sábado, 31 de julio de 2004

Denegación de servicio en IBM WebSphere 4.0.x

Se ha descubierto una vulnerabilidad en IBM WebSphere que permitiría a
usuarios maliciosos realizar ataques de denegación de servicio contra
sistemas afectados.

IBM ha informado que un usuario remoto puede enviar una petición
HTTP especialmente construida a tal efecto (en la que se ven involucradas
cabeceras de gran tamaño) para provocar la caída del servicio web.

La vulnerabilidad ha sido confirmada en las versiones 4.0.1, 4.0.2 y
4.0.3 de dicho software.

IBM ha publicado una versión corregida (4.0.4), denominada Fix Pack 4
for IBM WebSphere Application Server Version 4.0. Tanto el parche APAR
como el Fix Pack están disponibles en la siguiente dirección:
http://www.ibm.com/software/webservers/appserv/was/support/
Una vez en esa dirección, hay que buscar "PQ62144" o "Fix Pack 4.0".


Julio Canto
jcanto@hispasec.com


Más información:

IBM WebSphere Can Be Crashed By Remote Users Sending Large HTTP Headers
http://www.securitytracker.com/alerts/2004/Jul/1010797.html

viernes, 30 de julio de 2004

Microsoft publica una actualización crítica para Internet Explorer

Microsoft rompe su habitual práctica de publicar boletines y
actualizaciones de seguridad los segundos martes de mes, para
publicar hoy mismo una actualización crítica para Internet
Explorer.

Esta actualización resuelve tres vulnerabilidades públicas
descubiertas recientemente que permiten la ejecución remota de
código y pueden ser empleadas por virus o intrusos. La propia
compañía reitera a los usuarios la necesidad de actualizarse para
prevenir ataques de virus.

El primero de los problemas anunciados se trata de una vulnerabilidad
de ejecución remota de código en Internet Explorer debida al modo en
que tratan los métodos de exploración. Un intruso podría aprovechar
esta vulnerabilidad mediante la construcción de una página Web o
e-mail html malicioso que permitirá la ejecución remota de código
cuando el usuario visite el sitio web o visualice el mensaje. Un
atacante que consiga aprovechar con éxito esta vulnerabilidad podrá
ejecutar código malicioso en la zona de seguridad Equipo local de
Internet Explorer. Si un usuario inicia la sesión con privilegios
administrativos, el intruso podrá lograr el control completo del
sistema afectado.

Otro problema corregido consiste en una vulnerabilidad de
desbordamiento de búfer en el tratamiento de imágenes BMP, que puede
permitir la ejecución remota de código en los sistemas afectados. El
atacante deberá construir una página web o un e-mail html con la
imagen BMP mal construida para lograr explotar el fallo. El código se
ejecutará con los permisos del usuario que inició la sesión.

La ultima vulnerabilidad anunciada también consiste en un
desbordamiento de búfer en el tratamiento de imágenes GIF, que puede
permitir la ejecución remota de código en los sistemas afectados. El
problema puede ser explotado de forma similar al anterior.

Actualizaciones publicadas:
Internet Explorer 5.01 Service Pack 2:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyID=507E71EF-076B-43C4-8028-E91FCFAB252B&displaylang=es
Internet Explorer 5.01 Service Pack 3:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=7AA6F31D-7350-43F8-B72E-ED9D62577A60&displaylang=es
Internet Explorer 5.01 Service Pack 4:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=862E6914-821A-4C51-985B-C3958FAD3D4C&displaylang=es
Internet Explorer 5.5 Service Pack 2:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=E458480C-93F6-454A-A663-FC187C18CD9B&displaylang=es
Internet Explorer 6:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=4C2F8A40-1B88-4F93-98B1-1619DCFD7273&displaylang=es
Internet Explorer 6 Service Pack 1
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=06F49985-F19F-4B50-A75F-7636D8BEE576&displaylang=es
Internet Explorer 6 Service Pack 1 (64-Bit Edition):
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=FCDA580D-9E3B-4B44-BD65-C8D37A0DD62D&displaylang=en
Internet Explorer 6 para Windows Server 2003:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=D86262D9-C66A-4608-8DBE-2492B4AFBC3B&displaylang=es
Internet Explorer 6 para Windows Server 2003 (64-Bit Edition):
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=1AA8F5A9-71D3-48F7-BB32-F8A4D36C5FB9&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS04-025
Actualización de seguridad acumulativa para Internet Explorer (867801)
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-025-IT.mspx

jueves, 29 de julio de 2004

Nuevos contenidos en CriptoRed (julio 2004)

Breve resumen de los últimos contenidos incorporados durante el mes de
julio de 2004 en CriptoRed, la Red Temática Iberoamericana de
Criptografía y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Apuntes sobre la Inversión y Gestión de la Seguridad Informática
- Aspectos Jurídicos de la Seguridad de la Información y las Comunicaciones
http://www.criptored.upm.es/paginas/docencia.htm#gtletraA

- Del Penetration Test a la Realidad
http://www.criptored.upm.es/paginas/docencia.htm#gtletraD

- En Seguridad Informática hay que Hacer y Saber Vender
- Estado de la Seguridad de la Información en España
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

- Gestión de la Seguridad de la Información: UNE 71502, ISO 17799
http://www.criptored.upm.es/paginas/docencia.htm#gtletraG

- Introducción: confidencialidad, autenticación, integridad y no
repudio. Claves de la seguridad
http://www.criptored.upm.es/paginas/docencia.htm#gtletraI

- La Hora de la Gestión
http://www.criptored.upm.es/paginas/docencia.htm#gtletraL

- Matriz de Estado de Seguridad
- Métodos de Seguridad en una Red: Cortafuegos y Detección de Intrusos
http://www.criptored.upm.es/paginas/docencia.htm#gtletraM

- P2P Tracking
- Proceder ante ataques informáticos
http://www.criptored.upm.es/paginas/docencia.htm#gtletraP

- Sistema Analizador de Log para la Detección de Intrusos SALDI
- Sistemas Distribuidos de Detección de Intrusos
http://www.criptored.upm.es/paginas/docencia.htm#gtletraS

- VPN e IPSec
- Vulnerabilidades y elementos a proteger en una red
http://www.criptored.upm.es/paginas/docencia.htm#gtletraV

- Uso de Sniffers en la Elaboración de Ataques para Denegación de Servicio
http://www.criptored.upm.es/paginas/docencia.htm#gtletraU

- Monográfico sobre Firma Digital en Revista Upgrade
http://www.upgrade-cepis.org/issues/2004/3/upgrade-vol-V-3.html

Puedes encontrar otros documentos en:
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION:

- 11 al 13 de agosto de 2004. Primer Encuentro Internacional de Hackers
(Colombia)
http://www.umanizales.edu.co/encuentrohackers/

- 30 de agosto al 3 de septiembre de 2004. 1st Conference on Trust and
Privacy in Digital Business (España)
http://www-ifs.uni-regensburg.de/trustbus04/

- 13 al 15 de septiembre de 2004. 9th European Symposium Computer
Security (Francia)
http://esorics04.eurecom.fr

- 15 al 17 de septiembre de 2004. VIII Reunión Española sobre
Criptología y Seguridad de la Información (España)
http://www.uc3m.es/recsi/

- 20 al 25 de septiembre de 2004. Workshop on Specification and
Automated Processing of Security Requirements (Austria)
http://www.lcc.uma.es/SAPS04

- 13 al 15 de octubre de 2004. Collaborative Electronic Commerce
Technology and Research (Chile)
http://ing.utalca.cl/collecter2004/

- 27 al 29 de octubre de 2004. Sixth International Conference on
Information and Communications Security (España)
http://icics04.lcc.uma.es/

- 8 al 12 de noviembre de 2004. Jornadas Chilenas de Computación 2004
(Chile)
http://parinacota.uta.cl/jcc2004/

- 15 al 17 de noviembre de 2004. Sesión Seguridad y Criptografía en los
Negocios y Economía WSEAS (Italia)
http://www.worldses.org/conferences/2004/italy/mcbe/index.html

- 30 de noviembre al 3 de diciembre de 2004. III Congreso Internacional
de Telemática CITEL 2004 (Cuba)
http://www.cujae.edu.cu/eventos/Citel2004/

- 16 al 18 de febrero de 2005. X edición del Congreso Nacional de
Internet, Telecomunicaciones y Sociedad de la Información (España)
http://www.aui.es/mundointernet/

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

3. CURSOS DE ESPECIALIDAD Y POSTGRADO:

Master en Administración y Gestión de Seguridad de la Información en la
UCM (España)
Master en Tecnologías de Seguridad Informática esCERT-UPC (España)
Master Tecnologías Información y Seguridad en la UCLM (España)
Master en Auditoría y Seguridad Informática en la UPM (España)
Especialización en Criptografía y Seguridad Teleinformática (Argentina)
Diplomado en Seguridad Computacional en la Universidad de Chile (Chile)
Diplomado en Seguridad Informática UNAM (México)
Curso Experto en Seguridad Informática en la MU (España)
Cursos de Seguridad Informática del Instituto para la Seguridad en
Internet ISI (España)
Programa de Formación en Gestión de la Seguridad de la Información de
AENOR (España)
Cursos de CYBSEC (Argentina - Ecuador)
Talleres de Seguridad Informática en la UNAM (México)
Curso gratuito Issues of Provable Security and Efficiency in
Cryptographic Constructions, UPC (España)
Cursos de Verano 2004 de Seguridad Informática en esCERT-UPC (España)

Puedes encontrar información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE ABRIL DE 2004:

- Acceso web local y corporativa de Soluciones Globales Internet,
Patrocinador de CriptoRed
http://www.criptored.upm.es/paginas/colaboradores.htm

- Sesión Seguridad y Criptografía en los Negocios y Economía WSEAS (Italia)
http://www.worldses.org/conferences/2004/italy/mcbe/index.html

- Actualización soluciones de exámenes de la asignatura de Seguridad
Informática
http://www.criptored.upm.es/paginas/docencia.htm#examenes

- Cursos de Verano 2004 de Seguridad Informática en esCERT-UPC (España)
http://escert.upc.es/index.php/web/es/formacion.html

5. OTROS TEMAS DE INTERES:

- Universidades y Centros de Investigación representados: 138
http://www.criptored.upm.es/paginas/miembros_red_inst.htm

- Empresas y Organismos representados: 141
- Número actual de miembros en la red: 458
http://www.criptored.upm.es/paginas/particulares.htm

- 17.152 visitas, 176.040 hits, 14.006 archivos zip descargados y 20,86
GBytes servidos en julio de 2004 (estimaciones)
http://www.criptored.upm.es/cgi-bin/awstats.pl?month=07&year=2004&output=main&config=www.criptored.upm.es&framename=index

- Sede de CIBSI '05: Valparaíso - Viña del Mar (Chile - diciembre de 2005)
Anfitrión: Universidad Técnica Federico Santa María
http://www.utfsm.cl/
El sitio web se activará entre septiembre y octubre de 2004


Jorge Ramió Aguirre
Coordinador General CriptoRed



miércoles, 28 de julio de 2004

Indicador del tiempo de reacción antivirus

Como continuación de la nota "Comparativas y certificaciones antivirus:
la necesidad de un nuevo modelo", presentamos una prueba de concepto
sobre la construcción de un indicador para evaluar los tiempos de
reacción de las soluciones antivirus.

Las tablas que se presentan a continuación fueron generadas para
la presentación de VirusTotal en el foro de e-Gallaecia a principios
del pasado mes de junio. En ellas se recogen los tiempos de reacción
de los primeros motores antivirus que se integraron en VirusTotal en
relación a las variantes de Sasser aparecidas hasta la fecha, como
el gusano con más relevancia del momento.

Los campos que se incluyen en las tablas son antivirus, fecha y
hora en la que se encontró disponible la actualización para detectar
a la variante, denominación con la que era detectada, y tiempo de
reacción en segundos.

El campo "tiempo de reacción en segundos" se calcula restando la
fecha y hora de la disponibilidad de la actualización con la fecha
y hora de aparición del gusano In-the-Wild (cuando se detectan por
primera vez infecciones reales). Como no podemos determinar la hora
exacta en que el gusano comenzó a actuar, tomamos de partida las
00:00 del día en que por primera vez se detecta su presencia.

En la primera tabla tenemos a la primera variante de Sasser
aparecida el 01/05/2004


Sasser.A 01.05.2004 0:00:00

Sophos 01.05.2004 9:00:47 :: W32/Sasser-A [32447]
TrendMicro 01.05.2004 11:29:53 :: WORM_SASSER.A [41393]
NOD32 01.05.2004 11:36:45 :: Win32/Sasser.A [41805]
Panda 01.05.2004 11:59:59 :: W32/Sasser.A.worm [43199]
Symantec 01.05.2004 12:40:37 :: W32.Sasser.Worm [45637]
Kaspersky 01.05.2004 18:48:17 :: Worm.Win32.Sasser.a [67697]
McAfee 01.05.2004 18:50:53 :: W32/Sasser.worm [67853]
eTrustAV 03.05.2004 11:38:40 :: Win32/Sasser.A.Worm [214720]

Aquí podemos apreciar que según los datos de VirusTotal el primer
antivirus en detectarlo fue Sophos el mismo día de su aparición a
Las 9:00:47 (siempre hora española, GMT+1). Tomando como hora de
aparición del Sasser.A las 00:00, el tiempo de Sophos en facilitar
la actualización fue de 32447 segundos.

A continuación el resto de tablas con las siguientes variantes de
Sasser.


Sasser.B 01/05/2004 0:00:00

Kaspersky 01.05.2004 18:48:17 :: Worm.Win32.Sasser.a [67697]
Panda 01.05.2004 20:26:47 :: W32/Sasser.B.worm [73607]
NOD32 01.05.2004 23.39.26 :: Win32/Sasser.B [85166]
TrendMicro 02.05.2004 3:37:50 :: WORM_SASSER.B [99470]
McAfee 02.05.2004 20:04:25 :: W32/Sasser.worm.b [158665]
Symantec 02.05.2004 20:53:40 :: W32.Sasser.B.Worm [161620]
Sophos 02.05.2004 21:25:40 :: W32/Sasser-B [163540]
eTrustAV 03.05.2004 11:38:40 :: Win32/Sasser.B.Worm [214720]

En esta segunda tabla podemos apreciar como Kaspersky reconoció a la
segunda variante de Sasser con la misma firma que la primera.


Sasser.C 02/05/2004 0:00:00

Kaspersky 01.05.2004 18:48:17 :: Worm.Win32.Sasser.a [0]
Panda 01.05.2004 20:26:47 :: W32/Sasser.B.worm [0]
NOD32 02.05.2004 17:05:57 :: Win32/Sasser.C [61557]
McAfee 02.05.2004 20:04:25 :: W32/Sasser.worm.c [72265]
Sophos 02.05.2004 21:25:40 :: W32/Sasser-B [77140]
TrendMicro 03.05.2004 2:12:38 :: WORM_SASSER.C [94358]
eTrustAV 03.05.2004 11:38:40 :: Win32/Sasser.C.Worm [128320]
Symantec 03.05.2004 23:13:33 :: W32.Sasser.C.Worm [170013]

En el caso de Sasser.C, que comenzó su actividad el 02/05/2004,
apreciamos que tanto Kaspersky como Panda lo detectaban con firmas y
actualizaciones del día anterior destinadas a sus predecesores. En
estos casos, bien porque se detecta por una firma anterior o por
funciones heurísticas, el tiempo de reacción es 0, ya que lo
detectaban en el mismo momento que comienza su circulación.


Sasser.D 03/05/2004 0:00:00

Panda 03.05.2004 13:58:08 :: W32/Netsky.AD.worm [50288]
TrendMicro 03.05.2004 16:41:50 :: WORM_SASSER.D [60110]
Kaspersky 03.05.2004 18:27:39 :: Worm.Win32.Sasser.c [66459]
Sophos 03.05.2004 18:28:03 :: W32/Sasser-D [66483]
eTrustAV 03.05.2004 19:15:06 :: Win32/Sasser.D.Worm [69306]
NOD32 03.05.2004 19:15:33 :: Win32/Sasser.D [69333]
Symantec 03.05.2004 23:13:33 :: W32.Sasser.D [83613]
McAfee 04.05.2004 14:49:33 :: W32/Sasser.worm.d [139773]

En el caso del Sasser.D todos los antivirus tuvieron que proporcionar
actualizaciones específicas, con Panda como primera solución en
reaccionar seguida de TrendMicro.


Sasser.E 09/05/2004 0:00:00

Panda 09.05.2004 5:49:53 :: W32/Sasser.E.worm [20993]
Kaspersky 09.05.2004 7:04:29 :: Worm.Win32.Sasser.d [25469]
NOD32 09.05.2004 13:32:30 :: Win32/Sasser.E [48750]
Symantec 09.05.2004 17:49:13 :: W32.Sasser.E.Worm [64153]
Sophos 10.05.2004 2:03:54 :: W32/Sasser-E [93834]
TrendMicro 10.05.2004 13:38:17 :: WORM_SASSER.E [135497]
McAfee 10.05.2004 22:14:34 :: W32/Sasser.worm.e [166474]
eTrustAV 14.05.2004 0:56:42 :: Win32/Sasser.E.Worm [176202]

Con Sasser.E los antivirus también deben proporcionar una
actualización específica, ya que no era detectado por las firmas
anteriores. Panda seguido de Kaspersky encabezan el listado.


Para calcular el ranking global/final sobre las variantes del gusano
Sasser, sumamos todos los tiempos de reacción obtenidos por cada uno
de los antivirus. El valor menor será el más positivo (el antivirus
habrá tardado menos segundos en proporcionar las actualizaciones).

Ranking Final

1º Panda 188087
2º Kaspersky 227322
3º NOD32 306611
4º TrendMicro 430828
5º Sophos 433444
6º Symantec 525036
7º McAfee 605030
8º eTrustAV 803268

Además de obtener un ranking, con Panda, Kaspersky y NOD32 en los tres
primeros puestos respectivamente, el indicador de tiempo de reacción
en segundos también nos da información para cuantificar cual es la
diferencia real entre los diferentes puestos. Así por ejemplo entre
el primero y segundo la diferencia es de 10 horas, mientras que entre
el cuarto y quinto apenas hay 43 minutos. La ventana de tiempo más
importante, entre el primero y el octavo, es de 170 horas.

Basándonos en este indicador, podríamos realizar una evaluación
continua de las soluciones antivirus partiendo de los especímenes más
relevantes que van surgiendo, proporcionando un ranking en un periodo
de tiempo determinado, con periodicidad mensual, trimestral y/o anual.
Inclusive se podría determinar unos tiempos de respuesta mínimos y
ofrecer una certificación continua inédita hasta la fecha, con la que
los antivirus podrían garantizar a los usuarios que cumplen en tiempo
y forma con las actualizaciones para protegerlos.

Una de las primeras incógnitas a resolver podría ser determinar que
especímenes deben formar parte de la evaluación. Aunque hay casos
que parecen claros, por ejemplo este mes entrarían la última versión
de Bagle y Mydoom aparecidas por su relevancia y número de infecciones
conseguidas, habría que definir claramente un método que especifique
que fuentes y parámetros se valorarán para determinar las muestras
que participarían en la evaluación.

Otra posibilidad podría ser ponderar los resultados obtenidos con
cada espécimen en función del peligro que entraña o los niveles de
propagación alcanzados, aunque en este caso complicaríamos aun más
el indicador.

Quedamos a la espera de recibir las opiniones de las casas antivirus,
profesionales y usuarios sobre todo lo anteriormente expuesto,
agradeceremos cualquier crítica, sugerencia o comentario, con la
idea de poder ofrecer una evaluación lo más real, consensuada y justa
posible.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Comparativas y certificaciones antivirus: la necesidad de un nuevo modelo
http://www.hispasec.com/unaaldia/209621/07/2004

VirusTotal
http://www.virustotal.com

martes, 27 de julio de 2004

Nueva versión del gusano Mydoom afecta a buscadores

Una nueva versión del gusano Mydoom hizo aparición ayer con especial
incidencia. Como novedad, esta nueva variante destaca por realizar
peticiones a los servicios de búsqueda de Google, Yahoo, Altavista y
Lycos para recopilar direcciones de correo a las que enviarse. Uno
de los efectos colaterales más visibles del gusano durante las
primeras horas de propagación fue afectar al servicio de Google, que
restauró su normalidad más tarde.

En VirusTotal se pudo comprobar desde un primer momento la incidencia
del gusano gracias a las muestras enviadas por los usuarios, que en
principio sólo fueron detectadas por los motores que reconocían a la
nueva variante de Mydoom por heurística. Además del TOP10 de las
muestras recibidas en las últimas 24 horas, otra estadística que
evidenciaba que nos encontrábamos ante una nueva epidemia era la de
últimas actualizaciones, con un pico de hasta 8 actualizaciones de
los diferentes motores en sólo una hora.

En el apartado de motores que detectaban el espécimen antes de su
aparición (26/07/2004) y protegían a sus usuarios en el mismo momento
en que empezó a circular el gusano, encontramos a NOD32 y Norman, que
lo hacían de la siguiente forma:

NOD32v2 :: NewHeur_PE
Norman :: W32/EMailWorm

A continuación los tiempos de reacción de las casas antivirus en
proporcionar la actualización concreta para este gusano una vez había
comenzado su propagación:

NOD32v2 26.07.2004 15:47 :: Win32/Mydoom.R
Kaspersky 26.07.2004 16:02 :: I-Worm.Mydoom.m
BitDefender 26.07.2004 16:12 :: Win32.Mydoom.M@mm
ClamWin 26.07.2004 17:13 :: Worm.Mydoom.M
Norman 26.07.2004 17:27 :: MyDoom.L@mm
Panda 26.07.2004 17:50 :: W32/Mydoom.N.worm
Sophos 26.07.2004 17:54 :: W32/MyDoom-O
TrendMicro 26.07.2004 18:07 :: WORM_MYDOOM.M
McAfee 26.07.2004 18:32 :: W32/Mydoom.o@MM
Symantec 26.07.2004 19:05 :: W32.Mydoom.M@mm
F-Prot 26.07.2004 19:32 :: W32/Mydoom.P@mm
eTrustAV-Inoc 26.07.2004 23:54 :: Win32/MyDoom.O.Worm

Estos datos son proporcionados por VirusTotal, y los tiempos se
encuentran en hora española (GMT+2 en verano).

Como ya hemos comentado, la novedad de esta nueva variante de Mydoom
reside en una función extra, además de las habituales, para recopilar
direcciones de correo electrónico a las que enviarse. Por cada nombre
de dominio que localiza en un sistema infectado realiza una petición
a un motor de búsqueda para localizar más e-mails. Supongamos que en
un sistema típico pueden existir varios cientos de direcciones de
correo, y que la propagación del gusano en las primeras horas fue
muy rápida, lo que pudo dar lugar a cientos de miles de peticiones
simultaneas a los buscadores.

Particularmente me inclino a pensar que esta función fue creada con
el ánimo de potenciar la distribución de esta nueva variante, por lo
que el problema en el servicio de los motores de búsqueda ha sido un
efecto colateral no buscado. En cualquier caso los buscadores deberán
tomar buena nota, ya que es probable que futuros gusanos exploten
esta misma técnica.

El resto de características del gusano es similar a otras variantes.
Se distribuye por e-mail en un adjunto con algunas de las siguientes
extensiones: .bat, .cmd, .com, .exe, .pif, .scr o .zip. Puede
utilizar dobles extensiones para intentan confundir al destinatario,
la dirección de remite es falseada, y una vez se ejecuta en el
sistema descarga un backdoor que abre una puerta trasera en el puerto
TCP/1034.


Bernardo Quintero
bernardo@hispasec.com



lunes, 26 de julio de 2004

Publicada la invitación para participar en el Hackmeeting 2004 (Sevilla)

Acaba de publicarse la invitación para proponer la realización de
actividades que se realizarán en el marco de la próxima edición
del Hackmeeting, que se celebrará entre el 29 de octubre y el 1
de noviembre en Sevilla.

Los Hackmeetings son un evento dirigido y organizado por la
comunidad de usuarios de Internet, en los que se tratan de temas
sociales y políticos, pero sin olvidar la vertiente puramente
tecnológica. No es un encuentro puramente social o político ni
tampoco una reunión sobre cuestiones puramente técnicas, sino más
bien podrían resumirse como el punto de encuentro de ambos
colectivos.

Durante varios días se celebran una gran cantidad de charlas,
debates, talleres, exposiciones, encuentros, etc... todo con la
idea de facilitar el libre intercambio de experiencias entre
todas las personas que asisten al evento, facilitando la
existencia de diálogo entre todos los colectivos y personas que
participan. En un Hackmeeting se intenta huir de la clásica
reunión en que un conferenciante imparte una clase magistral y se
intenta conseguir que los encuentros sean altamente
participativos.

El primer Hackmeeting tuvo lugar en Florencia el año 1998 y desde
entonces se ha ido repitiendo en diversas ciudades italianas. Por
lo que se refiere a España, el primer hackmeeting se realizó el
año 2000 en Barcelona, repitiéndose la experiencia el 2001 en
Leioa (Bilbo), el 2002 en Madrid y el 2003 en Iruña/Navarra.
Durante los próximos días 29, 30 y 31 de octubre y el 1 de
noviembre en la Casa de la Paz (calle Aniceto Sáenz, s/n) de la
capital andaluza.

En vistas a completar el calendario de actividades para esta
próxima edición, se acaba de publicar el "Call 4 Nodes", o
invitación para que las personas interesadas en participar en el
Hackmeeting puedan proponer la celebración de actividades
diversas. El texto completo de este "Call 4 Nodes" puede
encontrarse en la URL indicada en el apartado de "Más
información".

Entre los temas que se sugieren existen muchos relacionados con
la seguridad informática y que habitualmente son tratados en el
"una-al-día" de Hispasec: redes inalámbricas, criptografía,
virus, hacking y phreaking, privacidad, contraseñas, software
libre... No obstante, la lista de temas es totalmente abierta a
diferentes propuestas que se realicen por parte de los propios
participantes en el Hackmeeting. Debido a su propio carácter
auto-organizado, la estructura del evento será aquella que los
propios participantes decidan.


Xavier Caballé
xavi@hispasec.com


Más información:

Call4Nodes Hack'Andalus. Hackmeeting Sevilla 2004
http://www.sindominio.net/hackmeeting/index.pl?CallfornodesEs

Hackmeeting 2004 (Sevilla)
http://www.sindominio.net/hackmeeting/

Hackmeeting 2003 (Iruña)
http://www.sindominio.net/~hm/iruna03/

Hackmeeting 2002 (Madrid)
http://www.sindominio.net/~hm/madhack02/

Hackmeeting 2001 (Leioa)
http://www.sindominio.net/~hm/hmleioa01/

Hackmeeting 2000 (Barcelona)
http://www.sindominio.net/~hm/hmbcn00/

Una-al-día (15-09-2000): Hackmeeting BCN
http://www.hispasec.com/unaaldia/691

domingo, 25 de julio de 2004

Vulnerabilidades de desbordamiento de búfer en Samba

Se ha anunciado la existencia de dos vulnerabilidades en Samba, que
afectan al Samba Web Administration Tool y a los sistemas que usan el
método 'hash' para la generación de nombres adaptados. Los problemas
permitirán a un atacante la ejecución de código arbitrario en los
sistemas afectados.

Samba es una implementación Unix "Open Source" del protocolo
SMB/NetBIOS, utilizada para la compartición de archivos e impresora en
entornos Windows. Gracias a este programa, se puede lograr que máquinas
Unix y Windows convivan amigablemente en una red local, compartiendo
recursos comunes. Incluso es factible utilizar un servidor Samba para,
por ejemplo, actuar como controlador de un dominio Microsoft Windows.

El primero de los problemas reside en un desbordamiento de búfer en el
Samba Web Administration Tool (SWAT) en las versiones 3.0.2 - 3.0.4. Un
usuario remoto podrá enviar una cabecera de autenticación básica HTTP
especialmente modificada que contenga un carácter Base64 no válido para
explotar el desbordamiento y lograr la ejecución de código.

También se ha anunciado otro desbordamiento de búfer diferente en el el
código que procesa la opción 'mangling method = hash' del archivo
'smb.conf'. Las versiones de Samba 3.0.0 y posteriores están afectadas.
La configuración por defecto 'mangling method = hash2' no es
vulnerable.

Se han publicado las versiones 2.2.10 y 3.0.5 que corrigen el problema
y se encuentran disponibles en http://www.samba.org/. Como contramedida
se recomienda deshabilitar las herramientas SWAT y emplear la opción
'mangling method = hash2' en el archivo de configuración 'smb.conf'.


Antonio Ropero
antonior@hispasec.com


Más información:

Samba Buffer Overflows in Web Administration Tool and in 'hash'
Mangling Method May Let Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2004/Jul/1010753.html

sábado, 24 de julio de 2004

Desactivación de temporizador del bloqueo de pantalla en iTunes

Se ha descubierto un problema de seguridad en iTunes que bloquea el
temporizador del bloqueo de pantalla automático del sistema operativo
(si este está activado).

iTunes es un jukebox digital para Mac OS X y Microsoft Windows. El
problema anunciado reside en que si el plugin por defecto del
visualizador de iTunes está activo y ejecutándose en modo a pantalla
completa, éste desactiva el temporizador que lanza el bloqueo de
pantalla. Esto podría permitir a un atacante con acceso físico al
ordenador acceder de forma no autorizada al sistema.

En el momento de la redacción de esta noticia no se ha puesto a
disposición de los usuarios ningún parche que evite el problema.

Las plataformas afectadas por este problema son:

Apple Computer, Inc.: iTunes en todas sus versiones.
Apple Computer, Inc.: Mac OS en todas sus versiones.
Microsoft Corporation: Windows en todas sus versiones.


Antonio Román
roman@hispasec.com


Más información:

Mac Forums
http://forums.macrumors.com/archive/index.php/t-77400

iTunes Visualizer disables screen lock timer
http://xforce.iss.net/xforce/xfdb/16780

iTunes
http://www.apple.com/es/ilife/itunes/

viernes, 23 de julio de 2004

Salto de mecanismos de autenticación en Sun Java System Portal Server 6.2

Se ha descubierto una vulnerabilidad en Sun Java System Portal Server
que podría permitir a un usuario malicioso conseguir derechos
administrativos.

Según la descripción de Sun, Java System Portal Server es una solución
de servidor de portal del sector con activación de identidad. Proporciona
la gestión de usuarios, políticas e identidades necesaria para que las
comunidades de usuarios finales cumplan la seguridad, la conexión única
y las capacidades.

El problema, confirmado en la versión 6.2, se da si el usuario cambia
las opciones de visualización a una vista que no sea la configurada
por defecto. Esto sólo afecta al servidor Calendar, que debe estar
configurado con "Admin Proxy Authentication" y el usuario debe
autenticarse a través del canal de comunicación "Portal".

La dirección para descargar este parche de actualización son las
siguientes en función de la plataforma:
Para plataforma Sparc
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=116856&rev=10
Para plataforma x86
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=117757&rev=09


Julio Canto
jcanto@hispasec.com


Más información:

Proxy Authentication to Calendar Server Fails if Portal Display Preferences Are Changed
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57586&zone_32=category%3Asecurity

Sun Java System Portal Server
http://www.sun-catalogue.com/productinfo.xml?site=ES_SPA&catalogue=FC&segment=FC_SC&item=FC_SC_SRCHIN&id=11292

jueves, 22 de julio de 2004

Denegación de servicio en CA eTrust Common Services

Se han descubierto dos vulnerabilidades en eTrust Common Services que
permitirían a usuarios maliciosos provocar una denegación de servicio.

El Portal Service se ve afectado por una vulnerabilidad por denegación
de servicio al introducir unas URLs especialmente diseñadas para tal
acción.

La segunda vulnerabilidad se basa en que el servicio es incapaz de
mantener un número grande de conexiones, lo que puede provocar la caída
del Transport Service.

Se ha comprobado que CA eTrust Common Services versión 1.1 y CA eTrust
Security Command Center 1.0 son vulnerables a estos ataques.

El fabricante ha facilitado las siguientes direcciones para corregir
estas vulnerabilidades, sólo para usuarios registrados.

http://esupport.ca.com/index.html?/premium/etrust/etrust_scc/downloads/QO56897.asp
http://esupport.ca.com/index.html?/premium/etrust/etrust_scc/downloads/QO56729.asp


Antonio Román
roman@hispasec.com


Más información:

CA eTrust Common Services Denial of Service Vulnerabilities
http://www.zone-h.org/advisories/read/id=5070

miércoles, 21 de julio de 2004

Comparativas y certificaciones antivirus: la necesidad de un nuevo modelo

Hasta la fecha las certificaciones y comparativas antivirus suelen
tener como eje fundamental de sus valoraciones los porcentajes de
detección sobre colecciones de muestras. La propia evolución de los
antivirus y del malware han dejado obsoleto este modelo.

Hoy día un gusano de propagación masiva es capaz de infectar miles
de sistemas en apenas unas horas. ¿Qué sentido tiene evaluar si un
mes más tarde, en el mejor de los casos, los antivirus lo detectan?
Sin embargo, el principal indicador de las comparativas y
certificaciones actuales se basan en este tipo de estudios.

Al factor tiempo hay que sumar la calidad de las muestras que forman
parte de las colecciones utilizadas en las comparativas. Salvo los
tests basados en colecciones ITW (de especímenes con especial
incidencia reportado por usuarios reales), la mayoría de las
comparativas y algunas certificaciones incluyen las llamadas
colecciones ZOO, que no son representativas de las muestras reales
que afectan a los usuarios y por tanto pueden ofrecer resultados
parciales y de poco valor práctico. De hecho, en estas colecciones
ZOO podremos encontrar muestras que no pueden ser consideradas
malware.

También existen discrepancias entre los propios desarrolladores
antivirus en determinar que tipo de malware debe ser detectado por
los antivirus y, por tanto, deben ser tenido en cuenta en las
evaluaciones. Mientras que algunos productos son más "clásicos" y
se centran en virus, gusanos, troyanos y backdoors, la mayoría
están evolucionando e incluyen adware, spyware, dialers, exploits,
o herramientas de hacking, entre otros grupos de la gran familia
que conforma hoy día el malware.

Otro problema intrínseco de las evaluaciones actuales tiene que ver
con el estudio puntual en el tiempo de las soluciones. Una vez al
mes, en el mejor de los casos, los antivirus pasan los tests. ¿Qué
ocurre entre evaluación y evaluación? ¿Qué respuesta tuvo el día
que apareció el gusano Blaster o Sasser? A los tiempos de reacción
también se suman los problemas puntuales, relativamente comunes,
que pueden darse tras ciertas actualizaciones, tanto de firmas
como del motor. Una comparativa o certificación anual no ofrece
garantías sobre el comportamiento a medio ni corto plazo.

Pero no sólo la evolución del malware fuerza la necesidad de
modificar el modelo de evaluación, los propios antivirus están
sufriendo una transformación, con la incorporación de funcionalidades
proactivas que no son evaluadas con las metodologías actuales.

Imaginemos el caso de una solución antivirus que incorpora a la
detección clásica basada en firmas una nueva función de
monitorización del comportamiento, capaz de detectar nuevas
variantes basándose en las acciones que intenta llevar a cabo
en el sistema. Tendría que ejecutarse la muestra de malware para
poder determinar si la solución antivirus lo detecta basándose
en esta función. El problema se agrava si en vez de una muestra
puntual tenemos en cuenta que las comparativas y certificaciones
actuales pueden basarse en colecciones de más de 50.000 muestras.
¿Cómo pueden dar porcentajes de detección sobre tal número de
muestras? ¿Han ejecutado una por una las muestras con cada una
de las soluciones antivirus instaladas en el sistema? ¿Han
comprobado una por una que realmente son malware?

¿Y si el antivirus incorpora un firewall personal? Las comparativas
y certificaciones antivirus tampoco están evaluando como este
tipo de protecciones mitigan las posibilidades de infección y
propagación de ciertas muestras de malware.

Mi visión particular, basada en la experiencia y autocrítica, es que
las comparativas y certificaciones antivirus actuales se encuentran
totalmente obsoletas.

La idea del desarrollo inicial de VirusTotal, además de la utilidad
manifiesta para los usuarios, en parte perseguía poder ofrecer
indicadores inéditos hasta la fecha, tales como los tiempos de
respuesta ante amenazas puntuales. Aun siendo un dato muy
interesante, que aun no hemos explotado como se merece, hay mucho
camino por recorrer. Un ejemplo claro es la necesidad de desarrollar
metodologías para evaluar las soluciones proactivas no basadas en
análisis de código.

A sabiendas de que simplemente estamos en el camino, en una próxima
entrega vamos a publicar una propuesta de indicador basado en los
tiempos de respuesta antivirus ante nuevas amenazas, tomando como
ejemplo representativo las variantes de Sasser. Invitamos tanto a
desarrolladores antivirus, profesionales de la seguridad
independientes, y usuarios finales, a discutir el indicador y
proponer las modificaciones o cualquier otra sugerencia que tengan
a bien realizar.

Sobra decir que, en cualquier caso, nos encontramos ante un indicador
concreto, con mayor o menor peso, pero que no puede determinar por
si sólo la calidad de un producto, de forma que deberá ser valorado
en su justa medida. De poco sirve un antivirus con muy buena
respuesta en las actualizaciones, o con un gran porcentaje de
detección, si provoca inestabilidad en el sistema, penaliza el
rendimiento, es muy complicado de utilizar, o su precio resulta
prohibitivo, entre otros muchos factores a tener en cuenta.


Bernardo Quintero
bernardo@hispasec.com



martes, 20 de julio de 2004

Reacción antivirus ante el gusano Bagle.AH/AI

En los últimos días han aparecido nuevas versiones del gusano Bagle,
siendo la variante Bagle.AH o Bagle.AI (la denominación varía según
el motor antivirus) la que ha conseguido mayores ratios de
propagación. Hoy vamos a conocer los tiempos de reacción de cada
casa antivirus en proporcionar a sus usuarios la actualización para
protegerse de este espécimen.

En primer lugar destacan aquellos motores antivirus que detectaban
la variante Bagle.AH antes de su aparición (19/07/2004), bien
gracias a las funciones heurísticas, bien porque esta variante
tenía código en común con firmas genéricas que habían incluido para
detectar a la familia Bagle.

De esta forma los siguientes antivirus detectaban a Bagle.AH desde,
al menos, el mes de junio, y protegían a sus usuarios en el mismo
momento en que empezó a circular el gusano.

BitDefender 06.2004 Win32.Bagle.10.Gen@mm
NOD32v2 06.2004 NewHeur_PE
Norman 06.2004 W32/P2PWorm

A continuación los tiempos de reacción de las casa antivirus en
proporcionar la actualización concreta para este gusano, una vez
había comenzado su propagación.

Kaspersky 19.07.2004 19:18 I-Worm.Bagle.ai
NOD32v2 19.07.2004 19:23 Win32/Bagle.AH
BitDefender 19.07.2004 19:38 Win32.Bagle.AJ@mm
Panda 19.07.2004 21:00 W32/Bagle.AH.worm
Sophos 19.07.2004 21:05 W32/Bagle-AI
McAfee 19.07.2004 23:07 W32/Bagle.ai@MM
TrendMicro 19.07.2004 23:13 WORM_BAGLE.AH
Symantec 20.07.2004 02:18 W32.Beagle.AG@mm
F-Prot 20.07.2004 12:35 W32/Bagle.AI@mm
Norman 20.07.2004 18:57 Bagle.AH@mm
eTrust-Inoc 21.07.2004 00:17 Win32/Bagle.AH.Worm

Estos datos son proporcionados por VirusTotal, y los tiempos se
encuentran en hora española (GMT+2 en verano).

Como dato curioso podemos comentar que eTrust-Inoc detectaba a
Bagle.AH en la actualización del 12.06.2004 00:04 como
Win32/Bagle.Variant.Worm, pero en la siguiente actualización
modificaron la firma genérica para la famila Bagle y dejó de
reconocer a esta variante. El resultado es que el día en que
comenzó su propagación no lo detectaba.


Bernardo Quintero
bernardo@hispasec.com


Más información:

VirusTotal
http://wwww.virustotal.com

lunes, 19 de julio de 2004

Se publica el número 62 de la revista electrónica "Phrack"

Acaba de publicarse el número 62 del conocido E-Zine "Phrack".
"Phrack", que cuenta ya con 19 años de historia, se centra en los
campos de "exploits" y nuevas tecnologías de "hacking", fundamentalmente
en entornos informáticos.

En este último número podemos encontrar artículos sobre:

* Falsificación de respuestas DNS
* Inyección de señales maliciosas en sistemas UNIX
* Cómo saltarse las protecciones contra desbordamientos de búfer en MS
Windows
* Creación de puertas traseras en el kernel de MS Windows NT
* Historia y avances en la creación de "shellcode" para MS Windows
* Medidas para contrarrestar análisis forenses
* Cómo escribir "shellcode" compatible con UTF-8
* Ataque a módulos Apache en hospedajes compartidos
* Información básica sobre radio
* Un "rootkit" para MS Windows
* "Contaminación" de procesos para atravesar cortafuegos personales en
MS Windows
* Criptosistema de sustitución polialfabética
* SmartCards
* Noticias

De lectura recomendable para conocer el "estado del arte" en el mundo
"Underground".


Jesús Cea Avión
jcea@hispasec.com


Más información:

Phrack
http://www.phrack.org/

Phrack, la revista de hackers, pública el número 62
http://barrapunto.com/article.pl?sid=04/07/13/0555207

phrack #62 has been released
http://www.securityfocus.com/archive/1/368812

domingo, 18 de julio de 2004

Múltiples vulnerabilidades en PHP-Nuke 7.3

Se han descubierto diversas vulnerabilidades en PHP-Nuke que
permitirían a usuarios maliciosos llevar a cabo ataques de tipo
Cross-Site Scripting e inyección SQL.

Los problemas se centran básicamente en la falta de comprobación de
entradas en el módulo Search de dicha plataforma.

* La entrada pasada a la cadena de búsqueda en dicho módulo no se
filtra de forma adecuada antes de ser devuelta al usuario. Esto
puede ser explotado para realizar ataques XSS que ejecuten código
HTML en el navegador de la víctima con el contexto del sitio afectado.

* Tampoco se comprueban adecuadamente las entradas dadas al parámetro
"instory", lo que puede ser aprovechado para realizar ataques de
inyección de código SQL.

* La introducción de caracteres no válidos (i.e. "**" o "+") como
entrada al problemático módulo permite conocer información sobre
direcciones de instalación del producto.

* Diversos parámetros del módulo no comprueban las entradas que
devuelven al usuario, lo que puede de nuevo ser explotado para
realizar ataques Cross-Site Scripting y ejecutar código HTML
arbitrario en el navegador de la víctima. Algunos ejemplos serían los
siguientes:
modules.php?name=Search&sid=[codigo_malicioso]
modules.php?name=Search&query=*&max=[codigo_malicioso]
(necesita más de 9 resultados en la búsqueda)
modules.php?name=Search&query=waraxe&sel1=[codigo_malicioso]&type=comments
modules.php?name=Search&a=6&query=*&match=[codigo_malicioso]
modules.php?name=Search&query=*&mod3=[codigo_malicioso]
(El módulo específico debe ser desactivado)

* La entrada a los parámetros "min" y "categ" tampoco son filtrados
adecuadamente, de tal forma que se pueden realizar ataques por
inyección de código SQL.

Estos problemas se han confirmado en la versión 7.3, aunque otras
podrían verse también afectadas.

No se ha publicado un parche de actualización que corrija estos
problemas, por lo que se recomienda, en caso de poder realizarse, una
modificación del código para realizar un filtrado robusto que evite
este tipo de problemas.


Julio Canto
jcanto@hispasec.com


Más información:

Multiple security holes in PhpNuke
http://www.waraxe.us/index.php?modname=sa&id=35
http://www.waraxe.us/index.php?modname=sa&id=36

sábado, 17 de julio de 2004

Actualización acumulativa para Outlook Express

Microsoft ha publicado una actualización para evitar una vulnerabilidad
en Outlook Express 5.5 y 6. El problema consiste en una denegación de
servicio en el gesto de correo de Microsoft debido a una carencia de
verificación robusta en las cabeceras de los e-mails.

Se trata de una actualización acumulativa por lo que se incluyen todas
las funcionalidades de todas las actualizaciones anteriormente publicadas
para Outlook Express 5.5 y Outlook Express 6.

La actualización también cambia la configuración de seguridad por
defecto para Outlook Express 5.5 Service Pack 2 (SP2), al hacer que
los e-mail HTML se previsualicen en la zona de sitios restringidos.
También se corrige un comportamiento introducido en el parche MS03-014
por el que Outlook Express 6 SP1 y posteriores crean una copia de la
agenda de direcciones en una localización predecible con nombre de
archivo "~".

El problema corregido reside en que si la vista previa está activada
un e-mail malicioso, con las cabeceras modificadas a tal efecto, podrá
provocar la caída de Outlook Express. Será necesario eliminar el
mensaje perjudicial de forma manual para recuperar la funcionalidad
habitual del lector de correo.

Actualizaciones disponibles en:

Microsoft Outlook Express 5.5 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9A8D1BF2-93C5-41A9-B79A-31D54743BA0E&displaylang=en
Microsoft Outlook Express 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=D5900DF1-10AB-4850-9064-3070CE1F948A&displaylang=en
Microsoft Outlook Express 6 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD6A96BC-DAF0-4EAB-89B8-BD702B3E3E5D&displaylang=en
Microsoft Outlook Express 6 Service Pack 1 (64 bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=ADCCF304-6CFC-48D6-9A3F-2A601C3A04A5&displaylang=en
Microsoft Outlook Express 6 on Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C99AAFCD-B99B-4B13-A366-5F8EDC83633F&displaylang=en
Microsoft Outlook Express 6 on Windows Server 2003 (64 bit edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=10D1AAD0-0313-4BEB-A174-84CF573F31FD&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Actualización de seguridad acumulativa para Outlook Express
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-018-IT.mspx

viernes, 16 de julio de 2004

Actualización de seguridad para ZOPE

La comunidad Zope anuncia la disponibilidad de un parche de seguridad
para las últimas versiones de su servidor de aplicaciones ZOPE.

Zope es un servidor de aplicaciones, escrito en lenguaje Python.
Su extrema flexibilidad, características novedosas (base de datos de
"objetos", fácil extensibilidad, componentes) y su bajo precio (se trata
de una solución "open source") lo hacen especialmente atractivo para
desarrollos web.

Las versiones 2.7.0 y 2.7.1 de ZOPE contienen una vulnerabilidad que
permite que un atacante remoto, con privilegios suficientes como para
instalar o alterar objetos ZPT (Zope Page Templates), pueda violar
ciertas condiciones de seguridad.

Para poder explotar esta vulnerabilidad es necesario que el atacante
tenga privilegios de escritura en el servidor ZOPE, y que pueda crear o
modificar objetos ZPT, lo que reduce el impacto real de la
vulnerabilidad.

La versión 2.7.2, de publicación inminente (está en modo "cadidate
release"), no será susceptible a este problema.

Se recomienda a todos los administradores de servidores ZOPE 2.7.* que
instalen este parche, sobre todo si disponen de usuarios no confiables y
con permiso de escritura.

Es de destacar que la comunidad ZOPE ha publicado dos actualizaciones,
en días consecutivos. La primera de ellas es incorrecta y debe
ignorarse. Debe aplicarse, exclusivamente, la segunda versión del
parche.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Hotfix 2004-07-14 Alert
http://zope.org/Products/Zope/Hotfix_2004-07-14/security_alert

Parche 2004-07-14
http://zope.org/Products/Zope/Hotfix_2004-07-14/Zope%202.7.0%20-%202.7.1

Hotfix 2004-07-13 Alert
http://zope.org/Products/Zope/Hotfix_2004-07-13/security_alert

Zope Hotfix Release, 2004/07/13
http://www.zope.org/Products/Zope/Hotfix_2004-07-13/README.txt

Parche 2004-7-13
http://zope.org/Products/Zope/Hotfix_2004-07-13/Zope%202.7.0%20-%202.7.1

The Web Site for the Zope Community
http://www.zope.org/

jueves, 15 de julio de 2004

Actualización de seguridad de PHP

Las versiones no actualizadas de PHP son susceptibles a un ataque
remoto que permite la ejecución de código arbitrario en el servidor.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting
de propósito general, idóneo para el desarrollo web al ser posible su
integración dentro del HTML. Se trata de un proyecto de código abierto
muy utilizado para la confección de páginas web dinámicas (gracias a la
capacidad de lanzar consultas a bases de datos).

Las versiones de PHP anteriores a la 4.3.8 permiten que un atacante
remoto ejecute código arbitrario en el servidor mediante una petición
HTTP cuidadosamente planificada.

Otra vulnerabilidad, solucionada en esta actualización, permite realizar
inyecciones de código XSS (Cross Site Scripting) que afectan a los
clientes que utilicen Internet Explorer o el navegador "Safari" de Apple.
La actualización elimina otras vulnerabilidades menores.

Se recomienda a los administradores de sistemas PHP que actualicen
cuanto antes a la versión 4.8.3, o que migren a la nueva versión 5.0.


Jesús Cea Avión
jcea@hispasec.com


Más información:

MDKSA-2004:068 - Updated php packages fix multiple vulnerabilities
http://www.securityfocus.com/archive/1/368924

[ GLSA 200407-13 ] PHP: Multiple security vulnerabilities
http://www.securityfocus.com/archive/1/368925

PHP memory_limit remote vulnerability
http://security.e-matters.de/advisories/112004.html

PHP 4.3.8 Release Announcement
http://www.php.net/release_4_3_8.php

PHP: Hypertext Preprocessor
http://www.php.net/

miércoles, 14 de julio de 2004

Vulnerabilidad en Administrador de tareas de sistemas Windows

Dentro del conjunto de parches de Microsoft de julio, y del que
Hispasec ya realizó un adelanto en el una-al-día de ayer, se ha
anunciado la existencia de una vulnerabilidad en el Administrador
de tareas de diversas plataformas Windows. El problema, considerado
como crítico por Microsoft, permite la ejecución de código de forma
remota en los sistemas afectados.

La vulnerabilidad, que puede permitir la ejecución remota de código,
radica en la forma en la que se realiza la validación de nombres de
aplicaciones en el Administrador de tareas. Hay muchas formas en que
un sistema podría ser vulnerable a este ataque. Un atacante que explote
con éxito esta vulnerabilidad puede tomar el control total de un sistema
afectado, aunque hace falta interacción por parte del usuario para que
esto ocurra (el nivel de privilegios que conseguirá el atacante será el
mismo de la víctima del ataque).

La vulnerabilidad afecta a las plataformas Windows 2000, Windows XP y
sistemas Windows NT 4.0 con Internet Explorer 6 instalado.

Los sistemas operativos Windows proporcionan el servicio Administrador
de tares que está diseñado para ejecutar una aplicación concreta en un
momento de tiempo o fecha asignado. Cuando se añade una nueva tarea a
través del panel de control, se crea un archivo '.job' en la carpeta
'Tasks' del directorio Windows con toda la información de la tarea.

A través de un archivo '.job' maliciosamente creado, con los parámetros
demasiado largos, se provocará un desbordamiento de búfer y permitir al
atacante conseguir la ejecución de código (local o remota).

Dos aplicaciones que se han confirmado que pueden ser empleadas para
explotar este problema son Windows Explorer e Internet Explorer, cuando
se intente visualizar un recurso compartido de red que contenga el
archivo '.job' malicioso. El compartir archivos a través de MSN
Messenger también se ha probado como una fuente de ataques efectiva. En
el caso de Internet Explorer, se puede explotar simplemente al
visualizar un sitio web que contenga un frame que apunte a un recurso
compartido de red que contenga el archivo '.job'.

Las direcciones para descargar el parche de actualización son las
siguientes (según versión e idioma):

Para Windows 2000:
Inglés:
http://download.microsoft.com/download/f/f/5/ff52e0cb-e04d-4dc0-9177-6272557cd6d4/Windows2000-KB841873-x86-ENU.EXE
Español:
http://download.microsoft.com/download/d/8/b/d8b72b07-1df5-4075-a0a2-8be1a12225b0/Windows2000-KB841873-x86-ESN.EXE

Para Windows XP:
Inglés:
http://download.microsoft.com/download/6/f/5/6f5e3bdb-69b6-43e7-9d27-9ce2e4687fef/WindowsXP-KB841873-x86-enu.exe
Español:
http://download.microsoft.com/download/6/2/a/62a7f424-50dd-4508-b768-1a10453a45e4/WindowsXP-KB841873-x86-esn.exe

Para Windows XP 64-Bit Edition
Inglés:
http://download.microsoft.com/download/4/2/5/425c7dec-67df-4000-9436-26cb23c06498/WindowsXP-KB841873-ia64-enu.exe

Para Internet Explorer 6 cuando se instala en SP6a de Windows NT 4.0:
Inglés:
http://download.microsoft.com/download/5/0/0/5004c98d-cacc-42d5-980c-b5c9efb7a627/IE-KB841873-WindowsNT4sp6-x86-ENU.exe
Español:
http://download.microsoft.com/download/c/5/d/c5db8e9b-5644-41d5-8303-ed2ffb152b3c/IE-KB841873-WindowsNT4sp6-x86-ESN.exe


Antonio Ropero
antonior@hispasec.com


Más información:

Una vulnerabilidad del Administrador de tareas podría permitir la
ejecución de código
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-022-IT.mspx

Microsoft Windows Task Scheduler '.job' Stack Overflow
http://www.ngssoftware.com/advisories/mstaskjob.txt

una-al-dia (13/07/2004) Múltiples actualizaciones de seguridad para
Windows en julio
http://www.hispasec.com/unaaldia/2088

martes, 13 de julio de 2004

Múltiples actualizaciones de seguridad para Windows en julio

Un mes más y siguiendo la ya conocida política de publicación de
parches, Microsoft ha publicado hoy, segundo martes de julio el
conjunto de parches desarrollados desde el pasado mes. En esta ocasión
los productos para los que se publican nuevas actualizaciones son los
sistemas Windows, Internet Explorer, Internet Information Server 4.0 y
Outlook Express.

Microsoft ha publicado un total de siete boletines, en los que se
hace referencia a otros tantos nuevos parches para corregir fallos
de seguridad en su software. Según la propia clasificación de los
problemas dos de ellos se consideran críticos, mientras que el resto
son clasificados como importantes y un último como moderado.

El primero de los boletines considerados como críticos hace relación
a un desbordamiento de búfer en el administrador de tareas de varias
versiones de Windows. El segundo boletín crítico, hace referencia a
dos nuevas vulnerabilidades, la primera de ellas reside en HTML Help
mientras que la segunda radica en showHelp.

Por otra parte los problemas importantes consisten en una escalada de
privilegios en el Administrador de Utilidades de Windows 2000, una
vulnerabilidad de escaladas de privilegios en el subsistema POSIX de
diversos sistemas Windows y una ejecución remota de código por una
vulnerabilidad en el Shell de Windows. También se describe como
importante una vulnerabilidad de desbordamiento de búfer en Internet
Information Server (IIS) 4.0 y por último una vulnerabilidad de
denegación de servicio en Outlook Express 5.5 y 6 considerada de
riesgo moderado.

Volviendo a los parches de este mes, desde Hispasec, en nuestra
línea, dedicaremos diversos boletines a la descripción detallada
de los mismos, así como cualquier otro incidente destacable que
pueda derivarse por problemas o incompatibilidades con los mismos.

A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y
la descarga de los parches.

* Vulnerabilidad en Administrador de Tareas puede permitir la
ejecución de código (MS04-022)
Afecta a Windows 2000, Windows XP e Internet Explorer 6 instalado
en Windows NT 4.0 SP6a

* Vulnerabilidad en HTML Help puede permitir la ejecución de código
(MS04-023)
Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows 98,
Windows Me e Internet Explorer 6 instalado en Windows NT 4.0 SP6a

* Vulnerabilidad en Administrador de Utilidades puede permitir la
ejecución de código (MS04-019)
Afecta a Windows 2000

* Vulnerabilidad en POSIX puede permitir la ejecución de código
(MS04-020)
Afecta a Windows NT 4.0 y Windows 2000

* Actualización de seguridad para IIS 4.0 (MS04-021)
Afecta a IIS 4.0 sobre Windows NT 4.0

* Vulnerabilidad en el Shell de Windows puede permitir la ejecución
remota de código (MS04-024)
Afecta a Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003,
Windows 98, y Windows Millennium Edition.

* Actualización de seguridad acumulativa para Outlook Express
(MS04-018)
Afecta a sistemas con Outlook Express 5.5 y 6.0


Antonio Ropero
antonior@hispasec.com


Más información:

MS04-022 - Vulnerability in Task Scheduler Could Allow Code Execution
(841873)
http://www.microsoft.com/technet/security/bulletin/MS04-022.mspx

MS04-023 - Vulnerability in HTML Help Could Allow Code Execution
(840315)
http://www.microsoft.com/technet/security/bulletin/MS04-023.mspx

MS04-019 - Vulnerability in Utility Manager Could Allow Code Execution
(842526)
http://www.microsoft.com/technet/security/bulletin/MS04-019.mspx

MS04-020 - Vulnerability in POSIX Could Allow Code Execution (841872)
http://www.microsoft.com/technet/security/bulletin/MS04-020.mspx

MS04-021 - Security Update for IIS 4.0 (841373)
http://www.microsoft.com/technet/security/bulletin/MS04-021.mspx

MS04-024 - Vulnerability in Windows Shell Could Allow Remote Code
Execution (839645)
http://www.microsoft.com/technet/security/bulletin/MS04-024.mspx

MS04-018 - Cumulative Security Update for Outlook Express (823353)
http://www.microsoft.com/technet/security/bulletin/MS04-018.mspx

lunes, 12 de julio de 2004

Desbordamiento de búfer en Adobe Reader 6.0

Se ha anunciado la existencia de una vulnerabilidad de desbordamiento
de búfer en Adobe Reader (también conocido como Acrobat Reader) por la
que un usuario malicioso puede lograr la ejecución de código arbitrario
cuando se visualice un archivo PDF.

El problema concretamente reside en la rutina responsable de dividir el
nombre de ruta completo en sus múltiples componentes. Debido a un error
de tratamiento relacionado con caracteres NULL, un atacante podrá forzar
a Acrobat Reader a abrir un archivo con una extensión no tratada. Si se
llega a proporcionar una extensión de gran tamaño se producirá el
desbordamiento de búfer.

Un atacante que logre explotar exitosamente esta vulnerabilidad conseguirá
ejecutar código malicioso bajo los privilegios del usuario local. Podrá
lograrlo de forma remota mediante el envío de un e-mail específicamente
creado y adjuntando el documento pdf malicioso.

Se ha confirmado que Adobe Reader version 6.0.1 es vulnerable, aunque es
posible que otras versiones anteriores también sean vulnerables. Según ha
informado Adobe, la vulnerabilidad está corregida en la última versión de
Adobe Reader 6.0.2 publicada el pasado mes y disponible para descarga
desde:
http://www.adobe.com/products/acrobat/readstep2.html


Antonio Ropero
antonior@hispasec.com


Más información:

Adobe Reader 6.0 Filename Handler Buffer Overflow Vulnerability
www.idefense.com/application/poi/display?id=116&type=vulnerabilities

Adobe Reader 6.0
http://www.adobe.com/products/acrobat/readermain.html

domingo, 11 de julio de 2004

Fallo de restricción de acceso a 'shell:' en MSN Messenger y Word

Se ha descubierto un problema en MSN Messenger y Microsoft Word que
permitiría acceder a la funcionalidad "shell:" de Windows.

El problema es que dichos programas no restringen de forma el correcta
el acceso a la URI "shell:", lo que podría permitir a usuarios
maliciosos la llamada de varios programas asociados con extensiones
específicas, aunque el impacto de esta técnica es limitado debido a
que no es posible pasar parámetros con ella.

A la espera de un parche oficial que corrija este problema, se
recomienda no seguir enlaces en MSN Messenger o en documentos Word,
sino que sean escritos directamente en la barra de navegación.


Julio Canto
jcanto@hispasec.com


Más información:

[Full-Disclosure] MSN Messenger is vulnerable to the shell: hole
http://lists.netsys.com/pipermail/full-disclosure/2004-July/023766.html
http://lists.netsys.com/pipermail/full-disclosure/2004-July/023770.html
http://lists.netsys.com/pipermail/full-disclosure/2004-July/023774.html

sábado, 10 de julio de 2004

Denegación de servicio en IBM WebSphere Edge Components Caching Proxy 5.02

Se ha descubierto una vulnerabilidad en IBM WebSphere Edge Server
Component Caching Proxy cuando se utiliza con determinada configuración.
Esta vulnerabilidad permitiría a usuarios maliciosos provocar una
denegación de servicio en las versiones afectadas.

WebSphere Edge Components Caching Proxy forma parte de WebSphere
Application Server cuya función es reducir el consumo del ancho de
banda y la consiguiente aceleración de la navegación.

El problema reside en que cuando WebSphere Edge Components Caching
Proxy versión 5.2 utiliza la directiva JunctionRewrite con UseCookie,
el sistema es vulnerable a posibles ataques de denegación de servicio.
La técnica consistiría en enviar una petición GET HTTP sin ningún tipo
de parámetros, lo que provoca la caída del sistema.

Se informa de que la versión 5.00 no se ve afectada por el problema. Los
clientes con soporte de nivel 2 o 3 pueden pedir un parche para corregir
esta vulnerabilidad. IBM tiene también previsto publicar una versión 5.0.3
que no se vea afectada por ella.


Antonio Román
roman@hispasec.com


Más información:

Denial of Service in WebSphere Edge Server
http://www.cybsec.com/vuln/IBM-WebSphere-Edge-Server-DOS.pdf

IBM WebSphere Edge Server Component Caching Proxy JunctionRewrite
Directive Lets Remote Users Deny Service
http://www.securitytracker.com/alerts/2004/Jul/1010639.html

IBM
http://www.ibm.com

viernes, 9 de julio de 2004

Vulnerabilidad de falsificación de barra de direcciones en Opera

Se ha anunciado una vulnerabilidad en el navegador Opera que puede ser
empleada principalmente por usuarios maliciosos para construir ataques
tipo phishing al permitir falsificar la dirección que aparece en la
barra de direcciones.

El problema, variante de otro anteriormente publicado y corregido,
reside en que la información de la barra de direcciones se cambia antes
de llegar a cargar propiamente la página. Esto puede llevarse a cabo
mediante una página o mensaje HTML específicamente creado.

El usuario malicioso deberá crear un documento HTML con un evento
"unOnload" en la etiqueta , que provoque un bucle infinito cuando
se abandone la página. Tras lo cual, se mostrará el sitio web falseado
en un