domingo, 31 de octubre de 2004

Vulnerabilidades críticas en QuickTime 6.x

Dos desbordamientos de buffer en QuickTime permiten a un atacante
remoto ejecutar código arbitrario. Se recomienda a todos los usuarios
de QuickTime, tanto de plataforma Windows como Mac OS X, actualicen
a la nueva versión 6.5.2.

La primera de las vulnerabilidades puede ser explotada desde un
documento HTML a través de un desbordamiento de entero. Este
problema sólo afecta a la plataforma Windows.

La segunda de las vulnerabilidades tiene su origen en un
desbordamiento de buffer que se ha detectado en el módulo que procesa
las imágenes BMP. En este caso se encuentran afectadas tanto las
versiones de QuickTime para Windows como Mac OS X.

Las vulnerabilidades se consideran críticas, ya que existe la
posibilidad de que un atacante las explote para ejecutar código
arbitrario, pudiendo obtener el control total sobre el sistema,

Se recomienda a todos los usuarios afectados actualicen a la versión
QuickTime 6.5.2 que corrige ambas vulnerabilidades, disponible en
http://www.apple.com/support/downloads/quicktime652.html


Bernardo Quintero
bernardo@hispasec.com


Más información:

APPLE-SA-2004-10-27 QuickTime 6.5.2
http://lists.apple.com/archives/security-announce/2004/Oct/msg00001.htmlAPPLE-SA-2004-10-27

sábado, 30 de octubre de 2004

Reacción antivirus a la avalancha de variantes de Bagle

Nuevas versiones del gusano Bagle han hecho aparición, casi en
paralelo, en las últimas horas. Aunque a lo largo del día se han
sucedido picos muy importantes en su distribución, lo que ha suscitado
las alertas, los últimos datos apuntan a una desaceleración clara en
su propagación.

A continuación los tiempos de reacción antivirus frente a las dos
últimas variantes de Bagle más destacadas por su propagación.

En el caso de la primera variante resaltar en primer lugar las
soluciones que detectaban a los gusanos antes de que comenzara su
propagación, bien por heurística o firmas genéricas para Bagle:

NOD32 probably unknown NewHeur_PE
BitDefender Win32.Bagle.10.Gen@mm
F-Prot could be infected with an unknown virus

En cuanto a los tiempos de reacción de las diferentes soluciones en
proporcionar las firmas específicas:

Kaspersky 29.10.2004 09:17:48 :: I-Worm.Bagle.at
NOD32 29.10.2004 09:33:56 :: Win32/Bagle.AS
ClamAV 29.10.2004 09:36:51 :: Worm.Bagle.AT
Panda 29.10.2004 10:08:30 :: W32/Bagle.BC.worm
Norman 29.10.2004 10:35:27 :: Bagle.AQ@mm
BitDefender 29.10.2004 10:39:17 :: Win32.Bagle.AX@mm
TrendMicro 29.10.2004 11:41:04 :: WORM_BAGLE.AT
F-Prot 29.10.2004 11:59:53 :: W32/Bagle.AP@mm
Sophos 29.10.2004 12:37:07 :: W32/Bagle-AU
McAfee 29.10.2004 12:57:16 :: W32/Bagle.bb@MM
Symantec 29.10.2004 14:34:14 :: W32.Beagle.AV@mm
InoculateIT 29.10.2004 15:26:01 :: Win32/Bagle.AQ.Worm

La segunda variante también fue detectada de forma proactiva por
NOD32 y BitDefender:

NOD32 probably unknown NewHeur_PE
BitDefender Win32.Bagle.10.Gen@mm

Los tiempos de reacción en proporcionar las firmas específicas:

BitDefender 29.10.2004 10:39:17 :: Win32.Bagle.AX@mm
Kaspersky 29.10.2004 12:06:17 :: I-Worm.Bagle.au
NOD32 29.10.2004 12:10:40 :: Win32/Bagle.AU
Panda 29.10.2004 12:11:24 :: W32/Bagle.BE.worm
ClamAV 29.10.2004 12:30:46 :: Worm.Bagle.AX
Sophos 29.10.2004 12:37:07 :: W32/Bagle-AU
F-Prot 29.10.2004 12:51:49 :: W32/Bagle.AQ@mm
Symantec 29.10.2004 14:34:14 :: W32.Beagle.AW@mm
Norman 29.10.2004 15:21:40 :: Bagle.AR@mm
InoculateIT 29.10.2004 15:26:01 :: Win32/Bagle.AQ.Worm
McAfee 29.10.2004 18:11:31 :: W32/Bagle.bd@MM
TrendMicro 29.10.2004 19:33:12 :: WORM_BAGLE.AU

En este último caso, hay que mencionar que ClamAV, que inicialmente
detectaba las muestras como Worm.Bagle.X, cambió su denominación a
Worm.Bagle.U a las 14:42:29.

Los tiempos proporcionados son hora de España.

Existen tecnologías antivirus, no basadas en el análisis de código y
búsqueda de patrones, que no están reflejadas en estos listados,
como es el caso de TruPrevent de Panda, que también afirman detectar
estas variantes de forma proactiva. Aunque en el laboratorio de
Hispasec estamos trabajando para poder incluir estas tecnologías en
nuestros análisis, aun no podemos ofrecer datos al respecto.


Bernardo Quintero
bernardo@hispasec.com



viernes, 29 de octubre de 2004

Múltiples vulnerabilidades en servidor Quake II

Varias vulnerabilidades descubiertas en el motor de Quake II permiten
a un atacante remoto causar denegación de servicio, revelar
información sensible, suplantar y desconectar a otros jugadores o,
potencialmente, ejecutar código arbitrario en el servidor.

Quake II es un juego multiusuario con cerca de 750 servidores públicos
en Internet, en cuyo motor se basan otros juegos como Anachronox,
Daikatana, Heretic II, Kingpin: Life of Crime, Soldier of Fortune o
Sin.

Han sido publicadas ocho vulnerabilidades en la versión 3.2x de la
distribución Open Source de Quake II, cuyos detalles pueden
consultarse en el aviso original, disponible en la dirección
http://secur1ty.net/advisories/001-Multiple_Vulnerabilites_In_Quake_II_Server.txt

Se recomienda a todos los administradores de servidores Quake II
instalen una actualización para corregir las vulnerabilidades
publicadas, como es el caso de la distribución R1Q2, disponible en
la dirección http://www.r1ch.net/stuff/r1q2/


Bernardo Quintero
bernardo@hispasec.com


Más información:

Multiple Vulnerabilites in Quake II Server
http://secur1ty.net/advisories/001-Multiple_Vulnerabilites_In_Quake_II_Server.txt

R1Q2 - R1CHs Hacked Quake II Client/Server
http://www.r1ch.net/stuff/r1q2/


jueves, 28 de octubre de 2004

Intrusión en el servidor de descargas de PostNuke

Un atacante no identificado ha conseguido insertar una versión alterada
y maliciosa de PostNuke en el servidor de descarga de dicho producto.

PostNuke es un "fork" del proyecto PHPNuke, un conocido y popular
gestor de contenidos/portal Open Source.

Los administradores detectaron la modificación del fichero de descarga
el pasado lunes por la noche, hora española, y desactivaron el sistema
de descarga de forma proactiva mientras se realizaba el análisis de la
situación.

Se determinó que el atacante había cargado el fichero alterado la noche
del domingo, aprovechando una vulnerabilidad en el propio servidor de
descargas (no en el código de PostNuke). La versión alterada recopila
los datos de instalación y los envía a un servidor seleccionado, donde
el atacante puede revisarlos a discreción.

Por tanto, todos aquellos administradores que hayan descargado PostNuke
entre las 23:50 GMT del domingo (la hora local en España peninsular
serían las 01:50 de la madrugada del lunes) y las 08:30 GMT del martes
deberían verificar la integridad y autenticidad de su instalación y, en
caso necesario o en caso de duda, proceder a realizar una nueva
descarga.

Como siempre, Hispasec insiste en la conveniencia de verificar
criptográficamente la integridad y autenticidad de los ficheros
descargados por Internet, sobre todo si se realizan desde servidores
espejo o no oficiales. La forma más segura es verificar la firma digital
de los ficheros. Si ello no es posible, debe verificarse el "hash"
criptográfico de los mismos, comparándolo con versiones almacenadas,
presumiblemente, en otro servidor diferente.

Los "hashes" criptográficos oficiales de los ficheros son:

PostNuke .750 Gold (.zip)
Hash MD5: c8a31c50a41ef7d6aa77a5ee850388cd
Hash SHA1: 7dec34531f886777b8c21a8a9111bf3e4cf374bc

PostNuke .750 Gold (tar.gz)
Hash MD5: 237975777086466ced38e55321981274
Hash SHA1: 2f2823259293cbbea757000bb1fcd19ca31472f0


Jesús Cea Avión
jcea@hispasec.com


Más información:

PostNuke open source CMS attacked
http://software.newsforge.com/article.pl?sid=04/10/26/1356232

Security : Announcements: Downloads on PostNuke.com Target of Hacker:
Immediate Action Required if You've Downloaded PostNuke in the Past
Three Days
http://news.postnuke.com/modules.php?op=modload&name=News&file=article&sid=2644

PostNuke Open Source CMS Attacked
http://it.slashdot.org/article.pl?sid=04/10/26/169200

PostNuke
http://www.postnuke.com/

miércoles, 27 de octubre de 2004

Actualización para RealPlayer y RealOne Player

RealNetworks ha publicado una actualización que corrige una vulnerabilidad
crítica de sus reproductores para plataforma Windows, cuya explotación
permitiría a un atacante ejecutar código arbitrario.

La vulnerabilidad tiene su origen en un desbordamiento de buffer en la
biblioteca DUNZIP32.DLL, encargada de procesar el formato de compresión
ZIP. Idéntico problema afectó a Windows, tal y como comentamos hace unos
días en http://www.hispasec.com/unaaldia/2185

RealPlayer utiliza la DLL afectada para descomprimir los archivos skin,
de forma que un atacante podría construir uno que explotara el problema
y ejecutar código arbitrario en los sistemas que intentaran abrirlo con
alguna versión de RealPlayer vulnerable.

Los productos afectados son:

RealPlayer 10.5 (6.0.12.1053)
RealPlayer 10.5 (6.0.12.1040)
RealPlayer 10.5 Beta (6.0.12.1016)
RealPlayer 10
RealOne Player v2
RealOne Player v1

No se encuentran afectadas las versiones para Linux, Mac o Palm.

Los usuarios pueden comprobar su versión de producto desde el menú
Help -> About (Ayuda, Acerca de). El parche puede ser descargado
e instalado de forma automática desde la opción de actualización
del menú herramientas.


Bernardo Quintero
bernardo@hispasec.com


Más información:

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities
http://www.service.real.com/help/faq/security/041026_player/EN/

17/10/2004 - Vulnerabilidad en el soporte de archivos .ZIP de Windows
http://www.hispasec.com/unaaldia/2185

martes, 26 de octubre de 2004

Varias vulnerabilidades en Gaim

Se ha conocido la existencia de diversos problemas de seguridad en el cliente de mensajería Gaim por los que un atacante podría llegar a ocasionar desde una denegación de servicio hasta un desbordamiento de buffer y la posterior ejecución de código.
Gaim es un programa de mensajería interpersonal, similar a Messenger.
En concreto Gaim permite compatibilizar amistades de usuarios de AIM,
ICQ, Yahoo, MSN, IRC, Jabber, Zephyr, y Gadu-Gadu todo a la vez.

Uno de los defectos se localiza en "'src/protocols/msn/slplink.c"
donde una llamada de memcpy() se realiza sin validar el tamaño del
buffer. Si un atacante enviara una secuencia de peticiones de
mensajes MSNSLP, ocasionaría el desbordamiento de buffer.

También se ha anunciado la existencia de otro problema en el módulo
encargado de procesar los mensajes MSNSLP. Si un usuario malicioso
envía un mensaje con un valor invalido en su cabecera puede
conseguir la caída del cliente (ataque de denegación de servicio).

Existe una solución que corrige estos problemas y que puede bajarse
en:
http://gaim.sourceforge.net/downloads.php


Antonio Román
roman@hispasec.com


Más información:

Gaim MSNSLP Buffer Overflow May Let Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2004/Oct/1011793.html

MSN File transfer DOS (malloc error)
http://gaim.sourceforge.net/security/?id=7

MSN SLP DOS (malloc error)
http://gaim.sourceforge.net/security/?id=8

MSN SLP buffer overflow
http://gaim.sourceforge.net/security/?id=9

(Red Hat Issues Fix) Gaim MSNSLP Buffer Overflow May Let Remote Users
Execute Arbitrary Code
http://www.securitytracker.com/alerts/2004/Oct/1011818.html

(Vendor Issues Fix) Gaim MSNSLP Buffer Overflow May Let Remote Users Execute
Arbitrary Code
http://www.securitytracker.com/alerts/2004/Oct/1011849.html

lunes, 25 de octubre de 2004

Actualización Apache 1.3.* y mod_ssl

La fundación Apache ha publicado una actualización de seguridad de la
serie 1.3 de su popular servidor web.

Apache es el servidor web más popular del mundo, disponible en
código fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.
En Septiembre de 2004, Apache era la elección de casi el 68% de los
servidores web de Internet.

Las versiones no actualizadas de la serie 1.3 de Apache permiten que un
atacante remoto pueda matar procesos Apache y, bajo ciertas
circunstancias, ejecutar código arbitrario en el servidor.

El problema radica en un desbordamiento de búfer en el módulo
"proxy_util.c", en concreto en la gestión de valores negativos en la
cabecera HTTP "Content-Length". Todas las instalaciones Apache 1.3.* que
utilicen el módulo "mod_proxy" son susceptibles de ataque, si acceden a
servidores no confiables.

Se recomienda a todos los administradores de servidores Apache 1.3.* que
actualicen con urgencia a la versión 1.3.32.

Por otra parte, se ha publicado también la versión 2.8.21 del módulo
"mod_ssl", que soluciona diversos problemas de seguridad y es la versión
a emplear con Apache 1.3.32. El módulo "mod_ssl" amplía las capacidades
del servidor Apache 1.3.* tradicional para soportar también conexiones
SSL/TLS.


Jesús Cea Avión
jcea@hispasec.com


Más información:

http://httpd.apache.org/
The Apache HTTP Server Project

Heap-based buffer overflow in proxy_util.c for mod_proxy in Apache
1.3.25 to 1.3.31 allows remote attackers to cause a denial of service
(process crash) and possibly execute arbitrary code via a negative
Content-Length HTTP header field, which causes a large amount of data to
be copied.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0492

Apache HTTP Server 1.3.32 Released
http://www.apache.org/dist/httpd/Announcement.html

Changes with Apache 1.3.32
http://www.apache.org/dist/httpd/CHANGES_1.3

MOD_SSL
http://www.modssl.org/

domingo, 24 de octubre de 2004

Informe: comparando la seguridad de Windows y Linux

La publicación inglesa "The Register" publica un informe donde se
analiza el modelo de seguridad utilizado por Windows y Linux,
intentando determinar las diferencias entre ambos. Se trata de un
intento de sistematizar los puntos fuertes y débiles de cada
entorno y, con esta información, intentar extraer unas
conclusiones.

Una discusión recurrente en los últimos meses trata sobre que es
más seguro, si el software propietario o el software de código
abierto. Los defensores del primero defienden que la
disponibilidad del código fuente abre la posibilidad que los
atacantes descubran nuevas vulnerabilidades. Por su parte, los
defensores del software de código abierto afirman que justamente
la disponibilidad del código es la mejor receta para evitar los
problemas de seguridad.

Se trata de una discusión en la que habitualmente se suelen
utilizar, por ambos lados, argumentos que huyen de los datos
empíricos y demostrables. Generalmente se utilizan
argumentaciones de carácter sentimental y apreciaciones
subjetivas, que poco ayudan a mantener un debate sosegado y
que realmente permita extraer conclusiones.

El informe, "Security Report: Windows vs Linux" empieza con
el análisis de tres mitos frecuentemente utilizados en cualquier
discusión donde se compara la seguridad de Windows y Linux.

El primer mito es que Windows es objeto de más ataques y es
víctima de la acción de más virus y gusanos debido a su posición
dominante en el mercado. Dado que Windows es la plataforma
dominante, los autores de ataques y virus tienen preferencia por
esta plataforma. El informe rebate este mito a partir de dos
datos empíricos: Linux es una plataforma muy popular a nivel de
servidor Web y los datos recogidos por Netcraft demuestran que
máquinas ejecutando software de código abierto no son reiniciadas
con frecuencia.

El segundo mito se refiere a que la disponibilidad del código
fuente abre la posibilidad a descubrir más fácilmente las
vulnerabilidades. Este argumento se rebate a partir de la enorme
cantidad de gusanos y virus que sacan provecho de
vulnerabilidades de Windows, lo que viene a demostrar que la
disponibilidad del código fuente no es un factor clave para
detectar la existencia de problemas de seguridad.

El tercer mito rebatido son las estadísticas que demuestran la
existencia de menos problemas de seguridad críticos en la
plataforma Windows con respecto a Linux. En el informe se
facilitan datos que demuestran como muchas de estas estadísticas
son confeccionadas a medida y se basan en datos parciales, que
difícilmente se pueden extrapolar a las conclusiones que a veces
se extraen de los mismos.

La segunda parte del estudio compara el diseño de Linux y
Windows, analizando las implicaciones que tienen las mismas en lo
relativo a la seguridad. Así se compara el diseño monolítico de
Windows contra el diseño modular de Linux (no se refiere al
núcleo del sistema operativo, sino al conjunto del sistema
operativo), el origen del código, las limitaciones del modelo de
llamadas de procedimiento remoto y la diferencia de orientación
de los ambos productos.

En la tercera parte se analizan las métricas utilizadas para la
medición del nivel de seguridad y la dificultad que supone la
interpretación de los datos reflejados por las mismas.

Cuando se mide el nivel de seguridad no sólo deben considerarse
factores puramente numéricos, como son el número de
vulnerabilidades sino que otros elementos tienen una importancia
igual o superior: la exposición potencial a la vulnerabilidad, la
facilidad con la que las vulnerabilidades pueden ser utilizadas
en ataques, el daño provocado como consecuencia de un ataque. La
unión de estos factores permite identificar un nivel de riesgo.

Con todas estas consideraciones, el informe realiza una
comparativa de los últimos cuarenta parches y actualizaciones de
Windows Server 2003 y Red Hat Enterprirse Linux AS v3.0. Se
realiza una tabulación en la que se aplican las métricas
definidas, de forma que para cada vulnerabilidad se puede
identificar el nivel de riesgo global.

También se facilitan datos obtenidos a partir de la valoración
global de impacto que aplica el CERT a cada una de las
vulnerabilidades que se publican.

Conclusiones

Aplican las métricas definidas por "The Register", el impacto de
las vulnerabilidades y actualizaciones es mucho más importante en
Windows Server 2003. Aproximadamente la mitad de las
actualizaciones de Microsoft son consideradas como críticas (y
muchas de las que no tienen esta consideración es debido a la
configuración particular de Internet Explorer y Outlook Express,
que son difícilmente utilizables en su configuración por
defecto).

En cambio, aplicando la valoración que añade el CERT en sus
estadísticas se puede considerar la existencia de un "empate
tácito" en el nivel de seguridad de Windows Server 2003 y Red Hat
Linux Enterprise Linux AS v3.0, con una valoración ligeramente
favorable a Windows.


Xavier Caballé
xavi@hispasec.com


Más información:

Windows vs Linux: The Real Facts
http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/
http://www.theregister.co.uk/security/security_report_windows_vs_linux/
http://www.theregister.co.uk/2004/10/22/security_report_windows_vs_linux.pdf

una-al-día (01/07/02): La seguridad del modelo de código abierto
http://www.hispasec.com/unaaldia/1345

sábado, 23 de octubre de 2004

Escalada de privilegios en Speedtouch USB Driver

Recientemente hemos conocido una vulnerabilidad que afecta a
Speedtouch USB driver en sus versiones 1.x por la que un
atacante localmente podría conseguir una escalada de privilegios
en la máquina atacada.

USB Driver para Speedtouch es un proyecto GPL desarrollado para
facilitar soporte USB al modem ADSL fabricado originalmente por
Alcatel y que en estos momentos no posee soporte de la empresa
fabricante.

La escalada es posible por la utilización incorrecta que hacia de
syslog() por parte de "modem_run, pppoa2 y pppoa3", ya que al recibir
secuencias que contuvieran %s podía realizar un desbordamiento de
búfer.

Una explotación exitosa de esta vulnerabilidad nos posibilitaría la
ejecución de código y la escalada de privilegios en la máquina de la
víctima.

Se ha liberado una versión que esta libre de esta vulnerabilidad y que se
puede bajar en la dirección:
http://sourceforge.net/project/showfiles.php?group_id=32758&package_id=28264&release_id=271734

Antonio Román
roman@hispasec.com


Más información:

Speedtouch USB driver homepage
http://speedtouch.sourceforge.net/index.php?/news.en.html

Speedtouch USB Driver Format String Flaw May Let Local Users Execute
Arbitrary Code
http://www.snpx.com/cgi-bin/news5.cgi?target=www.newsnow.co.uk/cgi/NGoto/73551989?-2622

viernes, 22 de octubre de 2004

Actualización para Sun Solaris por vulnerabilidad en LDAP con RBAC

Sun ha anunciado que se ha detectado una vulnerabilidad en Solaris 8
y 9 en plataformas x86 y sparc que permitiría a usuarios locales
maliciosos realizar ataques de escalada de privilegios.

La vulnerabilidad está causada por un problema (no especificado por
la compañía) que se presenta cuando se utiliza de forma conjunta LDAP
(Lightweight Directory Access Protocol) y RBAC (Role Based Access
Control). Aunque Sun no ha facilitado detalles sobre la naturaleza
del problema, este representa un riesgo considerable debido a que
permitiría a un atacante local ejecutar ciertos comandos con los
privilegios del usuario root.

Sun ha publicado las siguientes actualizaciones para corregir esta
vulnerabilidad:
Para plataforma Solaris 8 (SPARC)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-108993-38-1
Para plataforma Solaris 9 (SPARC)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112960-17-1
Para plataforma Solaris 8 (x86)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-108994-38-1
Para plataforma Solaris 9 (x86)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114328-04-1


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability When Using LDAP In Conjunction With RBAC
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57657-1

jueves, 21 de octubre de 2004

RSA Conference 2004 (Barcelona)

Del 3 al 5 de noviembre se celebra en Barcelona la edición
europea de la RSA Conference, una de las más prestigiosas
reuniones internacionales sobre seguridad informática.

La conferencia que organiza la empresa RSA Security se ha
convertido con los años en un evento de referencia para conocer
la visión que se tiene de la seguridad informática, las nuevas
tendencias y las tecnologías que empiezan a implementarse. Se
celebran tres ediciones en todo el mundo, una en Estados Unidos,
otra en Japón y otra en Europa que, este año se realiza en la
ciudad de Barcelona.

La RSA Conference ya no es aquél evento casi revolucionario de
las primeras ediciones que tan magistralmente describe Steven
Levy en el libro "Cripto". Los años han institucionalizado el
programa, pasando de ser una reunión donde se trataba de los usos
futuros (y casi etéreos) de la criptografía a un macro-evento que
habla del presente, el futuro inmediato y las tendencias a largo
plazo de todos los aspectos relacionados con la seguridad
informática.

Las ediciones actuales, no obstante, conservan intacto todo su
prestigio y consiguen reunir a algunos de los personajes más
influyentes. En la edición del presente año en Barcelona está
anunciada la presencia de Tom Davis (congresista norteamericano
que preside el grupo de trabajo de tecnologías de la información,
responsable de las nuevas legislaciones que se están adoptando en
Estados Unidos y que, en casi todos los casos son vistas por
muchos como recortes en la libertad de los usuarios de Internet),
Richard Kaplan (vicepresidente de Microsoft responsable del área
de negocio de seguridad y la unidad de tecnología), Art Coviello
(CEO de RSA Security), Richard Clarke (presidente de Good Harbor
Consulting, LCC, empresa consultora sobre temas de seguridad
nacional, ciberseguridad y terrorismo) y Howard Schmidt
(exconsejero del presidente de los Estados Unidos sobre temas de
seguridad informática y actualmente responsable de seguridad
informática en eBay).

Además de estas ponencias, hay un gran número de sesiones
técnicas sobre seguridad aplicada, el negocio de la seguridad
informática, los atacantes y las amenazas; gestión de acceso e
identidad, implementación de sistemas de seguridad informática,
defensa periférica; privacidad, legislación y política, seguridad
de los servicios web, etc... En el momento de redactar el
boletín, hay anunciada un total de setenta sesiones técnicas,
cuyos detalles pueden consultarse en la página web del evento.

Por último, un gran número de empresas estarán presentes en el
área de expositores presentando sus productos y servicios.

En definitiva, un evento de referencia imprescindible para estar
al día sobre la seguridad informática, conociendo las nuevas
tendencias del mercado y como las diferentes empresas ven la
situación y las medidas que proponen aplicar.


Xavier Caballé
xavi@hispasec.com


Más información:

RSA Conference Europe 2004
http://2004.rsaconference.com/europe/

miércoles, 20 de octubre de 2004

Cross-Site Scripting en Lotus Notes y Domino

Se ha anunciado la existencia de una vulnerabilidad en Lotus
Notes/Domino R6 en el tratamiento de valores que contengan corchetes
"[ ]", de forma que un usuario remoto podría construir ataques de
cross-site scripting.

Se ha anunciado que la función de codificación HTML de Lotus Notes
falla al tratar los corchetes ("[" y "]"), de forma que un atacante
remoto podrá crear una URL que cuando sea cargada por el usuario
víctima provocará que el código malicioso se ejecute en el navegador
del usuario. Como resultado, el código podrá acceder a las cookies del
usuario (incluyendo las de autenticación), a datos recientemente
introducidos en formularios por el usuario o tomar acciones en el sitio
actuando como el propio usuario.

El código script malicioso podrá ser introducido entre corchetes, por
ejemplo de la siguiente forma:
http://[objetivo]/FormReflectingURLValue?OpenForm&Field=[]


Antonio Ropero
antonior@hispasec.com


Más información:

Lotus Notes/Domino Square Bracket Encoding Failure Lets Remote Users
Conduct Cross-Site Scripting Attacks
http://securitytracker.com/alerts/2004/Oct/1011779.html

martes, 19 de octubre de 2004

Salto de análisis de archivos comprimidos en múltiples antivirus

Se ha anunciado la existencia de un problema en el tratamiento de
archivos zip en los motores antivirus de McAfee, Computer Associates,
Kaspersky, Sophos, Eset y RAV por la que un usuario malicioso podría
construir un archivo comprimido con virus de forma que evite ser
analizado. No se han mostrado vulnerables las últimas versiones de
BitDefender, Panda, Symantec y Trendmicro.

Concretamente el problema reside en el tratamiento de las cabeceras de
los archivos .zip. Un archivo .zip almacena la información sobre los
archivos comprimidos en dos lugares, una cabecera local y otra global.
La cabecera local se localiza al comienzo de los datos comprimidos de
cada uno de los archivos mientras que la cabecera global se sitúa al
final del archivo .zip.

Sin embargo es posible modificar el tamaño descomprimido de los
archivos almacenados en ambas cabeceras sin que esto llegue a afectar a
su funcionalidad. Un atacante podrá comprimir un archivo con código
malicioso y evitar la capacidad de detección de algunos antivirus
modificando la información del tamaño descomprimido en ambas cabeceras
a cero. Este problema ha sido confirmado tanto por WinZip y Microsoft
Compressed Folders.

McAfee en la actualización de su motor, con el DAT 4320 ha mejorado la
protección de los archivos comprimidos y evita este problema. En caso
de encontrar un archivo comprimido de estas características se muestra
el mensaje "Found the Exploit-Zip Trojan!".

Kaspersky ha comunicado que en la próxima actualización acumulativa de
sus motores 3.x-4.x se corregirá el problema. Para los antivirus de la
versión 5.0 recomiendan esperar al siguiente paquete de mantenimiento
que se publicará este mes.

Eset actualizó los motores en el módulo versión 1.020 publicado el
pasado 16 de septiembre 2004.

Computer Associates de igual forma ha corregido el problema en una
serie de actualizaciones del motor de descompresión Arclib.dll. La
información sobre estas actualizaciones se encuentra disponible en:
http://supportconnectw.ca.com/public/ca_common_docs/arclib_vuln.asp

Sophos ha mejorado su motor de análisis para tratar con los archivos
zip mal construidos. La versión 3.87.0 de Sophos Anti-Virus para todos
los sistemas operativos excepto para Windows 95/98/Me incluye esta
corrección los usuarios tendrán la actualización automática a esta
versión a través de EM Library de 20 de octubre de 2004 o bien estará
disponible para descarga desde el próximo día 22. Sophos Anti-Virus
para Windows 95/98/Me será actualizado en la versión 3.88.0 (disponible
el 24 de noviembre de 2004).


Antonio Ropero
antonior@hispasec.com


Más información:

Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability
http://www.idefense.com/application/poi/display?id=153&type=vulnerabilit&flashstatus=true

Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability
http://www.securiteam.com/securitynews/6E00G2ABFY.html

lunes, 18 de octubre de 2004

Acceso a archivos locales en Adobe Acrobat/Reader 6

Recientemente se ha conocido una vulnerabilidad en algunos productos
Adobe por la que un atacante remoto podría tener acceso a archivos
locales en la máquina de la víctima.

Acrobat/Acrobat reader es un software de uso muy extendido y popular,
utilizado para la visualización e impresión de documentos (PDF) Portable
Document Format.

La versión 6 de estos programas tienen una opción por la que se pueden
integrar archivos flash en el documento, esta nueva opción es la que
se ve afectada por la vulnerabilidad, ya que un atacante que expusiera
un documento especialmente formado conseguiría la lectura de archivos
locales de un usuario que visite el sitio web en cuestión. Esto es
posible ya que el flash se ejecuta en el contexto local del usuario.

En las versiones anteriores de Adobet Acrobat/Reader sólo se permitía
el enlace con los archivos flash (*.swf). Ahora se extrae el archivo
swf del pdf y se guarda en el directorio temporal. En los casos de
Windows XP y 2000 el directorio es:
C:\Documents and Settings\\Local Settings\Temp

Como medida preventiva se recomienda desactivar el soporte Javascript
en Adobe Acrobat/Reader


Antonio Román
roman@hispasec.com


Más información:

Bugtraq: Adobe acrobat / Adobe Reader 6 can read local files
http://seclists.org/lists/bugtraq/2004/Oct/0116.html

Adobe Acrobat/Reader 6 Local Files Access
http://www.securiteam.com/windowsntfocus/6Z00I0UBGE.html

domingo, 17 de octubre de 2004

Vulnerabilidad en el soporte de archivos .ZIP de Windows

Entre la pléyade de boletines de seguridad que ha publicado este
mes Microsoft, una de las que inicialmente puede pasar
desapercibida es la que se encuentra en el soporte de los
archivos .ZIP en diferentes versiones de Windows y que puede ser
utilizada para tomar el control de los sistemas vulnerables.

Los sistemas operativos Windows ME, Windows XP y Windows Server
2003 dan soporte de forma nativa a la visualización del contenido
de los archivos comprimidos en formato .ZIP. Cuando se accede a
los mismos a través del explorador de Windows, éstos aparecen y
son tratados como si se trataran de carpetas.

En agosto del presente año se descubrió la existencia de una
vulnerabilidad de desbordamiento de búfer en el módulo del
sistema operativo encargado de dar soporte de los archivos
comprimidos ZIP. El desbordamiento se produce cuando dentro del
archivo ZIP existe un archivo cuyo nombre, incluyendo
directorios, supera los 32768 caracteres. Este desbordamiento
puede ser utilizado de forma malévola para sobrescribir el
controlador de excepciones del sistema operativo y modificar el
contenido del EIP (puntero a la siguiente instrucción) del
procesador.

Como resultado, un atacante que logre convencer al usuario de que
abra un archivo ZIP especialmente preparado, podrá aprovecharse
de esta vulnerabilidad para tomar el control de los equipos
vulnerables.

Indicar, por último, que según Microsoft ésta vulnerabilidad
únicamente afecta a Windows XP, Windows XP con Service Pack 1 y
Windows Server 2003. eEye, en cambio, indica que la
vulnerabilidad se encuentra en Windows XP y Windows ME.


Xavier Caballé
xavi@hispasec.com


Más información:

Windows Shell ZIP File Decompression DUNZIP32.DLL Buffer Overflow
Vulnerability
http://www.eeye.com/html/research/advisories/AD20041012A.html

Vulnerability in Compressed (zipped) Folders Could Allow Remote
Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-034.mspx

sábado, 16 de octubre de 2004

Nueva edición de "Las 20 vulnerabilidades de seguridad más críticas en Internet" (y II)


Por quinto año consecutivo, SANS Institute presenta una nueva
edición de su guía sobre "las 20 vulnerabilidades de seguridad
más críticas en Internet". Con el tiempo, esta guía se ha
convertido en una autentica guía de referencia sobre los
problemas de seguridad más habituales y que suelen ser los
utilizados por los gusanos y virus de propagación masiva.

Tal y como anunciamos ayer en esta ocasión (y para finalizar
la entrega) incluimos la lista de las diez vulnerabilidades
más críticas de los sistemas Unix/Linux.

Las 10 vulnerabilidades más críticas de los sistemas Unix/Linux

U1. Software BIND

BIND es el software estándar de facto para actuar como servidor
de nombres de dominio, un servicio esencial para el correcto
funcionamiento de la red, ya que se encarga de la conversión de
los nombres de dominio a sus correspondientes direcciones IP.

Determinadas versiones de BIND son vulnerables a ataques que
pueden ser utilizados por un atacante remoto para comprometer los
sistemas vulnerables. Adicionalmente, una mala configuración de
BIND puede revelar información sensible sobre la configuración de
la red.

Es importante verificar que los sistemas que ejecuten BIND
utilicen la versión más reciente, incluso si esto supone
abandonar la versión distribuida por el fabricante del sistema
operativo e instalar la versión del ISC a partir de su código
fuente.

U2. Servidor Web

Prácticamente todos los sistemas Unix y Linux incluyen de forma
nativa el servidor Apache. Una configuración inadecuada del mismo
así como la utilización de versiones antiguas pueden provocar
problemas de seguridad, con diversos niveles de efectos sobre el
nivel de seguridad.

U3. Autenticación

Es habitual encontrar equipos Unix con deficiencias en sus
mecanismos de autenticación. Esto incluye la existencia de
cuentas sin contraseña (o con contraseñas ampliamente conocidas o
fácilmente deducibles). Por otra parte es frecuente que diversos
programas (o el propio sistema operativo) cree nuevas cuentas de
usuario con un débil mecanismo de autenticación.

U4. Sistemas de control de versiones

El sistema de control de versiones más utilizado en entornos Unix
es CVS. Si la configuración del servidor CVS permite conexiones
anónimas, determinadas versiones son susceptibles a ataques de
desbordamiento de búfer que pueden ser utilizados para ejecutar
código arbitrario en el servidor.

U5. Servicio de transporte de correo

Los equipos Unix que actúan como servidores de correo pueden ser
vulnerables, caso de utilizar una versión antigua, a todo tipo de
ataques. Fruto de estos ataques se puede conseguir el control
completo del sistema vulnerable, la utilización del servidor de
correo como estación de distribución de correo basura o robo de
información sensible.

U6. Protocolo SNMP

El protocolo SNMP se utiliza de una forma masiva para la gestión
y configuración remota de todo tipo de dispositivos conectados a
la red: impresoras, routers, puntos de acceso, ordenadores.

Dependiendo de la versión de SNMP utilizada, los mecanismos de
autenticación son muy débiles. Adicionalmente diversas
implementaciones del protocolo son vulnerables a todo tipo de
ataques, que van desde la denegación de servicio, a la
modificación no autorizada de la configuración de los
dispositivos o incluso de la consola donde se centraliza la
gestión de la red.

U7. Biblioteca OpenSSL

En los últimos meses se han detectado diversas vulnerabilidades
en la biblioteca OpenSSL que afectan a un gran número de
productos que hacen uso de la misma: Apache, CUPS, Curl,
OpenLDAP, s-tunnel, Sendmail y muchos otros.

Es importante verificar que se está utilizando la versión más
reciente de OpenSSL y todos los productos que utilizan OpenSSL
para el cifrado de la información utilicen esta versión más
moderna.

U8. Mala configuración de los servicios de red

Los servicios NFS y NIS son los métodos más frecuentemente
utilizados para la compartición de recursos e información entre
los equipos Unix de una red. Una mala configuración de los mismos
puede ser utilizada para la realización de diversos tipos de
ataques, que van desde la ejecución de código en los sistemas
vulnerables a la realización de ataques de denegación de
servicio.

U9. Bases de datos

Las bases de datos son un elemento fundamental para la mayoría de
las empresas. Prácticamente cualquier aplicación empresarial está
construida alrededor de una base de datos donde se almacena
información altamente sensible y vital para el funcionamiento del
negocio.

Los problemas de configuración, una mala política de la política
de control de acceso, errores en las aplicaciones, errores de
diseño o la complejidad intrínseca de muchos entornos puede ser
el origen de problemas de seguridad que afecten a la integridad,
fiabilidad y/o disponibilidad de los datos.

U10. Núcleo del sistema operativo

El núcleo del sistema operativo realiza las funciones básicas
como la interacción con el hardware, la gestión de la memoria, la
comunicación entre procesos y la asignación de tareas. La
existencia de vulnerabilidades en el núcleo puede provocar
problemas de seguridad que afecten a todos los componentes del
sistema. Es muy importante la correcta configuración del núcleo,
para evitar o reducir el alcance de las posibles vulnerabilidades.


Xavier Caballé
xavi@hispasec.com


Más información:

The Twenty Most Critical Internet Security Vulnerabilities
(Updated) - The Expert Consensus
http://www.sans.org/top20/
http://files.sans.org/top20.pdf

Las 20 vulnerabilidades más críticas en Internet (versión en
español) - Edición 2001
http://www.sans.org/top20/spanish_v2.php

Una-al-día (10-10-2003): Las 20 vulnerabilidades más críticas en
Internet
http://www.hispasec.com/unaaldia/1811

Una-al-día (07-10-2002): Actualización de "las 20
vulnerabilidades de seguridad más críticas en Internet"
http://www.hispasec.com/unaaldia/1443

Una-al-día (03-10-2001): Las 20 vulnerabilidades de seguridad más
críticas
http://www.hispasec.com/unaaldia/1074

Una-al-día (11-06-2000): Cómo eliminar las diez amenazas de
seguridad más críticas en Internet
http://www.hispasec.com/unaaldia/593

viernes, 15 de octubre de 2004

Nueva edición de "Las 20 vulnerabilidades de seguridad más críticas en Internet" (I)

Por quinto año consecutivo, SANS Institute presenta una nueva
edición de su guía sobre "las 20 vulnerabilidades de seguridad
más críticas en Internet". Con el tiempo, esta guía se ha
convertido en una autentica guía de referencia sobre los
problemas de seguridad más habituales y que suelen ser los
utilizados por los gusanos y virus de propagación masiva.

La lista nació hace cinco años fruto de una iniciativa de SANS
Institute, una organización especializada en la formación técnica
sobre seguridad informática y la agencia del FBI responsable de
la seguridad informática. El objetivo marcado era identificar los
problemas de seguridad más críticos, estableciendo como baremo de
medición la popularidad de su utilización.

Es decir, la lista recoge aquellos problemas de seguridad que son
más utilizados en los ataques contra sistemas informáticas, así
como las vulnerabilidades utilizadas por los gusanos y virus de
propagación masiva como mecanismo de infección de los equipos.

Esto significa que, aplicando las medidas de protección contra
los problemas incluidos en esta lista nos permite evitar un gran
número de posibles problemas, especialmente los ataques
automatizados o realizados por personas con poca capacidad
tecnológica. Esto, según todas las estadísticas, elimina un
porcentaje especialmente significativo del volumen total de
incidentes de seguridad.

La edición del presente año es, como en las últimas ediciones, un
compendio de dos listas separadas. La primera de estas listas
reúne las 10 vulnerabilidades más críticas que afectan
exclusivamente a los ordenadores que utilicen el sistema
operativo Windows. La segunda lista, por su parte, incluye los 10
problemas específicos de sistemas Unix y Linux.

Hemos dividido este boletín en dos entregas, en ésta incluimos
la primera lista con las 10 vulnerabilidades más críticas de los
sistemas Windows. En el "una-al-día" de mañana incluiremos la
lista de las diez vulnerabilidades más críticas de los sistemas
Unix/Linux.

La estructura general del documento es, para cada vulnerabilidad,
empezar con una descripción, las versiones afectadas, las
referencias en el catálogo de vulnerabilidades CVE, como
determinar si nuestro equipo es vulnerable y, por último, que
debemos hacer para protegernos.

Las 10 vulnerabilidades más críticas de los sistemas Windows

W1. Existencia de servidores web y sus servicios asociados

Cuando se instala un servidor web en un equipo Windows, en su
configuración por defecto, se activan algunos servicios y/o
configuraciones que son vulnerables a diversos tipos de ataques,
que van desde la denegación de servicio hasta el compromiso total
del sistema.

Si la máquina debe actuar como servidor web, es preciso verificar
que la versión del mismo está actualizada, se ha fortalecido la
configuración y se han desactivado los servicios innecesarios.

Es importante indicar que algunas versiones de Windows instalan,
en su configuración por defecto, el servidor web IIS.

W2. Servicio Workstation

Existe una vulnerabilidad de desbordamiento de búfer en el
servicio Workstation de Windows 2000 (SP2, SP3 y SP4) y Windows
XP (hasta SP1) que puede ser utilizada por un usuario remoto para
forzar la ejecución de código en los sistemas vulnerables. Éste
código se ejecutará en el contexto de seguridad SYSTEM, lo que
permite un acceso completo en el sistema comprometido.

W3. Servicios de acceso remoto de Windows

Todas las versiones de Windows incluyen mecanismos para permitir
el acceso remoto tanto a las unidades de disco y al registro así
como para la ejecución remota de código. Estos servicios han
demostrado ser bastante frágiles y la existencia de numerosas
vulnerabilidades ha sido uno de los mecanismos preferidos por los
gusanos y virus para propagarse. Es muy importante verificar que
se han aplicado las diversas actualizaciones publicadas para
impedir la acciones de los mismos.

W4. Microsoft SQL Server

El gestor de base de datos de Microsoft ha sido,
tradicionalmente, un producto con un nivel de seguridad muy bajo.
Por un lado, existen un gran número de vulnerabilidades de
seguridad, muchas de ellas críticas, que pueden ser utilizadas
para acceder y/o modificar a la información almacenada en las
bases de datos.

Pero además, la configuración por defecto de Microsoft SQL Server
facilita que sea utilizado como plataforma para la realización de
ataques contra otros sistemas. Podemos recordr los gusanos
SQLSnake y Slammer que tuvieron un efecto perceptible en toda la
red Internet.

W5. Autenticación de Windows

Es habitual encontrar equipos Windows con deficiencias en sus
mecanismos de autenticación. Esto incluye la existencia de
cuentas sin contraseña (o con contraseñas ampliamente conocidas o
fácilmente deducibles). Por otra parte es frecuente que diversos
programas (o el propio sistema operativo) cree nuevas cuentas de
usuario con un débil mecanismo de autenticación.

Por otra parte, a pesar de que Windows transmite las contraseñas
cifradas por la red, dependiendo del algoritmo utilizado es
relativamente simple aplicar ataques de fuerza bruta para
descifrarlos en un plazo de tiempo muy corto. Es por tanto muy
importante verificar que se utilizado el algoritmo de
autenticación NTLMv2.

W6. Navegadores web

Los diversos navegadores habitualmente utilizados para acceder a
la web pueden ser un posible punto débil de las medidas de
seguridad si no se han aplicado las últimas actualizaciones.
Internet Explorer es, sin duda, el producto para el que se han
publicado más actualizaciones y que cuenta con algunos de los
problemas de seguridad más críticos. No obstante debe recordarse
que otros navegadores como Opera, Mozilla, Firefox y Netscape
también tienen sus vulnerabilidades de seguridad.

W7. Aplicaciones de compartición de archivos

Las aplicaciones P2P se han popularizado en los últimos años como
un sistema para la compartición de información entre los usuarios
de Internet, hasta el punto de convertirse en uno de los métodos
preferidos para obtener todo tipo de archivos. De hecho, muchos
usuarios seguramente no entenderían la red actual sin la
existencia de las aplicaciones P2P.

No obstante, algunas aplicaciones populares de compartición de
archivos tienen serios problemas de seguridad que pueden ser
utilizados por un atacante para obtener el control del ordenador
del usuario.

Otro riesgos habituales, no estrictamente de seguridad pero si
relacionado ya que atentan contra nuestra privacidad, son los
diversos programas espías incluidos en algunas de las
aplicaciones más populares de compartición de archivos. Otro
problema habitual es la compartición inadvertida de archivos que
contienen información sensible.

Por último, en los últimos meses se ha popularizado la
utilización de las redes P2P como un nuevo mecanismo para la
distribución de virus y gusanos.

W8. Subsistema LSAS

El subsistema LSAS (Local Security Authority Subsystem) de
Windows 2000, Windows Server 2003 y Windows XP es vulnerable a
diversos ataques de desbordamiento de búfer que pueden permitir a
un atacante remoto obtener el control completo del sistema
vulnerable. Esta vulnerabilidad ha sido explotada por gusanos
como el Sasser.

W9. Programa de correo

Diversas versiones de Windows incluyen de forma estándar el
programa de correo Outlook Express. Se trata de un producto que,
si no se encuentra convenientemente actualizado, puede fácilmente
comprometer la seguridad del sistema.

Los principales problemas de seguridad asociados a Outlook
Express son la introducción de virus (sin que sea necesario
ejecutar ningún programa) y el robo de información sensible.

Las versiones actuales de Outlook Express, configuradas de una
forma adecuada, protegen al usuario ante estos problemas de
seguridad.

W10. Sistemas de mensajería instantánea

La mensajería instantánea ha pasado de ser un sistema de
comunicación utilizado básicamente para contactar con amigos y
familiares a ser una herramienta de comunicación habitualmente
utilizada en las empresas, especialmente entre aquellas que
disponen de diversos centros de trabajo.

Los diversos programas de mensajería instantánea pueden ser
víctimas de ataques explotables de forma remota y que pueden ser
utilizados para obtener el control de los sistemas vulnerables.

Es conveniente que el usuario de estos productos verifique que
utiliza la versión actual, con las últimas actualizaciones de
seguridad.


[Continua en la siguiente entrega]


Xavier Caballé
xavi@hispasec.com



jueves, 14 de octubre de 2004

Nueva variante del gusano Netsky

Ayer, día 13, comenzó la propagación de una nueva variante del gusano
Netsky, de aparente origen brasileño, y que se ha convertido en la
muestra más reportada de las últimas 24 horas en VirusTotal.

Reacciones antivirus

Destacan los siguientes motores antivirus por detectar a esta nueva
variante antes de que comenzara su propagación masiva, bien por
heurística o con la firma de una variante anterior, protegiendo a sus
clientes desde el primer momento:

BitDefender Win32.SMTP-MassMailer
Kaspersky I-Worm.NetSky.b
NOD32 Win32/Netsky.B
Norman W32/EMailWorm

A continuación los tiempos de reacción de los antivirus en distribuir
firmas específicas para detectar al gusano (hora de España):

NOD32 13.10.2004 01:47:50 :: Win32/Netsky.B1
Panda 13.10.2004 21:57:16 :: W32/Netsky.B.worm
ClamAV 13.10.2004 22:22:24 :: Worm.Somefool.Gen-3
TrendMicro 14.10.2004 01:18:14 :: WORM_NETSKY.AF
InoculateIT 14.10.2004 02:34:54 :: Win32/Netsky.AE.Worm
Norton 14.10.2004 03:23:45 :: W32.Netsky.AD@mm
Sophos 14.10.2004 06:18:00 :: W32/Netsky-AD
Norman 14.10.2004 17:00:08 :: Netsky.AD@mm
McAfee 14.10.2004 17:14:48 :: W32/Netsky.ag@MM!zip
BitDefender 14.10.2004 17:55:37 :: Win32.NetSky.AE@mm
F-Prot 14.10.2004 21:36:34 :: W32/Netsky.AH@mm

En el caso de Panda, además de la firma distribuida el día 13,
realizó una actualización posterior el día 14 a las 18:41 en la
que modificó el nombre del gusano identificándolo como
W32/Netsky.AG.worm.


Descripción del gusano

Cuando se ejecuta en un sistema, se copia como MsnMsgrs.exe en el
directorio de Windows. Para asegurarse su ejecución en cada inicio
de sistema, introduce la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MsnMsgr" = %Windir%\MsnMsgrs.exe -alev

Además realiza diferentes copias de si mismo en el directorio de
Windows con los siguientes nombres:

Agradou.zip
agua!.zip
AIDS!.zip
aqui.zip
banco!.zip
bingos!.zip
botao.zip
brasil!.zip
carros!.zip
circular.zip
contas!!.zip
criancas!.zip
diga.zip
dinheiro!!.zip
docs.zip
email.zip
festa!!.zip
flipe.zip
grana!!.zip
grana.zip
imposto.zip
impressao!!.zip
jogo!.zip
lantrocidade.zip
LINUSTOR.zip
loterias.zip
lulao!.zip
massas!.zip
missao.zip
MsnMsgrs.exe
revista.zip
robos!.zip
sampa!!.zip
sorteado!!.zip
tetas.zip
vaca.zip
vadias!.zip
vips!.zip
Voce.zip
war3!.zip
Zerado.zip


La propagación por correo electrónico la realiza a través de su propio
motor SMTP, falseando la dirección de remite, y recopilando las
direcciones a las que enviarse del interior de los archivos con
extensiones .adb, .asp, .dbx, .doc, .eml, .htm, .html, .php, .pl,
.php, .rtf, .oft, .sht, .scs, .uin, .vbs, .wab, .tbb y .txt.


El asunto de los mensajes puede ser uno de los siguientes:

:)
agradou
diga
impressao!!
massas!
morto
pescaria por kilo
robos!
Sua saude esta bem?



El cuerpo lo elige de alguno de los siguientes:

PizzaVeneza!
preenche ai ta bom
encontro voce!
veja detalhes!!!.
reza de sao tome!!!!.
Abra rapido isso!!!!
AmaVoce
AMA!
ve ai logo ta
voce passou :D!!!
arquivo zipado PGP???
retorna logo isso!!
me diz o queacha?
estou doente veja!!!
Proposta de emprego!!
tudo sobre voce sabe
promocao de viajens de fim de ano
acrdito que em voce!!!
receitas de bolo!!
veja o que tem no zip e me liga
Boleto Pague
Sua Conta!!
Policia SP
te amo!
parabens!
olha que isso!!!
sua conta bancaria zerada
Vacina contra o HIV!!
Surto :(
ferias nos E.U.A
meu telefone liga
Medical Labs Exames!!!
Hackers do Brasil
amor me liga
Lembra?
grana
sinto voce!!
pq nao me liga??
vaca
campanhadafome
ganhe muita grana
falea verdade!!!
algo a mais
gostaria disso e voce???
me veja peladinha

El nombre del archivo adjunto, con extensión .bat, .com, .pif, .scr o
.zip, puede ser:

agradou
agua!
AIDS!
banco!
bingos!
botao
brasil!
carros!
circular
contas!!
criancas!
dinheiro!!
email
festa!!
flipe
grana
grana!!
imposto
impressao!!
jogo!
lantrocidade
LINUSTOR
loterias
lulao!
massas!
missao
morto
pescaria por kilo
revista
robos!
sampa!!
sorteado!!
Sua saude esta bem?
tetas
vadias!
vips!
war3!
zerado

La propagación por redes P2P intenta llevarla a cabo copiándose en
todas las carpetas con nombre "share" o "sharing" que encuentra en el
sistema, que suele coincidir con las carpetas por defecto que
comparten los clientes P2P.

aninha gatinha!.zip.scr
barrio.scr
cafe!!.zip.scr
Canaval2004!.jpg.pif
Carnaval em Salvador!!.zip.scr
caspa.scr
celulares!!.zip.scr
clica ai logo meu.scr
comoserrico!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
MulataDandoOcujpg.scr
multas.pif
paula!.scr
puteiros!!.scr
receitas de bolo!!.zip.scr
rede globo tv!.zip.scr
ResidentEvil2.zip.scr
rocha.scr
traficoemSP!.scr
vadias peladas!!.scr
vida!!.zip.scr
VivaNaBaia!.scr
vota!.zip.scr


Bernardo Quintero
bernardo@hispasec.com



miércoles, 13 de octubre de 2004

Actualización para cuatro vulnerabilidades en Microsoft Windows

Dentro del conjunto de actualizaciones de octubre publicado por
Microsoft y del ayer ya hicimos un adelanto, se cuenta una
actualización para cubrir cuatro vulnerabilidades de diversa
gravedad (aunque se alcanza el grado crítico) en la familia de
sistemas operativos Microsoft Windows.

* Vulnerabilidad de escalada de privilegios en la API (application
programming interfaces) de administración de Windows (Window
Management). Esta vulnerabilidad podrá permitir a un usuario del
sistema conseguir privilegios administrativos.

* Vulnerabilidad de escalada de privilegios local en el componente del
sistema operativo que trata el subsistema Virtual DOS Machine (VDM).
Esta vulnerabilidad podrá permitir a un usuario del sistema conseguir
privilegios administrativos.

* Vulnerabilidad de ejecución remota de código en la interpretación de
formatos de imagen Windows Metafile (WMF) y Enhanced Metafile (EMF).
Cualquier programa que muestra imágenes WMF o EMF en los sistemas
afectados podrá ser vulnerable a este ataque. Un atacante que explote
exitosamente esta vulnerabilidad podrá tomar el control total del
sistema afectado.

* Vulnerabilidad de denegación de servicio local en el kernel de
Windows.

Estos problemas afectan a Windows 2000, Windows ME, Windows NT Server,
Windows Server 2003, Windows XP, Windows 98 y Windows Millennium
Edition (ME).


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS04-032
Actualización de seguridad para Microsoft Windows (840987)
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-032-IT.mspx

Microsoft Security Bulletin MS04-032
Security Update for Microsoft Windows (840987)
http://www.microsoft.com/technet/security/bulletin/MS04-032.mspx

martes, 12 de octubre de 2004

Avalancha de boletines de seguridad de Microsoft en octubre

Como cada segundo martes, Microsoft ha publicado los boletines de
seguridad. Este ha sido un mes especialmente prolijo, ya que se
han publicado diez boletines y siete de ellos han recibido el
calificativo de críticos. Es por tanto, importante conocer su
existencia, evaluar el impacto de los mismos y aplicar las
actualizaciones en la mayor brevedad posible. Este es un boletín
de urgencia en el que describimos superficialmente cada uno de
los nuevos boletines de seguridad de Microsoft. En los próximos
días publicaremos otros boletines donde analizaremos más
detalladamente las actualizaciones más importantes.

Boletín MS04-038: Actualización acumulativa de Internet Explorer
(versiones 5.01, 5.5 y 6.0). Esta actualización incluye todas las
actualizaciones publicadas anteriormente por Microsoft más la
solución a ocho nuevas vulnerabilidades que se consideran crítica
ya que permiten al ejecución remota de código en los sistemas
vulnerables.

Boletín MS04-037: Vulnerabilidad en Windows Shell, que puede ser
utilizada para la ejecución de código en los equipos vulnerables.
Afecta a Windows NT 4.0, Windows 2000, Windows Server 2003 y
Windows XP (no afecta a los equipos con el Service Pack 2 de
Windows XP). Actualización crítica.

Boletín MS04-036: Vulnerabilidad en la implementación del
protocolo NTTP (grupos de noticias de Internet) de Microsoft.
Puede ser utilizada por un atacante remoto para ejecutar código
remoto en los sistemas vulnerables. Afecta a las implementaciones
del protocolo NTTP incluidas en Windows NT Server 4.0, Windows
2000 Server, Windows Server 2003, Exchange Server 2000 y Exchange
Server 2003. Actualización crítica.

Boletín MS04-035: Vulnerabilidad en la implementación del
protocolo SMTP (correo electrónico de Internet) de Microsoft.
Puede ser utilizada por un atacante remoto para ejecutar código
remoto en los servidores vulnerables. Afecta a las
implementaciones del protocolo SMTP incluidas en Windows XP,
Windows Server 2003 y Exchange Server 2003. Actualización
crítica.

Boletín MS04-034: Vulnerabilidad en las carpetas comprimidas
(ZIP) de Windows XP. Puede permitir la ejecución de código en los
sistemas vulnerables. Actualización crítica.

Boletín MS04-033: Vulnerabilidad en Microsoft Excel. Puede
permitir la ejecución de código de forma remota. Afecta a Excel
2000, Excel XP, Excel 2003, Excel 2001 para Mac y Excel v. X para
Mac. Actualización crítica.

Boletín MS04-032: Actualización acumulativa para Microsoft
Windows (NT 4.0, Windows 2000, Windows XP y Windows Server 2003;
no afecta a Windows XP con Service Pack 2. Incluye la corrección
de cuatro vulnerabilidades que se consideran críticas en Windows
2000, XP y Server 2003. Actualización crítica .

Boletín MS04-031: Vulnerabilidad en el componente NetDDE de
Windows (98, ME, NT 4.0, 2000, XP y Server 2003; no afecta a
Windows XP con Service Pack 2). Puede permitir la ejecución de
código remoto en los sistemas vulnerables. Actualización
importante.

Boletín MS04-030: Vulnerabilidad en el gestor de mensajes XML de
WebDAV, que puede ser utilizada para la realización de ataques de
denegación de servicio. Afecta a Windows 2000, Windows XP (no
afecta a los equipos con el Service Pack 2 instalado) y Windows
Server 2003. Actualización importante.

Boletín MS04-029: Vulnerabilidad en la biblioteca RPC que puede
ser utilizada para la divulgación de información y también para
la realización de ataques de denegación de servicio. Afecta a
Windows NT Server 4.0 y Windows NT Server 4.0 Terminal Server
Edition. Actualización importante.


Xavier Caballé
xavi@hispasec.ccom


Más información:

Boletín de seguridad de Microsoft MS04-038: Cumulative Security
Update for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx

Boletín de seguridad de Microsoft MS04-037: Vulnerability in
Windows Shell Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-037.mspx

Boletín de seguridad de Microsoft MS04-036: Vulnerability in NNTP
Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-036.mspx

Boletín de seguridad de Microsoft MS04-035: Vulnerability in SMTP
Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-035.mspx

Boletín de seguridad de Microsoft MS04-034: Vulnerability in
Compressed (zipped) Folders Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-034.mspx

Boletín de seguridad de Microsoft MS04-033: Vulnerability in
Microsoft Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-033.mspx

Boletín de seguridad de Microsoft MS04-032: Security Update for
Microsoft Windows
http://www.microsoft.com/technet/security/bulletin/MS04-032.mspx

Boletín de seguridad de Microsoft MS04-031: Vulnerability in
NetDDE Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-031.mspx

Boletín de seguridad de Microsoft MS04-030: Vulnerability in
WebDAV XML Message Handler Could Lead to a Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-030.mspx

Boletín de seguridad de Microsoft MS04-029: Vulnerability in RPC
Runtime Library Could Allow Information Disclosure and Denial of
Service
http://www.microsoft.com/technet/security/bulletin/MS04-029.mspx

lunes, 11 de octubre de 2004

Hackmeeting 2004 (Sevilla)

El último fin de semana de octubre se celebrará en Sevilla
(Andalucía) la quinta edición del Hackmeeting, un encuentro
organizado por la propia comunidad de usuarios de Internet donde
se tratan de temas políticos, sociales y tecnológicos.

Durante varios días se celebrarán una gran cantidad de charlas,
debates, talleres, exposiciones, mesas redondas, encuentros,
etc... todo con la idea de facilitar el libre intercambio de
experiencias entre todas las personas que asisten al evento,
facilitando la existencia de diálogo entre todos los colectivos y
personas que participan.

En un Hackmeeting se intenta huir de la clásica reunión donde un
conferenciante imparte una clase magistral y se intenta conseguir
que los encuentros sean altamente participativos, sobre un gran
abanico de temas desde los más comprometidos a nivel social y
político hasta los puramente tecnológicos.

Para ir confeccionando el calendario de actividades, los
organizadores han publicado recientemente la segunda edición del
"Call4Nodes", que reproducimos a continuación:



Hack'Andalus
HACKMEETING Sevilla 2004
---> 29,30,31 de octubre y 1 de noviembre <---
http://www.sevilla.hacklabs.org
Casa de la Paz. C/Aniceto Saenz, s/n
http://www.sindominio.net/hackmeeting

Este mensaje es una invitación a participar en el hackmeeting
2004 proponiendo nodos de trabajo/actividad/difusión, y tejer,
como viene siendo habitual, una red de actividades y encuentros
en torno al hacktivismo, el ciberespacio, la telemática y sus
dimensiones tecnopolíticas en un fin de semana liberado en el que
se manifiesta el ciborg de multitudes que es el Hackmeeting (HM).
Hemos cambiado el tradicional call4papers por el call4nodes para
no restringir la participación a artículos (papers) sino a un
abanico más amplio de posibilidades (talleres, charlas, mesas
redondas, exposiciones, posters, etc.) que hemos llamado nodos.
Como ya sabrás el HM es un evento participativo en el que la
dicotomía organizador/asistente se diluyen en la necesidad de
autogestionar el encuentro colectivamente.




Xavier Caballé
xavi@hispasec.com


Más información:

Call4Nodes Hack'Andalus. Hackmeeting Sevilla 2004
http://www.sindominio.net/hackmeeting/index.pl?CallfornodesEs

Hackmeeting 2004 (Sevilla)
http://www.sindominio.net/hackmeeting/

Hackmeeting 2003 (Iruña)
http://www.sindominio.net/~hm/iruna03/

Hackmeeting 2002 (Madrid)
http://www.sindominio.net/~hm/madhack02/

Hackmeeting 2001 (Leioa)
http://www.sindominio.net/~hm/hmleioa01/

Hackmeeting 2000 (Barcelona)
http://www.sindominio.net/~hm/hmbcn00/

Una-al-día (15-09-2000): Hackmeeting BCN
http://www.hispasec.com/unaaldia/691

domingo, 10 de octubre de 2004

Múltiples vulnerabilidades en IBM DB2 Universal Database 8.1

Se han descubierto múltiples vulnerabilidades consideradas críticas o
de alto riesgo en IBM DB2 Universal Database en diversas versiones
incluídas DB2 8.1 Fixpax 7 y anteriores.

IBM ha actualizado los Fixpak 6 y 7 a 6a y 7a para incluir las
correcciones de las vulnerabilidades antes nombradas, que suman un
total de 20 y que en su mayor parte son desbordamientos de búfer
explotables de forma remota.

Los descubridores de las vulnerabilidades (NGSSoftware) no facilitarán
detalles acerca de las vulnerabilidades descubiertas hasta principios
de enero del 2005. De esta forma los administradores de los sistemas
afectados dispondrán de tiempo suficietne para parchearlos
convenientemente.

Los paquetes actualizados están disponibles en la siguiente dirección:
http://www-306.ibm.com/software/data/db2/udb/support/downloadv8.html


Julio Canto
jcanto@hispasec.com


Más información:

IBM DB2 Has Numerous Buffer Overflows May Let Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2004/Oct/1011562.html

sábado, 9 de octubre de 2004

Nueva actualización de seguridad para MacOS X

Apple publica una nueva actualización de seguridad para su sistema
operativo MacOS X.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La actualización de seguridad soluciona las siguientes vulnerabilidades:

* Un atacante remoto puede romper la conexión entre un cliente y un
servidor AFP. Actualización para MacOS X 10.3.5. No afecta a versiones
anteriores a la 10.3.

* Si se configura incorrectamente, una cuenta AFP de solo lectura puede
permitir también la escritura. Actualización para MacOS X 10.3.5. No
afecta a versiones anteriores a la 10.3.

* Un atacante puede dejar fuera de servicio el sistema de impresión en
red CUPS. Actualización para MacOS X 10.3.5 y 10.2.8.

* Un atacante local puede obtene claves de acceso de otros usuarios
mediante una vulnerabilidad en el servidor de impresión CUPS.
Actualización para MacOS X 10.3.5 y 10.2.8.

* Indicación de estado incorrecto para la cuenta de administrador o
"root", que puede verse como "desactivada" cuando no es así.
Actualización para MacOS X 10.3.5. No afecta a versiones anteriores a la
10.3.

* Desbordamiento de búfer en el servidor de correo Postfix, que puede
ocasionar la caída del servicio. Actualización para MacOS X 10.3.5. No
afecta a versiones anteriores a la 10.3.

* Un desbordamiento de búfer en QuickTime permite que un atacante remoto
ejecute código arbitrario en el equipo. Actualización para MacOS X
10.3.5 y 10.2.8.

* Aunque las sesiones "ServerAdmin" van cifradas en SSL, todas las
máquinas MacOS X utilizan la misma clave y, por tanto, pueden
decodificar datos ajenos. La actualización genera una clave única para
cada equipo. Actualización para MacOS X 10.3.5 y 10.2.8, versión
"server".

La actualización, de descarga gratuita, mide 1'5 Mbytes para la versión
10.3.5 del sistema operativo, y unos 700 Kbytes para la versión 10.2.8.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apple Security Updates
http://www.apple.com/support/security/security_updates.html

viernes, 8 de octubre de 2004

Microsoft anuncia la investigación de un problema en ASP.NET

Microsoft está investigando una vulnerabilidad sobre la que han sido
informados que afectaría a la plataforma ASP.NET. La vulnerabilidad
en la tecnología ASP.NET de Microsoft puede ser utilizada por un
atacante para acceder a áreas protegidas mediante contraseña alterando
la URL.

Este problema es específico de ASP.NET, no afecta a ASP y podría
deberse a que dicha plataforma no realiza correctamente el proceso de
canonización de algunas URLs. El problema afecta a los sitios web que
usen cualquier versión de esta plataforma sobre Windows 2000, 2000
Server, XP Professional y 2003 Server.

Aunque la información proporcionada por el momento es más bien escasa,
cabe señalar que no es habitual que Microsoft adelante información
sobre vulnerabilidades, lo que levanta las sospechas sobre la gravedad
del problema. Todo indica que la vulnerabilidad debe ser fácil de
explotar, en la que bastaría modificar o añadir un carácter en la URL
para permitir el acceso a contenidos sin autorización.

El artículo del Knowledge Base 887459 ("Programmatically Checking for
Canonicalization Issues with ASP.NET") describe formas de añadir
mecanismos adicionales de protección contra problemas de este tipo,
por lo que se recomienda su lectura y aplicación en los programas que
pudieran verse afectados. La dirección de dicho artículo es la
siguiente: http://support.microsoft.com/?kbid=887459

Aunque todos los detalles del problema aun están por desvelar,
Microsoft ha adelantado información de seguridad en su web, además de
publicar un módulo HTTP de ASP.NET que los administradores de sitios
web pueden aplicar a su servidor web. Este módulo protegerá las
aplicaciones ASP.NET contra este nuevo problema.

La dirección para descargar este módulo (de 295 KB) es la siguiente:
http://download.microsoft.com/download/4/6/1/461433d5-cbac-4721-85cb-c5a514fd0049/VPModule.msi


Antonio Ropero
antonior@hispasec.com


Más información:

What You Should Know About a Reported Vulnerability in Microsoft
ASP.NET
http://www.microsoft.com/security/incident/aspnet.mspx

jueves, 7 de octubre de 2004

Actualización de seguridad de RSYNC

Se publica una actualización de seguridad de la herramienta "rsync"
para solucionar una vulnerabilidad que permite, bajo ciertas
circunstancias, sobreescribir ficheros arbitrarios en el servidor.

RSYNC es una excepcional herramienta "Open Source" de sincronización de
ficheros, que permite que un cliente y un servidor se mantengan
sincronizados sin enviar los ficheros modificados y sin que sea
necesario mantener un histórico de cambios. Se trata de una herramienta
extraordinariamente útil.

La vulnerabilidad afecta exclusivamente a los servidores RSYNC
configurados sin la opción de "chroot", opción recomendada hasta la
saciedad por los autores de "RSYNC" y reivindicada en estos mismos
boletines Hispasec de forma constante.

En el caso de servidores vulnerables, un atacante podría explotar el
problema de dos maneras:

* Sobreescribiendo ficheros arbitrarios en el sistema servidor, siempre
que el demonio "RSYNC" tuviese los permisos adecuados y se haya
configurado para permitir la escritura por parte de clientes
autorizados.

* Determinar la existencia o no de ficheros arbitrarios en el sistema
servidor.

La vulnerabilidad (y el parche correspondiente para solucionarla) fue
publicada a mediados de Agosto, pero la actualización oficial de
"RSYNC", versión 2.6.3, acaba de salir.

Hispasec recomienda a todos los administradores de servidores "RSYNC"
que actualicen a la versión 2.6.3 y que, por supuesto, configuren el
software con la opción de "chroot" a menos que haya alguna causa de
fuerza mayor que lo impida. Se recomienda la actualización aunque se
haya aplicado el parche a una versión anterior del producto, ya que la
versión 2.6.3 soluciona también otros problemas menores.

Hispasec recuerda también que es muy conveniente verificar la firma
digital del fichero RSYNC, que está firmado por "Wayne Davison
". Si no disponemos ya de su clave pública PGP, se
puede descargar de cualquier servidor de claves PGP/GPG. En ese caso es
conveniente comprobar la huella de dicha clave, que debe ser "0048 C8B0
26D4 C96F 0E58 9C2F 6C85 9FB1 4B96 A8C5".

En caso de no poder verificar la firma digital, la huella
digital MD5 del fichero "rsync-2.6.3.tar.gz" es
"2beb30caafa69a01182e71c528fb0393".


Jesús Cea Avión
jcea@hispasec.com


Más información:

August 2004 Security Advisory
http://samba.anu.edu.au/rsync/#security_aug04

RSYNC
http://samba.anu.edu.au/rsync/

miércoles, 6 de octubre de 2004

Desbordamiento de buffer en VyPRESS Messenger 3.5.1

Se ha descubierto una vulnerabilidad en VyPress Messenger que
puede ser explotada por usuarios maliciosos para comprometer un
sistema vulnerable.

Vypress Messenger es una aplicación de intercambio de mensajes para la
intranet, que puede correr sobre cualquier sistema operativo de la familia
Microsoft Windows.

La función de visualización del programa se ve afectada por un
problema de comprobación de tamaños de variables, esto puede permitir
a un atacante realizar un desbordamiento de buffer con un mensaje
especialmente formado a tal efecto, para ello tendrá que usar en el
primer campo del mensaje cadenas largas de unos 776 caracteres.

Si el atacante envía el mensaje malicioso en modo broadcast a todos
los usuarios de una LAN podría conseguir afectar a todos los usuarios
que utilicen el programa. Si se consiguiera la ejecución de código
arbitrario podría hacerse con los mismos privilegios que el usuario
del programa.

La vulnerabilidad ha sido confirmada en la versión 3.5.1 y anteriores,
por otra parte se ha corregido en la versión 4.0 RC1, disponible en la
siguiente dirección: http://www.vypress.com/previews/


Antonio Román
roman@hispasec.com


Más información:

Broadcast buffer-overflow in Vypress Messenger 3.5.1
http://aluigi.altervista.org/adv/vymesbof-adv.txt

Broadcast buffer-overflow in Vypress Messenger 3.5.1
http://www.securityfocus.com/archive/1/377286/2004-09-28/2004-10-04/0

Vypress Messenger
http://www.vypress.com/products/messenger/

martes, 5 de octubre de 2004

Nuevos contenidos en CriptoRed (septiembre 2004)

Breve resumen de los últimos contenidos incorporados durante el mes de
septiembre de 2004 en CriptoRed, la Red Temática Iberoamericana de
Criptografía y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Auditoría de Seguridad Informática: Abstract
http://www.criptored.upm.es/paginas/docencia.htm#gtletraA

- El Estado del Arte de la Seguridad Informática
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

- ISM3 1.0: Information Security Management Maturity Model
http://www.criptored.upm.es/paginas/docencia.htm#gtletraI

Puedes encontrar otros documentos en:
http://www.criptored.upm.es/paginas/docencia.htm#gteoria


2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION:

- 7 al 8 de octubre de 2004. Workshop on Secure Multiparty Protocols SMP
2004 (Holanda)
http://www.zurich.ibm.com/~cca/smp2004/

- 13 al 15 de octubre de 2004. Collaborative Electronic Commerce
Technology and Research (Chile)
http://ing.utalca.cl/collecter2004/

- 27 al 29 de octubre de 2004. Sixth International Conference on
Information and Communications Security (España)
http://icics04.lcc.uma.es/

- 8 al 12 de noviembre de 2004. Jornadas Chilenas de Computación 2004
(Chile)
http://parinacota.uta.cl/jcc2004/

- 15 al 17 de noviembre de 2004: Sesión Seguridad y Criptografía en los
Negocios y Economía WSEAS (Italia)
http://www.worldses.org/conferences/2004/italy/mcbe/index.html

- 30 de noviembre al 3 de diciembre de 2004. III Congreso Internacional
de Telemática CITEL 2004 (Cuba)
http://www.cujae.edu.cu/eventos/Citel2004/

- 16 al 18 de febrero 2005: X edición del Congreso Nacional de Internet,
Telecomunicaciones y Sociedad de la Información (España)
http://www.aui.es/mundointernet/

- 11 al 13 de abril de 2005: Track on e-gaming, International Conference
on Information Technology ITCC 2005 (Estados Unidos)
http://crises.etse.urv.es/itcc2005/

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos


3. CURSOS DE ESPECIALIDAD Y POSTGRADO:

- Master en Administración y Gestión de Seguridad de la Información en
la UCM (España)
- Master en Tecnologías de Seguridad Informática esCERT-UPC (España)
- Master Tecnologías Información y Seguridad en la UCLM (España)
- Master en Auditoría y Seguridad Informática en la UPM (España)
- Especialización en Criptografía y Seguridad Teleinformática (Argentina)
- Diplomado en Seguridad Computacional en la Universidad de Chile (Chile)
- Diplomado en Seguridad Informática UNAM (México)
- Curso Experto en Seguridad Informática en la MU (España)
- Cursos de Seguridad Informática del Instituto para la Seguridad en
Internet ISI (España)
- Programa de Formación en Gestión de la Seguridad de la Información de
AENOR (España)
- Cursos de CYBSEC (Argentina - Ecuador)
- Talleres de Seguridad Informática en la UNAM (México)

Puedes encontrar los enlaces y más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos


4. NOTICIAS SELECCIONADAS DEL MES DE SEPTIEMBRE DE 2004:

- Lista Segurinfo llega a los 1.000 participantes efectivos (Colombia)
http://www.acis.org.co/index.php?id=38

- Seminario WALC 2004 en Cusco (Perú)
http://www.walc2004.cepes.org.pe/

- IV Congreso Mundial de Derecho Informático en Cusco (Perú)
http://www.alfa-redi.org/congreso/ivmundial.asp

- Workshop on Secure Multiparty Protocols SMP 2004 en Amsterdam (Holanda)
http://www.zurich.ibm.com/~cca/smp2004/

- Track on e-gaming ITCC 2005 en Las Vegas (Estados Unidos)
http://crises.etse.urv.es/itcc2005/

- Jornadas Técnicas de Seguridad Informática en Salamanca (España)
http://www.puntoesformacion.com

- Clausurada la VIII RECSI en Madrid (España)
http://www.uc3m.es/recsi/
- Sede de la IX Reunión (Barcelona)
- Sede de la X Reunión (Salamanca)


5. OTROS DATOS DE INTERES EN LA RED:

- Número actual de miembros en la red: 461
http://www.criptored.upm.es/paginas/particulares.htm

- 19.485 visitas, 150.245 hits, 12.381 archivos zip descargados y 20,55
GBytes servidos en septiembre de 2004
http://www.criptored.upm.es/cgi-bin/awstats.pl?month=09&year=2004&output=main&config=www.criptored.upm.es&framename=index

- CIBSI '05: noviembre de 2005, Valparaíso (Chile)
Organizador: Universidad Técnica Federico Santa María
http://www.utfsm.cl/
Próximamente se activará la url y se enviará el primer CFP


Jorge Ramió Aguirre
Coordinador General CriptoRed



lunes, 4 de octubre de 2004

Múltiples vulnerabilidades en reproductores Real Player

Se han descubierto múltiples vulnerabilidades en los reproductores
RealOne Player, RealPlayer y Helix Player que podrían ser explotadas
por atacantes para comprometer el sistema de un usuario y borrar
archivos.

El primero de los problemas, se produce debido a un error sin especificar
cuando se ejecutan archivos RM de forma local y puede ser explotado
(potencialmente) para ejecutar código arbitrario.
Esta vulnerabilidad se ha confirmado en las siguientes versiones:
* RealPlayer 8 / 10 / 10.5 Beta (6.0.12.1016) / 10.5 (6.0.12.1040) /
Enterprise sobre Windows
* RealOne Player v1, v2 sobre Windows
* Mac RealPlayer 10 Beta y Mac RealOne Player
* Linux RealPlayer 10 y Helix Player sobre Linux

Un problema diferente se produce con llamadas modificadas y puede
ser explotado para ejecutar código arbitrario empotrando el reproductor
en un sitio web malicioso con llamadas especialmente formadas a tal
efecto.
Esta vulnerabilidad ha sido confirmada en RealPlayer 10 / 10.5 Beta
(6.0.12.1016) / 10.5 (6.0.12.1040) y RealOne Player v1, v2 sobre
Windows.

Por último, un error sin especificar permitiría a sitios web y archivos de
medios maliciosos borrar archivos locales arbitrarios. Esta
vulnerabilidad ha sido confirmada en RealPlayer 10 / 10.5 Beta
(6.0.12.1016) / 10.5 (6.0.12.1040) y RealOne Player v1, v2 sobre
Windows.

Las instrucciones para proceder a la actualización de cada versión
según su propia plataforma se encuentran en la siguiente dirección:
http://www.service.real.com/help/faq/security/040928_player/EN/


Julio Canto
jcanto@hispasec.com


Más información:

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities
http://www.service.real.com/help/faq/security/040928_player/EN/

RealPlayer Flaws May Let Remote Users Execute Arbitrary Code or Delete
Known Files
http://www.securitytracker.com/alerts/2004/Sep/1011449.html

domingo, 3 de octubre de 2004

El nuevo código penal crea incertidumbre en la red

El nuevo código penal, que entró en vigor el pasado uno de
octubre, está generando interpretaciones alarmistas en Internet.
Se ha dicho que prohíbe la copia privada o que intercambiar
canciones en redes P2P será ahora causa de prisión, todo ello
inexactitudes provocadas por la imprecisión del texto, según
abogados consultados por Ciberpaís. Entre las novedades, destaca
el aumento de penas de prisión, el castigo no sólo del delito
sinó también de la creación, puesta en circulación y tenencia de
herramientas para llevarlo a cabo y una especial atención a la
propiedad intelectual, ampliando la protección de que gozan los
programas de ordenador a libros, música y vídeos. Además, en
estos casos, la policía actuará sin denuncia previa.

Los artículos más polémicos del nuevo Código Penal, en lo que se
refiere a Internet, son el 286 y el 270. El primero es nuevo y
pena, con hasta dos años de prisión, prácticas que hasta ahora
los jueces no solían considerar punibles, como usar tarjetas
pirata de televisión digital, liberar teléfonos móviles,
compartir la contraseña de un servicio de pago o conectarse a una
red inalámbrica donde se comparte la salida a Internet.
Concretamente, castiga "a quien facilite el acceso a un servicio
de radiodifusión sonora o televisiva, a servicios interactivos
prestados a distancia por vía electrónica o suministre el acceso
a los mismos mediante la fabricación, distribución o posesión de
cualquier equipo no autorizado".

Además, condena a quien explique cómo saltarse las barreras y, en
general, "a quien, sin ánimo de lucro, facilite a terceros el
acceso o por medio de una comunicación pública, comercial o no,
suministre información a una pluralidad de personas sobre la
forma de conseguir el acceso no autorizado a un servicio,
incitando a lograrlos". Esta coletilla, "incitando a lograrlos",
es para los abogados una muestra de la vaguedad del Código Penal.

Por su parte, el artículo 270 amplia la férrea protección de que
disfrutan los programas de ordenador a todo tipo de obra y
castiga con hasta dos años de cárcel a quien "con ánimo de lucro
y en perjuicio de tercero, reproduzca, plagie, distribuya o
comunique públicamente, en todo o en parte, una obra literaria,
artística o científica en cualquier tipo de soporte o comunicada
a través de cualquier medio, sin autorización". Asimismo se
criminaliza a quien "fabrique, ponga en circulación o tenga
cualquier medio específicamente destinado a facilitar la
supresión no autorizada o la neutralización de cualquier
dispositivo técnico que se haya utilizado para proteger programas
de ordenador o cualquiera de las otras obras".

Este artículo deja fuera de la ley todos los mecanismos para
saltarse las protecciones anticopia de programas, CD, DVD, etc.
Según sus detractores, prohibe a los investigadores en seguridad
informática dar a conocer sus descubrimientos o, simplemente,
crear una web con enlaces hacia sitios donde se ofrezca
información sobre estos temas. Además, imposibilita el derecho de
hacer una copia privada, al no permitir desproteger el CD para
realizarla. Dice el abogado David Bravo: "Todos tenemos derecho a
copiar obras para uso privado y sin ánimo de lucro, según la Ley
de Propiedad Intelectual. Pero el Código Penal introduce la
novedad de que se penalizan los instrumentos destinados a la
desprotección de obras. Es una contradicción, porque te dejan
hacer una copia pero, si rompes la protección para hacerla, vas a
la cárcel, aunque se puede interpretar que el Código exige ánimo
de lucro".

Alfredo Domínguez, abogado de Cuatrecasas, no lo ve tan negro:
"Entiendo que usar un programa que rompe protecciones para hacer
una copia privada no puede ser delito, si la copia no se
distribuye. En cuanto a tener enlaces en tu web hacia sitios
donde se ofrecen programas de desprotección, no es delito. Lo
sería informar, pero no informar sobre quién tiene la
información. La investigación en seguridad informática tampoco es
delictiva, si no hay fines comerciales. Una cosa es investigar
sobre la bomba nuclear y otra comercializarla".

La opinión general es que el nuevo Código deja mucho lugar a la
interpretación de los jueces. Un buen ejemplo es el ánimo de
lucro, que ya levantó ampollas con el viejo Código. Ambos
advierten que sólo hay delito si hay ánimo de lucro, pero los
jueces no se ponen de acuerdo en si esto significa ganar dinero o
ahorrarse el precio de algo. Según el abogado Javier Ribas, "el
ánimo de lucro y el ánimo de ahorro son exactamente lo mismo y lo
dicen el Tribunal Supremo y la Real Academia. Si algo, que en una
tienda cuesta 300 euros, no te cuesta nada, obtienes una ventaja.
El trueque es una forma de comercio. En el modelo e-Mule y e-
Donkey se ve claramente: el primer fragmento de la obra que me
bajo está automáticamente disponible para los demás. Se trata de
un trueque simultáneo e inevitable".

David Bravo lo ve al revés: "Si fuese un delito, se daría la
paradoja de que bajar una canción, o incluso un fragmento, podría
llevarte a la cárcel pero, si decides hurtar el disco original en
la tienda más cercana, no cometerías delito sinó una mera falta,
porque la cantidad no supera los 300 euros. Además, establecer
que lo que se baja gratis sin duda se habría comprado y, por
tanto, estás ahorrando, es partir de una base falsa".

De esta discusión depende, en buena parte, la legalidad de las
redes de pares. Pero el nuevo Código Penal pasa de puntillas por
el tema P2P, dejándolo como antes. Así, Domínguez interpreta que
estas redes estaban y siguen estando prohibidas: "El que coge
archivos tiene un beneficio, un lucro, y el que los pone también
obtiene ventajas, como poder coger más archivos. Dicen que sólo
intercambian copias privadas, pero cuando las distribuyen dejan
de ser privadas y es delito. Eso sí, de difícil persecución. El
sistema no tiene medios para perseguir a todos los usuarios y su
identidad es difícil de saber. Lo que tampoco se puede hacer es
perseguir a quien se bajó cuatro programas, habiendo otros casos
más graves".

La principal consecuencia del nuevo Código Penal será, según
Javier Ribas, "una mayor persecución de los delitos cometidos en
la venta callejera y en las redes P2P". David Bravo se pregunta
"cuándo llegará el dia en que el poder económico se dedicará
directamente a legislar él mismo", aludiendo a que se ha dicho
que es un Código Penal a medida de la industria. Para Alfredo
Domínguez, la cuestión es: "Si con el antiguo Código Penal ya
teníamos problemas para lograr la persecución de los delitos
informáticos más sencillos, no sé qué haremos ahora. La
aplicación práctica del nuevo Código Penal será difícil, excepto
en casos de gran relevancia".


Mercè Molist
http://ww2.grn.es