martes, 31 de agosto de 2004

Ejecución remota de código con skins de Winamp 3 y 5

Winamp en sus versiones 3 y 5 se ve afectado por un problema de
seguridad por el que un usuario malintencionado podría comprometer
el sistema de un usuario víctima.

Una falta de restricción en la ejecución de los archivos del tipo
"Skin" en zip , podría utilizarse para ejecutar código remotamente
en la máquina del usuario atacado. Ha sido posible comprobar que
para usuarios que utilicen Internet Explorer este problema se
acentúa, ya que es posible la explotación de esta vulnerabilidad
sin que el usuario tenga que realizar ninguna acción.

Si un atacante crea un documento XML en un archivo zip skin para
Winamp, este puede hacer referencia a un documento HTML que posea
la etiqueta "Browser", y con ello conseguir la ejecución de código
localmente.

El fabricante ha facilitado a sus usuarios una versión que evita el
poder explotar esta vulnerabilidad al pedir permiso al usuario antes
de proceder a la instalación de un fichero del tipo "skin theme".
Igualmente sólo descomprime aquellos ficheros que no considera
peligrosos.

Se recomienda actualizar a la nueva versión 5.05 en la siguiente
dirección:
http://www.winamp.com/player/

Ejemplo de exploit:
http://www.k-otik.com/exploits/08252004.skinhead.php


Antonio Román
roman@hispasec.com


Más información:

Winamp Security Bulletin
http://www.winamp.com/about/article.php?aid=10605

Winamp Skin File Arbitrary Code Execution Vulnerability
http://www.k-otik.com/bugtraq/

Winamp Skin File Arbitrary Code Execution Vulnerability
http://www.harry-inc.com/Article118.html

Winamp Skin Vulnerability Allows Execution of Arbitrary Code
http://www.auscert.org.au/render.html?it=4338

lunes, 30 de agosto de 2004

Detenciones por delitos en Internet

Según fuentes de la CNN el pasado jueves se detuvieron más de
cien personas por delitos relacionados con Internet.

La operación policial cubrió un amplio abanico de delitos que iban
desde la usurpación de identidad hasta ataques sobre ISPs. Según
fuentes de la procuraduría la intención de esta intervención
es dar una imagen de mayor fiabilidad a la red, ya que es fundamental
que los consumidores no asocien Internet con el fraude.

"Internet está estimulando el desarrollo de productos innovadores y
servicios que eran imposibles de imaginar hace apenas unos años", dijo
la presidenta de la Comisión Federal de Comercio, Deborah Majoras.

La importancia de esta operación policial se entiende a la perfección
si nos fijamos en los números. El detonante de esta operación han
sido las más de 150.000 víctimas de fraude en Internet que en su
conjunto sufrieron una perdida de más de 218 millones de dólares.

No obstante según otras fuentes procedentes de organismos
norteamericanos se cree que el coste a los estadounidenses por los
delitos informáticos se elevan a más de 50.000 millones de dólares
anuales.


Antonio Román
roman@hispasec.com


Más información:

Detienen a más de 100 personas en EE.UU. por delitos en Internet
http://www.cnnenespanol.com/2004/tec/08/27/delito.internet.reut/index.html

Feds launch Internet crime crackdown
http://www.cnn.com/2004/TECH/08/26/cybercrime.probe/index.html

domingo, 29 de agosto de 2004

Denegación de servicio por Telnet en Cisco IOS 12.x

Se ha descubierto una vulnerabilidad en Cisco IOS que podría ser
explotada por usuarios maliciosos para provocar una denegación de
servicio.

Esta vulnerabilidad se debe a un error durante el proceso de conexión,
y puede ser explotada realizando una conexión TCP especialmente
construida a tal efecto sobre un puerto telnet o telnet inverso.

La explotación con éxito de esta vulnerabilidad permitiría bloquear
los siguientes accesos a los servicios de control utilizando VTYs
(Virtual Terminals, Terminales Virtuales) incluyendo telnet, telnet
inverso, RSH, SSH y en algunos casos HTTP.

La compañía está trabajando en un parche de actualización para
corregir el problema, mientras tanto se recomiendan diversas
contramedidas como habilitar ssh y desactivar el servicio telnet,
configurar una clase de acceso VTY o configurar diferentes tipos
de listas de acceso (ACLs, iACLs o rACLs).


Antonio Román
roman@hispasec.com


Más información:

Cisco Telnet Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20040827-telnet.shtml

Bugtraq: Cisco Security Advisory: Cisco Telnet Denial of Service
Vulnerability
http://seclists.org/lists/bugtraq/2004/Aug/0391.html

Cisco Telnet Denial of Service
http://www.counterpane.com/alert-cis20040827-1.html

sábado, 28 de agosto de 2004

La "amenaza interna"

El CERT/CC y el Servicio Secreto de los Estados Unidos publican
un estudio que analiza los ataques informáticos realizados desde
dentro de las empresas del sector bancario y financiero.

Tradicionalmente las inversiones en medidas de seguridad
informática se han centrando, especialmente desde que la
conectividad con Internet se ha convertido en un hecho habitual,
en los sistemas de defensas y protección ante la "amenaza
externa". Esto es, el objetivo de las mismas es proteger las
redes corporativas de los ataques indiscriminados realizados por
personas que no conocemos.

Desde hace ya unos años, diversos analistas vienen haciendo
hincapié en que si bien los ataques "externos" son realmente muy
numerosos pero por lo general el impacto económico de los mismos
era bajo. Por otro lado, era importante no olvidar aquellos que
se realizan desde el interior de la red corporativa. Éstos, muy
inferiores en número respecto a los ataques externos, por lo
general tienen un impacto económico realmente importante. Por
tanto, el mismo empeño que se pone en proteger la red corporativa
de los ataques externos debe aplicarse en proteger los recursos
críticos de información ante cualquier ataque que provenga de la
propia red corporativa.

Un gran problema en la defensa de este planteamiento radica en la
poca información fidedigna y contrastada sobre los efectos reales
de la "amenaza interna". El sentido común puede indicarnos una
cosa pero la carencia de argumentos que corroboren los mismos es
prácticamente imposible utilizarlos como medida argumental.

El Servicio Secretos de los Estados Unidos y el CERT/CC acaban de
publicar un informe donde se analiza el impacto real de los
ataques con origen en el interior de las organizaciones.

El estudio se centra en empresas del sector bancario y financiero
y analiza un total de 23 incidentes realizados por 26 empleados
entre los años 1996 y 2002. Las organizaciones afectadas incluyen
empresas de seguros, bancos, firmas de inversiones y otras
empresas del sector bancario y financiero.

De los 23 incidentes estudiados, 15 tuvieron como resultado
diversos tipos de fraude, 4 estaban relacionados con el robo de
propiedad intelectual y los 4 últimos consistían en el sabotaje
de los sistemas informáticos o la red.

Las conclusiones del estudio son realmente interesantes:

* La práctica totalidad de los incidentes no pueden calificarse
como complejos o tan siquiera sofisticados desde el punto de
vista tecnológico. Habitualmente se basan en utilizar
vulnerabilidades no relacionadas con la tecnología, sino con los
procedimientos de negocio o las políticas organizativas. En un
87% de los casos, los atacantes internos utilizaron mecanismos
plenamente legítimos en la realización de los ataques. Es más, en
un 78% de los casos, los atacantes eran personal autorizado con
acceso activo a los sistemas.

* Una gran parte de los incidentes (81%) fueron fruto de una
planificación previa detallada. En muchas situaciones, había
personas de la organización que conocían las intenciones, planes
y/o actividades de los atacantes. Estas personas con conocimiento
de lo que sucedía habían participado en la organización o
esperaban obtener un beneficio de la actividad delictiva que se
estaba desarrollando.

* El principal motivo para la realización de los ataques (81% de
los casos) era la obtención de beneficios económicos y no la
intención de dañar los intereses de la organización o los
sistemas informáticos.

* No existe un perfil único que permita identificar a los autores
de los ataques. Sólo un 23% de los mismos disponen de un perfil
técnico dentro de la organización, un 13% han demostrado algún
tipo de interés en temas relacionados con la seguridad
informática y un 27% ha recibido algún tipo de aviso previo a
causa de sus actividades.

* Tampoco existe un patrón común en la forma de detectar un
ataque interno: algunos han sido detectados a nivel interno
mientras que otros han sido identificados gracias a avisos
procedentes del exterior, como pueden ser clientes y proveedores.

* El resultado en virtualmente todos los ataques realizados desde
el interior en el sector financiero y bancario fue una pérdida
económica por parte de la organización atacada. En el 30% de los
casos el importe de la pérdida sobrepasó los 500.000 dólares.
Muchos ataques provocaron pérdidas y daños en diversos aspectos
de la organización.

* Casi todos los ataques (83%) se realizaron físicamente en el
interior de las organizaciones y durante el horario habitual de
trabajo.


Xavier Caballe
xavi@hispasec.com


Más información:

Insider Treat Survey: Illicit Caber Activity in the Banking and Finance
Sector
http://www.secretservice.gov/ntac_its.shtml

Informe sobre els problemes de seguretat originates dins les organitzacions
http://www.quands.info/2004/08/26.html#a3330

viernes, 27 de agosto de 2004

Múltiples vulnerabilidades en Apache para Solaris

Identificadas diversas vulnerabilidades de seguridad en la versión
para Solaris del servidor web Apache. Se trata de problemas
explotables de forma local o remota y que pueden ser utilizados
para provocar ataques de denegación de servicio, saltarse las
restricciones de seguridad y comprometer los sistemas vulnerables.

En los últimos meses se han detectado diversos problemas de
seguridad en la versión para Solaris del servidor web Apache. Se
trata de problemas presentes en las versiones 1.3.31 y anteriores
y afectan por igual a Solaris 8 y Solaris 9 en las plataformas
SPARC y x86.

Las vulnerabilidades son diversas y afectan a diversos módulos de
Apache y pueden ser utilizadas por atacantes locales o remotos.
Los efectos de las mismas van desde permitir al atacante saltarse
las medidas de seguridad configuradas en el servidor web, al
posible compromiso de los sistemas vulnerables, pasando por la
realización de ataques de denegación de servicio.

El primer paso que deben realizar los administradores es
verificar la versión de Apache que están ejecutando. Esto puede
realizarse mediante la siguiente orden:

$ /usr/apache/bin/httpd -v

Si la versión de Apache es anterior a la 1.3.31, el primer paso a
realizar consiste en actualizar a esta versión, que es la más
reciente disponible en el momento de escribir estas líneas.

Una vez ya disponemos de la versión 1.3.31 es precisa la
instalación de una actualización adicional, que elimina una
vulnerabilidad de desbordamiento de búfer en mod_proxy. En el
momento de redactar este boletín, Sun únicamente ha publicado las
actualizaciones para Solaris 9, plataforma SPARC (archivo
T113146-05.tar.Z) y Solaris 9 plataforma x86 (archivo T114145-
04.tar.Z). Ambos archivos puedes descargarse en
http://sunsolve.sun.com/patches).


Xavier Caballé
xavi@hispasec.com


Más información:

Security Vulnerabilities in Apache Web Server and Apache Modules
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57628

SunOS 5.9: Apache Security Patch
http://sunsolve.sun.com/pub-cgi/tpatchDownload.pl?dl.d,T113146-05.zip
http://sunsolve.sun.com/tpatch/T113146-05.zip.README

SunOS 5.9_X86: Apache Security Patch
http://sunsolve.sun.com/pub-cgi/tpatchDownload.pl?dl.d,T114145-04.zip
http://sunsolve.sun.com/tpatch/T114145-04.zip.README

Sun Solaris Multiple Apache Vulnerabilities
http://secunia.com/advisories/12377/

Terminal Emulators fail to handle escape sequences
http://secunia.com/advisories/8146/

Apache mod_digest Cross Realm Replay Security Issues
http://secunia.com/advisories/10789/

Apache mod_access Rule Bypass Issue
http://secunia.com/advisories/11088/

Apache Connection Denial of Service Vulnerability
http://secunia.com/advisories/11170/

Apache mod_proxy "Content-Length:" Header Buffer Overflow Vulnerability
http://secunia.com/advisories/11841/

jueves, 26 de agosto de 2004

Múltiples vulnerabilidades en Cisco Secure Access Control Server

Cisco ha anunciado la existencia de múltiples vulnerabilidades de
denegación de servicio (DoS) y de autenticación en los servidores ACS
Windows y ACS Solution Engine.

Cisco Secure Access Control Server para Windows (ACS Windows) y Cisco
Secure Access Control Server Solution Engine (ACS Solution Engine)
proporcionan servicios centralizados de autenticación, autorización y
cuentas y políticas de acceso a dispositivos de red como servidores de
acceso a red, Cisco PIX y routers.

Cisco Secure ACS proporciona un interfaz de administración web,
conocido como CSAdmin, activo en el puerto 2002. Cuando se rebosa con
conexiones TCP el ACS Windows y ACS Solution Engine dejan de responder
a cualquier nueva conexión TCP destinada al puerto 2002. Además, los
servicios del ACS que procesan peticiones relacionadas con la
autenticación se volverán inestables y dejarán de responder, impidiendo
la capacidad del ACS de procesar cualquier petición de autenticación.
Se requiere el reinicio del dispositivo para recuperar el correcto
funcionamiento de dichos servicios.

Cuando Cisco Secure ACS está configurado para Light Extensible
Authentication Protocol (LEAP) RADIUS Proxy, reenvía las peticiones de
autenticación LEAP a un servidor RADIUS secundario. El dispositivo ACS
configurado con proxy LEAP RADIUS puede caer cuando se procesen
peticiones de autenticación LEAP. Se requiere el reinicio del
dispositivo para recuperar el correcto funcionamiento del dispositivo.

Cisco Secure ACS puede comunicarse con bases de datos externas y
autenticar usuarios contra dichas bases de datos. Una de las bases
externas soportadas por ACS es Novell Directory Services (NDS). Si se
permiten anónimos en NDS, y si ACS Solution Engine autentica usuarios
NDS con NDS como base de datos externa y sin LDAP genérico, los
usuarios podrán autenticarse con contraseñas en blanco contra el NDS.
Sin embargo, contraseñas y nombres de usuario incorrectos serán
rechazados adecuadamente.

Una vez que el usuario se ha autenticado correctamente contra el ACS
GUI en el puerto TCP 2002, se crea una conexión TCP diferente entre el
navegador y el servicio de administración web ACS, con un puerto de
destino aleatorio. Si un atacante falsifica la dirección IP del
usuario, y accede al ACS GUI en dicho puerto aleatorio, el atacante
podrá conectar con el ACS GUI, evitando la autenticación.

Los procedimientos de actualización se encuentran descritos en las
siguientes direcciones:
ACS Windows 3.3:
http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_installation_guide09186a0080238b18.html#wp998991
ACS Windows 3.2:
http://www.cisco.com/en/US/products/sw/secursw/ps2086/prod_installation_guide09186a0080184928.html#wp9472
ACS Solution Engine:
http://www.cisco.com/en/US/products/sw/secursw/ps5338/products_user_guide_chapter09186a0080204d45.html#wp911224


Antonio Ropero
antonior@hispasec.com


Más información:

Multiple Vulnerabilities in Cisco Secure Access Control Server
http://www.cisco.com/warp/public/707/cisco-sa-20040825-acs.shtml.

miércoles, 25 de agosto de 2004

Ejecución remota de código en librería Netscape Network Security Services

Se ha descubierto una vulnerabilidad en la librería NSS (Network
Security Services) que permitiría a un usuario remoto la ejecución de
código arbitrario en un sistema afectado.

El problema reside en un desbordamiento de búfer durante el tratamiento
de paquetes SSL (Secure Sockets Layer) versión 2. Un usuario remoto
puede provocar dicho desbordamiento durante la negociación de la
conexión SSLv2, y ejecutar de esa manera código arbitrario en el
sistema atacado.

El problema se debe a que la librería no valida correctamente el
tamaño de un campo dado por el usuario en un mensaje de cliente de
SSLv2.

Esta librería se utiliza en varios productos de netscape, como el NES
(Enterprise Server), NPE (Personalization Engine), NDS (Directory
Server) y CMS (Certificate Management Server). Sun One/iPlanet también
se ve afectado por este problema, aunque según el informe original,
SSLv2 no está activado por defecto, ni en esta plataforma ni en
Netscape Enterprise Server. Se ha confirmado que esta vulnerabilidad
afecta a Sun Java System Web Server.

Una versión actualizada de la librería NSS se encuentra disponible en:
ftp://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/NSS_3_9_2_RTM


Antonio Ropero
antonior@hispasec.com


Más información:

Netscape NSS Library Remote Compromise
http://xforce.iss.net/xforce/alerts/id/180

martes, 24 de agosto de 2004

Vulnerabilidad en rsync

Se ha descubierto una vulnerabilidad en rsync cuando se ejecuta en
modo daemon con chroot desactivado. Un usuario remoto podría leer o
escribir archivos del sistema blanco del ataque que están localizados
fuera de la dirección determinada por el módulo.

RSYNC es una excepcional herramienta de sincronización de ficheros, que
permite que un cliente y un servidor se mantengan sincronizados sin
enviar los ficheros modificados y sin que sea necesario mantener un
histórico de cambios. Se trata de una herramienta extraordinariamente
útil.

Un usuario remoto puede enviar un path especialmente creado a tal
efecto de tal manera que la función que limpia esas entradas genera un
nombre de archivo absoluto en vez de uno relativo. El error reside en
la función sanitize_path(). La explotación con éxito de esta técnica
permitiría a un atacante leer o escribir archivos en el sistema con
los permisos del demonio rsync.

Se dispone de un parche de actualización vía CVS, y se ha publicado
la versión 2.6.3pre1 que, entre otros, corrige este problema junto con
la incorporación de nuevas características y que está disponible en la
dirección http://rsync.samba.org/download.html


Antonio Ropero
antonior@hispasec.com


Más información:

August 2004 Security Advisory
http://rsync.samba.org/#security_aug04

RYSNC
http://rsync.samba.org/

lunes, 23 de agosto de 2004

Vulnerabilidades en cámaras de red y servidores de vídeo Axis

Reportadas sendas pruebas de concepto sobre escalada de directorios e
inyección de código en varios modelos de cámaras de red y servidores
de vídeo Axis.

La primera vulnerabilidad se detecta en un CGI que no filtra
adecuadamente las entradas, lo que permite inyectar comandos a nivel
de sistema. La prueba de concepto publicada demuestra como es posible,
gracias a esta vulnerabilidad, extraer el archivo etc/passwd.

La segunda vulnerabilidad permite escalar directorios a través del
servicio web mediante la cadena "../", y subir archivos en cualquier
localización del sistema. En esta ocasión, la prueba de concepto
consiste en crear una nueva cuenta de administrador, con privilegios
totales sobre el sistema.

Según el aviso original, los dispositivos donde se han comprobado las
vulnerabilidades, sin excluir la posibilidad de que otros modelos se
encuentren afectados, son:

Axis 2100/2110/2120/2420 Network Camera 2.12-2.40
AxisS 2130 PTZ Network Camera
Axis 2400/2401 Video Server

La prueba de concepto ha sido publicada tras, según el aviso original,
no obtener respuesta del departamento de seguridad de Axis. A la
espera de parches y/o actualizaciones oficiales, la solución de
momento pasa por limitar el acceso al servicio web de los dispositivos.


Bernardo Quintero
bernardo@hispasec.com


Más información:

[PoC] Nasty bug(s) found in Axis Network Camera/Video Servers
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025606.html

domingo, 22 de agosto de 2004

Revelación de información sensible en Opera 7.52 y 7.53

Se ha descubierto una vulnerabilidad en algunas versiones del popular
navegador Opera que podría ser explotada por un usuario remoto para
adquirir información sensible de un sistema remoto.

Cuando se asigna a un iframe un archivo o directorio que no existe,
este navegador generará un error. Un usuario remoto puede crear código
HTML que carga un iframe y cambia la URL de dicho recurso a un archivo
o directorio local, y entonces se detecta si hay ese error para
determinar si ese elemento existe.

Se recomienda actualizar a la versión 7.54, disponible en la siguiente
dirección:
http://www.opera.com/download/

Como ejemplo el siguiente código extraído de la web de GreyMagic, nos
permite saber si la carpeta "winnt" existe en la máquina de la víctima.

"
"


Antonio Román
roman@hispasec.com


Más información:

Opera Local File/Directory Detection.
http://www.greymagic.com/security/advisories/gm009-op/

Opera Local File IFRAME Error Response Lets Remote Users Determine if Files
or Directories Exist
http://www.securitytracker.com/alerts/2004/Aug/1010966.html

sábado, 21 de agosto de 2004

Denegación de servicio en Cisco IOS 12.0S, 12.2 y 12.3

Se ha descubierto una vulnerabilidad en Cisco IOS que puede ser
explotada por usuarios maliciosos para provocar una denegación de
servicio.

La vulnerabilidad se debe a un error en el código que se encarga de
procesar paquetes OSPF (Open Shortest Path First). Esto puede ser
explotado para provocar que un dispositivo afectado se reinicie al
tratar de procesar un paquete de este tipo especialmente formado a tal
efecto. Por supuesto, la explotación de esta vulnerabilidad requiere
que este protocolo esté activado, lo que no se da en una configuración
por defecto.

La vulnerabilidad afecta a Cisco IOS en sus series basadas en 12.0S,
12.2 y 12.3.

Se recomienda a los clientes de Cisco realizar las actualizaciones
mediante su canal de actualización habitual (normalmente es la
descarga de versiones actualizadas en http://www.cisco.com).


Antonio Román
roman@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS Malformed OSPF Packet Causes Reload
http://www.cisco.com/warp/public/707/cisco-sa-20040818-ospf.shtml#fixes

Cisco Security Advisory: Cisco IOS Malformed OSPF Packet Causes Reload
http://www.securityfocus.com/archive/1/372023/2004-08-15/2004-08-21/0

Malformed Packet Causes Cisco Router DoS
http://it.slashdot.org/it/04/08/18/2050220.shtml?tid=172

Sample Configuration for Authentication in OSPF
http://www.cisco.com/warp/public/104/25.shtml

OSPF Authentication on Cisco Routers
http://www.tech-recipes.com/cisco_router_tips408.html



viernes, 20 de agosto de 2004

Retrasar la instalación del Service Pack 2 para Windows XP

SP2 Blocker Tool es un conjunto de utilidades facilitado por Microsoft
que permite bloquear temporalmente la instalación automática del
Service Pack 2 para Windows XP.

Como ya comentamos en una entrega anterior, son muchas las empresas
que han recomendado a sus empleados que, de momento, no instalen el
Service Pack 2 para Windows XP, debido a las incompatibilidades que
pueda presentar con las aplicaciones corporativas.

El problema es que, dependiendo de la configuración de los clientes o
por acción directa de los usuarios, en muchos casos la instalación se
llevará a cabo de forma previa e independiente al despliegue oficial,
sin tomar las medidas necesarias para garantizar el funcionamiento
de los sistemas.

Para paliar este problema, Microsoft ha desarrollado y publicado una
herramienta muy simple que impide la instalación automática a través
de sus servicios Windows Update y Automatic Updates. El bloqueo es
temporal, durante un periodo de 120 días (4 meses), contando desde
el pasado 16 de agosto. Es decir, después del 14 de diciembre del
presente año este bloqueo será ignorado por sus servicios de
actualización automática.

El funcionamiento de SP2 Blocker Tool se basa en introducir una nueva
clave en el registro de Windows que sus servicios de actualización
automática comprueban antes de proceder a la instalación del SP2:

HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2=1

Si el valor DWORD es 1, el bloqueo está activo. Si el valor es distinto
de 1 o la clave no existe, el sistema permite la instalación del SP2.

El kit SP2 Blocker Tool incluye, además de los ejecutables para bloquear
y desbloquear la actualización mediante la comentada clave del registro,
un script de ejemplo que permite hacer esta operación en máquinas
remotas.

Adicionalmente, para las organizaciones que cuenten con políticas de
grupo de Directorio Activo, se facilita también una plantilla ADM
que permite realizar estas operaciones de forma centralizada.

En el caso de que no sea posible aplicar la plantilla ADM, ni el
administrador tenga acceso de forma remota a todas las máquinas,
Microsoft sugiere que se envíe un aviso por e-mail a todos los
usuarios para que ellos mismos apliquen la herramienta.

Ejemplo de mensaje para activar el bloqueo:

---

Hello,

Please click on this link to postpone delivery of a software update
to your computer until your IT organization has tested the update and
certified it for installation on your computer:
http://go.microsoft.com/fwlink/?LinkId=33518

Once you click on the link, please select ‘Open’ in the pop up dialog.
You will then be asked if you want to accept the End-User License
Agreement. After you select ‘Yes,’ you should see a new window briefly
open and close on your computer.

No further action is required. Thank you for your assistance.

Sincerely,

Your IT administrator.

---


A continuación el modelo para desbloquear la instalación del SP2 y
proceder a la actualización:

---

Hello,

Please click on this link to enable delivery of the latest version of
Windows XP to your computer:
http://go.microsoft.com/fwlink/?LinkId=33519

Once you click on the link, please select ‘Open’ in the pop up dialog.
You will then be asked if you want to accept the End-User License
Agreement. After you select ‘Yes,’ you should see a new window briefly
open and close on your computer.

If the window remains open and displays an ‘Action not successfully
completed’ message, please close the window. Once you have done so,
please reply to this message and let me know that you got the ‘Action
not successfully completed’ message.

[If Automatic Updates is not configured on the user’s computer to
automatically check for new updates, include the following paragraph]

If the window went away automatically, you can now go to
http://windowsupdate.microsoft.com and install Windows XP
Service Pack 2.

[If Automatic Updates is configured on the user’s computer to
automatically check for new updates, include the following paragraph]

If the windows went away automatically, Windows XP Service Pack 2
will be automatically downloaded to your computer. Please install it
when the computer notifies you that Windows XP Service Pack 2 has
been downloaded and is ready to install.

Thank you for your assistance.

Sincerely,

Your IT administrator.

---

SP2 Blocker Tool se facilita en inglés, pero funciona sobre cualquier
Windows XP de manera independiente al lenguaje, y se encuentra
disponible en la dirección http://go.microsoft.com/fwlink/?LinkId=33517

El ejecutable XPSP2BlockerTools.EXE, de 96 KB, es un archivo comprimido
que contiene los siguientes archivos:

Blocking delivery of Windows XP SP2 - sample email.doc (e-mail ejemplo)
BlockXPSP2.cmd (script para activación remota)
NOXPSP2Update.adm (plantilla de política de grupo)
Un-Blocking delivery of Windows XP SP2 - sample email.doc (e-mail ejemplo)
XPSP2Blocker.exe (herramienta para escribir clave del registro)

Para aquellos usuarios individuales que quieran aplicar la herramienta,
pero no necesitan el resto de elementos como plantillas o scripts para
redes, pueden utilizar directamente los siguientes enlaces:

BlockXPSP2.exe (para activar el bloqueo)
http://go.microsoft.com/fwlink/?LinkId=33518

UnBlockXPSP2.exe (para desactivar el bloqueo)
http://go.microsoft.com/fwlink/?LinkId=33519


Bernardo Quintero
bernardo@hispasec.com


Más información:

Aplicaciones incompatibles con el Service Pack 2 para Windows XP
http://www.hispasec.com/unaaldia/2122

jueves, 19 de agosto de 2004

Vulnerabilidad Drag-and-Drop en Internet Explorer

Publicados los detalles de una vulnerabilidad, considerada crítica,
que afecta a Internet Explorer en sus versiones 5.01, 5.5 y 6.0. Un
atacante podría diseñar una página web que instalara un programa
dañino en el sistema del usuario al pinchar en un objeto. Hasta el
momento no hay parche para corregir el problema, los sistemas
Windows XP con Service Pack 2 instalado también son vulnerables.

En un escueto mensaje en la lista Full-Disclosure se ha publicado la
prueba de concepto, disponible en la dirección:

http://www.malware.com/wottapoop.html

Accediendo a dicha dirección con Internet Explorer aparecerán dos
líneas rojas y una pequeña imagen a la izquierda (un "smile"
aplaudiendo). Si pinchamos en la imagen y, sin dejar de presionar,
arrastramos y soltamos entre las dos líneas rojas ("Drag-and-Drop",
arrastrar y soltar), se habrá instalado en nuestro sistema un
ejecutable, "malware.exe", en la carpeta de Inicio. De forma que
cada vez que iniciemos una sesión en el sistema el programa se
ejecutará. Para ver su efecto podemos, por ejemplo, reiniciar el
sistema.

En esta ocasión el ejecutable "malware.exe" es una pequeña demo
que al ejecutarse simula unas llamas, como si nuestra pantalla
estuviera ardiendo (pulsando cualquier tecla desaparecerá). La
desinstalación del ejecutable pasa por su eliminación de la carpeta
de Inicio.

En lugar de una demo inofensiva, un atacante podría haber introducido
un virus o un troyano que le permitiera controlar el sistema de forma
remota. También podría diseñarse un script para explotar la
vulnerabilidad de forma más sencilla, sin necesidad de arrastrar y
soltar, aun necesitando la interacción del usuario.

La vulnerabilidad, derivada de una falta de comprobación y/o aviso
a la hora de arrastrar y soltar contenidos entre Internet y el
sistema local, no tiene de momento respuesta por parte de Microsoft.

Las soluciones para prevenir un potencial ataque basado en esta
vulnerabilidad pasan por desactivar la Secuencia de comandos ActiveX
en la configuración de Internet Explorer, cambio que podría provocar
que algunos sitios web no se visualicen de forma correcta. En su
defecto, se pueden utilizar otros navegadores que no presentan la
vulnerabilidad, como Firefox o similar.


Bernardo Quintero
bernardo@hispasec.com


Más información:

[Full-Disclosure] What A Drag II XP SP2
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025471.html

miércoles, 18 de agosto de 2004

Estadísticas mensuales de VirusTotal (julio'04)

Presentamos un resumen de los datos estadísticos extraídos del
funcionamiento del mes de julio del servicio de detección de virus,
gusanos y malware VirusTotal.

VirusTotal es un servicio de detección de virus, gusanos y malware en
general, desarrollado por Hispasec que permite analizar archivos con 12
soluciones antivirus diferentes. Cualquier usuario de Internet puede
enviar archivos o mensajes sospechosos y obtendrá de forma gratuita un
informe con el resultado del análisis.

Durante el mes de julio, se han recibido 4.997 archivos, de los que
3.386 realmente estaban infectados (un 67.76%). Un dato revelador, y
que da una buena muestra de la utilidad del servicio es que de esas
3.386 muestras, más de la mitad, 1.953 (57.6%) no fueron detectadas por
todos los antivirus.

El "Top 10", los diez virus más detectados, está protagonizado por
segundo mes consecutivo por W32/Netsky.p@MM (294 muestras, un 8,6%
sobre los archivos infectados), seguido por la forma comprimida del
mismo espécimen W32/Netsky.p@MM!zip (5,9%). Hay que señalar, que aunque
se trata del mismo virus, el servicio los diferencia, ya que los
antivirus ofrecen un resultado del análisis diferente. Los siguientes
puestos también están ocupados por diferentes versiones de Netsky y
Bagle. El W32/Bagle.ai@MM (4.1%), W32/Netsky.d@MM (3.3%),
W32/Bagle.aa@MM (3.2%), PWS-Bancban.gen.b (1.8%), W32/Netsky.q@MM
(1.6%), W32/Bagle.af@MM (1.5%) y W32/Netsky.z@MM!zip (1.2%).

Estos índices denotan una llegada de muestras protagonizadas por
diferentes versiones de Netsky, principalmente en su versión p. Pero
aun así, se detecta una recepción de muestras muy heterogénea, ya que
el porcentaje mas alto es de un 8,6% y el porcentaje del total del "Top
10" es de 33%. También resulta reseñable el sexto puesto del troyano
destinado a robar contraseñas bancarias PWS-Bancban.gen.b, única
muestra que no pertenece a las familias Netsky o Bagle entre los más
detectados.

Por último, hay que señalar que todos los antivirus instalados en
VirusTotal se han actualizado un total de 1.048 veces, una media de
33,8 actualizaciones diarias en total.

Para ayudar al mayor número de usuarios a analizar los archivos
sospechosos, Hispasec ofrece gratuitamente VirusTotal, el mayor
antivirus público de Internet en http://www.virustotal.com. En esta
dirección los usuarios podrán acceder al formulario de análisis,
estadísticas globales en tiempo real sobre incidencias y descripciones
e información sobre virus y malware en general.

Para facilitar el uso del servicio, basta con reenviar directamente los
mensajes o adjuntar los archivos sospechosos mediante correo
electrónico a la dirección analiza@virustotal.com e indicar en el
asunto ANALIZA. En breves instantes, dependiendo de la carga puntual
del servicio, se recibirá un mensaje con el informe detallado del
análisis por los 12 antivirus que componen VirusTotal en la actualidad.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (01/06/2004) El mayor antivirus público de Internet
http://www.hispasec.com/unaaldia/2046

una-al-dia (05/07/2004) Incorporación de ClamAV y mejoras en VirusTotal
http://www.hispasec.com/unaaldia/2080

martes, 17 de agosto de 2004

Vulnerabilidad en Internet Explorer facilita ataques phishing

Detectada una nueva vulnerabilidad en Internet Explorer que permite
falsear la dirección que aparece en el navegador. Aprovechando este
problema es probable que surjan nuevos ataques "phishing", consistentes
en imitar las webs de servicios bancarios o similares, cuando en
realidad los usuarios estarán introduciendo datos sensibles en el web
del atacante.

En la siguiente dirección se encuentra una demostración, a modo de
prueba de concepto, donde los usuarios pueden reproducir el problema:

http://www.hispasec.com/directorio/laboratorio/Software/tests/ie_spoof_popup.html

En los sistemas afectados, al seleccionar algunos de los enlaces, nos
abrirá una nueva ventana en la que se puede observar la URL elegida en
la barra de direcciones de Internet Explorer, cuando en realidad
estaremos visualizando una página web del servidor de Hispasec.
Dependiendo de la velocidad de conexión, puede tardar varios segundos.

Por las características del problema y su explotación, algo más
elaborado que vulnerabilidades similares anteriores, requiere que el
usuario tenga una conexión rápida a la web, de lo contrario puede que
la demostración no funcione de forma adecuada. Incluso en algunos
casos, como conexiones a Internet desde redes corporativas a través de
proxys, este tipo de tests puede derivar en una denegación de
servicios al abrirse múltiples ventanas del navegador.

Puede darse también el caso de que su antivirus detecte la página e
impida su ejecución, ya que algunas soluciones, con buen criterio,
incorporan entre sus firmas el reconocimiento de exploits y scripts
que pueden considerarse maliciosos, como el que nos ocupa. Si bien,
en el momento de escribir estas líneas, ninguno de los antivirus
a los que tenemos acceso detecta la página de demostración de la
vulnerabilidad.

De forma similar a la demostración de Hispasec, un atacante podría
copiar en su propio servidor web las páginas de un banco, incluido el
formulario de usuario y contraseña para acceder al servicio de banca
electrónica. A continuación podría distribuir un enlace que aproveche
la vulnerabilidad, de forma que al seleccionarlo el usuario visualiza
la dirección del banco en Internet Explorer y accede a sus páginas.
Al tratarse de una copia, no encontrará nada irregular a primera
vista, el aspecto de la página web y sus contenidos serán idénticos
al original.

En realidad la dirección es falsa, y las páginas que visualiza el
usuario son una copia que se encuentra en el servidor del atacante,
de forma que si introduce sus datos para acceder a su cuenta estaría
proporcionando su nombre de usuario y contraseña a un tercero.

Una vez el atacante dispone de las claves puede dirigirse al sitio
web auténtico del banco y suplantar la identidad de la víctima para
acceder a su cuenta.

La vulnerabilidad ha podido ser reproducida con la última versión de
Internet Explorer con todos los parches instalados, a excepción de los
sistemas Windows XP con el nuevo Service Pack 2 instalado, que no son
vulnerables.

Para prevenir éste y otros ataques similares, de manera independiente
a la vulnerabilidad utilizada, la recomendación pasa por que los
usuarios no accedan a sitios webs sensibles (como por ejemplo a la
banca electrónica) pinchando en enlaces. Sobre todo debemos
desconfiar si éstos nos llegan a través de e-mail o se encuentran en
páginas de dudosa confianza.


Bernardo Quintero
bernardo@hispasec.com


Más información:

NullyFake - Site Spoofing in MSIE
http://umbrella.name/originalvuln/msie/NullyFake/nullyfake-content.txt

lunes, 16 de agosto de 2004

Aplicaciones incompatibles con el Service Pack 2 para Windows XP

Microsoft ha publicado un listado de cerca de 50 programas que dejan
de funcionar correctamente tras instalar el Service Pack 2 para
Windows XP. En realidad el número de aplicaciones afectadas por las
nuevas características del SP2 es muy superior, desde Hispasec
recomendamos se realicen pruebas exhaustivas de compatibilidad antes
de su despliegue en entornos corporativos.

El listado publicado incluye desde antivirus, juegos, herramientas
de backup, clientes de FTP, correo, mensajería instantánea, y
otras aplicaciones de terceros, hasta soluciones de la propia
Microsoft.

En esta ocasión se limita a problemas derivados de la activación por
defecto del firewall tras la instalación del Service Pack 2 de
Windows XP, que bloquea las comunicaciones de algunas aplicaciones
legítimas.

Aunque en teoría es posible indicar de forma semiautomática que
programas tienen permiso para atravesar el firewall, en los casos
reportados en el listado puede requerir una configuración manual
para abrir los puertos específicos que utiliza cada aplicación.

Desde Hispasec entendemos que se trata de un listado preliminar y
parcial, que aumentará en las próximas semanas cuando se incremente
el número de evaluaciones e instalaciones del SP2 para Windows XP,
que hasta el momento sólo ha sido distribuido de forma parcial.

También hay que tener en cuenta el número de aplicaciones propietarias
que se encuentran implantadas en entornos corporativos, que han
quedado fuera de cualquier evaluación previa de Microsoft y de este
tipo de listados de problemas con programas conocidos, cuya
compatibilidad deberá ser analizada de forma individual.

Por todo lo anterior son muchas las empresas que han recomendado a sus
empleados que, de momento, no instalen el Service Pack 2 para
Windows XP, debido a las posibles incompatibilidades que pueda
presentar con las aplicaciones corporativas, hasta que el departamento
de IT no termine la evaluación. Uno de los casos más representativos
ha sido el de IBM, con más de 400.000 estaciones de trabajo.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Some programs seem to stop working after you install Windows XP Service Pack 2
http://support.microsoft.com/default.aspx?kbid=842242

domingo, 15 de agosto de 2004

Guía de seguridad para Exchange Server 2003

Microsoft a puesto a disposición de los administradores una guía que
intentará facilitar la seguridad en Exchange Server 2003.

Dentro de esta guía, disponible en español, nos encontraremos
estrategias contra el spam, virus y otros tipos de amenazas. La
idea es utilizar esta guía como parte de una estrategia global de
seguridad para Exchange 2003, no como una referencia completa para
crear y mantener un entorno seguro.

En esta guía se intenta dar respuesta a algunos interrogantes que
puede presentarse a cualquier administrador.

En concreto, en este documento se recogen respuestas detalladas a los
siguientes interrogantes:

¿Qué es aconsejable para preparar un entorno de Exchange 2003 seguro?

¿Qué procesos efectivos existen para la administración de revisiones?

¿Qué medidas antivirus puedo implementar?

¿Cómo puedo protegerme contra el correo electrónico comercial no
solicitado, los ataques de denegación de servicio y la falsificación
de direcciones?

¿Cuáles son los pasos recomendados para reforzar mi infraestructura de
Microsoft Windows Server 2003?

¿Cuáles son los pasos recomendados para reforzar mis servidores de
servicios de fondo y de aplicaciones para usuario?

¿Cómo puedo organizar la estructura del servicio de directorio
Microsoft Active Directory para permitir la implementación de las
plantillas de seguridad de Directiva de grupo para Exchange?


Antonio Román
roman@hispasec.com


Más información:

Guía para reforzar la seguridad de Exchange Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyID=6a80711f-e5c9-4aef-9a44-504db09b9065&DisplayLang=es

sábado, 14 de agosto de 2004

Actualización para Mozilla, Firefox y Thunderbird, y recompensas en metálico

Se ha publicado una actualización para Mozilla, Firefox y Thunderbird
que elimina todos los problemas de seguridad conocidos en dichas
plataformas.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Su mayor
exponente es el propio Mozilla, el entorno web sobre el que se basa
Netscape 7.1. Pero también hay muchos otros productos que se basan en
Mozilla, tales como otros navegadores, entornos de desarrollo, sistemas
de navegación...

Firefox es el componente navegador del proyecto Mozilla, un producto
de calidad y popularidad creciente. Thunderbird, por su parte, es
exclusivamente el componente de correo del proyecto Mozilla, en mi
opinión preliminar todavía, pero muy prometedor.

Las últimas versiones de estos proyectos han tenido más de un millón de
descargas en diez días, dando fe de su cada vez mayor calado.

En las últimas semanas se han hecho públicos numerosas vulnerabilidades
en estos entornos, de algunas de las cuales se ha hecho eco Hispasec en
boletines recientes. La comunidad Mozilla ha hecho públicas
actualizaciones oficiales para Mozilla y Firefox, destinadas a solucionar
los problemas conocidos. Es de destacar que algunos parches estaban
disponibles apenas horas tras la difusión pública de cada
vulnerabilidad.

En concreto, la actualización de Firefox es la 0.9.3, de Thunderbid es
la 0.7.3, y la de Mozilla es la 1.7.2. Hispasec recomienda a todos los
usuarios de la plataforma Mozilla que actualicen con premura.

Como consecuencia de los últimos incidentes de seguridad y en
demostración de la importancia que la comunidad Mozilla da a estos
eventos, la fundación Mozilla ofrece una recompensa de 500 dólares por
cada informe de vulnerabilidad en sus productos. Las condiciones son
matizables, pero se trata de una iniciativa que, indudablemente, sentará
precedente. Se pueden ver los detalles concretos en los enlaces al final
de este boletín.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Known Vulnerabilities in Mozilla
http://www.mozilla.org/projects/security/known-vulnerabilities.html#mozilla1.7.2

Security-Updated Versions Of Mozilla Released
http://slashdot.org/article.pl?sid=04/08/04/2245224

Firefox, Thunderbird, Mozilla Suite Upgrades Released
http://www.mozillazine.org/talkback.html?article=5132

Mozilla Vulnerability Timeline
http://www.sacarny.com/blog/index.php?p=104

MOZILLA FOUNDATION ANNOUNCES SECURITY BUG BOUNTY PROGRAM
http://www.mozilla.org/press/mozilla-2004-08-02.html

Mozilla Starts Bug Bounty Program
http://slashdot.org/article.pl?sid=04/08/02/158222

Mozilla offers US$500 bounty reward for security flaws
http://arstechnica.com/news/posts/20040802-4059.html

Mozilla to pay bounty on bugs
http://www.theregister.co.uk/2004/08/03/mozilla_bug_bounty/

viernes, 13 de agosto de 2004

Ejecución remota por metacaracter shell en Adobe Acrobat Reader 5 para Unix

Se ha descubierto una vulnerabilidad en Adobe Acrobat Reader para Unix
que permitiría la ejecución de código arbitrario en la máquina de la
víctima.

Adobe Acrobat Reader es un popular visor de documentos en formato PDF
(Portable Document Format). La codificación uuencode (Unix-to-Unix
encode) es un proceso para convertir datos en formato de 8 a 7 bits
(tamaño de los caracteres código ASCII original), lo que permite, por
ejemplo, su envío de forma directa por correo electrónico.

Las versiones para Unix y Linux de Adobe Acrobat Reader 5 intentan
convertir de forma automática documentos codificados ‘uuencoded’ a su
formato original. El problema se da porque dicho programa no comprueba
de forma correcta el metacaracter de shell (comilla invertida, `) en el
nombre de archivo antes de ejecutar un comando con una shell. Esto
permitiría a un archivo con un nombre construido a tal efecto ejecutar
programas arbitrarios con los permisos del usuario que esté utilizando
la versión vulnerable de este visor de documentos..

Se ha confirmado que las versiones 5.05 y 5.06 para Unix de este
programa son vulnerables, aunque no se descarta que versiones anteriores
puedan verse afectadas. Las versiones para la plataforma Windows no
presentan este problema.

Se recomienda actualizar a la versión 5.0.9, disponible en la siguiente
dirección:
http://www.adobe.com/products/acrobat/readstep2.html


Julio Canto
jcanto@hispasec.com


Más información:

Adobe Acrobat Reader (Unix) Shell Metacharacter Code Execution Vulnerability
www.idefense.com/application/poi/display?id=124&type=vulnerabilities

jueves, 12 de agosto de 2004

Denegación de servicio en SpamAssassin 2.x

Se ha descubierto una vulnerabilidad en SpamAssassin que puede ser
explotada por usuarios maliciosos para provocar una denegación de
servicio.

SpamAssassin es un filtro de correo ampliable que se utiliza para
identificar y evitar la recepción de correo no deseado.

La vulnerabilidad se debe a un error sin especificar dentro del
código que se encarga de procesar mensajes con formato mal construido
(técnica que usan, por ejemplo, algunos virus para intentar esquivar
los antivirus de correo).

Se recomienda actualizar a la versión 2.64, disponible en la siguiente
dirección:
http://spamassassin.apache.org/downloads.html


Julio Canto
jcanto@hispasec.com


Más información:

SpamAssassin:
http://spamassassin.apache.org/

miércoles, 11 de agosto de 2004

Actualización 2.4.27 del kernel Linux

Se ha publicado la versión 2.4.27 del kernel Linux que soluciona varios
problemas de seguridad accesibles a usuarios locales.

Las versiones 2.4.* previas a la 2.4.27 contienen diversas
vulnerabilidades de seguridad resueltas en esta última actualización:

* Posibilidad de que un usuario local no privilegiado acceda a memoria
Kernel a través de una "race condition" en la gestión de desplazamientos
en ficheros.

* Varias vulnerabilidades permiten que un usuario local obtenga
privilegios de administrador o "root".

* Un usuario local no privilegiado puede modificar de forma arbitraria
el grupo de un fichero accesible por red.

* Una inicialización incompleta del driver "e1000" permite que un
usuario local no privilegiado acceda a memoria Kernel.

* Bajo plataformas ia64 (Itanium) un usuario local puede llegar a
obtener acceso a la memoria de otro proceso explotando una
vulnerabilidad en la gestión de operaciones en coma flotante. Este
problema solo afecta a sistemas ia64, no PowerPC, x86, Alpha, etc.

Se recomienda a todos los administradores de sistemas linux con Kernel
2.4 que actualicen a la versión 2.4.27, sobre todo si dan servicio a
usuarios locales no confiables.

Es de destacar que el kernel 2.4.27 no permite compilarse bajo GCC
3.4.*, la última versión del compilador GNU. Para poder hacerlo es
preciso instalar tres parches, disponibles en los enlaces que adjuntamos
al final de este boletín. Dejamos constancia de que esos parches no son
oficiales ni tienen ningún tipo de garantía.

Si bien oficialmente GCC 3.4.1 no está soportada por la versión 2.4.27
del kernel Linux, en Hispasec estamos trabajando con esa compilación sin
problemas aparentes desde hace varios días.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Marcelo Tosatti: Linux 2.4.27
http://linuxtoday.com/news_story.php3?ltsn=2004-08-08-007-26-NW-KN

Linux 2.4.27
http://barrapunto.com/article.pl?sid=04/08/08/1425259

Cambios efectuados desde 2.4.26
http://kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.27

Linux: 2.4.27-rc5, File Offset Handling Security Fix
http://kerneltrap.org/node/view/3578

Updated kernel packages fix security issues
http://rhn.redhat.com/errata/RHSA-2004-418.html

Linux kernel ia64 information disclosure
http://xforce.iss.net/xforce/xfdb/16644

The Linux Kernel Archives
http://kernel.org/

Parches para compilar kernel Linux 2.4.27 con GCC 3.4.*
http://user.it.uu.se/~mikpe/linux/patches/2.4/

martes, 10 de agosto de 2004

Exchange 5.5 única actualización de seguridad de Microsoft en agosto

Como es habitual los segundos martes de cada mes, Microsoft publica
las actualizaciones de seguridad desarrollados desde el pasado mes
para sus productos. En esta ocasión tan solo se publica un parche
para Exchange Server 5.5.

Es posible que en la actualidad Microsoft esté volcada en la
inminente aparición del SP2 para Windows XP (ya disponible para
entornos profesionales para distribuciones por red). Pero este
mes Microsoft publica únicamente un parche de actualización para
corregir una vulnerabilidad en Exchange Server 5.5 que permitiría,
a través de Outlook Web Access (OWA), realizar ataques de tipo cross
site scripting y de falsificación.

Un atacante que explotase con éxito esta vulnerabilidad podría
manipular las caches del navegador web y las caches de servidores
proxy intermedios para poner contenido falsificado en dichas
localizaciones. La vulnerabilidad también permitiría realizar ataques
cross site scripting. En cualquier caso, el usuario malicioso podría
utilizar estos errores para engañar a la víctima para que ejecute un
script malicioso.

Se ha confirmado que los servidores Exchange 2000 y 2003 no se ven
afectados por este problema.

La dirección para descargar el parche de actualización que corrige
este problema es la siguiente (en Inglés, 5174 KB):
http://download.microsoft.com/download/d/f/6/df625ed0-5475-4df0-9364-4dfb2a10ab69/Exchange5.5-KB842436-x86-enu.EXE


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS04-026
Vulnerability in Exchange Server 5.5 Outlook Web Access Could Allow Cross-Site Scripting and Spoofing Attacks (842436)
http://www.microsoft.com/technet/security/bulletin/MS04-026.mspx

lunes, 9 de agosto de 2004

Variante de Bagle y tiempos de reacción antivirus

Pasadas las primeras horas de propagación de la nueva variante de
Bagle, donde el número de incidencias fue muy significativo, los
últimos indicadores muestran un descenso considerable de su
actividad, alejando las posibilidades de epidemia. En esta ocasión
algunos antivirus ganaron la batalla, ya que detectaban a la
muestra antes de que comenzara su expansión.

Como ya adelantamos en la nota de ayer, esta nueva versión de Bagle
se distribuye por correo electrónico en un mensaje con el texto
"price" o "new price", el campo del asunto en blanco, y adjuntando
un archivo ZIP de 5,94Kb con diferentes nombres que tienen en
común la cadena "price": price.zip, price2.zip, price_new.zip,
price_08.zip, 08_price.zip, newprice.zip, new_price.zip o
new__price.zip.

El archivo ZIP contiene un HTML (price.html) y una carpeta con un
EXE (price.exe) en su interior. El hecho de que utilizara un doble
componente ha facilitado la labor a los antivirus, ya que algunos
reconocían el exploit del HTML y otros detectaban al ejecutable por
heurística o firmas genéricas.

En este apartado destacan BitDefender, McAfee, NOD32, Norman y
Panda, que eran capaces de detectar el ZIP de esta variante de
Bagle antes de su aparición, y protegían a sus usuarios en el mismo
momento en que empezó a circular el gusano.

Detección proactiva del ZIP a través de "price.exe":

Norman :: W32/Malware
Panda :: Fichero Sospechoso

Detección proactiva del ZIP a través de "price.html":

BitDefender :: JS.Dword.dropper
McAfee :: JS/IllWill
NOD32 :: Win32/IE.Dword unknow infection type (Exploit)


A continuación los tiempos de reacción de las casas antivirus en
proporcionar la actualización concreta para este gusano una vez
había comenzado su propagación:

ClamWin 09.08.2004 19:01 :: Trojan.RunMe
F-Prot 09.08.2004 :: 20:13 :: HTML/ObjData@exp
NOD32v2 09.08.2004 20:44 :: Win32/Bagle.AI
TrendMicro 09.08.2004 21:41 :: TROJ_BAGLE.AC
McAfee 09.08.2004 21:56 :: W32/Bagle.dll.dr
BitDefender 09.08.2004 22:01 :: Win32.Bagle.AL@mm
Sophos 09.08.2004 22:28 :: W32/Bagle-AQ
Norman 09.08.2004 22:35 :: Bagle.AI@mm
Panda 09.08.2004 22:44 :: W32/Bagle.AM.worm

* No se ofrecen tiempos de Kaspersky y Symantec por problemas
puntuales de VirusTotal en la actualización de estos motores,
que podrían perjudicar sus resultados en esta ocasión. ClamWin,
además de la actualización de las 19:01 en la que incluía la
firma específica para el archivo HTML, realizó una posterior a
las 20:33 para detectar el ejecutable como Worm.Bagle.AI.

Estos datos son proporcionados por VirusTotal, y los tiempos se
encuentran en hora española (GMT+2 en verano).

En cuanto al gusano, incluye su propio motor SMTP para enviar por
e-mail a otras direcciones que recolecta en el sistema infectado
buscando en los archivos con extensión: .wab .txt .msg .htm .shtm
.stm .xml .dbx .mbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl
.wsh .adb .tbb .sht .xls .oft .uin .cgi .mht .dhtm y .jsp.

Evita enviarse a las direcciones que contenga alguna de las siguientes
cadenas: @eerswqe, @derewrdgrs, @microsoft, rating@, f-secur, news,
update, anyone@, bugs@, contract@, feste, gold-certs@, help@, info@,
nobody@, noone@, kasp, admin, icrosoft, support, ntivi, unix, bsd,
linux, listserv, certific, sopho, @foo, @iana, free-av, @messagelab,
winzip, google, winrar, samples, abuse, panda, cafee, spam, pgp,
@avp., noreply, local, root@, y postmaster@.

Además de por e-mail, intenta propagarse a través de las redes P2P,
realizando copias del gusano en las carpetas del sistema infectado
cuyo nombre contenga la cadena "shar", que coincide con muchos de
los directorios por defecto utilizados por los clientes P2P. Los
nombres que utiliza para copiar el gusano en estas carpetas de
archivos compartidos son:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

También intenta eliminar de la memoria del sistema infectado los
siguientes procesos, que corresponden a otros gusanos y productos
antivirus, para impedir que puedan detectarlo o afectar a su
funcionamiento:

FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE

El gusano también intenta la descarga de un archivo .JPG desde varias
direcciones web que incluye en su código. Este archivo JPG es en
realidad un ejecutable que actúa como backdoor o puerta trasera
quedando a la escucha en los puertos TCP y UDP 80, permitiendo al
atacante hacerse con el control de los sistemas y utilizarlos para
el envío de spam.

En cuanto al registro de Windows, incluye la típica entrada en Run
para asegurarse su ejecución en cada inicio de sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
win_upd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
win_upd.exe

Adicionalmente incluye las entradas:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
erthgdr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n


Bernardo Quintero
bernardo@hispasec.com


Más información:

una-al-dia (08/08/2004) Alerta: gran propagación de una nueva variante de Bagle
http://www.hispasec.com/unaaldia/2114

domingo, 8 de agosto de 2004

Alerta: gran propagación de una nueva variante de Bagle

En las últimas horas se ha detectado una gran propagación por e-mail
de una nueva variante de Bagle. Se distribuye por correo electrónico
en un mensaje con el texto "price" o "new price" y adjuntando un
archivo ZIP de 5,94Kb.

Hasta el momento todos los mensajes reportados coinciden en que el
campo asunto aparecen en blanco, el cuerpo contiene el texto "price"
o "new price", y como archivo adjunto hay diferentes variantes
que tienen en común la cadena "price": "price.zip", "price2.zip",
"price_new.zip", "price_08.zip", "08_price.zip", "newprice.zip",
"new_price.zip" o "new__price.zip".

Como medida preventiva, y aprovechando que el gusano es fácilmente
reconocible por su aspecto más externo, los usuarios deben de eliminar
directamente cualquier mensaje que reciban con las características
anteriores. Los administradores de servidores de correo también
pueden aplicar sencillas reglas para filtrarlo y evitar que llegue a
los buzones de los usuarios.

Una detección temprana de este nuevo espécimen ha sido posible gracias
a los numerosos envíos de los mensajes infectados que los usuarios,
sospechando de que se trataba de un gusano, han enviado al servicio
VirusTotal (http://www.virustotal.com) de Hispasec.

En estos momentos todos los laboratorios antivirus se encuentran
analizando el gusano, y se espera que en breve comiencen a
proporcionar las actualizaciones específicas.

En una próxima entrega, como es habitual, publicaremos un análisis
de este nuevo gusano, junto con los tiempos de reacción de cada
solución antivirus, así como de aquellos motores que lo detectaban
desde un primer momento gracias a sus firmas genéricas y/o heurística.


Bernardo Quintero
bernardo@hispasec.com


Más información:

New Bagle (?) Variant Spreading
http://www.incidents.org/diary.php?date=2004-08-09

sábado, 7 de agosto de 2004

¿Sabemos detectar un ataque phishing?

En los últimos meses, tal como hemos recogido en diversos
boletines de "una-al-día" se han popularizado los ataques
phishing. ¿Sabemos reconocer uno de estos ataques?

Por phishing hacemos referencia a una estafa que utiliza
mecanismos electrónicos, como puede ser un mensaje de correo
electrónico o una página web, para convencer al usuario que
revele información sensible, que va desde datos personales y
privados hasta las credenciales de acceso a servicios.

Los ataques phishing son posibles por la combinación de unos
mecanismos débiles de protección de acceso que generalmente no
son otra cosa que una simple combinación de usuario y contraseña,
y la capacidad innata de las personas a revelar cualquier
información a quien nos la pregunte.

El método utilizado con más frecuencia en los casos de phishing
masivo consiste en el envío de mensajes que simulan ser enviados
por alguien sobre quien en teoría confiamos y donde se nos
informe que, por cualquier circunstancia, es preciso revelar
nuestra contraseña de usuario o bien "verificar" nuestros datos
rellenando un formulario.

¿Estamos preparados para identificar este tipo de ataques?
¿Tenemos la capacidad de discernir los mensajes legítimos de
aquellos que no son otra cosa que una estafa en potencia?

La experiencia demuestra que no, que la mayoría de las personas
simplemente actúa de buena fe y se cree cualquier petición de
datos privados.

En la web que indicamos en el apartado de "Más información"
encontraremos un pequeño test con diez ejemplos de mensajes que
pueden ser o no un ejemplo de phishing. Se trata de mensajes de
diversas empresas, desde Microsoft a Paypal, pasando por eBay y
Visa. El objeto del test es determinar cuales de ellos son
legítimos y cuales son un intento de estafa.

A pesar de ser mensajes en inglés, son un buen ejemplo de los
clásicos ataques phishing que podemos encontrar. En algunos casos
es preciso fijarse muy bien para acertar la respuesta. El autor
de este boletín ha acertado en ocho de los diez mensajes. En los
otros dos mensajes, en uno he identificado erróneamente un
mensaje legítimo como estafa y en otro, un mensaje fraudulento lo
he clasificado erróneamente como legítimo.

Animo a los lectores de "una-al-día" que pongan a prueba su
capacidad de identificar las estafas que circulan por el correo
electrónico.


Xavier Caballé
xavi@hispasec.com


Más información:

The MailFrontier Phishing IQ Test
http://survey.mailfrontier.com/survey/quiztest.html

viernes, 6 de agosto de 2004

Microsoft publicará en breve el Service Pack 2 para Windows XP

Microsoft ha anunciado que el Service Pack 2 para Windows XP, una
actualización largamente esperada, estará finalmente disponible
durante los próximos días.

Han pasado casi dos años desde la publicación del Service Pack1
en septiembre de 2002. Hasta ahora, los Service Pack no eran
otra cosa que una simple recopilación de las actualizaciones de
seguridad, reunidas bajo un instalador común que requería
reiniciar la máquina en una única ocasión. La política de
Microsoft era evitar la inclusión de nuevas funcionalidades en
los Service Pack.

El Service Pack 2 (SP2) cambia esta filosofía. Microsoft
aprovecha la publicación de esta mega-actualización para
introducir una serie de cambios largamente esperados, como un
nuevo cortafuegos que además se encuentra habilitado por defecto,
medidas para la protección de memoria (requieren hardware
especial) y restricciones de seguridad en las configuraciones por
defecto de Outlook Express e Internet Explorer.

Tras una espera bastante larga y con dos versiones previas del
SP2, durante los próximos días por fin dispondremos de la versión
definitiva. Según publica Michael Swanson en su weblog, la
disponibilidad del SP2 seguirá el siguiente calendario:

* 6 de agosto, el SP2 se envía a fabricación
* 9 de agosto, el SP2 estará disponible en la web de MSDN
(requiere suscripción) como imagen ISO de 475,35 MB.
* 10 de agosto, el SP2 se empezará a distribuir a través de
Windows Update. Esta primera versión estará disponible a los
usuarios de las versiones beta del SP2.
* 16 de agosto, el SP2 ya estará disponible para todos los
usuarios a través de Windows Update

Microsoft ha abierto igualmente una página donde se reúne la
información más actualizada acerca del SP2:
http://www.microsoft.com/technet/winxpsp2

En vistas a facilitar la instalación del SP2, es preciso que los
usuarios visiten la página web de actualizaciones
(http://windowsupdate.microsoft.com) o bien que activen la
instalación automática de actualizaciones (a través de las
propiedades del sistema, pestaña actualizaciones de software).


Xavier Caballé
xavi@hispasec.com



jueves, 5 de agosto de 2004

Actualización de seguridad para PuTTY

Las versiones no actualizadas de PuTTY permiten que un servidor
malicioso ejecute código arbitrario en la máquina cliente.

PuTTY es una implementación "Open Source" gratuita del protocolo SSH,
disponible para diversas plataformas informáticas.

Las versiones no actualizadas de PuTTY contienen una vulnerabilidad que
permite que un servidor malicioso ejecute código arbitrario en la
máquina cliente. El ataque se realiza antes de la verificación de clave
del servidor, por lo que el atacante puede interceptar la conexión con
servidores de confianza, a la hora de llevar a cabo el ataque.

Hispasec recomienda a todos los usuarios de PuTTY que actualicen cuanto
antes a la versión 0.55, que soluciona este problema de seguridad. La
mayoría de las distribuciones Linux también han publicado ya
actualizaciones oficiales.


Jesús Cea Avión
jcea@hispasec.com


Más información:

PuTTY: a free telnet/ssh client
http://www.chiark.greenend.org.uk/~sgtatham/putty/

miércoles, 4 de agosto de 2004

Múltiples vulnerabilidades en libpng 1.x

Se han descubierto múltiples vulnerabilidades en libpng que pueden ser
explotadas por usuarios maliciosos para provocar una denegación de
servicio o comprometer un sistema afectado.

El formato de imagen Portable Network Graphics o PNG se usa como una
alternativa a otros formatos de imagen, como el popular GIF (Graphics
Interchange Format). El uso de este tipo de imágenes cada vez es más
habitual y libpng es una librería disponible para desarrolladores de
aplicaciones para soportar de forma sencilla el formato de imagen PNG.
Cualquier aplicación o sistema que haga uso de esta librería puede
estar afectada.

Se han confirmado un total de seis vulnerabilidades de diversa gravedad
e implicación. Estas vulnerabilidades se deben al uso incorrecto de
punteros nulos y a fallos en la comprobación de tamaños de variables en
diversas funciones utilizadas durante el proceso de imágenes PNG.
Algunos de estos problemas pueden ser explotados para provocar
desbordamientos de búfer basados en stack al procesar una imagen PNG
especialmente construida a tal efecto.

De esta forma, el atacante podrá explotar la vulnerabilidad y llegar,
incluso a ejecutar código arbitrario, si consigue que la víctima visite
un sitio web malicioso o envía un mensaje que sea leído con un cliente
de correo que tenga dependencias con esta librería. El problema es de
gran distribución debido a que programas tan populares como Mozilla,
Konqueror y varios clientes de correo utilizan esta librería.

Se recomienda actualizar a las versiones 1.2.6rc1 o 1.0.16rc1, o
aplicar los parches apropiados. La dirección para descargar estas
actualizaciones y parches es la siguiente:
http://www.libpng.org/pub/png/libpng.html


Antonio Ropero
antonior@hispasec.com


Más información:

Multiple Vulnerabilities in libpng
http://www.us-cert.gov/cas/techalerts/TA04-217A.html

libPNG 1.2.5 stack-based buffer overflow and other code concerns
http://scary.beasts.org/security/CESA-2004-001.txt

martes, 3 de agosto de 2004

Nueva versión del gusano ¿Mydoom?

En las últimas horas se ha detectado la aparición de, aparentemente,
una nueva variante de Mydoom, si bien las casas antivirus no se han
puesto de acuerdo en su denominación. Hasta el momento, en VirusTotal
se pueden contabilizar seis nombres distintos según el motor antivirus:
Linort.A, Evaman.C, Mydoom.o, Mydoom.P, Mydoom.N o Mydoom-Q.

No es la primera vez que nos hacemos eco en Hispasec de la problemática
que plantean las diferentes nomenclaturas de las soluciones antivirus.
Recomiendo la lectura del una-al-dia "Bautizar un virus", 26/12/2002,
disponible en la dirección http://www.hispasec.com/unaaldia/1523

Con respecto a los tiempos de reacción de las diferentes soluciones
antivirus, en primer lugar destacar aquellos motores que detectaban
al espécimen antes de su aparición (03/08/2004) y protegían a sus
usuarios en el mismo momento que comenzó a circular el gusano. Así
lo hacían McAfee, NOD32 y Norman:

McAfee :: Malware.b
NOD32 :: NewHeur_PE
Norman :: W32/EMailWorm

A continuación los tiempos de reacción de las casas antivirus en
proporcionar la actualización concreta para este gusano una vez había
comenzado su propagación:

BitDefender 03.08.2004 17:55 :: Win32.Linort.A@mm
NOD32v2 03.08.2004 18:46 :: Win32/Evaman.C
Kaspersky 03.08.2004 19:33 :: I-Worm.Mydoom.o
Panda 03.08.2004 19:48 :: W32/Mydoom.P.worm
ClamWin 03.08.2004 20:23 :: Worm.Mydoom.N
Sophos 03.08.2004 22:41 :: W32/MyDoom-Q
TrendMicro 04.08.2004 03:07 :: WORM_MYDOOM.O
F-Prot 04.08.2004 05:55 :: W32/Mydoom.P@mm

Estos datos son proporcionados por VirusTotal, y los tiempos se
encuentran en hora española (GMT+2 en verano).

* Los resultados de eTrust-Inoc están en cuarentena, comprobándose
la instalación del motor y el método de actualización a petición del
desarrollador.

* En el momento de escribir estas líneas la última actualización
disponible de Symantec en VirusTotal es del 03.08.2004 a las 22:08,
con la cual aun no detectaba el espécimen. En la descripción del
web de Symantec, donde lo denomina W32.Evaman.C@mm, anuncia que
incluirá las firmas en la actualización del 4 de agosto de 2004:
"Virus Definitions (LiveUpdate(tm)) ** August 04, 2004". Por lo que
esperamos que en apenas unas horas sus usuarios podrán actualizarse
para poder detectar y prevenir este gusano.

* Norman y McAfee continúan detectando la muestra de forma genérica
por heurística, pero es de esperar que también incluyan una
actualización oficial específica en breve. De hecho McAfee ya
tiene publicado un DAT beta, para descarga manual, donde lo
detecta como W32/Mydoom.q@MM.

En cuanto a las características del gusano, es similar a otras
variantes. Puede llegar por correo electrónico con algunos de los
siguientes asuntos:

SN: New secure mail
Secure delivery
failed transaction
Re: hello (Secure-Mail)
Re: Extended Mail
Delivery Status (Secure)
Re: Server Reply
SN: Server Status

En esta ocasión, además de buscar direcciones a las que enviarse
en los sistemas infectados, realiza peticiones a un buscador de
direcciones de Yahoo (http://email.people.yahoo.com) para obtener
más e-mails, para lo que utiliza los siguientes nombres en las
consultas:

Johnson, Williams, Wilson, Taylor, Anderson, Thomas, Jackson,
Parker, Hernandez, Gonzalez, Roberts, Patricia, Margaret, Elizabeth,
Anthony, Daniel, Patrick, Douglas, Carlos, Sanchez, Howard,
Washington, Walter, Robinson, Miguel, Jennifer, Alberto, Mathew,
Taylor, Walker, Mitchell, Carter, Nelson, Brooks, Jenkins, Coleman,
Flores, Griffin, Morris, Rogers, Barbara, Angela, Amanda, Pamela,
Martha, Frances, Cynthia, Stephanie, Nicole, Andrea, Rebeca, Steven,
Anthony, George, Michael, Isabel, Marcos, Camilo, Salomon, Esteban,
Francis, Nicholas, Samuel, Angela, Catherine, Susanna, Dorothy,
Elizabeth, Andrew, Philip, Hester, Edward, Martin, Gabriel,
Christopher, Lawrence, Christian, Christ, Dorcas, Rowland, Cecily,
Margery, Turner, Torres, Brooks, Harrison, Gibson, Pierce, Arnold,
Watkins, Medina, Mendoza, Santiago, Christina, Norris, Santos,
Burgess, Valdez, Barber, Patton, Ortega, Estrada, Waters, Ashlee,
Parson, Sparks, Morton, Allison, Monique, Summers, Cortez, Barton,
Deleon, Harrell, Navarro, Woodard, Meyers, Petersen, Vannessa,
Douglas, Joanna, Judith, Bridget, Jessica, Jeffrey, Timothy,
Shirley, Kimberly, Sandra, Melissa, Virginia, Dennis, Junior,
Heather, Collins, Garcia, Miller, Barton, Bridget, Gillian, Ursula,
Hannah, Cooper, Watson, Bennett, Sanders, Ramirez, Bailey, Murphy,
Campbell, Barnes, Alexis, Samantha, Madison, Joshua, Charles,
Clinton, Lincoln, Houston, Claudia, Britney, Carson, Spider,
Laster, Jolley, Galvin, Alecia, Karrie, Ivette, Freeman, Hunter,
Simpson, Hamilton, Knight, Mcdonald, Elliott, Bradley, Duncan,
Weaver, Fields, Chapman, Kelley, Wagner, Jacobs, Stanley, Fuller,
Newman, Lambert, Cummings, Leonard, Barker, Norris.


Bernardo Quintero
bernardo@hispasec.com



lunes, 2 de agosto de 2004

Denegación de servicio en wireless router U.S. Robotics 808054

Se ha descubierto una vulnerabilidad en el wireless router 808054 de
US Robotics que permitiría a usuarios maliciosos denegar el servicio
de dicho dispositivo e incluso llegar a ejecutar código arbitrario
en él.

Se ha comprobado que un usuario que pueda conectarse al puerto de
administración web de dicho dispositivo puede enviar una petición GET
HTTP especialmente formada a tal efecto que provocará un
desbordamiento de búfer, que tendrá como resultado la caída del
dispositivo. Un ejemplo de código de explotación sería el siguiente:

bash ~ $ perl -e '$a = "GET / " . "A"x250 . "\r\n\r\n" ; print $a' | nc ap 80

La vulnerabilidad se ha confirmado en dispositivos con firmware versión
1.21h. Se especula la posibilidad de explotar dicho desbordamiento de
búfer para conseguir la ejecución remota de código arbitrario, aunque
por el momento no se ha confirmado que esto sea posible.


Antonio Román
roman@hispasec.com


Más información:

U.S. Robotics Wireless Router Can Be Crashed By Remote Users
http://www.securitytracker.com/alerts/2004/Aug/1010839.html

Wireless Turbo Router
http://www.usr.com/products/networking/router-product.asp?sku=USR8054

domingo, 1 de agosto de 2004

Vulnerabilidad en Mozilla y Firefox favorece el phishing

Se ha anunciado una vulnerabilidad en Mozilla y Firefox que
permitiría a sitios web maliciosos falsificar el interfaz de usuario,
lo que puede inducir al usuario a creer que se encuentra en un
sitio diferente y ser empleado para realizar ataques de phishing
(robo de información bancaria, cuentas de acceso, etc).

El problema, que parece ser el mismo que el identificado como 244965
en Mozilla, reside en que estos productos no restringen a los sitios
web la inclusión de archivos XUL remotos (XML User Interface Language)
de tal manera que se puede "secuestrar" la mayor parte del interfaz,
incluyendo la barra de herramientas, los diálogos de certificados SSL,
barra de direcciones, etc. Esto es importante debido a que el interfaz
de Mozilla está construida a base de archivos XUL.

Hay que señalar que no se trata de un problema nuevo, ya que el
mencionado bug fue mencionado por primera vez en 1999, pero fue marcado
como confidencial durante 5 años, hasta que el pasado día 21 un
desarrollador independiente publicó el aviso.

Se tiene constancia de la existencia de código de prueba de concepto
que hace creer al usuario que se está utilizando un certificado válido
de PayPal.

Este problema ha sido confirmado en Mozilla 1.7 para Linux y 1.7.1
para Windows, Firefox 0.9.1 para Linux y 0.9.2 para Windows. Aunque
teniendo en cuenta la fecha del aviso original, en versiones anteriores
también se encuentra presente.

A la espera de una actualización que corrija este problema, se
recomienda como de costumbre no seguir enlaces de lugares que no
sean de confianza.


Antonio Ropero
antonior@hispasec.com


Más información:

Firefox spoof demostration
http://www.nd.edu/~jsmith30/xul/test/spoof.html