Express que afecta a
Windows 98, ME, NT, 2000, XP y Server 2003. El componente MHTML puede
ser explotado de forma remota para ejecutar código en los sistemas
vulnerables.

* MS04-014: Actualización importante para Microsoft Jet, que afecta a
Windows 98, ME, NT, 2000, XP y Server 2003. También puede permitir a un
atacante llegar a ejecutar remotamente código en los sistemas vulnerbales.

Dada la importancia de estas vulnerabilidades, aconsejamos proceder a la
actualización de los sistemas a la mayor brevedad posible, bien
aplicando los parches específicos para cada versión disponibles en los
diversos boletines o bien utilizando el servicio Windows Update.

Debido a las características de estas vulnerabilidades (permitir la
ejecución remota de código y un gran número de sistemas vulnerables), es
de imaginar que los autores de virus y gusanos no tardarán mucho tiempo
en utilizarlas para la propagación masiva de malware.

Hoy por hoy, no podemos facilitar más información específica sobre los
problemas concretos (Microsoft cada vez da menos información en sus
boletines) aunque me imagino que durante los próximos días los iremos
conociendo.


Xavier Caballé
xavi@hispasec.com


Más información:

Windows Security Updates for April 2004
http://www.microsoft.com/security/security_bulletins/200404_windows.asp

Security Bulletin MS04-011: Security Update for Microsoft Windows
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Security Bulletin MS04-012: Cumulative Update for Microsoft RPC/DCOM
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx

Security Bulletin MS04-013: Cumulative Security Update for Outlook Express
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

Security Bulletin MS04-014: Vulnerability in the Microsoft Jet Database
Engine Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-014.mspx

lunes, 12 de abril de 2004

Desbordamiento de búfer en Oracle Application Server Web Cache

Se ha anunciado la existencia de una vulnerabilidad en Oracle Web
Cache, en todas sus plataformas. La vulnerabilidad puede ser explotada
de forma remota y permitirá al atacante lograr la ejecución de código
arbitrario.

Oracle Web Cache es una solución para la aceleración de aplicaciones
empleando tecnología de caché y compresión para optimizar el
rendimiento de los programas minimizando los recursos de hardware.

La condición de desbordamiento existente en las versiones Oracle
Application Server Web Cache 10g (9.0.4.0.0) y Oracle9i Application
Server Web Cache se presenta en el proceso "webcached" cuando se
realiza una petición HTTP/HTTPS no válida. El atacante podrá explotar
la vulnerabilidad si envía una cabecera excesivamente larga como el
método de la petición HTTP, los valores válidos para el método de la
petición HTTP son GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT.

En el anuncio se señala que muchos firewalls no protegen contra esta
vulnerabilidad, por lo que se recomienda la instalación de los parches
publicados por Oracle para evitar el problema, disponibles en:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=265310.1


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerabilities in Oracle Application Server Web Cache
http://otn.oracle.com/deploy/security/pdf/2004alert66.pdf

Heap Overflow in Oracle 9iAS / 10g Application Server Web Cache
http://www.inaccessnetworks.com/ian/services/secadv01.txt

domingo, 11 de abril de 2004

Nueva actualización de seguridad de Mac OS X

Apple acaba de publicar una nueva actualización de seguridad para su
sistema Mac OS X.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La actualización 2004-04-05, gratuita, está disponible para las
versiones 10.2.8 ("Jaguar") y la último 10.3.3 ("Panther").

La actualización para "Panther" ocupa 3.7Mbytes y soluciona problemas en
Mail, OpenSSL, libxml2 y el subsistema de impresión CUPS. Su "hash" SHA1
es "30c78daca1859ddc84a6c8e5c1d31de32b4aa979".

La actualización para "Jaguar" ocupa 4.8Mbytes actualiza solo CUPS, pero
incluye también la actualización de seguridad 2004-01-26, reseñada en
Hispasec el pasado 2 de Febrero de 2004. Su "hash" SHA1 es
"c811bab90b5cdef3e5c518ec1641860dccea0eb7".


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apple
http://www.apple.com/

Security Update 2004-04-05 (10.3.3)
http://www.apple.com/support/downloads/securityupdate_2004-04-05_(10_3_3).html
http://www.apple.com/support/downloads/securityupdate_2004-04-05_(10_2_8).html

sábado, 10 de abril de 2004

MP3Virus.Gen, el primer caballo de Troya para Mac OS X

Posiblemente se trate del primer caballo de Troya diseñado
especialmente para el sistema operativo Mac OS X, si bien los
primeros informes han exagerado seguramente su alcance real que
no dejará de ser testimonial. No obstante, es posible que su
existencia signifique un punto de inflexión y tenga importantes
efectos futuros.

MP3Virus.Gen (o MP3Concept) es un caballo de Troya que se
distribuye dentro de los archivos de música en formato MP3,
encapsulando su código dentro de la marca ID3, un campo de la
cabecera que habitualmente contiene información como el título,
artista, álbum...

El caballo de Troya se distribuye con el aspecto de un archivo
MP3 que tiene asociado los atributos de recursos de aplicación.
Adicionalmente, en el campo ID3 del archivo MP3 se encuentra el
código binario del caballo de Troya.

Cuando el usuario realiza un doble clic sobre el archivo MP3 que
contiene el caballo de Troya, el sistema operativo identifica la
presencia de los atributos de recursos por lo que identifica el
archivo como una aplicación y la ejecuta (con los privilegios del
usuario activo en el sistema). Una parte del atributo de recursos
se encarga de apuntar al código incluido en el campo ID3, lo que
permite su ejecución. A continuación, mediante AppleEvent se
ejecuta iTunes que empieza la reproducción del archivo MP3
propiamente dicho.

Como el usuario lo único que nota es que iTunes se ejecuta
inmediatamente después de que haya realizado doble clic sobre el
archivo MP3, le pasa totalmente desapercibida la ejecución propia
del caballo de Troya incluido dentro de ese mismo archivo.

La versión actual del caballo de Troya es realmente benigna y no
tiene ningún efecto pernicioso. De hecho, más que un caballo de
Troya en realidad podría considerarse una prueba de concepto, ya
que el único efecto es la visualización de un aviso al usuario de
que se trata de una aplicación. Si bien la versión actual no
tiene efectos destructivos, el mismo concepto puede utilizarse
para realizar acciones más drásticas.

La noticia inicial de la existencia de este caballo de Troya ha
originado la publicación de diversos artículos donde se quita
importancia a su existencia. No obstante, lo importante de este
caballo es su propia existencia.

En la actualidad, entre los usuarios de Mac OS X no existe la
misma cultura sobre seguridad que puede existir en los usuarios
de otros entornos. La práctica ausencia de virus, gusanos y otros
productos de malware en esta plataforma hace que muchos usuarios
no apliquen las mínimas medidas de seguridad y protección.

Muchos usuarios de Mac OS X ni siquiera se han planteado la
necesidad de disponer de un programa antivirus con el pretexto de
"no hay virus para Mac OS".

La existencia de este caballo de Troya ha de servir para que los
usuarios de Mac OS sean conscientes que ningún producto de
software es invulnerable y carente de problemas de seguridad. La
ausencia de malware no ha de ser excusa para no aplicar las
medidas básicas de protección ni ignorar la necesidad de disponer
de un antivirus convenientemente actualizado ni un cortafuegos
que proteja el sistema de las conexiones entrantes y salientes no
autorizadas.

Sin duda, la situación en el entorno Mac OS X es mucho mejor que
en el entorno Windows, donde abundan todo tipo de gusanos y virus
con efectos mucho más negativos. Pero la propia existencia de
este caballo de Troya demuestra que en el entorno Macintosh
también existen problemas de seguridad potenciales. Si
MP3Virus.Gen no hace nada destructivo, tal vez en pocos días (o
semanas) aparezcan otros troyanos con efectos mucho más
destructivos.


Xavier Caballé
xavi@hispasec.com



viernes, 9 de abril de 2004

Nueva vulnerabilidad en el sistema de ayuda de Windows

El CERT ha anunciado la existencia de una importante
vulnerabilidad de Internet Explorer y que afecta al sistema
utilizado por la ayuda online de Windows. En el momento de
redactar este boletín no existe todavía ninguna actualización que
corrija este problema, a pesar de que están circulando algunos
exploits que se aprovechan de la misma. Debido a que la
vulnerabilidad se encuentra en el sistema de ayuda de Windows,
esta vez incluso aquellos usuarios que no utilizan Internet
Explorer o Microsoft Outlook son también vulnerables.

Microsoft Internet Explorer no valida de forma correcta el origen
del script que forma parte de los archivos CHM (Compiled Help)
cuando éstos son procesados por los manejadores del protocolo ITS
(Microsoft InfoTech Storage), que es el sistema utilizado por la
ayuda online de Windows.

Las ayudas de Windows son una serie de archivos compilados donde
están integrado el código fuente HTML, gráfico y, opcionalmente,
scripts, controles ActiveX, funciones Java... Para la visualización
de estas ayudas se utiliza Internet Explorer mediante la
invocación de una URL con los protocolos its://, ms-its://, ms-
itss:// o mhtml:// (entre otros).

El problema consiste en que Internet Explorer no aplica
correctamente la protección de zona que impide la ejecución de
código en páginas ubicadas en páginas remotas. Si se le pasa a
Internet Explorer una URL del tipo mhtml:// que apunta a un
archivo no existente, se puede forzar la ejecución de un archivo
CHM remoto que contiene código hostil y que será ejecutado como
si fuera un archivo local.

La vulnerabilidad puede, por tanto, ser explotada mediante la
visita a una página web o al visualizar un mensaje que contenga el
código que se aprovecha de la vulnerabilidad y que provocará la
ejecución automática del código asociado dentro de la zona local.
Lo que significará que se ejecutará con los mismos privilegios
del usuario activo en el sistema.

Es importante señalar que incluso aquellos usuarios de Windows
que no utilicen Internet Explorer como navegador pueden verse
afectados por este problema. Debido a que, en la configuración
por defecto, el sistema operativo asocia Internet Explorer como
aplicación que gestiona este protocolo, el acceso a un enlace que
utilice este protocolo provocará la ejecución del mismo. La forma
más fácil de determinar la aplicación asociada al protocolo
consiste en ejecutar una URL del tipo mthtml://localhost a través
del menú Inicio->Ejecutar.


Gusanos que sacan provecho de esta vulnerabilidad

Las características de esta vulnerabilidad, que permite la
ejecución de código simplemente visitando una página web con una
versión vulnerable de Internet Explorer, lo hacen especialmente
atractivo como sistema para la infección y propagación de
gusanos. En estos momentos tenemos constancia de la existencia de
diversos gusanos que utilizan esta vulnerabilidad como mecanismo
de distribución.

Ya son varios los programas antivirus que detectan e identifican
las páginas que contienen el código que aprovecha la
vulnerabilidad. Por ejemplo, una página HTML que contiene el
exploit ya es identificada por diversos antivirus, tal como
podemos determinar según el sistema de monitorización
24hx7d del laboratorio de Hispasec, son los siguientes:

Sybari :: [Exploit.HTML.Mht]
eTrustAV-Inoc :: No detectado
NOD32 :: [HTML/Exploit.Mht.A]
Kaspersky :: [Exploit.HTML.Mht]
Symantec :: [Bloodhound.Exploit.6]
Panda :: [Exploit/MIE.CHM]
McAfee :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado
eTrustAV-Inoc :: No detectado

Los archivos CHM que incluyen la vulnerabilidad también son
identificados por diversos antivirus:

Sybari :: [TrojanDownloader.VBS.Psyme.p]
eTrustAV-Inoc :: No detectado
NOD32 :: No detectado
Kaspersky :: [TrojanDownloader.VBS.Psyme.p]
McAfee :: [VBS/Psyme]
Symantec :: [Download.Trojan]
Panda :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado

En el caso del exploit incluido en un archivo CHM, Sybari,
Kaspersky, McAfee y Symantec detectan la presencia del código
malévolo.


Prevención

Microsoft no ha publicado todavía ninguna actualización que
corrija este problema, por lo que la única forma de evitar la
infección consiste en desactivar el manejador del protocolo. Para
ello es preciso renombrar las siguientes claves del registro,
dentro de HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler

ms-its
ms-itss
its
mk

Es importante indicar que realizar este cambio puede tener un
impacto en el funcionamiento del sistema de ayuda de Windows.

Otra forma de detectar las páginas vulnerables consiste en
disponer de un programa antivirus convenientemente actualizado
que reconozca los intentos de utilización de esta vulnerabilidad.


Xavier Caballé
xavi@hispasec.com



jueves, 8 de abril de 2004

Revelación de información sensible en Citrix Metaframe Password Manager

Se ha descubierto una vulnerabilidad en Citrix MetaFrame Password
Manager 2.0 que puede revelar información sensible sobre la
autenticación a usuarios maliciosos.

MetaFrame Password Manager es una solución para acceder a aplicaciones
protegidas con clave en el entorno de Citrix MetaFrame Access Suite u
otros clientes.

El problema reside en que el objeto de cifrado del almacenamiento
de credenciales puede ser inicializado incorrectamente con el asistente
"First Time Use". Esto provoca que las claves de aplicación introducidas
inmediatamente después de completar dicho asistente serán
codificadas pero no cifradas. El problema por lo tanto solo existirá
si el administrador no ha configurado el agente para que utilice una
central de almacenamiento de credenciales.

Los desarrolladores han publicado una actualización (con código
MPME100W001), disponible en la siguiente dirección:
http://support.citrix.com/kb/entry.jspa?entryID=4062


Julio Canto
jcanto@hispasec.com


Más información:

Citrix (Application Passwords Entered Immediately After The First Time
Use Wizard May Not Be Correctly Encrypted):
http://support.citrix.com/kb/entry.jspa?entryID=4063&categoryID=254

Foundstone:
http://www.foundstone.com/products/sa/fs-sa-04-05-04.pdf

miércoles, 7 de abril de 2004

Acceso a información sensible e inyección SQL en Macromedia Dreamweaver

Se ha descubierto una vulnerabilidad en Macromedia Dreamweaver
(versiones MX 2004, MX y el paquete UltraDev 4) que permitiría a un
usuario remoto, en determinadas configuraciones, acceder a información
reservada y realizar inyección de código SQL.

Dreamweaver es un entorno de desarrollo web con multitud de herramientas
y asistentes para facilitar el trabajo del programador. Los productos
afectados son las versiones MX y MX 2004 de Dreamweaver, además de
UltraDev 4.

Macromedia ha informado de que su producto Dreamweaver instala algunos
scripts de pruebas que puede revelar varios DSNs (Data Source Names) a
usuario remotos, o que puede permitir la ejecución de código SQL en
máquinas vulnerables.

La vulnerabilidad, descubierta por Next Generation Security Software, se
presenta cuando los parámetros "Using Driver On Testing Server" o "Using
DSN on Testing Server" están activados en la sección de conexiones a
base de datos. Dreamweaver sube un script a la misma que permite acceder
a ella de forma remota utilizando el protocolo HTTP. De esa forma, un
usuario remoto puede ver DSNs, que si no están protegidos por clave,
pueden ser utilizados para realizar consultas SQL sobre la base de
datos. Macromedia ha definido esta vulnerabilidad como crítica.

La compañía recomienda proteger la base de datos con claves, además de
utilizar los scripts de eliminación de conexión de Dreamweaver para
eliminar los archivos que exponen la base de datos al público.


Julio Canto
jcanto@hispasec.com


Más información:

Security implications of remote database connectivity
http://www.macromedia.com/support/dreamweaver/ts/documents/rem_db_security.htm

MPSB 04-05 Potential Risk in Dreamweaver Remote
http://www.macromedia.com/devnet/security/security_zone/mpsb04-05.html

martes, 6 de abril de 2004

Variantes del gusano informático Netsky los más propagados

El listado de los virus más propagados por correo electrónico está
encabezado por las múltiples variantes existentes del gusano Netsky.
A las versiones B, C, D y P, de las que ya informamos en su día, hay
que destacar la proliferación de la nueva variante Netsky.Q.

Aunque en el momento de escribir estas líneas ya contamos con un
nuevo Netsky.T, ha sido la variante Q la última en sumarse al TOP 5
de los virus más propagados, lista que monopolizada en todos sus
puestos por las distintas versiones del gusano Netsky.

La reacción de las casas antivirus en proporcionar la actualización de
la firma específica para que sus clientes pudieran detectar a
Netsky.Q, según el sistema de monitorización 24hx7d del laboratorio de
Hispasec, fue la siguiente:

[Sophos] 29.03.2003 07:54:23 :: W32/Netsky-Q
[Nod32] 29.03.2004 08:54:14 :: Win32/Netsky.R
[Kaspersky] 29.03.2004 08:54:19 :: I-Worm.NetSky.r
[Panda] 29.03.2004 10:36:45 :: W32/Netsky.Q.worm
[TrendMicro] 29.03.2004 10:39:41 :: WORM_NETSKY.Q
[Symantec] 29.03.2004 12:12:19 :: W32.Netsky.Q@mm
[McAfee] 29.03.2004 13:05:17 :: W32/Netsky.q@MM
[InoculateIT] 29.03.2004 22:06:16 :: Win32/Netsky.Q.Worm


Como en ocasiones anteriores, los tiempos mencionados son hora
española (GMT+1).

De características similares al resto de variantes de Netsky, ya
analizadas al detalle con anterioridad, Netsky.Q puede ser fácilmente
detectable cuando se distribuye por correo electrónico. Además del
archivo adjunto, con extensión .EXE, .PIF. SRC o .ZIP, el asunto del
e-mail infectado lo compone con un texto sacado de la siguiente lista:

Deliver Mail
Delivered Message
Delivery
Delivery Bot
Delivery Error
Delivery Failed
Delivery Failure
Error
Failed
Failure
Mail Delivery failure
Mail Delivery System
Mail System
Server Error
Status
Unknown Exception

Al que le suma el e-mail del destinatario entre paréntesis. De forma
que un asunto podría ser, por ejemplo:

"Error (destinatario@servidor.dom)"


Como efecto diferenciador, Netsky.Q intentará un ataque DoS
(denegación de servicio) del 8 al 11 de abril, desde los equipos
infectados, contra los siguientes servidores webs:

www.edonkey2000.com
www.kazaa.com
www.emule-project.net
www.cracks.am
www.cracks.st

El ataque DoS se inicia con 80 hilos, cada uno de los cuales realiza
una petición GET, de forma repetitiva, a algunos de los webs de la
lista anterior.

Por último, la variante Netsky.Q incluye en su código un mensaje
cifrado de los creadores que no es visualizado por el gusano:

"We are the only SkyNet, we don't have any criminal inspirations.
Due to many reports, we do not have any backdoors included for spam relaying.
and we aren't children. Due to this, many reports are wrong.
We don't use any virus creation toolkits, only the higher language
Microsoft Visual C++ 6.0. We want to prevent hacker,
cracking, sharing with illegal stuff and similar illegal content.
Hey, big firms only want to make a lot of money.
That is what we don't prefer. We want to solve and avoid it.
Note: Users do not need a new av-update, they need
a better education! We will envolope...
- Best regards, the SkyNet Antivirus Team, Russia 05:11 P.M -"


Bernardo Quintero
Bernardo@hispasec.com


Más información:

24/03/2004 - Gusano Netsky.P el más propagado en las últimas 24 horas
http://www.hispasec.com/unaaldia/1977

01/03/2004 - ALERTA: gusano Netsky.D, detectada gran propagación en las últimas horas
http://www.hispasec.com/unaaldia/1954

25/02/2004 - Gusano Netsky.C, más de lo mismo
http://www.hispasec.com/unaaldia/1949

18/02/2004 - Nuevo gusano Netsky.B
http://www.hispasec.com/unaaldia/1942