martes, 30 de noviembre de 2004

Escalada de privilegios en kernel 2.4 de Linux

Se ha descubierto una vulnerabilidad en el mecanismo de serialización
de datagramas del kernel de Linux que puede ser explotado por usuarios
locales maliciosos para conseguir elevar sus privilegios en el sistema.

Se ha comprobado que el kernel no serializa de forma adecuada los
datagramas recibidos. Un usuario local puede explotar este problema
para modificar espacio de memoria de kernel y conseguir de esa forma
mayores privilegios de los que dispone.

Si no se ha actualizado ya, se recomienda actualizar a la versión
2.4.28 de kernel a la mayor brevedad posible.


Julio Canto
jcanto@hispasec.com


Más información:

Linux Kernel Datagram Serialization Error May Let Local Users Gain
Elevated Privileges
http://www.securitytracker.com/alerts/2004/Nov/1012363.html

lunes, 29 de noviembre de 2004

VirusTotal aumenta su poder de detección e incorpora nuevas funcionalidades

El servicio de análisis de archivos sospechosos VirusTotal aumenta
su poder de detección con la incorporación de nuevos motores
antivirus. Además se han activado nuevas funcionalidades para usuarios
y laboratorios antivirus.

A las soluciones antivirus anteriormente existentes: BitDefender,
ClamAV, eTrust-Iris, F-Prot, Kaspersky, NOD32, Norman, Panda, Sybari
y Symantec, se suman a VirusTotal las incorporaciones de AntiVir,
DrWeb y eTrust-Vet.

Si además tenemos en cuenta que la solución de Sybari está configurada
de forma que utiliza los motores de eTrust-Iris, eTrust-Vet,
Kaspersky, McAfee, Norman, Sophos y VirusBuster, tenemos que los
archivos enviados a VirusTotal son analizados por 16 motores antivirus
diferentes.

Este número se verá aumentado a corto plazo, ya que se está trabajando
en la integración de nuevos motores antivirus que han solicitado
participar en VirusTotal, como son los casos de Avast!, AVG, mks_vir y
Hauri, encontrándonos abiertos a nuevas incorporaciones.

Los usuarios también cuentan ahora con un nuevo sistema para proceder
al análisis de archivos mediante un formulario que muestra los
resultados directamente en la página web, sin necesidad de introducir
su dirección de correo electrónico, disponible en la parte superior
del sitio http://www.virustotal.com

También se encuentra disponible el sistema recomendado que consiste
en enviar la muestra sospechosa enviándola adjunta en un mensaje de
correo electrónico a la dirección analiza@virustotal.com con el asunto
ANALIZA, recibiendo por e-mail los resultados.

Otra de las novedades es el sistema de distribución de muestras
infectadas a los laboratorios antivirus participantes en VirusTotal.
Con esta función, los laboratorios antivirus pueden recibir en tiempo
real aquellas muestras infectadas que su solución no detecta y sí
son detectadas por alguno de los otros motores integrados en
VirusTotal.

Mediante este sistema, los usuarios que envíen muestras participan de
forma activa en la protección global, ya que ayudan a que todos los
antivirus detecten los nuevos virus. Adicionalmente los usuarios de
antivirus que participan en VirusTotal tienen la garantía de que su
solución puede recibir los nuevos especímenes en tiempo real y por
tanto ofrecer una mayor y mejor protección.

Para garantizar la privacidad de los usuarios que envíen información
sensible a analizar, como por ejemplo documentos de Office, existe
una opción que garantiza que dichos archivos, en caso de estar
infectados, no serán incluidos en el sistema de distribución. No
obstante, Hispasec recomienda que esta opción sólo sea utilizada en
caso de estricta necesidad, para que no penalice la distribución de
muestras infectadas. Igualmente Hispasec velará por el buen uso
de dicha opción, pudiendo ser retirada si se detecta un uso no
adecuado de la misma.

El sistema de distribución de muestras está siendo una importante
ayuda para las casas antivirus participantes en VirusTotal, ya que la
media actual es de 50 muestras infectadas diferentes no detectadas
por motor antivirus y día.

El volumen es tal que son varios los laboratorios antivirus que se
han visto desbordados. En estos momentos sólo 6 laboratorios antivirus
están recibiendo las muestras, y esperamos que en breve el resto se
incorporen al sistema de distribución (es totalmente gratuito, como
el resto de servicios de VirusTotal).

En definitiva, se trata de democratizar el acceso a las muestras
infectadas, para que todos los antivirus tengan la posibilidad de
ofrecer la mejor protección a sus usuarios. No nos parece de recibo
que un usuario se infecte porque su antivirus no ha tenido opción de
conseguir una muestra infectada con anterioridad, tal y como sucede
ahora.

Las diferencias entre soluciones antivirus no deberían marcarse por
la guerra de números (yo tengo más firmas de virus que tú), sino por
otras muchas características que actualmente no se tienen en cuenta
o son evaluadas en un segundo plano, como rendimiento, fiabilidad,
detección genérica sin firmas, recursos que consume, etc.


Ausencias

Los asiduos al servicio echarán en falta los motores de McAfee y
TrendMicro en los reportes de VirusTotal. Estos motores han sido
retirados de forma cautelar tras recibir notificaciones de las
centrales de NAi y TrendMicro donde decían no haber recibido
explicación alguna sobre su uso y fines que perseguía VirusTotal.

Antes de proceder a la publicación de VirusTotal, y antes de cualquier
nueva incorporación, Hispasec realiza una presentación del servicio.
Por razones geográficas y por mantener un trato más cercano, en un
principio se notificó a personal que las casas antivirus mantienen
en España (oficinas o distribuidores oficiales).

Parece ser que en estos dos casos, NAi/McAfee y TrendMicro, la
comunicación entre el personal de España y las centrales fue
insuficiente, cuando no nula. En ambos casos, nada más recibir el
comunicado de las centrales, Hispasec decidió en primer lugar
retirar sus motores como medida cautelar, y posteriormente a
facilitar la información requerida.

En estos momentos la incorporación de ambos motores depende de sus
respectivas centrales, que deberán dar la pertinente autorización
por escrito. Esperamos que por el bien de la comunidad, y de sus
propios clientes (ya que sus laboratorios no reciben los virus que
no detectan al no estar en el sistema de distribución de muestras),
puedan estar disponibles de nuevo en breve.

No obstante, esta situación no afecta de forma alguna a los tiempos
de reacción antivirus que solemos incluir en las noticias de
una-al-día en relación a nuevos virus y gusanos. Ya que en el
laboratorio de Hispasec seguimos evaluando a todos los antivirus,
incluido McAfee y TrendMicro.

Actualmente las conversaciones con todas las casas antivirus se
realizan directamente con las centrales.


Bernardo Quintero
bernardo@hispasec.com


Más información:

una-al-dia (01/06/2004) El mayor antivirus público de Internet
http://www.hispasec.com/unaaldia/2046

una-al-dia (05/07/2004) Incorporación de ClamAV y mejoras en VirusTotal
http://www.hispasec.com/unaaldia/2080

domingo, 28 de noviembre de 2004

Ejecución remota de código a través de Microsoft WINS

Se ha descubierto una vulnerabilidad en 'wins.exe' de Microsoft
Windows que puede ser explotada por atacantes para ejecutar código
arbitrario en un sistema afectado.

WINS (Windows Internet Naming Service) es un sistema de resolución de
nombres de NetBIOS que traduce nombres de máquina a las IPs que tienen
asociadas, con lo que se evita tener que hacer broadcast de paquetes
para poder realizar dicha conversión.

La vulnerabilidad afecta a Windows NT 4.0 Server, Windows NT Server 4.0
Terminal Server Edition, Windows 2000 Server y Windows Server 2003.

Un usuario malicioso puede construir un paquete WINS y mandarlo al
puerto TCP 42 sobre el que opera este servicio para modificar un
puntero de memoria y así escribir contenidos en direcciones arbitrarias
de memoria. Esto puede ser explotado para provocar la ejecución
remota de código arbitrario.

A la espera de un parche de actualización que corrija la vulnerabilidad,
Microsoft ha publicado un documento al respecto en el que informa que
está investigando este problema y recomienda filtrar el acceso al puerto
42 (tanto tcp como udp), desactivarlo o usar IPSec para asegurar el
tráfico entre servidores WINS.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft WINS Memory Overwrite Lets Remote Users Execute Arbitary Code
http://www.securitytracker.com/alerts/2004/Nov/1012341.html

Vulnerability Wins.exe remote vulnerability.
http://www.immunitysec.com/downloads/instantanea.pdf

How to help protect against a WINS security issue
http://support.microsoft.com/kb/890710

sábado, 27 de noviembre de 2004

Vulnerabilidad en Citrix 8.0 y anteriores

Las versiones 8.0 y anteriores de Citrix MetaFrame se ven afectadas
por un problema de seguridad por el que un atacante podría capturar
las pulsaciones en el teclado de un usuario sin que este fuera
consciente del hecho.

Citrix posee una funcionalidad que por defecto viene desactivada
que permite a los usuarios crear un registro de la utilización del
teclado durante un sesión ICA, con el fin de poder depurar posibles
errores. Esta opción puede ser activada mediante CPN (Citrix Program
neighbourhood) o modificando manualmente el archivo APPSRV.INI que
por defecto en la instalación de los sistemas W2000/XP se sitúa en:
"\Document and Settings\%username%\Application Data\ICAClient\"

Un atacante podría activar el modo de depuración en cuestión,
previamente a la utilización del usuario legítimo y capturar de
dicha forma su sesión de trabajo, con el consiguiente problema
de seguridad.

Las versiones 8.1 y superiores no se ven afectadas por este problema,
por lo que la compañía recomienda actualizarse a estas versiones,
para ello pueden visitar la siguiente dirección:
http://www.citrix.com/site/SS/downloads/index.asp


Antonio Román
roman@hispasec.com


Más información:

MetaFrame Presentation Server Client for Win32 debugging functionality could
be misused
http://support.citrix.com/kb/entry.jspa?externalID=CTX105215

Citrix MetaFrame information disclosure
http://xforce.iss.net/xforce/xfdb/18179

ANALYSIS: Citrix Keyboard Logger
http://www.hoffmannbv.nl/forensisch/nieuws/citrixkeyboardlogger.html
http://www.hoffmannbv.nl/pdf/fd/citrixkeylogger.pdf

viernes, 26 de noviembre de 2004

Desbordamientos de buffer en Winamp

Se ha informado de la existencia de una vulnerabilidad en Winamp que
permitiría a un atacante comprometer un sistema que ejecute la versión
5.05 de este programa (aunque no se descarta que afecte también a
versiones anteriores).

El problema se debe a un error por falta de comprobación de tamaños de
variables en el código de la librería 'in_cdda.dll'. Esto puede ser
explotado de distintas formas para probar desbordamientos de buffer
basados en stack por ejemplo con sólo visitar una pagina web maliciosa
que contenga un archivo de lista de canciones '.m3u' especialmente
construido a tal efecto, lo que permitiría al atacante la ejecución
remota de código arbitrario.

Se recomienda actualizar a versión 5.06 a la mayor brevedad posible.
Esta versión está disponible en la siguiente dirección:
http://www.winamp.com/player/

A última hora ha surgido un intercambio de información entre el
descubridor de la vulnerabilidad y Nullsoft (desarrolladores de Winamp)
por la que la empresa afirma que la versión 5.06 está también afectada
por esta vulnerabilidad, lo que el descubridor desmiente.

Mientras se aclara esta polémica se recomienda como medida preventiva
disociar las extensiones "CDA y M3U" de los reproductores posiblemente
afectados por esta vulnerabilidad. Esta acción la podrán realizar desde
el panel de configuración.


Antonio Román
roman@hispasec.com


Más información:

Winamp - Buffer Overflow In IN_CDDA.dll
http://www.security-assessment.com/Papers/Winamp_IN_CDDA_Buffer_Overflow.pdf

Winamp - Buffer Overflow In IN_CDDA.dll
http://www.securityfocus.com/archive/1/382008/2004-11-22/2004-11-28/0

Winamp Buffer Overflow in IN_CDDA.dll Lets Remote Users Execute Arbitrary
Code
http://www.securitytracker.com/alerts/2004/Nov/1012307.html

Vulnerability Development: Winamp - Buffer Overflow In IN_CDDA.dll
http://seclists.org/lists/vuln-dev/2004/Nov/0030.html

jueves, 25 de noviembre de 2004

Actualización de seguridad del kernel Linux

Se publica una actualización del kernel Linux 2.4, solucionando varios
problemas de seguridad relacionados con la carga de ejecutables ELF.

Linux es un sistema operativo "Open Source" muy popular, tipo UNIX, con
una penetración muy amplia en entornos servidor y creciente en entornos
de escritorio.

Las versiones no actualizadas de los Kernel Linux contienen varias
vulnerabilidades en la carga de ejecutables en formato ELF, que es el
estándar más difundido en entornos tipo UNIX.

Las vulnerabilidades en el cargador ELF son las siguientes:

* Verificación incorrecta del valor de retorno de la función
"kernel_read()".

* Gestión incorrecta de errores en caso de fallo en la ejecución de
"mmap()".

* Gestión incorrecta de errores en el mapeo en memoria del segmento
"interpreter" del ejecutable ELF.

* No se comprueba que el ejecutable ELF contenga un nombre de intérprete
terminado correctamente con un byte nulo ("\0").

* Bajo ciertas circunstancias, puede ser posible leer ejecutables ELF
sin permiso de lectura, pero sí de ejecución.

Estas vulnerabilidades son más fácilmente explotables en situaciones de
alta carga, especialmente alta ocupación de memoria. También hay que
señalar que, en mayor o menor medida, afectan a todas las arquitecturas.

La combinación de estos errores pueden provocar desde la ejecución de
código con permisos de administrador o "root" (combiándola con la
ejecución de binarios SETUID) hasta la caída del sistema.

La versión 2.4.28 del kernel Linux soluciona estos problemas. Se
recomienda a todos los administradores de máquinas Linux 2.4 que
actualicen, sobre todo si dan servicio a usuarios locales no confiables.

Estas vulnerabilidades afectan también a la rama 2.6 del Kernel Linux,
pero todavía no se ha publicado una actualización oficial. Los
administradores preocupados pueden probar a instalar la versión no
oficial "2.6.10-rc2" o superior.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Linux 2.4.28 ChangeLog
http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.28

Linux kernel binfmt_elf loader vulnerabilities
http://www.isec.pl/vulnerabilities/isec-0017-binfmt_elf.txt

miércoles, 24 de noviembre de 2004

Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae)

En Hispasec seguimos recibiendo mensajes de usuarios que han sido
afectados por el gusano Pawur, alias Tasin, Inzae o Anzae, del que
ya informamos en una entrega anterior. Básicamente los comentarios
se dividen en dos grandes bloques, por un lado aquellos que se
lamentan de las perdidas sufridas por la acción del gusano, mientras
otros se quejan de las respuestas de determinadas casas antivirus.

El foco de infecciones sigue localizado en Hispanoamérica, con
especial incidencia en Chile. Desde allí recibimos gran cantidad
de mensajes de usuarios afectados que han perdido fotografías,
archivos de música MP3 y documentos de Office.

Efectivamente, el gusano contiene una rutina que borra los archivos
que contengan alguna de las siguientes extensiones: .asm, .asp,
.bdsproj, .bmp, .c, .cpp, .cs, .csproj, .css, .doc, .dpr, .frm,
.gif, .h, .htm, .html, .iso, .jpeg, .jpg, .mdb, .mp3, .nfm, .nrg,
.pas, .pcx, .pdf, .php, .ppt, .rar, .rc, .rc2, .reg, .resx, .rpt,
.sln, .txt, .vb, .vbp, .vbproj, .wav y .xls

En los últimos tiempos, afortunadamente, los gusanos de propagación
masiva no suelen incluir efectos dañinos directos, como es el
borrado de archivos o formateos de unidades, que si eran más
frecuentes en las primeras generaciones de virus.

Tal vez por este motivo la concienciación sobre los daños que
puede causar una infección se ha ido relajando, hasta el punto
que muchos usuarios pueden percibir la amenaza de los virus y
demás malware como un simple estorbo que puede retrasar o bloquear
su trabajo de forma puntual, o crear cierto caos durante unas
horas en la red de la empresa.

Sin embargo el gusano Pawur es un vivo ejemplo del riesgo real que
entraña no contar con una protección antivirus adecuada y, sobre
todo, una formación básica en seguridad.

No olvidemos que los antivirus, por definición, sólo pueden
proporcionar una seguridad relativa, de momento es imposible una
protección 100% segura contra los virus (pese a lo que digan en
sus anuncios), y esta debilidad se muestra especialmente en los
casos de nuevos especímenes.

Por tanto, desde Hispasec recordamos que es fundamental que los
usuarios sean conscientes de que ellos mismos son la mejor
protección contra los virus, y que deben seguir unas reglas
básicas de seguridad (no abrir archivos adjuntos no solicitados,
etc.).

Evidentemente esto es extrapolable a los entornos corporativos,
donde las empresas deberían poner tanto o más interés en formar
a sus empleados, como en dotar a sus sistemas de la protección
antivirus adecuada. Hay dos opciones, o ver y tener a los usuarios
como parte del problema, o formarlos y convertirlos en parte de la
solución.

También son muchos los que han mostrado su enfado por el retraso
en las notificaciones y actualizaciones antivirus. En esta ocasión
parece que la localización de la propagación, que se presentaba
con textos en español y que sólo ha afectado de forma significativa
en algunos países hispanoamericanos, ha condicionado que algunas
casas antivirus no hayan prestado la atención que se merecía a
juzgar por las incidencias que se están dando.

Deben ser los usuarios afectados, y registrados legalmente, los
que muestren su descontento y/o pidan explicaciones a sus respectivos
proveedores.

A continuación actualizamos los tiempos de reacción de cada solución
antivirus en proporcionar la protección a sus usuarios contra el
gusano.

En primer lugar destacaría NOD32 por detectarlo mediante heurística
antes de que se produjera su propagación:

NOD32 :: probably unknown NewHeur_PE

A continuación los tiempos en proporcionar la actualización específica
para el gusano (hora española):

Panda 19.11.2004 18:51:04 :: W32/Tasin.A.worm
Kaspersky 21.11.2004 04:18:37 :: I-Worm.VB.w
TrendMicro 22.11.2004 23:20:59 :: WORM_ANZAE.A
eTrust-Iris 23.11.2004 00:54:50 :: Win32/Inzae.A.Dropper
DrWeb 23.11.2004 07:02:49 :: Win32.HLLM.Pawur
Sophos 23.11.2004 11:06:02 W32/Anzae-A
BitDefender 23.11.2004 11:42:11 :: Win32.Worm.Pawur.A
NOD32 23.11.2004 11:48:06 :: Win32/Pawur.A
F-Prot 23.11.2004 15:40:32 :: W32/Pawur.A@mm
ClamAV 23.11.2004 18:31:11 :: Worm.Pawur.A
Symantec 23.11.2004 22:12:58 :: W32.Inzae.A@mm
Norman 24.11.2004 15:09:15 :: Anzae.A@mm
McAfee 24.11.2004 18:14:27 :: W32/Anzae.worm.a

Posteriormente a su primera firma, Kaspersky actualizó en dos
ocasiones para modificar el nombre con que detectaba al gusano:

Kaspersky 22.11.2004 04:05:02 :: I-Worm.Pawur.a
Kaspersky 24.11.2004 11:05:35 :: Email-Worm.Win32.Pawur.a

¿Y Sybari?

Aquellos que hayan utilizado el servicio de análisis de archivos
sospechosos VirusTotal (http://www.virustotal.com) habrán observado
que figura en los reportes una solución antivirus que no suele
aparecer en los listados de tiempos de reacción. Antigen de Sybari
es una solución de seguridad perimetral para servidores de correo,
que permite utilizar varios motores antivirus de forma simultánea,
si bien no puede ser utilizada por ejemplo en una estación de
trabajo como un antivirus residente o para realizar análisis a
demanda de unidades.

Las peculiaridades del producto, diferente al resto de motores
individuales integrados en VirusTotal, impiden de momento poder hacer
análisis retrospectivos para conocer en que momento exacto detectó
por primera vez una muestra determinada. Esta es la única razón por
la que no aparece en los listados de tiempo de reacción.

En el caso del gusano que nos ocupa Sybari lo puede detectar con
diferentes nombres, dependiendo de los motores integrados en la
solución.

Panda TruPrevent

Otro producto, cuyos resultados aun no puede ser reflejados en los
tiempos de reacción, es Panda TruPrevent, que se basa en análisis
del comportamiento en vez de análisis de código.

En este caso la dificultad se encuentra en automatizar el proceso
para obtener los resultados de reacción ante una muestra determinada,
ya que requiere la ejecución real del espécimen en un sistema para
poder determinar la respuesta de la solución.

En breve dedicaremos una entrega de una-al-día para explicar todas
estas peculiaridades e informar de las últimas novedades, funciones
y noticias relacionadas con VirusTotal.


Bernardo Quintero
bernardo@hispasec.com


Más información:

una-al-dia (22/11/2004) Gusano Anzae, Inzae, Pawur o Tasin
http://www.hispasec.com/unaaldia/2221

martes, 23 de noviembre de 2004

Ejecución de programas arbitrarios con iCal de Apple

Apple ha publicado una actualización de seguridad para su sistema
operativo Mac OS X, con objeto de cubrir una vulnerabilidad en la
aplicación de calendario iCal.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La vulnerabilidad anunciada puede ser explotada por un usuario
malicioso para lograr el compromiso del sistema afectado. El problema
reside en la posibilidad de ejecutar programas arbitrarios o enviar
correos electrónicos a través de alarmas del calendario, para lo cual
basta con que el atacante engañe al usuario para que abra o importe un
nuevo calendario iCal.

La actualización publicada por Apple muestra una ventana de alerta
cuando se importa o abren nuevos calendarios que incluyan alarmas. La
nueva versión de iCal 1.5.4 está disponible para Mac OS X 10.2.3 o
posterior en http://www.apple.com/ical/download/


Antonio Ropero
antonior@hispasec.com


Más información:

Apple Security Updates
http://docs.info.apple.com/article.html?artnum=61798

lunes, 22 de noviembre de 2004

Gusano Anzae, Inzae, Pawur o Tasin

Hispasec ha detectado en las últimas horas una considerable propagación
en países de habla hispana de un nuevo gusano que se propaga a través
de e-mail. De momento la respuesta de las casas antivirus es bastante
irregular, ya que muchas de ellas aun no detectan al espécimen pese a
las numerosas incidencias reportadas.

El gusano ha alcanzado el primer puesto en el Top 10 de las muestras
más enviadas a VirusTotal en las últimas 24 horas. Un análisis de la
procedencia de las mismas indica que son los países hispanoamericanos
los más afectados. Esta localización es debida a que el gusano sólo
utiliza textos en español para intentar engañar a sus potenciales
víctimas.

En el código del gusano, escrito en Visual Basic, podemos encontrar
una cadena, a modo de crédito, que situaría su procedencia en España:

-Worm by cUk- : -name Paula- : -version a- : -Date 01/11/04- : -Made in Spanish-:

Adicionalmente, el gusano intenta conectar con el sitio web del
ayuntamiento de Écija, en la provincia de Sevilla, España:

www.ecija.org

En cuanto a la nomenclatura del gusano, en el momento de escribir
estas líneas sólo 4 antivirus han proporcionado firmas específicas
para detectar el gusano, y de nuevo se evidencia la necesidad de
establecer algún mecanismo para homogeneizar los nombres, ya que
es identificado de 4 formas distintas: Anzae, Inzae, Pawur y Tasin.

En primer lugar destacaría NOD32 por detectarlo mediante heurística
antes de que se produjera su propagación:

NOD32 :: probably unknown NewHeur_PE

A continuación los tiempos de reacción, hora española, de los 4
antivirus que hasta el momento han proporcionado firmas específicas.
En este caso, a diferencia de otros gusanos de propagación masiva,
podemos observar que existen diferencias significativas en las
respuestas, destacando Panda que detectaba el gusano desde el día
19 y Kaspersky desde el día 21, horas antes de que se produjeran
los mayores ratios de propagación del gusano:

Panda 19.11.2004 18:51:04 :: W32/Tasin.A.worm
Kaspersky 21.11.2004 04:18:37 :: I-Worm.VB.w
TrendMicro 22.11.2004 23:20:59 :: WORM_ANZAE.A
eTrust-Iris 23.11.2004 00:54:50 :: Win32/Inzae.A.Dropper

Adicionalmente Kaspersky actualizó su firma el día 22 para modificar
el nombre con que detectaba al gusano:

Kaspersky 22.11.2004 04:05:02 :: I-Worm.Pawur.a

En la madrugada del día 23 aun no detectan al gusano los siguientes
motores antivirus:

AntiVir :: [no ha detectado nada]
BitDefender :: [no ha detectado nada]
ClamAV :: [no ha detectado nada]
DrWeb :: [no ha detectado nada]
F-Prot :: [no ha detectado nada]
McAfee :: [no ha detectado nada]
Norman :: [no ha detectado nada]
Sophos :: [no ha detectado nada]
Symantec :: [no ha detectado nada]

En cuanto al gusano, se propaga a través del correo electrónico con
unos textos fijos tanto en el asunto, cuerpo del e-mail, y nombre del
archivo adjunto, que elige al azar según las siguientes listas:

Asunto:

re:Amor verdadero
re:Como el aire...
re:Crees que puede ser verdad?
re:Dejate de rollos y vivé!!!
re:Eso con queso rima con...xD
re:La Luna
re:Neptuno y Mercurio
re:Psicología
re:xD no me lo puedo creer!!
re:Voodoo un tanto ps...


Cuerpo:

Crees en el amor de verdad?,miralo y ya hablamos,ciaooo
Esa moribunda y solitaria Luna,Impresionante!chao.
Mira lo que te mando y ya verás que los detalles mas pequeños son los
que importan,ciaoo
No comment,xDD ,Nos vemos!!
No veas que cosas xD,luego me cuentas,chao.
Que relación tienen estos planetas?,miralo y luego me cuentas,chao.
Renvíalo a todo que es que se meannn xD,nos vemos!
Será cierta la magia negra?,sal de dudas y ya me cuentas,chao.
Test para ver si andas bien de las neuronassss!xD,luego hablamos,chao.
Ver es creer!!!!chaoo.

Nombre del archivo adjunto:

D-Incógnito.zip
EL_rechazo.zip
Love-Me.zip
Moon(Luna).zip
My life(Mi vida).zip
Para-Brisas.zip
Planetario.zip
Psíquico-Mix.zip
Rimaz.zip
Voodoo!.zip


El gusano se copia en las unidades C:, D:, E: y F: con alguno de los
siguientes nombres de archivo:

inzae.pif
ph003.pif
simbolic3.pif
sin_mas_menos.pif
extasis8.pif
rd2_roberto.pif

En la carpeta de sistema de Windows crea los siguientes archivos:

Inzax.exe (visualiza los mensajes del gusano)
m.zip (copia del gusano)
svchosl.pif (copia del gusano)
sw.exe (SMTP para propagación del gusano)
sx.exe (SMTP para propagación del gusano)
sz.exe (SMTP para propagación del gusano)

Para asegurarse su ejecución en cada inicio de sistema, crea la típica
entrada en el registro de Windows en la clave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Svchosl = %systemdir%\svchosl.pif


Bernardo Quintero
bernardo@hispasec.com



domingo, 21 de noviembre de 2004

Vulnerabilidades en smbfs de Linux 2.x

Se han descubierto múltiples vulnerabilidades en el kernel de Linux
que pueden ser explotadas por usuarios maliciosos para provocar
denegaciones de servicio o acceder a memoria del kernel.

Las vulnerabilidades han sido localizadas en la implementación del
sistema de archivos smb (smbfs), y se deben a diversos errores a
la hora de tratar respuestas recibidas desde servidores, por lo que
la explotación con éxito requeriría que el atacante tuviese control
sobre un servidor smb malicioso o que pudiese interceptar y
manipular el tráfico involucrado.

De las siete vulnerabilidades descubiertas 6 afectan a la versión del
kernel 2.4 y 4 a la 2.6.

Se recomiendan a los usuarios afectados por esta vulnerabilidad la
actualización a la última versión del kernel de Linux.


Antonio Román
roman@hispasec.com


Más información:

Linux 2.x smbfs multiple remote vulnerabilities
http://security.e-matters.de/advisories/142004.html

sábado, 20 de noviembre de 2004

Parche de seguridad para X Window

El pasado día 17 la X.org Foundation puso a disposición de los
usuarios un parche que corrige un problema de seguridad que afecta al
sistema X Window y que fue dado a conocer el pasado 15 de septiembre.

Las vulnerabilidades en cuestión afectan a libXpm y permite que puedan
ser explotadas por usuarios maliciosos para provocar denegaciones de
servicio (DoS) o comprometer un sistema afectado.

Los problemas se deben a diversos errores, entre los que se encuentran
desbordamientos de entero, accesos a zonas de memoria inadecuadas o
errores de validación de entradas, y se han confirmado en las versiones
6.8.1 y anteriores de la librería en cuestión.

Se recomienda actualizar a la mayor brevedad posible. Las direcciones
para descargar dichos parches son las siguientes (según versión):

X.Org Release 6.8.0:
http://www.x.org/pub/X11R6.8.0/patches/xorg-680-CAN-2004-0914.patch

X.Org Release 6.8.1:
http://www.x.org/pub/X11R6.8.1/patches/xorg-681-CAN-2004-0914.patch


Antonio Román
roman@hispasec.com


Más información:

X.Org Foundation Security Advisory For The X Window System
http://www.x.org/pub/X11R6.8.1/patches/README.xorg-681-CAN-2004-0914.patch

viernes, 19 de noviembre de 2004

Gusano Sober.I se extiende por Europa

A primera hora de esta mañana ha comenzado la propagación de una nueva
variante de Sober, con especial incidencia en países como Alemania,
Austria o Suiza. Esta localización se explica porque el gusano utiliza
textos en alemán para enviarse por correo electrónico en caso de
detectar que la dirección de destino pertenece a un país de habla
alemana, utilizando el inglés para el resto. En España y países de
habla hispana la incidencia, hasta el momento, es baja.

Reacciones antivirus

La primera muestra de Sober.I de la que tenemos constancia fue enviada
a VirusTotal sobre las 08:05 de la mañana, en esta ocasión ninguno de
los antivirus que monitorizamos detectaba al gusano por heurística.
Los tiempos de reacción en proporcionar a sus clientes las
actualizaciones para detectar a Sober.I fueron los siguientes (hora de
España):

F-Prot 19.11.2004 08:34:48 :: W32/Clonz.A
ClamAV 19.11.2004 09:10:11 :: Worm.Sober.I
Panda 19.11.2004 09:26:13 :: W32/Sober.I.worm
Norman 19.11.2004 09:37:43 :: Sober.H@mm
Kaspersky 19.11.2004 09:46:10 :: Trojan.Win32.VB.qa
BitDefender 19.11.2004 09:51:03 :: Win32.Clonz.A@mm
NOD32v2 19.11.2004 10:27:55 :: Win32/Sober.I
TrendMicro 19.11.2004 11:14:50 :: WORM_SOBER.I
Sophos 19.11.2004 11:34:12 :: W32/Sober-I
Norton 19.11.2004 13:07:41 :: W32.Sober.I@mm
McAfee 19.11.2004 13:18:38 :: W32/Sober.j@MM
eTrust-Iris 19.11.2004 16:17:45 :: Win32/Sober.I.Worm

Posteriormente, algunos antivirus realizaron nuevas actualizaciones
para corregir el nombre del gusano con el que lo habían bautizado
en un primer momento:

F-Prot 19.11.2004 10:33:28 :: W32/Sober.J@mm
Norman 19.11.2004 12:32:46 :: Sober.I@mm
Kaspersky 19.11.2004 10:47:57 :: I-Worm.Sober.i
BitDefender 19.11.2004 10:21:41 :: Win32.Sober.I@mm

En esta ocasión podemos observar que casi se consigue unanimidad en
el nombre, Sober.I, a excepción de F-Prot y McAfee que lo detectan
como Sober.J. Es de agradecer este tipo de rectificaciones de cara
a homogeneizar resultados, reportes, etc., con el ánimo de que no
se trate de un caso puntual y aumenten en un futuro.

Respecto al gusano, Sober.I ha sido programado en Visual Basic y
comprimido con UPX. Utiliza su propio motor SMTP para enviarse
por correo electrónico, en un archivo adjunto con nombre aleatorio
y extensión .bat, .com, .pif, .scr o .zip.

Si ejecutamos el archivo infectado el gusano muestra una ventana
falsa de error simulando un problema de descompresión, con el
siguiente mensaje:

WinZip Self-Extractor

WinZip_Data_Module is missing ~Error: {1B0213AF}

Mientras que el usuario puede pensar que no puede abrir el archivo
adjunto debido al error, el gusano ya ha comenzado la infección
del sistema y su rutina de propagación para enviarse a otros
usuarios.

Crea dos copias en la carpeta de sistema de Windows con un nombre
que construye utilizando combinaciones con las siguientes cadenas:

sys
host
dir
expoler
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

Por ejemplo, una de las copias podría llamarse winlog.exe

Para asegurarse su ejecución en cada inicio de sistema introduce las
típicas entradas en el registro de Windows en la clave Run haciendo
referencia a los archivos anteriormente creados:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adicionalmente crea en la carpeta de sistema de Windows los
siguientes archivos:

nonzipsr.noz
clonzips.ssc
clsobern.isc
sb2run.dii
zippedsr.piz
dgssxy.yoi
cvqaikxt.apk
sysmms32.lla
Odin-Anon.Ger
winmprot.dal
winsend32.dal
winroot64.dal
winexerun.dal

Los cuatro últimos, con extensión .dal, los utiliza para almacenar
las direcciones de correo a las que enviarse. Las nuevas direcciones
las recolecta del sistema infectado, buscando e-mails en los
archivos con extensión pmr, stm, inbox, imb, csv, bak, ihm, xhtml,
imm, imh, cms, nws, vcf, ctl, dhtm, cgi, pp, ppt, msg, jsp, oft,
vbs, uin, ldb, abc, pst, cfg, mdw, mbx, mdx, mda, adp, nab, fdb,
vap, dsp, ade, sln, dsw, mde, frm, bas, adr, cls, ini, ldif, log,
mdb, xml, wsh, tbb, abx, abd, adb, pl, rtf, mmf, doc, ods, nch,
xls, nsf, txt, wab, eml, hlp, mht, nfo, php, asp, shtml y dbx.


Bernardo Quintero
bernardo@hispasec.com



jueves, 18 de noviembre de 2004

Oracle publicará sus parches de forma trimestral

Oracle ha anunciado que la publicación de las actualizaciones de su
software se realizarán de forma trimestral. Esta nueva planificación,
viene pocos meses después de que comunicara que estas actualizaciones
de seguridad se publicarían cada mes.

En un movimiento, que puede considerarse poco acertado, Oracle retrasa
aun más la distribución de parches, que serán distribuidos a todos los
usuarios a través de su sitio web de soporte cada comienzo de
trimestre. Las fechas prefijadas para el 2005 son el 18 de enero, 12 de
abril, 12 de julio y 18 de octubre.

Según Oracle, esta nueva programación permitirá a los usuarios planear
la instalación de parches, en vez de reaccionar con sorpresa ante las
alertas de actualizaciones. La compañía también ha dicho que este
programa de distribución servirá para ayudar a las compañías a evitar
el apagón de actualizaciones que se produce en los cierres de trimestre
económico, momento en que muchas empresas no actualizan los sistemas
debido a que se encuentran cerrando sus cuentas.

Otro argumento empleado por Oracle es que mediante esta distribución
pretende ayudar a las empresas a minimizar el coste de aplicación de
parches, al publicar una única actualización bien integrada y probada
que corregirá múltiples vulnerabilidades de gravedad.

El último parche publicado por la compañía fue el 31 de agosto, (con
una revisión del mismo el 24 de septiembre), momento en el que ya se
comprometió a la publicación mensual de parches. Desde dicha fecha no
se ha realizado ninguna distribución de parches más y este anuncio
puede significar que haya que esperar hasta enero para ver una nueva
actualización de Oracle.

Como ya hemos comentado en diversas ocasiones, esta política de
distribución de parches fue iniciada por Microsoft, con los mismos
argumentos que Oracle emplea en la actualidad. Aunque de igual forma ya
hemos comentado que nuestros lectores rebatieron estos razonamientos al
considerar que deben ser las propias empresas las que planifiquen sus
políticas de actualizaciones y que éstas no deben estar condicionadas
por terceras empresas.

Por otra parte, Oracle alarga el periodo entre actualizaciones a tres
meses, lo cual abre una ventana de tiempo aun mayor que cuando la
publicación se realiza de forma mensual.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (02/09/2004) Oracle comienza a distribuir sus parches de forma mensual
http://www.hispasec.com/unaaldia/2139

Oracle Moves To Quarterly Security-Patch Cycle
http://informationweek.com/story/showArticle.jhtml?articleID=53700526

Oracle to deliver security patches on quarterly basis
http://www.infoworld.com/article/04/11/18/HNoraclepatchquarterly_1.html

miércoles, 17 de noviembre de 2004

Un 44% de las páginas web bancarias españolas favorecen el phishing

En un estudio realizado por Hispasec sobre las páginas web de 50 entidades bancarias de España hemos podido comprobar que un 44% de ellas se ven afectadas por algún tipo de fallo de diseño que favorece los ataques de phishing.

El estudio se ha centrado en analizar los aspectos de diseño de la primera página web de autenticación del usuario que podrían permitir o facilitar la realización exitosa de ataques de phishing.

Los clientes de cualquier entidad pueden recibir un mensaje incitándoles a visitar un servidor falso, sin posibilidad de que la entidad pueda evitarlo. Sin embargo, el diseño de las páginas web de las entidades financieras es determinante para que el usuario pueda comprobar si realmente se encuentra en el servidor de su banco o, por el contrario, se trata de un servidor web falso que imitando al original trata de robarles sus credenciales.

Las características evaluadas se centran en la posibilidad de que el cliente pueda comprobar de forma sencilla que está conectando con el servidor seguro de la entidad. Para ello se examina el campo de dirección que aparece en el navegador, donde debe estar visible la URL completa, con el dominio al que
conecta precedido de https://, así como la existencia del candado cerrado o una llave completa que aparece en la barra de estado (en función del navegador utilizado), icono al que los usuarios pueden hacer doble click para visualizar información detallada del certificado de seguridad y comprobar que pertenece a la entidad bancaria.

De las 50 páginas de banca online analizadas por Hispasec, 19 de ellas (un 38 por ciento) no fuerzan a que el usuario introduzca sus credenciales de identificación en una página segura, aunque la transmisión de las mismas si se haga de forma segura. A efectos prácticos, en el momento que el usuario introduce sus credenciales (usuario y contraseña, identificado y pin, etc) no puede comprobar de forma sencilla que se encuentra realmente en el servidor web de la entidad.

Otro rasgo evaluado ha sido la existencia de la dirección URL en la página de identificación, de esta forma el usuario siempre puede comprobar que la URL a través de la que accede es correcta. Aunque en Hispasec ya hemos analizado en ediciones anteriores de una-al-dia, vulnerabilidades que permiten falsificar la URL en el navegador, si el propio sistema oculta dicha información el atacante tendrá mucha mayor facilidad para suplantar la identidad del banco.

Hay que señalar que este aspecto está más cuidado, ya que tan solo cinco (un diez por ciento) de las páginas analizadas carecían de URL en la ventana de autenticación de usuario. Por último, se han comprobado los certificados en aquellas páginas web cuyo formulario de autenticación se encontraban bajo una conexión segura, y en este aspecto ninguna entidad ha presentado ningún problema.

En total, de las 50 páginas de sistemas de banca electrónica analizadas, 22 de ellas (un 44%) se veían afectadas por alguno de los problemas de diseño mencionados de forma que impiden al usuario comprobar la autenticidad de la página de la entidad en el momento del acceso, lo cual es fundamental para dificultar la realización de ataques de phishing.

A continuación se muestra una tabla con los resultados obtenidos para cada una de las entidades:




Más información:

Descarga del estudio con la tabla completa con los resultados:
http://www.hispasec.com/directorio/laboratorio/articulos/EstudioBancaPhishing/estudio_banca_y_phishing.pdf

una-al-dia (30/09/2004) Implicaciones del diseño web en los ataques
"phishing"
http://www.hispasec.com/unaaldia/2168

martes, 16 de noviembre de 2004

Guía de seguridad de la NSA para "Panther"

En este caso la (SNAC) Systems and Network Attack Center,
división de la NSA encargada del control de la red y de los
delitos informáticos, se ha fijado en Apple Mac OS X v10.3.x
o más popularmente conocido como "Panther" para la publicación
de una interesante guía de seguridad para este sistema operativo.

La guía consta de más de 100 páginas y pretende dar una orientación
clara sobre los parámetros mínimos de seguridad que debe de soportar
Mac OS.

El documento puede bajarse de la dirección:
http://www.nsa.gov/snac/os/applemac/osx_client_final_v.1.pdf

En su tercera página la guía da una idea clara de lo que debe ser su
utilización indicando claramente que esta no debe ser la única
referencia a la hora de implementar medidas de seguridad. Igualmente
se indica que la guía está realizada única y exclusivamente para la
versión v10.3.x no debiéndose extrapolar las recomendaciones a otros
sistemas o versiones de Mac.


Antonio Román
roman@hispasec.com


Más información:

NSA
http://www.nsa.gov/snac/

NSA's OS X Security Guide
http://www.macosxhints.com/article.php?story=20041031032641484

Apple Mac OS X v10.3.x "Panther" Security Configuration Guide
http://www.spymac.com/weblog/?pageid=25512

lunes, 15 de noviembre de 2004

Troyano que captura contraseñas de acceso a la banca online

Banker-AJ es un troyano que reside de forma silenciosa en los PC
con Windows que logra infectar. Únicamente se activa cuando el
usuario visita determinadas sedes web de bancos ingleses,
capturando las credenciales de acceso e incluso capturando las
pantallas para conocer el estado de las cuentas corrientes.

Una de las tendencias que vemos en los últimos meses es la
eliminación de las distinciones entre los diferentes tipos de
malware. Cada días es más difícil definirlos como simples virus,
gusanos, troyanos y otras variantes. La mayoría de los virus
actuales utilizan las tácticas de los gusanos para su
distribución y muchos troyanos pueden actuar como auténticos
virus.

Como muestra de esta nueva evolución del malware, el troyano
Banker-AJ. Se trata de un troyano que se instala en los
ordenadores que ejecutan el sistema operativo Windows y queda
latente, esperando que se realice una visita a alguna de las
sedes web de banca online (Abbey, Barclays, Egg, HSBC, Lloyds
TSB, Nationwide y NatWest). En el momento que el usuario visita
una de estas sedes, el troyano se activa y captura las
credenciales de acceso (usuario y contraseña). Esta información
es enviada automáticamente a los autores del troyano, de forma
que éstos disponen de todos los datos requeridos para poder
acceder fraudulentamente a las cuentas de los usuarios
infectados.

Pero el troyano va más allá. Para que los autores del mismo
puedan determinar si realmente vale la pena utilizar las
credenciales obtenidas, el troyano realiza capturas de pantalla
mientras el usuario está dentro del banco online. Estas capturas
de pantalla también están a disposición de los atacantes, por lo
que conocen los saldos de las diferentes cuentas corrientes.

Banker-AJ representa una nueva evolución en el malware, altamente
especializado y con un objetivo muy concreto. También puede
llegar a considerarse una nueva forma de phishing donde si bien
continua necesitando que el usuario realice una operación
concreta (acceder a la banca online) esta acción no precisa
ninguna actuación específica por parte del atacante como puede
ser el envío de un mensaje que simule el servicio web atacado.


Xavier Caballé
xavi@hispasec.com


Más información:

Trojan horse spies on Web banking
http://news.com.com/Trojan+horse+spies+on+Web+banking/2100-
7349_3-5448622.html?part=rss&tag=5448622&subj=news.7349.5

Trojan Mugs UK Web Banking
http://www.linuxinsider.com/story/news/38058.html

Sophos Virus Analysis: Banker-AJ
http://www.sophos.com/virusinfo/analyses/trojbankeraj.html

Secunia Virus Information: Banker-AJ
http://secunia.com/virus_information/13289/banker-aj/

domingo, 14 de noviembre de 2004

Denegación de servicio en dispositivos Cisco IOS 12.2

Se ha anunciado la existencia de una vulnerabilidad de denegación de
servicio en dispositivos Cisco IOS de la rama 12.2S en el tratamiento
de paquetes DHCP.

Un usuario remoto podrá provocar que el interfaz destino deje de
procesar tráfico. Para ello bastará con que el atacante envíe paquetes
DHCP especialmente creados de forma que permanecerán en la cola de
entrada. Cuando esta cola esté llena, el interfaz dejará de procesar
todo el trafico (tanto IP como no-IP). Será necesario un reinicio del
dispositivo para recuperar la funcionalidad habitual.

Para corregir esta vulnerabilidad Cisco ha publicado una actualización
del sistema operativo IOS disponible para su descarga en el Centro de
Software de su sitio web (http://www.cisco.com/). Además, existen
cuatro posibles contramedidas para evitarl el problema que pasan por
desactivar el servicio DHCP, el uso de políticas "control-plane" o
dos versiones diferentes de listas de control de acceso.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS DHCP Blocked Interface Denial-of-Service
http://www.cisco.com/warp/public/707/cisco-sa-20041110-dhcp.shtml

sábado, 13 de noviembre de 2004

Nueva actualización de seguridad de MacOS X

Apple publica una nueva actualización de seguridad para su sistema
operativo MacOS X.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La actualización de seguridad soluciona una vulnerabilidad en el "Apple
Remote Desktop" que evita que un usuario remoto pueda lanzar una
aplicación "detrás" de la pantalla de "login", con privilegios de
administrador o "root".

La vulnerabilidad afecta a la versión 10.3.* de MacOS X, con "Apple
Remote Desktop" versión 1.2.4 y "Fast User Switching" activado.

La actualización para MacOS X 10.3.*, de descarga gratuita, tiene un
tamaño de 432 Kbytes.

Es de destacar que esta actualización no está presente en la reciente
actualización del sistema operativo de Apple, 10.3.6. Es decir, hay que
aplicar este parche AUNQUE se haya actualizado a MacOS X 10.3.6.

El parche no es necesario si se está usando la versión 2.1 de "Apple
Remote Desktop".


Jesús Cea Avión
jcea@hispasec.com


Más información:

Security Update 2004-10-27 (ARD) 1.0
http://www.apple.com/support/downloads//securityupdate20041027ard.html

Apple Security Updates
http://docs.info.apple.com/article.html?artnum=61798

viernes, 12 de noviembre de 2004

Actualización de seguridad de Samba 3

Las versiones no actualizadas de Samba son susceptibles a un ataque de
denegación de servicio que permite que un atacante remoto consuma una
gran cantidad de recursos, especialmente CPU. Con la suficiente
insistencia, el servidor SAMBA puede quedar inaccesible para el resto de
usuarios.

Samba es una implementación Unix "Open Source" del protocolo
SMB/NetBIOS, utilizada para la compartición de archivos e impresora en
entornos Windows. Gracias a este programa, se puede lograr que máquinas
Unix y Windows convivan amigablemente en una red local, compartiendo
recursos comunes. Incluso es factible utilizar un servidor Samba para,
por ejemplo, actuar como controlador de un dominio Microsoft Windows.

La vulnerabilidad reside en la gestión de máscaras de nombre de
ficheros, y es explotable por cualquier usuario remoto con acceso al
servidor SAMBA.

Hispasec recomienda a todos los administradores de sistemas SAMBA que
actualicen cuanto antes a la versión 3.0.8, especialmente si el servidor
es accesible a usuarios no confiables. Es de destacar que existen dos
versiones 3.0.8 publicadas, la primera de las cuales contiene varios
errores en la documentación y en los permisos. Si ha descargado Samba
3.0.8 antes del 9 de Noviembre, deberá descargar la versión actualizada.

Hispasec también recomienda, como siempre, que se compruebe la firma
digital del código Samba que se vaya a instalar, para asegurar su
autenticidad e integridad.


Jesús Cea Avión
jcea@hispasec.com


Más información:

SAMBA
http://www.samba.org/samba/

Security Notice -- CVE CAN-2004-0930
http://www.samba.org/samba/news/#security_3.0.8

CAN-2004-0930: Potential Remote Denial of Service Vulnerability in Samba
3.0.x <= 3.0.7
http://www.samba.org/samba/security/CAN-2004-0930.html

Samba 3.0.8 Available for Download
http://www.samba.org/samba/news/#3.0.8

ERRATA: Samba 3.0.8
http://www.samba.org/samba/news/#errata_3.0.8

jueves, 11 de noviembre de 2004

Vulnerabilidad en mecanismo de autenticación de Cisco Secure ACS 3.3.1

Se ha descubierto una vulnerabilidad en Cisco Secure Access Control
Server y en Cisco Secure ACS Solution Engine que puede ser explotado
por atacantes para saltarse mecanismos de autenticación de usuarios,
pudiendo acceder a cualquier recurso que utilice como control de acceso
una versión vulnerable.

Cisco Secure Access Control Server para Windows (ACS Windows) y Cisco
Secure Access Control Server Solution Engine (ACS Solution Engine)
proporcionan servicios centralizados de autenticación, autorización y
cuentas y políticas de acceso a dispositivos de red como servidores de
acceso a red, Cisco PIX y routers.

El problema anunciado se debe a que es posible autenticarse mediante
el uso de un certificado no válido, pero criptográficamente correcto
(que, por ejemplo, prevenga de un CA que no sea de confianza o haya
caducado), siempre que se utilice un nombre válido de usuario.

Para una posible explotación de esta vulnerabilidad el dispositivo
tendría que estar configurado para utilizar EAP-TLS (Extensible
Authentication Protocol-Transport Layer Security) salvo en algunas
excepciones. Por ejemplo no sería posible la explotación de la
vulnerabilidad si EAP-TLS está configurado para hacer solamente
comparación binaria de certificados como método único de
comparación y si la entrada de usuario en LDAP/AD (Lightweight
Directory Access Protocol/Active Directory) contiene únicamente
certificados válidos.

El fabricante recomienda la actualización a la versión 3.3.2 o en su
caso a puesto a disposición de los usuarios unas dll, que corrigen
el problema. Las dll pueden bajarse de:


Antonio Román
roman@hispasec.com


Más información:

Cisco Security Advisory: Vulnerability in Cisco Secure Access Control
Server EAP-TLS Authentication
http://www.cisco.com/en/US/products/products_security_advisory09186a008033320e.shtml

Cisco Secure Access Control Server EAP-TLS Bug Lets Remote Users Be
Authenticated Without Proper Credentials
http://www.securitytracker.com/alerts/2004/Nov/1012046.html

Cisco Secure Access Control Server EAP-TLS Authentication
http://security-protocols.com/modules.php?name=News&file=article&sid=2214

miércoles, 10 de noviembre de 2004

Solución al criptojuego del sexto aniversario de "una-al-dia"

Coincidiendo con el sexto aniversario de "una-al-dia" introducimos al
inicio de los boletines, sin previo aviso, un texto cifrado. En la
entrega de hoy desvelamos el contenido y premiamos a los lectores más
curiosos.

La idea era hacer un guiño a los lectores de una-al-dia proponiendo
un pequeño reto para conmemorar el sexto aniversario de "una-al-día".
Con el ánimo de que todo el mundo pudiera participar se optó por
utilizar tres algoritmos fáciles de descifrar, dos clásicos y uno
menos ortodoxo.

Tal vez lo más complicado era percatarse de la existencia del texto
cifrado, situado al comienzo del boletín, por lo que sin duda para
muchos de nuestros lectores pasó desapercibido. Una vez identificado,
había que dedicar algo de tiempo a su análisis sin tener un fin
justificado. Apelábamos a la curiosidad.

A continuación reproducimos una de las cabeceras publicadas:

------------------------------- ¿¿¿¿¿¿ -------------------------------
zk bue g kyixohox at ysy iut kr subor
7432928163216243833273742173436331328262212153314321
wrsbo wp jxbkegx o fyblhjs itpgvxmcjml
------------------------------- ?????? -------------------------------

Lista de los 5 primeros lectores que nos enviaron el texto descifrado:

- Javier Gutiérrez Saldaña
Responsable de desarrollo
Madrid

- Antonio Izquierdo Manzanares
Grupo de Seguridad T.I y C., dep. Informática. Univ. Carlos III
Madrid

- Roberto P. H.
Responsable de informática
Madrid

-Iñaki Páramo Bocigas
Programador Web
Bizkaia

- Julio García Pérez
Desarrollo de aplicaciones informáticas
Toledo

Como premio simbólico, a todos ellos, y al resto de lectores que
descifraron el criptograma, se les enviará una camiseta conmemorativa
con el eslogan "yo una-al-dia" en el dorso y, en la espalda, una de
nuestras claves públicas PGP con algunos caracteres resaltados, de
forma que en la distancia se puede leer el texto "HISPASEC".

Detalle en la espalda de las camisetas:
http://www.hispasec.com/images/laboratorio/unaaldia/pgpcamiseta.png

A continuación reproducimos algunos comentarios de Julio García,
uno de los cinco primeros lectores que nos hizo llegar la solución,
donde explica los métodos que empleó para resolverlo.



--------------------------------------------------------
Parte 1
--------------------------------------------------------
Para la primera parte analicé por encima las letras usadas y la alta
presencia de letras poco habituales como "k", "x" e "y" me delató
claramente que no se trata de una transposición de filas y/o columnas,
así que probando métodos clásicos vemos que se trata de un cifrado Cesar
en el que las letras han sido desplazadas 6 veces. Para descifrarlo sólo
tenemos que desplazar cada letra 6 posiciones a la izquierda.

Herramientas: Programa propio para cifrar/descifrar con métodos
clásicos.

Cifrado : zk bue g kyixohox at ysy iut kr subor
Texto Plano : TE VOY A ESCRIBIR UN SMS CON EL MOVIL

--------------------------------------------------------
Parte 2
--------------------------------------------------------
Esta primera parte nos dice cómo resolver la segunda, aunque de todas
formas está bastante claro si nos fijamos en el patrón que siguen los
números, los cogemos de dos en dos y tenemos: primer número entre 2 y 9,
segundo número entre 1 y 4.

Para resolver esta segunda parte nos fijamos en el teclado del teléfono
móvil y la secuencia a seguir es: [Nº a pulsar][Nº de pulsaciones][Nº a
pulsar][Nº de pulsaciones]... Y esto nos dirá a qué letra corresponde
cada par de números. Así por ejemplo 74 será pulsar 4 veces el número 7
con lo que obtenemos la letra "S".

Herramientas: Teléfono móvil.

Cifrado : 7432928163216243833273742173436331328262212153314321
Texto Plano : S E X T O A N I V E R S A R I O D E U N A A L D I A

Que agrupado correctamente dice: "SEXTO ANIVERSARIO DE UNA AL DIA"

--------------------------------------------------------
Parte 3
--------------------------------------------------------
Por último tenemos un texto extraño parecido al primero pero algo menos
evidente. Haciendo un análisis de frecuencias detectamos que puede ser
un cifrado Vigenere con una clave de 5 letras. Como la primera palabra
del segundo texto es "SEXTO" probamos y exactamente se trata de la clave
y el cifrado correcto.

Herramientas: Programa similar a Vigsolve adaptado para usar las
frecuencias de letras en castellano.

Cifrado : wrsbo wp jxbkegx o fyblhjs itpgvxmcjml
Texto Plano : ENVIA EL MENSAJE A NUESTRO LABORATORIO




Por último, en nombre de todo el equipo de Hispasec, quiero agradecer
a todos los usuarios, profesionales, empresas y organismos, el apoyo e
interés demostrados por una-al-dia, principal estímulo de nuestro
trabajo y auténticos "culpables" de que ya pensemos en celebrar el
próximo aniversario.


Bernardo Quintero
bernardo@hispasec.com



martes, 9 de noviembre de 2004

Actualización de seguridad para Microsoft ISA Server 2000 y Proxy Server 2.0

Hoy segundo martes de noviembre Microsoft ha publicado las
actualizaciones desarrolladas desde el pasado mes. En esta ocasión sólo
se ha publicado una nueva actualización calificada como importante. El
problema afecta a ISA Server 2000 y Proxy Server 2.0, además de a Small
Business Server 2000 y 2003 Premium Edition (ya que incluyen ISA Server
2000) y que podría permitir la suplantación de contenido en Internet.

El problema reside en el método que el software afectado emplea para
almacenar los resultados de búsquedas o consultas DNS inversas. Este
componente cache, puede ser explotado para hacer creer a un usuario que
está accediendo a contenido de confianza cuando en realidad accede a
contenido malicioso (por ejemplo, una página web falsificada).

Las actualizaciones publicadas son las siguientes:
Para Microsoft Proxy Server 2.0 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=55643141-91E3-4474-8134-72887BC6FC18
Para Microsoft Internet Security and Acceleration Server 2000 (ISA
Server 2000)
http://www.microsoft.com/downloads/details.aspx?FamilyId=7A4C318F-5AC9-4CF2-8792-A4A62076EBE7
Microsoft Small Business Server 2000 y Microsoft Small Business Server
2003 Premium Edition incluyen ISA Server 2000 por lo que deberán
instalar la actualización correspondiente a este software.

Hay que señalar que para potenciar la política de distribución de
actualizaciones y facilitar la distribución de parches, Microsoft
anunció en la RSA Conference 2004 de Barcelona la extensión del
programa de boletines de seguridad con objeto de adelantar a los
usuarios determinada información sobre los boletines mensuales.

A partir de este mes la compañía de Redmon publica con tres días
laborables de antelación antes de los boletines mensuales información
sobre el número de boletines que se emitirán, su severidad y los
productos afectados. Si bien la información adelantada es muy limitada
con objeto de evitar cualquier posible riesgo y con el propósito de
ayudar en la planificación de instalación de las actualizaciones. Está
información estará disponible en
http://www.microsoft.com/technet/security/bulletin/advance.mspx.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS04-039
Vulnerability in ISA Server 2000 and Proxy Server 2.0 Could Allow
Internet Content Spoofing
http://www.microsoft.com/technet/security/bulletin/MS04-039.mspx

lunes, 8 de noviembre de 2004

RSA Conference 2004 (Barcelona). Resumen

La semana pasada se celebró en Barcelona la edición europea de la
RSA Conference, uno de los eventos más importantes de reflexión
sobre la seguridad informática.

La RSA Conference es uno de aquellos eventos que permiten palpar
las tendencias en seguridad informática y escuchar a algunas de
las figuras más influyentes a nivel mundial. La edición europea
de este año, celebrada en Barcelona, ha reunido a varios
centenares de profesionales de la seguridad informática, casi
todos extranjeros.

El calendario de actividades, muy denso, incluía un extenso
repertorio de charlas técnicas sobre diversos aspectos, desde la
privacidad a ejemplos prácticos de implementaciones de medidas de
seguridad, pasando por los nuevos retos de protección de redes
cada vez más complejas. A pesar de ser una conferencia organizada
por un fabricante de productos de seguridad informática, el
conjunto de las charlas ha sido bastante neutral en el aspecto
comercial. Ha primado el intercambio de información y
conocimientos por encima del intento de "vender" productos
concretos.

Paralelamente a las charlas, la conferencia también ha incluido
diversas sesiones plenarias donde se ha presentado una visión
global de los nuevos retos de la seguridad informática.

De esta forma se ha indicado la necesidad de ofrecer nuevos
mecanismos de autenticación fuerte, como base fundamental para la
implementación de las medidas de seguridad que requieren los
nuevos servicios online. Los diversos ponentes han coincidido que
si no conseguimos disponer de mecanismos de autenticación más
avanzados a los actuales, será muy difícil aumentar el nivel de
seguridad de los nuevos servicios de Internet.

Una muestra de los problemas que abordamos en la actualidad como
consecuencia de la ausencia de mecanismos efectivos de
autenticación e identidad es el creciente impacto que tienen los
ataques Phishing, en los que un estafador suplanta la identidad
de alguien de confianza para conseguir que los usuarios le
faciliten información personal. Muchos bancos y empresas de
comercio electrónico han sufrido este tipo de ataques de
suplantación durante estos últimos meses y la previsión es que la
tendencia sea de un notable aumento de este tipo de ataques.

De cara al usuario final, la tendencia pasa por aumentar las
medidas de seguridad en los ordenadores personales así como
conseguir que los diversos sistemas de protección se comuniquen
entre ellos para así poder responder de una forma coordinada. Una
nueva medida en la que están trabajando los diversos fabricantes
es el control del comportamiento, de forma que se puedan fijar
reglas de las acciones autorizadas a los usuarios y/o
aplicaciones.

Por último, se mostró una preocupación por la creciente
implicación del crimen organizado en los incidentes de seguridad
informática que afectan a las instituciones gubernamentales y a
las empresas de comercio electrónico. La preocupación ante este
tipo de atacantes viene por la complejidad en rastrear e
identificar a los autores y también por la cantidad de recursos
que disponen para la realización de ataques complejos y
coordinados.


Xavier Caballé
xavi@hispasec.com


Más información:

una-al-dia (21/10/2004) RSA Conference 2004 (Barcelona)
http://www.hispasec.com/unaaldia/2189

domingo, 7 de noviembre de 2004

Denegación de servicio en Apache 2.0.x

Se ha descubierto una vulnerabilidad en el servidor web Apache
(versiones 2.0.x a partir de la 2.0.52 y anteriores) que permitiría a
un usuario malicioso provocar un gran consumo de recursos en el
sistema objetivo del ataque.

Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.

Un atacante puede enviar múltiples peticiones GET HTTP, especialmente
formadas a tal efecto y con gran cantidad de espacios que provocarán
una denegación de servicio en el sistema vulnerable debido al elevado
consumo de recursos que generan. El desarrollador ha informado de
que la comprobación de límites de campos no es suficientemente
robusta, y por ello se puede aprovechar la circunstancia construyendo
dichas peticiones maliciosas.

Un ejemplo de explotación de esta vulnerabilidad sería la siguiente:
GET / HTTP/1.0\n
[espacio] x 8000\n
[espacio] x 8000\n
[espacio] x 8000\n
.
.
(8000 veces).

Inicialmente se ha anunciado que el problema afecta a las versiones
para Unix y Linux, aunque no se descarta que afecte a otras
plataformas.

Para corregir el problema, se ha publicado una versión de desarrollo
con identificador de versión 2.0.53-dev (disponible vía CVS).


Julio Canto
jcanto@hispasec.com


Más información:

Apache Web Server Error in Processing Requests With Many Space
Characters Lets Remote Users Deny Service
http://www.securitytracker.com/alerts/2004/Nov/1012083.html

sábado, 6 de noviembre de 2004

Actualización a Apache 1.3.33

La fundación Apache recomienda actualizar a la recién publicada versión
1.3.33 de su popular servidor HTTP.

Apache es el servidor web más popular del mundo, disponible en
código fuente y para infinidad de plataformas, incluyendo diversas
implementaciones de UNIX, Microsoft Windows, OS/2 y Novell NetWare.
En Septiembre de 2004, Apache era la elección de casi el 68% de los
servidores web de Internet.

Las versiones 1.3.* no actualizadas del servidor HTTP Apache contienen
un desbordamiento de búfer en la gestión de SSI ("Server Side
Includes"), que permite que un usuario con capacidad de modificación de
páginas web pueda ejecutar código arbitrario en el servidor.

Hispasec recomienda a todos los administradores de sistemas Apache 1.3.*
que actualicen a la versión 1.3.33.

Las vulnerabilidades descritas no afectan a la rama 2.0.* del servidor
Apache.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache 1.3.33 Released
http://apache.slashdot.org/article.pl?sid=04/10/29/0034258

http://httpd.apache.org/
The Apache HTTP Server Project

Apache HTTP Server 1.3.33 Released
http://www.apache.org/dist/httpd/Announcement.html

Changes with Apache 1.3.33
http://www.apache.org/dist/httpd/CHANGES_1.3

Buffer overflow in the get_tag function in mod_include for Apache 1.3.x
to 1.3.32 allows local users who can create SSI documents to execute
arbitrary code as the apache user via SSI (XSSI) documents that trigger
a length calculation error.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0940

viernes, 5 de noviembre de 2004

Nuevos contenidos en CriptoRed (octubre 2004)

Breve resumen de las novedades producidas durante el mes de octubre de
2004 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Libro Electrónico de Seguridad en Protocolos TCP/IP y Servicios Asociados
http://www.criptored.upm.es/paginas/docencia.htm#librose

- Tesis Doctoral Curvas Elípticas de Cardinal Par Sobre Cuerpos Finitos
y Volcanes de 2-isogenias. Algoritmos y Aplicaciones
http://www.criptored.upm.es/paginas/investigacion.htm#tesis

- Códigos de Buenas Prácticas de Seguridad. UNE-ISO/IEC 17799
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

- Impacto de Recientes Ataques de Colisiones Contra Funciones de Hashing
de Uso Corriente
http://www.criptored.upm.es/paginas/docencia.htm#gtletraI

- Modelos de No Repudio para Escenarios de Comercio Electrónico
http://www.criptored.upm.es/paginas/docencia.htm#gtletraM

Puedes encontrar otros documentos en:
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION:

- Noviembre 8 al 12 de 2004: Jornadas Chilenas de Computación 2004 (Chile)
http://parinacota.uta.cl/jcc2004/

- Noviembre 15 al 17 de 2004: Sesión Seguridad y Criptografía en los
Negocios y Economía WSEAS (Italia)
http://www.worldses.org/conferences/2004/italy/mcbe/index.html

- Noviembre 18 y 19 de 2004: Día Internacional de Seguridad en Cómputo
(Colombia)
http://www.utp.edu.co/disc/

- Noviembre 24 y 25 de 2004: Seminario Espacio TISEC 2004 Campo de las
Naciones de Madrid (España)
http://www.revistasic.com/tisec

- Noviembre 30 a Diciembre 3 de 2004: III Congreso Internacional de
Telemática CITEL 2004 (Cuba)
http://www.cujae.edu.cu/eventos/Citel2004/

- Enero 31 a Febrero 4 de 2005: Sesión Tendencias Actuales en la
Criptología en Congreso MAT.es (España)
http://www.uv.es/mat.es2005/Cripto/mates2005/index.html

- Febrero 16 al 18 de 2005: X edición del Congreso Nacional de Internet,
Telecomunicaciones y Sociedad de la Información (España)
http://www.aui.es/mundointernet/

- Abril 11 al 13 de 2005: Track on e-gaming, International Conference on
Information Technology ITCC 2005 (Estados Unidos)
http://crises.etse.urv.es/itcc2005/

- Mayo 24 al 25 de 2005: Workshop on Security In Information Systems
WOSIS-2005 (Estados Unidos)
http://www.iceis.org/workshops/wosis/wosis2005-cfp.html

- Junio 6 al 8 de 2005: 7th Information Hiding Workshop IH2005 (España)
http://kison.uoc.edu/IH05

- Septiembre 14 al 16 de 2005: Simposio Seguridad Informática I Congreso
Español de Informática CEDI 2005 (España)
http://cedi2005.ugr.es/simposios.shtml

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN:

- Master en Auditoría y Seguridad Informática en la UPM (España)
- Master en Administración y Gestión de Seguridad de la Información en
la UCM (España)
- Master en Tecnologías de Seguridad Informática esCERT-UPC (España)
- Master Tecnologías Información y Seguridad en la UCLM (España)
- Curso Experto en Seguridad Informática en la MU (España)
- Especialización en Criptografía y Seguridad Teleinformática en IESE
(Argentina)
- Diplomado en Seguridad Computacional en la Universidad de Chile (Chile)
- Diplomados en Seguridad Informática (México)
- Cursos de Seguridad Informática en el esCERT-UPC (España)
- Cursos de Seguridad Informática del Instituto para la Seguridad en
Internet ISI (España)
- Programa de Formación en Gestión de la Seguridad de la Información de
AENOR (España)
- Cursos de CYBSEC (Argentina - Ecuador)
- Curso Gratuito de Seguridad Informática en Madrid del FSE en UC3M (España)
- Curso Gratuito de Seguridad Informática en Madrid del FSE en la UPM
(España)
- Curso la Seguridad de la Información en la Empresa de esCERT (España)
- Cursos de Seguridad en Wi-Fi de IIR (España)
- Talleres de Seguridad Informática en la UNAM (México)

Puedes encontrar los enlaces y más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE OCTUBRE DE 2004:

- CFP para el 7th Information Hiding Workshop IH2005 (España)
http://kison.uoc.edu/IH05

- CFP Simposio sobre Seguridad Informática en Congreso CEDI 2005 (España)
http://cedi2005.ugr.es/simposios.shtml

- Sesión Tendencias Actuales en la Criptología en Congreso MAT.es (España)
http://www.uv.es/mat.es2005/Cripto/mates2005/index.html

- Seminario Espacio TISEC 2004 Campo de las Naciones de Madrid (España)
http://www.revistasic.com/tisec

- Día Internacional de Seguridad en Cómputo en la UNAL (Colombia)
http://www.utp.edu.co/disc/

- Quinta edición del Hackmeeting 2004 en Sevilla (España)
http://www.sevilla.hacklabs.org/

- RSA Conference Europe 2004 se celebra en Barcelona (España)
http://2004.rsaconference.com/europe/

- Primer Encuentro entre Agencias Autonómicas de Protección de Datos
(España)
http://www.madrid.org/comun/org_apd/0,3575,97778857_52885686_110812884_12302425,00.html

- Edición Octubre 2004 de Conferencias FIST en la URJC - Madrid (España)
http://www.fistconference.org/

- Curso Gratuito de Seguridad Informática en Madrid del FSE en UC3M (España)
http://www.fundacion.uc3m.es/Extension/Cursos/FormacionOcupacional/2004_05/15.htm

- Curso Gratuito de Seguridad Informática en Madrid del FSE en la UPM
(España)
http://www.upm.es/servicios/fcontinua/5095.html

- Curso de Seguridad en Wi-Fi de IIR en Madrid y Barcelona (España)
http://www.iir.es/Evento/eventonew.asp?idConvocatoria=1806&idEvento=1827&procedencia=emailiircs531

- Curso la Seguridad de la Información en la Empresa de esCERT (España)
http://www.eventosinternet.com/convocatorias/041108_curso_seguridad/formulario_rellenar.asp

5. OTROS DATOS DE INTERES EN LA RED:

- Número actual de miembros en la red: 474
http://www.criptored.upm.es/paginas/particulares.htm

- 21.786 visitas, 214.427 hits, 18.684 archivos zip descargados y 24,13
GBytes servidos en octubre de 2004
http://www.criptored.upm.es/cgi-bin/awstats.pl?month=10&year=2004&output=main&config=www.criptored.upm.es&framename=index

- CIBSI '05: noviembre de 2005, Valparaíso (Chile)
Organizador: Universidad Técnica Federico Santa María
http://www.utfsm.cl/
Próximamente se activará la url y se enviará el primer CFP


Jorge Ramió Aguirre
Coordinador General CriptoRed



jueves, 4 de noviembre de 2004

Resolución del concurso Honeynet Project SotM 32

Publicados los resultados del concurso de seguridad Scan of the Month
(SotM) número 32, dedicado al análisis de "RaDa", un malware diseñado
para la ocasión.

Como ya anunciamos en una entrega anterior, el objetivo principal del
concurso era aprender de la comunidad los métodos, herramientas y
procedimientos empleados para el análisis de malware, dada una muestra
determinada. Los responsables del reto, diseñadores tanto de "RaDa"
como del seguimiento y fallo del concurso, han sido Jorge Ortiz,
David Pérez y Raúl Siles, de HP España.

En la web del desafío, una vez resuelto, podemos encontrar un informe
del análisis llevado a cabo por los organizadores, con gran nivel de
detalle. Igualmente se encuentran publicados los trabajos de los tres
ganadores del concurso y un Top 10 de los concursantes que han quedado
destacados.

Sin duda, se trata de una lectura muy recomendable para conocer
metodologías y herramientas utilizadas en el análisis de malware, con
la posibilidad de poder reproducir de forma práctica las diferentes
investigaciones al tener acceso al espécimen examinado.

Todos los detalles en http://www.honeynet.org/scans/scan32/


Bernardo Quintero
bernardo@hispasec.com


Más información:

una-al-dia (03/09/2004) Nuevo concurso de seguridad de Honeynet Project
http://www.hispasec.com/unaaldia/2140

Scan 32
http://www.honeynet.org/scans/scan32/

Scan of The Month 32 Write-up
Discovering the secrets of RaDa.exe
http://www.honeynet.org/scans/scan32/sotm32.pdf

miércoles, 3 de noviembre de 2004

Actualización de seguridad de libxml2

Las versiones de "libxml2" no actualizadas contienen un desbordamiento
de búfer explotable de forma remota, que permite que un atacante remoto
ejecute código arbitrario.

"libxml2" es una librería Open Source para el procesamiento de
documentos en formato XML, utilizada por infinidad de programas.

Se recomienda encarecidamente a todos los administradores que actualicen
a la última versión de la librería. Como verificación, el hash MD5 del
fichero "libxml2-sources-2.6.15.tar.gz" es
"e36b5fefea0c00f3af3a538db31eee69".

Por ser una librería, los programas que la utilicen como librería
dinámica disfrutarán de la nueva versión en cuanto sean reiniciados. En
caso de compilación estática, los programas afectados deberán ser
recompilados o, al menos, reenlazados de nuevo.


Jesús Cea Avión
jcea@hispasec.com


Más información:

The XML C parser and toolkit of Gnome
http://xmlsoft.org/

Releases
http://xmlsoft.org/news.html

Código fuente
http://xmlsoft.org/sources/

martes, 2 de noviembre de 2004

Técnicas phishing afectan a Internet Explorer

Detectadas dos técnicas que están siendo utilizadas en ataques
phishing para falsear la URL en la barra de direcciones y en la barra
de estado aprovechando vulnerabilidades y/o "funcionalidades" de
Internet Explorer.

Falsear URL en la barra de direcciones

En Hispasec hemos podido comprobar en las últimas horas como esta
técnica está siendo utilizada en un nuevo ataque phishing destinado
a usuarios de la entidad Citibank.

Consiste en crear una ventana emergente justo en la posición donde
aparece la URL en la barra de dirección de Internet Explorer, de
forma que se superpone y oculta la dirección real del servidor web
del atacante donde realmente se encuentra el usuario, mostrando en
su lugar la URL de la entidad bancaria.

A nivel de código, se trata de una sencilla función JavaScript que
en primer lugar calcula dinámicamente la posición donde se encuentra
la URL en la barra de direcciones. Una vez obtiene la posición, crea
ahí una ventana emergente con el método windows.createPopup(), que
visualiza la dirección falsa mediante HTML y con el mismo tipo y
tamaño de letra que utiliza Internet Explorer por defecto.

A efectos prácticos, el usuario recibe un mensaje, aparentemente de
la entidad bancaria, donde le invita a visitar el sitio de la
entidad con alguna excusa, normalmente relacionada con la seguridad.
El mensaje incluye un enlace que supuestamente le dirige a la web
de la entidad. Si el usuario pincha en el enlace, puede observar
como aparece la web de la entidad y que en la barra de direcciones
de Internet Explorer aparece la URL correcta, incluyendo el prefijo
https:// como si estuviera en una conexión segura.

En realidad el usuario está navegando en el servidor web del atacante,
que ha copiado los contenidos de la web de la entidad, y ha
aprovechado la vulnerabilidad de Internet Explorer para falsear la
dirección en el navegador y que el usuario no sospeche. Si el usuario
introduce las claves para acceder a su cuenta, éstas son enviadas
directamente al atacante, que podrá utilizarlas para suplantar la
identidad del usuario legítimo y entrar en su cuenta.

En el momento de escribir estas líneas, el servidor y las páginas
utilizadas para el ataque phishing de Citibank sigue activo, de forma
que se puede observar exáctamente como funciona en la siguiente
dirección (recordar que es una web falsa, y no debemos introducir
datos reales):

http://200.189.70.90/citi/

El diseño del ataque tiene algunos fallos o problemas que se pueden
evidenciar, dependiendo de la configuración de Internet Explorer, con
la visualización de la URL falsa en un lugar incorrecto. Esto puede
ocurrir, por ejemplo, si la barra de dirección no se encuentra en su
lugar por defecto, o si poseemos otras barras debajo de la barra de
direcciones.

Si se observa el código JavaScript del atacante, puede observarse
como el cálculo dinámico de la posición mantiene unas constantes
fijas:

vuln_x= window./* */screenLeft+68;
vuln_y= window.screenTop-21;

La posición X la calcula sumando 68 desde el lateral izquierdo y la
posición Y restando 21 desde el tope superior de la pantalla web. Sin
embargo la posición donde se encuentra la barra de dirección puede
variar, por ejemplo, si tenemos las barras de herramienta bloqueadas
o no. Podemos probar a modificar la opción desde el menú Ver -> Barra
de herramientas, y observar la diferencia. Una vez desbloqueada, si
movemos la barra de direcciones cambiando su posición Y, por ejemplo
situándola más arriba junto a los botones estándar, la ventana falsa
quedará totalmente descolocada.

Adicionalmente observaremos como la ventana emergente con la
dirección falsa sigue visualizándose cuando minimizados el Internet
Explorer o cambiamos de tarea y nos situamos en otra aplicación.


Falsear URL en la barra de estado

La barra de estado se encuentra en la parte inferior del navegador,
y también puede ayudar a prevenir ataques phishing basados en enlaces
HTML falsos. Al situar el cursor encima de un enlace HTML, en la barra
de estado aparece la dirección real a la que apunta,
independientemente del texto o imagen que aparece en el HTML.

Existe una vulnerabilidad en Internet Explorer que permite crear un
enlace HTML que apunte a una dirección y que, al situar el cursor
encima del enlace, visualice en la barra de estado otra dirección.

El código HTML sería:

">

Pincha aquí
">Pincha aquí


Si visualizamos una página web con dicho código, podemos observar
un enlace con el texto "Pincha aquí". Si situamos el cursor encima
de dicho enlace, en la barra de estado de Internet Explorer (parte
inferior), aparecerá http://www.microsoft.com. Sin embargo, si
pinchamos en el enlace, nos llevará a http://www.hispasec.com


Es previsible la aparición de nuevos ataques phishing que aprovechen
una o ambas de estás técnicas, por lo que recordamos a los usuarios
que no deben utilizar los enlaces a entidades bancarias y servicios
similares que puedan llegarle a través de mensajes de correo
electrónico, y en su lugar deberán escribir la URL directamente en
su navegador.

Dado el auge del phishing, las entidades también deberían plantearse
el implantar nuevos sistemas para mitigar este tipo de fraudes. Los
ataques phishing no deben contemplarse únicamente como una
responsabilidad del cliente, ya que existen numerosas estrategias y
tecnologías que pueden desplegarse desde la entidad para asegurar
las conexiones de sus usuarios.


Bernardo Quintero
bernardo@hispasec.com


Más información:

una-al-dia (30/09/2004) Implicaciones del diseño web en los ataques "phishing"
http://www.hispasec.com/unaaldia/2168

una-al-dia (25/09/2004) Nuevo caso de "phishing" a clientes de Banesto
http://www.hispasec.com/unaaldia/2163

una-al-dia (27/05/2004) Continúan los intentos de estafa contra bancos españoles
http://www.hispasec.com/unaaldia/2041

una-al-dia (22/02/2004) Nuevo intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1946

una-al-dia (28/01/2004) Nuevo intento de estafa sobre los usuarios de la banca electrónica de Banesto
http://www.hispasec.com/unaaldia/1921

una-al-dia (11/01/2004) Intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1904

una-al-dia (23/08/2003) Nuevo caso de "phishing", esta vez con Citibank
http://www.hispasec.com/unaaldia/1763

una-al-dia (20/05/2003) Intento de fraude a los clientes del BBVA
http://www.hispasec.com/unaaldia/1668

lunes, 1 de noviembre de 2004

Desbordamiento de buffer en PuTTY

Un desbordamiento de buffer en PuTTY permite a un atacante remoto
ejecutar código arbitrario con los mismos privilegios del usuario
que ejecuta la utilidad.

PuTTY es una implementación Open Source gratuita de los protocolos
Telnet y SSH para plataformas Win32 y Unix. En versiones vulnerables
de PuTTY existe un desbordamiento de buffer explotable en el proceso
de los paquetes SSH2_MSG_DEBUG.

Detalles de la vulnerabilidad pueden encontrarse en el aviso de
IDefense: http://www.idefense.com/application/poi/display?id=155

Simon Tatham, desarrollador de PuTTY, ha publicado una nueva
versión 0.56 que corrige la vulnerabilidad, disponible en la dirección
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html


Bernardo Quintero
bernardo@hispasec.com


Más información:

PuTTY SSH2_MSG_DEBUG Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=155