lunes, 28 de febrero de 2005

Actualización de cyrus-imapd para SuSE Linux 8 y 9

SuSE ha publicado paquetes actualizados de cyrus-imapd para sus
sistemas Linux 8 y 9 debido a que se han detectado vulnerabilidades
en dicho componente que podrían ser explotadas para provocar
denegaciones de servicio o incluso comprometer la seguridad del
propio sistema.

Un problema de control de tamaños de variables en el tratamiento de
buzones de correo puede ser explotado por un usuario malicioso
autenticado para provocar un desbordamiento de búfer.

Otro problema del mismo tipo en la extensión imapd annotate puede ser
también explotado por usuarios maliciosos autenticados para provocar
desbordamientos de búfer.

Igualmente existe otro error de tratamiento de tamaños de variables, sin
especificar, se ha detectado en fetchnews, y puede ser explotado por
administradores de peer news para provocar un desbordamiento de búfer
basado en stack.

En backend existe otro error del mismo tipo que puede ser usado por
usuarios administrativos maliciosos para provocar desbordamientos de
búfer basados en stack.

Finalmente, otro error utilizable para provocar desbordamientos de
búfer basados en stack ha sido detectado en el propio imapd.

Las direcciones para descargar los paquetes actualizados (según versión
y plataforma) son las siguientes:

Plataforma x86:

SUSE Linux 9.2:
ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/i586/cyrus-imapd-2.2.8-6.5.i586.rpm

SUSE Linux 9.1:
ftp://ftp.suse.com/pub/suse/i386/update/9.1/rpm/i586/cyrus-imapd-2.2.3-83.22.i586.rpm

SUSE Linux 9.0:
ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/i586/cyrus-imapd-2.1.15-91.i586.rpm

SUSE Linux 8.2:
ftp://ftp.suse.com/pub/suse/i386/update/8.2/rpm/i586/cyrus-imapd-2.1.12-77.i586.rpm

Plataforma x86-64:

SUSE Linux 9.2:
ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/x86_64/cyrus-imapd-2.2.8-6.5.x86_64.rpm
ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/src/cyrus-imapd-2.2.8-6.5.src.rpm

SUSE Linux 9.1:
ftp://ftp.suse.com/pub/suse/x86_64/update/9.1/rpm/x86_64/cyrus-imapd-2.2.3-83.22.x86_64.rpm
ftp://ftp.suse.com/pub/suse/x86_64/update/9.1/rpm/src/cyrus-imapd-2.2.3-83.22.src.rpm

SUSE Linux 9.0:
ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/x86_64/cyrus-imapd-2.1.15-91.x86_64.rpm
ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/src/cyrus-imapd-2.1.15-91.src.rpm


Antonio Román
roman@hispasec.com


Más información:

SUSE Security Announcement: cyrus-imapd buffer overflows (SUSE-SA:2005:009)
http://www.novell.com/linux/security/advisories/2005_09_cyrus_imapd.html

domingo, 27 de febrero de 2005

La pregunta secreta del caso "Paris Hilton"

Hace apenas unos días saltó la noticia de que los contenidos del
teléfono móvil de Paris Hilton habían sido publicados en Internet. En
un principio se barajó la posibilidad de que hubieran accedido a
la tarjeta SIM, o de que se tratara de una intrusión a los servidores
de T-Mobile aprovechando inyecciones SQL. Al final parece ser que el
método empleado fue mucho más sencillo, bastaba con contestar a la
pregunta "¿cuál es el nombre de su mascota favorita?".

El teléfono de Paris Hilton, un Sidekick II de T-Mobile, permite
mantener una copia de los contenidos en un servidor de Internet,
accesible a través de la web. Como ocurre en muchos servicios en
línea, T-Mobile utiliza el método de preguntas secretas para permitir
el acceso a aquellos usuarios que han olvidado sus contraseñas. De
forma que si eres capaz de contestar a la pregunta secreta, tienes
opción a introducir una nueva contraseña.

Paris Hilton eligió la pregunta "¿cuál es el nombre de su mascota
favorita?" por si algún día se olvidaba de su contraseña. Aunque
evidentemente es más fácil para un atacante acertar el nombre de una
mascota o el color favorito de una persona que una contraseña a priori
aleatoria, el caso de Paris Hilton roza lo esperpéntico. El nombre de
su perro chihuahua era bien conocido a raíz de que la famosa heredera
ofreciera en el pasado una recompensa de varios miles de dólares tras
extraviarlo.

El resultado de tanto despropósito es que a día de hoy cualquiera
puede descargar todo el contenido del móvil de Paris Hilton. Entre
otras cosas podemos encontrar los números de teléfono de Christina
Aguilera, Avril Lavigne, Eminem, o Anna Kournikova, entre los más de
400 contactos con e-mail o teléfonos que mantenía almacenados. También
se puede acceder a 35 fotos que había realizado con su móvil, entre
las que se puede ver desde a su perro hasta algunas más subiditas de
tono realizadas con una amiga.

Para terminar es posible darse un paseo por su agenda, donde por
descontado encontraremos anotaciones de todos locales que frecuenta,
e incluso podemos escuchar varias llamadas que mantiene almacenadas.
Para ello ya no es necesario conocer el nombre del chihuahua,
"Tinkerbell", ahora basta con hacer una simple búsqueda en eMule y
bajarse el archivo de moda.

Dejando a un lado las anécdotas de este caso particular, queda en
evidencia el gran riesgo que implica el método de preguntas secretas.
No tiene sentido alguno "proteger" una contraseña con algo más
débil, como es contestar a preguntas tipo como cual es nuestro color
favorito. Precisamente Bruce Schneier criticaba hace unos días esta
práctica, aunque fue más lejos y terminó por enterrar a las propias
contraseñas.

Lo cierto es que cualquiera de nosotros que en alguna ocasión nos
haya tocado administrar servicios con una gran cantidad de usuarios
hemos sufrido el problema de las contraseñas. Por un lado les
pedimos a los usuarios unos mínimos a la hora de elegirlas para que
no sean fáciles de adivinar, y por el otro pretendemos que no nos
llamen cada cinco minutos porque se les ha olvidado o han bloqueado
la cuenta al realizar más de cinco intentos fallidos.

Esa es otra, llegado el momento de la llamada al administrador del
servicio para reiniciar la contraseña, ahora a ver como se las
ingenia para estar seguro de que quién llama por teléfono, cuya voz
es la primera vez que escucha, es quién dice ser. Al final terminan
preguntando datos personales pero que también pueden ser más o menos
fáciles de conseguir. En definitiva, caldo de cultivo para los
ataques de ingeniería social.

Y tú, dejando a un lado los sistemas alternativos de autenticación,
¿cómo resuelves el problemas de las contraseñas en tus servicios?


Bernardo Quintero
bernardo@hispasec.com


Más información:

The Curse of the Secret Question
http://www.schneier.com/blog/archives/2005/02/the_curse_of_th.html

El lado humano de las contraseñas
http://www.hispasec.com/unaaldia/2245

sábado, 26 de febrero de 2005

Nuevo Firefox 1.0.1 corrige 17 vulnerabilidades

Disponible la nueva versión 1.0.1 de Firefox que corrige 17
vulnerabilidades de diversa consideración, entre otras el problema
que favorecía los ataques phishing utilizando caracteres
internacionales en el nombre de dominio.

Tal y como anunciamos a principios de mes, el problema se debe a un
error en el tratamiento de IDN (International Domain Name), que
permite el uso de caracteres internacionales en nombres de dominio.
Esta circunstancia puede ser explotada para registrar nombres de
dominio con ciertos caracteres internacionales que se parecen a
otros de uso común, con lo que se puede engañar al usuario.

A efectos prácticos, es posible enlazar con un dominio que tiene
la dirección http://www.payp& #1072;l.com/ y que el usuario
visualice en su navegador la URL http://www.paypal.com/

Este tipo de vulnerabilidades son aprovechadas especialmente por
los ataques phishing, ya que facilita engañar al usuario para que
crea que se encuentra navegando en un sitio web legítimo, cuando
en realidad estará introduciendo sus credenciales en el sitio web
del atacante.

Este problema afectaba, además de a Firefox, a Konqueror, Mozilla,
OmniWeb, Opera, Safari, Netscape. En esta ocasión se libraba
Internet Explorer al no soportar IDN.

La nueva versión Firefox 1.0.1 corrige además otras vulnerabilidades,
hasta un total de 17:

MFSA 2005-29 Internationalized Domain Name (IDN) homograph spoofing
MFSA 2005-28 Unsafe /tmp/plugtmp directory exploitable to erase user's files
MFSA 2005-27 Plugins can be used to load privileged content
MFSA 2005-26 Cross-site scripting by dropping javascript: link on tab
MFSA 2005-25 Image drag and drop executable spoofing
MFSA 2005-24 HTTP auth prompt tab spoofing
MFSA 2005-23 Download dialog source spoofing
MFSA 2005-22 Download dialog spoofing using Content-Disposition header
MFSA 2005-21 Overwrite arbitrary files downloading .lnk twice
MFSA 2005-20 XSLT can include stylesheets from arbitrary hosts
MFSA 2005-19 Autocomplete data leak
MFSA 2005-18 Memory overwrite in string library
MFSA 2005-17 Install source spoofing with user:pass@host
MFSA 2005-16 Spoofing download and security dialogs with overlapping windows
MFSA 2005-15 Heap overflow possible in UTF8 to Unicode conversion
MFSA 2005-14 SSL "secure site" indicator spoofing
MFSA 2005-13 Window Injection Spoofing

Firefox 1.0.1 está disponible para su descarga en la dirección
http://www.mozilla.org/products/firefox/


Bernardo Quintero
bernardo@hispasec.com


Más información:

una-al-dia (06/02/2005) Falsificación de direcciones por problema con IDN en diversos navegadores
http://www.hispasec.com/unaaldia/2297

viernes, 25 de febrero de 2005

Vulnerabilidad crítica en productos Trend Micro

Una vulnerabilidad al procesar los archivos ARJ puede ser explotada
por un atacante para ejecutar código arbitrario y comprometer los
sistemas con algún producto antivirus de Trend Micro.

La explotación puede ser llevada a cabo de forma automática, sin
necesidad de que la víctima realice ninguna acción, ya que basta
con que el sistema reciba un archivo ARJ especialmente diseñado y
que éste sea analizado por el antivirus de Trend Micro.

Tanto estaciones de trabajo, como servidores de correo, servidores
de archivos, proxys, y en general cualquier sistema que mantenga
alguno de los siguientes productos de Trend Micro, puede resultar
comprometido:

Trend Micro Client / Server / Messaging Suite for SMB for Windows
Trend Micro Client / Server Suite for SMB for Windows
Trend Micro InterScan eManager
Trend Micro InterScan Messaging Security Suite for Linux
Trend Micro InterScan Messaging Security Suite for Solaris
Trend Micro InterScan Messaging Security Suite for Windows
Trend Micro InterScan VirusWall for AIX
Trend Micro InterScan VirusWall for HP-UX
Trend Micro InterScan VirusWall for Linux
Trend Micro InterScan VirusWall for SMB
Trend Micro InterScan VirusWall for Solaris
Trend Micro InterScan VirusWall for Windows
Trend Micro InterScan Web Security Suite for Linux
Trend Micro InterScan Web Security Suite for Solaris
Trend Micro InterScan Web Security Suite for Windows
Trend Micro InterScan WebManager
Trend Micro InterScan WebProtect for ISA
Trend Micro OfficeScan Corp. Edition
Trend Micro PC-cillin Internet Security
Trend Micro PortalProtect for SharePoint
Trend Micro ScanMail eManager
Trend Micro ScanMail for Lotus Domino on AIX
Trend Micro ScanMail for Lotus Domino on AS/400
Trend Micro ScanMail for Lotus Domino on S/390
Trend Micro ScanMail for Lotus Domino on Solaris
Trend Micro ScanMail for Lotus Domino on Windows
Trend Micro ScanMail for Microsoft Exchange
Trend Micro ServerProtect for Linux
Trend Micro ServerProtect for Windows

Trend Micro ha publicado una nueva versión de su motor, VSAPI 7.510,
que corrige el problema, y que puede ser descargada según producto
en la dirección http://www.trendmicro.com/download/engine.asp


Bernardo Quintero
bernardo@hispasec.com


Más información:

Trend Micro AntiVirus Library Heap Overflow
http://xforce.iss.net/xforce/alerts/id/189

Vulnerability in VSAPI ARJ parsing could allow Remote Code execution
http://www.trendmicro.com/vinfo/secadvisories/default6.asp?VName=Vulnerability+in+VSAPI+ARJ+parsing+could+allow+Remote+Code+execution

jueves, 24 de febrero de 2005

Diversas vulnerabilidades en dispositivos Cisco ACNS

Cisco ha anunciado la existencia de diversos problemas de seguridad en
dispositivos que ejecutan el software Cisco Application and Content
Networking System (ACNS). Los problemas pueden permitir a un usuario
malicioso la realización de ataques de denegación de servicio y además
se ven afectados por la existencia de una contraseña administrativa por
defecto.

Los dispositivos que cuentan con ACNS son:
* Cisco 500 Series Content Engines
* Cisco 7300 Series Content Engines
* Cisco Content Routers 4400 series
* Cisco Content Distribution Manager 4600 series
* Cisco Content Engine Module para Cisco 2600, 2800, 3600, 3700 y 3800
series Integrated Service Routers

Los dispositivos que ejecutan ACNS pueden ser vulnerables a ataques de
denegación de servicio cuando son configurados como servidor proxy
transparente, servidor proxy forward o servidor proxy inverso.

Cisco ha publicado actualizaciones para corregir las vulnerabilidades de
denegación de servicio disponible a través del centro de software en el
sitio web de Cisco (http://www.cisco.com). La cuenta administrativa con
contraseña por defecto no requiere una actualización del software ya que
puede ser cambiada mediante un comando de configuración.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco Security Advisory: ACNS Denial of
Service and Default Admin Password Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20050224-acnsdos.shtml

miércoles, 23 de febrero de 2005

Problema de seguridad en librería XMLRPC de Python

La librería estándar python "SimpleXMLRPCServer.py" contiene un grave
problema de seguridad que permite que un atacante remoto acceda a datos
y ejecute métodos arbitrarios en el servidor.

Python es un lenguaje de programación sencillo pero extremadamente
potente y versátil, cuya popularidad crece día a día.

Las implementaciones no actualizadas de "SimpleXMLRPCServer.py",
librería estándar en las versiones recientes de Python, permiten que un
atacante remoto acceda a las interioridades de los objetos registrados,
sus módulos y, posiblemente, otros módulos.

La vulnerabilidad afecta exclusivamente a los servidores XMLRPC que
utilicen el método "register_instance()" para registrar un objeto sin
método "_dispatch()". Los servidores XMLRPC que utilicen
"register_function()" no están afectados.

Esta vulnerabilidad no afecta al servidor de aplicaciones ZOPE, ya que
dispone de su propia implementación XMLRPC. Tampoco afecta a otros
sistema RPC Python, como Pyro o las diversas implementaciones CORBA
disponibles.

El equipo Python ha publicado la versión 2.3.5 de este intérprete,
solucionando la vulnerabilidad en cuestión y unos cincuenta problemas
menores adicionales.

La publicación de la versión 2.4.1 de Python es inminente también.
Hispasec recomienda a todos los usuarios de Python que actualicen a
dicha versión en cuanto sea oficial. Quien no pueda esperar, por
exportar servicios XMLRPC a clientes potencialmente maliciosos, disponen
de un parche público a tal efecto.

Los usuarios de Python 2.2, descatalogada, disponen también de un parche
para su sistema.


Jesús Cea Avión
jcea@hispasec.com


Más información:

PSF-2005-001 - SimpleXMLRPCServer.py allows unrestricted traversal
http://www.python.org/security/PSF-2005-001/

Python 2.3.5
http://www.python.org/2.3.5/

Parche para Python 2.3 y 2.4
http://www.python.org/security/PSF-2005-001/patch.txt

Parche para Python 2.2
http://www.python.org/security/PSF-2005-001/patch-2.2.txt

11.23 SimpleXMLRPCServer -- Basic XML-RPC server
http://docs.python.org/lib/module-SimpleXMLRPCServer.html

Python
http://www.python.org/

martes, 22 de febrero de 2005

Grave problema de seguridad en "mailman"

La versión actual de "mailman" contiene un grave problema de seguridad
que permite que cualquier suscriptor de cualquier lista de correo pueda
acceder a archivos arbitrarios en el servidor que hospede el servicio
"mailman".

Mailman es un gestor de listas de distribución por correo electrónico
muy popular. Programado en Python, está sustituyendo rápidamente a los
viejos entornos "majordomo", por su interfaz gráfica, su buen nivel de
integración de funciones y fácil modificación.

La versión actual de "mailman" contiene una vulnerabilidad que permite
que cualquier suscriptor de una lista de correo pueda leer cualquier
fichero del sistema, accesible al usuario "mailman" o "apache".

La vulnerabilidad afecta a las versiones 2.1 de "mailman", incluyendo la
actual, 2.1.5. Los desarrolladores de "mailman" han publicado la versión
2.1.6b4, que soluciona este problema, pero es aún una versión "beta".
Para aquellos que no quieran actualizar a la versión 2.1.6b4,
experimental, se pueden aplicar las siguientes soluciones:

* Eliminar el fichero "mailman/cgi-bin/private". Hacer esto, no
obstante, impedirá que los usuarios puedan acceder a los archivos de
una lista de correo, si son privados.

* Se puede aplicar el siguiente parche a la versión 2.1.5:

Index: private.py
===================================================================
RCS file: /cvsroot/mailman/mailman/Mailman/Cgi/private.py,v
retrieving revision 2.16.2.1
diff -u -r2.16.2.1 private.py
--- private.py 8 Feb 2003 07:13:50 -0000 2.16.2.1
+++ private.py 10 Feb 2005 03:34:21 -0000
@@ -1,4 +1,4 @@
-# Copyright (C) 1998-2003 by the Free Software Foundation, Inc.
+# Copyright (C) 1998-2005 by the Free Software Foundation, Inc.
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
@@ -35,13 +35,17 @@
_ = i18n._
i18n.set_language(mm_cfg.DEFAULT_SERVER_LANGUAGE)

+SLASH = '/'
+


def true_path(path):
"Ensure that the path is safe by removing .."
- path = path.replace('../', '')
- path = path.replace('./', '')
- return path[1:]
+ parts = path.split(SLASH)
+ safe = [x for x in parts if x not in ('.', '..')]
+ if parts <> safe:
+ syslog('mischief', 'Directory traversal attack thwarted')
+ return SLASH.join(safe)[1:]

Se siga la vía que se siga, Hispasec recomienda a los administradores
de sistemas "mailman" que actualicen a la versión 2.1.6 en cuanto esté
disponible.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Mailman security issues
http://www.list.org/security.html

Parche para "mailman" 2.1.5
http://www.list.org/CAN-2005-0202.txt

Mailman, the GNU Mailing List Manager
http://www.list.org/

lunes, 21 de febrero de 2005

Denegación de servicio en Gaim 1.x

Se han descubierto dos fallos en Gaim (versiones 1.x) que pueden ser
explotados por usuarios maliciosos para provocar denegaciones de
servicio.

Gaim es un cliente de Mensajería Instantánea para Linux, BSD, MacOS X
y Windows. Es compatible con las redes de AIM (protocolos Oscar y TOC),
ICQ, MSN Messenger, Yahoo, IRC, Jabber, Gadu-Gadu y Zephyr. Esta
compatibilidad le permite de forma simultanea gestionar todos los
clientes antes mencionados.

Un error en el procesamiento de paquetes SNAC puede ser explotado
para hacer que el Gaim del usuario no responda al recibir paquetes
especialmente formados a tal efecto.

También se ha detectado un error en el procesamiento de HTML, y que
puede ser explotado para tirar la aplicación cuando se reciben
documentos de este tipo especialmente construidos.

Se recomienda actualizar a la versión 1.1.3, disponible en la
siguiente dirección:
http://gaim.sourceforge.net/downloads.php


Antonio Román
roman@hispasec.com


Más información:

AIM/ICQ remote denial of service
http://gaim.sourceforge.net/security/index.php?id=10

Remote DoS on receiving malformed HTML
http://gaim.sourceforge.net/security/index.php?id=11

domingo, 20 de febrero de 2005

Desbordamientos de entero en PuTTY

Se han descubierto dos vulnerabilidades en PuTTY (versiones anteriores
a la 0.57), que pueden ser explotadas por usuarios maliciosos para
comprometer el sistema de una víctima.

PuTTY es una implementación Open Source gratuita de los protocolos
Telnet y SSH para plataformas Win32 y Unix.

La primera de las vulnerabilidades anunciadas reside en un desbordamiento
de entero en la función 'fxp_readdir_recv()' (localizada en el archivo
sftp.c) que puede ser explotado para ejecutar código arbitrario usando
un servidor SFTP (SSH File Transfer Protocol) al enviar una respuesta
especial al comando 'FXP_READDIR'.

También se ha descubierto un desbordamiento de entero en la función
'sftp_pkt_getstring()', y también puede ser explotado para ejecutar
código arbitrario usando un servidor SFTP malicioso que envie una
cadena de campo especialmente formada a tal efecto.

En ambos casos, hace falta haber pasado el proceso de verificación de
clave de host para poder explotar las vulnerabilidades.

Se recomienda actualizar a la versión 0.57 a la mayor brevedad
posible:
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html


Julio Canto
jcanto@hispasec.com


Más información:

PuTTY vulnerability vuln-sftp-readdir
http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-sftp-readdir.html

PuTTY vulnerability vuln-sftp-string
http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-sftp-string.html

sábado, 19 de febrero de 2005

Inyección de scripts y vulnerabilidad XSS en ASP.NET

Se ha descubierto una vulnerabilidad en ASP.NET que podría
(potencialmente) ser explotada por usuarios maliciosos para realizar
ataques de inyección de scripts y de cross site scripting.

Dicha vulnerabilidad se debe a un error de validación de entradas en
el filtrado de caracteres HTML especiales cuando se dan como de tipo
unicode en los mecanismos de seguridad "Request Validation" y
"HttpServerUtility.HtmlEncode". Esta circunstancia puede ser explotada
para, por ejemplo, ejecutar código HTML arbitrario en la sesión del
navegador de la víctima. La explotación con éxito de esta
vulnerabilidad requiere que la codificación de la respuesta se haga
con una codificación ASCII nacional (lo que no es una configuración
por defecto).

La vulnerabilidad ha sido confirmada en la versión 1.1.4322.573 de
Microsoft .NET Framework, aunque también se ha informado sobre ella en
las versiones 1.0 (con SP2 y anteriores) y la 1.1 (con SP1 y
anteriores).

Se recomienda activar las respuestas como unicode (que es la
configuración por defecto).


Julio Canto
jcanto@hispasec.com


Más información:

XSS vulnerability in ASP.Net
http://it-project.ru/andir/docs/aspxvuln/aspxvuln.en.xml

viernes, 18 de febrero de 2005

Desbordamiento de búfer en KDE 3.3

Se han descubierto varias vulnerabilidades en KDE (versiones de la 3.3
a la 3.3.2) que podrían ser explotadas por usuarios maliciosos para
realizar escaladas de privilegios y comprometer un sistema afectado.

KDE (K Desktop Environment) proporciona un entorno de escritorio gráfico
en los sistemas operativos Unix. Se trata de un proyecto de código
abierto, muy maduro y de gran calidad.

Las vulnerabilidades detectadas se deben a errores en el tratamiento
de tamaños de variables que pueden ser explotados para provocar
desbordamientos de búfer. Concretamente las vulnerabilidades residen en
el componente 'fliccd' de INDI (Instrument Neutral Distributed Interface),
KDE-Edu y KStars.

La explotación con éxito permitiría a usuarios locales maliciosos
ejecutar código arbitrario con los derechos de root. Incluso si el
demonio se encuentra en ejecución, un atacante remoto también podría
obtener privilegios de root.

Se recomienda aplicar el parche para la versión 3.3.2, disponible en
la siguiente dirección:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.3.2-kdeedu-kstars.diff


Antonio Ropero
antonior@hispasec.com


Más información:

KDE Security Advisory: Buffer overflow in fliccd of kdeedu/kstars/indi
http://www.kde.org/info/security/advisory-20050215-1.txt

CAN-2005-0011 (under review)
Multiple vulnerabilities in fliccd
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0011

jueves, 17 de febrero de 2005

¿Por qué la mayoría de antivirus no han detectado al "nuevo" Mydoom?

En las últimas horas ha aparecido una nueva versión de la variante de
Mydoom que en julio del pasado año afectó de forma colateral a algunos
buscadores como Google, ya que utilizaba estos servicios para buscar
direcciones de correo electrónico a las que enviarse. La propagación
ha sido significativa, de hecho muchas casas han dado la señal de
alerta, sin embargo la versión que acaba de aparecer es la misma que
la del año pasado. ¿Por qué han fallado la mayoría de antivirus?

En la reciente charla online que Hispasec presentó junto a Microsoft
sobre malware, y que publicaremos la semana que viene en nuestra
web para que pueda ser vista y escuchada online, realicé algunas
pruebas de concepto sobre algunas debilidades en las soluciones
antivirus clásicas. Habitualmente en este tipo de eventos suelo tender
a ejemplos lo más simples posibles, rozando lo absurdo.

Una de los ejemplos consistió en "modificar" un troyano para hacerlo
invisible al motor antivirus de TrendMicro (le tocó en este caso,
como le ocurrió a otros motores en el resto de ejemplos). Como muestra
se optó por el reconocido y veterano BackOrifice, un troyano de
puerta trasera con bastante solera, detectado por todos los
antivirus. Le pasamos un compresor de ejecutables, y conseguimos
una copia del troyano, con las mismas funcionalidades, pero al estar
su código comprimido no era reconocido por la firma de TrendMicro.

Otros problemas derivados de este tipo de prácticas es que cuando se
ejecuta un archivo bajo ese formato la descompresión se hace en
RAM, y queda fuera del alcance de los monitores residentes antivirus
que interceptan y analizan sólo cuando existen accesos al disco. Ya
no hablamos de los motores situados en el perímetro, como por
ejemplo en el servidor de correos, que no tienen opción a ejecutar
las muestras.

Esa "transformación" en un troyano nuevo, no detectable por el
antivirus, se consiguió con dos clicks de ratón, literalmente, como
pudo verse en directo.

Pues lo ocurrido con la nueva versión de Mydoom es similar a lo que
se pudo ver en la charla. Se trata de la variante que apareció en
julio del año pasado, que en aquella ocasión fue comprimida con UPX,
y que alguien la ha tratado con un nuevo compresor, en este caso
MEW.

Asistimos a un ejemplo más de como la filosofía clásica de detección
por firmas es reactiva y débil frente a cualquier modificación en el
código del virus que, como se puede comprobar, puede hacer cualquiera
sin necesidad de tener conocimientos de programación, basta con saber
manejar el ratón.

En los tiempos que se avecinan, las soluciones antivirus que sigan
basándose sólo en la detección clásica por firmas serán,
presumiblemente, las menos competitivas frente a la solución que
pudiera publicar Microsoft, si finalmente decide presentar
batalla en el mercado antivirus. Llegado el caso, sólo podrán
competir siendo mejores y ofreciendo tecnología adicional. Aun
así, será muy complicado.

Respecto a la respuesta de las soluciones antivirus, primero
destacaremos a los que si eran capaz de detectar esta versión de
Mydoom desde el inicio, antes de que apareciera, bien porque eran
capaces de soportar el formato de compresión y detectarlo con la
firma de julio del año pasado, bien porque incluyen heurísticas o
tecnologías proactivas.

BitDefender BehavesLike:Trojan.Downloader
Kaspersky Email-Worm.Win32.Mydoom.m
NOD32v2 probably unknown NewHeur_PE virus [7]
Norman W32/Downloader
Panda [TruPrevent]

Las firmas específicas, una vez que había comenzado la propagación
del gusano, estuvieron disponibles para los usuarios según los
siguientes tiempos, hora peninsular española (GMT+1):

ClamAV 16.02.2005 23:02 :: Worm.Mydoom.M-2
Sophos 17.02.2005 00:02 :: W32/MyDoom-O
TrendMicro 17.02.2005 01:11 :: WORM_MYDOOM.M
F-Prot 17.02.2005 01:48 :: W32/Mydoom.AY@mm
McAfee 17.02.2005 01:53 :: W32/Mydoom.bb@MM!zip
eTrust-Iris 17.02.2005 02:35 :: Win32/Mydoom.AU!Worm
Symantec 17.02.2005 03:30 :: W32.Mydoom.AX@mm
eTrust-Vet 17.02.2005 06:35 :: Win32.Mydoom.AU!ZIP
Antivir 17.02.2005 07:11 :: Worm/MyDoom.BB
DrWeb 17.02.2005 08:10 :: Win32.HLLW.MyBot
BitDefender 17.02.2005 08:54 :: Win32.Mydoom.AQ@mm
Panda 17.02.2005 08:54 :: W32/Mydoom.AO.worm
Norman 17.02.2005 09:25 :: MyDoom.AQ@mm
AVG 17.02.2005 11:10 :: I-Worm/Mydoom.AP

Adicionalmente algunos motores antivirus han realizado modificaciones
posteriores de la firma (renombrado del gusano):

TrendMicro 17.02.2005 04:04 :: WORM_MYDOOM.BB
DrWeb 17.02.2005 09:55 :: Win32.HLLM.MyDoom.54464

Para más información sobre las características de esta versión de
Mydoom os remitimos a la nota que publicamos en julio del pasado
año, cuando se distribuyó comprimida con UPX
http://www.hispasec.com/unaaldia/2102


Bernardo Quintero
bernardo@hispasec.com



miércoles, 16 de febrero de 2005

Desbordamiento de búfer en el servidor web de HP

Se ha descubierto una vulnerabilidad en HP HTTP Server (de la versión
5.0 a la 5.95) que puede ser explotado por usuarios maliciosos para
comprometer sistemas que lo utilicen.

La vulnerabilidad se debe a un error en el tratamiento de tamaños de
variables sin especificar, aunque localizado en el procesamiento de
parámetros de entrada, y que puede ser explotado para provocar un
desbordamiento de búfer y con ello la ejecución remota de código
arbitrario.

La compañía recomienda actualizar a HP HTTP Server 5.96 o Systems
Maganement Hompage version 2.0.

Management Software Security Patch para Windows Version 5.96:
http://h18023.www1.hp.com/support/files/Server/us/download/22192.html


Julio Canto
jcanto@hispasec.com


Más información:

HP HTTP Server Buffer Overflow Lets Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2005/Feb/1013182.html

martes, 15 de febrero de 2005

Iniciativas de Microsoft en materia de seguridad

Hoy día 15, durante su ponencia en la RSA Conference, y como ya
hiciera en la edición anterior, Bill Gates ha desvelado algunos
apuntes sobre las iniciativas de Microsoft en materia de seguridad
para los próximos meses. A grandes rasgos, su solución AntiSpyware
será gratuita para usuarios registrados de Windows, publicarán una
nueva versión de su navegador para Windows XP SP2, Internet
Explorer 7, y entrarán de lleno en el mercado de las soluciones
antivirus.

Más o menos era lo previsible. Internet Explorer pedía a todas
luces una importante revisión, dada la cantidad de vulnerabilidades
que viene arrastrando. Mientras que las intenciones de Microsoft en
el mercado de las soluciones contra el malware eran evidentes tras
las adquisiciones de GeCAD (RAV Antivirus), Giant (antispyware),
y el reciente anuncio de Sybari (solución antivirus y antispam
para servidores de correo).

Además de los titulares anteriores, Gates ha comentado el próximo
lanzamiento de un nuevo servicio de actualización que unifica los
ya existentes, lo que teóricamente simplificará el tener al día
tanto sistema operativo como aplicaciones, la publicación de
nuevas versiones de Windows Rights Management e ISA Server, y
otras mejoras y funcionalidades que incorporarán a sus sistemas.

De todo lo anunciado, sin duda, el tema que traerá más cola en los
próximos meses será su entrada activa en el mercado de la seguridad,
en competencia directa y, especialmente, con las empresas que
desarrollan soluciones antivirus.

Desde que Microsoft adquiriera el motor antivirus de GeCAD en el
2003, y por tanto se vislumbraran sus intenciones, se han podido
escuchar todo tipo de críticas. Una de las más habituales era que
cómo una empresa podía vender soluciones para tapar problemas
ocasionados por sus propias debilidades.

Sin ánimo de entrar a discutir el papel de Microsoft en la
proliferación de los virus, personalmente creo que tiene tanto
parte de culpabilidad como de víctima (no me pidan porcentajes),
poco sentido tiene a estas alturas apelar a la ética. Al fin y
al cabo, en última instancia, ni las empresas antivirus ni
Microsoft programan los virus. Y si se quiere afinar, en el pasado
tanto las empresas antivirus como Microsoft han estado bastante
relajadas, las primeras acomodadas en un modelo reactivo que
aseguraba una fidelización de los clientes, y especialmente
Microsoft desplegando tecnologías sin pensar en la seguridad
(virus de macro, gusanos en Visual Basic Script, spyware que
aprovecha vulnerabilidades de Internet Explorer, etc).

De manera independiente al negocio directo que puede representar
el mercado antivirus, entiendo que una de las motivaciones de
Microsoft es hacer llegar soluciones antivirus a todos los usuarios
de Windows, y mitigar así el efecto negativo de los virus, y
especialmente de los gusanos de propagación masiva, que presentan
a Windows como una plataforma más insegura frente al resto, léase
por ejemplo Linux. En la misma línea encontramos la problemática
del spyware, que causan mal funcionamiento y ralentización en los
sistemas, y que muchas veces por desconocimiento se termina
achacando al propio Windows.

Llegados a este punto es donde se me presenta la disyuntiva y
la problemática en materia de seguridad desde una perspectiva
global e independiente. Si la intención de Microsoft es proporcionar
protección a los usuarios que actualmente no tienen solución
antivirus deberá desplegar una política de distribución agresiva,
cuando no gratuita y/o integrada en su sistema. Si esto ocurriera,
y sin entrar en materia legal (actividades monopolistas), queda
claro que afectaría de lleno a la competencia, y provocaría la
desaparición de soluciones antivirus.

Por un lado se podría aumentar significativamente el parque de
máquinas con antivirus, pero por el otro perderíamos
diversificación de las soluciones, y esto último es claramente
perjudicial para la seguridad.

Acudiendo al ejemplo de la agricultura, los monocultivos tienen
importantes problemas cuando son atacados por plagas o enfermedades,
ya que el agente dañino se propaga rápidamente y afecta a la
totalidad de la especie cultivada, aprovechando que se trata de una
plantación homogénea con las mismas propiedades y puntos débiles.

Por contra, los cultivos múltiples o policultivos, que intercalan
la plantación de diversas especies sobre el terreno, son mucho más
resistentes a las plagas y enfermedades, además de proporcionar otras
ventajas en términos de estabilidad, rendimiento y productividad. La
diversificación que establecen los policultivos actúan minimizando el
impacto de las plagas y enfermedades, ya que el agente dañino se
encuentra con especies a las que no puede atacar ni permiten su
propagación, y en cualquier caso nunca afecta a toda la plantación.

La diversificación de soluciones antivirus, con sus respectivos
motores y laboratorios con características y tiempos de respuesta
independientes, son un claro ejemplo de policultivo beneficioso
para la seguridad informática. Sin necesidad de acudir a ejemplos,
en VirusTotal podemos observar de forma directa como los antivirus
se complementan entre sí. Sin embargo, si el número de soluciones
antivirus decae, y se tiende a monopolizar en este terreno, por un
lado perderemos la sana competencia entre laboratorios antivirus,
por otro será mucho más fácil diseñar malware para burlar a una
tecnología en concreta y las epidemias que regularmente
protagonizan los gusanos de propagación masiva pasarán a ser
auténticas pandemias.

De momento, y según el adelanto de Bill Gates, se van a desplegar
parte de sus soluciones en este terreno de forma gratuita entre
sus usuarios con licencia, mientras que también abordará los
entornos corporativos con soluciones de pago. Aunque de momento
sólo ha especificado que será el AntiSpyware el que se distribuya
de forma gratuita, no tiene mucho sentido separar antivirus de
antispyware, es una división artificial dada por la compra por
separado de GeCAD y Giant, y esperamos que con el tiempo se
unifique en una única solución antimalware.

Lo ideal es que la de Microsoft se convierta en una más en el amplio
abanico de soluciones antivirus existentes hoy día, sin que ello
perjudicara de forma significativa a la diversificación actual, y
que la posición que ocupe en el ranking del mercado antivirus sea
fruto única y exclusivamente de su competitividad tecnológica.

Cualquier crítica en cuanto a tecnología es gratuita a día de hoy,
habrá que esperar a las versiones finales para su evaluación.
Cuando ello sea posible, contarán con la opinión objetiva e
independiente de Hispasec.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Gates Highlights Progress on Security, Outlines Next Steps for Continued Innovation
http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&STORY=/www/story/02-15-2005/0003022324&EDATE=

lunes, 14 de febrero de 2005

Desbordamiento de búfer en diversos productos F-Secure

Se ha descubierto una vulnerabilidad en diversos productos de F-Secure
que puede ser explotada por usuarios maliciosos para comprometer la
seguridad de un sistema que use un software afectado por ella.

La vulnerabilidad se debe a un error en el tratamiento del tamaño de
variables dentro de la funcionalidad de análisis antivirus,
concretamente a la hora de tratar con archivos ARJ. Esta circunstancia
puede aprovecharse para provocar un desbordamiento de búfer y con
ello la ejecución remota de código arbitrario.

La lista de productos afectados por la vulnerabilidad es la siguiente:
F-Secure Anti-Virus para Workstation versión 5.43 y anteriores
F-Secure Anti-Virus para Windows Servers versión 5.50 y anteriores
F-Secure Anti-Virus para Citrix Servers versión 5.50
F-Secure Anti-Virus para MIMEsweeper versión 5.51 y anteriores
F-Secure Anti-Virus Client Security versión 5.55 y anteriores
F-Secure Anti-Virus para MS Exchange versión 6.31 y anteriores
F-Secure Internet Gatekeeper versión 6.41 y anteriores
F-Secure Anti-Virus para Firewalls versión 6.20 y anteriores
F-Secure Internet Security 2004 y 2005
F-Secure Anti-Virus 2004 y 2005
Soluciones basadas en F-Secure Personal Express versión 5.10 y anteriores
F-Secure Anti-Virus para Linux Workstations versión 4.52 y anteriores
F-Secure Anti-Virus para Linux Servers versión 4.61 y anteriores
F-Secure Anti-Virus para Linux Gateways version 4.61 y anteriores
F-Secure Anti-Virus para Samba Servers versión 4.60 y anteriores
F-Secure Anti-Virus Linux Client Security 5.01 y anteriores
F-Secure Anti-Virus Linux Server Security 5.01 y anteriores
F-Secure Internet Gatekeeper para Linux 2.06


Antonio Román
roman@hispasec.com


Más información:

Code execution vulnerability in ARJ-archive handling
http://www.f-secure.com/security/fsc-2005-1.shtml

domingo, 13 de febrero de 2005

Vulnerabilidad de seguridad crítica en Microsoft Messenger

El pasado viernes, los usuarios de Microsoft Messenger se
encontraron con el aviso de la existencia de una nueva versión.
El motivo del anuncio: la publicación de una guía paso a paso de
cómo aprovecharse de la vulnerabilidad en el proceso de las
imágenes PNG.

Dentro de la avalancha de boletines de seguridad que Microsoft
publicó el pasado martes, se incluyó el boletín MS05-009. En él
se indicaba la existencia de una vulnerabilidad crítica en
diversos productos de Microsoft (Media Placer, Windows Messenger,
Windows 98 y Windows ME). Convenientemente explotada, esta
vulnerabilidad, indicaba Microsoft, podría ser utilizada por un
atacante remoto para conseguir la ejecución de código remoto en
los sistemas vulnerables.

El mismo día de la publicación del aviso y las actualizaciones
por parte de Microsoft, los descubridores de la vulnerabilidad,
Core Security, publicaron un completo boletín donde se describía
la vulnerabilidad así como una imagen de ejemplo que permite a
los usuarios determinar si su versión de Microsoft Messenger es
vulnerable.

Dentro del boletín de Core Security se incluía una detallada
descripción técnica, con código de ejemplo que demostraba como
aprovecharse de la vulnerabilidad para realizar un ataque.

Al día siguiente, en la lista BugTraq se publicaba otro código de
ejemplo de un exploit que se aprovechaba de la vulnerabilidad.

Ante todo esto, Microsoft reaccionó avisando el día 11 de febrero
a los usuarios de Microsoft Messenger e informándoles de la
existencia de una nueva versión, única forma de evitar la
posibilidad de ser víctimas de la vulnerabilidad. De hecho, en
estos momentos el acceso al servicio parece estar limitado a los
usuarios de la nueva versión.

Recordamos a los usuarios que no hayan procedido a la
actualización de su copia de Microsoft Messenger que procedan a
instalar la nueva versión en la mayor brevedad posible de tiempo,
ya que la existencia de esta vulnerabilidad es posible que sea
utilizada por gusanos y virus de distribución masiva en las
próximas semanas.


Xavier Caballé
xavi@hispasec.com


Más información:

Microsoft forces IM upgrade
http://news.com.com/Microsoft+forces+IM+upgrades/2110-1002_3-5573252.html

Microsoft Tries to Head Off MSN Messenger Attack
http://www.informationweek.com/story/showArticle.jhtml?articleID=60400352

Protect Against Exploit Code Related to Security Bulletin MS05-009
http://www.microsoft.com/security/incident/im.mspx

MSN: How to disable MSN Messenger and MSN Web Messenger in a
corporate environment
http://support.microsoft.com/default.aspx/kb/889829

MSN Messenger: només pels usuaris de la nova versió
http://www.quands.info/2005/02/13.html#a4759

MSN Messenger
http://messenger.msn.com/

Actualización de MSN Messenger
http://messenger.msn.com/feature/msgr3.aspx

Core Security Technology Advisory: MSN Messenger PNG Image
Parsing Vulnerability
http://www.coresecurity.com/common/showdoc.php?idx=421&idxseccion=10

MSN Messenger PNG Image Buffer Overflow Download Shellcode Exploit
http://seclists.org/lists/bugtraq/2005/Feb/0117.html

Imagen para determinar si una versión de MSN Messenger es vulnerable
http://www.coresecurity.com/corelabs/advisories/msn-vulncheck.zip

Boletín de seguridad de Microsoft: MS05-009 - Una vulnerabilidad
en el procesamiento PNG podría producir una saturación del búfer
http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-009-IT.mspx

[una-al-día] 08/02/05: Avalancha de boletines de seguridad de
Microsoft en febrero
http://www.hispasec.com/unaaldia/2299

És important actualitzar el Microsoft Messenger
http://www.quands.info/2005/02/12.html#a4729

Virus a la missatgeria instantània
http://www.quands.info/2005/02/13.html#a4749

IM Viruses: The Next treath?
http://www.infoworld.com/article/05/02/11/HNimvirus_1.html

Las imágenes JPG pueden llevar virus
http://ww2.grn.es/merce/2004/virusjpeg.html



sábado, 12 de febrero de 2005

Actualización de firmware para Matrix V-Series de Enterasys

Enterasys ha publicado una actualización del firmware de varios
dispositivos de la familia Matrix V-Series, concretamente de los
modelos V2H124-24, V2H124-24T, V2H124-24P y V2H124-24FX.
Esta actualización sube la versión a la 2.5.2.5.

Esta nueva versión esta basada en la 2.5.2.3, e incluye los siguientes
cambios:
Anteriormente, si el ifOperStatus MIB era consultado y no había
enlace en el puerto, se devolvía un valor 7 erróneo (lowerLayerDown).
Ahora se devuelve un valor 2 (Down), que es el correcto.
Anteriormente, cuando se realizaban ciertos cambios, la unidad maestra
en un stack no podía ser alcanzado con un ping desde un PC conectado a
una unidad esclava. Esta nueva versión corrige este problema.

Enterasys recomienda descargar esta nueva versión desde el sitio
oficial: http://www.enterasys.com/download/


Antonio Román
roman@hispasec.com


Más información:

Matrix V-Series
Firmware Version 2.5.2.5:
http://www.enterasys.com/support/relnotes/rn_8153-05.pdf

viernes, 11 de febrero de 2005

Actualización por problema en arrastrar y soltar de diversas versiones Windows

Dentro del conjunto de boletines de febrero publicado por Microsoft,
se cuenta una actualización para varios de sus sistemas de la familia
Windows debido a que se ha detectado una vulnerabilidad que podría
permitir la ejecución remota de código.

Esta vulnerabilidad de escalada de privilegios se debe a la forma en la
que Windows trata los eventos de arrastrar. Un atacante podría explotar
esta vulnerabilidad construyendo una página web maliciosa que permita
salvar un archivo en el sistema del usuario cuando éste visite el sitio
Web malintencionado o vea un mensaje de correo electrónico del mismo
tipo. Como factor atenuante se anuncia que se requiere interacción
directa de la víctima para que se pueda explotar la vulnerabilidad.

Los sistemas afectados son los siguientes:
* Microsoft Windows 2000 SP3 y SP 4
* Microsoft Windows XP SP1 y SP2
* Microsoft Windows XP 64-Bit Edition SP1 (Itanium)
* Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 (Itanium)
* Microsoft Windows 98, 98 SE, ME

Microsoft recomienda utilizar Windows Update, o bien descargar desde las
siguientes direcciones (según versiones):

* Microsoft Windows 2000 SP3 y SP 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=3B6A6CC1-CCE4-4462-A0D2-E88D38DEF807

* Microsoft Windows XP SP1 y SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=865B5D9D-FC5B-4F91-A860-2C35A025A907

* Microsoft Windows XP 64-Bit Edition SP1 (Itanium)
http://www.microsoft.com/downloads/details.aspx?FamilyId=B6DAA99A-6E0B-477D-99E9-5237BCF57762

* Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
http://www.microsoft.com/downloads/details.aspx?FamilyId=9EE7FF53-20EC-4B75-A255-72DD0AB52FF3

* Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=80AA33F4-E5B0-42A6-844B-F80D6168E25E

* Microsoft Windows Server 2003 (Itanium)
http://www.microsoft.com/downloads/details.aspx?FamilyId=9EE7FF53-20EC-4B75-A255-72DD0AB52FF3

* Microsoft Windows 98, 98 SE, ME
Microsoft no publica actualizaciones para estos sistemas debido a que
no ha considerado crítica esta vulnerabilidad.


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS05-008
Una vulnerabilidad en el shell de Windows podría permitir la ejecución
remota de código (890047)
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS05-008-IT.mspx

Microsoft Security Bulletin MS05-008
Vulnerability in Windows Shell Could Allow Remote Code Execution
(890047)
http://www.microsoft.com/technet/security/Bulletin/MS05-008.mspx

jueves, 10 de febrero de 2005

Nuevos contenidos en CriptoRed (enero 2005)

Breve resumen de las novedades producidas durante el mes de enero
de 2005 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Computer Crime - Aspectos Legales. Un Análisis en Derecho Comparado
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

- Seguridad Embebida en Dispositivos de Hardware
http://www.criptored.upm.es/paginas/docencia.htm#gtletraS

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

- Enero 31 a Febrero 4 de 2005: Sesión Tendencias Actuales en la
Criptología en Congreso MAT.es (España)
http://www.uv.es/mat.es2005/Cripto/mates2005/index.html

- Febrero 16 al 18 de 2005: X edición del Congreso Nacional de Internet,
Telecomunicaciones y Sociedad de la Información (España)
http://www.aui.es/mundointernet

- Abril 11 al 13 de 2005: Track on e-gaming, International Conference on
Information Technology ITCC 2005 (Estados Unidos)
http://crises.etse.urv.es/itcc2005

- Mayo 24 al 25 de 2005: Workshop on Security In Information Systems
WOSIS-2005 (Estados Unidos)
http://www.iceis.org/workshops/wosis/wosis2005-cfp.html

- Junio 6 al 8 de 2005: 7th Information Hiding Workshop IH2005 (España)
http://www.uoc.edu/symposia/ih05

- Junio 22 al 24 de 2005: V Jornadas Jornadas Nacionales de Seguridad
Informática (Colombia)
http://www.acis.org.co/index.php?id=332

- Septiembre 14 al 16 de 2005: Simposio Seguridad Informática I Congreso
Español de Informática CEDI 2005 (España)
http://cedi2005.ugr.es

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

- Master en Administración y Gestión de Seguridad de la Información UCM
(España)
- Master en Auditoría y Seguridad Informática UPM (España)
- Master en Tecnologías de Seguridad Informática esCERT-UPC (España)
- Master Tecnologías Información y Seguridad UCLM (España)
- Segunda Edición del Máster en Auditoría y Seguridad de Sistemas de
Información UAB (España)
- Especialización en Criptografía y Seguridad Teleinformática IESE
(Argentina)
- Diplomado en Seguridad Computacional Universidad de Chile (Chile)
- Diplomados en Seguridad Informática UNAM (México)
- Curso Experto en Seguridad Informática MU (España)
- Curso Criptosistemas de tipo RSA: Aplicaciones CSIC (España)
- Cursos de Seguridad Informática esCERT-UPC (España)
- Cursos de Seguridad Informática Instituto para la Seguridad en
Internet ISI (España)
- Programa de Formación en Gestión de la Seguridad de la Información
AENOR (España)
- Cursos de CYBSEC (Argentina - Ecuador)
- Curso Gratuito de Seguridad Informática en Madrid del FSE UPM (España)
- Talleres de Seguridad Informática UNAM (México)
- Curso de Preparación para el Examen CISA Barcelona (España)

Puedes encontrar los enlaces y más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE ENERO DE 2004

- Primer Laboratorio de Investigación en Seguridad Informática (Argentina)
http://www.citefa.gov.ar/si6/

- Seminario de Evidencias Electrónicas en Madrid (España)
http://www.interactiva.com.es/cursos/05efea1.pdf

- Spanish Honeynet Project SHP miembro de Honeynet Research Alliance
(España)
http://www.honeynet.org.es/es

- Curso de Preparación para el Examen CISA en Barcelona (España)
http://www.fbg.ub.es/curs.htm?topTit=Tecnologia%20i%20Ciències%20Experimentals,,f=xml/interior.php?id=31425&idioma=ca

- Primer CFP V Jornadas Nacionales de Seguridad Informática (Colombia)
http://www.acis.org.co/index.php?id=332

- Beca para Doctorado del Plan Nacional de Investigación en el CSIC (España)
http://www.iec.csic.es

5. OTROS DATOS DE INTERES EN LA RED

- Número actual de miembros en la red: 493
http://www.criptored.upm.es/paginas/particulares.htm

- 19.986 accesos en enero 2005 con 19.9 GBytes servidos.

- Tercer Congreso Iberoamericano de Seguridad Informática CIBSI '05
21 al 25 de noviembre de 2005, Valparaíso (Chile)
http://cibsi05.inf.utfsm.cl/


Jorge Ramió Aguirre
Coordinador de CriptoRed



miércoles, 9 de febrero de 2005

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de febrero publicado por Microsoft y
del que ayer ya hicimos un adelanto, se cuenta una actualización de
Internet Explorer que incluye todas las publicadas hasta la fecha y
además elimina cuatro nuevas vulnerabilidades que permiten la
ejecución remota de código.

Las cuatro vulnerabilidades corregidas son:

* Vulnerabilidad de descarga de archivos sin autorización en Internet
Explorer debido a la forma en que el navegador trata los eventos de
arrastrar y soltar. Un atacante puede explotar la vulnerabilidad
creando una página web maliciosa que permitirá al atacante grabar un
archivo ejecutable en el sistema del usuario sin que se muestre un
cuadro de diálogo y sin necesidad de aprobar la descarga. El atacante
podrá lograr que la descarga se realice en una localización específica
del sistema atacado, para lograr la posterior ejecución del archivo.

* Vulnerabilidad de falsificación de zona de codificación URL.
Vulnerabilidad de ejecución remota de código en Internet Explorer
debido a la forma en que se tratan determinadas URLs.

* Ejecución remota de código en Internet Explorer causada por la forma
en que de tratan algunos métodos DHTML.

* Vulnerabilidad de dominios cruzados en Internet Explorer permite la
ejecución remota de código. La vulnerabilidad radica en el proceso
mediante el que se validan algunas direcciones URL que se encuentran en
archivos CDF.

Las actualizaciones puedes descargarse desde:
Internet Explorer 5.01 Service Pack 3 (SP3) en Windows 2000 Service
Pack 3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=34F5BCDE-4EE2-4EFD-BB60-F5A6BC5F56D1

Internet Explorer 5.01 Service Pack 4 sobre Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C2CBB4B-2F00-4CD6-BB98-AD14A48B53C0

Internet Explorer 6 Service Pack 1 sobre Microsoft Windows 2000 Service
Pack 3, sobre Microsoft Windows 2000 Service Pack 4, o sobre Microsoft
Windows XP Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E473CD05-3320-4322-B437-F3A61E62F567

Internet Explorer 6 para Windows XP Service Pack 1 (64-Bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=7EAE62C0-3DA0-4BAC-B2FE-ECE89959053D

Internet Explorer 6 para Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4DC0FE8A-9D03-4AB8-8EAF-C85FF25CB1A2

Internet Explorer 6 para Windows Server 2003 64-Bit Edition and Windows
XP 64-Bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E3C4DA1F-6FA2-4A2B-A6D9-24B599C353B3

Internet Explorer 6 para Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=82056EAB-8367-4B04-A11A-1002D14EB55B


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS05-014
Cumulative Security Update for Internet Explorer (867282)
http://www.microsoft.com/technet/security/bulletin/ms05-014.mspx

Boletín de seguridad de Microsoft MS05-014
Actualización de seguridad acumulativa para Internet Explorer (867282)
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS05-014-IT.mspx

martes, 8 de febrero de 2005

Avalancha de boletines de seguridad de Microsoft en febrero

Como cada segundo martes, Microsoft ha publicado los boletines de
seguridad. Este ha sido un mes especialmente fructífero, ya que se
han publicado doce nuevos boletines (MS05-004 al MS05-015) y el
relanzamiento de otro (MS04-035). Entre los nuevos boletines, según la
propia clasificación de Microsoft, hay ocho que presentan un nivel de
severidad "crítico", tres de nivel "importante" y uno de nivel
"moderado".

Es por tanto, importante conocer la existencia de estas
actualizaciones, evaluar el impacto de los problemas y aplicar
las actualizaciones en la mayor brevedad posible. Este es un boletín
de urgencia en el que describimos superficialmente cada uno de los
nuevos boletines de seguridad de Microsoft. En los próximos días
publicaremos otros boletines donde analizaremos más detalladamente
las actualizaciones más importantes.

Los boletines afectan principalmente a diversos componentes de
Microsoft Windows, incluyendo Windows XP Service Pack 2 (concretamente
6 de ellos). También afectan a diferentes versiones de Exchange Server,
Project, Visio, Works y Office XP.

* MS05-004: Soluciona una vulnerabilidad en ASP.NET que podría permitir
a un intruso acceder sin permiso a determinadas partes de un sitio
ASP.NET.
Está calificado como "importante".
Afecta a todas las versiones de Microsoft .NET Framework 1.1 y a
Microsoft .NET Framework 1.0 SP3 y SP2.

* MS05-005: Soluciona una vulnerabilidad de Office, Project y Visio que
podría permitir la ejecución remota de código en un sistema afectado.
Está calificado como "crítico".
Afecta a Office XP SP3 y SP2, Project 2002, Visio 2002 y Works Suite
2002, 2003 y 2004.

* MS05-006: Soluciona una vulnerabilidad que podría permitir la
ejecución remota de código en un sistema afectado.
Está calificado como "moderado".
Afecta a SharePoint Team Services.

* MS05-007: Soluciona una vulnerabilidad que podría permitir leer los
nombres de usuario al conectarse a un recurso compartido.
Está calificado como "importante".
Afecta a Windows XP SP2 y SP1, y a Windows XP 64-Bit Edition SP1
(Itanium).

* MS05-008: Soluciona una vulnerabilidad que podría permitir la
ejecución remota de código, aunque para ello es necesaria la
intervención del usuario.
Está calificado como "importante".
Afecta a Windows XP SP2, SP1, 64-Bit Edition SP1 (Itanium) y 64-Bit
Edition Version 2003 (Itanium), Windows 2000 SP4 y SP3, Windows Server
2003 y Windows Server 2003 para equipos de 64-Bit basados en Itanium.

* MS05-009: Soluciona una vulnerabilidad pública en el tratamiento de
archivos PNG que podría permitir la ejecución remota de código.
Está calificado como "crítico".
Afecta a Windows Media Player, Windows Messenger y MSN Messenger.

* MS05-010: Soluciona una vulnerabilidad en el License Logging Service
que podría permitir la ejecución remota de código.
Está calificado como "crítico".
Afecta a Windows NT Server 4.0 (SP6a y Terminal Server Edition SP6),
Windows 2000 Server SP4 y SP3, y Windows Server 2003.

* MS05-011: Soluciona una vulnerabilidad en SMB (Server Message Block)
que podría permitir la ejecución remota de código.
Está calificado como "crítico".
Afecta a Windows XP (SP2, SP1, 64-Bit Edition SP1, 64-Bit Edition
Version 2003), Windows 2000 SP4 y SP3, y Windows Server 2003.

* MS05-012: Soluciona una vulnerabilidad en OLE y COM que podría
permitir la ejecución remota de código.
Está calificado como "crítico".
Afecta a Windows XP (SP2, SP1, 64-Bit Edition SP1, 64-Bit Edition
Version 2003), Windows 2000 SP4 y SP3, Windows Server 2003, Office XP,
Office XP SP2, Office XP SP3, Office 2003 SP1, Office 2003, Exchange
2000 Server SP3, Exchange Server 2003, Exchange Server 2003 SP1,
Exchange Server 5.0 SP2 y Exchange Server 5.5 SP4.

* MS05-013: Soluciona una vulnerabilidad pública en control ActiveX de
edición de componentes DHTML que podría permitir la ejecución remota de
código.
Está calificado como "crítico".
Afecta a Windows XP (SP2, SP1, 64-Bit Edition SP1, 64-Bit Edition
Version 2003), Windows 2000 SP4 y SP3, Windows Server 2003, Windows Me,
Windows 98 SE y Windows 98.

* MS05-014: Actualización acumulativa destinada a solucionar cuatro
vulnerabilidades de Internet Explorer que podrían permitir la ejecución
remota de código en un sistema afectado.
Está calificado como "crítico".
Afecta a Internet Explorer 6 SP1, Internet Explorer 6, Internet
Explorer 5.5 SP2, e Internet Explorer 5.01 SP3 y SP4.

* MS05-015: Soluciona una vulnerabilidad en librería de objeto
hiperenlace (Hyperlink Object Library) que podría permitir la ejecución
remota de código.
Está calificado como "crítico".
Afecta a Windows XP (SP2, SP1, 64-Bit Edition SP1, 64-Bit Edition
Version 2003), Windows 2000 SP4 y SP3, Windows Server 2003, Windows Me,
Windows 98 SE y Windows 98.

* MS04-035: Revisión de este boletín publicado anteriormente destinado
a solucionar una vulnerabilidad en SMTP que podría permitir la
ejecución remota de código, por la disponibilidad de la actualización
para Exchange 2000 Server.
Está calificado como "crítico".
Afecta a Windows XP 64-Bit Edition Version 2003, Windows Server 2003,
Exchange Server 2003 y Exchange 2000 Server SP3.


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerability in Hyperlink Object Library Could Allow Remote Code
Execution (888113): MS05-015
http://www.microsoft.com/technet/security/Bulletin/MS05-015.mspx

Cumulative Security Update for Internet Explorer (867282): MS05-014
http://www.microsoft.com/technet/security/Bulletin/MS05-014.mspx

Vulnerability in the DHTML Editing ActiveX Control could allow code
execution (891781): MS05-013
http://www.microsoft.com/technet/security/Bulletin/MS05-013.mspx

Vulnerability in OLE and COM Could Allow Remote Code Execution
(873333): MS05-012
http://www.microsoft.com/technet/security/Bulletin/MS05-012.mspx

Vulnerability in Server Message Block Could Allow Remote Code Execution
(885250): MS05-011
http://www.microsoft.com/technet/security/Bulletin/MS05-011.mspx

Vulnerability in the License Logging Service Could Allow Code Execution
(885834): MS05-010
http://www.microsoft.com/technet/security/Bulletin/MS05-010.mspx

Vulnerability in PNG Processing Could Lead to Buffer Overrun (890261):
MS05-009
http://www.microsoft.com/technet/security/Bulletin/MS05-009.mspx

Vulnerabilty in Windows Shell Could Allow Remote Code Execution
(890047): MS05-008
http://www.microsoft.com/technet/security/Bulletin/MS05-008.mspx

Vulnerability in Windows Could Allow Information Disclosure (888302):
MS05-007
http://www.microsoft.com/technet/security/Bulletin/MS05-007.mspx

Vulnerability in Windows SharePoint Services and SharePoint Team
Services Could Allow Cross-Site Scripting and Spoofing Attacks
(887891): MS05-006
http://www.microsoft.com/technet/security/Bulletin/MS05-006.mspx

Vulnerability in Microsoft Office XP could lead to Buffer Overrun
(873352): MS05-005
http://www.microsoft.com/technet/security/Bulletin/MS05-005.mspx

ASP.NET Path Validation Vulnerability (887219): MS05-004
http://www.microsoft.com/technet/security/Bulletin/MS05-004.mspx

Vulnerability in SMTP Could Allow Remote Code Execution (885881):
MS04-035
http://www.microsoft.com/technet/security/Bulletin/MS04-035.mspx

lunes, 7 de febrero de 2005

Herramientas gratuitas de Microsoft para detectar Sniffers

A la hora de mantener la seguridad en una empresa, en ocasiones se
tiende a no prestar la debida atención a los posibles riesgos que puedan
llegar desde dentro. Se tiene un gran temor a lo que podría realizar un
atacante desde una máquina externa, pero no se tiene suficientemente en
cuenta la posibilidad de que sea precisamente un empleado de la misma
empresa que, por una razón u otra, viole la seguridad de los sistemas.

Para evitar uno de esos 'riesgos internos', Microsoft ha publicado una
herramienta que detecta sistemas Windows 2000 en adelante que tienen
tarjetas de red funcionando en modo promiscuo (lo que suele utilizarse
para activar sniffers y capturar todo tipo de tráfico, aunque en
especial claves y usuarios de acceso). En un puesto en el que no esté
justificado por alguna razón concreta, puede resultar muy sospechoso que
se de esa circunstancia, por lo que una revisión de vez en cuando con
una herramienta de este tipo puede ahorrar más de un disgusto.

Desde luego, esta no es la única herramienta de este tipo disponible,
pero su sencillez y fácil acceso puede hacer que algunos administradores
que no hayan tenido en cuenta un problema así se animen a cuidar también
ese aspecto de la seguridad.

Microsoft ha publicado dos versiones, uno que funciona por línea de
comandos y otra que trae una sencilla interfaz de usuario, aunque su
aplicación es exactamente la misma. Ninguna de las dos servirá para
detectar tarjetas en modo promiscuo en máquinas que no sean Windows,
pero pueden ser de gran ayuda a la hora de detectar comportamientos no
autorizados dentro de una red, ya que permite comprobar tanto la máquina
local, como una remota (o un rango completo).

Las direcciones para descargar estas herramientas son las siguientes:

Promqry 1.0 (linea de comandos, 113 KB):
http://download.microsoft.com/download/b/b/6/bb6ea193-2880-43c3-b84b-b487a6454a17/promqrycmd.exe

PromqryUI 1.0 (interfaz gráfico, 255 KB):
http://download.microsoft.com/download/7/2/6/7262f637-81db-4d18-ab90-97984699d3bf/promqryui.exe


Julio Canto
jcanto@hispasec.com


Más información:

Promqry 1.0
http://www.microsoft.com/downloads/details.aspx?FamilyID=4df8eb90-83be-45aa-bb7d-1327d06fe6f5&DisplayLang=en

PromqryUI 1.0
http://www.microsoft.com/downloads/details.aspx?FamilyID=1a10d27a-4aa5-4e96-9645-aa121053e0

Description of Promqry 1.0 and PromqryUI 1.0
http://support.microsoft.com/?kbid=892853

Sniffer Detection Tools and Countermeasures
http://www.giac.org/practical/GSEC/James_Downey_GSEC.pdf

Otras herramientas:

PromiScan 3
http://www.securityfriday.com/products/promiscan.html

Sentinel
http://www.packetfactory.net/Projects/sentinel/

domingo, 6 de febrero de 2005

Falsificación de direcciones por problema con IDN en diversos navegadores

Se ha descubierto un problema de seguridad en diversos navegadores que
puede ser explotado por un sitio web malicioso para falsificar la URL
que aparece en la barra de tareas, el certificado SSL y la barra de
estado.

Este problema se debe a un error en el tratamiento de IDN
(International Domain Name), que permite el uso de caracteres
internacionales en nombres de dominio. Esta circunstancia puede ser
explotada para registrar nombres de dominio con ciertos caracteres
internacionales que se parecen a otros de uso común, con lo que se
puede confundir al usuario y que así crea que esta en un sitio de
confianza.

No se trata de un problema nuevo, en diciembre de 2001 ya se
describieron este tipo de ataques. En el aviso recién publicado, que
pretende ver el estado actual de este problema, se revela que salvo
Internet Explorer prácticamente todos los navegadores se ven afectados.
El efecto del problema se ve claramente a través de un ejemplo, en el
que un supuesto enlace a www.paypal.com que redireccione realmente a
"http://www.p& #1072;ypal.com/", será tratado en los navegadores
vulnerables como www.xn--pypal-4ve.com.

El problema ha sido confirmado en las siguientes versiones, la mayoría
de navegadores basados en Mozilla:
- Firefox 1.0
- Konqueror 3.2.2
- Mozilla 1.7.5
- OmniWeb 5.1
- Opera 7.54u1 y 7.54u2
- Safari 1.2.4
- Netscape 7.2

No se descarta que esto afecte a otras versiones de esos mismos
productos.

A la espera de un parche o actualización que corrija el problema, se
recomienda no seguir enlaces de sitios que no sean de confianza y
escribir las URLs directamente en la barra de direcciones. Este tipo de
vulnerabilidad suele ser rápidamente empleada para ataques phising, por
lo que se recomienda precaución.


Julio Canto
jcanto@hispasec.com


Más información:

The state of homograph attacks
http://www.shmoo.com/idn/homograph.txt

Ejemplo de exploit:
http://www.shmoo.com/idn/

sábado, 5 de febrero de 2005

Redirección de página de login en Microsoft Outlook Web Access

Se ha anunciado la existencia de una vulnerabilidad en Microsoft
Outlook Web Access (OWA) por la que un atacante remoto podrá crear una
URL de login que redireccione al usuario a una página alternativa.

OWA, "Outlook Web Access" es un componente integral de Microsoft
Exchange que permite a los usuarios el acceso a su buzón de correo a
través de la web, utilizando cualquier sistema que ofrezca conexión a
la red. Es muy frecuente que aquellas organizaciones que utilizan
Exchange para el correo electrónico permitan a sus empleados utilizar
OWA como método para el acceso remoto al correo electrónico.

El problema reside en que un usuario remoto puede crear una URL
especialmente manipulada de forma que cuando el usuario atacado acceda
a ella será redireccionado a una página alternativa. La URL puede
contener caracteres codificados para ofuscar la dirección real de la
página destino.

Un ejemplo de URL que podría explotar la vulnerabilidad sería:
https://[target]/exchweb/bin/auth/owalogon.asp?url=http://3221234342/

La página web a la que se redirecciona al usuario podrá ser capaz de
capturar la información de autenticación introducida por el usuario.


Antonio Ropero
antonior@hispasec.com


Más información:

EXPL-A-2005-001 exploitlabs.com Advisory 030 Microsoft Outlook Web
Access
http://www.exploitlabs.com/files/advisories/expl-a-2005-001-owa.txt

viernes, 4 de febrero de 2005

Cadenas SNMP por defecto en dispositivos de videoconferencia Cisco IP/VC

Cisco ha publicado un boletín de seguridad para avisar sobre la
presencia de cadenas de comunidad SNMP fijas en varios modelos de su
gama de videoconferencia IP/VC que permitirían a un usuario tomar el
control total de dichos dispositivos.

SNMP (Simple Network Management Protocol) es un protocolo estándar para
la administración de red en Internet. Prácticamente todos los sistemas
operativos, routers, switches, modems cable o ADSL modem, firewalls,
etc. se ofrecen con el servicio SNMP y este es el caso de los
dispositivos Cisco afectados.

El problema radica en la existencia de cadenas prefijadas de fábrica
para el protocolo SNMP lo que podría permitir a cualquiera que las
conozca acceder a los dispositivos y tomar su control. Según el propio
aviso de Cisco se ven afectados los modelos Cisco IP/VC 3510, 3520,
3525 y 3530.

La compañía recomienda como contramedida contra el problema bloquear el
acceso a dicho servicio SNMP en los dispositivos afectados.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Default SNMP Community Strings in Cisco IP/VC
Products
http://www.cisco.com/warp/public/707/cisco-sa-20050202-ipvc.shtml

jueves, 3 de febrero de 2005

Vulnerabilidades de alto riesgo en Eudora 6 para Windows

Se han descubierto vulnerabilidades en Eudora 6 para Windows que
pueden ser explotadas por usuarios maliciosos para comprometer un
sistema afectado.

Las vulnerabilidades, causadas por errores sin especificar a la hora
de visualizar correos y de tratar con archivos varios, permitirían
a un atacante ejecutar código arbitrario con los privilegios del
usuario que estuviese usando dicho software. No se han facilitado
todos los detalles de los problemas para dar lugar a que los usuarios
afectados actualicen los sistemas.

Las vulnerabilidades han sido confirmadas en las versiones 6.2.0 y
anteriores de Eudora para Windows. Se recomienda actualizar a la
versión 6.2.1 a la mayor brevedad posible. Esta versión está disponible
en la siguiente dirección:
http://www.eudora.com/products/


Julio Canto
jcanto@hispasec.com


Más información:

Eudora Bugs in Processing E-mail, Stationary Files, or Mailbox Files
Let Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2005/Feb/1013070.html

miércoles, 2 de febrero de 2005

Desbordamiento de búfer en Squid

Se ha anunciado la existencia de un problema de desbordamiento de
búfer en Squid que puede permitir a un usuario malicioso remoto la
realización de un ataque de denegación de servicio.

Concretamente el problema reside en la llamada WCCP recvfrom() y puede
ser explotado cuando un usuario remoto envía un mensaje WCCP
especialmente modificado y más larga de lo normal al servidor atacado.
Esto provocará un desbordamiento de búfer en recvfrom() y la caída de
Squid.

El sistema sólo será vulnerable si está configurado para enviar
mensajes WCCP y recibir este tipo de mensajes desde un router. Se ha
publicado una actualización para la versión Squid-2.5.STABLE7
disponible en:
http://www.squid-cache.org/Versions/v2/2.5/bugs/squid-2.5.STABLE7-wccp_buffer_overflow.patch


Antonio Ropero
antonior@hispasec.com


Más información:

Squid Buffer Overflow in WCCP recvfrom() Lets Remote Users Deny Service
http://www.securitytracker.com/alerts/2005/Jan/1013045.html

martes, 1 de febrero de 2005

Publicidad falsa de Terra en relación a su antivirus

"Antivirus detecta y bloquea todos los virus desconocidos y asegura
la protección contra las variantes que se crean a partir del virus
original". Con esta frase lapidaria, publicada en su web, Terra vende
el servicio de antivirus basado en el motor de McAfee.

A estas alturas sobra decir que no existe ninguna solución que
pueda garantizar un 100% de seguridad. En el caso de los antivirus
es algo totalmente obvio, por definición no pueden detectar todos
los virus desconocidos o de nueva creación, y de hecho cualquier
solución antivirus también pierde un porcentaje de virus que están
pululando por Internet y cuyas muestras aun no han analizado en sus
laboratorios e incorporado a sus actualizaciones.

En la misma web podemos leer "Contrate Antivirus ahora y olvídese de
los virus. Antivirus comprueba automáticamente si hay nuevas versiones
o actualizaciones de virus para que su protección esté siempre
actualizada". Ya es contradictorio que un motor que dice detectar
todos los virus desconocidos necesite actualizaciones de virus.

Anuncios como el de Terra, además de ser publicidad falsa (con lo
que ello pudiera conllevar), son claramente contraproducentes para
los usuarios, ya que crean una falsa sensación de seguridad. Los
usuarios deben ser en todo momento conscientes de las limitaciones
intrínsecas de las soluciones antivirus, y en ningún momento deben
olvidarse de los virus, o terminarán infectándose.

Los antivirus son una capa de seguridad recomendable y necesaria en
sistemas domésticos y entornos corporativos, pero como toda solución
tiene sus limitaciones, y es entonces cuando la única línea de defensa
es el factor humano. Si vamos promulgando que el antivirus es
infalible, que el usuario debe olvidarse de los virus por completo, o
incluyendo un pie en el correo electrónico diciendo que el mensaje
está libre de virus... al final lograremos que, por un exceso de
confianza, el usuario se infecte.

Sin ánimo de cargar las tintas contra McAfee, que suponemos habrá
sido víctima del marketing de Terra, algunos datos para corroborar
lo obvio:

En VirusTotal recibimos durante el mes de enero 18.234 muestras de
usuarios de Internet, de las cuales 10.297 fueron detectadas como
infectadas (uno o más antivirus la identificaron como virus o
malware). De esas 10.297 muestras infectadas, McAfee sólo detectó
4.062, es decir, un 39,45% de acierto. Si hiciéramos un ranking
basado en el porcentaje de detección, McAfee ocuparía el 7º puesto.

Seguramente a más de uno le sorprenderá un porcentaje de detección
tan bajo. Hay que decir en defensa de McAfee que las muestras que
suelen enviar los usuarios a VirusTotal son bastante heterogéneas,
no sólo se envía el típico gusano de turno. Pero, al fin y al cabo,
son muestras infectadas enviadas por los usuarios y que circulan
por Internet.

En el siguiente enlace podemos observar una captura de la
publicidad de Terra, que esperamos sea corregida a la mayor
brevedad:
http://www.hispasec.com/images/mcafee_terra_20050201.png


Bernardo Quintero
bernardo@hispasec.com