jueves, 30 de septiembre de 2004

Implicaciones del diseño web en los ataques "phishing"

Aspectos básicos del diseño de una web pueden facilitar a los usuarios
la prevención de fraudes tipo "phishing", donde los atacantes simulan
ser la entidad legítima para robar la identidad electrónica de sus
clientes.

Hasta la fecha siempre se ha apuntado al usuario-víctima como
responsable en última instancia de los fraudes mediante técnicas
"phishing", al ser un ataque dirigido al cliente sin intervención real
de los sistemas de la entidad que se simula.

Sin embargo el diseño web, por ejemplo de una entidad bancaria, es un
factor clave a la hora de facilitar la prevención del "phishing" o,
por contra, favorecer la estrategia de los atacantes.

Una de las reglas básicas consiste en facilitar a los usuarios la
comprobación de que realmente está navegando en el servidor web de la
entidad y a través de una conexión segura, de forma que sus datos
viajan cifrados y no pueden ser capturados por terceros.

Los indicadores fácilmente reconocibles por un usuario de que ha
conectado con un servidor web seguro son la URL en la barra de
direcciones del navegador, que debe comenzar por https:// en lugar
del habitual http://, y el símbolo de un candado cerrado o una llave
completa que aparece en la barra de estado, en la parte inferior del
navegador.

Adicionalmente, el usuario puede hacer doble click en el icono del
candado o la llave, dependiendo del navegador utilizado, para
visualizar información detallada del certificado de seguridad.

Algo tan básico y útil de cara al usuario, como el poder comprobar la
seguridad de su conexión con el web de la entidad, es en muchas
ocasiones ocultado de forma artificial, facilitando la labor de los
ataques "phishing".

Un ejemplo real lo podemos observar, por ejemplo, en la web de la
entidad ING Direct (http://www.ingdirect.es). Si conectamos con la
web podemos comprobar en el lateral izquierdo un primer formulario de
acceso, donde se solicita los datos de un documento de identificación
y la fecha de nacimiento. Aparentemente, por los elementos visibles,
no podemos comprobar que estamos conectados a un servidor web seguro
y que nuestros datos se enviarán cifrados, dado que ni la dirección
comienza por https:// ni apreciamos el icono del candado o llave en
la parte inferior del navegador.

Éste es el diseño ideal para un ataque "phishing", ya que es fácil
de imitar, y el usuario no echará en falta los indicadores visuales
que le permiten comprobar que no está conectando con un servidor web
seguro.

El caso es que la ocultación de esos elementos identificativos de
conexión segura son ocultados en la web ING Direct de forma artificial,
ya que forman la página con varios frames o marcos, y el de la derecha
que hospeda el formulario de acceso está realmente bajo una conexión
segura, aunque a simple vista parezca lo contrario y el usuario no
pueda comprobarlo.

La URL real que se utiliza para este primer formulario es
https://www.ingdirect.es/WebTransactional/Transactional/clientes/access/entrada.asp
Si el usuario utiliza este enlace, puede comprobar que efectivamente
está introduciendo sus datos en una conexión segura, tanto por el
uso de https:// como por el icono del certificado que aparece en la
parte inferior del navegador.

Para los clientes de esta entidad que puedan pasar este primer
formulario, comprobarán que a continuación aparece otra ventana donde
se solicita el código secreto. De nuevo, de forma artificial, se oculta
en esta ocasión todo el campo de dirección del navegador, de forma que
no puede ver a simple vista si la URL comienza por https:// o http://.
Afortunadamente, en esta y sucesivas pantallas si podremos visualizar
el icono del candado o la llave y acceder al certificado. Otro aspecto,
que se merecería una nota aparte, es el uso de una botonera en
JavaScript para introducir el código secreto.

Para prevenir potenciales ataques por "phishing", la web de ING Direct
debería permitir a sus clientes poder visualizar en todas las páginas
con formularios de entrada de datos, o con información privada, los
elementos básicos de una conexión segura, como es el caso de la
dirección comenzando por https:// y el icono del certificado.

Ejemplos de entidades bancarias que tienen en cuenta esta regla básica
son, por ejemplo, http://www.unicaja.es o http://www.bbvanet.com
En ambos casos podemos apreciar que automáticamente nos redirige a una
conexión segura, donde se aprecia claramente visible la URL que comienza
por https:// y el icono correspondiente.

Un problema similar al de ING Direct se podía encontrar en la web de
Banesto, tal y como publicamos en Hispasec en una nota anterior de
"una-al-dia" en http://www.hispasec.com/unaaldia/1921.

Afortunadamente, con buen criterio, Banesto corrigió diligentemente el
diseño, de forma que ahora cuando el usuario solicita conectar con el
servicio de banca electrónica se abre una ventana donde claramente se
pueden observar los elementos de la conexión segura.

Éstos son sólo algunos aspectos básicos que las entidades pueden tener
en cuenta a la hora de evitar los ataques "phishing", al mismo tiempo
que aumentar la formación en seguridad y confianza de sus clientes.

Desde aquí, Hispasec anima a los lectores a que comprueben si las webs
de sus entidades cumplen con estos elementos básicos de seguridad y a
familiarizarse con ellos, de cara a prevenir posibles fraudes.
Asimismo quedo a la espera de que me comuniquen cualquier irregularidad
que puedan detectar al respecto, y que podamos tratar en una próxima
entrega.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Nuevo caso de "phishing" a clientes de Banesto
http://www.hispasec.com/unaaldia/2163

una-al-dia (27/05/2004) Continúan los intentos de estafa contra bancos españoles
http://www.hispasec.com/unaaldia/2041

una-al-dia (22/02/2004) Nuevo intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1946

una-al-dia (28/01/2004) Nuevo intento de estafa sobre los usuarios de la banca electrónica de Banesto
http://www.hispasec.com/unaaldia/1921

una-al-dia (11/01/2004) Intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1904

una-al-dia (23/08/2003) Nuevo caso de "phishing", esta vez con Citibank
http://www.hispasec.com/unaaldia/1763

una-al-dia (20/05/2003) Intento de fraude a los clientes del BBVA
http://www.hispasec.com/unaaldia/1668

miércoles, 29 de septiembre de 2004

Propagación de nueva variante del gusano "Bagle"

En la tarde de ayer llegaron las primeras muestras a VirusTotal de una
nueva variante de Bagle que en sus primeras horas ha alcanzado unos
ratios de propagación notables. Se propaga por e-mail y redes P2P,
entre otras características destaca por incluir una puerta trasera que
permite a un atacante externo hacerse con el control de la máquina
infectada.

Reacciones antivirus

En esta ocasión sólo NOD32 destaca por ser capaz de detectar a esta
variante por heurística, de forma que sus usuarios estaban protegidos
en el momento que comenzó su propagación:

NOD32v2 probably unknow NewHeur_PE

El resto de antivirus se actualizaron con firmas específicas en los
siguientes tiempos (hora de España):

Kaspersky 28.09.2004 20:25 :: I-Worm.Bagle.as
ClamWin 28.09.2004 20:51 :: Worm.Bagle.AP
BitDefender 28.09.2004 21:42 :: Win32.Bagle.AU@mm
McAfee 28.09.2004 21:48 :: W32/Bagle.az@MM
NOD32v2 28.09.2004 22:19 :: Win32/Bagle.AQ
F-Prot 28.09.2004 22:24 :: W32/Bagle.AM.worm
Panda 28.09.2004 22:40 :: W32/Bagle.BB.worm
TrendMicro 28.09.2004 23:10 :: WORM_BAGLE.AM
Norton 29.09.2004 00:05 :: W32.Beagle.AR@mm
InoculateIR 29.09.2004 00:17 :: Win32/Bagle.18883.Worm
Sophos 29.09.2004 03:10 :: W32/Bagle-AZ
Norman 29.09.2004 10:25 :: Bagle.AO@mm


Nomenclatura

Destaca la cantidad de sufijos diferentes utilizados para nombrar a
esta variante según el motor antivirus: as, AP, AU, az, AQ, AM, BB,
AR, 18883 y AO. Sin duda, la homogeneización en la nomenclatura de
virus y demás malware está aun muy verde y necesita de un mayor
consenso entre las diferentes casas antivirus.

Desde el punto de vista técnico parece, a priori, relativamente fácil
establecer un mecanismo para lograr este objetivo. Por ejemplo,
podrían utilizarse nombres temporales durante las primeras horas y,
una vez realizada la puesta en común, asignarle el nombre genérico
acordado en la siguiente actualización de forma dinámica.

El problema que se intuye de fondo parece ser más de marketing que
puramente técnico o logístico.


Descripción del gusano


Cuando llega por e-mail, lo hace desde un mensaje con la dirección
de remite falseada, y uno de los siguientes asuntos:

Re:
Re: Hello
Re: Thank you!
Re: Thanks :)
Re: Hi

En el cuerpo del mensaje sólo incluye alguno de los siguientes
iconos a modo de sonrisa:

:)
:))

El archivo adjunto infectado puede tener extensión .exe, .scr, .com o
.cpl, y uno de los siguientes nombres:

Price
price
Joke

En el caso de las redes P2P, el gusano se copia en todas las carpetas
cuyo nombre contenga la cadena "shar", que coincide con algunos
directorios de archivos compartidos que utilizan por defecto las
aplicaciones P2P más comunes. Los nombres con que puede aparecer en
estas carpetas y, por tanto, en las redes P2P, son:

Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

Cuando se ejecuta en un sistema, realiza una copia de si mismo en
la carpeta de sistema de Windows con los nombres de archivo
bawindo.exe, bawindo.exeopen y bawindo.exeopenopen.

Como suele ser habitual, también introduce la típica entrada en el
registro de Windows para asegurarse su ejecución en cada inicio de
sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"bawindo" = %System%"\bawindo.exe"

El componente backdoor o puerta trasera queda a la escucha en
el puerto TCP/81.

Otras acciones que lleva a cabo en el sistema son eliminar los
procesos en memoria correspondientes a utilidades antivirus y
similares que pudieran entorpecer su labor, según la siguiente
lista:

alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe

Para enviarse a otros usuarios por e-mail, a través de su propio motor
SMTP, busca direcciones de correo en los archivos que localiza en el
sistema con alguna de las siguientes extensiones:

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp


El gusano también incluye un listado para evitar enviarse a las
direcciones de correo que contengan alguna de las siguientes cadenas:

@hotmail
@msn
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@


Por último, el gusano intenta descargar el archivo WS.JPG desde
los siguientes sitios webs, pero hasta el momento en ninguno de
ellos está disponible:

www.24-7-transportation.com
www.adhdtests.com
www.aegee.org
www.aimcenter.net
www.alupass.lu
www.amanit.ru
www.andara.com
www.angelartsanctuary.com
www.anthonyflanagan.com
www.approved1stmortgage.com
www.argontech.net
www.asianfestival.nl
www.atlantisteste.hpg.com.br
www.aviation-center.de
www.bbsh.org
www.bga-gsm.ru
www.boneheadmusic.com
www.bottombouncer.com
www.bradster.com
www.buddyboymusic.com
www.bueroservice-it.de
www.calderwoodinn.com
www.capri-frames.de
www.celula.com.mx
www.ceskyhosting.cz
www.chinasenfa.com
www.cntv.info
www.compsolutionstore.com
www.coolfreepages.com
www.corpsite.com
www.couponcapital.net
www.cpc.adv.br
www.crystalrose.ca
www.cscliberec.cz
www.curtmarsh.com
www.customloyal.com
www.DarrkSydebaby.com
www.deadrobot.com
www.dontbeaweekendparent.com
www.dragcar.com
www.ecofotos.com.br
www.elenalazar.com
www.ellarouge.com.au
www.esperanzaparalafamilia.com
www.eurostavba.sk
www.everett.wednet.edu
www.fcpages.com
www.featech.com
www.fepese.ufsc.br
www.firstnightoceancounty.org
www.flashcorp.com
www.fleigutaetscher.ch
www.fludir.is
www.freeservers.com
www.FritoPie.NET
www.gamp.pl
www.gci-bln.de
www.gcnet.ru
www.generationnow.net
www.gfn.org
www.giantrevenue.com
www.glass.la
www.handsforhealth.com
www.hartacorporation.com
www.himpsi.org
www.idb-group.net
www.immonaut.sk
www.ims-i.com
www.innnewport.com
www.irakli.org
www.irinaswelt.de
www.jansenboiler.com
www.jasnet.pl
www.jhaforpresident.7p.com
www.jimvann.com
www.jldr.ca
www.justrepublicans.com
www.kencorbett.com
www.knicks.nl
www.kps4parents.com
www.kradtraining.de
www.kranenberg.de
www.lasermach.com
www.leonhendrix.com
www.magicbottle.com.tw
www.mass-i.kiev.ua
www.mepbisu.de
www.mepmh.de
www.metal.pl
www.mexis.com
www.mongolische-renner.de
www.mtfdesign.com
www.oboe-online.com
www.ohiolimo.com
www.onepositiveplace.org
www.oohlala-kirkland.com
www.orari.net
www.pankration.com
www.pe-sh.com
www.pfadfinder-leobersdorf.com
www.pipni.cz
www.polizeimotorrad.de
www.programmierung2000.de
www.pyrlandia-boogie.pl
www.raecoinc.com
www.realgps.com
www.redlightpictures.com
www.reliance-yachts.com
www.relocationflorida.com
www.rentalstation.com
www.rieraquadros.com.br
www.scanex-medical.fi
www.sea.bz.it
www.selu.edu
www.sigi.lu
www.sljinc.com
www.smacgreetings.com
www.soloconsulting.com
www.spadochron.pl
www.srg-neuburg.de
www.ssmifc.ca
www.sugardas.lt
www.sunassetholdings.com
www.szantomierz.art.pl
www.the-fabulous-lions.de
www.tivogoddess.com
www.tkd2xcell.com
www.topko.sk
www.transportation.gov.bh
www.travelchronic.de
www.traverse.com
www.uhcc.com
www.ulpiano.org
www.uslungiarue.it
www.vandermost.de
www.vbw.info
www.velezcourtesymanagement.com
www.velocityprint.com
www.vikingpc.pl
www.vinirforge.com
www.wecompete.com
www.worest.com.ar
www.woundedshepherds.com
www.wwwebad.com
www.wwwebmaster.com


Bernardo Quintero
bernardo@hispasec.com



martes, 28 de septiembre de 2004

Nueva actualización de seguridad de Subversion

Cuando la versión 1.0.7 todavía no se ha enfriado en los servidores de
descarga, la comunidad Subversion publica una nueva actualización de
seguridad de su producto.

Subversion es un sistema de control de versiones Open Source, inspirado
en el popular pero prehistórico CVS. Subversion es un diseño y
desarrollo nuevo, 100% desde cero, supliendo la mayoría de las carencias
y defectos del vetusto CVS y proporcionando un entorno eficiente y muy
flexible.

La vulnerabilidad reside en el módulo "mod_authz_svn", un componente
para el servidor HTTP Apache. Dicho módulo no restringe apropiadamente
el acceso a los metadatos de los repositorios, pudiendo acceder a sí a
información potencialmente sensible.

Hispasec recomienda a todos los usuarios y administradores de sistemas
Subversion que actualicen a la versión 1.0.8, sobre todo si utilizan el
componente Apache descrito. Hispasec también recuerda a sus lectores la
conveniencia de descargar software desde fuentes reputadas y de
confianza. En caso de duda se puede utilizar cualquier "mirror" y
contrastar la huella criptográfica MD5, que es
"40b5b5edd4e0daec802661cd64d562e4" para "subversion-1.0.8.tar.gz",
"b2378b7d9d00653249877531a61ef1db" para "subversion-1.0.8.tar.bz2" y
9fec445c8ffdad08cd89515c62de9c4d" para "subversion-1.0.8.zip".


Jesús Cea Avión
jcea@hispasec.com


Más información:

Subversion 1.0.8 released. *SECURITY FIX*
http://subversion.tigris.org/servlets/NewsItemView?newsItemID=907

mod_authz_svn fails to protect metadata
http://subversion.tigris.org/security/CAN-2004-0749-advisory.txt

Subversion Project Home
http://subversion.tigris.org/

lunes, 27 de septiembre de 2004

Se aplaza el juicio Tegam vs. "Guillermito"

El juicio que enfrenta a la empresa Tegam contra el científico
francés Guillaume T. no se celebrará el 5 de octubre, tal y como
estaba previsto. A última hora los abogados de Tegam han solicitado
un aplazamiento para preparar mejor sus argumentos.

Como nuestros lectores recordarán, Tegam sigue un proceso judicial
contra el científico francés Guillaume T., apodado "Guillermito", por
publicar un informe técnico con detalles y pruebas de concepto que
demostraba que el software antivirus Viguard no detectaba el 100% de
los virus, tal y como anunciaba la empresa desarrolladora.

Transcurridos más de dos años desde la denuncia, el juicio debería
celebrarse el próximo 5 de octubre, tal y como nos habíamos hecho eco
en "una-al-día". En una jugada de última hora, Tegam ha solicitado un
aplazamiento del juicio para preparar con más tiempo el mismo, al que
Guillaume T. y sus abogados han accedido.

El propio Guillaume T. dice no comprender este aplazamiento de última
hora. Entre las hipótesis que baraja se encuentra la expectación que
había alcanzado el juicio, que se celebrará de forma pública, y al
que ya habían anunciado su asistencia periodistas y personas
interesadas del mundillo de la seguridad informática, a quienes pide
disculpas por las molestias que pudiera ocasionar este retraso.

En estos momentos, se prevé que el juicio se celebre a principios de
2005. En cualquier caso informaremos puntualmente con antelación para
todos aquellos interesados en asistir.


Bernardo Quintero
bernardo@hispasec.com


Más información:

16/09/2004 Tegam vs. Guillermito, segundo asalto
http://www.hispasec.com/unaaldia/2154

20/05/2004 Juicio contra la seguridad informática y el "full disclosure"
http://www.hispasec.com/unaaldia/2034

domingo, 26 de septiembre de 2004

Falso positivo de McAfee "Exploit-URLSpoof.gen"

La última noticia publicada en "una-al-día" sobre el nuevo caso de
"phishing" a clientes de Banesto ha dado lugar a un falso positivo
del motor antivirus de McAffe. Los usuarios que hayan recibido una
alerta de su antivirus al recibir dicha noticia deben ignorar el
aviso.

Las noticias de "una-al-día" se envían como texto sin formato y sin
adjunto de ningún tipo, de forma que no pueden incluir código o
scripts malicioso activo, como virus o cualquier otro tipo de malware.

En la noticia sobre el nuevo caso de "phishing" se incluía, como
parte de la explicación, la URL que han utilizado los atacantes para
intentar aprovechar una vulnerabilidad de Internet Explorer. La URL
en la noticia no se encontraba ofuscada en el mensaje ni en formato
HTML, y no debe ser considerada peligrosa.

Sin embargo los usuarios de McAffe han podido verse sobresaltados
al recibir una alerta que identificaba la citada noticia como
"Exploit-URLSpoof.gen".

Los usuarios que no hayan podido leer la noticia debido a este
contratiempo pueden acceder a ella a través de la versión web, que
hemos modificado (incluyendo dos espacios en la URL) para evitar
el falso positivo de McAfee.



Bernardo Quintero
bernardo@hispasec.com



sábado, 25 de septiembre de 2004

Nuevo caso de 'phishing' a clientes de Banesto

Detectado en las últimas horas un envío masivo e indiscriminado de
e-mails simulando ser un mensaje de Banesto. El mensaje solicita a los
clientes se dirijan a una dirección del sitio web de Banesto para
reactivar la cuenta con un nuevo sistema de seguridad que evitará las
estafas.

El remite falso del mensaje aparece con el nombre de "Banesto Banca"
con dirección , y en el campo de asunto el
texto "Banesto Banca:Estimado cliente!". El cuerpo del e-mail, en
formato HTML, incluye una cabecera gráfica con el logotipo y elementos
gráficos de la imagen corporativa de Banesto, en un intento de hacer
más creíble el engaño.

Sin embargo, en la redacción del texto del mensaje pueden observarse
varias faltas de ortografías e incoherencias, no propias de un
comunicado serio de cualquier entidad, y que deben hacer sospechar a
los usuarios. Este extremo también apuntaría al origen extranjero de
la estafa.

En cuanto al apartado técnico, todos los elementos gráficos del
mensaje son descargados desde el servidor http://www.tedfahn.com/,
donde también pueden encontrarse numerosos logs de otros ataques. El
formulario falso, donde se solicita al cliente de Banesto sus datos,
se encuentra hospedado en el servidor http://www.fischers.nu/

En ambos casos es más que probable que se traten de servidores webs
legítimos que han sido comprometidos y utilizados por los atacantes
para llevar a cabo la estafa.

En el mensaje la URL de la web de Banesto aparece a simple vista
correctamente escrita, en un gráfico, que al ser pinchado redirige
realmente a la web http://www.fischers.nu/ donde se encuentra el
formulario falso.

El enlace que utilizan internamente para la falsificación se
encuentra ofuscado en el código HTML como:
[* http : //extranet.banesto.es.npage.loginParticulares.htm%01@www.%66%69%73%63%68%65%72%73%2E%6E%75 *]

Con este formato los atacantes intentan aprovechar una vulnerabilidad
de Internet Explorer para que el usuario visualice una URL concreta
en la barra de direcciones, cuando en realidad está visitando un sitio
web diferente. Esta vulnerabilidad ya fue corregida en un parche de
Microsoft en febrero de este año, y los usuarios con Internet Explorer
actualizado no se encuentran afectados ni podrán ser víctimas de la
estafa en esta ocasión.

Recordamos a los usuarios que en ningún caso deben utilizar enlaces
a los sitios web de banca electrónica que provengan de mensajes,
mecanismo habitual de los ataques "phishing", así como la necesidad
de mantener su sistema puntualmente actualizado.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Falsificación de URL y ataque DoS recursivo en Internet Explorer
http://www.hispasec.com/unaaldia/1873

Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet
Explorer
http://www.hispasec.com/unaaldia/1927

viernes, 24 de septiembre de 2004

Actualización acumulativa para ColdFusion MX

Macromedia ha publicado una actualización acumulativa para ColdFusion
MX Server que incluye las funcionalidades de todos los parches
anteriormente publicados y además corrige dos nuevas vulnerabilidades
consideradas críticas.

El primero de los nuevos problemas corregidos reside en el servidor
JRun que puede ser engañado para evitar restricciones de acceso y
mostrar el código fuente de archivos que no estén asociados a
estensiones Macromedia (.php, .asp, .pl) simplemente con añadir
";.cfm" al final de la URL. Esto solo afecta al conector Microsoft IIS.

La segunda vulnerabilidad subsanada es un desbordamiento de búfer
cuando los conectores web de JRun están en modo de depuración
"verbose". Esto afecta a todos los conectores, plataformas y versiones.
Si la conexión en modo "verbose" está desactivada, que es la
configuración por defecto, el servidor web no es vulnerable.

Actualizaciones publicadas:

Para ColdFusion MX 6.0
Actualizar a ColdFusion MX 6.1 disponible en
http://www.macromedia.com/cfusion/resourcecenter/rc_driver.cfm?pagename=cfmx%20updater
y aplicar el parche para ColdFusion MX 6.1 Standard

Para ColdFusion MX 6.1 Standard/Enterprise
http://www.macromedia.com/support/coldfusion/downloads_updates.html#updater

Para ColdFusion MX 6.1 J2EE (JRun)
http://www.macromedia.com/go/jrun_updater


Antonio Ropero
antonior@hispasec.com


Más información:

MPSB04-09 - Cumulative Security Patch available for ColdFusion MX
http://www.macromedia.com/devnet/security/security_zone/mpsb04-09.html

jueves, 23 de septiembre de 2004

Denegación de servicio en teléfonos Pingtel Xpressa

Xpressa era uno de los productos de Pingtel, este teléfono puede ser
administrado remotamente desde diferentes interfaces (consola, Telnet
y HTTP). Se ha anunciado una vulnerabilidad denegación de servicio que
dejaría el teléfono inoperativo.

Los teléfonos Xpressa se basan en tecnología IP voice, hace algunos meses
fue liberado el código fuente por parte SIPfoundry, comunidad open-source
sin ánimo de lucro dedicada al desarrollo de aplicaciones IP voice. La
tecnología IP Voice se encarga de prestar servicios telefónico sobre
Internet, lo que favorece la reducción de costes en las llamadas.

@stake ha descubierto una vulnerabilidad en el tratamiento del interfaz
de administración HTTP del teléfono que puede ser explotado para hacer
caer el sistema operativo interno Vxworks al enviar una petición GET muy
larga especialmente formada a tal efecto.

Ejemplo:
GET //cgi/application.cgi HTTP/1.0
Authorization: Basic [base64authstring]

Donde es una cadena de 260 caracteres

Como resultado provocaría una denegación de servicio.

Si un atacante consiguiera explotar la vulnerabilidad, el teléfono
debería ser reiniciado para restablecer su funcionamiento normal.

Se recomienda inhabilitar el interfaz HTTP hasta que se publique una
actualización que corrija dicho problema. Para ello deberá seguir los
siguientes pasos:

More|Apps|Prefs|myxpressa web||

y desmarcar "Enable Web Server". El cambio requiere reiniciar el teléfono.

Hay que señalar que Pingtel dejó de vender este producto el pasado mes
de agosto. La declaración de Pingtel sobre esta vulnerabilidad se ha
limitado a informar que los usuarios que tengan garantía o planes de
mantenimiento serán atendidos.


Antonio Román
roman@hispasec.com


Más información:

Pingtel Xpressa Denial of Service
http://www.atstake.com/research/advisories/2004/a091304-2.txt

Pingtel Xpressa Denial of Service
http://msgs.securepoint.com/cgi-bin/get/bugtraq0409/62.html

Pingtel Corp.
http://www.pingtel.com/default.jsp

Voz sobre IP para teléfonos libre
http://barrapunto.com/softlibre/04/03/31/0923213.shtml

Uniendo Esfuerzos en un VoIP de Fuente Abierta
http://cofradia.org/modules.php?name=News&file=article&sid=8726

miércoles, 22 de septiembre de 2004

Actualización de Apache HTTP Server

Apache Software Foundation y The Apache HTTP Server Project han
anunciado la publicación de la versión 2.0.51 de Apache HTTP Server
("Apache").

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.

Esta nueva versión de Apache está destinada a corregir varios bugs
menores y cinco vulnerabilidades de seguridad:

* Denegación de servicio en la gestión de URIs IPv6. Ello permite que un
atacante remoto pueda "matar" un proceso gestor Apache. Dependiendo del
rigor del ataque y de la configuración del servidor Apache, la pérdida
de rendimiento y el impacto sobre otros visitantes ajenos al ataque
puede ser notable.

* Un desbordamiento de búfer permite que usuarios locales obtengan
privilegios del demonio Apache a través de la manipulación
malintencionada del fichero de control de acceso ".htaccess".

* El módulo SSL de Apache, cuando se utiliza en modo de "proxy inverso"
puede provocar la caída del servidor ante una petición malintencionada.

* Otra vulnerabilidad SSL en Apache permite que un atacante remoto
realice un consumo de CPU inusual en el servidor, al provocar que un
proceso gestor Apache entre en bucle infinito. Persistiendo en el
ataque, se pueden bloquear todos los procesos gestores, ocasionando la
pérdida del servicio Apache.

* El módulo DAV Apache es susceptible de causar la caída de un proceso
gestor Apache mediante una secuencia específica de peticiones "LOCK".
Como en los casos anteriores, un ataque persistente puede degradar el
rendimiento del sistema de forma significativa.

Hispasec recomienda a los administradores de servidores Apache 2.0.* que
actualicen a la versión 2.0.51.


Jesús Cea Avión
jcea@hispasec.com


Más información:

The IPv6 URI parsing routines in the apr-util library for Apache 2.0.50
and earlier allow remote attackers to cause a denial of service (child
process crash) via a certain URI, as demonstrated using the Codenomicon
HTTP Test Tool
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0786

Buffer overflow in Apache 2.0.50 and earlier allows local users to gain
apache privileges via a .htaccess file that causes the overflow during
expansion of environment variables
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0747

The char_buffer_read function in the mod_ssl module for Apache 2.x, when
using reverse proxying to an SSL server, allows remote attackers to
cause a denial of service (segmentation fault)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0751

mod_ssl in Apache 2.0.50 and earlier allows remote attackers to cause a
denial of service (CPU consumption) by aborting an SSL connection in a
way that causes an Apache child process to enter an infinite loop
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0748

The mod_dav module in Apache 2.0.50 and earlier allows remote attackers
to cause a denial of service (child process crash) via a certain
sequence of LOCK requests for a location that allows WebDAV authoring
access
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0809

martes, 21 de septiembre de 2004

Publicado código que explota la ultima vulnerabilidad de Windows

Se ha publicado un código que demuestra y explota una de las últimas
vulnerabilidades dadas a conocer y para las que Microsoft publicó la
corrección la pasada semana. Concretamente el problema por el que la
visualización de una imagen jpeg puede permitir a un atacante la
ejecución de código.

El problema de seguridad explotado, calificado como "crítico" por la
propia Microsoft, reside en el módulo de tratamiento de imágenes JPEG,
que se halla en muchos programas de Microsoft. Se ven afectados por
esta vulnerabilidad numerosas aplicaciones, como Office 2003 y XP,
Project 2002 y 2003, Visio 2002 y 2003, Visual Studio .NET 2002 y 2003,
Windows Server 2003 y Windows XP.

El código publicado viene a demostrar como es posible explotar este
problema en Windows de forma remota para provocar un desbordamiento de
búfer. Aunque la prueba de concepto no llega a mostrar una ejecución de
código, puede ayudar bastante para que usuarios maliciosos o creadores
de virus diseñen un programa que descargue un troyano, virus o gusanos
desde una imagen JPG.

Teniendo en cuenta este nuevo avance, es muy posible que quede poco
para la aparición de un ataque de estas características, por lo que una
vez más desde Hispasec recomendamos a todos los usuarios la instalación
de la actualización publicada en el boletín MS04-28 de Microsoft en
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-028-IT.mspx
o bien emplear Windows Update para ello.


Antonio Ropero
antonior@hispasec.com


Más información:

Exploit for Microsoft image flaw published
http://www.theinquirer.net/?article=18585

Windows XP JPEG Buffer Overflow POC
http://www.gulftech.org/downloads/?file_id=00020

Boletín de seguridad de Microsoft MS04-028
La saturación del búfer en el procesamiento de JPEG (GDI+) podría
permitir la ejecución de código
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-028-IT.mspx

Microsoft Security Bulletin MS04-028
Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

lunes, 20 de septiembre de 2004

Revelación de información sensible y subida de archivos arbitrarios en PHP 4 y 5

Se han descubierto dos vulnerabilidades en PHP que pueden ser
explotadas por usuarios maliciosos para revelar información sensible
o, potencialmente, comprometer un sistema afectado.

La primera de las vulnerabilidades afecta a las versiones de la 4.1.2
a la 5.0.1 y se debe a un problema de tamaños de variables al tratar
con las variables GET, POST y COOKIE dentro del archivo 'php_variables.c'.
Esto puede ser explotado mediante el envío de un nombre de parámetro
especialmente creado a tal efecto con un corchete abierto para ver
memoria del heap cuando ciertas funciones se usan dentro de un script.
Un ejemplo sería el siguiente: abc[a][

El segundo problema, confirmado en la versión 5.0.1 y anteriores,
se debe a un error con el que se puede sobreescribir las matrices
asociadas a $_FILES utilizando una cabecera Content-Disposition
especialmente formada a tal efecto. En combinación con escaladas
de directorios, esta vulnerabilidad podría ser explotada para subir
archivos arbitrarios y en última instancia para ejecutar código
arbitrario. Un ejemplo sería el siguiente:
Content-Disposition: form-data; name="userfile";
filename="../../../test.php"

La explotación con éxito requiere un script PHP que utilice el array
$_FILES para, por ejemplo, mover archivos descargados.

Las vulnerabilidades han sido corregidas, y se puede actualizar vía
CVS.


Julio Canto
jcanto@hispasec.com


Más información:

Bug #28456 upload php vulnerability
http://bugs.php.net/bug.php?id=28456

domingo, 19 de septiembre de 2004

Actualización para Mozilla, Firefox y Thunderbird

Se ha publicado una actualización para Mozilla, Firefox y Thunderbird
que elimina todos los problemas de seguridad conocidos en dichas
plataformas.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Su mayor
exponente es el propio Mozilla, el entorno web sobre el que se basa el
recientísimo Netscape 7.2. Pero también hay muchos otros productos que
se basan en Mozilla, tales como otros navegadores, entornos de
desarrollo, sistemas de navegación...

Firefox es el componente navegador del proyecto Mozilla, un producto
de calidad y popularidad creciente, cuya versión 1.0 oficial verá la luz
del día en muy breve. Thunderbird, por su parte, es exclusivamente el
componente de correo del proyecto Mozilla, en mi opinión preliminar
todavía, pero muy prometedor.

Tras apenas unas horas después de que las vulnerabilidades se hicieran
públicas, la comunidad Mozilla publica actualizaciones de sus productos
para resolverlas.

En concreto, la actualización de Firefox es la 1.0PR, de Thunderbid es
la 0.8, y la de Mozilla es la 1.7.3. Hispasec recomienda a todos los
usuarios de la plataforma Mozilla que actualicen con premura a dichas
versiones.

Asimismo, y fieles a sus declaraciones anteriores reflejadas en un
pasado boletín de Hispasec, la fundación Mozilla ha hecho entrega de las
primeras recompensas de 500 dólares por avisos de seguridad en sus
productos, en demostración de la importancia que la comunidad Mozilla da
a estos incidentes.

De hecho más de 400 individuos y organizaciones han contribuido con más
de 10.000 dólares en donaciones para la "Security Bug Bounty Program",
desde el dos de agosto pasado.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Mozilla
http://www.mozilla.org/

Critical Mozilla, Thunderbird Vulnerabilities
http://slashdot.org/article.pl?sid=04/09/15/1758239

14/08/2004 - Actualización para Mozilla, Firefox y Thunderbird, y
recompensas en metálico
http://www.hispasec.com/unaaldia/2120

Fixed in Firefox Preview Release, Mozilla 1.7.3, Thunderbird 0.8
http://www.mozilla.org/projects/security/known-vulnerabilities.html#mozilla1.7.3

Mozilla foundation announces first payments of security bug bounty
program, further strengthens browser security
http://www.mozilla.org/press/mozilla-2004-09-14-01.html

sábado, 18 de septiembre de 2004

Apple publica una nueva actualización de seguridad

Tras apenas 10 días desde los últimos parches, Apple publica una nueva
actualización de seguridad para su sistema operativo Mac OS X.


Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La vulnerabilidad radica en la popular aplicación de mensajería
instantánea "iChat" que, bajo ciertas circunstancias, puede permitir que
usuarios remotos ejecuten programas arbitrarios en el sistema víctima.

La actualización está disponible para las versiones 1.0.1, 2.0 y 2.1 (la
actual) de "iChat". Se recomienda a todos los usuarios Apple que
actualicen con urgencia.

Asimismo, los usuarios de Apple que hayan instalados los parches
reseñados en un boletín Hispasec previo, el pasado día 7 de Septiembre,
deben actualizar a la versión 1.1 de los mismos, que corrige múltiples
defectos de la primera versión.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apple Security Updates
http://docs.info.apple.com/article.html?artnum=61798

07/09/2004 - Importante actualización de seguridad para Mac OS X
http://www.hispasec.com/unaaldia/2144

TidBITS#746/13-Sep-04:
Security Update 2004-09-07 Potentially Problematic
http://www.tidbits.com/tb-issues/TidBITS-746.html#lnk2

viernes, 17 de septiembre de 2004

Nuevas vulnerabilidades en el kernel Linux

Las versiones actuales del kernel Linux contienen varias
vulnerabilidades que permiten tanto bloquear la máquina como, bajo
ciertas condiciones, posibilitar la ejecución de código arbitrario como
administrador o "root".

Las dos vulnerabilidades son:

* Un desbordamiento entero en el código del servidor NFS integrado en el
kernel Linux permite que un atacante malicioso remoto con acceso NFS al
servidor pueda provocar la caída del mismo o, posiblemente, la ejecución
de código arbitrario. Mientras no se disponga de una actualización
apropiada, Hispasec recomienda cerrar por cortafuegos el acceso NFS a
clientes no autorizados. Este medida profiláctica siempre es
recomendable. Otra posibilidad es desactivar el servidor NFS de Kernel y
usar un servidor a nivel de proceso de usuario. La vulnerabilidad afecta
a los kernel 2.6.* y 2.4.*.

* Un usuario local puede bloquear un sistema Linux la manipulación de
los ficheros especiales "/dev/ptmx".

En este momento no se han distribuido aún parches en código fuente
oficiales para solventar los problemas descritos, si bien algunas
distribuciones Linux, notablemente SUSE, ya han puesto a disposición del
público actualizaciones binarias para sus productos.

Los administradores de sistemas potencialmente atacables pueden
arriesgarse a instalar los kernels "2.6.9-rc2" o "2.4.28-pre3", que
solucionan los problemas detallados. No obstante Hispasec desea señalar
que se trata de versiones "beta" y su uso en servidores en producción
debe valorarse cuidadosamente.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Linux Kernel Integer Overflow in kNFSd Lets Remote Users Panic the
System
http://securitytracker.com/alerts/2004/Sep/1011138.html

(SuSE Issues Fix) Linux Kernel Integer Overflow in kNFSd Lets Remote
Users Panic the System
http://securitytracker.com/alerts/2004/Sep/1011139.html

[suse-security-announce] SUSE Security Announcement: kernel
(SUSE-SA:2004:028)
http://www.suse.de/de/security/2004_28_kernel.html

Re: SUSE Security Announcement: kernel (SUSE-SA:2004:028)
http://archives.neohapsis.com/archives/bugtraq/2004-09/0016.html

The Linux Kernel Archives
http://www.kernel.org/

jueves, 16 de septiembre de 2004

Tegam vs. Guillermito, segundo asalto

El próximo 5 de octubre se celebrará en París el juicio contra el
científico francés Guillaume T., conocido como "Guillermito", por
hacer públicas varias vulnerabilidades en un software antivirus de la
empresa Tegam Internacional, que anunciaba detectar el 100% de los
virus conocidos y desconocidos.

El origen de la acusación se encuentra en un análisis que Guillaume
publicó en su sitio web en marzo de 2002, en el cual documentaba
varias vulnerabilidades en Viguard, software antivirus de Tegam
International que anunciaba como 100% seguro contra virus conocidos
y desconocidos. En el artículo publicado, Guillaume analizaba algunos
posibles ataques contra Viguard, demostrando que no ofrecía la
protección que anunciaba, con varios ejemplos prácticos basados en
virus conocidos y otras pruebas de concepto diseñadas para la ocasión.

En un principio Tegam Internacional emprendió una agresiva campaña de
marketing, con anuncios en publicaciones donde literalmente llamaba
"terrorista informático" a "Guillermito". Acusación que cobra una
especial relevancia si tenemos en cuenta que apenas habían
transcurridos unos meses desde el 11 de septiembre. Posteriormente
emprendería acciones judiciales contra Guillaume T. por presunta
"falsificación de programas informáticos y ocultación de estos
delitos", escudándose para ello en varios artículos del código de la
propiedad intelectual y el código penal.

Más detalles sobre los preliminares del caso pueden ser consultados
en el la noticia "Juicio contra la seguridad informática y el full
disclosure" (http://www.hispasec.com/unaaldia/2034).

El juez de instrucción designó a un experto informático para analizar
los argumentos y pruebas técnicas del caso, que ha concluido en su
informe:

- que Guillaume T. desensambló, utilizó y publicó elementos y detalles
del programa informático Viguard, que excedían las modificaciones que
un simple usuario puede realizar con fines de compatibilidad para una
utilización personal, permitiendo burlar las protecciones que
anunciaba el producto.

- que Guillaume T. dispone de competencias incuestionables en materia
de virus y antivirus, y que las vulnerabilidades en Viguard
denunciadas en el informe de Guillaume son pertinentes.

Basándose en el informe del experto informático, el juez de instrucción
ha desestimado la mitad de los cargos contra Guillaume, en concreto los
relacionados con la "ocultación de delitos". Si bien se deberá celebrar
un juicio atendiendo a los cargos de "falsificación", que el juez
estima pertinentes al poder atentar contra los derechos de propiedad
intelectual de Tegam Internacional por publicar detalles del código de
Viguard sin su autorización.

En definitiva, Guillaume T. tenía razón cuando denunció las
vulnerabilidades en el producto de Viguard, demostrando que la
publicidad emitida por Tegam Internacional era falsa. Sin embargo,
el método empleado por Guillaume, que básicamente consistió en publicar
un informe técnico y ejemplos reales a modo de pruebas de concepto, son
motivo para, al menos, llevarlo a juicio.

Sin duda nos encontramos ante un juicio cuyo fallo puede marcar un
antes y un después en la investigación y publicación de
vulnerabilidades. Si Guillaume T. es condenado, se creará un precedente
en Francia que criminaliza el full disclosure (divulgación total en
materia de seguridad informática).

Nos encontraríamos en un callejón sin salida, que afectaría de lleno a
la propia seguridad informática. Si denuncias una vulnerabilidad sin
pruebas puedes ser llevado a juicio por difamación, si por el
contrario realizas un análisis técnico y publicas pruebas de concepto
te podrían acusar de falsificación.

Los derechos de unos terminan donde comienzan los de los demás, y en
este caso Tegam Internacional no debe poder escudarse en la propiedad
intelectual para tapar una publicidad falsa y esconder fallos en su
software. En juego no anda sólo la posible condena a Guillaume, sino
la seguridad de los usuarios, que no debe quedar supeditada a los
intereses comerciales de los propios desarrolladores y distribuidores.
¿Qué garantías y defensa tendrían los usuarios sin la existencia de
investigaciones independientes?

Todos los interesados quedan invitados al juicio público que tendrá
lugar el próximo 5 de octubre de 2004, a las 13:30h, en la 31 Sala /1,
Tribunal de Grande Instance de Paris, 4 Boulevard du Palais,
75100 Paris RP SP.


Bernardo Quintero
bernardo@hispasec.com


Más información:

20/05/2004 - Juicio contra la seguridad informática y el "full disclosure"
http://www.hispasec.com/unaaldia/2034

Accusé, levez-vous!
http://www.guillermito2.net/archives/2004_08_30.html

miércoles, 15 de septiembre de 2004

Actualización de seguridad de Samba

Las versiones de Samba anteriores a la 3.0.7 son susceptibles a dos
ataques remotos de denegación de servicio (DoS).

Samba es una implementación Unix "Open Source" del protocolo
SMB/NetBIOS, utilizada para la compartición de archivos e impresora en
entornos Windows. Gracias a este programa, se puede lograr que máquinas
Unix y Windows convivan amigablemente en una red local, compartiendo
recursos comunes. Incluso es factible utilizar un servidor Samba para,
por ejemplo, actuar como controlador de un dominio Microsoft Windows.

Las versiones de Samba anteriores a la 3.0.7 contienen dos
vulnerabilidades que permiten que un atacante remoto inestabilice el
servicio Samba y, también, el propio sistema servidor:

* Un bug en el código del servidor "smbd" permite que un usuario remoto,
sin necesidad de autentificarse, lance un número de instancias
ilimitado, provocando un consumo de recursos que puede ocasionar la
propia caída de la máquina servidor.

* Un bug en el código del servidor "nmbd" permite que un usuario remoto
mate el servicio, impidiendo el correcto funcionamiento del sistema
Samba.

Hispasec recomienda a todos los administradores de servidores Samba que
actualicen a la versión 3.0.7, que se acaba de publicar. Hispasec
también recomienda, como siempre, que se compruebe la firma digital del
código Samba que se vaya a instalar, para asegurar su autenticidad e
integridad.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Samba 3.0 DoS Vulnerabilities
http://www.samba.org/samba/news/#3.0_DOS_sept04

Samba 3.0.x Denial of Service Flaw
http://www.samba.org/samba/history/3.0_DOS_sept04_announce.txt

Samba 3.0.7 Available for Download
http://www.samba.org/samba/news/#3.0.7

martes, 14 de septiembre de 2004

Actualizaciones de seguridad de Microsoft de septiembre

Como viene siendo habitual todos los meses, Microsoft ha publicado hoy,
segundo martes de septiembre el conjunto de parches desarrollados desde
el pasado mes. En esta ocasión aunque solo se publican dos nuevas
actualizaciones son múltiples los sistemas y productos afectados. De
forma simultanea ha anunciado la disponibilidad para todos los usuarios
del esperado Service Pack 2 para Windows XP.

El primero de los parches anunciado y de mayor gravedad, se refiere a
una vulnerabilidad de desbordamiento de búfer en un componente que se
encarga del tratamiento de imágenes en formato JPEG. Se ven afectados
por el problema, que puede permitir la ejecución de código arbitrario
de forma remota el Framework de .NET, Office 2003 y XP, Project 2002 y
2003, Visio 2002 y 2003, Visual Studio .NET 2002 y 2003, Windows Server
2003 y Windows XP.

El segundo de los parches publicados hace referencia a una
vulnerabilidad que puede permitir la ejecución remota de código debido
a un problema en el convertidor de WordPerfect 5.x que es utilizado en
diversos productos de Microsoft, como Office y Works.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS04-028
Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

Microsoft Security Bulletin MS04-028
Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

lunes, 13 de septiembre de 2004

Jornadas Técnicas de Seguridad Informática en el Parador de Salamanca

Del 25 al 29 de octubre de 2004 se celebrarán en el Parador de
Salamanca las Jornadas Técnicas de Seguridad Informática, seminario
organizado por la Universidad Politécnica de Madrid, conjuntamente con
la empresa puntoes Formación, con 36 horas lectivas de clases
teórico/prácticas a cargo de destacados profesores y profesionales de
la seguridad informática.

Programa resumido de las jornadas:

Lunes 25 de octubre
Jornada de mañana: 09:30 - 13:30
- Módulo 1: Políticas, Gestión y Normativas en Seguridad Informática
- Profesor: D. Arturo Ribagorda Garnacho (Universidad Carlos III Madrid)
Jornada de tarde: 15:30 - 19:30
- Módulo 2: Auditoría de la Seguridad Informática y Análisis de Riesgos
- Profesor: D. Francisco Sanchis Marco (Universidad Politécnica de Madrid)

Martes 26 de octubre
Jornada de mañana: 09:30 - 13:30
- Módulo 3: Seguridad Informática y Aplicaciones Criptográficas
- Profesor: D. Jorge Ramió Aguirre (Universidad Politécnica de Madrid)
Jornada de tarde: 15:30 - 19:30
- Módulo 4: Autenticación e Infraestructuras de Clave Pública
- Profesora: Dña. Dolores de la Guía Martínez (Consejo Superior de
Investigaciones Científicas)

Miércoles 27 de octubre
Jornada de mañana: 09:30 - 13:30
- Módulo 5: Protocolos y Seguridad en Redes
- Profesor: D. Jordi Forné Muñoz (Universidad Politécnica de Catalunya)
Jornada de tarde: 15:30 - 19:30
- Módulo 6: Seguridad Internet y en el Web
- Profesor: D. Daniel Calzada del Fresno (Universidad Politécnica de Madrid)

Jueves 28 de octubre
Jornada de mañana: 09:30 - 13:30
- Módulo 7: Protección y Seguridad en Unix/Linux
- Profesor: D. Ginés Bravo García (Universidad Politécnica de Madrid)
Jornada de tarde: 15:30 - 19:30
- Módulo 8: Técnicas Forenses en Seguridad Informática
- Profesor: Luis Gómez Miralles (esCERT - Universidad Politécnica de
Catalunya)

Viernes 29 de octubre
Jornada de mañana: 09:30 - 13:30
- Módulo 9: Comercio y Negocio Electrónico
- Profesor: D. Miguel Soriano Ibáñez (Universidad Politécnica de Catalunya)
13:30 - 14:00
- Clausura y Entrega de Certificados

Para mayor información por favor consultar al teléfono 91 556 0939, Srta.
Raquel, o bien a la dirección de correo electrónico jramio@eui.upm.es.





domingo, 12 de septiembre de 2004

Desbordamiento de búfer en Squid

Se ha anunciado la existencia de una vulnerabilidad de desbordamiento
de búfer en Squid, que puede ser empleada por un atacante remoto para
provocar una denegación de servicio.

SQUID es un servidor caché/proxy (HTTP, FTP, WAIS y Gopher) de alta
capacidad y rendimiento, con código fuente abierto, muy utilizado en
entornos Unix y servidores empotrados dedicados.

Un usuario remoto puede provocar un fallo de segmentación, y la
consiguiente caída del proxy, en la función clientAbortBody() de
'client_side.c'. Según el aviso publicado el problema había sido
reportado anteriormente y corregido en la versión 2.5 sin embargo se ha
indicado que el software sigue siendo vulnerable.


Antonio Ropero
antonior@hispasec.com


Más información:

Squid Overflow in clientAbortBody() Lets Remote Users Crash the Proxy
http://www.securitytracker.com/alerts/2004/Sep/1011214.html

Bugzilla Bug 972 Crash after "likely proxy abuse error"
http://www.squid-cache.org/bugs/show_bug.cgi?id=972

sábado, 11 de septiembre de 2004

Vulnerabilidad de ejecución de código en Winzip

WinZip Computing ha anunciado un problema de seguridad en su
software Winzip v9.0 y anteriores, por el que se vería afectado por
varias vulnerabilidades.

Winzip es, seguramente, el compresor más popular en estos momentos
debido a su modo sencillo de trabajar con los archivos. Si bien su
formato original de compresión es el ZIP, permite trabajar fácilmente
con otros.

Estas vulnerabilidades podrían permitir a un atacante la ejecución
de código en la máquina de la víctima, tanto local como remotamente.
El descubrimiento ha sido detectado por el propio fabricante al
realizar una revisión del código de Winzip.

De forma adicional se ha descubierto otra vulnerabilidad que podría
permitir a un usuario local el introducir comandos de forma específica
en la línea de comandos de winzip y conseguir un desbordamiento de
buffer y la posterior ejecución de código. Este problema sería posible
de explotar por la falta de validación en los argumentos recibidos por
línea de comandos.

El fabricante recomienda la actualización inmediata a la versión 9.0
SR-1 que puede ser descargada desde la dirección:
http://www.winzip.com/upgrade.htm

Winzip ha sufrido algunos cambios estéticos relacionados con la
seguridad en esta nueva versión. Por ejemplo cuando un usuario
descomprime un archivo con extensión .EXE, recibirá un aviso en
el que se informa de la posibilidad de contener un virus.


Antonio Román
roman@hispasec.com


Más información:

WinZip 9.0 Service Release 1 (SR-1)
http://www.winzip.com/wz90sr1.htm

WinZip Unspecified Buffer Overflows May Let Remote or Local Users Execute
Arbitrary Code
http://www.securitytracker.com/alerts/2004/Sep/1011132.html

Bugtraq: WinZip Unspecified Buffer Overflows May Let Remote or Local Users
Execute Arbitrary Code
http://seclists.org/lists/bugtraq/2004/Sep/0031.html

WinZip Unspecified Buffer Overflows May Let Remote or Local Users Execute
Arbitrary Code
http://does-not-exist.org/mail-archives/bugtraq/msg04957.html

viernes, 10 de septiembre de 2004

Acceso a archivos de otros usuarios en OpenOffice

Se ha anunciado la existencia de una vulnerabilidad en OpenOffice por
la que un usuario local puede ser capaz de obtener documentos que
pertenezcan a otro usuario local.

OpenOffice es una suite de oficina, como Microsoft Office, de software
libre, gratis para todo el mundo, y que incluye software de procesador
de textos, hoja de cálculo, gráficos vectoriales, edición HTML y
presentaciones.

Según se ha publicado esta suite hace un uso inseguro de los archivos
temporales. Cuando se inicia OpenOffice se crea un directorio temporal
con permisos de lectura para todo el mundo ('/tmp/sv.tmp', RAND
es una cadena aleatoria de tres caracteres). Cuando se graba un archivo
OpenOffice, una versión comprimida (en formato zip) del mismo se graba
en el directorio temporal.

El problema reside en que como el directorio y los archivos creados
tienen permisos de acceso para todo el mundo, cualquier otro usuario
local puede acceder al directorio temporal y obtener el archivo.

Se ha publicado una corrección del problema disponible a través de CVS.
Sun también ha corregido el problema en su suite StarOffice.


Antonio Ropero
antonior@hispasec.com


Más información:

Issue 33357
www.openoffice.org/issues/show_bug.cgi?id=33357

OpenOffice World-Readable Temporary Files Disclose Files to Local Users
http://www.securitytracker.com/alerts/2004/Sep/1011205.html

jueves, 9 de septiembre de 2004

Problemas de seguridad física en la manipulación de impresoras láser

Entre 39000 y 40000 impresoras láser fabricadas por Lexmark
Internacional están siendo retiradas del mercado estadounidense debido
a un potencial peligro de electrocución.

Según la Consumer Product Safety Commission (CPSC) las impresoras
podrían tener un problema por el que se generaría un cortocircuito y en
el caso de ser manipulada el usuario podría sufrir una electrocución.
Por el momento y siempre según fuentes del CSPC no se conoce ningún
incidente relacionado con la manipulación de las impresoras afectadas.

Las impresoras afectadas por este problema son las Lexmark E230, E232,
E232t, E330, E332, E332n, y E332tn . Las distribuidas por IBM Infoprint
1412 y 1412n y las distribuidas por Dell de la serie 1700 y 1700n

Lexmark descubrió este problema en uno de sus controles de calidad
internos. En el escenario de pruebas se simulaba el uso de una
impresora tras varios años de uso y tras producirse el fallo de varios
componentes estando conectada la impresora.

Existe un compromiso por parte de los distribuidores de cambiar el
producto afectado por otro que este libre de problemas.


Dell, en su aviso informa que sus productos afectados se encuentran
entre los vendidos desde el 8 de junio al 18 de agosto y con numero de
serie comprendidos entre:

América -- J5173, F5939, N4379, N4380, P4731, H4758, K4353
Europa -- K4845, K4844, P4730, G4939, G4940
Japón y Australia -- N4383, P4732, H4756, P4728

En el caso de Lexmark, este facilita una web a sus clientes para poder
comprobar si se ven afectados por este problema. Para ello tendrá que
entrar en la dirección
http://support.lexmark.com/cgi-perl/selections.cgi?ccs=::::0:0&target=http://support.lexmark.com/cgi-perl/recall.cgi&&req=1:1:0:0:0:0
y seleccionar su continente.

IBM, comunica por web los pasos a seguir de cara a comprobar si su
impresora está afectada e igualmente los paso a seguir para su
intercambio. la dirección es:
http://www.printers.ibm.com/internet/wwsites.nsf/vwwebpublished/1412notice_ww#2

Aviso de los vendedores:

Dell: Important Safety Advisory
http://www.1700printer.com/aspx/WelcomePage.aspx

Lexmark: SAFETY RECALL NOTICE
http://support.lexmark.com/cgi-perl/recall.cgi

IBM: Important safety recall notice Infoprint 1412
http://www.printers.ibm.com/internet/wwsites.nsf/vwwebpublished/1412notice_ww


Antonio Román
roman@hispasec.com


Más información:

CPSC, Lexmark International Inc. Announce Recall of Laser Printers
http://www.cpsc.gov/cpscpub/prerel/prhtml04/04211.html

Retiradas casi 40.000 impresoras láser por riesgo de electrocución
http://www.vnunet.es/Actualidad/Noticias/Infraestructuras/Hardware/20040908027

Se retiran del mercado estadounidense casi 40.000 impresoras Lexmark
por
riesgo de electrocución
http://www.consumer.es/web/es/noticias/nuevas_tecnologias/2004/09/08/108553.php

Lexmark retira casi 40.000 impresoras que presentan un fallo de serie
http://www.idg.es/pcworld/noticia.asp?idn=37320

Retiradas casi 40.000 impresoras láser en EEUU por riesgo de
electrocución
http://www.elmundo.es/navegante/2004/09/08/empresas/1094634905.html

miércoles, 8 de septiembre de 2004

Desbordamiento de búfer en el módulo MSN de Trillian

Se ha anunciado la existencia de una vulnerabilidad de desbordamiento
de búfer en Trillian en el módulo MSN, por la que un usuario remoto
puede llegar a ejecutar código arbitrario en el cliente vulnerable.

Trillian es un programa que en los últimos tiempos ha alcanzado grandes
cuotas de usuarios al unificar en una única aplicación el acceso a
diferentes sistemas de mensajería instantánea como ICQ, MSN, AOL
Instant Messenger (AIM), Yahoo Messenger y también IRC.

Existe un desbordamiento de búfer en la edición básica de Trillian que
se reproduce en el módulo MSN cuando recibe desde un servidor MSN
messenger una cadena de 4096 bytes finalizada con un carácter de nueva
línea. Esta vulnerabilidad puede explotarse de forma remota, pero debe
de hacerse a través de un ataque de hombre en el medio.

Se ha publicado una prueba de concepto que demuestra como explotar la
vulnerabilidad. Hasta el momento no se ha publicado ninguna
actualización para solucionar el problema.


Antonio Ropero
antonior@hispasec.com


Más información:

Trillian Buffer Overflow MSN Module Lets Remote Users Execute Arbitrary
Code in Certain Cases
http://www.securitytracker.com/alerts/2004/Sep/1011186.html



martes, 7 de septiembre de 2004

Importante actualización de seguridad para Mac OS X

Apple acaba de publicar una nueva actualización de seguridad para su
sistema Mac OS X.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La actualización 2004-09-07, gratuita, ofrece correcciones de seguridad
para las versiones 10.2.8 ("Jaguar"), y las últimas 10.3.4 y 10.3.5
("Panther").

Hay que aclarar que si esta actualización se instala en un sistema
10.3.4 y posteriormente este se actualiza a la versión 10.3.5, deberá
instalarse de nuevo en los sistemas actualizados.

Se solucionan los siguientes problemas:

* Se ha actualizado el componente Apache a la versión 2.0.50, que
corrige diversos problemas de denegación de servicio y que se incluye
con Mac OS X Server.

* Programas con determinados privilegios que usen CoreFoundation pueden
ser empleados para cargar ejecutables de forma automática.

* Una variable de entorno puede ser manipulada para provocar un
desbordamiento de búfer que puede ser empleado para conseguir una
elevación de privilegios.

* Cuando se usan certificados, servidores no autenticados pueden llegar
a negociar una conexión IPSec.

* Múltiples desbordamientos de búfer en krb5_aname_to_localname de
Kerberos 5 (krb5) 1.3.3 que pueden ser utilizados por atacantes remotos
para lograr la ejecución de código arbitrario.

* Una condición de carrera en el servicio FTP puede ser utilizada por
un usuario remoto autenticado para provocar una denegación de servicio
o incluso lograr la ejecución de código arbitrario.

* Se ha corregido un problema en el componente OpenLDAP, por el que una
contraseña cifrada podía ser usada como si fuera una contraseña en
texto plano.

* Un servidor ssh/scp malicioso podía llegar a sobreescribir archivos
locales.

* El componente PPPDialer grababa los archivos de registro en un
espacio con permisos de escritura para todos los usuarios, esto podía
ser empleado por un usuario malicioso para sobreescribir archivos y
lograr una elevación de privilegios.

* Denegación de servicio en QuickTime Streaming Server.

* El navegador de Apple, Safari, se veía afectado por una denegación de
servicio al emplear un array en JavaScript de tamaño negativo. Otro
problema, permitía a un sitio web no confiable inyectar contenido en un
frame empleado por otro dominio.

* SquirrelMail anterior a 1.4.3 RC1 permite a atacantes remotos la
ejecución de expresiones SQL no autorizadas.

* Paquetes tcp maliciosamente creados podían provocar la caída de
tcpdump.

Hispasec recomienda a todos los usuarios Apple que instalen estas
actualizaciones, que pueden descargarse desde las siguientes direcciones:

Para Mac OS X 10.2.8 Server
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty1.pl/product=04716&platform=osx&method=sa/SecUpdSrvr2004-09-07Jag.dmg

Para Mac OS X 10.3.4 Server
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty1.pl/product=04713&platform=osx&method=sa/SecUpdSrvr2004-09-07PanL.dmg

Para Mac OS X 10.3.5 Server
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty1.pl/product=04714&platform=osx&method=sa/SecUpdSrvr2004-09-07PanM.dmg

Para Mac OS X 10.2.8
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty1.pl/product=04717&platform=osx&method=sa/SecUpd2004-09-07JagClient.dmg

Para Mac OS X 10.3.4
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty1.pl/product=04712&platform=osx&method=sa/SecUpd2004-09-07PanClient.dmg

Para Mac OS X 10.3.5
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty1.pl/product=04715&platform=osx&method=sa/SecUpd2004-09-07PanMClient.dmg


Antonio Ropero
antonior@hispasec.com


Más información:

Security Update 2004-09-07
http://docs.info.apple.com/article.html?artnum=61798

APPLE-SA-2004-09-07 Security Update 2004-09-07
http://www.securityfocus.com/advisories/7148

http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty1.pl/product=04713&platform=osx&method=sa/SecUpdSrvr2004-09-07PanL.dmg

lunes, 6 de septiembre de 2004

Múltiples vulnerabilidades en MIT Kerberos V5

Se han descubierto múltiples vulnerabilidades en kerberos V5 que
podrían ser explotadas para provocar denegaciones de servicio o
incluso comprometer un sistema vulnerable.

Kerberos es un protocolo de autentificación que permite centralizar
en un servidor la gestión de accesos a toda una red de grandes
proporciones. Básicamente, un cliente se autentifica ante el
servidor de autentificación, y éste le proporciona "tickets" para
que pueda acceder a los servicios de red como impresoras o discos
compartidos.

Se han detectado varios errores de liberación doble de memoria en
el código de limpieza del KDC (Key Distribution Center) y en librerías
cliente. El problema se produce al liberar la memoria heap de forma
insegura, lo que puede provocar que se libere el mismo espacio dos
veces y permitir a un usuario sin autenticar ejecutar código en un
sistema afectado. Esta vulnerabilidad afecta a la versión 1.3.4 y
anteriores.

También existen errores de liberación doble en la función 'krb5_rd_cred()'
que de igual forma permitirían la ejecución de código en un sistema
vulnerable. Esto puede ser explotado usando los servicios que usan
dicha función, como krshd, klogind y telnetd. Esta vulnerabilidad
afecta a la versión 1.3.1 y anteriores.

Otro error de doble liberación en krb524d puede permitir la ejecución
de código arbitrario, y afecta a las versiones de la 1.2.8 a la 1.3.4.

Por último, un error en el decodificador de ASN.1 puede ser explotado
por usuarios sin autentificar para provocar una denegación de servicio
al hacer que entren en un bucle sin fin al utilizar una codificación
BER especialmente construida a tal efecto. Esta vulnerabilidad afecta
a las versiones de la 1.2.2 a la 1.3.4.

Se recomienda actualizar a la versión 1.3.5 cuando esté disponible en
la siguiente dirección:
http://web.mit.edu/kerberos/dist/index.html


Julio Canto
jcanto@hispasec.com


Más información:

Vulnerabilities in MIT Kerberos 5
http://www.us-cert.gov/cas/techalerts/TA04-247A.html

domingo, 5 de septiembre de 2004

Denegación de servicio en WS_FTP 5.0.2

Se ha descubierto una vulnerabilidad en WS_FTP Server que podría ser
explotada por usuarios maliciosos para provocar una denegación de
servicio.

WS_FTP es uno de los servidores FTP más conocidos del mercado debido
en parte por su facilidad de uso y por su interfaz amigable.

Un problema en el procesamiento de direcciones de archivos, puede ser
explotado por un atacante para provocar que el consumo de recursos de
la CPU se eleve hasta el punto de causar una denegación del servicio en la
máquina atacada. Para ello tendrá que enviar un comando continuado
de una cadena de caracteres especialmente mal construida, con lo que
conseguirá un bucle infinito que conseguirá hacer caer el servidor.

Para que el atacante pueda conseguir su objetivo ha necesitado
autenticarse previamente ante el servidor. Si el servidor tiene el
acceso anónimo habilitado facilitará notablemente la posibilidad de
ataque. Es por ello que como medida preventiva se recomiende el
restringir este tipo de accesos mientras sale un parche que evite este
problema

Exploit:

E:\>ftp localhost
Connected to ibm.
220-ibm X2 WS_FTP Server 5.0.2.EVAL (106633167)
220-Fri Aug 27 14:12:19 2004
220-29 days remaining on evaluation.
220 ibm X2 WS_FTP Server 5.0.2.EVAL (106633167)
User (ibm:(none)): ftp
331 Password required
Password:
230 user logged in
ftp> cd a../a
Connection closed by remote host.


Antonio Román
roman@hispasec.com


Más información:

WS_FTP Server Denial of Service Vulnerability
http://www.webhostingtalk.nl/showthread/t-56462.html

WS_FTP Server's Directory Traversal Protection Mechanism causing DoS
http://www.securiteam.com/windowsntfocus/5IP0V0ADPC.html

sábado, 4 de septiembre de 2004

Crítica de libro: The Tao of Network Security Management

Un completo libro sobre la monitorización de la seguridad de
redes, basado en la utilización de herramientas de código abierto
y software libre.

"The Tao of Network Security Management" es un libro de
referencia sobre un aspecto muy importante para la seguridad de
las redes de ordenadores: la monitorización y conocimiento del
estado de la seguridad como herramienta fundamental para la
rápida detección y respuesta ante cualquier incidencia de
seguridad.

Se encuentra dividido en cinco partes claramente diferenciadas y
a las que se dedica el nivel de desarrollo adecuado. Es de
destacar que, a diferencia de muchos libros de seguridad
informática que han aparecido en los últimos meses, en "The Tao
of Network Security Management" el autor no pierde el tiempo
mostrando las pantallas de instalación de los productos. Asume
que el lector dispone de los suficientes conocimientos técnicos
como para realizar por él mismo la instalación.

En la primera parte, se realiza una introducción a la gestión de
la seguridad de las redes. Empieza con una descripción del modelo
de gestión de la seguridad y una discusión sobre la importancia
de la monitorización de la seguridad. Pero el autor dedica casi
la mitad de esta primera parte a cuestiones de mayor interés para
el lector potencial: una completa discusión acerca de la
ubicación de los sensores de monitorización y las consideraciones
técnicas a tener en cuenta.

La segunda parte describe las herramientas utilizadas para la
monitorización de las redes. Sniffers (tcpdump, Ethereal, Snort),
herramientas de análisis de los datos capturados; captura y
análisis de sesiones; obtención de datos estadísticos.

Un espacio considerable de esta parte se dedica a una herramienta
en particular: Sguil, una consola para la monitorización de la
seguridad que reúne bajo una única pantalla la información
obtenida del resto de herramientas desplegadas para la
monitorización de la seguridad.

La tercera parte se centra en el proceso de monitorización de la
seguridad de la red. El autor comparte su amplia experiencia en
el campo con numerosos ejemplos y consejos, así como
recomendaciones de cómo plantear los retos a los que se encuentra
el analista de la seguridad.

Dentro de esta parte también existe un apartado sobre la gestión
de la monitorización de la seguridad, es decir las
consideraciones a tener en cuenta por parte de las organizaciones
empresariales.

Como continuación de este último apartado, en la cuarta parte del
libro se detallan las capacidades y requisitos para los
profesionales que trabajan en los equipos de monitorización de la
seguridad y sus necesidades específicas de formación.

En la quinta parte del libro se discute como los atacantes de las
redes se las ingenian para saltarse los mecanismos de
monitorización de forma que su actividad pase inadvertida. Esto
se hace en el convencimiento que conocer como actúa el enemigo es
un elemento imprescindible para planear las defensas y conocer a
lo que nos enfrentamos.

Es de destacar, por último, la página web del libro,
http://www.taosecurity.com y el weblog del autor,
http://taosecurity.blogspot.com/, perfectos complementos online a
la información contenida en el libro.

Detalles:

Título: "The Tao of Network Security Monitoring. Beyond Intrusion Detection"
Autor: Richard Bejtlich
Editorial Addison Wesley
798 páginas, 1 edición (Julio 2004)
ISBN 0-321-24677-2


Xavier Caballé
xavi@hispasec.com


Más información:

The Tao of Network Security Monitoring
http://www.taosecurity.com

Web del editor, con la tabla de contenido y un capítulo de ejemplo
http://www.awprofessional.com/title/0321246772

Llibre: "The Tao of Network Security Monitoring"
http://www.quands.info/2004/09/03.html

viernes, 3 de septiembre de 2004

Nuevo concurso de seguridad de Honeynet Project

Honeynet Project (http://www.honeynet.org) ha publicado un nuevo
concurso de seguridad, Scan of the Month (SotM), el número 32
(Septiembre 2004), en esta ocasión sobre análisis de malware.

El propósito del desafío de este mes es el análisis mediante
ingeniería inversa de un nuevo espécimen de malware, software
malicioso, llamado "RaDa". El objetivo principal del concurso es
aprender de la comunidad los métodos, herramientas y procedimientos
empleados para su análisis.

Es posible participar (enviando la solución en inglés) hasta el
viernes 1 de Octubre de 2004. Los tres mejores ganarán una copia del
libro de Ed Skoudis, "Malware: Fighting Malicious Code", firmada por
el autor.

El desafío de este mes está liderado por Jorge Ortiz, David Perez, y
Raul Siles, de HP España.

Los detalles están disponibles en:
http://www.honeynet.org/scans/scan32/





jueves, 2 de septiembre de 2004

Oracle comienza a distribuir sus parches de forma mensual

En un movimiento similar al que mantiene en la actualidad Microsoft,
Oracle anuncia que distribuirá las actualizaciones de sus productos de
forma mensual.

Oracle publicará parches mensuales para sus productos de bases de
datos, servidor de aplicaciones y Enterprise Manager. Hasta el momento,
Oracle ha publicado las actualizaciones en el momento en que era
necesario. Pero ahora cambia esta política, ya que según la compañía un
solo parche que englobe múltiples correcciones, con una agenda
previamente determinada, cumple mucho mejor las necesidades de los
clientes.

Esta nueva política y los argumentos son exactamente los mismos que los
que Microsoft estableció a finales del año pasado y que, en lo que a
marketing se refiere, le está dando buenos resultados. El argumento de
que al publicar una única actualización mensual, permite a los
administradores planificar las actualizaciones, ya fue rebatido
duramente por nuestros lectores, ya que son las empresas las que
planifican sus propias políticas de actualizaciones y que éstas no
deben estar condicionadas por terceras empresas.

El problema va mucho más lejos, en los últimos días la compañía había
recibido fuertes críticas al darse a conocer que durante más de 8 meses
existían hasta 34 vulnerabilidades reconocidas por la propia compañía y
para las que incluso ya disponía de las correspondientes
actualizaciones. Sin embargo, sin una causa razonable seguían
retrasando de forma intencionada los parches necesarios para evitar
problemas tan graves como desbordamientos de búfer explotables
remotamente o acceso no autorizado a las bases de datos mediante
técnicas de inyección.

Con fecha 31 de agosto, Oracle ha publicado el primero de sus
super-parches, eso sí, sin dar ningún tipo de detalles sobre el número
y tipo de los problemas corregidos, su gravedad, implicaciones, etc.
Tan solo avisa de la publicación de una actualización para nueve de sus
productos (incluyendo Oracle Database, Oracle Enterprise Manager Grid
Control, Oracle Enterprise Manager Database Control y Oracle
Application Server), los usuarios deberán creer en la importancia de
este parche e instalarlo. Posiblemente todo responda a una operación de
marketing, no debe ser fácil para una compañía que publicita sus
productos como "irrompibles" ("unbreakable") reconocer públicamente que
tiene 34 fallos y que permiten el control total de los sistemas
afectados.

Tras esta nueva política de actualizaciones de Oracle, no podemos ver
ningún beneficio para la comunidad, siempre nos hemos mostrado
totalmente contrarios a la seguridad por oscuridad. Que una
vulnerabilidad no se publique, no quiere decir que no existan ataques
basadas en ellas que estén pasando desapercibidos. El sistema debe ser
seguro por diseño, no porque no se publiquen o se oculten sus fallos.
No a la seguridad por oscuridad.

Lamentablemente solo podemos pensar que todo es una nueva maniobra de
marketing para tratar de ocultar que Oracle se ve afectado por
problemas de seguridad (al igual que la mayoría del software).
Evidentemente no es lo mismo publicar un único parche global para todos
los productos al mes, que publicar un número indeterminado a lo largo
del mes. Si se publican muchos parches la repercusión mediática es
mayor y a los usuarios les queda la sensación de un producto inseguro,
con frecuentes vulnerabilidades. Con solo publicar un parche global al
mes, sin indicar incluso el número de problemas corregidos, a los
usuarios les queda la impresión de que solo existe un fallo, nada más
lejos de la realidad.


Antonio Ropero
antonior@hispasec.com


Más información:

Oracle switches to monthly patch as hackers target enterprise apps
http://www.microscope.co.uk/articles/article.asp?liArticleID=132935&liArticleTypeID=20&liCategoryID=2&liChannelID=22&liFlavourID=2&sSearch=&nPage=1

Oracle's Silence on Database Security Wearing
http://www.eweek.com/article2/0,1759,1637213,00.asp

Oracle Still Sitting on Database-Security Patches
http://www.eweek.com/article2/0,1759,1637004,00.asp

Alert #68: Oracle Security Update
http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf

miércoles, 1 de septiembre de 2004

Nueva variante de Bagle

En la madrugada de hoy, 1 de septiembre, se ha detectado el envío
masivo, a modo de spam, de una nueva variante de Bagle. Aunque en unas
primeras horas se ha detectado una incidencia significativa, hay
diversos factores que apuntan a la progresiva y veloz desaparición
del mismo.

Reacciones antivirus

Las siguientes soluciones antivirus destacan por detectar a ésta
nueva variante bien por heurística o firma genérica:

McAfee :: W32/Bagle.dll.dr
Symantec :: Download.Ject.C
Norman :: W32/Malware
Panda :: Fichero sospechoso

Panda también ha distribuido una firma específica a las 10:33:51
del 01.09.2004 con la denominación "W32/Bagle.AV.worm".

Norman y Panda eran capaces de detectarlo incluso meses antes de la
aparición del gusano, McAfee desde el 11.08.2004, y Symantec desde
el 29.08.2004. En cualquier caso todas estas soluciones detectaban
a la variante antes de su aparición, de forma que sus usuarios
estaban protegidos en el momento que comenzó su propagación.

El resto de antivirus se actualizaron con firmas específicas en
los siguientes tiempos (hora de España):

F-Prot 01.09.2004 00:34:31 :: W32/Newstuff.06
ClamWin 01.09.2004 00:59:47 :: Trojan.Dropper.Small-11
Kaspersky 01.09.2004 02:01:25 :: Exploit.CodeBaseExec
Nod32v2 01.09.2004 02:06:29 :: Exploit/CodeBaseExec
Sophos 01.09.2004 04:39:27 :: Troj/BagleDl-A
BitDefender 01.09.2004 08:54:22 :: Trojan.Dropper.Small.KV

Estos datos son obtenidos por VirusTotal (http://www.virustotal.com)
Agradecemos a los usuarios las muestras de este espécimen enviadas
a VirusTotal, que permitieron una detección temprana del mismo.


Descripción del espécimen

El sistema de propagación de esta nueva variante de Bagle es por si
mismo su propio talón de Aquiles. En primer lugar han distribuido de
forma masiva, con técnicas de spam (no se replicaba por si mismo), un
ZIP que contenía en su interior un archivo .HTML y un ejecutable .EXE.

El primer mensaje que llegó al laboratorio de Hispasec tenía las
siguientes características:

Remite: [falso]
Asunto: foto
Cuerpo: foto
Adjunto: fotos.zip

En el archivo fotos.zip, de aproximadamente 4,5KB, podíamos encontrar
un foto.htm de 111 bytes y un calc.exe de 12.800 bytes. Hemos recibido
otros mensajes con algunas diferencias en los textos y nombres de
archivo utilizados, aunque coinciden en utilizar un archivo ZIP
conteniendo tanto el HTML como el EXE.

El archivo HTML contiene un script que ejecuta el EXE, éste se copia
como doriot.exe en la carpeta de sistema de Windows, donde escribe
además un segundo ejecutable gdqfw.exe. Como suele ser habitual en
estos casos, añade también unas entradas en el registro de Windows
en las claves RUN para asegurarse su ejecución en cada inicio de
sistema.

El ejecutable instalado en el sistema no es un gusano (no se propaga
por si mismo), sino una especie de troyano que tiene como misión
finalizar la ejecución de varios procesos de antivirus que pudieran
estar activos en el sistema y desactivar el firewall de Windows, para
evitar así ser detectado, además de intentar descargar lo que podría
ser nuevos componentes del gusano teniendo como fuente 131 sitios
webs de Internet.

El talón de Aquiles viene por este sistema de descarga de componentes,
ya que en este momento no está disponible el archivo que intenta
descargar de los diferentes sitios webs, por lo que no se ha podido
llevar a cabo una hipotética segunda fase como gusano. Por
contra, prácticamente todos los antivirus ya lo detectan y es posible
la desinfección de los equipos que se hayan infectado.

Aun en el hipotético caso de que aparecieran en las próximas horas
nuevos componentes en alguna de las webs que chequea el troyano, es
de esperar una rápida reacción por parte de las casas antivirus ya
que poseen las URLs extraídas del código y pueden detectar de
inmediato su disponibilidad.


Bernardo Quintero
bernardo@hispasec.com